Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Information Risk Management ADVISORY Informatikai biztonság, felelősség megosztás, outsourcing Antal Lajos, Senior Manager 2006. március 31.

Hasonló előadás


Az előadások a következő témára: "Information Risk Management ADVISORY Informatikai biztonság, felelősség megosztás, outsourcing Antal Lajos, Senior Manager 2006. március 31."— Előadás másolata:

1 Information Risk Management ADVISORY Informatikai biztonság, felelősség megosztás, outsourcing Antal Lajos, Senior Manager március 31.

2 2 Informatikai biztonság Wikipedia meghatározás Information security deals with several different "trust" aspects of information. Another common term is information assurance. Information security is not confined to computer systems, nor to information in an electronic or machine- readable form. It applies to all aspects of safeguarding or protecting information or data, in whatever form.

3 3 Informatikai biztonság The U.S. National Information Systems Security Glossary defines Information systems security (INFOSEC) as The protection of information systems against unauthorized access to or modification of information, whether in storage, processing or transit, and against the denial of service to authorized users or the provision of service to unauthorized users, including those measures necessary to detect, document, and counter such threats.

4 4 Biztonságban tudni a védendő adatokat Miből áll a biztonság? Bruce Schneier vetette fel a Secrets and Lies c. könyvében, hogy az informatikai biztonság a kockázatkezelésről szól. Három általánosan elfogadott eleme: Confidentiality Integrity Availability

5 5 Kinek a felelőssége a biztonság? A szereplők: Security Officer – fő feladata azt biztosítani, hogy a szervezet információi és információ-feldogozó erőforrásai megfelelően védettek – stratégia, IT biztonsági program, BCP, kockázatkezelés stb. Internal IT audit IT (minőségbiztosítás) Üzlet Ügyfelek

6 6 Outsourcing Application System Providers Hitelkártya feldolgozók Internet szolgáltatók Regional Transmission Organisations Infrastructure outsourcing Teljes IT outsourcing Egyes funkciók (pl.: IT biztonság)

7 7 Kinek a felelőssége az IT biztonság az outsourcing esetében? SLA szabályozás Tapasztalat azt mutatja, hogy sok esetben amennyiben nem rögzített SLA-ban, senki sem érzi sajátjának Informatikai biztonsági standardok elfogadtatása Jelentési kötelezettségek elfogadtatása Audit

8 8 Független audit Szolgáltatók auditja általánosan elfogadott a SAS 70, bizonyos esetekben alkalmazott a SysTrust és a WebTrust az ügyfél elrendelhet biztonsági vizsgálatot (korlátok) biztonsági felügyelet/monitoring

9 9 SAS 70 Company A (Service Organisation) Company A’s Customers (User Organisations and Internal Auditors) CPA Firm (Service Auditor) CPA Firm (User Organization Third Party Auditor)

10 10 SAS 70 / SysTrust SAS 70SysTrust Vizsgálat jellegeA jelentés a szolgáltató kontrolljairól nyújt információt. A rendszer megbízhatóságáról nyújt információt. Merev kontroll-rendszert alkalmaz? Nem, a szolgáltató definiálja a kontrollokat. Igen Lényegi elemeiRészletes leírást tartalmaz a kontroll designról valamint azok működési hatékonyságáról. Nem tartalmaz részleteket a kontroll folyamatokról. Milyen rendszereket érintTipikusan tranzakció- feldolgozó és adatkezelő rendszerek Bármely Kinek adható ki a jelentésSzolgáltató, ügyfelek, leendő ügyfelek és azok könyvvizsgálói Bárkinek Kinek szól a jelentésSzolgáltató, ügyfelek és azok könyvvizsgálói Tulajdonosok, vezetés, ügyfelek és üzleti partnerek

11 11 Nemzetközi és hazai tapasztalatok  Az első hazai SAS 70 vizsgálatok mostanság történtek  SOX hazai téren még mindig jelentős motiváló tényező  Angolszász területen a SOX előtt is jelentős igény mutatkozott a SAS 70 típusú vizsgálatokra  Hazai törvényi előírások

12 12 Presenter’s contact details Antal Lajos KPMG Tanácsadó Kft. +36 (1) The information contained herein presentation is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. © 2006 KPMG Tanácsadó Kft., the Hungarian member firm of KPMG International, a Swiss cooperative. All rights reserved. Printed in Hungary.


Letölteni ppt "Information Risk Management ADVISORY Informatikai biztonság, felelősség megosztás, outsourcing Antal Lajos, Senior Manager 2006. március 31."

Hasonló előadás


Google Hirdetések