IT üzemeltetés és IT biztonság a Takarékbankban

Átírás

1 IT üzemeltetés és IT biztonság a Takarékbankban Előadó: Rabatin József

2 Üzleti stratégia igények Cél? IT és IT biztonsági stratégia Mit? Felmérés, Feladatok, Felelősség Minőségbiztosítás Mennyiért? Hogyan? Kivel, Mivel? Költségterv és teljesülése Belső vagy külső erőforrás Szolgáltatók (SLA), Technika IT biztonság Ellenőrzés? Technikai, Adminisztratív Költségek (+/-)? Követés, megtakarítási lehetőségek Auditok (külső, belső)

3 Előzmények Stratégia a. Megírásakor abból a tapasztalati tényből indultunk ki, hogy az informatika és az informatikai biztonság szorosan összefügg, nem elválasztható, kezelésük csak együtt lehetséges. b. Abban az esetben, ha a kettőt függetlenül alkalmazzuk sem az üzleti, sem a törvényi elvárások nem biztosíthatók, jelentősen növekszik az informatikai költség ráfordítás és számos utólagos többletfejlesztés szükséges. c. Az informatikai biztonság ily módon történő kezelésének célja továbbá, hogy az informatikai üzemeltetés, és a fejlesztések, projektek megvalósításával egyidejűleg a minőségbiztosítás is megtörténjen.

4 Előzmények Stratégia a. Szükséges meghatározni, hogy az üzleti igények az informatikai szolgáltatásokkal szemben milyen elvárásokat támasztanak. b. Ez a követelménylista az alapja az informatikai fejlesztések, beruházások, valamint a hozzájuk kapcsolódó üzemeltetési és biztonsági ellenőrzési feladatok tervezésének. c. Jelentősen növekszik a Takarékbanknak az informatikai rendszereitől való függősége, ezért homogén, az üzleti és az ellenőrző szervek által elvárt technikai és biztonságai szintet biztosító, költség-hatékony és SLA (Service Level Agreements) alapon üzemeltethető informatikai rendszerek fejlesztése, kialakítása a cél.

5 Irányelvek Szolgáltatásalapúság SLA alapú üzemeltetése a fejlesztés tervezésétől a rendszer üzembeállításán keresztül az üzemeltetésig bezárólag. A fejlesztés és az SLA alapú üzemeltetés magas szinten való biztosításához és folyamatos nyomon követéshez áttekinthető, változáskezelő és a HelpDesk szolgáltatást biztosító informatikai rendszerek szükségesek Biztonsági alapelvek a kockázatokkal arányos módon kell biztosítania.. informatikai eszközökkel és megfelelő szabályozással Költséghatékonyság Rendszerszemléletű, teljes költség elv, azaz meghatározott szolgáltatási szint biztosítása mellett kell minimalizálni az összes informatikai költséget. A szolgáltatási színvonal fő mérőszámai a rendszer rendelkezésre állása, a kiszolgálás minősége, a kiszolgálás ideje.

6 Működési környezet A Bank az informatikai infrastruktúráját egyrészt belső üzemeltetéssel, másrészt outsourcing keretében üzemelteti. Az outsourcing partnerekkel SLA alapuló szerződéseket kötünk, melyeket rendszeresen felülvizsgálunk a tapasztalatok és a változó üzleti igények szerint. A szolgáltatások teljesítésének felügyeletét, ellenőrzését az Informatika végzi. A biztonsági szabályok betartásának, illetve az üzemeltetett rendszerek biztonsági szintjének ellenőrzése az IT biztonság feladata. Napi, heti és havi színtű riportrendszer kialakítása

7 IT és IT biztonság működése Belső forrás Külső forrás Fejlesztések tervezése, szervezése Üzemeltetési folyamatok irányítása Projektvezetés IT biztonság Fejlesztések Üzemeltetési feladatok Projektmunka Ellenőrzések Egyedi feladatkiosztás Riportok Riportolás Módosítások, új koncepció kidolgozása Költségtervezés Információ szolgáltatás

8 Feladatok, felelősségek Az Informatika és az IT Biztonság közös feladata és felelőssége az outsourcing partnerek és az általuk nyújtott szolgáltatások rendszeres adminisztratív és technikai jellegű ellenőrzési feladatainak elvégzésével, megfelelő szabályzatok elkészítésével és frissítésével a Takarékbank elvárt működési és IT biztonsági szintjének biztosítása. Az outsourcing partnerek feladata: a szerződésben meghatározott szintű szolgáltatások nyújtása a Bank által megkövetelt biztonsági szinten. Rendszeres havi jelentésekben beszámol az előfordult üzemeltetési és biztonsági eseményekről, azok kezelésének módjáról. A rendkívüli események (pl.: vírustámadás, szoftverhibák, stb.) megelőzése érdekében intézkedéseket hoznak, illetve javaslatot tesznek a szükséges változtatásokra, fejlesztésekre. Rendelkezniük kell megfelelően képzett és gyakorlott rendszertámogatási háttérrel, a napi üzemeltetési feladatokat ellátó kompetencián túlnyúló feladatok gyors megoldása érdekében.

9 Feladatok Üzemeltetés, az üzemeltetés hatékonyságának és biztonságának növelése, Fejlesztés tervezése, szervezése (csillagpontos folyamat), szabályozás, változáskezelés, Hatékony Helpdesk szolgáltatás! Hálózati infrastruktúra fejlesztése, üzemeltetése, Adattárolás, Jogosultságkezelés, Vírusvédelem, Események monitorozása, logelemzés, Határvédelmi rendszerek üzemeltetése, Internet, internetes alkalmazások Irodai munkaállomások?

10 Riportok Miért van rá szükség? Vezetőség IT és IT bizt. Szolgáltató Audit Feladat Törvényi előírás Teljesítés ig. Összeszedettség Követés/inform. Felelősség Visszacsatolás Ellenőrizhetőség Irányítás Elszámolás Elszámolás Folyamatosság Havi szintű üzemeltetési riport (Desktop) Havi szintű IT biztonsági riport (IT bizt.) Havi szintű IT biztonsági op. rip. (IT bizt. op.)

11 Köszönöm figyelmüket