Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

Hasonló előadás


Az előadások a következő témára: "Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft."— Előadás másolata:

1 Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu

2 2 Tartalom  ISO/IEC 27004 bemutatása  Információbiztonság mérés menedzsment  Mellékletek  Mérésleíró űrlap  Mérés példák

3 3 www.szenzor-gm.hu Szabványcsalád 27000 Áttekintés és szótár 27001 Követelmények Útmutatók 27002 Code practice 27003 Bevezetés Auditorok, auditálás 27006 Követelmények ISMS tanúsítóknak 27007 ISMS auditálás útmutató 27008 IS kontroll audit útmutató Bizt. területek, ágazatok 27004 Mérés 27005 Kockázat mgmt 27035 Incidens mgmt 27031 Folytonosság 27033-x Hálózat bizt 27034-x Alkalmazás bizt. 27011 for telecom 27799 ISM eü-ben

4 4 www.szenzor-gm.hu A szabvány címe ISO/IEC 27004:2009 Information technology – Security techniques Information security management – Measurement Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment – Mérés

5 5 www.szenzor-gm.hu Alkalmazási terület (scope)  Útmutató  bevezetett ISMS és  ISO/IEC 27001-ben specifikált kontrollok, kontroll csoportok  hatékonyságának felmérésére  Minden típusú és méretű szervezetre

6 6 www.szenzor-gm.hu 27004 tartalomjegyzék Bevezetés általános rész, vezetői áttekintés 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Szabvány struktúrája 5 Információbiztonság mérés áttekintése 6 Vezetőség felelőssége 7 Mérési rendszer kifejlesztése 8 Mérés működtetés 9 Adatelemzés és eredmények jelentése 10 IS mérési program kiértékelése és fejlesztése Mellékletek: Mérésleíró űrlap és példák

7 7 www.szenzor-gm.hu Eredményesség mutatók PDCA 27001-ben Tervezés (plan) 4.2.1.e)2) kockázatfelmérés, figyelembe véve jelenlegi in- tézkedések eredményességét 4.2.1.g) kontroll célok és kontrollok kiválasztása Megvalósítás (do) 4.2.2.c) kontrollok bevezetése 4.2.2.d) kontroll eredményes- ség mérés meghatározása 4.2.3.c) kontroll eredményes- ség mérés (biztonság megfele- lőség igazolására) Ellenőrzés (check) Vez.átv Input 7.2.a)f) átvizsg és eredm mérés 4.2.3.f) ISMS értékelés output 7.3.b kockázat, terv aktualizálás 7.3.e)kontroll eredményesség mérés fejlesztése Beavatkozás (act) 4.2.4.a) fejlesztések ISMS-be Ellenőrzés (check) átvizsgálás 4.2.3.b) eredményesség 4.2.3.d) kockázatfelmérés

8 8 www.szenzor-gm.hu Infobizt. mérési modell Információigény ISM folyamatok Kontroll célok Kontrollok Folyamatok, eljárások bevezetése Mérés tárgya attribútumok Indikátor Származtatott mérés Alapmérés Mérési eredmények Mérés Mérési módszer Döntési kritérium Analitikus modell Algoritmus

9 9 www.szenzor-gm.hu Mérésleíró űrlap (A melléklet) Mérésleíró úrlap  Mérés azonosítás (név, kód, célja, mért kontroll/folyamat, érintett kontrollok, folyamatok)  Mérés tárgya, attribútumai  Alapmérés leírása (mit, hogyan, skála, mértékegység)  Származtatott mérés leírása (mutató, képzése)  Indikátor (pl. határérték) és alkalmazása  Döntési kritérium leírása  Mérési eredmények (indikátor értelmezés, jelentésforma  Érdekelt felek  Gyakoriság (gyűjtés, elemzés, jelentés, érvényesség)

10 10 www.szenzor-gm.hu Példák (B melléklet)  ISMS képzés  ISMS képzett személyzet (éves tény/tervezett, %)  Információbiztonsági képzés (tudatosító képzésen részt vettek/részt kellett volna venni, %)  Információbiztonsági tudatosság megfelelés  Jelszó politika  Jelszó politika – manuális (azon jelszavak aránya, melyek megfelelnek a politikának, és az arány trendje)  Jelszó politika automatikus (jó minőségű jelszavak aránya és ezek trendje)  ISMS átvizsgálás folyamat (tényleges független átvizsgálások aránya a tervhez képest)  Vezetőség elkötelezettsége (vez.átv % tervhez képest, részvételi arány)

11 11 www.szenzor-gm.hu Példák (B melléklet)  ISMS folyamatos fejlesztés  IS incidens mgmt eredményessége (incidens db, küszöb alatt)  Helyesbítő intézkedések bevezetése (nem megvalósított, indok nélkül nem megvalósított helyesb.intézk. aránya, trend,  Rosszindulatú kódok elleni védelem (időszak alatt a nem blokkolt észlelt támadások, trend)  Fizikai belépés kontroll (0-5 skála belépő rendszer erősségére (PIN, kártya, log, biometrika)  Log fájlok átvizsgálása (időszaki átvizsgált log fájlok/összes, vonalas diagram)  Időszaki karbantartás mgmt (átlagos karbantartási idő, teljesített/összes tervezett % és trend)  Biztonság a 3. féllel kötött megállapodásokban (leírt követelmények a szabv.köv.képest átlag)

12 12 www.szenzor-gm.hu Elérhetőség Móricz Pál Mobil: 20-931-0584 p.moricz@szenzor-gm.hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1-331-5523 Fax: (+36)-1-311-9636 E-mail: szenzor@szenzor-gm.hu Honlap: www.szenzor-gm.hu „Változással a sikerért”


Letölteni ppt "Az ISO 27000 szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO 27004 – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft."

Hasonló előadás


Google Hirdetések