Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Széchenyi István Egyetem MTK

Hasonló előadás


Az előadások a következő témára: "Széchenyi István Egyetem MTK"— Előadás másolata:

1 Széchenyi István Egyetem MTK
Az informatikai biztonság, mint az üzletmenet-folytonosság alappillére avagy az informatikai biztonság egy másik aspektusa Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK

2 egy veszélyes becsapódás

3 Katasztrófák, avagy Mi történhet egy óra leforgása alatt ...
8.45 becsapódás a WTC északi toronyba 9.03 becsapódás a WTC déli tornyába tűzoltók mentők azonnali riasztása, perceken belül a helyszínen voltak 40 ezer ember dolgozik a tornyokban, a többség megmenekül repterek, hidak, alagút lezárása, Manhattan déli részének kiürítése 9.30 az elnök bejelentése 9.43 becsapódás Washingtonban dolgozó evakuálása fontosabb kormányhivatalok kiürítése 10.05 a WTC déli tornya összeomlik 10.10 a Pentagon megrongált szárnya összeomlik 10.28 a WTC déli tornya ledől 10.48 Pittsburg-ben lezuhan egy utasszállító 11.18 az eltűnt gépek azonosítása

4 8.45 9.03 10.48 9.43 katasztrófák

5 Cégek az epicentrumban - emberéletek
Első az emberéletek mentése! Alianz Group biztosítótársaság 300 munkatárs, mindenki megmenekült Bank of America 400 munkatárs, 8 eltűnt AON Risk Service biztosítási alkuszcég 1100 dolgozó többségük megmenekült Marsh and McLennan biztosítási társ. 1700 dolgozóból 1300 élte túl Morgan Stanley befektetési bank irodák 25 emeleten, 3500 ember, 40 áldozat már szerdán folytatta a munkáját, adatait és rendszereit ui. egy távolabbi helyen is tárolta Deutsche Bank 360 ember, mind megmenekült munkáját másnap a háttérrendszeren folytatta Price Waterhouse Cooper könyvvizsgálócég nem állt le, a biztonsági intézkedések megerősítése mellett folytatta a munkát katasztrófák

6 Cégek az epicentrumban - károk
katasztrófák Cégek az epicentrumban - károk Károk, New York-i telephelyek bezárása Merrill Lynch: embert evakuált, és bezárta NY-i kirendeltségét Sidely Austin Brown: megszűntette New York-i kirendeltségét Credit Swiss: a toronyban lévő irodákat bezárta, a többi 4 kereskedelmi központban folytatta munkáját IT infrastruktúra károk: több, mint 16 milliárd dollárra becsülik; a Wall Street-i tőzsde nagysebességű vonalainak 20%-a rongálódott Távközlési problémák AT&T: csak kis részben rongálódás (a WTC alagsorában volt a központ és kapcsolóberendezés), inkább túlterhelés Verizon: 200 ezer telefon és 3 millió adatvonal-kezelő központja teljesen megsemmisült Cingular mobil-szolgáltató: a szokásosnál négyszer nagyobb forgalmat bonyolított Internet-nek nem jelentett különösebb problémát, mert a WTC-ben csak egy üvegkábel sérült, gerinc-hálózati funkciók ott nem voltak.

7 (a vállalatoknak sajnos csak 10-15 %-a rendelkezett BCP tervvel!)
Járulékos problémák katasztrófák a WTC-ben lévő többszáz cég legkiválóbb szakembereinek több mint harmadát veszítette el, köztük vezető tanácsadókat, a sikeres folytatás a szakértők hiányában kétséges írott szerződések hiánya bonyodalmakhoz vezet (az elektronikus információ helyreállítása mellett is probléma!) fennakadás a közlekedésben: emberek szállítása, termékek továbbítása, megrendelések teljesítése a pénzügyi tranzakciók lebonyolítási nehézségei (a BCP tervvel rendelkezők a háttér telephelyen ki tudtak állítani csekkeket!) a problémák továbbgyűrűződése: partnerek, szállítók, ügyfelek felé, bizalomvesztés A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis veszteséggel (a vállalatoknak sajnos csak %-a rendelkezett BCP tervvel!)

8 Változó körülmények, IR-szerepek, új kockázatok
Megváltozott a világ, új jelenségek, új kockázatok IR/IT-dominancia, növekvő függőség szaporodó e-megoldások, hálózat-érzékeny rendszerek támadások, szándékos károkozás (vírus, betörések) szoftver-érzékeny rendszerek szaporodása fejlesztési projektek kudarcai (~75% eredménytelen) működő informatikai alkalmazások hibái (~40%) eszköz-meghibásodások (hardverhiba, szoftver-problémák) virtuális vállalatok léte, Internet-függősége szélsőséges időjárási viszonyok terrorista támadások

9 Szervezeti működés, szervezetés IR/IT-viszony

10 Az IR/IT-től való növekvő függőség nagyobb informatikai biztonságot követel!

11 Informatikai rendszerek fenyegetettsége
technikai, technológiai problémák, meghibásodás emberi mulasztás, vétett hibák környezeti, partner-rendszeri problémák problémák a tervezésben, szoftverkiválasztásban adathibák és adatvesztés hardvermeghibásodás, rendszer tévműködések 44% véletlen és szándékos kezelésből adódó hibák 32% üzemeltetési problémák, alkalmazások hibás működése % vírusok okozta károk % természeti csapás, áramkimaradás % betörés adatbázisokba, szoftver-rendszerek rongálá-sa, Internetről érkező támadások (a szolgáltatók 59%-ánál volt támadás, a kár: ~1,6 milliárd USD) Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell!

12 Jelenlegi helyzet a védelem vonatkozásában -figyelemre méltó adatok-
Az európai cégek 54%-ának nincs informatikai helyreállítási terve, akinek van terve, azok 30%-a sem tesztelt, még a kritikus folyamatot támogató alkalmazásokra sem. Az informatikai igazgatók 67%-a nem tudja meghatározni az elveszett adatok értékét 77%-uk pedig nem tudja, milyen hatása van a szervezeti működésre egy szerver kiesése. Az informatikai vezetők többségének nincs pontos informatikai infrastruktúra-térképe, és nem ismerik annak értékét és kihasználtsági fokát (Taylor Nelson felmérés, 2003)

13 BCP: Business Continuity Planning,
a megoldás: BCP: Business Continuity Planning, amely egy módszertani folyamat az üzletmenet-folytonossági tervek készítésére egy terv, amely felkészül a támadásokra, a váratlan eseményekre, előírja a normális üzletmenet helyreállításának lépéseit, segít az üzleti kockázatok kezelésében, és hatékonyan reagál a katasztrófára annak bekövet-kezésekor

14 BCP: Üzletmenet-folytonosság biztosítása
a tervezés és megelőzés fontossága tervezési módszertanválasztás (CBR, DRPP, Fusion) projektindítás, menedzselés célkitűzés, igényspecifikáció üzleti folyamatok feltárása, kockázat- és hatáselemzés folyamatok prioritási sorrendje kritikus üzleti folyamatok analízise (BIA, RIA), felkészülés, minimálisan szükséges erőforrások (MARC) helyreállítási és tesztelési stratégia helyreállítási terv: forgatókönyvek, dokumentáció implementáció, tesztelés ellenőrzés, felülvizsgálat (audit), változáskövetés folyamatok erőforrások kockázat kockázat-hatás akciók kiválasztása megjelölése azonosítás elemzés definiálása

15

16 felhasználói megközelítés
Üzleti folyamatok feltárása, a kritikus folya-matok és az alkalmazások meghatározása üzleti folyamatok, a főbb funkciók meghatározása folyamat/funkció sémaspecifikáció a szervezeti architektúra, séma specifikációja belső és külső kapcsolatok a funkciók szerint vizsgálva a működést veszélyeztető hatások, bekövetkezési esélyek az egyes funkciók kiesésének hatása a banki tevékenységre és megítélésére a bekövetkezett események hatása a kapcsolódó intézményekre az informatikai alkalmazások jegyzéke (felhasználói megközelítésben), mentések az informatikai infrastruktúra elemei (eszközök, gépek jegyzéke, pontos térkép) felhasználói megközelítés

17 a szervezet működését fenyegető hatások
minta Veszélyeztetettség, a szervezet működését fenyegető hatások Eddigi munkája és tapasztalata alapján kérjük, becsülje meg, milyen veszélyek fenyegethetik a szervezeti egység munkáját, és mi ezeknek az esélye! Fenyegető veszély bekövetkezési esély hatás a szervezetre (nagy, közepes, kicsi) (okozott kár mértéke: 0-5) felhasználói megközelítés

