1 / 36

Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK raffai@sze.hu

Az informatikai biztonság, mint az üzletmenet-folytonosság alappillére avagy az informatikai biztonság egy másik aspektusa. Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK raffai@sze.hu. egy veszélyes becsapódás. Katasztrófák, avagy Mi történhet egy óra leforgása alatt.

dewitt
Download Presentation

Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK raffai@sze.hu

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Az informatikai biztonság,mint az üzletmenet-folytonosság alappilléreavagyaz informatikai biztonság egy másik aspektusa Raffai Mária Ph.D. professzor Széchenyi István Egyetem MTK raffai@sze.hu

  2. egy veszélyes becsapódás

  3. Katasztrófák, avagyMi történhet egy óra leforgása alatt ... katasztrófák • 8.45 becsapódás a WTC északi toronyba • 9.03 becsapódás a WTC déli tornyába • tűzoltók mentők azonnali riasztása, perceken belül a helyszínen voltak • 40 ezer ember dolgozik a tornyokban, a többség megmenekül • repterek, hidak, alagút lezárása, Manhattan déli részének kiürítése • 9.30 az elnök bejelentése • 9.43 becsapódás Washingtonban • 24 000 dolgozó evakuálása • fontosabb kormányhivatalok kiürítése • 10.05 a WTC déli tornya összeomlik • 10.10 a Pentagon megrongált szárnya összeomlik • 10.28 a WTC déli tornya ledől • 10.48 Pittsburg-ben lezuhan egy utasszállító • 11.18 az eltűnt gépek azonosítása

  4. 8.45 9.03 10.48 9.43 katasztrófák

  5. Cégek az epicentrumban - emberéletek Első az emberéletek mentése! • Alianz Group biztosítótársaság 300 munkatárs, mindenki megmenekült • Bank of America 400 munkatárs, 8 eltűnt • AON Risk Service biztosítási alkuszcég 1100 dolgozó többségük megmenekült • Marsh and McLennan biztosítási társ. 1700 dolgozóból 1300 élte túl • Morgan Stanley befektetési bank • irodák 25 emeleten, 3500 ember, 40 áldozat • már szerdán folytatta a munkáját, adatait és rendszereit ui. egy távolabbi helyen is tárolta • Deutsche Bank • 360 ember, mind megmenekült • munkáját másnap a háttérrendszeren folytatta • Price Waterhouse Cooper könyvvizsgálócég nem állt le, a biztonsági intézkedések megerősítése mellett folytatta a munkát katasztrófák

  6. katasztrófák Cégek az epicentrumban - károk Károk, New York-i telephelyek bezárása • Merrill Lynch: 9 000 embert evakuált, és bezárta NY-i kirendeltségét • Sidely Austin Brown: megszűntette New York-i kirendeltségét • Credit Swiss: a toronyban lévő irodákat bezárta, a többi 4 kereskedelmi központban folytatta munkáját • IT infrastruktúra károk: több, mint 16 milliárd dollárra becsülik; a Wall Street-i tőzsde nagysebességű vonalainak 20%-a rongálódott Távközlési problémák • AT&T:csak kis részben rongálódás (a WTC alagsorában volt a központ és kapcsolóberendezés), inkább túlterhelés • Verizon: 200 ezer telefon és 3 millió adatvonal-kezelő központja teljesen megsemmisült • Cingular mobil-szolgáltató: a szokásosnál négyszer nagyobb forgalmat bonyolított • Internet-nek nem jelentett különösebb problémát, mert a WTC-ben csak egy üvegkábel sérült, gerinc-hálózati funkciók ott nem voltak.

