ISO/IEC 15408-1,2,3 szabványok

Információbiztonsági felmérés

A valós üzleti károkat, habár nyilvánosságra nem kerülnek, rosszindulatú betörés vagy gondatlan adatkezelésből származó adatvesztés okoz. Biztonságban érzi magát?

Pillantson be Vállalkozása információbiztonsági helyzetébe! Jelen kérdéseket elolvasva szakmai ismeretek nélkül is közelebb kerülhet a válaszhoz.

 

Információbiztonsági szabályzat

1. Milyen formában létezik Önöknél az információ biztonsági szabályzat?

a) írott dokumentum, pontosan szabályozott intézkedésekkel

b) az információbiztonságért felelős személy szóbeli tájékoztatása

c) egyáltalán nincs ilyen szabályzat

2. Milyen időközönként vizsgálják az információ biztonság állapotát?

a) rendszeres időközönként, tekintet nélkül a változásokra

b) csak személyi, szervezési vagy technikai változások esetén

c) egyáltalán nem vizsgáljuk az információbiztonság állapotát

 

Az információbiztonság szervezete

3. Ki foglalkozik Önöknél az információ biztonsággal?

a) kizárólag ezzel a feladatkörrel megbízott személy/vezető

b) a feladatkörrel részfeladatként megbízott személy/vezető

c) nem foglakozik senki a feladatkörrel

 

Vagyontárgyak kezelése, felelősség a vagyontárgyakért

4. A szervezetnél dolgozó munkatársak milyen korlátozásokkal férhetnek hozzá a szervezet vagyontárgyaihoz és információihoz?

a) az adott munkakört érintő, szigorúan behatárolt, hierarchikus jogosultsággal

b) bizonyos korlátozással, de nem az adott munkakör szerint, hanem a lehetőségekhez mérten, pl. bizonyos helyiséghez nincs mindenkinek kulcsa.

c) ha belső munkatárs, akkor korlátlanul hozzáférhet bármihez

5. Milyen nyilvántartással rendelkeznek a szervezet információ feldolgozással kapcsolatos eszközeiről (a könyvelés eszköznyilvántartásán kívül)?

a) pontos, rendszeres leltárral, írásban dokumentált nyilvántartással

b) a feladatkörrel megbízott személy saját belátása szerint vezet nyilvántartást

c) nincs ilyen nyilvántartás

 

Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!

 

Az emberi erőforrások biztonsága

6. Létezik-e kidolgozott eljárásrend a munkatársak, szerződő felek információ biztonsággal kapcsolatos feladat- és felelősségi körének rögzítésére?

a) igen, pontos dokumentált szabályzat szerint

b) nincs dokumentálva, nagyjából mindenkire azonos íratlan szabályok érvényesek

c) nincs ilyen eljárásrend

7. Szervezetük munkavállalási vagy egyéb munkavégzéssel, külső felek együttműködésével kapcsolatos szerződései tartalmaznak-e az információ biztonságra kiterjedő felelősségi kitételeket?

a) pontosan rögzített felelősségi és titoktartási szabályzat szerint szerződünk

b) csak az általános kötelezettségeket és jogokat rögzítjük a szerződésekben

8. Az információ biztonsággal kapcsolatos szabályok betartására milyen ellenőrzési módszereket alkalmaznak?

a) a vezetőség belátása szerint ellenőrzi a beosztottakat, szerződéses partnereket

b) rendszeres és szúrópróba jellegű, írásban rögzített ellenőrzési módok szerint járunk el

c) adott felelősségi körrel rendelkező vezetők külön-külön ellenőriznek a saját feladatuk szerint, pl. informatikai vezető az eszközök megfelelő használatát, stb.

 

Fizikai védelem

9. Milyen szempontokat vesznek figyelembe a szervezet informatikai eszközeinek elhelyezésekor?

a) ergonómiai szempontokat, könnyű kezelhetőség és hozzáférhetőség

b) az ergonómiai szempontokon kívül tűzvédelmi és elektrosztatikai védelmet, valamint fizikai károsodási lehetőségeket (pl. áru-, eszközmozgatás, takarítás közbeni sérülés) is igyekszünk kiszűrni

c) ergonómiai és kárvédelmi szempontok mellett a kulcseszközöket (pl. fájlszerver) külső felek által nem megfigyelhető módon tároljuk és kezeljük

10. Mi az eljárás a szervezet adathordozóinak kiselejtezése esetén?

a) az adatokat elektronikus úton töröljük, ha az eszközök működőképesek

b) az adathordozókat fizikailag is megsemmisítjük, tekintet nélkül az eszköz működőképességére

 

Üzemeltetés irányítása

Üzemeltetési eljárások és felelősségi körök

11. Milyen módon dokumentálják a szervezet üzemeltetési eljárásait?

a) az üzemeltetés helyén megtalálható az adott tevékenység részletes leírása

b) egy-egy tevékenység üzemeltetési dokumentációján kívül működtetési naplót is vezetünk, ha a tevékenység ezt megkívánja

c) csak általános leírás létezik, központi helyen tárolva

d) nincs ilyen dokumentáció, az üzemeltetés betanítása a munkatárs szaktudására van bízva az adott feladat ellátása

Biztonsági adatlapok

Rendszertervezés és elfogadás

12. Milyen módszert alkalmaznak az információtárolás és feldolgozás eszközkapacitási szükségleteinek feltárására és kielégítésére?

a) akkor szerezzük be a szükséges eszközöket és akkor változtatunk bizonyos módszereken, ha konkrét fejlesztési szükséglet (pl. megtelnek az adattárolók) merül fel.

b) előre kidolgozott terv alapján fejlesztünk annak érdekében, hogy az esetleges fejlesztések és a megnövekedett kapacitásigény miatt szükséges változtatások végrehajtásával a munkafolyamatokban ne legyen fennakadás.

 

Védelem a rosszindulatú és mobil kódok ellen

13. Milyen módon tudatosítják a felhasználókban a rosszindulatú és mobil kódok elleni védekezés fontosságát?

a) eleve olyan munkatársakat válogatunk, akik felhasználói szinten tisztában vannak a problémával

b) a felhasználói tevékenység megkezdése előtt szóbeli tájékoztatással

c) a felhasználói tevékenység megkezdése előtt szóbeli tájékoztatással és rendszeres előadásokat szervezünk a témában, valamint állandó rendszergazdai felügyelettel is besegítünk

 

Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!

 

Biztonsági mentés

14. Milyen módszert alkalmaznak az üzemelés során keletkező adatok és információk biztonsági mentésére?

a) bizonyos időközönként manuális mentés optikai tárolókra (CD, DVD).

b) az adatok központi fájlszerveren vannak tárolva, ahol rendszeres és automatikus biztonsági mentést alkalmazunk

 

Hálózatbiztonság kezelése

15. A rendszergazda milyen gyakran ellenőrzi a meglévő hálózati rendszer hibáit, biztonsági réseit?

a) általában egy rendszer új verziójának telepítésekor

b) rendszeres időközönként, szúrópróbaszerű ellenőrzéssel

c) a rendszergazda folyamatosan figyelemmel követi a felmerülő biztonsági réseket és lehetőség szerint azonnal javítja

 

Adathordozók kezelése

16. Milyen módszert alkalmaznak a szervezet adathordózóinak nyilvántartására?

a) egyszerű leltár alapján tartjuk nyilván az eszközöket, a munkatársak korlátozás nélkül hozzáférhetnek az eszközökhöz

b) megfelelő nyilvántartás mellett az adathordozókhoz korlátozás nélkül hozzáférhetnek a szervezet munkatársai, de minden tevékenység megfigyelés alatt áll és naplózásra kerül

c) semmilyen adathordozók nem lehet engedély és dokumentálás nélkül sem behozni, sem kivinni a szervezet területén, az adathordozók használata megfigyelés és naplozás alatt áll.

 

Figyelemmel kísérés (monitoring)

17. Milyen módon figyelik a felhasználói és adminisztrátori tevékenységeket és az információbiztonsági eseményeket?

a) minden tevékenység és esemény naplózva van, hiba esetén utólagosan visszakereshetők az esemény körülményei

b) minden tevékenység és esemény naplózva van, a hibaészleléstől fügetlenül rendszeresen átvizgáljuk a naplót.

c) csak a felhasználói tevékenységeket naplózzuk és figyeljük

 

Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!

 

Hozzáférés-ellenőrzés

A hozzáférés-ellenőrzéshez fűződő működési követelmény

18. Milyen módon szabályozzák az információkhoz való hozzáférést?

a) szóbeli megegyezés alapján

b) írásos, belső szabályzat alapján

c) írásos, belső szabályzat alapján és a változásokat (új felhasználó, felhasználó megszűnése, jogosultság változások) írásos dokumentumban naplózzuk

 

Felhasználói hozzáférés irányítása

19. Mi a módszer a belépési kódok és jelszavak meghatározására?

a) nincs több szintű jogosultság, ezért nem alkalmazunk jelszavakat sem

b) a felhasználók saját maga határozzák meg jelszavaikat

c) a megfelelő szabvány szerint előállított jelszavakat a rendszergazda osztja ki amit később a felhasználó azonos mintára megváltoztathat

 

Hálózati szintű hozzáférés ellenőrzés

20. Milyen jogosultsági szinteket alkalmaznak a hálózati hozzáférésben?

a) azonos szint érvényes minden munkatársra, akinek belépési kódja van, az bármihez hozzáférhet a belső hálózaton

b) többféle jogosultsági szint létezik, a felhasználó csak a saját illetékességének megfelelő információhoz férhet hozzá

Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!

 

Operációs rendszer szintű hozzáférés-ellenőrzés

21. Számítógépes hálózatukban mekkora szabadságot élveznek az egyes felhasználók a saját munkaállomásaikon?

a) a saját gépükön korlátlanul telepíthetnek bármilyen programot és korlátozás nélkül használhatják az internet elérést az adott sávszélességen belül, de minden tevékenység naplózva van.

b) csak a rendszergazda engedélyével telepíthetnek bármilyen programot, az internet elérés egyébként nincs korlátozva, csak naplózva és megfigyelve.

c) Önállóan nem képesek semmilyen rendszer vagy program telepítésére, ezt csak a rendszergazda teheti meg. Szükség szerint az internet használat is technikailag korlátozott, a nem kívánt tartalmak és webhelyek szűrve vannak és a kommunikáció is csak meghatározott kereteken belül működik.

 

Mobil számítógép használata és távmunka

22. Milyen módon ellenőrzik a mobil számítógépek és kommunikációs eszközök használatát?

a) a szervezet létesítményeiben csak a munkatársak csatlakoztathatnak mobil eszközöket a hálózatra, jogosultsági szintjüknek megfelelően, a munkatársak mobil eszközeit a szervezeten kívüli használatra megfelelő védelemmel látjuk el (jelszó, fizikai zárhatóság, stb).

b) a munkatársakon kívül (szigorú felügyelet és korlátozott jogosultság mellett) vendégek is behozhatnak mobil eszközöket, illetve csatlakoztathatnak mobil számítógépeket a szervezet hálózatára

 

Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!

 

Titkosítási intézkedések

23. Létezik-e Önöknél dokumentált titkosítási eljárás, szabályzat?

a) nincs egységes eljárás, az éppen elérhető eszközöket használjuk

b) pontos szabályzat szerint járunk el, mindig a követelményeknek megfelelő eljárást használunk

 

Rendszerfájlok biztonsága

24. A rendszergazdának naprakész információja van a szervezetük által használt összes gépen futó valamennyi programról?

a) nincs, a szervezet által közösen használt rendszereken kívül inkább csak áttekintő jellegű tudomása van a programok fajtájáról

b) a rendszerben bármikor pontos szoftverleltárt lehet készíteni és szükség esetén (akár távolról is) lehetséges a beavatkozás egyes hibák elhárítása végett

 

Információbiztonsági incidensek és javító fejlesztések kezelése

25. Hogyan reagálnak az egyes biztonsági rések véletlen vagy tudatos ellenőrzés általi felszínrekerülése esetén?

a) tájékoztatjuk a rendszergazdát

b) tájékoztatjuk a probléma megoldásáért felelős vezetőt

c) tájékoztatjuk a probléma megoldásáért felelős vezetőt, akinek a belső szabályzat szerint a lehető legrövidebb időn belül el kell hárítania a veszélyt

 

Működés folytonosságának irányítása

A működés folytonossága irányításának információbiztonsági szempontjai

26. Milyen módon járnak el az üzemeltetésben felmerülő zavarok esetén?

a) nincs előre lefektetett eljárás, általában a helyzetre interaktívan reagálva, ilyenkor kisebb fennakadás is lehetséges

b) előre elkészített tervek alapján, a fennakadásokat lehetőség szerint tartalékrendszerrel kiküszöböljük

 

Kérje ajánlatunkat információbiztonsági rendszerének kidolgozására, a hatékony adatbiztonság és adatvédelem érdekében!

About Author

Avatar

Komment