Magyar Bankszövetség 2003.11.20. NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft. 2003.11.20.

Slides:



Advertisements
Hasonló előadás
A szabványosítás és a szabvány fogalma, feladata
Advertisements

„A tanfelügyelet kialakuló rendszere, átfogó minőségfejlesztés a közoktatásban” Az intézmények minőségfejlesztési folyamatainak támogatása /4. pillér/
PTE PMMK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 4. ELŐADÁS.
Szervezetfejlesztési Program
Az adminisztratív adatbázisok állományainak hozzáférhetősége.
Projektciklus- menedzsment (PCM)
A kamara megnövekedett szerepe a szakképzésben
Technológiai fejlesztés a hatékony ellátás szolgálatában
Készítette: Pápai Zsolt Lex Ákos Kiss Gábor Borbély Csaba
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
A MIBÉTS szerinti értékelőlaborok
Információbiztonság a Magyar Köztársaság közigazgatásában dr
2008. november 17. Fazekas Éva, Processorg Software 82 Kft.
DOKUMENTUMKEZELÉS.
TŰZÁLLÓ KÁBELRENDSZEREK TANÚSÍTÁSA
A kutatás-fejlesztési tevékenység minősítése az SZTNH-ban
Minőségirányítás a felsőoktatásban
Orvos szakmai programok illeszkedése az ágazati célkitűzésekhez „Építészet a Gyógyulásért 2010-Európai Uniós támogatással” konferencia.
Brachmann Ferenc PTE-TTK/KTK 2009
Az első lépések Dr. Kadocsa Ildikó, osztályvezető
Konzulens: Dr. Boda György Készítette: Kovács Katalin
Környezeti kontrolling
Magyar Információs Társadalom Stratégia (MITS) – egészségügyi és szociális vonatkozások: Az Egészségügyi és Szociális Ágazati Információs Stratégia (MITS-ESZ)
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Szabványok és ajánlások az informatikai biztonság területén
TÁMOP szakmai támogatás Educatio Nonprofit Kft
Eddigi eredmények, további feladatok Egyházy Tiborné dr. projektvezető október 27.
CESR ajánlása alapján a tőzsdei kibocsátók IFRS szerint elkészített éves jelentéseinek PSZÁF általi – 2008-ban induló – monitorozása Előadó: Farkas Anita.
TEGoVA: EVS 2003.
Common Criteria szerinti értékelések lehetőségei Magyarországon
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
„Innovációs folyamatok és lehetőségek a Közép-dunántúli régióban” Pannon Egyetem Innovációs Konferencia Veszprém október 2. Előadói napon elhangzott.
Az igazgatás és az ápolás-szakfelügyelet kapcsolata
1 8/1993.(III.31.) NM rendelet Szakmai felügyelet A jogszabály módosítás okai: –Az Eü. Reform kiemelt feladata a szakfelügyelet erősítése –Nem minden orvosi.
MINŐSÉG A SZAKFELÜGYELETBEN
Miért is kell minősíteni a szoftverfejlesztő cégeket? Kinek jó ez? Az IVSZ Szoftverfejlesztési Tanúsítvány elindításának hátteréről Balatonfüred.
Keretrendszerek az oktatás rendszerében Felnőttképzés a változó gazdasági és oktatási rendszer környezetében konferencia Eger április
MATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. Szádeczky Tamás e-közszolgáltatások tesztelési módszertana Törvényesség, szabványosság, biztonság.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Az új köznevelési rendszer jellemzői és várható eredményei
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
avagy a zártság dilemmái
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
Az OSzMK tevékenysége különös tekintettel a fogorvosi ellátásra Dr. Brunner Péter főigazgató Országos Szakfelügyeleti Módszertani Központ Budapest,
MAGYAR SZABVÁNYÜGYI TESTÜLET Az információ szükségessége Piaci verseny (piacra jutás, piacon maradás, piacbővítés) Alkalmazkodás, feltételek.
1 Szervezet és minőség 2. előadás 1. 2 Az előadás tartalmi elemei Alapfogalmak A minőségfejlesztés jogszabályi háttere Minőségfejlesztési megközelítések.
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Helyszíni ellenőrzés Grigely Győző, KDRFÜ. Az ellenőrzés jogi háttere Támogatási Szerződés, ÁSZF 10. pont „Kedvezményezett a Szerződés aláírásával kötelezettséget.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
Az OEFI TÁMOP / számú ”Egészségfejlesztési szakmai hálózat létrehozása” című kiemelt projekt köznevelési alprojektje ELKÉSZÜLT SZAKMAI.
A Nemzeti Statisztika Gyakorlati Kódexe
SZÖM II. Fejlesztési szint folyamata 5.1. előadás
Javaslat a konszenzust igénylő alapkérdésekre
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
MIÉRT stabilak (jók??) a minőségrendszereik?.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése VIII. Szakmai Fórum
TŰZÁLLÓ KÁBELRENDSZEREK TANÚSÍTÁSA
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
PROJEKT MENEDZSER Elkészíti a projekt terveket
Az SZMBK Intézményi Modell
Előadás másolata:

Magyar Bankszövetség NEMZETI SÉMA KIÉPÍTÉSE informatikai biztonsági értékelésre és tanúsításra dr. Balázs István HunGuard Kft

Magyar Bankszövetség Miért szükséges a nemzeti séma kialakítása? (1) MITS IBR középtávú feladatainak beindításához szükséges rövidtávú kulcsintézkedések: 4.2.: Az informatika termékek és rendszerek biztonsági értékelése és tanúsítása hazai rendszerének kialakítása. 1)Módszertan kidolgozása, adaptálása az informatikai biztonsági kiértékelés eljárásaihoz, 2)Vizsgáló laboratóriumok felállításának támogatása, 3)Tanúsító szervezet felállítása. Mert kulcsintézkedésként beterveztük.

Magyar Bankszövetség Miért szükséges a nemzeti séma kialakítása? (2) 1214/2002. (XII.28.) sz. Korm. határozat: “ Ki kell alakítani az informatikai alkalmazások minőségének és biztonságának hiteles tanúsítási rendjét, az ehhez szükséges jogszabályok megalkotásával és intézményrendszer felállításával” határidő: Mert a döntéshozók elrendelték.

Magyar Bankszövetség Miért szükséges a nemzeti séma kialakítása? (3) Csatlakoztunk a CCRA egyezményhez / én/ Két különböző résztvevői szátusz: tanúsítvány használó (elfogadó) /19/ tanúsítvány jóváhagyó (kibocsátó) /6/ Tanúsítványt jóváhagyó státusz feltételei: állami tanúsító szervezet (EN 45011), kereskedelmi értékelő szervezetek (EN 45001) nemzeti séma (CC, CEM), nemzeti séma értékelése 2 jóváhagyó tagállammal Mert a CCRA nemzetközi közössége elvárja tőlünk.

Magyar Bankszövetség Üzleti / államigazgatási folyamatok IT rendszerek IT termékek „Technológia szempontú” értékelések MSZ ISO/IEC (Common Criteria) „Menedzsment szempontú” értékelések MSZ ISO/IEC 17799, BS rész, BSI baseline, Cobit ISO/IEC TR 13335, ISO 9000,.../ Működtetés Környezet Mire vonatkozik a nemzeti séma /MIBÉTS/? Felhasználók

Magyar Bankszövetség A MIBÉTS séma céljai (1) Rövidtávú MIBÉTS célok: 1. Jogi és szervezeti keretek kialakítása tanúsító szervezet, értékelő szervezetek, szakértők. 2. Az informatikai biztonsági értékelések beindítása központi felügyelet és támogatás, egységes módszertan.

Magyar Bankszövetség A MIBÉTS séma céljai (2) Középtávú MIBÉTS célok (3-4 év): 1. Készítse elő a CC tanúsítvány jóváhagyó státusz megszerzését séma szervezet kialakítása, fejlesztése, a Közös értékelési módszertan (CEM) alkalmazása, sikeres biztonsági értékelések gyakorlata. 2. A séma hatókörének kiterjesztése: tanúsítás gondozás környezet (fizikai, személyi, eljárásrendi)

Magyar Bankszövetség A hazai séma technológia szempontú biztonsági értékelésének és tanúsításának céljai A CCRA megállapodás nemzeti sémákra vonatkozó minimális elvárásainak kielégítése (ezzel elősegítve Magyarország későbbi, "tanúsítvány jóváhagyó” résztvevő státuszának megszerzését). A minimális nemzetközi elvárások kiegészítése és pontosítása (a legnagyobb gyakorlattal és múlttal rendelkező nemzeti sémák tanulmányozásával). Egyszerűsített, költség-hatékony módszer kidolgozása (a CC és a CEM hazai adaptálása első lépéseként).

Magyar Bankszövetség Az értékelési és tanúsítási módszertan alapelvei SZAKSZERŰSÉG - az értékelési tevékenység alkalmas-e a megcélzott garanciaszint eléréséhez? PÁRTATLANSÁG - van-e érdekeltség az eredményben? OBJEKTIVITÁS - minimalizálni a szubjektív döntéseket! MEGISMÉTELHETŐSÉG - ugyanarra az eredményre jutna az értékelő később is? ÚJRAELŐÁLLÍTHATÓSÁG - ugyanarra az eredményre jutna egy másik értékelő is?

Magyar Bankszövetség A MIBÉTS séma szereplői FEJLESZTŐ - előállítja az értékelés tárgyát MEGBÍZÓ - fizet az értékelésért ÉRTÉKELŐ - végrehajtja az értékelést TANÚSÍTÓ - felügyeli az értékelést, tanúsítványt bocsát ki (megfelelő eredmények esetén) FELHASZNÁLÓ - az egész séma az ő bizalmát és informáltságát kívánja erősíteni!

