A MIBÉTS szerinti értékelőlaborok

Slides:



Advertisements
Hasonló előadás
A szabványosítás és a szabvány fogalma, feladata
Advertisements

Mintacím szerkesztése • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint Tartalom- és módszerfejlesztés a Műegyetem.
MINŐSÉGMENEDZSMENT 11. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK
Értékel- várá- saik azono- sítása Vevők kijelö- lése Termék szolg. meghat. Kinek?Mit? Hogyan? BELSŐ TÉNYEZŐK.
Az államháztartási belső pénzügyi ellenőrzési rendszer fejlesztése
Az elektronikus közigazgatási rendszerek biztonsága
Intézményi akkreditáció 2008 (hogy készüljünk?) MAB 2008 szeptember 19. Topár József.
PTE PMMK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 4. ELŐADÁS.
A Vállalkozásfejlesztési munkacsoport
1 ENCASIA – A KBSZ részvétele a Hálózat munkájában KBSZ SZAKMAI FÓRUM - LÉGIKÖZLEKEDÉS Budapest, dr. Becske Loránd főigazgató.
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Készítette: Pápai Zsolt Lex Ákos Kiss Gábor Borbély Csaba
INNOSTART Nemzeti Üzleti és Innovációs Központ
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
A TANÁCSADÓ SZEREPE az EU műszaki jogi szabályozásának vállalati alkalmazásában CE jelölés és társai – a.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
MINŐSÉGMENEDZSMENT 3. előadás
Minőségirányítás a felsőoktatásban
A KÖZPONT MINŐSÉGBIZTOSÍTÁSA. Szabvány Ismétlődő műszaki, gazdasági és más feladatok optimális megoldásának MINTÁJA.
Projektmenedzsment főosztály szerepe a Kereskedelmi és Hitelbank működésében Erdősi József főosztályvezető Pogátsnik Béla konzulens.
A minőségirányítási rendszerek fejlesztésének aktuális kérdései Dr. Borda Jenő alprogramvezető.
A nem OEP finanszírozott bevételek szervezési rendje és megfelelősége a törvényi előírásoknak Béres György gazdasági igazgató Vezérigazgató Találkozót.
Fejlesztési, stratégiai útmutató
Brachmann Ferenc PTE-TTK/KTK A kurzus szerepe és célja A minőségbiztosítás általános alapelveire történő folyamatos hivatkozással áttekinti a szoftverminőség.
Brachmann Ferenc PTE-TTK/KTK 2009
Szervezetfejlesztési Program
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Iskolahálózatok itthon és külföldön Pénziránytű műhelymunka MNB, november 10.
1 MER ellenőrzés ek egységes értelmezése Budapest, szeptember 5. Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Ipari középvállalat projektvezetőjének tapasztalatai az integrált vállalatirányítási szoftver bevezetési szakaszában Projektmenedzsment Fórum A kis-
TSZVSZ konferencia Vecsés 1 Minősített kivitelezők az építéstechnikai tűzvédelem területén Előadó: Dr. Bánky Tamás.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András.
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Szervezeti viselkedés Bevezetés
Vállalati emberi erőforrás menedzsment
Minőség menedzsment 6.előadás
Az EEM helye a menedzsmentben
Felnőttképzési bázisközpontok és hálózat fejlesztése projekt K o d o l á n y i János Főiskola.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Vállalati tanácsadás pályázatainak értékelése
„Az igazi kérdés nem az, mennyit javultál tegnapi önmagadhoz képest, hanem, hogy milyen jól teszed a dolgod versenytársaidhoz képest.”
„Innovációs folyamatok és lehetőségek a Közép-dunántúli régióban” Pannon Egyetem Innovációs Konferencia Veszprém október 2. Előadói napon elhangzott.
TÁMOP / Munka és tanulás – Munkahelyi képzések támogatása a Közép-dunántúli Régió mikro- és kisvállalkozásainál.
Miért is kell minősíteni a szoftverfejlesztő cégeket? Kinek jó ez? Az IVSZ Szoftverfejlesztési Tanúsítvány elindításának hátteréről Balatonfüred.
INTÉZMÉNYI KÖR NYILVÁNTARTÁS AKKREDITÁCIÓ ENGEDÉLYEZÉS.
i.e. SMART üzleti ötletek versenye SWOT analízis workshop
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Nyitó konferencia szakmai elemei 1.Duális képzési filozófia alapelemei (10 parancsolata) 2.Duális képzések nemzetközi gyakorlatának összefoglalása 3.Duális.
A Bologna-folyamat a munkáltatók szempontjából Gerner Péter
Bolognai Folyamat a az európai és a hazai mérnökképzésben Jobbágy Ákos BME november 17.
Ökocímke.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
PTE PMMIK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 5. ELŐADÁS.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
„Információvédelem menedzselése” XI. Szakmai Fórum Budapest, május 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
FÜGGETLENSÉG Készítette: Szabó Gabriella. Nemzetközi szabályozás A Könyvvizsgálók Nemzetközi Szövetsége (IFAC) által kiadott Könyvvizsgálói Etikai Kódex.
Minőségirányítás és Akkreditáció Bőhm Zoltán Budapest,
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Akkreditált IT terméktanúsítás - a NAT szerepe a tanúsításban
KOMPETENCIA ALAPÚ TANÁRKÉPZÉS FÓKUSZBAN A GYAKORLATI KÉPZÉS
Dr. Beck György Compaq Computer Mo. Kft. Vezérigazgató
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Az ISO 9001 jelenlegi helyzete
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Minőségfejlesztési munkacsoport KPSZTI Április 17-
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Az SZMBK Intézményi Modell
Előadás másolata:

