Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik.

Hasonló előadás


Az előadások a következő témára: "NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik."— Előadás másolata:

1 NJSZT Kongresszus október Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik aspektusa Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK

2 NJSZT Kongresszus október egy veszélyes becsapódás

3 NJSZT Kongresszus október Katasztrófák, avagy Mi történhet egy óra leforgása alatt...  8.45 becsapódás a WTC északi toronyba  9.03 becsapódás a WTC déli tornyába -tűzoltók mentők azonnali riasztása, perceken belül a helyszínen voltak -40 ezer ember dolgozik a tornyokban, a többség megmenekül -repterek, hidak, alagút lezárása, Manhattan déli részének kiürítése  9.30 az elnök bejelentése  9.43 becsapódás Washingtonban dolgozó evakuálása -fontosabb kormányhivatalok kiürítése  a WTC déli tornya összeomlik  a Pentagon megrongált szárnya összeomlik  a WTC déli tornya ledől  Pittsburg-ben lezuhan egy utasszállító  az eltűnt gépek azonosítása katasztrófák

4 NJSZT Kongresszus október katasztrófák

5 NJSZT Kongresszus október Cégek az epicentrumban - emberéletek Első az emberéletek mentése!  Alianz Group biztosítótársaság 300 munkatárs, mindenki megmenekült  Bank of America 400 munkatárs, 8 eltűnt  AON Risk Service biztosítási alkuszcég 1100 dolgozó többségük megmenekült  Marsh and McLennan biztosítási társ dolgozóból 1300 élte túl  Morgan Stanley befektetési bank -irodák 25 emeleten, 3500 ember, 40 áldozat -már szerdán folytatta a munkáját, adatait és rendszereit ui. egy távolabbi helyen is tárolta  Deutsche Bank -360 ember, mind megmenekült -munkáját másnap a háttérrendszeren folytatta  Price Waterhouse Cooper könyvvizsgálócég nem állt le, a biztonsági intézkedések megerősítése mellett folytatta a munkát katasztrófák

6 NJSZT Kongresszus október Cégek az epicentrumban - károk Károk, New York-i telephelyek bezárása  Merrill Lynch: embert evakuált, és bezárta NY-i kirendeltségét  Sidely Austin Brown: megszűntette New York-i kirendeltségét  Credit Swiss: a toronyban lévő irodákat bezárta, a többi 4 kereskedelmi központban folytatta munkáját  IT infrastruktúra károk: több, mint 16 milliárd dollárra becsülik; a Wall Street-i tőzsde nagysebességű vonalainak 20%-a rongálódott Távközlési problémák  AT&T: csak kis részben rongálódás (a WTC alagsorában volt a központ és kapcsolóberendezés), inkább túlterhelés  Verizon: 200 ezer telefon és 3 millió adatvonal-kezelő központja teljesen megsemmisült  Cingular mobil-szolgáltató: a szokásosnál négyszer nagyobb forgalmat bonyolított  Internet-nek nem jelentett különösebb problémát, mert a WTC-ben csak egy üvegkábel sérült, gerinc-hálózati funkciók ott nem voltak. katasztrófák

7 NJSZT Kongresszus október Járulékos problémák  a WTC-ben lévő többszáz cég legkiválóbb szakembereinek több mint harmadát veszítette el, köztük vezető tanácsadókat, a sikeres folytatás a szakértők hiányában kétséges  írott szerződések hiánya bonyodalmakhoz vezet (az elektronikus információ helyreállítása mellett is probléma!)  fennakadás a közlekedésben: emberek szállítása, termékek továbbítása, megrendelések teljesítése  a pénzügyi tranzakciók lebonyolítási nehézségei (a BCP tervvel rendelkezők a háttér telephelyen ki tudtak állítani csekkeket!)  a problémák továbbgyűrűződése: partnerek, szállítók, ügyfelek felé, bizalomvesztés A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis veszteséggel (a vállalatoknak sajnos csak %-a rendelkezett BCP tervvel!) katasztrófák

8 NJSZT Kongresszus október Változó körülmények, IR-szerepek, új kockázatok Megváltozott a világ, új jelenségek, új kockázatok -IR/IT-dominancia, növekvő függőség -szaporodó e-megoldások, hálózat-érzékeny rendszerek -támadások, szándékos károkozás (vírus, betörések) -szoftver-érzékeny rendszerek szaporodása -fejlesztési projektek kudarcai (~75% eredménytelen) -működő informatikai alkalmazások hibái (~40%) -eszköz-meghibásodások (hardverhiba, szoftver- problémák) -virtuális vállalatok léte, Internet-függősége -szélsőséges időjárási viszonyok -terrorista támadások

9 NJSZT Kongresszus október Szervezeti működés, szervezetés IR/IT-viszony

10 NJSZT Kongresszus október Az IR/IT-től való növekvő függőség nagyobb informatikai biztonságot követel!

11 NJSZT Kongresszus október Informatikai rendszerek fenyegetettsége  technikai, technológiai problémák, meghibásodás  emberi mulasztás, vétett hibák  környezeti, partner-rendszeri problémák  problémák a tervezésben, szoftverkiválasztásban  adathibák és adatvesztés -hardvermeghibásodás, rendszer tévműködések 44% -véletlen és szándékos kezelésből adódó hibák 32% -üzemeltetési problémák, alkalmazások hibás működése 14% -vírusok okozta károk 7% -természeti csapás, áramkimaradás 3%  betörés adatbázisokba, szoftver-rendszerek rongálá- sa, Internetről érkező támadások (a szolgáltatók 59%-ánál volt támadás, a kár: ~1,6 milliárd USD) Teendő: Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell!

12 NJSZT Kongresszus október Jelenlegi helyzet a védelem vonatkozásában -figyelemre méltó adatok-  Az európai cégek 54%-ának nincs informatikai helyreállítási terve,  akinek van terve, azok 30%-a sem tesztelt, még a kritikus folyamatot támogató alkalmazásokra sem.  Az informatikai igazgatók 67%-a nem tudja meghatározni az elveszett adatok értékét  77%-uk pedig nem tudja, milyen hatása van a szervezeti működésre egy szerver kiesése.  Az informatikai vezetők többségének nincs pontos informatikai infrastruktúra-térképe, és nem ismerik annak értékét és kihasználtsági fokát (Taylor Nelson felmérés, 2003)

13 NJSZT Kongresszus október a megoldás a megoldás : BCP: Business Continuity Planning, amely módszertani folyamat  egy módszertani folyamat az üzletmenet- folytonossági tervek készítésére terv  egy terv, amely -felkészül a támadásokra, a váratlan eseményekre, -előírja a normális üzletmenet helyreállításának lépéseit, -segít az üzleti kockázatok kezelésében, és -hatékonyan reagál a katasztrófára annak bekövet- kezésekor

14 NJSZT Kongresszus október BCP: Üzletmenet-folytonosság biztosítása  a tervezés és megelőzés fontossága  tervezési módszertanválasztás (CBR, DRPP, Fusion)  projektindítás, menedzselés -célkitűzés, igényspecifikáció -üzleti folyamatok feltárása, kockázat- és hatáselemzés -folyamatok prioritási sorrendje -kritikus üzleti folyamatok analízise (BIA, RIA), -felkészülés, minimálisan szükséges erőforrások (MARC)  helyreállítási és tesztelési stratégia  helyreállítási terv: forgatókönyvek, dokumentáció  implementáció, tesztelés  ellenőrzés, felülvizsgálat (audit), változáskövetés folyamatok erőforrások kockázat- kockázat-hatás akciók kiválasztása megjelölése azonosítás elemzés definiálása

15 NJSZT Kongresszus október

16 NJSZT Kongresszus október Üzleti folyamatok feltárása, a kritikus folya- matok és az alkalmazások meghatározása  üzleti folyamatok, a főbb funkciók meghatározása  folyamat/funkció sémaspecifikáció  a szervezeti architektúra, séma specifikációja  belső és külső kapcsolatok a funkciók szerint vizsgálva  a működést veszélyeztető hatások, bekövetkezési esélyek  az egyes funkciók kiesésének hatása a banki tevékenységre és megítélésére  a bekövetkezett események hatása a kapcsolódó intézményekre  az informatikai alkalmazások jegyzéke (felhasználói megközelítésben), mentések  az informatikai infrastruktúra elemei (eszközök, gépek jegyzéke, pontos térkép) felhasználói megközelítés

17 NJSZT Kongresszus október Veszélyeztetettség, a szervezet működését fenyegető hatások Eddigi munkája és tapasztalata alapján kérjük, becsülje meg, milyen veszélyek fenyegethetik a szervezeti egység munkáját, és mi ezeknek az esélye! Fenyegető veszély bekövetkezési esély hatás a szervezetre Fenyegető veszély bekövetkezési esély hatás a szervezetre (nagy, közepes, kicsi) (okozott kár mértéke: 0-5) (nagy, közepes, kicsi) (okozott kár mértéke: 0-5) minta felhasználói megközelítés

18 NJSZT Kongresszus október Fenyegetettségek és hatásuk Ha a fenyegetettségek legrosszabbika következik be, akkor ez a helyzet milyen hatással van a Szervezet egészére nézve? Mennyi az a kritikus időtartam, amit a kapcsolódó folyamatok/szervezetek/partnerek még elviselnek? Kritikus időtartam (nap, hét, hó) A tevékenység belső kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) A tevékenység belső kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni) A tevékenység külső (a bankon kívüli) kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) A tevékenység külső (a bankon kívüli) kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni, vagy akik felé jelentési kötelezettségeik vannak) Üzleti partnerekre, akik Önökkel szoros munkakapcsolatban vannak Az ügyfelekre, akik bizalmukat az Önök bankjába fektették Jelentési kötelezettség hatóságok, felügyeleti szervek felé minta felhasználói megközelítés

19 NJSZT Kongresszus október Függőség az informatikai alkalmazásoktól Kérjük, jelölje meg azokat az Önök által kezelt számítógépes alkalmazásokat, amelyek segítik az Önök munkáját. Jelölje meg azt is, hogy mennyire függenek ezektől az alkalmazásoktól*, valamint azt is, hogy mennyi ideig tudják azokat probléma nélkül nélkülözni**! Funkció- Alkalmazás Függőség Kritikus időtartam Kézzel sorszám neve mértéke (óra, nap, hét, hó) végezhető? (0-5)* (0-5)* * 0: nem függ tőle, 5: teljes mértékben függ minta felhasználói megközelítés

20 NJSZT Kongresszus október A kritikus folyamatok, a prioritások, a támadások, a veszélyeztetések, a véletlen események meghatározása, és az üzleti folyamatra való hatás mértékének és az elviselhetőségnek a becslése a felhasználóknak problémát jelent. felhasználói megközelítés

21 NJSZT Kongresszus október Az informatikai rendszer feltárása, hatáselemzés  tevékenységek és funkciók, funkcióháló  a szervezeti egység kapcsolata más egységekkel az alkalmazások közötti kapcsolatok, összefüggésvizsgálat  más, belső és külső egységeknek végzett szolgáltatások  veszélyeztetettség és problémameghatározások  az alkalmazások kiesésének hatása, hatásvizsgálat  az alkalmazásokat, állományokat érő fenyegetettségek  az alkalmazásokra, állományokra vonatkozó biztonsági intézkedések  az informatikai rendszerben lévő többszörözések  az alkalmazásokról, eszközökről vezetett nyilvántartások, dokumentációk  együttműködési, támogatási megállapodások  jelenlegi helyreállítási stratégia informatikaimegközelítés informatikai megközelítés

22 NJSZT Kongresszus október Az informatikai rendszerben rejlő kockázatok

23 NJSZT Kongresszus október Kockázatok és hatásuk elemzése  kockázatspecifikáció  elviselhető kockázat mértéke (portfólió mátrix a fenyegetettségé hatásokra vonatkozóan)  Cross-Impact elemzés a bekövetkezési valószínűségek figyelmebevételével  fenyegetettség-hatás vizsgálat (Ishikawa, Pareto)  kockázati valószínűségek meghatározása -relatív hatásmértékszám: rh i (0: azonnal, 1: 8 órán belül, 2: 2 napon belül, 3: egy héten túl helyreállítható) -bekövetkezési valószínűségek: p i -súlyozott kockázati mérőszám: kf i = rh i * s i felhasználói és informatikaimegközelítés felhasználói és informatikai megközelítés

24 NJSZT Kongresszus október Az egyes funkciók/folyamatok kiesésének a hatása (ugyanezt meg kell csinálni az alkalmazásokra is, megjelölve a futtatási gyakoriságot és az eredményeket felhasználó szervezeti egységet is) részoszlopok: A: 8 órán belül; B: 8-48 órán belül, C: néhány hét alatt; D: 1 hónapon túl táblázatértékek: 0-5 között 0: nem okoz problémát; 5: komoly fennakadást, veszteséget okoz Ide hatásvizsgálati táblázatok minta Üzleti folyamatok funkciók Bizalom- vesztés A B C D Verseny- pozíciók romlása A B C D Partnerek bizalmának csökkenése A B C D Pénzügyi veszteség A B C D

25 NJSZT Kongresszus október Informatikai erőforrások jegyzéke  eszközjegyzék és eszköztérkép  szoftverjegyzék (rendszer- és rendszerközeli sw.ek)  az alkalmazások jegyzéke, futtató környezete és helyreállíthatósága  rendszer- és adatbázis-mentési információk  minimálisan szükséges eszközök listája  a minimális igény eszköztérképe  a minimális eszközigény egyéb forrásainak megjelölése rendelkezésre állási idővel informatikaimegközelítés informatikai megközelítés

26 NJSZT Kongresszus október Az informatikai alkalmazások által készített mentések, archív állományok Kérjük, adja meg az információkat azokról a mentésekről, amelyeket a számító- gépes alkalmazások használatakor Önök készítenek! Jelölje meg az adatfélesé- get (adatcsoport), a készítés gyakoriságát (napi, heti, vagy esemény hatására), az adathordozót (floppy, szalag, kazetta) és azonosítóját, a másolatok számát (generációk) és pontos elhelyezésüket! Alkalmazás Mentési Mentett Generációk Adathordozó Elhelyezés neve gyakoriság adatcsoport száma típusa* (cím, szoba) neve gyakoriság adatcsoport száma típusa* (cím, szoba) (adattípus) (adattípus) minta informatikaimegközelítés informatikai megközelítés

27 NJSZT Kongresszus október Az alkalmazásokat és az állományokat veszélyeztető fenyegetettségek elemző vizsgálata alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontok alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontok állomány neve kat. osztály esemény tényezők rendszerelemek minta informatikaimegközelítés informatikai megközelítés

28 NJSZT Kongresszus október Az alkalmazásokra és az állományokra vonatkozó biztonsági intézkedések alkalmazás fenyegetettség kár- szükséges előírt bevezethető alkalmazás fenyegetettség kár- szükséges előírt bevezethető állomány neve kat. osztály esemény intézkedések intézkedések intézkedések minta informatikaimegközelítés informatikai megközelítés

29 NJSZT Kongresszus október Biztonságpolitika A biztonságpolitika a szervezeti stratégia szerves része, a tárolási és feldolgozási struktúra (HW, SW), az adathordozók, a működtetési dokumentumok és a munkatársak védelme, amely kiterjed:  az információvédelemre (sértetlenség, hitelesség, bizalmasság biztosítása) -azonosítás -jogosultság-kiosztás -jogosultságellenőrzés -rekonstruálhatóság  a funkcionalitásra (az informatikai rendszer működésének biztonsága) -hibaelhárítás, -helyreállíthatóság biztosítása -újraindítási lehetőség biztosítása

30 NJSZT Kongresszus október Biztonsági stratégia: döntés a vállalható kockázat mértékről és a megelőzés/helyreállítás módjáról

31 NJSZT Kongresszus október A biztonság akkor kielégítő, ha ráfordítás mértékét az elviselhető kockázat mértéke határozza meg, vagyis annyit fordítunk a védelemre, amivel a támadások/véletlen események okozta kár, vagyis a kockázat az elviselhető szint alá süllyed.

32 NJSZT Kongresszus október  biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)  saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)  kölcsönös megállapodás társintézményekkel a eszközpark használatára  bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)  kevert, vegyes megoldások Biztonsági stratégia – megoldási alternatívák  biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások)  saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása)  kölcsönös megállapodás társintézményekkel a eszközpark használatára  bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz)  kevert, vegyes megoldások

33 NJSZT Kongresszus október Az informatikai BCP tervek előnye a megelőzési tevékenységgel és a váratlan esemé- nyekre való felkészüléssel  minimalizálja a potenciális kockázatokat  csökkenti azok előfordulási esélyét  lehetővé teszi a helyreállítást  megvédi az értékeket (informatikai és üzleti/-szer- vezeti) Informatikai Biztonsági Szabályzat Az informatikai BCP eredménye az Informatikai Biztonsági Szabályzat (IBSZ), amely az informatikai rendszer biztonsági intézkedéseinek gyűjteménye.Fejezetei:  alapvető intézkedések  általános intézkedések

34 NJSZT Kongresszus október Konklúzió „The Conclusion is simply the place where someone got tired of thinking” (Arthur Block) where someone got tired of thinking” (Arthur Block)  az üzletmenet-folytonosság-tervezés fókuszát az informatikai rendszerek biztonsága kell, hogy képezze  nagyobb hangsúlyt kell helyezni -az IR/IT-kockázatok hatásának mérésére és kivédésére, -az informatikai biztonság tervezésére, amely az alkalma- zásfejlesztési projektek szerves része kell legyen -tervezni kell a krízishelyzetek kezelését, a változások és a verziók menedzselését. -többet kell költeni a megelőzésre az adat- és rendszerbiztonság vonatkozásában egyaránt, valamint -az üzletmenet helyreállíthatóságára,  a BCP szakértőknek tudatosítani kell a tervezés fontosságát,  a vállalatoknak pedig áldozni kell a biztonságos működésre, a hibák megelőzésére, a véletlen hatások kiküszöbölésére

35 NJSZT Kongresszus október Vajon el lehet kerülni az informatikai hibákból eredő problémákat, károkat? sajnos nem teljesen, A válasz: sajnos nem teljesen, de: okos stratégiával és megelőzési tervvel a károkat jelentősen mérsékelni lehet!

36 NJSZT Kongresszus október Referenciák Köszönöm figyelmüket!  teljes informatikai rendszerre vonatkozó BCP- projektek (ÁÉB, MKB, Takinfo, Ernst&Young és KPMG projektek)  szakkönyv: BCP üzletmenet-folytonosság tervezése (ConSec-Novadat, 1999)  cikkek, előadások a témában rendezett szakmai, szimpóziumokon


Letölteni ppt "NJSZT Kongresszus 2003. október 15-17. Az informatikai biztonság, mint az üzletmenet- folytonosság alappillére avagy az informatikai biztonság egy másik."

Hasonló előadás


Google Hirdetések