Útmutató az IT biztonsági szintek meghatározásához ÚTMUTATÓ AZ IT BIZTONSÁGI SZINTEK MEGHATÁROZÁSÁHOZ ÚTMUTATÓ

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Útmutató az IT biztonsági szintek meghatározásához ÚTMUTATÓ AZ IT BIZTONSÁGI SZINTEK MEGHATÁROZÁSÁHOZ ÚTMUTATÓ"

Átírás

1 ÚTMUTATÓ AZ IT BIZTONSÁGI SZINTEK MEGHATÁROZÁSÁHOZ ÚTMUTATÓ 1

2 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: 2

3 Meta adat-táblázat Megnevezés Leírás Cím (dc:title) Útmutató az IT biztonsági szintek meghatározásához Kulcsszó (dc:subject) IT biztonság; IT biztonsági szint; útmutató; IT biztonsági követelmény Leírás (dc:description) Az e-közigazgatási projektek tervezése és megvalósítása során elengedhetetlen, hogy az adott projekt megfelelı IT biztonsági mőszaki követelmények alapján végezze a munkát. Annak elkerülésére, hogy a projektek önkényesen határozzák meg, vagy akár teljesen figyelmen kívül hagyják ezeket a tényezıket, elkészült egy háromszintő besorolás, és mindhárom kategóriához meghatározásra került egy olyan minimális vagy tipikus IT biztonsági mőszaki követelményeket tartalmazó követelményrendszer, amely az adott projektre nézve kötelezıen elıírandó, betartandó és ellenırizendı. Jelen Útmutató a konkrét projektek IT biztonsági osztályba sorolásának módszerét írja le. Típus (dc:type) szöveg Forrás (dc:source) Kapcsolat (dc:relation) Terület (dc:coverage) Létrehozó (dc:creator) e-közigazgatási Keretrendszer Kialakítása projekt Kiadó (dc:publisher) MEH Résztvevı (dc:contributor) HunGuard Kft. Jogok (dc:rights) Dátum (dc:date) Formátum (dc:format) MS Word doc Azonosító (dc:identifier) Nyelv (dc:language) magyar Verzió (dc:version) 1.01 Státusz (State) átadott verzió Fájlnév (FileName) EKK_ekozig_ITbiztonsagiszintekmeghatarozasa_080822_V101.doc Méret (Size) 378 KB Ár (Price) Felhasználási jogok (UserRights) 3

4 Verziókövetési táblázat (a szabvány második oldala) A dokumentum neve A dokumentum készítıjének neve A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám 1.01 Összes oldalszám 39 A projekt azonosítója EKK_ekozig Útmutató az IT biztonsági szintek meghatározásához HunGuard Kft. Változáskezelés Verzió Dátum A változás leírása V Elıminısítésre átadott verzió V Ellenırzött, javított verzió V Átadott verzió V Hivatkozások táblázatos megadása 4

5 Tartalomjegyzék Meta adat-táblázat... 3 Verziókövetési táblázat (a szabvány második oldala)... 4 Változáskezelés... 4 Tartalomjegyzék Elıszó Bevezetés Alkalmazási terület Rendelkezı hivatkozások Fogalom-meghatározások Az IT biztonsági szintek meghatározása A kockázatkezelés általános megközelítése A kockázatkezelés fıbb szempontjai Kockázatbecslés/felmérés A kockázatok csökkentése Az IT biztonsági szintek meghatározása a biztonsági kategorizálás módszerével Biztonsági célok és kihatási szintek Információ típusok és kihatási szintek meghatározása Informatikai rendszerek biztonsági kategorizálása A rendszer biztonsági osztályba sorolás egyéb szempontjai Minimális IT biztonsági követelmények A kezdeti alapkészlet kiválasztása és testre szabása A testre szabott alapkészlet kiegészítése A biztonsági intézkedések aktualizálása Mellékletek Bibliográfia Rövidítésgyőjtemény Fogalomtár

6 1. Elıszó A közigazgatásban alkalmazott rendszerekkel szemben támasztott egyik követelmény, hogy informatikai biztonsági szempontból megfelelıek legyenek. Az IT biztonsági mőszaki követelmények olyan óvintézkedések (ellenintézkedések), melyeket az informatikai rendszer valósít meg, illetve hajt végre, a rendszer hardver, szoftver vagy förmver összetevıiben megvalósuló mechanizmusok segítségével. Jelen projekt keretében készített Követelmény elıírás az egyes biztonsági szintekhez határozza meg a biztonsági mőszaki követelményeket. Jelen Útmutató dokumentum a konkrét alkalmazások IT biztonsági osztályba sorolásának módszerét írja le. Jelen dokumentum szorosan kapcsolódik az alábbi dokumentumokhoz: Minta biztonsági kategorizálás c. Segédlet [03], IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre c. Követelmény elıírás [02], Rendszerekre vonatkozó értékelési módszertan c. Útmutató dokumentum [06]. 2. Bevezetés Az e-közigazgatási projektek tervezése és megvalósítása során elengedhetetlen, hogy az adott projekt megfelelı IT biztonsági mőszaki követelmények alapján végezze a munkát. Annak elkerülésére, hogy a projektek önkényesen határozzák meg, vagy akár teljesen figyelmen kívül hagyják ezeket a tényezıket, jelen projekt keretében elkészült egy minimális vagy tipikus IT biztonsági mőszaki követelményeket tartalmazó követelményrendszer [02]. Ahhoz, hogy a biztonsági mőszaki követelmények általában elérjék céljukat, és az adott szolgáltatás tényleges biztonságát szolgálják, kielégítsék a velük szemben támasztott reális követelményeket, elég erısek és hatékonyak, ugyanakkor megvalósíthatóak legyenek, a szolgáltatás (IT termék, vagy rendszer) alapfeladataiból, a mőködési környezetbıl és feltételekbıl kiindulva kell meghatározni ıket. A meghatározás módja többféle lehet, a nemzetközi és hazai szakirodalom, valamint a szabványok és legjobb gyakorlatok különbözı eljárásokat kínálnak, de minden esetben egy fáradtságos és hosszú folyamat eredményeként adhatók meg. A megoldások általában a fenyegetettségek feltárásával, részletes kockázatbecslés után, kockázatkezelési eljárás keretében (MSZ ISO/IEC [04], ISO/IEC [05]) születnek meg, vagy magas szintő és jelentıs mértékő elızetes szakmai munkát követıen (pl. Common Criteria Védelmi Profiljai [08]) azok felhasználásával vezethetnek eredményre. A projekt keretében kidolgozásra került követelmény elıírás háromszintő besoroláson alapul, melynek fontossága abban rejlik, hogy egy szolgáltatás, vagy IT rendszer esetében könnyen meghatározható a megkívánt IT biztonsági szint, és mindhárom szinthez konkrét IT biztonsági mőszaki követelmények tartoznak. Az amerikai kormányzati és közigazgatási rendszerekben is használt, javasolt eljárás használatával (NIST SP [07], FIPS PUB 6

7 199 [11], FIPS PUB 200 [12]) általános esetekben jóval gyorsabban lehet az adott projekt IT biztonsági mőszaki követelményeit meghatározni. Speciális esetekben a biztonság egy-egy igényelt területen tovább növelhetı, az igények részletesebb feltárásával. Ennek a testre szabási, ún. tailorizálási (testre szabási) tevékenységnek a fokozatos növelésével egyre pontosabb és pontosabb közelítése érhetı el az eredeti kockázatkezelési módszeren alapuló procedúrának. Jelen útmutató a fenti módszertan figyelembe vételével konkrét projektek IT biztonsági osztályba sorolásához nyújt iránymutatást az alábbi szerkezetben: A 6.1 fejezet a kockázatkezelés általános megközelítését írja le. Az informatikai rendszerekkel kapcsolatban számos szempontot figyelembe kell venni. A mőszaki szempontok egy teljes közigazgatási rendszernek egyik szeletét jelentik, de célszerő ezt a szeletet is a kockázatkezelés általános módszerét felhasználva áttekinteni. A kockázatkezelés módszertanának rövid áttekintése az amerikai NIST SP [13] dokumentumon alapul, melyet ugyancsak módszertani alapként használt fel [01] ajánlás tervezet is. Ugyanakkor a kockázatkezelés bonyolult, összetett, gyakorta nem látszik egy rendszer életciklusa elején az összes tényezı, de azt, hogy milyen információkat akarnak feldolgozni, már a folyamat legelején is jól körülhatárolható. Az is megállapítható, hogy ezen információk az adott szervezet feladatainak ellátása tekintetében milyen biztonsági érzékenységgel bírnak, amibıl következik, hogy milyen IT biztonsági célok teljesítését kell megoldani. Az információkkal kapcsolatos biztonsági célokat, illetve az információ típusok és informatikai rendszerek biztonsági kategorizálását tekinti át a 6.2 fejezet. A 6.3 fejezet foglalkozik a minimális követelményekkel, pontosabban a minimális követelményekbıl összeállított alapkészlet testre szabásának szempontjaival. Bár jelen dokumentum is tartalmaz példákat az IT biztonsági szintek meghatározására javasolt eljárás megértésére, de a könnyebb olvashatóság érdekében külön dokumentumban több részletre kiterjedı, nagyobb terjedelmő példákat is adunk. [03]) 3. Alkalmazási terület Ez a dokumentum az informatikai rendszerek és informatikai biztonság szakértıinek készült beleértve: informatikai rendszerek és informatikai biztonság irányításával és felügyeletével foglalkozó vezetık (pl. informatikai igazgatók, magas beosztású informatikai tisztviselık és IT biztonságért felelıs vezetık); az informatikai rendszer fejlesztéséért felelıs személyek (program és projekt menedzserek, feladat/alkalmazás tulajdonosok, rendszertervezık, rendszer és alkalmazás programozók); az informatikai rendszer megvalósításáért és üzemeltetéséért felelıs személyek (pl. az informatikai rendszer tulajdonosai, az információ tulajdonosai, az informatikai rendszer rendszergazdái, az informatikai rendszer biztonsági tisztviselıi); az informatikai rendszer és informatikai biztonság felmérésével és megfigyelésével foglalkozó személyek (pl. auditorok, általános ellenırök, értékelık és tanúsítók). 7

8 Az informatikai termékeket és rendszereket vagy informatikai biztonsággal kapcsolatos rendszereket készítı, vagy informatikai biztonsággal kapcsolatos szolgáltatásokat nyújtó kereskedelmi vállalatok szintén hasznosíthatják az itt leírt információkat. 4. Rendelkezı hivatkozások [01] Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására (Tervezet) április 24. [02] IT biztonsági mőszaki követelmények a különbözı biztonsági szintekre BME IK [03] Minta biztonsági kategorizálás BME IK [04] MSZ ISO/IEC 17799:2006 Az információbiztonság irányítási gyakorlatának kézikönyve [05] MSZ ISO/IEC 27001:2006 Az információbiztonság irányítási rendszerei. Követelmények [06] Rendszerekre vonatkozó értékelési módszertan BME IK [07] National Institute of Standards and Technology Special Publication , Recommended Security Controls for Federal Information Systems, December 2007 [08] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model Version 3.1 Revision 2 [09] Common Criteria for Information Technology Security Evaluation Part 2: Security functional components Version 3.1 Revision 2 [10] Common Criteria for Information Technology Security Evaluation Part 3: Security assurance components Version 3.1 Revision 2 [11] National Institute of Standards and Technology Federal Information Processing Standards Publication 199, Standards for Security Categorization of Federal Information and Information Systems, February [12] National Institute of Standards and Technology Federal Information Processing Standards Publication 200, Minimum Security Requirements for Federal Information and Information Systems, March [13] National Institute of Standards and Technology Special Publication , Risk Management Guide for Information Technology Systems, July 2002 [14] Közigazgatási Informatikai Bizottság 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA), 1.0 verzió, június [15] Magyar Informatikai Biztonsági Ajánlások Magyar Informatikai Biztonsági Irányítási Keretrendszer 3. számú kiadványa, Az informatikai biztonság irányításának vizsgálata (IBIV), 1.1 verzió, február [16] 24/2006. (IV. 29.) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekrıl. 8

9 Az alábbiakban megadjuk a rendelkezı hivatkozások elérhetıségeit. Cím Külföldi elérhetıség Magyar elérhetıség Az Informatikai és Hírközlési Minisztérium ajánlása a Informatikai célrendszerek kockázatfelmérése közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására (Tervezet) április 24. IT biztonsági mőszaki --- követelmények a különbözı biztonsági szintekre BME IK Minta biztonsági kategorizálás --- MSZ ISO/IEC 17799:2006 Az információbiztonság irányítási gyakorlatának kézikönyve MSZ ISO/IEC 27001:2006 Az információbiztonság irányítási rendszerei. Követelmények Rendszerekre vonatkozó értékelési --- módszertan National Institute of Standards and Technology Special Publication NIST SP , Recommended Security Controls for Federal Information Systems, December 2007 Common Criteria for Information Technology Security Evaluation CC 3.1 Part 1 Part 1: Introduction and general model Version 3.1 Revision 2 Common Criteria for Information Technology Security Evaluation CC 3.1 Part 2 Part 2: Security functional components Version 3.1 Revision 2 Common Criteria for Information Technology Security Evaluation CC 3.1 Part 3 Part 3: Security assurance components Version 3.1 Revision 2 National Institute of Standards and Technology Federal Information FIPS 199 Processing Standards Publication 199, Standards for Security Categorization of Federal Information and Information Systems, February National Institute of Standards and Technology Federal Information FIPS 200 Processing Standards Publication 200, Minimum Security Requirements for Federal Information and Information Systems, March MSZ ISO/IEC 17799:2006 MSZ ISO/IEC 27001:2006 9

10 Cím Külföldi elérhetıség Magyar elérhetıség National Institute of Standards and NIST SP Technology Special Publication , Risk Management Guide for Information Technology Systems, July 2002 Közigazgatási Informatikai MIBA Bizottság 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA), 1.0 verzió, június Magyar Informatikai Biztonsági IBIV Ajánlások Magyar Informatikai Biztonsági Irányítási Keretrendszer 3. számú kiadványa, Az informatikai biztonság irányításának vizsgálata (IBIV), 1.1 verzió, február 24/2006. (IV. 29.) BM-IHM- NKÖM együttes rendelet a 24/2006. (IV. 29.) BM-IHM- NKÖM közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekrıl. 5. Fogalom-meghatározások Jelen dokumentum nem tartalmaz fogalom-meghatározásokat. 10

11 6. Az IT biztonsági szintek meghatározása 6.1. A kockázatkezelés általános megközelítése Egy sikeres, egész szervezetet átfogó informatikai biztonsági program megvalósításának kulcsa a kritikus információvagyon pontos meghatározása és védelme, amit egy alapos és teljes kockázatkezelési program tesz lehetıvé. A hatékony kockázatkezelési folyamatok alkalmazásától függ egy szervezet azon képessége, hogy meg tudja oldani a kritikus infrastruktúrájával, költség-hatékony biztonságával és az üzemelés folyamatosságával kapcsolatban felmerülı aktuális problémáit. A kockázatkezelés alapvetı vezetıi (menedzsment) feladat, és át kell fognia egy informatikai rendszer teljes életciklusát, azaz ki kell terjednie a rendszerrel kapcsolatos legkorábbi döntésektıl egészen a rendszer visszavonásával kapcsolatos tevékenységekig. Az informatikai infrastruktúráért általános felelısséggel tartozó vezetésnek (a szervezet általános vezetıinek vagy az informatikáért felelıs felsı vezetıknek) kell meghatároznia és biztosítania a hatékony, a szervezet minden részlegére kiterjedı kockázatkezelési program megvalósítását. A közigazgatási rendszerek esetén a versenyszférához hasonló módon szükséges kezelni az informatikai rendszerekkel kapcsolatban felmerülı kockázatokat, ugyanakkor figyelembe kell venni a közigazgatási terület által megszabott keretrendszert. A versenyszférához képest a hangsúlyok eltolódhatnak a célokban: nyereségorientáltság mellett/helyett adott esetben a fókusz a szolgáltatást használók biztonságának megteremtése felé tolódhat el; a versenyszférától eltérıen más törvények, szabályzók érvényesek, melyek megoldása a meglévı módszerek és eszközök új szempontok szerinti kombinációját követeli meg. A közigazgatási szervezetek által biztosított/használt elektronikus szolgáltatásoknál figyelembe kell venni ezen szervezetek közötti együttmőködés, egymásra utaltság szempontjait is, és így tovább sorolhatnánk a speciális közigazgatási szempontokat A kockázatkezelés fıbb szempontjai Kockázat alatt egy sebezhetıség kihasználásának negatív hatását értjük, melyet az elıfordulás valószínősége és kihatása egyaránt befolyásol. A kockázatkezelés a következı három folyamat összessége: a kockázatbecslés, a kockázatok csökkentése, értékelés és felülvizsgálat. A kockázatkezelés végrehajtásának célja: a) a közigazgatási szervezetek által használt vagy használni tervezett rendszerek biztonságosabbá tétele, illetve ezen biztonságossá tételhez a mai informatikai kihívásoknak megfelelı biztonsági szint és az ezzel járó követelmények szabványokon, bevált gyakorlatokon alapuló kiválasztása, b) a kockázatkezelési döntések meghozatalának megalapozása, 11

12 c) a kockázatkezelés végrehajtásának eredményeként létrejövı dokumentációval a vezetés támogatása abban, hogy informatikai rendszereit engedélyeztessék (vagy akkreditálják). Jelen útmutató közvetve vagy közvetlenül mindhárom cél végrehajtását támogatja. A kockázatkezelés beillesztése a rendszerek életciklusába A kockázatkezelés iteratív folyamat, és az életciklus minden szakasza tartalmaz megfelelı tevékenységeket. Egy informatikai rendszer életciklusa általában öt szakaszból áll: kezdeti, fejlesztési/beszerzési, megvalósítási/integrálási, üzemeltetési/karbantartási és visszavonási szakasz. Az alábbi táblázat összefoglalja az életciklus egyes szakaszaihoz kapcsolódó kockázatkezelési tevékenységeket. Életciklus szakasz 1. Kezdeti szakasz 2. Fejlesztési /beszerzési szakasz 3. Megvalósítási/ integrálási szakasz 4. Üzemeltetési/kar bantartási szakasz 5. Visszavonási szakasz A szakasz jellemzıi Megfogalmazzák az informatikai rendszer szükségességét, dokumentálják a rendszer célját és hatáskörét. Az informatikai rendszer tervezésének, megvásárlásának, programozásának, fejlesztésének vagy egyéb módon való létrehozásának szakasza. E szakaszban a rendszer biztonsági tulajdonságait kell beállítani, engedélyezni, tesztelni és ellenırizni. A rendszer üzemel. Általában a rendszer folyamatosan módosul további hardver és szoftver hozzáadásával, és a szervezeti folyamatok, politikák és eljárások módosulása révén. Információ, hardver és szoftver visszavonása. Ide tartoznak: információ átmozgatása, archiválása, leselejtezése vagy megsemmisítése és a hardver, szoftver törlése. A kockázatkezelési tevékenységek által nyújtott támogatás Az itt meghatározott kockázatokat a rendszerrel szemben támasztott követelmények kialakításához használják, beleértve a biztonsági követelményeket és a mőködtetés biztonsági koncepcióját (stratégiát). Az itt azonosított kockázatok az informatikai rendszer biztonsági elemzéséhez használhatók fel, mely elemzések eredményeként szerkezeti és tervezési változtatásokra lehet szükség a rendszer fejlesztése során. A kockázatkezelési folyamat támogatja annak felmérését, hogy a rendszer megvalósítása mennyire felel meg a rendszerrel szemben támasztott követelményeknek a modellezett üzemeltetési környezetben. Az azonosított kockázatokkal kapcsolatos döntéseket a rendszer üzembe állítása elıtt kell meghozni. Kockázatkezelési tevékenységekre az idıszakos rendszer újraengedélyezés (ismételt akkreditáció) érdekében kerül sor, vagy pedig akkor, amikor lényeges változások történnek az informatikai rendszer üzemeltetési, gyártási környezetében (pl. új rendszerinterfészek megjelenése). A kockázatkezelési tevékenységek a visszavonandó vagy lecserélendı rendszerelemekre történnek, a hardver és szoftver visszavonás, illetve a maradványadatok kezelésének megfelelısége, valamint a rendszer migráció biztonságos és módszeres végrehajtása érdekében. 1. táblázat A rendszer életciklus lépései és a kockázatkezelés összefüggései Kockázatbecslés/felmérés A kockázatkezelés a kockázatbecslési folyamattal kezdıdik. A szervezetek a kockázatbecslést arra használják, hogy meghatározzák egy informatikai rendszerhez kapcsolódó potenciális veszély és a kockázat mértékét a rendszer életciklusa során. A kockázatbecslés eredménye 12

