Az ISO 27000 szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu.

Slides:



Advertisements
Hasonló előadás
Az elektronikus közigazgatási rendszerek biztonsága
Advertisements

Információbiztonság vs. informatikai biztonság?
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
Mobil e-ügyintézési rendszer kifejlesztése
AZ INFORMATIKAI BIZTONSÁG
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
A kritikus infrastruktúra biztonsági aspektusai a MOL-nál
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Kulturális értékek digitalizálása az Új Magyarország Fejlesztési Terv keretében Dippold Péter.
Minőségirányítás a felsőoktatásban
Bevezetés az ebXML-be Forrás: An Introduction to ebXML ebXML and Web Services Practical Considerations In Implementing Web Services Romin IraniRomin Irani.
2004. március eEgészség – Digitális Aláírás Workshop 2004 Március Tim Zoltán, CISA Insurance Technology Kft. „Megbízható harmadik fél szolgáltatás,
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Mobil eszközök biztonsági problémái
© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 CIO `08 Rugalmas biztonság, rugalmas vállalathoz Hirsch Gábor Üzletfejlesztési.
Ipari katasztrófáknyomában 6. előadás1 Mélységi védelem Célok: Eszközök meghibásodása és emberi hibák esetén bekövetkező meghibásodások kompenzálása A.
Döntéselőkészítő tanulmányok Mihálffy Krisztina – KKK,Kerékpáros Infrastruktúra Fejlesztési Osztály.
CONNECT ”Az ITS rendszerek értékelési irányelveinek előkészítése, Magyarországi szempontok.”
Ingyenes,Multi funkcionális tűzfal szoftver
Ismerd meg az ellenségedet és magadat, így sikeres leszel a csatában! Milyen támadók vannak?  Script-kiddie  Think-tank  Robotok, automaták.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Tűzfal (firewall).
Virul az ISO szabványcsalád
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
„Információvédelem menedzselése” LX. Szakmai Fórum Budapest, március 19. Bevezető gondolatok (hírek, aktualitások…) Tarján Gábor Hétpecsét Információbiztonsági.
„Információvédelem menedzselése” XVIII. Szakmai Fórum Budapest, november 16. Bevezető gondolatok, aktualitások az információvédelemben Dr. Ködmön.
„Információvédelem menedzselése” XXX. Szakmai Fórum Budapest, március 19. Aktualitások az információvédelem területén + Egyesületi hírek Dr. Ködmön.
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
Készítette: Pálinkás Petra
Készítette: Kovács Antónia
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Készítette: Somorjai Kristóf.  Az internet olyan globális számítógépes hálózat, ami az internet protokoll révén felhasználók milliárdjait kapcsolja össze.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.
Hálózatok Számítógépek és egyéb hardvereszközök összekapcsolva valamilyen kommunikációs csatornán. Felkínált lehetőségek: –Kommunikáció –Hardver megosztás.
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Vírusok. Számítógépes vírusok 1. Számítógépvírus fogalma: Olyan speciális, önmagát szaporítani képes program, amely más programokba beépülve különböző.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Számítógépes bűnözés.
Hálózatok Számítógépek és egyéb hardvereszközök összekapcsolva valamilyen kommunikációs csatornán. Felkínált lehetőségek: Kommunikáció Hardver megosztás.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Kiberbiztonság adatdiódával
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Business Continuity Menedzsment – kockázatalapú vezetés
Letöltés az internetről
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
Magyar információbiztonsági szabványok V.
Elektronikus szótárhasználat
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
Internet és kommunikáció
Előadás másolata:

Az ISO szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Digitális bizonyíték x Hálózat bizt x Alkalmazás bizt. Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Biztonság területek Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság Ágazatonkénti biztonság Pénzügyi szolg for telecom Szervezetek közti komm ISMS+ITSMS ISM eü-ben

3 A szabvány címe ISO/IEC 27032:2012 Information technology – Security techniques – Guidelines for cybersecurity Információtechnológia – Biztonságtechnikák – Útmutató kiberbiztonsághoz 50 oldal

4 Alkalmazási terület  útmutató a kiberbiztonság állapotának fejlesztéséhez, kiemelve a tevékenységek egyedi jellegét és függőségeit a többi biztonsági területtel  alapokat ad az érdekelt felek biztonsági gyakorlatához a kibertérben  áttekinti a kiberbiztonságot  kiberbiztonság és más biztonság területek közötti kapcsolatot  meghatározza az érdekelt feleket és leírja szerepüket a kiberbiztonságban  útmutatót ad a kiberbiztonsági eseményekhez  keretet ad az együttműködéshez az érdekelt feleknek a kiberbiztonsági események megoldásában

5 Célközönség, határok  Célközönség (audience)  kibertérben szolgáltatásnyújtók  ezen a szolgáltatásokat igénybe vevők  szolgáltatás nyújtók általi útmutató készítői (felhasználók megértsék, betartsák)  Határok: nincs benne:  cyber safety,  kiberbűnözés,  kritikus infrastruktúra védelem,  internet safety  kibertér, -biztonság jogi megközelítése Benne internetes kibertér, beleértve a végpontokat megvalósítása

tartalomjegyzék 1-5 fejezetek (alkalmazási terület, alkalmazhatóság, hivatkozások, fogalom-meghatározások, rövidítések) 6 Áttekintés 7 Érdekelt felek a kibertérben 8 Vagyonelemek (értékek) a kibertérben 9 A kibertér biztonsági fenyegetései 10 Érdekelt felek szerepe a kiberbiztonságban 11 Útmutató az érdekelt feleknek 12 Kiberbiztonsági kontrollok 13 Információ megosztás és koordinálás keretrendszere MellékletekA. Kiberbiztonság készültség B. További információforrások C. Példák kapcsolódó dokumentumokra

7 Meghatározások (53 db)  Kibertér (Cyberspace)  komplex környezet az interneten, emberek, szoftverek, és szolgáltatások interakciójával, technológiai eszközök és hálózati kapcsolataik segítségével, melyek nem valamilyen fizikai formában léteznek  Cybersafety  védettségi állapot, olyan hiányossággal, sérüléssel, hibával, balesettel, ártalommal, vagy más kibertéri eseménnyel szemben, melynek lehetnek nemkívánatos fizikai, szociális, szellemi, pénzügyi, politikai, érzelmi, hivatással összefüggő, pszichológiai, oktatási vagy más típusú következményei  Kiberbiztonság/kibertér biztonság (Cyber security)  az információk bizalmasságának, integritásának és rendelkezésre állásának megőrzése a kibertérben

8 Kiberbiztonság és egyéb biztonsági területek kapcsolata Information Security CybercrimeCybersafety Critical Information Infrastructure Protection Network Security Internet Security Application Security Cybersecurity

9 Biztonság fogalmak és kapcsolatuk Stakeholders controls vulnerabilities risk assets Threat agents threats value wish to minimize to reduce impose that may be reduced by may be aware of leading to that exploit that increase to wish to abuse and/or may damage to

Kibertér biztonság fenyegetései  fenyegetések  fenyegetés típusok, példák külön személyes illetve szervezeti vagyonelemekre  fenyegetők (threat agent)  akiknek szerepük van végrehajtásban, támogatásban  felméréshez, kontrollokhoz kritikus a motivációik, képességeik, szándékaik megértése  sérülékenységek  felmérésük folyamatos feladat  ismert sérülékenység leltár szigorú védelemmel  megoldás és/vagy kontroll kell prioritás szerint

A támadás mechanizmusai  vírus, féreg, képprogram, stb., pl. adathalászattal  gyanús website, spam , nem igazolt letöltés, fertőzött adathordozók, távoli kihasználás, közösségi oldalakon át, legális oldalak fertőzésével  legális források esetén is kell védelem  magán (helyi) hálózaton belülről (alkalmazott + aki hozzáfér)  admin, vagy admin-t támadó  ID, PW megszerzés (szoftverrel, álcázással, WIFI-n át, fertőzött gépről, befogható gép keresés, üzleti folyamat, tevékenység lehallgatás  magánhálózaton kívülről (pl. internetről)  külső arcon (router, szerver, tűzfal, weboldal, stb.) behatolási lehetőség keresés, nyitott port keresés  sérülékenység kihasználás, DoS (akár ország), fájl megosztón terjesztés, puffer túlcsordulás, IP cím eltérítés

Útmutató az érdekelt feleknek  kockázatfelmérés és kezelés  útmutató a felhasználóknak (10 szempont)  útmutató a szervezeteknek és szállítóknak  üzletmenet IS kockázatai menedzselése (ISMS, biztonságos termékek szolgáltatása, hálózat monitoring és válaszintézkedések, támogatás és eszkaláció, témában naprakészség)  biztonsági követelmények megadása a web és más kiberalkalmazási szolgáltatásokra  biztonsági útmutató a felhasználóknak

Kiberbiztonsági kontrollok  alkalmazás kontrollok  szerver védelem  végfelhasználói kontrollok  social engineering támadások elleni kontrollok  politikák,  módszerek és folyamatok (információ osztályozás, tudatosság és képzés, teszt)  emberek és szervezet  technika  kiberbiztonság felkészültség (A melléklet)  egyéb kontrollok

Információ megosztás és koordináció keretrendszere  politikák  info osztályozás, kategorizálás, minimalizálás, hozzá- férés (audience) korlátozás, koordinációs protokoll  módszerek és folyamatok  Info osztályozás, kategorizálás, bizalmassági megállapodás, gyakorlati útmutató, teszt és gyakorlás, info megosztás időzítés, ütemezés  emberek és szervezetek  szerződések, szövetségek, tudatosság és képzés  technika  automatikus rendszerre adatstandardizálás, adatok láthatóvá tétele, titkosító kulcsok, mentések, biztonsági fájl megosztás, azonnali üzenetek, wep portal, fórum, teszt rendszerek  telepítési útmutatók

15 Mellékletek A mell: Kiberbiztonság felkészültség (readiness)  darknet monitoring  fekete lyuk (Black hole) monitoring  law interaction monitoring  high interaction monitoring  átjáró műveletek (sinkhole operation)  visszavezethetőség (traceback) B mell: További információforrások (24+9)  online bizt., anti-spyware, ill eszkalációs címek C mell: Példák vonatkozó dokumentumokra  ISO/IEC (31), ITU-T (9) témakör bontásban

16 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.