Információbiztonság irányítása Belső kontrollok és integritás szakmai nap 2013.12.12, Szolnok Horváth Gergely Krisztián, CISA CISM Horvath.gergely.krisztian@pszfb.bgf.hu
Napirend Bevezető Fogalmak Jogszabályi háttér Irányítás és az információbiztonság Módszertani és tájékoztató anyagok
BEMSZ A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése: a belső ellenőrzési szakma magyarországi elfogadtatása, támogatása, fejlesztése, érdekképviselete; a nemzetközi és európai belső ellenőrzési ismeretek és szakmai gyakorlat magyarországi megismertetése, a belső ellenőrök képzése és vizsgáztatása.
Információ, mint értékes erőforrás Egyre nő az információ értéke! Érték, ha a megfelelő információ a megfelelő időben, és az elvárt tartalommal áll rendelkezésre!
Miért van fék az autókon? Találós kérdés! Miért van fék az autókon?
Mi a biztonság? Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt (Vasvári, 1997)
Biztonság részleteiben Bizalmasság: csak korlátozott számú kevesek ismerhetik. Sértetlenség: az eredeti állapotának megfelel, és a forrása is eredeti (hitelesség). Rendelkezésre állás: az erőforrások olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).
Fogalmak tisztázása Adatvédelem (2011. évi CXII. tv) a hatályos jogszabályok és a szervezet érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme, Adatbiztonság (2013. évi L. tv) az adatok biztonsága szempontjából az információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme, a biztonság tehát az állapot megváltozásának valószínűségével fordított viszonyban van.
Elvárások és a valóság Elvárások: Valóság gyakran… Információbiztonság teremtsen értéket Segítse elő a szabályszerű működést Legyen mérhető megtérülése minden beruházásnak Adatbiztonság sérülése (ÁSZ jelentésekben is!) Kockázatértékelés hiánya Ad-hoc intézkedések Szabálytalanságok Elmulasztott határidők Szivárgó információ
Jogi háttér (kivonat) Létfontosságú infrastruktúra védelme tv. (2012. évi CLXVI.) Állami és önkormányzati információbiztonsági tv. (2013. évi L.) A minősített adat védelméről szóló tv. (2009.évi CLV.) Munka törvénykönyve - 208. § (2013. évi I.) Az információs önrendelkezési jogról és az információszabadságról tv. - 7. § (2011. évi CXII.) A Büntető Törvénykönyvről szóló törvény – pl. 375. §, 423. §, 424. § (2012. évi C. törvény)
Biztonsági Vezető A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2)) Forrás: http://www.nbf.hu/bmbkepz.html
Információbiztonsági felelős (IBF) (elektronikus információs rendszer biztonságáért felelős személy) A szervezet vezetője köteles ... az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ ) azonos lehet a biztonsági vezetővel (Mavtv), Forrás: 2013. évi L. törvény
Információbiztonság irányítása Fontos, hogy a vezetők egyéb kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák. A szervezetek sikerének egyik kulcsa az információbiztonság hatékony irányítása.
Információbiztonság irányítása A megfelelő irányítás alatt a kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.
Információbiztonság-irányítás Kapcsolódó fontosabb tevékenységek: Szervezeti és biztonsági célok illesztése, Szervezeti keretek kialakítása, Kockázatvállalási képesség meghatározása, Megfelelőségi követelmények meghatározása, Információbiztonsági szabályzat kiadása, Felsővezetői támogatás biztosítása, Információbiztonság figyelemmel kísérése.
Irányítás vs. menedzsment Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot. A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.
Információbiztonság-menedzsment Az információbiztonság menedzsment: Az Informatikai szolgáltatások sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során, A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,
Információbiztonság modellje Információbiztonság stratégia Célok és kapcsolatuk az adott szervezetben Információbiztonsági szerepek Felelősök és feladatok, szervezeti keretek Információbiztonsági program Célkitűzések, megvalósítás módszerei Akciótervek (megvalósítás részletei) Figyelemmel kísérés, visszamérés Mutatószámok, visszacsatolás
Mit tegyen a vezető? Alakítsa ki a szervezeti kereteket! Tudja mik az aktuális problémák! Tudja, hogy mit kell kérdezni! Vezetői tudatosságot növelje! Legyen pontos elképzelése a célokról! Mérje a teljesítményt! Ne hagyja abba a biztonság irányítását
KIFÜ tájékoztató Közérthető nyelvezet Alapfogalmak magyarázata Életszerű példák Vezetői, ügyintézői és informatikai segédlet
KIB 25. ajánlás (2008) Több kötetben, magyarul Az információbiztonsági irányítási és menedzsment útmutatók, jó gyakorlatok (több száz oldal!) Forrás: ekk.gov.hu
ISACA: CobiT 5 for InfoSecurity 2012 Átfogó információ-biztonság irányítási és menedzsment gyakorlatok Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!) Forrás: isaca.org
Kérdések? ? ? ?
Köszönöm a megtisztelő figyelmüket! Vége Köszönöm a megtisztelő figyelmüket! Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.