BIZTONSÁGI AUDIT. 13. óra



Hasonló dokumentumok
Szabványok, ajánlások

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

Mi köze a minőséghez?

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Ipari hálózatok biztonságának speciális szempontjai és szabványai

IT biztonság és szerepe az információbiztonság területén

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

SZOLGÁLTATÁS MENEDZSMENT

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

2013 L. - tapasztalatok Antidotum 2015

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

TANÚSÍTVÁNY (E-MS03T_TAN.SW) MELLÉKLETE

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-DS10F1_TANF-SW) MELLÉKLETE

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

24. oldal

Szabványok. ISO 9000, ISO 9001, ISO 9004 és más minőségirányítási szabványok SZABVÁNY CÍMEK NEMZETKÖZI EURÓPAI NEMZETI MEGJEGYZÉS

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

AZ INFORMATIKAI BIZTONSÁG

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

Minőségbiztosítás, minőségirányítás, külső szervek szakfelügyeleti ellenőrzése 1

Szabványok, ajánlások

CERTIFICATE. Hídépítő Zártkörűen Működő Részvénytársaság BS EN ISO 9001:2015. We hereby certify that Quality Management System of

Kereskedelmi, Szolgáltató és Tanácsadó Kft.

ÚJ ISO/IEC :2018 itsmf Szeminárium Dr. Becser Balázs. Az új családtag a szabványcsaládban IT Szolgáltatásirányítás követelmények

Az informatikai biztonsági kockázatok elemzése

SLA RÉSZLETESEN. 14. óra

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

Headline Verdana Bold

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

irányításban Teljesítménymérés

Az ISO-szabványok 3.1 Az ISO minőségügyi szabványai 3.2 Az ISO 9000 szabványsorozat elemei

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

EMLÉKEZTETŐ. 1. Májusi rendezvény értékelése

Biztonságtechnikai szabványok az Európai Unióban Security engineering standards in European Union

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE

Változáskezelés. A tanúsítási jelentést készítette: Juhász Judit. Tanúsítási

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

tanúsítja, hogy a Kopint-Datorg Részvénytársaság által kifejlesztett és forgalmazott MultiSigno Standard aláíró alkalmazás komponens 1.

Bevezetés az Informatikai biztonsághoz

Oldal Page TARTALOM CONTENTS

Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar

FÖLDÜGYI INFORMATIKAI RENDSZEREK A BIZTONSÁGI SZABVÁNYOK TÜKRÉBEN

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

Magyarországi kis és közepes IT vállalkozások költséghatékony lehetőségei ISO szabványcsaládnak megfelelő szolgáltatásirányítási rendszerek

IAF és ILAC Közgyűlés októberi főbb határozatai November 7.

1. számú melléklet. A TCA v2.0 legfontosabb tulajdonságainak összefoglalása

A felhő, ha két lábbal a Földön állva nézzük Pávlicz György

A felhőszolgáltatások biztonságáról: követelményekről, megoldási eszközökről

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium.

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

A vállalati információrendszer biztonságának auditálása, a stratégiai megfelelés figyelembe vételével. Dr. Szenes Katalin CISA, CISM, CGEIT, CISSP

A KOCKÁZATKEZELÉSI MÓDSZEREK A NATO-BAN

Az informatikai audit és biztonság jelentősége az intézmény stratégiája megvalósításában

SZÁMÍTÓGÉP-HÁLÓZAT AUDIT

A SOX törvény alapjai és informatikai vonatkozásai

Dr. Tényi Géza Dr. Polefkó Patrik: Bizalmas információk kezelése és. adatvédelem a felhőszolgáltatásban

IT Stratégia rövid definíció

ROBOTHADVISELÉS S 2010

Tracon Budapest Kft ISO 9001 szerinti minőségbiztosítási rendszere

TANÚSÍTVÁNY (E-MS05T-TAN.SW_1) MELLÉKLETE

Az EOQ MNB szerepe a "Quality Managers in Health Care" képzés kialakításában.

e-szignó Hitelesítés Szolgáltató

DNV Business Assurance július 20. Tartalom HÍRLEVÉL / 3. szám. Kövessen bennünket a facebookon is

TANÚSÍTVÁNY. InfoScope Informatikai és Szolgáltató Kft. által kifejlesztett. mysigno API 3.1 elektronikus aláírás alkalmazás fejlesztő készlet v3.

2. Témakör. Magyar Szabványügyi Testület. Szabványosítás. Minőségirányítási rendszerszabványok.

IEC Basic Engineering -től a Leszerelésig

Környezeti elemek védelme II. Talajvédelem

TANÚSÍTVÁNY (E-HT09T_TAN-01.ST) MELLÉKLETE

Brother eredeti színes nyomtatópatron A megadott oldalkapacitás számítási módja az ISO/IEC24711 szabvány alapján

Az Informatikai Biztonsági Irányítási Rendszer

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

EMLÉKEZTETŐ. 1. Novemberi rendezvény értékelése

SZOLGÁLTATÁS BIZTOSÍTÁS

1 Az előterjesztést a Kormány nem tárgyalta meg, ezért az nem tekinthető a Kormány álláspontjának.

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

2. előadás: A magyar nemzeti szabványosítás

mi ez a CISA, CISM, CGEIT, CISSP?

Laboratóriumok minségbiztosítása, validálás és Minségbiztosítás az analitikában

Informatikai biztonsági elvárások

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Oktatói önéletrajz Dr. Molnár Bálint

DG(SANCO)/ MR

Informatikai Biztonsági Tanúsítási Szervezet. 2/14. sz. Megfelelőségi Tanúsítvány

ISO 9001: új elképzelések, bővülő alkalmazás

JÓVÁHAGYÁS. szervezet. Név Dr. Szakonyi Lajos KPI Oktatási Minisztérium

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Átírás:

13. óra BIZTONSÁGI AUDIT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH) Óbudai Egyetem, Neumann Informatikai Kar, 2015

Óbudai Egyetem, Neumann Informatikai Kar, 2015 2 Biztonsági Audit célja Az IT Biztonságpolitika (IBP) és az IT Biztonsági Szabályzat (IBSZ) kidolgozása házon belüli feladat Megfelelő IBP/IBSZ csak a helyi viszonyok ismeretében készíthető Ehhez azonban lehetséges külső szakértői segítség igénybe vétele Az IBP/IBSZ kidolgozói nem gondolhatnak mindenre, fontos szempontok esetleg megoldás nélkül maradhatnak Az IBP/IBSZ belső ellenőrzése mellett ezért külső erők bevonása indokolt A külső erőket auditoroknak nevezik A külsősök által végrehajtott [IBP/IBSZ] vizsgálat = Audit

Óbudai Egyetem, Neumann Informatikai Kar, 2015 3 Informatikai audit módszertanok Több IT audit módszertan ismert és használt világszerte ISACA Information System Audit and Control Association CISA Certified Information System Auditor CISA minősítés komoly vizsgák letételét követeli CISA minősítés Magyarországon is megszerezhető Tudás szinten tartása érdekében éves továbbképzések kötelezők ISACA NEM bocsát ki megfelelt/nem felelt meg tanúsítványt ISACA által követett módszertan = COBIT COBIT = Governance and Control Objectives for Information and Related Technology csak ajánlás, NEM szabvány Többszáz IT rendszer kialakításával kapcsolatos irányelv (control) Mivel folyamatosan frissítik, így számos esetben konkrét technikai megoldásokra vonatkozó javaslatokat is tartalmaz

Óbudai Egyetem, Neumann Informatikai Kar, 2015 4 Fontosabb IT biztonsági szabványok Az IT biztonság jelentőségének fokozódása tette szükségessé a vonatkozó szabványok kidolgozását Kidolgozásuk lehetővé teszi formális auditok végrehajtását Első ilyen szabvány = BS 7799 1995 BSI = British Standards Institution ISO 27000 = Nemzetközi szabvány(ok) 2005 Pontosan: ISO/IEC szabványcsalád, mivel mindkét szervezet jegyzi ISO = International Organization for Standardization IEC = International Electrotechnical Commission NIST 800-xx National Institute of Standards and Technology ISO 15408 Common Criteria (CC) RFC 2196 Internet Engineering Task Force memorandum

Óbudai Egyetem, Neumann Informatikai Kar, 2015 5 BS 7799 ISO 17799 (ISO 27000) Első elfogadott szabvány = BS7799 (Brit szabvány) Kidolgozója a Department of Trade and Industry (DTI) 1995 Két elkülönült részt tartalmazott Part 1 = Best Practices for Information Security Management Part 2 = Information Security Management Systems - Specification with guidance for use. Bevezette a Plan-Do-Check-Act körkörös, folyamatos munkamenetet ISO 17799 = BS7799/1 átdolgozás utáni átvétele ISO/IEC 17799 = "Information Technology - Code of practice for information security management 2000 Ez újabb (jelentős) átdolgozás után = ISO 27002 2007 ISO 27001 = BS7799/2 átdolgozás utáni átvétele Az ISO 2005-ben fogadta el

Óbudai Egyetem, Neumann Informatikai Kar, 2015 6 ISO 27000 (bővülő) szabványcsalád ISO 27001 biztonsági kontrollok gyűjteménye Pontos neve: ISO/IEC 27001:2005 Information technology Security techniques Information security management systems Requirements Legújabb verzió: ISO 27001:2013 (Szeptember 25.-től) Magyarország is elfogadta: MSZ ISO/IEC 27001:2006 normatív felsorolása az egységes elvek szerint kidolgozott különféle betartandó IT biztonsági kontrolloknak, ez alapján audit végezhető 11 témakörben megfogalmazott, rengeteg kontrollt sorol fel ISO 27002 az IT biztonság áttekintő definíciója Fogalom definíciók és magyarázatok halmaza vezetők számára annak érdekében, hogy ismerjék (és értsék) az ISO 27001 szabványra alapuló tanúsítvány megszerzésének követelményeit A tanúsítás az ISO27001 szabványra alapul Megszerzését követően 3 évig érvényes, ezután megújítandó

Óbudai Egyetem, Neumann Informatikai Kar, 2015 7 NIST 800-xx szabványcsalád (USA) Kidolgozója az USA szabványügyi hivatal (NIST) Formája: tematikus kötetek (Special Publication) (-xx) Eredetileg a kormányzat céljára, de civil szféra is követi 1. 800-12 IT biztonság áttekintése, fogalmak magyarázata, IT biztonság fontosságának hangsúlyozása 2. 800-14 IT biztonsági alapelvek (8db) és módszerek (14db) áttekintő leírása, amelyek betartása fontos lehet az IBP/IBSZ kidolgozásakor. 3. 800-26 IT biztonsági ajánlások gyűjteménye főképpen a kockázatok elemzésére/kezelésére vonatkozóan 4. 800-37 (2010) Módszertani útmutató: "Guide for Applying the Risk Management Framework to Federal Information Systems 5. 800-53 rev3 (2009) "Guide for Assessing the Security Controls in Federal Information Systems", 194 biztonsági kontroll az IT rendszerek biztonságosabbá tétele érdekében

Óbudai Egyetem, Neumann Informatikai Kar, 2015 8 ISO 15408 Common Criteria (CC) Aktuális változata = Version 3.1 revision 4. A CC nem szervezetet, hanem terméket/szolgáltatást minősít A minősítés célja a termék IT biztonsági tulajdonságainak fokozása Nem a végterméket vizsgálja, hanem a tervezés/előállítás folyamatát Egyaránt vizsgálja a HW és SW komponenseket A CC betartása (nagyon) megdrágítja a terméket lassan terjed Magyarország is elfogadta: MSZ ISO/IEC 15408:2002 A CC részei (részletek: Wikipedia Common Criteria!!!) Target Of Evaluation (TOE) a kifejlesztendő termék meghatározása Protection Profile (PP) betartandó biztonsági elvek meghatározása Security Target (ST) a termék biztonsági tulajdonságainak halmaza Security Functional Requirements (SFR) biztonsági funkciók listája Security Assurance Requirements (SAR) biztonsági módszerek listája Evaluation Assurance Level (EAL) biztonság mértéke EAL 1 7 szint

Óbudai Egyetem, Neumann Informatikai Kar, 2015 9 RFC 2196 IETF memorandum RFC 2196 is memorandum published by Internet Engineering Task Force for developing security policies and procedures for information systems connected on the Internet. The RFC 2196 provides a general and broad overview of information security including network security, incident response, or security policies. The document is very practical and focusing on day-to-day operations. 64 oldalas, gyakorlatias megközelítésű memorandum (emlékeztető), amely IBP/IBSZ kidolgozása során figyelembe veendő szempontok, módszerek, szabályok, ajánlások és tanácsok logikusan rendszerezett tárháza

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés