© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Megbízható felhő - garanciák.

Slides:



Advertisements
Hasonló előadás
Információbiztonság irányítása
Advertisements

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Az elektronikus közigazgatási rendszerek biztonsága
Cloud computing – változatok egy témára – V-Day 2011
Krasznay Csaba előadása Konzulens: Dr. Magyar Gábor
Jövő hálózati megoldások – Future Internet
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. A mobilitás biztonsági.
AZ INFORMATIKAI BIZTONSÁG
Önkormányzati informatika ASP alapokon
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2010 Hewlett-Packard Development.
Az Ibtv. civil-szakmai támogatása
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Ipari felhő infrastruktúrák a gyakorlatban
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
19 July 2014 © 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice HP PPM Center HP Projekt.
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice 1 Krasznay Csaba CISA, CISM, CISSP,
Szoftverminőség biztosítása
Szabványok és ajánlások az informatikai biztonság területén
PCI DSS szabványról röviden
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Mobil eszközök biztonsági problémái
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
Budai Péter Szakmai és biztonsági vezető Microsoft Magyarország.
© 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Szolgáltatásmenedzsment változó vállalati.
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
HP Projekt és Portfolió Menedzsment megoldás
TOP 3 tanács felhőszerződésekhez Dr. Ormós Zoltán Ormós Ügyvédi Iroda
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Mobileszköz védelem közigazgatási környezetben Dr. Krasznay Csaba NKE KTK EFI ITB.
Online szolgáltatások. Szoftver felépítése A „Felhő” bemutatása Ún. Hosting szolgáltatások – pontosan mit is jelentenek? Előnyök Témakörök © SKIDATA
Hálózati biztonág Szabályozások VPN Virtual Private Network  Virtuális magán-hálózatok  A megbízhatóság kiterjesztése a fizikai zónán kivülre.
Information Risk Management ADVISORY Informatikai biztonság, felelősség megosztás, outsourcing Antal Lajos, Senior Manager március 31.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Új lehetőségek a mobil.
Közigazgatás- technológiai kérdések Dr. Budai Balázs Benjámin.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
Felhő jog Dr. Ormós Zoltán
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Informatikai változások információvédelmi kihívásai Dr. Molnár Imre, CISA magyarországi igazgató, Computer Associates.
Virul az ISO szabványcsalád
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
„Információvédelem menedzselése” XVIII. Szakmai Fórum Budapest, november 16. Bevezető gondolatok, aktualitások az információvédelemben Dr. Ködmön.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.
ISO A FELHŐBEN Tüdős András, CTO. Bemutatkozás Central Europe On-Demand – Cloud platform szolgáltató 10 európai országban – Fókusz: üzleti levelezés,
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Bankkártya adatok kezelése
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
A szakma és az egészségpolitika kapcsolata a nemzetközi gyakorlatban
Kiberbiztonság adatdiódával
Adatvédelmi kihívások a modern információ- technológiában
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Biztonság és GDPR kancellar.hu
Előadás másolata:

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Megbízható felhő - garanciák a biztonságos cloudszolgáltatáshoz Krasznay Csaba HP Magyarország

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2 A CIO igényei és aggodalmai 1,4 Goldman Sachs Equity Research, January ,3 IDC, Enterprise Panel Survey, November 2010

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3 A felhő kockázatai Szabályzati és szervezeti • Függőség • Irányítás elvesztése • Megfelelőségi problémák Technológiai • Erőforrások túllépése • Izolációs hiba • Kiemelt jogosultsággal való visszaélés • Menedzsment interfész támadása • Átvitel lehallgatása • Adatszivárgás Jogi • Lefoglalás • Különböző joghatóságok • Adatvédelem • Licencelés Közvetett • Hálózati hiba • Hálózatmenedzsment • Hálózati forgalom módosítása • Jogosultság kiterjesztése • Social Engineering • Megosztott erőforrások miatti problémák • Cloud szolgáltatás befejezése • Cloud szolgáltató felvásárlása • Szállítási lánc megszakadása • Nem megfelelő törlés • DDoS • EDoS (Gazdasági DoS) • Titkosító kulcs elvesztése • Külső támadási próbálkozások • Kompromittált szolgáltatási motor • Nem megfelelő hardening • Üzemeltetési naplók sérülése • Biztonsági naplók elvesztése • Mentések elvesztése • Nem jogosult fizikai hozzáférés • Lopás • Természeti katasztrófa Forrás: ENISA, Cloud Computing: Benefits, risks and recommendations for information security

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4 A bizalom betűszavai

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 5 Mit jelent a bizalom? A Bizalom Elv: Legyen a bizalom elemi összetevője a felhő szolgáltatásnak úgy, hogy a bizalom minden cloud alapú üzleti folyamat részévé kell, hogy váljon! ISACA: Guiding Principles for Cloud Computing Adoption and Use Legyenek tiszta CIA elvek! Cloud jelentette különleges bizalmi követelménye k legyenek azonosítva! A követelménye k legyenek ismertek és teljesítettek szervezeten kívül és belül! Legyen a monitorozva a cloud használata biztonsági szempontból is! Ellenőrizzük a követelménye k teljesítését a cloud szolgáltatónál is! Folyamatosan biztosítsuk a rendszerek megbízhatósá gát!

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 6 Védelmi követelmények Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v3.0

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 7 IparágHatókörKötelező/ önkéntes Felelős Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire Cloud szolgáltatók Cloud szolgáltatások ÖnkéntesCSA EU Safe Harbor Személyes adatokat kezelők Személyes adatokÖnkéntes US Department of Trade The Federal Information Security Management Act of 2002 (FISMA) USA közigazgatás Szövetségi intézmények IT rendszerei Kötelező Office of Management and Budget Federal Information Processing Standard (FIPS) USA közigazgatás, hadsereg Kriptográfiai termékek Önkéntes National Institute of Standards and Technology The Gramm–Leach–Bliley Act (GLBA)Pénzintézetek Ügyfelek üzleti adatai Kötelező Federal Trade Commission The Health Insurance Portability and Accountability Act (HIPAA) EgészségügyBetegek adataiKötelező Department of Health and Human Services International Traffic in Arms Regulations (ITAR)Hadiipar Hadianyagokkal kapcsolatos adatok Kötelező The Department of State Directorate of Defense Trade Controls Tanúsítók, tanúsítványok

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 8 IparágHatókörKötelező/ önkéntes Felelős The International Standards for Assurance Engagements No (ISAE 3402) Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes International Federation of Accountants ISO 27001BárkiIBIRÖnkéntes International Organization for Standardization Payment Card Industry Data Security Standard (PCI DSS) Bankkártyát kezelők Bankkártya adatok KötelezőPCI Security Council Statement on Auditing Standards No. 70 (SAS 70) Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes American Institute of Certified Public Accountants Statement on Standards for Attestation Engagements No. 16 (SSAE 16) Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes American Institute of Certified Public Accountants SysTrust Szolgáltatást nyújtók Szolgáltatói kontrollok Önkéntes American Institute of Certified Public Accountants Tanúsítók, tanúsítványok

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 9 Audit területek ISO IBIR audit • Az IBIR kialakítása kockázatelemzéssel kezdődik!!! • Szabályzati rendszer • Biztonsági szervezet • Vagyontárgyak kezelése • Személyi biztonság • Fizikai és környezeti biztonság • Kommunikáció és üzemeltetés biztonsága • Hozzáférés-ellenőrzés • Információs rendszerek beszerzése, fejlesztése és karbantartása • Incidenskezelés • Üzletmenet-folytonosság • Megfelelőség PCI DSS Bankkártya adatok • 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. • 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. • 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. • 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait. • 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. • 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. • 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. • 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. • 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni. • 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. • 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. • 12. követelmény: Információbiztonsági szabályzatot kell fenntartani. CSA CAIQ Cloud szolgáltatások • Megfelelőség • Adatkezelés • Létesítménybiztonság • Humán biztonság • Információbiztonság • Jogi megfelelőség • Üzemeltetés-biztonság • Kockázatkezelés • Kibocsátások kezelése • Üzletmenet-folytonosság • Biztonsági architektúra

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 10 SAS 70/SOC 1/SSAE 16/ISAE 3402/SysTrust • A legfontosabb cloud tanúsítványok halmaza • Egy forrásból építkeznek, céljuk egyértelműen az informatikai szolgáltatók által nyújtott szolgáltatások kontrolljainak ellenőrzése bizonyos szempontok alapján. • Kezdetben volt a SAS 70. • Ennek a helyét vette át az SSAE 16 az USA-ban. • Ennek nemzetközi változata az ISAE • A SysTrust pedig egy SAS 70 alapú célzott CIA audit, mely kimondottan a rendszer megbízhatóságára kíváncsi. • A SOC 1 Report – Report on Controls at a Service Organization Relevant to User Entities’ Internal Control over Financial Reporting az audit riportolásának elfogadott formája • Audit területek: − Biztonság szervezete − Hozzáférés-kontroll − Logikai biztonság − Biztonságos adatkezelés − Fizikai és környezeti biztonság − Változáskezelés − Adatok integritása, rendelkezésre állása és redundanciája − Incidenskezelés

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 11 Safe Harbor egyezmény • Hivatalos neve International Safe Harbor Privacy Principles • Célja az EU 95/46/EC számú adatvédelmi direktívájának betartatása az USA-ban működő szervezeteknél • 7 alapelvet fogalmat meg: − Tájékoztatás − Választási lehetőség − Személyes adatok továbbítása − Hozzáférés − Biztonság − Adatok sértetlensége − Érvényesíthetőség és felügyelet

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 12 Információ vs. infrastruktúra KOCKÁZAT

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 13 A mérleg két oldala ElleneMellette Sértetlenség Rendelkezésre állás Bizalmasság

Köszönöm szépen! Web: Twitter: Tumblr: