Kríziskezelés. 3.rész. 2013/2014.tanév Dr. Beinschróth József

Átírás

1 Kríziskezelés - Informatikai krízishelyzetek kezelése - 3.rész 2013/2014.tanév Dr. Beinschróth József

2 Tartalom Alapfogalmak, alapvetések Fizikai biztonság Logikai biztonság Szervezet-szervezési biztonság, az életciklushoz kapcsolódó biztonsági kérdések A működésfolytonosság alapvető kérdései A működésfolytonosság tervezése A működésfolytonosság fenntartása Kríziskezelés az ITIL-ben Kríziskezelés a COBIT-ban Kríziskezelés az ISO ajánlásokban Esettanulmány feldolgozás 2

3 A szabványosítás szükségessége a bevált gyakorlatok alkalmazása A bevált gyakorlatokat szabványok rögzítik. A szervezet elvárásai (Milyen legyen az informatika?) Minőségi Átlátható Költséghatékony Értékteremtő Szolgáltatás-orientált szemléletű Az informatikai szolgáltatások összegyűjtése, rendszerezése, újragondolása, újraélelmezése ill. a jövőben végzendő szolgáltatások rögzítése, szolgáltatási katalógusba foglalása. The IT is the Business The business is the IT. 3

4 Releváns szabványok ITIL ITIL (IT Infrastucture Library): Angol kormányzati kezdeményezésre és támogatással született (1991). A CCTA (Central Computer and Telecommunication Agency - Központi Számítástechnikai és Távközlési Ügynökség) támogatásával elindítottak egy programot, amely egységes szerkezetben dokumentálja az informatikai üzemeltetés jó és sikeres/bevált gyakorlatát (best practice). Ez a dokumentáció sorozat az ITIL, amely azóta de facto nemzetközi szabvánnyá vált. A megoldás a szabályozásokon és a megfelelő technológia alkalmazásán túlmenően a szervezeti kultúra változtatása, fejlesztése. Az ITIL a minőségi informatikaszolgáltatás nemzetközi szinten bevált gyakorlatát írja le, amelyet az ügyfeleknek igényelni, a szolgáltatóknak pedig biztosítani kellene Aktuális változat: ITILv3 COBIT Control Objectives for IT and Releated Systems ISACA ( Információ rendszerek átvilágítási/auditálási szempontjai A COBIT az IT szabványok, módszerek, élenjáró gyakorlatok egységes rendszerbe foglalt módszertani eszköze Aktuális változat: COBIT 5 (2012.) ISO szabványok ISO - International Organization for Standardization (Nemzetközi Szabványügyi Szervezet) Nagyon sok szabvány Kríziskezelés szempontjából relevánsak: ISO ISO ISO ISO ISO

5 Kríziskezelés az ITIL-ben 5

6 Az informatika tevékenységei ITIL szemlélettel Felhasználó Ügyfél Megrendelő Incidens SLA Bejelentések Szolgáltatási szintek Incidensek Konfigurációk és események Kiadások Folytonosság Kapacitások és teljesítmények Problémák Változtatások Rendelkezésreállás Költségek és árak Napi, heti szintű reaktív tűzoltás Hangsúlyeltolódás Havi, éves szintű proaktív tűzmegelőzés forrás: IQSOFT Jhon Bryce oktatóközpont: ITIL Foundation Certification 6

7 Az ITILv2 szerkezete Planing to implement Service Management B U S I N E S S The Business Perspective Service Delivery Service Support Security Management ICT Infrastructure Management T E C H N O L O G Y Application Management Software Asset Management 7

8 Az ITIL szerkezete (ITILv2): 11 folyamat két fő folyamatcsoportban Szolgáltatás támogatás Szolgáltatás biztosítás Ügyfélszolgálat (Szervezeti egység: Service Desk) Incidenskezelé s (Incident Management) Problémakezel és (Problem Management) Változáskezelé s (Change Management) Konfigurációke zelés (Configuration Management) Kiadáskezelés (Relase Management) A felhasználók számára szükség esetén azonnali segítséget nyújtó szervezete és elérhetőségét lehetővé tevő kommunikációs csatorna A működési zavarok, hibák lehető legrövidebb időn belül történő elhárítása előre definiált sémák alapján. A működési zavarok, hibák okainak felderítése és elhárításukhoz sémák kialakítása, a működési zavarok ismételt előfordulásának megakadályozása A változások befogadása anélkül, hogy az negatív hatással lenne a működésre. Az összes informatikai (üzemeltetési) komponens rögzítése és felügyelete Döntés egy-egy új kiadási egység használatba vételéről, a használatba vétel kezdeményezéséről, indokoltságáról. A használatba vételt megelőző tesztelés és a használatba vétel konkrét lépéseinek és ütemezésének meghatározása Szolgáltatásszint biztosítás (Service Level Management - SLM) Rendelkezésre állás biztosítás (Availability Management - AM) Informatikaszolgáltatásfolytonosságbiztosítás (IT Service Continuity Management - ITSCM) Kapacitásbiztosítás (Capacity Management - CM Informatikaszolgáltatás pénzügyi irányítása (Financial Management FM) Az informatikai rendszer üzemeltetésének minőségét meghatározó megállapodás Az elvárt rendelkezésre állás eléréséhez szükséges preventív intézkedések a technológia, a szervezet és az irányítás területén. Az esetleges katasztrófák következtében bekövetkező kiesések utáni visszaállás a normál szolgáltatásra reaktív intézkedések alkalmazásával A várható kapacitás igények, terhelések felmérése, ezek összevetése a jelenlegi kapacitásokkal, hosszú távon elegendő informatikai kapacitások biztosítása Az igényeknek megfelelő technikai színvonal és szolgáltatási minőség elfogadható szintű költségek mellett. Számviteli rend, ami hitelesen tükrözi a szervezet számára az informatikára fordított költségeket, azok megoszlását 8

9 Az ITILv3 szemlélete ITILv3 ITILv2 Megőrizte, de kiegészítette a folyamatokat, az ITILv2 folyamatai a v3-nak is részét képezik Szolgáltatás-életciklus modell: részletesen tárgyalja az IT szolgáltatások tervezését, bevezetését, üzemeltetését és folyamatos fejlesztését is. 9

10 Az ITILv3 szerkezete Piac figyelés Kínálat fejlesztés A stratégiai erőforrások fejlesztése Felkészülés a végrehajtásra Pénzügyi irányítás Megtérülés (ROI - Return of Investment) Szolgáltatáskatalógus mgmt Követelés mgmt (beszállítók) Esemény mgmt Incidens mgmt Probléma mgmt Igény mgmt Hozzáférés mgmt Üzleti igények Fejlesztés a PDCA ciklus alapján Riportálás Mérés Megtérülés (ROI Return of Investment) Szolgáltatás működtetés Szolgáltatás tervezés IT stratégia Folyamatos szolgáltatás fejlesztés Szolgáltatás bevezetés Szolgáltatás katalógus mgmt Kapacitáskezelés Rendelkezésre állás biztosítás Informatika szolgáltatás folytonosság biztosítás IT biztonság mgmt Beszállító menedzsment Szolgáltatásszint biztosítás Bevezetés tervezés és támogatás Változáskezelés Erőforrás és konfiguráció kezelés Kiadáskezelés Tesztelés Kiértékelés Tudásmenedzsment 10

11 Kríziskezelés szempontjából releváns ITIL összetevők Incidens menedzsment Probléma menedzsment Rendelkezésre állás menedzsment Informatikaszol gáltatásfolytonosság biztosítás 11

12 Incidens és problémakezelés Incidenskezelés (Incident Management) Problémakezelés (Problem Management) A működési zavarok, hibák lehető legrövidebb időn belül történő elhárítása előre definiált sémák alapján. Reaktív megközelítés A működési zavarok, hibák okainak felderítése és elhárításukhoz sémák kialakítása, a működési zavarok ismételt előfordulásának megakadályozása Proaktív megközelítés 12

13 Az incidenskezelés végső célja a működési folyamatok védelme A hibáknak minimális negatív hatása legyen a működési folyamatokra Incidens kezelés As quickly as possible amilyen gyorsan csak lehetséges Visszaállítás (helyreállítás) Normál működési feltételek elérése mielőbb A normál szolgáltatás lehető leggyorsabb helyreállítása (service restoration), és az üzleti folyamatokra gyakorolt káros hatás minimalizálása, így biztosítva a lehető legjobb szintű szolgáltatást (service level) és hogy a szolgáltatás rendelkezésre állása (service availability) megfeleljen az ügyfél követelményeinek. (SLA) Reaktív megközelítés 13

14 Mi az incidens? Incidens bármely olyan esemény, amely nem része a szolgáltatás szokásos működésének, és amely a szolgáltatást megszakítja, illetve megszakíthatja, vagy minőségét csökkenti, ill. csökkentheti Any event which is not part of the standard operation of a service and which causes, or may cause, an interruption to, or a reduction in, the quality of that service. Incidensek Nem incidens: Változáskérések (Change Requests) Kis hatású, kockázatmentes változtatások Hibabejelentések (Failure/Error Reports) Hardveres meghibásodások Szoftveres meghibásodások Hálózati meghibásodások Teljesítménnyel kapcsolatos gondok Szolgáltatáskérések (Service Requests) Támogatás kérése -> nem igényel változtatást Információkérés (pl. dokumentáció) Tanács kérése (Hogyan csináljam?) Jelszóvisszaállítás (password reset), -változtatások Fogyóanyagok igénylése (pl. toner, festékkazetta) Szolgáltatáskiterjesztési igények (pl. hivatalos időn kívüli munkavégzés)! Készülékek áthelyezési igénye (pl. áthelyezés) Standard (típus-) változtatások (pl. új belépő) 14

15 Az incidenskezelés folyamata t 15

16 Az incidenskezelés összetevői Incidens Bemenet Incidensek (felhasználók, üzemeltetés ) CMDB Tudásbázis (ismert hibák, problémák ) Kimenet Megoldott incidens Változáskérés (RFC) Tudásbázis Tájékoztatás a felhasználónak Tájékoztatás a managementnek Tevékenységek Incidens azonosítás és rögzítés, kezdeti támogatás, gazdaszerep Osztályozás, priorizálás (hatás, sürgősség), eszkaláció Hibakeresés és megoldás Incidens státusz követés, tájékoztatás Lezárás Szerepek Incidens manager Első, második és harmadik vonalbeli csoportok (belső és külső szakértő csoportok) 16

17 Az incidensek formalizált kezelése szükséges Alkalmazás Nem elérhető Nem elfogadható válaszidő Hibaüzenet Státusz Kategóriák Infrastruktúra Szolgáltatás igénylés Leállás Nem elérhető Fizikai hiba Nyomtatáshoz kapcsolódó hibák Nem elégséges konfiguráció, jogosultság Információkérés (pl. dokumentáció, tanács stb.) Elfelejtett jelszó Új (rögzített) Elfogadott Megoldás beütemezett Szakértőhöz delegálva A megoldás folyamatban Felfüggesztve Megoldott Lezárt Eszkaláció Előre definiált, formalizált, automatizált eszkalációs utak Hierarchikus és funkcionális eszkalációs utak is létezhetnek ( akár együtt is) 17

18 Az incidens menedzsment előnyei és problémái Pozitívumok Az incidensek okozta negatív hatások csökkenése (kevesebb incidens, rövidebb kiesési idő) Nincsenek kezeletlen incidensek, a bejelentők követhetik az incidenst Az incidensek kezelése megfelel kritikusságuknak Az erőforrások (pl. informatikai személyzet) optimális felhasználása Elemzések, preventív intézkedések lehetősége Nyitott, kezelést igénylő kérdések Az incidens megoldásáig eltelt idő növekedhet (adminisztráció) A felhasználók és megoldók közötti személyes kapcsolat csökken Szabályozottan működő informatikai szervezet Informatikai támogatottság A felhasználók törekvése a közvetlen megkeresésekre 18