A MIBÉTS szerinti értékelőlaborok Krasznay Csaba BME Informatikai Központ krasznay@ik.bme.hu

Tartalom Bevezetés Az angol példa Az amerikai példa A tajvani példa Következtetések SWOT

Bevezetés A CCRA csatlakozással elfogadjuk a külföldön kiadott CC tanúsítványokat Célunk, hogy előbb-utóbb Magyarország is CC tanúsítvány kibocsátó országgá váljon Ehhez fontos lépés a saját nemzeti séma létrehozása, mely alapján a magyar értékelőlaborok felkészülhetnek a CC követelmények teljesítésére Konkrét akkreditációs követelmények azonban eddig nem jelentek meg, így a külföldi példákból kell kiindulni

Az angol példa A MIBÉT Séma az angol UK ITSec Scheme alapján alakult ki Az értékelőlaborokat ebben a sémában Commercial Evaluation Facility-nek (CLEF) hívják Akkreditációjuk a UKAS, a brit akkreditációs rendszer felelőssége

Az angol példa A megbízható működés alapfeltétele, hogy a labor csak a sémába tartozó értékeléssel foglalkozzon Ehhez önálló szakértői bázisra, önálló eszközökre és önálló munkakörnyezetre van szüksége A személyzetnek megfelelő képzettséggel kell rendelkeznie Ha az alapfeltételek teljesülnek, a labort az ISO 17025:2000 szabványnak megfelelően kell bevizsgáltatni

Minőségi előírások Az értékelő-szervezet legfontosabb szerepkörei a következők: műszaki irányító, minőségbiztosítási irányító, üzleti vezető, adminisztrációs felelős, biztonsági menedzser Az értékelést 2-3 fős csoportok végzik, a műszaki irányító felügyelete alatt

Biztonsági előírások A CLEF-nek biztosítania kell az üzleti információk védelmét, amit a felügyelőszerv vizsgál Ennek részleteit egy Biztonsági Kézikönyvben kell leírni Ez foglalkozik a fizikai, a személyzeti és az információs biztonsággal is

Felkészültség A jó értékelő ismeri az informatikai biztonság alapelveit, az értékelés eljárásait, és ezeket alkalmazni is tudja Az értékelő lehet gyakornok vagy minősített értékelő Ahhoz, hogy valaki értékelő lehessen, el kell végeznie egy tanfolyamot Ha rendelkezésre áll a megfelelő szakmai stáb, egy mintaértékelést kell végrehajtani

