2017.04.04. képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.

Slides:



Advertisements
Hasonló előadás
Mintacím szerkesztése • Mintaszöveg szerkesztése – Második szint • Harmadik szint – Negyedik szint » Ötödik szint Tartalom- és módszerfejlesztés a Műegyetem.
Advertisements

A rendvédelmi szervek helye a kibervédelemben
Az elektronikus közigazgatási rendszerek biztonsága
Magyarország Fogyasztóvédelmi Politikája Országos Konferencia Budapest, 2011.június 16. A fogyasztók oktatása Dr. Horváth György Fogyasztóvédők Országos.
Az új épületenergetikai szabályozás
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
A MIBÉTS szerinti értékelőlaborok
Információbiztonság a Magyar Köztársaság közigazgatásában dr
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Radnainé Gyöngyös Zsuzsanna egyetemi docens tanszékvezető
AaAa ÚJ MAGYARORSZÁG VIDÉKFEJLESZTÉSI PROGRAM Monitoring és értékelés.
Szabványok és ajánlások az informatikai biztonság területén
Önkormányzati hivatalok jogszabályból eredő elektronikus közzétételi kötelezettségei és azok megoldása Közszolgálati Tisztviselők Szakmai Szervezeteinek.
A Mezőgazdaságtudományi Kar minőségbiztosítási rendszere
Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
AZ INFORMÁCIÓBIZTONSÁG SZABÁLYZÓI ÉS SZERVEZETI KERETEI
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság
Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András.
TANÁR-TOVÁBBKÉPZÉSI ALPROGRAM
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Disszeminációs Konferencia Budapest, december 2. dr. Sediviné Balassa Ildikó TANÁRTOVÁBBKÉPZÉS A FELSŐFOKÚ SZAKKÉPZÉSHEZ.
2005.évi CLXXXIII. törvény a vasúti közlekedésről
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
MATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. Szádeczky Tamás e-közszolgáltatások tesztelési módszertana Törvényesség, szabványosság, biztonság.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Integrált Irányítási Rendszer
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Környezeti elemek védelme II. Talajvédelem KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc Gazdálkodási modul Gazdaságtudományi ismeretek.
Szakképzési közfeladatok a Kamarában
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
77/ Követelmények és a gyakorlat
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
avagy a zártság dilemmái
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
40/2006. (VI. 26.) GKM rendelet BIZTONSÁGI JELENTÉS & ÉVES BESZÁMOLÓ.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Dr. M uha L ajos mk. alez., főiskolai tanár Dr. M uha L ajos mk. alez., főiskolai tanár Nemzeti Közszolgálati Egyetem HHK HIEH +36.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
1 XIV. Országos Minőségellenőrzési Továbbképzés MER ellenőrzések módszertana Siófok, Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
SZÖM II. Fejlesztési szint folyamata 5.1. előadás
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Múzeumi gyűjtemények menedzsmentje, avagy a Spectrum Magyarországon
Az SZMBK Intézményi Modell
Előadás másolata:

2017.04.04. képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék

Miért kell? Az élet minden területén egyre bonyolultabb és nagy kiterjedésű informatikai rendszerek alakulnak ki. Az intézmények tevékenységét és működését mind intenzívebben támogatják informatikai alkalmazások. Ezzel együtt emelkedik az informatikai biztonság szerepe és jelentősége.

Szükséges? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására? Ehhez vannak-e felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel foglalkoznak, akik képesek a kárfelszámolásra?

Miért kell? AZ INFORMÁCIÓ: érték, vagyon, hatalom.

Ki (mi) fenyeget? kiberterrorizmus (cyberterrorizm); információs műveletek (információs hadviselés); gazdasági hírszerzés; ipari kémkedés; hackerek, crackerek; rosszindulatú, bosszúálló munkatársak; képzetlen, hanyag, felelőtlen munkatársak; természeti csapások; műszaki hibák.

Az informatikai védelem A rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer elemei sértetlenségének és rendelkezésre állásának védelme.

Miért kell vele foglalkozni?

megelőzés és korai figyelmeztetés észlelés reagálás A védelem feladatai megelőzés és korai figyelmeztetés észlelés reagálás incidens vagy krízis menedzsment

Az informatikai biztonsággal kapcsolatos jogszabályok, szabványok és ajánlások

E-közigazgatás 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) 2009. évi LX. törvény az elektronikus közszolgáltatásról 2009. évi LXXVI. törvény a szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól

E-közigazgatás 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról

Common Criteria A Common Criteria (CC, Közös Követelmények) az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával került kidolgozásra. A CC követelmény­rendszerének első három fejezetét kitevő „CC 2.0” dokumentumot ISO/IEC 15408 számon nemzetközi szabványként is kiadták.

ISO/IEC 270xx ISO/IEC 27000 – Szószedet és terminológia (definíciók a sorozat összes szabványához). Fejlesztés alatt. ISO/IEC 27001 – Az informatikai biztonság irányítási rendszere (BS 7799-2:2002), a szervezet auditálásához szükséges (megfelelőségi) előírások. Az ISO/IEC 27001 szabványt 2005.10.14-én tették közzé ISO/IEC 27001:2005 számon.

ISO/IEC 270xx ISO/IEC 27002 – Az ISO/IEC 17799:2005 szabvány utódja, azzal gyakorlatilag megegyezik. Az informatikai biztonság irányítása gyakorlati előírásait, ellenőrzési célokat és a legjobb gyakorlatot (best practice) írja le. ISO/IEC 27003 – Az ISO/IEC 27000 szabvány implementálásához szükséges tanácsokat és útmutatókat fogja tartalmazni. A szabvány még csak terv.

ISO/IEC 270xx ISO/IEC 27004 – Egy új szabvány lesz, amely az informatikai biztonság mérésével fog foglalkozni, abból a célból, hogy az informatikai biztonság irányítási rendszerének hatékonyságát mérni tudjuk. ISO/IEC 27005 – Az informatikai biztonság kockázatkezelésével foglalkozik. Az ISO/IEC 13335-3 és 13335-4 szabványok felülvizsgálatával készül. Fejlesztés alatt áll.

ISO/IEC 270xx ISO/IEC 27006 – az ISO/IEC IEC 27001 szabványnak való megfelelést vizsgáló szervezetek számára tartalmaz követelményeket. ISO/IEC 27011 – informatikai biztonságirányítási irányelvek a telekommunikációnak. Jelenleg ez a szabvány fejlesztés alatt áll.

KIB 25. számú ajánlás MIBIK MIBÉTS IBIX

A Magyar Informatikai Biztonság Irányítási Keretrendszere (MIBIK) Az ISO 27000, az ISO/IEC TR 13335 szabványok, továbbá a Security within the North Atlantic Treaty Organisation és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata figyelembe vételével készült.

25/1-1. IBIR Az Informatikai Biztonsági Irányítási Rendszer a TVEB (PDCA = Plan-Do-Check- Act, Tervezés-Végrehajtás-Ellenőrzés- Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.

25/1-2 IBIK Az Informatikai Biztonsági Irányítási Követelmények alapját az ISO/IEC 27002:2005, az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.

25/1-3 IBIV Az Informatikai Biztonság Irányításának Vizsgálata c. vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS 7799- 2:2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 munkadokumentumok képzik, továbbá az IFIP 199/200 (USA) előírások.

IBIV Az összeállított kérdőívek lefedik az Informatikai Biztonság Irányítási Rendszer (IBIR, ISMS – Information Security Management System) folyamatokat. Segítségükkel részletesen meghatározhatjuk, hogy az IBIK követelményei mennyiben kerültek megvalósításra. (Az intézkedések részletes vizsgálata.)

Magyar Informatika Biztonság Értékelési és Tanúsítási Séma MIBÉTS Magyar Informatika Biztonság Értékelési és Tanúsítási Séma A Common Critéria egyezményhez (2003. október) való csatlakozás után kezdődött meg egy magyar „lite CC” kidolgozása

A képzés célja A képzés célja olyan közszolgálati informatikai biztonsági felelősök képzése, akik a képzést követően alkalmassá válnak – a 223/2009 kormányrendelettel, továbbá a KIB 25. és 28. számú ajánlásaival összhangban – a szervezet informatikai biztonsági feladatainak tervezésére, szervezésére és irányítására, továbbá a MIBIK vagy az ISO/IEC 27001 szerinti auditálás, illetve a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC 18045 (CEM) szerinti értékelés előkészítésére

célcsoport A közszolgálati informatikai rendszerekben kijelölt informatikai biztonsági felelősök.

Megszerezhető kompetenciák A vonatkozó hazai és nemzetközi szabványok ismerete szervezeti biztonság, személyi biztonság, fizikai és környezeti biztonság az eszközök biztonsági besorolása és ellenőrzése számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje hozzáférés menedzsment, fejlesztés és karbantartás, biztonsági incidensek kezelése, működésfolytonosság jogszabályi megfelelőség a MIBIK vagy az ISO/IEC 27001 szerinti auditálás a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC 18045 (CEM) szerinti értékelés

követelmények A továbbképzés befejezésekor a résztvevőknek megalapozott ismeretekkel kell rendelkezniük a tematikában szereplő témaköröket illetően, jártasságot kell szerezniük azok elemzésében és az összefüggések feltárásában.

követelmények A képzés 80 %-án való részvétel szükséges ahhoz, hogy a résztvevő jogosult legyen a záróvizsgán részt venni, és hogy tanúsítványt kapjon. Nincs tematikai egységenkénti értékelés, csak a képzés végén a tananyag egészéből kell írásbeli tesztvizsgát tenniük a résztvevőknek.

Ellenőrzés-értékelés A továbbképzési program elsajátításának ellenőrzése egyfelől a konkrét témák interaktív előadása és konzultációja keretében, a szóbeli kérdésekre adott válaszok alapján, másfelől záróvizsgán, tesztfeladat-lap kitöltésével történik.  A záróvizsgán a megfelelő értékeléshez legalább 60 %-os eredmény szükséges – ezek az értékelés általános szempontjai.

Köszönöm a figyelmet!