A PCI DSS-EN INNEN ÉS AZ ISO 27001-EN TÚL… ELŐADÓ: ZENGŐ ANDREA – WITSEC CISA, CISM, ISO….LA, MOF, ITIL-F KAPCSOLAT: MOBIL:

Slides:



Advertisements
Hasonló előadás
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Advertisements

Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
AZ INFORMATIKAI BIZTONSÁG
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2010 Hewlett-Packard Development.
Az Ibtv. civil-szakmai támogatása
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
A kritikus infrastruktúra biztonsági aspektusai a MOL-nál
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Előadó: Bellovicz Gyula igazságügyi szakértő
Biztosítók irányítási rendszere
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
PCI DSS szabványról röviden
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
Mobil eszközök biztonsági problémái
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Az adatbiztonság fizikai biztonsági vetülete
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
A teljes infrastruktúra egységesített felügyelete és védelme.
Hálózati biztonág Szabályozások VPN Virtual Private Network  Virtuális magán-hálózatok  A megbízhatóság kiterjesztése a fizikai zónán kivülre.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Vállalati infrastruktúra, mely minden igényt kielégít Felhasználóbarát eszközök és élmények.
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
Stipkovits István ISZ auditor SGS Hungária Kft.
Virul az ISO szabványcsalád
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
„Információvédelem menedzselése” XVIII. Szakmai Fórum Budapest, november 16. Bevezető gondolatok, aktualitások az információvédelemben Dr. Ködmön.
Corporate presentation ”quis custodiet ipsos custodes” Avagy ki vigyázza a vigyázókat.
avagy a zártság dilemmái
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
Biztonság kábelek nélkül Magyar Dénes május 19.
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Windows 10 áttekintés és bevezetés Windows 10 áttekintés rendszergazdáknak Mi változott a Windows 7 óta?
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Mindenkit köszöntök, Takács Titusz vagyok a JTT PRO Biztonságtechnikai Kft. ügyvezető igazgatója. BIZTONSÁGTECHNIKAI KFT. Mai előadás témája: Vállalkozások.
IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Bankkártya adatok kezelése
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Kiberbiztonság adatdiódával
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
Business Continuity Menedzsment – kockázatalapú vezetés
Az ISO 9001 jelenlegi helyzete
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
GDPR kihívások.
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Múzeumi gyűjtemények menedzsmentje, avagy a Spectrum Magyarországon
Az SZMBK Intézményi Modell
Az INTEGRÁLT RENDSZER Több egymáshoz kapcsolódó, egymást kiegészítő biztonsági rendszer összessége, szoftver és hardver elemekből felépítve.
Előadás másolata:

A PCI DSS-EN INNEN ÉS AZ ISO EN TÚL… ELŐADÓ: ZENGŐ ANDREA – WITSEC CISA, CISM, ISO….LA, MOF, ITIL-F KAPCSOLAT: MOBIL:

PCI-RÓL PÁR SZÓBAN PCI Security Standard Council – 2006 óta létezik 5 alapító kártyatársaság áll mögötte: American Express Discover Financial Services JCB International MasterCard Visa Inc. Különböző szabványokat foglal magába: PCI DSS (3.1) PA-DSS (3.1) P2PE (2.0) PTS (itt található a PCI PIN (2.0) előírás is sok más mellett) Card Production (1.1)

PAYMENT CARD INDUSTRY DATA SECURITY STANDARD PCI DSS applies to all entities involved in payment card processing—including merchants, processors, acquirers, issuers, and service providers. PCI DSS also applies to all other entities that store, process, or transmit cardholder data and/or sensitive authentication data.

PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 1 Install and maintain a firewall configuration to protect cardholder data Legyen naprakész diagram a hálózatról, ahol pontosan látszik, hol van a kártyakörnyezet (CDE) és a nem kártyakörnyezet Minden tűzfal és router csak a szigorúan felügyelt változáskezelésen keresztül menedzselhető Pontosan meg kell határozni a zónákat (DMZ), milyen portok, protokollok vannak használatban, és ezt milyen üzleti igény indokolja Legalább félévente felülvizsgálat a tűzfalakon és a routereken, hogy meggyőződjünk róla, csak az van beállítva, ami engedélyezve volt Részletes szabályozás arra vonatkozóan, hogy milyen forgalmakat lehet engedélyezni A munkaállomásokon is kötelező a tűzfalak használata

PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 2 – Do not use vendor-supplied defaults for system passwords and other security parameters Minden default jelszó, felhasználó legyen törölve, átnevezve/megváltoztatva, elrejtve Minden rendszer esetén határozzunk meg telepítési útmutatókat, amelyek tartalmazzák a megfelelő hardening előírásokat is (pl CIS) Csak azok a portok, szervizek maradjanak, amelyek a működéshez elengedhetetlenek Egy szerver – egy fő funkcióra Legyen egy részletes leltárunk a rendszereinkről, amely nem csak a nevüket, hanem a fenti beállításokat is tartalmazza Csak titkosított távoli konzolos elérést biztosítsunk a rendszereinkhez (pl RDP NLA)

PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 3 – Protect stored cardholder data (CHD) Tárolási idők meghatározása és „takarítás” Titkosítással kapcsolatos előírások Requirement 4 – Encrypt transmission of CHD across open, public networks Requirement 5 – Protect all systems against malware and regularly update anti-virus software or program Requirement 6 – Develop and maintain secure systems and applications Sérülékenység osztályozás (figyelés és értékelés, illetve válasz akciók) Megfelelő programozási technikák használata (OWASP, secure coding, stb) Tesztelés (kód felülvizsgálat, tesztek, hogy a kész termék megfelel-e a biztonsági előírásoknak) Telepítés csak változáskezelési felügyelet alatt WEB-es alkalmazásokkal kapcsolatos követelmények Teszt/fejlesztő és éles rendszerek elválasztása

PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 7 – Restrict access to CHD by business need to know Deny-all ahonnan indulunk RBAC alapokon menedzselve Requirement 8 – Identify and authenticate access to system components A felhasználói accountok szigorú menedzsmentje és negyedéves felülvizsgálata (Minden rendszerben, és adatbázis szinten is!!!) Osztott account nem létezik, a technikai accountok is szigorú kontroll alatt Meghatározva a minimális jelszó hossz, lejárati idő, kitiltási szabályok, távoli elérés esetén két faktoros követelmény, stb. Requirement 9 – Restrict physical access to the CHD Szokásos fizikai biztonsági elemek (CCTV, beléptető rendszer, látogatói nyilvántartás, stb.) POS-ek szigorú felügyelete

PAYMENT CARD INDUSTRY DATA SECURITY STANDARD – KÖVETELMÉNYEK RÖVIDEN Requirement 10 – Track and monitor all access to network resources and CHD Naplók készítése – meghatározva a tartalmazandó adatokat Központi naplógyűjtő, ami nem módosítható, és 1 évre tárolja az eseményeket Naplóelemzés napi szinten Időszinkronizálás is itt kerül előírásra Requirement 11 – Regularly test security systems and processes WIFI scan, IVS, AVS, Pentest IDS, FIM Requirement 12 – Maintain a policy that address information security for all personnel Biztonsági politika, előírások, incidens kezelési terv Kockázatkezelés Oktatás!!! A felelősök kijelölése, tudatosítás és tudomásul vétel Veszélyes technológiák használata Beszállítók, partnerek menedzsmentje, és szerepük a PCI DSS megfelelőségben

ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 Nem kötelező senkire nézve (azért vannak esetek, amikor mégis az) A hatálya mindenkinél az, amit a cég elhatároz (vagy amire megtudja, hogy szeretné alkalmazni) Már nem PDCA, hanem HLS (magas szintű szerkezet) Introduction 1. Scope (A PCI DSS-nél ezt a CDE mehatározza) 2. Normative references 3. Terms and definition (A PCI DSS esetén is vannak ilyen elérhető meghatározások) 4. Context of the organization (PCI DSS 12-es rész foglalkozik ezzel) 5. Leadership (PCI DSS 12-es rész foglalkozik ezzel) 6. Planning (A PCI DSS-nél ez egyértelmű – védjük meg a kártyaadatokat.) 7. Support (Ez is többnyire a PCI DSS 12-es részében jelenik meg) 8. Operation (A PCI DSS ami itt megjelenik, és az összes általa is megkövetelt előírás.) 9. Performance evaluation (Itt lehetne esetleg maga az audit) 10. Improvement (Örülnek neki, nem elvárás)

ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 Szabályozó célok és intézkedések (ISO/IEC 27002:2013) listája 13 kategóriára oszlik (5-től kezdődően) és 113 szabályozó intézkedést tartalmaz. Kizárásokat tartalmazhat a SOA (A PCI nem ismeri a kizárást, csak azt, hogy valami nem alkalmazható, mert pl. nincs WIFI a környezeten, illetve a kompenzációs kontroll fogalmát is bevezették.) A5 Információ biztonsági szabályzatok (PCI DSS 12.1) A6 Információ biztonság szervezete A6.1 Belső szervezet (PCI DSS 12.4, 12.5, 6.4.2, , 6.1) A6.2 Mobil eszközök és távmunka (PCI DSS 12.3) A7 Emberi erőforrások biztonsága (PCI DSS 12.6, 12.7, 8.1.3) A8 Felelősség a vagyontárgyakért (PCI 12.3, 9.7, 9.8) A9 Hozzáférések kezelése (PCI 7, PCI 8)

ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 A10 Titkosítás (PCI 3.5, 3.6) A11 Fizikai és környezeti védelem (PCI 9, PCI PIN) A12 Üzemeltetés biztonsága A12.1 Üzemeltetési eljárások és felelőségek (PCI 6.4, illetve az A megfelel a PCI minden követelményének a végén megjelenő kötelező dokumentálásnak) A12.2 Malware elleni védekezés (PCI 5, 6.1) A12.3 Mentés (PCI 9.5.1) A12.4 Naplózás és monitorozás (PCI 10) A12.5 Operációs szoftverek védelme (PCI 6.4) A12.6 Sebezhetőség menedzsment (PCI 6.1, 6.4) A12.7 Információs rendszerek auditálási szempontjai (PCI 11)

ISO/IEC 27001:2013 AVAGY MSZ ISO/IEC 27001:2014 A13 Kommunikációs biztonság (PCI 1, 4) A14 Rendszerek beszerzése, fejlesztése, karbantartása (Ez vegyes, PCI 1, 4, 6, 8, 11) A15 Beszállítói kapcsolatok (PCI 12.8) A16 Információ biztonsági incidensek kezelése (PCI 12.10) A17 BCM információbiztonsági szempontból (PCI 12.10) A18 Megfelelőség (itt nem sok a kapcsolódás, de az A esetében a teljes PCI 11 megtalálható, illetve az A –et felfoghatjuk mint nem egy audit, hanem Pentest) Érdekesség: A PCI nem követeli meg a TEST és DEV környezetek elválasztását, az ISO igen.

ÖSSZEHASONLÍTÁSUL PCI DSSISO Elérhetőség Ingyen a webenElég drága Csak angolulMagyarul is Felkészülés 1 év Hatály A hatályát egyértelműen a kártyaadatok előfordulása határozza megA cég határozza meg Mit véd? KártyaadatInformáció (klasszifikált) Kötelező? Azon szervezetekre, akik kártyaadatot kezelnek, dolgoznak fel, továbbítanak vagy tárolnak.Nem (kivéve…) Auditor cég QSA, nagyon kevés cég van belőleSok cégből választhatunk Tanusítvány érvényessége 1 év3 év Kontrollok Nem flexibilis, és nincs kizárásFlexibilis is van kizárás Audit előírás Évente teljeskörűÉvente, de csak 3 évente teljeskörű Belső audit Nem kellKötelező BCP megléte Nem előírás, hogy legyen BCM, de ha van, arra is kiterjedhet az audit Itt azért megjelent egy előírás, de nem a BCM- ről, hanem a HA megoldásról Dokumentációs követelmény Itt is megjelent a 3.0 óta, hogy minden előírás legyen dokumentált és oktatott Az ISO hagyományosan rengeteg dokumentummal jár együtt

MI IS AZ A WITSEC - WOMEN IN IT SECURITY? 2014-ben alakult 9 IT biztonság területén dolgozó hölgy szövetségeként indult Akik elhatározták, hogy támogatják az IT szakmát a maguk módján Előadásokat, workshop-okat, életpálya bemutatókat tartanak Segítik azokat, akik az IT security területén teszik meg első lépéseiket (mentorálás) Ma már 11 taggal rendelkezik Jelenleg 3 mentoráltunk van (az előadás írásának pillanatában) Több szervezettel vagyunk kapcsolatban, vannak támogatóink is szép számmal Várjuk mentor hölgyek jelentkezését a csapatunkba Várjuk mentoráltak jelentkezését, akik szeretnének a biztonság területén előre jutni, de nem tudják pontosan hogyan tegyék ezt

KÖSZÖNÖM A FIGYELMET ZENGŐ ANDREA – WITSEC CISA, CISM, ISOxxxxxLA vizsgák, MOF, ITIL Foundation… Kapcsolat: MOBIL: