raffai mária ph.d. professzor széchenyi istván egyetem mtk [email protected]

NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.

Az informatikai biztonság,Az informatikai biztonság,mint az üzletmenet-mint az üzletmenet-

folytonosság alappillérefolytonosság alappilléreavagyavagy

az informatikai biztonság az informatikai biztonság egy másik aspektusaegy másik aspektusa

Raffai Mária Ph.D.professzor

Széchenyi István Egyetem [email protected]

2NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.

egy veszélyes becsapódás


Katasztrófák, avagyKatasztrófák, avagy

Mi történhet egy óra leforgása alatt ... Mi történhet egy óra leforgása alatt ... 8.45 becsapódás a WTC északi toronyba 9.03 becsapódás a WTC déli tornyába

- tűzoltók mentők azonnali riasztása, perceken belül a helyszínen voltak

- 40 ezer ember dolgozik a tornyokban, a többség megmenekül - repterek, hidak, alagút lezárása, Manhattan déli részének

kiürítése 9.30 az elnök bejelentése 9.43 becsapódás Washingtonban

- 24 000 dolgozó evakuálása- fontosabb kormányhivatalok kiürítése

10.05 a WTC déli tornya összeomlik 10.10 a Pentagon megrongált szárnya összeomlik 10.28 a WTC déli tornya ledől 10.48 Pittsburg-ben lezuhan egy utasszállító 11.18 az eltűnt gépek azonosítása

katasztrófák


8.458.45

9.039.03

10.4810.48

9.439.43

katasztrófák


Cégek az epicentrumban - emberéletekCégek az epicentrumban - emberéletekElső az emberéletek mentése!Első az emberéletek mentése!

Alianz Group biztosítótársaság300 munkatárs, mindenki megmenekült

Bank of America400 munkatárs, 8 eltűnt

AON Risk Service biztosítási alkuszcég1100 dolgozó többségük megmenekült

Marsh and McLennan biztosítási társ.1700 dolgozóból 1300 élte túl

Morgan Stanley befektetési bank- irodák 25 emeleten, 3500 ember, 40 áldozat- már szerdán folytatta a munkáját, adatait és rendszereit ui. egy távolabbi helyen

is tárolta Deutsche Bank

- 360 ember, mind megmenekült- munkáját másnap a háttérrendszeren folytatta

Price Waterhouse Cooper könyvvizsgálócégnem állt le, a biztonsági intézkedések megerősítése mellett folytatta a munkát

katasztrófák


Cégek az epicentrumban - károkCégek az epicentrumban - károkKárok, New York-i telephelyek bezárásaKárok, New York-i telephelyek bezárása

Merrill Lynch: 9 000 embert evakuált, és bezárta NY-i kirendeltségét Sidely Austin Brown: megszűntette New York-i kirendeltségét Credit Swiss: a toronyban lévő irodákat bezárta, a többi 4 kereskedelmi központban folytatta

munkáját IT infrastruktúra károk: több, mint 16 milliárd dollárra becsülik; a Wall Street-i tőzsde nagysebességű

vonalainak 20%-a rongálódott

Távközlési problémákTávközlési problémák AT&T: csak kis részben rongálódás (a WTC alagsorában volt a központ és kapcsolóberendezés),

inkább túlterhelés Verizon: 200 ezer telefon és 3 millió adatvonal-kezelő központja teljesen megsemmisült Cingular mobil-szolgáltató: a szokásosnál négyszer nagyobb forgalmat bonyolított Internet-nek nem jelentett különösebb problémát, mert a WTC-ben csak egy üvegkábel sérült,

gerinc-hálózati funkciók ott nem voltak.

katasztrófák


Járulékos problémákJárulékos problémák

a WTC-ben lévő többszáz cég legkiválóbb szakembereinek több mint harmadát veszítette el, köztük vezető tanácsadókat, a sikeres folytatás a szakértők hiányában kétséges

írott szerződések hiánya bonyodalmakhoz vezet (az elektronikus információ helyreállítása mellett is probléma!)

