Adatlap


Esettanulmány címe:
Magyaroszágon teljes területén műkődő távközlési Kft.
Az esettanulmányban szereplő ügyfél ágazati besorolása:
információ, kommunikáció
Az esettanulmányban szereplő ügyfél piaci bemutatása - ágazat, cégméret, piaci körülmények, erőforrások:
A cégcsoport törekvése, hogy minél több magyarországi háztartásban megvalósítsa a nagy sávszélességű technológiát. Telekomunikációs és műsorszórási szolgáltatást végez. Célterülete: teljes Magyarország. 1998-ban alakult, hat kisebb cég összeolvadásából. A folyamatos fejlesztéseknek és a jövőbe mutató cégpolitikának köszönhetően a cég portfóliójában hamarosan megjelent a kábeltelevíziót, szélessávú, korlátlan internetet és alacsony havidíjú telefont magában foglaló szolgáltatások mindegyike. A kiépített területeken rövid időn belül igen népszerűvé váltak a kiváló ár-érték arányú csomagok. A minőségi szolgáltatások köre által tovább bővült cégünk ügyfélbázisa, mely 2009 végére már közel 600.000 előfizetőt számlált.
A megoldandó üzleti probléma bemutatása:
A Kft. (a továbbiakban: a „Kft”) Informatikai Biztonsági Szabályzatának (a továbbiakban: az „IBSZ”) célja, hogy a vonatkozó jogszabályokkal, a Kft. belső rendelkezéseivel összhangban meghatározza a Kft. informatikai rendszerei által kezelt információvagyon bizalmassága, hitelessége, sértetlensége, valamint rendelkezésre állásának biztosítása, funkcionalitása és üzembiztonsága megőrzése érdekében betartandó elveket. Az IBSZ meghatározza a vezető és a biztonságért felelős személy feladatait, valamint az információs rendszer működtetői és felhasználói számára kötelező szabályokat. Az IBSZ kiemelt célja, hogy a Kft. informatikai rendszereinek zavartalan működése biztosítva legyen.
Az alkalmazott megoldás bemutatása és a bevezetést követően elért üzleti előnyök:
A Nemzeti Média- és Hírközlési Hatóság (NMHH) által kijelölt összes szakrendszer vonatkozásában az általános érvényű szabályozók – mint pl. Információbiztonsági szabályzat (IBSZ) – határozzák meg a Kft. informatikai biztonsági követelményeit. Vannak egyedi, egy-egy rendszerre vonatkozó szabályozók, jelen állapot szerint a DHCP-RADIUS-DNS szakrendszer rendelkezik konfigurációs eljárásrenddel, amelynek alapján egyes biztonsági követelmények is meghatározásra kerültek. A többi szakrendszer esetén jelenleg még nincs ilyen, illetve ezt megvalósító rendszerbiztonsági szabályzat, eljárásrend sem. A feltárt, hiányzó biztonsági szabályok pótlására az alábbi megállapításokat tettük az egyeztetések alapján, amit a Kft. cselekvési terv formájában hasznosíthat. A rendszer-specifikus rendszerbiztonsági szabályzatnak a kötelező elemek közül az alábbiakat mindenképpen tartalmaznia kell: - az elektronikus információs rendszer (EIR) nyilvántartását, - az EIR konfigurációs, üzemeltetési, adminisztratív szabályait, - a jogszabály által meghatározott rendszerbiztonsági követelményeket, - a konfigurációkezelési szabályokat. A szervezetre vonatkozó általános biztonsági dokumentációkat illetően az alábbi módosítások és pótlások szükségesek: - A 2013. évi L. az állami és önkormányzati szervek elektronikus információbiztonságáról törvény (Ibtv.) előírásaira vonatkozóan ellenőrzési terv elkészítése, - Folyamatba épített ellenőrzés vagy ellenőrzési terv elkészítése, - Üzletmenet-folytonossági terv elkészítése, - Biztonsági eseménykezelési terv elkészítése, - A teljes személybiztonsági követelményeket lefedő eljárásrend aktualizálása, amely a belépési, hozzáférési jogosultságkezelést is szabályozza, - Általános karbantartási rend kialakítása, - EIR kapcsolódásainak szabályozása, - Legszűkebb funkcionalitás elvének bevezetése, - Hozzáférés jelzés és ellenőrzés szabályozásának pontosítása, - Mobil eszközökre vonatkozó biztonsági eljárásrend (amennyiben releváns) elkészítése, - Hibajavítás