Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik.

Hasonló előadás


Az előadások a következő témára: "NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik."— Előadás másolata:

1 NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik aspektusa Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK raffai@sze.hu

2 NJSZT Kongresszus 2003. október 15-17. 2 egy veszélyes becsapódás

3 NJSZT Kongresszus 2003. október 15-17. 3 Katasztrófák, avagy Mi történhet egy óra leforgása alatt...  8.45 becsapódás a WTC északi toronyba  9.03 becsapódás a WTC déli tornyába -tűzoltók mentők azonnali riasztása, perceken belül a helyszínen voltak -40 ezer ember dolgozik a tornyokban, a többség megmenekül -repterek, hidak, alagút lezárása, Manhattan déli részének kiürítése  9.30 az elnök bejelentése  9.43 becsapódás Washingtonban -24 000 dolgozó evakuálása -fontosabb kormányhivatalok kiürítése  10.05 a WTC déli tornya összeomlik  10.10 a Pentagon megrongált szárnya összeomlik  10.28 a WTC déli tornya ledől  10.48 Pittsburg-ben lezuhan egy utasszállító  11.18 az eltűnt gépek azonosítása katasztrófák

4 NJSZT Kongresszus 2003. október 15-17. 4 8.45 9.03 10.48 9.43 katasztrófák

5 NJSZT Kongresszus 2003. október 15-17. 5 Cégek az epicentrumban - emberéletek Első az emberéletek mentése!  Alianz Group biztosítótársaság 300 munkatárs, mindenki megmenekült  Bank of America 400 munkatárs, 8 eltűnt  AON Risk Service biztosítási alkuszcég 1100 dolgozó többségük megmenekült  Marsh and McLennan biztosítási társ. 1700 dolgozóból 1300 élte túl  Morgan Stanley befektetési bank -irodák 25 emeleten, 3500 ember, 40 áldozat -már szerdán folytatta a munkáját, adatait és rendszereit ui. egy távolabbi helyen is tárolta  Deutsche Bank -360 ember, mind megmenekült -munkáját másnap a háttérrendszeren folytatta  Price Waterhouse Cooper könyvvizsgálócég nem állt le, a biztonsági intézkedések megerősítése mellett folytatta a munkát katasztrófák

6 NJSZT Kongresszus 2003. október 15-17. 6 Cégek az epicentrumban - károk Károk, New York-i telephelyek bezárása  Merrill Lynch: 9 000 embert evakuált, és bezárta NY-i kirendeltségét  Sidely Austin Brown: megszűntette New York-i kirendeltségét  Credit Swiss: a toronyban lévő irodákat bezárta, a többi 4 kereskedelmi központban folytatta munkáját  IT infrastruktúra károk: több, mint 16 milliárd dollárra becsülik; a Wall Street-i tőzsde nagysebességű vonalainak 20%-a rongálódott Távközlési problémák  AT&T: csak kis részben rongálódás (a WTC alagsorában volt a központ és kapcsolóberendezés), inkább túlterhelés  Verizon: 200 ezer telefon és 3 millió adatvonal-kezelő központja teljesen megsemmisült  Cingular mobil-szolgáltató: a szokásosnál négyszer nagyobb forgalmat bonyolított  Internet-nek nem jelentett különösebb problémát, mert a WTC-ben csak egy üvegkábel sérült, gerinc-hálózati funkciók ott nem voltak. katasztrófák

7 NJSZT Kongresszus 2003. október 15-17. 7 Járulékos problémák  a WTC-ben lévő többszáz cég legkiválóbb szakembereinek több mint harmadát veszítette el, köztük vezető tanácsadókat, a sikeres folytatás a szakértők hiányában kétséges  írott szerződések hiánya bonyodalmakhoz vezet (az elektronikus információ helyreállítása mellett is probléma!)  fennakadás a közlekedésben: emberek szállítása, termékek továbbítása, megrendelések teljesítése  a pénzügyi tranzakciók lebonyolítási nehézségei (a BCP tervvel rendelkezők a háttér telephelyen ki tudtak állítani csekkeket!)  a problémák továbbgyűrűződése: partnerek, szállítók, ügyfelek felé, bizalomvesztés A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis veszteséggel (a vállalatoknak sajnos csak 10-15 %-a rendelkezett BCP tervvel!) katasztrófák

8 NJSZT Kongresszus 2003. október 15-17. 8 Változó körülmények, IR-szerepek, új kockázatok Megváltozott a világ, új jelenségek, új kockázatok -IR/IT-dominancia, növekvő függőség -szaporodó e-megoldások, hálózat-érzékeny rendszerek -támadások, szándékos károkozás (vírus, betörések) -szoftver-érzékeny rendszerek szaporodása -fejlesztési projektek kudarcai (~75% eredménytelen) -működő informatikai alkalmazások hibái (~40%) -eszköz-meghibásodások (hardverhiba, szoftver- problémák) -virtuális vállalatok léte, Internet-függősége -szélsőséges időjárási viszonyok -terrorista támadások

9 NJSZT Kongresszus 2003. október 15-17. 9 Szervezeti működés, szervezetés IR/IT-viszony

10 NJSZT Kongresszus 2003. október 15-17. 10 Az IR/IT-től való növekvő függőség nagyobb informatikai biztonságot követel!

11 NJSZT Kongresszus 2003. október 15-17. 11 Informatikai rendszerek fenyegetettsége  technikai, technológiai problémák, meghibásodás  emberi mulasztás, vétett hibák  környezeti, partner-rendszeri problémák  problémák a tervezésben, szoftverkiválasztásban  adathibák és adatvesztés -hardvermeghibásodás, rendszer tévműködések 44% -véletlen és szándékos kezelésből adódó hibák 32% -üzemeltetési problémák, alkalmazások hibás működése 14% -vírusok okozta károk 7% -természeti csapás, áramkimaradás 3%  betörés adatbázisokba, szoftver-rendszerek rongálá- sa, Internetről érkező támadások (a szolgáltatók 59%-ánál volt támadás, a kár: ~1,6 milliárd USD) Teendő: Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell!

12 NJSZT Kongresszus 2003. október 15-17. 12 Jelenlegi helyzet a védelem vonatkozásában -figyelemre méltó adatok-  Az európai cégek 54%-ának nincs informatikai helyreállítási terve,  akinek van terve, azok 30%-a sem tesztelt, még a kritikus folyamatot támogató alkalmazásokra sem.  Az informatikai igazgatók 67%-a nem tudja meghatározni az elveszett adatok értékét  77%-uk pedig nem tudja, milyen hatása van a szervezeti működésre egy szerver kiesése.  Az informatikai vezetők többségének nincs pontos informatikai infrastruktúra-térképe, és nem ismerik annak értékét és kihasználtsági fokát (Taylor Nelson felmérés, 2003)

13 NJSZT Kongresszus 2003. október 15-17. 13 a megoldás a megoldás : BCP: Business Continuity Planning, amely módszertani folyamat  egy módszertani folyamat az üzletmenet- folytonossági tervek készítésére terv  egy terv, amely -felkészül a támadásokra, a váratlan eseményekre, -előírja a normális üzletmenet helyreállításának lépéseit, -segít az üzleti kockázatok kezelésében, és -hatékonyan reagál a katasztrófára annak bekövet- kezésekor

14 NJSZT Kongresszus 2003. október 15-17. 14 BCP: Üzletmenet-folytonosság biztosítása  a tervezés és megelőzés fontossága  tervezési módszertanválasztás (CBR, DRPP, Fusion)  projektindítás, menedzselés -célkitűzés, igényspecifikáció -üzleti folyamatok feltárása, kockázat- és hatáselemzés -folyamatok prioritási sorrendje -kritikus üzleti folyamatok analízise (BIA, RIA), -felkészülés, minimálisan szükséges erőforrások (MARC)  helyreállítási és tesztelési stratégia  helyreállítási terv: forgatókönyvek, dokumentáció  implementáció, tesztelés  ellenőrzés, felülvizsgálat (audit), változáskövetés folyamatok erőforrások kockázat- kockázat-hatás akciók kiválasztása megjelölése azonosítás elemzés definiálása

