raffai mária ph.d. professzor széchenyi istván egyetem mtk [email protected]
DESCRIPTION
Az informatikai biztonság, mint az üzletmenet-folytonosság alappillére avagy az informatikai biztonság egy másik aspektusa. Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK [email protected]. egy veszélyes becsapódás. Katasztrófák, avagy Mi történhet egy óra leforgása alatt. - PowerPoint PPT PresentationTRANSCRIPT
NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az informatikai biztonság,Az informatikai biztonság,mint az üzletmenet-mint az üzletmenet-
folytonosság alappillérefolytonosság alappilléreavagyavagy
az informatikai biztonság az informatikai biztonság egy másik aspektusaegy másik aspektusa
Raffai Mária Ph.D.professzor
Széchenyi István Egyetem [email protected]
2NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
egy veszélyes becsapódás
3NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Katasztrófák, avagyKatasztrófák, avagy
Mi történhet egy óra leforgása alatt ... Mi történhet egy óra leforgása alatt ... 8.45 becsapódás a WTC északi toronyba 9.03 becsapódás a WTC déli tornyába
- tűzoltók mentők azonnali riasztása, perceken belül a helyszínen voltak
- 40 ezer ember dolgozik a tornyokban, a többség megmenekül - repterek, hidak, alagút lezárása, Manhattan déli részének
kiürítése 9.30 az elnök bejelentése 9.43 becsapódás Washingtonban
- 24 000 dolgozó evakuálása- fontosabb kormányhivatalok kiürítése
10.05 a WTC déli tornya összeomlik 10.10 a Pentagon megrongált szárnya összeomlik 10.28 a WTC déli tornya ledől 10.48 Pittsburg-ben lezuhan egy utasszállító 11.18 az eltűnt gépek azonosítása
katasztrófák
4NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
8.458.45
9.039.03
10.4810.48
9.439.43
katasztrófák
5NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Cégek az epicentrumban - emberéletekCégek az epicentrumban - emberéletekElső az emberéletek mentése!Első az emberéletek mentése!
Alianz Group biztosítótársaság300 munkatárs, mindenki megmenekült
Bank of America400 munkatárs, 8 eltűnt
AON Risk Service biztosítási alkuszcég1100 dolgozó többségük megmenekült
Marsh and McLennan biztosítási társ.1700 dolgozóból 1300 élte túl
Morgan Stanley befektetési bank- irodák 25 emeleten, 3500 ember, 40 áldozat- már szerdán folytatta a munkáját, adatait és rendszereit ui. egy távolabbi helyen
is tárolta Deutsche Bank
- 360 ember, mind megmenekült- munkáját másnap a háttérrendszeren folytatta
Price Waterhouse Cooper könyvvizsgálócégnem állt le, a biztonsági intézkedések megerősítése mellett folytatta a munkát
katasztrófák
6NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Cégek az epicentrumban - károkCégek az epicentrumban - károkKárok, New York-i telephelyek bezárásaKárok, New York-i telephelyek bezárása
Merrill Lynch: 9 000 embert evakuált, és bezárta NY-i kirendeltségét Sidely Austin Brown: megszűntette New York-i kirendeltségét Credit Swiss: a toronyban lévő irodákat bezárta, a többi 4 kereskedelmi központban folytatta
munkáját IT infrastruktúra károk: több, mint 16 milliárd dollárra becsülik; a Wall Street-i tőzsde nagysebességű
vonalainak 20%-a rongálódott
Távközlési problémákTávközlési problémák AT&T: csak kis részben rongálódás (a WTC alagsorában volt a központ és kapcsolóberendezés),
inkább túlterhelés Verizon: 200 ezer telefon és 3 millió adatvonal-kezelő központja teljesen megsemmisült Cingular mobil-szolgáltató: a szokásosnál négyszer nagyobb forgalmat bonyolított Internet-nek nem jelentett különösebb problémát, mert a WTC-ben csak egy üvegkábel sérült,
gerinc-hálózati funkciók ott nem voltak.
katasztrófák
7NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Járulékos problémákJárulékos problémák
a WTC-ben lévő többszáz cég legkiválóbb szakembereinek több mint harmadát veszítette el, köztük vezető tanácsadókat, a sikeres folytatás a szakértők hiányában kétséges
írott szerződések hiánya bonyodalmakhoz vezet (az elektronikus információ helyreállítása mellett is probléma!)
fennakadás a közlekedésben: emberek szállítása, termékek továbbítása, megrendelések teljesítése
a pénzügyi tranzakciók lebonyolítási nehézségei (a BCP tervvel rendelkezők a háttér
telephelyen ki tudtak állítani csekkeket!)
a problémák továbbgyűrűződése: partnerek, szállítók, ügyfelek felé, bizalomvesztés
A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis
veszteséggelveszteséggel
(a vállalatoknak sajnos csak 10-15 %-a rendelkezett BCP tervvel!)
katasztrófák
8NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Változó körülmények, IR-szerepek, új kockázatokVáltozó körülmények, IR-szerepek, új kockázatok
Megváltozott a világ, új jelenségek, új kockázatok - IR/IT-dominancia, növekvő függőség - szaporodó e-megoldások, hálózat-érzékeny rendszerek - támadások, szándékos károkozás (vírus, betörések)- szoftver-érzékeny rendszerek szaporodása - fejlesztési projektek kudarcai (~75% eredménytelen)- működő informatikai alkalmazások hibái (~40%)- eszköz-meghibásodások (hardverhiba, szoftver-problémák)- virtuális vállalatok léte, Internet-függősége - szélsőséges időjárási viszonyok- terrorista támadások
9NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Szervezeti működés, szervezetés IR/IT-viszonySzervezeti működés, szervezetés IR/IT-viszony
szervezeti ellenállás az IR/IT fejlesztésekkel szemben a meglévő állapotok konzerválására,
az informatikai irányítás decentralizálására
diffúzió: az informatikai irányítás decentralizáltságának a foka a szervezeten belül
kicsi
nagy decentralizáltság
erős függőséginfúzió: a vállalat informatikai rendszerektől
való függőségének a mértéke
a versenytársak és a partnerek az informatikai
rendszerek és az alkalmazott technológiák fejlesztésére késztetnekközpontosított,
hagyományos IR/IT meghatározó IR/IT,
kritikus szerep
decentralizált, meghatározó IR/IT szerep
lehetőségeket biztosító IR/IT
10NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az IR/IT-től való növekvő függőség Az IR/IT-től való növekvő függőség
nagyobb informatikai biztonságot nagyobb informatikai biztonságot
követel!követel!
11NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Informatikai rendszerek fenyegetettségeInformatikai rendszerek fenyegetettsége
technikai, technológiai problémák, meghibásodás emberi mulasztás, vétett hibák környezeti, partner-rendszeri problémák problémák a tervezésben, szoftverkiválasztásban adathibák és adatvesztés
- hardvermeghibásodás, rendszer tévműködések 44%- véletlen és szándékos kezelésből adódó hibák 32%- üzemeltetési problémák, alkalmazások hibás működése
14%- vírusok okozta károk 7%- természeti csapás, áramkimaradás 3%
betörés adatbázisokba, szoftver-rendszerek rongálá-sa, Internetről érkező támadások (a szolgáltatók 59%-ánál volt támadás, a kár: ~1,6 milliárd USD)
Teendő:Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell!
12NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Jelenlegi helyzet a védelem vonatkozásábanJelenlegi helyzet a védelem vonatkozásában-figyelemre méltó adatok--figyelemre méltó adatok-
Az európai cégek 54%-ának nincs informatikai helyreállítási terve,
akinek van terve, azok 30%-a sem tesztelt, még a kritikus folyamatot támogató alkalmazásokra sem.
Az informatikai igazgatók 67%-a nem tudja meghatározni az elveszett adatok értékét
77%-uk pedig nem tudja, milyen hatása van a szervezeti működésre egy szerver kiesése.
