Rendszerszemlélet az információbiztonsági rendszer bevezetésekor
© Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu
Információbiztonsági irányítási rendszer (IBIR) részei
2007
Információs vagyon fenyegetettségeinek átfogó kockázatelemzése kockázatelemzés Védelmi intézkedések, intézkedések eljárások megteremtése és szabályozása – különböző területeken a különböző fenyegetettségekre Menedzsment rendszer – menedzsment elemek kiépítése (hasonló mint a MIR, KIR, MEBIR, …)
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
2
Egyensúlyok a rendszer kiépítésekor … … a különböző területek védelmi intézkedései között (összhang a védelmi célokkal, fenyegetettségekkel; egyenszilárdságú védelem)
… az ugyanarra a védendő alrendszerre / rendszerelemre ható különböző jellegű védelmi intézkedések között (fizikai – logikai – szervezési) … a menedzsment elemek és a technikai szabályozások között
2007
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
3
Az információvédelmi eljárások szakmai területei ¾ objektum, terület védelem, ¾ személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől), ¾ adatok, módszerek, eszközök védelme, ¾ informatikai védelem, (fizikai, logikai és szervezési) ¾ elemi károk, természeti csapások elleni védelem (az információbiztonság szemszögéből). 2007
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
4
Csapatmunkával lehet csak jól csinálni! Csapatmunka kell … … a különböző kompetenciák egyidejű biztosításához: • • •
2007
projektvezetési kompetencia menedzsmentrendszer kiépítési kompetencia Informatikai / információbiztonsági kompetenciák
… a különböző szakmai ismeretek magas szintű alkalmazására – szakemberek együttműködése! … a tanácsadó és a rendszert bevezető cég munkatársainak együttműködésére! Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
5
Út az információbiztonsági irányítási rendszerig
Információbiztonsági problémák a vállalat folyamatai működését, üzleti érdekeit veszélyeztetik ¾Informatikai rendszer rendelkezésre állásának hiánya ¾Alkalmazott hardverek, szoftverek hibás működése ¾Információszivárgás (éles piaci versenyhelyzetben) ¾Stb …
2007
Egyedi szigetmegoldások (védelmi intézkedések) az egyes problémákra Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
6
Út az információbiztonsági irányítási rendszerig
2007
Informatikai biztonsági / információbiztonsági szabályzatok (policy-k) készítése Védelmi intézkedések (policy-k) bevonása a minőségirányítási rendszerbe A külön-külön üzemeltetett védelmi elemek rendszerbe foglalása és együttes üzemeltetése Kockázatkezelés az informatikai / információs rendszer veszélyeztetettségeire Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
7
Út az információbiztonsági irányítási rendszerig
Kockázatkezelés rendszeressé tétele, szabályozásának bevonása a minőségirányítási rendszerbe Üzletmenet-folytonosság tervezése …
Irányítási rendszer lassan már nemcsak az ISO 9001nek, hanem már a 27001 egyre több követelményének is megfelel… Minőségirányítási rendszerből INTEGRÁLT IRÁNYÍTÁSI RENDSZER lesz. lesz
2007
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
8
Átfogó irányítási (menedzsment) rendszerek minőségirányítási rendszer (MIR) (MSZ EN ISO 9001 : 2001); környezetközpontú irányítási rendszer (KIR) (MSZ EN ISO 14001 : 2005);
információbiztonsági irányítási rendszer (IBIR) (MSZ ISO/IEC 27001 : 2006); munkahelyi egészségvédelmi és biztonsági irányítási rendszerek (MEBIR) (MSZ 28001 / 28002 : 2003). stb … 2007
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
9
Integrált irányítási rendszer (IIR) folyamatainak áttekintése Menedzsment döntési folyamatok -Stratégia menedzsment -Kommunikáció -Vezetőségi átvizsgálás
-
Ügyfél
2007
Menedzsment tervezési és támogató folyamatok IIR tervezése IIR dokumentálása IIR fejlesztése Folyamatokhoz erőforrások biztosítása Képzés Karbantartás
Mérések - Technológiai és gazdasági mérések - Folyamatok hatékonyságának mérései - IIR belső auditálása
Főfolyamat
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
Ügyfél
10
Átfedések az irányítási rendszerekben KIR
MIR
ISO 14001
ISO 9001
Környezeti tényezők
Minőségtervezés
tel
mé
e ny
Kö zö s
ve Kö
Jogi és egyéb Gazdálkodás az követelmények Politika erőforrásokkal KörnyezetközponCélok tú irányítási Programok programok Azonosíthatóság és Dokumentáció kezelés Belső-külső és működésszabályozás nyomon kommunikáció követhetőség Képzés, tudatosság Figyelemmel kísérés és mérés Vészhelyzetek Beszerzés Belső audit és vezetői átvizsgálás … … Helyesbítő és megelőző tevékenység
k
Vagyontárgyak osztályozása és felügyelete A védelem fizikai és környezeti vonatkozásai Információbiztonsági kockázatkezelés, ... 2007
IBIR ISO/IEC 27001
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
11
Integrált irányítási rendszer előnyei 9 közös menedzsment elemek közös használata, 9 nincsenek párhuzamos és fölösleges tevékenységek, 9 felelősségek áttekinthetőbbek, egyértelműek, 9 ráfordítások, erőforrások felhasználásának csökkentése, optimalizálása, 9 dokumentációs rendszer mennyiségének csökkentése, 9 könnyebb illesztés a vállalati stratégiához és célokhoz, 9 vállalat hatékonyságának növelése, 2007
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
12
Köszönöm megtisztelő figyelmüket!
2007
Dr. Horváth Zsolt - Rendszerszemlélet az IBIR bevezetésekor
13
