Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

Hasonló előadás


Az előadások a következő témára: "Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft."— Előadás másolata:

1 Az ISO szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 2 Tartalom  ISO/IEC bemutatása  Információbiztonság mérés menedzsment  Mellékletek  Mérésleíró űrlap  Mérés példák

3 3 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Bizt. területek, ágazatok Mérés Kockázat mgmt Incidens mgmt Folytonosság x Hálózat bizt x Alkalmazás bizt for telecom ISM eü-ben

4 4 A szabvány címe ISO/IEC 27004:2009 Information technology – Security techniques Information security management – Measurement Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment – Mérés

5 5 Alkalmazási terület (scope)  Útmutató  bevezetett ISMS és  ISO/IEC ben specifikált kontrollok, kontroll csoportok  hatékonyságának felmérésére  Minden típusú és méretű szervezetre

6 tartalomjegyzék Bevezetés általános rész, vezetői áttekintés 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Szabvány struktúrája 5 Információbiztonság mérés áttekintése 6 Vezetőség felelőssége 7 Mérési rendszer kifejlesztése 8 Mérés működtetés 9 Adatelemzés és eredmények jelentése 10 IS mérési program kiértékelése és fejlesztése Mellékletek: Mérésleíró űrlap és példák

7 7 Eredményesség mutatók PDCA ben Tervezés (plan) e)2) kockázatfelmérés, figyelembe véve jelenlegi in- tézkedések eredményességét g) kontroll célok és kontrollok kiválasztása Megvalósítás (do) c) kontrollok bevezetése d) kontroll eredményes- ség mérés meghatározása c) kontroll eredményes- ség mérés (biztonság megfele- lőség igazolására) Ellenőrzés (check) Vez.átv Input 7.2.a)f) átvizsg és eredm mérés f) ISMS értékelés output 7.3.b kockázat, terv aktualizálás 7.3.e)kontroll eredményesség mérés fejlesztése Beavatkozás (act) a) fejlesztések ISMS-be Ellenőrzés (check) átvizsgálás b) eredményesség d) kockázatfelmérés

8 8 Infobizt. mérési modell Információigény ISM folyamatok Kontroll célok Kontrollok Folyamatok, eljárások bevezetése Mérés tárgya attribútumok Indikátor Származtatott mérés Alapmérés Mérési eredmények Mérés Mérési módszer Döntési kritérium Analitikus modell Algoritmus

9 9 Mérésleíró űrlap (A melléklet) Mérésleíró úrlap  Mérés azonosítás (név, kód, célja, mért kontroll/folyamat, érintett kontrollok, folyamatok)  Mérés tárgya, attribútumai  Alapmérés leírása (mit, hogyan, skála, mértékegység)  Származtatott mérés leírása (mutató, képzése)  Indikátor (pl. határérték) és alkalmazása  Döntési kritérium leírása  Mérési eredmények (indikátor értelmezés, jelentésforma  Érdekelt felek  Gyakoriság (gyűjtés, elemzés, jelentés, érvényesség)

10 10 Példák (B melléklet)  ISMS képzés  ISMS képzett személyzet (éves tény/tervezett, %)  Információbiztonsági képzés (tudatosító képzésen részt vettek/részt kellett volna venni, %)  Információbiztonsági tudatosság megfelelés  Jelszó politika  Jelszó politika – manuális (azon jelszavak aránya, melyek megfelelnek a politikának, és az arány trendje)  Jelszó politika automatikus (jó minőségű jelszavak aránya és ezek trendje)  ISMS átvizsgálás folyamat (tényleges független átvizsgálások aránya a tervhez képest)  Vezetőség elkötelezettsége (vez.átv % tervhez képest, részvételi arány)

11 11 Példák (B melléklet)  ISMS folyamatos fejlesztés  IS incidens mgmt eredményessége (incidens db, küszöb alatt)  Helyesbítő intézkedések bevezetése (nem megvalósított, indok nélkül nem megvalósított helyesb.intézk. aránya, trend,  Rosszindulatú kódok elleni védelem (időszak alatt a nem blokkolt észlelt támadások, trend)  Fizikai belépés kontroll (0-5 skála belépő rendszer erősségére (PIN, kártya, log, biometrika)  Log fájlok átvizsgálása (időszaki átvizsgált log fájlok/összes, vonalas diagram)  Időszaki karbantartás mgmt (átlagos karbantartási idő, teljesített/összes tervezett % és trend)  Biztonság a 3. féllel kötött megállapodásokban (leírt követelmények a szabv.köv.képest átlag)

12 12 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”


Letölteni ppt "Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft."

Hasonló előadás


Google Hirdetések