Információbiztonsági tanácsadás

  • Piaci igény, esetleg elkövetett hibák
Az integrált informatika rendszerek bevezetésével, az ügyfeleknek nyújtott elektronikus szolgáltatások megjelenésével a pénzügyi intézmények, gazdálkodó szervezetek, önkormányzatok mind komolyabb információbiztonsági fenyegetettségekkel kell szembenézniük. A szervezet számára fontos rendszerekhez, az azokban tárolt bizalmas adatokhoz nem csak belső munkatársak, hanem külső személyek is hozzáférhetnek illetéktelenül.
Az információbiztonság növekvő fontosságát a jogalkotók is felismerték. Szigorú szabályozást alkottak a pénzügyi intézményekre, illetve a közfeladatot ellátó szervezetekre, melyek megvalósulásának hatósági ellenőrzését is előírták (ld. PSZÁF).

  • Megközelítésünk, módszertan
A biztonsági elvárásoknak, és ezzel együtt a törvényi előírásoknak való megfelelés érdekében a HRK Consulting egy komplex információbiztonsági tanácsadási csomagot dolgozott ki, mely figyelembe veszi az ISACA (Information Systems Audit and Control Association) COBIT módszertanát, az MSZ ISO/IEC 27001 információ biztonsági szabvány előírásait, valamint a vonatkozó hazai informatikai biztonsági ajánlásokat (Magyar Informatikai Biztonsági Keretrendszer ajánlásai, a PSZÁF 1/2007. számú módszertani útmutatója, az elektronikus ügyintézéshez kapcsolódó kormányrendeletek ajánlásai).


  • Termék leírása
A komplex információbiztonsági tanácsadási csomag a következő szolgáltatásokat foglalja magába:
  1. Kockázatfelmérés és elemzés, mely magába foglalja az informatikai folyamatok irányításával, valamint az informatikai rendszerek (szoftver és hardver) működésével kapcsolatos kockázatok felmérését, elemzését (fenyegetettségek vizsgálata, kárértékek, valószínűségek meghatározása, védelmi intézkedések vizsgálata).
  2. Informatikai Biztonsági Szabályzat (IBSZ) elkészítése, mely az ISO/IEC 27001 szabvány alapján leírja a szervezet a biztonsági céljait, valamint azokat a szabályokat, amelyek végrehajtása lehetővé teszi a célok teljesítését.
  3. Kockázatkezelési Szabályzat, mely leírja a kockázatkezelés folyamatának lépéseit (kockázatfelmérés, kockázatok csökkentése, értékelés és felülvizsgálat), annak módszertanát, mely alapján a szervezet képes önállóan végrehajtani a kockázatkezelési feladatokat.
  4. Működés-folytonossági Szabályzat, mely tartalmazza egy katasztrófa helyzet bekövetkezése esetén végrehajtandó üzleti akcióterveket (BCP), valamint informatikai akcióterveket (DRP), megadva a részletes feladat leírást és felelősségeket.
  5. További, az informatikai biztonság megteremtése szempontjából nélkülözhetetlen szabályzatok elkészítése, mint például a Jogosultság és Hozzáférés Kezelési Szabályzat, az Üzemeltetési Szabályzat, a Változáskezelési Szabályzat, a Mentési és Archiválási Szabályzat, a Vírusvédelmi Szabályzat, a Felhasználói Szabályzat, a Hitelesítési és Hálózatbiztonsági Szabályzat.