Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher Magyarországi Kft.
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Miről lesz szó? A Drescher Magyarországi Kft. Az üzleti DM jellegzetességei Értékek, kockázatok, kockázatkezelés IT megoldások Tapasztalatok
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A Drescher Magyarországi Kft. a Drescher a németországi Drescher GmbH leányvállalataként kezdte meg működését január 1-től a francia EPPE csoport tagja egy külföldi és egy magyar tulajdonos ISO 9001 és az ISO szerint tanúsított minőség- és környezetirányítási rendszer december 27. óta BS7799/ISO17799 szerint tanúsított információvédelmi rendszer Egy nyomda, …
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A Drescher Magyarországi Kft. Egy nyomda, … – 70 fő (fizikai állománnyal együtt) – 35 számítógépes munkahely – 18 szerver, ebből 5 tűzfal … ami üzleti DM-mel foglalkozik – nagy tömegű küldemény megszemélyesítése, – feldolgozása, – borítékolása – címzetthez történő eljuttatása
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Az üzleti direct mailing alaptechnológiák: – nyomtatás – borítékolás – alapanyaggyártás nagy tömeg egyedi tartalom tartalom alapján változó konfiguráció a címzett általában ügyfele a feladónak
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Miért? A tevékenység jellege miatt – outsourcing – nagyon érzékeny adatokkal Belső igények: – stabil, áttekinthető informatikai működés – magas szintű rendelkezésre állási igények (üzletmenet folytonosság, 24 órás üzem) – „9001 és es ISO már van” Külső igények: – a partnerek folymatosan auditálnak – gyakorlatilag BS szerint – versenyelőnyt jelent
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Védendő értékek – belülről nézve A feldolgozási folyamat hibátlansága Dokumentált folyamatok Képzés Ellenőrzési pontok (ISO 9001) Folyamatos üzem Üzletmenet-folytonosság IT technológiai megoldások Az ügyfeleink ügyfeleinek adatai Informatikai biztonság Fizikai és logikai hozzáférés Selejt kezelése 5 súlyossági szint – 5 gyakoriság – 5 kockázati besorolás Területenkénti felmérés
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Védendő értékek – kívülről nézve Az ügyfeleink ügyfeleinek adatai Fizikai és logikai hozzáférés – az egész folyamat során Informatikai biztonság Selejt kezelése Folyamatos üzem Üzletmenet-folytonosság – back-up kapacitások – adat-kommunikáció A feldolgozási folyamat hibátlansága Ügyfél-visszajelzések alapján Főleg a bankok részéről rendszeres audit – nekik is kötelező Mások a prioritások!
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A különböző értékelés háttere A működés sajátossága: – nagy mennyiségű adat – nagyon rövid ideig Nem kell, sőt nem is szabad menteni! A mentési rendszer elsősorban az üzletmenet-folytonosság biztosítása érdekében szükséges
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A különböző értékelés háttere Az elektronikus adathoz való hozzáférés erősen korlátozott: – nagy mennyiségű adathoz nehéz hozzáférni – az egyes területek erősen szeparáltak egymástól elválasztott hálózatok Internet hozzáférés korlátozása – kis cégméret, jól áttekinthető terek – a „bosszú” jellegű károkozás a személyzeti politikával elég jól kezelhető – jól logolható központi log-szerver A hozzáférés a késztermék esetében könnyebb … azonban fizikai korlátokba ütközik A valódi kockázat a banktitotok véletlen megsértése!
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A különböző értékelés háttere A „nagyértékű” hibák legtöbbször nem kerülnek ki a rendszerből: – a megrendelő nem „érzékeli” – neki ez nem kockázat! – ha viszont érzékeli, akkor az nagyon súlyos következményekkel jár A cél az incidensek házon belül tartása. „Folyamatos üzem” nagy időállandókkal: 24 órás, de nem online szolgáltatást nyújtunk a tevékenység jellege elvisel akár egynapos kiesést is! A valódi cél a rendszer visszaállíthatóságának biztosítása.
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Információvédelem: több, mint informatika Informatikai tevékenységek a folyamat elején A folyamat vége már nem informatikai kérdés A ISMS az egészre ki kell, hogy terjedjen! Adódik az összekapcsolás az ISO 9001-es rendszerrel kockázatfelmérés, kockázatkezelés, informatikai biztonság, IT technológiák a BS-ben gyártási folyamatok szükséges szabályozás az ISO-ban, a BS- ben csak hivatkozás gyakorlatilag közös dokumentációs rend
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai IT megoldások Fizikailag elkülönített hálózatok Csak biztonságos protokollok Bérelt vonalon titkosított kapcsolat (VPN) Folyamatos kapcsolat-ellenőrzés Homogén géppark Duplikált HW elemek (szerver, switch), HA megoldások
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A bevezetés tapasztalatai Nehézséget jelentett a folyamat elhúzódása: – Átépítés, változó fizikai környezet a fizikai védelem épppen mélyponton Érzékelhető előnyök: – A vezetői elkötelezettség valós a menedzsment hozzáállása az informatikai kérdésekhez – Incidensek száma lecsökkent emberi mulasztásból adódó hiba technológiai hiba, ami „átcsúszik” az ellenőrzésen – Az ügyfél-auditok hangulata és eredménye nagyságrendekkel javult áttekintehetőség bevezetett technológiák BS 7799, mint „varázsszó”
Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai … Puskás Zsolt Péter informatikai igazgató Drescher Magyarországi Kft Bp., Gyáli út 31.