Napjainkban a gazdaság, a kereskedelem, minőségileg új formája van kialakulóban: az információ alapú társadalom információs- vagy tudásgazdasága. E táradalom, gazdaság szereplői számára az informatikai eszközök használata (számítógép, mobilkommunikáció, Internet stb.) magától értetődő és természetes módon épül be a hétköznapi folyamatokba. A gazdálkodás, az üzletkötés, az üzleti partnerekkel és a fogyasztókkal való kapcsolattartás ma már éppúgy informatikai eszközök révén zajlik, mint a piaci és marketing-stratégiák kialakítása, a PR, a döntéselőkészítés, vagy a vállalatvezetési, a termelési és értékesítési folyamatok megszervezése.
Ebben a közegben - amely a hálózatok, az Internet révén globálissá vált - az információ a gazdasági folyamatok irányításának tényleges eszközévé vált, az információval való hatékony élés követelménye pedig az egyik legfontosabb sikertényezővé lépett elő. Azok a vállalkozások, amelyek felismerték ezt, s szereplőivé váltak, vagy szereplőivé kívánnak válni az információs gazdaságnak, jelentős informatikai beruházásokra kényszerültek és kényszerülnek. A beruházások alapvető irányultsága, lehet infrastruktúrák építése: akár integrált vállalati információs rendszerek bevezetése, a döntés előkészítést-, végrehajtást-, és ellenőrzést segítő információs rendszer létrehozása, de lehet pusztán az adatbevitel-, feldolgozás-, tárolás- és kinyerés elektronizálása is.
E beruházások az elmúlt tíz-tizenöt évben - elsődlegesen a kis- és középvállalkozások körében - általában folyamatosan mentek végbe (fokozatos elektronizálás, a vállalati folyamatok, feladatok, funkciók, munkaállomások stb. számítógépesítése), a nagyvállalatok esetében azonban sokszor a "minőségi ugrás" lehetőségét megteremtő, előre megtervezett és szakértők bevonásával megvalósított informatikai programok - projektek - révén valósultak meg. A cél minden esetben a hatékonyság növelése, amit informatikai-számítógépes megoldások bevezetésével, fejlesztésével, továbbfejlesztésével kívántak, kívánnak elérni.
Míg az "informatikai evolúció" a vállalatokon belül elsődlegesen saját humán erőforrások igénybevételével végbemenő folyamatként értékelhető (az igényfelméréstől a beruházások megvalósításán át az új eszközök és lehetőségek a vállalati rendszerbe való integrálásáig minden részfolyamatot - esetleg alkalmi külső szakértők igénybevételével - a vállalat belső munkatársai hajtanak végre), az informatikai projektek esetében a külső szakértői bázis koncentrált és a megvalósítani kívánt célra komplex módon összpontosító igénybevétele mondható általánosnak.
Ez számos előnnyel jár: az adott területen komoly tapasztalatot szerzett szakértői teamek az informatikai reorganizáció követelményéhez a vállalati folyamatok komplex áttekintésével közelednek, hatékonyak, célorientáltak. Piaci szereplőként maguk is versenyhelyzetben vannak, így a projektkiíró számára adott több megoldási javaslat megismerésének, s a számára - pénzügyileg is legkedvezőbb - megoldás kiválasztásának lehetősége. Arról azonban minden esetben magának a vállalatnak, a vállalatvezetésnek kell határoznia, hogy indokoltnak és szükségesnek tartja-e valamely informatikai projekt beindítását, s ha igen, annak révén konkrétan mely célok elérését kívánja megvalósítani.
Ennek függvényében alakítja ki a vállalat a projekttel szembeni követelményeit, dönt a projekt megvalósításáról (a projektstratégia kialakítása), ennek megfelelően történik a projekt teljesítése, és az elérni kívánt cél kiértékelése is. A projektmenedzsmentnek ez az általánosan elfogadott négy fázisa az informatikai célú programok esetében is érvényesül: mindazonáltal az utolsó, az értékelési fázis könnyen lezárhatónak nem tekinthető, időben gyakran oly mértékben elnyúlik, oly komplex problémákat vethet fel, hogy vele önálló - újraértékelési - szakaszként célszerű számolni.
A projekt sikerességének értékelése: az eredmény összevetése a kitűzött stratégiai célokkal. A sikeresnek ítélt eredményt a szervezet elfogadja, beépül annak operációs működési mechanizmusaiba. A projektmenedzsment más eseteiben a projekt - esetleg formálisan is - itt lezárul, s bár a megvalósítás során felhalmozott tudás és ismeret alkalmazására a későbbiekben is sor kerülhet, az már a szervezet operációs működési mechanizmusaiban fejti ki hatását. Miután a szervezetet körülvevő gazdasági-társadalmi környezet változik, és a szervezet maga is fejlődik, a már megvalósult projekt nyomán beállt helyzet újbóli értékelésére mintegy szükségszerűen, időről időre sor kell, hogy kerüljön: ennek megfelelően lehet, vagy kell dönteni valamely, a körülményekhez igazítást célzó új projekt(ek) beindításáról.
Tekintettel az informatikai projektek igen jelentős beruházási igényére, valamint arra, hogy a hardver- és szoftver eszközök viszonylag gyorsan avulnak el, és a piac újabb, hatékonyabb és gyakran olcsóbb megoldásokat kínál, az egyes részelemek cseréje szinte folyamatos, ám sem az "alapprojekthez" hasonló volumenű beruházást, sem a már kialakult szervezeti rendszerek átalakítását nem igényel. Az újraértékelés szakaszában lényegében arról kell dönteni, hogy az eredetileg megfogalmazott, s lényegét tekintve változatlan stratégiai cél indokolja-e a korrekciót, s az elérhető előnyök indokolják-e a korrekcióval járó anyagi terhek vállalását. Ez a folyamatosság egyfajta igényével jelentkezik, kezelésére a vállalati operatív mechanizmusoknak kell felkészültnek lenniük.
Más a helyzet, ha a korrekció igénye az eredeti célkitűzések megvalósíthatóságának kérdését valamely, gyorsan és alapvetően megváltozott közegben veti fel. Ilyen változást jelenthet a gazdasági, üzlet közegének jelentős módosulása (új és komoly versenytársak piacra lépése, új piacok megnyitásának lehetősége, a gazdaság általános helyzetében beálló drasztikus változás [komoly inflációs vagy antiinflációs hatások, új adónemek, vámtételek megjelenése, egyes adónemek, vámtételek eltörlése], vagy a vállalat piaci helyzetét más módon érintő jelentős körülmény), de adódhat annak a szabályozási közegnek átalakulásából is, amely - jogi és nem jogi eszközökkel - a vállalkozás tevékenységét közvetett módon határozza meg. A kihívás két alapvető jellemzője - a körülmények jelentős megváltozása, és az, hogy, a változás gyorsan megy végbe - a vállalkozástól komplex és sürgős választ követel meg.
