2008.05.21. Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.

Slides:



Advertisements
Hasonló előadás
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Advertisements

Az elektronikus közigazgatási rendszerek biztonsága
A MIBÉTS szerinti értékelőlaborok
Információbiztonság a Magyar Köztársaság közigazgatásában dr
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Az Informatikai biztonság alapjai
Minőségirányítás a felsőoktatásban
Szoftverminőség biztosítása
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Szabványok és ajánlások az informatikai biztonság területén
Common Criteria szerinti értékelések lehetőségei Magyarországon
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
Magyar Bankszövetség NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Integrált Irányítási Rendszer
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Risiko Management System bei maxon motor hungary
A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Az IS módosítása Krauth Péter
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
avagy a zártság dilemmái
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki.
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
INFORMÁCIÓMENEDZSMENT Dr. Szalay Zsigmond Gábor adjunktus, intézeti tanszékvezető VEZETÉS ÉS SZERVEZÉS MSC SZAK SZENT ISTVÁN EGYETEM.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Az OEFI TÁMOP / számú ”Egészségfejlesztési szakmai hálózat létrehozása” című kiemelt projekt köznevelési alprojektje ELKÉSZÜLT SZAKMAI.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Akkreditált IT terméktanúsítás - a NAT szerepe a tanúsításban
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az Informatikai biztonság alapjai
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Információvédelem Menedzselése XX. Szakmai Fórum
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
Magyar információbiztonsági szabványok V.
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
SZAKKÉPZÉSI MINŐSÉGBIZTOSÍTÁSI KERETRENDSZER (SZMBK) 11. előadás
Információvédelem Menedzselése XX. Szakmai Fórum
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Megfelelőség értékelés a jogi szabályozása, terméktanúsítás kijelölés alapján HTE Informatikai terméktanúsítási szakosztály - DMS Labor április 25.
A csomagolással összefüggő hazai és nemzetközi szabályozások
Az SZMBK Intézményi Modell
Előadás másolata:

Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor Dénes Főiskola Információvédelem menedzselése

Információbiztonság menedzselése XXXI. szakmai fórum 2 Az informatikai biztonság tárgya Az információval szembeni követelmények: Minőségi (quality) követelmények: eredményesség (effectiveness), hatékonyság (efficiency) Bizalmi (fiduciary) követelmények: szabályosság (compliance), megbízhatóság (reliability) Biztonsági (security) követelmények:  bizalmasság (confidentiality),  sértetlenség (integrity),  rendelkezésre állás (availability)

Információbiztonság menedzselése XXXI. szakmai fórum 3 A biztonság érvényre juttatása Technológiai szemlélet Szervezeti/irányítási szemlélet Informatikai termékek: fejlesztése, értékelése tanúsítása, garancia karbantartása Követelmények, biztonságpolitika, szabályzatok kialakítása A környezeti biztonság megteremtése: szervezeti, személyi, fizikai eszközökkel A két szemlélet egymást kiegészíti és erősíti

Információbiztonság menedzselése XXXI. szakmai fórum 4 MIBA MIBIK MIBÉTS IBIX

Információbiztonság menedzselése XXXI. szakmai fórum 5 Informatikai biztonsági szabványok MIBÉTS MIBIK

Információbiztonság menedzselése XXXI. szakmai fórum 6 a termékorientált szemlélet helyett egy szervezeti szintű informatikai biztonság- menedzsment központú szemlélet a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg „biztonság biztosítás”

Információbiztonság menedzselése XXXI. szakmai fórum 7 Informatikai Biztonság Irányítási Rendszer Az IBIR a TVEB TVEB (PDCA = Plan-Do-Check-Act, Tervezés-Végrehajtás-Ellenőrzés-Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.

Információbiztonság menedzselése XXXI. szakmai fórum 8 Az Informatikai Biztonság Irányításának Követelményei Az IBIK alapját az ISO/IEC 27002:2005, az ISO/IEC TR nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.

Információbiztonság menedzselése XXXI. szakmai fórum 9 IBIK Célja a szervezetek az egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása informatikai biztonságának megteremtéséhez.

Információbiztonság menedzselése XXXI. szakmai fórum 10 Az informatikai biztonság irányításának vizsgálata A nemzetközi gyakorlatban is egyre jobban terjed az ISO/IEC szabványnak való megfelelést bizonyító audit elvégzése. A hazai gyakorlatban nincs elfogadott, elismert eljárásrend sem a tanúsítási folyamatra, sem a tanúsító szervezetek engedélyezésére.

Információbiztonság menedzselése XXXI. szakmai fórum 11 IBIV A vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS :2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 munkadokumentumok képzik.

Információbiztonság menedzselése XXXI. szakmai fórum 12 Kockázatelemzés - kockázatbecslés A MeH ITB 8. számú ajánlásból („CCTA Risk Analysis and Management Method”) a kockázatelemzési módszertan került aktualizálásra. FIPS 199/200

Információbiztonság menedzselése XXXI. szakmai fórum 13 Az IBIR folyamatainak vizsgálata Az összeállított kérdőívek lefedik az Informatikai Biztonság Irányítási Rendszer (IBIR, ISMS – Information Security Management System) folyamatokat.

Információbiztonság menedzselése XXXI. szakmai fórum 14 A biztonsági rések vizsgálata (Gap ananlysis A biztonsági rések vizsgálata (Gap ananlysis) Az összeállított kérdőivek feladata, hogy segítségükkel részletesen meghatározzuk, hogy az IBIK követelményei mennyiben kerültek megvalósításra. (Az intézkedések részletes vizsgálata)

Információbiztonság menedzselése XXXI. szakmai fórum 15 A MIBÉTS alapja MSZ ISO/IEC Az informatikai biztonságértékelés közös szempontjai /Common Criteria, CC/ ISO/IEC Az informatikai biztonság közös értékelési módszertana /Common Evaluation Methodology, CEM/ CCRA Megállapodás a közös szempontok szerinti tanúsítványok elfogadására az informatikai biztonság területén /hazánk csatlakozott ehhez/

Információbiztonság menedzselése XXXI. szakmai fórum 16 MIBÉTS  MIBIK Az informatikai biztonság technológiai szemléletű megközelítése megalapozza és segíti a szervezeti/irányítási szemléletű megközelítéseket is. A MIBÉTS értékelési módszertana teljes összhangban van a Közös szempontok (CC) és a Közös értékelési módszertan (CEM) elveivel, megfelelve a CCRA elvárásainak is. A MIBÉTS értékelési módszertana sikeres kipróbálásra került, a tapasztalatok beépültek az ajánlásba.

Információbiztonság menedzselése XXXI. szakmai fórum 17 A biztonságos rendszerek kialakítása : 1. Törekedni kell értékelt és tanúsított termékek alkalmazására /ahol ezt a körülmények indokolják/ 2. A biztonsági szempontból értékelt termékekre vonatkozóan: A CC tanúsítással rendelkező termékek beszerzése és felhasználása kívánatos, további értékelésükre nincs szükség. Hazai fejlesztések és felhasználás esetén a MIBÉTS módszertana alapján értékelt termékek is elfogadhatók, javasoltak.

Információbiztonság menedzselése XXXI. szakmai fórum 18 A biztonságos rendszerek kialakítása: 3. Az értékelt és tanúsított termékek elterjesztésére javasolt módszerek: Új informatikai rendszerek kialakításánál, meglévő rendszerek bővítésénél CC vagy MIBÉTS igazolással rendelkező termékek beszerzése A biztonsági szempontból értékelt termékek kötelező használatának fokozatos, idővel egyre szélesebb körű előírása /közbeszerzések, versenyeljárások/ A központi támogatással megvalósuló informatikai rendszer kialakítások és bővítések támogatási feltétele legyen az igazoltan biztonságos termékek alkalmazásának elvárása

Információbiztonság menedzselése XXXI. szakmai fórum 19 Mire alkalmazható a MIBÉTS? A módszertan technológiai szempontból univerzális alkalmazható az informatikai „alap” terméktípusokra: operációs rendszer, adatbázis-kezelő rendszer, tűzfal, behatolás-észlelő rendszer, web böngésző intelligens kártya, biometriás eszköz, virtuális magánhálózat (VPN), nyilvános kulcsú infrastruktúra (PKI), a legkülönbözőbb szoftver alkalmazásokra, és a fentiekből integrált különböző informatikai rendszerekre A módszertan javasolt (hazai) alkalmazási területei: a legkülönbözőbb hazai fejlesztésű szoftver alkalmazások, már értékelt „alap” terméktípusokból és hazai fejlesztésű alkalmazásokból integrált rendszerek.

Információbiztonság menedzselése XXXI. szakmai fórum 20 A módszertan elemei Az értékelés módszertana A sémában alkalmazott értékelési módszertan áttekintése 1. A biztonsági előirányzat értékelési módszertana 2. Az alap garanciaszint értékelési módszertana 3. A fokozott garanciaszint értékelési módszertana 4. A kiemelt garanciaszint értékelési módszertana 5. Általános értékelési útmutató Módszertani útmutatók Útmutató a megbízók számára Útmutató a fejlesztők számára Útmutató az értékelők számára

Információbiztonság menedzselése XXXI. szakmai fórum 21 Hogyan tovább?

Információbiztonság menedzselése XXXI. szakmai fórum 22 FELKÉSZÜLTÜNK? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására? Ehhez vannak felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel is foglalkoznak, és akik képesek a kárfelszámolására?

Információbiztonság menedzselése XXXI. szakmai fórum 23 Köszönöm a figyelmet!

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.