Esettanulmány címe:
Magyaroszágon teljes területén műkődő távközlési Kft.
Az esettanulmányban szereplő ügyfél ágazati besorolása:
információ, kommunikáció
Az esettanulmányban szereplő ügyfél piaci bemutatása - ágazat, cégméret, piaci körülmények, erőforrások:
A cégcsoport törekvése, hogy minél több magyarországi háztartásban megvalósítsa a nagy sávszélességű technológiát. Telekomunikációs és műsorszórási szolgáltatást végez. Célterülete: teljes Magyarország. 1998-ban alakult, hat kisebb cég összeolvadásából.
A folyamatos fejlesztéseknek és a jövőbe mutató cégpolitikának köszönhetően a cég portfóliójában hamarosan megjelent a kábeltelevíziót, szélessávú, korlátlan internetet és alacsony havidíjú telefont magában foglaló szolgáltatások mindegyike.
A kiépített területeken rövid időn belül igen népszerűvé váltak a kiváló ár-érték arányú csomagok. A minőségi szolgáltatások köre által tovább bővült cégünk ügyfélbázisa, mely 2009 végére már közel 600.000 előfizetőt számlált.
A megoldandó üzleti probléma bemutatása:
A Kft. (a továbbiakban: a „Kft”) Informatikai Biztonsági Szabályzatának (a továbbiakban: az „IBSZ”) célja, hogy a vonatkozó jogszabályokkal, a Kft. belső rendelkezéseivel összhangban meghatározza a Kft. informatikai rendszerei által kezelt információvagyon bizalmassága, hitelessége, sértetlensége, valamint rendelkezésre állásának biztosítása, funkcionalitása és üzembiztonsága megőrzése érdekében betartandó elveket. Az IBSZ meghatározza a vezető és a biztonságért felelős személy feladatait, valamint az információs rendszer működtetői és felhasználói számára kötelező szabályokat. Az IBSZ kiemelt célja, hogy a Kft. informatikai rendszereinek zavartalan működése biztosítva legyen.
Az alkalmazott megoldás bemutatása és a bevezetést követően elért üzleti előnyök:
A Nemzeti Média- és Hírközlési Hatóság (NMHH) által kijelölt összes szakrendszer vonatkozásában az általános érvényű szabályozók – mint pl. Információbiztonsági szabályzat (IBSZ) – határozzák meg a Kft. informatikai biztonsági követelményeit.
Vannak egyedi, egy-egy rendszerre vonatkozó szabályozók, jelen állapot szerint a DHCP-RADIUS-DNS szakrendszer rendelkezik konfigurációs eljárásrenddel, amelynek alapján egyes biztonsági követelmények is meghatározásra kerültek. A többi szakrendszer esetén jelenleg még nincs ilyen, illetve ezt megvalósító rendszerbiztonsági szabályzat, eljárásrend sem.
A feltárt, hiányzó biztonsági szabályok pótlására az alábbi megállapításokat tettük az egyeztetések alapján, amit a Kft. cselekvési terv formájában hasznosíthat.
A rendszer-specifikus rendszerbiztonsági szabályzatnak a kötelező elemek közül az alábbiakat mindenképpen tartalmaznia kell:
- az elektronikus információs rendszer (EIR) nyilvántartását,
- az EIR konfigurációs, üzemeltetési, adminisztratív szabályait,
- a jogszabály által meghatározott rendszerbiztonsági követelményeket,
- a konfigurációkezelési szabályokat.
A szervezetre vonatkozó általános biztonsági dokumentációkat illetően az alábbi módosítások és pótlások szükségesek:
- A 2013. évi L. az állami és önkormányzati szervek elektronikus információbiztonságáról törvény (Ibtv.) előírásaira vonatkozóan ellenőrzési terv elkészítése,
- Folyamatba épített ellenőrzés vagy ellenőrzési terv elkészítése,
- Üzletmenet-folytonossági terv elkészítése,
- Biztonsági eseménykezelési terv elkészítése,
- A teljes személybiztonsági követelményeket lefedő eljárásrend aktualizálása, amely a belépési, hozzáférési jogosultságkezelést is szabályozza,
- Általános karbantartási rend kialakítása,
- EIR kapcsolódásainak szabályozása,
- Legszűkebb funkcionalitás elvének bevezetése,
- Hozzáférés jelzés és ellenőrzés szabályozásának pontosítása,
- Mobil eszközökre vonatkozó biztonsági eljárásrend (amennyiben releváns) elkészítése,
- Hibajavítás