Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, 2004. január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.

Hasonló előadás


Az előadások a következő témára: "„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, 2004. január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél."— Előadás másolata:

1 „Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, 2004. január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél Móricz Pál üzletfejlesztési igazgató www.szenzor-gm.hu

2 2005. január 19. www.szenzor-gm.hu 2 Emlékeztető 2004. novemberi fórumról Kirner Attila(PSZÁF előadásából) Hi á nyzik a műk ö d é si kock á zatok rendszeres ki é rtéke- l é se, a kontrollok ennek megfelelő kialak í t á sa. A szab á lyzatok hi á nyoznak, nem aktu á lisak. BCP, DRP nincs, nem aktualiz á lt A szakk é pzetts é g hi á nya. A vezetős é g ( é s FB) saj á t é rt é kel é se szerint is kiszolg á ltatottak az informatikai sz á ll í t ó knak, szolg á ltat ó knak. Beépített audit lehetőségek hiánya, kihasználatlansága.

3 2005. január 19. www.szenzor-gm.hu 3 Emlékeztető 2004. Novemberi fórumról Kirner Attila(PSZÁF előadásából- folytatás) Változáskezelési hiányosságok, a korszerűtlen rendszer lev á lt á sa nem megfelelően menedzselt, kock á zatos az adatok migr á ci ó ja, nem megoldott a korrekt v á ltoz á s- menedzsment K ü lsős szerződ é sek hi á nyoss á gai, adat- é s titokv é delmi szab á lyzatok, nyilatkozatok hi á nya. Az IT architekt ú ra nem megfelelően dokument á lt, nyilv á ntart á si hi á nyoss á gok vannak. Hozz á f é r é s- é s jelsz ó kezel é s hi á nyoss á gai. A biztons á g tudatoss á g alacsony sz í nvonal ú, oktat á sok, felhaszn á l ó i t á mogat á s hi á nyoss á gai.

4 2005. január 19. www.szenzor-gm.hu 4 Törvények Informatikai rendszer védelméről új fejezetek törvényekbe építése: 2004. évi XXII. törvény Hpt (hitelintézetek és pénzügyi vállalkozások) Tpt (tőkepiac tv: befektetési szolgáltatók, kiegészítő befektetési, árutőzsdei szolgáltatók, elszámolóházi tevékenységet végző) 2004. évi CI. törvény Öpt (önkéntes kölcsönös biztosító pénztárak) Mpt (magánnyugdíjpénztárak) 2005. évi ? törvény Bit (biztosítók)

5 2005. január 19. www.szenzor-gm.hu 5 Követelmények Tevékenység ellátásához használt informatikai rendszerre –Biztonsággal kapcsolatos szabályozás –Rendszer kockázatokkal arányos védelme Szabályozásban (tervezés, beszerzés, üzemeltetés, ellenőrzés) –Követelmények –Kockázatok felmérése –Kockázatok kezelése Kockázatelemzés felülvizsgálata legalább 2 évenként

6 2005. január 19. www.szenzor-gm.hu 6 Követelmények Rendszer elemei (kockázat figyelembe vételével) –szervezeti, működési rend –felelősségi, –nyilvántartási, –tájékoztatási szabályok, –ellenőrzési követelmények és szabályok (folyamatba építve) Informatikai ellenőrző rendszer kidolgozás, működtetés

7 2005. január 19. www.szenzor-gm.hu 7 Követelmények Gondoskodni kell –Elemek (eszköz, folyamat, ember) egyértelmű, visszakereshető azonosítása –Eljárás, ellenőrzés: önvédelem, védelem zártsága és teljeskörűsége (kritikusnál), –Felhasználó adminisztráció (szabályozott, ellenőrizhető, rendszeresen ellenőrzött) –Naplózás (kritikus folyamatok eseményei) és értékelése, nem rendszeres események kezelése –Távadatátvitel bizalmasság, sértetlenség, hitelesség –Adathordozó szabályozott és biztonságos kezelése –Vírusvédelem

8 2005. január 19. www.szenzor-gm.hu 8 Követelmények Intézkedések –Rendszer működtetésére: utasítások, előírások, fejlesztési tervek –Dokumentáció (szállító, fejlesztő megszűnés utánra is jó) –Tartalék berendezés, helyettesítő megoldások –Éles illetve fejlesztő, tesztelő környezet elválasztása, változáskezelés –Megfelelő mentési rendszer (és mentés tárolás) –Adattároló rendszer (megőrzési ideig, visszakereshetően) –Terv szolgáltatás folytonosság megszakadásra

9 2005. január 19. www.szenzor-gm.hu 9 Követelmények Rendelkezésre kell állni –Rendszer felépítés, működtetés rendszerleírása, modellje (ellenőrzéshez) –Adatok szintaktikai szabályai, tárolási szerkezete –Elemek biztonsági osztályba sorolási rendszere –Adat hozzáférési rend meghatározása –Adatgazda, rendszergazda kijelölő okirat –Szoftver jogtisztaság szerződések –Szoftvereszközök teljes, naprakész nyilvántartása

10 2005. január 19. www.szenzor-gm.hu 10 Követelmények Szoftverek legyenek alkalmasak –Működéshez szükséges és jogszabályban előírt adatok nyilvántartására –Pénz és értékpapír nyilvántartásra, országos rendszerhez kapcsolódásra, … (Hpt, Tpt) –Tárolt adatok ellenőrzéséhez felhasználására –Biztonsági kockázattal arányos logikai védelemre, sértetlenség védelmére Munkakörök betöltéséhez szükséges informatikai ismeretek meghatározása (szabályozásban)

11 2005. január 19. www.szenzor-gm.hu 11 Teendők Követelmények, célok Kockázatfelmérés, aktualizálás Intézkedések, szabályozások Működtetés, dokumentálása IT rendszer követelmények vs. BS 7799 –Menedzsment rendszer? –+/-

12 2005. január 19. www.szenzor-gm.hu 12 Határidők Hpt, Tpt –2005. január 1. –2005. november 15. Öpt, Mpt (Bit) –2006. január 1.


Letölteni ppt "„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, 2004. január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél."

Hasonló előadás


Google Hirdetések