Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Módszertani ajánlások IT Biztonsági Gyakorlatok szervezéséhez Dr Lőrincz István Információvédelem menedzselése Szakmai fórum 2009. január 21. A Hétpecsét.

KiadtaAmanda Nagy Megváltozta több, mint 8 éve

Hasonló előadás

Az előadások a következő témára: "Módszertani ajánlások IT Biztonsági Gyakorlatok szervezéséhez Dr Lőrincz István Információvédelem menedzselése Szakmai fórum 2009. január 21. A Hétpecsét."— Előadás másolata:

1 Módszertani ajánlások IT Biztonsági Gyakorlatok szervezéséhez Dr Lőrincz István Információvédelem menedzselése Szakmai fórum 2009. január 21. A Hétpecsét Információbiztonsági Egyesület Platánus Hotel, Budapest, Könyves Kálmán krt. 44.

2 2009.01.21.2 TARTALOM _______________________________________________ ASSOCIATOR ___ 1 Mit értsünk IT Biztonsági Gyakorlaton? 2 Gyakorlatok fajtái (módszertani osztályozás) 3 Egy IT-Biztonsági gyakorlat pályája 4 IT Biztonsági gyakorlatok előkészítése 5 IT Biztonsági gyakorlatok Végrehajtás 6 IT Biztonsági gyakorlatok Utóélete 7 Gyakorlatszervező eszközök 8 Tanulságok

3 2009.01.21.3 1 Mit értsünk IT Biztonsági Gyakorlaton? /1 _______________________________________________ ASSOCIATOR ___ 1.1 A gyakorlat: –(népszerűen) kockázatkezelés (tanulása) „kockázat” nélkül –(szabatosan) a gyakorló szervezet folyamatainak teszt működéssel történő ellenőrzése –(szokásosan) legmagasabb rendű audit, minden kérdést a „működik vagy sem” próbára egyszerűsítve 1.2 IT Biztonsági gyakorlat: –A szervezet IT vonzatú folyamatainak teszt ellenőrzése (nem „csak” az IT folyamatoké) 1.3 Folyamat modell: –Kezdő állapot –Záró állapot –Állapot átmenetek

4 2009.01.21.4 1 Mit értsünk IT Biztonsági Gyakorlaton? /2 _______________________________________________ ASSOCIATOR ___ 1.4 Gyakorlat célja: Mindig szervezeti és csak mellékesen egyéni vagy csoportos: [ÜZLETI Dimenzió] –Átfogó képesség (Részleg, Üzem, Telephely, Cég, Al-/Társ vállalkozás); –Mélység (Folyamat kapcsolatok, Partner kapcsolatok, Piaci együttműködések); –Részesedés (Forráskezelés, Termék/Szolgáltatás terjesztés, Szűk keresztmetszetek kezelése, Terjeszkedés) [BCP-DRP Dimenzió] Felkészültség, Előkészítettség; Válaszadó képesség; Védettség; Hibatűrés; Visszaállító képesség; [PEDAGÓGIAI Dimenzió] (Ki)képzés; Felkészítés; Nevelés, Edzés- Stimulálás; Felmérés; Hatékonyság növelés, Tudatosság javítás; Alkalmazkodó képesség javítás; Szerep-/Felelősség vállalás [AUDIT Dimenzió] Szabályozottság, Megfelelőség, Szabványosság, Kapcsolattartás, Érdekérvényesítés, Próba (Nemzetközi/EU, Országos, Ágazati, Partner/Szerződéses, Belső controllok szerint) – összefoglalóan ÉRETTSÉG, ha lehet valamely modell szerint

