Az informatikai audit és biztonság jelentősége az intézmény stratégiája megvalósításában



Hasonló dokumentumok
A vállalati információrendszer biztonságának auditálása, a stratégiai megfelelés figyelembe vételével. Dr. Szenes Katalin CISA, CISM, CGEIT, CISSP

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

mi ez a CISA, CISM, CGEIT, CISSP?

Szabványok, ajánlások

Bevezetés az informatikai ellenőrzésbe Dr. Szenes KatalinSzenes 1

A felhőszolgáltatások biztonságáról: követelményekről, megoldási eszközökről

Bevezetés az informatikai ellenőrzésbe

BIZTONSÁGI AUDIT. 13. óra

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar

Információbiztonság irányítása

Bevezetés az Informatikai biztonsághoz

A CRD prevalidáció informatika felügyelési vonatkozásai

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

A SOX törvény alapjai és informatikai vonatkozásai

A Bankok Bázel II megfelelésének informatikai validációja

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A kiszervezés egy speciális esete: a felhőszolgáltatások biztonságáról követelményekről, megoldási eszközökről

Ipari hálózatok biztonságának speciális szempontjai és szabványai

Muha Lajos. Az információbiztonsági törvény értelmezése

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

A költségvetési szervek belső ellenőrzési rendszere fejlesztési tapasztalatai

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

2013 L. - tapasztalatok Antidotum 2015

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Dr. Tényi Géza Dr. Polefkó Patrik: Bizalmas információk kezelése és. adatvédelem a felhőszolgáltatásban

Az ISO es tanúsításunk tapasztalatai

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Az informatikai biztonsági kockázatok elemzése

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

IT biztonsági törvény hatása

Mi köze a minőséghez?

Identity-Powered Security. Hargitai Zsolt üzletfejlesztési vezető szeptember 30.

irányításban Teljesítménymérés

COBIT Keretrendszer I. Szikora Zsolt, DE 2008

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

A vállalat mint rendszer. Informatikai rendszerek Vállalati információs rendszerek. Üzleti kapcsolatok. Vevői információs kapcsolatok. Cég.

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

NetIQ Novell SUSE újdonságok

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

Oktatói önéletrajz Dr. Molnár Bálint

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

2013. évi L. törvény ismertetése. Péter Szabolcs

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Nemzetközi jogszabályi háttér I.

Ellenőrzési mechanizmusok, védelmi intézkedések vagy kontrollok? Hogyan mondjuk? És a szabványokban mi szerepel?

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Felelős vállalatirányítás és köztulajdon

A szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország

Bankkonferencia Visegrád, november panel: Validációs és prevalidációs tapasztalatok

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Védelmi Vonalak - Compliance

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Oracle adatkezelési megoldások helye az EA világában. Előadó: Tar Zoltán

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

Fókuszban az információbiztonság

A Bázeli Bizottság és a banki belső ellenőrzés

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

Egy atomerőmű építés beszállítójával szembeni irányítási rendszerkövetelmények

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

A CRAMM módszer alkalmazásának kiterjesztése

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

JOGI, MEGFELELŐSÉGI ELEMZÉS

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Magyarországi kis és közepes IT vállalkozások költséghatékony lehetőségei ISO szabványcsaládnak megfelelő szolgáltatásirányítási rendszerek

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Tracon Budapest Kft ISO 9001 szerinti minőségbiztosítási rendszere

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

30 MB INFORMATIKAI PROJEKTELLENŐR

ISO 9001:2015 revízió - áttekintés

Jogalkotási előzmények

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

Javadalmazási politika

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

AZ INFORMATIKAI BIZTONSÁG

INFORMATIKAI BIZTONSÁG SZAKIRÁNYÚ KÉPZÉS A BUDAPESTI MŰSZAKI FŐISKOLÁN

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Az ITIL hazai alkalmazhatóságának kérdései

Bevezetés. Adatvédelmi célok

Szabályozások és módszertanok

Informatikai biztonsági elvárások

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

I. Országgyűlés Nemzeti Adatvédelmi és Információszabadság Hatóság

Üzleti és Közszolgálati informatika szakirányok. Tanszék

Versenyelőny vagy nyűg a minőségirányítás?

Község Önkormányzata

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Átírás:

Az informatikai audit és biztonság jelentősége az intézmény stratégiája megvalósításában Dr. Univ. Szenes Katalin CISA, CISM, CGEIT, CISSP, PhD Óbudai Egyetem Neumann János Informatikai Kar szenes.katalin@nik.uni-obuda.hu 1 Miről lesz itt szó? audit / biztonság kormányzás kormányzás audit / biztonság informatikai biztonsági és ellenőrzési módszerek, módszertanok, ötletek kiterjesztése a vállalatirányítás, a működés, és a kockázatkezelés támogatására a biztonság / audit alapdefinícióinak stratégiai szintre emelése A vállalati információrendszer biztonságának követelményeit ma már piaci érvényesülés biztonság szempontjából érdemes vizsgálni a rendszerszervezés kulcsszerepe pl. módszereinek alkalmazása egyfajta megfelelőség elérésének vizsgálatára stratégia meghatározása osztályozás adat? tulajdonos... a működés 3 pillére: szervezet szabályozás technika 2 1

miért tanuljak informatikai ellenőrzést - biztonságot? én nem is biztos, hogy biztonsági munkatárs, vagy ellenőr leszek, de: Informatikusként ma már nemcsak pénzintézeteknél, nagyválalatoknál, de az ezeket kiszolgáló vállalkozásoknál is elvárják, hogy kapcsolatot tudjon tartani az informatikai ellenőrökkel, meg tudjon felelni számonkérésüknek. Ma Magyarországon is egyre jobban kiépül ez a szakterület, így egyre több szakembert keresnek ebbe a pozícióba, kisebb gyakorlattal is. Képesnek kell lenni tehát a best practice követésére. Cél: a hallgatókat felkészíteni arra, hogy o a nagyvállalatok, o a pénzintézetek, o az államigazgatás o az ezeknek dolgozó vállalkozások informatikai feladatainak megoldása során meg tudjanak felelni az informatikai ellenőrök elvárásainak, azonosítani tudják az informatikai biztonsági feladatokast, és képesek legyenek támogatni ezek megoldását és: a stratégiai célok támogatása! 3 mi ez a CISA, CISM, CGEIT, CISSP? www.isaca.org www.isc2.org www.coso.org az USA-ban alapított ISACA-tól, az Information Systems Audit and Control Association-tól: CISA Certified Information Systems Auditor, CISM - Certified Information Security Manager, CGEIT - Certified in Governance Enterprise IT az ISC2-től, a szintén amerikai International Information Systems Security Certification Consortium-tól: CISSP - Certified Information Security Professional 4 2

COSO - az ISACA módszertan egy fontos kapcsolata Committee of Sponsoring Organisations of the Treadway Commission 1985-ben alakult, a pénzügyi jelentésekkel kapcsolatos csalások nemzeti bizottságának (National Commission on Fraudulent Financial Reporting) támogatására. Ezt a bizottságot röviden gyakran csak "Treadway bizottságnak" nevezik, első elnökéről, James C. Treadway, Jr.-ról. A Treadway bizottság a magánszektor kezdeményezésére alakult. Annak alapján készít ajánlásokat a tőzsdei társaságok, azok auditorai, a SEC, és más szabályozó szervezetek, és oktatási intézmények részére is, hogy tanulmányozzák a csaló pénzügyi jelentések sajátosságait. idézet innen: 5 egyéb fontos források NIST: National Institute of Standards and Technology, USA, Department Commerce o guides, o policies, o security notices, o information quality standards,... from the nanoscale, and neutron research to the manufacturing and transportation nist.gov NASA - https://www.nasa.gov - National Aeronautics and Space Administration o nemzetközi űrállomások o utazás a Marsra o a Föld o technológiák, stb. a hackerek időnként összekeverik: NSA, NASA, NIST 6 3

egyéb fontos források PCII DSS: Payment Card Industry (PCI) Data Security Standard célok: o biztonságos hálózatok és rendszerek építése és karbantartása o a kártyatulajdonos adatainak védelme o sérülékenységkezelési program fenntartása o erős hozzáférés ellenőrzési intézkedések o a hálózatok rendszeres felügyelete és tesztelése o informatikai biztonsági irányelvek http://www.pcisecuritystandards.org 2014.12. 05. 7 egyéb fontos források SO/IEC = International Organization for Standardization / International Electrotechnical Commission ISO/IEC 17799: Information technology Code of practice for information security management Reference number: ISO/IEC 17799:2000(E) Copyright ISO/IEC 2000 ős: CCITT, BSI 7799, ISO 177999, ISO 27001,2 sok ISO szabvány, pl.: ISO/IEC 38500:2008 vállalat kormányzása - a vállalatot irányító és felügyelő rendszer 8 4

mitől divat félni? - APT egy régi, 2008-as NIST definíció, ami már sajnos nincs meg, de jó (nem pontosan szószerint): az APT - Advanced Persistent Threat: egy olyan fenyegetés, amely o összetett tapasztalatot, és jelentős erőforrásokat használ fel; o annak érdekében, hogy a célszervezet IT struktúrájában megvesse a lábát, o több támadási vektort használ egyszerre, pl. informatikai, fizikai, becsapásos,... o és, ezt felhasználva információt szerezzen, vagy: a szervezet céljai elérését veszélyeztesse vagy: megbízója számára megkönnyítse az ő - hasonló - céljainak elérését o o o tartósan / ismételten tevékenykedik alkalmazkodik a megtámadott védelmi erőfeszítéseihez, azért, hogy megmaradjon vele a kapcsolata céljai eléréséhez 9 APT példák - már 1980 körül: a Kakukktojás Cuckoo s Egg: Markus Hess, német egyetemi hallgató o a Csillagok Háborúja c. katonai program hálózatába tört be, o a KGB-nek adta el a szervzett infot Clifford Stoll (Lawrence Berkeley National Laboratory) véletlenül vette észre csapdát állított: egy hamis szerződéssel a német hatóságok találták meg, 1990-ben került börtönbe Clifford Stoll könyve: The Tracking a Spy Through the Maze of Computer Espionage Doubleday, USA, 1989 10 5

Gozi: APT példa - 2007, 2013 2007: terjedés:.pdf anyagokkal o bankokban - személyes bankolási info elfogása, módosítása böngésző forgalomba beáll o hosting szolgáltatás a Gozi anonim szétosztására célpontok: o több, mint egymillió számítógép: USA, Anglia, Németország, Lengyelország, Franciaország, Finnország, Olaszország o NASA rendszerek Nikita Kuzmin és társai, bűnözőknek adták el - 2013-as új verzió: o a merevlemez master boot recordját fertőzi úgy, hogy o formattálás, installálás nem segít 11 mi az ok? gondatlan munkából elhanyagolt infrastruktúrából eredő veszélyek! o logikai hozzáférési veszélyek jogosulatlan használat / feltárás / módosítás véletlen / rosszindulatú kár / veszteség Meg nem felelés legjobb szakmai gyakorlat v. legalább? józan ész törvényneknak szabályozás o környezeti veszélyek (fizikai biztonság is) 12 6

az infrastuktúra részei fontos: az infrastruktúrális elemek (és státuszuk) nyilvántartása: minden értelmes szinten o számítógép - és egyáltalán: a fizikai szint (kuka) o operációs rendszer o adatbázis o alkalmazás o hálózati elemek ez számítógép! o védelmi berendezés elemek ez is! o üzleti céleszközök automaták 13 megoldás: az intézményi irányítás továbbfejlesztése egy - remélhetőleg - helyesebb irányba (a biztonsági / ellenőrzési módszertanokból vett ötletekkel) 14 7

javaslat az intézményi kormányzás definíciójára Az intézmény kormányzása: annak piaci versenyképességét szolgáló irányítása, a környezethez lehető legjobban alkalmazkodó stratégia alapján, amelynek meghatározása, és rendszeres karbantartása az első számú vezető felelőssége ez a "hivatalos" definíciók javítása és kiterjesztése 15 az informatikai kormányzás definíciójára az intézmény (vállalat, közintézmény, akármi) sikeres informatikai kormányzása: a sikeres vállalati kormányzás egyik szükséges feltétele az IT (részleg + tevékenységek +... ) olyan irányítása, amely a vállalati kormányzást a felső vezetés szándékai szerint szolgálja ez a "hivatalos" definíciók javítása és kiterjesztése 16 8

a COBIT információ kritériumai (1998-2007), és az ISO szabványok kvetelményei ISO-val közös: bizalmasság - confidentiality integritás, sértetlenség - integrity rendelkezésre állás - availability a célnak való megfelelés - célravezető információ - effectiveness eredményesség - efficiency külső követelményeknek való megfelelés - compliance megbízhatóság - reliability COBIT átfogó folyamatmodellje az informatikai tevékenységeket 4 tartományra osztja: tervezés és szervezet - PO beszerzés és megvalósítás - AI kiszállítás és támogatás - DS felügyelet és értékelés - ME 17 COBIT 5 - különbségek de a COBIT erőforrások voltak: alkalmazás, infrastruktúra, emberi erőforrás az alap erőforrások, ún. enabler-ek a COBIT 5-ben már: o alapelvek, irányelvek, és munkakeretek o folyamatok o szervezeti struktúrák o szolgáltatások, infrastruktúra és alkalmazások o emberi erőforrás, képességek és kompetenciák a tartományok is összetettebbek ezekhez a jellemző célok - értékteremtés o haszon realizálás o kockázatoptimalizálás, o erőforrás optimalizálás 18 9

a COBIT - ISO információ kritériumok javítása és kiterjesztése 1. csoport jellemzi: az intézményi kormányzás minőségét a működési kiválóságot a hatékonysággal, az intézkedések célravezető jellegével, a külső és belső előírásoknak való megfeleléssel, a kockázatkezelés kiválóságával, a renddel példák a rend alkotóelemeire: dokumentáltság változáskezelés üzletmenet folytonosság tervezés / spec.: informatikai stb. 19 a COBIT - ISO információ kritériumok javítása és kiterjesztése 2. csoport jellemzi: a vagyontárgyak kezelésének kiválóságát evergreen - örökzöld CCITT, BSI 7799, ISO 177999, ISO 27001,2 ISACA CISA Review Manual, COBIT a vagyontárgy rendelkezésre állásának foka - o előre jelezhető mértékben o mérhető mértékben integritásának, és bizalmasságának megőrzése 20 10

az intézményi működés alappillér rendszere szervezet, szabályozás, technika cél: annak érdekében, hogy a módszertanom felhasználója mind a legjobb szakmai gyakorlat receptjeiben, mind saját tapasztalataiban könnyebben azonosíthassa és rendezhesse, hogy a működés mely területén van teendő, mely területén kell valamilyen részcélt kitűzni, ez a teendő / részcél a működés milyen részén fog változtatni, a működés mely eszközeivel, fejlesztettem ki az intézményi működés a három olyan dimenzióját 21 1, pillér: szervezet követelmények rendelkezésre állás integritás bizalmasság hozzáférésvédelem jogi, hatósági megfelelés funkcionalitás legjobb szakmai gyakorlat szervezeti egységek legfelső vezetés informatika fizikai, logikai IT biztonság (független kell legyen!) belső ellenőrzés jogi részleg külső audit segítség: IT irányító bizottság kockázatkezelési segédszervezet a követelményekből: munkaköri leírás, szerepkörök, kötelességelhatárolás 22 11

2. pillér: szabályozás pl. a szokásos biztonsági vonatkozású szabályzatok, de nemcsak ezek! Informatikai biztonsági útmutató Informatikai biztonsági szabályzat vírusvédelmi szabályzat internetezési szabályzat levelezési szabályzat informatikai üzleti folytonossági terv és katasztrófaterv! dokumentációs rend mentés, archiválás (fizikai) biztonsági szabályzat vigyázat: mi az, hogy politika?! 23 3. pillér: technika feladat: az intézményi hálózaton közlekedő információ rendeltetési helyre juttatása + jogosulatlan használatának megakadályozása technikai megoldás(i elemek): o o o az intézmény méretének és feladatainak megfelelő hálózati topológia kialakítása védelmi berendezések alkalmazása beavatkozás, figyelés tűzfal behatolásvédelem: hálózati, és / ill. rezidens szenzorok tevékenységek nyomkövetése - naplózás 24 12

egy, a hagyományosaknál pontosabb definíció a kockázatra cél: a stratégiai célok szolgálata proaktív megközelítés a defenzív helyett A vagyonelemi kockázat, definíció szerint, egy olyan, skálázható érték, amelyet egy adott intézményi vagyontárgyhoz rendelünk, és amely egyenesen arányos a vagyonelem stratégiai / üzleti értékével annak valószínűségével, hogy bekövetkezik egy olyan esemény, amely veszélyezteti azt, hogy a vagyonelem az üzleti folyamat rendelkezésére álljon, az előírt mértékben a vagyonelem (a vizsgálat időpontjában feltárt / feltárható) sérülékenysége mértékével. 25 törvények - hatóságok - előírások Általános: néhai adatvédelmi törvény (Avtv) - helyette ma már bírságoló hatóság 1999. évi LXXVI. törvény a szerzői jogról 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról, a 146/1993. (X. 26.) Korm. rendelettel együtt... Példa iparági törvényre - pénzintézetnél: 1996. évi CXII. / "Hpt. 13. " a hitelintézetekről és a pénzügyi vállalkozásokról, majd ennek "módosítása": 2004. évi XXII. tv. majd - még mindig 1996. évi CXII. de: 2010. júniustól 13/ A 13/ E. sőt: új információbiztonsági törvény 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáró + kormányrendelet 26 13

egy adalék: Nemzeti Adatvédelmi és Információszabadság Hatóság http://www.naih.hu/ "2012 január elsején létrejött a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A független, csak a törvénynek alárendelt Hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése." "Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény értelmében a NAIH a korábbi adatvédelmi feladatkörökön túlmenően a bírságolási jogot is magába foglaló hatósági jogkörrel is rendelkezik. Az új hatóság létrehozása az Alaptörvényben rögzített szervezeti változások sorába illeszkedik." 27 törvények - hatóságok - előírások Példa EU törvényekre: NATO Security Policy, [C-M(2002)49] Personnel Security Directive, [NATO AC/35-D/2000] Physical Security Directive, [NATO AC/35-D/2001] EU Council s Security Regulations, [2001/264/EC] stb. ld.: Minősített adatot kezelő elektronikus rendszerek biztonsága a NATO-ban és az Európai Unióban (ld. Dashöfer Informatikai biztonsági kézikönyvünk) érdekesség: még 2012-ben is irigylik az USA-ban: 95/46/EC European Data Protection 28 14

Támogató szabványok, módszertanok, irodalom - I CISA, CISM tudás CISA Review Technical Information Manual ed.: Information Systems Audit and Control Association Rolling Meadows, Illinois, USA Szenes: member of the Quality Assurance Team, 1999- napjainkig, a CRM 2011 kivételével COBIT és kapcsolódó anyagok (Control Objectives for Information Technology) Copyright IT Governance Institute COBIT -1998, COBIT 3-2000, COBIT 4 ill.4.0-2005, COBIT 4.1-2007 és: megint új COBIT-ot fejlesztettünk 29 Támogató szabványok, módszertanok, irodalom - II a megint új COBIT néhány könyve: kezdet: COBIT5_Design_Exposure_18: 2010. március 2011: COBIT 5.0 Vol. I The Framework and COBIT 5.0 Vol. IIa Process Reference Guide 2011 ISACA, working paper 2012: Enabling Processes - COBIT 5 An ISACA Framework Copyright 2012 ISACA. All rights reserved. Szenes: Expert Reviewer of the Subject Matter Expert Team 30 15

Támogató szabványok, módszertanok, irodalom - III ISO/IEC = International Organization for Standardization / International Electrotechnical Commission family 7799-27000 2001, 27002 1. verziók: 2005. következő: 2013. ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security (Common Criteria) (ITCSEC, majd ITSEC, majd CC) STB.! 31 szakirodalom Szenes Katalin - fejezetek Az Informatikai biztonság kézikönyvéből Verlag Dashöfer, Budapest Informatikai biztonsági megfontolások a Sarbanes - Oxley törvény ürügyén (A 2002-es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. A jelentésszolgálat és a többi kulcsfontosságú alkalmazás felügyeletének kérdései) 22. aktualizálás, 2006. október A szolgáltatás - orientált architektúrák biztonsági kérdései 23. aktualizálás, 2006. december A COBIT 4.0 és 4.1 újdonságai 27. aktualizálás, 2007. november A számítógéphálózatok biztonságának felülvizsgálata 28. aktualizálás, 2008. február stb. 32 16

szakirodalom egy magyar nyelvű cikk: Szenes Katalin: Informatikai biztonsági módszerek kiterjesztése a vállalatirányítás, a működés, és a kockázatkezelés támogatására Minőség és Megbízhatóság; nemzeti minőségpolitikai szakfolyóirat kiadja: az European Organization for Quality (EOQ) Magyar Nemzeti Bizottsága alapítási nyilvt.sz.: B/SZI/1993. HU ISSN0580-4485 a kiadásért felel: dr. Molnár Pál, az EOQ MNB elnöke XLVI. évf. 2012. / 5. sz., 252-257. old. 33 Magyar szakmai szervezetek az European Organization for Quality - EOQ Magyar Nemzeti Bizottság Informatikai Szakbizottsága www.eoq.hu EOQ szakfolyóirat: Minőség és megbízhatóság a Hírközlési és Informatikai Tudományos Egyesület Számítástechnikai Szakosztálya www.hte.hu az (ISC)2 Hungary Chapter www.isc2.org az ISACA Magyar Fejezete www.isacahu.com 34 17

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés