Az auditálástól a rendszermenedzsmentig

Slides:



Advertisements
Hasonló előadás
A veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezés szabályai (Seveso II.) - polgármesterek felkészítése Lakossági tájékoztatás A lakosság.
Advertisements

Microsoft Üzleti Megoldások Konferencia Biztonsági audit a gyakorlatban “eposz a működő informatikai biztonságról” Keleti Arthur ICON Számítástechnikai.
Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Az új Pmt. alkalmazásának gyakorlati tapasztalatai és az ebből fakadó felügyeleti feladatok Kriminálexpo április 16. Kérdő Gyula PSZÁF.
PTE PMMK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 4. ELŐADÁS.
Humán rendszerek, közszféra
IP vagy Analóg Videó Megfigyelő rendszer
Mennyire projekt érett a mai magyar társadalom? 1022 Budapest, Bimbó út 3. Telefon/fax:
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
A TANÁCSADÓ SZEREPE az EU műszaki jogi szabályozásának vállalati alkalmazásában CE jelölés és társai – a.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
SZERVEZETFEJLESZTÉS Dr. Magura Ildikó.
Nem számít!. Nem számít! A jó sorrend a konzultációkhoz: 1. Vágyak. 2. Problémák. 3. A félelmek eltávolítása átbeszéléssel! 4. Következő havi terv.
DOKUMENTUMKEZELÉS.
A 100%-os helyszíni ellenőrzés koncepciója
1. előadás.
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Ember László Windows Update Windows frissítés.
Megvalósíthatóság és költségelemzés Készítette: Horváth László Kádár Zsolt.
Tibai Eszter Indíts el új munkatársat! A képek származási helye: internet és saját.
HUNGÁRIA BANK Rt. 1 A védelem ára Kihelyezett biztonság március Budapest „A banki főinformatikus intelmei – mit igen, mit nem”
A belső kontroll rendszer hatékony működtetése
Stratégiai kontrolling az egészségügyben
Biztosításfelügyeleti szakmai konzultáció
Átláthatósági jelentések követelményei, tapasztalatok
1 MER ellenőrzés ek egységes értelmezése Budapest, szeptember 5. Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Hálózatkezelési újdonságok Windows 7 / R2
Informatikai döntéstámogatás az MVM-nél
Ipari középvállalat projektvezetőjének tapasztalatai az integrált vállalatirányítási szoftver bevezetési szakaszában Projektmenedzsment Fórum A kis-
Kisiklott projektek sínre tétele Sipos Ferenc Ágazat igazgató Móra Krisztina Projektvezető HTE Projektmenedzsment a gazdaságban,
Projektek monitorozása. Elvek és módszerek
Készítette: Hegyesi- Németh Márta MPI Győr, április 29.
Major Ildikó Osztályvezető-helyettes SAP/CO modulvezető
Szervezeti viselkedés Bevezetés
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
SOX audit lépései, elvárások a CIO-val szemben
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
A Nógrád TISZK nyomonkövetési és pályakövetési rendszer modelljének, ezen belül a partneri igény és elégedettség mérési rendszerének kidolgozása. Salgótarján.
A pénzügyi felügyelés fő irányai Európában Dr. Szász Károly elnök Új kihívások előtt a biztosítási piacok A Magyar Biztosítók Szövetségének I. Biztosítási.
Máth András, Ringier tanácsadó – OAG Szakmai Nap Marketing és kutatás hogyan segíthet a kutatás.
Miért szükséges? Önkormányzati feladatok irányításának alapköve Kinek és miért hasznos? Képviselőtestületek és bizottságai Polgármester Polgármesteri hivatal.
Dr. Makra Zsolt projektvezető
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Microsoft Üzleti Megoldások Konferencia IT HelpDesk – CRM házon belül Microsoft Operations Manager 2005 és Microsoft CRM Ügyfélszolgálat Fülöp Miklós.
Projekt eredményeinek disszeminációja – 2. és 12. fejlesztési elem ÁROP- 1.A „Szervezetfejlesztés a konvergencia régióban lévő önkormányzatok számára”
Iskola-egészségügyi Konferencia augusztus Informatikai lehetőségek az iskola/ifjúság-egészségügyi munkában Wenhard Andrea egészségügyi szakközgaszdász.
i.e. SMART üzleti ötletek versenye SWOT analízis workshop
Emberi Erőforrás Menedzsment Bevezetés
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Visegrád, Könyvvizsgálat, Minőség-ellenőrzés és
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
2015.május 14.. A kérdőív elkészítésének a célja A szoftvert használók mindennapos problémáinak bemutatása A jelenlegi helyzet javítása a felmérés alapján.
DR. FARKAS TAMÁS A LÁTHATATLAN PROBLÉMA AVAGY MIÉRT ÉRDEMES HUMÁNERŐFORRÁS- BIZTONSÁGGAL FOGLALKOZNI?
Tűzfal (firewall).
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
PTE PMMIK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 5. ELŐADÁS.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
FÜGGETLENSÉG Készítette: Szabó Gabriella. Nemzetközi szabályozás A Könyvvizsgálók Nemzetközi Szövetsége (IFAC) által kiadott Könyvvizsgálói Etikai Kódex.
„Adatbázis építés, adatállományok felhasználása, frissítése, targetálás; egy sikeres DM esettanulmány bemutatása” Vörös Gergely online média értékesítési.
Vállalati terv bemutató
Kire milyen szerep vár egy mobil projekt során
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Előadás másolata:

Az auditálástól a rendszermenedzsmentig 2006. február 7. Az auditálástól a rendszermenedzsmentig Keleti Arthur üzletág-igazgató, IT biztonság keleti.arthur@icon.hu

Mit várnak el a biztonságért felelős személytől? 2017. április 4. Mit várnak el a biztonságért felelős személytől? - Szándék van? - Felelős van? - Van miért felelősnek lenni? - Kockázatokat felmérték? Foglalkoznak a kockázatok kezelésével? A törvényt betartják? - Úgy élnek, ahogy a papírokban van? - Van visszacsatolás, értékelés, javítás? ICON Számítástechnikai zrt.

Kik a szereplők? Mi az érdekük? Hol konfrontálódnak? 2017. április 4. Kik a szereplők? Mi az érdekük? Hol konfrontálódnak? Szereplő A szereplő feladata, érdeke a rendszer… a funkció… a folyamatok… az ember… Üzemeltető Pl. CIO karbantartása, jó hatékonysága rendelkezésre állása, használhatósága betartása, gyorsítása, jelentése kiszolgálása Fejlesztő Pl. CDO változtatása, fejlesztése megvalósítása, kényelme beemelése az alkalmazásokba érdekei, lehetőségei Biztonsági terület Pl. CSO biztonsága, változatlansága korlátozása, ellenőrzése hibáinak kivédése, korlátozása Vállalat és az üzlet érdekei, akarata és stratégiája ICON Számítástechnikai zrt.

Mi a folyamat? Hol vannak a kiszervezési lehetőségek? 2017. április 4. Mi a folyamat? Hol vannak a kiszervezési lehetőségek? Külsőssel elvégeztethető Módszertanok pl. CobIT Felmérés Követelmények pl. PSZÁF, törvények, vállalati direktívák Eszközök pl. Carisma Kockázatok elemzése Tűzfal, IPS, PKI, Vírusvédelem, Naplóelemzés … Szabályzatok BCP, DRP Üzemeltetési dokumentáció … Technológia Intézkedések Papírok Kontroll Felügyelet Folyamatok Jelentés Kiszervezhető Visszacsatolás ICON Számítástechnikai zrt.

