BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT



Hasonló dokumentumok
SLA RÉSZLETESEN. 14. óra

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

SZOLGÁLTATÁS BIZTOSÍTÁS

SZOLGÁLTATÁS MENEDZSMENT

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Az informatikai katasztrófa elhárítás menete

Üzletmenet folytonosság Üzletmenet? folytonosság?

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

Üzletmenet folytonosság menedzsment [BCM]

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Kossa György elnök-vezérigazgató címzetes egyetemi docens Az OKF Iparbiztonsági Tanácsadó Testület Elnöke

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Headline Verdana Bold

A KELER csoport. Rendkívüli helyzetek kezelésére vonatkozó szabályzata

Az es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

BIZTONSÁGI AUDIT. 13. óra

Informatikai prevalidációs módszertan

A KELER csoport. Rendkívüli helyzetek kezelésére vonatkozó szabályzata

IT biztonsági törvény hatása

Az ITIL egyszeruen. avagy. híd

Jogalkotási előzmények

IT Stratégia rövid definíció

A Bankok Bázel II megfelelésének informatikai validációja

Nyomtatási rendszer szolgáltatás - SLA

3., A gépek biztonsági követelményei és megfelelőségének tanúsítása

Bevezetés az Informatikai biztonsághoz

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

Információbiztonság fejlesztése önértékeléssel

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Információ menedzsment

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

A KKV-k felkészülésének feladatai a GDPR alkalmazására (szabályzatok, tájékoztatók, nyilvántartások és oktatások) Tóth Szilárd

Tudjuk-e védeni dokumentumainkat az e-irodában?

Csanytelek Község Önkormányzat évi Ellenőrzési Programja

Katasztrófavédelmi Igazgatás rendszer változásai 1976-tól napjainkig különös tekintettel a védelemben résztvevő szervezetekre

Bevezetés. Adatvédelmi célok

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

30 MB INFORMATIKAI PROJEKTELLENŐR

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

A BUDAPESTI ÉRTÉKTŐZSDE ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG MŰKÖDÉSI KOCKÁZATKEZELÉSI SZABÁLYZATA

(Minőségirányítási eljárás)

A vezetőség felelősségi köre (ISO 9001 és pont)

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Információbiztonság irányítása

PSZÁF - IT kockázatkezelési konferencia IT szolgáltatások megfelelőségének biztosítása Mátyás Sándor Belső Ellenőrzés

8-1. melléklet: A felszíni vízvédelmi szabályozás felülvizsgálatának tervezete

A LICENSZGAZDÁLKODÁS ÚTVESZTŐI. Gintli Sándor - Neubauer János

IT üzemeltetés és IT biztonság a Takarékbankban

INFORMATIKAI FELADATOK ÉS IR MŰKÖDTETÉS

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

J A V A S L A T Ózd Kistérség Többcélú Társulása évi stratégiai ellenőrzési tervének elfogadására

Informatikai Biztonsági szabályzata

1. célhoz kötöttség elve 2. az adatkezelés jogalapja 3. adat megőrzésének ideje 4. egyértelmű, részletes tájékoztatás 5. hozzájárulás 6.

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE

Ellenőrző lista: Útmutató képzési stratégia kiválasztásához kis- és közepes vállalkozások számára

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Aktualitások a minőségirányításban

XXIII. MAGYAR MINŐSÉG HÉT

A villamos energia ellátás javítása érdekében tett intézkedések az ELMŰ-ÉMÁSZ Társaságcsoportnál

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Tisztelt Képviselő-testület!

Katasztrófavédelmi felkészítés

Összeállította Horváth László egyetemi tanár

MELLÉKLET. a következőhöz:

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

TÜV Rheinland Intercert Kft. Dr. Szádeczky Tamás. Kooperatív délután Óbudai Egyetem Neumann János Informatikai Kar december 1.

Közbiztonsági referensek képzése

IVÓVÍZBIZTONSÁGI TERVEK KÉSZÍTÉSE

Logisztikai műszaki menedzser-asszisztens

5. Témakör TARTALOMJEGYZÉK

A kiszervezett tevékenységek köre és a kiszervezett tevékenységet végzők jegyzéke

IRÁNYTŰ A SZABÁLYTENGERBEN

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

IGÉNY- ÉS PORTFOLIÓMENEDZSMENT

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

TANTÁRGYI ADATLAP I. TANTÁRGYLEÍRÁS

DW 9. előadás DW tervezése, DW-projekt

Informatikai biztonsági elvárások

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

MŰHELYMUNKA. ISO 9001 kockázatmenedzsment

Közbiztonsági referensek képzése

Katasztrófavédelmi Műveleti Tanszék Javaslatai a szakdolgozat címjegyzékéhez 2016/2017-es tanévre

INTÉZMÉNYI TANFELÜGYELET ÉRTÉKELÉSE ALAPJÁN INTÉZMÉNYI ÖNFEJLESZTÉSI TERV NAGYMÁNYOK

Projektmenedzsment sikertényezők Információ biztonsági projektek

Cloud Akkreditációs Szolgáltatás indítása CLAKK projekt. Kozlovszky Miklós, Németh Zsolt, Lovas Róbert 9. LPDS MTA SZTAKI Tudományos nap

itsmf Magyarország Szeminárium november 6. ITIL, Wiki és Pareto találkozása a request fullfillment fejlesztése érdekében

Tartalom. Informatikai biztonsági stratégia

Információs rendszerek Információsrendszer-fejlesztés

Tűzvédelem. A biztonságtudomány integrált és komplex összetevői

A CRD prevalidáció informatika felügyelési vonatkozásai

E L Ő T E R J E S Z T É S

Pécsi Tudományegyetem Közgazdaságtudományi Kar

Átírás:

10. óra BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH) Óbudai Egyetem, Neumann Informatikai Kar, 2015

Óbudai Egyetem, Neumann Informatikai Kar, 2015 2 IT Biztonság definíciója Informatikai biztonság alatt valamely informatikai rendszer azon állapota értendő, amelyben a kockázatokat amelyek ezen informatikai rendszer bevezetésekor a fenyegető tényezők alapján adottak elfogadható intézkedésekkel elviselhető mértékűre csökkentettük. A biztonság nem állapot, hanem folyamat (Bruce Schneier) Az IT biztonság megteremtésének alapvető eszközei IT Biztonságpolitika hosszabb távú célkitűzések, statikus IT Biztonsági Szabályzat (IBSZ) folyamatos követő változtatások Az IT biztonsági feladatok fenti megosztása átláthatóbbá, hatékonyabbá teszi az IT menedzsment folyamatát. Mivel kijelöli a vezetőség és a végrehajtók elkülönült feladatait.

Óbudai Egyetem, Neumann Informatikai Kar, 2015 3 IT Biztonságpolitika Biztonságpolitika kidolgozója/jóváhagyója = felsővezető/ceo Biztonsági alapelvek megfogalmazása Vezetői feladatok definiálása Nem foglalkozik a megvalósítás részleteivel, hanem Meghatározza a védekezés által elérendő célokat A célok eléréséhez szükséges főbb vezetői teendők mibenlétét Rendelkezik a kockázatok áthárításának mikéntjéről Biztosítás, avagy felelősség áthárítás vevő/beszállító partnerre Biztosítás ritka, mert nehéz a kárt előre számszerűsíteni Az előzetes felmérések komoly szaktudást igényelnek (pl. min. védelem meghat.) Nehezen bizonyítható a káresemény bekövetkezte (nem szándékos volta) Azonosítja a felvállalt (már ismert) kockázatok körét Bonyolult feladat, könnyű teljesíthetetlen célokat kitűzni A lehetetlen célok kitűzése rontja a végrehajtás hatékonyságát A túlzott igények elvárása határtalanul megnöveli a költségeket

Óbudai Egyetem, Neumann Informatikai Kar, 2015 4 IT Biztonsági Szabályzat (IBSZ) Informatikai Biztonsági Szabályzat (IBSZ) Utasítás szintű konkrét feladat meghatározások Széleskörű szakmai ismereteket feltételez, folyamatosan módosul Rendelkezik a szabályok betartásának (kül/bel-ső) ellenőrzéséről is IT munkaköröket definiál (Szervezeti Szabályzatban is definiálni!) Szervesen illeszkedjen a vállalat egyéb szabályozási rendszerébe Az IBSZ kialakítását befolyásoló tényezők Adatvédelmi törvények, irányelvek Ágazati, tárcaszintű elvárások, utasítások (pl. titoktartási elvárások) Műszaki szabványok, normatívák, rendeletek Helyi (házi) szabályzatok, szokások

Óbudai Egyetem, Neumann Informatikai Kar, 2015 5 Az IBSZ tartalma Csak általános kitételek adhatók, helyi viszonyok függvénye Rendelkezzen az IBSZ minősítéséről titkos, nyilvános, stb. Határozza meg az IBSZ hatókörét (HW/SW/szervezet egységek) Rendelkezzen a kapcsolódó szabályozások köréről Határozza meg az egyes elemek konkrét védelmi intézkedéseit Infrastruktúrához kapcsolódó (fizikai védelem, áramellátás ) Hardverekhez kapcsolódó (csere, tárolás, spec. eszközök kezelése ) Adathordozókhoz kapcsolódó (backup stratégia, nyilvántartási rend ) Dokumentumokhoz kapcsolódó (leírások, logok, felhasználói adatok ) Szoftverekhez kapcsolódó (verzióváltás, vírusellenőrzés, programfejlesztési/tesztelési előírások ) Adatokhoz kapcsolódó (személyes adatok kezelése, adatellenőrzés ) Kommunikációhoz kapcsolódó ( adatzsilipelés, adat ki/be szállítás ) Személyekhez kapcsolódó (felelősségi körök, munkafolyamatok ) Definiálja az üzemeltetés folyamatait, munkaköreit, felelősségeit

