IT BIZTONSÁG RELEVÁNS SZABVÁNYAI

Hasonló dokumentumok
Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Szabványok, ajánlások

Adat és információvédelem Informatikai biztonság Dr. Beinschróth József

Mi köze a minőséghez?

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

AZ INFORMATIKAI BIZTONSÁG

Informatikai biztonsági elvárások

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

ROBOTHADVISELÉS S 2010

Az ISO es tanúsításunk tapasztalatai

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

30 MB INFORMATIKAI PROJEKTELLENŐR

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

A Bankok Bázel II megfelelésének informatikai validációja

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Muha Lajos. Az információbiztonsági törvény értelmezése

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Nemzetközi jogszabályi háttér I.

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

BIZTONSÁGI AUDIT. 13. óra

evosoft Hungary Kft.

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Információbiztonság irányítása

IT biztonsági törvény hatása

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

A BS7799 és ITIL szabványokról avagy menedzsment- és folyamatszabványok az informatika fejlesztése, üzemeltetése és védelme területén.

A CRD prevalidáció informatika felügyelési vonatkozásai

Üzletmenet folytonosság Üzletmenet? folytonosság?

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

XXVII. Magyar Minőség Hét Konferencia

2013 L. - tapasztalatok Antidotum 2015

TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

Közigazgatási informatika tantárgyból

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

Informatikai projektellenőr szerepe/feladatai Informatika / Az informatika térhódítása Függőség az információtól / informatikától Információs

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

Szoftverminőségbiztosítás

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

30 MB INFORMATIKAI PROJEKTELLENŐR

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Technológia az adatszivárgás ellen

FELÜLVIZSGÁLATI JEGYZŐKÖNYV MELLÉKLETE (I-UNI16F1_ TANF) TANF.ME {.{W... Szoftver utolsó változtatás időpont ja: december 12.

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Jogalkotási előzmények

FELÜLVIZSGÁLATI JEGYZŐKÖNYV (E-MS04F1-TAN.ST) MELLÉKLETE

FELÜLVIZSGÁLATI JEGYZŐKÖNYV MELLÉKLETE (I-UNI15F1_ TANF) TANF.ME-01 I-UNI15F1 I ... ~~~?... MATRI tanúsítási igazgató

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

Az adatvagyon fogalma Adatok kezelésének jogi keretei Adatvagyon építése Adatvagyon használata, publikálása Adatok vizualizációja Előrejelzés

MELLÉKLET. a következőhöz:

Fókuszban az információbiztonság

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

2013. évi L. törvény ismertetése. Péter Szabolcs

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

Bevezetés az Informatikai biztonsághoz

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Minőségtanúsítás a gyártási folyamatban

Informatikai Biztonsági szabályzata

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

AZ INTEGRÁLT NYOMONKÖVETŐ RENDSZER BEMUTATÁSA (TÁMOP B) Kern Zoltán Közoktatási szakértő

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

2019. ÉVI FOKOZATI VIZSGA TANANYAG 6. VEZETÉS, IRÁNYÍTÁS SZAKMACSOPORT

A klinikai auditrendszer bevezetése és működtetése

A BELSŐ ELLENŐRZÉS ALAPJAI A BELSŐ ELLENŐZÉS GYAKORLATA

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Információbiztonság fejlesztése önértékeléssel

Magyar Szabad Szoftver Tárház. Erdei Csaba Mátó Péter

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Üzletmenet folytonosság menedzsment [BCM]

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

Község Önkormányzata

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Információ menedzsment

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.

TANÚSÍTÁSI JELENTÉS SIEMENS SZÁMLA ARCHIVÁLÓ RENDSZER HUNG-TJ-DA

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Átírás:

Adat és Információvédelmi Mesteriskola 30 MB Dombora Sándor AZ IT BIZTONSÁG RELEVÁNS SZABVÁNYAI 2018. 06. 14.

Tartalom Iránymutatások szükségessége Termék fókuszú szabványok TCSEC ITSEC Common Criteria (CC) MSZ ISO/IEC 27001 MIBA Információbiztonságot érintő további szabványok 2018. 06. 14. 2

Iránymutatások szükségessége Jogszabályok Az érintettekre vonatkozóan betartásuk kötelező Szabványok Ajánlások, Keretrendszerek Útmutatóból és követelményekből állnak Bevált gyakorlatokra épülnek A szervezetek önként vezetik be Bevezetésük tanúsítható, 3. felek elfogadják Bevált gyakorlatokra épülnek A szervezetek önként vezetik be Bevezetésük biztonságot és hatékonyságot eredményez 3

Adatvédelmi jogszabályok Infotv. - 2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról GDPR - Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről 2018. 06. 14. Információbiztonsági jogszabályok Ibtv. - 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről 2009. évi CLV. törvény a minősített adat védelméről Szakterületekre vonatkozó jogszabályok Szakterületi jogszabályok, amelyek hatással vannak az IT biztonságra is 1991. évi LXIX. Törvény a pénzintézetekről és a pénzintézeti tevékenységről 2014. évi LXXXVIII. Törvény a biztosítási tevékenységről SOX - a gazdasági társaságok éves beszámolóinak ellenőrzéseire ill. valódiságukra vonatkozóan 4

Termék fókuszú szabványok TCSEC Orange Book of DoD: 1985 ITSEC - Európai Közösség: 1991 Commaon Criteria 3.1. Rev. 5 2017 április Általános ISO szabványok ISO/IEC 27001 információbiztonság teljes körű tanúsításához ISO 31000 kockázatmenedzsment ISO 22301 üzletmenet folytonosság menedzsment 2018. 06. 14. 5

CobiT Control Objectives for Information and Related Technology ISACA (Information Systems Audit and Control Association) Honlap: www.isaca.com, www.isaca.hu Nemcsak biztonság, hanem fejlesztési, üzemeltetési, auditálási, kockázatelemzési, IT irányítási kérdések is Jelen verziója CobiT 5 ITIL Information Technology Infrastructure Lirary OGC (Office of Government Commerce) Honlap: www.itsmf.hu weblap ITIL, az IT szolgáltatásmenedzsment bevált gyakorlata Jelen verziója ITIL V3 Az Informatikaszolgáltatás menedzsment szabvány az ISO/IEC 20000 MIBA - Magyar Informatikai Biztonsági Ajánlások KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Megjelenés éve: 2008 június 2018. 06. 14. 6

Miért építsünk szabványokra Bevált gyakorlatra épülnek Nem kell újra és újra feltalálni a spanyolviaszt, hiszen vannak kipróbált a gyakorlatban működő megoldások Bevezetésük hatékonyságot és szabályozott működést eredményez Útmutatót tartalmaznak Az útmutató támogatja a szabvány bevezetését Ellenőrzési szempontrendszert tartalmaznak Megfelelőség ellenőrzés Megvalósulás ellenőrzés Tanúsíthatók független, akkreditált tanúsító szervezet által 2018. 06. 14. 7

Termék fókuszú szabványok TCSEC, ITSEC, Common Criteria Az ITSEC a TCSEC filozófiáját követi, IT rendszerek logikai védelmére fókuszálnak Funkcionális és minősítési követelmények Nem tárgyalják az adminisztratív, szervezeti, személyi és fizikai kérdéseket nem teljes körűek Elsősorban az IT termékek gyártóit támogatják és nem az üzemeltetőket, a termékre koncentrálnak, a termékre vonatkozó követelményrendszert állítanak fel. Az üzemeltetőknek ez a gyakorlatban kevés. CC: A követelmények árnyaltabbak, lehetőség van kifejezetten biztonsági termékek (pl. tűzfal) alaposabb biztonsági minősítésére. Példák: A Microsoft Windows NT Workstation Version 4.0 ill. Windows NT Server Version 4.0 operációs rendszerek a TCSEC C2 biztonsági csoportba lettek besorolva 1999-ben. Sun Solaris 2.6 operációs rendszer az ITSEC E3 biztonsági csoportba lett besorolva 1999-ben. A Cisco Secure PIX Firewall a CC EAL4 biztonsági osztályba lett besorolva 2001-ben. 2018. 06. 14. 8

