Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Digitális bizonyíték x Hálózat bizt x Alkalmazás bizt. Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Biztonság területek Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság Ágazatonkénti biztonság Pénzügyi szolg for telecom Szervezetek közti komm ISMS+ITSMS IS Govermnance Energiaipari foly.vezérlés ISM eü-ben

3 A szabvány címe ISO/IEC 27011:2008 (ITU-T Recommendation X.1051) Information technology – Security techniques – Information security management guidelines for telecommunication organizations based on ISO/IEC Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment útmutató telekommunikációs szervezetek számára az ISO/IEC alapján 44 oldal

4 Alkalmazási terület Útmutató telekommunikációs szervezeteknél ISMS bevezetés támogatására ISO/IEC Követelmények ISO/IEC Gyakorlati útmutató ISO/IEC Útmutató telekom szervezeteknek

5 Bevezetés  Telekom területen további biztonság jellemzők  Bizalmasság kiterjed kommunikált info léte, tartalma, forrása, elosztása, dátuma, ideje  Sértetlenség: info hitelesség, pontosság, teljesség függetlenül az átvitel módjától  Rendelkezésre állás: hitelesített hozzáféréssel, létfontosságú kommunikáció vészhelyzetben, törvényi megfelelés.  Követelmények, kockázatok, kontrollok függhetnek technológiától  Gyakran kapcsolódó szolgáltatások – több szereplő együttműködik

6 Fogalmak  Kollokáció, kommunikációs központ, kommunikáció titkosság, személyes info, hívásfontosság, telekommunikációs piac, szervezet, szolgáltatás, szolgáltatás megrendelő, szolgáltatás felhasználó, telekommunikációs alkalmazás, eszköz, feljegyzés, telekommunikációs eszköz helyiség, végberendezés  Rövidítések: ADSL, ASP, CATV, CERT, Ddos, DoS, ISAC, ISMS, NGN, NMS, OAM&P, PIN, PSTN, SÍP, SLA, SOA, UPS, URL, VoIP

Áttekintés  Szabvány felépítés  megegyezik (5-15 fejezetek és bontásuk)  „27002 kontroll alkalmazandó” vagy  kontroll, bevezetési útmutató, telekom útmutató, egyéb info, telekom egyéb info  ISMS telekommunikációs üzletágban  cél  biztonság szempontok  védendő vagyonelemek  ISM kialakítás (követelmények, kockázatfelmérés, kontroll kiválasztás, kritikus sikertényezők)

8 Példák telekom kiegészítésre  titoktartási nyilatkozat tartalma, spec telekom szempontok, szervezeten belül funkciótól függhet (6.1.5)  Vevői és 3. fél esetén is megállapodások szolgáltatásokról, elérhetőségről/hozzáférésről, határokról, specifikációról (6.2.2 és 6.2.3)  Információs vagyonelem lehet pl. vevő-, hívás-, hívástartalom-, számlázás infó illetve internet, bérelt vonal, ADSL, tartalom szolg, adatközpont, ASP, stb. (7.1.1)

9 Példák telekom kiegészítésekre  Lista audit log elemekre, lehetnek megőrzési és törlési követelmények ( )  Érzékeny alkalmazást 3 generációig kell őrizni, érzékeny rendszeren alkalmazás és op.rendszer változáskor mindig teljes lefedettségű teszt kell (12.4.1)  Az SLA sértés incidens, kell eljárás eszkalációra, kezelésre (13.2.1)  Folytonossági esemény bérelt területi elhelyezés esetén területi veszély miatti kiürítés (14.1.2)

10 A melléklet: + kontrollok  A.9.1.7/8 Komm. központ, telekom eszköz helyiség, elkülönülő egység biztonsága  A.9.3.1/2/3 Harmadik fél felügyelt biztonság (berendezés, helyszín, összekapcs. szolgáltatás)  A Telekom szolg. biztonság menedzsment  A /5Válasz a SPAM-re, DoS/DDoS válasz  A Telekom vállalkozó azonosítás és hitelesítése felhasználó által  A Kommunikáció titkossága  A Létfontosságú kommunikáció  A Vészhelyzeti intézkedések jogszerűsége

11 B melléklet: További bevezetési útmutató  Kibertámadások elleni hálózatbiztonsági eljárások  hálózati eszközök védelme  forrás megszemélyesítés elleni eljárás  szolgáltatás felhasználó figyelmének felhívása  Hálózatbiztonsági eljárások hálózat túlterhelésre  hálózat túlterhelés észlelés, korlátozás mechanizmusai  további információgyűjtés (mi lehet az oka)  ideiglenes teljesítménynövelés eljárása  létfontosságú kommunikáció azonosítás és elsőbbsége  info szerzés mi lehet a hibás működés elindítója (trigger)

12 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”