HOPET Informatika

Hírek

PCI DSS 3.2
tanfolyam!

Tájékoztatjuk a tisztelt érdeklődőket, hogy a tanfolyam megtartását technikai okok miatt határozatlan ideig szüneteltetjük. Kérjük szíves megértésüket.

Prospektus letöltése

Meghívó!

PMGWlogo

A BIG FISH Kft és a PayPal Europe közös kereskedői napot tart 2014. május 6-án a Spoon Rendezvényhajón. A résztvevők összefoglalót kapnak a hazai e-commerce piac újdonságairól, a BIG FISH szolgáltatásairól, és a PayPal közép-kelet európai fejlesztéseiről. Információ és regisztráció.

Mérföldkövek

2011. május 31.

Gratulálunk!
Magyarországon az elsők között szerzett PCI DSS Compliance minősítést a Malév Zrt. A team vezetők (balról jobbra): Dr. Szőcs Ágnes, Galambos László és Dr. Szebenyeiné Mónus Anita.

A Malév team

Részletek: HORIZON Fedélzeti Magazin 2011/09, 72.oldal.

2009. május 20.

Új oldallal bővült honlapunk. A hozzánk intézett kérdéseket mától kezdve folyamatosan megválaszoljuk a PCI DSS Q&A oldalon is.
Érdemes megtekinteni, már most is sok hasznos gyakorlati tudnivalót tartalmaz. Elérhető innen, és a PCI DSS oldalról.

2009. február 15.

6 év után - megújult a honlapunk. Az új "gumizott" szerkezet biztosítja, hogy az oldalaink mindig kitöltik a böngésző ablakot, annak méretétől függetlenül. Köszönet érte az Edlington-nak!

2008. május 15.

A Qualys CEMEA képviselőjével a márciusi Security Roadshow-n folytatott megbeszélésünket követően, a Qualys termékekre alapozva elindítottuk PCI-DSS programunkat.

Partnereink

PCI ASV partner, hálózati és web alkalmazás sérülékenység vizsgálatok, PCI validáció.

Az IT auditorok nemzetközi szervezete

Az Komplex Információbiztonsági Rendszer szállítója

COBIT tartalmi összefoglaló

Az ISACA, az informatikai auditorok nemzetközi szervezete az informatikai kockázatok hatékony kezelésére dolgozta ki a COBIT (Control Objectives for Information and related Technologies) elnevezésű módszertanát.
A módszertan elsősorban az üzleti irányítás vezetőinek ad segítséget ahhoz, hogy felmérhessék és elfogadható szintre csökkenthessék azokat a kockázatokat, amelyeket az informatika üzleti folyamatokba épülése jelent. Iránymutatásokat tartalmaz egy kontroll rendszer kialakításához és annak a folyamatos menedzseléséhez.
A COBIT módszertana az információtechnológia alkalmazás folyamataira nemzetközileg is egységes meghatározást ad. A módszertan alkalmazóinak ezen belül kell rögzíteniük a folyamatokhoz tartozó kontrollok célkitűzéseit, majd ezeket meg kell valósítaniuk.
Ennek érdekében három szintű csoportosítást alkalmaz:

területek (4 db)
folyamatok (34 db)
folyamatokon belüli tevékenységek (238 db)

A COBIT elvárások

Hatékonyság
Hatásfok
Bizalmasság
Integritás
Rendelkezésre állás
Megfelelés
Megbízhatóság
Minőség
Költség

A COBIT kontroll területek

Tervezés és szervezet

PO1 - IT stratégiai terv meghatározása

Olyan tervezési tevékenység, amely az informatikai lehetőségek és az üzleti célok közötti optimális egyensúly kialakítását és fenntartását biztosítja.

PO2 - Információ architektúra meghatározása

Olyan információs architektúrát kell meghatározni és olyan megfelelő rendszerek használatát kell biztosítani a szervezet számára, amely lehetővé teszi az üzleti tevékenység IT támogatottságának megvalósítását és végzését.

PO3 - Technológiai fejlődési irány meghatározása

A technológiai fejlődési irány meghatározása során az üzleti stratégiából kell kiindulni, figyelembe véve a technikai lehetőségeket és kényszerűségeket.

PO4 - IT szervezet és kapcsolatainak meghatározása

Az IT szervezet kialakításánál, szervezetbe illesztésénél az üzleti tevékenységet kell elsődlegesnek tekinteni, ehhez alkalmazkodó számú és szintű szerepkört és felelősségi kört kell meghatározni. Figyelemmel kell lenni arra, hogy az IT szervezet létrehozása, a szervezeten belüli és kívüli kommunikáció meghatározása minden esetben a stratégia előmozdításának, közvetlen irányításának és kielégítő ellenőrzöttségének érdekében történjen.

PO5 - IT beruházások irányítása

Az IT beruházások irányítása során kell gondoskodni a pénzügyi kiadások megalapozottságáról és ellenőrzöttségéről.

PO6 - A menedzsment célok és irányok kommunikálása

Biztosítani kell az IT rendszerek üzemeltető és fejlesztő személyzetének megfelelő szintű tájékoztatását a menedzsment céljairól.

PO7 - Emberi erőforrás gazdálkodás

Olyan alkalmas motivációs és ráhatási rendszer kell kialakítani és fenntartani, amely biztosítja az IT eljárásokban való személyes közreműködés maximális eredményességét.

PO8 - Külső követelményeknek való megfelelés biztosítása

Biztosítani kell a legális, szabályos és szerződésszerű kötelezettségek teljesítését, ezáltal a külső követelményeknek való megfelelést.

PO9 - Kockázatok felmérése

A kockázatok felmérése támogatja a menedzsment döntéseit az IT célok megvalósításával és a fenyegetésekre adott válaszokkal kapcsolatban.

PO10 - Projekt irányítás

A projekt irányítás feladata a projekt időtartama alatt a projekt működésének felügyelete, a prioritások meghatározása, az ütemezésnek megfelelő időben és a jóváhagyott költségvetési kereteken belüli működés és az átlátható változáskezelés biztosítása.

PO11 - Minőség menedzselése

A minőség menedzselés alkalmazásával biztosítható az egyértelműen meghatározott minőségi követelményeknek, a minőségi szabályozásnak, valamint az IT-t felhasználók elvárásainak történő megfelelés.

Beszerzés, fejlesztés, implementálás

AI1 - Tervezés, döntés

A felhasználói igények kielégítésére szolgáló fejlesztések/beszerzések elindítása előtt olyan tervet kell készíteni, amely biztosítja a szervezet stratégiai céljainak való megfelelést, átlátható és megfelelő funkcionalitás és költséggazdálkodás mellett figyelembe veszi a különböző biztonsági és ellenőrzési szempontokat is. Megfelelően előkészített tervek alapján a menedzsment minden szempontot figyelembe véve tud dönteni a fejlesztés/beszerzés elindíthatóságáról.

AI2 - Felhasználói szoftver beszerzés és karbantartás

Felhasználói szoftver beszerzése/karbantartása során kerül sor az adott szervezet üzleti tevékenységét, vagy saját működését támogató szoftver, illetve az aktuális szabályzóknak megfelelő új szoftververzió beszerzésére és üzembe helyezésére.

AI3 - Technológiai architektúra (hardver, szoftver, orgver) beszerzés és karbantartás

Technológiai architektúra beszerzésén és karbantartásán azoknak az eszközöknek a beszerzése és karbantartása értendő, amelyeken az üzleti applikációk működnek.

AI4 - IT eljárások, ügyrendek fejlesztése és karbantartása

Az alkalmazott IT eljárások és ügyrendek biztosítják, hogy az előre meghatározott szolgáltatási szintnek megfelelő szintet nyújtsák a használt applikációk és a felhasználók által végzett operatív tevékenységek. Gondoskodni kell arról, hogy a mindenkori szabályzóknak és a vállalt szolgáltatási szintnek megfelelőek legyenek az ügyrendi, a dokumentációs és oktatási anyagok.

AI5 - Rendszerek installálása és átvétele

Rendszerek installálásán és átvételén az új szoftververziók telepítését, a bennük lévő megoldások, a tervezettnek megfelelő elvárások szempontjai alapján történő ellenőrzését és jóváhagyását értjük.

AI6 - Változáskezelés

A változáskezelésen egy olyan menedzselési rendszert értünk, amely a definiálatlan működésű, ellenőrizetlen változatok és hibajelenségek valószínűségének minimalizálására alkalmas, továbbá lehetővé teszi az egyértelmű elemzést, implementálást és változás követést a teljes IT infrastruktúrában és eszközrendszerben.

Üzemeltetés, szolgáltatások, biztonság

DS1 - Szolgáltatási típusok és szintek meghatározása

A szolgáltatási típusok és szintek megadásával olyan teljesítmény kritériumokat lehet meghatározni, amelyek lehetővé teszik a szolgáltatás minőségének és mennyiségének meghatározását, ezáltal mérhetővé a szolgáltatás színvonalát.

