Informatikai rendszerek

Informatikai rendszerek működtetése Többek között Dr. Kovács János és Krajcsák Zoltán munkája alapján + Informatikai Tárcaközi Bizottság 15. sz. ajánlása http://www.itb.hu/ajanlasok/a15/index.html

Informatikai tevékenységek Informatikai szolgáltatások Változtatási igények kezelése Futtatás és kiszolgálás Problémakezelés Üzemeltetés Eszköznyilvántartás Rendszerfelügyelet Verziókövetés Minőségbiztosítás Üzembiztonság IT biztonság Biztonsággal kapcsolatos dokumentumok Katasztrófatervek

Futtatás és kiszolgálás Feladat: felhasználói munkák terv szerinti ütemezése és végrehajtása Operátori kézikönyvek, utasítások Futtatás módját (automatikus, vagy felhasználói) Indítási esemény (idő, feltétel) Futtatás időtartama Jogosultságok Felelős személy Adatállományok kezelését (mentés, helyreállítás) Váratlan szituációk kezelését Eredmények és azok továbbításának módját Futtatás: batch-jellegű, vagy interaktív módon Interaktív: szoftver vagy terminál, Help Desk Batch: zárás, összesítés, archiválás. Operátorok

Help Desk Bonyolultabb feladatok funkciók Gyorssegélyszolgálat és panaszkönyv Feladata: Felhasználói kérdések és problémák azonnali kezelése Normál állapot helyreállítása Típusai a dolgozók képzettsége alapján: Gyakorlatlan a nehezebb eseteket továbbadja Tapasztalt adott területre specifikált Szakértői minden problémára, műszaki és komm. ismeret Hasznai: Állásidő csökken, gyorsabb zavarelhárítás Javuló felhasználó-szolgáltató kapcsolat Jobb erőforrás-felhasználás

Változtatási igények, verziókövetés A rendszerek változásának okai: Új szabályozók Új szolgáltatások vagy termékek Változó piaci feltételek és kapcsolatok Új üzleti célok Feladat: IT rendszer képességeinek folyamatos mérése Felhasználói elvárásokkal való összevetése Költségek 43%-a rendszermódosítás, 17%-a adatformátum változás, 12%-a sürgős korrekció; a maradék: karbantartás és új elemek Változtatási igények biztosítása gondos mérnöki munka Változtatási kérések feldolgozása, prioritások meghatározása Változtatás mértékének és erőforrásigényének rögzítése A végrehajtás ütemezése, implementáció, tesztelés, átadás

Eseményfelügyelet, problémakezelés Feladatok, követelmények: Események regisztrálása Múltbéli események visszakereshetősége Kérések végrehajtásának figyelése Egy felelős személy, komoly számítógépes támogatás Rendszerszoftverek Regisztrál Adatbázisban nyilvántartja a rendszerállapotokat Rögzíti az eseményeket, azok típusát Figyeli a rendszer reakcióját Nem csak a hibát, de annak okát is meg kell találni Probléma felismerés Hiba súlyossága, okozott károk Elhárításáért tett erőfeszítések

Problémakezelés 2. Gyors reagálás vs. megfontolt hibaelhárítás Változtatási igények típusai: Javítás, korrekció: előre nem látható hibák, feltétel-kombinációk Adaptálás: a szoftverrendszer fejlesztése Rendszerkorrekció: a (teljes) IT rendszer átalakítása Felügyeleti munkák típusai: Eseményfelügyelet Váratlan események okozta káros hatások minimalizálása, Hibaelőfordulási valószínűségek Problémafelügyelet Ismert problémák súlyossági osztályozása Hibafelügyelet: figyelés, elemzés, rendszerváltoztatás

Üzemeltetési tevékenységek Nyilvántartás és adminisztráció Erőforrások biztosítása Rendszert ért zavarok elhárítása Elavult technológiák felújítása Katasztrófák elleni védekezés Megelőzés és helyreállíthatóság Szoftververziók kezelése Tevékenységek csoportosítása: Eszköznyilvántartás, konfigurációkezelés Verziókövetés Rendszer- és hálózatfelügyelet Minőségbiztosítás

Eszköznyilvántartás 1 Összetett rendszerek: hardver-, szoftveregységek, hálózati kapcsolatmegvalósítás elemeit adminisztrálni kell Eszköznyilvántartás feladata: Pontos leltár az informatikai vagyonról (mi, hol, hogyan, ki a felelős, mekkora érték, stb.) Gazdálkodjon az IT erőforrásokkal Informatikai infrastruktúra menedzsment feladatai: Azonosítás, jellemzői, eszköztérkép Változtatási jogosultságok, felhasználói jogok, felelősségek Naplózhatóság biztosítása Támogató eszközök: Rendszermonitorozó eszközök (input/output kihasználtság) Operációs rendszer (naplózás) Terheléskezelő eljárások (múltbéli tapasztalat alapján előrejelez) Kapacitáskezelő funkció (jelenben + a bővítés tervezésében is)

Alkalmazásának hasznai: Eszköznyilvántartás 2 Tanulni lehet a múltbéli tapasztalatokból Az IT részleg hitelessége növekszik A szervezeti tevékenység támogatása javul Kialakul a változtatás gyors, tervezett és hatékony eljárása Könnyebben kontroll alatt tarthatók az értékes IT eszközök Javul a felhasználói támogatás minősége Élénkebb kommunikáció kapcsolatok javulása Tendenciák: Az IT fontossága és az IT kiadások növekednek Kifinomultabb felhasználói igények jelennek meg Az IR-ek mind összetettebbek nagyobb a hibalehetőség

Rendszer- és hálózatfelügyelet Feladatok: Felhasználó és rendszer kapcsolat definiálása (jogosultságok nyilvántartása és kezelése) Segítségnyújtás a felhasználói munkavégzéshez Adatbázis felügyelet (adatmentések, hosszú távú mentések, frissítések, verziókövetés, beállítások) Információszolgáltatás a rendszerfejlesztés tervezéséhez Hálózatfelügyelet Router, hub, bridge, modem, tűzfal, stb. A hálózati rendszerek igen összetettek, átláthatatlanok Nyilvántartás adatbázis segítségével, elhelyezkedés és kapcsolatai

Problémák: Verziókövetés, konfigurációkezelés Szoftverváltozatok szolgáltatásainak azonosítása és dokumentálása A frissítések telepítésének kérdése, ha már nincs közvetlen kapcsolat Annak biztosítása, hogy mindenki elvégezze gépén a frissítést Ki a felelős az új verziók és változatok kezeléséért Szoftverváltozatok és szoftververziók Alapállapot igények változtatás tervezése változtatás implementációja új verziók (új funkció) ezek eltérő környezetbe kerülnek, más-más verziók alkalmazásával szoftverváltozatok (konfigurációk) Konfigurációkezelés: azonosít, nyilvántart és dokumentál

Szoftververziók és változatok 3.0. ve rzió Szoftverobjektumok fejlődési grá fja 3.1. ve rzió 3.2. verzió 3.3. ve rzió 4.0. verzió 4.1. ve rzió A kom ponensek 3.1.1. ve rzió B C C 1 C 2 vá ltozatok A dia gram egy szoftverterm ék fejlődési gráfját szem lélteti, bem uta tva a 3.0. verzió evolúcióját és a 4.1. verzió komponenseit. A diagra mból jól lá tha tó, hogy a 4.1. verzióban vag y a C 1, v agy pedig a C 2 kom ponens szerepel, a mi azt jelenti, hogy a 4.1. verziónak két változata létezik.

Minőségbiztosítás Követelményeknek és elvárásoknak való megfelelés Hatékonysági és minőségi mutatók Módszerek: Programozástechnikai eszközök a gyors hibajavításhoz Minőségi kritériumok kielégítését ellenőrző technikák Matematikai statisztikai eljárások (hibaelőfordulás) Költség-haszon elemzések Tesztelési eljárások: Helyreállíthatósági teszt: hibát generál, az automata javítást ellenőrzi Biztonsági teszt: képes-e a szándékos károkozástól védeni Stresszteszt: szélsőséges eseteket szimulál és mér Végrehajtási teszt: futás helyessége, együttműködése

Üzembiztonsági tevékenységek ~ = Rendelkezésre állás menedzsmentje Alapelvárás: Legyen a rendszer megbízható Karbantartható Magas szolgáltatási színvonalú Biztonságos Védett Különleges fontosságát magyarázza: Kézi rendszerekre való visszaállás lehetetlen A hatékonyság nagyban függ az IT megbízhatóságától A felhasználói tevékenység mára IT alapú, e nélkül a szervezet működésképtelen

Rendelkezésre állás menedzsmentje Rendelkezésre állás (%) = rendelkezésre állás / elfogadott szolgáltatási időszak Minden felhasználó egyénileg érzékeli optimalizálja az arányt a megelőző és javító jellegű karbantartás és a hibák okozta költségek között Hasznai: IT szolgáltatások javuló minősége IT szolgáltatások költség-hatékonysága Menedzselhetőbb IT infrastruktúra Jobb tervezési képesség IT szolgáltatások biztonságosabb nyújtása

IT biztonság 1. Emberéletekben vagy a környezetben kár keletkezhet Passzív megbízhatósági szint Minőségileg megbízható IT elemekből épül fel a rendszer, a megbízható együttműködésről kell gondoskodni Aktív megbízhatósági szint A hiba bekövetkezése miatt redundáns elemet tartalmaz Statikus redundancia: szimultán együttműködő elemek Dinamikus redundancia: az egyik elem kiesése esetén a másik átvállalja a feladatokat Fenyegetettségek Fennakadás az adatszolgáltatásban Nem megfelelő megelőző karbantartás Rosszindulatú, tudatos károkozás Egyéb (szabályozatlanság, mulasztás, mentés hiánya, stb.)

IT biztonság: IT biztonság 2. Az az állapot, melyben az IR védelme (az adatok bizalmassága, hitelessége, rendelkezésre állása és a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából) zárt, teljeskörű, folyamatos és arányos a kockázat mértékével. Teljeskörűség: a rendszer elemeinek összessége Zárt védelem: az összes lehetséges fenyegetés 2 alapterület: információvédelem és a működés Információvédelmi feladatok Jogosultság-kiosztás Jogosultság ellenőrzés Rekonstruálható adminisztráció Megbízható működéssel kapcsolatos feladatok Incidenskezelés Funkcionalitás garantálása Helyreállíthatóság biztosítása Jellemző: maximális kiesési idő

Védelmi intézkedések Fizikai + logikai komponensekre + adminisztrációra A kialakítandó védelmi rendszer legyen: A jogszabályban foglalt védelmi előírásokkal összhangban Adatvédelmi Törvénnyel összhangban: legyen felderíthető az illetéktelen hozzáférés Az adatvédelemhez köthető költségek legyenek arányban azok szervezeti értékeivel Olyan eljárásra van szükség, ahol egy adott folyamat kiesése esetén is működőképes marad a rendszer A védelmi rendszer minimális pluszterhet jelentsen a felhasználók számára

Az IT biztonság dokumentumai Informatikai Katasztrófaterv (IK) Informatikai Biztonsági Szabályzat (IBSZ) Informatikai Katasztrófaterv Megelőzési terv: adatmentés, biztonságos helyen, pótgépek Helyreállítási terv: a katasztrófa bekövetkezett Azonnali teendők Áttelepülés Funkcionalitás helyreállítása Normalizáció, hazatelepülés Informatikai Biztonsági Szabályzat Védelem általános követelményei és intézkedéstervek Adatnyilvántartásra vonatkozó előírások, eljárásrendek Felelősök, szankciók, tárgyi feltételek, stb. (http://www.itb.hu/ajanlasok/a8/)

Katasztrófa-elhárítási alapváltozatok Semmit sem teszünk Kézi helyettesítő eljárások kialakítása Kölcsönösségi egyezmény kötése Erőd megközelítés Hideg indítású fix megközelítés Hideg indítású szállítható megközelítés Meleg indítású külső megközelítés Meleg indítású belső megközelítés Meleg indítású szállítható megközelítés (http://www.itb.hu/ajanlasok/a15/html/a15_10-2.htm)

Informatikai Biztonsági Szabályzat

Az IBSZ Az IBSZ egy olyan belső szervezeti intézkedés-együttes, amely a szervezeten belül működtetett informatikai rendszerekre vonatkozóan szabályozza a biztonsági intézkedéseket, szervesen illeszkedve a hatályos jogszabályokhoz és a szervezet egyéb működési és ügyrendi előírásaihoz.

Az IBSZ-tervezet részei: Általános rész, mely az informatikai rendszerek minden alaptípusára (irodaautomatizálási, adatbázis alapú, nagy megbízhatóságú stb.) vonatkozik, Rendszer-specifikus rész, amelyben kiválasztott típus rendszerekre specifikusan érvényes intézkedési javaslatokat állítottak össze.

A készítési alapelvek Az IBSZ-ből mellőzendő a magasabb szintű szabályozások ismétlése. Az IBSZ-ben foglaltak ne általánosságokra, hanem konkrétumokra vonatkozzanak. Az IBSZ nem hozhat létre a szervezet működésétől független, attól idegen struktúrát, mechanizmusának végrehajtó jellegűnek kell lennie, amely csak informatikai biztonsági szempontból nézi a folyamatokat.

Szempontok 1. Az IBSZ adaptív és koordinatív típusú legyen, ne váltsa fel és ne írja felül a szervezetnek és működésének rendjét, csak teremtse meg annak biztonságos környezetét.

Szempontok 2. Az IBSZ metodikailag vagy önmaga tartalmazza a többi szabályzatban átvezetendő új szempontokat, vagy azokban kell a szükséges módosításokat átvezetni és az IBSZ-ben csak utalni rájuk. A két alternatíva közötti döntést a terjedelemnek, a terjesztési körnek, a téma jellegének kell befolyásolnia.

IBSZ tartalma Általános követelmények; A teljes követelményrendszer lefedését biztosító részletes intézkedésrendszer, Az eljárások rendjét, a felelősöket, az ellenőrzés rendje, és a szankcionálás módja.

Mit jelent a megbízhatóság? Hozzáférés védelem Adat titkosság Adatsértetlenség Hitelesítés / hitelesség Letagadási lehetőség kizárása

Rendszerek megbízhatósága Hozzáférés védelem: a rendszer használatának korlátozása az erre felhatalmazott személyekre ill. programokra. Adat titkosság: megakadályozza az adatok jogosulatlan fél általi értelmezhetőségét. Adatsértetlenség: az aktív fenyegetések elhárítása. Hitelesítés: garantálja azt, hogy a partnerek valóban azok, akiknek állítják magukat, és meg van a jogosultságuk üzenetek küldésére, illetve vételére. Letagadási lehetőségek kizárása: megakadályozza a küldőt, és az üzenet vevőjét, hogy később tagadja, miszerint tudomással bír egy adott üzenetről.

Az informáci ciórendszerek védelme

Az információvédelem alapszabálya Titoktartás, Adatok sérthetetlensége, Hozzáférhetőség, Következetesség, Elkülönítés, Felügyelet.

A védelem szintjei Fizikai védelem, Jogszabályi védelem, Algoritmusos védelem.

Fizikai védelem Biztonsági mentés, Adathordozók duplikálása, Elkülönített tárolás, Bejutás fizikai akadályozása, Szünetmentes áramellátás, Tűzvédelem.

Jogszabályi védelem Adatvédelmi törvény(ek) Jogszabályok Adatvédelmi biztos Belső előírások Munkaköri leírás, Ügyrendi szabályzat, Számítástechnikai védelmi szabályzat

Algoritmusos védelem Jelszavak, Rejtjelezés, Vírusfigyelés, "Tűzfal", Hw-, sw azonosítás.

Ami nem kerül l pénzbep

Infrastruktúrához kapcsolódó intézkedések Számítógép-helyiségbe való belépés rendje, Központi géptermek adatbiztonsági előírásai, Áramellátás szolgáltatási rendje, Tároló helyiségekre vonatkozó előírások, Hardverekhez kapcsolódó adatbiztonsági intézkedések, Kezelési előírások, Felhasználói terminálokra vonatkozó előírások, Központi gépekre vonatkozó előírások, Adatátviteli vezetékek védelme, Szükséghelyzet kezelése, Katasztrófaterv készítése.

Adathordozókhoz kapcsolódó szabályozások Floppyk, mágnesszalagok használatának rendje Biztonsági másolatok készítésének és tárolásának rendje Munkamásolatok készítési és tárolási rendje Adathordozók raktározási, hozzájutási, selejtezési rendje Adathordozók nyilvántartási rendje Archiválási rend

Dokumentumokhoz kapcsolódó szabályozások Rendszerleírások kezelési, tárolási rendje Rendszerprogram dokumentáció kezelési, tárolási rendje Felhasználói dokumentációk kezelési, tárolási rendje Számítógéppel készített iratok nyilvántartási rendje Szerződésben megjelenő adatbiztonsági intézkedések és a fenti iratok selejtezési rendje.

Szoftverekhez kapcsolódó szabályozások Rendszerprogramok bevezetésének, használatának rendje Alkalmazói programok bevezetésének rendje Vírusellenőrzési mechanizmusok előírása Vírus észleléssel kapcsolatos viselkedési előírások Programtervezési előírások.

Adatokhoz kapcsolódó szabályozások Saját dolgozókról vezetett nyilvántartási előírások, Egyéb személyekről vezetett nyilvántartási előírások, Adatbeviteli előírások, Adatfeldolgozási előírások, Adatszolgáltatási előírások, Adatok pótlására vonatkozó előírások, Adatkiadmányozási előírások, Adattitkosítási, rejtjelezési előírások.

Kommunikációhoz kapcsolódó szabályozások Adattovábbítási előírások, Adatfogadási előírások, Minősített adatok továbbításának rendje, Kommunikáció ellenőrzési előírások, Adat-zsilipelési előírások.

Személyekhez kapcsolódó szabályozások Üzemeltetésben részt vevők adatbiztonsági feladatai, kötelességei (üzemeltető személyek, rendszergazda), A karbantartó személyzet viselkedési szabályai, Őrző személyzet kötelességei.

Köszönöm a figyelmet!