2003.09.17. 1 Az IS 17799 módosítása Krauth Péter

Slides:



Advertisements
Hasonló előadás
A szabványosítás és a szabvány fogalma, feladata
Advertisements

Az elektronikus közigazgatási rendszerek biztonsága
Információbiztonság vs. informatikai biztonság?
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
AZ EURÓPAI KIVÁLÓSÁG MODELL ÉS SZEREPE AZ EU CSATLAKOZÁSBAN STRATOSZ KIADVÁNY 2003.
A szolgáltatások minőségének biztosítása és értékelése
Brachmann Ferenc PTE-TTK/KTK A kurzus szerepe és célja A minőségbiztosítás általános alapelveire történő folyamatos hivatkozással áttekinti a szoftverminőség.
Szoftverminőség biztosítása
A belső kontroll rendszer hatékony működtetése
Biztosítók irányítási rendszere
Szabványok és ajánlások az informatikai biztonság területén
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Az EEM helye a menedzsmentben
SOX audit lépései, elvárások a CIO-val szemben
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
A MINŐSÉG GARANCIÁJÁNAK EGYIK VETÜLETE: KOCKÁZATELEMZÉS Sipos Gáborné Minőségirányítási vezető.
Miért is kell minősíteni a szoftverfejlesztő cégeket? Kinek jó ez? Az IVSZ Szoftverfejlesztési Tanúsítvány elindításának hátteréről Balatonfüred.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Minőségbiztosítási ismeretek
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Integrált Irányítási Rendszer
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
Vállalkozásmenedzsment I.
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Stipkovits István ISZ auditor SGS Hungária Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
avagy a zártság dilemmái
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
Termékazonosítás, termékvédelem új műszaki megoldásai
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN Structured Systems Analysis and Design Method.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
A Nemzeti Statisztika Gyakorlati Kódexe
A MINŐSÉGFEJLESZTÉSI TERÜLET TERVEI 2008
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Akkreditált IT terméktanúsítás - a NAT szerepe a tanúsításban
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
Magyar információbiztonsági szabványok V.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Múzeumi gyűjtemények menedzsmentje, avagy a Spectrum Magyarországon
Az SZMBK Intézményi Modell
Előadás másolata:

Az IS módosítása Krauth Péter

BS 7799 Közel egy évtizede használt, igen elterjedt, 2 részből álló szabvány: BS : Útmutatás IBIR-re, a követelmények értelmezése BS : Követelményrendszer IBIR-re A brit BS :1999 ú.n. gyorsított eljárással történt átvétele, beemelése az ISO szabványok körébe: IS Az információbiztonság legfelső szintű kérdéseivel foglalkozik, ezért –különösen fontos a fejlődő országok (köztük hazánk) számára, hiszen –utat mutat a vállalatok vezetői számára az információk védelme tekintetében: mire kell figyelni? hogyan lehet megvalósítani a biztonsági célokat?

Mire is jó az IS 17799? Beépült a BS es kiadásába A BS 7799 elfogadásával van egy nemzeti tanú- sítási rendszer, amely nemzetközi szabványra is tud hivatkozni Információbiztonsági intézkedések gyűjteménye, amely információbiztonság-irányítási rendszer megvalósításakor kiindulásként és útmutatásként használható

Problémák az IS cel Nem határozza meg egyértelműen és pontosan a kockázatkezelés helyét a biztonságmenedzsment vonatkozásában: –az előírt követelmények kellően rugalmas, de ellenőrzött kezelésére Az előírt biztonsági követelmények tekintetében nincs kellő összhangban más elterjedt cél- és követelmény- rendszerekkel (pl. COBIT, IS 15408) A viszonya tanúsítási rendszerekhez nem egyértelmű, pl. –Nincs világméretekben elfogadott tanúsítási szabvány –Sok informatikában fejlett ország tartózkodik a BS hivatalos nemzeti használatától, pl.: Franciaország, USA, Kanada, Ausztrália –A tanúsítás maradjon meg nemzeti keretek között? Az informatika globális!

Az IBIR modellje (svéd nézőpont) Terve- zés Végre- hajtás Ellen- őrzés Beavat- kozás Kockázatkezelés ISO/IEC TR Információbiztonság- irányítási rendszer (IBIR) ISO/IEC „X” leírás ISO útmutatás Termék szintű biztonságértékelés ISO/IEC IS Információbiztonság teljesítményértékelése ISO/IEC „Z” IBIR auditálása ISO IBIR megvalósítása ISO/IEC „Y”

Információbiztonsági szabványok rendszere (ausztrál nézőpont) Irányítási rendszer leírása Útmutatás folyamatra Kockázatkezelés TR SSE-CMM IS Óvintézke- dések kiválasztása TR ISO 9001BS (ITIL) Útmutatás eljárásra + óvintézkedések katalógusai IS Információbiztonsági incidensek kezelése Termék/rendszer tesztelés és értékelés Védelmi profilok nyilvánt. Védelmi profilok megadása Közös szempontok – IS Keret az informatikai védelem biztosításához Rendszerértékelés Kriptográfiai modulok értékelése (FIPS 140-2) NIST SP NIST SP NIST SP A EN Műszaki szabványok és leírások Hálózatbiztonság Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférés-ellenőrzés Letagadhatatlanság TTP-szolgáltatások Kulcsgondozás Lenyomatképzés Irányítási rendszer auditálása, tanúsítása, akkreditálás ISO 62-es útmutató EN EA 7/13 ISO EN Tervezett IBIR szabvány

Információbiztonsági szabványok rendszere (brit nézőpont) IBIR leírása IBIR-útmutatás folyamatra és eljárásra Kockázatkezelés TR Óvintézkedések kiválasztása TR ISO 9001 IBIR-útmutatás + óvintézkedések katalógusai IS Információbiztonsági incidensek kezelése Műszaki fejlesztési és megvalósítási szabványok és leírások Hálózatbiztonság Titkosítás Digitális aláírás Időbélyegzés Hitelesítés Hozzáférés-ellenőrzés Letagadhatatlanság TTP-szolgáltatások BS rész Szoftverfejlesztés LAN-biztonság (IEEE) Internet-biztonság (IETF) OSI/Nyílt rendszerek protokollszabványai

Tanúsítási rendszerek Vállalat Minőség- irányítás (IS 9001) Információ- biztonság irányítása (BS ) Környezet- irányítás (IS 14001)

Mire is jó a tanúsítvány? Sikerélményt ad a vállalat vezetésének Bizalmat kelt Kiindulási alapot ad a további fejlődéshez DE –Kérdés, hogy a továbbfejlődés valóban bekövetkezik-e –Nem ad garanciát konkrét teljesítmény megfelelőségére (rossz minőségű termék, környezetszennyezés, információ illetéktelen kezekbe jutása) –A beszállító- ill. önértékelés (tehát nem 3. fél általi értékelés) szerepét visszaszorítja –Az információkezelés technológiája nagyon gyorsan változik

IS módosítása november: IS elfogadása április: IS módosítási javaslat szeptember: módosítási munka elindul június: első CD-változat szeptember: szavazási határidő december: IS 17799:2004 új változat

Strukturális változások Bevezetés Alkalmazási terület Normatív hivatkozások Fogalommeghatározások A szabvány struktúrája 1.Biztonságpolitika 2.Az információbiztonság szervezetei kérdései 3.Eszközkezelés 4.Személyzeti biztonság 5. Fizikai és környezeti biztonság 6. Kommunikáció és üzemel- tetés irányítása 7. Hozzáférés-ellenőrzés 8. Információs rendszerek fejlesztése és karbantartása 9. Üzletfolytonosság biztosí- tása 10. Megfelelés 11. Biztonsági incidensek kezelése

Bevezetés Figyelemfelhívás a növekvő veszélyekre és kockázatokra (internet, e-business, e-government) Az információ biztonsági jellemzői: –Bizalmasság (confidentiality) –Integritás (integrity) –Rendelkezésre állás (availability) –Letagadhatatlanság (non-repudiation) –Számon kérhetőség (accountability) –Hitelesség (authenticity) –Megbízhatóság (reliability) Ellenintézkedések fajtái: –politika –(folytatott) gyakorlat –eljárás –szervezeti struktúra –szoftver és hardverfunkció Ellenintézkedések irányítási ciklusa és üzleti meghatározottsága Információbiztonság szereplői: szállítók, harmadik felek, ügyfelek vagy érdekeltek

Alkalmazási terület Nincs lényegi változás A szabvány útmutató jellegét egyértelműsíti –ajánlás  útmutatás és általános elvek –közös alap  gyakorlati útmutató –„A szabványban körvonalazott célkitűzések (objectives) általános útmutatást adnak az infomációbiztonság irányításának széles körben elfogadott céljaira (commonly accepted goals) vonatkozóan.”

Normatív hivatkozások ISO/IEC GUIDE 73: Kockázatkezelés – Szótár – Útmutatás szabványokban való felhasználásra ISO/IEC TR 13355: Informatika – Biztonságtechnika – Útmutatás az informatikai biztonság irányítására –Honosítása jelenleg előkészítés alatt az MSZT-ben

A biztonság különböző szintjei Információbiztonság Infokommunikációs (ICT) biztonság Informatikai (IT) biztonság) papír, beszéd, hálózat, számítógép hálózat, számítógép számítógép

Fogalommeghatározások 3  19 1.Eszköz 2.Ellenintézkedés 3.Útmutatás 4.Incidens 5.Információfeldolgozási létesítmények 6.Információbiztonság 7.Kiszervezés 8.Politika 9.Maradék kockázat 10.Kockázat 11.Kockázatelemzés 12.Kockázatfelmérés 13.Kockázatértékelés 14.Kockázatazonosítás 15.Kockázatirányítás 16.Kockázatkezelés 17.Harmadik fél 18.Fenyegetés 19.Sebezhetőség

A szabvány struktúrája Ellenintézkedési területenként: –célkitűzés (control objective), amely megállapítja, hogy mit kell elérni az adott területen –egy vagy több ellenintézkedés, amit alkalmazni lehet a cél elérésére; mindegyik ellenintézkedésre: Ellenintézkedés leírása Megvalósítási útmutató –Azon tevékenységek meghatározása, amelyek az ellenintézkedés megvalósításához szükségesek Egyéb információ –Megvalósítás során figyelembe veendő tényezők és kapcsolódó magyarázatok Ellenintézkedések főcsoportja (fejezet) 11 Ellenintézkedési terület 38 Ellenintézkedés 115