  7. katasztrófák Járulékos problémák • a WTC-ben lévő többszáz cég legkiválóbb szakembereinek több mint harmadát veszítette el, köztük vezető tanácsadókat, a sikeres folytatás a szakértők hiányában kétséges • írott szerződések hiánya bonyodalmakhoz vezet (az elektronikus információ helyreállítása mellett is probléma!) • fennakadás a közlekedésben: emberek szállítása, termékek továbbítása, megrendelések teljesítése • a pénzügyi tranzakciók lebonyolítási nehézségei (a BCP tervvel rendelkezők a háttér telephelyen ki tudtak állítani csekkeket!) • a problémák továbbgyűrűződése: partnerek, szállítók, ügyfelek felé, bizalomvesztés A katasztrófatervvel rendelkezők másnap, harmadnap a legnehezebb körülmények mellett is folytatni tudják tevékenységüket, viszonylag kis veszteséggel (a vállalatoknak sajnos csak 10-15 %-a rendelkezett BCP tervvel!)

  8. Változó körülmények, IR-szerepek, új kockázatok Megváltozott a világ, új jelenségek, új kockázatok • IR/IT-dominancia, növekvő függőség • szaporodó e-megoldások, hálózat-érzékeny rendszerek • támadások, szándékos károkozás (vírus, betörések) • szoftver-érzékeny rendszerek szaporodása • fejlesztési projektek kudarcai (~75% eredménytelen) • működő informatikai alkalmazások hibái (~40%) • eszköz-meghibásodások (hardverhiba, szoftver-problémák) • virtuális vállalatok léte, Internet-függősége • szélsőséges időjárási viszonyok • terrorista támadások

  9. Szervezeti működés, szervezetés IR/IT-viszony

  10. Az IR/IT-től való növekvő függőség nagyobb informatikai biztonságot követel!

  11. Informatikai rendszerek fenyegetettsége • technikai, technológiai problémák, meghibásodás • emberi mulasztás, vétett hibák • környezeti, partner-rendszeri problémák • problémák a tervezésben, szoftverkiválasztásban • adathibák és adatvesztés • hardvermeghibásodás, rendszer tévműködések 44% • véletlen és szándékos kezelésből adódó hibák 32% • üzemeltetési problémák, alkalmazások hibás működése 14% • vírusok okozta károk 7% • természeti csapás, áramkimaradás 3% • betörés adatbázisokba, szoftver-rendszerek rongálá-sa, Internetről érkező támadások (a szolgáltatók 59%-ánál volt támadás, a kár: ~1,6 milliárd USD) Teendő: a kockázatot és a károkat megelőző munkával mérsékelni kell!

  12. Jelenlegi helyzet a védelem vonatkozásában-figyelemre méltó adatok- • Az európai cégek 54%-ának nincs informatikai helyreállítási terve, • akinek van terve, azok 30%-a sem tesztelt, még a kritikus folyamatot támogató alkalmazásokra sem. • Az informatikai igazgatók 67%-a nem tudja meghatározni az elveszett adatok értékét • 77%-uk pedig nem tudja, milyen hatása van a szervezeti működésre egy szerver kiesése. • Az informatikai vezetők többségének nincs pontos informatikai infrastruktúra-térképe, és nem ismerik annak értékét és kihasználtsági fokát (Taylor Nelson felmérés, 2003)

  13. a megoldás: BCP: Business Continuity Planning, amely • egy módszertani folyamat az üzletmenet-folytonossági tervek készítésére • egy terv, amely • felkészül a támadásokra, a váratlan eseményekre, • előírja a normális üzletmenet helyreállításának lépéseit, • segít az üzleti kockázatok kezelésében, és • hatékonyan reagál a katasztrófára annak bekövet-kezésekor

  14. folyamatok erőforrások kockázat- kockázat-hatás akciók kiválasztása megjelölése azonosítás elemzés definiálása BCP: Üzletmenet-folytonosság biztosítása • a tervezés és megelőzés fontossága • tervezési módszertanválasztás (CBR, DRPP, Fusion) • projektindítás, menedzselés • célkitűzés, igényspecifikáció • üzleti folyamatok feltárása, kockázat- és hatáselemzés • folyamatok prioritási sorrendje • kritikus üzleti folyamatok analízise (BIA, RIA), • felkészülés, minimálisan szükséges erőforrások (MARC) • helyreállítási és tesztelési stratégia • helyreállítási terv: forgatókönyvek, dokumentáció • implementáció, tesztelés • ellenőrzés, felülvizsgálat (audit), változáskövetés

