Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az ISO 27000 szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu.

Hasonló előadás


Az előadások a következő témára: "Az ISO 27000 szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu."— Előadás másolata:

1 Az ISO szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Digitális bizonyíték x Hálózat bizt x Alkalmazás bizt. Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Biztonság területek Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság Ágazatonkénti biztonság Pénzügyi szolg for telecom Szervezetek közti komm ISMS+ITSMS ISM eü-ben

3 3 A szabvány címe ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for cybersecurity Információtechnológia – Biztonságtechnikák – Útmutató kiberbiztonsághoz 50 oldal

4 4 Alkalmazási terület  útmutató a kiberbiztonság állapotának fejlesztéséhez, kiemelve a tevékenységek egyedi jellegét és függőségeit a többi biztonsági területtel  alapokat ad az érdekelt felek biztonsági gyakorlatához a kibertérben  áttekinti a kiberbiztonságot  kiberbiztonság és más biztonság területek közötti kapcsolatot  meghatározza az érdekelt feleket és leírja szerepüket a kiberbiztonságban  útmutatót ad a kiberbiztonsági eseményekhez  keretet ad az együttműködéshez az érdekelt feleknek a kiberbiztonsági események megoldásában

5 5 Célközönség, határok  Célközönség (audience)  kibertérben szolgáltatásnyújtók  ezen a szolgáltatásokat igénybe vevők  szolgáltatás nyújtók általi útmutató készítői (felhasználók megértsék, betartsák)  Határok: nincs benne:  cyber safety,  kiberbűnözés,  kritikus infrastruktúra védelem,  internet safety  kibertér, -biztonság jogi megközelítése Benne internetes kibertér, beleértve a végpontokat megvalósítása

6 tartalomjegyzék 1-5 fejezetek (alkalmazási terület, alkalmazhatóság, hivatkozások, fogalom-meghatározások, rövidítések) 6 Áttekintés 7 Érdekelt felek a kibertérben 8 Vagyonelemek (értékek) a kibertérben 9 A kibertér biztonsági fenyegetései 10 Érdekelt felek szerepe a kiberbiztonságban 11 Útmutató az érdekelt feleknek 12 Kiberbiztonsági kontrollok 13 Információ megosztás és koordinálás keretrendszere MellékletekA. Kiberbiztonság készültség B. További információforrások C. Példák kapcsolódó dokumentumokra

7 7 Meghatározások (53 db)  Kibertér (Cyberspace)  komplex környezet az interneten, emberek, szoftverek, és szolgáltatások interakciójával, technológiai eszközök és hálózati kapcsolataik segítségével, melyek nem valamilyen fizikai formában léteznek  Cybersafety  védettségi állapot, olyan hiányossággal, sérüléssel, hibával, balesettel, ártalommal, vagy más kibertéri eseménnyel szemben, melynek lehetnek nemkívánatos fizikai, szociális, szellemi, pénzügyi, politikai, érzelmi, hivatással összefüggő, pszichológiai, oktatási vagy más típusú következményei  Kiberbiztonság/kibertér biztonság (Cyber security)  az információk bizalmasságának, integritásának és rendelkezésre állásának megőrzése a kibertérben

8 8 Kiberbiztonság és egyéb biztonsági területek kapcsolata Information Security CybercrimeCybersafety Critical Information Infrastructure Protection Network Security Internet Security Application Security Cybersecurity

9 9 Biztonság fogalmak és kapcsolatuk Stakeholders controls vulnerabilities risk assets Threat agents threats value wish to minimize to reduce impose that may be reduced by may be aware of leading to that exploit that increase to wish to abuse and/or may damage to

10 Kibertér biztonság fenyegetései  fenyegetések  fenyegetés típusok, példák külön személyes illetve szervezeti vagyonelemekre  fenyegetők (threat agent)  akiknek szerepük van végrehajtásban, támogatásban  felméréshez, kontrollokhoz kritikus a motivációik, képességeik, szándékaik megértése  sérülékenységek  felmérésük folyamatos feladat  ismert sérülékenység leltár szigorú védelemmel  megoldás és/vagy kontroll kell prioritás szerint

11 A támadás mechanizmusai  vírus, féreg, képprogram, stb., pl. adathalászattal  gyanús website, spam , nem igazolt letöltés, fertőzött adathordozók, távoli kihasználás, közösségi oldalakon át, legális oldalak fertőzésével  legális források esetén is kell védelem  magán (helyi) hálózaton belülről (alkalmazott + aki hozzáfér)  admin, vagy admin-t támadó  ID, PW megszerzés (szoftverrel, álcázással, WIFI-n át, fertőzött gépről, befogható gép keresés, üzleti folyamat, tevékenység lehallgatás  magánhálózaton kívülről (pl. internetről)  külső arcon (router, szerver, tűzfal, weboldal, stb.) behatolási lehetőség keresés, nyitott port keresés  sérülékenység kihasználás, DoS (akár ország), fájl megosztón terjesztés, puffer túlcsordulás, IP cím eltérítés

12 Útmutató az érdekelt feleknek  kockázatfelmérés és kezelés  útmutató a felhasználóknak (10 szempont)  útmutató a szervezeteknek és szállítóknak  üzletmenet IS kockázatai menedzselése (ISMS, biztonságos termékek szolgáltatása, hálózat monitoring és válaszintézkedések, támogatás és eszkaláció, témában naprakészség)  biztonsági követelmények megadása a web és más kiberalkalmazási szolgáltatásokra  biztonsági útmutató a felhasználóknak

13 Kiberbiztonsági kontrollok  alkalmazás kontrollok  szerver védelem  végfelhasználói kontrollok  social engineering támadások elleni kontrollok  politikák,  módszerek és folyamatok (információ osztályozás, tudatosság és képzés, teszt)  emberek és szervezet  technika  kiberbiztonság felkészültség (A melléklet)  egyéb kontrollok

14 Információ megosztás és koordináció keretrendszere  politikák  info osztályozás, kategorizálás, minimalizálás, hozzá- férés (audience) korlátozás, koordinációs protokoll  módszerek és folyamatok  Info osztályozás, kategorizálás, bizalmassági megállapodás, gyakorlati útmutató, teszt és gyakorlás, info megosztás időzítés, ütemezés  emberek és szervezetek  szerződések, szövetségek, tudatosság és képzés  technika  automatikus rendszerre adatstandardizálás, adatok láthatóvá tétele, titkosító kulcsok, mentések, biztonsági fájl megosztás, azonnali üzenetek, wep portal, fórum, teszt rendszerek  telepítési útmutatók

15 15 Mellékletek A mell: Kiberbiztonság felkészültség (readiness)  darknet monitoring  fekete lyuk (Black hole) monitoring  law interaction monitoring  high interaction monitoring  átjáró műveletek (sinkhole operation)  visszavezethetőség (traceback) B mell: További információforrások (24+9)  online bizt., anti-spyware, ill eszkalációs címek C mell: Példák vonatkozó dokumentumokra  ISO/IEC (31), ITU-T (9) témakör bontásban

16 16 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”


Letölteni ppt "Az ISO 27000 szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu."

Hasonló előadás


Google Hirdetések