Internetszolgáltatás biztonságosan A T-Online Magyarország BS7799 tanúsításának hiteles története, tanulságokkal Dzsacsovszki László IT Programmenedzsment igazgatóhelyettes
A T-Online Magyarország Rt. bemutatása A Magyar Telekom csoport tagja Magyarország piacvezető Internetszolgáltatója 25 milliárd HUF éves árbevétel Főbb termékei, szolgáltatásai, márkái Internet hozzáférési szolgáltatás, elektronikus levelezési szolgáltatás, tartalomszolgáltatás, üzleti internetes megoldások, és ezeket a tevékenységeket támogató kiegészítő szolgáltatások Origo, fre , adatpark, online videotéka, zeneáruház Alkalmazott, bérelt és szerződéses munkaerő (~400 fő) ISO 9001:2000 szerint kialakított és működtetett minőségirányítási rendszer 3 telephely Budapesten
A T-Online Magyarország Rt. működése Desktops Szerverek Adatpark Intranet Internet szolgáltatások Üzletfejlesztés [origo] Portal Termékek és szolgáltatások Infrastruktúra-, szolgáltatás és alkalmazásfejlesztés Intranet szolgáltatások
A projekt indítás nehézségei A felsővezetés meggyőzése a projekt szükségességéről Közvetlen piaci igény hiánya Nem volt előzmény a Magyar Telekom csoporton belül Direkt pénzügyi haszon nehezen számszerűsíthető Képzett munkaerő hiánya Szakképzett ISO és IT biztonsági emberek, BS kompetencia nélkül Audit dömping ISO, BS, SOX, Telekom Belső Ellenőrzés Ugyanazokon az embereken a terhelés
A projekt tervezése A projekt fő célja: Integrált minőségirányítási és információvédelmi irányítási rendszer megtervezése, kialakítása és működtetése a T-Online Magyarország Rt.-ben Erőforrások: Minőségirányítási csoportra alapozva – 3 fő, részmunkaidőben Kockázatértékelők, folyamatfelelősök (11 fő) Külső tanácsadó Ütemterv: Tanúsítás Előaudit, helyesbítés Vezetőségi átvizsgálás Működtetés, belső audit Bevezetés, oktatás Kockázat kezelési terv Kockázatfelmérés Kockázatkezelők képzése Vezetői prezentáció Helyzetfelmérés szeptaugjúljúnmájáprmárcfebjandecnovoktszeptaug
A projekt tényleges megvalósulása A projekt fő célja: Teljesült Integrált minőségirányítási és információvédelmi irányítási rendszer megtervezése, kialakítása és működtetése a T-Online Magyarország Rt.-ben Erőforrások: A tervezettnek megfelelően alakult Minőségirányítási csoportra alapozva – 3 fő, részmunkaidőben Kockázatértékelők, folyamatfelelősök (11 fő) Külső tanácsadó Ütemterv: 3 hónap csúszás Tanúsítás Előaudit, helyesbítés Vezetőségi átvizsgálás Működtetés, belső audit Bevezetés, oktatás Kockázat kezelési terv Kockázatfelmérés Kockázatkezelők képzése Vezetői prezentáció Helyzetfelmérés szeptaugjúljúnmájáprmárcfebjandecnovoktszeptaug T-Online Rebranding
Alkalmazott módszerek Vagyontárgyak felmérése Eszmei vagyontárgyak Ingatlanvagyon Szolgáltatási vagyontárgyak Munkatársi kompetenciák Fizikai eszközök Szoftver eszközök Adat vagyontárgyak Események osztályozása Normál üzem Üzemszünet Hiba Üzemzavar Súlyos üzemzavar Leállás Üzemképtelenség Célkitűzés: Gondoskodni a vagyontárgyak és az események szisztematikus számbavételéről
Kockázatértékelés Célkitűzés: A biztonsági kockázatoknak a fenyegetettséggel arányos költségen történő kezelése. Az információ vagyont fenyegető veszélyek azonosítása Területenként, képzett értékelők bevonásával Szisztematikus és következetes értékelés Súlyosság, Gyakoriság, Észlelhetőség (RPN, kockázati mutató) Esemény központú kockázatértékelés A különböző területi kockázatok összehangolása A megfelelő védelmi intézkedés meghatározása a legnagyobb fenyegetésekre Irányuljon a súlyosság, gyakoriság, észlehetőség javítására Nem kell minden kockázatra akciót meghatározni Az akcióknak van felelőse, határideje, konkrét célja A védelmi intézkedéseket rendszeresen értékelni kell Az információ vagyon és a kockázatkezelés felülvizsgálata, évente A prioritások újraértékelése, új akciók meghatározása És így tovább, ciklikusan…
Az információvédelmi szervezet és folyamatok Az információvédelmi politika célja a vezetői elkötelezettség demonstrálása és az információvédelemmel kapcsolatos iránymutatás Dokumentumok: Integrált minőség és információvédelmi kézikönyv + Információvédelmi Politika (Iik) Információvédelmi Szabályzat (IvSZ) Alkalmazhatósági nyilatkozat - Direkt kapcsolat a szabvány követelmények és a megvalósított szabályozások között A szervezet és a szerepek: Információvédelmi Fórum (IvF) Információvédelmi Vezető (IvV) Adatvédelmi Felelős (AvF) Informatikai Biztonsági Felelős (IBF) Területi vezetők és adatgazdák Folyamatok: Hozzáférések, jogosultságok kezelése Szerződéskötés (információvédelmi szempontok figyelembevétele) Outsourcing (biztonsági követelmények rögzítése a Megbízási Szerződés-ben) Védelmi rendszer független felülvizsgálata (belső és külső audit)
Személyekkel kapcsolatos védelem Információvédelem a munkaerő-felvételnél (Munkaszerződések, munkaköri leírások) Felvételi átvilágítás (Személyes adatok ellenőrzése, Összeférhetetlenség, Üzleti referenciák vizsgálata) A biztonságtudatosság fejlesztése Új belépők oktatása; rendszeres újraoktatás Felkészülés rendkívüli helyzetek kezelésére - gyakorlatok Tanulságok leszűrése és megelőző tevékenység folytatása Hozzáférés menedzsment Fegyelmi eljárások indítása az előírások megszegőire (Munkáltatói jogkörű vezető) Célkitűzés: Gondoskodni az adat, információ egyéb vagyontárgyak megfelelő védelmi szintjéről
Fizikai és környezeti biztonság Célkitűzés: Megvédeni a szervezet telephelyeit, az üzleti helyszíneket, azok infrastruktúráját, valamint az adatot/információt a jogosulatlan hozzáféréstől és sérüléstől. Fizikai védelem, biztonsági védősávok Portaszolgálat, belépőkártya (állandó viseléssel) Különleges védelmi területek kialakítása (pl. gépterem) Az informatikai berendezések fizikai védelme Berendezések elhelyezése, illetéktelen hozzáférés megakadályozása Az esetleges infrastruktúra/természeti rendkívüli események hatásaira történő felkészülés Tartalék tápáram-ellátás biztosítása (független betáplálás,UPS) Telephelyen kívüli berendezések védelme Rendszeres karbantartás Berendezések biztonságos újrafelhasználása Tiszta asztal, tiszta képernyő politika betartása mindenkinek kötelező
Üzletmenet-folytonosság menedzsment Célkitűzés: Az üzemszerű működés fenntartása Kockázatkezelés (RM): Megelőző óvintézkedések meghatározása a legveszélyeztetettebb területekre BCP: Célja, hogy az üzleti folyamatokat biztosító és támogató informatikai erőforrások a meghatározott üzemidőben, hatékonyan, az előírt funkcionalitási szinten működjenek, hogy a váratlan esemény által okozott közvetlen és közvetett károk minimálisak legyenek DRP: Globális helyettesítő megoldásokat ad a megelőző és elhárító intézkedésekre, amelyekkel a súlyos károkat okozó, jelentős kiterjedésű és a szolgáltatás tartós meghiúsulását okozó incidensek következményei csökkenthetők, illetve a visszaállítási fázis a körülményekhez képest meggyorsítható és a kockázatokkal arányos ráfordítással/módon megvalósítható.
Az információvédelemi tanúsítás közvetlen eredményei Vagyontárgyak értékének tudatosítása IT szolgáltatások gyenge pontjainak azonosítása óvintézkedés, akció IT rendszerek gyenge pontjainak azonosítása óvintézkedés, akció Eszköz- és rendszerhozzáférés területén szigorítás Tiszta asztal, tiszta képernyő megkövetelése Adat- és információvédelem területén a biztonságtudatosság javulása
Az integráció hatása a meglévő folyamatokra Szolgáltatás minőség; szolgáltatás biztonság növekedése VERSENYKÉPESSÉG JAVULÁSA Az információvédelemi tanúsítás közvetett eredményei Irányítás folyamat - Üzleti célok tervezése - Üzemeltetési erőforrások tervezése - DRP/BCP erőforrások biztosítása BS7799 követelmények PDCA
Hol tartunk, hová megyünk ? A tanúsítást sikeresen teljesítettük, de most jön a neheze Rövid idő telt el a bevezetéstől, szükséges a gyakorlottságot javítani A projekt lezárásával a vezetői és dolgozói figyelem nem lankadhat Kockázat kezelési tervek végrehajtása – határidők, erőforrások BCP –DRP tevékenység kiterjesztése, menedzselhetőbbé tétele Jogosultságkezelési rendszerek fejlesztése A biztonság tudatosság szintjének fenntartása kritikus tényező Oktatás és újraoktatás Ellenőrzések Tervezett és értékelt gyakorlatok
Köszönöm a figyelmet ! Dzsacsovszki László T-Online Magyarország +36 (1) (30)