15 NJSZT Kongresszus 2003. október 15-17. 15

16 NJSZT Kongresszus 2003. október 15-17. 16 Üzleti folyamatok feltárása, a kritikus folya- matok és az alkalmazások meghatározása  üzleti folyamatok, a főbb funkciók meghatározása  folyamat/funkció sémaspecifikáció  a szervezeti architektúra, séma specifikációja  belső és külső kapcsolatok a funkciók szerint vizsgálva  a működést veszélyeztető hatások, bekövetkezési esélyek  az egyes funkciók kiesésének hatása a banki tevékenységre és megítélésére  a bekövetkezett események hatása a kapcsolódó intézményekre  az informatikai alkalmazások jegyzéke (felhasználói megközelítésben), mentések  az informatikai infrastruktúra elemei (eszközök, gépek jegyzéke, pontos térkép) felhasználói megközelítés

17 NJSZT Kongresszus 2003. október 15-17. 17 Veszélyeztetettség, a szervezet működését fenyegető hatások Eddigi munkája és tapasztalata alapján kérjük, becsülje meg, milyen veszélyek fenyegethetik a szervezeti egység munkáját, és mi ezeknek az esélye! Fenyegető veszély bekövetkezési esély hatás a szervezetre Fenyegető veszély bekövetkezési esély hatás a szervezetre (nagy, közepes, kicsi) (okozott kár mértéke: 0-5) (nagy, közepes, kicsi) (okozott kár mértéke: 0-5) ------------------------------ ----------------------------- ---------------------------- ------------------------ ------------------------ ----------------------- minta felhasználói megközelítés

18 NJSZT Kongresszus 2003. október 15-17. 18 Fenyegetettségek és hatásuk Ha a fenyegetettségek legrosszabbika következik be, akkor ez a helyzet milyen hatással van a Szervezet egészére nézve? Mennyi az a kritikus időtartam, amit a kapcsolódó folyamatok/szervezetek/partnerek még elviselnek? Kritikus időtartam (nap, hét, hó) A tevékenység belső kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) ------------- A tevékenység belső kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni) ------------- A tevékenység külső (a bankon kívüli) kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) ------------- A tevékenység külső (a bankon kívüli) kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni, vagy akik felé jelentési kötelezettségeik vannak) ----------- Üzleti partnerekre, akik Önökkel szoros munkakapcsolatban vannak ----------- Az ügyfelekre, akik bizalmukat az Önök bankjába fektették ----------- Jelentési kötelezettség hatóságok, felügyeleti szervek felé ----------- minta felhasználói megközelítés

19 NJSZT Kongresszus 2003. október 15-17. 19 Függőség az informatikai alkalmazásoktól Kérjük, jelölje meg azokat az Önök által kezelt számítógépes alkalmazásokat, amelyek segítik az Önök munkáját. Jelölje meg azt is, hogy mennyire függenek ezektől az alkalmazásoktól*, valamint azt is, hogy mennyi ideig tudják azokat probléma nélkül nélkülözni**! Funkció- Alkalmazás Függőség Kritikus időtartam Kézzel sorszám neve mértéke (óra, nap, hét, hó) végezhető? (0-5)* (0-5)* ---------- -------------------- -------- --------------------- ----------- * 0: nem függ tőle, 5: teljes mértékben függ minta felhasználói megközelítés

20 NJSZT Kongresszus 2003. október 15-17. 20 A kritikus folyamatok, a prioritások, a támadások, a veszélyeztetések, a véletlen események meghatározása, és az üzleti folyamatra való hatás mértékének és az elviselhetőségnek a becslése a felhasználóknak problémát jelent. felhasználói megközelítés

21 NJSZT Kongresszus 2003. október 15-17. 21 Az informatikai rendszer feltárása, hatáselemzés  tevékenységek és funkciók, funkcióháló  a szervezeti egység kapcsolata más egységekkel az alkalmazások közötti kapcsolatok, összefüggésvizsgálat  más, belső és külső egységeknek végzett szolgáltatások  veszélyeztetettség és problémameghatározások  az alkalmazások kiesésének hatása, hatásvizsgálat  az alkalmazásokat, állományokat érő fenyegetettségek  az alkalmazásokra, állományokra vonatkozó biztonsági intézkedések  az informatikai rendszerben lévő többszörözések  az alkalmazásokról, eszközökről vezetett nyilvántartások, dokumentációk  együttműködési, támogatási megállapodások  jelenlegi helyreállítási stratégia informatikaimegközelítés informatikai megközelítés

22 NJSZT Kongresszus 2003. október 15-17. 22 Az informatikai rendszerben rejlő kockázatok

23 NJSZT Kongresszus 2003. október 15-17. 23 Kockázatok és hatásuk elemzése  kockázatspecifikáció  elviselhető kockázat mértéke (portfólió mátrix a fenyegetettségé hatásokra vonatkozóan)  Cross-Impact elemzés a bekövetkezési valószínűségek figyelmebevételével  fenyegetettség-hatás vizsgálat (Ishikawa, Pareto)  kockázati valószínűségek meghatározása -relatív hatásmértékszám: rh i (0: azonnal, 1: 8 órán belül, 2: 2 napon belül, 3: egy héten túl helyreállítható) -bekövetkezési valószínűségek: p i -súlyozott kockázati mérőszám: kf i = rh i * s i felhasználói és informatikaimegközelítés felhasználói és informatikai megközelítés

24 NJSZT Kongresszus 2003. október 15-17. 24 Az egyes funkciók/folyamatok kiesésének a hatása (ugyanezt meg kell csinálni az alkalmazásokra is, megjelölve a futtatási gyakoriságot és az eredményeket felhasználó szervezeti egységet is) részoszlopok: A: 8 órán belül; B: 8-48 órán belül, C: néhány hét alatt; D: 1 hónapon túl táblázatértékek: 0-5 között 0: nem okoz problémát; 5: komoly fennakadást, veszteséget okoz Ide hatásvizsgálati táblázatok minta Üzleti folyamatok funkciók Bizalom- vesztés A B C D Verseny- pozíciók romlása A B C D Partnerek bizalmának csökkenése A B C D Pénzügyi veszteség A B C D

25 NJSZT Kongresszus 2003. október 15-17. 25 Informatikai erőforrások jegyzéke  eszközjegyzék és eszköztérkép  szoftverjegyzék (rendszer- és rendszerközeli sw.ek)  az alkalmazások jegyzéke, futtató környezete és helyreállíthatósága  rendszer- és adatbázis-mentési információk  minimálisan szükséges eszközök listája  a minimális igény eszköztérképe  a minimális eszközigény egyéb forrásainak megjelölése rendelkezésre állási idővel informatikaimegközelítés informatikai megközelítés

26 NJSZT Kongresszus 2003. október 15-17. 26 Az informatikai alkalmazások által készített mentések, archív állományok Kérjük, adja meg az információkat azokról a mentésekről, amelyeket a számító- gépes alkalmazások használatakor Önök készítenek! Jelölje meg az adatfélesé- get (adatcsoport), a készítés gyakoriságát (napi, heti, vagy esemény hatására), az adathordozót (floppy, szalag, kazetta) és azonosítóját, a másolatok számát (generációk) és pontos elhelyezésüket! Alkalmazás Mentési Mentett Generációk Adathordozó Elhelyezés neve gyakoriság adatcsoport száma típusa* (cím, szoba) neve gyakoriság adatcsoport száma típusa* (cím, szoba) (adattípus) (adattípus) ------------------- --------- --------- ---------- ----------------- ---------- minta informatikaimegközelítés informatikai megközelítés

27 NJSZT Kongresszus 2003. október 15-17. 27 Az alkalmazásokat és az állományokat veszélyeztető fenyegetettségek elemző vizsgálata alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontok alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontok állomány neve kat. osztály esemény tényezők rendszerelemek 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ minta informatikaimegközelítés informatikai megközelítés

28 NJSZT Kongresszus 2003. október 15-17. 28 Az alkalmazásokra és az állományokra vonatkozó biztonsági intézkedések alkalmazás fenyegetettség kár- szükséges előírt bevezethető alkalmazás fenyegetettség kár- szükséges előírt bevezethető állomány neve kat. osztály esemény intézkedések intézkedések intézkedések 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. 1. 2. 3. ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ minta informatikaimegközelítés informatikai megközelítés

29 NJSZT Kongresszus 2003. október 15-17. 29 Biztonságpolitika A biztonságpolitika a szervezeti stratégia szerves része, a tárolási és feldolgozási struktúra (HW, SW), az adathordozók, a működtetési dokumentumok és a munkatársak védelme, amely kiterjed:  az információvédelemre (sértetlenség, hitelesség, bizalmasság biztosítása) -azonosítás -jogosultság-kiosztás -jogosultságellenőrzés -rekonstruálhatóság  a funkcionalitásra (az informatikai rendszer működésének biztonsága) -hibaelhárítás, -helyreállíthatóság biztosítása -újraindítási lehetőség biztosítása

30 NJSZT Kongresszus 2003. október 15-17. 30 Biztonsági stratégia: döntés a vállalható kockázat mértékről és a megelőzés/helyreállítás módjáról

31 NJSZT Kongresszus 2003. október 15-17. 31 A biztonság akkor kielégítő, ha ráfordítás mértékét az elviselhető kockázat mértéke határozza meg, vagyis annyit fordítunk a védelemre, amivel a támadások/véletlen események okozta kár, vagyis a kockázat az elviselhető szint alá süllyed.

32 NJSZT Kongresszus 2003. október 15-17. 32  biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)  saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)  kölcsönös megállapodás társintézményekkel a eszközpark használatára  bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)  kevert, vegyes megoldások Biztonsági stratégia – megoldási alternatívák  biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)  saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)  kölcsönös megállapodás társintézményekkel a eszközpark használatára  bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)  kevert, vegyes megoldások

33 NJSZT Kongresszus 2003. október 15-17. 33 Az informatikai BCP tervek előnye a megelőzési tevékenységgel és a váratlan esemé- nyekre való felkészüléssel  minimalizálja a potenciális kockázatokat  csökkenti azok előfordulási esélyét  lehetővé teszi a helyreállítást  megvédi az értékeket (informatikai és üzleti/-szer- vezeti) Informatikai Biztonsági Szabályzat Az informatikai BCP eredménye az Informatikai Biztonsági Szabályzat (IBSZ), amely az informatikai rendszer biztonsági intézkedéseinek gyűjteménye.Fejezetei:  alapvető intézkedések  általános intézkedések

34 NJSZT Kongresszus 2003. október 15-17. 34 Konklúzió „The Conclusion is simply the place where someone got tired of thinking” (Arthur Block) where someone got tired of thinking” (Arthur Block)  az üzletmenet-folytonosság-tervezés fókuszát az informatikai rendszerek biztonsága kell, hogy képezze  nagyobb hangsúlyt kell helyezni -az IR/IT-kockázatok hatásának mérésére és kivédésére, -az informatikai biztonság tervezésére, amely az alkalma- zásfejlesztési projektek szerves része kell legyen -tervezni kell a krízishelyzetek kezelését, a változások és a verziók menedzselését. -többet kell költeni a megelőzésre az adat- és rendszerbiztonság vonatkozásában egyaránt, valamint -az üzletmenet helyreállíthatóságára,  a BCP szakértőknek tudatosítani kell a tervezés fontosságát,  a vállalatoknak pedig áldozni kell a biztonságos működésre, a hibák megelőzésére, a véletlen hatások kiküszöbölésére

35 NJSZT Kongresszus 2003. október 15-17. 35 Vajon el lehet kerülni az informatikai hibákból eredő problémákat, károkat? sajnos nem teljesen, A válasz: sajnos nem teljesen, de: okos stratégiával és megelőzési tervvel a károkat jelentősen mérsékelni lehet!

36 NJSZT Kongresszus 2003. október 15-17. 36 Referenciák Köszönöm figyelmüket! raffai@sze.hu http://rs1.sze.hu/~raffai  teljes informatikai rendszerre vonatkozó BCP- projektek (ÁÉB, MKB, Takinfo, Ernst&Young és KPMG projektek)  szakkönyv: BCP üzletmenet-folytonosság tervezése (ConSec-Novadat, 1999)  cikkek, előadások a témában rendezett szakmai, szimpóziumokon


Letölteni ppt "NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik."

Hasonló előadás


Google Hirdetések