Információbiztonsági kerekasztal-beszélgetés
Az ISO 27001-es tanúsításunk tapasztalatai
Bartek Lehel Zalaszám Informatika Kft. 2012. május 11.
Információbiztonsági kerekasztal-beszélgetés
Az ISO 27000-es szabványsorozat az adatbiztonság – a védelmi rendszer olyan, a védekező számára kielégítő állapota, mely a kezelt adatok bizalmassága, sértetlensége, rendelkezésre állása szempontjából – teljes körű (minden elemre kiterjed), – zárt (minden releváns fenyegetésre kiterjed), – időben folytonos, és a – kockázatokkal arányos
állapotának fenntartására vonatkozó legjobb gyakorlat leírása: Biztonságmenedzsment rendszer kialakítása és üzemeltetése.
Információbiztonsági kerekasztal-beszélgetés
Releváns részei ISO 27001 – ISMS rendszer kialakítása és üzemeltetése – tanúsítható ISO 27002 – Legjobb gyakorlat ISO 27003 – Bevezetés ISO 27004 – Metrikák ISO 27005 – Kockázatelemzési módszertan Stb.
Információbiztonsági kerekasztal-beszélgetés
132 kontrollcél A.5.1 Információbiztonsági politika A6.1. Belső szervezet A6.2. Külső ügyfelek A7. Vagyontárgyak kezelése A8. Az emberi erőforrások biztonsága A9. Fizikai védelem és a környezet védelme A10. A kommunikáció és az üzemeltetés irányítása A11. Hozzáférés-ellenőrzés A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A13. Információbiztonsági incidensek kezelése A14. Működés folytonosságának irányítása A15. Követelményeknek való megfelelés
Információbiztonsági kerekasztal-beszélgetés
PDCA ciklus Tervezés (az ISMS kialakítása) ISMS-politika, -célok, -folyamatok és -eljárások kialakítása. Végrehajtás (az ISMS bevezetése és működtetése) Az ISMS-politika, -intézkedések, -folyamatok és -eljárások bevezetése és működtetése. Ellenőrzés (az ISMS figyelemmel kísérése és átvizsgálása) A folyamatok teljesítményének értékelése, és ahol lehetséges, mérése az ISMS-politikával, -célokkal és a gyakorlati tapasztalatokkal összevetve, továbbá az eredmények jelentése a vezetésnek átvizsgálás céljából. Beavatkozás (az ISMS fenntartása és fejlesztése) Helyesbítő és megelőző tevékenységek végrehajtása a belső ISMS-átvizsgálás (audit) és vezetőségi átvizsgálás eredményei, illetve egyéb lényeges információk alapján az ISMS folyamatos fejlesztése érdekében.
Információbiztonsági kerekasztal-beszélgetés
Kockázatelemzés Eszközök, Fenyegetések Meglevő kontrollok Sérülékenységek Károk, következmények Valószínűségek Kockázatok
Információbiztonsági kerekasztal-beszélgetés
Biztonságmenedzsment mindig, mindenhol van.
Információbiztonsági kerekasztal-beszélgetés
Biztonságmenedzsment mindig, mindenhol van. Csak legfeljebb: • Nem a vezetés igényei szerint • Nem a vezetés támogatásával • Nem alkot rendszert • Nincs felülvizsgálat és fejlesztés • A teljesítményt nem ismerik el
Információbiztonsági kerekasztal-beszélgetés
Bevezetés, első tanúsítás Felkészítő szervezet • Kontrollok áttekintése (lyukak, rendszerbe szervezés, alul- és túlvédekezés), alkalmazási terület • Külső szem, a szokásos megoldásokkal való összehasonlítás • Vezetés szembesítése a nem tudatosan vállalt kockázatokkal • Részvétel a kockázatelemzésben, a szabályozások és folyamatok leírásában • Biztonsági vezető felkészítése • Felkészültség ellenőrzése Legalább egy fő függetlenített hozzáértő A biztonságért felelős munkakörökben megnövekedett munkateher Esetleges beruházások
Információbiztonsági kerekasztal-beszélgetés
Kapcsolat a minőségirányítással Nagy könnyebbség, ha van 9001 Szabvány szinten egymáshoz illesztett rendszerek PDCA ciklus, feljegyzések és kezelésük, stb. azonosak Munkafolyamatok könnyen beilleszthetők – mellé vagy bele? Belső audit – együtt vagy külön?
Információbiztonsági kerekasztal-beszélgetés
Megváltozott működés Alkalmazkodás a környezet változásaihoz A belső (szervezeti és technológiai) változásokhoz A vezetés védelmi igényének, kockázatvállalási hajlandóságának változásához Belső és külső ellenőrzés Mindezek eredménye: Személyi szinten: • Technologizáltabb munkavégzés • A szabályok (legjobb gyakorlat) internalizálódása Cégszinten: • Jogi megfelelés • Megbízhatóság tényleges fejlődése
Információbiztonsági kerekasztal-beszélgetés
Költségek
Költségek
Összköltség
Védelem költsége
Kárérték
Védelem erőssége
Információbiztonsági kerekasztal-beszélgetés
Összefoglalás Az informatikai rendszerek biztonsága egyre kritikusabb terület; Az ISMS biztosítja a téma professzionális megközelítését; A tanúsított rendszer megnyugtató bizonyosságot jelent, és a külső felek részére is igazolja a megbízhatóságot; Garantálja a védelem folyamatos működését, szinten tartását; Javítja a piaci pozíciót, biztosítja a követelményeknek való megfelelést.
Információbiztonsági kerekasztal-beszélgetés
Kérdések?
Elérhetőség:
[email protected]
Köszönöm a figyelmet.