  15. Üzleti folyamatok feltárása, a kritikus folya-matok és az alkalmazások meghatározása • üzleti folyamatok, a főbb funkciók meghatározása • folyamat/funkció sémaspecifikáció • a szervezeti architektúra, séma specifikációja • belső és külső kapcsolatok a funkciók szerint vizsgálva • a működést veszélyeztető hatások, bekövetkezési esélyek • az egyes funkciók kiesésének hatása a banki tevékenységre és megítélésére • a bekövetkezett események hatása a kapcsolódó intézményekre • az informatikai alkalmazások jegyzéke (felhasználói megközelítésben), mentések • az informatikai infrastruktúra elemei (eszközök, gépek jegyzéke, pontos térkép) felhasználói megközelítés

  16. minta Veszélyeztetettség, a szervezet működését fenyegető hatások Eddigi munkája és tapasztalata alapján kérjük, becsülje meg, milyen veszélyek fenyegethetik a szervezeti egység munkáját, és mi ezeknek az esélye! Fenyegető veszély bekövetkezési esélyhatás a szervezetre (nagy, közepes, kicsi)(okozott kár mértéke: 0-5) ------------------------------ ----------------------------- ---------------------------- ------------------------ ------------------------ ----------------------- felhasználói megközelítés

  17. minta Fenyegetettségek és hatásuk Ha a fenyegetettségek legrosszabbika következik be, akkor ez a helyzet milyen hatással van a Szervezet egészére nézve? Mennyi az a kritikus időtartam, amit a kapcsolódó folyamatok/szervezetek/partnerek még elviselnek? Kritikus időtartam(nap, hét, hó) A tevékenység belső kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) ------------- A tevékenység belső kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni) ------------- A tevékenység külső (a bankon kívüli) kapcsolataira (akiktől inputokat kapnak, akiktől munkájuk bizonyos mértékig függ) ------------- A tevékenység külső (a bankon kívüli) kapcsolataira (akiknek Önök eredményeket továbbítanak, akik Önök nélkül nem tudják munkájukat végezni, vagy akik felé jelentési kötelezettségeikvannak) ----------- Üzleti partnerekre, akik Önökkel szoros munkakapcsolatban vannak ----------- Az ügyfelekre, akik bizalmukat az Önök bankjába fektették ----------- Jelentési kötelezettség hatóságok, felügyeleti szervek felé----------- felhasználói megközelítés

  18. Függőség az informatikai alkalmazásoktól Kérjük, jelölje meg azokat az Önök által kezelt számítógépes alkalmazásokat, amelyek segítik az Önök munkáját. Jelölje meg azt is, hogy mennyire függenek ezektől az alkalmazásoktól*, valamint azt is, hogy mennyi ideig tudják azokat probléma nélkül nélkülözni**! Funkció-Alkalmazás Függőség Kritikus időtartam Kézzel sorszám neve mértéke (óra, nap, hét, hó) végezhető? (0-5)* ---------- -------------------- -------- --------------------- ----------- ---------- -------------------- -------- --------------------- ----------- ---------- -------------------- -------- --------------------- ----------- ---------- -------------------- -------- --------------------- ----------- * 0: nem függ tőle, 5: teljes mértékben függ minta felhasználói megközelítés

  19. A kritikus folyamatok, a prioritások, a támadások, a veszélyeztetések, a véletlen események meghatározása, és az üzleti folyamatra való hatás mértékének és az elviselhetőségnek a becslése a felhasználóknak problémát jelent. felhasználói megközelítés

  20. Az informatikai rendszer feltárása, hatáselemzés • tevékenységek és funkciók, funkcióháló • a szervezeti egység kapcsolata más egységekkel az alkalmazások közötti kapcsolatok, összefüggésvizsgálat • más, belső és külső egységeknek végzett szolgáltatások • veszélyeztetettség és problémameghatározások • az alkalmazások kiesésének hatása, hatásvizsgálat • az alkalmazásokat, állományokat érő fenyegetettségek • az alkalmazásokra, állományokra vonatkozó biztonsági intézkedések • az informatikai rendszerben lévő többszörözések • az alkalmazásokról, eszközökről vezetett nyilvántartások, dokumentációk • együttműködési, támogatási megállapodások • jelenlegi helyreállítási stratégia informatikaimegközelítés

  21. Az informatikai rendszerben rejlő kockázatok

  22. Kockázatok és hatásuk elemzése • kockázatspecifikáció • elviselhető kockázat mértéke (portfólió mátrix a fenyegetettségé hatásokra vonatkozóan) • Cross-Impact elemzés a bekövetkezési valószínűségek figyelmebevételével • fenyegetettség-hatás vizsgálat (Ishikawa, Pareto) • kockázati valószínűségek meghatározása • relatív hatásmértékszám: rhi (0: azonnal, 1: 8 órán belül, 2: 2 napon belül, 3: egy héten túl helyreállítható) • bekövetkezési valószínűségek: pi • súlyozott kockázati mérőszám: kfi = rhi * si felhasználói és informatikaimegközelítés

  23. Az egyes funkciók/folyamatok kiesésének a hatása(ugyanezt meg kell csinálni az alkalmazásokra is, megjelölve a futtatási gyakoriságot és az eredményeket felhasználó szervezeti egységet is) minta részoszlopok: A: 8 órán belül; B: 8-48 órán belül, C: néhány hét alatt; D: 1 hónapon túl táblázatértékek: 0-5 között 0: nem okoz problémát; 5: komoly fennakadást, veszteséget okoz Ide hatásvizsgálati táblázatok

  24. Informatikai erőforrások jegyzéke • eszközjegyzék és eszköztérkép • szoftverjegyzék (rendszer- és rendszerközeli sw.ek) • az alkalmazások jegyzéke, futtató környezete és helyreállíthatósága • rendszer- és adatbázis-mentési információk • minimálisan szükséges eszközök listája • a minimális igény eszköztérképe • a minimális eszközigény egyéb forrásainak megjelölése rendelkezésre állási idővel informatikaimegközelítés

  25. minta Az informatikai alkalmazások által készített mentések, archív állományok Kérjük, adja meg az információkat azokról a mentésekről, amelyeket a számító-gépes alkalmazások használatakor Önök készítenek! Jelölje meg az adatfélesé-get (adatcsoport), a készítés gyakoriságát (napi, heti, vagy esemény hatására), az adathordozót (floppy, szalag, kazetta) és azonosítóját, a másolatok számát (generációk) és pontos elhelyezésüket! Alkalmazás Mentési MentettGenerációkAdathordozóElhelyezés nevegyakoriság adatcsoport száma típusa* (cím, szoba) (adattípus) ------------------- --------- --------- ---------- ----------------- ---------- ------------------- --------- --------- ---------- ----------------- ---------- ------------------- --------- --------- ---------- ----------------- ---------- ------------------- --------- --------- ---------- ----------------- ---------- ------------------- --------- --------- ---------- ----------------- ---------- informatikaimegközelítés

  26. Az alkalmazásokat és az állományokat veszélyeztető fenyegetettségek elemző vizsgálata alkalmazás fenyegetettség kár- fenyegető fenyegetett gyenge pontok állomány neve kat. osztály esemény tényezők rendszerelemek 1. 2. 3. 1. 2. 3. 1. 2. 3. ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ minta informatikaimegközelítés

  27. Az alkalmazásokra és az állományokra vonatkozó biztonsági intézkedések alkalmazás fenyegetettség kár- szükséges előírt bevezethető állomány neve kat. osztály esemény intézkedések intézkedések intézkedések 1. 2. 3. 1. 2. 3. 1. 2. 3. ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ ------------------- ------ --------- --------------- ------- ------- ------ ------ ------- ------- ------- ------ ------ minta informatikaimegközelítés