Az informatikai vezetők többségének nincs pontos informatikai infrastruktúra-térképe, és nem ismerik annak értékét és kihasználtsági fokát
(Taylor Nelson felmérés, 2003)
13NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
a megoldása megoldás:
BCP: Business Continuity Planning, BCP: Business Continuity Planning, amelyamely
egy módszertani módszertani folyamatfolyamat az üzletmenet-folytonossági tervek készítésére
egy tervterv, amely- felkészül a támadásokra, a váratlan eseményekre,- előírja a normális üzletmenet helyreállításának lépéseit, - segít az üzleti kockázatok kezelésében, és - hatékonyan reagál a katasztrófára annak bekövet-
kezésekor
14NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
BCP: Üzletmenet-folytonosság biztosításaBCP: Üzletmenet-folytonosság biztosítása a tervezés és megelőzés fontossága tervezési módszertanválasztás (CBR, DRPP, Fusion) projektindítás, menedzselés
- célkitűzés, igényspecifikáció - üzleti folyamatok feltárása, kockázat- és hatáselemzés- folyamatok prioritási sorrendje- kritikus üzleti folyamatok analízise (BIA, RIA), - felkészülés, minimálisan szükséges erőforrások (MARC)
helyreállítási és tesztelési stratégia helyreállítási terv: forgatókönyvek, dokumentáció implementáció, tesztelés ellenőrzés, felülvizsgálat (audit), változáskövetés
folyamatok erőforrások kockázat- kockázat-hatás akciókkiválasztása megjelölése azonosítás elemzés definiálása
15NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
scoping, projektindítás,
projektterv
működési folytonosságot biztosító katasztrófaterv
készítése
képzés a BCP- tervezés
végrehajtásához
kockázatelemzés, üzleti folyamatok
feltárása, hatásanalízis
helyreállítási és tesztelési stratégia,
döntés az alternatívákról
helyreállítási terv kidolgozása,
dokumentáció
implemen- táció,
tesztelés, értékelés
1. a katasztrófaterv-készítési folyamat életciklusának kiinduló pontja: problémaspecifikáció, célmeghatározás
ellenőrzés, felülvizsgálat,
változásmenedzsment, karbantartás
2.
3.
4.5.
6.
7.
felkészülés a katasztrófára,
prevenció
8.
16NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Üzleti folyamatok feltárása, a kritikus folya-Üzleti folyamatok feltárása, a kritikus folya-matok és az alkalmazások meghatározásamatok és az alkalmazások meghatározása
üzleti folyamatok, a főbb funkciók meghatározása folyamat/funkció sémaspecifikáció a szervezeti architektúra, séma specifikációja belső és külső kapcsolatok a funkciók szerint vizsgálva a működést veszélyeztető hatások, bekövetkezési esélyek az egyes funkciók kiesésének hatása a banki
tevékenységre és megítélésére a bekövetkezett események hatása a kapcsolódó
intézményekre az informatikai alkalmazások jegyzéke (felhasználói
megközelítésben), mentések az informatikai infrastruktúra elemei (eszközök, gépek
jegyzéke, pontos térkép)
felhasználói megközelítésfelhasználói megközelítés
17NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Veszélyeztetettség, Veszélyeztetettség, a szervezet működését fenyegető hatásoka szervezet működését fenyegető hatások
Eddigi munkája és tapasztalata alapján kérjük, becsülje meg, milyen veszélyek fenyegethetik a szervezeti egység munkáját, és mi ezeknek az esélye!
Fenyegető veszélyFenyegető veszély bekövetkezési esélybekövetkezési esély hatás a szervezhatás a szervezeetretre (nagy, közepes, kicsi)(nagy, közepes, kicsi) (okozott kár mértéke:(okozott kár mértéke: 0 0-5-5))
------------------------------ ----------------------------- ---------------------------------------------------- ------------------------ -----------------------
minta
felhasználói megközelítésfelhasználói megközelítés
18NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Fenyegetettségek és Fenyegetettségek és hatáshatásukukHa a fenyegetettségek legrosszabbika következik be, akkor ez a helyzet milyen hatással van a Szervezet egészére nézve? Mennyi az a kritikus időtartam, amit a kapcsolódó folyamatok/szervezetek/partnerek még elviselnek?
Kritikus időtartam (nap, hét, hó) A tevékenység belső kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) -------------A tevékenység belső kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni) ------------- A tevékenység külső (a bankon kívüli) kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) -------------A tevékenység külső (a bankon kívüli) kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudjákmunkájukat végezni, vagy akik felé jelentési kötelezettségeik vannak) -----------Üzleti partnerekre, akik Önökkel szoros munkakapcsolatban vannak -----------Az ügyfelekre, akik bizalmukat az Önök bankjába fektették -----------Jelentési kötelezettség hatóságok, felügyeleti szervek felé -----------
minta
felhasználói megközelítésfelhasználói megközelítés
19NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Függőség az iFüggőség az informatikai alkalmazásoknformatikai alkalmazásoktóltól
Kérjük, jelölje meg azokat az Önök által kezelt számítógépes alkalmazásokat, amelyek segítik az Önök munkáját. Jelölje meg azt is, hogy mennyire függenek ezektől az alkalmazásoktól*, valamint azt is, hogy mennyi ideig tudják azokat probléma nélkül nélkülözni**!
Funkció-Funkció- Alkalmazás Alkalmazás Függőség Függőség Kritikus időtartamKritikus időtartam K Kézzelézzelsorszám sorszám neveneve mértéke mértéke (óra, nap, hét, hó) (óra, nap, hét, hó) végezhető?végezhető? (0-5)(0-5)**
---------- -------------------- -------- --------------------- --------------------- -------------------- -------- --------------------- --------------------- -------------------- -------- --------------------- --------------------- -------------------- -------- --------------------- -----------
* 0: nem függ tőle, 5: teljes mértékben függ
minta
felhasználói megközelítésfelhasználói megközelítés
20NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
A kritikus folyamatok, a prioritások, a A kritikus folyamatok, a prioritások, a
támadások, a veszélyeztetések, a véletlen támadások, a veszélyeztetések, a véletlen
események meghatározása, és az üzleti események meghatározása, és az üzleti
folyamatra való hatás mértékének és az folyamatra való hatás mértékének és az
elviselhetőségnek a becslése a elviselhetőségnek a becslése a
felhasználóknak problémát jelent.felhasználóknak problémát jelent.
felhasználói megközelítésfelhasználói megközelítés
21NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az informatikai rendszer feltárása, hatáselemzésAz informatikai rendszer feltárása, hatáselemzés tevékenységek és funkciók, funkcióháló a szervezeti egység kapcsolata más egységekkel az
alkalmazások közötti kapcsolatok, összefüggésvizsgálat más, belső és külső egységeknek végzett szolgáltatások veszélyeztetettség és problémameghatározások az alkalmazások kiesésének hatása, hatásvizsgálat az alkalmazásokat, állományokat érő fenyegetettségek az alkalmazásokra, állományokra vonatkozó biztonsági
intézkedések az informatikai rendszerben lévő többszörözések az alkalmazásokról, eszközökről vezetett nyilvántartások,
dokumentációk együttműködési, támogatási megállapodások jelenlegi helyreállítási stratégia
informatikaiinformatikai megközelítésmegközelítés
22NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az informatikai rendszerben rejlő kockázatokAz informatikai rendszerben rejlő kockázatok
ADAT
Alkalmazói
szoftver
Rendszerszoftver
Hardver és hálózati elemek
Épületek, berendezések, gépterem
Alkalmazottak, informatikai szakemberek, felhasználók
Dokumentációk, adathordozók
Tűz- és vagyonvédelem
Légkondícionálás, egyéb működési feltételek
túlmelegedés tűz, betörésilletéktelen használat,
másolás
illetéktelen hozzáférés
illetéktelen rácsatlakozás
villámcsapás
vírus, illetéktelen installáció
természeti katasztrófaszabályzatlanságmegvesztegetés
fizikai rongálás
üzemzavar, hiba
szakszerűtlen tervezés
dokumentálatlansághibás beszerzési politika
szakszerűtlen üzemeltetés
bosszúállásszakképzetlenség
23NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Kockázatok és hatásuk elemzéseKockázatok és hatásuk elemzése
kockázatspecifikáció