5 2009.01.21.5 1 Mit értsünk IT Biztonsági Gyakorlaton? /3 _______________________________________________ ASSOCIATOR ___ 1.5 Példa Pl: egy IT Incidenskezelési gyakorlat célja lehet az, hogy a résztvevő intézmények: –megkísérlik tisztázni egy DoS támadás intézmény specifikus, informatika-specifikus illetve bűnüldözéssel kapcsolatos jegyeit és ezek mentén az együttműködés lehetséges-, kívánatos-, az esetleg szabványosíthatónak ajánlható vagy éppen kizáró formáit; –megkísérlik fejleszteni a közös fellépések lehetséges és kívánatos eljárásrendjét, szükség szerint az együttműködés kiszélesítését elősegítő és most még hiányzó szabályozókat (vagy éppen eltávolítani a most még akadályt jelentő szabályozókat); – megosztják egymással az eddigi tevékenységük kölcsönösen hasznosítható IT-Incidens kezelésre vonatkozó tapasztalatait, szabályozóit, segédleteit, tananyagait; –a gyakorlat kiemelt feladata, hogy szervezeteik külön-külön gyakorolják az incidens kezelésre előirt kontrollokat és kialakítsák a szervezetközi incidens kezelési együttműködés eljárásait.

6 2009.01.21.6 1 Mit értsünk IT Biztonsági Gyakorlaton? /4 _______________________________________________ ASSOCIATOR ___ 1.6 Gyakorlat Elvárások: HATÉKONYSÁG (hatékonyság mindenféle értelemben) Időben (a lehető legrövidebb legyen) Emberben (a lehető legkevesebb emberrel legyen végrehajtható) Pénzben (lehetőleg „ingyen” legyen kockázat mentes) SZERVEZETBEN (teljesítse hivatását a szokásos üzletmenet fenntartása mellett) Kifelé és befelé egyaránt kommunikálható megfelelőség, a gyakorlattal bizonyított érettség. 1.7 Hamis elvárások/törekvések: — Pl. a gyakorlat látszat auditjának felmutatása állami ellenőrzés félrevezetésére vagy ellentmondásba keverésére. — Pl. Részérdek felnagyítása szervezeti indokkal nem alátámasztható fejlesztési igények prioritásának megváltoztatására.

7 2009.01.21.7 2 Gyakorlatok fajtái (módszertani osztályozás) _______________________________________________ ASSOCIATOR ___ 2.1 Cél szerinti osztályozás: –a fenti célmegjelölések szerint szinte „végtelen” változatosság érhető el, ezért nem praktikus. Jobb is van: 2.2 a Módszertani osztályozás. Két szélső módszertani változat: –2.2.1 Üzemviteli gyakorlat: valóságos vagy tervezett folyamatok teszt körülmények közötti üzemszerű végrehajtása –2.2.2 Törzsvezetési gyakorlat: valóságos vagy tervezett folyamatok szimulált végrehajtása. –2.2.3 Módszertani Átmenetek: A két változat között szintén „végtelen” átmeneti változat elképzelhető és végbevihető.

8 2009.01.21.8 3 Egy IT-Biztonsági gyakorlat pályája _______________________________________________ ASSOCIATOR ___ 3.1 Előkészítő fázis (Résztvevő csoportokra fokozatosan kiterjedően): –3.1.1 Tervezés Célkitűzésből végrehajtható Forgatókönyv készítés folyamata, Rengeteg egyeztetés Erőforrások [Szervezet, Ember, Idő, Pénz] – 3.1.2 Szervezés Dokumentálás 3.2 Végrehajtás fázis –Szabványosított kommunikáció minden eseményről –Forgatókönyv megvalósult tevékenységek –Forgatókönyv regisztrált megállapítások –Log készítés 3.3 Értékelés fázis –Gyűjtés Résztvevőktől –Gyűjtés Kidolgozás Értékelőktől –Gyűjtés Megfigyelőktől –Értékelés (összefoglalás) –Kommunikáció (közzététel) Külső Belső