Biztonság és kiszervezés az üzlet igényeinek oldaláról szemlélve 2017. április 4. Biztonság és kiszervezés az üzlet igényeinek oldaláról szemlélve Üzleti igények Kapcsolódási pontok azonosítása IT Biztonsági réteg – ITB/CSO Szervezeti kérdések és felelősségi körök átgondolása A teljes alkalmazás Funkció réteg – IT/CIO-CDO ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Tipikus kérdések ? Kiszervezhető? Pont a biztonság? ! Igen, persze. A törvények is lehetővé teszik és ahogy a biztonsági őr sem saját alkalmazott, úgy az IT biztonságért felelős őr sem feltétlenül az. ? Biztos, hogy nem tudnak mindent felügyelni ! Persze, hogy nem tudnak. De annál biztosan többet tudnak tenni, mint mi saját magunk. És amit tesznek azért felelősséggel is tartoznak. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Tipikus kérdések ? Nem hiszem el, hogy tőlem több ezer kilométerre vagy akár a szomszédban biztonságban vannak az adataim ! Pedig biztonságban vannak… - elásva a föld alá - páncélajtók mögött - profi szakemberek kezében - valószínűleg nagyobb biztonságban, mint a házon belül ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Változnak az idők! Biztonsági incidensek száma évente az ITBN 2005 résztvevői körében (200 válaszoló alapján): Alacsony incidens: 13.550.894 db Közepes incidens: 1.724 db Magas incidens: 105 db ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Változnak az idők! Az alkalmazások által készített naplóállományok gyűjtése az ITBN 2005 résztvevőinek körében (200 válaszoló) ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Tipikus kérdések ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra I. 2017. április 4. Példák a kiszervezett biztonságra I. Kiadói területen dolgozó vállalat Alkalmazottak száma százas nagyságrendű Közepesen bonyolult IT rendszerek, magas külső bedolgozói tevékenység, határidő-érzékeny munkák, szellemi tulajdont képező anyagok Fokozott külső kommunikáció, központosított IT szolgáltatások, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet Magas szintű IT biztonsági megoldások neves tűzfal rendszer, sok külső kapcsolattal és időszakosan hullámzó magas terheléssel minőségi vírusvédelmi rendszer ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra I. 2017. április 4. Példák a kiszervezett biztonságra I. A biztonság felügyeletének és menedzsmentjének ICON oldali kiszervezése valósult meg A tűzfalak és vírusvédelem saját telephelyen, de külső üzemeltetéssel és támogatással Felügyeleti riportra és riasztásra támaszkodva a konfigurációt módosítjuk Rendszeres frissítések és javítások elvégzése szintén feladat Rendszeres továbbfejlesztési javaslatokat adunk az biztonsági szint növelésére Folyamatosan kezeljük a rendszerből érkező riasztásokat, amelyek titkosítva érkeznek be a távfelügyeleti központunkba ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra I. 2017. április 4. Példák a kiszervezett biztonságra I. A szolgáltatás kialakítása néhány hónapot vett igénybe Több mint 3 éve folyamatosan működik Folyamatos riasztások kiküldését végezzük Rendszeres havi riportokat küldünk Évi több tízezer esemény Havonta a gépi előszűrések után átlagban 1-5 esemény marad, amit emberi beavatkozással kezelünk. ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra II. 2017. április 4. Példák a kiszervezett biztonságra II. Államigazgatási szerv Alkalmazottak száma ezres nagyságrendű Bonyolult IT rendszerek, számos vidéki telephely és rendkívül érzékeny állampolgári adatok Emellett intenzív és aktív IT felhasználási igény, magas szolgáltatási és biztonsági elvárások és alacsony számú IT személyzet (a biztonsággal kapcsolatos operatív munkatársak száma 5 fő alatt!) Vegyes szoftver és hardver környezet (Windows és Unix eszközök) Heterogén IT biztonsági megoldások (többszintű tűzfal rendszer, behatolás védelem hálózati és kiszolgáló alapon, vírusvédelem több szinten a szerverektől a kliensekig) ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra II. 2017. április 4. Példák a kiszervezett biztonságra II. A biztonság felügyeletének ICON oldali kiszervezése valósult meg, saját bérelt vonalon keresztül, titkosított kommunikációval A tűzfalak saját üzemeltetésben (külső támogatással) Felügyeleti riportra és riasztásra támaszkodva a konfigurációt belső döntés után, megbízásra módosítjuk Behatolás védelmi rendszerek saját üzemeltetésben (külső támogatással) Vírusvédelmi rendszerek saját üzemeltetésben (külső támogatással) Belső felügyelet alatt, de külső támogatással konfigurálva ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra II. 2017. április 4. Példák a kiszervezett biztonságra II. A szolgáltatás kialakítása közel fél évet vett igénybe Több mint 3 éve folyamatosan működő szolgáltatás Folyamatos riasztások kiküldését végezzük (ezt megfelelő finomhangolás után vált lehetségessé) Rendszeres havi riportokat küldünk Évi több százezer eseményt dolgozunk fel Ezekből havonta a szűrések után átlagban 10-15 eseményt kell kezelni emberi beavatkozással A szolgáltatás éves költsége jóval alatta van egy főállású IT biztonsági szakember éves költségének ICON Számítástechnikai zrt.

Példák a kiszervezett biztonságra III. 2017. április 4. Példák a kiszervezett biztonságra III. Pénzintézeti szerv, alkalmazottak száma százas nagyságrendű Komplex IT rendszerek, több szolgáltatóval való intenzív külső kapcsolat, érzékeny pénzügyi adatok Magas szolgáltatási és biztonsági elvárások, IT biztonsággal foglalkozó terület nem üzemeltet biztonsági megoldásokat, de ellenőriz A megvalósítás alatt álló megoldás: Elosztott, magas rendelkezésre állásba szervezett biztonsági megoldás: tűzfal, vírusvédelmi és behatolásvédelmi funkciót lát el A rendszer felügyeletét külső gyártó látja el (a riasztások titkosítva jutnak el a gyártó központjába) A rendszer menedzsmentjét az ICON látja el a gyártó által adott riasztások alapján ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Miért kell nekünk biztonság? Eddig nem történt semmi baj. A felelős válaszol: Valószínűleg nem tudjuk, hogy történtek-e biztonsági incidensek, mert keveset naplózunk és nem minden eseményről van információnk. Emellett a múlttal nem célszerű indokolni a jövőt. Azért, mert eddig nem voltak biztonsági incidensek, a jövőben még lehetnek. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: De nyílván kicsi a kockázata, hogy ilyen bekövetkezik, nem? A felelős válaszol: Megállapítható, hogy mekkora a kockázat. Ez egy külön feladat, amelyet kockázatelemzés útján tudunk megoldani. A vezetés kérdez: Erre mégis, mi szükség van? Indítsunk külön projektet arra, hogy a kockázatokról beszélgessünk? Üljetek be egy szobába és találjátok ki. A felelős válaszol: Az egyértelmű kockázatokat meg tudjuk becsülni ezzel a módszerrel. De mivel itt az üzleti folyamatainkban rejlő biztonsági kockázatokkal kell foglalkoznunk, ezért más módszereket kell használnunk. Erre léteznek szabványok, megoldások. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Te meg tudod ezt csinálni? A felelős válaszol: Ha sok időm lenne erre, akkor valószínűleg meg tudnám csinálni, a kockázatelemzés megtanulható. De most azt javasolnám, hogy használjunk erre külsős céget. Azok ismert szabványok szerint, rutinosan és gyorsan dolgoznak. A vezetés kérdez: Lassítsunk! Rendben, megbízol egy céget. Mi lesz a folytatás? A felelős válaszol: Elkészül egy kockázatelemzés, amelyből láthatjuk majd a valódi kockázatokat. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: És akkor ezzel vége is, igaz? A felelős válaszol: A kockázatok elemzését követően a feltárt problémákra megoldásokat kell majd találni. A vezetés kérdez: Ha jól értem, akkor ez újabb feladatokat eredményez. A felelős válaszol: Igen, a kockázatokat rangsoroljuk és aztán az ezekkel arányos védelmet valósítjuk meg az egyes pontokon. Pl. kibővítjük a vírusvédelmünket, frissítjük a tűzfalunkat, írunk biztonsági szabályzatokat. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Mikor lesz ennek vége? A felelős válaszol: A kockázatok kezelése és az informatikai biztonság fenntartása folyamatos munkát igényel. Ez olyan, mint a minőségbiztosítás. A vezetés kérdez: Mennyibe fog ez kerülni? A felelős válaszol: Az összeg változó. Javaslom, hogy a kockázatelemzéssel kezdjük, mert az tartalmaz egyfajta helyzetértékelést és terveket is kérhetünk a jövőre nézve. Kérjünk be ajánlatokat kockázatelemzésre külső vállalkozóktól. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Várjunk egy picit. Mi van, ha ezt az egészet nem csináljuk? A felelős válaszol: Növekedik a kockázata annak, hogy bajunk esik. Például megállhatnak a létfontosságú szerverek és ezzel a napi munka vagy a termelés, feltörhetik a weboldalunkat, a dolgozók adatokat lophatnak el. A vezetés kérdez: És ha én felvállalom ezt a kockázatot? Szerintem nem lesz baj. A felelős válaszol: A törvények előírják, hogy foglalkoznunk kell az adatvédelemmel. A magyar jogszabályok ezen a téren szigorúak. Az ellenőrök (pl. PSZÁF, ÁSZ) és a könyvvizsgálók is ellenőrzik, hogy betartjuk-e a törvényt. És én nem vállalom annak a felelősségét, hogy megvédjem a céget a kockázatoktól, megfelelő védelem nélkül. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: Hogyan járul hozzá a cég hatékonyságához ez az egész? Sok pénzt kiadok, de várhatok bármi hasznosat? A felelős válaszol: Az informatikai biztonság olyan, mint a minőségbiztosítás plusz egy balesetbiztosítás. Folyamatosan fenntartjuk a biztonságot, ezzel csökkentjük a kockázatokat, elkerüljük a bajt, biztonságosabb hátteret teremtünk a működéshez és ezzel javítjuk a hatékonyságot. De ha ennek ellenére beüt a baj, akkor van tervünk a probléma kezelésére, elhárítására és a károk enyhítésére. Ez a kiesett munkaórák csökkenését jelenti és ezáltal szintén növeli a hatékonyságot. A megfelelő biztonság olyan stabilitást eredményez, amely növeli a bizalmat a dolgozókban a vezetés iránt, az ügyfelekben pedig a cég iránt. Ezzel megtartjuk a jó munkaerőt és javítunk a versenyhelyzetünkön a piacon. ICON Számítástechnikai zrt.

ICON Számítástechnikai zrt. 2017. április 4. Biztonsági projekt? Mit mondjunk a főnökeinknek? (rövid útmutató) A vezetés kérdez: De hogy védem én ezt meg a tulajdonos előtt? Nem fog ilyesmire pénzt adni. A felelős válaszol: Meg fogjuk győzni, ha elmondjuk neki mindazt, amiről eddig beszélgettünk: működési kockázatok csökkentése, hatékonyság növelése, imázs vesztés és botrány elkerülése, adatlopás megakadályozása, a jó munkaerő megtartása, a piaci pozíció javítása, a szabályozott munkafeltételek, a problémák hatékony kezelése és a hatályos rendeletek és törvények betartása a sikeres könyvvizsgálatok és ellenőrzések érdekében. ICON Számítástechnikai zrt.

Kérdések? Köszönöm a figyelmet! 2017. április 4. Kérdések? Köszönöm a figyelmet! Keleti Arthur üzletág-igazgató, IT biztonság keleti.arthur@icon.hu ICON Számítástechnikai zrt.