IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE V.: AZ IT BIZTONSÁGI AUDIT

Hasonló dokumentumok
IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

A Bankok Bázel II megfelelésének informatikai validációja

A CRD prevalidáció informatika felügyelési vonatkozásai

30 MB INFORMATIKAI PROJEKTELLENŐR IT RENDSZEREK ÜZEMELTETÉSE ÉS BIZTONSÁGA DR. BEINSCHRÓTH JÓZSEF

30 MB INFORMATIKAI PROJEKTELLENŐR

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Üzletmenet folytonosság menedzsment [BCM]

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Új felállás a MAVIR diagnosztika területén. VII. Szigetelésdiagnosztikai Konferencia 2007 Siófok

Követelmény alapú minőségbiztosítás az államigazgatásban

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Informatikai prevalidációs módszertan

Információbiztonság fejlesztése önértékeléssel

Szoftverminőségbiztosítás

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Informatikai projektellenőr szerepe/feladatai Informatika / Az informatika térhódítása Függőség az információtól / informatikától Információs

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Hálózati szolgáltatások biztosításának felügyeleti elemei

IT biztonsági törvény hatása

A közfelügyelet és a minőségellenőrzés aktuális kérdései

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

A TESZTELÉS ALAPJAI A TESZTELÉS ALAPVETŐ FOLYAMATA A TESZTELÉS PSZICHOLÓGIÁJA A TESZTELÉS ETIKAI KÓDEXE

Tudjuk-e védeni dokumentumainkat az e-irodában?

A DOKUMENTÁCIÓS RENDSZER

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

AZ INTEGRÁLT NYOMONKÖVETŐ RENDSZER BEMUTATÁSA (TÁMOP B) Kern Zoltán Közoktatási szakértő

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

AEO Tanácsadás. Megfelelés az informatikai és biztonsági követelményeknek. Bozsik Tibor IT csoport vezető

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Belső és külső ellenőrzés, kockázatkezelés a közszektorban

Az es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

A MINŐSÉGÜGY SZERVEZETI KITERJESZTÉSE ÉS A PROBLÉMÁK MEGOLDÁSA DOKUMENTUM MENEDZSMENT RENDSZER ÁLTAL

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

PMO Érettségi szint és versenyelőny. Kovács Ádám

A kockázatalapú felügyelés tapasztalatai

A KKV-k felkészülésének feladatai a GDPR alkalmazására (szabályzatok, tájékoztatók, nyilvántartások és oktatások) Tóth Szilárd

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének december 15-én megtartott ülésének jegyzőkönyvéből

A minőségirányítási rendszer auditálása laboratóriumunkban. Nagy Erzsébet Budai Irgalmasrendi Kórház Központi Laboratórium

CEBS Consultative Paper 10 (folytatás) Krekó Béla PSZÁF, szeptember 15.

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

Teszt terv Új funkció implementációja meglévı alkalmazásba

XXVII. Magyar Minőség Hét Konferencia

Az ISO es tanúsításunk tapasztalatai

Akkreditáció szerepe és lehetőségei a hazai egészségügyi ellátás szakmai minőségfejlesztésében

A M unkavéd édelem kihí kihívá i sa Gráfel Sándor

IT üzemeltetés és IT biztonság a Takarékbankban

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

2011. ÓE BGK Galla Jánosné,

IRÁNYÍTÁSI ÉS KONTROLL RENDSZEREK SCHMIDT ZSÓFIA

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Üzleti és projekt kockázatelemzés: a Szigma Integrisk integrált kockázatmenezdsment módszertan és szoftver

Költségvetési szervek ellenőrzése. V. Előadás. A Nemzetgazdasági Minisztérium által kiadott, a belső ellenőrzésre vonatkozó útmutatók

Programrendszerek tanúsítása szoftverminőség mérése

Vizsgálatok aktuáriusi szemmel

FÓKUSZOK AZ UNIÓS PROJEKTEK BELSŐ ELLENŐRZÉSE SORÁN. Budapest, december 6.

A BIZTONSÁGINTEGRITÁS ÉS A BIZTONSÁGORIENTÁLT ALKALMAZÁSI FELTÉTELEK TELJESÍTÉSE A VASÚTI BIZTOSÍTÓBERENDEZÉSEK TERVEZÉSE ÉS LÉTREHOZÁSA SORÁN

Klinikai audit standard. NEVES Fórum október 20.

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

INFORMATIKAI PROJEKTELLENŐR

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

É V E S E L L E N Ő R Z É S I J E L E N T É S A HORT KÖZSÉGI ÖNKORMÁNYZAT POLGÁRMESTERI HIVATAL BELSŐ ELLENŐRZÉSÉNEK ÉVI TEVÉKENYSÉGÉRŐL

PROJEKTMENEDZSERI ÉS PROJEKTELLENŐRI FELADATOK

A túszul ejtett szervezet

Ellenőrzési és könyvvizsgálati esettanulmányok

Gara Péter, senior technikai tanácsadó. Identity Management rendszerek

HELYSZÍNI ELLENŐRZÉS EMBERI ERŐFORRÁSOK MINISZTÉRIUMA

A stratégiai tervezés módszertana. Koplányi Emil. elearning Igazgatóság Educatio KHT.

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

A évi fogyasztóvédelmi tapasztalatok bemutatása, a jövő kihívásai

Projekt menedzsment és kontrolling a kormányzati szektorban

A cloud szolgáltatási modell a közigazgatásban

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

Szombathely Város Vezetõi Döntéstámogató Rendszere VDIR-STAT.

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)

Összefoglaló jelentés

NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.

Hatékony iteratív fejlesztési módszertan a gyakorlatban a RUP fejlesztési módszertanra építve

Az infrastruktúra minősége: kinek a felelőssége?

Informatikai biztonsági ellenőrzés

Informatikai felügyelet

Integrációs mellékhatások és gyógymódok a felhőben. Géczy Viktor Üzletfejlesztési igazgató

Átírás:

30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE V.: AZ IT BIZTONSÁGI AUDIT 2018. 10. 13.

Tartalom Alapok Jellemzők Lépések Scope Változatok Lépések Kockázatok Vizsgálati témák 2018. 10. 13. 2

Alapok Audit - ellenőrzés Cél Annak megítélése, valamely szervezet, intézmény vagy személy eleget tesz e bizonyos követelményeknek. Módszer Eredmény Összehasonlítás, a megismert tényeknek valamilyen követelményekhez, normákhoz való hasonlítása, mérése (teszt). A mennyiségi és minőségi mutatók adatainak a normatívákkal való egybevetése. Az ellenőrzés a hatékony működést segíti elő a tények okainak keresésével Lehetővé teszi a hiányok pótlását, a hibák kijavítását, az eredmények megerősítését, a jó módszerek alkalmazásának elterjesztését. 3

Jellemzők Az audit általános jellemzői (1) Folyamat Az ellenőrzési tevékenység nem egyszerűen egy esemény, hanem egy dinamikus folyamat, amely nem elégszik meg a tények feltárásával, hanem egy-egy fázisa azok elemzésével, értékelésével, a tapasztalatok megfogalmazásával, javaslatok kidolgozásával zárul. Tipikusan egy PDCA ciklus részét képezi. Létezik folyamatos audit (Belső ellenőrzés.) Hol a hiba? A jó audit nem a hibát és főképpen nem a hibást keresi! Tipikusan a folyamatban van a probléma és nem az emberben!!!! Az auditorra vonatkozó követelmények Függetlenség Megfelelő szakmai kompetencia Rögzített feladat, szerep, felelősség A vizsgálat idejére fizikai és logikai hozzáférési jogosultságok 4

Jellemzők Az audit általános jellemzői (2) Mit várunk el az audittól? Az eredményekből következtetéseket vonjunk le, bizonyosságot szerezzünk. A gyenge pontok, hiányosságok azonosítása. Javaslat védelmi intézkedésekre. (A konkrét célt az ellenőrzést kezdeményező által képviselt érdekek nagymértékben meghatározzák.) Az auditálás időnkénti vagy folyamatos megvalósulása önmagában is a szabályok betartására ösztönöz. Ki kezdeményezhet auditot? Tulajdonos, Vezetőség Felügyeleti szervek, Könyvvizsgáló Hitelezők, Vásárlók Potenciális felvásárlók Audit változatok Megelőző rendszeres ellenőrzés Feltáró biztonsági esemény után Javító ismert védelmi gyengeség megszüntetésére 5

Jellemzők Az audit általános jellemzői (3) Ellenőrzési módszerek Érdeklődés - Mit csinálsz? Hogyan végzed ezt a munkát? Megfigyelés Mutasd meg, hogyan végzed a munkádat, engedd, hogy lássam, ahogy csinálod! Megvizsgálás Hadd lássam a lényegét ahogy te végezted az munkádat! Megismétlés Engedd meg, hogy megismételjem, amit te csináltál, hogy lássam én is ugyanazt az eredményt kapom-e! 6

Scope Mire kell terjednie az auditnak? Az auditot kezdeményező határozza meg A teljes biztonsági alrendszer A teljes biztonsági alrendszer része Szervezési Fizikai hozzáférés védelem Logikai hozzáférés védelem A fizikai rendelkezésre állás A logikai rendelkezése állás A Katasztrófa tervben megadott védelmi intézkedések A biztonsági dokumentumokban megadott védelmi intézkedések megvalósulása A biztonsági dokumentumok karbantartása A biztonsági dokumentumok oktatása Egy védelmi intézkedésre irányuló célvizsgálat 7

Változatok Milyen típusú legyen az audit? 8 Belső ellenőrzés (internal audit) Külső ellenőrzés (external audit) Illeszkedik a vállalat belső ellenőrzéséhez ill. működéséhez A vállalat saját munkatársai hajtják végre Jellemzői: Helyismeret Éves munkaprogram Néhány rendszer részletes vizsgálata A módszertan és képzettség egyénfüggő Jelentés: az igazgatóságnak vagy felügyelő bizottságnak Spec. probléma esetén (EMC, rejtjelezés stb.) Belső erőforrás hiányában Valószínűsíti függetlenséget Időszakonként (pl. 3 év) indokolt Jellemzői: Összehasonlító ismeret Projekt munkaprogram Átfogó és rendszerspecifikus vizsgálatok Módszertan és képzettség előírható Jelentés: általában a vezetőségnek

Változatok Az IT audit típusainak összevetése 9 Internal External Előny Helyismeret a cég működésére, a meglevő szabályozásokra, ill. a megtett védelmi intézkedésekre vonatkozóan Alacsonyabb költségek: minimális közvetlen költség Folyamatosság Függetlenség Harmadik fél elfogadja Spec. szakértelem ill. tapasztalat rendelkezésre áll Hatékony, gyors lefolyású projekt Szakmailag korrekt megvalósítás Helyismeret! Hátrány A függetlenség hiánya Harmadik fél általában nem fogadja el Nincs megfelelő szakmai kontroll Speciális szakértelem nem áll rendelkezésre Magasabb költségek Folyamatosság hiánya Optimális: internal folyamatosan, 2-3 évente external Időnként a külső auditort is cserélni kell!

Lépések Az IT audit több szintű vizsgálatot jelent A megfelelőség vizsgálata A védelmi intézkedések megfelelnek-e a hatályos jogszabályoknak, törvényi előírásoknak és belső szabályozásoknak? (Az IBSZ, a Katasztrófa terv stb. megfelel-e ezeknek?) A megvalósulás ellenőrzése A védelmi intézkedések a gyakorlatban megvalósulnak-e az eltérések feltárása. A védelmi gyengeségek rögzítése Javaslat a gyengeségek kiküszöbölésére vonatkozó intézkedésekre 10

Lépések Az audit végrehajtása jól definiált lépések követését jelenti Felkészülés Végrehajtás Jelentés és javaslatok 11

Lépések Az auditot részletesen meg kell tervezni A felkészülés lépései Az ellenőrzés tárgyának meghatározása Az audit típusának meghatározása (belső/külső audit) Az ellenőrzés végrehajtóinak kijelölése (belső/külső munkatársak) Interjúalanyok listájának elkészítése A tanulmányozandó dokumentumok listájának elkészítése A szemlék listájának elkészítése A tesztek listájának elkészítése 12

Az audit végrehajtása az előre definiált lépések követését jelenti Lépések A végrehajtás lépései Az interjúk, dokumentumtanulmányozások, szemlék, tesztek konkrét végrehajtása (Esetlegesen azonnali védelmi intézkedési javaslatok megfogalmazása) A kockázat kezelés megfelelőségének elemzése Maradványkockázatok meghatározása, elemzése A követelmények és a gyakorlat összehasonlítása 13

Minden lényeges körülményt dokumentálni kell Lépések A záró dokumentum tartalma Az ellenőrzés tárgya Az ellenőrzés módszere Az ellenőrzés végrehajtói Az ellenőrzés megállapításai A feltárt gyengeségek A vizsgált terület minősítése (pl. nincs gyengeség, gyengeségek tapasztalhatók a megfelelőség/megvalósulás vonatkozásában) A vizsgálat gyengeségei (a módszer problémái, az ellenőrzést akadályozó tények) Javaslatok 14

Kockázatok Az informatikai biztonsági audit során kockázatok léphetnek fel Az audit kockázatai és kezelésük Az audit visszahat a rendszerre (zavart, gondot okozhat) Az audit hibás eredményt adhat (sérült, hibás auditáló eszközök stb.) Elkerülés Megfelelő tervezés Auditor hozzáférése: csak olvasás, ezen túli hozzáférés csak másolaton (a másolatok az audit után megsemmisítendők!) Az audit eszközök sértetlensége problematikus! (Elkülönített tárolás ill. kiegészítő védelem szükséges) Minden körülmény és eljárás dokumentálandó 15

Vizsgálati témák Feladatok és felelősségek Szervezeti kultúra Szabályozások, folyamatok, felelősségek Jól definiált feladatok, hatáskörök, erőforrások, interfészek Javító folyamatok, felelősségre vonás, oktatás, képzettségek, kulcs pozíciók Helyettesítések Szerveti rend, szabályozottság Működési/ügyrendek, SZMSZ, felelősségi, nyilvántartási szabályok (szervezeti ábrák, folyamatmodell, munkaköri leírások, IBSZ.) Folyamatos karbantartás, aktualizálás megvalósulása Mindenki ismeri-e a feladatait, felelősségeit? Az informatikai biztonság felelőse, adatgazda, vagyongazda Külső szolgáltatók szerződései Egymást kizáró munkakörök 16 Seggregation (separation) of duties Nem lehet ugyanaz a személy: Vezető és végrehajtó; Végrehajtő és ellenőrző; Fejlesztő és üzemeltető Kis létszámú vállalat esetén problematikus további kontroll szükséges

Vizsgálati témák IT-hez kapcsolódó nyilvántartások, dokumentáció Nyilvántartás tartalmak Megbízható, naprakész nyilvántartások nélkül csak ad hoc kapkodás lehetséges Nemcsak a közvetlen IT nyilvántartások érdekesek (HR, tárgyi eszköz, immat. javak, eszközök fellelhetősége ). A korábbi változatok is érdekesek. Kitüntetett az adatkapcsolatok, architektúrák, konfiguráció nyilvántartások. licence Incidensek, hibabejelentések Nyilvántartások hoz kapcsolódó feladatok Elkészítés és a naprakészség biztosítása Riportok készítése Ellenőrzések valóban? Dokumentáltság 17 A fejekben levő tudás nem dokumentum! Ellenőrizni csak dokumentumok alapján lehetséges. Eljárások, tevékenységek, mutatók, időszakos üzemeltetési feladatok (napi, heti ), beállítások, jogosultságok, hozzáférések, változások, rendszerek, alkalmazások A papír alapú dokumentáció kiváltható elektronikus megoldással

Vizsgálati témák Emberi erőforrás Jogosultságmene dzsment Oktatások Jól definiált eljárások az igénylésre visszavonásra, ellenőrzésre Jól definiált szerepkörök és jogosultságok, hozzáférések (fizikai is) Távoli hozzáférések, külső szervezetek hozzáférései Adatok, eszközök, helyiségek minősítése Megfelelő szabályozás és technológia Nyilvántartások, jelzések és riasztások A szükséges jogosultság elvének betartása Új technológiák, új kihívások, új munkatársak folyamatosan megfelelő szakértelem szükséges Az emberi tényező igen nagy kockázatnak számít (képzetlenség és rossz szándék is) Alapvető oktatások mindenki számára szükségesek tervezett oktatások (frissítő is) Az erőforrások hatékony használata Veszélyek, kockázatok Lehetőségek, korlátok Biztonsági tudatosság (kultúra) Hiteles oktatások, a kockázatok tudatosítása A tudatosság fejlesztésére szolgáló akciók (pl. nem valós események szimulálása) Véleményvezérek Betartható szabályok Általános szervezeti kultúra 18

Vizsgálati témák Fejlesztések Fejlesztési környezet szabályozottsága Irányelvek (külső, belső, kisebb, nagyobb ), platformok (op. rendszer, programozási nyelv, adatbázis kezelő ), módszertanok Fejlesztési igények, igények összehangolása, erőforrás becslés, priorizálás, döntési mechanizmusok Dokumentálás A fejlesztések megvalósulása Fejlesztési folyamat (igénylés, specifikáció, fejlesztés, tesztelés, üzembe helyezés). Minőségbiztosítás Ellenőrzések Átadás-átvételi kritériumok Tesztek (tervezett tesztek a fejlesztés különböző pontjan Funkcionális és nem funkcionális követelmények teljesülése 19

Vizsgálati témák Tesztelések Tesztelési módszertan Tesztelés szabályozottsága (rendszerek, teszt esetek, teszt mélységek, teszt eszközök ) Teszt környezet megléte (éles rendszeren nem fejlesztünk/tesztelünk!) A tesztelések relevanciája (értékes eredményt adnak-e). Dokumentálás Tesztek lebonyolítása Teszt esetek, teszt forgatókönyvek tervezése. (Nem funkcionális követelmények is.) Támogató eszközök Teszt adatok (éles?, anonimizált, maszkolt adatok) Adatmennyiség, adatminőség Adatellenőrzések Kiértékelés A korlátok rögzítése Dokumentálás Elvárt eredményekkel való összevetés 20

Vizsgálati témák Rendkívüli helyzetek Tervek Összetevők BCP/DRP tervek, belső és külső konzisztencia Erőforrások, szervezet (hierarchia, hatáskör, erőforrások) Üzleti igények tükröződése Összhang a valósággal, az aktualitás biztosítása Tervezett és megvalósított tesztek Kritikus üzleti folyamatok, maximális kiesési idők, kritikus erőforrások Tartalékok, redundanciák Dokumentált akciótervek, helyettesítő tevékenységek Dokumentált tesztek Oktatások, dokumentumok tárolása Külső szerződések Kockázatok figyelembe vétele Kockázatelemzés, kockázatkezelés 21

Vizsgálati témák Mentés, archiválás Idő adatok, köveztelmények Mentési idő (teljes, inrementális ) Részben a management határozza meg, compliance feltételek is vannak Visszaállítási idő Használhatóság Elveszítési, sérülési, felülírási veszélyek Nyilvántartás, tárolás Címkézés Szállítás a tárolási helyszínre Az alternatív tárolási helyszín bizalmassági problémát is felvet 22

Vizsgálati témák Naplózás Optimalizálás Túl sok napló bejegyzés: erőforrás igényes és kezelhetetlen Túl kevés napló bejegyzés: használhatatlan Gyári default beállítások?! Naplózási koncepció szükséges kockázatok figyelembe vétele Beállítások Több szint Op. Rendszer Adatbázis kezelő Alkalmazások Kiértékelések Hozzáférések, seggregation of duties Proaktív/reaktív szemlélet Szoftveres támogatás 23

Vizsgálati témák További kontrollok Külső szolgáltatók szerződései IT biztonsági kitételek Ellenőrzések Korlátozott felelősség - szankcionálhatóság Fizikai és határfelületi védelm Szabályozások és tényleges megvalósulás Rosszindulatú szoftverek Adatbázis, motor Megkerülhetőség 24

ACTIVITY Audit interjú Adott egy kerületi rádió, amely az interneten keresztül szolgáltat műsort elsősorban a kerület lakói számára, naponta 6-22 óráig. Költségeit önkormányzati támogatásból és reklámbevételekből fedezi. Fő erőforrásai: stúdió, média szerver, internet kapcsolat, technikai személyzet és műsorvezetők és az önkormányzat alkalmazásában álló rendszergazda. Az erőforrások csak a szükséges mennyiségben állnak rendelkezésre, tartalékok nincsenek, a média szerverről éjszakánként szalagos mentés készül. A mentéseket az önkormányzat egy tűzbiztos páncélszekrényében tárolják. A műsorok jellemzően a médiaszerveren tárolt felvételek és élő közvetítések a stúdióból. Külső helyszíni közvetítések csak kivételesen fordulnak elő. A rádióstúdió a kerületi művelődési központ épületében található, a helyszíni szünetmentes tápláláson túlmenően helyszíni villamos energia nem áll rendelkezésre. Az internet kapcsolat redundancia nélküli, vezetékes kapcsolat. A rádió műsora egy hétre előre az önkormányzat web szerverén elérhető. Feladat: Tartsuk meg az egyik vizsgálati témához tartozó interjút! 2018. 10. 13. 25

ACTIVITY Audit interjú Kérdés Válasz Megállapítás Javaslat Hogyan kezelik a rendszergazda esetleges kiesését? Nyugdíjas munkatárs mozgósítható Esetleges megoldás, semmiféle garancia nincs Szerződés az önkormányzattal, szolgáltatás kontroll 2018. 10. 13. 26

Köszönöm a figyelmet! 2018. 10. 13. 27

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés