IOS 27001 tanúsítás: “három testőr” az Opennetworksnél

Több blogposztban beszéltünk már szolgáltatásaink biztonsági megoldásairól, mégis úgy érezzük, ez a tökéletes alkalom, hogy érthetően megfogalmazzuk, mit is jelent ez pontosan a gyakorlatban.

Kezdjük a definícióval. Az informatikai biztonság az informatikai rendszer olyan kedvező állapota, amelyben a kezelt adatok bizalmassága (confidentiality), sértetlensége (integrity) és a rendelkezésre állása (availability) biztosított. Ez az úgynevezett CIA elv, vagy ahogy mi nevezzük, a 3 “testőr”:

• Bizalmasság: ez azt jelenti, hogy csak az arra jogosultak ismerhetik meg az információt. A Szolgáltatás Portálunk hozzáférés védelme ezt tökéletesen biztosítja.
• Sértetlenség: az információ tartalma és formája az elvárttal megegyezik, beleértve az is, hogy az elvárt forrásokból származik (hitelesség), igazolható, hogy megtörtént (letagadhatatlanság), egyértelműen azonosítható az információval kapcsolatos műveletek végzője (elszámoltathatóság), és a rendeltetésének megfelelően használható. Ezek a tényezők a küszöbön álló jelszavak nélküli világban még fontosabbak, mint eddig.
• Rendelkezésre állás: az a tényleges állapot, amikor egy informatikai rendszer szolgáltatásai az arra jogosultak számára egy meghatározott időben rendelkezésre állnak és a rendszer működőképessége sem átmenetileg, sem pedig tartósan nincs akadályozva. Magyarországon az ezt biztosít SLA értékeket minden elektronikus hírközlési szolgáltatónak az ÁSZF-ben vagy külön szerződésben vállalnia kell, ez alól természetesen mi sem vagyunk kivétel.

Amikor egy ezzel kapcsolatos szabványnak megfelelünk, akkor egy szigorú, részletesen szabályozott vizsgálat során igazoljuk, hogy olyan biztonsági szabályzatokat és védelmi intézkedéseket működtetünk, amik során teljesülnek a védelem legfontosabb szempontjai. Ezek a:

• Zártság: az összes releváns veszélyt (fenyegetést) figyelembe veszi.
• Teljes körűség: a rendszer minden elemére kiterjed a védelem.
• Folytonosság: időben megvalósul a folytonos védelem.
• Kockázatokkal való arányosság: a rendszer várható működésének időtartamában a védelem költsége arányban van a lehetséges kárral.

Fontos látni, hogy az információbiztonság tágabb fogalom, mint az IT biztonság. Beleértjük az információ minden – vagyis nem csak az elektronikus – megjelenési formájának, az információs szolgáltatásoknak és az ezeket biztosító információs rendszereknek a védelmét. Tanúsításra pedig azért van szükség, hogy egy hozzáértő és nemzetközi felhatalmazással rendelkező fél igazolja, hogy ennek megfelelünk, hiszen az intézkedések egy része szigorúan titkos, különben pedig a támadók is hozzáférhetnének a gyenge pontokhoz.

Ha szívesen megismernétek VIPeX szolgáltatásunk biztonsági csomagjait, hívjátok a sales-csapatunkat a +36-1-999-6000 telefonszámon és kérjetek személyes bemutató.

Judit