Download - Információbiztonság irányítása
![Page 1: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/1.jpg)
Információbiztonság irányítása
Belső kontrollok és integritás szakmai nap
2013.12.12, SzolnokHorváth Gergely Krisztián, CISA CISM
![Page 2: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/2.jpg)
Napirend
• Bevezető• Fogalmak• Jogszabályi háttér• Irányítás és az információbiztonság• Módszertani és tájékoztató anyagok
![Page 3: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/3.jpg)
BEMSZ
• A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése:– a belső ellenőrzési szakma magyarországi
elfogadtatása, támogatása, fejlesztése, érdekképviselete; – a nemzetközi és európai belső ellenőrzési
ismeretek és szakmai gyakorlat magyarországi megismertetése, – a belső ellenőrök képzése és vizsgáztatása.
![Page 4: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/4.jpg)
Információ, mint értékes erőforrás
• Egyre nő az információ értéke!• Érték, ha –a megfelelő információ –a megfelelő időben, –és az elvárt tartalommal áll
rendelkezésre!
![Page 5: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/5.jpg)
Találós kérdés!•Miért van fék az autókon?
![Page 6: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/6.jpg)
Mi a biztonság?
• Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt(Vasvári, 1997)
![Page 7: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/7.jpg)
Biztonság részleteiben• Bizalmasság: csak korlátozott számú
kevesek ismerhetik.• Sértetlenség: az eredeti állapotának
megfelel, és a forrása is eredeti (hitelesség). • Rendelkezésre állás: az erőforrások olyan
állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).
![Page 8: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/8.jpg)
Fogalmak tisztázása• Adatvédelem (2011. évi CXII. tv)– a hatályos jogszabályok és a szervezet
érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme,
• Adatbiztonság (2013. évi L. tv)– az adatok biztonsága szempontjából az
információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme,
![Page 9: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/9.jpg)
Elvárások és a valóságElvárások:• Információbiztonság
teremtsen értéket• Segítse elő a
szabályszerű működést
• Legyen mérhető megtérülése minden beruházásnak
Valóság gyakran…• Adatbiztonság sérülése
(ÁSZ jelentésekben is!)• Kockázatértékelés hiánya• Ad-hoc intézkedések• Szabálytalanságok• Elmulasztott határidők• Szivárgó információ
![Page 10: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/10.jpg)
Jogi háttér (kivonat)• Létfontosságú infrastruktúra védelme tv. (2012. évi
CLXVI.)• Állami és önkormányzati információbiztonsági tv.
(2013. évi L.)• A minősített adat védelméről szóló tv. (2009.évi CLV.)• Munka törvénykönyve - 208. § (2013. évi I.)• Az információs önrendelkezési jogról és az
információszabadságról tv. - 7. § (2011. évi CXII.)• A Büntető Törvénykönyvről szóló törvény – pl. 375.
§, 423. §, 424. § (2012. évi C. törvény)
![Page 11: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/11.jpg)
Biztonsági Vezető
• A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2))
• Forrás: http://www.nbf.hu/bmbkepz.html
![Page 12: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/12.jpg)
Információbiztonsági felelős (IBF)(elektronikus információs rendszer biztonságáért felelős személy)
• A szervezet vezetője köteles ... • az elektronikus információs rendszer
biztonságáért felelős személyt nevez ki vagy bíz meg (11.§ )
• azonos lehet a biztonsági vezetővel (Mavtv),
• Forrás: 2013. évi L. törvény
![Page 13: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/13.jpg)
Információbiztonság irányítása• Fontos, hogy a vezetők egyéb
kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák.• A szervezetek sikerének egyik kulcsa az
információbiztonság hatékony irányítása.
![Page 14: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/14.jpg)
Információbiztonság irányítása• A megfelelő irányítás alatt a
kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.
![Page 15: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/15.jpg)
Információbiztonság-irányításKapcsolódó fontosabb tevékenységek:
Szervezeti és biztonsági célok illesztése,Szervezeti keretek kialakítása,Kockázatvállalási képesség meghatározása,Megfelelőségi követelmények
meghatározása,Információbiztonsági szabályzat kiadása,Felsővezetői támogatás biztosítása,Információbiztonság figyelemmel kísérése.
![Page 16: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/16.jpg)
Irányítás vs. menedzsment
• Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot.
• A biztonságmenedzsment a biztonsági vezető / felelős felelőssége, operatív napi szintű tevékenység.
![Page 17: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/17.jpg)
Információbiztonság-menedzsment
Az információbiztonság menedzsment:Az Informatikai szolgáltatások
sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során,
A szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,
![Page 18: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/18.jpg)
Információbiztonság modellje• Információbiztonság stratégia–Célok és kapcsolatuk az adott szervezetben
• Információbiztonsági szerepek– Felelősök és feladatok, szervezeti keretek
• Információbiztonsági program–Célkitűzések, megvalósítás módszerei
• Akciótervek (megvalósítás részletei)• Figyelemmel kísérés, visszamérés–Mutatószámok, visszacsatolás
![Page 19: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/19.jpg)
Mit tegyen a vezető?• Alakítsa ki a szervezeti kereteket!• Tudja mik az aktuális problémák!• Tudja, hogy mit kell kérdezni!• Vezetői tudatosságot növelje!• Legyen pontos elképzelése a célokról!• Mérje a teljesítményt!• Ne hagyja abba a biztonság irányítását
![Page 20: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/20.jpg)
KIFÜ tájékoztató• Közérthető nyelvezet• Alapfogalmak
magyarázata• Életszerű példák• Vezetői, ügyintézői és
informatikai segédlet
![Page 21: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/21.jpg)
KIB 25. ajánlás (2008)
• Több kötetben, magyarul • Az információbiztonsági
irányítási és menedzsment útmutatók, jó gyakorlatok
• (több száz oldal!)• Forrás: ekk.gov.hu
![Page 22: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/22.jpg)
ISACA: CobiT 5 for InfoSecurity 2012
• Átfogó információ-biztonság irányítási és menedzsment gyakorlatok
• Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!)
• Forrás: isaca.org
![Page 23: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/23.jpg)
Kérdések?
? ? ?
![Page 24: Információbiztonság irányítása](https://reader036.vdocuments.pub/reader036/viewer/2022081517/56815d51550346895dcb5a30/html5/thumbnails/24.jpg)
Vége
Köszönöm a megtisztelő figyelmüket!
Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.