INFORMÁCIÓMENEDZSMENT 6. HÉT (11. ÓRA) IGÉNY- ÉS PORTFOLIÓMENEDZSMENT Dr. Danyi Pál Egyetemi docens, BME, danyi@mvt.bme.hu 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 1
IT MENEDZSMENT MODELLJE IT Stratégia + Pénzügyi tervezés (Üzleti) Igény- és portfoliómenedzsment (IT) Igény- és p.men. IR TERVEZÉS (PLAN) IR FEJLESZTÉS (BUILD) IR MŰKÖDTETÉS (RUN) 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 2
IGÉNY Példa 1. (VÁLTOZTATÁS) Webshop rendszer illesztése a CRM rendszerhez Határidő: 4 hónap Fontosság (Prioritás): 3/5 Példa 2. (ÚJ BESZERZÉS) Adobe Illustrator beszerzése 20 felhasználónak Határidő: 1 hónap Fontosság (Prioritás): 2/5 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 3
IGÉNYMENEDZSMENT ALAPFELADATA ÜZLETI IGÉNYEK 100 MFt RENDELKEZÉSRE ÁLLÓ PÜ FORRÁS 60 MFt? 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 4
IGÉNYEK PRIORIZÁLÁSA ÜZLET Üzleti vezető Üzleti szakértők IGÉNY IT Key Account Manager Igénymenedzser Projekt vezető Üzleti elemző 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 5
IGÉNYMENEDZSMENT CÉLJA A különböző üzleti területek igényeit (akár több százat) összehasonlítani és sorrendezni, átlátható folyamat mentén. Eközben: Az üzleti stratégiát, célokat, és prioritásokat figyelembe venni Az üzleti területekkel egykapus kapcsolattartás (SPOC) Üzleti elégedettség növelése Azonosítani az üzleti és IT kockázatokat (nem készül el időben, prioritás szerint) Meglévő fejlesztési folyamatokhoz illesztés 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 6
IGÉNYMENEDZSMENT TEVÉKENYSÉGE Definiált igények összegyűjtése: leírás + ütemezés Egyeztetés az üzleti területekkel (KAM: Key Account Manager) Igények elemzése Konszolidálása, harmonizálása Első priorizálás: prioritás pontok meghatározása Projekt indítás: projekt vezető kinevezés Igény prioritás és végső elfogadás: üzleti érték (BV) sorrend vállalási határidő, várható költség 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 7
KIADÁSOK, VERZIÓK (RELEASE-EK) MENEDZSELÉSE Release: Szoftver módosítások összegyűjtött, csoportos, együttes fejlesztése és élesítése Miért? Komplex rendszerek együtt kell működjenek Egyszerre tesztelni minden változtatást Átlátható, ütemezhető menetrend Jogi megfelelés (pl. ügyfél tájékoztatás határidőre) 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 8
PORTFOLIÓMENEDZSMENT CÉLJA Futó projektek folyamatos menedzselése, monitorozása a legfontosabb szempontok szerint: projektterv szerinti előrehaladás (időzítés szerint) költségek felhasználása Jelentések készítése Lemaradás esetén eszkaláció, okok feltárása, javaslat a korrekcióra Átütemezések, transzferek az egyes projektek között 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 9
INFORMÁCIÓMENEDZSMENT 6. HÉT (11. ÓRA) BEVEZETÉS AZ INFORMÁCIÓBIZTONSÁGBA Dr. Danyi Pál Egyetemi docens, BME, danyi@mvt.bme.hu 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 10
VÁLLALATI INFORMATIKAI MŰKÖDTETÉSI TEVÉKENYSÉGEK A) Informatikai szolgáltatások Ügyfél : Vállalat üzleti területei, alkalmazások felhasználói Egyes rendszerekre, alkalmazásokra, felhasználókra külön-külön vonatkozik B) Üzemeltetés, karbantartás Ügyfél : Informatikai üzemeltetés szervezete Az összes rendszerre, alkalmazásra (a teljes informatikára ) egységesen vonatkozik C) IT biztonság és üzembiztonság Ügyfél : Egész vállalat összes szervezete Az összes rendszerre, alkalmazásra egységesen és külön-külön is vonatkozik 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 11
LEHALT A FÉL INTERNET http://index.hu/tech/2016/10/21/internet_hiba_kibertamadas/ A masszív túlterheléses - DDoS - támadás az egyik legnagyobb internetszolgáltató, a Dyn nevű vállalat ellen zajlik, ami miatt olyan oldalak elérhetetlenek, mint a Netflix, Amazon, Airbnb, Paypal, Github, Reddit, a Spotify, vagy a Twitter. Főleg azért különösen hatékony, mert a Dyn tartomány-névrendszerekkel (DNS) foglalkozik, melyek a tartománynevek IP címmé alakításáért felelősek. Gyakran használják az "internet telefonkönyve" hasonlatot, mert ennek segítségével lesznek a nehezen megjegyezhető számkupacokból egyszerű weblapcímek. 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 12
C) ÜZEMBIZTONSÁGI TEVÉKENYSÉGEK Az üzembiztonsági tevékenységek célja és feladata kielégíteni az Üzlet (szervezet) biztonsági követelményeit: 1. Bizalmasság (Confidentiality) 2. Sértetlenség (Integrity) 3. Rendelkezésre állás (Availability) 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 13
IT ERŐFORRÁSOK ÉS BIZTONSÁGI KÖVETELMÉNYEK 1. ADATOK 2. ALKALMAZÁSOK (ALKALMAZÓI RENDSZEREK) 3. TECHNOLÓGIA (INFRASTRUKTÚRA) 4. LÉTESÍTMÉNYEK 5. EMBEREK (HUMÁN ERŐFORRÁS) Bizalmas. Sértetlen. Rendelk. 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 14
BIZALMASSÁG MENEDZSMENTJE Célja: adat, információ ne kerülhessen illetéktelen kezekbe Megsértését nehéz érzékelni Megvalósítás - Titokvédelem (erőforrások megfelelő titkossági osztályokba sorolása): Nyilvános, Bizalmas, Titkos, Szigorúan titkos - Adatvédelem (Személyes adatok védelme) Adatbiztonság (információbiztonság) - erőforrások biztonsági (védelmi) osztályba sorolása - hozzáférési jogosultságrendszer kialakítása és működtetése - megfelelő erősségű titkosítási algoritmusok alkalmazása - megfelelő szintű szabályozás: tudatosság növelés, elrettentés 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 15
SÉRTETLENSÉG (INTEGRITÁS) MENEDZSMENTJE Célja: adatok, információ tartalma ne sérülhessen, módosulhasson illetéktelenek által (hamisítás, módosítás, csonkítás, stb.) Megsértését nehéz érzékelni Megvalósítás: - titokvédelem - adatvédelem - megfelelően védett adattovábbítási csatornák (hálózat biztonság) - megfelelően erős titkosítási algoritmusok - hitelesség biztosításai (digitalis aláírás) - hozzáférési jogosultságrendszer kialakítása és működtetése 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 16
RENDELKEZÉSRE ÁLLÁS MENEDZSMENTJE Célja: erőforrások rendelkezésre állásának elvárás szerinti biztosítása Hiányát minden felhasználó egyénileg érzékeli Rendelkezésre állási % = rendelkezésre állás / elfogadott szolgáltatási időszak, pl. 4 kilences: 99.99%, 1 évben 52,5 perc kimaradás, 3 kilences: 8 óra 46 perc Megvalósítás: - Fizikai biztonság: védett objektumok, beléptető rendszerek, védett emberi erőforrás - Redundáns rendszerek - Optimalizálni az arányt a megelőző és javító jellegű karbantartás és a hibák okozta költségek között 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 17
RENDELKEZÉSRE ÁLLÁS SZINTJEI Az adatközpontok megbízhatósága, a rendelkezésre állás szintje szerint az ANSI-TIA- 942 szabvány Tier-osztályokat definiál. A négy Tier-osztály a rendelkezésre állás négy fokozatát definiálja, a legfontosabb összehasonlító adatok: TIER 1 TIER 2 TIER 3 TIER 4 Alap (nincsenek tartalékok) Tartalékokkal Áramellátás, hűtés Általános Általános Tartalékok (alap: N) N (nincs tartalék) Egyidejűleg fenntartható 1 aktív+1 tartalék Hiba toleráns 2 aktív N+1 N+1 2x(N+1) Kivitelezési idő (hónap) 3 6 15-20 15-20 Karbantartás Leállással Leállással Leállás nélkül Leállás nélkül Relatív létesítési költség 1,00 1,50 2,00 2,50 Üzemszünet (óra/év) 28,8 22 1,6 0,4 Rendelkezésre állás % 99,671 99,749 99,982 99,995 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 18
IT ERŐFORRÁSOK ÉS BIZTONSÁGI KÖVETELMÉNYEK Bizalmas. Sértetlen. Rendelk. 1. ADATOK 2. ALKALMAZÁSOK (ALKALMAZÓI RENDSZEREK) 3. TECHNOLÓGIA (INFRASTRUKTÚRA) 4. LÉTESÍTMÉNYEK 5. EMBEREK (HUMÁN ERŐFORRÁS) X X X X X X X X 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 19
BIZTONSÁGI OSZTÁLY ÉS BIZTONSÁGI SZINT A 38/2011 korm. rendelet szerint az egységes szociális nyilvántartás, a nyugdíjbiztosítási és egészségbiztosítási nyilvántartások a NEMZETI ADATVAGYON körébe tartoznak. A 2013. évi L. törvény alapján A szervezet elektronikus IR-it - adatszintű megközelítéssel - a bizalmasság, sértetlenség és rendelkezésre állás elve szerint 1- től 5-ig terjedő skálán biztonsági osztályba sorolja. A fejlesztést végző, üzemeltetést végző, üzemeltetésért felelős és információbiztonságért felelős szervezeti egységeket - ha ezek az érintett szervezetnél léteznek - 1-től 5-ig terjedő skálán külön biztonsági szintbe sorolja. 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 21
IT BIZTONSÁG FENYEGETETTSÉG Olyan állapot, amelyben az erőforrások biztonsági követelményeinek (C, I, A) biztosítása (akár egyenként, akár együtt) veszélybe kerül vagy nem tartható fenn Példák: Fennakadás az adatszolgáltatásban Nem megfelelő megelőző karbantartás Rosszindulatú, tudatos károkozás Egyéb (szabályozatlanság, mulasztás, mentés hiánya, stb.) Katasztrófa 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 22
IT BIZTONSÁG FENYEGETETTSÉG A fenyegetettség mértékét a teljes biztonsági rendszer együttesen szabja meg Veszélyforrás Bekövetkezés (Támadás) HR IT Más C I A Erőforrások védelme biztonsági követelmények szerint (Sebezhetőség + Védekezés) Következmény (Hatás) $ Kár 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 23
VÉDELMI INTÉZKEDÉSEK (VÉDEKEZÉS) Fizikai + logikai komponensekre + adminisztrációra A kialakítandó védelmi rendszer legyen: A jogszabályban foglalt védelmi előírásokkal összhangban Adatvédelmi Törvénnyel összhangban Legyen felderíthető az illetéktelen hozzáférés (loggolás) Az adatbiztonsághoz köthető költségek legyenek arányban azok értékeivel Olyan eljárásra van szükség, ahol egy adott folyamat kiesése esetén is működőképes marad a rendszer A védelmi rendszer minimális pluszterhet jelentsen a felhasználók számára 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 24
NULLADIK NAPI (0-DAY) TÁMADÁS ILL. SEBEZHETŐSÉG Hacker (Szakértő) Felfedezi a hibát és kiszivárogtatja Hacker (Támadó) Támadást tervez és indít (exploit) Sebezhetőségi ablak Fejlesztő Sebezhetőség (bizt. rés) detektálva Javít, foltoz (patch) Patch elkészül és közzéteszi Kitudódik a sebezhetőség (valaki által) 0. nap vége 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 25
IT BIZTONSÁG DOKUMENTUMAI Üzletmenet Folytonossági Terv (BCP Business Continuity Plan) Informatikai Katasztrófaterv (DRP - Disaster Recovery Plan) Informatikai Biztonsági Politika (IBP) Az IT biztonsággal kapcsolatos vezérelveket tartalmazza. Deklarálja azokat az irányelveket, amelyek alkalmazása biztosítja a szervezet hosszú távú elégséges informatikai biztonságának elérését és fenntartását. Informatikai Biztonsági Szabályzat (IBSZ) Védelem általános követelményei és intézkedéstervek Általános jelszóvédelem Biztonsági tudatosság elemei (awareness) Adatnyilvántartásra vonatkozó előírások Felelősök, szankciók, tárgyi feltételek, stb. Adatvédelmi és Információszabadsági Szabályzat Adatvédelem: személyes adatok védelme Információszabadság: közérdekű adatok nyilvánossága Rendszerszintű Informatikai Biztonsági Szabályzat (RIBSZ) IT rendszerek, kritikus alkalmazások biztonságos működtetésének konkrét követelményei 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 26
BCP ÉS DRP ÖSSZEHASONLÍTÁSA BCP DRP Közös, harmonizált HATÁSELEMZÉS és KOCKÁZATELEMZÉS elkészítése előzi meg Üzleti jellegű Informatikai jellegű CEO felel érte CIO felel érte Összes kritikus folyamatra kiterjed IT folyamatokra és eszközökre főleg Folyamati tesztelés Technikai tesztelés Évente-kétévente tesztelendő Évente tesztelendő 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 27
IT KATASZTRÓFATERVEZÉS Megelőzési terv (felkészülés): Hatáselemzés: milyen esemény, milyen mértékű, milyen hatás Kockázatelemzés: bekövetkezési valószínűség és hatás együttes vizsgálata Megelőzés: adatmentés, biztonságos helyen, pótgépek, bekövetkezés valószínűségének csökkentése Informatikai Katasztrófaterv (DRP - Disaster Recovery Plan) 1. Követelmények 2. Katasztrófaterv akciótervei a) Visszaállítási terv: szolgáltatásokat a háttér felhasználásával újra kell indítani (esetleg korlátozottan) b) Helyreállítási terv: a szolgáltatásokat az eredeti helyen kell újraindítani (teljes értékűen) ÉVENTE TESZTELENDŐ! 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 28
Köszönöm a figyelmet! 2016-17 I. FÉLÉV DR. DANYI PÁL - INFORMÁCIÓMENEDZSMENT 29