18 Fenyegetettségek és hatásuk
minta Fenyegetettségek és hatásuk Ha a fenyegetettségek legrosszabbika következik be, akkor ez a helyzet milyen hatással van a Szervezet egészére nézve? Mennyi az a kritikus időtartam, amit a kapcsolódó folyamatok/szervezetek/partnerek még elviselnek? Kritikus időtartam (nap, hét, hó) A tevékenység belső kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) A tevékenység belső kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni) A tevékenység külső (a bankon kívüli) kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) A tevékenység külső (a bankon kívüli) kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni, vagy akik felé jelentési kötelezettségeik vannak) Üzleti partnerekre, akik Önökkel szoros munkakapcsolatban vannak Az ügyfelekre, akik bizalmukat az Önök bankjába fektették Jelentési kötelezettség hatóságok, felügyeleti szervek felé felhasználói megközelítés

19 Függőség az informatikai alkalmazásoktól
Kérjük, jelölje meg azokat az Önök által kezelt számítógépes alkalmazásokat, amelyek segítik az Önök munkáját. Jelölje meg azt is, hogy mennyire függenek ezektől az alkalmazásoktól*, valamint azt is, hogy mennyi ideig tudják azokat probléma nélkül nélkülözni**! Funkció- Alkalmazás Függőség Kritikus időtartam Kézzel sorszám neve mértéke (óra, nap, hét, hó) végezhető? (0-5)* * 0: nem függ tőle, 5: teljes mértékben függ minta felhasználói megközelítés

20 felhasználói megközelítés
A kritikus folyamatok, a prioritások, a támadások, a veszélyeztetések, a véletlen események meghatározása, és az üzleti folyamatra való hatás mértékének és az elviselhetőségnek a becslése a felhasználóknak problémát jelent. felhasználói megközelítés

21 Az informatikai rendszer feltárása, hatáselemzés
tevékenységek és funkciók, funkcióháló a szervezeti egység kapcsolata más egységekkel az alkalmazások közötti kapcsolatok, összefüggésvizsgálat más, belső és külső egységeknek végzett szolgáltatások veszélyeztetettség és problémameghatározások az alkalmazások kiesésének hatása, hatásvizsgálat az alkalmazásokat, állományokat érő fenyegetettségek az alkalmazásokra, állományokra vonatkozó biztonsági intézkedések az informatikai rendszerben lévő többszörözések az alkalmazásokról, eszközökről vezetett nyilvántartások, dokumentációk együttműködési, támogatási megállapodások jelenlegi helyreállítási stratégia informatikai megközelítés

22 Az informatikai rendszerben rejlő kockázatok

23 Kockázatok és hatásuk elemzése
kockázatspecifikáció elviselhető kockázat mértéke (portfólió mátrix a fenyegetettségé hatásokra vonatkozóan) Cross-Impact elemzés a bekövetkezési valószínűségek figyelmebevételével fenyegetettség-hatás vizsgálat (Ishikawa, Pareto) kockázati valószínűségek meghatározása relatív hatásmértékszám: rhi (0: azonnal, 1: 8 órán belül, 2: 2 napon belül, 3: egy héten túl helyreállítható) bekövetkezési valószínűségek: pi súlyozott kockázati mérőszám: kfi = rhi * si felhasználói és informatikai megközelítés

24 Ide hatásvizsgálati táblázatok
Az egyes funkciók/folyamatok kiesésének a hatása (ugyanezt meg kell csinálni az alkalmazásokra is, megjelölve a futtatási gyakoriságot és az eredményeket felhasználó szervezeti egységet is) minta Üzleti folyamatok funkciók Bizalom-vesztés A B C D Verseny-pozíciók romlása A B C D Partnerek bizalmának csökkenése Pénzügyi veszteség Ide hatásvizsgálati táblázatok részoszlopok: A: 8 órán belül; B: 8-48 órán belül, C: néhány hét alatt; D: 1 hónapon túl táblázatértékek: 0-5 között 0: nem okoz problémát; 5: komoly fennakadást, veszteséget okoz

25 Informatikai erőforrások jegyzéke
eszközjegyzék és eszköztérkép szoftverjegyzék (rendszer- és rendszerközeli sw.ek) az alkalmazások jegyzéke, futtató környezete és helyreállíthatósága rendszer- és adatbázis-mentési információk minimálisan szükséges eszközök listája a minimális igény eszköztérképe a minimális eszközigény egyéb forrásainak megjelölése rendelkezésre állási idővel informatikai megközelítés

26 informatikai megközelítés
minta Az informatikai alkalmazások által készített mentések, archív állományok Kérjük, adja meg az információkat azokról a mentésekről, amelyeket a számító-gépes alkalmazások használatakor Önök készítenek! Jelölje meg az adatfélesé-get (adatcsoport), a készítés gyakoriságát (napi, heti, vagy esemény hatására), az adathordozót (floppy, szalag, kazetta) és azonosítóját, a másolatok számát (generációk) és pontos elhelyezésüket! Alkalmazás Mentési Mentett Generációk Adathordozó Elhelyezés neve gyakoriság adatcsoport száma típusa* (cím, szoba) (adattípus) informatikai megközelítés

27 informatikai megközelítés
Az alkalmazásokat és az állományokat veszélyeztető fenyegetettségek elemző vizsgálata minta alkalmazás fenyegetettség kár fenyegető fenyegetett gyenge pontok állomány neve kat osztály esemény tényezők rendszerelemek informatikai megközelítés

28 Az alkalmazásokra és az állományokra vonatkozó biztonsági intézkedések
minta alkalmazás fenyegetettség kár szükséges előírt bevezethető állomány neve kat osztály esemény intézkedések intézkedések intézkedések informatikai megközelítés

29 Biztonságpolitika A biztonságpolitika a szervezeti stratégia szerves
része, a tárolási és feldolgozási struktúra (HW, SW), az adathordozók, a működtetési dokumentumok és a munkatársak védelme, amely kiterjed: az információvédelemre (sértetlenség, hitelesség, bizalmasság biztosítása) azonosítás jogosultság-kiosztás jogosultságellenőrzés rekonstruálhatóság a funkcionalitásra (az informatikai rendszer működésének biztonsága) hibaelhárítás, helyreállíthatóság biztosítása újraindítási lehetőség biztosítása

30 Biztonsági stratégia: döntés a vállalható kockázat mértékről és a megelőzés/helyreállítás módjáról

31 A biztonság akkor kielégítő, ha ráfordítás mértékét az elviselhető kockázat mértéke határozza meg, vagyis annyit fordítunk a védelemre, amivel a támadások/véletlen események okozta kár, vagyis a kockázat az elviselhető szint alá süllyed.

32 Biztonsági stratégia – megoldási alternatívák
biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások) saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása) kölcsönös megállapodás társintézményekkel a eszközpark használatára bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz) kevert, vegyes megoldások biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások) saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása) kölcsönös megállapodás társintézményekkel a eszközpark használatára bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz) kevert, vegyes megoldások

33 Az informatikai BCP tervek előnye
Az informatikai BCP eredménye az Informatikai Biztonsági Szabályzat (IBSZ), amely az informatikai rendszer biztonsági intézkedéseinek gyűjteménye. Fejezetei: alapvető intézkedések általános intézkedések Az informatikai BCP tervek előnye a megelőzési tevékenységgel és a váratlan esemé- nyekre való felkészüléssel minimalizálja a potenciális kockázatokat csökkenti azok előfordulási esélyét lehetővé teszi a helyreállítást megvédi az értékeket (informatikai és üzleti/-szer-vezeti)

34 Konklúzió „The Conclusion is simply the place
where someone got tired of thinking” (Arthur Block) az üzletmenet-folytonosság-tervezés fókuszát az informatikai rendszerek biztonsága kell, hogy képezze nagyobb hangsúlyt kell helyezni az IR/IT-kockázatok hatásának mérésére és kivédésére, az informatikai biztonság tervezésére, amely az alkalma-zásfejlesztési projektek szerves része kell legyen tervezni kell a krízishelyzetek kezelését, a változások és a verziók menedzselését. többet kell költeni a megelőzésre az adat- és rendszerbiztonság vonatkozásában egyaránt, valamint az üzletmenet helyreállíthatóságára, a BCP szakértőknek tudatosítani kell a tervezés fontosságát, a vállalatoknak pedig áldozni kell a biztonságos működésre, a hibák megelőzésére, a véletlen hatások kiküszöbölésére

35 A válasz: sajnos nem teljesen,
Vajon el lehet kerülni az informatikai hibákból eredő problémákat, károkat? A válasz: sajnos nem teljesen, de: okos stratégiával és megelőzési tervvel a károkat jelentősen mérsékelni lehet!

36 Köszönöm figyelmüket! Referenciák
teljes informatikai rendszerre vonatkozó BCP- projektek (ÁÉB, MKB, Takinfo, Ernst&Young és KPMG projektek) szakkönyv: BCP üzletmenet-folytonosság tervezése (ConSec-Novadat, 1999) cikkek, előadások a témában rendezett szakmai , szimpóziumokon Köszönöm figyelmüket!


Letölteni ppt "Széchenyi István Egyetem MTK"

Hasonló előadás


Google Hirdetések