Bemutatkozás
Pflanzner Sándor bcmsoftware.hu
Mai téma • GRC • Governance (irányelvek megfogalmazása) • Risk management (működtetéssel összefüggő kockázatok, pénzügyi kockázatok) • Compliance (megfelelőség az irányelveknek, auditálás)
• ERM • Enterprise risk management • Működési kockázatok • Irányelveknek nem megfelési kockázatok • Pénzügyi kockázatok
• Integrált működési kockázatkezelés
Kockázatkezelés szigetrendszerekkel • Szigetrendszerek • • • •
Folyamatok modellezése (szabályozási rendszerben) Konfiguráció-kezelő rendszer Üzletmenet folytonosság tervezés (szabályozási rendszerben) Kockázatkezelő rendszer (minden feladatra más: BASEL II., IT kockázatok, megfelelési kockázatok, stb.) • EXCEL, Word
• Hátrányai • A célrendszerek egyre specializáltabbak, bonyolultabbak – a funckiók egyre nagyobb hányadára nincs szükség • Eltérő szerkezetű adatszerkezet, a felesleges funkcionalitás miatt túl bonyolult adatmodellek kölcsönös felhasználása nehézkes
Integrált kockázatkezelés Process modelling
Business continuity
CMDB
Risk Assessment
BC BIA
PPS
Üzleti hatáselemzés
Business Impact Analysis
COBIT framework • COBIT (Controll OBjectives for IT) 5 erőforrása:
• Példa: „Hétre ma várom a Nemzetinél!”
Folyamat központú megközelítés • A folyamatközpontú megközelítés lényege, hogy minden erőforrásról eldönthető legyen, hogy a meghibásodása mekkora kárt okoz az általa támogatott folyamatok leállítása révén. (ADAPTO)
Adat központú megközelítés • Az adat központú megközelítésben megvizsgáljuk, hogy mekkora kár éri a vállalatot akkor, ha az adatainak valamelyik tulajdonsága (ezek közül kötelezően: a bizalmasság, sértetlenség, rendelkezésre állás) megsérül.
Üzleti hatáselemzés - folyamatok • Folyamatok felbontása • Teljes üzleti folyamat (E2E process) • Folyamat (Process) • Tevékenység (Activity)
• Folyamatok értékelése • Pénzügyi / nem pénzügyi hatás • MAD
Üzleti hatáselemzés - emberek • Roles and responsibilities assignment matrix
Üzleti hatáselemzés – logikai/fizikai rétegek • Logikai réteg • Milyen könyvelő rendszert használnak? • Milyen kapcsolat van a könyvelő és a banki rendszer között? • Van itt wifi? • Hol van a szerverszoba?
• IT szolgáltatások • Fizikai réteg • Hardver • Szoftver • Épület
Üzleti hatáselemzés - adat • Folyamat-adat kapcsolat (adat infrastruktúra)
Bizalmasság menedzsmentje • Célja: adat, információ ne kerülhessen illetéktelen kezekbe • Megsértését nehéz érzékelni • Titokvédelem (erőforrások megfelelő titkossági osztályokba sorolása) • Adatvédelem (Személyes adatok védelme)
• Megvalósítás: • • • •
erőforrások biztonsági osztályba sorolása hozzáférési jogosultságrendszer kialakítása és működtetése megfelelő erősségű titkosítási algoritmusok alkalmazása megfelelő szintű szabályozás: tudatosság növelés, elrettentés
Sértetlenség menedzsmentje • Célja: adatok, információ tartalma ne sérülhessen illetéktelenek által (hamisítás, módosítás, csonkítás, stb.) • Megsértését nehéz érzékelni • Megvalósítás: • - megfelelően védett adattovábbítási csatornák (hálózat biztonság) • - megfelelően erős titkosítási algoritmusok • - hitelesség biztosításai (digitalis aláírás) • - hozzáférési jogosultságrendszer kialakítása és működtetése
Rendelkezésre állás menedzsmentje • Célja: erőforrások rendelkezésre állásának elvárás szerinti biztosítása • Hiányát minden felhasználó egyénileg érzékeli • Rendelkezésre állási (%) = rendelkezésre állás / elfogadott szolgáltatási időszak • Megvalósítás: • - Fizikai biztonság: védett objektumok, beléptető rendszerek, védett emberi erőforrás • - Redundáns rendszerek • - Optimalizálni az arányt a megelőző és javító jellegű karbantartás és a hibák okozta költségek között
Hatáselemzés eredménytermékei (1) • Vállalat-modell (Enterprise Architecture) - ÁTLÁTHATÓSÁG
Hatáselemzés eredménytermékei (2) • E2E folyamatok • Folyamatok erőforrásai • RACI mátrix • Adatfolyam diagramm • Uszodasávos folyamatábra • Napi menetrend • Adatleltár • CRUD mátrix • Interfészek térképe
Üzletmenet folytonosság irányítás
Business Continuity Management
Üzletmenet folytonosság irányítás • Megelőző fázis • Rendelkezésre állás növelése • Megbízhatóság növelése • Helyreállíthatóság megteremtése
• Reagálási fázis • • • •
Kárfelmérés Krízis kommunikáció Vészhelyzeti tervek aktiválása Visszatérés a normál kerékvágásba
BCM – Rendelkezésre állás növelése • Folyamatos fejlesztés (PDCA alapján) • Jelenlegi (ASIS) architektúra gyenge pontjainak megkeresése • SPOF • SLA sértések
• • • • •
Jövőbeni (TOBE) architektúra tervezése A két architektúra összehasonlító mérése ROSI – return on security investment kiszámítása Döntés Beruházás végrehajtása
BCM - Rendelkezésre állás növelése a gyakorlatban 1. Létesítmények kiszolgáló erőforrásainak redundánssá tétele (dupla áram betáp)
1.)
2.)
2. IT szolgáltatások redundánssá tétele (klaszterek) 3. Geo-redundancia (a klasztercsomópontok külön szerverszobákba kerülnek) 4. Magasabb rendelkezésre állású szerverszoba keresése
3.)
4.)
BCM - Megbízhatóság • Monitoring rendszerek
• Automatizált irányítás
• Folyamatos auditálás
BCM – Helyreállíthatóság - ITSRP • Informatikai szolgáltatás helyreállítása 1. 2. 3. 4.
új hardver üzembe állítása szoftverek áttelepítése hálózati kapcsolat interfészek átirányítása
4
3 2
1
BCM – Helyreállíthatóság - DRP • Katasztrófa utáni helyreállítási tervek készítése • Azt kell elsőként helyreállítani, ami a legfontosabb! • Szűkösen rendelkezésre álló erőforrásokkal kell tervezni • A célfüggvény a BIA során meghatározott folyamatérték • Módszertana: RCPSP – resource constraint project schedule plan
• Áttelepülési tervek (irodák) • Tartalék telephely méretezése
BCM – Helyreállíthatóság - BCP • Üzletmenet folytonosság tervezés • Folyamati lépések erőforrásai • mennyire nélkülözhetetlen?
• Erőforrások kiesésének vizsgálata • helyettesíthetőség vizsgálata
• Cselekvési tervek • csoportmunka a tervezésben
BCM – Helyreállíthatóság - TESZTELÉS • Tesztelési keretterv • Teszt célja • Sikerkritériumok • Résztvevők
• Tesztelési naplók • BCP, ITSRP, DRP, RS
• Tesztelés kiértékelése • Javító intézkedések megfogalmazása
BCM - Reaktív fázis • Kárfelmérés (triage) • Krízis kommunikáció • Csak annak, akire tartozik • Csak azt, ami fontos • Egyszerűen, átláthatóan, érthetően
• Vészhelyzeti tervek életbe léptetése
• Visszatérés a normál üzleti folyamatra
Kockázatkezelés
Risk Management
Folyamatok fenntartási kockázata - FMEA • A hibák priorizálására szolgál • Eszközök meghibásodásának elemzése (Component failure impact analysis) alapján • Több folyamat együttes kárértékével számol
• RPN számításhoz felhasznált tényezők • Súlyosság • Felderíthetőség • Előfordulás gyakorisága
Információbiztonsági kockázatok (1) • Az adatvagyon értékének sérülését vizsgálja • Infrastruktúra sebezhetősége + fenyegetés -> kár • Anyagi kár • Adatokban esett kár
• Az adat értékének meghatározása • • • • •
Információ kritériumok Kárjellegek (mitől rettegünk?) Kárérték szintek (mennyire rettegünk?) Kárérték osztályok (rettegés foka mátrix) Adatok értékelése a kiválaszott kritériumok alapján
Információbiztonsági kockázatok (2) • Kárérték mátrix
Információbiztonsági kockázatok (3) • Adatok értékelése
Információbiztonsági kockázatok (4) • Erőforrások sebezhetőséginek meghatározása • Azonos sebezhetőségű erőforrások összegyűjtése • Érintett adatok összegyűjtése • Maximális kárérték (B/S/R) • Káresemény hatásának meghatározása (B/S/R) • Káresemény bekövetkezési valószínűségének meghatározása
Információbiztonsági kockázatok (5) • Kockázat felmérése
Információbiztonsági kockázatok (5) • Kockázati szintek
• Kockázatok kategorizálása
Információbiztonsági kockázatok (6) • Kockázat kezelési terv • Elkerülés • Hatás csökkentése • Elfogadott kockázat szintje
• Maradványkockázat • A kockázatkezelési terv végrehajtása után maradó kockázat
• Megfelelőségi nyilatkozat • ISO 27001
Fizikai védelem (1) • Létesítmények feltérképezése, zónahatárok és védelmi berendezések
Fizikai védelem (2) • Értékek meghatározása zónánként
Fizikai védelem (3) • Fenyegetések meghatározása • • • • •
Működés megakadályozása Eszközök ellopása Emberek elleni erőszak, terror Létesítmények lerombolása Negatív publicitás
Fizikai védelem (4) • Sikeres támadás valószínűségének meghatározása
• Támadás megakadályozása: Garcia-féle behatolási diagram
Fizikai védelem (5) • Kockázat kiszámítása
• Védelmi intézkedések • Értékek áthelyezése • Zóna védelmének növelése
Emberekkel kapcsolatos kockázatok (1) • Munkaköri kockázatok • Mit tud az adott pozícióban lévő munkatárs elrontani?
• A személy mennyire alkalmas a munkakör betöltésére • Kompetencia vizsgálat
Emberekkel kapcsolatos kockázatok (2) • Munkavállalók elmeneteli hajlandósága • Munkaerő csoportokba osztása • Tehetséggondozás
További vállalati kockázatok • Megfelelőségi kockázat • Irányelveknek (policy) való megfelelés vizsgálata
• SIPOC • Beszállítók értékelése • Vevők értékelése
• Pénzügyi kockázatok • A tervektől való eltérések kockázata • A bekövetkezett veszteségek adatbázisa alapján történő kockázat számítás • Basel II., Solvency II.
• Egyéb, iparágfüggő kockázatok (pl. bányaüzem, atomerőmű, stb.)