Akkreditáció Az értékelő-szervezet 0. vagy 1. szintű akkreditációval rendelkezhet Az 1. szintű akkreditáció telephelyen kívüli vizsgálatra is feljogosít Az akkreditáció folyamata tartalmazza az értékelési szempontok és a módszertan felhasználásának vizsgálatát Ha a UKAS mindent rendben talál, egy 3-4 hónapos mintaértékelést kell végrehajtani

Mintaértékelés A mintaértékelés során vizsgálják az egyéni képességeket és az adminisztrációs és menedzsment eljárásokat A TOE egy valós termék, amit a CLEF is javasolhat A tipikus mintaértékelésben 3-4 gyakornok értékelő vesz részt Az értékelés során elsősorban az értékelőket vizsgálják, és nem a konkrét terméket

Oktatás Az értékelői tanfolyam 3 modulból áll: IT biztonsági elvek és értékelése, a séma bemutatása Biztonsági követelmények, fejlesztési reprezentációk, funkcionális tesztelés, fejlesztési környezet, működési környezet, sérülékenység vizsgálat, behatolási tesztelés, garancia fenntartása Az értékelés lefolytatása és menedzselése Az értékelő labor is tarthat előadásokat, ha akkreditáltatja az oktatást

Külföldi példák - USA Az IT biztonsági értékelési rendszerek szülőhazája az Egyesült Államok A fontos állami szerveknél elvárás, hogy minden olyan informatikai rendszer vagy termék, mely érzékeny adatokat kezel, rendelkezzen CC minősítéssel Az egyik első tanúsítvány-kiállító az USA-ban a SAIC CCTL

Külföldi példák - USA A SAIC CCTL akkreditációja a minőségirányítási kézikönyv benyújtásával kezdődött Ezek után vizsgálták a munkatársak kompetenciáját A vizsgálat egy éven át folyt, aminek végén EAL1-4 értékelésekre kaptak felhatalmazást Az első két évben 4 értékelést folytattak

Külföldi példák - USA 2002-ben 11 értékelő dolgozott főállásban a cégnél Őket a cég más osztályain dolgozó kollégák segítik Szükség esetén más munkatársakat is bevonnak A munkához egy önálló épület áll rendelkezésükre

Külföldi példák - Tajvan A tajvani kormányzat a jelentős tajvani gyártók nyomására kezdett el foglalkozni a CC bevezetésével A séma és a labor kialakításával a Nemzeti Cheng Kung Egyetemet bízták meg A projekt összesen 4 millió dollár költségvetéssel gazdálkodik 15 szakember tanul CC kibocsátó országokban

Külföldi példák - Tajvan Céljaik: A tajvani IT termékek versenyképességének növelése Az értékelési idő lecsökkentése azzal, hogy hazai labor végzi a munkát A termékek minőségének javítása

Következtetések Egy megfelelően felkészült értékelőlabor rendelkezik: felkészült értékelőkkel (3-5 fő), bevonható szakértőkkel, bármilyen területen (20-30 fő), a megfelelő hátteret biztosító környezettel (adminisztráció, infrastruktúra, stb.), pénzügyi függetlenséggel,

Következtetések oktatási kapacitással, ISO 17025:2000, ISO 9001: 2000 és BS 7799-2:2002 megfeleléssel, A MIBÉTS, és ezen keresztül a CC sikeres adaptációja elképzelhetetlen hatékony állami szerepvállalás nélkül

SWOT Erősségek: Gyengeségek: világviszonylatban is kimagasló oktatási tematika, kimagasló értékelési gyakorlat több informatikai biztonsági témakörben Gyengeségek: nincs kereslet Magyarországon az IT biztonsági tanúsításokra, az értékelés túlságosan drága és sok időt vesz igénybe

SWOT Lehetőségek: Veszélyek: a Magyarországon fejlesztő multik figyelmének felkeltése, versenyelőny a többi kelet-közép-európai országgal szemben Veszélyek: a CC tanúsítvány kibocsátó országok nem érdekeltek abban, hogy a kis országok is rendelkezzenek ezzel a tudással, az állami szervek aktív részvétele és figyelme nélkül a séma csendben kimúlhat

Köszönöm a figyelmet!