elviselhető kockázat mértéke (portfólió mátrix a fenyegetettségé hatásokra vonatkozóan)
Cross-Impact elemzés a bekövetkezési valószínűségek figyelmebevételével
fenyegetettség-hatás vizsgálat (Ishikawa, Pareto)
kockázati valószínűségek meghatározása- relatív hatásmértékszám: rhi (0: azonnal, 1: 8 órán belül,
2: 2 napon belül, 3: egy héten túl helyreállítható)
- bekövetkezési valószínűségek: pi
- súlyozott kockázati mérőszám: kfi = rhi * si
felhasználói és informatikaifelhasználói és informatikai megközelítésmegközelítés
24NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az egyes funkciók/folyamatok kiesésének a hatásaAz egyes funkciók/folyamatok kiesésének a hatása(ugyanezt meg kell csinálni az alkalmazásokra is, (ugyanezt meg kell csinálni az alkalmazásokra is,
megjelölve a futtatási gyakoriságot és az megjelölve a futtatási gyakoriságot és az eredményeket felhasználó szervezeti egységet is)eredményeket felhasználó szervezeti egységet is)
részoszlopok:részoszlopok:A: 8 órán belül; B: 8-48 órán belül, C: néhány hét alatt; D: 1 hónapon túltáblázatértékek: 0-5 közötttáblázatértékek: 0-5 között0: nem okoz problémát; 5: komoly fennakadást, veszteséget okoz
Ide hatásvizsgálati táblázatok
minta
Üzleti folyamatok funkciók
Bizalom-vesztés
A B C A B C DD
Verseny-pozíciók romlása
A B C DA B C D
Partnerek bizalmának csökkenés
e
A B C DA B C D
Pénzügyi veszteség
A B C DA B C D
25NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Informatikai erőforrások jegyzékeInformatikai erőforrások jegyzéke
eszközjegyzék és eszköztérkép
szoftverjegyzék (rendszer- és rendszerközeli sw.ek)
az alkalmazások jegyzéke, futtató környezete és helyreállíthatósága
rendszer- és adatbázis-mentési információk
minimálisan szükséges eszközök listája
a minimális igény eszköztérképe
a minimális eszközigény egyéb forrásainak megjelölése rendelkezésre állási idővel
informatikaiinformatikai megközelítésmegközelítés
26NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az informatikai alkalmazások által készített mentések, archív állományokAz informatikai alkalmazások által készített mentések, archív állományok
Kérjük, adja meg az információkat azokról a mentésekről, amelyeket a számító-gépes alkalmazások használatakor Önök készítenek! Jelölje meg az adatfélesé-get (adatcsoport), a készítés gyakoriságát (napi, heti, vagy esemény hatására), az adathordozót (floppy, szalag, kazetta) és azonosítóját, a másolatok számát (generációk) és pontos elhelyezésüket!
AlkalmazásAlkalmazás Mentési Mentési MentettMentett GenerációkGenerációk AdathordozóAdathordozó ElhelyezésElhelyezés neveneve gyakoriság gyakoriság adatcsoportadatcsoport száma száma típusa* típusa* (cím, szoba)(cím, szoba) (adattípus) (adattípus) ------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------------------------- --------- --------- ---------- ----------------- ----------
minta
informatikaiinformatikai megközelítésmegközelítés
27NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az alkalmazásokat és az állományokat veszélyeztető Az alkalmazásokat és az állományokat veszélyeztető fenyegetettségek elemző vizsgálatafenyegetettségek elemző vizsgálata
alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontokalkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontokállomány neve kat. osztály esemény tényezők rendszerelemek állomány neve kat. osztály esemény tényezők rendszerelemek 1. 2. 3. 1. 2. 3. 1. 2. 3.1. 2. 3. 1. 2. 3. 1. 2. 3.
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
minta
informatikaiinformatikai megközelítésmegközelítés
28NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az alkalmazásokra és az állományokra vonatkozó Az alkalmazásokra és az állományokra vonatkozó biztonsági intézkedésekbiztonsági intézkedések
alkalmazás fenyegetettség kár- szükséges előírt bevezethetőalkalmazás fenyegetettség kár- szükséges előírt bevezethetőállomány neve kat. osztály esemény intézkedések intézkedések intézkedések állomány neve kat. osztály esemény intézkedések intézkedések intézkedések
1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3.
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------
minta
informatikaiinformatikai megközelítésmegközelítés
29NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
BiztonságpolitikaBiztonságpolitika
A biztonságpolitika a szervezeti stratégia szervesrésze, a tárolási és feldolgozási struktúra (HW, SW),az adathordozók, a működtetési dokumentumok és amunkatársak védelme, amely kiterjed: az információvédelemre (sértetlenség, hitelesség,
bizalmasság biztosítása)- azonosítás- jogosultság-kiosztás- jogosultságellenőrzés- rekonstruálhatóság
a funkcionalitásra (az informatikai rendszer működésének biztonsága)
- hibaelhárítás,- helyreállíthatóság biztosítása- újraindítási lehetőség biztosítása
30NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Biztonsági stratégia:Biztonsági stratégia:
döntés a vállalható kockázat mértékrőldöntés a vállalható kockázat mértékről
és a megelőzés/helyreállítás módjárólés a megelőzés/helyreállítás módjáról
31NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
A biztonság akkor kielégítő, ha ráfordítás mértékét A biztonság akkor kielégítő, ha ráfordítás mértékét az elviselhető kockázat mértéke határozza meg, az elviselhető kockázat mértéke határozza meg,
vagyis annyit fordítunk a védelemre, amivel a vagyis annyit fordítunk a védelemre, amivel a támadások/véletlen események okozta kár, vagyis támadások/véletlen események okozta kár, vagyis
a kockázat az elviselhető szint alá süllyed.a kockázat az elviselhető szint alá süllyed.
TÁMADÓ VÉDŐ
a támadó nyeresége
a védő vesztesége a támadó vesztesége
érték >0?
a védett/támadott rendszertámadási stratégia védelmi stratégia
a játék kimenetele
igen
nem
32NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)
saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)
kölcsönös megállapodás társintézményekkel a eszközpark használatára
bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)
kevert, vegyes megoldások
Biztonsági stratégia – megoldási alternatívákBiztonsági stratégia – megoldási alternatívákBiztonsági stratégia – megoldási alternatívákBiztonsági stratégia – megoldási alternatívák
biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)
saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)
kölcsönös megállapodás társintézményekkel a eszközpark használatára
bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)
kevert, vegyes megoldások
33NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Az informatikai BCP tervek előnyeAz informatikai BCP tervek előnye
a megelőzési tevékenységgel és a váratlan esemé-
nyekre való felkészüléssel minimalizálja a potenciális kockázatokat csökkenti azok előfordulási esélyét lehetővé teszi a helyreállítást megvédi az értékeket (informatikai és üzleti/-szer-
vezeti)
Az informatikai BCP eredménye az Informatikai Biztonsági Informatikai Biztonsági SzabályzatSzabályzat (IBSZ), amely az informatikai rendszer biztonsági intézkedéseinek gyűjteménye.
Fejezetei:Fejezetei:
alapvető intézkedések
általános intézkedések
34NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
KonklúzióKonklúzió„„The Conclusion is simply the placeThe Conclusion is simply the place
where someone got tired of thinking” (Arthur Block)where someone got tired of thinking” (Arthur Block) az üzletmenet-folytonosság-tervezés fókuszát az informatikai
rendszerek biztonsága kell, hogy képezze nagyobb hangsúlyt kell helyezni
- az IR/IT-kockázatok hatásának mérésére és kivédésére,- az informatikai biztonság tervezésére, amely az alkalma-
zásfejlesztési projektek szerves része kell legyen- tervezni kell a krízishelyzetek kezelését, a változások és a
verziók menedzselését.- többet kell költeni a megelőzésre az adat- és rendszerbiztonság
vonatkozásában egyaránt, valamint- az üzletmenet helyreállíthatóságára,
a BCP szakértőknek tudatosítani kell a tervezés fontosságát, a vállalatoknak pedig áldozni kell a biztonságos működésre, a hibák
megelőzésére, a véletlen hatások kiküszöbölésére
35NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
Vajon el lehet kerülni az informatikai hibákból eredő problémákat, károkat?
A válasz: sajnos nem teljesen,sajnos nem teljesen, de:
okos stratégiával és megelőzési tervvel a károkat jelentősen mérsékelni lehet!
36NJSZT Kongresszus 2003. október 15-17.NJSZT Kongresszus 2003. október 15-17.
ReferenciákReferenciák
Köszönöm figyelmü[email protected]
http://rs1.sze.hu/~raffai
teljes informatikai rendszerre vonatkozó BCP- projektek (ÁÉB, MKB, Takinfo, Ernst&Young és KPMG projektek)
szakkönyv: BCP üzletmenet-folytonosság tervezése (ConSec-Novadat, 1999)
cikkek, előadások a témában rendezett szakmai , szimpóziumokon