IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS

Hasonló dokumentumok
30 MB FIZIKAI VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK. Adat és Információvédelmi Mesteriskola. Dr. Beinschróth József

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE III.: KOCKÁZATELEMZÉS

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Az ISO es tanúsításunk tapasztalatai

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

TŰZVÉDELMI JEGYZŐKÖNYV

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TŰZVÉDELMI JEGYZŐKÖNYV

IT rendszerek üzemeltetésének fizikai biztonsági követelményei

Változások folyamata

Tudjuk-e védeni dokumentumainkat az e-irodában?

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc

30 MB INFORMATIKAI PROJEKTELLENŐR

TŰZVÉDELMI JEGYZŐKÖNYV

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

A BEREGSZÁSZI PÁL SZAKKÖZÉPISKOLA ÉS SZAKISKOLA SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZATA 24. SZÁMÚ MELLÉKLET

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Fókuszban az információbiztonság

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Rendkívüli felülvizsgálat és karbantartás

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

30 MB INFORMATIKAI PROJEKTELLENŐR IT RENDSZEREK ÜZEMELTETÉSE ÉS BIZTONSÁGA DR. BEINSCHRÓTH JÓZSEF

Üzletmenet folytonosság menedzsment [BCM]

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

IT biztonsági törvény hatása

A Bankok Bázel II megfelelésének informatikai validációja

SZÉCHENYI ISTVÁN TÉRSÉGI INTEGRÁLT SZAKKÉPZŐ KÖZPONT MISKOLC KULCS-NYILVÁNTARTÁS ÉS KULCSKEZELÉSI SZABÁLYZATA

cime

Intelligens biztonsági megoldások. Távfelügyelet

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE V.: AZ IT BIZTONSÁGI AUDIT

TŰZVÉDELMI JEGYZŐKÖNYV

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

A szabványos minőségi rendszer elemei. Termelési folyamatok

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Bevezetés. Adatvédelmi célok

4. Napirend ELŐ TERJESZTÉS évi belső ellenőrzési terv

Informatikai biztonsági elvárások

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Informatikai Biztonsági szabályzata

Jogalkotási előzmények

Az információbiztonság egy lehetséges taxonómiája

Belső és külső kommunikáció standard

Legjobb gyakorlati alkalmazások

Az informatikai katasztrófa elhárítás menete

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Költséghatékony karbantartás tervezése: Hogyan kezeljük a nem várt költségeket?

Tűzvédelmi Műszaki Megfelelőségi Kézikönyv

RESORT SZERVER-MONITOR Technológia- és távfelügyeleti rendszerek az informatikában

Hidak építése a minőségügy és az egészségügy között

TERVEZETT FELADATOK LEÍRÁSA

32. NEVES Betegbiztonsági Fórum

VT - MMK Elektrotechnikai tagozat Villámvédelem. #1. Szabvány és jogszabályi környezet változása, dokumentálás.

Az üzemeltetéshez kapcsolódó jogszabályi környezet bemutatása

Az EMC védelem aktuális kérései az EU szabványok tükrében

BIZTONSÁGTECHNIKAI ÚTMUTATÓ A BETÖRÉSES LOPÁS-RABLÁSBIZTOSÍTÁSI KOCKÁZATOK KEZELÉSÉRE. C.3. fejezet

BUDAPESTI MŰSZAKI FŐISKOLA SZERVEZETI ÉS MŰKÖDÉSI REND KIEGÉSZÍTÉSE KOLLÉGIUM

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

A minőség és a kockázat alapú gondolkodás kapcsolata

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Headline Verdana Bold

Kincsem Park (biztonsági rendszerterv vázlat)

3., A gépek biztonsági követelményei és megfelelőségének tanúsítása

TŰZVÉDELMI JEGYZŐKÖNYV

Előterjesztés Bicske Város Önkormányzata évi belső ellenőrzési tervének jóváhagyásáról

Muha Lajos. Az információbiztonsági törvény értelmezése

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Informatikai rendszerekkel támogatott folyamatok működésfolytonossági kérdései a védelmi szférában

Üzletmenet folytonosság Üzletmenet? folytonosság?

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

A CRD prevalidáció informatika felügyelési vonatkozásai

Szentes Város Polgármesterétől 6600 Szentes, Kossuth tér 6.

Beépített tűzjelző berendezés üzemeltetési és karbantartási napló

YAC-A fűtés nélküli légfüggöny

Egymástól tanulni a TMMK-ról. V. TMKE Tűzvédelmi Konferencia Balatonföldvár február 4-5. Mire jó a TMMK? Előzmények-tapasztalatok

2. A évi ellenőrzési terv jóváhagyása december 13. ELŐTERJESZTÉS

Könyvvizsgálói jelentés

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Németh Ágota informatikai főosztályvezető Baranya Megyei Kormányhivatal 20/ , 72/

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

Versenyképesség és az innovatív vagyonvédelem

Szoftverminőségbiztosítás

TŰZVESZÉLYESSÉGI OSZTÁLYBA SOROLÁS

SZOLGÁLTATÁS BIZTOSÍTÁS

Tanszék Építéskivitelezés szervezés 2 1. rész Projektek erőforrásai (9. Ressource) Horváth György

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

MAGYAR KÉPZŐMŰVÉSZETI EGYETEM

Informatikai projektellenőr szerepe/feladatai Informatika / Az informatika térhódítása Függőség az információtól / informatikától Információs

A BIZTONSÁGINTEGRITÁS ÉS A BIZTONSÁGORIENTÁLT ALKALMAZÁSI FELTÉTELEK TELJESÍTÉSE A VASÚTI BIZTOSÍTÓBERENDEZÉSEK TERVEZÉSE ÉS LÉTREHOZÁSA SORÁN

Kahr Csaba ügyvezető igazgató dr. Bánhelyi Balázs egyetemi adjunktus

Átírás:

30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE II.: HELYZETFELTÁRÁS ÉS VESZÉLYFORRÁS ANALÍZIS 2018. 09. 24.

Tartalom Alapvetések Követelmények a szerver szobára A jelentés Veszélyforrások értékelése Azonnali intézkedések Jogszabályok 2018. 09. 24. 2

Alapvetések A helyzetfeltárás jellemzői (1) Cél Az aktuális állapot és feltételek rögzítése a releváns ajánlások előírásainak alapján. A gyengeségek és kockázatok feltárása (a kockázatelemzés előkészítése) Feltételek Jogszabályi feltételek Üzleti elvárások Szervezet és működés Humán politika Informatikai erőforrások (Már megtett intézkedések) (Baseline) 3

Alapvetések A helyzetfeltárás jellemzői (2) Módszer Szemlék (Előre definiált szempontok alapján) Bejárások Interjúk (Előre előkészített kérdések - félig strukturált interjú, nyitott kérdések) Dokumentum tanulmányozások Eredmény Helyzetfeltárási jelentés 4

Alapvetések A helyzetfeltárás során az aktuális állapotot és számos szempontot kell figyelembe kell venni Jogszabályi feltételek, belső szabályok, szerződési kötelezettségek Üzleti elvárások, szolgáltatási szintek Működési folyamatok Informatikai szervezet, humán politika Informatikai erőforrások Meglevő védelmi intézkedések, korábbi auditok eredményei 5

Követelmények a szerver szobára Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (1) Fizikai környezet Melyek az elhelyezkedés jellemzői (a közelben van-e repülőtér, vasút, veszélyes anyaggal dolgozó üzem, benzinkút, folyó stb.) A közelben vannak-e éghető anyagok (pl. papírraktár)? Milyen a megközelíthetőség (telephely, épület, emelet stb.) és védelmek (sorompó, portaszolgálat stb.)? Alternatív megközelítési lehetőség van-e? Melyek a bejutási lehetőség korlátai (mechanikai védelmek: ajtó kivitele, rács, zár, kulcs, beléptető kártya, kód, élőerős védelem stb.)? Bejutási lehetőség kerülő úton (szellőző, ablak, vészkijárat stb.) lehetséges-e? A környezetben riasztó, infra érzékelő rendszerek, ZTV (zártláncú TV rendszer) stb. vannak-e telepítve? Vannak-e jelzések a telephelyen, amelyek alapján idegenek eljuthatnak a szerverszobához? 6

Követelmények Alapvetések a szerver szobára Milyen a megfelelő szerver szoba? (2) Építészeti/ épületgépészeti kialakítás Melyek a kialakítás jellemzői (álmennyezet, álpadló (antisztatikus), ablak, falak)? Épületgépészet jelenléte (vízvezeték, szennyvíz, szellőzőcső) megtalálható-e? Hogyan történik a megfelelő légállapot biztosítása (szellőzés, klíma független klíma rendszerek, áramszünet utáni újraindulás, külső kapcsolhatóság)? Hogyan történik az esetleges magas hőmérséklet érzékelése és a szükséges riasztás? Megvalósul-e a füst és tűzérzékelés (érzékelő, automatikus oltás, riasztás), ill. a nedvességérzékelés? A dohányzás tiltott-e, ill. a tiltás betartása ellenőrzött-e? 7

Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (3) Belső rend/ berendezések Jellemző-e a zsúfoltság, azonosíthatóak-e a berendezések? Idegen anyagok (raktár céljára történő használat) ill. éghető anyagok megtalálhatók-e (tipikusan nagy mennyiségű papír)? Idegen (harmadik félhez tartozó) berendezések vannak-e elhelyezve? Előfordulhat-e rágcsálók megjelenése a szerverszobában? Hogyan valósul meg a szünetmentes táplálás? (Milyen rendszer, mennyi ideig elegendő?) Milyen a kábelezés kialakítása (strukturált kábelezés, kábelrendezők)? Milyen az erősáramú betáplálás kialakítása (kábelezés, aljazok normál, megerősített, szünetmentes) Hogyan valósul meg az EMC (elektromágneses kompatibilitás), árnyékolás, földelő rendszer? 8

Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (4) Munkavégzés/ szabályozás Folyamatos munkavégzés, folyamatos jelenlét megvalósule? Idegenek felügyelet nélkül tartózkodhatnak-e a szerverszobában (takarítók, upgrade-et végző külső munkatársak stb.)? Szabályozott-e a szerverszoba üzemeltetés, létezik-e szerver szoba üzemeltetési szabályzat beléptetés rendje, belépések naplózása, takarítás, üzemzavarok kezelése, tevékenységek szabályozása, idegen tevékenységek felügyelet stb. Tiltott e a szerverszobában az étkezés ill. italfogyasztás, spec. eszközök (pl. hőlégfúvó) használata? A berendezések tisztítása, takarítás rovar és rágcsálóirtás hogyan történik? Hogyan kerülnek be az új berendezések a szerverszobába? A bekerülés előtt van-e ellenőrzés? Szabályozott-e a fényképezés, videofelvétel készítés? 9

Követelmények a szerver szobára Milyen a megfelelő szerver szoba? (5) Tartalékok, redundanciák A mentések megvalósítása, tárolásuk hogyan történik? Hogyan, mennyi idő alatt vehetők használatba a tartalék eszközök és berendezések? Milyen összetevők vannak redundánsan kialakítva? Alternatív szerver szoba, alternatív berendezések. Az összes kritikus berendezés egyetlen helyiségben van? Megvalósul-e georedundancia?. 10

A jelentés Példa helyzetfeltárási jelentés szerkezetére A szerkezet kialakítása során célszerű standardot követni Biztonsági politika Az információbiztonság szervezete Vagyontárgyak kezelése Emberi erőforrások biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés irányítása Hozzáférés-ellenőrzés Az információs rendszerek beszerzése, fejlesztése és karbantartása Az információbiztonsági incidensek kezelése A működés folytonosságának irányítása Megfelelőség ISO27001 korábbi változat szerkezete 11

ACTIVITY Esettanulmány feldolgozás 1. Teljesség 2. Hiányosságok 3. Vitatható megállapítások 4. Korrekciók 5. Módosítási javaslatok 6. Kiegészítési javaslatok 2018. 09. 24. 12

Veszélyforrások értékelése Veszélyforrás analízis: első lépcsős szűrés Cél Annak meghatározása, hogy az általánosan ismert veszélyforrások az adott szervezet esetén relevánsnak tekinthetők-e Találhatók-e megfelelő védelmi intézkedések (kontrollok) az egyes veszélyforrásokhoz? A védelmi intézkedések gyakorlata összhangban van-e az előírásokkal? (Korábbi audit következményei) Módszer Az alábbiak összevetése a Best practice alapján Az általánosan ismert veszélyforrások A helyzetfeltárási jelentésben szereplő tények Eredmény Az egyes veszélyforrások részletes elemzését tartalmazó veszély-forrás analízis dokumentum amely megadja a szervezet szempontjából tényleges fenyegetést jelentő veszélyforrásokat ill. lehetséges hatásaikat. 13

Veszélyforrások értékelése Veszélyforrás analízis: a releváns veszélyforrások meghatározása Fizikai és logikai veszélyforrások Szervezeti, működési és humán veszélyforrások Az életciklushoz kapcsolódó veszélyforrások Környezeti (árvíz, földrengés, robbanás ) Jogosulatlan fizikai és logikai hozzáférések (illetéktelen behatolás, hibás jelszóhasználati rendszer.) Berendezések fizikai meghibásodása Hiányzó szabályozások, ellenőrzések, hibás szerződések Nem megfelelő biztonsági szervezet Nem kellően lojális, nem megfelelően képzett munkatársak Nincs elkülönült fejlesztő rendszer A rendszerek átvételekor a biztonsági követelményrendszer ellenőrzése hiányzik Nem szabályozott, nem megfelelő selejtezések Megvalósított védelmi intézkedések és egyéb feltételek A szervezet szempontjából tényleges fenyegetést jelentő veszélyforrások és lehetséges hatásaik rögzítése 14 A megvalósított védelmi intézkedések és egyéb feltételek a bekövetkezési valószínűséget, illetve a hatást, az okozott kárt csökkentik!

Azonnali intézkedések Indokolt esetben: Javaslat azonnali intézkedésekre Opcionális javaslat A helyzetfeltárás ill. a veszélyforrás analízis eredményeitől függően opcionálisan javaslat azonnal végrehajtható védelmi intézkedésekre Azonnal védelmi intézkedés: Nem igényel hosszadalmas ill. részletes terveket Erőforrási-igénye nem számottevő Gyakorlatilag azonnal végrehajtható (Példa: a mentések szerverszobán kívüli tárolásának előírása) 15

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Helyzetfeltárást a szervezet életében csak egyszer kell végrehajtani. b. A veszélyforrás analízis minden szervezet esetén azonos eredményt ad, a szabványok tartalmazzák. c. A helyzetfeltárás elvégezhető a releváns dokumentumok alapos tanulmányozásával. 16

ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység. 2018. 09. 24. 17

Jogszabályok Jogszabályok Vegyünk elő egy OVI táblát és töltögessük! 18

Köszönöm a figyelmet! 2018. 09. 24. 19

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés