Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010"

Zita Karola Pintérné
8 évvel ezelőtt
Látták:

1 Szolgáltatásaink Sog az ITBT-ben Antidotum 2010 IT Biztonságtechnikai i i konferencia, feb. 24

2 TMSI Kft Tőzsér Zoltán CISA, MCP, CSM

3 Áttekintő ő Akö környezet Saját szolgáltatásaink Néhány részlet, ötlet

4 Adatvédelem 85 találat Adatbiztonság 20 találat A törvények Adatkezelés 82 találat Információbiztonság Információbiztonság 19 találat Néhány népszerűbb példa: évi LXIII. trv. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról évi XLVIII. trv. A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól (megj: !) évi LXV. trv. Az államtitokról és a szolgálati titokról évi CXL. trv. A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól évi ic. trv. Az elektronikus lkt hírközlésről évi CVIII. trv. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről

) 1995. évi LXV. trv. Az államtitokról és a szolgálati titokról 2004. évi CXL. trv. A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 2003. évi ic. trv. Az elektronikus lkt hírközlésről 2001.

5 BTK 300/C. (1) Aki számítástechnikai rendszerbe a számítástechnikai rendszer védelmét szolgáló intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve, illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. (2) Aki a) számítástechnikai rendszerben tárolt, feldolgozott, kezelt vagy továbbított adatot jogosulatlanul megváltoztat, töröl vagy hozzáférhetetlenné tesz, b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését jogosulatlanul akadályozza, vétséget követ el, és két évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő. (3) Aki jogtalan haszonszerzés végett a) a számítástechnikai rendszerbe adatot bevisz, az abban tárolt, feldolgozott, kezelt vagy továbbított adatot megváltoztat, töröl vagy hozzáférhetetlenné tesz, vagy b) adat bevitelével, továbbításával, megváltoztatásával, törlésével, illetőleg egyéb művelet végzésével a számítástechnikai rendszer működését akadályozza, és ezzel kárt okoz, bűntettet követ el, és három évig terjedő szabadságvesztéssel büntetendő. (4) A (3) bekezdésben meghatározott bűncselekmény büntetése a) egy évtől öt évig terjedő szabadságvesztés, ha a bűncselekmény jelentős kárt okoz, b) két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekmény különösen nagy kárt okoz,, c) öt évtől tíz évig terjedő szabadságvesztés, ha a bűncselekmény különösen jelentős kárt okoz. 138/A.... c) jelentős, ha kétmillió forintot meghalad, de ötvenmillió forintot nem halad meg, d) különösen nagy, ha ötvenmillió forintot meghalad, de ötszázmillió forintot nem halad meg, e) különösen jelentős, ha ötszázmillió forintot meghalad Aki mást méltányolható okból származó erős felindulásban megöl, bűntettet követ el, és két évtől nyolc évig terjedő szabadságvesztéssel büntetendő

illetőleg azt megsértve bent marad, vétséget követ el, és egy évig terjedő szabadságvesztéssel, közérdekű munkával vagy pénzbüntetéssel büntetendő.

6 Saját szolgáltatásaink tá Információbiztonsági politika, stratégia kialakítása Információbiztonsági Szabályzat készítése Adatvédelmi és Adatbiztonsági tonsági Szabályzat at készítése Informatikai katasztrófa elhárítási terv készítése (DRP) Üzlet Folytonossági Terv készítése (BCP) Információbiztonsági kockázatfelmérés, -elemzés és értékelés (RA) Információbiztonsági rendszer kialakítása és megfelelőség értékelésre flké felkészítés íé Biztonsági rendszer működési tanácsadás Biztonsági követelmények meghatározása és ezek beépítése az információs rendszerek, infrastruktúra fejlesztésébe

Információbiztonsági kockázatfelmérés, -elemzés és értékelés (RA) Információbiztonsági rendszer kialakítása és megfelelőség értékelésre flké

7 BCP, DRP

8 Kockázat Kockázat = Veszély x Valószínűség

9 Elképzelhető lh ő (ésszerű?) kockázatokká k Elemi kár (tűz, árvíz, csőtörés, villámcsapás,...) Közszolgáltatás kiesése (víz, villany, telekomunikáció,...) Hardverhiba (szerver, hálózati elemek,...) Betörés Házkutatás (rendőrségi, pl. BSA felkérésére ) Rosszindulatú alkalmazott Adatszivárgás Hack, deface, stb. Egyéb emberi tényezők...

10 Célok Minimalizálja a katasztrófa pénzügyi, jogi, szabályozási kitettségét Egészségi és életvédelmi Védi a szervezet értékeit Biztosítja az alkalmazottak felkészülését Minimalizálja a katasztrófa hatását Csökkenti a kiesés valószínűségét!

szervezet értékeit Biztosítja az alkalmazottak

11 Kérdések Mire terjedjen ki? Mekkora az informatikától való függőség, kitettség? Saját IT eszközök saját helyen, vagy külső szolgáltató eszköze? Meddig tudnak működni az informatikai eszközök nélkül? A szervezet mely részeit érinti és milyen mértékben? Milyen adatszolgáltatási kötelezettségek vannak? Mekkora a külső függőség az Önök informatikai rendszerétől? Állampolgári-céges-intézményi kapcsolatok, kapcsolódások amelyeket érinthet egy kiesés Forintosítani! A kieső időt A keletkezett kárt Az újraindítás költségeit (HW, SW, adatok visszaállítása, munka) Presztízsveszteség, személyi hatások, konzekvenciák

Milyen adatszolgáltatási kötelezettségek vannak? Mekkora a külső függőség az Önök informatikai rendszerétől?

12 Meglévő ő alapok Szervezeti-működési szabályzat Informatikai szabályzat Tűzvédelmi terv Menekülési útvonal, kiürítési terv Elérhetőségek, belső telefonkönyv Informatikai dokumentációk Beállítások Naplózások Mentési-visszatöltési terv Krízis-management, kommunikációs szabályok...

Elérhetőségek, belső telefonkönyv Informatikai dokumentációk

13 Tartalom Alapelvek, stratégiák, keretek A különleges helyezeteket kezelő csapat(ok) meghatározása Szolgálatási szintek meghatározása Belső/külső Szükséges reagálási idők, Működési szintek meghatározása Kritikus Csökkentett Üzleti folyamatok kategorizálása (tevékenység, tartalma, leírása, csatornái,...) Katasztrófa kezelése A rendeltetésszerű működés visszaállítása A katasztrófaterv oktatása A katasztrófaterv tesztelése A katasztrófaterv karbantartása

Üzleti folyamatok kategorizálása (tevékenység, tartalma, leírása, csatornái,.

14 Emberi Külső Belső Anyagi Technikai Erőforrások Építmények, helységek Függőségek

15 Külső (PR) Kommunikáció ió Belső (technikai lehetőségek, alternatívák) Adatszolgáltatási kötelezettség Állandóan aktuális elérhetőségi lista! On-line elérhetősége, Papíralapú elérhetősége Felelőse

16 Té Tréning Az alapvető, kritikus személyzet Elérhetősége Létszáma Képzettségeé Gyakorlata, rutinja Stressztűrő képessége

17 Alternatívák Könnyen elérhető tartalékok: Kritikus IT eszközök (szerverek, nyomtató, hálózati eszközök, stb.) Helyszín (épület, helység) Kommunikációs csatorna (internet elérés!) Infrastruktúra (áram, víz, fűtés, stb.) Szakemberek

) Helyszín (épület, helység) Kommunikációs csatorna

18 Kérdések? Tőzsér Zoltán Tel.: (+36) Fax.: (+36)

Hasonló dokumentumok

Jogi alapismeretek III. Dr.Illés Katalin november 9. ELTE IK Oktatás- és Médiainformatikai Tanszék

Jogi alapismeretek III. Dr.Illés Katalin 2012. november 9. ELTE IK Oktatás- és Médiainformatikai Tanszék Számonkérés A számonkérés formája: írásbeli dolgozat Rendelkezésre álló idő: igény szerint, kb.