Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Információbiztonság irányítása Belső kontrollok és integritás szakmai nap 2013.12.12, Szolnok Horváth Gergely Krisztián, CISA CISM

Hasonló előadás


Az előadások a következő témára: "Információbiztonság irányítása Belső kontrollok és integritás szakmai nap 2013.12.12, Szolnok Horváth Gergely Krisztián, CISA CISM"— Előadás másolata:

1 Információbiztonság irányítása Belső kontrollok és integritás szakmai nap , Szolnok Horváth Gergely Krisztián, CISA CISM

2 Napirend • Bevezető • Fogalmak • Jogszabályi háttér • Irányítás és az információbiztonság • Módszertani és tájékoztató anyagok

3 BEMSZ • A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése: – a belső ellenőrzési szakma magyarországi elfogadtatása, támogatása, fejlesztése, érdekképviselete; – a nemzetközi és európai belső ellenőrzési ismeretek és szakmai gyakorlat magyarországi megismertetése, – a belső ellenőrök képzése és vizsgáztatása.

4 Információ, mint értékes erőforrás • Egyre nő az információ értéke! • Érték, ha – a megfelelő információ – a megfelelő időben, – és az elvárt tartalommal áll rendelkezésre!

5 Találós kérdés! • Miért van fék az autókon?

6 Mi a biztonság? • Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt (Vasvári, 1997)

7 Biztonság részleteiben • Bizalmasság: csak korlátozott számú kevesek ismerhetik. • Sértetlenség: az eredeti állapotának megfelel, és a forrása is eredeti (hitelesség). • Rendelkezésre állás: az erőforrások olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).

8 Fogalmak tisztázása • Adatvédelem (2011. évi CXII. tv) – a hatályos jogszabályok és a szervezet érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme, • Adatbiztonság (2013. évi L. tv) – az adatok biztonsága szempontjából az információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme,

9 Elvárások és a valóság Elvárások: • Információbiztonság teremtsen értéket • Segítse elő a szabályszerű működést • Legyen mérhető megtérülése minden beruházásnak Valóság gyakran… • Adatbiztonság sérülése (ÁSZ jelentésekben is!) • Kockázatértékelés hiánya • Ad-hoc intézkedések • Szabálytalanságok • Elmulasztott határidők • Szivárgó információ

10 Jogi háttér (kivonat) • Létfontosságú infrastruktúra védelme tv. (2012. évi CLXVI.) • Állami és önkormányzati információbiztonsági tv. (2013. évi L.) • A minősített adat védelméről szóló tv. (2009.évi CLV.) • Munka törvénykönyve § (2013. évi I.) • Az információs önrendelkezési jogról és az információszabadságról tv § (2011. évi CXII.) • A Büntető Törvénykönyvről szóló törvény – pl §, 423. §, 424. § (2012. évi C. törvény)

11 Biztonsági Vezető • A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2)) • Forrás:

12 Információbiztonsági felelős (IBF) (elektronikus információs rendszer biztonságáért felelős személy) • A szervezet vezetője köteles... • az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ ) • azonos lehet a biztonsági vezetővel (Mavtv), • Forrás: évi L. törvény

13 Információbiztonság irányítása • Fontos, hogy a vezetők egyéb kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák. • A szervezetek sikerének egyik kulcsa az információbiztonság hatékony irányítása.

14 Információbiztonság irányítása • A megfelelő irányítás alatt a kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.

15 Információbiztonság-irányítás  Kapcsolódó fontosabb tevékenységek:  Szervezeti és biztonsági célok illesztése,  Szervezeti keretek kialakítása,  Kockázatvállalási képesség meghatározása,  Megfelelőségi követelmények meghatározása,  Információbiztonsági szabályzat kiadása,  Felsővezetői támogatás biztosítása,  Információbiztonság figyelemmel kísérése.

16 Irányítás vs. menedzsment • Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot. • A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.

17 Információbiztonság-menedzsment Az információbiztonság menedzsment:  Az Informatikai szolgáltatások sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során,  A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,

18 Információbiztonság modellje • Információbiztonság stratégia – Célok és kapcsolatuk az adott szervezetben • Információbiztonsági szerepek – Felelősök és feladatok, szervezeti keretek • Információbiztonsági program – Célkitűzések, megvalósítás módszerei • Akciótervek (megvalósítás részletei) • Figyelemmel kísérés, visszamérés – Mutatószámok, visszacsatolás

19 Mit tegyen a vezető? • Alakítsa ki a szervezeti kereteket! • Tudja mik az aktuális problémák! • Tudja, hogy mit kell kérdezni! • Vezetői tudatosságot növelje! • Legyen pontos elképzelése a célokról! • Mérje a teljesítményt! • Ne hagyja abba a biztonság irányítását

20 KIFÜ tájékoztató • Közérthető nyelvezet • Alapfogalmak magyarázata • Életszerű példák • Vezetői, ügyintézői és informatikai segédlet

21 KIB 25. ajánlás (2008) • Több kötetben, magyarul • Az információbiztonsági irányítási és menedzsment útmutatók, jó gyakorlatok • (több száz oldal!) • Forrás: ekk.gov.hu

22 ISACA: CobiT 5 for InfoSecurity 2012 • Átfogó információ- biztonság irányítási és menedzsment gyakorlatok • Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!) • Forrás: isaca.org

23 Kérdések? ? ? ?

24 Vége Köszönöm a megtisztelő figyelmüket! Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.


Letölteni ppt "Információbiztonság irányítása Belső kontrollok és integritás szakmai nap 2013.12.12, Szolnok Horváth Gergely Krisztián, CISA CISM"

Hasonló előadás


Google Hirdetések