fennakadás a közlekedésben: emberek szállítása, termékek továbbítása, megrendelések teljesítése

a pénzügyi tranzakciók lebonyolítási nehézségei (a BCP tervvel rendelkezők a háttér

telephelyen ki tudtak állítani csekkeket!)

a problémák továbbgyűrűződése: partnerek, szállítók, ügyfelek felé, bizalomvesztés

A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis

veszteséggelveszteséggel

(a vállalatoknak sajnos csak 10-15 %-a rendelkezett BCP tervvel!)

katasztrófák


Változó körülmények, IR-szerepek, új kockázatokVáltozó körülmények, IR-szerepek, új kockázatok

Megváltozott a világ, új jelenségek, új kockázatok - IR/IT-dominancia, növekvő függőség - szaporodó e-megoldások, hálózat-érzékeny rendszerek - támadások, szándékos károkozás (vírus, betörések)- szoftver-érzékeny rendszerek szaporodása - fejlesztési projektek kudarcai (~75% eredménytelen)- működő informatikai alkalmazások hibái (~40%)- eszköz-meghibásodások (hardverhiba, szoftver-problémák)- virtuális vállalatok léte, Internet-függősége - szélsőséges időjárási viszonyok- terrorista támadások


Szervezeti működés, szervezetés IR/IT-viszonySzervezeti működés, szervezetés IR/IT-viszony

szervezeti ellenállás az IR/IT fejlesztésekkel szemben a meglévő állapotok konzerválására,

az informatikai irányítás decentralizálására

diffúzió: az informatikai irányítás decentralizáltságának a foka a szervezeten belül

kicsi

nagy decentralizáltság

erős függőséginfúzió: a vállalat informatikai rendszerektől

való függőségének a mértéke

a versenytársak és a partnerek az informatikai

rendszerek és az alkalmazott technológiák fejlesztésére késztetnekközpontosított,

hagyományos IR/IT meghatározó IR/IT,

kritikus szerep

decentralizált, meghatározó IR/IT szerep

lehetőségeket biztosító IR/IT


Az IR/IT-től való növekvő függőség Az IR/IT-től való növekvő függőség

nagyobb informatikai biztonságot nagyobb informatikai biztonságot

követel!követel!


Informatikai rendszerek fenyegetettségeInformatikai rendszerek fenyegetettsége

technikai, technológiai problémák, meghibásodás emberi mulasztás, vétett hibák környezeti, partner-rendszeri problémák problémák a tervezésben, szoftverkiválasztásban adathibák és adatvesztés

- hardvermeghibásodás, rendszer tévműködések 44%- véletlen és szándékos kezelésből adódó hibák 32%- üzemeltetési problémák, alkalmazások hibás működése

14%- vírusok okozta károk 7%- természeti csapás, áramkimaradás 3%

betörés adatbázisokba, szoftver-rendszerek rongálá-sa, Internetről érkező támadások (a szolgáltatók 59%-ánál volt támadás, a kár: ~1,6 milliárd USD)

Teendő:Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell!


Jelenlegi helyzet a védelem vonatkozásábanJelenlegi helyzet a védelem vonatkozásában-figyelemre méltó adatok--figyelemre méltó adatok-

Az európai cégek 54%-ának nincs informatikai helyreállítási terve,

akinek van terve, azok 30%-a sem tesztelt, még a kritikus folyamatot támogató alkalmazásokra sem.

Az informatikai igazgatók 67%-a nem tudja meghatározni az elveszett adatok értékét

77%-uk pedig nem tudja, milyen hatása van a szervezeti működésre egy szerver kiesése.