Ha az alapvető kérdés úgy merül fel, hogy infrastrukturális, beruházási igénnyel járó feladatokat (pl. a piaci pozíciók megőrzése vagy kiterjesztése érdekében indokolt-e új telephelyek, lerakatok, üzletek, logisztikai központok stb. nyitása, a termelési park modernizációja, munkatársak elbocsátása vagy épp létszámfejlesztés) kell-e végrehajtani, más típusú megközelítést és projektkezelést igényel, mint ha a már meglévő eszközök és források minőségileg más hasznosításának formáját ölti. Ha az ilyen súlyú probléma alapvetően az informatikával függ össze, új informatikai projekt elindításának igényét veti fel.
A változás csak nagyon ritkán érkezik "villámcsapás-szerűen": a gazdasági, piaci trendek alapján lényeges elemei és hatásai előre láthatók. Mindez a vállalkozásnak és a menedzsmentnek - amennyiben munkáját megfelelő szakértelemmel és elvárható gondossággal végzi - legtöbbször elegendő időt biztosít a reagálásra, a problémakezelés stratégiájának megfogalmazására és végrehajtására. Különösen így van ez akkor, ha a változás bekövetkezte adott - pontosan meghatározható időponthoz, vagy időszakhoz - köthető. Ilyen időpont volt a világ valamennyi, számítógépes társadalma és gazdasága számára gondot és fenyegetést jelentő "2000-es" (Y2K) probléma, amely először vetette fel átfogó informatikai célprojektek szükségszerűségét és (a probléma tudatosulása, komolyan vétele után) viszonylag gyors végrehajtásának igényét. S ilyen időpontként fogható fel Magyarország tervezett (bár pontosan még meg nem határozott) Európai Uniós csatlakozása is.
1999-ben - egy 163 amerikai nagyvállalkozásra kiterjedő felmérés szerint - az információbiztonság megsértésével okozott veszteség vállalatonként közel 560 000 dollárra volt tehető. Napjainkban egyedül az Egyesült Államok gazdaságában éves szinten tízmilliárd dollárra tehető az a kár, amely a vállalkozásokat hálózatok biztonsága elleni cselekmények révén éri. E számok IDC a 2000-2005 közötti időszakra szóló információtechnológiai-biztonsági előrejelzése szerint a biztonsági termékek piacának növekedésében is visszatükröződnek: 2000-ben csak Nyugat-Európában 1,8 milliárd dollárt kellett, 2005-ben viszont várhatóan már 6,2 milliárd dollárt kell az informatikai védekezésre és kárelhárításra fordítani. A Key Note felmérése szerint az Egyesült Királyságban az okozott kár nagysága 2002-re elérheti a 6 milliárd fontot. Nagyjából ekkora ráfordítást igényel a védekezésre fordított összeg is, amely éves szinten kb. 20%-os növekedésével kell számolni. Mindez a vállalkozásoknál, közintézményeknél, sőt, magánszemélyeknél felgyülemlett, pénzügyileg is kifejezhető értéket képviselő adat- és információs vagyon növekedésére vezethető vissza.
"Ma a társaságoknak az elektronikus információ minden típusa birtokában van. A társaságnak titkai, vagy információs tulajdona megőrzéséről - magának a társaságnak védelme érdekében - mindig gondoskodnia kell, s ezek az információk minden társaság esetében egyediek. Ugyanakkor a legtöbb társaságnak ma nagy számú, egyénekre vonatkozó információ is rendelkezésére áll - és sok esetben pont a vevőkre vonatkozó adatok nem részesülnek kellő védelemben: a fogyasztói listák ellopása - amelyekhez ha a versenytárs hozzájut, cégünknek komoly károkat okozhat - az ipari kémkedés legközönségesebb formájává vált. Vannak olyan társaságok is, amelyek - a környezetvédelmi ellenőrzéstől az automata gyártóegységeken át az automatizált árukészlet-kezelésig - folyamataikban számítógép vezérelte rendszerekre támaszkodnak. Az ilyen rendszerek elleni támadás végzetes lehet a vállalkozásra, vagy - a robotika, vagy gyógyászati készítmények területén - akár az életet is fenyegetheti. E kritikus folyamatok számára a biztonságosság lehető legnagyobb fokát elérő környezeti feltételeket kell biztosítani." - fogalmaz meg alapvető követelményeket az ismert amerikai IT-biztonságvédelmi szakértő, Donald L. Pipkin. Az információbiztonság "menedzselése" néhány év alatt a vállalatvezetés központi feladatai közé emelkedett, s szükségszerűen épült be a gazdasági folyamatok megtervezésének, bonyolításának rendszerébe.
A vállalati információbiztonság kialakítása a gazdasági-szervezeti változásokból adódó alapvető követelmény is. "Azokat a rendszereket, amelyek korábban függetlenek voltak, most egymáshoz kell kapcsolni. Egyes esetekben meg is kell szüntetni őket, s a helyükbe lépő új rendszereket a már meglévőkhöz kell kapcsolni. A felismert összeegyeztethetetlenségeket vagy a rendszerek felülvizsgálata, vagy a rendszereket összekapcsolási pontjaiba épített átalakítók révén kell megoldani. A folyamat eredményeként még több kapcsolási elemmel összekötött, még több rendszer és még több összeegyeztethetetlenség jön létre. A nagyvállalatok vezető tisztségviselői rettegnek saját információs rendszereiktől. Nehézséget okoz számukra, hogy tájékozódjanak az üzletmenetről, csakúgy, mint az, hogy a jelentősebb problémákra való megoldás keresésekor azok okait kielemezzék. Ha az üzletvitelben a változás igénye merül fel, e változás megvalósításának sokszor az információs rendszerek képezik leglényegesebb akadályait." - írja Fred A. Cummins az új, integrált vállalati rendszerek kiépülése nyomán előállt helyzetet összegezve.
A vállalaton belüli komplex információs rendszerek kialakulása, elektronikus kereskedelem terjedése, a globális vállalatirányítási rendszerek szaporodása, az elektronikus pénzügyi tranzakciók volumenének növekedése sajátos biztonsági kérdéseket (kriptográfiai eszközök alkalmazása, hiteles kommunikáció, tűzfalak és más védekezési rendszerek) vetnek fel: a biztonságos környezet kialakítása az elektronikus gazdaság fejlődésének előfeltételévé vált. Az információ- és adatbiztonság kérdése azonban az információs társadalom minden szereplője, minden, elektronikai-számítástechnikai eszközt használó személy és szervezet számára egyaránt problémát jelent.