  28. Biztonságpolitika A biztonságpolitika a szervezeti stratégia szerves része, a tárolási és feldolgozási struktúra (HW, SW), az adathordozók, a működtetési dokumentumok és a munkatársak védelme, amely kiterjed: • az információvédelemre (sértetlenség, hitelesség, bizalmasság biztosítása) • azonosítás • jogosultság-kiosztás • jogosultságellenőrzés • rekonstruálhatóság • a funkcionalitásra (az informatikai rendszer működésének biztonsága) • hibaelhárítás, • helyreállíthatóság biztosítása • újraindítási lehetőség biztosítása

  29. Biztonsági stratégia:döntés a vállalható kockázat mértékrőlés a megelőzés/helyreállítás módjáról

  30. A biztonság akkor kielégítő, ha ráfordítás mértékét az elviselhető kockázat mértéke határozza meg, vagyis annyit fordítunk a védelemre, amivel a támadások/véletlen események okozta kár, vagyis a kockázat az elviselhető szint alá süllyed.

  31. Biztonsági stratégia – megoldási alternatívák Biztonsági stratégia – megoldási alternatívák • biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások) • saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása) • kölcsönös megállapodás társintézményekkel a eszközpark használatára • bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz) • kevert, vegyes megoldások • biztonság a jelenlegi eszközrendszer megoldásaira és a szállítókapcsolatokra/-megállapodásokra alapozva (eszközduplikációk, háttér-rendszerek, egyéb biztonsági megoldások) • saját biztonsági telephely használata (önálló vagy meglévő működő felhasználása) • kölcsönös megállapodás társintézményekkel a eszközpark használatára • bérelt hot site-ok igénybevétele különböző szintű feladatok ellátására (néhány órán, egy napon, két napon, egy héten belül helyreállítandó feladatokhoz) • kevert, vegyes megoldások

  32. Az informatikai BCP eredménye az Informatikai Biztonsági Szabályzat (IBSZ), amely az informatikai rendszer biztonsági intézkedéseinek gyűjteménye. Fejezetei: • alapvető intézkedések • általános intézkedések Az informatikai BCP tervek előnye a megelőzési tevékenységgel és a váratlan esemé- nyekre való felkészüléssel • minimalizálja a potenciális kockázatokat • csökkenti azok előfordulási esélyét • lehetővé teszi a helyreállítást • megvédi az értékeket (informatikai és üzleti/-szer-vezeti)

  33. Konklúzió „The Conclusion is simply the place where someone got tired of thinking” (Arthur Block) • az üzletmenet-folytonosság-tervezés fókuszát az informatikai rendszerek biztonsága kell, hogy képezze • nagyobb hangsúlyt kell helyezni • az IR/IT-kockázatok hatásának mérésére és kivédésére, • az informatikai biztonság tervezésére, amely az alkalma-zásfejlesztési projektek szerves része kell legyen • tervezni kell a krízishelyzetek kezelését, a változások és a verziók menedzselését. • többet kell költeni a megelőzésre az adat- és rendszerbiztonság vonatkozásában egyaránt, valamint • az üzletmenet helyreállíthatóságára, • a BCP szakértőknek tudatosítani kell a tervezés fontosságát, • a vállalatoknak pedig áldozni kell a biztonságos működésre, a hibák megelőzésére, a véletlen hatások kiküszöbölésére

  34. Vajon el lehet kerülni az informatikai hibákból eredő problémákat, károkat? A válasz: sajnos nem teljesen, de: okos stratégiával és megelőzési tervvel a károkat jelentősen mérsékelni lehet!

  35. Referenciák Köszönöm figyelmüket! raffai@sze.hu http://rs1.sze.hu/~raffai • teljes informatikai rendszerre vonatkozó BCP- projektek (ÁÉB, MKB, Takinfo, Ernst&Young és KPMG projektek) • szakkönyv: BCP üzletmenet-folytonosság tervezése (ConSec-Novadat, 1999) • cikkek, előadások a témában rendezett szakmai , szimpóziumokon

More Related