Szabványok, ajánlások, modellek
|
|
- Viktor Bodnár
- 8 évvel ezelőtt
- Látták:
Átírás
1 Szabványok, ajánlások, modellek Krasznay Csaba HP Magyarország Kft Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Jogszabályok a teljesség igénye nélkül évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, január 28. napján kelt Egyezmény kihirdetéséről 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól évi C. törvény a számvitelről 34/2004. (XI. 19.) IM rendelet az elektronikus dokumentumok közjegyzői archiválásának szabályairól és az elektronikus levéltárról 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről évi CLV. Törvény a minősített adat védelméről évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról 284/2001. (XII. 26.) Korm. rendelet a dematerializált értékpapír előállításának és továbbításának módjáról és biztonsági szabályairól, valamint az értékpapírszámla, központi értékpapírszámla és az ügyfélszámla megnyitásának és vezetésének szabályairól 2
2 Jogszabályok a teljesség igénye nélkül évi LX. törvény a biztosítókról és a biztosítási tevékenységről évi LXXXII. törvény a magánnyugdíjról és a magánnyugdíjpénztárakról évi XCVI. törvény az Önkéntes Kölcsönös Biztosító Pénztárakról évi LX. törvény az elektronikus közszolgáltatásról 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról 78/2010. (III. 25.) Korm. Rendelet az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről 305/2005. (XII. 25.) Korm. rendelet a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról 3 A való élet Ahhoz, hogy teljesítsük a jogszabályi kötelezettségeket, nem kell mást tenni, mint használni az ipari szabványokat. Ezek: ISO es család COBIT Common Criteria Bónuszként pedig a PCI DSS 4
3 Mi az IBIR? Az átfogó irányítási rendszernek az a része, amely egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva kialakítja, bevezeti, működteti, figyeli, átvizsgálja, fenntartja és fejleszti az információvédelmet. Az irányítási rendszer magában foglalja a szervezeti felépítést, a szabályzatot, a tervezési tevékenységeket, a felelősségi köröket, a gyakorlatot, az eljárásokat, a folyamatokat és az erőforrásokat. 5 Mi az IBIR? Az IBIR létrehozásának számos oka lehet: Törvénynek vagy szabályozásnak való megfelelés Az információ értéke olyan nagy, hogy nem lehet védtelenül hagyni Külső nyomás (tulajdonosok, partnerek, vásárlók) Ennél kevésbé nyilvánvaló okok is vannak: Az információs rendszerek egyszerűbb kezelése Csökkenő költségek (bár ez elsőre nehezen hihető) 6
4 Mi az IBIR? IBIR-t bevezetni nem egyszerű, mert viszonylag sok idő kell ahhoz, hogy gördülékenyen működjön (ld. ISO 9000) a bevezetés megakadhat a vállalaton belül szervezeti változások miatt a támogatás, az anyagiak vagy az emberek kiesése miatt A tapasztalat azt mutatja, hogy a nagyobb szervezeteknél szokott lenni IBIR-szerű szabályozás, ami viszont nem alkot összefüggő rendszert, hiányos lehet nem lehet tanúsítványt szerezni rá, ami bizonyos esetekben fontos lehet. 7 A szabványról Két részre bontható 1. rész : A Code of Practice for Information Security Managementet (magyarul: Az informatikai biztonság menedzsmentjének gyakorlati kódexe) 2. rész: Specification for Information Security Management Systems. (Az informatikai biztonsági menedzsment rendszerének specifikációja) Nemzetközileg elfogadott és széles körben elismert biztonsági szabvány Definíció szerint a legszéleskörűbb eljárások, melyek az információs biztonság legjobb gyakorlati megvalósítását szolgálják. 8
5 A szabvány rövid története Útmutató Követelmény BS :1995 BS :1998 BS :1999 BS :1999 ISO/IEC 17799:2000 BS :2002 ISO/IEC 17799:2005 ISO/IEC 27001:2005 ISO/IEC 27002:2005 MSZ ISO/IEC 17799:2006 MSZ ISO/IEC 27001: ISO Nagyon rövid, mindössze 8 oldal a szabvány, a többi melléklet és szómagyarázat. Leír egy olyan modellt az IBIR-re, amivel azt elő lehet készíteni, meg lehet valósítani, működtetni lehet, ellenőrizni lehet, át lehet tekinteni, karban lehet tartani, és fejleszteni lehet. Ez alapján tanúsítják az IBIR rendszereket. 10
6 ISO A Plan-Do-Check-Act modellt használja 11 ISO Tervezés (az ISMS kialakítása) Olyan IBIR-politika, -célok, -folyamatok és -eljárások kialakítása, amelyek lényegesek annak érdekében, hogy a kockázat kezelése és az információbiztonság fejlesztése a szervezet általános politikájával és céljaival összhangban lévő eredményeket tudjon felmutatni. Végrehajtás (az ISMS bevezetése és működtetése) Az IBIR-politika, -intézkedések, -folyamatok és - eljárások bevezetése és működtetése. Ellenőrzés (az ISMS figyelemmel kísérése és átvizsgálása) Beavatkozás (az ISMS fenntartása és fejlesztése) A folyamatok teljesítményének értékelése, és ahol lehetséges, mérése az IBIR-politikával, -célokkal és a gyakorlati tapasztalatokkal összevetve, továbbá az eredmények jelentése a vezetésnek átvizsgálás céljából. Helyesbítő és megelőző tevékenységek végrehajtása a belső IBIR-átvizsgálás (audit) és vezetőségi átvizsgálás eredményei, illetve egyéb lényeges információk alapján az ISMS folyamatos fejlesztése érdekében. 12
7 ISO Jelentős változások történtek a szabvány megközelítésében Korábban a CIA követelmények biztosítása volt a fókuszban Az új szabvány az üzleti igényeket helyezi előtérbe Az információbiztonság az információ védelme a széleskörű fenyegetésektől, hogy biztosítsák az üzleti folyamatok működésének folytonosságát, a lehető legkisebbre csökkentsék a kockázatot, és legnagyobbra növeljék a befektetési megtérülést és a működési lehetőségeket. 13 A védelem területei (ISO szerint) Az IBIR kialakítása kockázatelemzéssel kezdődik!!! Szabályzati rendszer Biztonsági szervezet Vagyontárgyak kezelése Személyi biztonság Fizikai és környezeti biztonság Kommunikáció és üzemeltetés biztonsága Hozzáférés-ellenőrzés Információs rendszerek beszerzése, fejlesztése és karbantartása Incidenskezelés Üzletmenet-folytonosság Megfelelőség 14
8 Az ISO es család további szabványai A tervek szerint rövid időn belül kialakítják a szabvány teljes rendszerét Ennek elemei a következők: 27000: IBIR alapok és szótár 27003: IBIR megvalósítási útmutató 27004: Az információbiztonság irányításának mérése 27005: IBIR kockázatmenedzsment 27006: Az IBIR tanúsítást végző szervezetre vonatkozó követelmények 27007: Útmutató az IBIR auditáláshoz (készül) 27008: Útmutató auditoroknak az IBIR kontrollokhoz (készül) 15 Magyar vonatkozású hírek Az ISO es család és a Common Criteria alapján készült a közigazgatás számára a Magyar Informatikai Biztonsági Ajánlás. Ez a közigazgatás bizonyos részein kötelező. Tartalmazza az ISO 27001, ISO és ISO követelményeit is. A készítők szándéka szerint sokkal gyakorlatiasabb, mint a szabványszöveg. 16
9 Mi a COBIT? "Információra és a kapcsolatos technológiára vonatkozó kontroll célkitűzések Egy szakterületre és folyamat keretrendszerre vonatkozóan bevált gyakorlatokat ad, és a tevékenységeket egy kezelhető és logikus struktúrában jeleníti meg Annak érdekében, hogy az informatika az üzleti követelményeknek megfelelően szolgáltasson, a vezetőségnek egy belső irányítási és ellenőrzési rendszert, vagy keretrendszert kell üzemeltetnie. A COBIT kontroll keretrendszer ezen igények teljesítéséhez az alábbiakkal járul hozzá: Kapcsolatot teremt az üzleti követelményekkel, Általánosan elfogadott folyamat modellbe szervezi az informatikai tevékenységeket, Beazonosítja a kiaknázandó jelentősebb informatikai erőforrásokat, Meghatározza a figyelembe veendő vezetési kontroll célkitűzéseket. 17 Az informatikai irányítás központi területei 18
10 COBIT tartalom diagram 19 COBIT elemek összefüggései 20
11 Példa a célok kapcsolatára 21 A COBIT információ kritériumai Eredményesség azzal foglalkozik, hogy az információk az üzleti folyamat szempontjából jelentőséggel bírnak, és hogy az információkat időben, helyes, ellentmondásmentes és használható módon biztosítják. Hatékonyság arra vonatkozik, hogy az információk az erőforrások optimális (legtermelékenyebb és leggazdaságosabb) felhasználásán keresztül kerüljenek biztosításra. Bizalmasság arra vonatkozik, hogy megakadályozza, a bizalmas információk engedély nélküli nyilvánosságra hozatalát. Sértetlenség az információknak a vállalati értékek és elvárások szerinti pontosságára, és teljességére, valamint az információk érvényességére vonatkozik. Rendelkezésre állás azzal foglalkozik, hogy az információk akkor álljanak rendelkezésre, amikor azokra az üzleti folyamatnak szüksége van most, és a jövőben. A szükséges erőforrások, és az erőforrások szolgáltatási képességeinek védelmére is vonatkozik. Megfelelőség azon törvények, jogszabályok, szabályozások és szerződéses megállapodások - azaz kívülről előírt üzleti követelmények és belső irányelvek betartásával kapcsolatos, amelyeknek az üzleti folyamat a tárgyát képezi. Megbízhatóság a szükséges információk vezetés számára történő biztosítására vonatkozik, a vállalkozás működtetése és a pénzügyi megbízhatósági, és irányítási kötelezettségek teljesítése érdekében. 22
12 Informatikai erőforrások Az alkalmazások automatizált felhasználói rendszerek és manuális eljárások, amelyek feldolgozzák az információkat. Az információk azok az adatok, összes formájukban, amelyeket az információrendszerek, mint bemeneti, feldolgozott és kimeneti adatot kezelnek, bármilyen formában használja is azt fel az üzleti tevékenység. Az infrastruktúra az a technológia és azok az eszközök (azaz hardver, operációs rendszerek, adatbázis-kezelő rendszerek, hálózatok, multimédia, és az azokat befogadó és támogatást biztosító környezet), amelyek lehetővé teszik az alkalmazások működését. Az emberek az információrendszerek és szolgáltatások tervezéséhez, szervezéséhez, beszerzéséhez, megvalósításához, szolgáltatásához, támogatásához, figyelemmel kíséréséhez és értékeléséhez szükséges munkatársak. Lehetnek belső, kiszervezet, illetve szerződéses személyek, az igényeknek megfelelően. 23 COBIT kocka 24
13 A COBIT folyamatai 4 alapfolyamat határozza meg az informatika irányítását: Tervezés és Szervezés (PO) A megoldásszállításra (AI) és a szolgáltatásnyújtásra (DS) vonatkozóan megadja az irányvonalat Beszerzés és megvalósítás (AI) Gondoskodik a megoldásokról és továbbadja azokat, hogy szolgáltatások váljanak belőlük Szolgáltatás és támogatás (DS) Megkapja a megoldásokat, és használhatóvá teszi azokat a végfelhasználók számára Figyelemmel kísérés és értékelés (ME) Figyelemmel kíséri az összes folyamatot, hogy gondoskodjon a kijelölt irány követéséről. 25 Tervezés és szervezés PO1 Az informatikai stratégiai terv meghatározása PO2 Az információ-architektúra meghatározása PO3 A technológiai irány kijelölése PO4 Az informatikai folyamatok, szervezet és a kapcsolatok meghatározása PO5 Az informatikai beruházások irányítása PO6 Tájékoztatás a vezetői célokról es irányról PO7 Az informatikai humán erőforrások kezelése PO8 Minőségirányítás PO9 Az informatikai kockázatok felmérése és kezelése PO10 A projektek irányítása 26
14 Beszerzés és megvalósítás AI1 Az automatizált megoldások meghatározása AI2 Az alkalmazási szoftverek beszerzése és karbantartása AI3 A technológiai infrastruktúra beszerzése és karbantartása AI4 Az üzemeltetés és a használat támogatása AI5 Az informatikai erőforrások beszerzése AI6 A változtatások kezelése AI7 A megoldások és változtatások üzembe helyezése és bevizsgálása 27 Szolgáltatás és támogatás DS1 A szolgáltatási szintek meghatározása és betartása DS2 Külső szolgáltatások igénybevételének irányítása DS3 Teljesítmény- és kapacitáskezelés DS4 A szolgáltatás folyamatosságának biztosítása DS5 A rendszerek biztonságának megvalósítása DS6 A költségek azonosítása és felosztása DS7 A felhasználók oktatása és képzése DS8 A rendkívüli események kezelése és a felhasználói támogatás működtetése DS9 Konfigurációkezelés DS10 Problémakezelés DS11 Az adatok kezelése DS12 A fizikai környezet biztosítása DS13 Az üzemeltetés irányítása 28
15 Figyelemmel kísérés és értékelés ME1 Az informatika teljesítményének figyelemmel kísérése és értékelése ME2 A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése ME3 Külső követelményeknek való megfelelőség biztosítása ME4 Az informatikai irányítás megteremtése 29 Példa egy folyamatra DS5 A rendszerek biztonságának megvalósítása Az információk sértetlenségének megőrzésének és az informatikai eszközök védelmének igénye biztonságirányítás folyamat megvalósítását követeli meg. E folyamat kiterjed az informatikai biztonsági szerepkörök és felelősségek, irányelvek, szabványok és eljárások bevezetésére és karbantartására. A biztonságirányítás kiterjed a biztonsági kérdések figyelemmel kísérésére, valamint a rendszeres tesztelésre és a beazonosított biztonsági gyengeségek, illetve rendkívüli helyzetekre vonatkozó helyesbítő intézkedések megvalósítására is. Az eredményes biztonságirányítás megvéd minden informatikai eszközt azért, hogy a biztonsági sebezhetőségek és rendkívüli helyzetek üzleti hatásait minimalizálja. 30
16 Példa egy folyamatra 31 Példa egy folyamatra 32
17 Példa egy folyamatra 33 Példa egy folyamatra 34
18 Példa egy folyamatra 35 Példa egy folyamatra 36
19 Példa egy folyamatra 37 Példa egy folyamatra 38
20 Napjaink kihívásai A vásárlók egyre több, IT biztonsághoz szükséges eszközhöz férnek hozzá, melyek különböző képességekkel rendelkeznek. A vásárlóknak dönteniük kell, hogy milyen eszközök alkalmasak informatikai rendszerük kielégítő védelmére. Hatás: a termékek kiválasztása befolyásolja az egész informatikai rendszer biztonságát. 39 Alapok A biztonságos rendszerek építése tehát függ a következőktől: Jól meghatározott IT biztonsági követelmények és specifikációk Tulajdonképpen milyen biztonsági funkciókat is akarunk? Minőségi biztonsági mérőszámot és megfelelő tesztelést, értékelést, felmérést kell alkalmazni Biztosítékot akarunk arra, hogy amit kapunk, az tényleg az, amit kértünk. 40
21 Miért kell a Common Criteria? Nemzetközi IT piaci trendek Közös nemzetközi biztonsági követelmények Főbb tényezt nyezők Biztonsági követelmény rendszer & Felülvizsg lvizsgálatilati módszertan Számtalan már létező módszertan felülvizsgálata IT biztonsági kihívások fokozódása 41 Mi a Common Criteria? Nemzetközileg elfogadott keretrendszer az IT biztonság területén Közös struktúra és nyelv a termékek/rendszerek IT biztonsági követelményeinek kifejezésére Szabványos IT biztonsági követelmény összetevők és csomagok gyűjteménye a fejlesztési folyamatokra Nemzetközileg elfogadott értékelési módszertan, besorolási rendszer ISO szabvány (ISO/IEC 15408) A szoftverfejlesztés biztonságának elfogadott módszertana (annak minden kritikájával együtt) 42
22 Története US TCSEC 83, 85 Canadian Initiatives NIST s MSFR 90 Federal Criteria 92 CTCPEC 3 93 Common Criteria Project 93-- Common Criteria Common Criteria 2.3 Common Criteria Common Criteria European National & Regional Initiatives ITSEC ISO Initiatives 92-- ISO IS ISO/IEC 15408: 2005 ISO/IEC 15408: Common Criteria Aktuális állapot Jelenlegi verzió: CC version 3.1, szeptemberétől (R júliustól) ISO/IEC 15408:2008, augusztus óta. Jövő: májusban 1251 tanúsított termék volt, csak 2009-ben 200 termék kapott tanúsítást egyre nagyobb a vásárlói igény a biztonságos termékekre, ezért egyre több termék pályázik a CC minősítésre 44
23 Tanúsítványok száma 45 Mit fed le a Common Criteria Olyan IT rendszerek és termékek biztonsági tulajdonságainak a specifikációja, melyek a következőket valósítják meg: confidentiality: bizalmasság, integrity: sértetlenség, availability: rendelkezésre állás. Független értékelések eredményeinek az összehasonlíthatósága Hardverben, szoftverben és förmverben implementált védelmi intézkedésekre vonatkoztatható technológia-független a fejlesztő által kívánt kombinációk határozhatók meg Értékelés módszertan ezt a Common Evaluation Methodology for Information Technology Security Evaluation (CEM) tartalmazza (ISO/IEC 18045) 46
24 Mit nem fed le a Common Criteria A személyi és fizikai biztonsági intézkedések implementációjának vizsgálatát A CC felhasználását adminisztratív, jogi, eljárásbeli szabályok tanúsítási és akkreditálási eljárások kölcsönös elfogadási megállapodások Kriptográfiai algoritmusok leírása 47 Common Evaluation Methodology (CEM) CEM elválaszthatatlan része a CC-nek. CEM határozza meg azt a folyamatot, amit az auditornak végre kell hajtani a biztonsági kritériumok ellenőrzése során. CEM felülvizsgálati sémákat ad a CC konzisztens alkalmazásához az ismétlődő auditok során. Így tehát, CEM a legfontosabb komponens a kölcsönös nemzetközi elfogadáshoz. 48
25 Szól a felhasználóknak El tudják dönteni, hogy az adott termék biztonsági szintje megfelel-e számukra. Össze tudják hasonlítani a különböző termékeket az értékelések alapján. Megvalósítástól független struktúra, a Védelmi Profil (PP) alapján láthatják az adott fajta termékkel szemben támasztott általános biztonsági követelményeket. 49 Szól a fejlesztőknek Segítséget nyújt az értékelésre való felkészítéshez. Megmutatja a fejlesztőknek, hogy a termék megfelelően biztonságose. Akár több, különböző követelményeket tartalmazó Védelmi Profilból (PP) egy megvalósítástól függő, az adott termékre vonatkozó Biztonsági Előirányzatot (ST) lehet létrehozni. 50
26 Szól a értékelőknek Megmondja, hogy milyen vizsgálatokat és melyik biztonsági elemeken kell végrehajtaniuk az értékelőknek. Nem mondja meg, hogy ezeket milyen módon kell végrehajtaniuk. 51 Mi előzi meg a fejlesztést? A biztonsági célok kialakítása TOE Fizikai környezet Feltételezések Védendő vagyontárgyak A biztonsági környezet kialakítása Fenyege -tések Szervezetbiztonsági Szabályok Biztonsági célok TOE célja Biztonsági cél: Szándéknyilatkozat azonosított fenyegetések elleni fellépésről és/vagy meghatározott szervezeti biztonsági szabályzatoknak és feltételezéseknek való megfelelésről. 52
27 Mi előzi meg a fejlesztést? Biztonsági célok A biztonsági követelményeken keresztül a TOE specifikációja Funkcionális követelmények CC Követelmény katalógus A biztonsági követelmények kialakítása Garanciális követelmények Környezeti követelménye k TOE összefoglaló specifikáció TOE összefoglaló specifikáció: A TOE ST-ben adott összefoglaló specifikációja meghatározza a TOE biztonsági követelményeinek megjelenését. Felsőszintű leírást ad azokról a biztonsági funkciókról, amelyekről kijelentik, hogy teljesítik a funkcionális követelményeket, és azokról a garanciális intézkedésekről, amelyeket a garanciális követelmények teljesítéséhez meg kell hozni.. 53 CC funkcionális követelmény-osztályok Class FAU: Biztonsági átvilágítás Class FCO: Kommunikáció Class FCS: Kriptográfiai támogatás Class FDP: Felhasználói adatvédelem Class FIA: Azonosítás és hitelesítés Class FMT: Biztonságirányítás Class FPR: Titoktartás Class FPT: A TSF védelme Class FRU: Erőforrás-felhasználás Class FTA: TOE-hozzáférés Class FTP: Bizalmi útvonal/csatornák 54
28 CC garanciális követelmény-osztályok Class ADV: Fejlesztés Class AGD: Útmutató dokumentumok Class ALC: Az életciklus támogatása Class ATE: Vizsgálatok (tesztek) Class AVA: A sebezhetőség felmérése Class ACO: Kompozíció 55 Mik is a garanciális követelmények? Betartandó fejlesztési eljárásrend (ami fejlesztői tevékenységelemek néven szerepel a szabványban) A termékhez elkészítendő számtalan dokumentáció (ami bizonyítéka annak, hogy a fejlesztői tevékenységelemek rendben végre lettek hajtva) Értékelői tevékenységelemek (mit kell az értékelőnek vizsgálni, és nem hogyan [ez a CEM-ben található]) 56
29 Értékelési garanciaszintek Az egyre magasabb Értékelési Garanciaszinteken (EAL) egyre több osztály és család által megfogalmazott követelmény jelenik meg, illetve az adott családokon belül az összetevők egyre magasabb szintű feltételeket szabnak. 57 Értékelési garanciaszintek 58
30 Mi az a PCI DSS szabvány? A Payment Card Industry (PCI) Data Security Standard (DSS) szabványt a Visa és a Mastercard alkotta meg. Hozzájuk csatlakozott később az American Express, a Discover Financial Services és a JCB. Elsődleges céljuk a bankkártyákkal való nagyarányú visszaélések csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. Mindenkire vonatkozik, aki bankkártya adatokat tárol, dolgozol fel, vagy továbbít. 59 Mi az a PCI DSS szabvány? Tulajdonképpen egy olyan szabvány, ami a bankkártya adatokat feldolgozó cégek biztonsági menedzsmentjével, szabályzati rendszerével, hálózati architektúrájával, szoftvereivel és más védelmi megoldásaival kapcsolatos követelményeket támaszt. Más szabványokkal szemben a követelményeket nem egy bizottság, hanem az élet alkotta. 60
31 Előzmények Elsőként (2001-ben) a VISA jelentetett meg követelményeket, melyek a bankkártyákkal dolgozó e-boltokra vonatkoztak. Ezt Cardholder Information Security Programnak (CISP) hívták. A MasterCard ez idő alatt egy Site Data Protection (SDP) nevű programot dolgozott ki. A két cég 2004-ben kezdett együttműködni, és végére együtt dolgozták ki a PCI DSS szabványt, amihez más gyártók is csatlakoztak. 61 A PCI DSS tartalma Biztonságos hálózat építése és üzemeltetése: 1. követelmény: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni. 2. követelmény: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni. A kártyabirtokos adatainak védelme: 3. követelmény: Védeni kell a kártyabirtokosok tárolt adatait. 4. követelmény: A nyílt hálózatokon történő adatátvitel során titkosítani kell a kártyabirtokos adatait. 62
32 A PCI DSS tartalma Sérülékenység-kezelési program fenntartása: 5. követelmény: Vírusvédelmi megoldásokat kell használni, és rendszeresen frissíteni. 6. követelmény: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni. Erős hozzáférés-védelmi megoldások alkalmazása: 7. követelmény: A kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik. 8. követelmény: Minden olyan ember, aki hozzáférhet a rendszerhez, rendelkezzen egyedi azonosítóval. 9. követelmény: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni. 63 A PCI DSS tartalma A hálózatok rendszeres monitorozása és tesztelése: 10. követelmény: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való minden hozzáférést követni és monitorozni kell. 11. követelmény: A biztonsági rendszereket és folyamatokat rendszeresen tesztelni kell. Információbiztonsági szabályzat fenntartása: 12. követelmény: Információbiztonsági szabályzatot kell fenntartani. 64
33 A PCI DSS tartalma A követelménylista nagyon konkrét. Példának álljon itt a 6.5-ös pont, ami a webes alkalmazásokra vonatkozik. Minden webes alkalmazást olyan biztonságos kódolási útmutatók alapján kell fejleszteni, mint az Open Web Application Security Project (OWASP) útmutatói. A kész kódot ellenőrizni kell a sérülékenységek megtalálása érdekében. Az általános kódolási sérülékenységeket el kell kerülni a szoftverfejlesztési folyamatban, figyelembe véve a következőket: Nem validált input, Feltört hozzáférés-vezérlés (pl. visszaélés az azonosítókkal), 65 A PCI DSS tartalma Feltört hitelesítés és session kezelés (visszaélés a cookie-kal), Cross-site scripting támadás, Puffer túlcsordulás, Injektálásos támadások (pl. SQL injection), Nem megfelelő hibakezelés, Nem biztonságos tárolás, Túlterheléses támadás, Nem biztonságos konfigurációmenedzsment. 66
34 A kártyabirtokos adatai 67 Kire vonatkozik az előírás? A kereskedőkre: E-boltok, Hagyományos boltok, Az elfogadókra: Bankok, Kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal A szolgáltatókra: Akik több e-boltot üzemeltetnek, Bankkártya adatokat gyűjtenek a kibocsátók nevében. 68
35 Kire nem vonatkozik az előírás? A bankkártya kibocsátó bankokra A tranzakciók jóváhagyóira, akik nem befogadói a tranzakcióknak Azokra a kereskedőkre, akik nem kezelnek bankkártya adatokat. A kereskedők és más entitások megfelelőségéről az elfogadónak kell gondoskodnia! 69 Köszönöm a figyelmet! csaba.krasznay@hp.com 70
Szabványok, ajánlások
Szabványok, ajánlások Dr. Krasznay Csaba Néhány szó a compliance-ről 1 A való élet Ahhoz, hogy teljesítsük a jogszabályi kötelezettségeket, nem kell mást tenni, mint használni az ipari szabványokat. Néhány
RészletesebbenSzabványok, ajánlások
Szabványok, ajánlások ISO 27000 szabványcsalád COBIT (Control Objectives for Information and Related Technology) Common Criteria (ISO/IEC 15408) ITIL és ISO/IEC 20000 (IT Infrastructure Library) KIB 25.
RészletesebbenA DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA
A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA 1. Általános rendelkezések 1.1 Az Informatikai Biztonsági Szabályzat (IBSZ) célja Szerződéses és leendő partnereink tájékoztatása a DFL Systems Kft.
RészletesebbenAz ISO 27001-es tanúsításunk tapasztalatai
Az ISO 27001-es tanúsításunk tapasztalatai Bartek Lehel Zalaszám Informatika Kft. 2012. május 11. Az ISO 27000-es szabványsorozat az adatbiztonság a védelmi rendszer olyan, a védekező számára kielégítő
RészletesebbenCOBIT Keretrendszer I. Szikora Zsolt, DE 2008
COBIT Keretrendszer I Szikora Zsolt, DE 2008 Tartalom 1. Bevezetés 2. Alap kérdések (Miért? Ki? Mit? ) + Hogyan? 3. Információ-kritériumok 4. Üzleti és Informatikai célok, EF mngmnt 5. Szakterületek(PO,
RészletesebbenTANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint a NAT által NAT-6-0048/2011 számon akkreditált terméktanúsító szervezet tanúsítja, hogy a Közigazgatási
RészletesebbenMi köze a minőséghez?
Dr. Kondorosi Károly egyetemi docens A COBIT szabványról Bemutatkozik az SQI A szoftverminőség komplex kérdésköre 2005. április 15. Mi köze a minőséghez? Mennyire biztonságos egy informatikai rendszer?
RészletesebbenXXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.
2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek
RészletesebbenTANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE
TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE Dokumentumazonosító: TAN-01.ST.ME-01 Projektazonosító: E-MS06T Microsec Kft. tan. 2006 MATRIX tanúsítási igazgató: Dr. Szőke Sándor Kelt: Budapest, 2006. október
RészletesebbenTANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv
TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint a Nemzeti Akkreditációs Testület által NAT-6-0048/2011 számon akkreditált
RészletesebbenAz alkalmazás minőségbiztosítás folyamata Fókuszban a teszt-automatizálás
Az alkalmazás minőségbiztosítás folyamata Fókuszban a teszt-automatizálás Alvicom HP szeminárium 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without
RészletesebbenBIZTONSÁGI AUDIT. 13. óra
13. óra BIZTONSÁGI AUDIT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH)
RészletesebbenFELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE
FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE Dokumentumazonosító: TANF.ST.ME-01 Projektazonosító: E-MS04F1 Microsec Kft. 2003 MATRIX tanúsítási igazgató: Dr. Szőke Sándor MATRIX tanúsító: Gyányi
RészletesebbenAZ INFORMATIKAI BIZTONSÁG
9. INFORMATIKAI BIZTONSÁG Muha Lajos lmuha@fixx.hu AerusDPG Bt. SZABVÁNYOK ÉS AJÁNLÁSOK AZ INFORMATIKAI BIZTONSÁG TERÜLETÉN Elõadás-összefoglaló Az informatikai biztonság területén számtalan szabványra
RészletesebbenRendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu
Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek
RészletesebbenÓbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.
Óbudai Egyetem Neumann János Informatikai Kar Tóth Béla 2015. Név: Tóth Béla Tanulmányok: 2010 - Óbudai Egyetem / NIK Informatikai Biztonság szak Mérnök Diploma Főállásban: Pénzügyi szektor IT Infrastruktúra
RészletesebbenSZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1
SZÁMÍTÁSTECHNIKAI AUDIT Common Criteria 1 Mi a biztonság? Általában: védettség fenyegetések ellen $ODSYHW HPEHULV] NVpJOHW Mik a fenyegetések? Mit tehetünk ellenük? Mennyire bízhatunk az eredményben? Specifikusan:
Részletesebben30 MB INFORMATIKAI PROJEKTELLENŐR
INFORMATIKAI PROJEKTELLENŐR 30 MB DOMBORA SÁNDOR BEVEZETÉS (INFORMATIKA, INFORMATIAKI FÜGGŐSÉG, INFORMATIKAI PROJEKTEK, MÉRNÖKI ÉS INFORMATIKAI FELADATOK TALÁKOZÁSA, TECHNOLÓGIÁK) 2016. 09. 17. MMK- Informatikai
RészletesebbenTANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 9/2005. (VII.21.) IHM rendelet alapján, mint a Magyar Köztársaság Miniszterelnöki Hivatalt Vezető
Részletesebben77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT
77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő
RészletesebbenSZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL
INFORMATIKAI BIZTONSÁGI POLITIKA SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL Verziószám: 1.0 Hivatkozási szám: K1314-0102-150608-01-E Dátum: 2015. június 08. TARTALOM 1. INFORMATIKAI BIZTONSÁGI
RészletesebbenAZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA
, 2018.04.20. A minőségirányítás a vállalati jó működés támogatója. Ne feledkezzünk meg az információmenedzsmentről és az adatbiztonságról sem! AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA
RészletesebbenAz adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás
Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai Dr. Szádeczky Tamás Irányítási rendszerek ISO megközelítés Irányítási rendszer - Rendszer politika és célok megfogalmazásához,
RészletesebbenInformatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában
Nincs informatika-mentes folyamat! Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Oláh Róbert számvevı tanácsos Az elıadás témái 2 Miért, mit, hogyan? Az IT ellenırzés
RészletesebbenInformációbiztonság az Ibtv. tükrében Dr. Krasznay Csaba
Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba 1 Nemzetközi biztonsági trendek és hatásaik Kiberfenyegetések 56% azon szervezetek aránya, akik kibertámadás áldozatai voltak 2 Kiterjedt ellátási
RészletesebbenElektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása
Elektronikus Aláírási Szabályzat Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása v.1.8 OID azonosító: 1.3.6.1.4.1.26851.0.0.0.8 2012. március
RészletesebbenKrasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem
Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint
RészletesebbenInformatikai biztonsági elvárások
Informatikai biztonsági elvárások dr. Dedinszky Ferenc kormány-fıtanácsadó informatikai biztonsági felügyelı 2008. július 2. Tartalom Átfogó helyzetkép Jogszabályi alapok és elıírások Ajánlások, a MIBA
RészletesebbenKözbeszerzési rendszerek Informatikai Biztonsági Szabályzata
Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL
RészletesebbenROBOTHADVISELÉS S 2010
ROBOTHADVISELÉS S 2010 ADATBÁZISOK BIZTONSÁGÁNAK KEZELÉSE A KÖZIGAZGATÁSBAN Fleiner Rita ZMNE KMDI doktorandusz hallgató Muha Lajos PhD, CISM tanszékvezet kvezető főiskolai tanár ZMNE BJKMK IHI Informatikai
RészletesebbenA Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges
Informatikai Biztonsági feladatok: Fizikai biztonsági környezet felmérése Logikai biztonsági környezet felmérése Adminisztratív biztonsági környezet felmérése Helyzetjelentés Intézkedési terv (fizikai,
RészletesebbenInformációbiztonság irányítása
Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság
RészletesebbenÜzleti architektúra menedzsment, a digitális integrált irányítási rendszer
Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer XXII. MINŐSÉGSZAKEMBEREK TALÁLKOZÓJA A digitalizálás a napjaink sürgető kihívása Dr. Ányos Éva működésfejlesztési tanácsadó Magyar
RészletesebbenGondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője
Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője 1 Az előadás témái Emlékeztetőül: összefoglaló a változásokról Alkalmazási
RészletesebbenISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.
ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. 2018. március 22. 22/03/2018 1 Vázlat 27001 és GDPR viszonya védendő elemek, vonatkozó
RészletesebbenAz elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság
RészletesebbenAz ELO Iratkezelő Modul jogi háttere. dr. Fenyér Éva ügyvéd, iratkezelési jogi tanácsadó
Az ELO Iratkezelő Modul jogi háttere dr. Fenyér Éva ügyvéd, iratkezelési jogi tanácsadó 1 Az előadás célja A jogi alapok áttekintése és rendszerezése Az ELO Iratkezelő Modul - magyarországi jogszabályi
RészletesebbenNaplózás e- közigazgatási rendszerekben
Naplózás e- közigazgatási rendszerekben Krasznay Csaba IT Biztonsági tanácsadó HP Magyarország 2008 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without
RészletesebbenTANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 9/2005. (VII.21.) IHM rendelet alapján, mint a Nemzeti Fejlesztési Minisztérium IKF/19519-2/2012/NFM
RészletesebbenNAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.
NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft. RULES AND REGULATION Az Európai parlament és a Tanács (EU) 2016/679 rendelete- a
RészletesebbenA GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor
A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI { Az audit gyakorlati szempontjai Sipos Győző CISA IT biztonságtechnikai auditor Mobil: +36 20 916 3541 E-mail: sipos.gyozo@nador.hu SZÁMSZERŰSÍTETT KOCKÁZATOK
RészletesebbenÚt az ITIL-e00n át az ISO/IEC 20000-ig Fujitsu Siemens Computers Kft.
Út az ITIL-e00n át az ISO/IEC 20000-ig Fujitsu Siemens Computers Kft. Nádas Bence - Menedzselt szolgáltatások vezető, Fujitsu Siemens Computers Kft. 2009. március 18. Vállalatunk A Fujitsu Siemens Computers
RészletesebbenTANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 15/2001.(VIII. 27.) MeHVM rendelet alapján, mint a Magyar Köztársaság Informatikai és Hírközlési
RészletesebbenTudatos kockázatmenedzsment vs. megfelelés
Tudatos kockázatmenedzsment vs. megfelelés Horváth Balázs horvath.balazs@trconsult.hu Ruha Norbert ruha.norbert@trconsult.hu Agenda A korszerű kockázatmenedzsment kihívásai és jellemzői A megfelelés problémaköre
RészletesebbenAz informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe
Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági
RészletesebbenElektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása
Elektronikus Aláírási Szabályzat Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása v.2.0 2013. október 01. MNB EASZ 2/7 Tartalom 1 ÁLTALÁNOS
RészletesebbenInformációbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos
Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában
RészletesebbenVáltozások folyamata
ISO 9001:2008 Változások az új szabványban Változások folyamata A változtatások nem csak a rendszer dokumentumait előállítókra vonatkozik, hanem: az ellenőrzéseket végzőkre, a belső auditot végzőkre, és
RészletesebbenA vállalat mint rendszer. Informatikai rendszerek Vállalati információs rendszerek. Üzleti kapcsolatok. Vevői információs kapcsolatok. Cég.
A vállalat mint rendszer Informatikai rendszerek Vállalati információs rendszerek erőforrások Cég Gazdálkodó szervezet Vállalat erőforrások Szendrői Etelka szendroi@witch.pmmf.hu Valóságos Működő Gazdasági
RészletesebbenAz akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel
TÁMOP-6.2.5.A-12/1-2012-0001 Egységes külső felülvizsgálati rendszer kialakítása a járó- és fekvőbeteg szakellátásban, valamint a gyógyszertári ellátásban Az akkreditáció és a klinikai audit kapcsolata
RészletesebbenAz alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.
Tisztelt Érdeklődő! Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja. Információbiztonsággal kapcsolatos hazai
RészletesebbenTANÚSÍTÁSI JELENTÉS HUNG-TJ-223-01/2011
TANÚSÍTÁSI JELENTÉS az ELEKTRONIKUS BESZÁMOLÓ RENDSZER elektronikus közszolgáltatás biztonságáról szóló 223/2009 (X. 14.) Korm. Rendeletnek megfelelőségi vizsgálatáról HUNG-TJ-223-01/2011 Verzió: 1.0 Fájl:
Részletesebben2013. évi L. törvény ismertetése. Péter Szabolcs
2013. évi L. törvény ismertetése Péter Szabolcs Szudán Csád Nigéria Szomália Krím - Ukrajna Irak Szíria Kiber hadviselés Társadalmi, gazdasági, jogi folyamatok információs hálózatokon mennek végbe, ez
RészletesebbenAdat és információvédelem Informatikai biztonság Dr. Beinschróth József
Adat és információvédelem Informatikai biztonság CISA Technológia: az informatikai rendszer Az informatikai rendszer főbb elemei: A környezeti infrastruktúra elemei Hardver elemek Adathordozók Dokumentumok
RészletesebbenXXIII. MAGYAR MINŐSÉG HÉT
XXIII. MAGYAR MINŐSÉG HÉT MŰHELYMUNKA MINŐSÉGIRÁNYÍTÁSI RENDSZEREK ÁTALAKÍTÁSA AZ ISO 9001:2015 SZERINT GYAKORLATI FOGÁSOK. TOHL ANDRÁS TECHNIKAI VEZETŐ SGS HUNGÁRIA KFT. NAPIREND Bevezetés, problémák,
RészletesebbenA CRD prevalidáció informatika felügyelési vonatkozásai
A CRD prevalidáció informatika felügyelési vonatkozásai Budapest, 2007. január 18. Gajdosné Sági Katalin PSZÁF, Informatika felügyeleti főosztály gajdos.katalin@pszaf.hu Tartalom CRD előírások GL10 ajánlás
RészletesebbenTANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint a Nemzeti Akkreditációs Testület által NAT-6-0048/2011 számon akkreditált terméktanúsító szervezet
RészletesebbenInformációbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia
Információbiztonság vs. kiberbiztonság az okos város szempontjából Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia Definíciók Információbiztonság: az elektronikus információs rendszer olyan állapota, amelyben
Részletesebben30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.
Adat és Információvédelmi Mesteriskola 30 MB Dombora Sándor IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI 2018. 09. 13. Adat és Információvédelmi Mesteriskola Tartalom
RészletesebbenTopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA
TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2
RészletesebbenBIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN
M Ű E G Y E T E M 1 7 8 2 Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék BIZTONSÁG MENEDZSMENT KUTATÓ CSOPORT és az Dr. Nyiry
RészletesebbenInformációbiztonság fejlesztése önértékeléssel
Információbiztonság fejlesztése önértékeléssel Fábián Zoltán Dr. Horváth Zsolt, 2011 Kiindulás SZTE SZAKK információ információ adatvédelmi szabályozás napi gyakorlat információ Milyen az összhang? belső
RészletesebbenTANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE
TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE Dokumentumazonosító TAN-ST-01.ME-01 Projektazonosító E-MS08T Microsec Kft. tan. MATRIX tanúsítási igazgató Dr. Szőke Sándor MATRIX tanúsító Hornyák Gábor Kelt
RészletesebbenAZ INFORMATIKAI BIZTONSÁG MÉRÉSE
AZ INFORMATIKAI BIZTONSÁG MÉRÉSE Muha Lajos tanszékvezető főiskolai tanár ZMNE Bolyai János Katonai Műszaki Kar Informatikai Tanszék E-mail: muha.lajos@zmne.hu Összefoglalás: A biztonság mérése az informatikai
RészletesebbenA tanúsítás és auditálási gyakorlat változása nemzetközi tükörben
A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben Tarján Gábor 2014. április 10. Tartalom és tematika Rövid bemutatkozás Pár fontos mondat Az átmenet szabályai nemzetközi (IAF, UKAS, DAKKS)
RészletesebbenISO 9001 kockázat értékelés és integrált irányítási rendszerek
BUSINESS ASSURANCE ISO 9001 kockázat értékelés és integrált irányítási rendszerek XXII. Nemzeti Minőségügyi Konferencia jzr SAFER, SMARTER, GREENER DNV GL A jövőre összpontosít A holnap sikeres vállalkozásai
RészletesebbenA cloud szolgáltatási modell a közigazgatásban
A cloud szolgáltatási modell a közigazgatásban Gombás László Krasznay Csaba Copyright 2011 Hewlett-Packard Development Company HP Informatikai Kft. 2011. november 23. Témafelvetés 2 HP Confidential Cloud
RészletesebbenMinőségügyi Eljárásleírás Vezetőségi átvizsgálás
Pécsi Tudományegyetem Általános Orvostudományi Kar Minőségügyi Eljárásleírás Vezetőségi átvizsgálás Dokumentum adatai Azonosító kód/fájlnév Verziószám Mellékletek száma ME03_ÁOK 1.0 3 Készítették Minőségügyi
RészletesebbenA szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország
A szoftverszolgáltatások kockázatai üzleti szemmel - Horváth Csaba PwC Magyarország A szoftverszolgáltatások növekvő kockázatai 2011. április adatvesztés az AWS EC2 szolgáltatásban A kibertámadások folyamatosan
RészletesebbenInformatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató
Informatikai adatvédelem a gyakorlatban Dr. Kőrös Zsolt ügyvezető igazgató Az informatika térhódításának következményei Megnőtt az informatikától való függőség Az informatikai kockázat üzleti kockázattá
RészletesebbenMinőségtanúsítás a gyártási folyamatban
Minőségtanúsítás a gyártási folyamatban Minőség fogalma (ISO 9000:2000 szabvány szerint): A minőség annak mértéke, hogy mennyire teljesíti a saját jellemzők egy csoportja a követelményeket". 1. Fogalom
Részletesebbenevosoft Hungary Kft.
Intelligens eszközök fejlesztése az ipari automatizálásban 9. fejezet: Minőség menedzsment Előadó: Harrer Ágnes Krisztina minőségügyi megbízott menedzser ELŐADÓ: HARRER ÁGNES KRISZTINA Minőségügyi megbízott
RészletesebbenMuha Lajos. Az információbiztonsági törvény értelmezése
Muha Lajos Az információbiztonsági törvény értelmezése kibervédelem? KIBERVÉDELEM KRITIKUS INFORMÁCIÓS INFRASTRUKTÚRÁK VÉDELME ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK VÉDELME Az információvédelem igénye Magyarország
Részletesebben1. számú melléklet. A TCA v2.0 legfontosabb tulajdonságainak összefoglalása
1. számú melléklet A TCA v2.0 legfontosabb tulajdonságainak összefoglalása A TRUST&CA megbízható rendszer hitelesítés-szolgáltatáshoz v2.0 (a továbbiakban TCA rendszer) egy olyan speciális elektronikus
RészletesebbenA Bankok Bázel II megfelelésének informatikai validációja
A Bankok Bázel II megfelelésének informatikai validációja 2010. november 30. Informatika felügyeleti főosztály: Gajdosné Sági Katalin Gajdos.Katalin@PSZAF.hu Kofrán László - Kofran.Laszlo@PSZAF.hu Bázel
RészletesebbenWeb service fenyegetések e- közigazgatási. IT biztonsági tanácsadó
Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft. Bevezetése etés A Magyar Köztársaság elektronikus közigazgatási rendszere az elmúlt években
RészletesebbenPCI DSS trendek külföldön és Magyarországon Tátrai Péter Gáspár Csaba
PCI DSS trendek külföldön és Magyarországon Tátrai Péter Gáspár Csaba 2011. december 7. Napirend A PCI DSS-ről röviden Nemzetközi trendek QSA cégek tapasztalatai - felmérés Magyarországi helyzet Hogy érint
RészletesebbenTANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. IngridSigno Feldolgozó Modul aláíró alkalmazás
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 15/2001. (VIII. 27.) MeHVM rendelet alapján, mint a Magyar Köztársaság Informatikai és Hírközlési
RészletesebbenMuha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)
Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete) 1. Bevezető Az egyes országokban, illetve a nemzetközi
RészletesebbenCompliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon
Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon Szabó Katalin Csilla felügyelő Tőkepiaci felügyeleti főosztály Tőkepiaci és piacfelügyeleti igazgatóság 2015. november 27. 1 A
RészletesebbenElektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása
Elektronikus Aláírási Szabályzat Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása v.2.1 2017. augusztus 25. MNB EASZ 2/8 Tartalom 1 BEVEZETÉS...3
RészletesebbenIT biztonsági törvény hatása
IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3
RészletesebbenTANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet tanúsítja, hogy a NETI Informatikai Tanácsadó Kft. által kifejlesztetett OneWayer
RészletesebbenQSA assessment tapasztalatok az auditor szemszögéből Tassi Miklós Tátrai Péter
QSA assessment tapasztalatok az auditor szemszögéből Tassi Miklós Tátrai Péter 2011. december 7. Napirend A PCI DSS megfelelés motivációi Audit kötelezettség háttere A QSA assessment szolgáltatás Az audit
Részletesebben2011. ÓE BGK Galla Jánosné,
2011. 1 A mérési folyamatok irányítása Mérésirányítási rendszer (a mérés szabályozási rendszere) A mérési folyamat megvalósítása, metrológiai megerősítés (konfirmálás) Igazolás (verifikálás) 2 A mérési
RészletesebbenGYAKORLATI TAPASZTALATOK AZ ISO EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR
GYAKORLATI TAPASZTALATOK AZ ISO 50001 EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR AZ SGS BEMUTATÁSA Alapítás: 1878 Központ: Genf, Svájc Tevékenység: ellenőrzés, tanúsítás és vizsgálat Szervezet:
RészletesebbenAz informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)
Az informatikai biztonság alapjai 5. Előadás (Jogi szabályozás) Ügyviteli védelem (Ismétlés) Szabályok rögzítése Szóban Írásban Ügyviteli védelem szintjei Stratégiai (Informatikai Biztonsági Koncepció)
RészletesebbenA HATÉKONY VÁLLALATI MŰKÖDÉS VEZETŐI ESZKÖZTÁRA
A HATÉKONY VÁLLALATI MŰKÖDÉS VEZETŐI ESZKÖZTÁRA XXV. Nemzeti Minőségügyi Konferencia 2018. szeptember 13-14. Tóth Valéria Minőségmenedzsment osztályvezető Magyar Posta Zrt. MINŐSÉG - VERSENYKÉPESSÉG -
RészletesebbenAZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17.
AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE 2015. Szeptember 17. SGS BEMUTATÁSA Alapítás: 1878 Központ: Genf, Svájc Tevékenység: Ellenőrzés, vizsgálat és tanúsítás Szervezet: 80.000
RészletesebbenA vezetőség felelősségi köre (ISO 9001 és pont)
16. A vezetőség felelősségi köre (ISO 9001 és 9004 5. pont) 16.1 A vezetőség elkötelezettsége (ISO 9001 és 9004 5.1. pont) A vezetőség felelősségi körére vonatkozó fejezet a két szabványban szinte azonos
RészletesebbenInformatikai Biztonsági szabályzata
A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.
Részletesebben1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira
1 www.businesstemplates.com IdMatrix Identity Governance Válaszok a GDPR kihívásaira 2 www.businesstemplates.com TODAY S AGENDA Rólunk Központi jogosultság kezelés Az Innomatrix Services Kft. saját fejlesztésű
RészletesebbenTANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott
TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 15/2001.(VIII. 27.) MeHVM rendelet alapján, mint a Magyar Köztársaság Informatikai és Hírközlési
RészletesebbenÜzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)
Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?) Év indító IT szakmai nap - PSZÁF Budapest, 2007.01.18 Honnan indultunk? - Architektúra EBH IT
RészletesebbenAz ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád
Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád Bevezetés Az új fogalmak a TQM ből ismerősek? ISO 9001:2015 új fogalmainak az érdekelt felek általi értelmezése
RészletesebbenÜzletmenet folytonosság Üzletmenet? folytonosság?
Üzletmenet folytonosság Üzletmenet? folytonosság? avagy "mit is ér a hogyishívják" Léstyán Ákos vezető auditor ISO 9001, 27001, 22000, 22301 BCP - Hétpecsét 1 Hétfőn sok ügyfelet érintett egyszerűen nem
RészletesebbenISO Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez
Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez 2 a folyamatszemléletű megközelítés alkalmazását segíti elő az érdekelt felek megelégedettségének növelése céljából kiemeli a következő szempontok
RészletesebbenNemzetközi jogszabályi háttér I.
SZ2 Az elektronikus információbiztonságról szóló jogszabályok és a létfontosságú rendszerek Budapest, 2016. szeptember 28. Selyem Zsuzsanna tű. alezredes (zsuzsanna.selyem@katved.gov.hu) Nemzetközi jogszabályi
RészletesebbenPMO Érettségi szint és versenyelőny. Kovács Ádám
PMO Érettségi szint és versenyelőny Kovács Ádám kovacs.adam@pmi.hu 1. PMO terjedése A 90 es évek végétől dinamikusan növekszik a PMOk száma Létrehozás oka különböző, cél a projektek jobb átláthatósága
RészletesebbenBiztonsági osztályba és szintbe sorolás, IBF feladatköre
Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény
Részletesebben