Bizonyos típusú információk védelme (személyes adatok, államtitok, szolgálati titok) vagy bizonyos információs tartalom elleni védekezés alapvetően társadalmi kérdés: közügy. Ezt ismeri el jogi szabályozottságuk, amelyet a törvényhozó polgári alkotmányjogi (személyes adatok védelméhez és a magánélet sérthetetlenségéhez való jog), polgári jogi (személyiségi jogok; jogsérelem esetén a további jogsértéstől való eltiltáshoz, kártérítéshez stb. való jog), büntetőjogi (a társadalomra nézve különösen veszélyes cselekmények bűncselekménnyé nyilvánítása) eszközükkel biztosít. Adott körben (személyes adatok védelme, állami szervek adatfeldolgozása) a szabályozás különösen részletes is lehet, s az adatbiztonsággal kapcsolatos igazgatási normákat is tartalmazhat. Ez az oltalmi rendszer minden típusú jogvédelemben részesülő információra és információgazdára kiterjed.
Ugyanakkor ésszerűen az információgazdáktól is elvárható, hogy az információ védelmében bizonyos intézkedéseket megtegyenek. Attól függően, hogy mi a jogvédte tárgy, az elvárhatósági követelménynek való megfelelés a jogi védelemnek akár előfeltételét és képezheti, vagy - abszolút oltalomban részesülő érdekek esetében - hiányozhat is. A törvény a magántitok gazdáját pl. nem kötelezi különös védelmi intézkedések megtételére, az üzleti titokgazdát azonban igen: ez a büntetőjogi oltalom tényleges előfeltétele.
A vállalkozások esetében a vállalati információ biztonságának biztosítása alapvetően a gazdálkodó szervezetekkel szemben megfogalmazott általános követelmények között értelmezhető. Ezt a jog a vállalat törvényes működését meghatározó a számviteli, adó- és társadalombiztosítási jogi, társasági jogi szabályok között fogalmazzák meg legközvetlenebbül.
Az OECD 1999-ben elfogadott "Corporate Governance"-ajánlásában is tükröződő módon a nyilvánosan működő, tőkeegyesítő társaságok alapvető sajátossága, hogy elválnak egymástól a vállalatvezetési, és annak ellenőrzésére irányuló hatáskörök és jogosultságok. A társaság vezetése, törvényes működésének felelős biztosítása - megfelelő ellenőrzés mellett - a menedzsment, s elsődlegesen a vezető tisztségviselők feladata. A magyar társasági törvény ennek megfelelően a vezető tisztségviselők társasági ügyvezetési tevékenységével szemben kettős követelményt állít: egyrészt feladataikat "az ilyen tisztséget betöltő személyektől elvárható, fokozott gondossággal", másrészt a "gazdasági társaság érdekeinek elsődlegessége alapján" kötelesek ellátni. A jogszabályok, a társasági szerződés (alapító okirat, alapszabály), illetve a gazdasági társaság legfőbb szerve által hozott határozatok, illetve ügyvezetési kötelezettségeik vétkes megszegésével a gazdasági társaságnak okozott kárért a társasággal szemben a vezető tisztségviselők a polgári jog szabályai szerint felelnek [Gt. 29. § (1)]. Az ügyvezetés ellenőrzésére jogosult szerv kötelezettsége, hogy e jogát gyakorolja, tagjai pedig kötelezettségük elmulasztásáért felelősséggel tartoznak. Az USA Revised Model Business Corporation Act-je (RMBCA) az üzleti vállalkozások igazgatói és vezető tisztségviselői felé a "gondosság kötelezettségét" (duty of care) fogalmazza meg: ha a vállalkozás javára járnak el, a gondosság és figyelmesség követelménye szerint jóhiszeműen, a hasonló pozíciót, hasonló körülmények között betöltő személytől elvárható módon, a társaság ésszerűen a legjobban tartott érdekeinek megfelelően kell eljárniuk. E kötelezettségük megszegéséért a társaság s a részvényesek felé személyes felelősséggel tartoznak [RMBCA §§ 8.30(a), 8.42(a)].
A társaság jogszerű működésének biztosítása tehát általános követelmény, amelynek az ügyvezetésnek fokozott gondossággal kell eleget tennie. A "jogszerűség" fogalmát a hatályos jogszabályok a társaság működését, annak folyamatosságát, biztonságosságát érintő előírásai töltik ki konkrét tartalommal. Az "elvárhatóság" szintjét pedig alapvetően az a társadalmi-gazdasági közeg határozza meg, amelyben a társaság gazdálkodó tevékenységét kifejti. E közeg változása az ügyvezetéssel szemben új követelményeket támaszt. Amennyiben a társaság informatikai eszközöket használ, számítógépesít, rendszert épít stb. az informatikai biztonságosság alapvető követelményeit is meg kell teremteni. Ennek elmulasztása, vagy nem kielégítő megvalósítása (akkor is, ha a rendszer elleni támadás jogellenes, tilos és büntetendő cselekmény) felveti az ügyvezetés, és az ügyvezetés ellenőrzésére jogosultak felelősségét.
Nem véletlen tehát, hogy a világ vezető, információs társadalommá alakuló országaiban a vállalkozások az információs biztonság megteremtésére és folytonos javítására igen komoly figyelmet fordítanak. Az Egyesült Államokban elterjedt olyan szemlélet is, amely az elektronikus kockázatok (e-Risks) elleni védekezést kifejezetten mind a felelősség alóli mentesülés előfeltételét közelíti meg, s a végzett intézkedések révén elsősorban a vállalatvezetők személyi felelősségének kockázatát kívánja csökkenteni.
A vállalati információs- és hálózati biztonság (Enterprise Security) kérdése a vállalati stratégiák egyik legjelentősebbikévé vált, az ezzel kapcsolatos feladatokat a vállalatvezetők igen komolyan veszik. Indokoltan, hisz pl. adatok jogellenes nyilvánosságra kerülése a társaság üzleti megítélésében, "image"-ében szinte helyrehozhatatlan károkat, az ügyfelek tömeges bizalomvesztését okozhatja - a vállalati információs rendszereket ért sikeres külső, ártó szándékú támadás (pl. vírusok, adattörlés) pedig a piaci versenyben jelenthet pozícióvesztést.
Az információs biztonság menedzselése a vállalati informatikai stratégia részét képezi ugyan, de - miután funkcionálisan meghatározott célok kitűzéséhez, megvalósításához és a megvalósítás ellenőrzéséhez köthető, speciális szakértelmet igénylő kérdésekkel függ össze - azon belül önálló alrendszert képez. Az ellátásával kapcsolatos feladatok megoszlanak a vállalatvezetés különböző szintjei között: az alapvető döntéseket (pl. a védelmi rendszerek üzembe állításához szükséges beruházások, hozzáférési szintek kialakítása, általános ellenőrzési feladatok) a vezető tisztségviselőknek, vagy a vállalatvezetés testületének kell megoldania. A tevékenység szakmai, közvetlen felügyeletét az információs rendszerek működéséért felelős részleg, vagy személy látja el: ő az, aki egyben "jelent" is a vállalatvezetés felé. A közvetlen, operatív feladatok ellátásával azonban célszerű a megfelelő szakértelemmel rendelkező személyt (Information Systems Security Officer), vagy személyeket megbízni.
A vállalati információbiztonság feltételrendszerének azonban csak egy részét jelenti a szükséges hardver- és szoftverállomány (biztonsági eszközök) üzembe állítása, folyamatos működtetése, a biztonsági rendszerek ellenőrzése. Szükség van az alapvető vállalati biztonsági normák lefektetésére, a munkatársakkal és az adatállományhoz hozzáférő más harmadik személyekkel való megismertetésére, a normák betartására és annak folyamatos ellenőrzésére is, csakúgy, mint a vállalat teljes belső- és külső kapcsolati rendszerének áttekintésére, a biztonság érdekében szükségesnek tartott intézkedések megvalósítására. Ez részben általános stratégiai célok kitűzését, részben az azok valóra váltásához szükséges folyamatok megtervezését - ide értve a szervezési és jogi részfeladatokat is - jelenti.
A kialakított előírásrendszer betartásával, ellenőrzésével kapcsolatosan komoly szerep hárul a közvetlen munkahelyi vezetőkre is. Az információbiztonság vállalati rendszerének hatékony működése tehát komoly koordinációt, szervezési feladatokat és - esetenként - jelentős anyagi ráfordítást igénylő feladat.
A menedzsment az információs jogbiztonság magasabb szintjének megteremtésével kapcsolatos feladatai is hasonló követelményeket vetnek fel. A piaci környezet várható, alapvető változásaira az ügyvezetésnek "az ilyen tisztséget betöltő személyektől elvárható, fokozott gondossággal", a "gazdasági társaság érdekeinek elsődlegessége alapján" fel kell készülni, a társaság gazdálkodásának folytonosságát - nyereség elérésére törekedve - biztosítani kell.
E kötelességmulasztás következményei természetesen nem olyan közvetlenek és "látványosak", mint pl. az informatikai rendszer összeomlása, bizalmas adatok nyilvánosságra kerülése, ám a társaság jövője szempontjából jóval nagyobb károkat okozhatnak - akár a gazdálkodás ellehetetlenüléséhez vagy csődhelyzethez is vezethetnek. A menedzsmentnek ilyen helyzetekben azt kell biztosítania, hogy a társaság a megváltozott gazdasági-jogi környezethez igazodva is megőrizze versenyképességét. Ennek megfelelően kell "rákészülni" a változásokra - az új követelményekre való átállásra. Ha ezt elmulasztják, és a versenyhelyzet romlásának következményei beállnak, kríziskezelő stratégiákkal lehet ugyan próbálkozni, ezek eredményességére érdemben csak hosszabb távon, jelentős piac- és tőkevesztés után lehet számítani.
Az informatikai jogbiztonság megteremtése ugyanakkor nem jár jelentősebb beruházási igénnyel: a társaság eszköz- és humán erőforrásának jobb kihasználásával lehet biztosítani. Nem új irányítási szintek, vagy vállalati funkciók létrehozása a cél, hanem az, hogy a vállalati menedzsment minden szintjén dolgozók tisztában legyenek megváltozott feladataikkal, s munkájukat az új követelményeknek megfelelve lássák el. A felkészülés akkor sikeres, ha a vállalat "átállása" az új piaci és szabályozó környezet követelményeire a lehető legzökkenőmentesebben megy végbe.
Magyarország Európai Uniós csatlakozása a gazdasági élet szereplői számára igen nagy jelentőségű változásokkal jár együtt. A legfontosabb talán az, hogy a magyar vállalkozások immár teljes joggal léphetnek ki a belső piacra, ugyanakkor a külföldi vállalkozások a magyar vállalkozásokkal azonos feltételek mellett kapcsolódhatnak be a magyar gazdasági életbe. Ez a piaci versenyhelyzet fokozódásával jár: a magyar gazdálkodó szervezetek számára belső piaci szereplőként, vagy a hazai piacon a más tagállamok szolgáltatásnyújtóival versenyhelyzetbe kerülő vállalkozásokként olyan körülmények is fontossá válnak, amelyek korábban a nemzeti piac körülményei között még nem számítottak prioritással bíró tényezőnek. Ezek egyike az információbiztonság és információs rendszer-biztonság is.
Ugyanakkor az a szabályozási közeg is jelentős módosuláson megy át, melyben a magyar vállalatok tevékenységüket kifejtik: a magyar jog szabályai mellett az itthoni piacra nézve is megjelennek az EU közvetlen módon érvényesülő normái, a más tagállamokban kötött üzletek esetében pedig az illető tagállamban alkalmazandó fogyasztóvédelmi, tájékoztatási, termékbiztonsági, szavatossági stb. - az irányelvi szintű jogharmonizáció sajátosságaiból következően - nem teljesen azonos előírásai. A magyar vállalkozás számára a belső piac jelentős jogbiztonsági problémát is felvet: kilépve a nemzeti jog megszokott és ismert (de legalábbis egyszerűen megismerhető) közegéből, működése jogszerűségét csak úgy tudja biztosítani, ha ebben az egységesülő, de épp a magánjogi-kereskedelmi viszonyok körében számtalan apró eltérést produkáló szabályozási közegben is biztonsággal ismeri ki magát.
A jogbiztonság kérdése egyrészt általánosságban a biztonsági tényező révén köthető az információbiztonság és információs rendszer-biztonság kérdéséhez, különösen pedig azért, mert az utóbbival kapcsolatos követelményeket az Európai Unióban alapvetően - a magyar jogközelítési folyamat során még zömében átvételre nem került, illetőleg jelenleg kialakítás alatt álló - jogi eszközök szabályozzák. Ezek közül kiemelkedő fontossággal bírnak az információ közzétételével, megosztásával, továbbításával, cseréjével, az információs rendszerek technikai alapú védelmével kapcsolatos előírások.
Az információbiztonság a legáltalánosabb kategória: egyaránt magában foglalja a valamely adat, tény, ismeret megbízhatóságára (tényszerű, igaz voltára), hitelességére (valamely információközlő személyéhez való hozzárendelés), a közlési és megismerési folyamat s a létrehozott, tárolt, megosztott és megismert információ bizalmasságára vonatkozó követelményeket. Egyes információtípusok (a természetes személlyel összefüggésbe hozható adat, az üzemi, banki, üzemi titok, az eredeti gondolatkifejtés, a mű stb.) önálló (adatvédelmi, titokvédelmi, szerzői jogi stb.) védelemben részesülnek. Kezelésük, felhasználhatóságuk abban az esetben is szabályozott lehet, ha az nem számítógépi-informatikai rendszerek igénybe vételével történik. A jogi ismeret megbízhatósága, tényszerűsége is információbiztonsági kérdés: a jog nem tudása a jogkövetkezmények alól általánosan nem mentesít, a szankciók mindenképp beállnak, ám épp a jogszabály nem ismerete miatt azokkal előre természetesen számolni sem lehet.
Az információs rendszerek biztonsága már kifejezetten az elektronikai eszközökkel tárolt, feldolgozott és továbbított információ kérdése. A biztonság igénye közvetlenül az elektronikus eszközökkel tárolt, feldolgozott vagy továbbított információk felhasználói és előállítói oldaláról jelentkezik: e felhasználók és előállítók az információs társadalomban betöltött szerepétől függően azonban kiemelt, társadalmi jelentőségre tehet szert (pl. a közintézményeknél, közüzemi szolgáltatóknál az állampolgárok százezreiről tárolt személyes természetű adatok, az egészségügyi információ vagy a - magán- vagy közcélból - titkosnak minősített információ fokozott jogvédelme, s ennek megfelelően magasabb technikai-védelmi követelmények előírása).
Az információ- vagy adatbiztonság szűkebb értelemben véve az információ (adat) jogosulatlan megszerzése, módosítása és törlése elleni műszaki és szervezési intézkedések, eljárások együttes rendszerét jelenti: tágabb értelemben azonban ide értjük az információs rendszer, vagy rendszerek operabilitásának (rendeltetésszerű működőképességének) és interoperabilitásának (rendeltetésszerű együttműködési képességének) biztonságával kapcsolatos kérdéseket is. A hálózati biztonság tipikusan a számítógépes világháló, mint kommunikációs hálózat segítségével integrált elektronikai eszközök rendszerének biztonsága: tágabb értelemben véve azonban ide tartoznak a vállalaton belüli intranet-rendszerek, valamint a zárt vállalati rendszerhez való bármely hozzáférés (adatkapcsolatok) biztonsági kockázatai is.
Az információ elektronikus úton való tárolásáért, feldolgozásáért, továbbításáért, így a tárolt információhoz való hozzáférés mindenkori lehetővé tételéért vagy bizalmasságának megőrzéséért, a feldolgozott információ hiteles (autentikus) voltáért, a továbbításért vagy megosztásért (közzétételért) közvetlenül az felel, aki az adott műveletet végzi, vagy akinek érdekében és utasítása szerint eljárva a műveletet elvégzik. Felel azokért a tevőleges cselekményekért és mulasztásokért is, amelyek révén az információhoz való hozzáférés ellehetetlenül, az információ elveszik, vagy azt megváltoztatják, a továbbítás elmarad, vagy arra hiányosan kerül sor, olyan információt tartanak vissza, amelyet megismerhetővé kellett volna tenni, vagy olyan információ válik megismerhetővé, melynek - bizalmas jellegénél fogva - titokban kellett volna maradnia, vagy az információ közzétételére a jogosult hozzájárulása nélkül került sor.
A jogi felelősséget elismerő szankción túlmenően a gazdálkodó szervezeteknek a "piac szankcióival" is számolni kell: bizalmas adatok, a gazdálkodásra, üzletpolitikára vonatkozó elképzelések, ügyféllisták nyilvánosságra kerülése vagy csak jogosulatlan személyek általi megismerése is hátrányosabb versenyhelyzetbe kerüléssel, a partnerek és fogyasztók bizalmának elvesztésével járhat együtt. Magyarország Uniós csatlakozásának pillanatától e felelősségi kérdések és gazdasági természetű következmények már nagyobb, átfogóbb dimenzióban jelentkeznek.
Az Európai Közösségek a nyolcvanas évek végétől kezelik az információs rendszerek biztonságát kiemelt társadalmi kérdésként: a Tanács - attól a felismeréstől vezérelten, hogy az elektronikus eszközökkel tárolt, feldolgozott és továbbított információ a gazdasági tevékenységekben egyre nagyobb szerepet játszik, és a hatékony globális kommunikáció korszakának eljövetele, valamint az információ elektronikus kezelésének általánossá váló igénybevétele az információ megfelelő védelmét teszi szükségessé - 1992-ben akcióprogramra irányuló határozatot fogadott el az információs rendszerek biztonságáról.
A határozat szerint a modern társadalomban az információs rendszerek biztonsága a minőség egyik meghatározó összetevője. Az elektronikus információs szolgáltatásokhoz biztonságos távközlési infrastruktúrára, hardver- és szoftvereszközökre van szükség, de a felhasználás és a kezelés biztonságát is meg kell teremteni. Amire feltétlenül szükség van: az információs rendszerek biztonságának összes vonatkozását átfogó, a részmegoldásokat kerülő stratégia. Bármely ilyen stratégiának - gyorsan átalakuló világunkban - a társadalom hatékony működésére és védelmére való törekvését kell tükröznie.
Ezen túlmenően a határozat azt is felismerte, hogy az információs rendszerek biztonsága az üzleti alkalmazások, a szellemi tulajdon és a titoktartás integritásának és hitelességének is eredendő előfeltétele. E komplex igények elkerülhetetlen következménye, hogy "nehezen tartható egyensúly", helyenként választási kényszer jön létre a szabad kereskedelem iránti elkötelezettség és a személyiségi jogok, valamint a szellemi tulajdon biztonságának szavatolása közötti elkötelezettség között.
A felhasználók szintjén a biztonság iránti igények elsődlegesen az információs rendszerek technológiai, operációs és szabályozó vonatkozásaival összefüggő biztonsági funkciókra vonatkoznak: ennek részét képezi a számítógépek a külvilágból kezdeményezett illetéktelen behatolásokkal való védelmének, kommunikációjuk bizalmasságának biztosítására vonatkozó igényük is.
Ennek érdekében tűzött ki a Tanács konkrét célokat, és indult egy olyan, általános és speciális (egyes falhasználói csoportok sajátos igényeit is figyelembe vevő) helyzetfelmérési folyamat, melynek eredményeként az 1992-ben még nyitott problémák zömére (információbiztonsági intézkedések összehangolatlansága, egységes védelmi lehetőségek és osztályozási rendszerek, hitelesítési, integritási kriptográfiai technikák és eljárások, specifikációk és szabványok hiánya) közösségi szinten kívánt válaszokat kidolgozni.
