HABILITÁCIÓS TÉZISFÜZET
Dr. Michelberger Pál
Információbiztonság és üzleti bizalom
- 2014 -
2
Tartalomjegyzék
1. A kutatás előzményei 3
1.1 Kiindulási pont – információbiztonság 3
1.2 Kockázatmenedzsment 6
1.3 Az információbiztonság emberi oldala 8
1.3.1 A képzettség és az információbiztonsági tudatosság 9
1.3.2 Generációs kérdések 10
1.3.3 Munkakörnyezet 12
1.3.4 Információtechnológiai és információbiztonsági képzések minősége 12
1.3.5 Szervezeti (biztonsági) kultúra 12
1.4 Folyamat- és vállalatbiztonság 13
1.5 Vállalati felelősség 14
1.6 Védelmi tevékenységet megalapozó szabványok és ajánlások 17
1.6.1 COSO ERM keretrendszer 17
1.6.2 MSZ ISO/IEC 27001 18
1.6.3 MSZ EN ISO 14001 19
1.6.4 CObIT 4.1 19
1.6.5 ISO/IEC 15504 20
1.6.6 MSZ ISO 28001 21
1.6.7 MSZ ISO/IEC 20000 21
1.6.8 BS 25999 22
1.6.9 A SCOR és a CPFR Modell 23
1.7 Kutatási módszerek 24
2. Új tudományos eredmények 24
2.1 Kis és közepes vállalatok információbiztonsága 24
2.2 Munkavállaló, mint információbiztonsági kockázat 26
2.3 Komplex vállalati biztonsági modell 29
2.4 Vállalatbiztonság szerepe az üzleti bizalom kialakításában 30
3. Kutatás és a bemutatott eredmények hatása, visszhangja 32
4. Irodalom 33
5. A tézispontokhoz kapcsolódó tudományos közlemények és ismert hivatkozásaik 39
3
1. A kutatás előzményei
A vállalati biztonságmenedzsment változások előtt áll. A szakterületek (infrastruktúra őrzése,
munkavédelem, biztonságtechnika, információbiztonság, stb.) külön-külön történő
szabályozása helyett egyre inkább megfigyelhető egy új vezetési módszereken és szervezeti
kultúrán alapuló holisztikus szemléletmód megjelenése. A változtatások végrehajtásához
szükséges vállalati szakmai háttér – a hagyományok miatt is – ma még szétaprózott, esetleg
hiányzik.
A szabványos információbiztonsági irányítási rendszerek terjedése jól mutatja a vállalatok
biztonság iránti növekvő igényét. Az információk védelme azonban önmagában nem
elégséges. A megbízható működés, az üzleti partnerek igényeinek időben, mennyiségben és
minőségben történő kielégítése túlmutat ezen. A vállalati értékteremtéshez nélkülözhetetlen
eszközöket, fő- és mellékfolyamatokat kell biztonságban tudni. Az információbiztonság
kapcsán megismert üzletmenet folytonossági és katasztrófa-elhárítási elképzelések és tervek
jó kiinduló alapot jelenthetnek egy holisztikus vállalati biztonsági modell megteremtésében.
A vállalati biztonság menedzsment képes a vállalati kritikus folyamatokat és eszközöket úgy
ellenőrzése alatt tartani, hogy teljesüljenek a stratégiai tervekből levezetett vállalati célok.
Olyan folyamatos tervezési, szervezési, irányítási és ellenőrzési, valamint koordinációs
tevékenységeket jelent, amely a vállalat minden külső és belső érintettje számára megfelelő és
fenntartható biztonsági szintet eredményez. A technikai kérdések helyett a szervezeti
működés válik elsődlegessé. Lehetővé teszi a biztonsági célok elérésének mérését és
folyamatos fejlesztését és optimalizálását (Carelli et.al, 2004, p. 14).
A 2005-ben kezdődő kutatások elsősorban a témában megjelent hazai és külföldi szakirodalmi
források, szabványok és szakmai ajánlások feldolgozásán alapulnak.
1.1 Kiindulási pont – információbiztonság
Az információ a gazdálkodó szervezet számára érték, vezetői döntések és az üzleti sikeresség
alapja. Vonatkozhat termékre, szolgáltatásra, technológiai ismeretekre és a rendelkezésre álló
erőforrásokra, valamint üzleti partnerekre. Ha hiányoznak, pontatlanok, vagy nem időszerűek,
esetleg illetéktelen kezekbe kerülnek, akkor ez a szervezet számára károkat okozhat. Az
információt tehát védeni kell.
4
Az információbiztonság lényegesen összetettebb problémakör, mint az informatikai
biztonság. Ma már nem elég vírusirtókban, tűzfalakban, megbízhatóan működő hardverben és
egyértelmű azonosító rendszerekben gondolkodni. A technológiai háttér tudatos kialakítása
nem elégséges. Az információ sértetlenségét, a rendelkezésre állását és a bizalmas kezelését
(MSZ ISO/IEC 27001) azonban elsősorban a belső munkatársak (vállalatirányítási
információs rendszerek és intranet révén) és a vállalati adatbázisokhoz interneten, extraneten
és elektronikus adatcsere révén hozzáférő stratégiai partnerek (beszállítók, viszonteladók,
kooperációs partnerek és pénzügyi szolgáltatók) gondatlan, esetleg szándékos károkozása
veszélyezteti.
Az információbiztonsághoz – mint állapothoz – további jellemzők is kapcsolhatók, mint a
hitelesség, számonkérhetőség, letagadhatatlanság és a megbízhatóság.
Az információ-vagyon védelme érdekében legáltalánosabban az információ- és az
információhordozók kezelését szabályozzuk. Ez független attól, hogy milyen az információ
megjelenési formája. A védelem akkor működik helyesen, ha meghatározzuk a védendő
információkat, a külső és belső fenyegetéseket, ill. azok kockázatát valamint, a védelemhez
szükséges szabályozást és eszközrendszert (ISO/IEC 27002).
Az információvédelem célja tehát, hogy strukturáltan biztosítsuk az üzletmenet folytonosságát
és szabályozott működéssel mérsékeljük a biztonsági eseményekből adódó károkat.
Információbiztonságot a kockázatokat figyelembevevő óvintézkedésekkel lehet elérni. Ezek a
vállalati folyamatokat leíró szabályzatokból, folyamatokat tükröző szervezeti felépítésből és
az ezeknek megfelelő információtechnológiai eszközök (hardver, szoftver,
telekommunikációs elemek) szabályozott működtetéséből állnak.
A gazdálkodó szervezetek hosszú távú működéséhez hamis biztonságérzetet nyújtó eszközök
mellett (sokszor helyett) biztonságot nyújtó irányítási rendszer alkalmazása is szükséges.
Egy információvédelemben több biztonsági szintet is megkülönböztethetünk (Ji-Yeu Park
et.al., 2008);
Információtechnológiai infrastruktúra (hardver-, szoftver- és hálózatvédelem)
Információkezelés (adatfelvétel, -módosítás, -törlés, -informálódás, ill. lekérdezés)
Ügyviteli folyamatok (folyamatszabályozás, workflow)
Szervezet (információbiztonsági stratégia, kockázatkezelés)
A szintek működésének összehangolásához fontos az információbiztonságot támogató
környezet kialakítása, amely információbiztonsági politikát, meghatározott felelősségi
köröket, képzést és az erőforrások biztosítását is jelenti. Az információbiztonság része
5
továbbá az informatikai eszközök, dokumentációk teljes körű nyilvántartása, a
kockázatelemzés informatikai eszközökre és környezeti kihívásokra, valamint a felhasználók
jogosultságainak kezelése dokumentációk, hálózatok, szerverek, munkaállomások, alkalmazói
szoftverek és magának az információnak a tekintetében.
A folyamatszemléletű üzletmenet-folytonosság és katasztrófa elhárítás nem csak
információbiztonsági problémákra alkalmazható (Aagedal et.al., 2002).
Az Üzletmenet Folytonossági Terv (Business Continuity Plan - BCP) célja a szervezeti
(üzleti) folyamatokat támogató informatikai erőforrások meghatározott időben és funkcionális
szinten történő rendelkezésre állásának biztosítása, valamint a váratlan eseményekből
bekövetkező károk minimalizálása. Szükséges a dokumentumban számba venni az egyes
folyamatok lehetséges fenyegetettségeit, ezek bekövetkezési valószínűségét, a folyamat
kieséséből származó esetleges károkat. Az ún. üzleti hatáselemzés (Business Impact Analysis
- BIA) során határozzuk meg a működés fenntartásához szükséges eljárásokat (1. ábra).
A Katasztrófa Elhárítási Tervben (Disaster Recovery Plan - DRP) helyettesítő megoldásokat
adunk meg súlyos károkat okozó és az informatikai szolgáltatás tartós meghiúsulását okozó
események bekövetkezésére, úgy, hogy a következmények negatív hatásai minimalizálhatók
és az eredeti állapot visszaállítása - még elfogadható költségek mellett - meggyorsítható
legyen. Helyettesítő intézkedéseket és eszközöket tartalmaz, ha a szervezet számára kritikus
folyamatokat kiszolgáló erőforrások korlátozottan működőképesek, vagy működésképtelenek.
Általában a katasztrófa elhárítási terv az üzletmenet folytonossági tervhez kapcsolódik
(Godányi, 2004).
szolgáltatási
szint
elvárt helyreállítási idő (Recovery Time Objective)
döntés előkészítés
az esemény beköv.
és a helyettesítés
indítása között eltelt
idő, (ld. MTD)
idő
incidens
bekövetkezése,
adatvesztés
helyettesítő
szolgáltatás
kezdete
BCP
helyreállítás
kezdete
BCP
helyreállítás
vége
Üzemszerűen működő üzleti
folyamat normál szolgáltatási
szinttel (normal Service Level
Agreement)
Helyettesítő üzleti folyamat, csökenttett
funkcionalitással (Disaster Recovery
Service Level Agreement; Overall
Recovery Objective)
Üzemszerűen működő üzleti
folyamat normál szolgáltatási
szinttel (normal Service Level
Agreement)
Katasztrófa helyreállítás,
elhárítás
1. ábra: Az üzletmenet folytonosság modellje
6
A jó BCP, ill. DRP szervezeti folyamatokat vizsgál, valamint számol ezek kapcsolataival.
Kockázatarányos, végrehajtható beavatkozási utasításokat tartalmaz. A szervezet felső
vezetése ismeri, elfogadja és betartatja a benne leírtakat. Folyamatosan tesztelik, karbantartják
és fejlesztik.
Az üzletmenet folytonossági- és katasztrófa elhárítási tervek elkészítése az összes szervezeti
folyamat felmérését megköveteli és hosszú, akár több hónapos bevezetési időt igényel. A
belső interjúk feldolgozásához és az eredmények rendszerbe foglalásához szükséges lehet
külső tanácsadó igénybevétele. A teljes rendszer kialakításához nélkülözhetetlenek a
szervezet működését jól ismerő belső szakemberek. Számottevő bevezetési és fenntartási
költségekkel jár. Kiemelt feladat a felelős vezetők és a beosztott munkatársak folyamatos
oktatása továbbképzése.
Az üzleti hatáselemzés során kockázati szempontból osztályozzuk (alacsony-, közepes-,
magas prioritás) a szervezet folyamatait. Meghatározzuk a legnagyobb megengedhető kieső
időket (Maximum Tolerable Downtime – MTD). Vizsgáljuk a potenciális fenyegetettségek
hatásait és bekövetkezési valószínűségüket is.
Információvédelmi tevékenységek esetében megkülönböztethetünk logikai-, fizikai- és
szervezeti védelmet. A logikai védelem alatt az adatok integritásának biztosítását, a vírus- és
számítógépes behatolás-védelmet és titkosítási eljárásokat értjük; a fizikai védelemhez többek
között a beléptetést, szünetmentes energiaellátást, térfigyelést, tűz- és vízkár-elhárítást
soroljuk; a szervezeti, ill. adminisztratív védelem a belső csalások, visszaélések, szándékos és
vétlen károkozások megelőzését szolgálja. Ezek integrálása jelentősen csökkentheti a
szervezetek biztonsági kockázatait.
1.2 Kockázatmenedzsment
Az biztonsággal kapcsolatba hozható incidensek kockázata kifejezhető időegységre eső
pénzösszeggel [Ft/év], vagy ha ez nem meghatározható, akkor „osztályzattal”, ami a kockázat
nagyságrendjét és elviselhetőségét mutatja. A kockázat függ a káros események
bekövetkezési valószínűségétől [1/év] és ezen események bekövetkezéséből származó és
pénzben kifejezett kártól [Ft] is (2. ábra). A hagyományos kockázati megközelítés mellett –
pontosan meghatározható kockázati adatok hiányában – beszélhetünk „sebezhetőségről” is,
amelyek a folyamatokat fenyegető veszélyek eredetét mutatja.
7
Kockázatok azonosítása
Kommunikáció
Kockázatok elemzése
(valószinűség és
következmény)
Ellenőrzés
Kockázat szintjének becslése
és és
Kockázat értékelés
igen
konzultáció felülvizsgálat
nem
Kockázat kezelés
Kockázat
elfogadás
2. ábra: A kockázatkezelés folyamata (Standards Australia, AS/NZS 4360 alapján)
A kockázatértékelés során a szakemberek megállapítják a vizsgálati területeken értelmezhető
gyenge pontokat és fenyegető tényezők, megtörténik ezek értékelése, elemezése,
rangsorolása. Csoportosítják az egyes fenyegetettségekhez kapcsolódó esetleges károkat és
kockázatokat. Hozzárendelik a kivédésükhöz, elfogadható mértékre történő csökkentésükhöz
és kezelésükhöz szükséges és/vagy lehetséges intézkedéseket.
Ennek megfelelően a kockázatértékelés és elemzés lépései az alábbiak:
a védelmi igény feltárása, az információvagyon és a szervezet számára kiemelten
fontos adatok meghatározása,
fenyegetettség elemzés; a fenyegető tényezők összegyűjtése,
kockázatelemzés; a fenyegetettség hatásainak vizsgálata,
kockázatok kezelése és a védelmi intézkedések meghatározása; a kockázatok kivédése,
ill. minimalizálása a kockázatelemzés alapján a lehetséges módozatok
meghatározásával.
Egy vállalat számára kockázatot jelentenek azok a potenciálisan bekövetkező külső és belső
események, zavarok, amelyek következtében veszélybe kerül a vevői igények kielégítése
vagy bármely vállalati érintett (stake- és stockholder) biztonsága. Leegyszerűsítve a kockázat
alatt bizonytalan események negatív hatásait értjük. Léteznek tiszta (csak káros
8
következményt hozó) és ún. „spekulatív” (nyereséget és veszteséget egyaránt eredményező)
kockázatok is (Horváth-Szlávik, 2011).
A vállalati kockázatértékelés során megállapítjuk (sokszor csak megbecsüljük) a kárértéket és
a negatív következmény valószínűségét (ISO 31000). Ha az ebből kijövő kockázati szint
kellően alacsony, azaz az esemény bekövetkezésének valószínűsége és a káresemény „értéke”
is alacsony, akkor elfogadjuk, ill. együtt tudunk vele élni. Ellenkező esetben (lehetséges vagy
majdnem biztos esemény, jelentős v. kritikus következménnyel) kockázatkezelésre kerül sor,
amely rendszeres védelmi tevékenységet is jelenthet. Kockázatkezelési mód lehet még az
áthárítás (pl. biztosítás) vagy a kockázatot jelentő tevékenység megszüntetése.
A kockázatkezelés szakszerű elvégzése előtt szükség lehet a kockázatok csoportosítására is.
Beszélhetünk stratégiai, pénzügyi, piaci, jogi, működési és személyi, valamint környezeti
kockázatokról. A kockázati kategóriák azonban gyakran összefüggnek egymással,
szétválasztásuk nem is mindig indokolt vagy lehetséges (pl. egy magasan kvalifikált, értékes
munkaerő elvesztése…).
A kockázatok csoportosítására talán jobb a külső (piac, iparág, régió) és belső (folyamatok,
erőforrások, szervezet, beruházások) környezetet alapul venni. A legfontosabb, hogy az
értékelés minden lényeges kockázatra kiterjedjen.
1.3 Az információbiztonság emberi oldala
Az információbiztonsági események bekövetkezésének számos oka lehet. Az alkalmazott
vagy vezető azért ad(hat) ki az őt alkalmazó szervezet tulajdonában lévő fontos és értékes
információt, mert
nincs tudomása arról, hogy ez nem engedélyezett, tehát képzetlen,
fegyelmezetlen felhasználó (nem tartja be az írott és íratlan kezelési szabályokat, pl.
ingyenes, kétes eredetű szoftvereket tölt le),
figyelmetlen és/vagy hanyag (lehetséges, hogy fáradt vagy túlterhelt…),
megtévesztették és úgy érzi, hogy ki kell adni az információt (segítőkészség,
hiszékenység v. befolyásolhatóság; pl. social engineering – Mitnick-Simon, 2003),
megfenyegetik, megzsarolják,
bosszút áll (elbocsátják vagy „bemutatja” és „bebizonyítja” az információs rendszer
hibáit),
9
megfelelő információbiztonsági szabályozás nem létezik (a „legjobb” tudása alapján
teszi a dolgát, a kialakult „vállalati gyakorlat” alapján),
az információbiztonsági szabályozás nincs összhangban az üzleti folyamattal és az
információtechnológiával (az IT szabályszerű alkalmazása a tranzakció-kezelés
rovására megy).
A kockázatelemzés során a technológiai háttér és a várható emberi magatartás vizsgálata nem
szétválasztható (Williams, 2008).
A munkavállaló által végrehajtott tudatos károkozás mindig több veszélyt hordoz magában,
mint a külső információbiztonságot érintő támadás. A vállalatok mégis a külső fenyegetésekre
készülnek inkább. A belső támadó ismeri az információs rendszerek gyenge pontjait, tudja,
hogy melyek a szervezet számára értékes információk és tisztában van az üzleti és ügyviteli
folyamatok sebezhetőségével (Colwill, 2009). Bármilyen szervezeti információbiztonságot
érintő, szándékos emberi fenyegetés három pilléren nyugszik;
• motiváció,
• lehetőség (hely és idő),
• és képesség „támadás” végrehajtására.
Ha ezek közül egy is hiányzik, akkor a védelem már-már biztosított.
A szándékos fenyegetés (ill. károkozás) kockázatai külön kezelendők.
A nem szándékos balesetek elsősorban a gyors és nem megfelelően követett
információtechnológiai és szervezeti változásokból adódnak. A közösségi oldalak használata,
és esetenként a saját hordozható információtechnológiai eszközök vállalati hálózathoz történő
csatlakozatása is komoly kockázati tényezőket jelent. Otthoni munkavégzés esetén már nem
figyel annyira a munkavállaló a biztonsági szabályok betartására.
Ezt a fenyegetést egészíti ki az outsourcing partnerek az IT infrastruktúrához biztosított
hozzáférése. A külső partnerekből újfajta „belső munkavállalók” lesznek, akik a vállalati
szabályokat nem mindig tartják magukra nézve köztelezőnek.
1.3.1 A képzettség és az információbiztonsági tudatosság
Egy szervezet információs vagyonát a szándékos külső és belső károkozás mellett az
információbiztonsági tudatosság hiánya (ENISA) is fenyegeti. Ilyen lehet a
meggondolatlanság, a képzetlenségből adódó bizonytalanság és a betarthatatlannak tűnő vagy
nem kellően ismert ügyviteli szabályozás.
10
A szabályozandó területek elsősorban az Internet munkahelyi használatát érintik:
• böngészés és letöltés (illegális tartalmak megjelenése a szervezeten belül),
• közösségi oldalak látogatása (bizalmas vállalati adatok publikussá tétele),
• elektronikus levelezés (címzett egyértelmű azonosításának hiánya),
• azonnali üzenetküldés (instant messaging services), ill. csevegés használata magáncélú
kapcsolattartásra.
Az informatikai képzettségi szintek különböző információbiztonsági kockázatokat hordoznak
magukban.
A képzetlen felhasználó nem képes még a legegyszerűbb információtechnológiához
kapcsolható feladatokat sem ellátni.
Az alapszintű informatikai ismeretekkel bíró munkavállaló előképzettséget nem igénylő irodai
alkalmazásokat képes használni, de újszerű vagy összetett feladatok esetén gyakran
bizonytalan és bizalmatlan.
A formális képzéseken (pl. ECDL, ERP) részt vett, „középszintű” ismeretekkel bíró
felhasználó készségszinten használja az ő munkaterületét lefedő vállalati alkalmazásokat.
Sokszor képes kisebb rendszerhibák elhárítására. A magabiztosság azonban kockázati
tényezőt jelent, hiszen túlértékelheti saját képességeit (pl. indokolatlan adatbázis módosítás).
A kiemelt tudású felhasználó (sok szervezetnél ún. kulcsfelhasználó) részterületeken szinte
rendszergazdai ismeretekkel bír, sokszor ismeri az alkalmazások alatt futó adatbázis-kezelő és
operációs rendszerek működésének néhány elemét. Saját területén felismeri az
alkalmazáshibákat és képes azokat önállóan kijavítani. Ennél a csoportnál a figyelmetlenség
és a gondatlanság jelenti (pl. bizalmas vállalati információk hibás e-mail címre történő
továbbítása, nem elfogadható jelszókezelés).
Fontos megérteni, hogy a munkavállalók számára melyek a fő motiváló tényezők. Elvárjuk
tőlük, hogy legyenek lojálisak; de mihez? Egy vállalati alkalmazott elkötelezett lehet a saját
szervezetével, a vevőkkel és üzleti partnerekkel, az országával, a vallásával, valamint a saját
szakmájának írott v. íratlan etikai szabályaival is. Hajlandó-e egy munkatársáról jelenteni, ha
nála szokatlan viselkedést tapasztal? (Colwill, 2009).
1.3.2 Generációs kérdések
Az információbiztonság emberi tényezői között nemcsak a képzettség, hanem a generációs
különbségek is szerepet játszhatnak.
11
A szociológusok és a marketing szakemberek szerint a mai munkavállalók születésük alapján
öt jellegzetes csoportba sorolhatók (Lancastar-Stillmann, 2005);
• veteránok
• ún. „baby boom”-osok (1946 és 1965 között születettek),
• X generáció (1965-1980 között jöttek a világra),
• Y generáció (1980 után születtek),
• Z generáció (1995-től számított születési dátummal rendelkezők).
Bár nehéz általánosan elfogadott szabályokat megfogalmazni, de mindegyik korosztályra
más-más információbiztonsági kockázat jellemző, más-más „szabálysértéseket” követnek el.
A veteránok idős korban találkoztak az informatikával. Számukra már az információs és
kommunikációs technológiák használata is kihívást jelent.
A „baby-boom”-osok demográfiai robbanás részesei, általában szeretik munkájukat és
lojálisak cégükhöz. Kevésbé tudnak alkalmazkodni az információtechnológia fejlődéséhez,
ezért technikai és tudásbeli hiányosságaik lehetnek. Felnőtt korukban kezdték el használni az
info-kommunikációs eszközöket.
Az X generáció tagjai szeretik a függetlenséget, azonban gyakran fásultak és cinikusak.
Munkavégzésüket már alapvetően befolyásolja az Internet-használat. Rosszindulatból is
okozhatnak kárt. A biztonsági előírásokat gyakran figyelmen kívül hagyják a hatékonyabb
munkavégzésre hivatkozva. Jelenleg a munkaerőpiac domináns tagjai.
Az Y generáció tagjai - akik már az információs kor „gyermekei” - általában jóindulatú és
fogékony az információtechnológia iránt, de eredménytelenség esetén türelmetlenné
válhatnak (Tari, 2010). A munkahelyen leginkább ők keresnek fel kockázatosnak tűnő
honlapokat. Gyakran saját mobil eszközökre töltenek le - természetesen titkosítás nélkül -
bizalmas vállalati adatokat. Néha munkavállalásuk feltételeként a szabad info-kommunikációs
(okos telefon, otthoni munkavégzést lehetővé tevő hordozható eszközök) eszközválasztást is
megjelölik, amivel a rendszergazdákat és az információbiztonsági szakembereket hozzák
nehéz helyzetbe (heterogén információtechnológia…).
Z generáció már „beleszületett” az Internetbe… Tagjai azonban a munkaerőpiacon még nem
nagyon jelennek meg.
A generációs különbségeket, a korcsoportok sajátosságait tehát figyelembe kell venni az
információvédelem szabályozása estén is (Kelemen, 2008). Jelszóhasználati szokásaik is
eltérőek (Schüller, 2011).
12
1.3.3 Munkakörnyezet
A mobil eszközök mindennapos használata, az otthoni internetes kapcsolatot kihasználó
munkavégzés vagy az ergonómiailag nem megfelelően kialakított munkahely számos
biztonsági kockázatot is felvet.
Az elveszített/eltulajdonított eszközökön túl értékét tekintve sokkal jelentősebb veszteség
lehet a tárolt adatok elvesztése vagy illetéktelen kezekbe kerülése.
A rossz munkakörülmények, figyelemmegosztó környezeti hatások rossz irányba
befolyásolhatják a biztonsági intézkedések betartását és a pontos munkavégzést.
A munkavégzés befejezése után is gondoskodni kell a különböző alapú információhordozók
megfelelő tárolásáról és azok hozzáféréséről. Gyakran előforduló probléma, hogy az egy
helyiségben dolgozó kollégák egymás jelszavával lépnek be a vállalati alkalmazásokba,
férnek hozzá a vállalati adatbázisokhoz. A gyorsabb munkavégzés „érdekében” a közelebbi
vagy éppen „szabadon lévő” hozzáférési pontot választják és nem „bajlódnak” a kilépés és a
belépés jelszavakkal védett folyamatával.
Információbiztonsági kockázatot jelenthet a hagyományos telefonbeszélgetések lebonyolítása
is. Nem megfelelő környezetben (zajterhelés, fokozott munkatempó) elmaradhat a hívó vagy
hívott fél egyértelmű azonosítása.
1.3.4 Információtechnológiai és információbiztonsági képzések minősége
Az informatikai beruházások leggyakrabban elmaradó része a felhasználók megfelelő
„betanítása”. Az oktatások gyakran nem veszik figyelembe a szervezeti egységek
sajátosságait, a felhasználók eltérő alapképzettségét és a generációs sajátosságokat. A
szakmailag kiválóan megfelelő rendszergazda nem biztos, hogy oktatás-módszertani
kérdésekben is hasonlóan jól felkészült. Elmaradnak a napi rutin mellett megkopó
információvédelmi tevékenységgel kapcsolatos „frissítő” képzések és szinte tabunak számit
az elsajátított ismeretanyag számonkérése.
Az információtechnológiai változásokból adódó szabályozás-módosítások sem mindig jutnak
el azonnal az érintettekhez.
1.3.5 Szervezeti (biztonsági) kultúra
A szervezeti kultúra a „… szervezet tagjai által elfogadott, közösen értelmezett előfeltevések,
értékek, meggyőződések, hiedelmek rendszere. Ezeket a szervezet tagjai érvényesnek fogadják
13
el, s az új tagoknak átadják, mint a problémák megoldásnak követendő mintáit, és mint
kívánatos gondolkodási és magatartásmódot.” (Bakacsi, 2004, p.226.)
A szervezeti kultúra írott és íratlan, illetve formális és informális szabályokon alapul.
Szervezeti egységekben szubkultúrák jelennek, jelenhetnek meg, amelyek az információk
kezelését, birtoklását is befolyásolják.
Az információbiztonsági irányítási rendszer, ill. az információvédelem kialakítása óhatatlanul
a vállalati kultúra megváltozását is magával hozza. Az információbiztonsági szakembernek a
megelőző tevékenység és a folyamtokra optimalizált védelmi intézkedések betartása a cél,
míg a szervezet többi vezetőjének az üzleti célok teljesülése a fontos. Változások esetén
szükséges a folyamatok újraszabályozása, a szervezetet és tagok kapcsolatának felülvizsgálata
(Ashenden, 2008). Ki, mikor, milyen információt, adatot hoz létre, módosít, kérdez le és
töröl?
Szervezeti (biztonsági)
kultúra
Munkavállalók; Tevékenységek; Információtechnológia;
Tudás Folyamatok Hardver
Képzettség Szabályozás Szoftver
Gyakorlat Emberközpontúság Költségek
Etika Ergonómia
Életkor
Vallás
Nemzetiség
Viselkedés
3. ábra: Szervezeti (biztonsági) kultúra tényezői (Williams, 2008)
1.4 Folyamat- és vállalatbiztonság
„A folyamat egy vagy több tevékenység, amely értéket növel úgy, hogy egy bemenetkészletet
átalakít a kimenetek készletévé (javakká vagy szolgáltatásokká) egy más személy (a vevő, ill.
felhasználó) számára, emberek, módszerek és eszközök kombinációjával.” (Tenner –DeToro,
1998, p.75.)
A kockázatkezelés is vállalati folyamatokra (termékfejlesztés, értékesítés, beszerzés, termelés,
szerviz, elosztás, stb.) irányul, és így elérhető a folyamatbiztonság, amely révén a
folyamatokat végrehajtó szervezet az előírt időpontra megfelelő mennyiségű és minőségű
kimenetet nyújt. Ha a vállalati – különösen az értékteremtő – folyamatok „biztonságosak”, ill.
14
elfogadott kockázati szint mellett üzemelnek, akkor az egész vállalat megfelelő „biztonsági
állapotba” kerülhet.
A vállalatbiztonság olyan állapot, amelyben a gazdálkodó szervezet képes hosszútávon
fenntartani a működőképességét és értékteremtő folyamatait, ill. nem várt események – akár
katasztrófák – bekövetkezése után azokat a lehető legrövidebb idő alatt helyreállítani. A
biztonság további kritériuma, hogy a vállalat jövője a stratégiai tervei alapján saját kezében
van és a vállalat tevékenysége során nem veszélyezteti a környezetét, a külső és belső
érintetteket. A vállalatbiztonság fenntartása holisztikus szemléletet kíván. Folyamatos
kockázatelemzésen és az ez alapján meghatározott védelmi intézkedéseken alapszik.
1.5 Vállalati felelősség
A vállalatbiztonság külső szemlélő részéről nehezen értékelhető, hiszen nem ismeri
részletesen a vállalati kockázatokat, azok belső minősítését és az ezekre hozott védelmi
intézkedéseket. Az üzleti partnereket sokszor a vállalat önmagáról kialakított – biztonsági
elemeket is tartalmazó – képe is befolyásolja. Ebben az esetben a vállalatbiztonságot a
nehezen mérhető üzleti bizalom is minősíti.
Edward R. Freeman vezette be az ún. stakeholder-szemléletet a nyolcvanas évek elején.
Minden gazdálkodó szervezetnél találhatók olyan külső és belső csoportok (kormányzat,
versenytársak, szakmai és civil szervezetek, alkalmazottak, fogyasztók, szolgáltatók,
beszállítók, hitelezők stb.), akik érintettek a szervezet küldetésének teljesítésében (Freeman,
1984). Ezek a csoportok sokszor befolyással bírnak a vállalat erőforrásaira is. Az érintettekkel
(stakeholderekkel) történő kapcsolattartás, a velük folytatott üzleti tranzakciók sikeressége és
az ő érdekeik figyelembe vétele létfontosságú a vállalatbiztonság szempontjából. A
kockázatok számbavétele és értékelése során tisztázni szükséges az érintettekkel való
viszonyt, hatásukat a vállalati folyamatokra és kimenetekre, valamint az érintettek „erőterét”,
azaz milyen irányban kívánják befolyásolni a vállalat működését és nem megfelelő kapcsolat
esetén milyen veszélyt jelenthetnek a vállalati folyamatok végrehajtására. Az érintetteket a
vállalati jövőkép kialakításába, a stratégiai tervezésbe is be lehet vonni. „Barátságos”
környezetben, közös célok megfogalmazásával könnyebb a vállalati működést fenntartani,
zavar esetén helyreállítani.
A vállalatok hosszú távú működése szempontjából egyre fontosabb a fenntarthatóság kérdése.
A vállalat elfogadottságát növeli főleg annak közvetlen környezetében, régiójában ha nem
15
zsákmányolja ki visszafordíthatatlanul az erőforrásait. Egy biztonságra törekvő vállalat
esetében a célok között az erőforrások hosszútávon történő biztosítása is megjelenik, és ez
alapvetően befolyásolja a saját régióban található stakeholderekkel való viszonyt. Akár a
versenytársakkal is kiegyeznek, ha a fenntarthatóság kerül veszélybe. Ez természetesen a
vállalatbiztonság operatív (rövidtávú) és stratégiai bontását is igényelheti. Az erőforrás-
függőség helyett / mellett a regionális fenntarthatóság – mint környezeti, társadalmi igény – is
jelentkezik az alkalmazkodó vállalat biztonságpolitikájában és stratégiai terveiben. Az eddig
költségalapon hozott üzleti döntésekben (vegyem vagy gyártsam?; ki legyen a beszállító?;
honnan biztosítom a szükséges munkaerőt?; fejlesztek vagy know-how-t vásárolok?) szerepet
kapnak a biztonság és a regionális fenntarthatóság szempontjai is. Olyan bizalmi légkörre
lenne szükség, amelyben kialakulhat érdemi párbeszéd a régióban megtalálható, és
erőforrásokat nyújtani tudó potenciális érintettekkel (Zsóka – Zilahy, 2011). A regionális
fenntarthatóságot is szem előtt tartó vállalatoknak talán lehetőséget kellene kapni, hogy
bemutassák, működési folyamataikat, innovációs tevékenységüket…
A vállalat-vezetés és a felelős vállalati magatartás (Corporate Social Responsibility - CSR)
összekapcsolása értelmezhető úgy is, hogy a vállalatnak milyen a viszonya az érintettekkel
(Zolnai et.al, 2005). A vállalati felelősség nem egyszerűen etikai kategória. Nyereséget kell
termelni a tulajdonosoknak, ki kell elégíteni a vevőket és be kell tartani piacon elfogadott írott
és íratlan szabályokat, valamint mérlegelni kell üzleti döntéseinknek rövid és hosszú távú
hatásait a környezetre, a társadalomra, és az egyénre egyaránt.
Az Európai Bizottság definíciója szerint a CSR „olyan koncepció, amely alapján a vállalatok
a társadalmi és környezeti megfontolásokat üzleti folyamataikba és a stakeholderekkel
folytatott interakcióikba integrálják, önkéntes alapon.” (EC, 2005)
Hogyan kapcsolódik ez a vállalatbiztonsághoz? A bizonyítottan „felelős vállalat” bizalmat
ébreszt az érintettekben, amely így biztonságot is szolgáló üzleti tranzakciókat hozhat.
A bizonyítás alapja lehet valamilyen szabály szerint végrehajtott önértékelés, vagy külső fél
által végzett felelős magatartást elemző vizsgálat. A vizsgálatok az alábbi szempontok szerint
történhetnek (Angyal, 2008):
jog- és szabálykövetés (pl. bírósági szakaszba került jogsértések száma),
etikus magatartás (pl. rendelkezik-e a vállalat etikai kódex-szel) ,
környezethez való viszony (pl. van-e ISO 14001-es környezetirányítási rendszer),
érintettek elégedettsége (pl. vevői v. alkalmazotti elégedettség rendszeres mérése és
értékelése),
16
politikai illeszkedés (pl. együttműködés kormányzattal, önkormányzattal, civil
szervezetekkel),
társadalmilag hasznos, de nem profitorientált tevékenység (pl. mecenatúra),
társadalmi problémákra való fogékonyság.
Az irodalomjegyzékben megadott számos szabvány és ajánlás nehéz helyzetbe hozza a
stratégiai döntéshozókat. A nagyszámú lehetőség közül rendkívül nehéz kiválasztani az
alkalmazandó útmutatásokat és kialakítandó irányítási rendszereket. Ennyi mindenre
egyszerre felkészülni nem lehetséges. A „bürokrácia” és a folyamatok több-szempontú
szabályozása felőrölheti a vállalati menedzsment erőforrásait. Egy idő után a szabályozott
működés fontosabb lehet, mint a vállalat termék és / vagy szolgáltatás kibocsátása.
A megoldás az integrált irányítási és kontrollrendszerek alkalmazásában körvonalazódik.
Az ISO 9001 minőségirányítási, az ISO 14001 környezetirányítási és az ISO 27001
információbiztonsági szabványok közös jellemzője a folyamatközpontúság. Mindegyik az
ISO 9001 felépítését követi. A szabványok végén található mellékletek a tartalomjegyzékek
pontjait követve ezt a kapcsolatot részletesen bemutatják. A szabványalkotók egyik célja az
volt, hogy a szabványok – a többszörös szabályozást elkerülve - integráltan is bevezethetők
legyenek. A kialakított integrált irányítási rendszer „egyszeres” auditálása is megoldható.
A BPM-GOSPEL (Business Process Modelling for Governance SPICE and Internal Financial
Control) konzorcium magyar szakemberek közreműködésével 2012-ben kidolgozta a „Felelős
Vállalkozások Irányítási Modelljét” (Governance Model for Trusted Businesses), amely a
COSO és CObIT ajánlásokon, valamint az ISO/IEC 15504-es szabványcsomagon alapszik. A
vállalat a modell alkalmazásával képes lehet a fenntartható, szabályozott és ellenőrzött
üzletmenet kialakítására, ami kiválthatja az érintettek – elsősorban az üzleti partnerek –
bizalmát.
A COSO vállalati kockázatkezelési keretrendszer alapján megfogalmazott előírások gond
nélkül beilleszthetők az ISO 20000 és/vagy CObIT alapján kialakított keretrendszerbe
(Wilder, 2008, p.12).
Az ISACA, az Információellenőrök Nemzetközi Szervezete 2009-ben olyan
információbiztonsági üzleti modellt (Business Model for Information Security) dolgozott ki,
amelybe számos területet érintő szabványt és ajánlást integrált. 2008-ban az IT Governance
Institute és az Office of Government Commerce szervezetek olyan ajánlást publikáltak az
ISACA honlapján, amelyben az információs rendszerek üzemeltetésének (ITIL ill. ISO/IEC
20000) és az információbiztonság irányításának (ISO/IEC 27002), valamint az
17
információtechnológia irányításának és ellenőrzésének (CObIT) együttes alkalmazási
lehetőségét dolgozták ki.
1.6 Védelmi tevékenységet megalapozó szabványok és ajánlások
A vállalati biztonságért felelős vezetők a bőség zavarával küzdenek, amikor az üzletmenetet,
ill. annak irányítását biztonsági szempontok alapján is szabályozni kívánják. Számos
szabvány, ajánlás tárgyalja vagy érinti a vállalati biztonság egy-egy területét. A most - a
teljesség igénye nélkül - felsorolt dokumentumok a biztonság több szempontú
megközelíthetőségét mutatják.
1.6.1 COSO ERM keretrendszer
A COSO (Comitte of Sponsoring Organisations of Treadway Comission) által a 90-es évek
elején összeállított és folyamatosan fejlesztett vállalati kockázat kezelő (Enterprise Risk
Management) keretrendszer a vállalat belső folyamataira, azok szabályozására és
ellenőrzésére vonatkozik. Az üzleti stratégiát szem előtt tartva minden kockázattípusra
alkalmazható, de elsősorban pénzügyi területeken alkalmazzák.
Az információs és kommunikációs technológiák vállalaton belüli irányításához nyújt
segítséget az ausztrál eredetű, vezetői keretrendszernek is értelmezhető nemzetközi szabvány;
az ISO/IEC 38500. Olyan szabályozási kör alakítható ki a dokumentum alapján, amely az
üzleti folyamatok információtechnológiai oldalról történő kiszolgálását felügyeli, értékeli és
ez alapján irányítja azt. Foglalkozik a vezetők felelősségével, a vállalati stratégia
információtechnológiai vonatkozásaival, információtechnológiai eszközök beszerzésével és
azok teljesítményével és az üzleti céloknak történő megfeleléssel, valamint az emberi
viselkedéssel is.
A szabvány alapján kidolgozható GRC modell elemei (Racz et.al, 2010) a következők (4.
ábra):
Irányítás (Governance) – vállalati célok, folyamatok és a folyamatokat működtető
szervezet, különös hangsúllyal célok elérését is támogató információtechnológiára
(ISO/IEC 38500),
Kockázatkezelés (Risk Management) – várható események és kockázataik azonosítása
valamint elvárható biztonsági szint megfogalmazása az összes vállalati folyamatra, ill.
kiszolgáló információtechnológiai eszközökre (COSO ERM),
18
Megfelelés (Compilance) – a vállalatnak meg kell felelni a belső előírásoknak és
szabályzatoknak, a jogszabályoknak, szabványoknak és szerződéses
követelményeknek.
A modell alkalmazása egy átfogó, a változó körülményeknek megfelelően folyamatosan
alakuló követelményjegyzéket is jelent. A vállalat vezetése tisztában van a kockázatokkal és,
hogy adott pillanatban milyen elvárásoknak felel meg. Önfenntartó szabályozási kör, amely
kockázatalapú vezetői döntésekhez vezethet. Kezeli a vállalati stratégiát, anyagi és ügyviteli
folyamatokat, technológiát, munkavállalókat egyaránt.
Irányítás
Belső szabályzatok,
előírások
Vállalati stratégia
FolyamatokIntegrált, holisztikus
megközelítés
Alkalmazottak,
érintettek
Technológia
Kockázat-viselési
hajlandóság
Külső szabályok
(jogszabályok,
szabványok)
Kockázatkezelés Megfelelés
Operatív vállalat
irányítás
Korrekt és etikus
viselkedés, vállalati
hatékonyság
4. ábra: GRC modell
1.6.2 MSZ ISO/IEC 27001
Az ISO/IEC 2700x egy brit eredetű információbiztonsági irányítási rendszer, ill.
szabványcsomag, amely az információvédelmi tevékenységhez ad útmutatót
(www.iso27001security.com). A vállalatok a biztonsági követelményeket és az ezzel
kapcsolatos intézkedéseket az üzleti célok és a szervezeti stratégia alapján határozzák meg.
Kiemelt szerepet kap az információbiztonság (sértetlenség, bizalmasság és rendelkezésre
állás). Nem kötődik egyetlen információtechnológiához sem. A szabvány (MSZ ISO/IEC
27001) a vállalati működését és az ezzel kapcsolatos követelményeket 14 védelmi területre és
ezen belül 35 célkitűzésre és 114 óvintézkedésre (kontrollra) osztja. A kialakított és
dokumentált információbiztonsági irányítási rendszer tanúsítása független tanúsító szervezet
által elvégezhető (ISO/IEC 27002). A szabványcsomagban található még számos – önálló
szabványként megjelenő kiegészítő rész is (pl. információbiztonsági kockázat kezeléssel
kapcsolatos előírások – ISO/IEC 27005); bevezetési útmutató – ISO/IEC 27003; szektorok
közötti kommunikáció szabályozása információbiztonsági szempontból – ISO/IEC 27010; a
telekommunikáció információbiztonsága – ISO/IEC 27011).
19
1.6.3 MSZ EN ISO 14001
A gazdálkodó szervezetek a működésükkel kapcsolatos környezetvédelmi feladataik
ellátásának támogatására szabványosított környezetközpontú irányítási rendszert
alkalmazhatnak (MSZ EN ISO 14001). A cél többek között a környezet terhelésének és
működés környezeti hatásainak csökkentése, a vállalati image növelése, valamint a
környezetet érintő viselkedés-kultúra elfogadtatása.
A környezetközpontú irányítási rendszer a szabványnak megfelelően foglalkozik a szervezet
tevékenységeinek környezetet befolyásoló hatásaival, kockázatértékeléssel, a működéssel
kapcsolatos jogi és egyéb biztonsági követelményeknek történő megfeleléssel és a még
elfogadható környezetterhelés elérésével. Meghatározza a környezettudatos működéshez a
szükséges erőforrásokat és képességeket, valamint a külső és belső kommunikáció formáit.
Szabályozza a vészhelyzetekre történő felkészülést, a hibaelhárítást, az ellenőrzést és a
megelőző tevékenységeket. A rendszerszabvány nem ad meg kibocsátásra vonatkozó konkrét
követelményeket és ellenőrzési módszereket. Alkalmazása elsősorban etikai indíttatású, de
egyre fontosabb szerepet játszanak a jogi és gazdasági követelmények is.
1.6.4 CObIT 4.1
Az ISACF (Information Systems Audit and Control Foundation, IT Governance Institute,
USA – Információs Rendszerek Ellenőrzésével és Vizsgálatával foglalkozó Alapítvány)
kidolgozott egy ajánlást „CObIT” (Control Objectives for Information and related
Technology – Ajánlás információ technológia irányításához, kontrolljához és ellenőrzéséhez)
címmel.
Az anyag gyakorlatilag irányítási eszköz, amely segít megérteni és kezelni az információval,
valamint az információ technológiával kapcsolatos kockázatokat és előnyöket. Elsősorban
üzleti vállalkozások számára készült, nemzetközileg elfogadott és fejlesztett „keretrendszer”,
amelynek célja az információ technológiai szolgáltatások és a szervezet működési
folyamatainak összehangolása, valamint az informatikai szolgáltatások biztonsági és irányítási
jellemzőinek mérhetővé tétele.
A CObIT a legjobb gyakorlatot meghatározott szempontok szerint csoportosító
dokumentumok gyűjteménye. A szervezeti (üzleti) célok teljesítéséhez szükséges információk
biztosítása érdekében az informatikai erőforrásokat összetartozó eljárások keretében kell
kezelni. Segítségével áthidalható az üzleti kockázatok, az ellenőrzési igények és a technikai
20
jellegű kérdések közötti szakadék. A felső vezetés, a felhasználók, az informatikusok és az
információs rendszer ellenőrei egyaránt használhatják. A CObIT tényleges célja az
informatikai biztonság elérése és megtartása minimális kockázat, ill. maximális haszon
mellett…
A felépítés a következő:
Vezetői összefoglaló
Keretrendszer
Részletes kontroll irányelvek (34 eljárás, ill. folyamatra + vezetői útmutatók és
érettségi modell + auditálási útmutató, kritikus sikertényezők, kritikus cél és
teljesítménymutatók) Mellékletek (összefoglaló áttekintés, esettanulmányok, gyakran
feltett kérdések)
Az ajánlás 34 „irányítási” célt fogalmaz meg az informatikai folyamatokkal kapcsolatban,
azokat négy részterületre bontva:
1. tervezés és szervezés,
2. beszerzés és megvalósítás,
3. szolgáltatás és támogatás,
4. figyelemmel kísérés értékelés.
A 34 folyamat mellett 215 részletes célkitűzés, ill. kontroll irányelv készült.
1.6.5 ISO/IEC 15504
Az ISO/IEC 15504-es szabványcsomag alapján a vállalati folyamatokat két dimenzió alapján
lehet csoportosítani és értékelni, valamint fejleszteni. Mi az adott folyamat célja, várható
eredménye és mit tudunk általa elérni (folyamatképesség)?
A folyamatképesség szintjei a következők (ISO/IEC 15504-2):
0. szint – hiányos folyamat (a folyamat célja nem biztos, hogy teljesül…),
1. szint – végrehajtott folyamat (a folyamat célja valamilyen szinten teljesül, van eredmény),
2. szint – irányított folyamat (és a folyamat eredménye is megfelelően kezelt),
3. szint – kialakított folyamat (a folyamat minta / szabvány alapján „megtervezett” és
végrehajtott),
4. szint – kiszámítható folyamat (a folyamat mérhető és ellenőrizhető),
5. szint – optimalizáló folyamat (a folyamat fejleszthető és a megadott célok teljesülnek, itt
már megjelenik a „visszacsatolás” is…).
21
A folyamatok értékelésével és kimeneteik minősítésével a kockázatértékelés irányába is
elindulunk. A végrehajtott és az irányított folyamatok „közepes” és „magas” kockázatot
hordoznak. A 3. és 4. szinthez (kialakított és kiszámítható folyamatok) már csak „közepes” és
„alacsony” kockázati szint társul. Az optimalizáló folyamat pedig csak alacsony kockázatú
lehet. A megállapított kockázati szint természetesen függ attól is, hogy a tényleges folyamat a
valóságban mennyire tér(het) el az előre megadott képességszintjétől (Iványos – Roóz, 2010).
1.6.6 MSZ ISO 28001
A gazdálkodó szervezetek számára legfontosabb erőforrás a szakmailag felkészült,
értékteremtő ember. A munkahelyi egészségvédelem és biztonság hatékony kezelését
támogatja az MSZ 28001-es szabvány szerint felépíthető irányítási rendszer. Elsődleges célja
azoknak a kockázati eseményeknek a meghatározása és kezelése, amelyek bekövetkezésük
esetén károsan befolyásolhatja a munkavállalók teljesítményét, ill. balesetet,
egészségkárosodást idézhetnek elő.
Az irányítási rendszer kezeli a munkafolyamatok kockázatait, figyelembe veszi a releváns
jogi környezetet és az adott szervezetnél jellemző biztonsági követelményeket, valamint az
elérendő célokat. Szabályozza a munkaegészség fenntartásához kapcsolódó feladatokat. Segít
a folyamatok megfigyelésében, értékelésében és az irányítási rendszer fenntartásához
szükséges erőforrások és képességek meghatározásában. Előírja a bekövetkező kockázati
események dokumentálását és utólagos értékelő vizsgálatát. Kiemelten kezeli a
vészhelyzetekre történő reagálást és a helyesbítő és megelőző tevékenységeket. A
rendszerszabvány nem ír elő konkrét követelményeket és ellenőrzési módszereket, azonban
alkalmazása célorientált és folyamatszemléletű szervezeti működést biztosít. Alkalmazásával
hozzájárulhatunk az emberi erőforrás jobb védelmét szolgáló munkakörnyezet kialakításához.
1.6.7 MSZ ISO/IEC 20000
Az MSZ ISO/IEC 20000-1, -2 szabvány az információs rendszerek üzemeltetési kérdéseivel
foglalkozó, brit eredetű ITIL (Information Technology Infrastructure Library) ajánlás alapján,
ill. azzal összhangban készült. A dokumentum első része egy formális követelményrendszer
az elfogadható informatikai szolgáltatásokkal kapcsolatban, míg a második rész útmutató a
szolgáltatásirányításhoz és az első rész szerinti audithoz. A szolgáltatás menedzsment
tevékenységek a ma népszerű, a többi szabványban is alkalmazott „Plan-Do-Check-Act”
modellhez kapcsolódnak.
22
A menedzsment rendszer, az informatikai szolgáltatások tervezésének és megvalósításának
kérdésköre, valamint az új szolgáltatások tervezése mellett öt alapvető területe van a teljes
szolgáltatás menedzsmentnek:
szolgáltatásbiztosítás (szolgáltatási szint, szolgáltatási jelentések, kapacitás,
szolgáltatás folytonosság és rendelkezésre állás, információ biztonság, informatikai
szolgáltatás költségtervezése és pénzügyi kezelése),
szabályozási folyamatok (konfiguráció- és változás menedzsment),
kiadási folyamatok (dokumentumok, működési leírások kiadás kezelése, a jóváhagyott
változások dokumentálása),
megoldási folyamatok (incidens- és problémakezelés),
Kapcsolattartás (ügyfélszolgálat, üzleti- és szállítói kapcsolatok kezelése).
1.6.8 BS 25999
A brit üzletmenet folytonossággal foglalkozó BS 25999-1, -2 jelzetű szabványcsomag szintén
egy vállalati működést szabályozó irányítási rendszer kialakítását teszi lehetővé. Minden
szervezetre alkalmazható. A potenciális veszélyek és kockázati tényezők feltárása egy
összetett hatáselemző munka eredménye (Business Impact Analysis, BIA). Megvizsgálják a
vállalat kulcstermékeit, ill. annak előállítási lépéseit, a szolgáltatásokat támogató
folyamatokat, az üzleti tevékenység megszakadásának maximálisan elfogadható időtartamát
és a külső üzleti partnerektől való függőséget.
Az üzleti hatáselemzés alapján a vállalat olyan üzletmenet folytonossági tervet alakít ki
(Business Continuity Plan), amely segítségével a váratlan események sem okozhatnak gondot
(katasztrófa helyzet, alapanyaghiány, közműzavarok, munkaerőhiány, technológiai
berendezések meghibásodása, informatikai problémák, vevői reklamációk stb.). Megmarad a
cég jó híre és képes folytatni az értékteremtő tevékenységeket, kiszolgálni az üzleti
partnereket.
A vállalat minden kritikus anyagi és információs folyamata rendelkezik olyan helyettesítő
megoldással, amely lehetővé teszi a rendkívüli helyzetben történő működést és az eredeti
állapotba történő visszatérést. A „Plan-Do-Check-Act” ciklus alapján fontos az irányítási
rendszer dokumentálása és rendszeres vezetői átvizsgálása, valamint tesztelése és folyamatos
fejlesztése is.
23
1.6.9 A SCOR és a CPFR Modell
Az amerikai Supply Chain Council (SCOR modell) által megfogalmazott definíció alapján az
ellátási lánc minden olyan tevékenységet magában foglal, amely a termék előállításával és
kiszállításával kapcsolatos, a beszállító beszállítójától kezdve a végső fogyasztóig bezárólag.
Az 5 fő folyamat, amely meghatározza az ellátási láncot;
1. tervezés (a kereslet-kínálat elemzése és a termékek, ill. szolgáltatások előállításának
minőségi, mennyiségi és időrendi meghatározása),
2. beszerzés (alapanyag, alkatrész és kooperációs szolgáltatások),
3. gyártás (alkatrészgyártás és szerelés),
4. kiszállítás (készletezés, rendelés-feldolgozás, elosztás, valamint a végső fogyasztó
kiszolgálása),
5. visszaszállítás (hibás, felesleges és karbantartandó termékek kezelése, ill.
vevőszolgálati tevékenység).
Az ellátási láncot alkotó szervezetek eredményei nem egyszerűen összeadódnak, hanem az
erőforrás-allokációból adódóan a gazdálkodás különböző területein egymást felerősítő
szinergikus hatások alakulnak ki. Ez azonban a kockázatokra is igaz. Az ellátási lánc
menedzsmentje a vállalatok tudatos együttműködését jelenti. Elfogadják, hogy annak léte
versenypozíciójuk javulását eredményezi. A lánc tagjai hajlandók lemondani rövid távú
előnyöket hozó egyéni érdekeik érvényesítéséről a teljes lánc optimális működésének
érdekében. Ez közös kockázatkezelést és komplex „ellátás” biztonságot eredményező védelmi
tevékenységet is feltételez. Ennek szabályozásában nyújthat segítséget az ISO 28000-es
szabványcsomag, amely az ellátási láncok biztonság irányítási rendszerére vonatkozó
követelményeket is tartalmazza.
Az ellátási láncokban fontosabb a teljes hálózat hatékony működése, mint a tagvállalatok
egyéni erőforrás felhasználási optimuma. Ez bevált CPFR (Collaborative Planning,
Forecasting and Replenishment) folyamatmodell alapján arra készteti a vállalatokat, hogy
együttműködjenek. A szükséglettervezés alapja a végső fogyasztói igény. A modellt
alkalmazása egy konszenzuson alapuló előrejelzést eredményez, amely azután meghatározza
a disztribúció, a termelés és a beszerzés tagokra is lebontott terveit. Az ellátási lánc tagjai
törekednek arra, hogy az előrejelzés alapját szolgáló adatok minél pontosabbak legyenek. Ez
az ellátásbiztonságot is javítja.
24
1.7 Kutatási módszerek
Tanulmányoztam és feldolgoztam a szakirodalom vonatkozó részeit. Elemeztem az
információbiztonsággal és vállalati kockázatmenedzsmenttel foglalkozó nemzetközi
szabványokat és ajánlásokat. Rendszereztem 2005 óta, a szakmai pályafutásom alatt
megszerzett ismereteimet, amelynek jelentős részét a A Hétpecsét Információbiztonsági
Egyesület szakmai fórumainak rendszeres látogatójaként szereztem. Szakértői konzultációt
folytattam a szakmai gyakorlatban is jártas hazai szakemberekkel:
Dr. Muha Lajos (NKE),
Dr. Beinschróth József (ÓE, KVK),
Dr. Szádeczky Tamás (ÓE, KVK),
Lábodi Csaba (QLCS Kft),
Tarján Gábor (MagiCOM és ISACA),
Horváth Gergely Krisztián (ISACA).
2. Új tudományos eredmények
2.1 Kis és közepes vállalatok információbiztonsága [3, 4]
A kis- és közepes vállalkozások „meghatározást” az Európai Unió gyakorlatához igazodva
2004. évi XXXIV. törvény szabályozza. Közepes vállalkozásnak tekinthető az a cég,
amelynek az alkalmazotti létszáma nem haladja meg a 250 főt, éves nettó árbevétele
kevesebb, mint 50 millió euró, valamint a mérleg-főösszeg maximum 43 millió euró. A
tényleges magyarországi KKV szektorban - egyéni- és mikro-vállalkozásokat leszámítva -
hozzávetőlegesen 30 ezer vállalkozás van. Számos hazai és nemzetközi felmérés bizonyítja,
hogy a vállalatok nem foglalkoznak megfelelő súllyal az informatikai-, ill.
információbiztonsággal.
A helyzet különösen a kis- és közepes vállalkozások (KKV) esetében lehangoló (Symantec
2011). Üzleti környezetük és a velük szemben támasztott elvárások gyorsan változnak,
ráadásul az ilyen szervezetek méretükből adódóan rugalmasabbak, mint a nagyvállalatok. A
fizikai biztonság, ill. védelem a megfelelő környezet kialakítását jelenti, a szándékos vagy
vétlen károkozás ellen, ill. katasztrófahelyzetben.
25
A logikai biztonság, ill. az ehhez kapcsolódó operatív védelem területei a következők:
• adatvédelem (személyes és üzleti adatok),
• alkalmazás szintű védelem (naplózás),
• hozzáférési és jogosultsági rendszerek,
• mentési és archiválási rendszerek,
• külső és belső hálózat közötti kapcsolat szabályozott működése,
• az IT eszközök szoftveres védelme (pl. vírus ellenőrzés),
• vészforgatókönyvek katasztrófahelyzetekben.
Javaslat az erőforrás-hiányos KKV-k számára az információbiztonság javítására (Horn, 2009
alapján):
1. Legyen a vállalatnál elfogadott információbiztonsági politika! Határozzuk meg, hogy
milyen üzleti információk fontosak számunkra és kiknek, milyen módon kell ezeket
elérni!
2. Vizsgáljuk át kockázati szempontból üzleti folyamatainkat! Jelöljünk ki szervezeti
egységenként információbiztonsági felelősöket!
3. „Központosítsuk” a szoftverbeszerzést! Az alkalmazásokat használatba vétel előtt
teszteljük és ellenőrizzük (ez különösen igaz az ingyenesen letölthető
megoldásokra…)!
4. Legyen naprakész leltár az IT eszközökről és az adatbázisokról!
5. Tájékoztassuk – akár formális oktatás révén is - az alkalmazottakat az őket érintő
információbiztonsági feladatokról és felelősségükről! Törekedjünk a „tiszta asztal,
tiszta képernyő” szabály betartatására!
6. Alkossunk és vezessünk be információkezelési szabályokat, különösen a bizalmas
személyes és üzleti adatok esetében!
7. Fordítsunk figyelmet a fizikai biztonságra, az IT eszközök tárolására és illetéktelen
személyek hozzáférésének megakadályozására!
8. Biztosítsuk az üzletmenet folytonosságát krízis- vagy katasztrófa helyzetben is!
Tároljuk a fontos üzleti adatokat és alkalmazásokat redundánsan, akár külső
szolgáltató igénybevételével is!
9. Ismerjük meg és használjuk ki az alap- és alkalmazói szoftverek információvédelmi
lehetőségeit (pl. naplózás, titkosítás)!
26
10. Védjük az IT-t és kommunikációs rendszereinket rosszindulatú szoftverek és
illetéktelen behatolás ellen (pl. antivirus-, spamszűrő- és kémprogram elleni
alkalmazások)!
A kis- és közepes vállalkozások információbiztonsága kisebb kockázatot jelent, mint egy
nagyobb szervezeté. Erőforrások hiányában auditált információbiztonsági irányítási
rendszert nem mindig tudnak kialakítani, de védelmi tevékenységük megoldható az
ismertetett szabványok és ajánlások alapján kidolgozott szabályozások révén, mind a
fizikai-, mind a logikai és adminisztratív (operatív) biztonság területén.
2.2 Munkavállaló, mint információbiztonsági kockázat [7, 8]
Minden vállalati értékteremtő és támogató folyamatban szerepelnek EMBEREK. Ők azok,
akik az információt, mint erőforrást kezelni, értelmezni és hasznosítani tudják, de ők is
követik el (szándékosan vagy vétlenül) az információbiztonsági eseményeket hozó hibákat.
A szervezeti információbiztonságot – mint állapotot – érintő fenyegetések jelentős része az
információtechnológiai (IT) tényezők mellett a szervezetben dolgozó munkavállalóktól,
vezetőktől ered (5. ábra). Ezeket teljes mértékben kiküszöbölni nem lehet, de jó humán-
erőforrás politikával a kockázati szint csökkenthető. A munkavállalók, vezetők
kiválasztásának, alkalmazásának és kilépésének szabályozásába információbiztonsági
szempontokat is be lehet, ill. kell építeni. Figyelembe vehető a korábban megszerzett
informatikai képzettség, a megbízhatóság, az életkor, vállalati méret és a munkakörnyezet, a
szervezeti kultúra valamint a folyamatos képzések elfogadási képessége. Indokolt továbbá az
• emberi,
• szervezeti, ill. a folyamatokkal kapcsolatos
• és információtechnológiai fenyegetések, kihívások holisztikus vizsgálata.
A vállalati tranzakció kezelő és vezetői információs rendszerek támogatják, modellezik és
sok esetben optimalizálják a vállalati értékteremtő és kiszolgáló folyamatok végrehajtását. A
munkatársak (a felhasználók) az információtechnológiai erőforrásokhoz hozzáférve
munkakörükből adódó „elemi” feladatokat látnak el. Adatokat rögzítenek, módosítanak,
lekérdeznek, esetleg törölnek azért, hogy az információ – mint erőforrás – biztosítva legyen a
különböző szintű vállalati döntéshozóknak.
27
Információbiztonsági
kihívások
Emberi tényezők; Szervezeti tényezők;Információtechnológiai
tényezők;
Képzés (hiánya) Kockázatbecslés Sebezhetőség
Szervezeti kultúra Információs szabadság Technikai bonyolultság
Biztonsággal kapcsolatos Gyors információkezelési Mobil eszközök használata
kommunikáció Erőforrások (hiánya)
Biztonsági priorítások
Jogosultság
Érzékeny adatok kezelése
IT felelősség megosztása
Üzleti kapcsolatok
5. ábra: Információbiztonsági kihívások (Werlinger et.al, 2008.)
A munkavállalók jogosultságát nem mindig a tényleges feladat- vagy munkakör alapján
határozzák meg. Esetenként informális szokások és vállalati hagyományok alapján állapítják
meg ezeket. Változások alkalmával (áthelyezés, kilépés, új folyamatok, kiszervezés stb.) ad-
hoc módon végzik a jogosultsági kérdések adminisztrációját.
„Szabványosított” üzleti folyamatokat végrehajtó vállalatok esetén megfontolandó ún.
szerepkörök kialakítása, ami azután összekapcsolódhat a szerepekbe bekerülő felhasználók
személyazonosságának kezelésével is. Ugyanabban a szerepkörben dolgozó felhasználók
azonos jogosultságot kapnak. A szerepkör nem csak egy informatikai alkalmazáshoz
kötődhet. Így a jogosultságok beállítása automatizálható és nagy számban egyszerre
változtatható. A felesleges hozzáférések kiszűrhetők és az egyéni jogosultságok száma
csökkenthető. A szerepkörök száma tehát kevesebb lesz, mint a felhasználók száma.
A szerepkörök köthetők folyamatokhoz (folyamat elemekhez) és szervezeti egységekhez. Az
előbbi a vállalat üzleti tevékenységének funkcionális kiszolgálását teszi lehetővé, az utóbbi
pedig a szervezeti működést és döntéshozatalt támogatja. A szerepkörök „állandóak”, az
információtechnológia fejlődése vagy új folyamatok változtathatják csak meg. A felhasználói
fluktuáció így kevésbé van hatással a vállalati információs rendszerek működésére. A
szerepkör kialakítás egyik fontos célja tehát az információtechnológia és az üzleti
követelmények összhangba hozása (Klarl, et. al, 2009).
A személyazonosság kezelés révén azonosíthatjuk a munkatársakat és üzleti partnereket egy
vagy több vállalati információs rendszerben. Így szabályozhatjuk hozzáférésüket a különböző
28
információtechnológiai erőforrásokhoz. Összeköti a felhasználói jogosultságokat és tiltásokat
a rendszerekben meglévő információkezelési feladatokkal. Ez akkor válik különösen fontossá,
amikor a vállalatnak több, egymással kapcsolatban álló, eltérő információtechnológiai
infrastruktúrán alapuló információs és kommunikációs rendszere is van. Nem feladata a
felhasználói hozzáférés hitelesítése és új jogosultság létrehozása. Végigköveti a felhasználói
életciklust egyénenként (pl. belépést, munkakör bővülést, átszervezésből adódó pozíció
változást, hosszabb fizetés nélküli szabadságot vagy a kilépést).
A felhasználó a vállalati folyamatok végrehajtásából adódó feladatainak elvégzéséhez
vállalati információtechnológiai eszközöket is alkalmaz. Természetesen nincs szüksége
minden IT erőforrásra és minden tárolt adatra. A jogosultság korlátozza a felhasználó
közreműködését, optimális esetben csak a munkaköréből adódó tényleges információkezelési
feladatok elvégzését teszi lehetővé, de azt viszont teljes körűen. Meghatározásának alapja az
üzleti folyamat(ok), azok céljai , a szervezeti felépítés és az informatikai infrastruktúra.
Szerepet játszanak benne az információbiztonsági kockázatok is (értékes vállalati információk
elvesztése v. illetéktelen kezekbe kerülése). A tényleges jogosultsági rendszer kialakítására
hatással van a szervezeti és egyéni tudás, a vállalati kultúra, valamint a munkakörhöz rendelt
felelősség.
A jogosultság formálisan is nyilvántartható és nyilvántartandó (kiadható, beállítható,
ellenőrizhető, jóváhagyható, elutasítható, szüneteltethető, elvehető). Fontos a munkahelyi
vezető és az adott terület adatbiztonságáért felelős hozzájárulása. A felhasználó egyszerűbb
esetben felhasználói nevet és jelszót kap (Keszthelyi, 2012). Ez magasabb biztonsági igények
esetén kiegészíthető vagy helyettesíthető biometrikus „azonosítókkal” (pl. ujjlenyomat, írisz,
fülcimpa) vagy kiegészítő hardver eszközökkel. Ezeket rendeljük a vállalati folyamatoknak
és üzleti céloknak megfelelően az információs rendszerek, üzleti alkalmazások moduljaihoz,
menüihez, menüpontjaihoz, képernyőihez és adatmezőihez valamint adatbázis lekérdezési
lehetőségeihez vagy ha már korábban kialakítottuk a szerepkörhöz. A jogosultság a
felhasználókon túl köthető alkalmazási helyhez és időszakhoz is.
A munkavállalók révén megjelenő információbiztonsági kockázatokat és az arra adott
válaszokat (védelmi intézkedések) információtechnológiai, üzleti (gazdasági) és
kulturális szempontból is vizsgálni szükséges.
Az információbiztonsági kockázatok a munkavállalók esetében sem szüntethetők meg
teljesen. A kockázati szint a biztonsági követelmények és az üzleti folyamatok
összehangolásával csökkenthető.
29
2.3 Komplex vállalati biztonsági modell [2, 5, 6]
A sikeres szervezeti működés alapja a tudatos kockázatvállalás és -kezelés. Az üzleti
szervezeteknek olyan kockázatkezelési rendszerre (Enterprise Risk Management – ERM) van
szükségük, amely;
• azonosítja és kezeli a kockázati tényezőket,
• az egész szervezetre és a befogadó környezetre is kiterjed,
• révén a vezetők a teljes kockázati profilt átlátják,
• segíti a stratégiai és operatív döntéshozatalt.
Így megalapozható a vállalati (szervezeti) folyamatok védelme és elérhető a folyamatok
biztonsága.
Folyamatbiztonság olyan állapotnak tekinthető, ahol az előírt bemenetek (folyamat
végrehajtásához szükséges erőforrások) biztosítása után a folyamat tevékenységeit végrehajtó
szervezeti egységek az előírt időben megfelelő mennyiségű és minőségű kimenetet (termék,
szolgáltatás, információ) nyújtanak és zavar esetén a folyamat normál működése a lehető
legkisebb erőforrás ráfordítással és a legrövidebb idő alatt helyreállítható.
A kutatási előzményeknél tárgyalt szabványok és ajánlások többségükben
folyamatközpontúak, de általában a gazdálkodó szervezetek egy-egy funkcionális területére
vonatkoznak. Minden szervezeti folyamat végrehajtásához erőforrásokra van szükség,
amelyek közül kiemelkedik – az értékteremtő és kiszolgáló folyamatok egyik alapvető
feltétele – a megfelelő időben és helyen, a jogosult személyek számára biztosított információ.
Ezért lehet az alapja egy egész szervezetre vonatkozó biztonsági modellnek az
információbiztonsági irányítási rendszer kialakítása. Az ügyvitel (workflow) szabályozásával
– ill. működési zavar esetén annak helyreállításával – megteremthetjük a szervezet „virtuális
működésének” biztonságát.
A vállalatok működésében kiemelt szerepet kaphat a virtuális vállalati modellt (vállalati
információs rendszert – pl. ERP, EAM) alkalmazó felhasználó munkaköri feladatainak
meghatározása. A felhasználók előre kialakított – biztonsági szempontokat is figyelembe vevő
– pozíciókat töltenek be (Kern et. al, 2002.). Ennek kezelését (munkakör analízis, -tervezés, -
irányítás és -karbantartás) hívja a szakirodalom ún. szerep életciklusnak.
Az információbiztonság – mint állapot – megteremtése után vagy mellett következhetnek a
további „részterületek” (emberi erőforrás, környezet, termelés, belső logisztika, ellátási és
30
értékesítési láncok, infrastruktúra, K+F) biztonsági szabályozása. Az ott értelmezett logikai,
fizikai és szervezeti biztonság fogalma a többi területre is kiterjeszthető.
A folyamatok biztonsága hozhatja meg a teljes vállalati biztonságot (6. ábra). A holisztikus
biztonságszemlélet figyelembe veszi és kiemelten kezeli a szervezet stratégiai céljait, az
értékteremtő folyamatokat és eszközöket, valamint az ezeket kiszolgáló információ
technológiát. A szervezet vezetésének ezért közreműködnie kell a biztonsági célok
kijelölésében, elérésében, valamint megvalósításuk ellenőrzésében és mérésében (Carelli et.al,
2004, pp. 14-22.).
...
Infrastruktúra biztonsága
Kockázat Folyamat
IT biztonság Munkakör kezelés Vállalati
felmérés Információbiztonság
(Role Management) biztonság
és Emberi biztonság
elemzés Környezet biztonsága biztonság
Ellátási lánc biztonsága
...
Célok Folyamatok Szervezet
logikai
megközelítés
workflow
megközelítés
fizikai
megközelítés
6. ábra: Vállalati biztonság elérése
A szervezeti biztonság is állapot. Ez azonban nem tekinthető statikusnak. Kockázatelemzésen
és -kezelésen alapuló, állandó fejlesztést és ellenőrzést igénylő folyamatos védelmi
tevékenység lehet csak eredményes a gazdálkodó szervezeteknél. A 6. ábrán vázolt előzetes
modell számos szabványt és ajánlást figyelembe véve került kialakításra. A klasszikus „cél –
folyamat – szervezet” sorrend, ill. szabályozási kör itt is érvényesülhet.
Az üzletmenet folytonosság és a katasztrófa-elhárítás témakörei elsősorban az
információbiztonsággal foglalkozó szabványokban és ajánlásokban jelennek meg. A
szűken értelmezett információtechnológiai megközelítés (BCP, DRP) kiterjeszthető
bármilyen más vállalati folyamat feltételeinek biztosítására, annak előírásszerű
végrehajtására vagy zavar esetén normál működésének helyreállítására.
2.4 Vállalatbiztonság szerepe az üzleti bizalom kialakításában [1, 9, 10]
A kockázat menedzsment számos ponton kapcsolódhat a vállalat külső és belső
környezetéhez, ill. a vállalat érdekeltjeihez. Kívülről befolyással bírnak rá a törvények, külső
31
finanszírozók, nemzetközi, országos és helyi szabályozások. Belülről hatnak rá a szervezeti
célok, beruházási projektek, üzleti folyamatok és a szervezetnél alkalmazott üzleti modellek
és szabványok, partnerekkel megkötött szerződések.
Helyes, ha a vállalat saját stratégiai céljainak megfogalmazásánál előtérbe helyezi a proaktív
kockázatelemzésen alapuló védelmi tevékenységet. Az elért biztonság versenyképességi
tényező is lehet.
Azok a vállalatok versenyképesek, amelyek a társadalmilag elfogadott normák betartása
mellett erőforrásaikat minél nagyobb nyereséggé tudják alakítani és képesek a működésüket
befolyásoló külső környezeti és belső változásokat észlelni valamint ehhez alkalmazkodni a
tartós működőképességük érdekében (Chikán et.al, 2002.).
A vállalati versenyképesség alapvető, de nem kizárólagos tényezője a nyereséges
gazdálkodás. A tartós működőképesség feltételezi, hogy a vállalat törekszik a biztonságra, a
fizikai és emberi erőforrások, a vállalati folyamatok, az innováció, a piaci kereslet és a vállalat
közvetlen környezete szempontjaiból egyaránt.
A vállalatok tőkéje, a termékek és szolgáltatások iránti kereslet, az üzleti bizalom (hiánya), a
regionális érdekek és a vállalatfejlesztési elképzelések (piac, termék, technológia, szervezet)
eredményessége mind-mind a versenyképesség fokmérője. A versenyképesség fenntartása a
gazdálkodó szervezet stratégiai céljainak elérését is jelenti változó gazdasági, jogi, piaci és
kulturális viszonyok között.
A vállalati szakterületek biztonsági igényei mellett, után fontos szerepet kapnak a folyamatok
és azok ügyviteli leképezése. Ez utóbbi munkakörök kialakítását, munkaköri feladatok
meghatározását teszik szükségessé. A szervezetek legfőbb biztonsági kockázata az ember és a
vállalat biztonság csak úgy érhető el, ha folyamatokban résztvevők munkáját szabályozzuk,
ill. felkészítjük őket nem várt kockázati események kezelésére.
A vállalatbiztonság elérése és mérése megjelenik a vállalat versenyképességében is,
amely később nehezen számszerűsíthető, de nehezen is erodálható (szervezetek közötti v.
üzleti) bizalmat fog eredményezni. Az üzleti bizalom visszahat a versenyképességre és
azon keresztül a biztonságra is. A bizalom a vállalat üzleti környezetét is minősíti. A
bizalommal viseltető érintettek segíthetnek a jobb vállalati teljesítmény elérésében.
32
3. Kutatás és a bemutatott eredmények hatása, visszhangja
A tárgyban 2007 óta született, válogatott 10 publikációm és a hivatkozásaik az 5. pontban
megtalálhatók.
A kutatás eredményei elsősorban különböző szintű felsőoktatási képzésekben, ill. azok
tananyagaiban hasznosulnak.
Szabadon választható tantárgyak tematikáját állítottuk össze, ill. oktattuk Dr. Keszthelyi
Andrással közösen az Óbudai Egyetem Biztonságtechnikai mérnöki MSc szakán;
Információbiztonság (2010/2011 II. és 2011/2012 II. félévben),
Adatbiztonság elmélete és gyakorlata (2014/15 I. félévtől).
2012-ben az Óbudai Egyetem Kandó Kálmán Villamosmérnöki és Keleti Károly Gazdasági
Kara összefogott és közreműködésemmel elkészítette az „Adat- és információvédelmi
szakember” szakirányú továbbképzési szak szakindítási dokumentációját. A képzést 2013-ban
az Oktatási Hivatalban befogadták, létesítési határozatát kiadták. (A képzés szakfelelőse: Dr.
Beinschróth József egyetemi docens, KVK, Híradástechnikai Intézet)
Az Óbudai Egyetem Biztonságtudományi Doktori Iskolájában a 2012/2013 I. félévétől
kezdődően hirdették meg az „Információbiztonsági irányítási rendszerek” c. kutatási
tématerületet megalapozó tárgyamat, amit azóta többen (4 doktorandusz) fel is vettek és
sikeresen teljesítettek is.
2013/2014-es tanévtől kezdve két doktorandusz hallgató kezdte meg tanulmányait
témavezetésemmel az Óbudai Egyetem Biztonságtudományi Doktori Iskolájában.
(Témakiírásom címe: Információbiztonsági irányítási rendszerek kialakítása.)
Mozsár Lívia kutatásai az Informatikai alkalmazások biztonságos menedzselésének
módszertani megalapozásához kapcsolódnak. A fő területe az IT portfoliómenedzsment
szabályozási lehetőségeinek köre.
Fehér Polgár Pál a sajáttulajdonú mobilinformatikai eszközök szervezetben történő
használatának - információbiztonsági irányítási rendszerrel megvalósítható - szabályozási
lehetőségeit vizsgálja.
Lábodi Csabával közösen számos tanulmányt írtunk és konferencia előadást tartottunk az
integrált irányítási rendszerek kialakításának és alkalmazásának elterjedése érdekében. A
minőség-. környezet- és információbiztonsági irányítási rendszerek egy rendszerben történő,
integrált kialakítása, működtetése lényegesen kisebb szervezeti erőforrásokat igényel, mint a
rendszerek egymástól független kezelése.
33
4. Irodalom
Aagedal, Jan Øyvind – den Braber, Folker – Dimitrakos, Theo – Gran, Bjørn Axel –
Raptis, Dimitris – Stølen, Ketil: Model-based Risk Assessment to improve Enterprise
Security. Proceeding of the 6th International Enterprise Distributed Object Computing
Conference (EDOC’02), September 17-20, 2002, pp. 51-64., ISBN 0-7695-1742-0,
www.itsec.gov.cn (letöltés dátuma: 2011. szeptember 30.)
Angyal Ádám: Vállalatok társadalmi felelőssége. (Versenyben a Világgal 2007-2009,
51. műhelytanulmány). Versenyképesség Kutatások Műhelytanulmány-Sorozat,
Budapesti Corvinus Egyetem, Vállalatgazdaságtan Intézet, 2008.
Ashenden, Debi: Information Security management: A human challange? Information
Security Technical Report. Vol. 13., Issue 4, November 2008, pp. 195-201.
Bakacsi Gyula: Szervezeti magatartás és vezetés. Budapest, Aula, 2004.
Carelli, Richard A. – Allen, Julia H. – Stevens, James F. – Willke, Bradford J. –
Wilson, William R.: Managing for Enterprise Security. Networked Systems
Survivability Program, Carnegie Mellon University, 2004, p.55 (CMU/SEI-2004-TN-
046)
Chikán, Attila – Czakó, Erzsébet - Zoltay-Paprika Zita: National Competitiveness in
Global Economy: The Case of Hungary, Budapest, Akadémiai Kiadó. 2002. p.292
Colwill, Carl: Human factors in information security: The insider threat – Who can
you trust these days? Information Security Technical Report. Vol. 14., Issue 4,
November 2009, pp. 186-196.
Freeman, R. Edward : Strategic Management. A Stakeholder Approach. Pitman Series
in Business and Public Policy, 1984.
Godányi Géza: Katasztrófavédelem és üzletmenet-folytonosság az
információtechnológiában (A DR/BC tervezés alapjai). Híradástechnika, LIX évf.
2004/4. pp. 47-52.
Horn, Andy: Information Security – More Than An IT Challenge for SME.
www.freshbusinessthinking.com/business_advice.php?CID=3&AID=2629&PGID3
(letöltés dátuma: 2009.11.25.)
Horváth Zsolt - Szlávik Péter: Vállalati integrált kockázatkezelés I-II.. Minőség és
Megbízhatóság, 2011/3. szám pp. 124-130 és 2011/4. szám pp. 219-226.
34
Iványos János – Roóz József: Új megközelítés a közszféra belső kontrollrendszereinek
értékelésére. Pénzügyi Szemle, 2010/2. szám, pp. 364-379.
Ji-Yeu Park – Rosslin John Robles - Chang-Hwa Hong – Sang-Soo Yeo – Tai-hoon
Kim: IT Security Strategies for SME’s. International Journal of Software Engineering
and its Applications, Vol. 2. No. 3. July. 2008, p. 91-98.
Kelemen László: Nem sztereotípiák. IT-business, 2008. szeptember 28, VI évf. 37. sz.
pp.32.
Keszthelyi András: Információbiztonság, technikai alapismeretek. in Nagy Imre
Zoltán szerk: Vállalkozásfejlesztés a XXI. században II. tanulmánykötet, Óbudai
Egyetem, 2012, pp. 303-340.
Kern, Axel – Kuhlmann, Martin – Schaad, Andreas – Moffett, Jonathan: Observations
ont he Role Life-Cycle int he Context of Enterprise Security Management.
SACMAT’02 Proceedings of the 7th ACM Symposium on Acces Control Models and
Technologies, Monterey, CA, USA, June 3-4., 2002, pp. 43-51.,
Klarl, Heiko – Molitorisz, Korbinian – Emig, Christian – Klinger, Karsten – Abeck,
Sebastian: Extending Role-based Access Controll for Business Usage.
SECURWARE’09, The Third International Conference on Emerging Security
Information Systems and Technologies, Athens/Glyfada, Creece, June 18-23., 2009,
pp. 136-141.
Lancaster, Lynne C. – Stillman, David: When generations collide. New York, First
Collins Business Edition, 2005. p.384.
Mitnick, Kevin D – Simon, William L.:The Art of Deception: Controlling the Human
Element of Security. Wiley, 2003. p. 368
Schüller Attila: Az Y generáció és az információbiztonság. Hadmérnök. VI. évfolyam,
2. szám, 2011. június, pp. 339-347.
Racz, Nicolas - Weippl, Edgar - Seufert, Andreas : A frame of reference for research
of integrated Governance, Risk & Compliance (GRC). In: Bart De Decker, Ingrid
Schaumüller-Bichl (Eds.), Communications and Multimedia Security, 11th IFIP TC
6/TC 11 International Conference, CMS 2010 Proceedings. Berlin: Springer, pp. 106-
117.
Tari Annamária: Y generáció. Jaffa Kiadó, 2010
35
Tenner, Arthur R. – DeToro, Irving J.: BPR, Vállalati folyamatok újraformálása.
Műszaki Könyvkiadó, Budapest, 1998.
Werlinger, Rodrigo – Hawkey, Kirstie – Beznosov, Konstantin: Human,
Organizational and Technological Challanges of Implementing IT Security in
Organizations. Proceedings of the Second International Symposium on Human
Aspects of Information Security & Assurance Plymouth, England, July 8-9, 2008
(HAISA’08), pp. 35-48.
Williams, Patricia, A.H.: In a ’trusting’ environment, everyone is responsible for
information security. Information Security Technical Report. Vol. 13., Issue 4,
November 2008., pp. 207-215.
Zolnai László - Győri Zsuzsanna - Kenyeres Annamária - Jorge Vidal: Vállalkozások
társadalmi felelőssége az Európai Unióban és Magyarországon. MKIK, 2005.
Zsóka Ágnes – Zilahy Gyula: A vállalatok szerepe a regionális fenntarthatósági
kezdeményezésekben. In Csutora Mária – Hofmeister Tóth Ágnes (szerk.):
Fenntartható fogyasztás? A fenntartható fogyasztás gazdasági kérdései.
Szöveggyűjtemény, Budapesti Corvinus Egyetem, 2011, pp. 155-176.
AS/NZS 4360:2004 Risk Management. Australian / New Zealand Standard
MSZ EN ISO 9001:2009 Minőségirányítási rendszerek. Követelmények
MSZ EN ISO 14001:2005; Környezetközpontú irányítási rendszerek. Követelmények
és alkalmazási irányelvek (ISO 14001:2004)
MSZ EN ISO 14004:2010; Környezetközpontú irányítási rendszerek. Az elvek, a
rendszerek és a megvalósítást segítő módszerek általános irányelvei (ISO 14004:2004;
angolnyelvű)
ISO/IEC 15504-1:2004 Information technology – Process assessment – Part 1:
Concepts and vocabulary
ISO/IEC 15504-2:2003 Information technology – Process assessment – Part 2:
Performing an assessment
ISO/IEC 15504-2:2003/Cor 1:2004
ISO/IEC 15504-3:2004 Information technology – Process assessment – Part 3:
Guidance on performing an assessment
ISO/IEC 15504-4:2004 Information technology – Process assessment – Part 4:
Guidance on use for process improvement and process capability determination
36
ISO/IEC 15504-5:2012 Information technology Process assessment Part 5: An
exemplar software life cycle process assessment model
ISO/IEC TR 15504-6:2008 Information technology Process assessment Part 6: An
exemplar system life cycle process assessment model
ISO/IEC TR 15504-7:2008 Information technology Process assessment Part 7:
Assessment of organizational maturity
ISO/IEC TS 15504-8:2012 Information technology Process assessment Part 8: An
exemplar process assessment model for IT service management
ISO/IEC TS 15504-9:2011 Information technology Process assessment Part 9:
Target process profiles
ISO/IEC TS 15504-10:2011 Information technology Process assessment Part 10:
Safety extension
MSZ ISO/IEC 20000-1:2007; Informatika. Szolgáltatásirányítás. 1. rész: Előírás
MSZ ISO/IEC 20000-2:2007; Informatika. Szolgáltatásirányítás. 2. rész: Alkalmazási
útmutató
BS 25999-1:2006; Business Continuity Management, Code of Practice
BS 25999-2:2007; Business Continuity Management, Specification
MSZ ISO/IEC 27001:2014. Informatika. Biztonságtechnika. Információbiztonság-
irányítási rendszerek. Követelmények
ISO/IEC 27002:2013. Information technology - Security techniques - Code of practice
for information security controls
ISO/IEC 27003:2010. Information technology - Security techniques - Information
security management system implementation guidance
ISO/IEC 27005:2011. Information technology - Security techniques - Information
security risk management
ISO/IEC 27010:2012. Information technology - Security techniques - Information
security management for inter-sector and inter-organizational communications
ISO/IEC 27011:2008. Information technology - Security techniques - Information
security management guidelines for telecommunications organizations based on
ISO/IEC 27002
ISO 28000:2007; Specification for security management systems for the supply chain
37
ISO 28001:2007; Security management systems for the supply chain - Best practices
for implementing supply chain security, assessments and plans - Requirements and
guidance
ISO 28002:2011; Security management systems for the supply chain - Development of
resilience in the supply chain - Requirements with guidance for use
ISO 31000:2009. Risk management - Principles and guidelines
ISO/IEC 38500:2008; Corporate governance of information technology
Opinion of the European Economic and Social Committee on Information and
measurement instruments for corporate social responsibility (CSR) in a globalised
economy, European Commission (EC), 2005
CObIT 4.1. verzió (magyar változat - Control Objectives for Information and related
Technology (CObIT) 4.1 - Információra és a kapcsolatos technológiára vonatkozó
kontroll célkitűzések) IT Governance Institute, USA, 2007.
www.mtaita.hu/hu/Publikaciok/ISACA_HU_COBIT_41_HUN_v13.pdf (letöltés
dátuma: 2013. 03.29.)
Enterprise Risk Management - Integrated Framework Executive Summary. Committee
of Sponsoring Organizations of the Treadway Commission. September, 2004.
www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf (letöltés dátuma:
2013.03.27.)
Supply Chain Council. Supply-Chain Operations Reference (SCOR) Model.
Overview. Version 10.0, 2010. http://supply-chain.org/f/Web-Scor-Overview (letöltés
dátuma: 2013.04.03.)
Collaborative Planning, Forecasting and Replenishment (CPFR). Overview, 2004,
Voluntary Interindustry Commerce standards (VICS).
www.vics.org/docs/standards/CPFR_Overview_US-A4.pdf (letöltés dátuma:
2013.04.03.)
European Network and Information Security Agency - ENISA (November 2010) How
to Raise Information Security Awareness (The new users’ guide p.140)
http://www.enisa.europa.eu/activities/cert/security-month/deliverables/2010/new-
users-guide (letöltés dátuma: 2014.10.04.)
Symantec 2011 SMB Disaster Preparedness Survey, Global Results, January 2011
www.symantec.com (letöltés dátuma: 2011.05.03.)
38
BPM-GOSPEL (Business Process Modelling for Governance SPICE and Internal
Financial Control): Governance Model for Trusted Businesses. v2.4. 2011
www.governancecapability.com/attachments/article/54/Governance%20SPICE%20M
odel%20v24.pdf (letöltés dátuma: 2014.01.08)
BPM-GOSPEL (Business Process Modelling for Governance SPICE and Internal
Financial Control): Governance Capability Assessment Case Study Handbook
Integrated Assurance Management Scenarios for Trusted Business Operation. 2012.
www.ia-
manager.org/attachments/article/54/Governance%20Capability%20Assessment%20Ca
se%20Study%20v12.pdf p.12 (letöltés dátuma: 2014.01.08)
ISACA: An Introduction to the Business Model for Information Security, 2009.
www.isaca.org/Knowledge-Center/Research/Documents/Intro-Bus-Model-InfoSec-
22Jan09-Research.pdf (letöltés dátuma: 2013.03.14)
ISACA: Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit,
2008, A Management Briefing from IT Governance Institute & Office of Government
Commerce www.isaca.org/Knowledge-Center/Research/Documents/Aligning-
COBIT,ITILV3,ISO27002-Bus-Benefit-12Nov08-Research.pdf (letöltés dátuma:
2013.02.25.)
An Introductory Overview of ITIL V3. IT Service Management Forum, 2007.
(www.itsmfi.org – letöltés dátuma: 2011.10 06.)
39
5. A tézispontokhoz kapcsolódó tudományos közlemények és ismert hivatkozásaik
[1] Michelberger Pál: Információbiztonsággal kapcsolatos követelmények érvényesítése
az üzleti partnereknél. In: Kadocsa Gy (szerk.) MEB 2007: 5th International
Conference on Management, Enterprise and Benchmarking : Menedzsment,
Vállalkozás és Benchmarking Nemzetközi Konferencia. 381 p. Budapest,
Magyarország, 2007.06.01-2007.06.02. Budapesti Műszaki Főiskola, 2007. pp. 273-
281.
H1., Lábodi Csaba - Nahlik Gábor: Gazdálkodó szervezetek versenyképességének
fokozása integrált irányítási rendszerek alkalmazásával. In: MEB 2008: 6.
menedzsement, vállalkozás és benchmarking konferencia. (Magyarország) Budapest:
Budapesti Műszaki Főiskola, 2008. pp. 263-273.
[2] Michelberger Pál - Lábodi Csaba: Development of information security management
system at the members of supply chain. ANNALS OF THE UNIVERSITY OF
PETROSANI : ECONOMICS 9:(4) pp. 67-78. (2009)
H2., Sindhuja P, N: Impact of information security initiatives on supply chain
performance: an empirical investigation. INFORMATION MANAGEMENT AND
COMPUTER SECURITY (ISSN: 0968-5227) Vol. 22, Issue 5, pp. &-&. 2014
[3] Michelberger Pál - Lábodi Csaba: Az információvédelem, mint a kis- és
középvállalkozások megerősödésének egy lehetséges eszköze. In: Csath Magdolna
(szerk.) Innováció, versenyképesség, KKV-k: Budapest, 2010. november 5. :
nemzetközi konferencia monográfia. Székesfehérvár: Kodolányi János Főiskola, 2010.
pp. 29-39.
[4] Michelberger Pál - Lábodi Csaba: Necessity or challenge: Information security for
small and medium enterprises. ANNALS OF THE UNIVERSITY OF PETROSANI :
ECONOMICS 10:(3) pp. 207-216. (2010)
H3., Ioana Bianca CHIȚU, Alina Simona TECĂU:Consultancy Service sin Marketing
and Management: Growth Factor of Competitiveness for Small and Medium
Enterprises. J APPL ECON SCI Vol. 7: Issue 4, 2012, pp. 373-379.
H4., Horváth Gergely Krisztián: Information Security Management for SMEs:
Implementating and Operating a Business Continuity Management System (BCMS)
Using PDCA Cycle. In: Proceedings of FIKUSZ 2013 Symposium for Young
Researchers. Óbudai Egyetem Keleti Károly Gazdasági Kar, 2013. pp. 133-141.
40
[5] Michelberger Pál - Lábodi Csaba: Vállalati információbiztonság szervezése. In: Nagy
Imre Zoltán (szerk.) Vállalkozásfejlesztés a XXI. században II.. Budapest: Óbudai
Egyetem, 2012. pp. 241-302.
[6] Michelberger Pál - Lábodi Csaba: After Information Security – Before a Paradigm
Change: A complex Enterprise Security Model. ACTA POLYTECHNICA
HUNGARICA Vol. 9 Issue 4, 2012, pp. 101-116.
H5., Horváth Gergely Krisztián: Information Security Management for SMEs:
Implementating and Operating a Business Continuity Management System (BCMS)
Using PDCA Cycle. In: Proceedings of FIKUSZ 2013 Symposium for Young
Researchers. Óbudai Egyetem Keleti Károly Gazdasági Kar, 2013. pp. 133-141.
H6., Zivadin Micic, Nebojsa Stankovic: Inoviranje znanja o multimedijima,
zastiti/bezbednosti i drugim podoblastima it. In: Zbornik radova / Nacionalna
konferencija sa međunarodnim ucescem Reinzenjering poslovnih procesa u
obrazovanju. Cacak: Fakultet Tehničkih Nauka, 2013. pp. 368-375.
H7., Mozsár Lívia Alice: Application Portfolio Management. In: Michelberger P
(szerk.) : MEB 2014 : Manegement, Enterprise and Benchmarking in the 21st Century.
Budapest: Óbudai Egyetem Keleti Károly Gazdasági Kar, 2014. pp. 383-392.
[7] Keszthelyi András - Michelberger Pál: From the IT Authorisation to the Role- and
Identitiy Management. In: Anikó Szakál (szerk.) 4th IEEE International Symposium
on Logistics and Industrial Informatics: LINDI 2012. Konferencia helye, ideje:
Smolenice, Szlovákia, 2012.09.05-2012.09.07. Smolenice: IEEE, 2012. pp. 173-177.
[8] Michelberger Pál - Beinschróth József - Horváth Gergely Krisztián:The Employe - An
Information Security Risk. ACTA OECONOMICA UNIVERSITATIS SELYE Vol.
2, Issue 1, 2013, pp. 187-200.
[9] Michelberger Pál: Vállalatbiztonság. In: Nagy, I. Z. (szerk.) Vállalkozásfejlesztés a
XXI. században III.: tanulmánykötet. 260 p. Budapest: Óbudai Egyetem, 2013. pp. 35-
52.
[10] Michelberger Pál: Risk Management for Business Trust. In: Michelberger, P.
(szerk.) MEB 2014: Management, Enterprise and Benchmarking in the 21st Century.
413 p. Budapest: Óbudai Egyetem Keleti Károly Gazdasági Kar, 2014. pp. 401-413.