19 Az problémakezelés célja a működési folyamatok védelme A hibáknak minimális negatív hatása legyen a működési folyamatokra Probléma kezelés Az informatikai infrastruktúrán belüli hibák ismételt előfordulásának megakadályozása vagy az előfordulás gyakoriságának csökkenetése Az incidensek kiváltó okának megkeresése és azoknak a tevékenységeknek a kezdeményezése, amely a pozitív változásokat előidézi Döntően proaktív megközelítés 19

20 Mi a probléma? Problémáról (problem) abban az esetben beszélünk, amikor egy vagy több incidens kiváltó oka (root cause) még nem ismert. (Nem az incides válik problémává, hanem az incidensek bekövetkezése miatt jelenik meg a probléma, amit meg kell oldani.) The goal of Problem Management is to minimise the adverse impact of Incidents and Problems on the business that are caused by errors within the IT Infrastructure, and to prevent recurrence of Incidents related to these errors. In order to achieve this goal, Problem Management seeks to get to the root cause of Incidents and then initiate actions to improve or correct the situation. The Problem Management process has both reactive and proactive aspects. The reactive aspect is concerned with solving Problems in response to one or more Incidents. Proactive Problem Management is concerned with identifying and solving Problems and Known Errors before Incidents occur in the first place. 20

21 A problémakezelés összetevői Probléma Bemenet Az incidensek részletei (az incidenskezeléstől) CMDB Megkerülő megoldások (az incidenskezeléstől) Tevékenységek Problémakontroll, külön figyelemmel a jelentős problémákra Hibakontroll Problémák megelőzése Trendek meghatározása Információszolgáltatás a managementnek Kimenet Ismert hibák Változáskérés (RFC) Aktualizált problémarekord (végső vagy megkerülő megoldás) Lezárt problémarekord (megoldott probléma esetén) Az incidensek és ismert hibák eredményének összevetése a problémák nyilvántartásával) 21

22 A problémák formalizált kezelése szükséges Problémakontroll Hibakontroll Trendek vizsgálatának feltételei A probléma rögzítése és azonosítása Osztályozása Vizsgálata Diagnózisa A hibák azonosítása és rögzítése A hibák értékelés és a megoldás meghatározása Lezárás A problémákra és az ismert hibákra vonatkozó előrehaladás követése Adatok rögzítése Adatok ellenőrzése és karbantartása Képzett személyzet, eszközök Adattár ismert hibák (KEBD) Proaktív szemlélet Trendelemzés Incidensek száma Időtartama Érintettek száma Pénzügyi vonzatok Célzott támogató tevékenységek Információszolgáltatás Jelentős problémák A jelentős problémák megoldása után lessons learned! Mit csináltunk jól/rosszul? Hogyan lehet legközelebb jobban? Hogyan akadályozható meg az ismétlődés? 22

23 A probléma menedzsment előnyei és problémái Pozitívumok Az informatikaszolgáltatás minőségének javulása, megbízhatóságának növekedése Az incidensek számának csökkenése A súlyos incidensek megelőzése Tartós ill. végleges megoldások Felhasználói elégedettség növekedés Nyitott, kezelést igénylő kérdések A felhasználók törekvése a problémamegoldó csoport közvetlen elérésére Informatikai támogatottság Elkötelezett személyzet 23

24 Rendelkezésre állás menedzsment és informatikaszolgáltatás-folytonosság biztosítás Rendelkezésre állás menedzsment (Availability Management ) A szolgáltatásokra, infrastruktúrára vonatkozó rendelkezésre állási célok elérését támogatja az üzleti célok elérésében. Elsősorban proaktív megközelítés Informatikaszolgáltatásfolytonosság biztosítás (Service Continuity Management) Az informatikaszolgáltatás, infrastruktúra üzleti igényeknek megfelelő, elfogadott időn belül történő visszaállítása. Elsősorban reaktív megközelítés 24

25 A rendelkezésre állás menedzsment fogalmai és mérőszámai Rendelkezésre állás (availability) Az informatikai elem vagy szolgáltatás egy adott időpontban vagy időintervallumban normál működésre kész állapotát jelenti. Megbízhatóság (reliability) Karbantarthatóság (maintainability) Szervizelhetőség (serviceability) Hibatűrő képesség A komponensek minősége és a redundancia határozza meg Az informatikai elemek működőképes állapotban tartását és ebbe az állapotba történő visszaállítását jellemzi Több összetevő határozza meg: meghibásodások megelőzése, hibadetektálás, diagnosztizálás, hibaelhárítás, hibás komponens helyreállítása, adatok és szolgáltatások visszaállítása, megelőző karbantartási munkák. Külső fél által biztosított szolgáltatásokra vonatkozó, szerződés keretén belül biztosított rendelkezésre állási, megbízhatósági és karbantarthatósági jellemzők. 25

26 Példák 7X24 órás működés Mérési periódus: 5020 óra (kb. 1 hónap) Kiesések: 6 óra ill. 14 óra (2 kiesés) 26

27 A rendelkezésre állás menedzsment tevékenységei Reaktív Monitorozás Mérés Analízis Riportálás Proaktív Kockázatelemzés és kezelés A rendelkezésre állási követelmények figyelembe vétele a tervezés során 27

28 A rendelkezésre állás menedzsment előnyei és problémái Pozitívumok Kevesebb és rövidebb kiesés Gyorsabb visszaállítás Kisebb jelentőségű negatív következmények Tervezhető és kontrollálható kiadások Nyitott, kezelést igénylő kérdések A kiadások indoklása a top menedzsment felé A konkrét rendelkezésre állási igények meghatározása Kapcsolódások további ITIL folyamatokhoz Adatgyűjtés és feldolgozás informatikai támogatottsága Az informatikai komponensek dependenciáinak figyelembe vétele Külső szolgáltatóktól való függés (Mit hajlandók vállalni ill. milyen garanciákat adnak?) 28

29 Az informatikaszolgáltatás-folytonosság biztosítás fogalmai Tartalék elrendezés (stand-by arrangement) az üzletmenet megszakadása esetén a használhatatlanná vált elsődleges eszközök helyettesítésére szolgáló tartalék eszközöket tartalmazó létesítmény vagy megoldás (háttér). Tipikusan az eszközök és a személyzet elhelyezésére szolgáló helyiségeket, informatikai és telekommunikációs rendszereket, hálózatokat és esetleg megfelelően képzett embereket jelent. Reciprok (kölcsönös) elrendezés: túlhaladott Tartalék változatok Hideg (üres helyiség + infrastruktúra) Meleg (nem minden rendszer) Forró (minden rendszer) Katasztrófa tűrő (minden rendszer (sebezhetőségi ablak=0)) 29

30 Az informatikaszolgáltatás-folytonosság tevékenységei Kezdeti fázis Követelmények meghatározása és stratégia kidolgozása Megvalósítás Üzemeltetési feladatok Az üzleti követelményeknek megfelelő magas szintű szabályozás kidolgozása Felelősségi körök Kockázatelemzés terjedelme Erőforrások (pénzügyi, humán) Projektterv, projektszervezet Az üzleti hatáselemzés: a kritikus szolgáltatások meghatározása (veszteségek, elmaradt bevétel, járulékos kiadások, az ügyfelek bizalmának elvesztése) Kockázatelemezés Visszaállítási lehetőségek, helyettesítő tevékenységek meghatározása A magas szintű szabályozás lebontása konkrét tervekre Szervezeti egységek Üzleti területek Személyek Ellentmondások feloldása Dependenciák Személyi felelősök Oktatások Tesztelések Jóváhagyás Az informatikaszolgáltatásfolytonosság integrálása a mindennapi feladatok közé Tájékoztatás Oktatás Felülvizsgálatok, tesztelések Aktualizálások 30

31 Az informatikaszolgáltatás-folytonosság előnyei és problémái Pozitívumok Kontrollált visszaállítás (tervezett, irányított, begyakorolt) Rövidebb kiesések Kisebb kárkövetkezmények Átláthatóbb költségek Deklarált szabályok: imidzs javulás Nyitott, kezelést igénylő kérdések Az informatika és az üzlet közötti kapcsolat A top menedzsment elkötelezettsége A pénzügyi erőforrások elégtelensége Nem elegendő allokált idő A felhasználók együttműködése Tesztelések 31

32 Kríziskezelés a COBIT-ban 32

33 A COBIT (Control Objectives for Information and Related Technology) az ISACA szabványa Az IT irányításra vonatkozik ISACA (Information Systems Audit and Control Association) konferenciák, oktatás, CISA, CISM Információ rendszerek átvilágítási/auditálási szempontjai nemcsak biztonsági audit A COBIT az IT szabványok, módszerek, élenjáró gyakorlatok egységes rendszerbe foglalt módszertani eszköze Kontroll kialakítási irányelveket dolgoztak ki Preventív Detektív Korrektív 33

34 A COBIT jól struktúrált, részletes szabvány Alapelv: Az információtechnológiát az üzleti célok elérése érdekében alkalmazzuk, ennek során az IT erőforrások IT folyamatokat hajtanak végre, ezek eredményei hozzájárulnak az üzleti folyamatok eléréséhez. Közben veszélyforrások keletkeznek, ezek különböző kockázatokat jelentenek. Kontrollok alkalmazásával ezek elfogadható szintre csökkenthetők. Egy-egy szervezet különböző beosztású menedzserei más-más szempontok alapján értékelik az alkalmazott információtechnológiát. Így a felsővezetők az informatikához kapcsolódó üzleti követelményeket, az informatikai vezetők az általuk menedzselt IT erőforrásokat, a felhasználók pedig az IT folyamatokat helyezik előtérbe. COBIT kocka 34

35 A COBIT központi fogalma: érettségi modell A fejlettségre vonatkozó mérőszámok előállítására használható. Hol tartunk? Milyen a pozíciónk a versenytársainkhoz képest? Hová kívánunk eljutni? IRÁNYMUTATÁS Milyen a bevált iparági gyakorlat, és hol állunk ezekhez a gyakorlatokhoz képest? Milyen módon érhetjük el a célt? Hogyan érhetjük el a megfelelő irányítást és kontrollt? 35

36 Érettségi modellek általános érettségi modell 0 - Nem létező: Egyáltalán semmilyen felismerhető folyamat sincsen. A vállalkozás még fel sem ismerte azt, hogy létezik egy olyan terület, amellyel foglalkoznia kell. 1 - Kezdeti/Ad Hoc jellegű: Vannak jelek arra vonatkozóan, hogy a vállalkozás felismerte, hogy létezik egy olyan terület, amellyel foglakoznia kell. Azonban nincsenek szabványosított folyamatok, helyettük ad hoc jellegű megoldásokat alkalmaznak, egyedileg, illetve eseti alapon. Az általános vezetési módszer rendszertelen. 2 - Ismétlődő, de ösztönös: A folyamatok eljutottak arra a szintre, amikor hasonló eljárásokat követnek a különböző, azonos feladatokat végző emberek. A szabványos eljárásoknak nincsen formális oktatása, nincs rendszeres ismertetés és tájékoztatás róluk, és betartásuk az egyének felelőssége. Nagy mértékben hagyatkoznak az egyének tudására, és ezért hibák valószínűek. 3 - Szabályozott folyamat: Az eljárások szabványosítottak és dokumentáltak, a megismertetésük képzésen keresztül történik. Előírták, hogy a ezeket a folyamatokat követni kell, azonban nem valószínű, hogy az eltéréseket felismerik. Az eljárások maguk nem kifinomultak, hanem a létező gyakorlat formalizált változatai. 4 - Irányított és mérhető: A vezetés figyelemmel kíséri, és méri az eljárásoknak történő megfelelőséget, és intézkedik, amennyiben úgy tűnik, hogy a folyamatok nem működnek eredményesen. A folyamatokat állandóan javítják, és azok bevált gyakorlatot testesítenek meg. Az automatizálás, és az eszközök használata korlátozott, vagy a folyamat egyes elemeire terjed csak ki. 5 - Optimalizált: A folyamatokat tökéletesítették a bevált gyakorlat szintjéig, a folyamatos javítás és a többi vállalathoz viszonyított érettségi modellezés eredményei alapján. Az informatikát integrált módon alkalmazzák a munkafolyamat automatizálására, és eszközöket adnak a minőség, és az eredményesség javításához, mellyel a vállalkozást képessé teszik arra, hogy gyorsan alkalmazkodjék. 36

37 Példa: Az informatikai stratégiai tervezés érettségi modellje 0 - Nem létező: Az informatikai stratégiai tervezést nem végeznek. A vezetés nincs tudatában annak, hogy szükség van informatikai stratégiai tervezésre az üzleti célok támogatásához. 1 - Kezdeti/Ad Hoc jellegű: Az informatikai vezetés tudja, hogy szükség van informatikai stratégiai tervezésre. Az informatikai tervezést szükség esetén végzik el, válaszul egy-egy konkrét üzleti követelményre. Az informatikai stratégiai tervezést esetenként megvitatják az informatikai vezetői értekezleteken. Az üzleti követelmények, alkalmazások és a technológia összehangolása inkább utólagosan történik és nem egy szervezetet lefedő stratégia részeként. A stratégiai kockázatosságát informálisan állapítják meg projektenként külön. 2 Ismételhető, de ösztönös: Az informatikai stratégiai tervezést közösen végzik az üzleti területek vezetésével akkor, amikor arra szükség van. Az informatikai tervek aktualizálása a vezetés kérésére történik. A stratégiai döntéseket a projektek külön-külön vezérlik anélkül, hogy azok követ-kezetesen követnének egy általános szervezeti stratégiát. A jelentős stratégiai döntések kockázatait és felhasználói előnyeit ösztönösen ismerik fel. 3 Szabályozott folyamat: Irányelv határozza meg, hogy mikor és hogyan kell informatikai stratégiai tervezést végezni. Az informatikai stratégiai tervezés egy strukturált módszert követ, amely dokumentálva van, és amelyet minden munkatárs ismer. Az informatikai tervezési folyama t ésszerűen megalapozott és a helyzetnek megfelelő tervezés végrehajtását valószínűsíti. Azonban az egyes vezetők saját belátásuk szerint járhatnak el a folyamat kivitelezését illetően, és a folyamat vizsgálatára nem léteznek eljárások. Az átfogó informatikai stratégia tartalmazza a kockázat vállalási hajlandóság következetes meghatározását abban a tekintetben, hogy vajon a technológiai élenjáró, vagy a követő stratégiát választották. Az informatika pénzügyi, műszaki és humán erőforrás stratégiája egyre inkább befolyásolja az új termékek és technológiák beszerzését. A vállalati vezetői értekezleteken napirenden van az informatikai stratégiai tervezés. 4 Irányított és mérhető: Az informatikai stratégiai tervezés szabványos gyakorlat és a z anomáliákra a vezetés felfigyelne. Az informatikai stratégiai tervezés egy meghatározott vezetési funkció, amely egy felső vezetőhöz van rendelve. A vezetés figyelemmel tudja kísérni az informatikai stratégiai tervezés folyamatát, kellő információk birtokában döntések et tud hozni annak alapján, és mérni tudja eredményességét. Mind rövid távú, mind hosszú távú informatikai tervezés folyik, és az lefele végig fut a szervezeten, a aktualizálások pedig szükség szerint történnek. Az informatikai stratégia és a szervezet i stratégia egyre jobban illeszkedik annak köszönhetően, hogy foglalkozik az üzleti folyamatokkal és az érték-növelő képességekkel, valamint az alkalmazások, és technológiák használatának üzleti folyamatok átszervezésével történő kiaknázásával. A rendszerfejlesztéshez és az üzemeltetéshez szükséges belső és külső erőforrások felhasználásának meghatározását egy jól szabályozott folyamat szolgálja. 5 Optimalizált: Az informatikai stratégiai tervezés egy dokumentált élő folyamat, és az üzleti célok kitűzésekor folyamatosan figyelem be veszik azt, és olyan észlelhető üzleti értéket eredményez, amely az informatikába történő befektetésen keresztül valósul meg. A kockázati és érték-növelési szempontokat folyamatosan naprakészen tartják az informatikai stratégiai tervezési folyamat keretében. Reális, hosszú távú informatikai terveket dolgoznak ki, és azokat folyamatosan aktualizálják, hogy azok tükrözzék a változó technológiát, és az üzleti tevékenységgel kapcsolatos fejleményeket. Jól ismert és megbízható iparági no rmák alapján összehasonlító értékelést végeznek, és azt integrálják a stratégia kialakításának folyamatába. A stratégiai terv kitér arra, hogy az új technológiai fejlemények hogyan idézhetik elő új üzleti képességek kialakítását, és hogyan javíthatják a szervezet versenyelőnyét. 37

38 Példa érettségi modell grafikus megjelenítésére 38

39 A COBIT négy főterületet fed le Tervezés és szervezés Szolgáltatás és támogatás Beszerzés és megvalósítás Figyelemmel kísérés és értékelés Az egyes főterületeken belül folyamatok lettek meghatározva 39

40 A COBIT főterületei (1) Tervezés és szervezés fejezetei Informatikai stratégiai terv meghatározása Információ-architektúra meghatározása Technológiai irány kijelölése Informatikai folyamatok, szervezet és kapcsolatok meghatározása Informatikai beruházások irányítása Tájékozódás a vezetői célokról és irányokról Informatikai humán emberi erőforrások kezelése Minőségirányítás Informatikai kockázatok felmérése és kezelése A projektek irányítása 40

41 A COBIT főterületei (2) Beszerzés és megvalósítás fejezetei Automatizált megoldások meghatározása Alkalmazási szoftverek beszerzése és karbantartása A technológiai infrastruktúra beszerzése és karbantartása Az üzemeltetés és a használat támogatása Az informatikai erőforrások beszerzése A változtatások kezelése A megoldások és változtatások üzembe helyezése és bevizsgálása 41

42 A COBIT főterületei (3) Szolgáltatás és támogatás fejezetei Szolgáltatási szintek meghatározása és betartása Külső szolgáltatások igénybevételének irányítása Teljesítmény- és kapacitás kezelés A szolgáltatás folyamatosságának biztosítása A rendszerek biztonságának megvalósítása A költségek azonosítása és felosztása A felhasználók oktatása és képzése A rendkívüli események kezelése és a felhasználói támogatás működtetése Informatikai felhasználók segítése Konfigurációkezelés Problémakezelés Az adatok kezelése A fizikai környezet biztosítása Létesítmény kezelése Az üzemeltetés irányítása 42

43 A COBIT főterületei (4) Figyelemmel kísérés és értékelés fejezetei Az informatika teljesítményének figyelemmel kísérése és értékelése A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése Külső követelményeknek való megfelelőség biztosítása Az informatikai irányítás megteremtése 43

44 Kríziskezelés szempontjából releváns COBIT összetevők A szolgáltatás folyamatosságának biztosítása A rendkívüli események kezelése és a felhasználói támogatás működtetése 44

45 A szolgáltatás folyamatosságának biztosítása? Folyamat leírás: A folyamatos informatikai szolgáltatások biztosításához szükséges az informatikai működésfolyamatossági tervek kidolgozása, naprakészen tartása és tesztelése, a telephelyen kívüli tartalék telephelyen történő tárolás alkalmazását es időszakos működésfolyamatossági tervre vonatkozó képzések tartását. Egy eredményes folyamatos szolgáltatási folyamat minimalizálja annak a valószínűségét és hatását, hogy a kulcsfontosságú üzleti funkciókra es folyamatokra jelentős informatikai üzemszünet következzék be. Kontroll célkitűzések léteznek a következő kategóriákban: Informatikai működésfolyamatossági keretrendszer Informatikai működésfolyamatossági tervek Létfontosságú informatikai erőforrások Informatikai működésfolyamatossági terv naprakészen tartása Informatikai működésfolyamatossági terv tesztelése Informatikai működésfolyamatossági terv oktatása Informatikai működésfolyamatossági terv terjesztése Informatikai szolgáltatások helyreállítása és folytatása Mentések és tartalékeszközök telephelyen kívüli tárolása Helyreállítás utáni felülvizsgálat 45

46 A szolgáltatás folyamatosságának biztosítása - érettségi modell (1) 46

47 A szolgáltatás folyamatosságának biztosítása - érettségi modell (2) 47

48 A szolgáltatás folyamatosságának biztosítása - érettségi modell (3) 48

49 A szolgáltatás folyamatosságának biztosítása - RACI mátrix Responsible, Accountable, Consulted, Informed 49

50 A rendkívüli események kezelése és a felhasználói támogatás működtetése? Folyamat leírás: Az informatikai felhasználók kéréseire és problémáira időben és eredményesen történő válaszadás megkövetel egy jól megtervezett és egy jól működtetett felhasználói támogatást, és egy rendkívüli esemény kezelési folyamatot. Ez a folyamat kiterjed olyan felhasználói támogatás funkció létrehozására, mely nyilvántartást végez, a rendkívüli eseményeket eszkalálja, trend és a problémák gyökerének feltárására elemzést végez és megoldja a bejelentéseket. Az üzleti hasznok közé tartozik a termelékenység fokozása a felhasználói kérések gyors megoldásával. Ezen túlmenően az üzleti területek foglalkozni tudnak a problémák gyökerével (például a szegényes felhasználói képzéssel) az eredményes jelentések segítségével. Kontroll célkitűzések léteznek a következő kategóriákban: Felhasználói támogatás A felhasználói kérdések nyilvántartása Rendkívüli események eszkalációja Rendkívüli események lezárása Jelentéskészítés és trendelemzés 50

51 A rendkívüli események kezelése és a felhasználói támogatás működtetése érettségi modell (1) 51

52 A rendkívüli események kezelése és a felhasználói támogatás működtetése érettségi modell (2) 52

53 A rendkívüli események kezelése és a felhasználói támogatás működtetése érettségi modell (3) 53

54 A rendkívüli események kezelése és a felhasználói támogatás működtetése RACI mátrix Responsible, Accountable, Consulted, Informed 54

55 Kríziskezelés az ISO szabványokban 55

56 A kríziskezelés szempontjából releváns ISO szabványok ISO ISO ISO ISO ISO

57 Információbiztonság ISO szabvány RENDSZER! - ISMS: Information Security Management System (IBIR) Az MSZ ISO/IEC tartalma Kockázatfelmérés és kockázatjavítás Biztonságpolitika Az információbiztonság szervezete Vagyontárgyak kezelése Emberi erőforrások biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés irányítása Hozzáférés ellenőrzés Információs rendszerek beszerzése, fejlesztése és karbantartása Az információbiztonsági incidensek kezelése A működés folytonosságának irányítása A működés folytonosságának irányítása 57

58 Kríziskezelés szempontjából releváns összetevői az ISO ben Az információbiztonsági incidensek kezelése HelpDesk biztosítása és szabályozott jelentési folyamat Az incidensek kezelése Tanulás az információbiztonsági incidensekből Bizonyítékok gyűjtése A működés folytonosságának irányítása A működésfolytonosság fenntartásának szempontjai A kockázatok felmérése Működésfolytonossági tervek (BCP, DRP) készítése és bevezetése Működésfolytonossági tervek tesztelése, értékelése A működésfolytonossági tervek karbantartása, felülvizsgálata, oktatása, tárolása, tesztelése 58

59 A szabvány 13. fejezetének bevezető sorai 59

60 A szabvány 14. fejezetének bevezető sorai 60

61 Kockázatkezelés ISO szabvány A prezentáció elérhetősége: Rendezvényeink "Információvédelem menedzselése LII. Szakmai fórum" Információbiztonsági kockázatmenedzsment- ISO/IEC Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató 61

62 ICT készültség működésfolytonossághoz ISO szabvány A prezentáció elérhetősége: Rendezvényeink "Információvédelem menedzselése LIV. Szakmai fórum" Üzletmenet-folytonosság (Readiness for Business Continuity) - ISO/IEC Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató ISO/IEC 27031: Információtechnológia Biztonságtechnikák Útmutató információs és kommunikációs technológia készültségre működésfolytonossághoz (technológiai szemléletű szabvány) 62

63 Incidenskezelés ISO szabvány A prezentáció elérhetősége: Rendezvényeink "Információvédelem menedzselése LIII. Szakmai fórum" Móricz Pál Incidenskezelés - ISO/IEC (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató 63

64 ISO 22301: Nemzetközi BCM szabvány (Elődje: BS 25999) A BS nemzetközi szabvány, amely a BCM rendszer teljeskörűségét hivatott megteremteni. BS: British Standard - BSI: British Standards Institution ISO 22301: BCMS Business Continuity Management System (BCMS) A BS re épül 64

65 ISO szerkezete Fejezet (Clause) Tartalom 1-3 Alkalmazási terület, hivatkozások, szakkifejezések, rövidítések 4 A szervezeti követelmények meghatározása 5 A felsővezetés elkötelezettsége 6 Célok és kockázatok 7 Szükséges erőforrások, kompetenciák, kommunikáció, dokumentáció 8 A rendszer működtetése (incidensek, visszaállítások, tesztek ) 9 Performancia (célok, mutatók, kiértékelés ) 10 Folyamatos fejlesztés 65

66 Az ISO hez tartozó elérhető webinar anyagok

67 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (1) Forrás: 67

68 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (2) 1. A BCM elindítása A BCM project kiemelkedően fontos része a bevezető szakasz (initiation). Ebben a szakaszban a cél, hogy meggyőzzük a vezetőséget (management) a project szükségességéről, meghatározzuk a célokat és a költségeket. Célok Felsővezetői támogatás biztosítása A keretrendszer, a projekt célok és a sikerességet befolyásoló tényezők meghatározása A project szervezetének meghatározása és az ellenőrző hatóságok kijelölése Eredmények Várható projekt költségek Befejezett project terv minden résztvevő felé közzétéve Megválasztott BCM koordinátor, tisztázott szerepkörrel Megválasztott projekt csapat A vezetőség által aláírt BCM Policy Bevezetett minőségbiztosítási mérők számok (KPI) Kialakított egységes definíció és jelentésrendszer Tisztázott szerepek és felelőségkörök Forrás: 68

69 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (3) 2. Elemzés és stratégia (üzleti hatáselemzés, kockázatelemzés, működésfolytonossági stratégia) Célok A bevezető szakaszban megállapított prioritásokkal összhangban a vállalat legfőbb működési elveinek elfogadása Az üzleti folyamatok és a rendelkezésre álló erőforrások összefüggéseinek meghatározása Az üzleti folyamatban beálló zavar, leállás, vagy annak teljes elvesztésének hatásvizsgálata A maximális (meg) állásidő ismeretében az elengedhetetlen erőforrás szükséglet meghatározása A kockázatcsökkentő lépések meghatározása A folyamat, ill. funkció helyreállítási lehetőségek meghatározása A vállalat számára még tolerálható kockázati szint meghatározása Eredmények Dokumentált kritikus üzleti folyamatok és azok összefüggései (BPM Business Process Map) Azonosított kritikus erőforrások Hatásvizsgálattal egybekötött veszteséglista Dokumentált követelmények minden kritikus folyamat és erőforrás esetében A fenti követelményektől való bármilyen eltérés listája Kockázatcsökkentő tényezők listája, prioritással és költségekkel Dokumentált folyamat, ill. funkció helyreállítási lehetőségek a BIA eredményei alapján. (Active/Backup, Active/Active, Alternate Site) Vezetőség által jóváhagyott és aláírt BCM stratégia Forrás: 69

70 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (4) 3. Megvalósítás (szervezeti struktúra, kockázatkezelés, prevenció) Célok A SO meghatározása (shadow organization, katasztrófa kezelő szervezet) Az eszkalációs folyamat meghatározása Válságközpont létrehozása BCM folyamatok meghatározása A BCM és más üzleti folyamtok közötti kapcsolatok meghatározása (control circuits) Kockázat csökkentése a meghatározott lépések megvalósításával Vészhelyzeti erőforrások meghatározása Eredmények Az SO létrejött, szerepek és funkciók tisztázásra kerültek Az eszkalációs folyamat kidolgozásra és közzétételre sor került A válságközpont létrejött Dokumentált és közzétett BCM management folyamatok Dokumentált és összehangolt kapcsolatok Megszüntetett szervezeti hiányosságok Megszüntetett infrastrukturális hiányosságok Szerkezetileg és mennyiségileg meghatározott alternatív erőforrások Forrás: 70

71 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (5) 4. Tervezés (katasztrófa tervek. reaktív) Célok Egy, minden terv számára közös struktúra megalkotása Az üzlet- helyreállítási, infrastruktúrális és krízis kommunikáció területei közötti kapcsolat meghatározása A tervek egymástól való függőségi viszonyának leírása Incidens esetén a reakcióidő menedzselése A megoldások és alternatív eljárások leírása A megoldásokhoz szükséges ezközök beszerzése Folyamatok újraindítási forgatókönyvének meghatározása Folyamatossági kézikönyv kidolgozása forgatókönyv és a szervezeti egység alapján Különböző alkalmazások (IT, vagy más szolgáltatások) számára az újraindulási folyamatok fejlesztése és dokumentációja A végrehajtott óvintézkedések és források dokumentálása és ellenőrzése (pl. backup eljárások) A címzettek névsora tisztázott (akit tájékoztatni kell) A kommunikációs célok meghatározása (tájékoztatás, útmutatás...) A kommunikációs media meghatározása (telefon, fax, , riasztó rendszerek...) A kommunikációs folyamatok meghatározása Eredmények Egy, minden tervben meghatározott és koordinált közös struktúra A tervek egymáshoz való viszonya, és kapcsolata rögzített Forgatókönyvben meghatározott mérföldkövek Kijelölt megoldások Űrlapok és egyéb források rendelkezésre állnak Az újraindulási folyamatok le vannak írva A szervezeti egység és a forgatóköny alapján a folytonossági terv elkészült Elkészült az infrastruktúra- helyreállítási terv, amely minden, a helyreállításhoz szükséges feladatot tartalmaz Az infrastruktúra- helyreállítási terv rendszeres frissítéséhez szükséges kézi vagy automatikus folyamatok meg lettek határozva A kommunikációs terv létrejött az előre meghatározott forgatókönyvek alapján A címzettek és az egyéni kommunikáció céljai rögzítettek Forrás: Közlemények tartalma el van készítve (sajtóközlemények, formák...) A kommunikációs media és a kommunikációs folyamatok meghatározottak és nyilvánosak 71

72 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (6) 5. Tesztelési stratégia Célok/Eredmények Teljesség - minden terv létezik? Függőségek Működik a kapcsolat a különböző tervek és területek között? Kommunikáció kommunikációs problémák (pl. a hiányzó mérföldkövek)? Schedule betartottuk a határidőt? A megoldások, eljárások és a megoldási eszközök ellenőrzése Az újraindulási folyamatok forgatókönyvi tesztje Az értesítési eljárások tesztelése Az alternatív munkahely felállásának tesztelése A megoldások, eljárások és a megoldási eszközök ellenőrzése Az újraindulási folyamatok forgatókönyvi tesztje Az értesítési eljárások tesztelése Az alternatív munkahely felállásának tesztelése A dokumentált helyreállítási folyamatok forgatókönyvi tesztje Vizsgálat a végrehajtott óvintézkedések és források vizsgálata Az összes címzettet sikerült elérni? A meghatározott célok egyértelműek az összes érintett fél számára? Minden használt kommunikációs média megfelelő funkciót lát el? A kommunikációs folyamat működik? Forrás: 72

73 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (7) 6. Kezdeti teszt Mielőtt a BCM projekt a napi működést megkezdhetné, egy első "kezdeti tesztet" kell végezni. A kiválasztott vizsgálati stratégia (forgatókönyv tesztelés, megoldás-tesztelés, alternatív helyszín tesztelése, kommunikációs tesztek) határozza meg a tesztskálát. Fontos a kezdeti teszt esetében, hogy a tervezési tevékenységeket a vizsgálat/teszt alapján végezzük Meghatározott vizsgálati célok Tervezett előkészületek Tervezett teszt kivitelezése Tervezett vizsgálati elemzés és értékelés Az kezdeti teszt célját gondosan kell megfogalmazni, hogy sikeres lehessen Számítani kell arra, hogy a kezdeti vizsgálatot a management figyelemmel kíséri Fontos hangsúlyozni, ha a problémák merülnének fel - hogy éppen ezek miatt a végezzük a vizsgálatot Tanulságok - a vizsgálat során felmerülő problémákat elemezni kell, az eredményeket figyelembe kell venni a tervezés során Forrás: 73

74 Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése ( (8) Miután a BCM projekt befejeződött szükség van annak biztosítására, hogy a folyamatot fenntartsuk az üzlet mindennapi részeként. Ez az operational management által érhető el és tartalmaznia kell a következőket 7. Működtetés Oktatás és tudatosság Rendszeres felülvizsgálatok és auditok Rendszeres vizsgálatok A változás-kezelési folyamatnak (change management) tartalmaznia kell a BCM projektet annak biztosítására, hogy a változások tükröződnek a folytonossági tervben Belső képzés - biztosítja, hogy a csoport tagjai rendelkeznek a szükséges kompetencia szinttel, ami elősegíti a helyreállítást Forrás: 74

75 Esettanulmány: incidenskezelési szabályzat ill. sablon Feladat: a papír alapon megkapott anyag értékelése 75

76 Esettanulmány feldolgozás Adott egy kerületi rádió, amely az interneten keresztül szolgáltat műsort elsősorban a kerület lakói számára, naponta 6-22 óráig. Költségeit önkormányzati támogatásból és reklámbevételekből fedezi. Fő erőforrásai: stúdió, média szerver, internet kapcsolat, technikai személyzet és műsorvezetők és az önkormányzat alkalmazásában álló rendszergazda. Az erőforrások csak a szükséges mennyiségben állnak rendelkezésre, tartalékok nincsenek, a média szerverről éjszakánként szalagos mentés készül. A mentéseket az önkormányzat egy tűzbiztos páncélszekrényében tárolják. A műsorok jellemzően a médiaszerveren tárolt felvételek és élő közvetítések a stúdióból. Külső helyszíni közvetítések csak kivételesen fordulnak elő. A rádióstúdió a kerületi művelődési központ épületében található, a helyszíni szünetmentes tápláláson túlmenően helyszíni villamos energia nem áll rendelkezésre. Az internet kapcsolat redundancia nélküli, vezetékes kapcsolat. A rádió műsora egy hétre előre az önkormányzat web szerverén elérhető. Feladat: Készítsünk akciótervet egy tetszőlegesen választott veszélyforrás bekövetkezésére! (pl. médiaszerver kiesése) 76

77 Esettanulmány feldolgozás: egy konkrét BCP áttekintése Feladat: a papír alapon megkapott anyag értékelése 77

78 Esettanulmány feldolgozás: egy konkrét kockázat kezelési szabályzat áttekintése Feladat: a papír alapon megkapott anyag értékelése 78