Magyar Bankszövetség Miért van szükség a MIBÉTS sémára? Az informatikai biztonságot tudatos, ellenséges emberi cselekedetek ellen is garantálni kell (különböző kikerülési, lerontási, hatástalanítási és feltörési kísérletek ellenére) Robbanásszerűen fejlődő, állandóan változó szakterület (a módszert egységesen, a fejlődéssel is lépést tartva kell alkalmazni) A gyors fejlődést éles piaci verseny is kíséri (kellően le nem tesztelve, biztonsági hibákkal és más sebezhetőségekkel, illetve univerzálisan konfigurálható módon kerülnek termékek a piacra) Mert szakmailag indokolt!

Magyar Bankszövetség Miért van szükség központi tanúsító szervezetre? Valamennyi CC tanúsítványt kibocsátó ország központi (állami) tanúsító szervezet hozott létre Ausztrália és Új-Zéland: DSD - GCSB Egyesült Királyság: CESG, Franciaország: SCSSI, Kanada: CSE, Németország: BSI, USA: NIAP. A módszertan egységes alkalmazásának igénye összehasonlítható értékelési eredményekkel, a “szakszerűség - pártatlanság - objektivitás - megismételhetőség - újraelőállíthatóság” elveinek megvalósulásával. A más nemzetek által kibocsátott tanúsítványok elismerése kormányzati jellegű döntéseket és állásfoglalásokat kíván

Magyar Bankszövetség A tanúsító szervezet szerepe a MIBÉTS sémában Az alapelvek és a módszertan betartatása - az értékelési eredmények és az ezt megalapozó bizonyítékok összhangja, megfelelősége Szakszerűség biztosítása - az értékelők által alkalmazott technikák és gyakorlatok szakszerűek, korrekt eredményhez vezetnek Útmutatás - általában, valamint az értékelők által feltett (módszertani, séma szabályokra vonatkozó) kérdések gyors megválaszolásával Értékelési jelentések ellenőrzése - Helyesen dokumentálja az értékelés eredményeit? Megfelel az értékelés megállapításainak? Tanúsítási jelentések és tanúsítványok kibocsátása - az értékelési jelentésben dokumentált eredményekkel összhangban, nyilvánosságra hozható tartalommal.

Magyar Bankszövetség Az értékelés és tanúsítás folyamata MegbízóÉrtékelőTanúsító Fejlesztői bizonyítékok tanulmány, munkaterv, ütemezés Az értékelés befogadása Értékelés (biztonsági előirányzat + értékelés tárgya) Észrevételezési jelentések Értékelési jelentés Tanúsítási jelentés

Magyar Bankszövetség A Közös szempontrendszer (CC) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve Növekvő értékelési ráfordítás: hatókör – mélység - szigorúság

Magyar Bankszövetség A Közös módszertan (CEM) értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve EAL 2: Strukturálisan tesztelve EAL 3: Módszeresen tesztelve és ellenőrizve EAL 4: Tervszerűen tervezve, tesztelve és átnézve EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve A CCRA megállapodás csak az EAL1-EAL4 szintekre vonatkozik

Magyar Bankszövetség A MIBÉTS séma értékelési garanciaszintjei EAL 1: Funkcionálisan tesztelve (EAL 2): ALAP garanciaszint (EAL 3+): FOKOZOTT garanciaszint (EAL 4): KIEMELT garanciaszint EAL 5: Félformálisan tervezve és tesztelve EAL 6: Félformálisan igazolt módon tervezve és tesztelve EAL 7: Formálisan igazolt módon tervezve és tesztelve Illeszkedés a MeH ITB 12.-es ajánlás biztonsági kategóriáihoz.

Magyar Bankszövetség Az értékelési feladat áttekintése

Magyar Bankszövetség A technológia szempontú értékelés lényege Fejlesztő által végzett sebezhetőség elemzés /kimutatja: nincs nyilvánvaló sebezhetőség/ Lehetséges sebezhetőségek Nyilvános források Tanúsító szervezet Értékelő által végzett sebezhetőség elemzés és behatolás tesztelés /a tervezett környezet szempontjából, a támadóról feltételezett támadási potenciállal/ Nem kihasználható sebezhetőségek /a tervezett környezetben, a feltételezett támadási potenciállal/ Maradvány sebezhetőségek /kihasználhatók más környezetben, vagy nagyobb támadási potenciállal/ Kihasználható sebezhetőségek

Magyar Bankszövetség A séma kialakítás szakmai megalapozása MIBÉTS séma kiadványok: 1. A MIBÉTS nemzeti séma általános modellezése 2. Az értékelés és a tanúsítás folyamatai 3. Az értékelés módszertana 4. A tanúsítás módszertana Módszertani útmutatók Tudásbázis kialakítása (szabvány honosítása, ismertetők, bevezető szakanyagok készítése) Adatbázis (értékelt CC védelmi profilokról és termékekről) Oktatási és továbbképzési anyagok, vizsgarend Egy minta értékelés teljes dokumentálása

Magyar Bankszövetség Köszönöm figyelmüket! Balázs István HunGuard Kft.

Magyar Bankszövetség

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.