A TCSEC egymásra épülő biztonsági csoportokat definiál A csoport Bizonyított védelem B csoport Kötelező és ellenőrzött védelem (B1, B2, B3) C csoport Szelektív és ellenőrzött védelem (C1, C2) D csoport Minimális védelem (érdemtelen pl. MDOS) 2018. 06. 14. 9

A TCSEC C csoportjának követelményei C1: Korlátozott védelem DAC (Discretionary Access Control): Az objektumoknak tulajdonosai vannak, a tulajdonosok és privilegizált felhasználók az objektumokat mások számára megoszthatják ID (Identification):Azonosítható és ellenőrizhető felhasználók (nevek, jelszavak) A termék jól dokumentált legyen (tartalom+forma) C2: Ellenőrzött védelem A C1 osztály követelményei Audit: biztonsági események naplózása Object reuse: Az objektumok nem újrahasznosíthatók (Egy erőforrás - kazetta, printer, file - használatba vételkor ne tartalmazzon értelmezhető információt) 2018. 06. 14. 10

A TCSEC D csoportjának követelményei B1: Címkézett védelem C2 osztály követelményei MAC (Mandatory Access Control):Az objektumoknak és szubjektumoknak címkéi vannak, a hozzáférés az objektuménál gyengébb címkével nem lehetséges B2: Strukturált védelem B1 osztály követelményei Trusted Path (biztonságos kommunikációs csatorna a távoli felhasználó és a számítógép között) Device Label (eszközönként meghatározott, hogy milyen érzékeny adatok tárolhatók rajta) Structured Protection (A rendszer jól definiált formális modell alapján épül fel) B3: Biztonsági tartományok B2 osztály követelményei A biztonsággal kapcsolatos kódok áttekinthetők, jól elválaszthatók az op. rendszer egyéb részeitől Biztonsági adminisztrátor alkalmazása 2018. 06. 14. 11

A TCSEC A csoportjának követelményei A1: Bizonyított védelem B2 osztály követelményei Formális módszerek Titkos csatorna elemzéshez Tervezési specifikációhoz és ellenőrzéshez Megbízható terjesztés Formális felső szintű specifikáció 2018. 06. 14. 12

ITSEC Szükségesség A különböző európai országok saját szabványokat dolgoztak ki A gyártókánk egységes követelményrendszerre volt szükségük A TCSEC főleg operációs rendszerekre volt alkalmazható Tulajdonságai A TCSEC-hez hasonlóan hierarchikus követelményrendszer Hét értékelési szintet határoz meg az értékelési cél helyességének megbízhatóságára vonatkozóan 10 funkcióosztályt határoz meg, amelyek rendszerspecifikus követelményeket tartalmaznak 2018. 06. 14. 13

Az ITSEC értékelési szintjei E0 Ez a szint nem megfelelő bizonyosságot jelent E1 Az értékelési célhoz lennie kell biztonsági célkitűzésnek lennie kell informális architektúra terv leírásnak A funkcionális teszteknek azt kell jelezniük, hogy az értékelési cél megfelel a biztonsági célkitűzésének 2018. 06. 14. 14

Az ITSEC értékelési szintjei E2 - Az E1 követelményein túl Lennie kell informális leírásnak a részletes tervezéshez. A funkcionális tesztelés elvégzésének bizonyítékát ki kell értékelni. Lennie kell egy konfigurációskezelési rendszernek és egy jóváhagyott terjesztési eljárásnak. E3 Az E2 követelményein túl A biztonsági funkciókhoz tartozó forráskódot és hardver ábrákat ki kell értékelni. A biztonsági funkciók tesztelésének bizonyítékait ki kell értékelni. 2018. 06. 14. 15

Az ITSEC értékelési szintjei E4 - Az E3 követelményein túl Lézeznie kell a biztonsági célt támogató biztonsági politika alapjául szolgáló formális modellnek. A biztonsági funkciókat, a architektúra terveket és a részletes terveket félig formális módon kell specifikálni. E5 Az E4 követelményein túl A részletes tervezés és a forráskód és/vagy hardver ábrázolás között szoros megfeleltetésnek kell lennie. 2018. 06. 14. 16