13 segít abban, hogy a kockázatcsökkentés végrehajtásakor megtaláljuk a kockázat csökkentését vagy teljes kiküszöbölését szolgáló megfelelı óvintézkedéseket. A kockázat annak a valószínőségnek a függvénye, hogy egy adott veszélyforrás kihasznál egy lehetséges sebezhetıséget, illetve annak a kihatásnak a függvénye, melyet ez a negatív esemény gyakorol a szervezetre. Egy jövıbeli kártékony esemény valószínőségének meghatározásához elemezni kell az informatikai rendszert fenyegetı veszélyeket, a lehetséges sebezhetıségekkel és az informatikai rendszerbe épített óvintézkedésekkel együtt. A kihatás egy sebezhetıség kihasználása által okozott kár nagyságát jelenti. A kockázatbecslés teljes folyamata az alábbi kilenc lépésbıl áll, melynek részletes leírását [14] alapján a [15] dokumentum tartalmazza. 1. lépés - A rendszer leírása Az elsı lépés a kockázati szempontból jelentıséggel bíró rendszer hatókörének meghatározása, beleértve a vizsgált rendszer határait, és minden érintett információt, erıforrást. Ezek magukban foglalnak hardver és szoftver komponenseket, belsı és külsı rendszerinterfészeket, a rendszer által felhasznált vagy elıállított adatot és információt, az alkalmazottak tevékenységét, a felhasználói interfészeket, a végrehajtott folyamatokat, a rendszer, illetve rendszeradatok kritikusságát és érzékenységét. 2. lépés A veszélyforrások meghatározása Egy veszély az a lehetıség, hogy egy adott veszélyforrás (veszélyokozó egyed) sikeresen kihasznál egy sebezhetıséget. A sebezhetıség olyan gyengeség, melyet véletlenül vált ki valami vagy valaki, illetve szándékosan visszaélnek meglétével. Egy veszélyforrás nem jelent kockázatot kihasználható sebezhetıség nemléte esetén. Egy veszély valószínőségének a meghatározásakor tekintetbe kell venni a veszélyforrásokat, a potenciális sebezhetıségeket és a létezı óvintézkedéseket. E lépés célja a lehetséges veszélyforrások azonosítása, és a vizsgált informatikai rendszer potenciális veszélyforrásairól egy lista összeállítása. 3. lépés A sebezhetıségek meghatározása Az informatikai rendszerre veszélyes tényezık elemzésének tartalmaznia kell a rendszer környezethez kapcsolódó sebezhetıségek elemzését is. E lépés célja egy olyan lista elkészítése, mely a lehetséges veszélyforrás által kihasználható sebezhetıségi pontokat (hibákat vagy gyengeségeket) győjti össze. 4. lépés Az óvintézkedések elemzése E lépés célja azon megvalósított vagy tervezetett óvintézkedések elemzése, melyek egy adott sebezhetıség esetén, egy veszély bekövetkezési valószínőségét igyekeznek minimalizálni. Az elemzés eredménye hatással van a következı lépésben meghatározott összegzett valószínőségre. 5. lépés A valószínőségek meghatározása Az összegzett valószínőségi osztályzatok (mely egy-egy potenciális sebezhetıség kihasználhatóságát jelzi a kapcsolódó veszély-környezetben) megállapítása, az alábbi befolyásoló tényezık figyelembe vételével: 13

14 A veszélyforrás motivációja és képességei, a sebezhetıség jellege, a jelenlegi óvintézkedések megléte és hatékonysága. Egy sebezhetıség kihasználásának esélyét három valószínőségi szint valamelyikébe soroljuk: magas, közepes, alacsony. 6. lépés Hatáselemzés E lépés célja egy sebezhetıség kihasználása esetén mérhetı káros hatás meghatározása. Egy biztonsági esemény káros hatása leírható a bizalmasság, a sértetlenség, a rendelkezésre állás, az elszámoltathatóság és a garancia biztonsági célok egyikének, vagy ezek bármely kombinációjának elvesztésével vagy jelentıs csökkenésével. Egy sebezhetıség valamilyen kihatását az alábbi osztályok egyikébe soroljuk: kritikus, súlyos, mérsékelt, kis mértékő. 7. lépés A kockázati szint meghatározása A lépés célja az informatikai rendszer kockázati szintjének felmérése. A kockázatok meghatározása egy adott veszély-sebezhetıség párra kifejezhetı az alábbiak függvényeként: az a valószínőség, hogy egy adott veszélyforrás megpróbál visszaélni egy sebezhetıséggel, a következmény nagysága, amennyiben egy veszélyforrás sikeresen visszaél a sebezhetıséggel, a tervezett vagy meglévı biztonsági óvintézkedések alkalmassága a kockázat csökkentésére vagy kiküszöbölésére. Egy adott veszély-sebezhetıség párra az általános megközelítés szerint a meghatározott kockázat lehetséges értékei: alacsony, mérsékelt, magas, kritikus. Az informatikai rendszer kockázati szintje a veszély-sebezhetıség párokra meghatározott legsúlyosabb kockázat lesz. 8. lépés Javaslat óvintézkedésekre E lépésben azokat az intézkedéseket veszik számba, melyek csökkentik vagy megszüntetik az azonosított kockázatokat. A javasolt óvintézkedések célja, hogy elfogadható szintre csökkentsék az informatikai rendszert és annak adatait veszélyeztetı kockázat szintjét. A javasolt óvintézkedések és alternatív megoldások kiválasztásánál az alábbi szempontokat tanácsos figyelembe venni: az ajánlott lehetıségek hatékonysága (pl. rendszer kompatibilitás), törvények és szabályozások, szervezeti szabályzatok, mőködtetési kihatások, biztonság és megbízhatóság. 9. lépés Az eredmények dokumentálása A kockázatbecslés befejezése után az eredményeket dokumentálni kell egy hivatalos jelentésben vagy összefoglalóban. A kockázatbecslésrıl szóló jelentés olyan vezetıi tájékoztató, amely a szervezet felsı vezetését segíti a biztonsági szabályzatokkal, az eljárási, költségvetési, rendszerüzemeltetési és irányítási változtatásokkal kapcsolatos döntéseik meghozatalában. Az átvilágítási vagy átvizsgálási jelentéssel szemben, amelyek a szervezetben zajló negatív jellegő tevékenységeket kutatják, a kockázatbecslés eredményeit összefoglaló jelentés nem vádjegyzıkönyv, hanem módszeres és elemzı megközelítése a kockázatok felmérésének, hogy a felsı vezetés megértse a kockázatokat és erıforrásokat 14

15 biztosítson a lehetséges veszteségek csökkentése vagy a veszteség utáni helyreállítás érdekében A kockázatok csökkentése A kockázatok csökkentése a kockázatbecslés során ajánlott kockázat-csökkentı óvintézkedések rangsorolását, értékelését és megvalósítását jelenti. Mivel az összes kockázat kiküszöbölése általában nem praktikus vagy szinte lehetetlen, ezért a felsı vezetés, valamint az üzleti és a szakterületi vezetık felelıssége a legmegfelelıbb óvintézkedések megvalósítása a szervezet alapfeladatát érintı kockázatok elfogadható szintre csökkentése céljából, úgy, hogy eközben a szervezet erıforrásaira és feladataira a lehetı legkisebb kedvezıtlen következmények háruljanak (költség-hatékony kockázatkezelés). A kockázatok csökkentése a felsı vezetés által használt módszeres eljárás a szervezet feladatait veszélyeztetı kockázatok csökkentése céljából. Alacsonyabb kockázati szint érhetı el az alábbi kockázatcsökkentési lehetıségek bármelyikével: A kockázat felvállalása A lehetséges kockázat elfogadása és az informatikai rendszer mőködtetésének folytatása, vagy óvintézkedések foganatosítása a kockázat elfogadható szintre csökkentéséhez. A kockázat elkerülése A kockázat elkerülése az okok és/vagy a következmények kiküszöbölésével (például a rendszer bizonyos funkcióinak használatáról való lemondás vagy a rendszer teljes lezárása kockázatok azonosítása esetén). A kockázat bekövetkezésének korlátozása A kockázat bekövetkeztének korlátozása olyan óvintézkedések megvalósításával, melyek minimalizálják azt a káros hatást, mely egy sebezhetıség kihasználásával jár (például megelızı, korlátozó és észlelı óvintézkedések). Kockázat tervezés A kockázatok kezelése kockázatcsökkentési terv kialakításával, amely rangsorolja, megvalósítja és életben tartja az óvintézkedéseket. Kutatás és beismerés A kockázat csökkentése a sebezhetıség vagy hiba meglétének beismerésével, és megoldások keresése a sebezhetıség kijavítására. Kockázat átvitel A kockázat átvitele a károk ellensúlyozását biztosító egyéb lehetıségek körébe (például biztosítás kötés). Költség-haszon elemzés és maradványkockázat A javasolt új vagy javított óvintézkedések költség-haszon elemzése az alábbiakat foglalja magába: az új vagy javított óvintézkedések hatásának meghatározása, 15

16 az új vagy javított óvintézkedések elmulasztásából eredı következmények meghatározása, a megvalósítás költségeinek becslése, mely többek között a következıket tartalmazza: hardver és szoftver vásárlás; csökkentett mőködési hatékonyság, ha a rendszer teljesítménye vagy funkcionalitása a fokozottabb biztonság érdekében csorbát szenved; kiegészítı szabályzatok és eljárások megvalósítási költségei; a javaslatoknak megfelelı új alkalmazottak bérköltségei; oktatási költségek; karbantartási költségek, a megvalósítás költségeinek és hasznának felmérése a rendszer és az adatok kritikusságának tükrében, meghatározandó az új óvintézkedések bevezetésének fontosságát azok költségének és relatív kihatásának függvényében. A szervezetek megvizsgálhatják, hogy az új vagy javított óvintézkedések következtében milyen mértékben csökkent a kockázati szint az ezt meghatározó két paraméter (a veszélyek kisebb bekövetkezési valószínősége, illetve a veszélyek következménye) szempontjából. Az új vagy javított óvintézkedések megvalósítása után maradt kockázat a maradványkockázat. Gyakorlatilag nincs kockázatmentes informatikai rendszer, és nem minden megvalósított óvintézkedés képes kivédeni vagy nulla kockázati szintre vinni azt a kockázatot, melynek kiküszöbölése elvárható tıle. Amennyiben a maradványkockázat nem csökken le egy elfogadható szintre, a kockázatkezelés ciklikus folyamatát meg kell ismételni, mindaddig, amíg nem találunk valamilyen módszert a maradványkockázat kellı csökkentésére. Amennyiben az informatikai infrastruktúráért felelıs vezetı úgy értékeli, hogy a kockázat meglévı szintje elfogadható, alá kell írnia egy nyilatkozatot, mely kimondja, hogy a rendszer teljes üzembe helyezésének engedélyezését vagy akkreditációját megelızıen elfogadják a maradványkockázat szintjét. Értékelés és felülvizsgálat A kockázatelemzés eredménye csupán a kezdete egy folyamatnak, melynek célja, hogy csökkenjenek egy informatikai biztonsági esemény által okozott, a szervezet feladatait érintı negatív következmények. A legtöbb informatikai rendszer, és környezete folyamatosan változik. Új kockázatok jelennek meg, a korábbi kockázatbecslések érvényüket veszthetik. Ezért a kockázatkezelés folyamatosan jelen lévı, fejlıdı kérdéskör. Szükség van elıre ütemezett, rendszeres felülvizsgálatra, jelentıs változások pedig azonnali elemzést, értékelést is igényelhetnek. Szükség van idıszakos újraértékelésre a rendszerbiztonság állásának pontos feltérképezéséhez is. Az eredmények ismeretében akár a szervezet biztonságpolitikáját is módosítani kell. A sikeres kockázatkezelés elemei Egy sikeres kockázatkezelés az alábbi elemeken múlik: a felsı vezetés elkötelezettsége a szükséges erıforrások és idı biztosításához; az informatikai csoport teljes támogatása és részvétele; a kockázatkezelést végzı csapat hozzáértése; a felhasználói közösség tagjainak tudatos magatartása és együttmőködése; az informatikával kapcsolatos üzleti kockázatok folyamatos értékelése és elemzése. 16

17 6.2. Az IT biztonsági szintek meghatározása a biztonsági kategorizálás módszerével Ez a fejezet az információ típusok meghatározását, a biztonsági célokat, ez utóbbiak sérülésének kihatásait, valamint mindezen tényezık adott informatikai rendszerrel kapcsolatos meghatározását tárgyalja. Az alábbi ábra a biztonsági kategorizálás módszerének lépéseit ábrázolja. A folyamatot minden informatikai rendszer esetén javasolt végrehajtani. 1 Informatikai rendszer meghatározása 2 Információ típusok meghatározása 3 Kihatási szintek meghatározása Kihatási szintek felülvizsgálata (testre szabás) Információ kihatási szintek véglegesítése Rendszer biztonsági kategória véglegesítése ábra A biztonsági kategorizálás folyamata Az ábrán számokkal jelölt lépések az alábbiak: 1. Az informatikai rendszer meghatározása: Egy informatikai rendszer lehet általános támogató rendszer, fıalkalmazás, vagy helyi, illetve speciális célrendszer. 2. Az információ típusok meghatározása 3. A kihatási szintek meghatározása 4. A kihatási szintek felülvizsgálata és véglegesítése 5. A rendszer biztonsági kategória végsı meghatározása 17

18 Biztonsági célok és kihatási szintek Informatikai biztonsági célok A közigazgatási szolgáltatásokat megalapozó információk és informatikai rendszerek biztonsági kategóriái három biztonsági cél, és az ezekkel kapcsolatos veszélyeztetettségi (kihatás) szinteken keresztül definiálhatók. Jelen útmutató a nemzetközi szakirodalom alapján- a következı három biztonsági célra alapozza az informatikai rendszerek biztonsági kategorizálását: a) bizalmasság, b) sértetlenség, c) rendelkezésre állás. Bizalmasság: Olyan biztonsági tulajdonság, amely lehetıvé teszi, hogy az információ jogosulatlan egyedek (emberek, folyamatok) számára ne legyen elérhetı, vagy ne kerüljön nyilvánosságra. A bizalmasság elvesztése az információ illetéktelenek általi hozzáférését, megismerését jelenti. Sértetlenség: Olyan biztonsági tulajdonság, amely azt jelenti, hogy az adatot, információt vagy programot csak az arra jogosultak változtathatják meg és azok észrevétlenül nem módosulhatnak és nem törölhetık, semmisíthetık meg. A sértetlenség elvesztése az információ jogosulatlan módosítását vagy megsemmisítését jelenti. A sértetlenség fogalmába jelen dokumentum megközelítése szerint beleértendı az információk letagadhatatlansága és hitelessége is. Letagadhatatlanság: Olyan biztonsági tulajdonság, amely megfelelı bizonyítékokkal szolgál az informatikai rendszerben végrehajtott tevékenységek késıbbi ellenırizhetıségét illetıen. Hitelesség: A hitelesség az entitás olyan biztonsági tulajdonsága, amely egy vagy több hozzá kapcsolódó tulajdonságot más entitás számára bizonyíthatóvá tesz. Rendelkezésre állás: A biztonság azon szempontja, amely lehetıvé teszi, hogy a feljogosított szubjektum (humán közremőködı vagy gépi folyamat) által támasztott igény alapján az adott objektum elérhetı és használható legyen. A rendelkezésre állás elvesztése azt jelenti, hogy az információhoz vagy az informatikai rendszerhez való hozzáférés vagy annak használata akadályokba ütközik, vagy adott idıtartamra vagy teljes mértékben megszőnik Informatikai biztonsági célok elvesztésének kihatásai A fenti biztonsági célok sérülésével járó, szervezetekre, illetve egyénekre gyakorolt potenciális hatások (kihatás szintek) az alábbiak: Alacsony: amennyiben a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése várhatóan korlátozott hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire vagy a szervezet eszközeire, illetve a szervezettel kapcsolatba kerülı egyénekre. 18

19 A korlátozott hátrányos hatás azt jelenti, hogy a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése: a) a szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani ugyan elsıdleges funkcióit, de a funkciók hatásossága észrevehetıen csökken; vagy b) a szervezeti eszközök kisebb mértékő károsulását eredményezi; vagy c) kisebb mértékő pénzügyi veszteséget okoz, vagy d) a jogbiztonságot kisebb mértékben veszélyezteti. Fokozott: amennyiben a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése várhatóan komoly hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire, illetve a szervezettel kapcsolatba kerülı egyénekre. A komoly hátrányos hatás azt jelenti, hogy a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése: a) a szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani elsıdleges funkcióit, de a funkciók hatásossága jelentıs mértékben csökken; vagy b) a szervezeti eszközök jelentıs károsulását eredményezi; vagy c) jelentıs pénzügyi veszteséget okoz, vagy d) a jogbiztonságot jelentıs mértékben veszélyezteti. Kiemelt: amennyiben a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése várhatóan súlyos vagy katasztrofális hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire, illetve a szervezettel kapcsolatba kerülı egyénekre. A súlyos vagy katasztrofális hátrányos hatás azt jelenti, hogy a bizalmasság, sértetlenség vagy rendelkezésre állás elvesztése: a) a szolgáltatási képességet olyan mértékben és olyan idıtartamra csökkentheti, illetve akár meg is szüntetheti, hogy a szervezet nem képes végrehajtani egy vagy több elsıdleges funkcióját; vagy b) a szervezeti eszközök lényegi károsulását eredményezi; vagy c) lényegi pénzügyi veszteséget okoz, vagy d) a jogbiztonságot alapvetı mértékben veszélyezteti. 19

20 Információ típusok és kihatási szintek meghatározása Információ típusok Az információ a hozzá meghatározott információ típus szerint kerül biztonsági kategorizálásra. Az információ típus az információ egy konkrét kategóriája (például személyes adat, magántitok, különleges adat, üzleti titok, pénzügyi információ, rendszer információ). Konkrét informatikai rendszerek esetén ritka az olyan eset, hogy a rendszer tisztán egy kategóriába esı információ típust dolgozna fel, általában igaz, hogy eltérı típusú és érzékenységő információkat tároló, feldolgozó, továbbító rendszereket kell kialakítani. Az információ típusok meghatározására az alábbi lépések egymás utáni következetes végrehajtása javasolt: a vizsgálat alatt álló rendszer által támogatott alapvetı üzleti területek (menedzsment és háttértámogatás) vagy küldetési területek (küldetés-alapú szervezetek esetén: például katasztrófa-védelem) meghatározása; minden üzleti vagy küldetési területre az ágazat vagy mőködési területek meghatározása, amelyek leírják a rendszert funkcionális szempontból; az alfunkciók meghatározása, amelyek az egyes mőködési területek vagy üzletágak tevékenységének végrehajtásához szükségesek; a meghatározott alfunkciókhoz kapcsolódó alapvetı információ típusok kiválasztása, amennyiben ez elvégezhetı; a rendszer által feldolgozott minden információ típus meghatározása, amire vonatkozóan törvény, rendelet, vagy közigazgatási ágazati szabályozás különleges kezelést követel meg (például jogosulatlan megismerés elleni speciális kezelési utasítások). Ez az információ felhasználható az információ típus vagy a rendszer biztonsági kihatás szint finomhangolására. A közigazgatási ágazatok a közigazgatás körébe tartozó tevékenységeket olyan magas szintő kategóriákba sorolják, amelyek a kormányzás, közigazgatás céljaival, a célok eléréséhez alkalmazott mechanizmusokkal, a közigazgatási tevékenység végrehajtását támogató háttérfunkciókkal, valamint a kormányzás minden területét érintı, azaz általános erıforráskezelési tevékenységekkel kapcsolatosak. A [03] dokumentum információ típusokat mutat be egyes közigazgatási ágazati információkra (például közegészségügyi információk), illetve általános (például biztonsági menedzsment) információ típusokra. 20

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA ÚTMUTATÓ AKKREDITOROK SZÁMÁRA A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt

Részletesebben

Informatikai biztonsági elvárások

Informatikai biztonsági elvárások Informatikai biztonsági elvárások dr. Dedinszky Ferenc kormány-fıtanácsadó informatikai biztonsági felügyelı 2008. július 2. Tartalom Átfogó helyzetkép Jogszabályi alapok és elıírások Ajánlások, a MIBA

Részletesebben

MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET

MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt

Részletesebben

KÖZPONTI RENDSZER PILOT PROJEKTTERV

KÖZPONTI RENDSZER PILOT PROJEKTTERV KÖZPONTI RENDSZER PILOT PROJEKTTERV 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ

FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ 1/ 50 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú

Részletesebben

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint a NAT által NAT-6-0048/2011 számon akkreditált terméktanúsító szervezet tanúsítja, hogy a Közigazgatási

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/2. Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) 1.0 verzió 2008. június

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER KIADÁSMENEDZSMENT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER KIADÁSMENEDZSMENT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER KIADÁSMENEDZSMENT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER RENDELKEZÉSREÁLLÁS MENEDZSMENT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER RENDELKEZÉSREÁLLÁS MENEDZSMENT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER RENDELKEZÉSREÁLLÁS MENEDZSMENT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus

Részletesebben

Mindezek figyelembevételével Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve a következıket tartalmazza.

Mindezek figyelembevételével Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve a következıket tartalmazza. Melléklet a. /2014. (XII. 16.) kt. határozathoz Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve A Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. Törvény, az államháztartásról

Részletesebben

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Nincs informatika-mentes folyamat! Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Oláh Róbert számvevı tanácsos Az elıadás témái 2 Miért, mit, hogyan? Az IT ellenırzés

Részletesebben

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER IT ÜGYFÉLSZOLGÁLAT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER IT ÜGYFÉLSZOLGÁLAT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER IT ÜGYFÉLSZOLGÁLAT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK TECHNIKAI LEÍRÁS A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával,

Részletesebben

Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése. Készítette: Kassai Eszter Rónafalvi György

Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése. Készítette: Kassai Eszter Rónafalvi György Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése Készítette: Kassai Eszter Rónafalvi György Tartalom A kockázatról általában A kockázatelemzés folyamata Az

Részletesebben

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 1.0 verzió 2008. június - 1 - Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki

Részletesebben

A tőzvédelmi tanúsítási rendszer mőködése Magyarországon

A tőzvédelmi tanúsítási rendszer mőködése Magyarországon A tőzvédelmi tanúsítási rendszer mőködése Magyarországon A tőzvédelmi törvény értelmében a Magyarországon forgalomba hozni csak olyan tőzoltótechnikai terméket, tőz- vagy robbanásveszélyes készüléket,

