Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem menedzselése XII. Szakmai fórum szeptember 15. Az informatikai biztonság irányításának követelményrendszere (IBIK) Az Információs Társadalom Koordinációs Tárcaközi Bizottság ajánlástervezete Muha Lajos CISM információbiztonsági igazgató Persecutor Kft.
2
Tartalom Előzmények Az informatikai biztonság irányításának követelményrendszere (IBIK) Az informatikai biztonság irányításának vizsgálata és a tanúsítás eljárásrendje További teendők
3
Előzmények 1996 – MeH ITB 12. számú ajánlás Az informatikai rendszerek biztonsági követelményei 1997 – BS 7799 szabvány 2000 – ISO/IEC 17799:2000 szabvány 2002 – MSz ISOIEC 17799:2002 szabvány 2003 – Magyar Információs Társadalom Stratégia (MITS) E-biztonság Központi Kiemelt Program
4
Előzmények Biztonsági szempontok társadalmi tudatosításához szükséges jogi és szervezeti háttér kialakítása 2.3. Az ISO módszertanának kialakítása Az ISO alapján az informatikai biztonság szervezeti-menedzsment alapú tanúsításának hazai rendszerét kell kialakítani. Az alkalmazáshoz szükséges módszertan és módszertani útmutató alapján történik meg az alkalmazásban érdekelt közigazgatási és üzleti szférához tartozó szakemberek oktatása. 2.4. Az ISO alapú tanúsítás jogszabályi hátterének kialakítása, és szervezetrendszerének felállítása Az ISO alapú tanúsítás alkalmazásához szükséges a vonatkozó miniszteri rendelet kidolgozása, a tanúsító és vizsgáló szervezetek kijelölése.
5
Informatikai biztonság ≠ információbiztonság
személyi biztonság fizikai biztonság INFORMATIKAI BIZTONSÁG dokumentum biztonság elektronikus információ biztonság
6
Az informatikai biztonság irányításának szakirodalma
National Institute of Standards and Technology Special Publication „NIST SP , An Introduction to Computer Security: The NIST Handbook”; Bundesamt für Sicherheit in der Informationstechnik „IT Baseline Protection Manual”; British Standard Institute „BS 7799 Part 1, Code of practice for information security management” (ISO/IEC :2000 „Information Technology – Code of practice for information security management”)
7
Az IBIK Célja a szervezetek az egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai előírások biztosítása informatikai biztonságának megteremtéséhez.
8
Az IBIK Az IBIK alapját az ISO/IEC 17799, az ISO/IEC TR nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.
9
Az IBIK Előszó Fogalmak és meghatározások Biztonságpolitika
Szervezeti biztonság Az eszközök biztonsági besorolása és ellenőrzése Személyi biztonság
10
Az IBIK Fizikai és környezeti biztonság
Számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje Hozzáférés menedzsment Az IT rendszerek fejlesztése és karbantartása Üzletmenet-folytonosság menedzsment Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak
11
vizsgálat és tanúsítási eljárásrend
A nemzetközi gyakorlatban egyre jobban terjed a BS szabványnak való megfelelést bizonyító audit elvégzése. A hazai gyakorlatban nincs elfogadott, elismert eljárásrend sem a tanúsítási folyamatra, sem a tanúsító szervezetek engedélyezésére.
12
vizsgálat és tanúsítási eljárásrend
A vizsgálati és tanúsítási eljárásrend alapját a BS :2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 képzi.
13
További teendők Változáskezelés Verziószám Dátum A változás leírása
0.9 Kiinduló munkaanyag. 0.91 (jelenlegi) A BME IK és más szakvélemények alapján javított változat. VITA-ANYAG – WWW - vélemények 0.95 (tervezet) A beérkező vélemények alapján átdolgozott változat. 1.0 (tervezet) Nyilvánosságra hozandó első kiadvány. (Az ITKTB által meghatározott javítások, pontosítások vagy átdolgozások átvezetése.)
14
Köszönöm a figyelmet! Muha Lajos
Hasonló előadás
