Transcript BEMSZ Szolnok ea - Infobizt iranyitas

Információbiztonság irányítása
Belső kontrollok és integritás
szakmai nap
2013.12.12, Szolnok
Horváth Gergely Krisztián, CISA CISM
[email protected]
Napirend
•
•
•
•
•
Bevezető
Fogalmak
Jogszabályi háttér
Irányítás és az információbiztonság
Módszertani és tájékoztató anyagok
BEMSZ
• A Belső ellenőrök Magyarországi
Szervezete (BEMSZ) küldetése:
– a belső ellenőrzési szakma magyarországi
elfogadtatása, támogatása, fejlesztése,
érdekképviselete;
– a nemzetközi és európai belső ellenőrzési
ismeretek és szakmai gyakorlat
magyarországi megismertetése,
– a belső ellenőrök képzése és vizsgáztatása.
Információ, mint értékes erőforrás
• Egyre nő az információ értéke!
• Érték, ha
–a megfelelő információ
–a megfelelő időben,
–és az elvárt tartalommal áll
rendelkezésre!
Találós kérdés!
• Miért van fék az autókon?
Mi a biztonság?
• Kedvező állapot, melynek megváltozása
nem valószínű, de nem is kizárt
(Vasvári, 1997)
Biztonság részleteiben
• Bizalmasság: csak korlátozott számú
kevesek ismerhetik.
• Sértetlenség: az eredeti állapotának
megfelel, és a forrása is eredeti (hitelesség).
• Rendelkezésre állás: az erőforrások olyan
állapota, amelyben eredeti rendeltetésének
megfelelő szolgáltatásokat nyújtani tudja
(működőképesség), meghatározott helyen
és időben (elérhetőség).
Fogalmak tisztázása
• Adatvédelem (2011. évi CXII. tv)
– a hatályos jogszabályok és a szervezet
érdekeinek figyelembevételével
meghatározott, a titoktartás körébe
tartozó adatok jogszabályi védelme,
• Adatbiztonság (2013. évi L. tv)
– az adatok biztonsága szempontjából az
információs rendszerek zárt, teljes körű,
folytonos és kockázatokkal arányos
adminisztratív, logikai és fizikai védelme,
Elvárások és a valóság
Elvárások:
• Információbiztonság
teremtsen értéket
• Segítse elő a
szabályszerű
működést
• Legyen mérhető
megtérülése minden
beruházásnak
Valóság gyakran…
• Adatbiztonság sérülése
(ÁSZ jelentésekben is!)
• Kockázatértékelés hiánya
• Ad-hoc intézkedések
• Szabálytalanságok
• Elmulasztott határidők
• Szivárgó információ
Jogi háttér (kivonat)
• Létfontosságú infrastruktúra védelme tv. (2012. évi
CLXVI.)
• Állami és önkormányzati információbiztonsági tv.
(2013. évi L.)
• A minősített adat védelméről szóló tv. (2009.évi CLV.)
• Munka törvénykönyve - 208. § (2013. évi I.)
• Az információs önrendelkezési jogról és az
információszabadságról tv. - 7. § (2011. évi CXII.)
• A Büntető Törvénykönyvről szóló törvény – pl. 375.
§, 423. §, 424. § (2012. évi C. törvény)
Biztonsági Vezető
• A helyi biztonsági felügyelet / biztonsági
vezető feladata a minősített adatok
védelmével kapcsolatos feladatok
végrehajtása és koordinálása.
(Mavtv. 23.§ (2))
• Forrás: http://www.nbf.hu/bmbkepz.html
Információbiztonsági felelős (IBF)
(elektronikus információs rendszer biztonságáért felelős
személy)
• A szervezet vezetője köteles ...
• az elektronikus információs rendszer
biztonságáért felelős személyt nevez ki vagy
bíz meg (11.§ )
• azonos lehet a biztonsági vezetővel (Mavtv),
• Forrás: 2013. évi L. törvény
Információbiztonság irányítása
• Fontos, hogy a vezetők egyéb
kötelezettségeik mellett, illetve azok
szerves részeként az információbiztonsági
tevékenységet is megfelelően irányítsák.
• A szervezetek sikerének egyik kulcsa az
információbiztonság hatékony irányítása.
Információbiztonság irányítása
• A megfelelő irányítás alatt a
kockázatok szisztematikus feltárását és
a szervezet kockázatvállalási
hajlandóságának megfelelő szinten
tartását, a szolgáltatások és az adatok
biztonsági osztályuknak megfelelő
folyamatos védelmét értjük.
Információbiztonság-irányítás
Kapcsolódó fontosabb tevékenységek:
Szervezeti és biztonsági célok illesztése,
Szervezeti keretek kialakítása,
Kockázatvállalási képesség meghatározása,
Megfelelőségi követelmények
meghatározása,
Információbiztonsági szabályzat kiadása,
Felsővezetői támogatás biztosítása,
Információbiztonság figyelemmel kísérése.
Irányítás vs. menedzsment
• Az első számú vezető kötelessége, hogy
stratégiai iránymutatást nyújtsanak, és
ösztönözzék a biztonságtudatos
viselkedést és felügyeljék a biztonságot.
• A biztonságmenedzsment a biztonsági
vezető / felelős felelőssége, operatív napi
szintű tevékenység.
Információbiztonság-menedzsment
Az információbiztonság menedzsment:
Az Informatikai szolgáltatások
sértetlenségének, bizalmasságának és
rendelkezésre állásának biztosítása a napi
működés során,
A szervezet információ tároló és feldolgozó
erőforrásainak informatikai eszközeinek és
technológiai vagyonával történő megfelelő
gazdálkodás,
Információbiztonság modellje
• Információbiztonság stratégia
– Célok és kapcsolatuk az adott szervezetben
• Információbiztonsági szerepek
– Felelősök és feladatok, szervezeti keretek
• Információbiztonsági program
– Célkitűzések, megvalósítás módszerei
• Akciótervek (megvalósítás részletei)
• Figyelemmel kísérés, visszamérés
– Mutatószámok, visszacsatolás
Mit tegyen a vezető?
•
•
•
•
•
•
•
Alakítsa ki a szervezeti kereteket!
Tudja mik az aktuális problémák!
Tudja, hogy mit kell kérdezni!
Vezetői tudatosságot növelje!
Legyen pontos elképzelése a célokról!
Mérje a teljesítményt!
Ne hagyja abba a biztonság irányítását
KIFÜ tájékoztató
• Közérthető nyelvezet
• Alapfogalmak
magyarázata
• Életszerű példák
• Vezetői, ügyintézői és
informatikai segédlet
KIB 25. ajánlás (2008)
• Több kötetben, magyarul
• Az információbiztonsági
irányítási és menedzsment
útmutatók, jó gyakorlatok
• (több száz oldal!)
• Forrás: ekk.gov.hu
ISACA: CobiT 5 for InfoSecurity 2012
• Átfogó információbiztonság irányítási és
menedzsment gyakorlatok
• Az információbiztonság
szempontjából fontos
üzleti szempontból
meghatározó tényezők és
előnyök ismertetése
(kb. 220 oldal!)
• Forrás: isaca.org
Kérdések?
???
Vége
Köszönöm a megtisztelő
figyelmüket!
Szívesen válaszolok a témához
kapcsolódó kérdésekre,
megkeresésekre.