Internetszolgltats biztonsgosan A TOnline Magyarorszg BS 7799 tanstsnak
Internetszolgáltatás biztonságosan A T-Online Magyarország BS 7799 tanúsításának hiteles története, tanulságokkal 2005. 11. 16. Dzsacsovszki László IT Programmenedzsment igazgatóhelyettes
A T-Online Magyarország Rt. bemutatása n n n n A Magyar Telekom csoport tagja Magyarország piacvezető Internetszolgáltatója 25 milliárd HUF éves árbevétel Főbb termékei, szolgáltatásai, márkái n Internet hozzáférési szolgáltatás, elektronikus levelezési szolgáltatás, tartalomszolgáltatás, üzleti internetes megoldások, és ezeket a tevékenységeket támogató kiegészítő szolgáltatások n Origo, freemail, adatpark, online videotéka, zeneáruház Alkalmazott, bérelt és szerződéses munkaerő (~400 fő) ISO 9001: 2000 szerint kialakított és működtetett minőségirányítási rendszer 3 telephely Budapesten
A T-Online Magyarország Rt. működése [origo] Portal Internet szolgáltatások Adatpark Szerverek Intranet Üzletfejlesztés Szerverek Desktops Termékek és szolgáltatások Infrastruktúra-, szolgáltatás és alkalmazásfejlesztés Intranet szolgáltatások
A projekt indítás nehézségei A felsővezetés meggyőzése a projekt szükségességéről n Közvetlen piaci igény hiánya n Nem volt előzmény a Magyar Telekom csoporton belül n Direkt pénzügyi haszon nehezen számszerűsíthető Képzett munkaerő hiánya n Szakképzett ISO és IT biztonsági emberek, BS kompetencia nélkül Audit dömping n ISO, BS, SOX, Telekom Belső Ellenőrzés n Ugyanazokon az embereken a terhelés
A projekt tervezése A projekt fő célja: n. Integrált minőségirányítási és információvédelmi irányítási rendszer megtervezése, kialakítása és működtetése a T-Online Magyarország Rt. -ben Erőforrások: n. Minőségirányítási csoportra alapozva – 3 fő, részmunkaidőben n. Kockázatértékelők, folyamatfelelősök (11 fő) n. Külső tanácsadó Ütemterv: 2004 2005 aug Helyzetfelmérés Vezetői prezentáció Kockázatkezelők képzése Kockázatfelmérés Kockázat kezelési terv Bevezetés, oktatás Működtetés, belső audit Vezetőségi átvizsgálás Előaudit, helyesbítés Tanúsítás szept okt nov dec jan feb márc ápr máj jún júl aug szept
A projekt tényleges megvalósulása A projekt fő célja: Teljesült n. Integrált minőségirányítási és információvédelmi irányítási rendszer megtervezése, kialakítása és működtetése a T-Online Magyarország Rt. -ben Erőforrások: A tervezettnek megfelelően alakult n. Minőségirányítási csoportra alapozva – 3 fő, részmunkaidőben n. Kockázatértékelők, folyamatfelelősök (11 fő) n. Külső tanácsadó Ütemterv: 3 hónap csúszás 2004 2005 aug szept okt nov dec jan feb márc ápr máj Helyzetfelmérés Vezetői prezentáció Kockázatkezelők képzése Kockázatfelmérés ln ine -O Kockázat kezelési terv Bevezetés, oktatás Működtetés, belső audit Vezetőségi átvizsgálás Előaudit, helyesbítés Tanúsítás T g r b e R n i d an júl aug szept
Alkalmazott módszerek Célkitűzés: Gondoskodni a vagyontárgyak és az események szisztematikus számbavételéről Vagyontárgyak felmérése n Eszmei vagyontárgyak n Ingatlanvagyon n Szolgáltatási vagyontárgyak n Munkatársi kompetenciák n Fizikai eszközök n Szoftver eszközök n Adat vagyontárgyak Események osztályozása n Normál üzem n Üzemszünet n Hiba n Üzemzavar n Súlyos üzemzavar n Leállás n Üzemképtelenség
Kockázatértékelés Célkitűzés: A biztonsági kockázatoknak a fenyegetettséggel arányos költségen történő kezelése. Az információ vagyont fenyegető veszélyek azonosítása n Területenként, képzett értékelők bevonásával Szisztematikus és következetes értékelés n Súlyosság, Gyakoriság, Észlelhetőség (RPN, kockázati mutató) n Esemény központú kockázatértékelés n A különböző területi kockázatok összehangolása A megfelelő védelmi intézkedés meghatározása a legnagyobb fenyegetésekre n Irányuljon a súlyosság, gyakoriság, észlehetőség javítására n Nem kell minden kockázatra akciót meghatározni n Az akcióknak van felelőse, határideje, konkrét célja A védelmi intézkedéseket rendszeresen értékelni kell n Az információ vagyon és a kockázatkezelés felülvizsgálata, évente n A prioritások újraértékelése, új akciók meghatározása n És így tovább, ciklikusan…
Az információvédelmi szervezet és folyamatok Az információvédelmi politika célja a vezetői elkötelezettség demonstrálása és az információvédelemmel kapcsolatos iránymutatás n Dokumentumok: n Integrált minőség és információvédelmi kézikönyv + Információvédelmi Politika (Iik) n Információvédelmi Szabályzat (Iv. SZ) n Alkalmazhatósági nyilatkozat - Direkt kapcsolat a szabvány követelmények és a megvalósított szabályozások között n A szervezet és a szerepek: n Információvédelmi Fórum (Iv. F) n Információvédelmi Vezető (Iv. V) n Adatvédelmi Felelős (Av. F) n Informatikai Biztonsági Felelős (IBF) n Területi vezetők és adatgazdák n Folyamatok: n Hozzáférések, jogosultságok kezelése n Szerződéskötés (információvédelmi szempontok figyelembevétele) n Outsourcing (biztonsági követelmények rögzítése a Megbízási Szerződés-ben) n Védelmi rendszer független felülvizsgálata (belső és külső audit)
Személyekkel kapcsolatos védelem Célkitűzés: Gondoskodni az adat, információ egyéb vagyontárgyak megfelelő védelmi szintjéről Információvédelem a munkaerő-felvételnél (Munkaszerződések, munkaköri leírások) Felvételi átvilágítás (Személyes adatok ellenőrzése, Összeférhetetlenség, Üzleti referenciák vizsgálata) A biztonságtudatosság fejlesztése n Új belépők oktatása; rendszeres újraoktatás n Felkészülés rendkívüli helyzetek kezelésére - gyakorlatok n Tanulságok leszűrése és megelőző tevékenység folytatása Hozzáférés menedzsment Fegyelmi eljárások indítása az előírások megszegőire (Munkáltatói jogkörű vezető)
Fizikai és környezeti biztonság Célkitűzés: Megvédeni a szervezet telephelyeit, az üzleti helyszíneket, azok infrastruktúráját, valamint az adatot/információt a jogosulatlan hozzáféréstől és sérüléstől. Fizikai védelem, biztonsági védősávok n Portaszolgálat, belépőkártya (állandó viseléssel) n Különleges védelmi területek kialakítása (pl. gépterem) Az informatikai berendezések fizikai védelme n Berendezések elhelyezése, illetéktelen hozzáférés megakadályozása n Az esetleges infrastruktúra/természeti rendkívüli események hatásaira történő felkészülés n Tartalék tápáram-ellátás biztosítása (független betáplálás, UPS) n Telephelyen kívüli berendezések védelme n Rendszeres karbantartás n Berendezések biztonságos újrafelhasználása Tiszta asztal, tiszta képernyő politika betartása mindenkinek kötelező
Üzletmenet-folytonosság menedzsment Célkitűzés: Az üzemszerű működés fenntartása Kockázatkezelés (RM): Megelőző óvintézkedések meghatározása a legveszélyeztetettebb területekre BCP: Célja, hogy az üzleti folyamatokat biztosító és támogató informatikai erőforrások a meghatározott üzemidőben, hatékonyan, az előírt funkcionalitási szinten működjenek, hogy a váratlan esemény által okozott közvetlen és közvetett károk minimálisak legyenek DRP: Globális helyettesítő megoldásokat ad a megelőző és elhárító intézkedésekre, amelyekkel a súlyos károkat okozó, jelentős kiterjedésű és a szolgáltatás tartós meghiúsulását okozó incidensek következményei csökkenthetők, illetve a visszaállítási fázis a körülményekhez képest meggyorsítható és a kockázatokkal arányos ráfordítással/módon megvalósítható.
Az információvédelemi tanúsítás közvetlen eredményei ü Vagyontárgyak értékének tudatosítása ü IT szolgáltatások gyenge pontjainak azonosítása óvintézkedés, akció ü IT rendszerek gyenge pontjainak azonosítása óvintézkedés, akció ü Eszköz- és rendszerhozzáférés területén szigorítás ü Tiszta asztal, tiszta képernyő megkövetelése ü Adat- és információvédelem területén a biztonságtudatosság javulása
Az információvédelemi tanúsítás közvetett eredményei Irányítás folyamat -Üzleti célok tervezése -Üzemeltetési erőforrások tervezése -DRP/BCP erőforrások biztosítása Az integráció hatása a meglévő folyamatokra PDCA BS 7799 követelmények Szolgáltatás minőség; szolgáltatás biztonság növekedése VERSENYKÉPESSÉG JAVULÁSA
Hol tartunk, hová megyünk ? A tanúsítást sikeresen teljesítettük, de most jön a neheze n Rövid idő telt el a bevezetéstől, szükséges a gyakorlottságot javítani n A projekt lezárásával a vezetői és dolgozói figyelem nem lankadhat Kockázat kezelési tervek végrehajtása – határidők, erőforrások n BCP –DRP tevékenység kiterjesztése, menedzselhetőbbé tétele n Jogosultságkezelési rendszerek fejlesztése A biztonság tudatosság szintjének fenntartása kritikus tényező n Oktatás és újraoktatás n Ellenőrzések n Tervezett és értékelt gyakorlatok
Köszönöm a figyelmet ! Dzsacsovszki László T-Online Magyarország +36 (1) 371 3420 +36 (30) 311 8792 dzsacsovszki. laszlo@t-online. co. hu
- Slides: 16