Internetszolgáltatás biztonságosan A T-Online Magyarország BS7799 tanúsításának hiteles története, tanulságokkal 2005.11.16. Dzsacsovszki László IT Programmenedzsment.

Slides:



Advertisements
Hasonló előadás
Humán rendszerek, közszféra
Advertisements

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az üzleti terv.
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
DOKUMENTUMKEZELÉS.
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
Minőségirányítás a felsőoktatásban
Előadó: Bellovicz Gyula igazságügyi szakértő
Konzulens: Dr. Boda György Készítette: Kovács Katalin
ISO : 2011 – energiairányítási rendszer (EIR)
A Mezőgazdaságtudományi Kar minőségbiztosítási rendszere
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
Az Euro One Számítástechnikai Rt. Egy távmunka-projekt bevezetésének tapasztalatai Vass Gábor gazdasági igazgató Euro One Számítástechnikai Rt December.
7. hét: Az EN ISO 14001:2005 KIR szabvány
HEFOP hét: az ISO 9001:2008-es szabványnak megfelelő minőségirányítási rendszer II. rész A diákhoz itt kellene beszúrni a tanári magyarázatokat.
9. hét: A munkahelyi egészségvédelem és
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Szakmai elvárások és elvárt eredmények a szociális szolgáltatásokon belül nyújtott étkeztetéssel kapcsolatban… Nyíregyháza, március 29.
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
MINŐSÉGIRÁNYÍTÁSI RENDSZEREK (ISO, TQM, HACCP)
Az Európai Foglalkoztatási Stratégia Készítette: Balogh Judit Nemzetközi Tan. III. évf
EGY SIKERES PROJEKT ISMÉRVEI ÖTLETTŐL A MEGVALÓSULÁSIG Vendler Balázs, ügyvezető.
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
MUNKAVÉDELEM 2006/2007. tanév II. félév MEBIR. Munkahelyi egészségvédelem és biztonság MEB Feltételek, és tényezők, amelyek hatással vannak a munkavállalók,
IRÁNYÍTÁSI RENDSZEREK TANÚSÍTÁSÁNAK TAPASZTALATAI
Projekt eredményeinek disszeminációja – 2. és 12. fejlesztési elem ÁROP- 1.A „Szervezetfejlesztés a konvergencia régióban lévő önkormányzatok számára”
2014. június 12. Lackó Péter Clarity
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Clear Desk avagy A rendezett íróasztal elmélete avagy Üres asztalról nincs mit lopni ? Gasparetz András ügyvezető igazgató MagiCom Kft.
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
1 Szervezet és minőség 2. előadás 1. 2 Az előadás tartalmi elemei Alapfogalmak A minőségfejlesztés jogszabályi háttere Minőségfejlesztési megközelítések.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
A minőségügy és helye a Szent Imre Kórházban Dr. Varga Piroska főigazgató helyettes, minőségügyi igazgató.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Kockázatbecslés folyamata. 1./ Független könyvvizsgálói jelentés –KVOI: Független könyvvizsgálói jelentés 2./ A vezetés tisztessége –C14: Visszaélési.
Minőségirányítás és Akkreditáció Bőhm Zoltán Budapest,
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
SZÖM II. Fejlesztési szint folyamata 5.1. előadás
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
A pénzügyi kimutatások könyvvizsgálatának tervezése 300
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Szenzor Gazdaságmérnöki Kft.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
3. hét: az ISO 9001:2008-es szabványnak megfelelő
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Králik Tibor igazgató, minőségfejlesztési szakértő
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Az SZMBK Intézményi Modell
Előadás másolata:

Internetszolgáltatás biztonságosan A T-Online Magyarország BS7799 tanúsításának hiteles története, tanulságokkal Dzsacsovszki László IT Programmenedzsment igazgatóhelyettes

A T-Online Magyarország Rt. bemutatása A Magyar Telekom csoport tagja Magyarország piacvezető Internetszolgáltatója 25 milliárd HUF éves árbevétel Főbb termékei, szolgáltatásai, márkái Internet hozzáférési szolgáltatás, elektronikus levelezési szolgáltatás, tartalomszolgáltatás, üzleti internetes megoldások, és ezeket a tevékenységeket támogató kiegészítő szolgáltatások Origo, fre , adatpark, online videotéka, zeneáruház Alkalmazott, bérelt és szerződéses munkaerő (~400 fő) ISO 9001:2000 szerint kialakított és működtetett minőségirányítási rendszer 3 telephely Budapesten

A T-Online Magyarország Rt. működése Desktops Szerverek Adatpark Intranet Internet szolgáltatások Üzletfejlesztés [origo] Portal Termékek és szolgáltatások Infrastruktúra-, szolgáltatás és alkalmazásfejlesztés Intranet szolgáltatások

A projekt indítás nehézségei A felsővezetés meggyőzése a projekt szükségességéről Közvetlen piaci igény hiánya Nem volt előzmény a Magyar Telekom csoporton belül Direkt pénzügyi haszon nehezen számszerűsíthető Képzett munkaerő hiánya Szakképzett ISO és IT biztonsági emberek, BS kompetencia nélkül Audit dömping ISO, BS, SOX, Telekom Belső Ellenőrzés Ugyanazokon az embereken a terhelés

A projekt tervezése A projekt fő célja: Integrált minőségirányítási és információvédelmi irányítási rendszer megtervezése, kialakítása és működtetése a T-Online Magyarország Rt.-ben Erőforrások: Minőségirányítási csoportra alapozva – 3 fő, részmunkaidőben Kockázatértékelők, folyamatfelelősök (11 fő) Külső tanácsadó Ütemterv: Tanúsítás Előaudit, helyesbítés Vezetőségi átvizsgálás Működtetés, belső audit Bevezetés, oktatás Kockázat kezelési terv Kockázatfelmérés Kockázatkezelők képzése Vezetői prezentáció Helyzetfelmérés szeptaugjúljúnmájáprmárcfebjandecnovoktszeptaug

A projekt tényleges megvalósulása A projekt fő célja: Teljesült Integrált minőségirányítási és információvédelmi irányítási rendszer megtervezése, kialakítása és működtetése a T-Online Magyarország Rt.-ben Erőforrások: A tervezettnek megfelelően alakult Minőségirányítási csoportra alapozva – 3 fő, részmunkaidőben Kockázatértékelők, folyamatfelelősök (11 fő) Külső tanácsadó Ütemterv: 3 hónap csúszás Tanúsítás Előaudit, helyesbítés Vezetőségi átvizsgálás Működtetés, belső audit Bevezetés, oktatás Kockázat kezelési terv Kockázatfelmérés Kockázatkezelők képzése Vezetői prezentáció Helyzetfelmérés szeptaugjúljúnmájáprmárcfebjandecnovoktszeptaug T-Online Rebranding

Alkalmazott módszerek Vagyontárgyak felmérése Eszmei vagyontárgyak Ingatlanvagyon Szolgáltatási vagyontárgyak Munkatársi kompetenciák Fizikai eszközök Szoftver eszközök Adat vagyontárgyak Események osztályozása Normál üzem Üzemszünet Hiba Üzemzavar Súlyos üzemzavar Leállás Üzemképtelenség Célkitűzés: Gondoskodni a vagyontárgyak és az események szisztematikus számbavételéről

Kockázatértékelés Célkitűzés: A biztonsági kockázatoknak a fenyegetettséggel arányos költségen történő kezelése. Az információ vagyont fenyegető veszélyek azonosítása Területenként, képzett értékelők bevonásával Szisztematikus és következetes értékelés Súlyosság, Gyakoriság, Észlelhetőség (RPN, kockázati mutató) Esemény központú kockázatértékelés A különböző területi kockázatok összehangolása A megfelelő védelmi intézkedés meghatározása a legnagyobb fenyegetésekre Irányuljon a súlyosság, gyakoriság, észlehetőség javítására Nem kell minden kockázatra akciót meghatározni Az akcióknak van felelőse, határideje, konkrét célja A védelmi intézkedéseket rendszeresen értékelni kell Az információ vagyon és a kockázatkezelés felülvizsgálata, évente A prioritások újraértékelése, új akciók meghatározása És így tovább, ciklikusan…

Az információvédelmi szervezet és folyamatok Az információvédelmi politika célja a vezetői elkötelezettség demonstrálása és az információvédelemmel kapcsolatos iránymutatás Dokumentumok: Integrált minőség és információvédelmi kézikönyv + Információvédelmi Politika (Iik) Információvédelmi Szabályzat (IvSZ) Alkalmazhatósági nyilatkozat - Direkt kapcsolat a szabvány követelmények és a megvalósított szabályozások között A szervezet és a szerepek: Információvédelmi Fórum (IvF) Információvédelmi Vezető (IvV) Adatvédelmi Felelős (AvF) Informatikai Biztonsági Felelős (IBF) Területi vezetők és adatgazdák Folyamatok: Hozzáférések, jogosultságok kezelése Szerződéskötés (információvédelmi szempontok figyelembevétele) Outsourcing (biztonsági követelmények rögzítése a Megbízási Szerződés-ben) Védelmi rendszer független felülvizsgálata (belső és külső audit)

Személyekkel kapcsolatos védelem Információvédelem a munkaerő-felvételnél (Munkaszerződések, munkaköri leírások) Felvételi átvilágítás (Személyes adatok ellenőrzése, Összeférhetetlenség, Üzleti referenciák vizsgálata) A biztonságtudatosság fejlesztése Új belépők oktatása; rendszeres újraoktatás Felkészülés rendkívüli helyzetek kezelésére - gyakorlatok Tanulságok leszűrése és megelőző tevékenység folytatása Hozzáférés menedzsment Fegyelmi eljárások indítása az előírások megszegőire (Munkáltatói jogkörű vezető) Célkitűzés: Gondoskodni az adat, információ egyéb vagyontárgyak megfelelő védelmi szintjéről

Fizikai és környezeti biztonság Célkitűzés: Megvédeni a szervezet telephelyeit, az üzleti helyszíneket, azok infrastruktúráját, valamint az adatot/információt a jogosulatlan hozzáféréstől és sérüléstől. Fizikai védelem, biztonsági védősávok Portaszolgálat, belépőkártya (állandó viseléssel) Különleges védelmi területek kialakítása (pl. gépterem) Az informatikai berendezések fizikai védelme Berendezések elhelyezése, illetéktelen hozzáférés megakadályozása Az esetleges infrastruktúra/természeti rendkívüli események hatásaira történő felkészülés Tartalék tápáram-ellátás biztosítása (független betáplálás,UPS) Telephelyen kívüli berendezések védelme Rendszeres karbantartás Berendezések biztonságos újrafelhasználása Tiszta asztal, tiszta képernyő politika betartása mindenkinek kötelező

Üzletmenet-folytonosság menedzsment Célkitűzés: Az üzemszerű működés fenntartása Kockázatkezelés (RM): Megelőző óvintézkedések meghatározása a legveszélyeztetettebb területekre BCP: Célja, hogy az üzleti folyamatokat biztosító és támogató informatikai erőforrások a meghatározott üzemidőben, hatékonyan, az előírt funkcionalitási szinten működjenek, hogy a váratlan esemény által okozott közvetlen és közvetett károk minimálisak legyenek DRP: Globális helyettesítő megoldásokat ad a megelőző és elhárító intézkedésekre, amelyekkel a súlyos károkat okozó, jelentős kiterjedésű és a szolgáltatás tartós meghiúsulását okozó incidensek következményei csökkenthetők, illetve a visszaállítási fázis a körülményekhez képest meggyorsítható és a kockázatokkal arányos ráfordítással/módon megvalósítható.

Az információvédelemi tanúsítás közvetlen eredményei Vagyontárgyak értékének tudatosítása IT szolgáltatások gyenge pontjainak azonosítása  óvintézkedés, akció IT rendszerek gyenge pontjainak azonosítása  óvintézkedés, akció Eszköz- és rendszerhozzáférés területén szigorítás Tiszta asztal, tiszta képernyő megkövetelése Adat- és információvédelem területén a biztonságtudatosság javulása

Az integráció hatása a meglévő folyamatokra Szolgáltatás minőség; szolgáltatás biztonság növekedése VERSENYKÉPESSÉG JAVULÁSA Az információvédelemi tanúsítás közvetett eredményei Irányítás folyamat - Üzleti célok tervezése - Üzemeltetési erőforrások tervezése - DRP/BCP erőforrások biztosítása BS7799 követelmények PDCA

Hol tartunk, hová megyünk ? A tanúsítást sikeresen teljesítettük, de most jön a neheze Rövid idő telt el a bevezetéstől, szükséges a gyakorlottságot javítani A projekt lezárásával a vezetői és dolgozói figyelem nem lankadhat Kockázat kezelési tervek végrehajtása – határidők, erőforrások BCP –DRP tevékenység kiterjesztése, menedzselhetőbbé tétele Jogosultságkezelési rendszerek fejlesztése A biztonság tudatosság szintjének fenntartása kritikus tényező Oktatás és újraoktatás Ellenőrzések Tervezett és értékelt gyakorlatok

Köszönöm a figyelmet ! Dzsacsovszki László T-Online Magyarország +36 (1) (30)