Információbiztonság irányítása

Belső kontrollok és integritás szakmai nap

2013.12.12, SzolnokHorváth Gergely Krisztián, CISA CISM

Horvath.gergely.krisztian@pszfb.bgf.hu

Napirend

• Bevezető• Fogalmak• Jogszabályi háttér• Irányítás és az információbiztonság• Módszertani és tájékoztató anyagok

BEMSZ

• A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése:– a belső ellenőrzési szakma magyarországi

elfogadtatása, támogatása, fejlesztése, érdekképviselete; – a nemzetközi és európai belső ellenőrzési

ismeretek és szakmai gyakorlat magyarországi megismertetése, – a belső ellenőrök képzése és vizsgáztatása.

Információ, mint értékes erőforrás

• Egyre nő az információ értéke!• Érték, ha –a megfelelő információ –a megfelelő időben, –és az elvárt tartalommal áll

rendelkezésre!

Találós kérdés!•Miért van fék az autókon?

Mi a biztonság?

• Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt(Vasvári, 1997)

Biztonság részleteiben• Bizalmasság: csak korlátozott számú

kevesek ismerhetik.• Sértetlenség: az eredeti állapotának

megfelel, és a forrása is eredeti (hitelesség). • Rendelkezésre állás: az erőforrások olyan

állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).

Fogalmak tisztázása• Adatvédelem (2011. évi CXII. tv)– a hatályos jogszabályok és a szervezet

érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme,

• Adatbiztonság (2013. évi L. tv)– az adatok biztonsága szempontjából az

információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme,

Elvárások és a valóságElvárások:• Információbiztonság

teremtsen értéket• Segítse elő a

szabályszerű működést

• Legyen mérhető megtérülése minden beruházásnak

Valóság gyakran…• Adatbiztonság sérülése

(ÁSZ jelentésekben is!)• Kockázatértékelés hiánya• Ad-hoc intézkedések• Szabálytalanságok• Elmulasztott határidők• Szivárgó információ

Jogi háttér (kivonat)• Létfontosságú infrastruktúra védelme tv. (2012. évi

CLXVI.)• Állami és önkormányzati információbiztonsági tv.

(2013. évi L.)• A minősített adat védelméről szóló tv. (2009.évi CLV.)• Munka törvénykönyve - 208. § (2013. évi I.)• Az információs önrendelkezési jogról és az

információszabadságról tv. - 7. § (2011. évi CXII.)• A Büntető Törvénykönyvről szóló törvény – pl. 375.

§, 423. §, 424. § (2012. évi C. törvény)

Biztonsági Vezető

• A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2))

• Forrás: http://www.nbf.hu/bmbkepz.html

Információbiztonsági felelős (IBF)(elektronikus információs rendszer biztonságáért felelős személy)

• A szervezet vezetője köteles ... • az elektronikus információs rendszer

biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ )

• azonos lehet a biztonsági vezetővel (Mavtv),

• Forrás: 2013. évi L. törvény

Információbiztonság irányítása• Fontos, hogy a vezetők egyéb

kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák.• A szervezetek sikerének egyik kulcsa az

információbiztonság hatékony irányítása.

Információbiztonság irányítása• A megfelelő irányítás alatt a

kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.

Információbiztonság-irányításKapcsolódó fontosabb tevékenységek:

Szervezeti és biztonsági célok illesztése,Szervezeti keretek kialakítása,Kockázatvállalási képesség meghatározása,Megfelelőségi követelmények

meghatározása,Információbiztonsági szabályzat kiadása,Felsővezetői támogatás biztosítása,Információbiztonság figyelemmel kísérése.

Irányítás vs. menedzsment

• Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot.

• A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.

Információbiztonság-menedzsment

Az információbiztonság menedzsment:Az Informatikai szolgáltatások

sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során,

A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,

Információbiztonság modellje• Információbiztonság stratégia–Célok és kapcsolatuk az adott szervezetben

• Információbiztonsági szerepek– Felelősök és feladatok, szervezeti keretek

• Információbiztonsági program–Célkitűzések, megvalósítás módszerei

• Akciótervek (megvalósítás részletei)• Figyelemmel kísérés, visszamérés–Mutatószámok, visszacsatolás

Mit tegyen a vezető?• Alakítsa ki a szervezeti kereteket!• Tudja mik az aktuális problémák!• Tudja, hogy mit kell kérdezni!• Vezetői tudatosságot növelje!• Legyen pontos elképzelése a célokról!• Mérje a teljesítményt!• Ne hagyja abba a biztonság irányítását

KIFÜ tájékoztató• Közérthető nyelvezet• Alapfogalmak

magyarázata• Életszerű példák• Vezetői, ügyintézői és

informatikai segédlet

KIB 25. ajánlás (2008)

• Több kötetben, magyarul • Az információbiztonsági

irányítási és menedzsment útmutatók, jó gyakorlatok

• (több száz oldal!)• Forrás: ekk.gov.hu

ISACA: CobiT 5 for InfoSecurity 2012

• Átfogó információ-biztonság irányítási és menedzsment gyakorlatok

• Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!)

• Forrás: isaca.org

Kérdések?

? ? ?

Vége

Köszönöm a megtisztelő figyelmüket!

Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.