Informatikai biztonsági rendszertervezés

Az informatikai biztonsági rendszertervezés a biztonság koncepcionális megtervezésénék kezdődik, és a védelmi intézkedések implementálásánál fejeződik be.

A komplett biztonsági rendszerek tervezésénél tekintettel kell lennie a szervezet méretére, kiterjedtségére, az általa kezelt információkra, működési folyamataira, technikai feltételeire és az általa elérni kívánt célokra egyaránt. A biztonsági tervezésnek és a bevezetett kontrolloknak a felmért kockázatokkal arányban kell állnia.

Ezek alapján a biztonsági rendszerek tervezésnél a következő területeken nyújtunk támogatást ügyfeleinknek:

Informatikai biztonsági stratégia kialakítása

- Az informatikai biztonság által érintett konkrét feladatok és felelősségi körök meghatározása

- Szabályzó környezet kialakítása

- Az üzleti, jogi és törvényi és szerződéses előírások definiálása

- Kockázatelemzési-és kezelési módszertan kialakítása, kockázatelemzések végrehajtása

- Biztonsági oktatások, biztonsági tudatosság fejlesztése

- A biztonsági kontrollok ellenőrzési folyamatainak kialakítása és bevezetése

- A biztonsági osztályba sorolási követelmények alapján a védelmi követelmények meghatározása

- A fizikai és logikai biztonsági funkciók meghatározása, kapcsolódó dokumentációelkészítése, implementálás ellenőrzése

- Szoftverek kiválasztásánál és fejlesztésénél a biztonsági követelmények a biztonsági funkciók értékelése és megtervezése

- Fizikai védelmi rendszerterv kialakítása és tesztelése

- Logikai védelmi rendszerterv megtervezése és ellenőrzése

- Azonosítási és hitelesítési szabályok,

- Hozzáférés jogosultsági mátrix,

- Naplózás stb.

Szabályzatok, dokumentációk elkészítése

EA szabályzók és dokumentációk készítése során a COBIT 4.1, az ISO 27001 és a Közigazgatási Informatikai Bizottság 25. számú Ajánlását alapul véve, a következő területeken elengedhetetlen meghatározott szabályzatok, dokumentációk elkészítése:

- Informatikai Biztonsági Politika, - Stratégia, -Szabályzat,

- Kockázatkezelési módszertan, szabályozás, értékelés,

- Iratkezelési- és dokumentumkezelési szabályozás,

- Mentési és archiválás rendek,

- Adathordozók beszerzésére és selejtezésére vonatkozó szabályozások,

- Üzletmenet-folytonosság tervezési módszertan, szabályozás, tervek, jegyzőkönyvek,

- Katasztrófa-elhárítás tervezési módszertan, szabályozás, tervek, jegyzőkönyvek,

- Hozzáférések és Jogosultságok kezelésére vonatkozó szabályozások,

- Incidenskezelési szabályozások,

- Informatikai ellenőrzések szabályozása és dokumentálása,

- Feladatok és felelősségek elkülönítésére vonatkozó előrások

- Üzemeltetési eljárások

- Külső és belső fejlesztésre vonatkozó szabályozások

- Változáskezelési szabályozás

A működőképes szabályzókörnyezet kialakításának alapja a folyamatok működésének és az előírásoknak megfelelő elvárt működés összehangolása.

A folyamatok felmérése során olyan módszertannal dolgozunk, amely teljes áttekintést biztosít. Ennek keretében a következő feladatokat végezzük el:

- Rendelkezésre álló dokumentáció áttekintése

- Interjú készítése az illetékesekkel

- Amennyiben szükséges kontrollok technológiai ellenőrzése

IT audit

Az IT auditok során a vezetőség által meghatározott kontrollok gyakorlati alkalmazásának ellenőrzését végezzük el.

Egyrészt megvizsgáljuk, hogy a tervezett kontrollok implementálásra kerülnek, és ha igen, mennyire működnek hatékonyan.

- Az informatikai rendszer mennyire alkalmas az általa kezelt adatok és információk védelmére

- Az informatikai rendszer mennyire alkalmas az adatok integritásának, bizalmasságának, sértetlenségének megőrzésére

- Az informatikai rendszer mennyiben támogatja a szervezeti célok elérését

IT Minőségbiztosítás

Az IT minőségbiztosítás lehetővé teszi, hogy az adott informatikai folyamat, illetve elem megfelelő színvonalon kerüljön implementálásra.

A minőségügyi követelmények ellenőrzésére és megállapítására az informatikai terület érintettségének függvényében nemzetközi szabványokat (MSZ ISO/IEC 90003:2005, MSZ ISO/IEC 9126:2000, MSZ ISO/IEC 12207:2000, MSZ ISO/IEC 20000-1, 2:2007), belső előírásokat és az iparági legjobb gyakorlatot vesszük figyelembe.

- IT érintettégű szabályzók, dokumentáció készítése

- IT támogatás

- Szoftverfejlesztés

- Kiszervezett informatikai tevékenység

Kockázatelemzés

Egy üzleti vállalkozás működését sok hatás fenyegeti, amelyek az üzletmenetben kárt okozhatnak. Mivel napjainkban jelentősen megnövekedett a vállalatok informatikától való függése, ezért szükségessé válik a biztonságos informatikai rendszerek megteremtése is. Az informatikai kockázatelemzés biztosítja azt, hogy azonosítsuk a rendszer leggyengébb pontjait, a legnagyobb kockázattal járó fenyegető tényezőket és ezen fenyegetettségek ismeretében a kockázattal arányos költséghatékony védelmi intézkedéseket vezessünk be.

Az IT kockázatelemzés célja, hogy feltárja azon fenyegetettségeket melyek fenyegetik a digitális adatvagyon rendelkezésre állását és biztonságát.

Az informatikai kockázatelemzés az előre meghatározott folyamatokhoz és alkalmazásokhoz kapcsolódóan a következő elemekre terjed ki:

- Szabályozási háttér

- Szervezeti, működési, felelősségi szabályok meghatározása

- Fizikai biztonsági elvárások

- Rendszer legfontosabb elemeinek egyértelmű és visszakereshető azonosítása

- Rendszerbiztonsági ellenőrzések és eljárások

- Szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztráció

- Rendszeres naplózás és naplóértékelés

- Távadat-átvitel bizalmassága

A feltárt adatok módszertan szerinti besorolását követően azonosításra kerülnek a különböző fenyegetettségek, a függési viszonyban álló folyamatok és azok megfelelő kritikussági szintbe való sorolása.