Www.balabit.hu GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.

Slides:



Advertisements
Hasonló előadás
2005 február 7Dr. Tánczos László BME EISZK1 Az oklevélmelléklet előállításának technikai és informatikai háttérbiztosítása. Tánczos László igazgatóhelyettes,
Advertisements

A időszak végrehajtási intézményrendszere
Információbiztonság irányítása
Dolgozni már bárhonnan lehet…
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az új Pmt. alkalmazásának gyakorlati tapasztalatai és az ebből fakadó felügyeleti feladatok Kriminálexpo április 16. Kérdő Gyula PSZÁF.
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
AZ INFORMATIKAI BIZTONSÁG
Az Ibtv. civil-szakmai támogatása
HÁLÓZATOK.
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
2008. november 17. Fazekas Éva, Processorg Software 82 Kft.
4. Gyires Béla Informatikai Nap május 6.1 Márton Ágnes Debreceni Egyetem Informatikai Kar Informatikai Rendszerek és Hálózatok Tanszék A Virtual.
A KÖZPONT MINŐSÉGBIZTOSÍTÁSA. Szabvány Ismétlődő műszaki, gazdasági és más feladatok optimális megoldásának MINTÁJA.
Szoftverminőség biztosítása
Beruházás-kontrolling
A belső kontroll rendszer hatékony működtetése
Szabványok és ajánlások az informatikai biztonság területén
1 MER ellenőrzés ek egységes értelmezése Budapest, szeptember 5. Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
Hálózatkezelési újdonságok Windows 7 / R2
Hálózati és Internet ismeretek
Kisiklott projektek sínre tétele Sipos Ferenc Ágazat igazgató Móra Krisztina Projektvezető HTE Projektmenedzsment a gazdaságban,
PCI DSS szabványról röviden
Az open source rendszerek auditja Krasznay Csaba ISACA-HU Open Source 2011 Konferencia, február 24.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
VII. Nevelésügyi Kongresszus VII. Szekció Intézményfenntartás, irányítás és finanszírozás A közoktatás finanszírozása nem önkormányzati fenntartók esetében.
Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András.
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
SOX audit lépései, elvárások a CIO-val szemben
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
Transznacionális és multinacionális vállalatok
Miért szükséges? Önkormányzati feladatok irányításának alapköve Kinek és miért hasznos? Képviselőtestületek és bizottságai Polgármester Polgármesteri hivatal.
HuWiCo Hotspotok firmware ismertető. HuWiCo hotspotok most Nyílt hálózat Nincs authentikáció Nincs csomagszűrés Nincs remote managemant Nincs titkosított.
Hálózati biztonág Szabályozások VPN Virtual Private Network  Virtuális magán-hálózatok  A megbízhatóság kiterjesztése a fizikai zónán kivülre.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Tűzfal (firewall).
Corporate presentation ”quis custodiet ipsos custodes” Avagy ki vigyázza a vigyázókat.
avagy a zártság dilemmái
1 Határtalan határvédelem Illés Márton
Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
GUARDING YOUR BUSINESS ■ syslog-ng web GUI-k Czanik Péter BalaBit.
A lényeges hibás állítás kockázatának azonosítása, és felmérése 315. témaszámú könyvvizsgálati standard A lényeges hibás állítás kockázatának azonosítása,
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Bankkártya adatok kezelése
Gazdasági környezet vizsgálata
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Információ és kommunikáció
LOG-junk ki a sorból.
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Informatikai rendszermérnök specializáció
Biztonság és GDPR kancellar.hu
Előadás másolata:

GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN

GUARDING YOUR BUSINESS Hogyan hat a SOx itthon? A SOx hatása inkább trendszerű, mint közvetlen Közvetlenül: amerikai tőzsdén jegyzett anyacég Közvetve: Euro SOx (EU Company Law 8th Directive 2005) Basel II (Basel Committee on Banking Supervision 2004) PCI DSS (Payment Card Industry Data Security Standard 2004) ISO szabványcsalád (2005) Hazai szabályozások (ÁSZ, PSZÁF, NHH, stb…) 2

GUARDING YOUR BUSINESS Mi lesz még ebből? A folyamat elején tartunk Az IT rendszer maga a szervezet, ami rengeteg megbízhatósági kérdést vet fel Állam: Mennyi profit után adóztál? Tulajdonos: Mennyi profit után kaptad a fizetésed? Ügyfél: Mi alapján számlázol? A szabályzások további bővülése várható. 3

GUARDING YOUR BUSINESS Mindennek az alapja: COBIT ISACA 1992 Az informatikai irányítás és ellenőrzés de facto, naprakész szabványa Az üzleti / hivatali igényekből indul ki Folyamat szemléletű Segít megérteni, és kezelni az informatikai kockázatokat Egyértelmű irányelveket és bevált gyakorlatokat ad az IT biztonsághoz és ellenőrzéshez 4

GUARDING YOUR BUSINESS Mire kell gondolni a mindennapokban? Belső szabályzatot és monitoring rendszert kell alkotni Egyértelmű felelőségi és számonkérési rendszert kell alkotni Sértetlenség, bizalmasság, rendelkezésre állás 5

GUARDING YOUR BUSINESS Még konkrétabban? Az alapelvek a körülményekhez igazított adaptációja 6

GUARDING YOUR BUSINESS Ki is az a szerver adminisztrátor? A rendszergazda a vállalat egyik legszélesebb operatív jogkörrel rendelkező tagja minimális felelőséggel. Miért? Tulajdonképp korlátlan jogosultságokkal rendelkezik beleértve a nyomok eltüntetésének lehetőségét is, ami rengetek előírásnak mond ellent.

GUARDING YOUR BUSINESS És a rendszergazda? Az alapelvek a körülményekhez igazított adaptációja 8

GUARDING YOUR BUSINESS A lehetséges megoldások és gyengeségeik 1. Központi naplózás A megfelelő naplózási szint beállítása nehézségekbe ütközhet, vagy akát lehetlen is Bonyolult üzemeltetni egy inhomogén hálózatban A naplóbejegyzések olyan helyen generálódnak, amely nem független a rendszer adminisztrátorától Újra felépíteni egy sessiont sok szakértelmet és időt (pénzt) kíván A naplózó kliensek üzemeltetése is jelentős emberi erőforrást igényelhet 2. Fraud detection / Network forensics Nincs kontroll csak naplózás Nem kezeli a titkosított adminisztratív csatornákat (SSH, RDP)

GUARDING YOUR BUSINESS A mi megoldásunk Transzparens felügyelet az SSH, Telnet és RDP forgalom felett Sun X2100 and X2200 alapokon 10

GUARDING YOUR BUSINESS A távoli hozzáférések kontrollálása Beágyazott csatornák ki/be kapcsolása Nincs lefedetlen csatorna A rendszergazdáktól független eszköz Erős authentikáció és titkosítás kikényszerítése Rugalmas integrációs lehetőségek a meglévő hálózat átalakítása nélkül (pl: LDAP) 11

GUARDING YOUR BUSINESS A teljes session archiválása A kapcsolat minden részletének naplózása, auditja A munkamenetek kereshető visszajátszása Tömörített és titkosított audit-trail fájlok „4-eyes” elv betartatása a hálózaton 12

GUARDING YOUR BUSINESS Elfogtunk egy videót… 13

GUARDING YOUR BUSINESS Kinek jó ez? Ki szeret minket? A rendszergazda? – Esetleg… Az auditor? – Minden bizonnyal! A tulajdonos? – Nem kérdéses. CIO? – Az nem kifejezés! 14

GUARDING YOUR BUSINESS Vége Köszönjük a figyelmet! Illés Márton 15