Az informatikai biztonság irányításának követelményrendszere (IBIK) Információvédelem menedzselése XII. Szakmai fórum 2004. szeptember 15. Az informatikai biztonság irányításának követelményrendszere (IBIK) Az Információs Társadalom Koordinációs Tárcaközi Bizottság ajánlástervezete Muha Lajos CISM információbiztonsági igazgató Persecutor Kft.
Tartalom Előzmények Az informatikai biztonság irányításának követelményrendszere (IBIK) Az informatikai biztonság irányításának vizsgálata és a tanúsítás eljárásrendje További teendők
Előzmények 1996 – MeH ITB 12. számú ajánlás Az informatikai rendszerek biztonsági követelményei 1997 – BS 7799 szabvány 2000 – ISO/IEC 17799:2000 szabvány 2002 – MSz ISOIEC 17799:2002 szabvány 2003 – Magyar Információs Társadalom Stratégia (MITS) E-biztonság Központi Kiemelt Program
Előzmények Biztonsági szempontok társadalmi tudatosításához szükséges jogi és szervezeti háttér kialakítása 2.3. Az ISO 17799 módszertanának kialakítása Az ISO 17799 alapján az informatikai biztonság szervezeti-menedzsment alapú tanúsításának hazai rendszerét kell kialakítani. Az alkalmazáshoz szükséges módszertan és módszertani útmutató alapján történik meg az alkalmazásban érdekelt közigazgatási és üzleti szférához tartozó szakemberek oktatása. 2.4. Az ISO 17799 alapú tanúsítás jogszabályi hátterének kialakítása, és szervezetrendszerének felállítása Az ISO 17799 alapú tanúsítás alkalmazásához szükséges a vonatkozó miniszteri rendelet kidolgozása, a tanúsító és vizsgáló szervezetek kijelölése.
Informatikai biztonság ≠ információbiztonság személyi biztonság fizikai biztonság INFORMATIKAI BIZTONSÁG dokumentum biztonság elektronikus információ biztonság
Az informatikai biztonság irányításának szakirodalma National Institute of Standards and Technology Special Publication „NIST SP 800-12, An Introduction to Computer Security: The NIST Handbook”; Bundesamt für Sicherheit in der Informationstechnik „IT Baseline Protection Manual”; British Standard Institute „BS 7799 Part 1, Code of practice for information security management” (ISO/IEC 17799:2000 „Information Technology – Code of practice for information security management”)
Az IBIK Célja a szervezetek az egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása informatikai biztonságának megteremtéséhez.
Az IBIK Az IBIK alapját az ISO/IEC 17799, az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.
Az IBIK Előszó Fogalmak és meghatározások Biztonságpolitika Szervezeti biztonság Az eszközök biztonsági besorolása és ellenőrzése Személyi biztonság
Az IBIK Fizikai és környezeti biztonság Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje Hozzáférés menedzsment Az IT rendszerek fejlesztése és karbantartása Üzletmenet-folytonosság menedzsment Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak
vizsgálat és tanúsítási eljárásrend A nemzetközi gyakorlatban egyre jobban terjed a BS 7799 szabványnak való megfelelést bizonyító audit elvégzése. A hazai gyakorlatban nincs elfogadott, elismert eljárásrend sem a tanúsítási folyamatra, sem a tanúsító szervezetek engedélyezésére.
vizsgálat és tanúsítási eljárásrend A vizsgálati és tanúsítási eljárásrend alapját a BS 7799-2:2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 képzi.
További teendők Változáskezelés Verziószám Dátum A változás leírása 0.9 05. 20. Kiinduló munkaanyag. 0.91 (jelenlegi) 07. 19. A BME IK és más szakvélemények alapján javított változat. VITA-ANYAG – WWW - vélemények 0.95 (tervezet) A beérkező vélemények alapján átdolgozott változat. 1.0 (tervezet) Nyilvánosságra hozandó első kiadvány. (Az ITKTB által meghatározott javítások, pontosítások vagy átdolgozások átvezetése.)
Köszönöm a figyelmet! Muha Lajos muha.lajos@persecutor.hu