Szolgáltatásaink Sog az ITBT-ben Antidotum 2010 IT Biztonságtechnikai i i konferencia, 2010. feb. 24
TMSI Kft Tőzsér Zoltán CISA, MCP, CSM zoltan.tozser@tmsi.hu
Áttekintő ő Akö környezet Saját szolgáltatásaink Néhány részlet, ötlet
Adatvédelem 85 találat Adatbiztonság 20 találat A törvények Adatkezelés 82 találat Információbiztonság Információbiztonság 19 találat Néhány népszerűbb példa: 1992. évi LXIII. trv. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 2008. évi XLVIII. trv. A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (megj: e-mail!) 1995. évi LXV. trv. Az államtitokról és a szolgálati titokról 2004. évi CXL. trv. A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 2003. évi ic. trv. Az elektronikus lkt hírközlésről 2001. évi CVIII. trv. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
BTK 300/C. (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. (2) Aki a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. (3) Aki jogtalan haszonszerzés végett a) a számítástechnikai rendszerbe adatot bevisz, az abban tárolt, feldolgozott, kezelt vagy továbbított adatot megváltoztat, töröl vagy hozzáférhetetlenné tesz, vagy b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését akadályozza, és ezzel kárt okoz, bűntettet követ el, és három évig terjedő szabadságvesztéssel büntetendő. (4) A (3) bekezdésben meghatározott bűncselekmény büntetése a) egy évtől öt évig terjedő szabadságvesztés, ha a bűncselekmény jelentős kárt okoz, b) két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekmény különösen nagy kárt okoz,, c) öt évtől tíz évig terjedő szabadságvesztés, ha a bűncselekmény különösen jelentős kárt okoz. 138/A.... c) jelentős, ha kétmillió forintot meghalad, de ötvenmillió forintot nem halad meg, d) különösen nagy, ha ötvenmillió forintot meghalad, de ötszázmillió forintot nem halad meg, e) különösen jelentős, ha ötszázmillió forintot meghalad. 167. Aki mást méltányolható okból származó erős felindulásban megöl, bűntettet követ el, és két évtől nyolc évig terjedő szabadságvesztéssel büntetendő
Saját szolgáltatásaink tá Információbiztonsági politika, stratégia kialakítása Információbiztonsági Szabályzat készítése Adatvédelmi és Adatbiztonsági tonsági Szabályzat at készítése Informatikai katasztrófa elhárítási terv készítése (DRP) Üzlet Folytonossági Terv készítése (BCP) Információbiztonsági kockázatfelmérés, -elemzés és értékelés (RA) Információbiztonsági rendszer kialakítása és megfelelőség értékelésre flké felkészítés íé Biztonsági rendszer működési tanácsadás Biztonsági követelmények meghatározása és ezek beépítése az információs rendszerek, infrastruktúra fejlesztésébe
BCP, DRP
Kockázat Kockázat = Veszély x Valószínűség
Elképzelhető lh ő (ésszerű?) kockázatokká k Elemi kár (tűz, árvíz, csőtörés, villámcsapás,...) Közszolgáltatás kiesése (víz, villany, telekomunikáció,...) Hardverhiba (szerver, hálózati elemek,...) Betörés Házkutatás (rendőrségi, pl. BSA felkérésére ) Rosszindulatú alkalmazott Adatszivárgás Hack, deface, stb. Egyéb emberi tényezők...
Célok Minimalizálja a katasztrófa pénzügyi, jogi, szabályozási kitettségét Egészségi és életvédelmi Védi a szervezet értékeit Biztosítja az alkalmazottak felkészülését Minimalizálja a katasztrófa hatását Csökkenti a kiesés valószínűségét!
Kérdések Mire terjedjen ki? Mekkora az informatikától való függőség, kitettség? Saját IT eszközök saját helyen, vagy külső szolgáltató eszköze? Meddig tudnak működni az informatikai eszközök nélkül? A szervezet mely részeit érinti és milyen mértékben? Milyen adatszolgáltatási kötelezettségek vannak? Mekkora a külső függőség az Önök informatikai rendszerétől? Állampolgári-céges-intézményi kapcsolatok, kapcsolódások amelyeket érinthet egy kiesés Forintosítani! A kieső időt A keletkezett kárt Az újraindítás költségeit (HW, SW, adatok visszaállítása, munka) Presztízsveszteség, személyi hatások, konzekvenciák
Meglévő ő alapok Szervezeti-működési szabályzat Informatikai szabályzat Tűzvédelmi terv Menekülési útvonal, kiürítési terv Elérhetőségek, belső telefonkönyv Informatikai dokumentációk Beállítások Naplózások Mentési-visszatöltési terv Krízis-management, kommunikációs szabályok...
Tartalom Alapelvek, stratégiák, keretek A különleges helyezeteket kezelő csapat(ok) meghatározása Szolgálatási szintek meghatározása Belső/külső Szükséges reagálási idők, Működési szintek meghatározása Kritikus Csökkentett Üzleti folyamatok kategorizálása (tevékenység, tartalma, leírása, csatornái,...) Katasztrófa kezelése A rendeltetésszerű működés visszaállítása A katasztrófaterv oktatása A katasztrófaterv tesztelése A katasztrófaterv karbantartása
Emberi Külső Belső Anyagi Technikai Erőforrások Építmények, helységek Függőségek
Külső (PR) Kommunikáció ió Belső (technikai lehetőségek, alternatívák) Adatszolgáltatási kötelezettség Állandóan aktuális elérhetőségi lista! On-line elérhetősége, Papíralapú elérhetősége Felelőse
Té Tréning Az alapvető, kritikus személyzet Elérhetősége Létszáma Képzettségeé Gyakorlata, rutinja Stressztűrő képessége
Alternatívák Könnyen elérhető tartalékok: Kritikus IT eszközök (szerverek, nyomtató, hálózati eszközök, stb.) Helyszín (épület, helység) Kommunikációs csatorna (internet elérés!) Infrastruktúra (áram, víz, fűtés, stb.) Szakemberek
Kérdések? Tőzsér Zoltán zoltan.tozser@tmsi.hu Tel.: (+36)-1-484-0045 Fax.: (+36)-1-267-0964