IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE

Hasonló dokumentumok
Szabványok, ajánlások

EMLÉKEZTETŐ. 1. Novemberi rendezvény értékelése

EMLÉKEZTETŐ. 1. Hétpecsétes történetek v2. Állapot

Szabványok, ajánlások

Ipari hálózatok biztonságának speciális szempontjai és szabványai

Az ISO es tanúsításunk tapasztalatai

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

Bevezetés az Informatikai biztonsághoz

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

BIZTONSÁGI AUDIT. 13. óra

Az es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

Mi köze a minőséghez?

Az Informatikai Biztonsági Irányítási Rendszer

A stratégiai tervezés módszertana. Koplányi Emil. elearning Igazgatóság Educatio KHT.

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

2013. évi L. törvény ismertetése. Péter Szabolcs

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Létesítménygazdálkodási szabványok a klubmenedzsmentben

Magyarországi kis és közepes IT vállalkozások költséghatékony lehetőségei ISO szabványcsaládnak megfelelő szolgáltatásirányítási rendszerek

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

Információbiztonság irányítása

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

A CRAMM módszer alkalmazásának kiterjesztése

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Nemzetközi jogszabályi háttér I.

Tanpálya a hálózatos munkavégzések támogatására

Érettségi tétel az IT vizsgán: Felhő

Fogalomtár Szakkifejezések és fogalom meghatározások

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Muha Lajos. Az információbiztonsági törvény értelmezése

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.

A Projekt portfoliómenedzsment projekt iroda (PMO) alkalmazási feltételei, lehetőségei - szekció bevezető gondolatok

Az adathalászat trendjei

Minőségcélok és tevékenységek Magyarországon, a GYEMSZI Minőségügyi Főosztály tevékenysége. Dr. Kárpáti Edit

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Dr. Muha Lajos. Az L. törvény és következményei

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

A USER Kft - mint Open Text partner - bemutatása

Egy atomerőmű építés beszállítójával szembeni irányítási rendszerkövetelmények

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

Szervezeti működésfejlesztés komplexitása CMC minősítő előadás

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Informatikai rendszerekkel támogatott folyamatok működésfolytonossági kérdései a védelmi szférában

ISO Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez

Információs rendszerek Információsrendszer-fejlesztés

ÚJ ISO/IEC :2018 itsmf Szeminárium Dr. Becser Balázs. Az új családtag a szabványcsaládban IT Szolgáltatásirányítás követelmények

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Capsys Kft. bemutatása. Outsource-ról általánosságban. Folyamatjavítási lehetőségek. Kulcs üzenetek. Bemutatkozás

IT üzemeltetés és IT biztonság a Takarékbankban

S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN. Structured Systems Analysis and Design Method

Aktualitások a minőségirányításban

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

PROJEKTMENEDZSERI ÉS PROJEKTELLENŐRI FELADATOK

ÉMI-TÜV SÜD Kft. Kockázatok és dilemmák az új ISO EN 9001:2015 szabvány szellemében

IT Factory. Kiss László

Üzleti tervezés. Kis- és középvállalkozások. Anyagi és pénzügyi folyamatok. Ügyvezetés I. és II. Értékesítés. Beszerzés 8. Raktár 7.

Oracle adatkezelési megoldások helye az EA világában. Előadó: Tar Zoltán

ISO HOGYAN ÉPÜL FEL A MIR RENDELÉSRE KÉSZÜLT ESZKÖZÖK GYÁRTÓI ESETÉN? előadó Juhász Attila SAASCO Kft.

A benchmarking fogalma

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

EEA, Eionet and Country visits. Bernt Röndell - SES

Az informatikai biztonsági kockázatok elemzése

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Szabványok. ISO 9000, ISO 9001, ISO 9004 és más minőségirányítási szabványok SZABVÁNY CÍMEK NEMZETKÖZI EURÓPAI NEMZETI MEGJEGYZÉS

Dr. Tényi Géza Dr. Polefkó Patrik: Bizalmas információk kezelése és. adatvédelem a felhőszolgáltatásban

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Folyamatmenedzsment módszerek a projekt menedzsment eszköztárában

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

XXVII. Magyar Minőség Hét Konferencia

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

Mérnök informatikus (BSc) alapszak levelező tagozat (BIL) / BSc in Engineering Information Technology (Part Time)

ISO 9001:2015 Változások Fókuszban a kockázatelemzés

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

Stratégia felülvizsgálat, szennyvíziszap hasznosítási és elhelyezési projektfejlesztési koncepció készítés című, KEOP- 7.9.

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Üzleti szabálykezelés

ISO 9001:2015 revízió - áttekintés

A könyvtári minőségirányítás bevezetésére

A Bázeli Bizottság és a banki belső ellenőrzés

ÁROP Tudásalapú közszolgálati előmenetel

Fókuszban az információbiztonság

MŰHELYMUNKA. ISO 9001 kockázatmenedzsment

Üzletmenet folytonosság Üzletmenet? folytonosság?

Dr. Dinnyés Álmos Projekt menedzsment módszerek alkalmazásának kihívásai a felsőoktatásban

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Átírás:

Adat és Információvédelmi Mesteriskola 30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE 2018. 09. 09.

Tartalom (Miről volt szó eddig?) IT biztonsági management szabványok A PDCA ciklus Vezérfonal a tervezéshez Követelmények a stratégiához A stratéga jellemzői A stratégiák hierarchiája A stratégia kialakítása Mekkora a stratégia súlya? A tervezés lépései A tervezés összetevői A biztonságtervezési folyamat A tervezés lépései 2

IT bizt. management szabványok IT biztonsági menedzsment szabványok 3 ISO/IEC 27000 Information security management systems Overview and vocabulary ISO/IEC 27001 Information technology - Security Techniques - Information security management systems Requirements ISO/IEC 27002 Code of practice for information security management ISO/IEC 27003 Information security management system implementation guidance ISO/IEC 27004 Information security management Measurement ISO/IEC 27005 Information security risk management ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27007 Guidelines for information security management systems auditing (focused on the management system) ISO/IEC TR 27008 Guidance for auditors on ISMS controls (focused on the information security controls)* ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014 Information security governance. Mahncke assessed this standard in the context of Australian e-health ISO/IEC TR 27015 Information security management guidelinesfor financial services* ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC 27031 Guidelines for information and communication technology readiness for business continuity ISO/IEC 27032 Guideline for cybersecurity ISO/IEC 27033-1-5 Network security - Part 1: Overview and concepts ISO/IEC 27033-2 Network security - Part 2: Guidelines for the design and implementation of network security ISO/IEC 27033-3 Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues ISO/IEC 27033-5 Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) ISO/IEC 27034-1 Application security - Part 1: Guideline for application security ISO/IEC 27035 Information security incident management ISO/IEC 27036-3 Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence ISO 27799 Information security management in health using ISO/IEC 27002. The purpose of ISO 27799 is to provide guidance to health organizations and other holders of personal health information on how to protect such information via implementation of ISO/IEC 27002. ISO/IEC 27017 Information security management for cloud systems ISO/IEC 27019 Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry ISO/IEC 27033 IT network security, a multi-part standard based on ISO/IEC 18028:2006 (parts 1-3 are published already) ISO/IEC 27036 Guidelines for security in supplier relationships ISO/IEC 27038 Specification for redaction of digital documents ISO/IEC 27039 Intrusion detection and protection systems ISO/IEC 27040 Guideline on storage security ISO/IEC 27041 Assurance for digital evidence investigation methods ISO/IEC 27042 Analysis and interpretation of digital evidence ISO/IEC 27043 Digital evidence investigation principles and processes Adat és Információvédelmi Mesteriskola Alapelvek

A PDCA ciklus A PDCA ciklus Plan A PDCA-t menedzsment területen elterjedten használják Deming ciklus Act 1950: Dr. W. Edwards Deming Ez valójában egy spirál. Az időtengely a lapra merőleges. Check Do TBEV Tervezés Bevezetés Ellenőrzés Végrehajtás Időnként OPCDA (O=Observation) 4 Adat és Információvédelmi Mesteriskola Alapelvek

A PDCA ciklus A PDCA ciklus Plan A tervezés az elvárt teljesítmény, valamint az ennek eléréséhez szükséges célkitűzések és folyamatok meghatározása. Az elvárt eredmény meghatározásával a specifikáció teljessége és pontossága is a kitűzött fejlődés részévé válik. A meglévő folyamat kulcsproblémáinak és a kijavítás lehetőségeinek meghatározása. (Amennyiben lehetséges, érdemes kis lépésekkel kezdeni a fejlesztést a lehetséges hatások tesztelése érdekében.) Do A cselekvés a terv végrehajtását, a folyamatok elindítását, a termék elkészítését jelenti. Fontos eleme az adatok összegyűjtése is, amelyek az ellenőrzés és beavatkozás lépésekben történő elemzési és ábrázolási feladatokhoz szükségesek. 5 Adat és Információvédelmi Mesteriskola Alapelvek

A PDCA ciklus A PDCA ciklus Ch ec k Act 6 Az ellenőrzés az aktuális eredmények tanulmányozása (amelyeket a cselekvés lépésben mértünk és gyűjtöttünk össze) és összevetése az elvárt eredményekkel (amelyeket a tervezés lépésben határoztunk meg). E lépés során a tervezés és a végrehajtás közötti eltéréseket keressük, valamint megvizsgáljuk a tervet abból a szempontból, hogy mennyire megfelelő és teljes a megvalósíthatóság szempontjából. Az összegyűjtött adatok ábrázolásával a folyamat egyszerűbbé tehető, szemléletesen bemutathatóak az ismételt PDCA ciklusok trendjei. Az adatok így információvá alakíthatók, amelyre szükség van a beavatkozáshoz. Az aktuális és a tervezett eredmények közti jelentős eltérések fennállása esetén korrekciós intézkedéseket kell bevezetni, ez a beavatkozás lépése. A különbségek vizsgálata során meg kell állapítani, hogy elsődlegesen mi okozza ezeket. Ezt követően meg kell határozni, hogy hol szükséges a változtatásokat végrehajtani, amely magában foglalja a folyamat vagy a termék fejlesztését is. Adat és Információvédelmi Mesteriskola Alapelvek

Kérdések Időtáv 3-5év Vezérfonal a tervezéshez Vezérfonal a tervezéshez: Informatikai biztonsági stratégia 1. Stratégia: célok eléréshez szükséges eszközök (erőforrások) és módszerek 2. Célok: a legfontosabb törekvések közepes vagy hosszú időhorizontot figyelembe véve 3. 3. Az informatikai biztonsági stratégia a szervezet általános (üzleti, működési) stratégiájának része Jelen állapot Stratégiai tervek Célok A szervezet jelen állapota, a kiindulópont a stratégia megvalósításához Akciók a stratégiai elképzelések megvalósításáról (A lehetséges akciók száma limitált.) Vízió a szervezetről, szolgáltatásairól, és kapcsolatairól Hol vagyunk most? Hová kívánunk eljutni? Hogyan juthatunk el oda? 7

Követelmények a stratégiához A szervezeti stratégia általános követelményei Célja értékteremtés Reális célok kitűzése Teljes szervezeti működés lefedése Rendszeres aktualizálás Hatékony kommunikáció Compliance: Jogszabályok, szabványok, ajánlások követése 8

A stratéga jellemzői A szervezeti stratégia általános jellemzői A jövőre fókuszál, emiatt bizonytalanságokat tartalmaz Tipikusan megjelenik benne az intuíció Rugalmas, adaptív megközelítés (a feltételek változhatnak) Tartalmaz egy víziót magáról a szervezetről Definiált akcióterveket tartalmaz Tartalmazza az elért eredmények visszaellenőrzésnek módját 9

A stratéga jellemzői A stratégia-alkotás célja az értékteremtés: szolgáltatások nyújtásának vagy termékek előállításának formájában reális célok kitűzése (KIEMELKEDŐEN NAGY KOCKÁZATOT JELENT!) megfelelő módszertan alkalmazása a teljes szervezeti működés stratégiai szintű lefedése megfelelő pozícióban levő, elkötelezett felelős rendszeres aktualizálás aktualizálás környezeti, jogszabályi és technológiai változások esetén hatékony kommunikáció összhang a szervezeti stratégia és a különböző funkcionális stratégiák között összhang a hosszú, közép és rövidtávú célok és tevékenységek között a vonatkozó jogszabályok szabványok és ajánlások figyelembe vétele (a várható változások is) az adott szakterületen tapasztalható és várható trendek figyelembe vétele partner szervezetek, versenytársak tevékenységének figyelembe vétele 10

A stratégiák hierarchiája Az általános szervezeti és funkcionális stratégiák kapcsolata Általános stratégia szintje (felsővezetői közreműködés szükséges) Üzleti, működési, stratégia Funkcionális stratégia szintje (Szakterületi kompetencia szükséges) HR stratégia Biztonsági stratégia IT stratégia Beszerzési stratégia A rész stratégiák nem izoláltak, közöttök különböző erősségű, holisztikus kapcsolatok léteznek. 11

A stratégia kialakítása Az általános szervezeti stratégia kialakítása Vízió, elképzelés a szervezet által nyújtandó szolgáltatásokról Stratégiai tervek végrehajtása és mérése Piac, lehetőségek, technológiák elemzése Stratégiai tervek készítése Megvalósítandó célok azonosítása Stratégiai döntések a megvalósítandó célokról 12

Mekkora a stratégia súlya? Az IT stratégia súlya a szervezetben A fejlesztendő rendszerek stratégiai hatása (jövő) Kicsi Nagy Támogató Alakuló Termelési Stratégiai 13

A tervezés lépései Az IT stratégia tervezése Piac, lehetőségek, technológiák elemzése Szervezeti (üzleti) stratégia Stratégiai tervek végrehajtása és mérése A jelenlegi állapot felmérése (érettségi modell) Stratégiai tervek készítése Nyújtandó IT szolgáltatások azonosítása Stratégiai döntések a megvalósítandó IT szolgáltatásokról 14

A tervezés lépései Az IT érettségi szintek helyzetfeltáráshoz Az érettségi modellekről még Gartner IT érettségi modell 15

A tervezés összetevői Az IT stratégia összetevői Biztonság Alkalmazások Technológia Menedzs -ment 16

A tervezés összetevői Példák IT biztonsági célokra Complience Hardening Teszetelés, monitorozás Kommunikáció Kompetencia Negatív hatások minimalizálása 17

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Minden szervezetben szükség van-e stratégiai tervezésre? 2. Lehetséges-e IT stratégiát kidolgozni általános (üzleti, működési) stratégia hiányában? 3. Milyen más stratégiákból vezethető le az IT biztonsági stratégia? 4. Soroljunk fel elképzelt konkrét IT biztonsági stratégiai célokat! 5. Soroljon fel olyan tényezőket amelyeket a compliance, mint IT biztonsági cél eléréséhez tekintetbe kell venni! 18

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai stratégia kidolgozása a felsővezetés feladata.. b. Minden szervezetnek kell informatikai biztonsági stratégiával rendelkeznie.. c. Az informatikai biztonsági stratégia legalább 10 éves időhorizontot kell, hogy átfogjon. d. Az ITIL szerint minden szervezetnek szükséges részletes IT stratégiai tervezést végezni. e. A szervezet IT stratégiáját az üzemeltető informatikusok végzik. f. A szervezetek IT stratégiája néhány szakértő bevonásával általában kevesebb, mint egy nap alatt elkészíthető. g. Nincs szükség IT biztonsági stratégiára, az informatikai stratégiának kell tartalmaznia az IT biztonsági stratégiát. 19

ACTIVITY Meglevő IT stratégia-részlet értékelése 20

ACTIVITY SWOT elemzés létező vagy fiktív szervezetről Erősségek Gyengeségek SWOT Lehetőségek Fenyegetések 21

Alapvetések A megfelelő tervezésnek szükséges feltételei vannak (1) 1.Elkötelezett menedzsment 2.Standard-ek szerinti módszertan alkalmazása 3.Rendszer és folyamatszemléletű tervezés 4.Top-down megközelítés Kockázatarányos védelem kialakítása 5.Egyenszilárdság elvének betartása az ellen nem véd - Szalacsi Sándor 22 Adat és Információvédelmi Mesteriskola Alapelvek

Alapvetések A megfelelő tervezésnek szükséges feltételei vannak (2) A védelemnek minden ponton azonos erősségűnek kell lennie. 23 Adat és Információvédelmi Mesteriskola Alapelvek

Alapvetések Idézet a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról c. törvényből Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. 24 Adat és Információvédelmi Mesteriskola Alapelvek

A biztonságtervezési folyamat A tervezési folyamat never ending story Start Konkrét védelmi intézkedések Helyzetfeltárás Veszélyforrás analízis Döntés a kezelendő kockázatokról Javaslat azonnali intézkedésekre (opcionális) Kockázat-elemzés 25 Adat és Információvédelmi Mesteriskola A tervezési folyamat

A tervezés lépései Az IT biztonság megvalósításának lépései (1) 1. Helyzetfeltárás (környezet) 6. Konkrét védelmi intézkedések 2. Veszélyforrás analízis (a relevánsak) 5. Döntés a kezelendő kockázatokról 3. Javaslat azonnali intézkedésekre 4. Kockázatelemzés 26 Adat és Információvédelmi Mesteriskola

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Mit jelent az egyenszilárdság elve? 2. Milyen lépéseket kell végrehajtani az IT biztonság tervezése során? 3. Mi a helyzetfeltárás célja az IT biztonság tervezésiének folyamatában? 4. Mi a veszélyforrás analízis célja az IT biztonság tervezésiének folyamatában? 5. Mi a kockázatelemzés célja az IT biztonság tervezésének folyamatában? 27

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység. e. Az informatikai biztonság tervezése a tanúsítás megszerzésével ér véget. f. Az IT biztonság tervezése a top down megközelítés szerint történik. g. Az IT biztonság tervezése a bottom up megközelítés szerint történik. h. Az IT biztonság tervezése szabályzatok írását jelenti. 28

Köszönöm a figyelmet! 29