Az elmúlt évtizedben a folyamat jelentős részeredményeket ért el. Az információtechnológiai bűnözés kérdésére, az ellene való védekezés módozataira, valamint az adatvédelem és kriptográfia követelményeire is kiterjedően egyfelől tanácsi ajánlások, parlamenti és tanácsi rendeletek, irányelvek sora révén viszonylag széles körben alakultak ki egységjogi megoldások, másfelől maga a közösségi információbiztonsági politika is tovább formálódott, megfelelőbb és hatékonyabb megoldásokra törekedve újabb és újabb területeket tárt fel.
Az információbiztonság az 1999-ben indult Elektronikus Európa-kezdeményezésben, és a 2000. június 19-én és 20-án tartott Feira-i Tanácsülésen meghirdetett eEurope 2002 Akciótervben is központi kérdésnek minősült. A stockholmi Tanácsülésen döntés született arról, hogy a Bizottság és a Tanács a hálózati biztonság kérdéskörében átfogó stratégiát, s annak a gyakorlati átültetésére vonatkozó akciótervet dolgoz ki. E döntés végrehajtásának keretei között született meg 2001 júniusában az európai hálózati- és információs biztonság európai politikájának hátterét fő vonalait vázoló bizottsági tájékoztatás, majd az eEurope-akcióterv keretei között az információ- és hálózati biztonság kérdésköréről rendelkező tanácsi határozat, illetőleg - ezek továbbfejlesztéseként - 2002 januárjában a hálózati és információs biztonság területének problémái együttes megközelítésről és egyes konkrét akciók végrehajtásáról rendelkező tanácsi határozat.
Ez utóbbi dokumentum bevezetője kiemeli: az információcsere és az adatok biztonsága az elektronikus szolgáltatások nyújtása - ide értve az elektronikus kereskedelmet és az online közszolgáltatásokat is - szempontjából létfontosságúvá vált, a biztonságosságba vetett csekély bizalom e szolgáltatások e szolgáltatások bevezetésének elterjedését komolyan veszélyeztetheti. Szükség van arra, hogy az egyének, a vállalkozások, a közigazgatási szervek és más szervezetek - ahol ez szükséges - hatékony biztonsági technológiák kidolgozásával tegyenek óvintézkedéseket saját adataik, információik, kommunikációs rendszereik védelmében. A versenyhelyzetben cselekvő, innovatív lehetőségeivel élni tudó európai magánszektor a piaci szükségletekhez igazodó megoldások sorát dolgozta ki.
A területre vonatkozó közösségi politika és jogalkotás nem arra törekszik, hogy ezek helyébe lépjen: számot vetve a hálózati biztonság kérdéskörének globális és decentralizált problémafelvetésével feladata elsődlegesen egy közös európai megközelítés kialakítása, a tagállamok közötti együttműködés támogatása, a belső piac hatékonyságának fokozása és az európai vállalkozások a globális piacra való kilépésének elősegítése. Ennek megfelelően a közösségi jog eszközeivel olyan információbiztonsági problémák kezelésére törekszik, amelyek a szolgáltatások és adatok hozzáférésének biztosítását, az adatok változatlanságának megerősítését, a bizalmasságot, az információs rendszerek jogosulatlan hozzáférések elleni védelmét, a kártékony szoftverek elleni oltalmat, a megbízható azonosítás lehetőségét, az információbiztonsági szabványok kifejlesztését és általánosan alkalmazottá tételét segítik elő.
Ez azonban semmiképp nem válthatja ki a magánszféra szerepvállalását: a Tanács arra hívta fel az európai gyártókat és szolgáltatásnyújtókat, hogy a biztonságot - mint termékeik és szolgáltatásaik szerves és lényegi részét képező elemet - erősítsék, s működjenek közre a közösségi szintű politikai célokhoz rendelt akciókkal, anyagi és jogi eszközökkel együttesen kialakítandó biztonsági környezet megteremtésében.
Az információ technikai-technológiai alapú védelmének biztosítása mellett az Európai Unió politikái és jogalkotása ugyancsak nagy súlyt helyeznek az információhoz jutás és közlés szabadságának, mint alapvető jogoknak érvényesítésére is. Az információhoz jutás joga egyrészt igen erős (alapjogi) jogosítványt jelent bizonyos, közérdekű információk megismeréséhez, illetőleg - a versenyszférában, főként a fogyasztói ügyletek körében - valamely kereskedelmi ügylettel összefüggő tájékozódáshoz, másrészt - mindkét körben - szigorú kötelezettséget az információ az érintettek általi hozzáférhetővé tételéhez.
A nyilvános szektorból származó (közszolgálati) információkhoz jutás nem csak a polgárt megillető lényeges jog, nem csak egyik előfeltétele annak, hogy a politikai folyamatok aktív és tényekre alapozott véleményt alkotó részese legyen: a vállalkozások (kiemelt fontossággal: a kis- és középvállalkozások) számára a versenyképesség, a gazdaság tovább pozitív fejlődésének egyik alapfeltétele. Mindez az eEurope-akcióterv elektronikus kormányzat (e-government) és a közszolgálati információhoz való hozzáférés részprogramjaiban teljesedik ki.
E programok alapvető célja a "közigazgatás a polgárokhoz és az üzleti szférához való közelebb hozása", a közszolgáltatásokhoz, közhasznú információkhoz való elektronikus hozzáférés biztosítása. Mindkét program jelentős elvárásokat fogalmaz meg a tagállamok felé is. Az Unió intézményei és a tagállamok üzleti szféra felé irányuló, máris igen széles körben hozzáférhető közcélú (pl. közbeszerzési felhívások, igénybe vehető pályázati, támogatási lehetőségek, irányadó jog, egy-egy üzletágra vonatkozó speciális tudnivalók) információi a magyar vállalkozások számára is nélkülözhetetlennek bizonyulhatnak - a vállalkozásoknak azonban meg kell tanulniuk élni ezekkel az információkkal. A jövő Európájában megalapozott üzleti döntések (amely a vállalkozások hatékony és jogszerű működésének egyik alapkövetelménye) csak a belső piac viszonyainak pontos ismeretében hozhatók.
Az üzleti élet szereplőit azonban (a hatóságok, az üzleti világ többi szereplője és a fogyasztók felé) széles körű tájékoztatási kötelezettség is terheli. Az így megosztandó információ egy része (pl. nyilvános cég- és mérlegadatok) közérdekűnek minősül, bárki számára megismerhető, más része már képezhet üzleti vagy adótitkot. A távollévők közötti fogyasztói ügyletek körében (elektronikus kiskereskedelem, e-tailing) az eladót a közösségi normák által pontosan meghatározott körben terheli tájékoztatási kötelezettség. Más szerződéses kapcsolatokban is speciális követelmények vonatkozhatnak a szerződés megkötése előtt, az ajánlattétel során kötelezően közzé teendő információkra. A pénzügyi-befektetési szolgáltatások körében a közösségi jog szabályai hasonlóan szigorú előzetes tájékoztatási kötelezettséget írnak elő. E kötelezettségek elmulasztása jelentős, a vállalkozást súlytó szankciókkal jár.
