Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az ISO 27000 szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.

Hasonló előadás


Az előadások a következő témára: "Az ISO 27000 szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató."— Előadás másolata:

1 Az ISO 27000 szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu

2 2 Szabványcsalád 27000 Áttekintés és szótár 27001 Követelmények Útmutatók 27002 Code practice 27003 Bevezetés 27037 Digitális bizonyíték 27033-x Hálózat bizt 27034-x Alkalmazás bizt. Auditorok, auditálás 27006 Követelmények ISMS tanúsítóknak 27007 ISMS auditálás útmutató 27008 IS kontroll audit útmutató Biztonság területek 27004 Mérés 27005 Kockázat mgmt 27035 Incidens mgmt 27031 Folytonosság 27032 Kiberbiztonság Ágazatonkénti biztonság 27015 Pénzügyi szolg. 27011 for telecom 27010 Szervezetek közti komm. 27013 ISMS+ITSMS 27014 IS Governance 27019 Energiaipari foly.vezérlés 27799 ISM eü-ben

3 3 www.szenzor-gm.hu A szabvány címe ISO/IEC 27015:2012 Information technology – Security techniques – Information security management for financial services Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra 20 oldal

4 4 www.szenzor-gm.hu Alkalmazási terület Útmutató az ISO 27001-ben szereplő információbiztonsági kontrollokra a pénzügyi szolgáltatásokat nyújtó szervezetek számára Pénzügyi szolgáltatások: pénz kezelési, befektetési, átviteli és kölcsönzési szolgáltatások ISO/IEC 27001 Követelmények ISO/IEC 27002 Gyakorlati útmutató ISO/IEC TR 27015 Útmutató pü szolgáltatóknak

5 5 www.szenzor-gm.hu Információbiztonság szervezete  felelősségeknél jogi, szabályozói és iparági keretrendszerek (pl. PCI DSS, Cobit) figyelembe vétele (6.1.3)  kockázat, ha kezelés, tárolás más jogi környezetbe kerülhet (6.2.1)  vevőknek tanácsadás, tájékoztatás, on-line tranzakciókhoz előírások (pl. szigorú hitelesítés) (6.2.2)  szempontok 3. fél megállapodások témakör példák (változás bejelentés, incidenskezelés, auditálás, stb.) (6.2.3)

6 6 www.szenzor-gm.hu Pénzkezelő berendezések Pl. ATM, SST, POS  vagyonleltárban (7.1.1)  fizikai védelem (elhelyezés, karbantartásra kettős kontrol, selejtezés – POS külső memória is – szabályozás) (9.2.x)  kapacitás menedzsment (10.3.1)  rosszindulatú kód védelem (10.4.1)  szállítók által nyújtott szoftver változás hitelesség ellenőrzés (pl. digitális aláírás, Hash kód) alapos és sikeres teszt előtt (12.4.1)

7 7 www.szenzor-gm.hu Emberi erőforrás biztonság  átvilágítás a következőkre (8.1.2):  hozzáfér vevő és pü információkhoz (pl. kártya info, vevő jelszó, PIN kód)  vevő és pénzügyi információk feldolgozásért felelős rendszer adminisztrátor  biztonsági kulcsok menedzsmentjéért felelős biztonság felügyelők  „szabadság politika”– érzékeny adatot ne mindig ugyanaz kezelje (8.1.3)  képzési témajavaslatok (jogi előírások, akciók, támadásfajták) (8.2.2)  mobil használat korlátozás biztonsági zónában (9.1.5)

8 8 www.szenzor-gm.hu Kommunikáció és működés irányítás  felelősség szétválasztás: kezdeményezés a feldolgozástól vagy jóváhagyásától, és az igazolásától, kettős kontroll (10.1.3)  kártya információk, vevő jelszavak, PIN kódok, és pl. fizető kártyák gyártására használt vagyonelemek (pl. mágnescsík) selejtezése (10.7.2)  csekk-könyvek, csekkek és kártyák, nyomtatott levélpapírok kezelése, selejtezése (10.7.3)  szokatlan események, vevők tranzakciók monitorozása, példák (10.10.2)

9 9 www.szenzor-gm.hu + kontroll 10.9.4 Internetbank szolgáltatások  aktiválásáról vevő értesítés  korlátok beállítása  közös számlákra meghatalmazások, aláírási jogokkal  korlátok információ kiadásra  megszakadás esetén újra hozzáférés hitelesítés  kapacitás menedzsment mutatókra példák (10.3.1)

10 10 www.szenzor-gm.hu Információs rendszerek beszerzése, fejlesztése, karbantartása  információs rendszerek biztonsági követelményei (12.1.1)  tranzakciós információk védelme, helyreállítása  automatikus megfelelőség ellenőrzés  csalás visszakövethetőség kezdeményezőig  kliens és résztvevő, illetve üzenet hitelesítés  fizetési üzenetek érintetteknek  üzenet egyeztetések elszámoláskor  hitelesítés érzékeny hozzáférés, tevékenység esetén  felelősségek szétválasztása  titkosítási algoritmus minőség, hossz rendszeres értékelése (12.3.1)

11 11 www.szenzor-gm.hu Folytonosság, megfelelőség  működésfolytonossági kockázatfelmérésben és folytonossági tervekben szállítók/ szolgáltatást pl. pénzügyi információ átvitelt, szolgáltatásokat (internet bank, kártya folyamatok, cash management) nyújtók (14.1.2 és 14.1.3 )  on-line tranzakciós rendszerek műszaki megfelelés ellenőrzése (bevezetés korrekt, jogszabályoknak megfelel) (15.2.2)

12 12 www.szenzor-gm.hu + kontroll 15.2.3 Megfelelőség monitoring  külső (jogszabály, szerződés) és belső követelményeknek megfelelés monitoring  változások követése  nem-megfelelőségek azonosítása, kezelése

13 13 www.szenzor-gm.hu Elérhetőség Móricz Pál Mobil: 20-931-0584 p.moricz@szenzor-gm.hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1-331-5523 Fax: (+36)-1-311-9636 E-mail: szenzor@szenzor-gm.hu Honlap: www.szenzor-gm.hu „Változással a sikerért”


Letölteni ppt "Az ISO 27000 szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató."

Hasonló előadás


Google Hirdetések