1.2. Az informatikai biztonság helye az informatikai stratégiában

Egyéb részek (részstratégiák) mellett ugyancsak integráns eleme a szervezeti stratégiának a biztonsági stratégia. A szervezet célelérését szolgáló tevékenységek végrehajtásának biztonságát szavatoló feladat- (és ebbôl adódó folyamat-) rendszernek a szervezeti stratégia által érintett összes tevékenységet le kell fednie. Enélkül ugyanis a biztonság teljeskörûsége és az egységes biztonsági szint követelménye sérülne. A követelmények szükségessége könnyen belátható. Feltéve, hogy a szervezet a célelérést szolgáló folyamatok nem minden elemének mûködôképességét tudja biztosítani, az adott elem lehetséges funkciócsökkenésébôl (vagy diszfunkcionalitásából) adódó téves célelérési tevékenységek a rendszer-elv alapján, az önmagában talán "biztonságos" többi folyamatot is veszélyezteti. (Errôl részletesebben szól a 3.4. alfejezet.)

Fenti megállapításhoz két megjegyzés szükséges:

A biztonság komplex kategória, tehát - épp az elôzôek alapján - különválasztva nem értelmezhetô egyes részrendszerek vagy elemek saját biztonsága (ezért az idézôjel).

Az informatikai biztonság a jelen megközelítés keretei közt nem más, mint a szervezeti tevékenységek informatikai összetevôinek a célok eléréséhez szükséges (megfelelô) állapotban tartása.

Következésképpen az informatikai biztonság integráns része az informatikai rendszernek és egyúttal a szervezeti szintû biztonsági rendszernek is. Köztük szoros kölcsönös kapcsolati mechanizmus érvényesül, ezért nem is mindig lehetséges az egyes elemek elhatárolása, vagy közöttük szigorúan oksági kapcsolat definiálása.

Az informatikai stratégia követelményeket fogalmaz meg. A követelmények közt biztonsági szempontból lényeges elvárások is megjelennek, amelyek a rendszertervezés számára célkitûzésként fogalmazódnak meg. A késôbbiekben ezek alapját képezik az informatikai rendszer, az informatikai biztonság tervezésének, majd megvalósításuknak. Példák bizonyítják, hogy az informatikai rendszer létrehozása után pótlólagosan végrehajtott biztonsági intézkedések, utólagosan beillesztett biztonsági mechanizmusok nemcsak többszörös költséggel valósíthatók meg, de az általuk elért biztonság mértéke sem azonos a rendszerkialakítással egyidôben és szoros kapcsolatban végrehajtott biztonsági fejlesztés eredményével.

A sikeres rendszermûködésnek biztonsági kritériumai is vannak. A gyakorlatban ezek a biztonsági kritériumok rejtetten vannak jelen. A biztonságnak, mint szükséges funkciónak feltárásához és megjelenítéséhez a szervezet tevékenységének teljes körû átvilágítására és részletes funkcióelemzésére van szükség. Az ennek nyomán feltárt biztonsági funkció az elemzések nyomán kritikus sikertényezôvé válhat. Az informatika biztonsági kérdéseinek kritikus sikertényezôvé (KST) való nyilvánítása szükséges ahhoz, hogy az informatikai célok között a biztonságos informatikai rendszer megteremtésének - vagy a biztonság fenntartásának illetve megerôsítésének - célja megjelenjen. A funkcióelemzés - KST - célrendszer folyamaton keresztül tisztázott és a stratégiai célrendszerbe beiktatott biztonsági szempontok eredményezik az informatikai stratégiában biztonsági projektek kitûzését. A biztonsági projekt megindításához szükséges biztonsági értékelés jelenti az informatikai biztonság létrehozásának kiinduló pontját.

A tervezési folyamatok párhuzamossága és kölcsönösségi viszonya indukálja a tervezési módszerek nagyfokú párhuzamosságát és rokonságát. Az informatikai biztonság tervezésének módszertana az informatikai rendszertervezés módszertanához sok tekintetben hasonló. Ilyen például a tervezô csoport összetétele, az alkalmazott csoportmódszerek és szervezési résztechnikák, valamint a tervezés során végrehajtott lépések.

Az Európai Unió által kidolgozott informatikai és információs rendszerekre vonatkozó biztonsági irányelveket követô különbözô szervezési módszertanok (némileg eltérô terminológiával és tartalommal) az informatikai rendszerszervezés szakaszait az alábbiak szerint definiálják.

Szervezési lépések az angol SSADM (Structured Analysis and Design Method) szerint:

• megvalósíthatóság elemzése,
• helyzetfelmérés,
• a rendszerszervezési mód meghatározása,
• a követelmények megfogalmazása,
• technikai alternatívák,
• logikai tervezés,
• fizikai tervezés.

• kivitelezés és tesztelés,
• rendszer mûködtetés.

• a védelmi igény megállapítása,
• fenyegetettség-elemzés,
• kockázatelemzés,
• informatikai biztonsági koncepció készítése,
• az informatikai rendszerek kiválasztása,

• biztonsági szoftverek tervezése, illesztése,
• Informatikai Biztonsági Szabályzat elkészítése,
• informatikai biztonsági követelmények átvezetése más szabályzatokon,
• a rendszer bevezetése, üzemeltetése,
• a biztonsági elôírások betartásának és a mechanizmusok mûködésének ellenôrzése,
• az informatikai biztonsági rendszer felülvizsgálata,
• módosítások a biztonsági rendszerben.

Az IBMK tartalma nem fedi le az informatikai biztonság megteremtésének teljes folyamatát, de bemutatja az informatikai stratégiából adódó, az informatikai rendszerszervezés során tételezett célok biztonsági vetületeinek meghatározásától a konkrét rendszer kialakításához szükséges környezeti és számítástechnikai intézkedések megtervezéséig végrehajtandó lépéseket.

A folyamat egyes lépéseinek bemutatásakor utalás történik a kézikönyv kereteit meghaladó feltételekre, illetve lépésekre. Hatékony végrehajtásuk ugyanis csak az egész rendszer mûködésének szem elôtt tartásával történhet.