DS2 - Szolgáltatók menedzselése

Biztosítani kell, hogy a külső szolgáltatók teljesítése folyamatosan a megkötött szerződések szerint elvárható szintű legyen. Ezáltal fenntartható a szolgáltató felé egyértelműen meghatározott szolgáltatási igények, teljesítmény követelmények, valamint a szolgáltató által nyújtott lehetőségek szinkronja.

DS3 - Teljesítmény és kapacitás menedzselés

A teljesítmény és kapacitásadatok elemzése és folyamatos figyelemmel kísérése, valamint az eszköz és terhelési igények esetleges átméretezése révén biztosítható a szükséges kapacitások optimális rendelkezésre állása.

DS4 - A szolgáltatások folytonosságának biztosítása

Üzletmenet folytonossági tervek készítésével, rendszeres ellenőrzésével biztosítható, hogy a szerződésekben meghatározott igényeknek megfelelő legyen a rendszerek működése.

DS5 - Rendszerek biztonságának biztosítása

A rendszerek megfelelő szintű biztonsága fontos eleme az információ bizalmasság megőrzésének. Gondoskodni kell a rendszeren belüli információk jogosulatlan felhasználásának, nyilvánosságra kerülésének, módosításának, valamint a megsemmisülésnek vagy az elveszésének a megakadályozásáról.

DS6 - Költségelemzés és –tartalékolás

Olyan költség követési rend kialakítására szükséges, amely megfelelő szintű, egyértelmű követést és visszacsatolást tesz lehetővé a szolgáltatások tényleges, kalkulált és allokált költségei tekintetében.

DS7 - Felhasználók oktatása és továbbképzése

A felhasználókat fel kell készíteni az alkalmazott technológiák tényleges használatára, a lehetőségek és a kockázatok tudatosítása.

DS8 - IT-hez kapcsolódó ügyfelek támogatása

A szerződésekben vállalt szolgáltatási szintnek megfelelően gondoskodni kell a felhasználóknál felmerülő problémák megfelelő szintű kezeléséről.

DS9 - Konfiguráció menedzsment

A biztonságos működés érdekében szükséges minden IT összetevő nyilvántartása, ezáltal az azonosítatlan változat létének megelőzése, a fizikai létezés és az alapvető változás kezelésének ellenőrzése.

DS10 - Probléma és esemény kezelés, naplózás

Olyan probléma kezelési megoldás kidolgozása szükséges, amely garantálja az összes felmerülő incidens regisztrálását és nyomon követését, a hiba ismételhetősége, ezáltal a hiba okának kiderítése és megelőzése érdekében.

DS11 - Adatok menedzselése

Az adatok megfelelő szintű menedzselésével biztosítható az adatbevitel, módosítás és tárolás során az adatok teljessége, pontossága, valódisága, ezáltal az információ sértetlensége.

DS12 - Fizikai környezet menedzselése

A fizikai környezet menedzselésével biztosítható az emberi vagy természeti veszélyek elleni, az IT berendezések és személyzet megóvására alkalmas, azokat körülvevő fizikai környezet kezelése.

DS13 - Rendszerek üzemeltetésének menedzselése

A rendszerek üzemeltetésének menedzselésére kidolgozott eljárások, ügyrendek segítségével, ezek rendszeres ellenőrzésével biztosítható a lényeges, IT támogatást igénylő funkciók rendszeres és precíz végrehatása.

Monitorozás, független ellenőrzés

M1 - Folyamatok nyomon követése, monitorozás

A hatékony működés érdekében szükséges a lényeges teljesítmény mutatók meghatározása, a működés során a teljesítmény mérése, alapos és időben elkészített teljesítmény jelentések elkészítése és azonnali reagálás az eltérésekre.

M2 - Belső kontroll minőségének ellenőrzése

A hatékonyan működő belső kontroll megvalósítása érdekében szükséges az IT folyamatok belső ellenőrzésére kitűzött célok megvalósításának biztosítása, az ellenőrzés elkötelezettsége, hatékonysága és pontos elvek alapján készített kimutatásai.

M3 - Független ellenőrzés biztosítása

A szervezet, a felhasználói szervezetek és a külső szervezetek közötti bizalom erősítése érdekében független ellenőrzés biztosítása szükséges.

M4 - Független auditálásról való gondoskodás

A bizalmi szint és hasznosság növelése érdekében szükséges a független audit.

© HOPET Kft. 2001-2019.	\|	Last modified: 2009. 06. 10.
Adatvédelem	\|	Használati feltételek