Szakterület |
Tevékenység |
|
Á |
IT Biztonságpolitika és Biztonsági stratégia (IBS) elkészítése | A szervezet jövoképével összhangban lévo IT védelmi célok és biztonságpolitikai hatókörök meghatározása, amelyek összhangban vannak az IT rendszer teljes életciklusára vonatkozó IT biztonsági feladatokkal és hatáskörökkel (fizikai, logikai, személyi-szervezeti stb. összetevok). |
| IT biztonsági szabályozások elkészítése | vállalati szintu Informatikai biztonsági szabályzat (IBSz), rendszer szintu biztonsági szabályzatok (RIBSz) elkészítése, az informatikai rendszerek biztonságát szabályozó Muködési rend elkészítése (javaslat a nem IT eszközökkel kivédheto maradványkockázatok csökkentésére), Biztonsági kódex elkészítése, a szabályzatok integrálása a teljes köru vállalati szabályozásokba (SzMSz, belso utasítások, munkaköri leírások stb.), javaslatok kidolgzása a Nyilvános kulcsú infrastruktúra (PKI) alkalmazásának szabályozási rendszerére stb. | |
| IT katasztrófavédelmi terv | az IT szolgáltatások folyamatainak és környezetének biztonsági felmérése, a rendkívüli események kezelését szabályzó dokumentációk (informatikai katasztrófavédelmi terv) elkészítése, ezen belül a releváns katasztrófa-helyzetek feltérképezése, a korlátozott informatikai üzem meghatározása, a katasztrófa megelozés és elhárítás szabályozott eljárásainak (mentési terv, helyreállítási terv stb.) elkészítése | |
| humánbiztonsági kérdések kezelésének szakértoi támogatása | informatikai rendszereket használók, fejlesztok és üzemeltetok körében értelmezheto humánbiztonsági fenyegetettség (a különbözo munkakört betölto személyek esetén értelmezheto veszélyek humánbiztonsági vonatkozásainak) meghatározása, az IT biztonság humánpolitikai támogatása (kompetencia-jellemzok kiegészítése stb.) | |
| összetett informatikai rendszerek átfogó IT biztonsági vizsgálata | informatikai rendszerek architektúrájának és az informatikai rendszerelemeknek biztonsági vizsgálata, a kiemelt kockázatok meghatározása, a követelmény- és feltételrendszer meghatározása, hozzáférési jogosultságok vizsgálata, biztonsági fokozatok meghatározása, kockázatelemzés, biztonságnövelo javaslatok elkészítése. | |
| vállalati szintu zárt biztonsági modellek kidolgozása | az információs (al)rendszerekkel kapcsolatos kockázatelemzés(ek) (az üzleti folyamatok, az információs rendszer és a humánveszélyek vonatkozásában), veszélykatalógusok elkészítése, biztonsági és biztonság ellenorzési eljárások kidolgozása stb. | |
| Informatika-biztonsági képzés, továbbképzés | 1. Menedzsment szintu tájékoztatás 2. IT szakemberek képzése 3. Alkalmazók IT bizt. képzése | |
| Informatikai fejlesztések IT biztonsági menedzselése | 1. fejlesztések IT biztonsági specifikációja, a biztonsági rendszerkövetelmények megfogalmazása, 2. a fejlesztések eredményének IT biztonsági ellenorzése az átvételnél, tesztelésnél | |
| Mentési tervek kidolgozása | Az IT biztonság kritikus része - a nem várt események negatív hatását megszünteto -megfelelo mentési tervek kidolgozása, a tervek szakszeru betartása. A kritikus adatokról és programokról másolatokat (mentéseket) kell készíteni és biztonságosan (a rendelkezésre állást és a bizalmasságot egyaránt biztosítva) tárolni. A rendszerfelmérést követoen a programokat és adatokat osztályokba kell sorolni, melyekre meghatározni a mentési típusokra (Full backup, Incremental backup, Partial backup, Zero day backup ) vonatkozó eljárásokat, a mentések elírt gyakoriságát. Mindez kiegészül a tartalékolási rendszerek értékelésével. | |
| IT biztonsági ellenorzési tervek kidolgozása, az ellenorzések végrehajtása | IT biztonsági szabályok betartásának ellenorzése; IT biztonsággal kapcsolatos aktivitások ellenorzése az összes biztonság-kritikus IT rendszerelemre (operációs rendszerek, adatbáziskezelok, tuzfalak, routerek stb.), melyek tartalmazzák a konfigurációs beállítások, napló-file-ok, mentési dokumentációk ellenorzését is. |