Informatikai igazgató A kihelyezett biztonság kérdései az energiaiparban Kaszás Árpád Informatikai igazgató MAVIR ZRt.
TARTALOMJEGYZÉK MAVIR-ról, iparági informatikáról általában Egy IT felmérés főbb megállapításai Kihelyezés definíciója, célja Biztonság definíciója Kihelyezés okai, eredménye Biztonságcélja Biztonsági kihívások Kihelyezés kockázatai Biztonsági szempontok Kihelyezés folyamata IT biztonsági feladatok 2006 március
MAVIR-ról MAVIR fontosabb jellemzői Átviteli rendszerirányító (Magyar Villamosenergia-ipari Átviteli Rendszerirányító ZRt.) Tulajdonos MVM (99,99%), GKM (0.01% speciális jogokkal) Regulátor: Magyar Energia Hivatal (MEH) Létszám ~700 fő Törzstőke: ~ 140 milliárd Ft Saját informatikai eszközök Bérelt távközlés 2006 március
Villamosenergia export-import 2006 március 27. 15 óra 21 perckor
Iparági informatikáról általában Jelentős technológiai közeli rendszerek technológiai ( fő folyamatokhoz kapcsolódó) IT technológiához közeli IT általános IT Kiterjedt adatkapcsolat (hazai és külföldi) Speciális adatátviteli összekötések Fokozott rendelkezésre állási követelmények Lazán csatolt részrendszerek Szabályozott informatikai (biztonsági) folyamatok Informatika képviselete megoldott a vállalat vezetésében Információ Biztonsági Irányítási Rendszer (IBIR) működése Tulajdonosi érdekkörbe tartozó IT cégek 2006 március
Kivonat az IT Governance Institute 2006.évi jelentéséből 1. Az IT sokkal kritikusabb az üzlet szempontjából, mint valaha A résztvevők 87%-a számára teljesen világos, hogy az IT nagyon fontos azért hogy hozza a vállalati startégiát és az elképzelést. A válaszadók 63%-ánál az IT rendszeresen napirenden van az igazgatósági üléseken. 2. A vezérigazgatók sokkal pozitívabb érzéseket táplálnak az IT irányába, mint az IT vezetők maguk Összehasonlítva az IT vezetőkkel a legfelsőbb vezetők sokkal kritikusabbak és nagyobb fontosságot tulajdonítanak az IT-nak. Ráadásul ők általánosságban sokkal elégedettebbek az IT-vel és annak stratégia jelentőségével az üzlettel kapcsolatban. 3. Jelentős különbségek léteznek az üzleti szektorok között Az infokommunikáció és a pénzügyi szolgáltatások nagyobb használóinak tűnnek az IT irányításnak, míg a kiskereskedelem és a gyártó ipar kevésbé. Ezek az IT stratégiai fontossági fokozat folyományai ezekben az iparágakban. 4. Az IT személyzet a legfontosabb IT-vel kapcsolatos probléma Ha megvizsgáljuk a kérdéskör valamennyi oldalát, olyanokat mint az események gyakorisága, a problémák súlyossága és a jövőbeni fejlődés, az IT személyzet tűnik az IT legfontosabb problémájának. 5. Az informatikai biztonság nem a legfontosabb IT releváns probléma Ha számszerűsítjük a problémák minden aspektusát, a biztonság (és a szolgáltatás) az utolsó helyre sorolódik a nyolc probléma kategória közül. 6. Az IT kihelyezés vége A kihelyezés többé nem látszik a leghatékonyabb eszköznek az IT problémák megoldására. Amint az üzlet és az IT egyre inkább (fokozatosan) tudatára ébred, hogy az IT problémát nem tudja kihelyezni, abba az irányba tendálnak, hogy a problémás rendszereket házonbelülre visszahozzák. 7. Az ISACA és az IT Governance Institute ismertsége növekszik Az IT-vel foglalkozók között a 2003. évihez képest viszonyítva a az ISACA és az ITGI márkák ismertsége csaknem háromszorosára növekedett. A COBIT (Control Objectives for information and Related Technology) ismertsége növekszik 2006 március
IT-vel kapcsolatos problémák 2006 március
Kihelyezés definíciója A kihelyezések célja az informatikai feladatok egy részének, vagy az egésznek szerződéses alapon külső félnek történő átadása. A kihelyezés lehet - fejlesztési megbízás - üzemeltetési megbízás - karbantartási, rendszerkövetési megbízás - munkaerőbérlés MSZ ISO/IEC 17799:2002 4.3 Erőforrás-kihelyezés Célkitűzés: Fenntartani az informatikai biztonságot akkor is, ha az információfeldolgozási feladatokat más szervezeteknek alvállalkozásba adták. Az erőforrás-kihelyezés előkészületei során a felek közötti szerződésben célszerű kitérni az informatikai rendszerek, hálózatok és asztali számítógépes környezetek kockázataira, biztonsági óvintézkedéseire és eljárásaira. 2006 március
Kihelyezés célja, vizsgálati szempontok A kihelyezések célja Saját erőforrás megtakarítás és a beruházások egy részének költséggé konvertálása………vagy valami más! Kérdések kihelyezés után Eléri-e a kitűzött célokat? - Biztos hogy olcsóbb? - Megtérül a befektetés? - Belső erőforrást igény jelentősen csökkent? - A biztonsági kockázat nem növekedett? Konkrétan vizsgált fontosabb szempontok egy eset során Vállalati folyamatokon belüli súlya (folyamat v. támogató rendszer) Rendelkezésre álló személyzet, tapasztalatok Kötött üzemeltetési létszám a teljes informatikára Vállalati feladatok, folyamatok véglegessége Rendelkezésre álló külső erő (outsource cégek száma) Biztonsági követelmények teljesíthetősége 2006 március
Informatikai biztonság Az informatikai biztonság az az állapot, amikor az informatikai rendszer védelme – a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos. teljes körű a védelem a rendszer összes elemére kiterjed zárt az összes releváns fenyegetést figyelembe vevő védelem folyamatos időben változó körülmények ellenére megszakítás nélkül megvalósul Kockázatokkal arányos védelem esetén egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel 2006 március
Biztonság célja Bizalmasság, sértetlenség, rendelkezésre állás Bizalmasság: azt jelenti, hogy valamit csak korlátozott számú kevesek ismerhetnek, Sértetlenség: azt jelenti, hogy valami az eredeti állapotának megfelel, teljes, Rendelkezésre állás a rendszer olyan állapota, amelyben az eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (funkcionalitás), meghatározott helyen és időben (elérhetőség). 2006 március
Vonatkozó szabványok, kapcsolódó bevált gyakorlatok gyűjteményei ISO/IEC 27001:2005 (BS 7799-en alapul) ISO/IEC 12207 Szoftveréletciklus-folyamatok ISO/IEC 9126 Szoftvertermékek értékelése ISO/IEC 15408 Az informatikai biztonságértékelés közös szempontjai (Common Criteria 2.1 alapján) Informatikai Tárcaközi Bizottság (ITB) ajánlásai COBIT (ObjectivesControl Objectives for information and Related Technology) ITIL (IT Infrastructure Library) ISO Guide 73 Risk Management 2006 március
Szerződéses követelmények MSZ ISO/IEC 17799:2002 4.3 Erőforrás-kihelyezés Az informatikai rendszerek, hálózatok és/vagy asztali számítógépes környezetek egészének vagy egy részének menedzselését és ellenőrzését alvállalkozásba adó szervezet a felek közötti szerződésben térjen ki a biztonsági követelményekre. Például a szerződésben célszerű kitérni arra, hogy: a.) hogyan fogják a jogi követelményeket kielégíteni, pl. az adatátviteli jogszabályozást; b.) milyen rendelkezéseket kívánnak foganatosítani annak garantálására, hogy az erőforrás-kihelyezésben résztvevő valamennyi fél, az alvállalkozókat is beleértve, tudatában van saját biztonsági felelőségének; c.) hogyan fogják fenntartani és vizsgálni a szervezet üzleti vagyonának sértetlenségét és titkosságát; d.) milyen fizikai és logikai óvintézkedéséket fognak alkalmazni arra, hogy korlátozzák és behatárolják a jogosult használóknak a hozzáférését a szervezet érzékeny üzleti információihoz/adataihoz; e.) hogyan fogják fenntartani a szolgáltatások rendelkezésre állasát katasztrófa esetében; f.) milyen fizikai biztonsági szinteket kell ellátnia az alvállalkozásba kiadott berendezések esetében; g.) az auditálás jogaira. 2006 március
Az informatikai biztonsági kihívások Informatika függőség A szervezetek alap és irányítási tevékenységét egyre jobban átszövi az informatika Nem bizalmas hálózatok Az Internet kívül esik a gazdasági szervezet hatókörén Átláthatóság A vállalatok elemi érdeke, hogy alkalmazásaikhoz megbízható, kipróbált és sok referenciával rendelkező erőforrásokat használjanak. Ezek azonban a támadó számára a vállalat információrendszereit átláthatóvá teszik, hiszen az alkalmazások gyengeségei korlátozás nélkül megismerhetők. Igen nagy fokú adatkoncentráció A támadás, kémkedés célpontjaivá válnak. Globalizáció A vállalatok határai nem függenek az országhatároktól Elektronikus iroda Az irodai folyamatok elekronizálódása miatt a keletkezett dokumentumok teljes életciklusukat kizárólag elektronikus formában élik meg. 2006 március
Lehetséges kárkövetkezmény A fenyegetés ERŐFORRÁSOK Bizalmassága Sértetlensége Rendelkezésre állása Veszély-forrás Támadás lehetősége Lehetséges kárkövetkezmény 2006 március
Fenyegetettség Veszélyforrás mindaz, aminek bekövetkezésekor az információ-rendszerben nem kívánt állapot jön létre, az információ-rendszer biztonsága sérül A támadás egy veszélyforrásból kiinduló, az erőforrások bizalmassága sértetlensége és rendelkezésre állása ellen irányuló folyamat A fenyegetés egy személy, dolog, esemény, ötlet, amely támadás lehetőségét képezi az erőforrásokra A fenyegetettség olyan állapot, amelyben az erőforrások felfedésre (bizalmasság), módosításra (sértetlenség) vagy elpusztításra kerülhetnek (rendelkezésre állás) 2006 március
A kihelyezés alapvető kockázatai A Megbízó hatáskörén kívül eső biztonsági környezet A megbízás végrehajtása során a Megbízó biztonsági követelményeinek érvényesíthetősége, és a számon kérhetőség biztosíthatósága További fenyegetettséget jelent, ha a harmadik fél a vállalat területén a vállalat védelmi intézkedéseinek betartási kötelezettsége nélkül teljesíti a szerződéses kötelezettségeit. Az outsourcing azt jelenti, hogy informatikai erőforrások részben vagy teljesen más biztonsági környezetbe kerülnek, amelyre a Megbízónak nincs közvetlen hatásköre, ezért komoly kockázatot jelent. 2006 március
Kihelyezés kapcsolata a vállalati folyamatokkal A kihelyezésről a biztonsági kockázatok figyelembevétel lehet dönteni: Főfolyamatok kihelyezése nem célszerű (pl. át nem ruházható felelősség, vagy rendelkezésre állási követelmények alapján) Üzletfolytonosságot érintő tartalék eljárások, eszközök külső szolgáltatás igénybevétele lehetséges Egyéb folyamatok kihelyezhetőek Az erőforrás-kihelyezésről tehát dönthetünk a kapcsolódó biztonsági kockázatok figyelembevételével. A főfolyamatok kihelyezése gyakran nem célszerű, vagy egyáltalán nem lehetséges a törvényi követelmények, át nem ruházható felelősség, vagy a rendelkezésre állási követelmények alapján. MAVIR esetében például a rendszerirányítási folyamat kihelyezése szóba sem jöhet, már csak a tevékenységi engedélyben foglalt át nem ruházható felelősség miatt sem, de érdemes azt is végiggondolni, hogy egy esetleges kiesés esetén hiába van kártérítési kötelezettsége a partnernek, az okozott kár országos szinten nem lenne elfogadható. Az üzletfolytonosságot érintő folyamatok esetében külső szolgáltatás igénybevehető, azonban az üzletfolytonosságot biztosító személyzetet célszerű a társaság alkalmazásában tartani. Egyéb folyamatok kihelyezése biztonsági szempontból elfogadható lehet. 2006 március
Rendelkezésre állási szempontok Rendelkezésre állás szempontjai: Folyamatra, rendszerre vonatkozóan (mérés módja, elvárt érték) Partnerre vonatkozóan (válaszidő, kiszállási idő, stb.) Hiba behatárolására vonatkozó követelmények (együttműködési problémák esetében a legfontosabb feladat a hiba behatárolása, felelősség megállapítás) Nem rendelkezésre állás esetén szankciókat célszerű érvényesíteni (díjcsökkenés, felelősségbiztosítás által garantált kártérítés) 2006 március
Sértetlenségi szempontok Sértetlenség szempontjai: folyamatra, rendszerre vonatkozó biztonsági előírások rögzítése a szerződésben (védelmi rendszerek üzemeltetése, állapot jelentése) partnerre vonatkozó biztonsági előírások rögzítése (telephelyek fizikai védelme, informatikai rendszereik elvárt védelme, ellenőrzési jog) sérülés esetére az azonnali felmondás lehetőségét kell biztosítani 2006 március
Bizalmassági szempontok Bizalmasság szempontjai bizalmassághoz kapcsolódó technikai követelmények meghatározása (pl. titkosított kapcsolatok) titoktartási kötelezettség meghatározása szerződésben titoktartási nyilatkozatok aláírása 2006 március
Kihelyezés folyamata 1. (Biztonsági követelmények meghatározása) A folyamat biztonsági követelményeinek kidolgozása a tervezés során történik. Az IT kihelyezés felelőse az előkészítés során meghatározza: a kihelyezés szakmai és biztonsági követelményeit, követelmények módosításának rendjét, rendelkezésre állási mutatókat, követelményeket, szankciókat, a védelmi működés jelentésének módját. Egy folyamat vagy rendszer biztonsági követelményei mindig a tervezés során kerülnek kialakításra. Az elkészült rendszertervek, folyamatleírások, munkautasítások tartalmazzák a folyamatra, illetve rendszerre vonatkozó előírásokat. A kihelyezés felelőse az együttműködés előkészítése során a rendelkezésre álló dokumentáció alapján a partner számára átadja a kihelyezés szakmai és biztonsági követelményeit (üzemeltetési, támogatási feladatok, stb.), meghatározza a követelmények módosításának rendjét, a rendelkezésre állási mutatókat, valamint a védelmi rendszerek működésének jelentési módját (pl. behatolási kísérletek száma). 2006 március
Kihelyezés folyamata 2. (Biztonsági minősítés) Az informatikai biztonságfelügyelet meghatározza a partner biztonsági minősítését. Főfolyamathoz való kapcsolódás függvényében a szolgáltató az alábbi három kategóriák valamelyikébe kerül besorolásra főfolyamathoz közvetlenül kapcsolódik főfolyamathoz kapcsolódik támogató folyamathoz kapcsolódik A besorolás egyidejűleg a biztonsági követelmények szintjét is meghatározza Ezzel párhuzamosan az informatikai biztonságfelügyelet meghatározza a partner biztonsági minősítését a kihelyezett folyamat dokumentációja alapján. Három minősítés létezik, attól függően, hogy milyen folyamat kerül kihelyezésre. A kihelyezett folyamat kapcsolódhat közvetlenül egy főfolyamathoz (pl. piaci rendszerek), indirekt módon kapcsolódhat főfolyamathoz (pl. meteorológiai rendszer folyamatai), vagy támogató folyamathoz kapcsolódik (pl. határvédelmi rendszer folyamatai) 2006 március
Kihelyezés Folyamata 3. (Szerződéskötés és felügyelet) A besoroláshoz tartozó szerződésmellékletet a kihelyezés felelőse csatolja a szerződéshez A besorolásnak megfelelő követelmények szerződéskötés előtt ellenőrzésre kerülnek Szerződéskötés után a biztonsági követelmények rendszeres ellenőrzése Minden minősítéshez tartozik egy szerződésmelléklet sablon, melyet a kihelyezés felelőse csatol a szerződéshez. Ezzel párhuzamosan az informatikai biztonságfelügyelet elvégzi a minősítés alapján meghatározott biztonsági követelmények ellenőrzését. Szerződéskötés csak a biztonsági követelmények teljesítése esetén történhet. 2006 március
Biztonságos IT rendszert kívánva Köszönöm a figyelmet kaszas@mavir.hu 2006 március