Informcibiztonsg irnytsa Bels kontrollok s integrits szakmai nap
Információbiztonság irányítása Belső kontrollok és integritás szakmai nap 2013. 12, Szolnok Horváth Gergely Krisztián, CISA CISM Horvath. gergely. krisztian@pszfb. bgf. hu
Napirend • • • Bevezető Fogalmak Jogszabályi háttér Irányítás és az információbiztonság Módszertani és tájékoztató anyagok
BEMSZ • A Belső ellenőrök Magyarországi Szervezete (BEMSZ) küldetése: – a belső ellenőrzési szakma magyarországi elfogadtatása, támogatása, fejlesztése, érdekképviselete; – a nemzetközi és európai belső ellenőrzési ismeretek és szakmai gyakorlat magyarországi megismertetése, – a belső ellenőrök képzése és vizsgáztatása.
Információ, mint értékes erőforrás • Egyre nő az információ értéke! • Érték, ha – a megfelelő információ – a megfelelő időben, – és az elvárt tartalommal áll rendelkezésre!
Találós kérdés! • Miért van fék az autókon?
Mi a biztonság? • Kedvező állapot, melynek megváltozása nem valószínű, de nem is kizárt (Vasvári, 1997)
Biztonság részleteiben • Bizalmasság: csak korlátozott számú kevesek ismerhetik. • Sértetlenség: az eredeti állapotának megfelel, és a forrása is eredeti (hitelesség). • Rendelkezésre állás: az erőforrások olyan állapota, amelyben eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja (működőképesség), meghatározott helyen és időben (elérhetőség).
Fogalmak tisztázása • Adatvédelem (2011. évi CXII. tv) – a hatályos jogszabályok és a szervezet érdekeinek figyelembevételével meghatározott, a titoktartás körébe tartozó adatok jogszabályi védelme, • Adatbiztonság (2013. évi L. tv) – az adatok biztonsága szempontjából az információs rendszerek zárt, teljes körű, folytonos és kockázatokkal arányos adminisztratív, logikai és fizikai védelme,
Elvárások és a valóság Elvárások: • Információbiztonság teremtsen értéket • Segítse elő a szabályszerű működést • Legyen mérhető megtérülése minden beruházásnak Valóság gyakran… • Adatbiztonság sérülése (ÁSZ jelentésekben is!) • Kockázatértékelés hiánya • Ad-hoc intézkedések • Szabálytalanságok • Elmulasztott határidők • Szivárgó információ
Jogi háttér (kivonat) • Létfontosságú infrastruktúra védelme tv. (2012. évi CLXVI. ) • Állami és önkormányzati információbiztonsági tv. (2013. évi L. ) • A minősített adat védelméről szóló tv. (2009. évi CLV. ) • Munka törvénykönyve - 208. § (2013. évi I. ) • Az információs önrendelkezési jogról és az információszabadságról tv. - 7. § (2011. évi CXII. ) • A Büntető Törvénykönyvről szóló törvény – pl. 375.
Biztonsági Vezető • A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23. § (2)) • Forrás: http: //www. nbf. hu/bmbkepz. html
Információbiztonsági felelős (IBF) (elektronikus információs rendszer biztonságáért felelős személy) • A szervezetője köteles. . . • az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg (11. § ) • azonos lehet a biztonsági vezetővel (Mavtv), • Forrás: 2013. évi L. törvény
Információbiztonság irányítása • Fontos, hogy a vezetők egyéb kötelezettségeik mellett, illetve azok szerves részeként az információbiztonsági tevékenységet is megfelelően irányítsák. • A szervezetek sikerének egyik kulcsa az információbiztonság hatékony irányítása.
Információbiztonság irányítása • A megfelelő irányítás alatt a kockázatok szisztematikus feltárását és a szervezet kockázatvállalási hajlandóságának megfelelő szinten tartását, a szolgáltatások és az adatok biztonsági osztályuknak megfelelő folyamatos védelmét értjük.
Információbiztonság-irányítás ØKapcsolódó fontosabb tevékenységek: ØSzervezeti és biztonsági célok illesztése, ØSzervezeti keretek kialakítása, ØKockázatvállalási képesség meghatározása, ØMegfelelőségi követelmények meghatározása, ØInformációbiztonsági szabályzat kiadása, ØFelsővezetői támogatás biztosítása, ØInformációbiztonság figyelemmel kísérése.
Irányítás vs. menedzsment • Az első számú vezető kötelessége, hogy stratégiai iránymutatást nyújtsanak, és ösztönözzék a biztonságtudatos viselkedést és felügyeljék a biztonságot. • A biztonságmenedzsment a biztonsági vezető / felelőssége, operatív napi szintű tevékenység.
Információbiztonság-menedzsment Az információbiztonság menedzsment: ØAz Informatikai szolgáltatások sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása a napi működés során, ØA szervezet információ tároló és feldolgozó erőforrásainak informatikai eszközeinek és technológiai vagyonával történő megfelelő gazdálkodás,
Információbiztonság modellje • Információbiztonság stratégia – Célok és kapcsolatuk az adott szervezetben • Információbiztonsági szerepek – Felelősök és feladatok, szervezeti keretek • Információbiztonsági program – Célkitűzések, megvalósítás módszerei • Akciótervek (megvalósítás részletei) • Figyelemmel kísérés, visszamérés – Mutatószámok, visszacsatolás
Mit tegyen a vezető? • • Alakítsa ki a szervezeti kereteket! Tudja mik az aktuális problémák! Tudja, hogy mit kell kérdezni! Vezetői tudatosságot növelje! Legyen pontos elképzelése a célokról! Mérje a teljesítményt! Ne hagyja abba a biztonság irányítását
KIFÜ tájékoztató • Közérthető nyelvezet • Alapfogalmak magyarázata • Életszerű példák • Vezetői, ügyintézői és informatikai segédlet
KIB 25. ajánlás (2008) • Több kötetben, magyarul • Az információbiztonsági irányítási és menedzsment útmutatók, jó gyakorlatok • (több száz oldal!) • Forrás: ekk. gov. hu
ISACA: Cobi. T 5 for Info. Security 2012 • Átfogó információbiztonság irányítási és menedzsment gyakorlatok • Az információbiztonság szempontjából fontos üzleti szempontból meghatározó tényezők és előnyök ismertetése (kb. 220 oldal!) • Forrás: isaca. org
Kérdések? ? ? ?
Vége Köszönöm a megtisztelő figyelmüket! Szívesen válaszolok a témához kapcsolódó kérdésekre, megkeresésekre.
- Slides: 24