Tudatos kockázatmenedzsment vs. megfelelés

Hasonló dokumentumok
Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Az ISO es tanúsításunk tapasztalatai

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Szabványok, ajánlások

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

A HATÉKONY VÁLLALATI MŰKÖDÉS VEZETŐI ESZKÖZTÁRA

Akkreditálás változások e-akkreditáció, ISO 17025, kockázatalapú megközelítés konferencia

Kockázatkezelés az egészségügyben

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Folytonossági kérdések: IT vagy üzlet? FORTIX Consulting Kft Budapest, Orbánhegyi út 49.

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

AZ ENERGIAIRÁNYÍTÁS RENDSZERSZEMLÉLETŰ MEGKÖZELÍTÉSÉRŐL Október 29.

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

XXVII. Magyar Minőség Hét Konferencia

Üzletmenet folytonosság menedzsment [BCM]

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

WLAN Biztonság és Megfelelőségi Irányelvek

Dr. Topár József (BME)

Bevezetés az Informatikai biztonsághoz

MEGFELELŐ TRÉNING A KIVÁLÓSÁGHOZ HOGY FEJLESZTHESSE MUNKATÁRSAIT ÉS ÜZLETÉT SGS HUNGÁRIA KFT II. FÉLÉVI KÉPZÉSI NAPTÁRA 1/7

EMLÉKEZTETŐ. 1. Májusi rendezvény értékelése

Fejlődő technológiák alkalmazása a termék-nyomonkövetésre élelmiszerellátási

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

ÉMI TÜV SÜD. ISO feldolgozása, elvárások. Kakas István KIR-MIR-MEBIR vezető auditor

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Üzletmenet folytonosság Üzletmenet? folytonosság?

Üzleti és projekt kockázatelemzés: a Szigma Integrisk integrált kockázatmenezdsment módszertan és szoftver

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

INFORMATIKAI OKTATÁSI KONFERENCIA Pölöskei Gáborné Helyettes államtitkár

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Információbiztonság irányítása

Információbiztonsági kihívások. Horváth Tamás & Dellei László

Épületenergetikai fejlesztések és közvilágítás energiatakarékos átalakítása KEOP /A

2013. évi L. törvény ismertetése. Péter Szabolcs

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

Informatikai biztonsági ellenőrzés

ISO rendszerekkel kapcsolatos tanúsítási tapasztalatok

Sodródunk vagy (minőség)irányítunk?

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

EIR tanúsítási tapasztalatai

Big Data az ellenőrzésben: Kihívás vagy lehetőség?

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

2011 PCI Community Meeting Újdonságok Tassi Miklós Gáspár Csaba

evosoft Hungary Kft.

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

ÉMI-TÜV SÜD Akadémia Képzési kínálat 2017

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Képzés leírása. Képzés megnevezése: Orvostechnikai eszköz belső auditor (MSZ EN ISO 13485) Mi a képzés célja és mik az előnyei?

Aktualitások a minőségirányításban

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

A minőségügyi munka múltja, jelene, jövője a MOHE CÉGCSOPORT tagjai között

TÖBB MINT 20 ÉV TAPASZTALAT - Az Ön biztonsága a mi erősségünk! TAM CERT Hungary Ltd. - a Cooperation Partner of TÜV AUSTRIA

MSZ EN ISO 50001:2012 (Energiairányítási rendszer) Energiahatékonysági törvény

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

ÉMI-TÜV SÜD Akadémia Képzési kínálat 2017/II.

BIZTONSÁGI AUDIT. 13. óra

ÉMI-TÜV SÜD Akadémia Képzési kínálat 2018/1.

ÉMI-TÜV SÜD Akadémia Képzési kínálat 2018/1.

GYAKORLATI TAPASZTALATOK AZ ISO EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR

AZ ISO ENERGIAIRÁNYÍTÁSI RENDSZER (GONDOLATOK ÉS ÜZENET) Május 14.

XXV. MAGYAR MINŐSÉGHÉT KONFERENCIA

SGS KÉPZÉSI NAPTÁR 2013 II. FÉLÉV

1 ÓBUDAI EGYETEM TÜV RHEINLAND REFERENS KÉPZÉSEK

Felsőoktatási digitális tananyagok publikálása NetLEARN alapon

ÁLTALÁNOS SZEMÉLYES ADATVÉDELMI TÁJÉKOZTATÓ MÁJUS 25.

Megszületett a digitális minőségügyi szakember? XXIV. Nemzeti Minőségügyi Konferencia

Az ALTERA VAGYONKEZELŐ Nyrt. kockázatkezelési irányelvei

Összegezés az ajánlatok elbírálásáról

A cloud szolgáltatási modell a közigazgatásban

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

LEAN BESZÁLLÍTÓ FEJLESZTÉSI PROGRAM

A GDPR elmúlt egy éve

AZ ENERGIAFELHASZNÁLÁS HATÉKONYSÁGÁRÓL A 27/2012 EK DIREKTÍVA(EED) ÉS AZ ISO SZABVÁNYOK TARTALMI KAPCSOLATAIRÓL

Az es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

IT ADVISORY. Biztonság a felhőben. Gaidosch Tamás CISA, CISM, CISSP január 20.

Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások

The Leader for Exceptional Client Service. szolgáltatások

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

MEGHÍVÓ. hely: PKI Konferenciaterem, Bp. VI. Andrássy út 3. I. em. időpont: február 18., hétfő, 17 30

Szabályozók felülvizsgálata Ellenőrzési-mátrix

2013 L. - tapasztalatok Antidotum 2015

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

IT biztonsági törvény hatása

Információbiztonság fejlesztése önértékeléssel

Egy 3 éves szolgáltatásfejlesztési folyamat újabb eredményei. KOVÁCS ZOLTÁN kompetenciaközpont vezető - Üzemeltetés szolgáltatások és Service Desk

Védelmi Vonalak - Compliance

Környezetmenedzsment

Never-ending fight - A soha véget nem érő harc a Black Hat-hackerekkel

Átírás:

Tudatos kockázatmenedzsment vs. megfelelés Horváth Balázs horvath.balazs@trconsult.hu Ruha Norbert ruha.norbert@trconsult.hu

Agenda A korszerű kockázatmenedzsment kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 2

A korszerű kockázatmenedzsment kihívásai - A vállalatok informatikai támogatásának egyre dinamikusabb fejlődése - Folyamatosan változó és növekvő fenyegetettség-tér hatékony kezelése - Védelmi intézkedések folyamatos fenntartása és fejlesztése - A védelem teljes körűségének, zártságának (sérülékenységek minimumon tartásának) folyamatos biztosítása 3

A fenyegetettség-tér számokban 100 biztonsági ellenőrzés/ip 1000 IP átlag 20 SW komponens 20 db sebezhetőség/ip 5 db /IP 4

A kockázat- és sérülékenység menedzsment rendszerek gyengeségei- a fenyegetettség tér változása Which of the following attack types have exploited your organization in 2015? Forrás: State of Cybersecurity - Implications for 2016 (https://www.isaca.org/cyber/documents/state-of-cybersecurity_res_eng_0316.pdf) 5

A tudatos és korszerű kockázatmenedzsment jellemzői Önfejlesztő, tanuló: Amit nem ismerünk, az ellen védekezni sem tudunk hatékonyan! Ha nem ismerjük a helyes választ, elkésünk! Folyamatos: A fenyegetettség-tér folyamatosan változik, aki lemarad, nagy valószínűséggel válik áldozattá! Gyors reagálású: pl.: 0. órai probléma, nincs idő hezitálni! Integrált: Amit szigetszerűen látunk, az nem biztos, hogy a teljes valóság! Automatizált: A fenyegetettségek számosságát ember nem kezelheti hatékonyan, ha így tesz lemarad a küzdelemben! 6

Példa egy integrált, hatékony kockázatmenedzsment rendszerre AC FW IPS/IDS SLA&TM Auditok és átvizsgálások eredményei WC DDOS SIEM IBIR ISE AV Sérülékenység menedzsment eszköz DLP EMM BCP, DRP tesztek eredményei 7

Ma már a vállalati információbiztonsági szakértelem legnagyobb értéke nem a manuális védelem megvalósítása, hanem az IBIR és a technológiai védelmi rendszer hatékony kiépítése, összekapcsolása és működtetése. 8

A TRC ajánlata kockázatmenedzsment eszközökre 9

Agenda Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 10

Megfelelési kényszer vállalat MSZ ISO/IEC 27001:2014 szabvány PCI DSS szabvány GDPR MNB 1/2015. ajánlása 1997. évi CLIV. törvény 2013. évi L. törvény 41/2015. (VII. 15.) BM rendelet 2011. évi CXII. törvény 1997. évi XLVII. törvény 11

Megfelelés vs. Tudatos kockázatmenedzsment Tulajdonság Önfejlesztés, tanulás Folyamatosság Gyorsreagálás Integráltság Automatizáltság Tudatos kockázatmenedzsment Megfelelés 12

Agenda Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 13

Tapasztalatok, következtetések A vállalatok többsége megfelelés minimumra törekszik! A magas szintű bürokrácia miatt elvész a valódi védelemre fordítható energia! A törvényi megfelelés elsősorban mennyiségi és nem minőségi kontrollokra fókuszál! Az auditorok - felkészültségük függvényében- gyakran túlzóan vagy túl megengedően értelmezik a törvényt! A legtöbb törvényből hiányzik az IBIR, illetve az hogy hogyan érjük el a megfelelést A megfelelés szükséges, de nem elégséges! A tudatos és korszerű kockázatmenedzsment alkalmazása automatikusan ad megfelelést, de fordítva nem áll fenn az ok-okozat! 14

Agenda Kockázatmenedzsment korszerű kihívásai és jellemzői A megfelelés problémaköre Tapasztalatok, következtetések Támogató eszköz bemutatása 15

16

Globális vevői kör 17

Az integrált Qualys felület 18

Kipróbálási lehetőségek Próba verzió tartalma: Korlátlan hálózati feltérképezés és felfedezés Korlátlan hálózati perem vizsgálat PCI megfelelés vizsgálat Web alkalmazás biztonsági vizsgálat Malware fertőzések és fenyegetések érzékelése IT biztonsági policy készítés, vizsgálat és riportálás 19

Ad-hoc Folytonos Gyakorlatias Adminisztratív Hatékony kockázatkezelés vs. megfelelés Qualys-al Lassan fejlődő Dinamikus, naprakész Széles spektrumú védelem Keskeny spektrumú védelem 20

A megfelelés még nem nyújt biztonságot, sőt sok esetben hamis biztonságtudatot eredményez! 21

Köszönjük a figyelmet! 22

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés