Biztonságos, megfelelő, üzemeltethető

A biztonság meghatározása nem egyszerű. Általában a rendszer egy állapotára, vagy legalábbis egy szűk időintervallumban érvényes minőségére vonatkoztatjuk. Akik statikus modellt keresnek, gyakran definiálják a biztonságot a fenyegetések és a védelem eredőjeként, hasonlóan a fizikai erőpárokhoz. Ezzel a szemlélettel az a probléma, hogy a biztonság nem lehet a rendszernek állapota, hiszen a rendszer vagy megfelelően működik, vagy nem (és már ezt is csak dinamikusan lehet értelmezni). A biztonság sokkal inkább annak a valószínűsége, hogy a jól működő rendszer a jövőben is jól fog működni. Hogy mi ez a jövőidő? Az elkövetkező néhány másodperc vagy akár néhány hónap? Ennek meghatározása szinte lehetetlen. Mondhatnánk, hogy a rendszerbeállítások következő megváltozásáig tartó időszak. De a biztonságot a környezet is befolyásolja, amelyről nincs információnk, ha csak az nem, hogy állandóan változik.

Tovább fejleszthetjük az erő - ellenerő modellt is, úgy, hogy a környezetben lévő veszélyek és a védelem reakciósebességeinek különbözőségét vizsgáljuk. Mindent egybevetve azonban a biztonságot tulajdonképp lehetetlen mérni, nem csak azért mert maga a fogalom absztrakt, de azért is, mert egy meghatározhatatlan jövőbeni időszakban bekövetkező eseményekre vonatkozik. Ha nem történik káresemény, az vajon jelenti-e azt, hogy a rendszer biztonságban volt? Természetesen nem. Ezért fontosak a szabályzatok, melyek a biztonságra törekvést kényszerítik, mert azok betartása már viszonylag jól mérhető, és így ellenőrizhető is.

A biztonsági előírások hátterében általában a klasszikus CIA-tól származó COBIT követelmények listája (Bizalmasság, Sértetlenség és Rendelkezésre állás) áll. Ez mára kiegészült a Hitelesség és Letagadhatatlanság követelményeivel is. Amely azt mutatja, hogy napjainkban a biztonság túlmutat az önvédelmen, ma már üzleti alapkövetelmény. Eltekinteni tőle, mellőzni nem lehet. Egy vállalkozás megítélése, így sikere függhet az IT biztonságtól.

Üzemeltethetőség
Egy rendszer üzemeltethetőségén azt értjük, hogy mind adminisztrátori, mind pedig felhasználói oldalról mennyire könnyen és egyszerűen kezelhető. Egy rendszer akkor jó, ha a használata nem kíván különösebb odafigyelést (lehet a feladatra koncentrálni), tehát a rendszer megfelelően intuitív - kézre álló. Úgy is fogalmazhatunk, hogy a kiszolgálja az üzleti folyamatokat és nem kialakítja. Az üzemeltethetőséget tehát a funkcionalitás, a rendelkezésre állás, a teljesítmény valamint ergonómiai szempontok határozzák meg.

Míg a biztonság alacsony szintje kockázatot jelent, addig az üzemeltethetőség alacsony szintje biztosan kárt okoz a vállalat számára. Ugyanakkor létezik az üzemeltethetőségnek a biztonságtechnikával közös halmaza is. Egy emberközpontú rendszerben például jóval kevesebb a humán erőforrás által véletlenül okozott hiba, amelyek könnyedén biztonsági eseményként jelentkezhetnek. Elég egy példát említenünk: a véletlen adattörléseket.

Megfelelőség
Viszonylag új fogalom az IT biztonságtechnikában. Nagyon egyszerűen fogalmazva arról van szó, hogy egy harmadik fél (auditor) tanúsítja, hogy a rendszerünk működése megfelel egy külső szervezet által felállított szabályrendszernek. Ez a külső szervezet lehet valamilyen iparági összefogás, szabvány ügyi testület, vagy jogalkotó is akár.

A megfelelőséget tulajdonképp a biztonság már említett megmérhetetlensége szülte. Természetes, hogy a vállalattal kölcsönhatásban lévő gazdasági szereplők (beszállítók, vevők, viszonteladók, állam, alkalmazottak, tulajdonosok, stb...) tudni szeretnék, hogy a szervezet IT rendszere mennyire biztonságos; vagyis a külső érintettek számára szolgáltatott vagy a velük kapcsolatban tárolt információkat kezelő rendszer, mennyire elégíti ki a már szintén említett öt alapelvet. Mivel ennek a biztonságnak a foka közvetlenül nem meghatározható, ezért azt mérjük, hogy bizonyos biztonságtechnikai szokványokat, ajánlásokat, előírásokat milyen sikerrel alkalmaz a vállalat.

Függetlenül attól, hogy törvényi kötelezettségből vagy belső indíttatásból igazodunk valamilyen követelményhez, ez mindenképpen költséget jelent, bár jó eséllyel növeli rendszerünk biztonságát és az IT biztonsági törekvésekkel összhangban áll, legalábbis nem lazít azokon.

Melyiket válasszam?
Az informatikai biztonsági vezető (CSO) feladata, hogy mérlegelje a kockázatokat, és döntsön az egyes ellenintézkedések alkalmazásáról. Alapvetően két eset lehetséges. Amennyiben a törvényi szabályozás nem vonatkozik a szervezetre, az az egyszerűbb. Ilyenkor egy-egy intézkedés bevezetése előtt a biztonsági követelmények és az üzemeltethetőség csapnak össze. A CSO a CIO segítségével azt mérlegeli, hogy a kockázattal arányos-e az ellenintézkedés (megéri -e), illetve mennyivel lesz nehezebben kezelhető a rendszer. Esetleg mérlegeli az okozott újabb veszélyforrásokat is. Így próbálja megtalálni az egészséges egyensúlyi pontot, ahol a rendszer még éppen használható és éppen ellenálló a potenciális veszélyforrásokkal szemben.

Más a helyzet, ha törvényi megfelelőséget is biztosítani kell, amikor sok tekintetben elvész a mérlegelés lehetősége. Ilyenkor az első kérdés, hogy a törvényi szabályozás és a biztonság milyen messze áll egymástól. Általában közel. Kérdés, hogy a szabályozás által kikényszerített biztonsági intézkedések mennyire akadályozzák a rendes napi ügymenetet. Fontos itt is megtalálni az egyensúlyt. Az IT megfelelőség még csak most kezd beépülni a hétköznapjainkba, az azokat kiszolgáló megoldások még csak most kezdenek termékszerűen testet ölteni. Sok a megválaszolatlan kérdés, még több a bizonytalan válasz, de elindultunk az úton.

A hozzászólásokat a szerzők a BalaBit IT Security Blog oldalra várják.