Az informatikai vezetők többségének nincs pontos informatikai infrastruktúra-térképe, és nem ismerik annak értékét és kihasználtsági fokát

(Taylor Nelson felmérés, 2003)


a megoldása megoldás:

BCP: Business Continuity Planning, BCP: Business Continuity Planning, amelyamely

egy módszertani módszertani folyamatfolyamat az üzletmenet-folytonossági tervek készítésére

egy tervterv, amely- felkészül a támadásokra, a váratlan eseményekre,- előírja a normális üzletmenet helyreállításának lépéseit, - segít az üzleti kockázatok kezelésében, és - hatékonyan reagál a katasztrófára annak bekövet-

kezésekor


BCP: Üzletmenet-folytonosság biztosításaBCP: Üzletmenet-folytonosság biztosítása a tervezés és megelőzés fontossága tervezési módszertanválasztás (CBR, DRPP, Fusion) projektindítás, menedzselés

- célkitűzés, igényspecifikáció - üzleti folyamatok feltárása, kockázat- és hatáselemzés- folyamatok prioritási sorrendje- kritikus üzleti folyamatok analízise (BIA, RIA), - felkészülés, minimálisan szükséges erőforrások (MARC)

helyreállítási és tesztelési stratégia helyreállítási terv: forgatókönyvek, dokumentáció implementáció, tesztelés ellenőrzés, felülvizsgálat (audit), változáskövetés

folyamatok erőforrások kockázat- kockázat-hatás akciókkiválasztása megjelölése azonosítás elemzés definiálása


scoping, projektindítás,

projektterv

működési folytonosságot biztosító katasztrófaterv

készítése

képzés a BCP- tervezés

végrehajtásához

kockázatelemzés, üzleti folyamatok

feltárása, hatásanalízis

helyreállítási és tesztelési stratégia,

döntés az alternatívákról

helyreállítási terv kidolgozása,

dokumentáció

implemen- táció,

tesztelés, értékelés

1. a katasztrófaterv-készítési folyamat életciklusának kiinduló pontja: problémaspecifikáció, célmeghatározás

ellenőrzés, felülvizsgálat,

változásmenedzsment, karbantartás

2.

3.

4.5.

6.

7.

felkészülés a katasztrófára,

prevenció

8.


Üzleti folyamatok feltárása, a kritikus folya-Üzleti folyamatok feltárása, a kritikus folya-matok és az alkalmazások meghatározásamatok és az alkalmazások meghatározása

üzleti folyamatok, a főbb funkciók meghatározása folyamat/funkció sémaspecifikáció a szervezeti architektúra, séma specifikációja belső és külső kapcsolatok a funkciók szerint vizsgálva a működést veszélyeztető hatások, bekövetkezési esélyek az egyes funkciók kiesésének hatása a banki

tevékenységre és megítélésére a bekövetkezett események hatása a kapcsolódó

intézményekre az informatikai alkalmazások jegyzéke (felhasználói

megközelítésben), mentések az informatikai infrastruktúra elemei (eszközök, gépek

jegyzéke, pontos térkép)

felhasználói megközelítésfelhasználói megközelítés


Veszélyeztetettség, Veszélyeztetettség, a szervezet működését fenyegető hatásoka szervezet működését fenyegető hatások

Eddigi munkája és tapasztalata alapján kérjük, becsülje meg, milyen veszélyek fenyegethetik a szervezeti egység munkáját, és mi ezeknek az esélye!

Fenyegető veszélyFenyegető veszély bekövetkezési esélybekövetkezési esély hatás a szervezhatás a szervezeetretre (nagy, közepes, kicsi)(nagy, közepes, kicsi) (okozott kár mértéke:(okozott kár mértéke: 0 0-5-5))

------------------------------ ----------------------------- ---------------------------------------------------- ------------------------ -----------------------

minta



Fenyegetettségek és Fenyegetettségek és hatáshatásukukHa a fenyegetettségek legrosszabbika következik be, akkor ez a helyzet milyen hatással van a Szervezet egészére nézve? Mennyi az a kritikus időtartam, amit a kapcsolódó folyamatok/szervezetek/partnerek még elviselnek?

Kritikus időtartam (nap, hét, hó) A tevékenység belső kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) -------------A tevékenység belső kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni) ------------- A tevékenység külső (a bankon kívüli) kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) -------------A tevékenység külső (a bankon kívüli) kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudjákmunkájukat végezni, vagy akik felé jelentési kötelezettségeik vannak) -----------Üzleti partnerekre, akik Önökkel szoros munkakapcsolatban vannak -----------Az ügyfelekre, akik bizalmukat az Önök bankjába fektették -----------Jelentési kötelezettség hatóságok, felügyeleti szervek felé -----------

minta



Függőség az iFüggőség az informatikai alkalmazásoknformatikai alkalmazásoktóltól

Kérjük, jelölje meg azokat az Önök által kezelt számítógépes alkalmazásokat, amelyek segítik az Önök munkáját. Jelölje meg azt is, hogy mennyire függenek ezektől az alkalmazásoktól*, valamint azt is, hogy mennyi ideig tudják azokat probléma nélkül nélkülözni**!

Funkció-Funkció- Alkalmazás Alkalmazás Függőség Függőség Kritikus időtartamKritikus időtartam K Kézzelézzelsorszám sorszám neveneve mértéke mértéke (óra, nap, hét, hó) (óra, nap, hét, hó) végezhető?végezhető? (0-5)(0-5)**

---------- -------------------- -------- --------------------- --------------------- -------------------- -------- --------------------- --------------------- -------------------- -------- --------------------- --------------------- -------------------- -------- --------------------- -----------

* 0: nem függ tőle, 5: teljes mértékben függ

minta



A kritikus folyamatok, a prioritások, a A kritikus folyamatok, a prioritások, a

támadások, a veszélyeztetések, a véletlen támadások, a veszélyeztetések, a véletlen

események meghatározása, és az üzleti események meghatározása, és az üzleti

folyamatra való hatás mértékének és az folyamatra való hatás mértékének és az

elviselhetőségnek a becslése a elviselhetőségnek a becslése a

felhasználóknak problémát jelent.felhasználóknak problémát jelent.



Az informatikai rendszer feltárása, hatáselemzésAz informatikai rendszer feltárása, hatáselemzés tevékenységek és funkciók, funkcióháló a szervezeti egység kapcsolata más egységekkel az

alkalmazások közötti kapcsolatok, összefüggésvizsgálat más, belső és külső egységeknek végzett szolgáltatások veszélyeztetettség és problémameghatározások az alkalmazások kiesésének hatása, hatásvizsgálat az alkalmazásokat, állományokat érő fenyegetettségek az alkalmazásokra, állományokra vonatkozó biztonsági

intézkedések az informatikai rendszerben lévő többszörözések az alkalmazásokról, eszközökről vezetett nyilvántartások,

dokumentációk együttműködési, támogatási megállapodások jelenlegi helyreállítási stratégia

informatikaiinformatikai megközelítésmegközelítés


Az informatikai rendszerben rejlő kockázatokAz informatikai rendszerben rejlő kockázatok

ADAT

Alkalmazói

szoftver

Rendszerszoftver

Hardver és hálózati elemek

Épületek, berendezések, gépterem

Alkalmazottak, informatikai szakemberek, felhasználók

Dokumentációk, adathordozók

Tűz- és vagyonvédelem

Légkondícionálás, egyéb működési feltételek

túlmelegedés tűz, betörésilletéktelen használat,

másolás

illetéktelen hozzáférés

illetéktelen rácsatlakozás

villámcsapás

vírus, illetéktelen installáció

természeti katasztrófaszabályzatlanságmegvesztegetés

fizikai rongálás

üzemzavar, hiba

szakszerűtlen tervezés

dokumentálatlansághibás beszerzési politika

szakszerűtlen üzemeltetés

bosszúállásszakképzetlenség


Kockázatok és hatásuk elemzéseKockázatok és hatásuk elemzése

kockázatspecifikáció

elviselhető kockázat mértéke (portfólió mátrix a fenyegetettségé hatásokra vonatkozóan)

Cross-Impact elemzés a bekövetkezési valószínűségek figyelmebevételével

fenyegetettség-hatás vizsgálat (Ishikawa, Pareto)

kockázati valószínűségek meghatározása- relatív hatásmértékszám: rhi (0: azonnal, 1: 8 órán belül,

2: 2 napon belül, 3: egy héten túl helyreállítható)

- bekövetkezési valószínűségek: pi

- súlyozott kockázati mérőszám: kfi = rhi * si

felhasználói és informatikaifelhasználói és informatikai megközelítésmegközelítés


Az egyes funkciók/folyamatok kiesésének a hatásaAz egyes funkciók/folyamatok kiesésének a hatása(ugyanezt meg kell csinálni az alkalmazásokra is, (ugyanezt meg kell csinálni az alkalmazásokra is,

megjelölve a futtatási gyakoriságot és az megjelölve a futtatási gyakoriságot és az eredményeket felhasználó szervezeti egységet is)eredményeket felhasználó szervezeti egységet is)

részoszlopok:részoszlopok:A: 8 órán belül; B: 8-48 órán belül, C: néhány hét alatt; D: 1 hónapon túltáblázatértékek: 0-5 közötttáblázatértékek: 0-5 között0: nem okoz problémát; 5: komoly fennakadást, veszteséget okoz

Ide hatásvizsgálati táblázatok

minta

Üzleti folyamatok funkciók

Bizalom-vesztés

A B C A B C DD

Verseny-pozíciók romlása

A B C DA B C D

Partnerek bizalmának csökkenés

e

A B C DA B C D

Pénzügyi veszteség

A B C DA B C D


Informatikai erőforrások jegyzékeInformatikai erőforrások jegyzéke

eszközjegyzék és eszköztérkép

szoftverjegyzék (rendszer- és rendszerközeli sw.ek)

az alkalmazások jegyzéke, futtató környezete és helyreállíthatósága

rendszer- és adatbázis-mentési információk

minimálisan szükséges eszközök listája

a minimális igény eszköztérképe

a minimális eszközigény egyéb forrásainak megjelölése rendelkezésre állási idővel



Az informatikai alkalmazások által készített mentések, archív állományokAz informatikai alkalmazások által készített mentések, archív állományok

Kérjük, adja meg az információkat azokról a mentésekről, amelyeket a számító-gépes alkalmazások használatakor Önök készítenek! Jelölje meg az adatfélesé-get (adatcsoport), a készítés gyakoriságát (napi, heti, vagy esemény hatására), az adathordozót (floppy, szalag, kazetta) és azonosítóját, a másolatok számát (generációk) és pontos elhelyezésüket!

AlkalmazásAlkalmazás Mentési Mentési MentettMentett GenerációkGenerációk AdathordozóAdathordozó ElhelyezésElhelyezés neveneve gyakoriság gyakoriság adatcsoportadatcsoport száma száma típusa* típusa* (cím, szoba)(cím, szoba) (adattípus) (adattípus) ------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------

minta



Az alkalmazásokat és az állományokat veszélyeztető Az alkalmazásokat és az állományokat veszélyeztető fenyegetettségek elemző vizsgálatafenyegetettségek elemző vizsgálata

alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontokalkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontokállomány neve kat. osztály esemény tényezők rendszerelemek állomány neve kat. osztály esemény tényezők rendszerelemek 1. 2. 3. 1. 2. 3. 1. 2. 3.1. 2. 3. 1. 2. 3. 1. 2. 3.

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

minta



Az alkalmazásokra és az állományokra vonatkozó Az alkalmazásokra és az állományokra vonatkozó biztonsági intézkedésekbiztonsági intézkedések

alkalmazás fenyegetettség kár- szükséges előírt bevezethetőalkalmazás fenyegetettség kár- szükséges előírt bevezethetőállomány neve kat. osztály esemény intézkedések intézkedések intézkedések állomány neve kat. osztály esemény intézkedések intézkedések intézkedések

1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3.

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------

minta



BiztonságpolitikaBiztonságpolitika

A biztonságpolitika a szervezeti stratégia szervesrésze, a tárolási és feldolgozási struktúra (HW, SW),az adathordozók, a működtetési dokumentumok és amunkatársak védelme, amely kiterjed: az információvédelemre (sértetlenség, hitelesség,

bizalmasság biztosítása)- azonosítás- jogosultság-kiosztás- jogosultságellenőrzés- rekonstruálhatóság

a funkcionalitásra (az informatikai rendszer működésének biztonsága)

- hibaelhárítás,- helyreállíthatóság biztosítása- újraindítási lehetőség biztosítása


Biztonsági stratégia:Biztonsági stratégia:

döntés a vállalható kockázat mértékrőldöntés a vállalható kockázat mértékről

és a megelőzés/helyreállítás módjárólés a megelőzés/helyreállítás módjáról


A biztonság akkor kielégítő, ha ráfordítás mértékét A biztonság akkor kielégítő, ha ráfordítás mértékét az elviselhető kockázat mértéke határozza meg, az elviselhető kockázat mértéke határozza meg,

vagyis annyit fordítunk a védelemre, amivel a vagyis annyit fordítunk a védelemre, amivel a támadások/véletlen események okozta kár, vagyis támadások/véletlen események okozta kár, vagyis

a kockázat az elviselhető szint alá süllyed.a kockázat az elviselhető szint alá süllyed.

TÁMADÓ VÉDŐ

a támadó nyeresége

a védő vesztesége a támadó vesztesége

érték >0?

a védett/támadott rendszertámadási stratégia védelmi stratégia

a játék kimenetele

igen

nem


biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)

saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)

kölcsönös megállapodás társintézményekkel a eszközpark használatára

bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)

kevert, vegyes megoldások

Biztonsági stratégia – megoldási alternatívákBiztonsági stratégia – megoldási alternatívákBiztonsági stratégia – megoldási alternatívákBiztonsági stratégia – megoldási alternatívák

biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)

saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)

kölcsönös megállapodás társintézményekkel a eszközpark használatára

bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)

kevert, vegyes megoldások


Az informatikai BCP tervek előnyeAz informatikai BCP tervek előnye

a megelőzési tevékenységgel és a váratlan esemé-

nyekre való felkészüléssel minimalizálja a potenciális kockázatokat csökkenti azok előfordulási esélyét lehetővé teszi a helyreállítást megvédi az értékeket (informatikai és üzleti/-szer-

vezeti)

Az informatikai BCP eredménye az Informatikai Biztonsági Informatikai Biztonsági SzabályzatSzabályzat (IBSZ), amely az informatikai rendszer biztonsági intézkedéseinek gyűjteménye.

Fejezetei:Fejezetei:

alapvető intézkedések

általános intézkedések


KonklúzióKonklúzió„„The Conclusion is simply the placeThe Conclusion is simply the place

where someone got tired of thinking” (Arthur Block)where someone got tired of thinking” (Arthur Block) az üzletmenet-folytonosság-tervezés fókuszát az informatikai

rendszerek biztonsága kell, hogy képezze nagyobb hangsúlyt kell helyezni

- az IR/IT-kockázatok hatásának mérésére és kivédésére,- az informatikai biztonság tervezésére, amely az alkalma-

zásfejlesztési projektek szerves része kell legyen- tervezni kell a krízishelyzetek kezelését, a változások és a

verziók menedzselését.- többet kell költeni a megelőzésre az adat- és rendszerbiztonság

vonatkozásában egyaránt, valamint- az üzletmenet helyreállíthatóságára,

a BCP szakértőknek tudatosítani kell a tervezés fontosságát, a vállalatoknak pedig áldozni kell a biztonságos működésre, a hibák

megelőzésére, a véletlen hatások kiküszöbölésére


Vajon el lehet kerülni az informatikai hibákból eredő problémákat, károkat?

A válasz: sajnos nem teljesen,sajnos nem teljesen, de:

okos stratégiával és megelőzési tervvel a károkat jelentősen mérsékelni lehet!


ReferenciákReferenciák

Köszönöm figyelmü[email protected]

http://rs1.sze.hu/~raffai

teljes informatikai rendszerre vonatkozó BCP- projektek (ÁÉB, MKB, Takinfo, Ernst&Young és KPMG projektek)

szakkönyv: BCP üzletmenet-folytonosság tervezése (ConSec-Novadat, 1999)

cikkek, előadások a témában rendezett szakmai , szimpóziumokon

raffai mária ph.d. professzor széchenyi istván egyetem mtk [email protected]

Documents