ProjektmenedzsmentInformációbiztonságivonzatai

www.profexec.com

2015.04.06 – 20.PMFórumDr.Sándor Zoltán

Mirőlleszszó?

§ Mitjelentazinformációbiztonság(IB)aprojektekben?

§ IBkezelésénekelőnyei§ IBaprojektmenedzsmentfolyamatokban§ Biztonságoskommunikáció§ Biztonságosprojektleszállítandók§ Konklúzió

Információbiztonság(IB)aprojektekben§ GyakoriIBproblémák:

§ Mentéshiányábaneltűntelvégzettmunka§ Régirendszerbőlmigrált adatokeltűnése§ Nembiztonságoskülsőadattároló

§ CIAháromszög:Bizalmasság(Confidentiality),Sértetlenség(Integrity),Elérhetőség(Availability)

§ ISO27001alapúmegközelítés(6.1.5):általánosirányelvek–mindentípusúprojektbenkellkezelniazIB-taprojektteljesn folyamán,kontrollokbeépítése

IBkezeléselőnyei

§ Kockázatkezeléssel aprojektkulcsmutatóinaksikeresebbelérése- optimumbeállításaakockázatiköltésésmegtérülésközött

§ Aszervezetmegbízhatóbb azügyfelekszemében

§ Összhang atörvényiszabályzásokkal

IBaprojektmenedzsmentfolyamatokban

§ Projektmenedzsmentmetodológia(pld.PMI,www.pmi.org)kulcsfolyamataibabeépíteniazellenőrzőpontokat

§ IBkezeléseminélkorábbifázisban

Projekt–IBmérföld kövek

ProjectcharterkészítésBiztonságihatásvizsgálatkészProjektmenedzsmenttervkészítéseBiztonságoskommunikációstervkészKövetelményekgyűjtéseBiztonságikövetelményekgyűjtésekész

ProjektcsapatfejlesztéseBiztonságitréningelvégezveOperatívátadásBiztonságileszállítandókátadvaBiztonságilessonslearnedelvégezve

IBaprojektmenedzsmentfolyamatokban

Projekt charterkidolgozása• Leszállítandókbeazonosítása• Biztonsági hatásvizsgálat–költség-haszon

elemzés• MegelőzőCost OfQuality –mindenköltségami

abiztonságiintézkedésekhezszükséges

IBaprojektmenedzsmentfolyamatokban

Érintettek(stakeholderek) azonosítása• Érintett érdekeltségimátrixIBelemekkel• Pld.IBosztályszabályzata,projektszponzor

aköltésekmiatt• ProjektcsapatnakIBfeladatokésbevonnia

kockázatelemzésbe

IBaprojektmenedzsmentfolyamatokban

Kommunikációtervezése• KommunikációstervnektartalmazniakellazIB

szempontokat• Példák:• biztonságosdokumentációmegosztás• olyantelefonkonferenciák,aholjelszavas

védelemmellehetbejelentkezni• amennyibenemail-enosztunkmeg

dokumentumokattitkosításimetódusbevezetése• azinformációrendszeresmentése• közösségimédiahasználati

szabályzata

IBaprojektmenedzsmentfolyamatokban

Kockázatmenedzsmenttervezése• Projektmenedzsment(pld.PMI)metodológiaIB

kockázatokrais• IBháttértudáskulcsfontosságú• IBkockázatpéldák:• adatlopásvagyszivárgás• külsővagybelsőtámadások,visszaélések• jogosulatlanhozzáférésekből

adódóvisszaélések

• nembiztonságoskommunikációbóladódóbiztonságiincidensek

Biztonságoskommunikáció

• Azonosításésjelszóvédelem• Mindenvisszaéléstartalmazjelszóvonzatot• IBszempontok:• megfelelőenhosszúéskomplexjelszavak• nehasználjukugyanazokatajelszavakatkülönböző

alkalmazások,weboldalakésaccountokesetén• rendszeresenváltoztassunkjelszót• használjunkkétfaktorosazonosítást,ahollehetséges

• Hozzáférésmenedzsment• Csakaszükséges,demunkát

támogatóhozzáférés• Módosításszerepváltozáskor• Mobilhozzáférés

Biztonságoskommunikáció

• Titkosítás• Többhelyenhasználandó:email,web

böngészés,VoIP,adattárolás• Költség-haszonelemzés

• Wifi támadások• Erőskockázatitényező• Hozzáférésiszabályzat• Okostelefonok

hozzáférésiszabályzata

Biztonságosleszállítandók

Követelményekgyűjtése• IBkövetelmények- külsőbelsőszabályzásszakértők

éspiacibenchmarkok• Hatásavanaprojektköltségkeretére

Kockázatokellenőrzéseésmonitorozása• Folyamatostevékenység• Változáskontroll

Leszállítandókellenőrzése–üzemeltetésre• Projektmenedzserfelelőssége• Üzemeltetésikövetelmények

ésIBvonzatok• Üzemeltetésátadás-átvételilista

Biztonságosleszállítandók

Tanulságok (lessons learned)dokumentálása• Hasznos,degyakranelmarad• Adatbázis amelyazIBtanulságokatis

tartalmazza–szakértőiinput

Konkluzió• IBfigyelembevételenöveliaprojektsikerességét

ésmegbízhatóságát• ISO27001alapelvek–IBfigyelembevételeés

kontrollokbeépítése• PMImetodológiafőfolyamataiésleszállítandói

biztonsága• AprojektmenedzserfelelősségeazIB

szempontokatkezelni–szakértőbevonása• Kockázatmenedzsmentés

kommunikációIBelemeinekfontossága

Köszönjük!

www.profexec.com