Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher Magyarországi Kft.

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Miről lesz szó?  A Drescher Magyarországi Kft.  Az üzleti DM jellegzetességei  Értékek, kockázatok, kockázatkezelés  IT megoldások  Tapasztalatok

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A Drescher Magyarországi Kft.  a Drescher a németországi Drescher GmbH leányvállalataként kezdte meg működését  január 1-től a francia EPPE csoport tagja  egy külföldi és egy magyar tulajdonos  ISO 9001 és az ISO szerint tanúsított minőség- és környezetirányítási rendszer  december 27. óta BS7799/ISO17799 szerint tanúsított információvédelmi rendszer  Egy nyomda, …

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A Drescher Magyarországi Kft.  Egy nyomda, … – 70 fő (fizikai állománnyal együtt) – 35 számítógépes munkahely – 18 szerver, ebből 5 tűzfal  … ami üzleti DM-mel foglalkozik – nagy tömegű küldemény megszemélyesítése, – feldolgozása, – borítékolása – címzetthez történő eljuttatása

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Az üzleti direct mailing  alaptechnológiák: – nyomtatás – borítékolás – alapanyaggyártás  nagy tömeg  egyedi tartalom  tartalom alapján változó konfiguráció  a címzett általában ügyfele a feladónak

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Miért?  A tevékenység jellege miatt – outsourcing – nagyon érzékeny adatokkal  Belső igények: – stabil, áttekinthető informatikai működés – magas szintű rendelkezésre állási igények (üzletmenet folytonosság, 24 órás üzem) – „9001 és es ISO már van”  Külső igények: – a partnerek folymatosan auditálnak – gyakorlatilag BS szerint – versenyelőnyt jelent

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Védendő értékek – belülről nézve A feldolgozási folyamat hibátlansága  Dokumentált folyamatok  Képzés  Ellenőrzési pontok (ISO 9001) Folyamatos üzem  Üzletmenet-folytonosság  IT technológiai megoldások Az ügyfeleink ügyfeleinek adatai  Informatikai biztonság  Fizikai és logikai hozzáférés  Selejt kezelése  5 súlyossági szint – 5 gyakoriság – 5 kockázati besorolás  Területenkénti felmérés

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Védendő értékek – kívülről nézve Az ügyfeleink ügyfeleinek adatai  Fizikai és logikai hozzáférés – az egész folyamat során  Informatikai biztonság  Selejt kezelése Folyamatos üzem  Üzletmenet-folytonosság – back-up kapacitások – adat-kommunikáció A feldolgozási folyamat hibátlansága  Ügyfél-visszajelzések alapján  Főleg a bankok részéről rendszeres audit – nekik is kötelező  Mások a prioritások!

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A különböző értékelés háttere  A működés sajátossága: – nagy mennyiségű adat – nagyon rövid ideig  Nem kell, sőt nem is szabad menteni!  A mentési rendszer elsősorban az üzletmenet-folytonosság biztosítása érdekében szükséges

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A különböző értékelés háttere  Az elektronikus adathoz való hozzáférés erősen korlátozott: – nagy mennyiségű adathoz nehéz hozzáférni – az egyes területek erősen szeparáltak egymástól  elválasztott hálózatok  Internet hozzáférés korlátozása – kis cégméret, jól áttekinthető terek – a „bosszú” jellegű károkozás a személyzeti politikával elég jól kezelhető – jól logolható  központi log-szerver A hozzáférés a késztermék esetében könnyebb … azonban fizikai korlátokba ütközik  A valódi kockázat a banktitotok véletlen megsértése!

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A különböző értékelés háttere  A „nagyértékű” hibák legtöbbször nem kerülnek ki a rendszerből: – a megrendelő nem „érzékeli” – neki ez nem kockázat! – ha viszont érzékeli, akkor az nagyon súlyos következményekkel jár  A cél az incidensek házon belül tartása. „Folyamatos üzem” nagy időállandókkal: 24 órás, de nem online szolgáltatást nyújtunk a tevékenység jellege elvisel akár egynapos kiesést is!  A valódi cél a rendszer visszaállíthatóságának biztosítása.

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai Információvédelem: több, mint informatika  Informatikai tevékenységek a folyamat elején  A folyamat vége már nem informatikai kérdés  A ISMS az egészre ki kell, hogy terjedjen! Adódik az összekapcsolás az ISO 9001-es rendszerrel  kockázatfelmérés, kockázatkezelés, informatikai biztonság, IT technológiák a BS-ben  gyártási folyamatok szükséges szabályozás az ISO-ban, a BS- ben csak hivatkozás  gyakorlatilag közös dokumentációs rend

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai IT megoldások  Fizikailag elkülönített hálózatok  Csak biztonságos protokollok  Bérelt vonalon titkosított kapcsolat (VPN)  Folyamatos kapcsolat-ellenőrzés  Homogén géppark  Duplikált HW elemek (szerver, switch), HA megoldások

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai A bevezetés tapasztalatai  Nehézséget jelentett a folyamat elhúzódása: – Átépítés, változó fizikai környezet  a fizikai védelem épppen mélyponton  Érzékelhető előnyök: – A vezetői elkötelezettség valós  a menedzsment hozzáállása az informatikai kérdésekhez – Incidensek száma lecsökkent  emberi mulasztásból adódó hiba ­technológiai hiba, ami „átcsúszik” az ellenőrzésen – Az ügyfél-auditok hangulata és eredménye nagyságrendekkel javult  áttekintehetőség  bevezetett technológiák  BS 7799, mint „varázsszó”

Az üzleti DM és az információbiztonság – Egy bevezetés tapasztalatai … Puskás Zsolt Péter informatikai igazgató Drescher Magyarországi Kft Bp., Gyáli út 31.