9 2009.01.21.9 4 IT Biztonsági gyakorlatok Előkészítése _______________________________________________ ASSOCIATOR ___ 4.1.1 Tervezés –Célkitűzés, –Erőforrások [Szervezet, Ember, Idő, Pénz] allokációja 4.1.2 Szervezés –Döntés, Scenárió, Forgatókönyv, Résztvevők, Szerepek, –Tervező értekezlet I (erőforrások megszervezése), –Tervező értekezlet II (Audit megtervezése), –Tervező értekezlet III (Technika betanulása) 4.1.3 a Gyakorlat szervezete –Központi törzs –Telephelyi törzsek –Ellenőrök –Megfigyelők –Technikai támogatáskiszolgálás –Gyakorlatvezető

10 2009.01.21.10 5 IT Biztonsági gyakorlatok Végrehajtása _______________________________________________ ASSOCIATOR ___ A Gyakorlat helyszíne(i) –Törzsek (Központi, Telephelyi) –Folyamat helyszínek 5.1 a Gyakorlat gyakorlása (Opcionális) 5.2 a Gyakorlat maga 5.3 a Gyakorlat értékelése „T” és „GY” Időskálák Ki Kitől Mit Mikor Kér és Kap

11 2009.01.21.11 6 IT Biztonsági gyakorlatok Utóélete _______________________________________________ ASSOCIATOR ___ 6.1 Gyakorlat jelentés –Gyűjtés Résztvevőktől –Gyűjtés Kidolgozás Értékelőktől –Gyűjtés Megfigyelőktől 6.2 Értékelés (összefoglalás) –Résztvevők szerepe és feladatai –Értékelők szerepe és feladatai –Támogatók szerepe és feladatai 6.3 Kommunikáció (közzététel) Külső Belső –Belső értékelés –Külső közlemény (kommunike)

12 2009.01.21.12 7 Gyakorlatszervező eszközök /1 _______________________________________________ ASSOCIATOR ___ 7.1 Papír Ceruza eszközök –(Office szintig) 7.2 IT segédeszközök –Log kezelés, Log formátum, –Probléma Jegyek kezelése, –Help Desk működés, –Projekt kezelők 7.3 EMS (Excercise Management Systems) rendszerek –US DHS FEMA HSEEP HSEEP (HS Exercise & Evaluation Program)

13 2009.01.21.13 7 Gyakorlatszervező eszközök /2 _______________________________________________ ASSOCIATOR ___ 7.4 Gyakorlat dokumentumok (a teljesség igénye nélkül) Scenario Forgatókönyv Kontakt lista Log (Eredeti és szerkesztett) Jelentés Kommuniké Szabályozók

14 2009.01.21.14 8 Tanulságok _______________________________________________ ASSOCIATOR ___ 8.1 Mire jó egy gyakorlat –Hatékony és költségtakarékos módja az intézményi versenyképesség javításának (amennyiben az belső tényezőkön múlik) –Adrenalinszint és a Képzés hatékonysága –Felülmúlhatatlan a (ki)képzés; felkészítés; nevelés, felmérés; tudatosság javítás; alkalmazkodó képesség javítás területén –Megfelelőség bizonyítására, partner kapcsolatok építésére 8.2 Mire nem jó egy gyakorlat –Ha nincs átgondolt szabályozórendszer csak hibás bevésődések lesznek –Ha visszaélünk vele a pozitív tulajdonságai könnyen negatívba fordulnak –Felnagyít bizonyos szervezeti/szervezési elégtelenségeket (Hibás vezetői hozzáállást, belső ellentéteket, alulfinanszírozottságot, stb) 8 Tanulságok

15 2009.01.21.15 KÉRDÉSEK? Dr Lőrincz István ASSOCIATOR Kft. 1124 BUDAPEST Tamási 43 Fs 3. Telep: 1124 BP. Tamási Á 43 III/14 Mobil: +36-30-9711-741 Fax: +36-1-355-1696 eMail: asso@t-online.huasso@t-online.hu

Letölteni ppt "Módszertani ajánlások IT Biztonsági Gyakorlatok szervezéséhez Dr Lőrincz István Információvédelem menedzselése Szakmai fórum 2009. január 21. A Hétpecsét."