Az ITSEC értékelési szintjei E6 - Az E5 követelményein túl A biztonsági funkciókat és az architektúra terveket formális módon kell specifikálni összhangban a meghatározott biztonsági politika alapjául szolgáló formális modellel. 2018. 06. 14. 17

Az ITSEC biztonsági osztályai F-C1, F-C2, F-B1, F-B2, F-B3 A TCSEC biztonsági osztályaiból származtatott biztonsági osztályok Főképpen operációs rendszerekre alkalmazhatók F-IN Az adatok és programok integritásának biztosításához. Pl. Adatbáziskezelő rendszerek esetében 2018. 06. 14. 18

Az ITSEC biztonsági osztályai F-AV Magas rendelkezésre állású rendszerekhez Javasolt ipari vezérlőegységek esetében F-DI Adatok integritásának biztosítása adatcsere esetében 2018. 06. 14. 19

Az ITSEC biztonsági osztályai F-DC Azon értékelési célok számára, amelyeknek maximális bizalmasságot kell biztosítani adatcsere során Pl. kriptográfiai rendszerek F-DX Olyan hálózatokhoz, amelyeknek magas bizalmassági és integritási követelményeket kell biztosítaniuk az adatcserék során Pl. ha az érzékeny információkat nem biztonságos hálózatokon keresztül kell kicserélni. 2018. 06. 14. 20

Common Criteria CC tulajdonságai Az ITSEC alapötletét követi 11 funkcionális osztályt határoz meg, amelyekben részletei a funkcionális követelményeket Az osztályokban belül családok és azokon belül komponensek vannak amelyeket külön jelölnek A komponensek a követelményekre vonatkozó kifejezések 2018. 06. 14. 21

A Common Criteria funkcionális osztályai FAU FCO FCS FDP FIA FMT FPR FPT FRU FTA FTP Security audit Biztonsági audit Communication Kommunikáció Cryptographic support Kriptográfiai támogatás User data protection Felhasználói adatok védelme Identification and authentication Azonosítás és autentikáció Security management Biztonság menedzsment Privacy Adatvédelem (személyes adatok) Protection of the TSF (TOE Security Functions) - A biztonsági funkciók értékelési céljának védelme Resource utilisation erőforrás gazdálkodás TOE access (Target of Evaluation) értékelési célok hozzáférhetősége Trusted path/channels Biztonságos csatornák 2018. 06. 14. 22

A Common Criteria értékelési szintjei EAL7 EAL6 EAL5 EAL4 EAL3 EAL2 EAL1 Formally verified design and tested formálisan ellenőrzött tervezés és tesztelés Semiformally verified design and tested félig formálisan ellenőrzött tervezés és tesztelés Semiformally designed and tested - félig formális tervezés és tesztelés Methodically designed, tested, and reviewed módszeres tervezés, tesztelés és felülvizsgálat Methodically tested and checked módszeresen tesztelt és ellenőrzött Structurally tested strukturálisan tesztelt Functionally tested funkcionálisan tesztelt 2018. 06. 14. 23

ISO/IEC 27000 szabványcsalád Az ISO/IEC 27000-es szabványcsalád Az információbiztonsági irányítási rendszerekkel kapcsolatos szabványokat tartalmazza, melyek egy része előkészítés, illetve korszerűsítés alatt áll, többségük azonban már megjelent és folyamatos korszerűsítés alatt áll. Fordítás Az egyes szabványok többsége magyar szabványként, magyar nyelven nem létezik. Központi elemek A szabványcsaládon belül központi helyet foglal el az ISO/IEC 27000 ill. ISO/IEC 27001 szabvány. ISO27000: A szabványcsalád áttekintését és a valamennyi szabványra érvényes fogalomtárat tartalmazza ISO27001: Általános követelmények 2018. 06. 14. 24

ISO/IEC 27000 szabványcsalád ISO 27000: Áttekintés és szótár ISO 27001: Követelmények Útmutatók: ISO 27002: Code practice ISO 27003: Bevezetés Audit: ISO 27006: Követelmények ISMS tanúsítóknak ISO 27007: ISMS auditálás útmutató ISO 27008: IS kontroll audit útmutató Biztonsági területek, ágazatok: ISO 27004: Mérés ISO 27005: Kockázat mgmt. ISO 27035: Incidens mgmt. ISO 27031: Folytonosság ISO 27033-x: Hálózat biztonság ISO 27034-x: Alkalmazás biztonság ISO 27033-x: Telekommunikáció ISO 27034-x: ISM egészségügyben 2018. 06. 14. 25 Forrás: Móricz Pál, Szenzor Gazdaságkutató KFT

MSZ ISO/IEC 27001 Célja Teljes kőrű információbiztonság megvalósítása szervezeten/szervezeti egységen belül Felépítése Kockázatfelmérés és kockázatjavítás Biztonságpolitika Az információbiztonság szervezete Vagyontárgyak kezelése Emberi erőforrások biztonsága Fizikai és környezeti biztonság A kommunikáció és az üzemeltetés irányítása Hozzáférés ellenőrzés Információs rendszerek beszerzése, fejlesztése és karbantartása Az információbiztonsági incidensek kezelése A működés folytonosságának irányítása Megfelelőség 2018. 06. 14. 26

MSZ ISO/IEC 27001 fejezetei Kockázatfelmérés és kockázatjavítás A kockázatok felmérése A kockázatok értékelése A kockázatok csökkentése Rendszeres tevékenység! Biztonságpolitika A felsővezetés elkötelezettségének kinyilvánítása az informatikai biztonság kialakításához Dokumentált informatikai biztonsági politika A vállalat számára legfontosabb biztonsági elvek, szabványok és követelmények meghatározása Az informatikai biztonság pontos meghatározása, tárgya, keretei, a biztonság fontossága 2018. 06. 14. 27

MSZ ISO/IEC 27001 fejezetei Az információbiztonság szervezete Szervezet kialakítása szükséges az irányított informatikai biztonság megvalósításához. (Vezetői fórum, a szervezet működtetése, koordináció kialakítása, szerepkörök, felelősségek meghatározása, szervezeti együttműködés, tanácsadás, független felülvizsgálat létrehozása) Harmadik féllel kötött szerződések informatikai biztonsági követelményei (titoktartási nyilatkozat, garanciák stb.) Az outsourcing(kiszervezés, vállalkozásba adás) biztonsági szempontjai (a szerződésnek külön kell foglalkoznia a biztonsággal) Segregation of duties (feladatkörök szétválasztása) 2018. 06. 14. 28

Vagyontárgyak kezelése MSZ ISO/IEC 27001 fejezetei Vagyonleltár A felelősségek meghatározása az informatikai vagyon védelmére, az adatgazdák kijelölése, a szervezet adatvagyonának (adatbázisok, alkalmazások, rendszerszoftverek, dokumentációk stb.) felmérése, nyilvántartásba vétele, felelősök névjegyzékének felvétele Információ osztályozási alapelvek és kategóriák, adatok biztonsági osztályozása (nyilvános, belső, bizalmas, szigorúan bizalmas stb.) Az információ minősítése, címkézése, kezelése 2018. 06. 14. 29

MSZ ISO/IEC 27001 fejezetei Emberi erőforrások biztonsága Az alkalmazás feltételei (belépéskor, az alkalmazás folyamán ill. kilépéskor) Munkaköri leírások biztonsági előírásai (biztonsági szerepkörök meghatározása, átvilágítás, a dolgozói titoktartás, alkalmazási feltételek: végzettség, tapasztalat, referenciák) Felhasználói oktatás (informatikai biztonsági oktatás és training) Biztonsági események és üzemzavarok kezelése (biztonsági események, veszélyek jelentése, rögzítése, a tapasztalatok feldolgozása, fegyelmi eljárások) 2018. 06. 14. 30

MSZ ISO/IEC 27001 fejezetei Fizikai és környezeti biztonság Védett és nem védett területek meghatározása (beléptetés rendje, a beléptetés fizikai eszközei, a munkavégzés szabályainak rögzítése, a védelmi rendszerek: beléptető, monitoring és riasztórendszerek kialakítása) Az informatikai eszközök védelme (elhelyezés, szünetmentes energiaellátás, a kábelezés biztonsága, karbantartási szabályok, védelem üzemi területen kívül, hordozható gépek biztonsága, berendezés újrafelhasználás biztonsága) Általános védelmi előírások (védekezés a jogtalan eltulajdonítás ellen: üres íróasztal politika, üres képernyő politika, eszköz kiszállítás szabályozása) 2018. 06. 14. 31

MSZ ISO/IEC 27001 fejezetei A kommunikáció és az üzemeltetés irányítása Üzemeltetési eljárások és felelősségek (dokumentálás, változások követése, fejlesztői és üzemeltetői környezet elkülönülése, fejlesztői és üzemeltetői munkakörök szétválasztása, üzemeltetés külső helyszínen) Rendszerek tervezése és átvétele (üzemeltetés kapacitásának tervezése) Vírusvédelem Rendszerháztartási feladatok (biztonsági másolatok, operátori és rendszernaplók készítése) A hálózat védelme Adathordozók kezelésének biztonsága Információ és szoftvercsere 2018. 06. 14. 32

Hozzáférés ellenőrzés MSZ ISO/IEC 27001 fejezetei A hozzáféréseket meghatározó üzleti követelmények (mindenkinek csak annyi jogosultsága lehet, amennyi a munkája végzéséhez szükséges) A felhasználói hozzáférések kezelése A felhasználó felelősségek (jelszóhasználati szabályok, felügyelet nélkül hagyott eszközök) Hálózati hozzáférés ellenőrzés Hozzáférési jogosultságok az op. rendszerhez Az alkalmazások hozzáférési szabályozása Hozzáférések és a rendszerhasználat ellenőrzése Hordozható eszközök és távmunka 2018. 06. 14. 33

MSZ ISO/IEC 27001 fejezetei Informatikai rendszerek beszerzése, fejlesztése és karbantartása Rendszerek biztonsági követelményei (analízis és specifikációk) Az alkalmazási rendszerek biztonsága (beviteli és feldolgozási kontrollok, kimeneti hitelesítés) Kriptográfiai kontrollok (rejtjelezés, digitális aláírás, letagadhatatlanság, kulcsok védelme) Rendszerállományok biztonsági követelményei Rendszer fejlesztések és karbantartások biztonsága 2018. 06. 14. 34

MSZ ISO/IEC 27001 fejezetei Az információbiztonsági incidensek kezelése HelpDesk biztosítása és szabályozott jelentési folyamat Az incidensek kezelése Tanulás az információbiztonsági incidensekből Bizonyítékok gyűjtése A működés folytonosságának irányítása A működésfolytonosság fenntartásának szempontjai A kockázatok felmérése Működésfolytonossági tervek (BCP, DRP)* készítése és bevezetése Működésfolytonossági tervek tesztelése, értékelése A működésfolytonossági tervek karbantartása, felülvizsgálata, oktatása, tárolása, tesztelése 2018. 06. 14. 35

Megfelelőség MSZ ISO/IEC 27001 fejezetei A jogi követelményeknek és szabványoknak való megfelelés (az alkalmazható jogszabályok meghatározása, a szellemi tulajdon védelme, az adatvédelem és a személyes adatok védelme, kriptográfiai szabályok betartása, jogkövetkezményű bizonyítékok rögzítése) Az információvédelmi politika és a technikai megfelelőség felülvizsgálata Rendszerauditok működése, védelme 2018. 06. 14. 36

Magyar Informatikai Biztonsági Ajánlások (MIBA) Célja A Magyar Informatikai Biztonsági Ajánlások (MIBA) című ajánlássorozat fı célja, hogy biztonságos informatikai rendszerek kialakítását és fenntartását segítse elő. Nemzetközi szabványokhoz és ajánlásokhoz igazodva három részből áll A Magyar Informatikai Biztonsági Keretrendszer (MIBIK) szervezeti szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBIK a biztonságos informatikai rendszerek irányításáért, menedzseléséért felelős vezetőknek, illetve a szervezet egészére vonatkozó követelmények teljesülését értékelő szakembereknek szól. A Magyar Informatikai Biztonság Értékelési és Tanúsítási Séma (MIBÉTS) technológiai szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBÉTS célközönsége az informatikai rendszer kialakításáért, fejlesztéséért felelős vezetők, valamint az informatikai termékek és rendszerek biztonsági értékelését és tanúsítását végző szakemberek köre. Az Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX) olyan szervezeteknek nyújt segítséget biztonságos informatikai rendszereik kialakításához, amelyek nem rendelkeznek jelentősebb informatikai rendszerrel, illetve ehhez elkülönült informatikai személyzettel. Forrás: MIBÉTS 2018. 06. 14. 37

Magyar Informatikai Biztonsági Keretrendszer (MIBIK) Felépítése A MIBIK az ISO/IEC 27001:2005, ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványokon, valamint az irányadó EU és NATO szabályozáson alapul. MIBIK része az Informatikai Biztonsági Irányítási Rendszer (IBIR), amely a szervezet informatikai biztonságának tervezésére, üzemeltetésére, ellenőrzésére és javítására vonatkozik. A MIBIK része az Informatikai Biztonság Irányítási Követelmények (IBIK), amely az informatikai biztonság kezelésének hatékonyabbá tételéhez nyújt segítséget, lehetőséget teremtve a követelmények és feladatok szakmailag egységes kezelésére. A MIBIK része az Informatikai Biztonsági Irányítás Vizsgálata (IBIV), amely az informatikai biztonság ellenőrzéséhez ad módszertani segítséget. Forrás: MIBÉTS 2018. 06. 14. 38

Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) Felépítése és célja Az ISO/IEC 15408:2005 és ISO/IEC 18045:2005 nemzetközi szabványokon, illetve a nemzetközi legjobb gyakorlatokon és nemzeti sémákon alapul. Keretet biztosít arra, hogy az informatikai termékek és rendszerek tekintetében a biztonsági funkciók teljessége és hatásossága értékelésre kerüljön. Értékelési módszertana alkalmas az operációs rendszerek, hardverek, szoftver-alkalmazások, (pl. különböző programnyelveken megírt kritikus alkalmazások) speciális biztonsági szempontjainak értékelésére. Megbízható harmadik felek által végzett biztonsági ellenőrzés és audit egységes szempontrendszerét alkotja. Forrás: MIBÉTS 2018. 06. 14. 39

Célja Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX) Segítséget nyújtson az informatikai biztonság megfelelő szintjének kialakításához önkormányzati és más informatikai szempontból kis méretű környezetben. Javasolt az anyag azon szervezetek számára, ahol a szervezet méreténél fogva nem áll rendelkezésrekülön emberi és egyéb erőforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. Forrás: MIBÉTS 2018. 06. 14. 40

Biztonság kiépítése és fenntartása Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás Az Informatikai Biztonság Irányítási Rendszer létrehozása és működtetése a szervezeten belül IBIR alkalmazása Új informatikai rendszer bevezetése Védelmi követelmények megfogalmazása Informatikai Biztonsági Szabályzat (IBSZ) elkészítése, meglévő aktualizálása (érettségi szinttől függően) IBIK alkalmazása Új informatikai termék vagy rendszer kiválasztása védelmi követelmények alapján az alkalmazás biztonság-kritikusságának felmérése szükség esetén a védelmi (biztonsági) követelményeknek megfelelő, értékelt és tanúsított termékek kiválasztása MIBÉTS 1. számú melléklet: Modell és folyamatok Forrás: MIBÉTS 2018. 06. 14. 41

Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás Biztonság-kritikus termék technológiai szempontú értékelése tanúsítása Amennyiben nincs megfelelően értékelt termék, vagy a termék egy olyan komplex rendszerben kerül alkalmazásra, melynek egységes értékelése is szükséges, a termék vagy a rendszer technológiai szempontú értékeltetése és tanúsíttatása MIBÉTS 2. számú melléklet: Útmutató megbízóknak Biztonság-kritikus termék és rendszer technológiai szempontú értékelése és tanúsítása Szervezeten kívüli feladat Technológiai szempontú értékelésben és tanúsításban érintett külső résztvevők (fejlesztő, vizsgáló laboratórium, tanúsító szervezet) végrehajtják az értékelést és tanúsítást MIBÉTS ajánlás: 3., 4. és 5. számú segédletek (Útmutató fejlesztőknek, Útmutató értékelőknek, Értékelési módszertan) Forrás: MIBÉTS 2018. 06. 14. 42

Magyar Informatikai Biztonsági Ajánlások (MIBA) - Alkalmazás A beszerzett termékek és rendszerek biztonságos üzemeltetése A biztonsági szabályozók és a termék által teljesített (értékelt) biztonsági funkciók feltételrendszerének összhangba hozása IBIK ajánlás A rendszerek és adatok minősítése, a hiányosságok megállapítása Kockázatelemzés Belső ellenőrzések elvégzése Külső audit megrendelése és elfogadása IBIV ajánlás Forrás: MIBÉTS 2018. 06. 14. 43

MSZ ISO/IEC TR 13335-1:2004 MSZ ISO/IEC TR 13335-2:2004 MSZ ISO/IEC TR 13335-3:2004 MSZ ISO/IEC TR 13335-4:2004 Informatika. Az informatikai biztonság menedzselésének irányelvei. 1. rész: Az informatikai biztonság fogalmai és modelljei Informatika. Az informatikai biztonság menedzselésének irányelvei. 2. rész: Az informatikai biztonság menedzselése és tervezése Informatika. Az informatikai biztonság menedzselésének irányelvei. 3. rész: Az informatikai biztonság menedzselésének technikái Informatika. Az informatikai biztonság menedzselésének irányelvei. 4. rész: A biztonsági ellenintézkedések megválasztása 44 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

MSZ ISO/IEC TR 13335-5:2004 Informatika. Az informatikai biztonság menedzselésének irányelvei. 5. rész: A hálózatbiztonság menedzselési útmutatója MSZ ISO/IEC 13888-1:2001 MSZ ISO/IEC 13888-2:2001 Információtechnika. Biztonságtechnika. Letagadhatatlanság. 1. rész: Általános ismertetés Információtechnika. Biztonságtechnika. Letagadhatatlanság. 2. rész: Szimmetrikus technikákon alapuló módszerek MSZ ISO/IEC 13888-3:2001 Információtechnika. Biztonságtechnika. Letagadhatatlanság. 3. rész: Aszimmetrikus technikákon alapuló módszerek 45 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

MSZ ISO/IEC 11770-1:2005 Informatika. Biztonságtechnika. Kulcsgondozás. 1. rész: Keretrendszer MSZ ISO/IEC 9594-8:2004 Informatika. Nyílt rendszerek összekapcsolása. Névtár: A nyilvánoskulcs- és az attribútumtanúsítvány keretszabályai MSZ ISO/IEC 14888-1:2001 MSZ ISO/IEC 14888-2:2001 Információtechnika. Biztonságtechnika. Digitális aláírások függelékkel. 1. rész: Általános ismertetés Információtechnika. Biztonságtechnika. Digitális aláírások függelékkel. 2. rész: Azonosítás alapú módszerek 46 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

MSZ ISO/IEC 14888-3:2001 Információtechnika. Biztonságtechnika. Digitális aláírások függelékkel. 3. rész: Tanúsítvány alapú módszerek MSZ ISO/IEC 15945:2002 Informatika. Biztonságtechnika. Ajánlás/nemzetközi szabvány bizalmi harmadik fél (TTP) digitális aláírások alkalmazását támogató szolgáltatásaira 47 Informatikai rendszerek üzemeltetése és biztonsága Az informatikai biztonságot érintő egyéb szabványok

Köszönöm a figyelmet! 2018. 06. 14. 48

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés