Embed Size (px)
Citation preview
GRC-szolGáltatások
A biztonság hatékony menedzselése megkívánja, hogy a többnyire egymástól függetlenül kezelt IT biztonságirányítási, kockázatkezelési és megfelelőségi funkciókra, feladatokra egy-séges módon, közös szemlélettel tekintsünk. A holisztikus megközelítés kialakításában, és az egyes részfeladatok végrehajtásában nyújtanak segítséget a T-Systems Magyarország tapasztalt szakemberei.
It-bIztonsáGI szeRepek/szeRvezet kIalakítása A szolgáltatás keretében kialakítjuk vagy – működő szervezet esetén – optima-lizáljuk az IT-biztonsággal kapcsolatos személyi és szervezeti felelősségeket, hatásköröket. A hatékony és biztonságos működés kialakítása érdekében a vonatkozó szerepköröket és szervezeti hierarchiát újradefiniáljuk és a szervezet szabályozói környezetébe illesztjük.
It-bIztonsáGI stRatéGIa kIalakítása Az IT-biztonsági stratégia – a szervezeti stratégiával összhangban – tartal-mazza a szervezeti és működési célok eléréséhez szükséges IT-biztonsági célkitűzéseket, illetve a megvalósításukhoz szükséges feladatokat, a beveze-tendő rendszereket, módszereket és technológiákat. Tapasztalt szakembereink segítséget nyújtanak az ilyen stratégiák kialakításában, felülvizsgálatában, illetve aktualizálásában.
Folyamatok kIalakítása Egy szervezet biztonsági szintje nemcsak az informatikai eszközök alkalmazá-sától és azok beállításaitól függ, hanem komoly befolyással bírnak a kapcso-lódó biztonsági folyamatok is. A szolgáltatás keretében áttekintjük a jelenlegi folyamatokat, azokat optimalizáljuk, illetve hiányuk esetén kialakítjuk és beillesztjük őket a szervezet működésébe.
Iso 27001 tanáCsadás Az ISO 27001 nemzetközi és magyar szabvány egy folyamatszemléletű informá-cióbiztonsági irányítási rendszert specifikál. Vizsgázott ISO 27001 vezető auditoraink hatékony támogatást nyújtanak ügyfeleink számára az irányítási rendszer kialakításában, megvalósításában, működtetésében, monitorozásá-ban és továbbfejlesztésében. Támogatásunk eredményeképpen ügyfeleink képesek sikeresen megszerezni, illetve fenntartani az ISO 27001 tanúsítványt.
koCkázatelemzés A szolgáltatás keretében a T-Systems szakemberei felmérik és súlyozzák az IT működésében rejlő kockázatokat, majd csökkentésükre akciótervet fogalmaz-nak meg. Az elemzést általánosan elfogadott kockázatelemző módszertanokon alapuló, a T-Systems által adaptált metodika szerint végzik. A magasabb szintű IT-intézkedések kiértékelését a műszaki sérülékenységek feltérképezése egé-szítheti ki. A különböző szinteken azonosított kockázatokat konszolidálják, és átfogó kezelésükre megoldásokat javasolnak. A kockázatok kiértékelése révén az érintett szervezetnek lehetősége nyílik arra, hogy korlátos anyagi és emberi erőforrásait a legégetőbb biztonsági problémák kezelésére fordítsa.
It-bIztonsáGI helyzetFelméRés/átvIláGítás A szolgáltatás keretében a T-Systems szakemberei magas szintű felmérést végez-nek, mely az IT-biztonság általános szintjét tárja fel. A felmérés azonosítja azokat a területeket, ahol jelentős eltérés van a jelenleg alkalmazott biztonsági megoldások, a bevezetett folyamatok és az általánosan követett piaci gyakorlat vagy valamilyen alkalmazandó külső biztonsági követelményrendszer között. A T-Systems szak-emberei akciótervet dolgoznak ki az azonosított hiányosságok mérséklésére.
műszakI séRülékenyséGek FelméRése Az IT működésében több olyan kockázat rejlik, amely magas szintű helyzetfel-mérésnél mélyebb vizsgálattal – az informatikai rendszerek, illetve alkalmazá-sok felépítésének, működésének, beállításainak elemzésével – tárható csak fel. A szolgáltatás keretében cégünk mélyebb szintű technikai problémákat azonosít, és kezelésükre megoldási javaslatokat fogalmaz meg.
etIkus haCk, behatolásvIzsGálat Lényeges, hogy egy szervezet biztonsági szintjét „éles” körülmények között is rendszeresen teszteljük. Ilyen esetekben a T-Systems szakértői valódi hacker-módszerek bevetésével, előre kidolgozott módszertan alapján, szisztemati-kusan végigvizsgálják az informatikai rendszereket. A technikai átvilágításhoz kapcsolódhat a munkatársak viselkedését, biztonságtudatosságát próbára tevő, úgynevezett social engineering vizsgálat is. A feladatnak része a hiányosságok kiküszöbölésére, csökkentésére irányuló javító intézkedések megfogalmazása.
bIztonsáGI szabályozó köRnyezet kIalakítása Az IT-biztonság hatékony irányítása érdekében szükséges, hogy a biztonsági irányelveket, követelményeket, felelősségeket és feladatokat egy átfogó szabá-lyozó rendszerben rögzítsék. Az IT-biztonsági szabályozási folyamat eredmé-nyeképpen létrejövő dokumentációs rendszer egymásra épülő, tartalmában, irányában és részletességében bővülő dokumentumok összességét jelenti, melynek fontosabb elemei a következők: IT-biztonsági politika és szabályzat, alsóbb szintű szabályzatok/eljárásrendek, felhasználói biztonsági kézikönyv. A szolgáltatás keretében a T-Systems szakemberei elkészítik vagy felülvizsgálják a dokumentációs rendszert vagy annak elemeit úgy, hogy az a törvényi és sza-bályozási környezetnek megfeleljen.
üzletmenetFolytonossáG-menedzsment Az informatikai katasztrófaelhárítási terv (DRP) célja, hogy csökkentse a szer-vezet informatikai infrastruktúráját érintő váratlan hatások következményeit, amelyek a szervezet folyamatos működését és/vagy az informatikai rendszerek funkcionalitását veszélyeztetik. A DRP biztosítja továbbá az IT-környezet terve-zett visszaállítását katasztrófa bekövetkezése esetén. Az üzletmenet-folytonos-sági terv (BCP) az informatikai katasztrófaelhárítási tervvel közösen készül fel olyan eseményekre, amelyek súlyos kihatással vannak az üzleti folyamatokra. A BCP a DRP-vel ellentétben nem informatikai vonatkozású, hanem alternatív üzleti folyamatokat javasol minden olyan esetre, amikor üzleti folyamatok komo-lyabb incidens vagy katasztrófa hatására elérhetetlenné válnak. A szolgáltatás keretében BCP- és DRP-tervek kialakításán, felülvizsgálatán, bevezetésén és működtetésén keresztül támogatjuk az üzleti folyamatok kiesése okozta hatá-sok minimalizálását.
audItRa Felkészítés (pszáF, pCI, Iso27001) A szolgáltatás keretében a T-Systems szakemberei megvizsgálják, hogy a szer-vezet milyen mértékben felel meg a különböző törvényi (pl. pénzügyi szakági törvények, 223/2009. kormányrendelet), anyavállalati, felügyeleti hatósági (pl. PSZÁF, ÁSZ) előírásoknak, nemzetközi szabványoknak (pl. ISO 27002, ISO 27001, PCI DSS) és ajánlásoknak (pl. COBIT). A feltárt eltéréseket kiértékeljük, priorizáljuk, dokumentáljuk, és a megfelelőség eléréséhez szükséges feladato-kat egy intézkedési tervben összefoglaljuk. A javasolt intézkedések bevezetése révén a szervezet képes lesz az audit követelményeinek megfelelni.
It-bIztonsáGI audIt véGRehajtása A magas szintű védelem kialakítása érdekében elengedhetetlen, hogy a biz-tonsági intézkedések bevezetésén túl a követelményeknek, illetve a törvényi előírásoknak való megfelelést független szervezet (külső audit) vagy a belső audit rendszeresen ellenőrizze. A szolgáltatás keretében a külső auditor módszereivel végezzük el a szervezet átvizsgálását, illetve a belső auditor számára nyújtunk szakértői támogatást a vizsgálatok lefolytatásához. A feladat végrehajtása során feltárjuk az auditkövetelményeknek való megfelelés szintjét, valamint bizonyítékokat gyűjtünk annak igazolására.
audItok szakéRtőI támoGatása Auditorok megjelenése rendszerint komoly fejfájást okoz a szervezeteknek. Ügyfeleink képviseletében a T-Systems tapasztalt auditorai hatékony segítséget nyújtanak a külső auditorral történő kapcsolattartás során az ügyféloldali vála-szok megfogalmazásában, illetve a kapott határozatok értelmezésében.
meGFelelőséGI tanáCsadás A T-Systems tanácsadói ügyfeleink rendelkezésére állnak a legkülönbözőbb külső megfelelési követelmények (ISO27001, ISO27002, PCI DSS, PSZÁF, COBIT stb.) értelmezésében, az ahhoz igazodó megoldások kidolgozásában, bevezetésében, illetve a kapcsolódó belső projektek minőségbiztosításában. Szakembereink javaslatait megvalósítva a szervezet képes lesz megfelelni a vonatkozó előírásoknak.
vezetők It-bIztonsáGI szakéRtőI támoGatása A szolgáltatás keretében cégünk igény szerint (pl. ügyféloldali konkrét projekt-hez kapcsolódóan, előre rögzített időtartam erejéig vagy határozatlan ideig, rendszeres időközönként) magasan kvalifikált biztonsági szakember(eke)tbiztosít az ügyfelek rendelkezésére. Szakértő munkatársunk – folyamatos támogatást nyújtva a biztonsági vezetőnek, IT-vezetőnek vagy a kockázatmene-dzsernek – biztonsági részfeladatokat hajt végre, mint például a működési koc-kázatok azonosítása, IT-stratégia kialakítása, szabályozói környezet kialakítása, rendszerek biztonsági szempontú áttekintése, biztonsági szempontok érvénye-sítése projektek során vagy belső projektek biztonsági minőségbiztosítása.
Amennyiben felkeltettük érdeklődését, kérjük, keresse szakértő kollégáinkat, vagy látogasson el a www.t-systems.hu weboldaunkra.
Keleti ArhurIT-biztonsági stratégaMobil: +36 30 452 1107E-mail: [email protected]
dr. Jankó Árpád CISA, CRISC, CISSPvezető tanácsadóMobil: +36 30 634 5412E-mail: [email protected]
