Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.

Hasonló előadás


Az előadások a következő témára: "2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor."— Előadás másolata:

1 Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor Dénes Főiskola Információvédelem menedzselése

2 Információbiztonság menedzselése XXXI. szakmai fórum 2 Az informatikai biztonság tárgya Az információval szembeni követelmények: Minőségi (quality) követelmények: eredményesség (effectiveness), hatékonyság (efficiency) Bizalmi (fiduciary) követelmények: szabályosság (compliance), megbízhatóság (reliability) Biztonsági (security) követelmények:  bizalmasság (confidentiality),  sértetlenség (integrity),  rendelkezésre állás (availability)

3 Információbiztonság menedzselése XXXI. szakmai fórum 3 A biztonság érvényre juttatása Technológiai szemlélet Szervezeti/irányítási szemlélet Informatikai termékek: fejlesztése, értékelése tanúsítása, garancia karbantartása Követelmények, biztonságpolitika, szabályzatok kialakítása A környezeti biztonság megteremtése: szervezeti, személyi, fizikai eszközökkel A két szemlélet egymást kiegészíti és erősíti

4 Információbiztonság menedzselése XXXI. szakmai fórum 4 MIBA MIBIK MIBÉTS IBIX

5 Információbiztonság menedzselése XXXI. szakmai fórum 5 Informatikai biztonsági szabványok MIBÉTS MIBIK

6 Információbiztonság menedzselése XXXI. szakmai fórum 6 a termékorientált szemlélet helyett egy szervezeti szintű informatikai biztonság- menedzsment központú szemlélet a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg „biztonság biztosítás”

7 Információbiztonság menedzselése XXXI. szakmai fórum 7 Informatikai Biztonság Irányítási Rendszer Az IBIR a TVEB TVEB (PDCA = Plan-Do-Check-Act, Tervezés-Végrehajtás-Ellenőrzés-Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.

8 Információbiztonság menedzselése XXXI. szakmai fórum 8 Az Informatikai Biztonság Irányításának Követelményei Az IBIK alapját az ISO/IEC 27002:2005, az ISO/IEC TR nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.

9 Információbiztonság menedzselése XXXI. szakmai fórum 9 IBIK Célja a szervezetek az egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása informatikai biztonságának megteremtéséhez.

10 Információbiztonság menedzselése XXXI. szakmai fórum 10 Az informatikai biztonság irányításának vizsgálata A nemzetközi gyakorlatban is egyre jobban terjed az ISO/IEC szabványnak való megfelelést bizonyító audit elvégzése. A hazai gyakorlatban nincs elfogadott, elismert eljárásrend sem a tanúsítási folyamatra, sem a tanúsító szervezetek engedélyezésére.

11 Információbiztonság menedzselése XXXI. szakmai fórum 11 IBIV A vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS :2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 munkadokumentumok képzik.

12 Információbiztonság menedzselése XXXI. szakmai fórum 12 Kockázatelemzés - kockázatbecslés A MeH ITB 8. számú ajánlásból („CCTA Risk Analysis and Management Method”) a kockázatelemzési módszertan került aktualizálásra. FIPS 199/200

13 Információbiztonság menedzselése XXXI. szakmai fórum 13 Az IBIR folyamatainak vizsgálata Az összeállított kérdőívek lefedik az Informatikai Biztonság Irányítási Rendszer (IBIR, ISMS – Information Security Management System) folyamatokat.

14 Információbiztonság menedzselése XXXI. szakmai fórum 14 A biztonsági rések vizsgálata (Gap ananlysis A biztonsági rések vizsgálata (Gap ananlysis) Az összeállított kérdőivek feladata, hogy segítségükkel részletesen meghatározzuk, hogy az IBIK követelményei mennyiben kerültek megvalósításra. (Az intézkedések részletes vizsgálata)

15 Információbiztonság menedzselése XXXI. szakmai fórum 15 A MIBÉTS alapja MSZ ISO/IEC Az informatikai biztonságértékelés közös szempontjai /Common Criteria, CC/ ISO/IEC Az informatikai biztonság közös értékelési módszertana /Common Evaluation Methodology, CEM/ CCRA Megállapodás a közös szempontok szerinti tanúsítványok elfogadására az informatikai biztonság területén /hazánk csatlakozott ehhez/

16 Információbiztonság menedzselése XXXI. szakmai fórum 16 MIBÉTS  MIBIK Az informatikai biztonság technológiai szemléletű megközelítése megalapozza és segíti a szervezeti/irányítási szemléletű megközelítéseket is. A MIBÉTS értékelési módszertana teljes összhangban van a Közös szempontok (CC) és a Közös értékelési módszertan (CEM) elveivel, megfelelve a CCRA elvárásainak is. A MIBÉTS értékelési módszertana sikeres kipróbálásra került, a tapasztalatok beépültek az ajánlásba.

17 Információbiztonság menedzselése XXXI. szakmai fórum 17 A biztonságos rendszerek kialakítása : 1. Törekedni kell értékelt és tanúsított termékek alkalmazására /ahol ezt a körülmények indokolják/ 2. A biztonsági szempontból értékelt termékekre vonatkozóan: A CC tanúsítással rendelkező termékek beszerzése és felhasználása kívánatos, további értékelésükre nincs szükség. Hazai fejlesztések és felhasználás esetén a MIBÉTS módszertana alapján értékelt termékek is elfogadhatók, javasoltak.

18 Információbiztonság menedzselése XXXI. szakmai fórum 18 A biztonságos rendszerek kialakítása: 3. Az értékelt és tanúsított termékek elterjesztésére javasolt módszerek: Új informatikai rendszerek kialakításánál, meglévő rendszerek bővítésénél CC vagy MIBÉTS igazolással rendelkező termékek beszerzése A biztonsági szempontból értékelt termékek kötelező használatának fokozatos, idővel egyre szélesebb körű előírása /közbeszerzések, versenyeljárások/ A központi támogatással megvalósuló informatikai rendszer kialakítások és bővítések támogatási feltétele legyen az igazoltan biztonságos termékek alkalmazásának elvárása

19 Információbiztonság menedzselése XXXI. szakmai fórum 19 Mire alkalmazható a MIBÉTS? A módszertan technológiai szempontból univerzális alkalmazható az informatikai „alap” terméktípusokra: operációs rendszer, adatbázis-kezelő rendszer, tűzfal, behatolás-észlelő rendszer, web böngésző intelligens kártya, biometriás eszköz, virtuális magánhálózat (VPN), nyilvános kulcsú infrastruktúra (PKI), a legkülönbözőbb szoftver alkalmazásokra, és a fentiekből integrált különböző informatikai rendszerekre A módszertan javasolt (hazai) alkalmazási területei: a legkülönbözőbb hazai fejlesztésű szoftver alkalmazások, már értékelt „alap” terméktípusokból és hazai fejlesztésű alkalmazásokból integrált rendszerek.

20 Információbiztonság menedzselése XXXI. szakmai fórum 20 A módszertan elemei Az értékelés módszertana A sémában alkalmazott értékelési módszertan áttekintése 1. A biztonsági előirányzat értékelési módszertana 2. Az alap garanciaszint értékelési módszertana 3. A fokozott garanciaszint értékelési módszertana 4. A kiemelt garanciaszint értékelési módszertana 5. Általános értékelési útmutató Módszertani útmutatók Útmutató a megbízók számára Útmutató a fejlesztők számára Útmutató az értékelők számára

21 Információbiztonság menedzselése XXXI. szakmai fórum 21 Hogyan tovább?

22 Információbiztonság menedzselése XXXI. szakmai fórum 22 FELKÉSZÜLTÜNK? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására? Ehhez vannak felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel is foglalkoznak, és akik képesek a kárfelszámolására?

23 Információbiztonság menedzselése XXXI. szakmai fórum 23 Köszönöm a figyelmet!


Letölteni ppt "2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor."

Hasonló előadás


Google Hirdetések