Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Információbiztonság irányítása
Belső kontrollok és integritás szakmai nap , Szolnok Horváth Gergely Krisztián, CISA CISM
2
Napirend Bevezető Fogalmak Jogszabályi háttér
Irányítás és az információbiztonság Módszertani és tájékoztató anyagok
3
BEMSZ A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése:
a belső ellenőrzési szakma magyarországi elfogadtatása, támogatása, fejlesztése, érdekképviselete; a nemzetközi és európai belső ellenőrzési ismeretek és szakmai gyakorlat magyarországi megismertetése, a belső ellenőrök képzése és vizsgáztatása.
4
Információ, mint értékes erőforrás
Egyre nő az információ értéke! Érték, ha a megfelelő információ a megfelelő időben, és az elvárt tartalommal áll rendelkezésre!
5
Miért van fék az autókon?
Találós kérdés! Miért van fék az autókon?
6
Mi a biztonság? Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt (Vasvári, 1997)
7
Biztonság részleteiben
Bizalmasság: csak korlátozott számú kevesek ismerhetik. Sértetlenség: az eredeti állapotának megfelel, és a forrása is eredeti (hitelesség). Rendelkezésre állás: az erőforrások olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).
8
Fogalmak tisztázása Adatvédelem (2011. évi CXII. tv)
a hatályos jogszabályok és a szervezet érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme, Adatbiztonság (2013. évi L. tv) az adatok biztonsága szempontjából az információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme, a biztonság tehát az állapot megváltozásának valószínűségével fordított viszonyban van.
9
Elvárások és a valóság Elvárások: Valóság gyakran…
Információbiztonság teremtsen értéket Segítse elő a szabályszerű működést Legyen mérhető megtérülése minden beruházásnak Adatbiztonság sérülése (ÁSZ jelentésekben is!) Kockázatértékelés hiánya Ad-hoc intézkedések Szabálytalanságok Elmulasztott határidők Szivárgó információ
10
Jogi háttér (kivonat) Létfontosságú infrastruktúra védelme tv. (2012. évi CLXVI.) Állami és önkormányzati információbiztonsági tv. (2013. évi L.) A minősített adat védelméről szóló tv. (2009.évi CLV.) Munka törvénykönyve § (2013. évi I.) Az információs önrendelkezési jogról és az információszabadságról tv § (2011. évi CXII.) A Büntető Törvénykönyvről szóló törvény – pl §, 423. §, 424. § (2012. évi C. törvény)
11
Biztonsági Vezető A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2)) Forrás:
12
Információbiztonsági felelős (IBF) (elektronikus információs rendszer biztonságáért felelős személy)
A szervezet vezetője köteles ... az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ ) azonos lehet a biztonsági vezetővel (Mavtv), Forrás: évi L. törvény
13
Információbiztonság irányítása
Fontos, hogy a vezetők egyéb kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák. A szervezetek sikerének egyik kulcsa az információbiztonság hatékony irányítása.
14
Információbiztonság irányítása
A megfelelő irányítás alatt a kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.
15
Információbiztonság-irányítás
Kapcsolódó fontosabb tevékenységek: Szervezeti és biztonsági célok illesztése, Szervezeti keretek kialakítása, Kockázatvállalási képesség meghatározása, Megfelelőségi követelmények meghatározása, Információbiztonsági szabályzat kiadása, Felsővezetői támogatás biztosítása, Információbiztonság figyelemmel kísérése.
16
Irányítás vs. menedzsment
Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot. A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.
17
Információbiztonság-menedzsment
Az információbiztonság menedzsment: Az Informatikai szolgáltatások sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során, A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,
18
Információbiztonság modellje
Információbiztonság stratégia Célok és kapcsolatuk az adott szervezetben Információbiztonsági szerepek Felelősök és feladatok, szervezeti keretek Információbiztonsági program Célkitűzések, megvalósítás módszerei Akciótervek (megvalósítás részletei) Figyelemmel kísérés, visszamérés Mutatószámok, visszacsatolás
19
Mit tegyen a vezető? Alakítsa ki a szervezeti kereteket!
Tudja mik az aktuális problémák! Tudja, hogy mit kell kérdezni! Vezetői tudatosságot növelje! Legyen pontos elképzelése a célokról! Mérje a teljesítményt! Ne hagyja abba a biztonság irányítását
20
KIFÜ tájékoztató Közérthető nyelvezet Alapfogalmak magyarázata
Életszerű példák Vezetői, ügyintézői és informatikai segédlet
21
KIB 25. ajánlás (2008) Több kötetben, magyarul
Az információbiztonsági irányítási és menedzsment útmutatók, jó gyakorlatok (több száz oldal!) Forrás: ekk.gov.hu
22
ISACA: CobiT 5 for InfoSecurity 2012
Átfogó információ-biztonság irányítási és menedzsment gyakorlatok Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!) Forrás: isaca.org
23
Kérdések? ? ? ?
24
Köszönöm a megtisztelő figyelmüket!
Vége Köszönöm a megtisztelő figyelmüket! Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.