Hasonló előadás

TÁMOP 3.4.2.A/11-2-2012-0017 projekt: Intézményi együttműködés, pedagógiai módszertani megújulás – pedagógiai szemléletváltás a sajátos nevelési igényű.

TÁMOP A/ projekt: Intézményi együttműködés, pedagógiai módszertani megújulás – pedagógiai szemléletváltás a sajátos nevelési igényű.
„A tanfelügyelet kialakuló rendszere, átfogó minőségfejlesztés a közoktatásban” Az intézmények minőségfejlesztési folyamatainak támogatása /4. pillér/

„A tanfelügyelet kialakuló rendszere, átfogó minőségfejlesztés a közoktatásban” Az intézmények minőségfejlesztési folyamatainak támogatása /4. pillér/
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.

Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
A SZERVEZET ÉS KÖRNYEZETE

A SZERVEZET ÉS KÖRNYEZETE
1 SZERVEZETFELMÉRÉS A KÖZLEKEDÉSBIZTONSÁGI SZERVEZETNÉL Szakmai Nap, Budapest 2013. május 7. Gula Flórián balesetvizsgáló Tükör az Európai Vasúti Ügynökség.

1 SZERVEZETFELMÉRÉS A KÖZLEKEDÉSBIZTONSÁGI SZERVEZETNÉL Szakmai Nap, Budapest május 7. Gula Flórián balesetvizsgáló Tükör az Európai Vasúti Ügynökség.
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása

Az Ibtv. civil-szakmai támogatása
Verfasser · weitere Angaben

Verfasser · weitere Angaben
TÁMOP projekt 4S együttműködés a minőségi szolgáltatások érdekében.

TÁMOP projekt 4S együttműködés a minőségi szolgáltatások érdekében.
PROJEKTMÓDSZER „Copernicus az égitestek középpontjává

PROJEKTMÓDSZER „Copernicus az égitestek középpontjává
Az EU-s projektek fenntartási tapasztalata a JNSZ TISZK-ben Országos Egyházi TISZK Zárókonferencia Kazincbarcika 2011. 12. 02.

Az EU-s projektek fenntartási tapasztalata a JNSZ TISZK-ben Országos Egyházi TISZK Zárókonferencia Kazincbarcika
DOKUMENTUMKEZELÉS.

DOKUMENTUMKEZELÉS.
dr. Földy Ferenc Operatív Program Kft február 23.

dr. Földy Ferenc Operatív Program Kft február 23.
Environmental Compliance Inspection Course Az ellenőrzés megtervezése.

Environmental Compliance Inspection Course Az ellenőrzés megtervezése.
A TÁRSADALMI KOHÉZIÓT ERŐSÍTŐ BŰNMEGELŐZÉSI ÉS REINTEGRÁCIÓS PROGRAMOK MÓDSZERTANI MEGALAPOZÁSA” TÁMOP-5.6.2-10/1-2010-0001 kiemelt projekt Elítéltek többszakaszos,

A TÁRSADALMI KOHÉZIÓT ERŐSÍTŐ BŰNMEGELŐZÉSI ÉS REINTEGRÁCIÓS PROGRAMOK MÓDSZERTANI MEGALAPOZÁSA” TÁMOP / kiemelt projekt Elítéltek többszakaszos,
A 100%-os helyszíni ellenőrzés koncepciója

A 100%-os helyszíni ellenőrzés koncepciója
Felsőoktatási Minőségfejlesztési Rendszer

Felsőoktatási Minőségfejlesztési Rendszer
Szervezetfejlesztés Töviskes Imre.

Szervezetfejlesztés Töviskes Imre.
A gyakorlatvezető mentor

A gyakorlatvezető mentor
Közösségi munka. 1. A közösségi munka előnyei az egyéni és családi esetkezeléssel szemben A szociális munkások rendelkezésére álló eszközök rendszerint.

Közösségi munka. 1. A közösségi munka előnyei az egyéni és családi esetkezeléssel szemben A szociális munkások rendelkezésére álló eszközök rendszerint.

Hasonló előadás

Google Hirdetések