Óbudai Egyetem, Neumann Informatikai Kar, 2015 6 IT Katasztrófák elhárítása Tekintettel fontosságára, külön irányelvek vonatkoznak rá Előzetes felkészülés nélkül pánikhelyzet alakulhat ki Néhány alapvető fogalom magyarázata Informatikai katasztrófa bekövetkezése Informatikai katasztrófa elhárítása

Óbudai Egyetem, Neumann Informatikai Kar, 2015 7 Katasztrófákkal kapcsolatos fogalmak Katasztrófa-ok Azon ok, melynek hatására a rendszer normál működése leállhat, ha nem teszünk semmit Katasztrófa helyzet Katasztrófa-ok bekövetkeztétől a minimális működés visszaállításáig eltelt időszak Informatikai katasztrófa IT rendszer működése annyira sérül, hogy az üzleti folyamatok elviselhetetlen károkat szenvednek Visszaállítás (Recovery) a legkritikusabb, minimálisan szükséges rendszerműködés legrövidebb időn belüli visszaállítása Helyreállítás (Restoration) a teljes informatikai rendszer normál működési állapotának helyreállítása Sebezhetőségi ablak az az időszak, ameddig az IT rendszer leállása/degradációja elviselhetetlen üzleti következmények nélkül tolerálható

Óbudai Egyetem, Neumann Informatikai Kar, 2015 8 Katasztrófa-elhárítási módszertanok 1 DRP Disaster Recovery Plan Katasztrófa-elhárítási terv IT rendszerek védelmére, hangsúlyai: megelőző intézkedések (pre disaster activities) halmaza katasztrófahelyzetben végzett visszaállító tevékenységek (disaster recovery activities) halmaza katasztrófahelyzet elhárítását követő helyreállításra (post disaster activities) koncentrálnak; kiegészítő tevékenységek halmaza (követelmények feltérképezése, katasztrófa-elhárítás tesztelése, oktatás, rendszeres karbantartás) BCP Business Continuity Plan DRP-n túl ideiglenes üzleti folyamatokat is definiál a sebezhetőségi ablak megnyújtása érdekében BRP Business Recovery Plan Hasonló a BCP-hez, de annál kevésbé terjed ki az üzleti folyamatokra

Óbudai Egyetem, Neumann Informatikai Kar, 2015 9 Katasztrófa-elhárítási módszertanok 2 BIA Business Impact Analysis Üzleti hatásmechanizmus elemzés, célja az üzleti folyamatok IT-től függésének megállapítása, vagyis az egyes alkalmazásokkal szemben támasztott sebezhetőségi ablak meghatározása (ideje) Másként: az IT rendszer legrosszabb visszaállítási ideje esetében milyen hatások várhatók az üzleti folymatokban Backup-Recovery Strategy Mentés-Visszaállítás Terv Biztonsági mentések ütemezésével kapcsolatos döntés-halmaz Eldöntendő kérdések (minden rendszerre külön-külön): mentés ideje, időtartama gyakorisága visszaállítás ideje, időtartama adatvesztés mértéke (ha van)

Óbudai Egyetem, Neumann Informatikai Kar, 2015 10 Katasztrófa-elhárítási terv Katasztrófa-elhárító módszertanok végeredménye Katasztrófahelyzettel kapcsolatos legfontosabb teendők Minimális tartalma (napra-készen aktualizálva!): Katasztrófa-elhárításban résztvevők meghatározása (adataik!) Felelősségi, döntési jogkörök meghatározása Felkészülési tevékenységek definiálása biztonsági mentés stratégia, tartalék eszközök listája Visszaállítási tevékenységek meghatározása ki jogosult a katasztrófahelyzet elrendelésére, riadóztatási lánc, visszaállítás ütemterv, minimálisan szükséges funkciók/szolgáltatások listája, visszaállításhoz szükséges konkrét információk/technikai adatok, ellenőrző lista (check list) az újraindítás megfelelő elvégzésének eldöntéséhez. Helyreállítási tevékenységek meghatározása a helyreállítandó funkciók, szolgáltatások listája, a helyreállításban részt vevő személyek és feladataik, adatvesztés pótlásának, az adatbázisok konzisztenciabiztosításának módja Tesztelési útmutató Oktatási terv Karbantartási terv

Óbudai Egyetem, Neumann Informatikai Kar, 2015 11 Tesztelés, oktatás, karbantartás Tesztelés A katasztrófa-védelmi terv tesztelés nélkül értéktelen Ezért el kell érni a tervek gyakorlati ellenőrzését Ez nehézségekbe ütközhet, mivel nincs teljes értékű pót-rendszer A teszt menetét (egyes lépések idejét) dokumentáljuk elemzésekhez Oktatás A K-V terv tartalmát meg kell ismertetni az érintettekkel Az oktatás segít a tudatosság, a biztonsági szemlélet kialakításában Karbantartás A K-V terv folyamatos aktualizálása létkérdés Minimálisan ½-1 évenként felül kell vizsgálni A teljes felülvizsgálat ellenőrzése felsővezetői kompetencia

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés