Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Digitális bizonyíték x Hálózat bizt x Alkalmazás bizt. Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Biztonság területek Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság Ágazatonkénti biztonság Pénzügyi szolg for telecom Szervezetek közti komm ISMS+ITSMS IS Governance Energiaipari foly.vezérlés ISM eü-ben

3 A szabvány címe ISO/IEC 27015:2012 Information technology – Security techniques – Information security management for financial services Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra 20 oldal

4 Alkalmazási terület Útmutató az ISO ben szereplő információbiztonsági kontrollokra a pénzügyi szolgáltatásokat nyújtó szervezetek számára Pénzügyi szolgáltatások: pénz kezelési, befektetési, átviteli és kölcsönzési szolgáltatások ISO/IEC Követelmények ISO/IEC Gyakorlati útmutató ISO/IEC TR Útmutató pü szolgáltatóknak

5 Információbiztonság szervezete  felelősségeknél jogi, szabályozói és iparági keretrendszerek (pl. PCI DSS, Cobit) figyelembe vétele (6.1.3)  kockázat, ha kezelés, tárolás más jogi környezetbe kerülhet (6.2.1)  vevőknek tanácsadás, tájékoztatás, on-line tranzakciókhoz előírások (pl. szigorú hitelesítés) (6.2.2)  szempontok 3. fél megállapodások témakör példák (változás bejelentés, incidenskezelés, auditálás, stb.) (6.2.3)

6 Pénzkezelő berendezések Pl. ATM, SST, POS  vagyonleltárban (7.1.1)  fizikai védelem (elhelyezés, karbantartásra kettős kontrol, selejtezés – POS külső memória is – szabályozás) (9.2.x)  kapacitás menedzsment (10.3.1)  rosszindulatú kód védelem (10.4.1)  szállítók által nyújtott szoftver változás hitelesség ellenőrzés (pl. digitális aláírás, Hash kód) alapos és sikeres teszt előtt (12.4.1)

7 Emberi erőforrás biztonság  átvilágítás a következőkre (8.1.2):  hozzáfér vevő és pü információkhoz (pl. kártya info, vevő jelszó, PIN kód)  vevő és pénzügyi információk feldolgozásért felelős rendszer adminisztrátor  biztonsági kulcsok menedzsmentjéért felelős biztonság felügyelők  „szabadság politika”– érzékeny adatot ne mindig ugyanaz kezelje (8.1.3)  képzési témajavaslatok (jogi előírások, akciók, támadásfajták) (8.2.2)  mobil használat korlátozás biztonsági zónában (9.1.5)

8 Kommunikáció és működés irányítás  felelősség szétválasztás: kezdeményezés a feldolgozástól vagy jóváhagyásától, és az igazolásától, kettős kontroll (10.1.3)  kártya információk, vevő jelszavak, PIN kódok, és pl. fizető kártyák gyártására használt vagyonelemek (pl. mágnescsík) selejtezése (10.7.2)  csekk-könyvek, csekkek és kártyák, nyomtatott levélpapírok kezelése, selejtezése (10.7.3)  szokatlan események, vevők tranzakciók monitorozása, példák ( )

9 + kontroll Internetbank szolgáltatások  aktiválásáról vevő értesítés  korlátok beállítása  közös számlákra meghatalmazások, aláírási jogokkal  korlátok információ kiadásra  megszakadás esetén újra hozzáférés hitelesítés  kapacitás menedzsment mutatókra példák (10.3.1)

10 Információs rendszerek beszerzése, fejlesztése, karbantartása  információs rendszerek biztonsági követelményei (12.1.1)  tranzakciós információk védelme, helyreállítása  automatikus megfelelőség ellenőrzés  csalás visszakövethetőség kezdeményezőig  kliens és résztvevő, illetve üzenet hitelesítés  fizetési üzenetek érintetteknek  üzenet egyeztetések elszámoláskor  hitelesítés érzékeny hozzáférés, tevékenység esetén  felelősségek szétválasztása  titkosítási algoritmus minőség, hossz rendszeres értékelése (12.3.1)

11 Folytonosság, megfelelőség  működésfolytonossági kockázatfelmérésben és folytonossági tervekben szállítók/ szolgáltatást pl. pénzügyi információ átvitelt, szolgáltatásokat (internet bank, kártya folyamatok, cash management) nyújtók ( és )  on-line tranzakciós rendszerek műszaki megfelelés ellenőrzése (bevezetés korrekt, jogszabályoknak megfelel) (15.2.2)

kontroll Megfelelőség monitoring  külső (jogszabály, szerződés) és belső követelményeknek megfelelés monitoring  változások követése  nem-megfelelőségek azonosítása, kezelése

13 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”