Az ISO 27000 szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.

Slides:



Advertisements
Hasonló előadás
Az új Pmt. alkalmazásának gyakorlati tapasztalatai és az ebből fakadó felügyeleti feladatok Kriminálexpo április 16. Kérdő Gyula PSZÁF.
Advertisements

Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
AZ INFORMATIKAI BIZTONSÁG
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
A TANÁCSADÓ SZEREPE az EU műszaki jogi szabályozásának vállalati alkalmazásában CE jelölés és társai – a.
Minőségirányítás a felsőoktatásban
Szoftverminőség biztosítása A minőségirányítási kézikönyv
A belső kontroll rendszer hatékony működtetése
Dr Szűcs Imre Belső ellenőrök Magyarországi Közhasznú Szervezete
Biztosítók irányítási rendszere
Szabványok és ajánlások az informatikai biztonság területén
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
SOX audit lépései, elvárások a CIO-val szemben
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
EU szabályozás Általános környezetvédelmi jogtár Forrás:
IRÁNYÍTÁSI RENDSZEREK TANÚSÍTÁSÁNAK TAPASZTALATAI
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Stipkovits István ISZ auditor SGS Hungária Kft.
Virul az ISO szabványcsalád
Az IS módosítása Krauth Péter
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXII. Szakmai Fórum Budapest, szeptember 17. Bevezető gondolatok az e-Hétpecsétről és a programról Dr. Ködmön István.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
„Információvédelem menedzselése” LX. Szakmai Fórum Budapest, március 19. Bevezető gondolatok (hírek, aktualitások…) Tarján Gábor Hétpecsét Információbiztonsági.
„Információvédelem menedzselése” XVIII. Szakmai Fórum Budapest, november 16. Bevezető gondolatok, aktualitások az információvédelemben Dr. Ködmön.
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
avagy a zártság dilemmái
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Az ISO szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” XXXIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelem területén + Egyesületi hírek Dr.
„Információvédelem menedzselése” XI. Szakmai Fórum Budapest, május 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Rendszer bemutató /22. oldal Előadó: Elektronikus Közbeszerzési Rendszer Kft.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Bankkártyákról általában
Bankkártya adatok kezelése
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Elektronikus számlázás - technológiai tapasztalatok
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
Business Continuity Menedzsment – kockázatalapú vezetés
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
Magyar információbiztonsági szabványok V.
Információvédelem Menedzselése VIII. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Múzeumi gyűjtemények menedzsmentje, avagy a Spectrum Magyarországon
Előadás másolata:

Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Digitális bizonyíték x Hálózat bizt x Alkalmazás bizt. Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Biztonság területek Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság Ágazatonkénti biztonság Pénzügyi szolg for telecom Szervezetek közti komm ISMS+ITSMS IS Governance Energiaipari foly.vezérlés ISM eü-ben

3 A szabvány címe ISO/IEC 27015:2012 Information technology – Security techniques – Information security management for financial services Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra 20 oldal

4 Alkalmazási terület Útmutató az ISO ben szereplő információbiztonsági kontrollokra a pénzügyi szolgáltatásokat nyújtó szervezetek számára Pénzügyi szolgáltatások: pénz kezelési, befektetési, átviteli és kölcsönzési szolgáltatások ISO/IEC Követelmények ISO/IEC Gyakorlati útmutató ISO/IEC TR Útmutató pü szolgáltatóknak

5 Információbiztonság szervezete  felelősségeknél jogi, szabályozói és iparági keretrendszerek (pl. PCI DSS, Cobit) figyelembe vétele (6.1.3)  kockázat, ha kezelés, tárolás más jogi környezetbe kerülhet (6.2.1)  vevőknek tanácsadás, tájékoztatás, on-line tranzakciókhoz előírások (pl. szigorú hitelesítés) (6.2.2)  szempontok 3. fél megállapodások témakör példák (változás bejelentés, incidenskezelés, auditálás, stb.) (6.2.3)

6 Pénzkezelő berendezések Pl. ATM, SST, POS  vagyonleltárban (7.1.1)  fizikai védelem (elhelyezés, karbantartásra kettős kontrol, selejtezés – POS külső memória is – szabályozás) (9.2.x)  kapacitás menedzsment (10.3.1)  rosszindulatú kód védelem (10.4.1)  szállítók által nyújtott szoftver változás hitelesség ellenőrzés (pl. digitális aláírás, Hash kód) alapos és sikeres teszt előtt (12.4.1)

7 Emberi erőforrás biztonság  átvilágítás a következőkre (8.1.2):  hozzáfér vevő és pü információkhoz (pl. kártya info, vevő jelszó, PIN kód)  vevő és pénzügyi információk feldolgozásért felelős rendszer adminisztrátor  biztonsági kulcsok menedzsmentjéért felelős biztonság felügyelők  „szabadság politika”– érzékeny adatot ne mindig ugyanaz kezelje (8.1.3)  képzési témajavaslatok (jogi előírások, akciók, támadásfajták) (8.2.2)  mobil használat korlátozás biztonsági zónában (9.1.5)

8 Kommunikáció és működés irányítás  felelősség szétválasztás: kezdeményezés a feldolgozástól vagy jóváhagyásától, és az igazolásától, kettős kontroll (10.1.3)  kártya információk, vevő jelszavak, PIN kódok, és pl. fizető kártyák gyártására használt vagyonelemek (pl. mágnescsík) selejtezése (10.7.2)  csekk-könyvek, csekkek és kártyák, nyomtatott levélpapírok kezelése, selejtezése (10.7.3)  szokatlan események, vevők tranzakciók monitorozása, példák ( )

9 + kontroll Internetbank szolgáltatások  aktiválásáról vevő értesítés  korlátok beállítása  közös számlákra meghatalmazások, aláírási jogokkal  korlátok információ kiadásra  megszakadás esetén újra hozzáférés hitelesítés  kapacitás menedzsment mutatókra példák (10.3.1)

10 Információs rendszerek beszerzése, fejlesztése, karbantartása  információs rendszerek biztonsági követelményei (12.1.1)  tranzakciós információk védelme, helyreállítása  automatikus megfelelőség ellenőrzés  csalás visszakövethetőség kezdeményezőig  kliens és résztvevő, illetve üzenet hitelesítés  fizetési üzenetek érintetteknek  üzenet egyeztetések elszámoláskor  hitelesítés érzékeny hozzáférés, tevékenység esetén  felelősségek szétválasztása  titkosítási algoritmus minőség, hossz rendszeres értékelése (12.3.1)

11 Folytonosság, megfelelőség  működésfolytonossági kockázatfelmérésben és folytonossági tervekben szállítók/ szolgáltatást pl. pénzügyi információ átvitelt, szolgáltatásokat (internet bank, kártya folyamatok, cash management) nyújtók ( és )  on-line tranzakciós rendszerek műszaki megfelelés ellenőrzése (bevezetés korrekt, jogszabályoknak megfelel) (15.2.2)

kontroll Megfelelőség monitoring  külső (jogszabály, szerződés) és belső követelményeknek megfelelés monitoring  változások követése  nem-megfelelőségek azonosítása, kezelése

13 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”