Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.

KiadtaHanna Bognárné Megváltozta több, mint 7 éve

Hasonló előadás

Az előadások a következő témára: "2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor."— Előadás másolata:

1 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor Dénes Főiskola Információvédelem menedzselése

2 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 2 Az informatikai biztonság tárgya Az információval szembeni követelmények: Minőségi (quality) követelmények: eredményesség (effectiveness), hatékonyság (efficiency) Bizalmi (fiduciary) követelmények: szabályosság (compliance), megbízhatóság (reliability) Biztonsági (security) követelmények:  bizalmasság (confidentiality),  sértetlenség (integrity),  rendelkezésre állás (availability)

3 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 3 A biztonság érvényre juttatása Technológiai szemlélet Szervezeti/irányítási szemlélet Informatikai termékek: fejlesztése, értékelése tanúsítása, garancia karbantartása Követelmények, biztonságpolitika, szabályzatok kialakítása A környezeti biztonság megteremtése: szervezeti, személyi, fizikai eszközökkel A két szemlélet egymást kiegészíti és erősíti

4 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 4 MIBA MIBIK MIBÉTS IBIX

5 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 5 Informatikai biztonsági szabványok MIBÉTS MIBIK

6 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 6 a termékorientált szemlélet helyett egy szervezeti szintű informatikai biztonság- menedzsment központú szemlélet a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg „biztonság biztosítás”

7 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 7 Informatikai Biztonság Irányítási Rendszer Az IBIR a TVEB TVEB (PDCA = Plan-Do-Check-Act, Tervezés-Végrehajtás-Ellenőrzés-Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.

8 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 8 Az Informatikai Biztonság Irányításának Követelményei Az IBIK alapját az ISO/IEC 27002:2005, az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.

9 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 9 IBIK Célja a szervezetek az egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása informatikai biztonságának megteremtéséhez.

10 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 10 Az informatikai biztonság irányításának vizsgálata A nemzetközi gyakorlatban is egyre jobban terjed az ISO/IEC 27001 szabványnak való megfelelést bizonyító audit elvégzése. A hazai gyakorlatban nincs elfogadott, elismert eljárásrend sem a tanúsítási folyamatra, sem a tanúsító szervezetek engedélyezésére.

11 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 IBIV A vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS 7799-2:2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 munkadokumentumok képzik.

12 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 12 Kockázatelemzés - kockázatbecslés A MeH ITB 8. számú ajánlásból („CCTA Risk Analysis and Management Method”) a kockázatelemzési módszertan került aktualizálásra. FIPS 199/200

13 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 13 Az IBIR folyamatainak vizsgálata Az összeállított kérdőívek lefedik az Informatikai Biztonság Irányítási Rendszer (IBIR, ISMS – Information Security Management System) folyamatokat.

14 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 14 A biztonsági rések vizsgálata (Gap ananlysis A biztonsági rések vizsgálata (Gap ananlysis) Az összeállított kérdőivek feladata, hogy segítségükkel részletesen meghatározzuk, hogy az IBIK követelményei mennyiben kerültek megvalósításra. (Az intézkedések részletes vizsgálata)

15 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 15 A MIBÉTS alapja MSZ ISO/IEC 15408 Az informatikai biztonságértékelés közös szempontjai /Common Criteria, CC/ ISO/IEC 18045 Az informatikai biztonság közös értékelési módszertana /Common Evaluation Methodology, CEM/ CCRA Megállapodás a közös szempontok szerinti tanúsítványok elfogadására az informatikai biztonság területén /hazánk csatlakozott ehhez/

16 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 16 MIBÉTS  MIBIK Az informatikai biztonság technológiai szemléletű megközelítése megalapozza és segíti a szervezeti/irányítási szemléletű megközelítéseket is. A MIBÉTS értékelési módszertana teljes összhangban van a Közös szempontok (CC) és a Közös értékelési módszertan (CEM) elveivel, megfelelve a CCRA elvárásainak is. A MIBÉTS értékelési módszertana sikeres kipróbálásra került, a tapasztalatok beépültek az ajánlásba.

17 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 17 A biztonságos rendszerek kialakítása : 1. Törekedni kell értékelt és tanúsított termékek alkalmazására /ahol ezt a körülmények indokolják/ 2. A biztonsági szempontból értékelt termékekre vonatkozóan: A CC tanúsítással rendelkező termékek beszerzése és felhasználása kívánatos, további értékelésükre nincs szükség. Hazai fejlesztések és felhasználás esetén a MIBÉTS módszertana alapján értékelt termékek is elfogadhatók, javasoltak.

18 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 18 A biztonságos rendszerek kialakítása: 3. Az értékelt és tanúsított termékek elterjesztésére javasolt módszerek: Új informatikai rendszerek kialakításánál, meglévő rendszerek bővítésénél CC vagy MIBÉTS igazolással rendelkező termékek beszerzése A biztonsági szempontból értékelt termékek kötelező használatának fokozatos, idővel egyre szélesebb körű előírása /közbeszerzések, versenyeljárások/ A központi támogatással megvalósuló informatikai rendszer kialakítások és bővítések támogatási feltétele legyen az igazoltan biztonságos termékek alkalmazásának elvárása

19 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 19 Mire alkalmazható a MIBÉTS? A módszertan technológiai szempontból univerzális alkalmazható az informatikai „alap” terméktípusokra: operációs rendszer, adatbázis-kezelő rendszer, tűzfal, behatolás-észlelő rendszer, web böngésző intelligens kártya, biometriás eszköz, virtuális magánhálózat (VPN), nyilvános kulcsú infrastruktúra (PKI), a legkülönbözőbb szoftver alkalmazásokra, és a fentiekből integrált különböző informatikai rendszerekre A módszertan javasolt (hazai) alkalmazási területei: a legkülönbözőbb hazai fejlesztésű szoftver alkalmazások, már értékelt „alap” terméktípusokból és hazai fejlesztésű alkalmazásokból integrált rendszerek.

20 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 20 A módszertan elemei Az értékelés módszertana A sémában alkalmazott értékelési módszertan áttekintése 1. A biztonsági előirányzat értékelési módszertana 2. Az alap garanciaszint értékelési módszertana 3. A fokozott garanciaszint értékelési módszertana 4. A kiemelt garanciaszint értékelési módszertana 5. Általános értékelési útmutató Módszertani útmutatók Útmutató a megbízók számára Útmutató a fejlesztők számára Útmutató az értékelők számára

21 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 21 Hogyan tovább?

22 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 22 FELKÉSZÜLTÜNK? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására? Ehhez vannak felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel is foglalkoznak, és akik képesek a kárfelszámolására?

23 2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 23 Köszönöm a figyelmet!

Letölteni ppt "2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor."

Hasonló előadás

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
A MIBÉTS szerinti értékelőlaborok

A MIBÉTS szerinti értékelőlaborok
Információbiztonság a Magyar Köztársaság közigazgatásában dr

Információbiztonság a Magyar Köztársaság közigazgatásában dr
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.

MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.

Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Az Informatikai biztonság alapjai

Az Informatikai biztonság alapjai
Minőségirányítás a felsőoktatásban

Minőségirányítás a felsőoktatásban
Szoftverminőség biztosítása

Szoftverminőség biztosítása
2017.04.04. képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.

képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Szabványok és ajánlások az informatikai biztonság területén

Szabványok és ajánlások az informatikai biztonság területén
Common Criteria szerinti értékelések lehetőségei Magyarországon

Common Criteria szerinti értékelések lehetőségei Magyarországon
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?

Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN

S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN
2007.11.27. Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.

Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.

A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság

Munkahelyi egészség és biztonság
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.

ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete

Az adatbiztonság fizikai biztonsági vetülete
Magyar Bankszövetség 2003.11.20. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20.

Magyar Bankszövetség NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft

Hasonló előadás

Google Hirdetések