Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

Hasonló előadás


Az előadások a következő témára: "Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft."— Előadás másolata:

1 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: Hogyan mérjük az információbiztonságot? ISO – Mérés Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Tartalom ISO/IEC 27004 bemutatása
Információbiztonság mérés menedzsment Mellékletek Mérésleíró űrlap Mérés példák

3 Szabványcsalád 27001 Követelmények 27000 Áttekintés és szótár
Útmutatók 27002 Code practice 27003 Bevezetés Bizt. területek, ágazatok 27004 Mérés 27005 Kockázat mgmt 27035 Incidens mgmt 27031 Folytonosság 27033-x Hálózat bizt 27034-x Alkalmazás bizt. 27011 for telecom 27799 ISM eü-ben Auditorok, auditálás 27006 Követelmények ISMS tanúsítóknak 27007 ISMS auditálás útmutató IS kontroll audit útmutató

4 A szabvány címe ISO/IEC 27004:2009 Information technology – Security techniques Information security management – Measurement Információtechnológia – Biztonságtechnikák – Információbiztonság menedzsment – Mérés

5 Alkalmazási terület (scope)
Útmutató bevezetett ISMS és ISO/IEC ben specifikált kontrollok, kontroll csoportok hatékonyságának felmérésére Minden típusú és méretű szervezetre

6 27004 tartalomjegyzék 5 Információbiztonság mérés áttekintése
Bevezetés általános rész, vezetői áttekintés 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Szabvány struktúrája 5 Információbiztonság mérés áttekintése 6 Vezetőség felelőssége 7 Mérési rendszer kifejlesztése 8 Mérés működtetés 9 Adatelemzés és eredmények jelentése 10 IS mérési program kiértékelése és fejlesztése Mellékletek: Mérésleíró űrlap és példák

7 Eredményesség mutatók PDCA 27001-ben
Tervezés (plan) 4.2.1.e)2) kockázatfelmérés, figyelembe véve jelenlegi in-tézkedések eredményességét 4.2.1.g) kontroll célok és kontrollok kiválasztása Beavatkozás (act) 4.2.4.a) fejlesztések ISMS-be Ellenőrzés (check) Vez.átv Input 7.2.a)f) átvizsg és eredm mérés 4.2.3.f) ISMS értékelés output 7.3.b kockázat, terv aktualizálás 7.3.e)kontroll eredményesség mérés fejlesztése Megvalósítás (do) 4.2.2.c) kontrollok bevezetése 4.2.2.d) kontroll eredményes-ség mérés meghatározása 4.2.3.c) kontroll eredményes-ség mérés (biztonság megfele-lőség igazolására) Ellenőrzés (check) átvizsgálás 4.2.3.b) eredményesség 4.2.3.d) kockázatfelmérés

8 Infobizt. mérési modell
Információigény ISM folyamatok Kontroll célok Kontrollok Folyamatok, eljárások bevezetése Mérési eredmények Döntési kritérium Mérés Indikátor Analitikus modell Származtatott mérés Algoritmus Mérés tárgya attribútumok Mérési módszer Alapmérés

9 Mérésleíró űrlap (A melléklet)
Mérés azonosítás (név, kód, célja, mért kontroll/folyamat, érintett kontrollok, folyamatok) Mérés tárgya, attribútumai Alapmérés leírása (mit, hogyan, skála, mértékegység) Származtatott mérés leírása (mutató, képzése) Indikátor (pl. határérték) és alkalmazása Döntési kritérium leírása Mérési eredmények (indikátor értelmezés, jelentésforma Érdekelt felek Gyakoriság (gyűjtés, elemzés, jelentés, érvényesség)

10 Példák (B melléklet) ISMS képzés
ISMS képzett személyzet (éves tény/tervezett, %) Információbiztonsági képzés (tudatosító képzésen részt vettek/részt kellett volna venni , %) Információbiztonsági tudatosság megfelelés Jelszó politika Jelszó politika – manuális (azon jelszavak aránya, melyek megfelelnek a politikának, és az arány trendje) Jelszó politika automatikus (jó minőségű jelszavak aránya és ezek trendje) ISMS átvizsgálás folyamat (tényleges független átvizsgálások aránya a tervhez képest) Vezetőség elkötelezettsége (vez.átv % tervhez képest, részvételi arány)

11 Példák (B melléklet) ISMS folyamatos fejlesztés
IS incidens mgmt eredményessége (incidens db, küszöb alatt) Helyesbítő intézkedések bevezetése (nem megvalósított, indok nélkül nem megvalósított helyesb.intézk. aránya, trend, Rosszindulatú kódok elleni védelem (időszak alatt a nem blokkolt észlelt támadások, trend) Fizikai belépés kontroll (0-5 skála belépő rendszer erősségére (PIN, kártya, log, biometrika) Log fájlok átvizsgálása (időszaki átvizsgált log fájlok/összes, vonalas diagram) Időszaki karbantartás mgmt (átlagos karbantartási idő, teljesített/összes tervezett % és trend) Biztonság a 3. féllel kötött megállapodásokban (leírt követelmények a szabv.köv.képest átlag)

12 „Változással a sikerért”
Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”


Letölteni ppt "Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft."

Hasonló előadás


Google Hirdetések