Szabványok és ajánlások az informatikai biztonság területén

Slides:



Advertisements
Hasonló előadás
A szabványosítás és a szabvány fogalma, feladata
Advertisements

A rendvédelmi szervek helye a kibervédelemben
Információbiztonság irányítása
Az elektronikus közigazgatási rendszerek biztonsága
Projekt vezetés és kontroll – Mi történik a gépházban?
Szoftverminőség, 2010 Farkas Péter. SG - Sajátos célok  SG 1. Termék / komponens megoldás kiválasztása  SP 1.1. Alternatívák és kiválasztási kritériumok.
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Információbiztonság a Magyar Köztársaság közigazgatásában dr
2008. november 17. Fazekas Éva, Processorg Software 82 Kft.
Szoftverfejlesztés és szolgáltatás kiszervezés Folyamatjavítási mérföldkövek a világon és Magyaroszágon Bevezető gondolatok Dr. Biró Miklós.
Minőségirányítás a felsőoktatásban
Adat- és indormációvédelmi intézkedések I.
Szoftverminőség biztosítása
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Common Criteria szerinti értékelések lehetőségei Magyarországon
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
AZ INFORMÁCIÓBIZTONSÁG SZABÁLYZÓI ÉS SZERVEZETI KERETEI
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
CONNECT ”Az ITS rendszerek értékelési irányelveinek előkészítése, Magyarországi szempontok.”
Hálózati biztonág Szabályozások VPN Virtual Private Network  Virtuális magán-hálózatok  A megbízhatóság kiterjesztése a fizikai zónán kivülre.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Stipkovits István ISZ auditor SGS Hungária Kft.
Virul az ISO szabványcsalád
77/ Követelmények és a gyakorlat
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
avagy a zártság dilemmái
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN Structured Systems Analysis and Design Method.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
INFORMÁCIÓMENEDZSMENT Dr. Szalay Zsigmond Gábor adjunktus, intézeti tanszékvezető VEZETÉS ÉS SZERVEZÉS MSC SZAK SZENT ISTVÁN EGYETEM.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
ADATBIZTONSÁG, ADATVÉDELEM
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Kiberbiztonság adatdiódával
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Keringer Zsolt osztályvezető
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
Előadás másolata:

Szabványok és ajánlások az informatikai biztonság területén Muha Lajos információbiztonsági igazgató Persecutor Kft. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

Szabványok és ajánlások A TCSEC, az ITSEC és a Biztonságos Nyílt Rendszerek Definiálása és Beszerzése Az ISO/IEC 15408 szabvány – CC Az ISO/IEC 17799:2000 szabvány INFOSEC MeH ITB ajánlásai 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

Az informatikai biztonság Az informatikai biztonság a védelmi rendszer olyan, a védő számára kielégítő mértékű állapota, amely az informatikai rendszerben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

TCSEC, ITSEC és XOPEN A Trusted Computer System Evaluation Criteria dokumentum (Narancs Könyv) az USA Védelmi Minisztériumának nyilvános (!) informatikai biztonsági követelményei. Az Information Technology Security Evaluation Criteria dokumentumot Anglia, Franciaország, Hollandia és Németország közösen dolgozta ki. Az ITSEC 1.2 ideiglenes változatát az Európai Közösség számára 1991-ben adták ki. Az X/Open Company Ltd. az ISO 7498 (OSI) szabványt megvalósító rendszerekre kidolgozta az Open Systems Directive 5. kötetét, amelyben az ITSEC-ben definiált biztonsági alapfunkciókra vonatkozó követelményeket írják le a nyílt és osztott informatikai rendszerekre. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

ISO/IEC 15408 Az Európai Uniós tagállamok, valamint az Amerikai Egyesült Államok és Kanada kormányainak támogatásával kidolgozásra került a Common Criteria, amely megpróbálta a korábbi ajánlások tartalmi és technikai eltéréseit összhangba hozni, a különböző alkalmazási területekre pedig egyedi követelményeket meghatározni. A CC követelmény­rendszerének első három fejezetét kitevő „CC 2.0” dokumentumot – azonos tartalommal – az International Standard Organization ISO/IEC 15408 számon, „Common Criteria for Information Technology Security Evaluation, version 2.0” címmel kiadta. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

A CC fő jellemzői egységes követelmények; egységes kiértékelési módszer; meghatározza az informatikai rendszerek biztonsági követelményeinek katalógusát; felhasználható szoftver és a hardver elemek vizsgálatához; a követelmények nem hardver vagy szoftver specifikusak; definiálható a biztonsági funkcionalitás, azaz a CC terminológiája szerint a védelmi profil (protection profiles: PP), amely függetlenül besorolható a meghatározott 7 biztonsági szint (Evaluation Assurance Level: EAL) valamelyikébe. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

ISO/IEC 17799:2000 A Code of Practice for Information Security Management (a BS 7799 1. része); A biztonsági követelményeket, intézkedéseket a szervezet üzleti céljaiból és stratégiájából vezeti le; Az eddig többségében termékorientált szemlélet egy szervezeti szintű informatikai biztonságmenedzsment központú szemlélet váltja fel. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

ISO/IEC 17799:2000 a teljes körű informatikai biztonság megteremtéséhez szükséges szervezési, szabályozási szempontrendszert adja meg; kifejezetten a felhasználók számára nyújt segítséget egy, a teljes szervezetet és minden rendszerelemet átfogó informatikai biztonságmenedzsment rendszer megvalósítására és ellenőrzésére a vonatkozó követelményrendszer kidolgozásával. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

ISO/IEC 17799:2000 Bevezető 1 A szabvány célja Fogalmak és meghatározások Biztonságpolitika Szervezeti biztonság Az eszközök biztonsági besorolása és ellenőrzése Személyi biztonság 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

ISO/IEC 17799:2000 Fizikai és környezeti biztonság Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje Hozzáférés menedzsment Az IT rendszerek fejlesztése és karbantartása Üzletmenet-folytonosság menedzsment Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

COBIT A Control Objectives for Information and related Technology az ISACA és az ISACF fejlesztése az információtechnológiai ellenőrzéshez Általánosan alkalmazható, szállító független módszer az IT ellenőrzés területén, amely az intézmény szintű az informatikai rendszerek tervezéséhez és alkalmazásához, az igény-meghatározástól az implementáláson keresztül a folyamatos működés és a változáskezelésig az egész életciklus alatt felhasználható. A tevékenységek és a feladatok vagy funkciók kritikai elemzésén alapul. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

INFOSEC Az INFOSEC (information security) az informatikai biztonság NATO-n és az EU-n belüli értelmezése. Az INFOSEC két nagy területet foglal magába: a kommunikációs biztonságot (ang.: Communication Security) és a számítógépes rendszerek biztonságát (ang.: Computer Security). 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

MeH ITB 8. sz. ajánlás Informatikai biztonsági módszertani kézikönyv A MeH ITB 8. számú ajánlása az informatikai biztonság – Central Computer and Telecommunications Agency (CCTA) Risk Analysis and Management Method (CRAMM) alapú – kockázatelemzési módszertana; Hazánkban a közigazgatás területén kívül is elterjedten használják. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

MeH ITB 12. sz. ajánlás Informatikai Rendszerek Biztonsági Követelményei hazai jogszabályok, szabványok, valamint a hazai és nemzetközi ajánlások – elsősorban az ITSEC – figyelembevételével készült; lefedi az informatikai biztonság egészét, azaz az adminisztratív, a fizikai és a logikai védelem területeit; kiterjed mind az informatikai rendszer környezetére, mind magára az informatikai rendszerre. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

MeH ITB 16. sz. ajánlás Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana A Common Criteria 1.0 változatának hazai feldolgozása. 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

Részletesebben 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén

Köszönöm a figyelmet! Elérhetőségem: E-mail: muha.lajos@persecutor.hu +36-1-466-6950 2003. 10. 17. Muha Lajos: Szabványok és ajánlások az informatikai biztonság területén