2014.tanév Dr. Beinschróth József

Kríziskezelés

- Informatikai krízishelyzetek kezelése 3.rész 2013/2014.tanév Dr. Beinschróth József

Tartalom Alapfogalmak, alapvetések Fizikai biztonság Logikai biztonság Szervezet-szervezési biztonság, az életciklushoz kapcsolódó biztonsági kérdések A működésfolytonosság alapvető kérdései A működésfolytonosság tervezése A működésfolytonosság fenntartása Kríziskezelés az ITIL-ben Kríziskezelés a COBIT-ban Kríziskezelés az ISO ajánlásokban Esettanulmány feldolgozás 2

Dr. Beinschróth József: Kríziskezelés

A szabványosítás szükségessége – a bevált gyakorlatok alkalmazása A bevált gyakorlatokat szabványok rögzítik.

• A szervezet • elvárásai • (Milyen • legyen az informatika?) •

Minőségi Átlátható Költséghatékony Értékteremtő Szolgáltatás-orientált szemléletű

Az informatikai szolgáltatások összegyűjtése, rendszerezése, újragondolása, újraélelmezése ill. a jövőben végzendő szolgáltatások rögzítése, szolgáltatási katalógusba foglalása.

The IT is the Business – The business is the IT. 3


Releváns szabványok ITIL • ITIL (IT Infrastucture Library): Angol kormányzati kezdeményezésre és támogatással született (1991). A CCTA (Central Computer and Telecommunication Agency - Központi Számítástechnikai és Távközlési Ügynökség) támogatásával elindítottak egy programot, amely egységes szerkezetben dokumentálja az informatikai üzemeltetés jó és sikeres/bevált gyakorlatát (best practice). • Ez a dokumentáció sorozat az ITIL, amely azóta „de facto”nemzetközi szabvánnyá vált. • A megoldás a szabályozásokon és a megfelelő technológia alkalmazásán túlmenően a szervezeti kultúra változtatása, fejlesztése. • Az ITIL a minőségi informatikaszolgáltatás nemzetközi szinten bevált gyakorlatát írja le, amelyet az ügyfeleknek igényelni, a szolgáltatóknak pedig biztosítani kellene … • Aktuális változat: ITILv3

4

COBIT • Control Objectives for IT and Releated Systems • ISACA (www.isaca.com, www.isaca.hu) • Információ rendszerek átvilágítási/auditálási szempontjai • A COBIT az IT szabványok, módszerek, élenjáró gyakorlatok egységes rendszerbe foglalt módszertani eszköze • Aktuális változat: COBIT 5 (2012.)

ISO szabványok • ISO - International Organization for Standardization (Nemzetközi Szabványügyi Szervezet) • Nagyon sok szabvány • Kríziskezelés szempontjából relevánsak: • ISO 27001 • ISO 27005 • ISO 27031 • ISO 27035 • ISO 22301


Kríziskezelés az ITIL-ben

5


Az informatika tevékenységei – ITIL szemlélettel Felhasználó

Ügyfél

Megrendelő

Incidens

SLA Szolgáltatási szintek

Konfigurációk és események

Problémák

Kiadások

Incidensek

Bejelentések

Folytonosság

Rendelkezésreállás

Változtatások

Napi, heti szintű reaktív „tűzoltás”

Hangsúlyeltolódás

Kapacitások és teljesítmények

Költségek és árak

Havi, éves szintű proaktív „tűzmegelőzés”

forrás: IQSOFT – Jhon Bryce oktatóközpont: ITIL Foundation Certification 6


Az ITILv2 szerkezete Planing to implement Service Management

B U S I N E S S

Service Support ICT Infrastructure Management

The Business Perspective Service Delivery

Security Management Application Management

7

T E C H N O L O G Y

Software Asset Management


Az ITIL szerkezete (ITILv2): 11 folyamat két fő folyamatcsoportban Szolgáltatás támogatás Ügyfélszolgálat (Szervezeti egység: Service Desk) Incidenskezelé s (Incident Management) Problémakezel és (Problem Management) Változáskezelé s (Change Management) Konfigurációke zelés (Configuration Management) Kiadáskezelés (Relase Management)

8

A felhasználók számára szükség esetén azonnali segítséget nyújtó szervezete és elérhetőségét lehetővé tevő kommunikációs csatorna A működési zavarok, hibák lehető legrövidebb időn belül történő elhárítása előre definiált sémák alapján. A működési zavarok, hibák okainak felderítése és elhárításukhoz sémák kialakítása, a működési zavarok ismételt előfordulásának megakadályozása A változások befogadása anélkül, hogy az negatív hatással lenne a működésre. Az összes informatikai (üzemeltetési) komponens rögzítése és felügyelete Döntés egy-egy új kiadási egység használatba vételéről, a használatba vétel kezdeményezéséről, indokoltságáról. A használatba vételt megelőző tesztelés és a használatba vétel konkrét lépéseinek és ütemezésének meghatározása

Szolgáltatás biztosítás Szolgáltatásszint biztosítás (Service Level Management - SLM) Rendelkezésre állás biztosítás (Availability Management - AM)

Az informatikai rendszer üzemeltetésének minőségét meghatározó megállapodás Az elvárt rendelkezésre állás eléréséhez szükséges preventív intézkedések a technológia, a szervezet és az irányítás területén. Informatikaszolgáltatás- Az esetleges katasztrófák következtében folytonosságbiztosítás (IT bekövetkező kiesések utáni visszaállás Service Continuity a normál szolgáltatásra reaktív Management - ITSCM) intézkedések alkalmazásával Kapacitásbiztosítás A várható kapacitás igények, terhelések (Capacity Management - felmérése, ezek összevetése a jelenlegi CM kapacitásokkal, hosszú távon elegendő informatikai kapacitások biztosítása Informatikaszolgáltatás Az igényeknek megfelelő technikai pénzügyi irányítása színvonal és szolgáltatási minőség (Financial Management elfogadható szintű költségek mellett. FM) Számviteli rend, ami hitelesen tükrözi a szervezet számára az informatikára fordított költségeket, azok megoszlását


Az ITILv3 szemlélete

ITILv3 ITILv2

9

Megőrizte, de kiegészítette a folyamatokat, az ITILv2 folyamatai a v3-nak is részét képezik Szolgáltatás-életciklus modell: részletesen tárgyalja az IT szolgáltatások tervezését, bevezetését, üzemeltetését és folyamatos fejlesztését is. Dr. Beinschróth József: Kríziskezelés

Az ITILv3 szerkezete •Piac figyelés •Kínálat fejlesztés •A stratégiai erőforrások fejlesztése •Felkészülés a végrehajtásra •Pénzügyi irányítás •Megtérülés (ROI - Return of Investment) •Szolgáltatáskatalógus mgmt •Követelés mgmt (beszállítók) •Esemény mgmt •Incidens mgmt •Probléma mgmt •Igény mgmt •Hozzáférés mgmt •Üzleti igények •Fejlesztés a PDCA ciklus alapján •Riportálás •Mérés •Megtérülés (ROI – Return of Investment)

10

Szolgáltatás tervezés

•Szolgáltatás katalógus mgmt •Kapacitáskezelés •Rendelkezésre állás biztosítás • Informatika szolgáltatás folytonosság biztosítás •IT biztonság mgmt •Beszállító menedzsment •Szolgáltatásszint biztosítás

IT stratégia

Szolgáltatás működtetés

Szolgáltatás bevezetés

Folyamatos szolgáltatás fejlesztés

•Bevezetés tervezés és támogatás •Változáskezelés •Erőforrás és konfiguráció kezelés •Kiadáskezelés •Tesztelés •Kiértékelés •Tudásmenedzsment


Kríziskezelés szempontjából releváns ITIL összetevők

11

Incidens menedzsment

Probléma menedzsment

Rendelkezésre állás menedzsment

Informatikaszol gáltatásfolytonosság biztosítás Dr. Beinschróth József: Kríziskezelés

Incidens és problémakezelés

Incidenskezelés (Incident Management)

A működési zavarok, hibák lehető legrövidebb időn belül történő elhárítása előre definiált sémák alapján. Reaktív megközelítés

12

Problémakezelés (Problem Management) A működési zavarok, hibák okainak felderítése és elhárításukhoz sémák kialakítása, a működési zavarok ismételt előfordulásának megakadályozása Proaktív megközelítés


Az incidenskezelés végső célja a működési folyamatok védelme

A hibáknak minimális negatív hatása legyen a működési folyamatokra Incidens kezelés

„As quickly as possible” –amilyen gyorsan csak lehetséges Visszaállítás (helyreállítás) Normál működési feltételek elérése mielőbb A normál szolgáltatás lehető leggyorsabb helyreállítása (service restoration), és az üzleti folyamatokra gyakorolt káros hatás minimalizálása, így biztosítva a lehető legjobb szintű szolgáltatást (service level) és hogy a szolgáltatás rendelkezésre állása (service availability) megfeleljen az ügyfél követelményeinek. (SLA) Reaktív megközelítés

13


Mi az incidens? Incidens

bármely olyan esemény, amely nem része a szolgáltatás szokásos működésének, és amely a szolgáltatást megszakítja, illetve megszakíthatja, vagy – minőségét csökkenti, ill. csökkentheti „Any event which is not part of the standard operation of a service and which causes, or may cause, an interruption to, or a reduction in, the quality of that service.” Incidensek Nem incidens: Változáskérések (Change Hibabejelentések (Failure/Error Reports) Requests) –Kis hatású, kockázatmentes – Hardveres meghibásodások változtatások – Szoftveres meghibásodások – Készülékek áthelyezési igénye (pl. – Hálózati meghibásodások áthelyezés) – Teljesítménnyel kapcsolatos gondok – Standard (típus-) változtatások (pl. új Szolgáltatáskérések (Service Requests) belépő) – Támogatás kérése -> nem igényel változtatást – Információkérés (pl. dokumentáció) – Tanács kérése (Hogyan csináljam …?) – Jelszóvisszaállítás (password reset), -változtatások – Fogyóanyagok igénylése (pl. toner, festékkazetta) – Szolgáltatáskiterjesztési igények (pl. hivatalos időn kívüli munkavégzés)

! 14


Az incidenskezelés folyamata

t 15


Az incidenskezelés összetevői Incidens

Bemenet Incidensek (felhasználók, üzemeltetés…) CMDB Tudásbázis (ismert hibák, problémák…) Kimenet Megoldott incidens Változáskérés (RFC) Tudásbázis Tájékoztatás a felhasználónak Tájékoztatás a managementnek

16

Tevékenységek Incidens azonosítás és rögzítés, kezdeti támogatás, gazdaszerep Osztályozás, priorizálás (hatás, sürgősség), eszkaláció Hibakeresés és megoldás Incidens státusz követés, tájékoztatás Lezárás Szerepek Incidens manager Első, második és harmadik vonalbeli csoportok (belső és külső szakértő csoportok) Dr. Beinschróth József: Kríziskezelés

Az incidensek formalizált kezelése szükséges

Kategóriák

Alkalmazás

Infrastruktúra

Leállás Nem elérhető Fizikai hiba Nyomtatáshoz kapcsolódó hibák Nem elégséges konfiguráció, jogosultság …

Szolgáltatás igénylés

Információkérés (pl. dokumentáció, tanács stb.) Elfelejtett jelszó …

Eszkaláció 17

Nem elérhető Nem elfogadható válaszidő Hibaüzenet …

Státusz

Új (rögzített) Elfogadott Megoldás beütemezett Szakértőhöz delegálva A megoldás folyamatban Felfüggesztve Megoldott Lezárt

Előre definiált, formalizált, automatizált eszkalációs utak Hierarchikus és funkcionális eszkalációs utak is létezhetnek ( akár együtt is) Dr. Beinschróth József: Kríziskezelés

Az incidens menedzsment előnyei és problémái Pozitívumok • Az incidensek okozta negatív hatások csökkenése (kevesebb incidens, rövidebb kiesési idő) • Nincsenek kezeletlen incidensek, a bejelentők követhetik az incidenst • Az incidensek kezelése megfelel kritikusságuknak • Az erőforrások (pl. informatikai személyzet) optimális felhasználása • Elemzések, preventív intézkedések lehetősége

18

Nyitott, kezelést igénylő kérdések • Az incidens megoldásáig eltelt idő növekedhet (adminisztráció) • A felhasználók és megoldók közötti személyes kapcsolat csökken • Szabályozottan működő informatikai szervezet • Informatikai támogatottság • A felhasználók törekvése a közvetlen megkeresésekre


Az problémakezelés célja a működési folyamatok védelme

A hibáknak minimális negatív hatása legyen a működési folyamatokra Probléma kezelés

Az informatikai infrastruktúrán belüli hibák ismételt előfordulásának megakadályozása vagy az előfordulás gyakoriságának csökkenetése Az incidensek kiváltó okának megkeresése és azoknak a tevékenységeknek a kezdeményezése, amely a pozitív változásokat előidézi Döntően proaktív megközelítés

19


Mi a probléma? (problem) abban az esetben beszélünk, amikor egy vagy több incidens kiváltó oka (root cause) még nem ismert. (Nem az incides válik problémává, hanem az incidensek bekövetkezése miatt jelenik meg a probléma, amit meg kell oldani.)

Problémáról

„The

goal of Problem Management is to minimise the adverse impact of Incidents and Problems on the business that are caused by errors within the IT Infrastructure, and to prevent recurrence of Incidents related to these errors. In order to achieve this goal, Problem Management seeks to get to the root cause of Incidents and then initiate actions to improve or correct the situation.”

„The

Problem Management process has both reactive and proactive aspects. The reactive aspect is concerned with solving Problems in response to one or more Incidents. Proactive Problem Management is concerned with identifying and solving Problems and Known Errors before Incidents occur in the first place.”

20


A problémakezelés összetevői Probléma

Bemenet Az incidensek részletei (az incidenskezeléstől) CMDB Megkerülő megoldások (az incidenskezeléstől) Tevékenységek Problémakontroll, külön figyelemmel a jelentős problémákra Hibakontroll Problémák megelőzése Trendek meghatározása Információszolgáltatás a managementnek

21

Kimenet Ismert hibák Változáskérés (RFC) Aktualizált problémarekord (végső vagy megkerülő megoldás) Lezárt problémarekord (megoldott probléma esetén) Az incidensek és ismert hibák eredményének összevetése a problémák nyilvántartásával)


A problémák formalizált kezelése szükséges Problémakontroll

Hibakontroll

Trendek vizsgálatának feltételei Jelentős problémák 22

A probléma rögzítése és azonosítása Osztályozása Vizsgálata Diagnózisa A hibák azonosítása és rögzítése A hibák értékelés és a megoldás meghatározása Lezárás A problémákra és az ismert hibákra vonatkozó előrehaladás követése

Adatok rögzítése Adatok ellenőrzése és karbantartása Képzett személyzet, eszközök Adattár – ismert hibák (KEBD) A jelentős problémák megoldása után – lessons learned!

Proaktív szemlélet

Trendelemzés Incidensek – száma – Időtartama – Érintettek száma – Pénzügyi vonzatok –…

Célzott támogató tevékenységek Információszolgáltatás

Mit csináltunk jól/rosszul? Hogyan lehet legközelebb jobban? Hogyan akadályozható meg az ismétlődés? Dr. Beinschróth József: Kríziskezelés

A probléma menedzsment előnyei és problémái Pozitívumok • Az informatikaszolgáltatás minőségének javulása, megbízhatóságának növekedése • Az incidensek számának csökkenése • A súlyos incidensek megelőzése • Tartós ill. végleges megoldások • Felhasználói elégedettség növekedés

23

Nyitott, kezelést igénylő kérdések • A felhasználók törekvése a problémamegoldó csoport közvetlen elérésére • Informatikai támogatottság • Elkötelezett személyzet


Rendelkezésre állás menedzsment és informatikaszolgáltatás-folytonosság biztosítás

Rendelkezésre állás menedzsment (Availability Management ) A szolgáltatásokra, infrastruktúrára vonatkozó rendelkezésre állási célok elérését támogatja az üzleti célok elérésében. Elsősorban proaktív megközelítés

24

Informatikaszolgáltatásfolytonosság biztosítás (Service Continuity Management) Az informatikaszolgáltatás, infrastruktúra üzleti igényeknek megfelelő, elfogadott időn belül történő visszaállítása. Elsősorban reaktív megközelítés


A rendelkezésre állás menedzsment fogalmai és mérőszámai Rendelkezésre állás (availability)

• Az informatikai elem vagy szolgáltatás egy adott időpontban vagy időintervallumban normál működésre kész állapotát jelenti.

Megbízhatóság (reliability)

• Hibatűrő képesség • A komponensek minősége és a redundancia határozza meg

Karbantarthatóság (maintainability)

• Az informatikai elemek működőképes állapotban tartását és ebbe az állapotba történő visszaállítását jellemzi • Több összetevő határozza meg: meghibásodások megelőzése, hibadetektálás, diagnosztizálás, hibaelhárítás, hibás komponens helyreállítása, adatok és szolgáltatások visszaállítása, megelőző karbantartási munkák.

Szervizelhetőség (serviceability)

• Külső fél által biztosított szolgáltatásokra vonatkozó, szerződés keretén belül biztosított rendelkezésre állási, megbízhatósági és karbantarthatósági jellemzők.

25


Példák 7X24 órás működés Mérési periódus: 5020 óra (kb. 1 hónap) Kiesések: 6 óra ill. 14 óra (2 kiesés)

26


A rendelkezésre állás menedzsment tevékenységei

27

Reaktív

• • • •

Monitorozás Mérés Analízis Riportálás

Proaktív

• Kockázatelemzés és kezelés • A rendelkezésre állási követelmények figyelembe vétele a tervezés során


A rendelkezésre állás menedzsment előnyei és problémái Pozitívumok • Kevesebb és rövidebb kiesés • Gyorsabb visszaállítás • Kisebb jelentőségű negatív következmények • Tervezhető és kontrollálható kiadások

28

Nyitott, kezelést igénylő kérdések • A kiadások indoklása a top menedzsment felé • A konkrét rendelkezésre állási igények meghatározása • Kapcsolódások további ITIL folyamatokhoz • Adatgyűjtés és feldolgozás informatikai támogatottsága • Az informatikai komponensek dependenciáinak figyelembe vétele • Külső szolgáltatóktól való függés (Mit hajlandók vállalni ill. milyen garanciákat adnak?)


Az informatikaszolgáltatás-folytonosság biztosítás fogalmai Tartalék elrendezés (stand-by arrangement) – az üzletmenet megszakadása esetén a használhatatlanná vált elsődleges eszközök helyettesítésére szolgáló tartalék eszközöket tartalmazó létesítmény vagy megoldás (háttér). Tipikusan az eszközök és a személyzet elhelyezésére szolgáló helyiségeket, informatikai és telekommunikációs rendszereket, hálózatokat és esetleg megfelelően képzett embereket jelent. Reciprok (kölcsönös) elrendezés: túlhaladott

Tartalék változatok

29

• Hideg (üres helyiség + infrastruktúra) • Meleg (nem minden rendszer) • Forró (minden rendszer) • Katasztrófa tűrő (minden rendszer (sebezhetőségi ablak=0))


Az informatikaszolgáltatás-folytonosság tevékenységei Kezdeti fázis Az üzleti követelményeknek megfelelő magas szintű szabályozás kidolgozása Felelősségi körök Kockázatelemzés terjedelme Erőforrások (pénzügyi, humán) Projektterv, projektszervezet

30

Követelmények meghatározása és stratégia kidolgozása Az üzleti hatáselemzés: a kritikus szolgáltatások meghatározása (veszteségek, elmaradt bevétel, járulékos kiadások, az ügyfelek bizalmának elvesztése) Kockázatelemezés Visszaállítási lehetőségek, helyettesítő tevékenységek meghatározása

Megvalósítás A magas szintű szabályozás lebontása konkrét tervekre •Szervezeti egységek •Üzleti területek •Személyek •… Ellentmondások feloldása Dependenciák Személyi felelősök Oktatások Tesztelések Jóváhagyás

Üzemeltetési feladatok Az informatikaszolgáltatásfolytonosság integrálása a mindennapi feladatok közé Tájékoztatás Oktatás Felülvizsgálatok, tesztelések Aktualizálások


Az informatikaszolgáltatás-folytonosság előnyei és problémái Pozitívumok • Kontrollált visszaállítás (tervezett, irányított, begyakorolt) • Rövidebb kiesések • Kisebb kárkövetkezmények • Átláthatóbb költségek • Deklarált szabályok: imidzs javulás

31

Nyitott, kezelést igénylő kérdések • Az informatika és az üzlet közötti kapcsolat • A top menedzsment elkötelezettsége • A pénzügyi erőforrások elégtelensége • Nem elegendő allokált idő • A felhasználók együttműködése • Tesztelések


Kríziskezelés a COBIT-ban

32


A COBIT (Control Objectives for Information and Related Technology) az ISACA szabványa

Az IT irányításra vonatkozik • ISACA (Information Systems Audit and Control Association) – konferenciák, oktatás, CISA, CISM… • Információ rendszerek átvilágítási/auditálási szempontjai – nemcsak biztonsági audit • A COBIT az IT szabványok, módszerek, élenjáró gyakorlatok egységes rendszerbe foglalt módszertani eszköze • Kontroll kialakítási irányelveket dolgoztak ki • Preventív • Detektív • Korrektív 33


A COBIT jól struktúrált, részletes szabvány Alapelv: Az információtechnológiát az üzleti célok elérése érdekében alkalmazzuk, ennek során az IT erőforrások IT folyamatokat hajtanak végre, ezek eredményei hozzájárulnak az üzleti folyamatok eléréséhez. Közben veszélyforrások keletkeznek, ezek különböző kockázatokat jelentenek. Kontrollok alkalmazásával ezek elfogadható szintre csökkenthetők.

Egy-egy szervezet különböző beosztású menedzserei más-más szempontok alapján értékelik az alkalmazott információtechnológiát. Így a felsővezetők az informatikához kapcsolódó üzleti követelményeket, az informatikai vezetők az általuk menedzselt IT erőforrásokat, a felhasználók pedig az IT folyamatokat helyezik előtérbe.

34

COBIT kocka


A COBIT központi fogalma: érettségi modell A fejlettségre vonatkozó mérőszámok előállítására használható.

Hol tartunk?

Milyen a pozíciónk a versenytársainkhoz képest?

Hová kívánunk eljutni? IRÁNYMUTATÁS

Milyen módon érhetjük el a célt?

35

Milyen a bevált iparági gyakorlat, és hol állunk ezekhez a gyakorlatokhoz képest? Hogyan érhetjük el a megfelelő irányítást és kontrollt?


Érettségi modellek – általános érettségi modell 0 - Nem létező: Egyáltalán semmilyen felismerhető folyamat sincsen. A vállalkozás még fel sem ismerte azt, hogy létezik egy olyan terület, amellyel foglalkoznia kell. 1 - Kezdeti/Ad Hoc jellegű: Vannak jelek arra vonatkozóan, hogy a vállalkozás felismerte, hogy létezik egy olyan terület, amellyel foglakoznia kell. Azonban nincsenek szabványosított folyamatok, helyettük ad hoc jellegű megoldásokat alkalmaznak, egyedileg, illetve eseti alapon. Az általános vezetési módszer rendszertelen. 2 - Ismétlődő, de ösztönös: A folyamatok eljutottak arra a szintre, amikor hasonló eljárásokat követnek a különböző, azonos feladatokat végző emberek. A szabványos eljárásoknak nincsen formális oktatása, nincs rendszeres ismertetés és tájékoztatás róluk, és betartásuk az egyének felelőssége. Nagy mértékben hagyatkoznak az egyének tudására, és ezért hibák valószínűek . 3 - Szabályozott folyamat: Az eljárások szabványosítottak és dokumentáltak, a megismertetésük képzésen keresztül történik. Előírták, hogy a ezeket a folyamatokat követni kell, azonban nem valószínű, hogy az eltéréseket felismerik. Az eljárások maguk nem kifinomultak, hanem a létező gyakorlat formalizált változatai. 4 - Irányított és mérhető: A vezetés figyelemmel kíséri, és méri az eljárásoknak történő megfelelőséget, és intézkedik, amennyiben úgy tűnik, hogy a folyamatok nem működnek eredményesen. A folyamatokat állandóan javítják, és azok bevált gyakorlatot testesítenek meg. Az automatizálás, és az eszközök használata korlátozott, vagy a folyamat egyes elemeire terjed csak ki. 5 - Optimalizált: A folyamatokat tökéletesítették a bevált gyakorlat szintjéig, a folyamatos javítás és a többi vállalathoz viszonyított érettségi modellezés eredményei alapján. Az informatikát integrált módon alkalmazzák a munkafolyamat automatizálására, és eszközöket adnak a minőség, és az eredményesség javításához, mellyel a vállalkozást képessé teszik arra, hogy gyorsan alkalmazkodjék. 36


Példa: Az informatikai stratégiai tervezés érettségi modellje 0 - Nem létező: Az informatikai stratégiai tervezést nem végeznek. A vezetés nincs tudatában annak, hogy szükség van informatikai stratégiai tervezésre az üzleti célok támogatásához. 1 - Kezdeti/Ad Hoc jellegű: Az informatikai vezetés tudja, hogy szükség van informatikai stratégiai tervezésre. Az informatikai tervezést szükség esetén végzik el, válaszul egy-egy konkrét üzleti követelményre. Az informatikai stratégiai tervezést esetenként megvitatják az informatikai vezetői értekezleteken. Az üzleti követelmények, alkalmazások és a technológia összehangolása inkább utólagosan történik és nem egy szervezetet lefedő stratégia részeként. A stratégiai kockázatosságát informálisan állapítják meg projektenként külön. 2 Ismételhető, de ösztönös: Az informatikai stratégiai tervezést közösen végzik az üzleti területek vezetésével akkor, amikor arra szükség van. Az informatikai tervek aktualizálása a vezetés kérésére történik. A stratégiai döntéseket a projektek külön-külön vezérlik anélkül, hogy azok követ-kezetesen követnének egy általános szervezeti stratégiát. A jelentős stratégiai döntések kockázatait és felhasználói előnyeit ösztönösen ismerik fel. 3 Szabályozott folyamat: Irányelv határozza meg, hogy mikor és hogyan kell informatikai stratégiai tervezést végezni. Az informatikai stratégiai tervezés egy strukturált módszert követ, amely dokumentálva van, és amelyet minden munkatárs ismer. Az informatikai tervezési folyama t ésszerűen megalapozott és a helyzetnek megfelelő tervezés végrehajtását valószínűsíti. Azonban az egyes vezetők saját belátásuk szerint járhatnak el a folyamat kivitelezését illetően, és a folyamat vizsgálatára nem léteznek eljárások. Az átfogó informatikai stratégia tartalmazza a kockázat vállalási hajlandóság következetes meghatározását abban a tekintetben, hogy vajon a technológiai élenjáró, vagy a követő stratégiát választották . Az informatika pénzügyi, műszaki és humán erőforrás stratégiája egyre inkább befolyásolja az új termékek és technológiák beszerzését. A vállalati vezetői értekezleteken napirenden van az informatikai stratégiai tervezés. 4 Irányított és mérhető: Az informatikai stratégiai tervezés szabványos gyakorlat és a z anomáliákra a vezetés felfigyelne. Az informatikai stratégiai tervezés egy meghatározott vezetési funkció, amely egy felső vezetőhöz van rendelve. A vezetés figyelemmel tudja kísérni az informatikai stratégiai tervezés folyamatát, kellő információk birtokában döntések et tud hozni annak alapján, és mérni tudja eredményességét. Mind rövid távú, mind hosszú távú informatikai tervezés folyik, és az lefele végig fut a szervezeten, a aktualizálások pedig szükség szerint történnek. Az informatikai stratégia és a szervezet i stratégia egyre jobban illeszkedik annak köszönhetően, hogy foglalkozik az üzleti folyamatokkal és az érték-növelő képességekkel, valamint az alkalmazások, és technológiák használatának üzleti folyamatok átszervezésével történő kiaknázásával. A rendszerfejlesztéshez és az üzemeltetéshez szükséges belső és külső erőforrások felhasználásának meghatározását egy jól szabályozott folyamat szolgálja. 5 Optimalizált: Az informatikai stratégiai tervezés egy dokumentált élő folyamat, és az üzleti célok kitűzésekor folyamatosan figyelem be veszik azt, és olyan észlelhető üzleti értéket eredményez , amely az informatikába történő befektetésen keresztül valósul meg. A kockázati és érték-növelési szempontokat folyamatosan naprakészen tartják az informatikai stratégiai tervezési folyamat keretében. Reális, hosszú távú informatikai terveket dolgoznak ki, és azokat folyamatosan aktualizálják, hogy azok tükrözzék a változó technológiát, és az üzleti tevékenységgel kapcsolatos fejleményeket. Jól ismert és megbízható iparági no rmák alapján összehasonlító értékelést végeznek, és azt integrálják a stratégia kialakításának folyamatába. A stratégiai terv kitér arra, hogy az új technológiai fejlemények hogyan idézhetik elő új üzleti képességek kialakítását, és hogyan javíthatják a szervezet versenyelőnyét.

37


Példa érettségi modell grafikus megjelenítésére

38


A COBIT négy főterületet fed le

Tervezés és szervezés

Beszerzés és megvalósítás

Szolgáltatás és támogatás

Figyelemmel kísérés és értékelés

Az egyes főterületeken belül folyamatok lettek meghatározva 39


A COBIT főterületei (1)

Tervezés és szervezés fejezetei

40

• • • • • • • • • •

Informatikai stratégiai terv meghatározása Információ-architektúra meghatározása Technológiai irány kijelölése Informatikai folyamatok, szervezet és kapcsolatok meghatározása Informatikai beruházások irányítása Tájékozódás a vezetői célokról és irányokról Informatikai humán emberi erőforrások kezelése Minőségirányítás Informatikai kockázatok felmérése és kezelése A projektek irányítása



Beszerzés és megvalósítás fejezetei

41

• Automatizált megoldások meghatározása • Alkalmazási szoftverek beszerzése és karbantartása • A technológiai infrastruktúra beszerzése és karbantartása • Az üzemeltetés és a használat támogatása • Az informatikai erőforrások beszerzése • A változtatások kezelése • A megoldások és változtatások üzembe helyezése és bevizsgálása



Szolgáltatás és támogatás fejezetei

42

• • • • • • • • • • • • • • •

Szolgáltatási szintek meghatározása és betartása Külső szolgáltatások igénybevételének irányítása Teljesítmény- és kapacitás kezelés A szolgáltatás folyamatosságának biztosítása A rendszerek biztonságának megvalósítása A költségek azonosítása és felosztása A felhasználók oktatása és képzése A rendkívüli események kezelése és a felhasználói támogatás működtetése Informatikai felhasználók segítése Konfigurációkezelés Problémakezelés Az adatok kezelése A fizikai környezet biztosítása Létesítmény kezelése Az üzemeltetés irányítása



Figyelemmel kísérés és értékelés fejezetei

43

• Az informatika teljesítményének figyelemmel kísérése és értékelése • A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése • Külső követelményeknek való megfelelőség biztosítása • Az informatikai irányítás megteremtése


Kríziskezelés szempontjából releváns COBIT összetevők

A szolgáltatás folyamatosságának biztosítása

44

A rendkívüli események kezelése és a felhasználói támogatás működtetése


A szolgáltatás folyamatosságának biztosítása ? Folyamat leírás: „A folyamatos informatikai szolgáltatások biztosításához szükséges az informatikai működésfolyamatossági tervek kidolgozása, naprakészen tartása és tesztelése, a telephelyen kívüli tartalék telephelyen történő tárolás alkalmazását es időszakos működésfolyamatossági tervre vonatkozó képzések tartását. Egy eredményes folyamatos szolgáltatási folyamat minimalizálja annak a valószínűségét és hatását, hogy a kulcsfontosságú üzleti funkciókra es folyamatokra jelentős informatikai üzemszünet következzék be.” Kontroll célkitűzések léteznek a következő kategóriákban: Informatikai működésfolyamatossági keretrendszer Informatikai működésfolyamatossági tervek Létfontosságú informatikai erőforrások Informatikai működésfolyamatossági terv naprakészen tartása Informatikai működésfolyamatossági terv tesztelése Informatikai működésfolyamatossági terv oktatása Informatikai működésfolyamatossági terv terjesztése Informatikai szolgáltatások helyreállítása és folytatása Mentések és tartalékeszközök telephelyen kívüli tárolása Helyreállítás utáni felülvizsgálat 45


A szolgáltatás folyamatosságának biztosítása - érettségi modell (1)

46



47



48


A szolgáltatás folyamatosságának biztosítása - RACI mátrix

Responsible, Accountable, Consulted, Informed

49


A rendkívüli események kezelése és a felhasználói támogatás működtetése? Folyamat leírás: „Az informatikai felhasználók kéréseire és problémáira időben és eredményesen történő válaszadás megkövetel egy jól megtervezett és egy jól működtetett felhasználói támogatást, és egy rendkívüli esemény kezelési folyamatot. Ez a folyamat kiterjed olyan felhasználói támogatás funkció létrehozására, mely nyilvántartást végez, a rendkívüli eseményeket eszkalálja, trend és a problémák gyökerének feltárására elemzést végez és megoldja a bejelentéseket. Az üzleti hasznok közé tartozik a termelékenység fokozása a felhasználói kérések gyors megoldásával. Ezen túlmenően az üzleti területek foglalkozni tudnak a problémák gyökerével (például a szegényes felhasználói képzéssel) az eredményes jelentések segítségével. Kontroll célkitűzések léteznek a következő kategóriákban: Felhasználói támogatás A felhasználói kérdések nyilvántartása Rendkívüli események eszkalációja Rendkívüli események lezárása Jelentéskészítés és trendelemzés

50


A rendkívüli események kezelése és a felhasználói támogatás működtetése – érettségi modell (1)

51



52



53


A rendkívüli események kezelése és a felhasználói támogatás működtetése – RACI mátrix

Responsible, Accountable, Consulted, Informed

54


Kríziskezelés az ISO szabványokban

55


A kríziskezelés szempontjából releváns ISO szabványok

ISO 27001

ISO 27005

ISO 27035 56

ISO 27031

ISO 22301 Dr. Beinschróth József: Kríziskezelés

Információbiztonság – ISO 27001 szabvány RENDSZER! - ISMS: Information Security Management System (IBIR)

• • • • Az MSZ • ISO/IEC • 27001 • tartalma • • • • •

57

Kockázatfelmérés és kockázatjavítás Biztonságpolitika Az információbiztonság szervezete Vagyontárgyak kezelése Emberi erőforrások biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés irányítása Hozzáférés ellenőrzés Információs rendszerek beszerzése, fejlesztése és karbantartása Az információbiztonsági incidensek kezelése A működés folytonosságának irányítása A működés folytonosságának irányítása


Kríziskezelés szempontjából releváns összetevői az ISO 27001-ben

Az információbiztonsági incidensek kezelése

A működés folytonosságának irányítása

58

• HelpDesk biztosítása és szabályozott jelentési folyamat • Az incidensek kezelése • Tanulás az információbiztonsági incidensekből • Bizonyítékok gyűjtése

• A működésfolytonosság fenntartásának szempontjai • A kockázatok felmérése • Működésfolytonossági tervek (BCP, DRP) készítése és bevezetése • Működésfolytonossági tervek tesztelése, értékelése • A működésfolytonossági tervek karbantartása, felülvizsgálata, oktatása, tárolása, tesztelése


A szabvány 13. fejezetének bevezető sorai

… 59


A szabvány 14. fejezetének bevezető sorai

…

60


Kockázatkezelés – ISO 27005 szabvány A prezentáció elérhetősége:

www.hetpecset.hu

Rendezvényeink

"Információvédelem menedzselése LII. Szakmai fórum"

Információbiztonsági kockázatmenedzsment- ISO/IEC 27005 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató

61


ICT készültség működésfolytonossághoz – ISO 27031 szabvány A prezentáció elérhetősége:

www.hetpecset.hu

Rendezvényeink

"Információvédelem menedzselése LIV. Szakmai fórum"

Üzletmenet-folytonosság (Readiness for Business Continuity) - ISO/IEC 27031 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató ISO/IEC 27031: Információtechnológia – Biztonságtechnikák – Útmutató információs és kommunikációs technológia készültségre működésfolytonossághoz (technológiai szemléletű szabvány)

62


Incidenskezelés – ISO 27035 szabvány A prezentáció elérhetősége:

www.hetpecset.hu

Rendezvényeink

"Információvédelem menedzselése LIII. Szakmai fórum"

Incidenskezelés - ISO/IEC 27035 Móricz Pál (Szenzor Gazdaságmérnöki Kft.) ügyvezető igazgató

63


ISO 22301: Nemzetközi BCM szabvány (Elődje: BS 25999) A BS 25999-1 nemzetközi szabvány, amely a BCM rendszer teljeskörűségét hivatott megteremteni. BS: British Standard - BSI: British Standards Institution

ISO 22301: BCMS – Business Continuity Management System (BCMS) A BS 25999-2-re épül

64


ISO 22301 szerkezete Fejezet (Clause) 1-3

65

Tartalom Alkalmazási terület, hivatkozások, szakkifejezések, rövidítések

4

A szervezeti követelmények meghatározása

5

A felsővezetés elkötelezettsége

6

Célok és kockázatok

7

Szükséges erőforrások, kompetenciák, kommunikáció, dokumentáció

8

A rendszer működtetése (incidensek, visszaállítások, tesztek…)

9

Performancia (célok, mutatók, kiértékelés…)

10

Folyamatos fejlesztés Dr. Beinschróth József: Kríziskezelés

Az ISO 22301-hez tartozó elérhető webinar anyagok

https://bsiedge.bsi-global.com/introducingiso22301-brief/ https://bsiedge.bsi-global.com/introducingiso22301-detailed/ http://www.brighttalk.com/webcast/1476/48275 https://bsiedge.bsi-global.com/bs25000020910

66


Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése (http://www.controll-it.de) (1)

Forrás: http://www.controll-it.de 67



1. A BCM elindítása

• A BCM project kiemelkedően fontos része a bevezető szakasz (initiation). Ebben a szakaszban a cél, hogy meggyőzzük a vezetőséget (management) a project szükségességéről, meghatározzuk a célokat és a költségeket. • Célok • Felsővezetői támogatás biztosítása • A keretrendszer, a projekt célok és a sikerességet befolyásoló tényezők meghatározása • A project szervezetének meghatározása és az ellenőrző hatóságok kijelölése • Eredmények • Várható projekt költségek • Befejezett project terv minden résztvevő felé közzétéve • Megválasztott BCM koordinátor, tisztázott szerepkörrel • Megválasztott projekt csapat • A vezetőség által aláírt BCM Policy • Bevezetett minőségbiztosítási mérők számok (KPI) • Kialakított egységes definíció – és jelentésrendszer • Tisztázott szerepek és felelőségkörök Forrás: http://www.controll-it.de

68



2. Elemzés és stratégia (üzleti hatáselemzés, kockázatelemzés, működésfolytonossági stratégia)

• Célok • A bevezető szakaszban megállapított prioritásokkal összhangban a vállalat legfőbb működési elveinek elfogadása • Az üzleti folyamatok és a rendelkezésre álló erőforrások összefüggéseinek meghatározása • Az üzleti folyamatban beálló zavar, leállás, vagy annak teljes elvesztésének hatásvizsgálata • A maximális (meg) állásidő ismeretében az elengedhetetlen erőforrás szükséglet meghatározása • A kockázatcsökkentő lépések meghatározása • A folyamat, ill. funkció helyreállítási lehetőségek meghatározása • A vállalat számára még tolerálható kockázati szint meghatározása • Eredmények • Dokumentált kritikus üzleti folyamatok és azok összefüggései (BPM Business Process Map) • Azonosított kritikus erőforrások • Hatásvizsgálattal egybekötött veszteséglista • Dokumentált követelmények minden kritikus folyamat és erőforrás esetében • A fenti követelményektől való bármilyen eltérés listája • Kockázatcsökkentő tényezők listája, prioritással és költségekkel • Dokumentált folyamat, ill. funkció helyreállítási lehetőségek a BIA eredményei alapján. (Active/Backup, Active/Active, Alternate Site) • Vezetőség által jóváhagyott és aláírt BCM stratégia

Forrás: http://www.controll-it.de

69



3. Megvalósítás (szervezeti struktúra, kockázatkezelés, prevenció)

• Célok • A SO meghatározása (shadow organization, katasztrófa kezelő szervezet) • Az eszkalációs folyamat meghatározása • Válságközpont létrehozása • BCM folyamatok meghatározása • A BCM és más üzleti folyamtok közötti kapcsolatok meghatározása (control circuits) • Kockázat csökkentése a meghatározott lépések megvalósításával • Vészhelyzeti erőforrások meghatározása • Eredmények • Az SO létrejött, szerepek és funkciók tisztázásra kerültek • Az eszkalációs folyamat kidolgozásra és közzétételre sor került • A válságközpont létrejött • Dokumentált és közzétett BCM management folyamatok • Dokumentált és összehangolt kapcsolatok • Megszüntetett szervezeti hiányosságok • Megszüntetett infrastrukturális hiányosságok • Szerkezetileg és mennyiségileg meghatározott alternatív erőforrások




4. Tervezés (katasztrófa tervek. reaktív)

71

• Célok • Egy, minden terv számára közös struktúra megalkotása • Az üzlet- helyreállítási, infrastruktúrális és krízis kommunikáció területei közötti kapcsolat meghatározása • A tervek egymástól való függőségi viszonyának leírása • Incidens esetén a reakcióidő menedzselése • A megoldások és alternatív eljárások leírása • A megoldásokhoz szükséges ezközök beszerzése • Folyamatok újraindítási forgatókönyvének meghatározása • Folyamatossági kézikönyv kidolgozása forgatókönyv és a szervezeti egység alapján • Különböző alkalmazások (IT, vagy más szolgáltatások) számára az újraindulási folyamatok fejlesztése és dokumentációja • A végrehajtott óvintézkedések és források dokumentálása és ellenőrzése (pl. backup eljárások) • A címzettek névsora tisztázott (akit tájékoztatni kell) • A kommunikációs célok meghatározása (tájékoztatás, útmutatás ...) • A kommunikációs media meghatározása (telefon, fax, email, riasztó rendszerek ...) • A kommunikációs folyamatok meghatározása • Eredmények • Egy, minden tervben meghatározott és koordinált közös struktúra • A tervek egymáshoz való viszonya, és kapcsolata rögzített • Forgatókönyvben meghatározott mérföldkövek • Kijelölt megoldások • Űrlapok és egyéb források rendelkezésre állnak • Az újraindulási folyamatok le vannak írva • A szervezeti egység és a forgatóköny alapján a folytonossági terv elkészült • Elkészült az infrastruktúra- helyreállítási terv, amely minden, a helyreállításhoz szükséges feladatot tartalmaz • Az infrastruktúra- helyreállítási terv rendszeres frissítéséhez szükséges kézi vagy automatikus folyamatok meg lettek határozva • A kommunikációs terv létrejött az előre meghatározott forgatókönyvek alapján Forrás: http://www.controll-it.de • A címzettek és az egyéni kommunikáció céljai rögzítettek • Közlemények tartalma el van készítve (sajtóközlemények, formák ...) • A kommunikációs media és a kommunikációs folyamatok meghatározottak és nyilvánosak Dr. Beinschróth József: Kríziskezelés

Esettanulmány: Konkrét BCM készítési és működtetési módszertan áttekintése (http://www.controll-it.de) (6) • Célok/Eredmények

5. Tesztelési stratégia

• Teljesség - minden terv létezik? • Függőségek – Működik a kapcsolat a különböző tervek és területek között? • Kommunikáció – kommunikációs problémák (pl. a hiányzó mérföldkövek)? • Schedule – betartottuk a határidőt? • A megoldások, eljárások és a megoldási eszközök ellenőrzése • Az újraindulási folyamatok forgatókönyvi tesztje • Az értesítési eljárások tesztelése • Az alternatív munkahely felállásának tesztelése • A megoldások, eljárások és a megoldási eszközök ellenőrzése • Az újraindulási folyamatok forgatókönyvi tesztje • Az értesítési eljárások tesztelése • Az alternatív munkahely felállásának tesztelése • A dokumentált helyreállítási folyamatok forgatókönyvi tesztje • Vizsgálat a végrehajtott óvintézkedések és források vizsgálata • Az összes címzettet sikerült elérni? • A meghatározott célok egyértelműek az összes érintett fél számára? • Minden használt kommunikációs média megfelelő funkciót lát el? • A kommunikációs folyamat működik?

Forrás: http://www.controll-it.de

72



• Mielőtt a BCM projekt a napi működést megkezdhetné, egy első "kezdeti tesztet" kell végezni. A kiválasztott vizsgálati stratégia (forgatókönyv tesztelés, megoldás-tesztelés, alternatív helyszín tesztelése , kommunikációs tesztek) határozza meg a tesztskálát. • Fontos a kezdeti teszt esetében, hogy a tervezési tevékenységeket a vizsgálat/teszt alapján végezzük

6. Kezdeti teszt

• Meghatározott vizsgálati célok • Tervezett előkészületek • Tervezett teszt kivitelezése • Tervezett vizsgálati elemzés és értékelés • Az kezdeti teszt célját gondosan kell megfogalmazni, hogy sikeres lehessen • Számítani kell arra, hogy a kezdeti vizsgálatot a management figyelemmel kíséri • Fontos hangsúlyozni, ha a problémák merülnének fel - hogy éppen ezek miatt a végezzük a vizsgálatot • Tanulságok - a vizsgálat során felmerülő problémákat elemezni kell, az eredményeket figyelembe kell venni a tervezés során




• Miután a BCM projekt befejeződött szükség van annak biztosítására, hogy a folyamatot fenntartsuk az üzlet mindennapi részeként. • Ez az operational management által érhető el és tartalmaznia kell a következőket

7. Működtetés

• Oktatás és tudatosság • Rendszeres felülvizsgálatok és auditok • Rendszeres vizsgálatok • A változás-kezelési folyamatnak (change management) tartalmaznia kell a BCM projektet annak biztosítására, hogy a változások tükröződnek a folytonossági tervben • Belső képzés - biztosítja, hogy a csoport tagjai rendelkeznek a szükséges kompetencia szinttel, ami elősegíti a helyreállítást



Esettanulmány: incidenskezelési szabályzat ill. sablon Feladat: a papír alapon megkapott anyag értékelése

75


Esettanulmány feldolgozás Adott egy kerületi rádió, amely az interneten keresztül szolgáltat műsort elsősorban a kerület lakói számára, naponta 6-22 óráig. Költségeit önkormányzati támogatásból és reklámbevételekből fedezi. Fő erőforrásai: stúdió, média szerver, internet kapcsolat, technikai személyzet és műsorvezetők és az önkormányzat alkalmazásában álló rendszergazda. Az erőforrások csak a szükséges mennyiségben állnak rendelkezésre, tartalékok nincsenek, a média szerverről éjszakánként szalagos mentés készül. A mentéseket az önkormányzat egy tűzbiztos páncélszekrényében tárolják. A műsorok jellemzően a médiaszerveren tárolt felvételek és élő közvetítések a stúdióból. Külső helyszíni közvetítések csak kivételesen fordulnak elő. A rádióstúdió a kerületi művelődési központ épületében található, a helyszíni szünetmentes tápláláson túlmenően helyszíni villamos energia nem áll rendelkezésre. Az internet kapcsolat redundancia nélküli, vezetékes kapcsolat. A rádió műsora egy hétre előre az önkormányzat web szerverén elérhető. Feladat: Készítsünk akciótervet egy tetszőlegesen választott veszélyforrás bekövetkezésére! (pl. médiaszerver kiesése)

76


Esettanulmány feldolgozás: egy konkrét BCP áttekintése Feladat: a papír alapon megkapott anyag értékelése

77


Esettanulmány feldolgozás: egy konkrét kockázat kezelési szabályzat áttekintése Feladat: a papír alapon megkapott anyag értékelése

78


2014.tanév Dr. Beinschróth József

Recommend Documents