GAZDASÁGI INFORMATIKA 7. BMF KGK Szervezési és Vezetési Intézet

Információs rendszerek üzemeltetése 1. Problémakezelés Az IT szervezet kiszolgálja a felhasználókat a következő területeken: tanácsadás, segélykérések kezelése (HELP DESK), folyamatos betanítás és továbbképzés, működéssel kapcsolatos „szabványok” és eljárások kidolgozása, felhasználói igények összegyűjtése, biztonsági és jogosultsági rendszer kidolgozása, működési zavarok kezelése.

Információs rendszerek üzemeltetése 2. Konfiguráció- és változáskezelés Az IT eszközök (köztük a szoftverek is) vagyontárgyak. A konfigurációkezelés ezen vagyontárgyak műszaki adatokkal együtt történő nyilvántartását jelenti. A változáskezelés eszköz az információs rendszert érintő változtatások kezdeményezésére, megvalósítására és felügyeletére. Szorosan összefügg a konfigurációkezeléssel.

Információs rendszerek üzemeltetése 3. Kapacitás- és rendelkezésre-állás menedzsment A kapacitás menedzsment előrejelző felmérés, aminek alapja a várható igények és jövőbeni kapacitások összevetése. Hatással van a változáskezelésre… Rendelkezésreállás menedzsment IT eszközök karbantartása, IT eszközök megbízható működése, információs rendszer hibatűrése.

Informatikai (információ?) biztonság „ Az informatikai biztonság a védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai (információ?) rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, ill. a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és kockázatokkal arányos.” Muha-Bodlaki, 2003

Kockázat A kockázat kifejezhető időegységre eső összeggel [Ft/év], ill. „osztályzattal”, ami a kockázat nagyságrendjét és elviselhetőségét mutatja… Figyelembe véve a szóbajöhető fenyegetéseket, a kockázat függ egy adott káros esemény bekövetkezésének valószínűségétől [1/év] és az esemény bekövetkezéséből származó kártól [Ft].

Információs rendszerek fizikai és operatív védelme Fizikai védelem: megfelelő környezet kialakítása a környezeti ártalmak, a szándékos vagy véletlen rongálás ellen, külön helyiség a szoftver másolatoknak és az adatbázis- mentéseknek. Operatív védelem: munkavégzés módjának szabályozása (naplózási szabályok, vírusfertőzés elleni tevékenység), felhasználók azonosítása és illetékességük meghatározása, illetéktelen hálózati behatolások megakadályozása, katasztrófa elhárítási terv (Disaster Recovery Plan) kidolgozása.

Információs rendszerek üzemszerű működésének fenntartása 1. Üzletmenet folytonossági terv (BCP – Business Continuity Plan): Az üzleti folyamatokat támogató informatikai erőforrások meghatározott időben és funkcionális szinten történő rendelkezésre állásának biztosítása, valamint váratlan események által okozott károk minimalizálása.

Információs rendszerek üzemszerű működésének fenntartása 2. Katasztrófa elhárítási terv (DRP – Disaster Recovery Plan): Helyettesítő megoldások megadása súlyos károkat és az informatikai szolgáltatás tartós meghiúsulását okozó események bekövetkezésére, úgy, hogy a következmények negatív hatásai minimalizálhatók, és az eredeti állapot visszaállítása elfogadható költségek mellett meggyorsítható legyen.

Outsourcing 1. (kiszerződés) Külső cég az alábbi területeken vállalhat szolgáltatást: hardver üzemeltetés és támogatás, szoftver karbantartás, rendszerszoftver üzemeltetés (ERP, EAM), információs rendszerek tervezése és fejlesztése, telekommunikációs szolgáltatások, rendszer bevezetés és változás menedzselés, oktatás és továbbképzés, informatikai stratégia kialakítása és megvalósítása. SLA (Service Level Agreement): szolgáltatási szintről szóló megállapodás az informatikai szolgáltatást nyújtó- és felhasználó szervezet között…

Outsourcing 2. Az outsourcing előnyei: költségcsökkenés, elhagyható beruházások, magas szakmai színvonalú, stabil IT támogatás, elmaradnak a szakértelem hiányából előálló problémák. Az outsourcing hátrányai: belső erőforrások leépítése nem visszafordítható, a szolgáltató kulcsfontosságú stratégiai adatok birtokába kerül, a szolgáltató nem mindig tud azonosulni a megbízó vállalat célkitűzéseivel, a hosszútávra megkötött szerződések nem engedik az IT piac kedvező változásainak érvényesülését.

On-line alkalmazás szolgáltatás 1. Application Service Providing (ASP) távoli szoftverszolgáltatás, ill. hozzáférés távközlési hálózatokon keresztül, az egyedi alkalmazások a szolgáltatónál telepített szerveren vannak, a felhasználókhoz csak a megjelenítéshez szükséges adatok jutnak el, bármilyen vállalati megoldás lehet ASP tárgya (ERP, CRM, Workflow, vírusvédelem).

On-line alkalmazás szolgáltatás 2. Az ASP előnyei: biztonságos védelem illetéktelen behatolás ellen, nagyobb adatbiztonság, globális elérhetőség, platformfüggetlenség, magasabb szakmai kompetencia, nincs beruházás, csökkenő IT költségek, olcsóbb verzióváltások, legális szoftverek teljeskörű használatának lehetősége.

Szabványok, ajánlások, módszertanok, keretrendszerek Üzemeltetés - ITIL ITIL – Information Technology Infrastructure Library (Office of Government Commerce (OGC) – GB) IT Infrastruktúra Könyvtár célkitűzései: az informatikai szolgáltatást a jelen és jövő igényeihez kell igazítani. javítani kell ezen szolgáltatások minőségét hosszútávon csökkenteni kell a szolgáltatások költségét „Szabvány háttér” az ITIL-lel összhangban ISO/IEC formális követelményrendszer elfogadható minőségű informatikai szolgáltatásokkal kapcsolatban ISO/IEC útmutató a szolgáltatásirányításhoz és az ISO/IEC szerinti audithoz…

Szabványok, ajánlások, módszertanok, keretrendszerek A szolgáltatás menedzsment területei az ITIL két kötetes dokumentációja szerint… Szolgáltatásbiztosítás szolgáltatási szint menedzsment, rendelkezésre állás menedzsment, informatikai szolgáltatás- folytonosság menedzsment, kapacitásmenedzsment, informatikai szolgáltatás pénzügyi irányítása Szolgáltatás-támogatás ügyfélszolgálat, incidens menedzsment, problémakezelés, változáskezelés, konfiguráció-kezelés, jóváhagyott változások dokumentálása Az ITIL-hez több kiegészítő kötet tartozik, amelyek esettanulmány szerűen mutatják be a legjobb „vállalati” gyakorlatot (best practice)…

Szabványok, ajánlások, módszertanok, keretrendszerek CobiT. Informatikai rendszerek ellenőrzése és irányítása Control Objectives for Information and related Technology – CobiT (by IT Governance Institute, USA) Széles körben elfogadott ipari „szabvány” ill. módszertan, amelyből 1996 óta már a 4.változatnál tartunk…

Szabványok, ajánlások, módszertanok, keretrendszerek CobiT. A CobiT jellemzői: a legjobb gyakorlatot meghatározott szempontok szerint csoportosító dokumentumok gyűjteménye az informatikai irányítás, szabályozás és ellenőrzés számára alapfeltételezés, hogy a szervezeti (üzleti) célok teljesítéséhez szükséges információk biztosítása érdekében az informatikai erőforrásokat összetartozó eljárások keretében kell kezelni segítségével áthidalható az üzleti kockázatok, az ellenőrzési igények és a technikai jellegű kérdések közötti szakadék (a vállalati és az informatikai irányítás szorosan összefügg…) használható a felsővezetés, a felhasználók, az informatikusok és a információs rendszer ellenőrei számára…

Szabványok, ajánlások, módszertanok, keretrendszerek CobiT. CobiT felépítése vezetői összefoglaló keretrendszer részletes kontroll irányelvek (34 db eljárás, ill. folyamat) + vezetői útmutatók és érettségi modell (maturity model) + auditálási útmutató*, kritikus sikertényezők, kritikus cél és teljesítménymutatók (mérhetőség) mellékletek (összefoglaló áttekintés, esettanulmányok, GYIK, stb.) * A szervezet CobiT szerint auditálható, de nem tanúsítható…

Szabványok, ajánlások, módszertanok, keretrendszerek CobiT. Az információs rendszer életciklusa a CobiT szerint négy fő szakaszra osztható (a 34 folyamat ezek között oszlik el…): tervezés és szervezet (pl. emberi erőforrások kezelése) beszerzés és bevezetés (pl. alkalmazói szoftverek beszerzése és karbantartása) informatikai szolgáltatás és támogatás (pl. felhasználók képzése) felügyelet és ellenőrzés (pl. független ellenőrző vizsgálat végzése) A 34 folyamat mellett megfogalmazásra kerül 215 db részletes célkitűzés v. kontroll irányelv.

Szabványok, ajánlások, módszertanok, keretrendszerek CobiT. A CobiT célja (az üzleti követelmények alapján): nem igazi irányítási rendszer kialakítása, hanem az informatikai biztonság elérése és megtartása (?)… Minimális kockázat bizalmasság (confidentality) sértetlenség (integrety) rendelkezésre állás (availability) Maximális haszon eredményesség (effectiveness) hatékonyság (efficiency) szabályosság, megfelelés (compliance) megbízhatóság (reliability)

Szabványok, ajánlások, módszertanok, keretrendszerek BS 7799, ill. ISO 2700x Szabványos információbiztonsági irányítási rendszer (brit eredetű…) MSZ ISO/IEC 17799:2006 * rendszer, amely információvédelmi tevékenységhez ad útmutatót a biztonsági követelményeket és az ezzel kapcsolatos intézkedéseket az üzleti célok és a szervezeti stratégia alapján határozza meg kiemelt szerepet kap az információbiztonság (sértetlenség, bizalmasság, rendelkezésre állás) nem kötődik egyetlen információtechnológiához sem * A teljes cím: Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve

Szabványok, ajánlások, módszertanok, keretrendszerek BS 7799, ill. ISO 2700x Szabványos információbiztonsági irányítási rendszer követelmények struktúrája (11 védelmi terület):  Biztonsági szabályzat  Az információbiztonság szervezete  Vagyontárgyak kezelése  Az emberi erőforrások biztonsága  Fizikai védelem és a környezet védelme  A kommunikáció és az üzemeltetés irányítása  Hozzáférés ellenőrzés  Beszerzés, fejlesztés, fenntartás  Információbiztonsági incidensek kezelése  A működés folytonosságának irányítása  Jogi és műszaki megfelelőség

Szabványok, ajánlások, módszertanok, keretrendszerek BS 7799, ill. ISO 2700x Tanúsítási lehetőség A „szabványcsomag” Magyarországon jelenleg két részből áll. Az MSZ ISO/IEC 27001:2006* tárgyalja a: a megfelelőségi követelményeket, az ellenőrzési követelményeket, és az irányítási rendszer kialakítását. Az így kialakított információbiztonsági irányítási rendszer auditálása független tanúsító szervezet által elvégezhető… * A teljes cím: Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények

Szabványok, ajánlások, módszertanok, keretrendszerek BS 7799, ill. ISO 2700x A szabványcsomag várható felépítése: ISO – szótár és definíciók a szabványcsomag használatához ISO – Információbiztonsági Irányítási Rendszer követelményei ISO – gyakorlati útmutató az információvédelem irányításához (ld. MSZ ISO/IEC 17799:2006) ISO – bevezetési útmutató (2007. április…) ISO – szabvány az információbiztonság számszerűsítéséről és mérési lehetőségeiről ISO – információbiztonsággal kapcsolatos kockázatok kezelése (ld. BS ) ISO – irányelvek az információ- és kommunikáció technológiákhoz kapcsolódó katasztrófa-elhárítási szolgáltatásokhoz

Szabványok, ajánlások, módszertanok, keretrendszerek BS 7799, ill. ISO 2700x Az ISO 2700x szabványcsomag céljai… A szervezeteknek gondoskodni kell az információs vagyon kockázatokkal arányos biztonságáról. Ehhez nem elegendő az számítástechnikai biztonság… Itt is ugyanolyan fontos a minimális kockázat (ld. CobiT korábban…). „Az információ olyan vagyon, melynek értéke van, és ezt az értéket – más fontos üzleti javakhoz hasonlóan – a szervezet alkalmas módon védi.” Vagyonelem: a szervezet által kezelt adat. Ennek életciklusa is van (létrehozás, tárolás, feldolgozás, megsemmisítés…). Több, mint 3200 tanúsított szervezet világszerte…

Szabványok, ajánlások, módszertanok, keretrendszerek Common Criteria, ill. MSZ ISO/IEC x Common Criteria for Information Technology Security Evaluation (CC – USA) – közös követelményrendszer az informatikai biztonság minősítéséhez MSZ ISO/IEC x* Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai -1:2002Bevezetés és általános modell -2:2003A biztonság funkcionális követelményei -3:2003**A biztonság garanciális követelményei * A CC szabványos változata, tanúsítható követelmény szabvány… ** A nemzetközi szabvány itt már 2005-ös…

Szabványok, ajánlások, módszertanok, keretrendszerek Common Criteria, ill. MSZ ISO/IEC x ISO/IEC , Bevezetés és általános modell védelmi profil (biztonsági követelmények gyűjteménye) termékre vonatkozó biztonsági előirányzatok konkrét termék értékelés ISO/IEC , A biztonság funkcionális követelményei pl. jogosultság, hitelesítés, titkosítás… ISO/IEC , A biztonság garanciális követelményei pl. auditálhatóság, karbantarthatóság, tesztelési követelmények… (1-7-ig lehet értékelni…)

Szabványok, ajánlások, módszertanok, keretrendszerek Common Criteria, ill. MSZ ISO/IEC x A CC alapján mérhető és értékelhető az informatikai termékek és rendszerek biztonsági szintje. A biztonsági vizsgálatokat végző szervezetek (értékelők) számára egyértelműen meghatározza, hogy a rendszernek mit kell nyújtania és ezt, hogyan kell megismételhetően megvizsgálni… A fejlesztők számára biztosítja a biztonsági megoldások egyértelmű leírását és megadja a szállítandó termékkel szemben támasztott követelményeket. A „fogyasztóknak” (felhasználóknak) lehetővé teszi, hogy világosan megfogalmazhassák a termékek és rendszerek biztonsági funkcióival szembeni elvárásaikat és összehasonlítsák a különböző biztonsági megoldásokat.

Szabványok, ajánlások, módszertanok, keretrendszerek egyéb szabványok MSZ ISO/IEC 9126:2000 Szoftvertermékek értékelése, minőségi jellemzők és használatuk irányelvei A minőségi jellemzők 6 csoportba vannak sorolva, törekedve az átfedések elkerülésére és a teljességre… funkcionalitás (mit kell kielégíteni a szoftvernek?) megbízhatóság (adott ideig tartó működőképesség megtartása, meghatározott körülmények között) használhatóság (a felhasználóktól elvárt, a rendszer használatához szükséges erőfeszítések mértéke) hatékonyság (a szoftver alkalmazásával biztosított teljesítmény és a használathoz szükséges erőforrások viszonya) karbantarthatóság (hibafelismerés, javítás, fejlesztés, adaptálás elvégzéséhez szükséges erőfeszítések) hordozhatóság (a rendszer egyik környezetből a másik környezetbe történő áttelepítésének nehézsége és kockázata)

Szabványok, ajánlások, módszertanok, keretrendszerek egyéb szabványok ISO/IEC x Software Engineering. Product Evaluation.* -1:1999General Overview -2:2000Planning and Management -3:2000Process for Developers -4:1999Process for Acquirers -5:1998Process for Evaluators A szoftverminősítéssel kapcsolatos szinteket a szabvány 4 szintre bontja és e mellett 4 kockázati típust ad meg… * nincs magyarnyelvű változat…

Szabványok, ajánlások, módszertanok, keretrendszerek egyéb szabványok