Mi köze a minőséghez?



Hasonló dokumentumok
Szabványok, ajánlások

SZÁMÍTÁSTECHNIKAI AUDIT. Common Criteria 1

Szabványok, ajánlások

AZ INFORMATIKAI BIZTONSÁG

BIZTONSÁGI AUDIT. 13. óra

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Számítástechnikai audit emlékeztető összefoglalás. Dr. Kondorosi Károly Dr. Molnár Imre

Számítástechnikai audit emlékeztető összefoglalás. Témakörök. Az audit igénye

Bevezetés az Informatikai biztonsághoz

IT BIZTONSÁG RELEVÁNS SZABVÁNYAI

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Információbiztonság irányítása

IT biztonság és szerepe az információbiztonság területén

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

Szabványok, ajánlások, modellek

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

Az ISO es tanúsításunk tapasztalatai

Debreceni Egyetem Informatikai Kar Információ Technológia Tanszék VÁLLALATI BIZTONSÁGPOLITIKA

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

2013 L. - tapasztalatok Antidotum 2015

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Heterogén platformon futó vállalati megoldások biztonsági rései

A SOX törvény alapjai és informatikai vonatkozásai

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELEM SZABÁLYOZÁSI KÉRDÉSEI A KÖZELMÚLTBAN 1

1. számú melléklet. A TCA v2.0 legfontosabb tulajdonságainak összefoglalása

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

FÖLDÜGYI INFORMATIKAI RENDSZEREK A BIZTONSÁGI SZABVÁNYOK TÜKRÉBEN

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE

Ipari hálózatok biztonságának speciális szempontjai és szabványai

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.

ROBOTHADVISELÉS S 2010

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

irányításban Teljesítménymérés

Változáskezelés. A tanúsítási jelentést készítette: Juhász Judit. Tanúsítási

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

MEGHÍVÓ. hely: PKI Konferenciaterem, Bp. VI. Andrássy út 3. I. em. időpont: február 18., hétfő, 17 30

Érettségi tétel az IT vizsgán: Felhő

IT ellenőrzés feladata válság idején

Az Informatikai Biztonsági Irányítási Rendszer

Az ITIL hazai alkalmazhatóságának kérdései

Az informatikai biztonsági kockázatok elemzése

Muha Lajos. Az információbiztonsági törvény értelmezése

COBIT Keretrendszer I. Szikora Zsolt, DE 2008

Oktatói önéletrajz Dr. Molnár Bálint

INFORMATIKAI BIZTONSÁG ALAPJAI

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

A vállalkozás működési környezete és a kockázatok dilemmái

Mobil eszközökön tárolt adatok biztonsága

Informatikai Biztonsági Tanúsítási Szervezet. 2/14. sz. Megfelelőségi Tanúsítvány

Merétey-Vida Zsolt * KÖLTSÉGVETÉSI BELSİ ELLENİRZÉS BELSİ ELLENİRZÉS

EMLÉKEZTETŐ. 1. Hétpecsétes történetek v2. Állapot

Aktualitások a minőségirányításban

Megbízhatóság az informatikai rendszerekben

TANÚSÍTVÁNY. tanúsítja, hogy a. MÁV INFORMATIKA Kft. által kifejlesztett és forgalmazott. DSign UI 1.6. aláíró alkalmazás

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

Miskolci Egyetem Gépészmérnöki és Informatikai Kar Alkalmazott Informatikai Tanszék. Dr. Kulcsár Gyula egyetemi docens

EMLÉKEZTETŐ. 1. Májusi rendezvény értékelése

Informatika-irányítás új keretek között. PSZÁF projekt

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

System Center Service Manager 2012 konferencia. Ker-Soft Kft. Dr. Vinkovits Eszter - Ügyvezető igazgató

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Magyarországi kis és közepes IT vállalkozások költséghatékony lehetőségei ISO szabványcsaládnak megfelelő szolgáltatásirányítási rendszerek

HUNG-TJ-MIBÉTS

ÚJSZÁSZ VÁROS JEGYZŐJE 5052 ÚJSZÁSZ, SZABADSÁG TÉR 1. TEL/FAX: 56/

Technológia az adatszivárgás ellen

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Közbeszerzési Értesítő száma: 2016/147

ISO :2011 új kiadás, magyar helyzetkép, magyar honosítás

30 MB INFORMATIKAI PROJEKTELLENŐR

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

CMMI modell v1.2 verziójának bemutatása. Tartalom. Dr. Balla Katalin A CMMI v1.2 bemutatása

XXIII. MAGYAR MINŐSÉG HÉT

Headline Verdana Bold

ÁROP Tudásalapú közszolgálati előmenetel

A CRAMM módszer alkalmazásának kiterjesztése

2009 PricewaterhouseCoopers Magyarország menedzser, Tanácsadás IT biztonságtechnikai tanácsadás a pénzügyi szektornak.

GYAKORLATI TAPASZTALATOK AZ ISO EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR

Minden jog fenntartva 2012 ISACA Magyarországi Egyesület

Információbiztonság fejlesztése önértékeléssel

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

ÚJ ISO/IEC :2018 itsmf Szeminárium Dr. Becser Balázs. Az új családtag a szabványcsaládban IT Szolgáltatásirányítás követelmények

TANÚSÍTVÁNY. tanúsítja, hogy az. SDA Stúdió Kft. által kifejlesztett

1 Az előterjesztést a Kormány nem tárgyalta meg, ezért az nem tekinthető a Kormány álláspontjának.

Átírás:

Dr. Kondorosi Károly egyetemi docens A COBIT szabványról Bemutatkozik az SQI A szoftverminőség komplex kérdésköre 2005. április 15. Mi köze a minőséghez? Mennyire biztonságos egy informatikai rendszer? Milyen minőségű egy biztonsági rendszer? Biztonsági szabványok és ajánlások CC, COBIT ITIL, BS7799 MIBÉTS Áttekintő szint, inkább filozófia, fő jellemzők 2 Dr. Kondorosi Károly: A COBIT szabványról 1

Tartalom IT biztonság és audit Common Criteria (a biztonság műszaki aspektusból) COBIT (a biztonság szervezeti aspektusból) IT biztonság itthon 3 Mi a biztonság? Általában: védettség fenyegetések ellen Alapvető emberi szükséglet Mik a fenyegetések? Mit tehetünk ellenük? Mennyire bízhatunk az eredményben? Független, szakszerű vizsgálat, minősítés, tanúsítás audit Magunk felé mások felé 4 Dr. Kondorosi Károly: A COBIT szabványról 2

Informatikai biztonság INFORMÁCIÓ - erőforrás, értéke van Biztosítani kell az információ rendelkezésre állását sértetlenségét bizalmasságát hitelességét mindehhez az informatikai, illetve információs rendszer működőképességét 5 Mit vizsgáljunk? 6 Dr. Kondorosi Károly: A COBIT szabványról 3

Mit vizsgáljunk? 7 Mit vizsgáljunk? az informatikai rendszert (?) a szervezetet (?) Természetesen mindkettőt érdemes és kell. (Az IT károkat legalább 60%-ban emberi mulasztás okozza.) 8 Dr. Kondorosi Károly: A COBIT szabványról 4

Tipikus szereposztás szerződés specifikál érdekellentét a teljesítés szintjében FELHASZNÁLÓ információ-tulajdonos felelős az értékért hiányzó IT szakértelem üzemeltet bizonyos akar lenni AUDITOR SZÁLLÍTÓ tervez implementál átad, követ átvizsgál, mér minősít, tanúsít 9 Common Criteria 10 Dr. Kondorosi Károly: A COBIT szabványról 5

CC jellemzők Kiknek szól? FELHASZNÁLÓ FEJLESZTŐ AUDITOR Műszaki szemlélet Környezet, jogi háttér, szervezet: Kapcsolatot megmutat, de nem tárgya MODELL FUNKCIONÁLIS GARANCIA követelmények 11 CC modell 12 Dr. Kondorosi Károly: A COBIT szabványról 6

CC modell Tulajdonos értékeli minimalizálni akarja foganatosít tudatában van Ellenintézkedések csökkenthetők általa hogy csökkentse uralhatóvá tehetik Sebezhetőségek Veszélyforrások vezetnek okoznak kihasználják Fenyegetések Kockázat növelik irányul irányulnak Vagyontárgyak rosszindulatú használat, vagy károsítás 13 CC értékelés 14 Dr. Kondorosi Károly: A COBIT szabványról 7

CC értékelés Garancia technikák Értékelés előállít Tulajdonos Garancia ad tanúsít igényli Bizalom, bizonyosság arról, hogy Ellenintézkedések minimalizálják (kielégítően csökkentik) Kockázat irányul Vagyontárgyak 15 Funkcionális követelmények Class FAU: Security audit Class FCO: Communication Class FCS: Cryptographic support Class FDP: User data protection Class FIA: Identification and authentication Class FMT: Security management Class FPR: Privacy Class FPT: Protection of the TSF Class FRU: Resource utilisation Class FTA: TOE access Class FTP: Trusted path/channels 16 Dr. Kondorosi Károly: A COBIT szabványról 8

Garancia-követelmények Class ACM: Configuration management Class ADO: Delivery and operation Class ADV: Development Class AGD: Guidance documents Class ALC: Life cycle support Class ATE: Tests Class AVA: Vulnerability assessment Class AMA: Maintenance of assurance 17 Mit lehet értékelni? Védelmi profil értékelés teljes, konzisztens, technikailag megfelelő Biztonsági specifikáció értékelés teljes, konzisztens, technikailag megfelelő megfelel a védelmi profilnak ÉT értékelés (értékelés tárgya) megfelel a biztonsági specifikációnak Garancia-karbantartás ÉT a módosítások után is megfelel 18 Dr. Kondorosi Károly: A COBIT szabványról 9

Mi adhat erősebb garanciát? Több, erősebb (magasabb szintű) követelmény Kimerítőbb értékelés terjedelem mélység szigorúság 19 Garanciaszintek 1. funkcionálisan tesztelt 2. strukturálisan tesztelt 3. módszeresen tesztelt és bevizsgált 4. módszeresen tervezett, tesztelt és átvizsgált 5. félformálisan tervezett és tesztelt 6. félformálisan verifikált tervezés és tesztelt 7. formálisan verifikált tervezés és tesztelt 20 Dr. Kondorosi Károly: A COBIT szabványról 10

COBIT Control Objectives for Information and Related Technology Information Systems Audit and Control Association (ISACA) 1969: EDP Auditors Association Certified Information Systems Auditor (CISA) 21 COBIT jellemzők Kiknek szól? VEZETŐK FEKHASZNÁLÓK AUDITOR Üzleti szemlélet pénzügyi szektor Dokumentum-család IT része az üzleti stratégiának 22 Dr. Kondorosi Károly: A COBIT szabványról 11

COBIT modell Témakörök: PO: Planning and Organisation AI: Acquisition and Implementation DS: Delivery and Support M: Monitoring Ezeken belül 34 folyamat 23 COBIT család Magas szintű => Framework 4 domain 34 folyamat Részletes => Detailed Control Objectives 3-30 részletes intézkedés folyamatonként összesen 318 Audit => Audit Guidelines ellenőrzési javaslatok a 34 folyamatra Vezetői segítség => Management Guidelines célok és mutatók a 34 folyamathoz 24 Dr. Kondorosi Károly: A COBIT szabványról 12

Fontos témakörök Kockázatkezelés A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem 25 Kockázat A biztonsági rés megéri-e? Kockázati elemek: Vagyontárgy (assests) Sebezhetőség (vulnerabilities) Fenyegetettség (threats) Hatás (impacts) Kockázat (risks) Fennmaradó kockázat (residual risk) 26 Dr. Kondorosi Károly: A COBIT szabványról 13

Biztonsági cél Olyan állapot elérése, amelyben a kockázatok megvalósítható és értékarányos védelmi intézkedésekkel elviselhető mértékűre csökkenthetők. Az üzleti célok elérhetőségének biztosítása a vezetőség által kívánt mértékben 27 Érettségi szintek 0 Non-Existent. Fel sem ismert problémák. 1 Initial. Felismert problémák, de csak ad-hoc módszerek egyéni esetekben. A vezetés szervezetlen. 2 Repeatable. Különböző személyek által végzett, független folyamatok. A felelősség az egyéneké, és a cég függ az egyéntől. 3 Defined. Szabványosított, dokumentált és betanított, de nem ellenőrzött és nem számonkért egyszerű folyamatok, melyek csak a meglévő szokásokat rögzítik. 4 Managed. Lehetséges a folyamatok ellenőrzése és intézkedések történnek eltérés esetén, de nincs automatizmus. 5 Optimised. Integrált és automatizált folyamatok a legjobbnak elismert módszer szerint. Gyors alkalmazkodás a változó igényekhez. 28 Dr. Kondorosi Károly: A COBIT szabványról 14

IT biztonság itthon Terminológia (alakul) ITB ajánlások Több kisebb-nagyobb cég MIBÉTS (Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma) http://www.itktb.hu COBIT ISACA magyar tagozat PSZÁF 29 Köszönöm a figyelmet. 30 Dr. Kondorosi Károly: A COBIT szabványról 15

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés