Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.

Slides:



Advertisements
Hasonló előadás
Termelési folyamatok folytonossága
Advertisements

Információbiztonság irányítása
Humán rendszerek, közszféra
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
A menedzsment tanácsadás egy tapasztalt ügyfél szemével November 17. Kapus István Senior Tanácsadó– Nestlé Hungária Kft. Üdvözöljük a világában!
Projektciklus- menedzsment (PCM)
Készítette: Pápai Zsolt Lex Ákos Kiss Gábor Borbély Csaba
KBSZ STRATÉGIA KBSZ SZAKMAI NAPOK - VASÚT Siófok, április 10. Bajkó Erika kommunikációs vezető.
A szolgáltatások minőségének biztosítása és értékelése
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
A projektmenedzsment funkciói és területei
A környezeti számvitel és könyvvizsgálat korlátai, lehetőségei és követelményei Dr. Pál Tibor.
Konzulens: Dr. Boda György Készítette: Kovács Katalin
A belső kontroll rendszer hatékony működtetése
Szabványok és ajánlások az informatikai biztonság területén
A könyvvizsgálói szakma kihívásai a válság tükrében dr
Ellenőrzés, visszacsatolás
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
A belső kontrollok és kockázatelemzés az Integritás felmérés alapján
Intézmény Férőhely Kiváltást Támogató Program. Mentori szerep december dia A szervezeti-működési szakmentorok a tevékenységük során fogadják.
Belső ellenőrzés az önkormányzatoknál
SLA (Service Level Aggrement) alapon történő szolgáltatás fejlesztés a Gazdasági Főigazgatóságon
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
Vállalkozásmenedzsment I.
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
„ Információvédelem menedzselése” XXXII. Szakmai Fórum Budapest, szeptember 17. Aktualitások az információvédelem területén + Egyesületi hírek Tarján.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
„Információvédelem menedzselése” LX. Szakmai Fórum Budapest, március 19. Bevezető gondolatok (hírek, aktualitások…) Tarján Gábor Hétpecsét Információbiztonsági.
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
„Információvédelem menedzselése” XXVI. Szakmai Fórum Budapest, május 16. Aktualitások az információvédelem területén Egyesületi hírek Tarján Gábor.
Aktualitások az információvédelem területén Gasparetz András Hétpecsét Információbiztonsági Egyesület, elnök MagiCom Kft. ügyvezető igazgató, címzetes.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
„Információvédelem menedzselése” XXXIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelem területén + Egyesületi hírek Dr.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
Elnökségi tagsági pályázat (board membership) február 10. Tarján Gábor CISA, CISM, CGEIT Elnökségi tag ©2013 ISACA. Minden.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” LXX. Szakmai Fórum Budapest, március 16. Bevezető gondolatok (hírek, aktualitások…) Tarján Gábor Hétpecsét Információbiztonsági.
Az értékkombinációk keresésének fontossága válság idején Tarjániné Illés Tünde CMC, CVS, PVM, TVM, vezetési tanácsadó, minősített értékelemző szakértő,
A MINŐSÉGFEJLESZTÉSI TERÜLET TERVEI 2008
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
"INFORMÁCIÓVÉDELEM MENEDZSELÉSE" IX. SZAKMAI FÓRUM
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL ÖNÉRTÉKELÉSI SZINTEK
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Hétpecsét Információbiztonsági Egyesület, elnök
Králik Tibor igazgató, minőségfejlesztési szakértő
Értékesítési oktatás Előadó: [Név].
Biztonság és GDPR kancellar.hu
Az SZMBK Intézményi Modell
Az ÁFSZ minőségirányítási rendszerének kialakítása
Előadás másolata:

Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor

Tartalom Rövid személyes bemutatkozás Bevezető gondolatok Kockázatértékelés és BS 7799-2:2002 A kockázatértékelés áttekintő algoritmusa A szervezeti „erőtér” Típusos algoritmusok Közkórház Csomagküldő Bank Járműipari beszállító Összefoglaló következtetések

Tarján Gábor 4 év információbiztonság ( www.bs7799.hu ) Szervező-vegyészmérnök (VE 1986) Mérnök-közgazdász (BKE 1992) MBA (BME 2000) CMC – „hites vezetési tanácsadó” 16 év vezetési tanácsadásban 12 év tréneri, oktatói tapasztalat 5 év cégvezetés (SZENZOR GM Kft.) 4 év információbiztonság ( www.bs7799.hu ) 2005. február 01. óta FLAG Informatikai Rt. – információbiztonsági üzletág igazgató Hétpecsét Információbiztonsági Egyesület alelnök

Bevezető gondolatok Az ISMS „magja” a kockázatértékelés A BS 7799-2:2002 kevés támpontot ad a végrehajtáshoz Létezik-e egy uniformizált kockázatértékelési módszertan? Gondolatkísérlet négy szervezettípusra: közkórház, csomagküldő szolgálat, bank, járműipari beszállító

A kockázatértékelés és a BS 7799-2:2002 A BS 7799-2:2002 szabvány [2] a kockázatértékelésről a következőket mondja a 4.2.1 fejezetben: „a szervezet… c, határozzon meg egy szisztematikus kockázatértékelési megközelítést (módszertant), d, azonosítsa a kockázatokat, e, értékelje a kockázatokat, f, határozzon meg és értékeljen a kockázatok kezelésére vonatkozó lehetőségeket, g, válasszon ki szabályozási célokat és szabályozásokat a kockázatok kezelésére.”

A kockázatértékelés áttekintő algoritmusa 1. A szervezeti „erőtér” vizsgálata  2. Az alkalmazási terület és a politika meghatározása 3. A védendő értékek számbavétele és értékelése 4. A fenyegetettségek elemzése – kockázatelemzés 5. Kockázatkezelés

A szervezeti „erőtér” A szervezet működési környezete, mint „erőtér”: Az állam (társadalom) szabályozó ereje A vevők (ügyfelek) igénye a bizalom iránt A kezelt információk teljessége az információs életciklus szempontjából A verseny erőssége és kiterjedése az adott iparágon (szolgáltatói ágon) belül Ez a négy elem minden gazdálkodó szervezet erőterében jelen van, csak a mértéke és aránya különböző!

A közkórház Az erőtér hangsúlyos elemei Az állam szabályozó ereje nagy A költségvetési korlát igen erős! Az információbiztonsági politika kulcsszavai: Betegadatok bizalmas kezelése Költség-hatékony megoldások keresése Az alkalmazási terület: „betegadatok”

A közkórház

A csomagküldő szolgálat Az erőtér hangsúlyos eleme: A legfőbb érték az ügyfél adatbázis! Az információbiztonsági politika kulcsszavai: Az ügyféladatbázis kiemelt védelme Az adat-életciklus menedzsment Az alkalmazási terület: „ügyféladatok a keletkezésük pillanatától megsemmisítésükig”

A csomagküldő szolgálat

A bank Az erőtér hangsúlyos eleme Az ügyfelek bizalmának megnyerése és megtartása! Az információbiztonsági politika kulcsszavai: Bizalmasság Sértetlenség 24 órás rendelkezésre állás Az alkalmazási terület: „ügyfelek adatainak és tranzakcióinak teljes körű logikai, fizikai és személyi védelme”

A bank

A bank

A járműipari beszállító Az erőtér hangsúlyos elemei Erősen (darab)költségvezérelt gazdálkodás Az információbiztonsági politika kulcsszavai: Az elvárt védelmi szint rendszeres egyeztetése a megrendelővel Az üzleti folyamat védelme Költség-hatékony megoldások választása Az alkalmazási terület: „X vevő Y termékéhez kötődő információk védelme a teljes termelési ciklus során (a terméktervezéstől a kiszállítás utáni szolgáltatásokkal bezárólag)”

A járműipari beszállító

Összefoglaló következtetések Nincs egységes recept a kockázatértékelés végrehajtásához A kockázatértékelés a szervezet „erőterének” vizsgálatával kezdődik Testre szabás nélkül nem megy Az ISMS működtetésének részeként a kockázatértékelés-karbantartása is igényel folyamatosan erőforrásokat

Tarján Gábor (06-30-982-2251) tarjan.gabor@flag.hu Köszönöm a figyelmet! Tarján Gábor (06-30-982-2251) tarjan.gabor@flag.hu