Upload
peigi
View
45
Download
0
Embed Size (px)
DESCRIPTION
Információbiztonság irányítása . Belső kontrollok és integritás szakmai nap 2013.12.12, Szolnok. Horváth Gergely Krisztián, CISA CISM Horvath.gergely.krisztian @ pszfb.bgf.hu. Napirend. Bevezető Fogalmak Jogszabályi háttér Irányítás és az információbiztonság - PowerPoint PPT Presentation
Citation preview
Információbiztonság irányítása
Belső kontrollok és integritás szakmai nap
2013.12.12, SzolnokHorváth Gergely Krisztián, CISA CISM
Napirend
• Bevezető• Fogalmak• Jogszabályi háttér• Irányítás és az információbiztonság• Módszertani és tájékoztató anyagok
BEMSZ
• A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése:– a belső ellenőrzési szakma magyarországi
elfogadtatása, támogatása, fejlesztése, érdekképviselete; – a nemzetközi és európai belső ellenőrzési
ismeretek és szakmai gyakorlat magyarországi megismertetése, – a belső ellenőrök képzése és vizsgáztatása.
Információ, mint értékes erőforrás
• Egyre nő az információ értéke!• Érték, ha –a megfelelő információ –a megfelelő időben, –és az elvárt tartalommal áll
rendelkezésre!
Találós kérdés!•Miért van fék az autókon?
Mi a biztonság?
• Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt(Vasvári, 1997)
Biztonság részleteiben• Bizalmasság: csak korlátozott számú
kevesek ismerhetik.• Sértetlenség: az eredeti állapotának
megfelel, és a forrása is eredeti (hitelesség). • Rendelkezésre állás: az erőforrások olyan
állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).
Fogalmak tisztázása• Adatvédelem (2011. évi CXII. tv)– a hatályos jogszabályok és a szervezet
érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme,
• Adatbiztonság (2013. évi L. tv)– az adatok biztonsága szempontjából az
információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme,
Elvárások és a valóságElvárások:• Információbiztonság
teremtsen értéket• Segítse elő a
szabályszerű működést
• Legyen mérhető megtérülése minden beruházásnak
Valóság gyakran…• Adatbiztonság sérülése
(ÁSZ jelentésekben is!)• Kockázatértékelés hiánya• Ad-hoc intézkedések• Szabálytalanságok• Elmulasztott határidők• Szivárgó információ
Jogi háttér (kivonat)• Létfontosságú infrastruktúra védelme tv. (2012. évi
CLXVI.)• Állami és önkormányzati információbiztonsági tv.
(2013. évi L.)• A minősített adat védelméről szóló tv. (2009.évi CLV.)• Munka törvénykönyve - 208. § (2013. évi I.)• Az információs önrendelkezési jogról és az
információszabadságról tv. - 7. § (2011. évi CXII.)• A Büntető Törvénykönyvről szóló törvény – pl. 375.
§, 423. §, 424. § (2012. évi C. törvény)
Biztonsági Vezető
• A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2))
• Forrás: http://www.nbf.hu/bmbkepz.html
Információbiztonsági felelős (IBF)(elektronikus információs rendszer biztonságáért felelős személy)
• A szervezet vezetője köteles ... • az elektronikus információs rendszer
biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ )
• azonos lehet a biztonsági vezetővel (Mavtv),
• Forrás: 2013. évi L. törvény
Információbiztonság irányítása• Fontos, hogy a vezetők egyéb
kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák.• A szervezetek sikerének egyik kulcsa az
információbiztonság hatékony irányítása.
Információbiztonság irányítása• A megfelelő irányítás alatt a
kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.
Információbiztonság-irányításKapcsolódó fontosabb tevékenységek:
Szervezeti és biztonsági célok illesztése,Szervezeti keretek kialakítása,Kockázatvállalási képesség meghatározása,Megfelelőségi követelmények
meghatározása,Információbiztonsági szabályzat kiadása,Felsővezetői támogatás biztosítása,Információbiztonság figyelemmel kísérése.
Irányítás vs. menedzsment
• Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot.
• A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.
Információbiztonság-menedzsment
Az információbiztonság menedzsment:Az Informatikai szolgáltatások
sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során,
A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,
Információbiztonság modellje• Információbiztonság stratégia–Célok és kapcsolatuk az adott szervezetben
• Információbiztonsági szerepek– Felelősök és feladatok, szervezeti keretek
• Információbiztonsági program–Célkitűzések, megvalósítás módszerei
• Akciótervek (megvalósítás részletei)• Figyelemmel kísérés, visszamérés–Mutatószámok, visszacsatolás
Mit tegyen a vezető?• Alakítsa ki a szervezeti kereteket!• Tudja mik az aktuális problémák!• Tudja, hogy mit kell kérdezni!• Vezetői tudatosságot növelje!• Legyen pontos elképzelése a célokról!• Mérje a teljesítményt!• Ne hagyja abba a biztonság irányítását
KIFÜ tájékoztató• Közérthető nyelvezet• Alapfogalmak
magyarázata• Életszerű példák• Vezetői, ügyintézői és
informatikai segédlet
KIB 25. ajánlás (2008)
• Több kötetben, magyarul • Az információbiztonsági
irányítási és menedzsment útmutatók, jó gyakorlatok
• (több száz oldal!)• Forrás: ekk.gov.hu
ISACA: CobiT 5 for InfoSecurity 2012
• Átfogó információ-biztonság irányítási és menedzsment gyakorlatok
• Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!)
• Forrás: isaca.org
Kérdések?
? ? ?
Vége
Köszönöm a megtisztelő figyelmüket!
Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.