1 / 24

Információbiztonság irányítása

Információbiztonság irányítása . Belső kontrollok és integritás szakmai nap 2013.12.12, Szolnok. Horváth Gergely Krisztián, CISA CISM Horvath.gergely.krisztian @ pszfb.bgf.hu. Napirend. Bevezető Fogalmak Jogszabályi háttér Irányítás és az információbiztonság

peigi
Download Presentation

Információbiztonság irányítása

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Információbiztonság irányítása Belső kontrollok és integritás szakmai nap2013.12.12, Szolnok Horváth Gergely Krisztián, CISA CISM Horvath.gergely.krisztian@pszfb.bgf.hu

  2. Napirend • Bevezető • Fogalmak • Jogszabályi háttér • Irányítás és az információbiztonság • Módszertani és tájékoztató anyagok

  3. BEMSZ • A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése: • a belső ellenőrzési szakma magyarországi elfogadtatása, támogatása, fejlesztése, érdekképviselete; • a nemzetközi és európai belső ellenőrzési ismeretek és szakmai gyakorlat magyarországi megismertetése, • a belső ellenőrök képzése és vizsgáztatása.

  4. Információ, mint értékes erőforrás • Egyre nő az információ értéke! • Érték, ha • a megfelelő információ • amegfelelő időben, • és az elvárt tartalommal áll rendelkezésre!

  5. Találós kérdés! • Miért van fék az autókon?

  6. Mi a biztonság? • Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt(Vasvári, 1997)

  7. Biztonság részleteiben • Bizalmasság: csak korlátozott számú kevesek ismerhetik. • Sértetlenség: az eredeti állapotának megfelel, és a forrása is eredeti (hitelesség). • Rendelkezésre állás: az erőforrások olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).

  8. Fogalmak tisztázása • Adatvédelem (2011. évi CXII. tv) • a hatályos jogszabályok és a szervezet érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme, • Adatbiztonság (2013. évi L. tv) • az adatok biztonsága szempontjából az információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme,

  9. Elvárások és a valóság Elvárások: Valóság gyakran… Adatbiztonság sérülése (ÁSZ jelentésekben is!) Kockázatértékelés hiánya Ad-hocintézkedések Szabálytalanságok Elmulasztott határidők Szivárgó információ • Információbiztonság teremtsen értéket • Segítse elő a szabályszerű működést • Legyen mérhető megtérülése minden beruházásnak

  10. Jogi háttér (kivonat) • Létfontosságú infrastruktúra védelme tv. (2012. évi CLXVI.) • Állami és önkormányzati információbiztonsági tv. (2013. évi L.) • A minősített adat védelméről szóló tv. (2009.évi CLV.) • Munka törvénykönyve - 208. § (2013. évi I.) • Az információs önrendelkezési jogról és az információszabadságról tv. - 7. § (2011. évi CXII.) • A Büntető Törvénykönyvről szóló törvény – pl. 375. §, 423. §, 424. § (2012. évi C. törvény)

  11. Biztonsági Vezető • A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2)) • Forrás: http://www.nbf.hu/bmbkepz.html

  12. Információbiztonsági felelős (IBF)(elektronikus információs rendszer biztonságáért felelős személy) • A szervezet vezetője köteles ... • az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ ) • azonos lehet a biztonsági vezetővel (Mavtv), • Forrás: 2013. évi L. törvény

  13. Információbiztonság irányítása • Fontos, hogy a vezetők egyéb kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák. • A szervezetek sikerének egyik kulcsa az információbiztonság hatékony irányítása.

  14. Információbiztonság irányítása • A megfelelő irányítás alatt a kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.

  15. Információbiztonság-irányítás • Kapcsolódó fontosabb tevékenységek: • Szervezeti és biztonsági célok illesztése, • Szervezeti keretek kialakítása, • Kockázatvállalási képesség meghatározása, • Megfelelőségi követelmények meghatározása, • Információbiztonsági szabályzat kiadása, • Felsővezetői támogatás biztosítása, • Információbiztonság figyelemmel kísérése.

  16. Irányítás vs. menedzsment • Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot. • A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.

  17. Információbiztonság-menedzsment Az információbiztonság menedzsment: • Az Informatikai szolgáltatások sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során, • A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,

  18. Információbiztonság modellje • Információbiztonság stratégia • Célok és kapcsolatuk az adott szervezetben • Információbiztonsági szerepek • Felelősök és feladatok, szervezeti keretek • Információbiztonsági program • Célkitűzések, megvalósítás módszerei • Akciótervek (megvalósítás részletei) • Figyelemmel kísérés, visszamérés • Mutatószámok, visszacsatolás

  19. Mit tegyen a vezető? • Alakítsa ki a szervezeti kereteket! • Tudja mik az aktuális problémák! • Tudja, hogy mit kell kérdezni! • Vezetői tudatosságot növelje! • Legyen pontos elképzelése a célokról! • Mérje a teljesítményt! • Ne hagyja abba a biztonság irányítását

  20. KIFÜ tájékoztató • Közérthető nyelvezet • Alapfogalmak magyarázata • Életszerű példák • Vezetői, ügyintézői és informatikai segédlet

  21. KIB 25. ajánlás (2008) • Több kötetben, magyarul • Az információbiztonsági irányítási és menedzsment útmutatók, jó gyakorlatok • (több száz oldal!) • Forrás: ekk.gov.hu

  22. ISACA: CobiT 5 forInfoSecurity 2012 • Átfogó információ-biztonság irányítási és menedzsment gyakorlatok • Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!) • Forrás: isaca.org

  23. Kérdések? ? ? ?

  24. Vége Köszönöm a megtisztelő figyelmüket! Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.

More Related