Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A kihelyezett biztonság kérdései az energiaiparban Kaszás Árpád Informatikai igazgató MAVIR ZRt.

Hasonló előadás


Az előadások a következő témára: "A kihelyezett biztonság kérdései az energiaiparban Kaszás Árpád Informatikai igazgató MAVIR ZRt."— Előadás másolata:

1 A kihelyezett biztonság kérdései az energiaiparban Kaszás Árpád Informatikai igazgató MAVIR ZRt.

2 2006 március 2 MAVIR-ról, iparági informatikáról általában Egy IT felmérés főbb megállapításai Kihelyezés definíciója, célja Biztonság definíciója Kihelyezés okai, eredménye Biztonságcélja Biztonsági kihívások Kihelyezés kockázatai Biztonsági szempontok Kihelyezés folyamata IT biztonsági feladatok TARTALOMJEGYZÉK

3 2006 március 3 MAVIR-ról MAVIR fontosabb jellemzői – Átviteli rendszerirányító (Magyar Villamosenergia-ipari Átviteli Rendszerirányító ZRt.) – Tulajdonos MVM (99,99%), GKM (0.01% speciális jogokkal) – Regulátor: Magyar Energia Hivatal (MEH) – Létszám ~700 fő – Törzstőke: ~ 140 milliárd Ft – Saját informatikai eszközök – Bérelt távközlés

4 2006 március 4 Villamosenergia export-import 2006 március óra 21 perckor

5 2006 március 5 Iparági informatikáról általában Jelentős technológiai közeli rendszerek – technológiai ( fő folyamatokhoz kapcsolódó) IT – technológiához közeli IT – általános IT Kiterjedt adatkapcsolat (hazai és külföldi) Speciális adatátviteli összekötések Fokozott rendelkezésre állási követelmények Lazán csatolt részrendszerek Szabályozott informatikai (biztonsági) folyamatok Informatika képviselete megoldott a vállalat vezetésében Információ Biztonsági Irányítási Rendszer (IBIR) működése Tulajdonosi érdekkörbe tartozó IT cégek

6 2006 március 6 Kivonat az IT Governance Institute 2006.évi jelentéséből 1.Az IT sokkal kritikusabb az üzlet szempontjából, mint valaha A résztvevők 87%-a számára teljesen világos, hogy az IT nagyon fontos azért hogy hozza a vállalati startégiát és az elképzelést. A válaszadók 63%-ánál az IT rendszeresen napirenden van az igazgatósági üléseken. 2.A vezérigazgatók sokkal pozitívabb érzéseket táplálnak az IT irányába, mint az IT vezetők maguk Összehasonlítva az IT vezetőkkel a legfelsőbb vezetők sokkal kritikusabbak és nagyobb fontosságot tulajdonítanak az IT-nak. Ráadásul ők általánosságban sokkal elégedettebbek az IT-vel és annak stratégia jelentőségével az üzlettel kapcsolatban. 3.Jelentős különbségek léteznek az üzleti szektorok között Az infokommunikáció és a pénzügyi szolgáltatások nagyobb használóinak tűnnek az IT irányításnak, míg a kiskereskedelem és a gyártó ipar kevésbé. Ezek az IT stratégiai fontossági fokozat folyományai ezekben az iparágakban. 4.Az IT személyzet a legfontosabb IT-vel kapcsolatos probléma Ha megvizsgáljuk a kérdéskör valamennyi oldalát, olyanokat mint az események gyakorisága, a problémák súlyossága és a jövőbeni fejlődés, az IT személyzet tűnik az IT legfontosabb problémájának. 5.Az informatikai biztonság nem a legfontosabb IT releváns probléma Ha számszerűsítjük a problémák minden aspektusát, a biztonság (és a szolgáltatás) az utolsó helyre sorolódik a nyolc probléma kategória közül. 6.Az IT kihelyezés vége A kihelyezés többé nem látszik a leghatékonyabb eszköznek az IT problémák megoldására. Amint az üzlet és az IT egyre inkább (fokozatosan) tudatára ébred, hogy az IT problémát nem tudja kihelyezni, abba az irányba tendálnak, hogy a problémás rendszereket házonbelülre visszahozzák. 7.Az ISACA és az IT Governance Institute ismertsége növekszik Az IT-vel foglalkozók között a évihez képest viszonyítva a az ISACA és az ITGI márkák ismertsége csaknem háromszorosára növekedett. 8.A COBIT (Control Objectives for information and Related Technology) ismertsége növekszik

7 2006 március 7 IT-vel kapcsolatos problémák

8 2006 március 8 Kihelyezés definíciója A kihelyezések célja az informatikai feladatok egy részének, vagy az egésznek szerződéses alapon külső félnek történő átadása. A kihelyezés lehet - fejlesztési megbízás - üzemeltetési megbízás - karbantartási, rendszerkövetési megbízás - munkaerőbérlés MSZ ISO/IEC 17799: Erőforrás-kihelyezés Célkitűzés: Fenntartani az informatikai biztonságot akkor is, ha az információfeldolgozási feladatokat más szervezeteknek alvállalkozásba adták. Az erőforrás-kihelyezés előkészületei során a felek közötti szerződésben célszerű kitérni az informatikai rendszerek, hálózatok és asztali számítógépes környezetek kockázataira, biztonsági óvintézkedéseire és eljárásaira.

9 2006 március 9 Kihelyezés célja, vizsgálati szempontok A kihelyezések célja Saját erőforrás megtakarítás és a beruházások egy részének költséggé konvertálása………vagy valami más! Kérdések kihelyezés után Eléri-e a kitűzött célokat? - Biztos hogy olcsóbb? - Megtérül a befektetés? - Belső erőforrást igény jelentősen csökkent? - A biztonsági kockázat nem növekedett? Konkrétan vizsgált fontosabb szempontok egy eset során - Vállalati folyamatokon belüli súlya (folyamat v. támogató rendszer) - Rendelkezésre álló személyzet, tapasztalatok - Kötött üzemeltetési létszám a teljes informatikára - Vállalati feladatok, folyamatok véglegessége - Rendelkezésre álló külső erő (outsource cégek száma) - Biztonsági követelmények teljesíthetősége

10 2006 március 10 Informatikai biztonság Az informatikai biztonság az az állapot, amikor az informatikai rendszer védelme – a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos. – teljes körű a védelem a rendszer összes elemére kiterjed – zárt az összes releváns fenyegetést figyelembe vevő védelem – folyamatos időben változó körülmények ellenére megszakítás nélkül megvalósul Kockázatokkal arányos védelem esetén egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel

11 2006 március 11 Biztonság célja Bizalmasság, sértetlenség, rendelkezésre állás - Bizalmasság: azt jelenti, hogy valamit csak korlátozott számú kevesek ismerhetnek, - Sértetlenség: azt jelenti, hogy valami az eredeti állapotának megfelel, teljes, - Rendelkezésre állás a rendszer olyan állapota, amelyben az eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (funkcionalitás), meghatározott helyen és időben (elérhetőség).

12 2006 március 12 Vonatkozó szabványok, kapcsolódó bevált gyakorlatok gyűjteményei ISO/IEC 27001:2005 (BS 7799-en alapul) ISO/IEC Szoftveréletciklus-folyamatok ISO/IEC 9126 Szoftvertermékek értékelése ISO/IEC Az informatikai biztonságértékelés közös szempontjai (Common Criteria 2.1 alapján) Informatikai Tárcaközi Bizottság (ITB) ajánlásai COBIT (ObjectivesControl Objectives for information and Related Technology) ITIL (IT Infrastructure Library) ISO Guide 73 Risk Management

13 2006 március 13 Szerződéses követelmények MSZ ISO/IEC 17799: Erőforrás-kihelyezés Az informatikai rendszerek, hálózatok és/vagy asztali számítógépes környezetek egészének vagy egy részének menedzselését és ellenőrzését alvállalkozásba adó szervezet a felek közötti szerződésben térjen ki a biztonsági követelményekre. Például a szerződésben célszerű kitérni arra, hogy: a.) hogyan fogják a jogi követelményeket kielégíteni, pl. az adatátviteli jogszabályozást; b.)milyen rendelkezéseket kívánnak foganatosítani annak garantálására, hogy az erőforrás-kihelyezésben résztvevő valamennyi fél, az alvállalkozókat is beleértve, tudatában van saját biztonsági felelőségének; c.)hogyan fogják fenntartani és vizsgálni a szervezet üzleti vagyonának sértetlenségét és titkosságát; d.)milyen fizikai és logikai óvintézkedéséket fognak alkalmazni arra, hogy korlátozzák és behatárolják a jogosult használóknak a hozzáférését a szervezet érzékeny üzleti információihoz/adataihoz; e.)hogyan fogják fenntartani a szolgáltatások rendelkezésre állasát katasztrófa esetében; f.)milyen fizikai biztonsági szinteket kell ellátnia az alvállalkozásba kiadott berendezések esetében; g.)az auditálás jogaira.

14 2006 március 14 Az informatikai biztonsági kihívások Informatika függőség A szervezetek alap és irányítási tevékenységét egyre jobban átszövi az informatika Nem bizalmas hálózatok Az Internet kívül esik a gazdasági szervezet hatókörén Átláthatóság A vállalatok elemi érdeke, hogy alkalmazásaikhoz megbízható, kipróbált és sok referenciával rendelkező erőforrásokat használjanak. Ezek azonban a támadó számára a vállalat információrendszereit átláthatóvá teszik, hiszen az alkalmazások gyengeségei korlátozás nélkül megismerhetők. Igen nagy fokú adatkoncentráció A támadás, kémkedés célpontjaivá válnak. Globalizáció A vállalatok határai nem függenek az országhatároktól Elektronikus iroda Az irodai folyamatok elekronizálódása miatt a keletkezett dokumentumok teljes életciklusukat kizárólag elektronikus formában élik meg.

15 2006 március 15 ERŐFORRÁSOK - Bizalmassága - Sértetlensége - Rendelkezésre állása Veszély- forrás Támadás lehetősége Lehetséges kárkövetkezmény A fenyegetés

16 2006 március 16 Fenyegetettség Veszélyforrás mindaz, aminek bekövetkezésekor az információ-rendszerben nem kívánt állapot jön létre, az információ-rendszer biztonsága sérül A támadás egy veszélyforrásból kiinduló, az erőforrások bizalmassága sértetlensége és rendelkezésre állása ellen irányuló folyamat A fenyegetés egy személy, dolog, esemény, ötlet, amely támadás lehetőségét képezi az erőforrásokra A fenyegetettség olyan állapot, amelyben az erőforrások felfedésre (bizalmasság), módosításra (sértetlenség) vagy elpusztításra kerülhetnek (rendelkezésre állás)

17 2006 március 17 A kihelyezés alapvető kockázatai A Megbízó hatáskörén kívül eső biztonsági környezet A megbízás végrehajtása során a Megbízó biztonsági követelményeinek érvényesíthetősége, és a számon kérhetőség biztosíthatósága További fenyegetettséget jelent, ha a harmadik fél a vállalat területén a vállalat védelmi intézkedéseinek betartási kötelezettsége nélkül teljesíti a szerződéses kötelezettségeit. Az outsourcing azt jelenti, hogy informatikai erőforrások részben vagy teljesen más biztonsági környezetbe kerülnek, amelyre a Megbízónak nincs közvetlen hatásköre, ezért komoly kockázatot jelent.

18 2006 március 18 Kihelyezés kapcsolata a vállalati folyamatokkal A kihelyezésről a biztonsági kockázatok figyelembevétel lehet dönteni: – Főfolyamatok kihelyezése nem célszerű (pl. át nem ruházható felelősség, vagy rendelkezésre állási követelmények alapján) – Üzletfolytonosságot érintő tartalék eljárások, eszközök külső szolgáltatás igénybevétele lehetséges – Egyéb folyamatok kihelyezhetőek

19 2006 március 19 Rendelkezésre állási szempontok Rendelkezésre állás szempontjai: – Folyamatra, rendszerre vonatkozóan (mérés módja, elvárt érték) – Partnerre vonatkozóan (válaszidő, kiszállási idő, stb.) – Hiba behatárolására vonatkozó követelmények (együttműködési problémák esetében a legfontosabb feladat a hiba behatárolása, felelősség megállapítás) Nem rendelkezésre állás esetén szankciókat célszerű érvényesíteni (díjcsökkenés, felelősségbiztosítás által garantált kártérítés)

20 2006 március 20 Sértetlenségi szempontok Sértetlenség szempontjai: – folyamatra, rendszerre vonatkozó biztonsági előírások rögzítése a szerződésben (védelmi rendszerek üzemeltetése, állapot jelentése) – partnerre vonatkozó biztonsági előírások rögzítése (telephelyek fizikai védelme, informatikai rendszereik elvárt védelme, ellenőrzési jog) – sérülés esetére az azonnali felmondás lehetőségét kell biztosítani

21 2006 március 21 Bizalmasság szempontjai – bizalmassághoz kapcsolódó technikai követelmények meghatározása (pl. titkosított kapcsolatok) – titoktartási kötelezettség meghatározása szerződésben – titoktartási nyilatkozatok aláírása Bizalmassági szempontok

22 2006 március 22 Kihelyezés folyamata 1. (Biztonsági követelmények meghatározása) A folyamat biztonsági követelményeinek kidolgozása a tervezés során történik. Az IT kihelyezés felelőse az előkészítés során meghatározza: – a kihelyezés szakmai és biztonsági követelményeit, – követelmények módosításának rendjét, – rendelkezésre állási mutatókat, követelményeket, szankciókat, – a védelmi működés jelentésének módját.

23 2006 március 23 Kihelyezés folyamata 2. (Biztonsági minősítés) Az informatikai biztonságfelügyelet meghatározza a partner biztonsági minősítését. Főfolyamathoz való kapcsolódás függvényében a szolgáltató az alábbi három kategóriák valamelyikébe kerül besorolásra – főfolyamathoz közvetlenül kapcsolódik – főfolyamathoz kapcsolódik – támogató folyamathoz kapcsolódik A besorolás egyidejűleg a biztonsági követelmények szintjét is meghatározza

24 2006 március 24 Kihelyezés Folyamata 3. (Szerződéskötés és felügyelet) A besoroláshoz tartozó szerződésmellékletet a kihelyezés felelőse csatolja a szerződéshez A besorolásnak megfelelő követelmények szerződéskötés előtt ellenőrzésre kerülnek Szerződéskötés után a biztonsági követelmények rendszeres ellenőrzése

25 2006 március 25 Biztonságos IT rendszert kívánva Köszönöm a figyelmet


Letölteni ppt "A kihelyezett biztonság kérdései az energiaiparban Kaszás Árpád Informatikai igazgató MAVIR ZRt."

Hasonló előadás


Google Hirdetések