Valamely közzé tett tartalom két további, lényeges szempontból is felvethet jogi kérdéseket. A kereskedelmi kommunikáció, a reklám közösségi általános, és egyes termékcsoportokra vonatkozó különös jogi szabályai az elektronikus kereskedelemre nézve is irányadók, e közegben azonban további, speciális előírásoknak is érvényesülniük kell, illetőleg további jogalkotás van folyamatban. Ezen túlmenően a reklámjog körében az egyes tagállami nemzeti jogok is megállapíthatnak specifikusan érvényesülő többletszabályokat (pl. nyelvi előírások, egyes termékcsoportok reklámlehetőségeinek korlátozása). A másik, a közzé tett tartalommal összefüggő kérdéscsoport szerzői jogi problémákat érint. A közösségi jogalkotás az elmúlt évtizedben arra törekedett, hogy a szerzői és szomszédos jogok védelmét az alakuló információs társadalom közegében is biztosítsa. E téren is számolni kell a folyamatban lévő, Magyarország taggá válásakor azonban már várhatóan hatályos új, közösségi jogi szabályokkal.
E terjedelmileg is igen jelentős, szerteágazó közösségi joganyag nagy része a magyar jogközelítés egy évtizedes folyamatában ugyan már átvételre került, a magyar jog "megfelelőségét" az Unió elismerte. Valójában azonban a zömmel irányelvi szinten zajló, nem kellőképp koordinált jogegységesítés bonyolult, gyakran nehezen áttekinthető, a párhuzamos szabályozásokat sem mellőző jogi közeget hozott létre - felszámolása, a közösségi jog "átláthatóbbá tétele", a "minőségibb jogalkotás" megvalósítása napjainkban a közösségi intézmények egyik legfontosabb feladatát képezi. Az olyan kezdeményezések azonban, mint a SLIM vagy a BEST várhatóan csak a magyar csatlakozás utáni időpontban hoznak komoly, értékelhető eredményeket: a magyar vállalkozásoknak azonban e közegbe kell bekapcsolódniuk - s az elérhető legnagyobb biztonsággal működniük.
Egy európai igényű információbiztonsági program kialakításakor és menedzselése során ezekre a szempontoknak, s a hatályos joganyag rendelkezéseinek kiemelt fontosságot kell tulajdonítani.
A vállalati információbiztonság menedzselése alapvetően az ügyvezetés feladata és felelőssége, amelyet - lehetőségei szerint saját eszközeivel és erőforrásaival, a vállalati stratégia részként kell megoldania. Külső szakértők igénybe vétele ott indokolt, ahol a társaság a megfelelő szakértelmet nem tudja biztosítani, vagy a feladatok sajátos jellege ezt különösen indokolttá teszi. Ilyen feladatok felmerülése esetén a legfontosabb döntést - szükség van-e információbiztonsági projekt elindítására - a vállalatvezetésnek, vagy ha az annak hatáskörébe tartozik, a menedzsment előterjesztése alapján a tulajdonosnak kell meghoznia. Az információbiztonsági menedzsment: folyamat, amely alapvetően hat, egymást követő, és az előzőre építő lényeges lépésből áll.
Az első lépés a probléma feltárása. Erre az információ a vállalati döntésekben, folyamatokban betöltött szerepének vizsgálata ad lehetőséget. A vállalatvezetésnek képesnek kell lennie arra, hogy a vállalat működését folyamataiban lássa, olyan összetett, sokelemű rendszerként ragadja meg, amely belső és külső kapcsolatrendszereit (ide értve beszállítói, vevői kapcsolatait is), az irányítást, ellenőrzést és értékelést egyaránt átfogja, és az ezekhez kapcsolódó információmozgásokat (és információtovábbítási lehetőségeket) is értelmezi. Formailag legszerencsésebben ez talán komplex folyamatleírások, vagy szervezeti diagramok útján képezhető le: az alapvető cél azonban most nem a szervezet reorganizációjának, a vezetési szintek döntési kompetenciáinak, vagy a controlling-folyamatoknak elemzése, hanem honnan érkeznek, milyen típusúak, a szervezeten belül hogyan mozognak, hol összegződnek, és miként, ki számára férhetők hozzá azok az információk, amelyek a vállalkozás sikeressége szempontjából fontossággal bírnak. A piaci-gazdasági trendekkel összevetve, és - a konkrét esetben - az EU-csatlakozásra való felkészülés, majd a csatlakozás után valószínűsíthető új helyzet függvényében tárható fel, hogy milyen jellegű új, a vállalkozás sikerét segítő információra van szükség, ehhez honnan lehet hozzá jutni, s annak elosztása, telepítése a szervezeten belül hogyan indokolt. Számolni kell azzal is, hogy az egyes információtípusok kiesésének, a megfelelő szervezeti szinthez való nem kellően hatékony vagy gyors eljutásának milyen következményei lehetnek.
A már elkészült, az információáramlás technológiai eszközrendszerét is bemutató folyamatleírások és/vagy szervezeti diagramok a vállalati információs rendszer sajátosságainak és sebezhető pontjainak kimutatását is lehetővé teszik. E funkcionálisan önálló (biztonsági audit) szakasz - csakúgy, mint az első - kockázatelemzésre törekszik: ám míg az első az adat, ismeret gazdasági-döntéshozatali értékére (tartalmára) összpontosít, a második az információkezelés, hozzáférés, tárolás, továbbítás emberi, gépi, technológiai vonatkozásait tárja fel. Két fő szempontra összpontosít: a technikaira (a rendszer biztonsága) és az emberire (a rendszer működésének biztonságossága). A rendszer működésének biztonsága a használt hardver- és szoftverállomány, az adattovábbítási rendszerek biztonságosságától függ - a működtetés biztonsága attól, hogy azok, akik ezeket az eszközöket kezelik, használják, azokhoz hozzáférnek jogosultságait csak az azok által meghatározott körben, kellő szakismerettel és óvatossággal, és - ha vannak ilyenek - a vonatkozó biztonsági szabályoknak megfelelően gyakorolják-e.
Ez az áttekintés teszi lehetővé a tényleges - technológiai és humán - kockázati tényezők összegző kimutatását, és egyben lehetőséget ad a továbblépésre, az információbiztonsági célok megfogalmazására. Az alapvető cél nyilvánvalóan az, hogy a vállalati információhoz csak a megismerésükre jogosultak jussanak hozzá. Ennek megfelelően kell az információtípusokat hozzárendelni külső (a nagyközönség, az üzleti partnerek tájékoztatását szolgáló, vagy a hatóságok felé információszolgáltatási kötelezettség teljesítése körében továbbított) és belső (a vállalati folyamatokhoz kapcsolódó információ) követelményekhez, majd meghatározni a hozzáférésre jogosultak körét (hozzáférési szintek kialakítása), és a hozzáférés technikai módozatát (a jogosítottság gyakorlásának mikéntje). Ezt követően lehet az információbiztonsági szinteket meghatározni: megtenni minden szükséges intézkedést annak érdekében, hogy a jogosítotti körön kívül az adott információtípushoz ne férjen hozzá. Ez feltételezi a szükséges belső szabályzatok kibocsátását, a felelősségi és ellenőrzési rend meghatározását, valamint a szükséges technikai védelmi intézkedések folyamatos biztosítását és ellenőrzését. Adott információs kör (ügyfélkapcsolatok, számlázási, könyvelési adatok, ügyfelekről tárolt személyes jellegű adat stb.) számára mindenképp fokozottan biztonságos környezetet kell teremteni. Az elektronikus információ szolgáltatásának bizonyos típusai (pl. közönségszolgálati tájékoztatók, PR-anyagok, katalógusok stb.) nem tartalmuk bizalmassága révén tartanak számot különös oltalomra, hanem az információszolgáltatás sajátos módjából (vállalati honlap megváltoztathatatlanságához fűződő érdek) adódóan. Ugyancsak kiemelt figyelmet kell fordítani a vállalat más elektronikus információs rendszerekkel való összekapcsolódásának, kompatibilitásának, és e-business-megoldásainak hozzáférési és biztonsági kérdéseire.
Mindezek alapján összeáll az információs célok katalógusa - a már korábban feltártak függvényében pedig megnyílik a vállalat információbiztonságának részletekbe menő áttekintése, a biztonságosság megítélése. Alapvetően azt kell eldönteni, hogy a rendelkezésre álló - szabályozó és technikai - eszközök, valamint a vállalatot körülvevő gazdasági-társadalmi közeg függvényében a biztonságosság megfelelő fokát nyújtva elégségesek-e, kielégítik-e a megfogalmazott célok követelményeit. E kiértékelő szakaszban olyan szempontokra is figyelemmel kell lenni, mint a vállalat dolgozóinak általános információbiztonsági morálja, a vonatkozó belső szabályzatok és jogszabályok ismerete, az információbiztonság vállalati koordinációja és az egyes részlegek közötti együttműködés hatékonysága.
A helyzetfelmérés ezzel befejeződik: a következő szakasz már az értékeléssel kimutatott helyzet megváltoztatásának konkrét tennivalói számbavételét jelenti. Az elérni kívánt célok és a meglévő hiányosságok ismertek: a feladat legáltalánosabban a célok elérése, a hiányosságok felszámolása. Célszerű egyes, nem várt, vagy valószínűtlen eseményekre (pl. honlapfeltörés, adatvesztés, vírusfertőzés) "katasztrófa-terveket" is készíteni. Mindennek azonban komoly pénzügyi vonzatai, humán erőforrás- és eszközigénye van, amit pontosan és előzetesen fel kell mérni, mint ahogy azt is, hogy az intézkedések anyagi terhének vállalására a vállalat képes-e, honnan teremti elő a szükséges forrásokat, a szükségesnek tartott intézkedések megtételéhez kell-e külső segítség, szakértelem bevonása, s hogyan érhető el a célzott eredmény a legköltségkímélőbb, de még kielégítő megoldással.
Az utolsó szakasz az így kialakult cselekvési terv megvalósítása. A célok, tennivalók és költségek ismeretében (határidőket tűző) menetrendet kell készíteni. A végrehajtásnál arra kell törekedni, hogy a szükségszerű átállások a vállalat normális üzletmenetét ne veszélyeztessék, vagy abban csak a legszükségesebb és lehető legrövidebb ideig tartó fennakadást okozzák. Lényeges, hogy az átállás időszakában is biztosítani kell az alapvető információk áramlását, fogadását, közzétételét. A technikai alapú változásokat megelőzően ki kell dolgozni az új korábban hiányzó, vagy módosítani kell a meglévő szabályzatokat, fel kell készíteni a munkatársakat az új ismeretek elsajátítására. Ez workshopok formájában, vagy komplex oktatási programok keretében történhet. Ezt követi a szükséges technológiai változtatások, fejlesztések elvégzése, a munkatársak gyakorlati betanítása és a rendszerek tesztelése. A folyamat utolsó állomása az átfogó, minden területre kiterjedő értékelés, és a rendszer aktiválása.
Az információbiztonsági projektmenedzsment itt vázolt folyamata általánosnak tekinthető modell, amely a vállalat sajátosságaitól függően az adott helyzetben specifikációkkal alkalmazható. Az EU-csatlakozásból eredő követelményekre reagáló információbiztonsági projekteknek azonban számos további sajátossággal rendelkeznek, alapjukat azonban a követelmények megismerése képezi. Ezt követően az EU-követelményeknek való megfelelési igényből adódó konkrét tennivalók már közvetlenül épülnek be a projektmenedzsment folyamatának egyes szakaszaiba.
Mindez a projekt menedzselésében közre működőktől jelentős erőfeszítést, a vállalat vezetésétől és munkatársaitól pedig nagyfokú együttműködést, csapatkénti együtt munkálkodást követel meg. A projektmenedzsment maga is team-munka, ahol együtt kell munkálkodniuk különböző területek szakembereinek, vállalati dolgozóknak és külső szakértőknek.
A team, vagy team-ek összefogása, a speciális részfeladatok megvalósításának összehangolása komoly szervezési feladat, mely jelentős szakismeretet és gyakorlatot igényel, s a felelősség magas szintjét követeli meg. A célkitűzés specifikus voltára tekintettel - felkészülés az EU-csatlakozásra - olyan feladatok merülnek fel, amelyek csak szerteágazó jogi, informatikai szakismeretek birtokában oldhatók meg eredményesen. Különösen vonatkozik ez a közösségi jogi, tagállami normáknak való megfelelés kérdéseire, az információbiztonság "euro-kompatibilitásának" elérésére.
A siker valódi záloga azonban - Kovachich szavaival - annak a változó környezetnek megértése, amelyben az információbiztonság kérdései felmerülnek, és amely legfontosabb hajtóerőként diktálni fogja, hogy mit kell tennünk információs rendszereink, s az általuk tárolt, feldolgozott vagy továbbított információ védelmében - de a vállalkozás európai jövőjének biztosítása érdekében is. ■
Visszaugrás