Részletesebben

OTSZ VILLÁMVÉDELEM. Elemzés és módosítási javaslat

OTSZ VILLÁMVÉDELEM. Elemzés és módosítási javaslat OTSZ Elemzés és módosítási javaslat OTSZ 3. rész Elemzés Válasz a következı kérdésekre: - a szabályzat tartalmaz-e szabványhivatkozásokat - a hivatkozások megfelelnek-e az európai elveknek és az európai

Részletesebben

Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/311-683 E-mail: jegyzo@salgotarjan.hu

Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/311-683 E-mail: jegyzo@salgotarjan.hu Szám: 15355/2009. Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/311-683 E-mail: jegyzo@salgotarjan.hu Javaslat a 252/2005.(X.27.) Öh. sz. határozattal jóváhagyott Salgótarján

Részletesebben

Szigma Integrisk integrált kockázatmenedzsment rendszer

Szigma Integrisk integrált kockázatmenedzsment rendszer Szigma Integrisk integrált kockázatmenedzsment rendszer A rendszer kidolgozásának alapja, hogy a vonatkozó szakirodalomban nem volt található olyan eljárás, amely akkor is megbízható megoldást ad a kockázatok

Részletesebben

Projekttervezés alapjai

Projekttervezés alapjai Projekttervezés alapjai Langó Nándor 2009. október 10. Közéletre Nevelésért Alapítvány A stratégiai tervezés folyamata Külsı környezet elemzése Belsı környezet elemzése Küldetés megfogalmazása Stratégiai

Részletesebben

Informatikai Biztonsági szabályzata

Informatikai Biztonsági szabályzata A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA) KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/1. Magyar Informatikai Biztonsági Keretrendszer (MIBIK) 25/1-3. kötet Az Informatikai Biztonság

Részletesebben

Ordacsehi Község Önkormányzata 2015. évi belsı ellenırzési terve

Ordacsehi Község Önkormányzata 2015. évi belsı ellenırzési terve Ordacsehi Község Önkormányzata 2015. évi belsı ellenırzési terve Tisztelt Képviselı-testület! A belsı ellenırzés tervezésének bemutatása Az államháztartásról szóló 2011. évi CXCV. törvény (a továbbiakban:

Részletesebben

A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE

A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE BME Informatikai Központ 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT 77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő

Részletesebben

ELİLAP AZ ELİTERJESZTÉSEKHEZ

ELİLAP AZ ELİTERJESZTÉSEKHEZ ELİLAP AZ ELİTERJESZTÉSEKHEZ ÜLÉS IDİPONTJA: Vecsés Város Önkormányzata Képviselı-testületének 2012. május 22-i ülésére ELİTERJESZTÉS TÁRGYA: Vincent Auditor Számviteli Szolgáltató és Tanácsadó Kft. 2011.

Részletesebben

IT BIZTONSÁGI MŰSZAKI KÖVETELMÉNYEK A KÜLÖNBÖZŐ BIZTONSÁGI SZINTEKRE

IT BIZTONSÁGI MŰSZAKI KÖVETELMÉNYEK A KÜLÖNBÖZŐ BIZTONSÁGI SZINTEKRE IT BIZTONSÁGI MŰSZAKI KÖVETELMÉNYEK A KÜLÖNBÖZŐ BIZTONSÁGI SZINTEKRE KÖVETELMÉNY ELŐÍRÁS A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. a 9/2005. (VII.21.) IHM rendelet alapján, mint a Nemzeti Fejlesztési Minisztérium IKF/19519-2/2012/NFM

Részletesebben

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek

Részletesebben

Elızmények. Csengey Gusztáv Általános Iskola 2170 Aszód, Csengey u. 30. Ü.szám: 222/2009.

Elızmények. Csengey Gusztáv Általános Iskola 2170 Aszód, Csengey u. 30. Ü.szám: 222/2009. Csengey Gusztáv Általános Iskola 2170 Aszód, Csengey u. 30. Ü.szám: 222/2009. Aszód Város Önkormányzatai Képviselı Testülete részére 2170 Aszód, Szabadság tér 9. Tárgy: Beszámoló az iskola Minıségirányítási

Részletesebben

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek

Részletesebben

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009 IT biztonsági keretek és követelmények Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központ Szigeti Szabolcs Networkshop 2009 Tartalom Az EK3 projektről Problémafelvetés l é Célkitűzések

Részletesebben

TERMÉKEKRE VONATKOZÓ ÉRTÉKELÉSI MÓDSZERTAN

TERMÉKEKRE VONATKOZÓ ÉRTÉKELÉSI MÓDSZERTAN TERMÉKEKRE VONATKOZÓ ÉRTÉKELÉSI MÓDSZERTAN A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú

Részletesebben

A szokásos piaci ár meghatározásával összefüggı nyilvántartás

A szokásos piaci ár meghatározásával összefüggı nyilvántartás A szokásos piaci ár meghatározásával összefüggı nyilvántartás az XXX Kft., mint EZ és a YYY Kft., mint AZ között létrejött ILYEN szerzıdés tárgyában DÁTUM KOLCHIS Kft. 2 6 1. A kapcsolt vállalkozások azonosító

Részletesebben

OKTATÁSI CSOMAG (SOA)

OKTATÁSI CSOMAG (SOA) OKTATÁSI CSOMAG (SOA) 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának

Részletesebben

ROP 3.1.3. Partnerség építés a Balaton régióban

ROP 3.1.3. Partnerség építés a Balaton régióban Elıadó: Fazekas Rita, környezetvédelmi ügyintézı Európai Parlament és a Tanács 761/2001/EK rendelete alapján a Környezetvédelmi Vezetési és Hitelesítési Rendszerében (EMAS) való önkéntes részvételi lehetısége

Részletesebben

Elektronikus közigazgatási keretrendszer Mentési rend ajánlás ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS

Elektronikus közigazgatási keretrendszer Mentési rend ajánlás ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

ISO 9001 revízió Dokumentált információ

ISO 9001 revízió Dokumentált információ ISO 9001 revízió Dokumentált információ Dokumentumkezelés manapság dokumentált eljárás Minőségi kézikönyv DokumentUM feljegyzés Dokumentált eljárás feljegyzések kezeléséhez Dokumentált eljárás dokumentumok

Részletesebben

A munkavédelem szabályozási rendszere Terjék László MAGYAR KÖZTÁRSASÁG ALKOTMÁNYA 1949: XX.Tv.70/D. A MAGYAR KÖZTÁRSASÁG TERÜLETÉN ÉLİKNEK JOGUK VAN A LEHETİ LEGMAGASABB SZINTŐ TESTI ÉS LELKI EGÉSZSÉGHEZ.

Részletesebben

IT BIZTONSÁGI KÖVETELMÉNYRENDSZER

IT BIZTONSÁGI KÖVETELMÉNYRENDSZER IT BIZTONSÁGI KÖVETELMÉNYRENDSZER ÉRVÉNYESÍTÉSÉNEK MÓDJA A KÖZIGAZGATÁSI INFORMATIKAI RENDSZEREK FEJLESZTÉSEK SORÁN 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív

Részletesebben

SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE MINİSÉGIRÁNYÍTÁS AZ ÖNKORMÁNYZATOKNÁL 1. MINİSÉGÜGY AZ ÖNKORMÁNYZATOKNÁL

SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE MINİSÉGIRÁNYÍTÁS AZ ÖNKORMÁNYZATOKNÁL 1. MINİSÉGÜGY AZ ÖNKORMÁNYZATOKNÁL V I AD ORO KÖZIGAZGATÁSFEJLESZTÉSI TANÁCSADÓ ÉS SZOLGÁLTATÓ KFT. 8230 BALATONFÜRED, VAJDA J. U. 33. +36 (30) 555-9096 A R O P.PALYAZAT@YAHOO.COM SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK

Részletesebben

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet. TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet tanúsítja, hogy a NETI Informatikai Tanácsadó Kft. által kifejlesztetett OneWayer

Részletesebben

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel TÁMOP-6.2.5.A-12/1-2012-0001 Egységes külső felülvizsgálati rendszer kialakítása a járó- és fekvőbeteg szakellátásban, valamint a gyógyszertári ellátásban Az akkreditáció és a klinikai audit kapcsolata

Részletesebben

KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI SZABÁLYZATMENEDZSMENT KÖVETELMÉNYEI

KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI SZABÁLYZATMENEDZSMENT KÖVETELMÉNYEI KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI SZABÁLYZATMENEDZSMENT KÖVETELMÉNYEI 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program

Részletesebben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény

Részletesebben

SZEGVÁR ÉS VIDÉKE TAKARÉKSZÖVETKEZET

SZEGVÁR ÉS VIDÉKE TAKARÉKSZÖVETKEZET SZEGVÁR ÉS VIDÉKE TAKARÉKSZÖVETKEZET NYILVÁNOSSÁGRA HOZATALI TÁJÉKOZTATÓJA A 2013. PÉNZÜGYI ÉVRE 2014. június A Szegvár és Vidéke Takarékszövetkezet a Hitelintézetek nyilvánosságra hozatali követelményének

Részletesebben

A jel melléklet Szolgáltatással kapcsolatos távközlési alapfogalmak Árprés: Egyéni el fizet Elektronikus hírközlési építmény

A jel melléklet Szolgáltatással kapcsolatos távközlési alapfogalmak Árprés: Egyéni el fizet Elektronikus hírközlési építmény 1. Árprés: olyan versenykorlátozó helyzet, amelyben egy hatékonyan mőködı szolgáltató az árrés szőkösségébıl következıen nem képes a hálózati szolgáltatás igénybevételével a hálózati szolgáltatást nyújtó

Részletesebben

Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/452-745, 452-751; Fax: 28/452-755 e-mail: jegyzo@pecel.hu

Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/452-745, 452-751; Fax: 28/452-755 e-mail: jegyzo@pecel.hu Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/452-745, 452-751; Fax: 28/452-755 e-mail: jegyzo@pecel.hu Iktatószám: SZ/706/16/2009 ELİTERJESZTÉS a 2010. évre vonatkozó Éves i

Részletesebben

Adatstruktúrák, algoritmusok, objektumok

Adatstruktúrák, algoritmusok, objektumok Adatstruktúrák, algoritmusok, objektumok 2. Az objektumorientált programozási paradigma 1 A szoftverkrízis Kihívások a szoftverfejlesztés módszereivel szemben 1. A szoftveres megoldások szerepe folyamatosan

Részletesebben

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László A kockázat alapú felülvizsgálati és karbantartási stratégia alkalmazása a MOL Rt.-nél megvalósuló Statikus Készülékek Állapot-felügyeleti Rendszerének kialakításában II. rész: a rendszer felülvizsgálati

Részletesebben

Információ menedzsment

Információ menedzsment Információ menedzsment Szendrői Etelka Rendszer- és Szoftvertechnológiai Tanszék szendroi@witch.pmmf.hu Infrastruktúra-menedzsment Informatikai szolgáltatások menedzsmentje Konfigurációkezelés Gyorssegélyszolgálat

Részletesebben

Információbiztonság irányítása

Információbiztonság irányítása Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság

Részletesebben

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint

Részletesebben

11.6.2010 A7-0109/ 001-249. MÓDOSÍTÁSOK 001-249 elıterjesztette: Környezetvédelmi, Közegészségügyi és Élelmiszer-biztonsági Bizottság

11.6.2010 A7-0109/ 001-249. MÓDOSÍTÁSOK 001-249 elıterjesztette: Környezetvédelmi, Közegészségügyi és Élelmiszer-biztonsági Bizottság 11.6.2010 A7-0109/ 001-249 MÓDOSÍTÁSOK 001-249 elıterjesztette: Környezetvédelmi, Közegészségügyi és Élelmiszer-biztonsági Bizottság Jelentés Renate Sommer A fogyasztók élelmiszerekkel kapcsolatos tájékoztatása

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán Működési kockázatkezelés fejlesztése a CIB Bankban IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán 1 A Működési Kockázatkezelés eszköztára Historikus adatok gyűjtése és mennyiségi

Részletesebben

203/2011. (X. 7.) Korm. rendelet

203/2011. (X. 7.) Korm. rendelet 203/2011. (X. 7.) Korm. rendelet a biztosítási megállapodások egyes csoportjainak a versenykorlátozás tilalma alóli mentesítésérıl A Kormány a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról

Részletesebben

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE AZ INFORMATIKAI BIZTONSÁG MÉRÉSE Muha Lajos tanszékvezető főiskolai tanár ZMNE Bolyai János Katonai Műszaki Kar Informatikai Tanszék E-mail: muha.lajos@zmne.hu Összefoglalás: A biztonság mérése az informatikai

Részletesebben

Projektmenedzsment Szervezet Szervezeti és Mőködési Szabályzat

Projektmenedzsment Szervezet Szervezeti és Mőködési Szabályzat SAJÓSZENTPÉTER VÁROS ÖNKORMÁNYZATA Projektmenedzsment Szervezet Szervezeti és Mőködési Szabályzat 2009 Tartalomjegyzék 1. A szervezet feladat- és hatásköre... 3 2. Szervezet felépítése... 4 3. A tagok

Részletesebben

Alkalmazásportfólió. Szoftvermenedzsment. menedzsment. Racionalizálás. Konszolidáció. Nyilvántartás. Elemzés

Alkalmazásportfólió. Szoftvermenedzsment. menedzsment. Racionalizálás. Konszolidáció. Nyilvántartás. Elemzés Megjegyzés: Egyes megoldásokban, ahol -szel kell jelölni a helyes választ, K (= közömbös) jelzés arra utal, hogy az és az hiánya egyaránt elfogadható (= valami lehetséges, de nem jellemzı). 5.1. A sorokban

Részletesebben

IT biztonsági törvény hatása

IT biztonsági törvény hatása IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3

Részletesebben

Beruházás-szervezés projektkoordináció

Beruházás-szervezés projektkoordináció Beruházás-szervezés projektkoordináció Projektciklus: Építési kivitelezés résztvevıi: Projekt menedzsment Beruházó (építtetı): 1. szerzıdések (építési, tervezési) megkötése 2. a tervezı kiválasztása, jogszabályban

Részletesebben

BIZTONSÁGI AUDIT. 13. óra

BIZTONSÁGI AUDIT. 13. óra 13. óra BIZTONSÁGI AUDIT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH)

Részletesebben

A szokásos piaci árelv megfelelı alkalmazása

A szokásos piaci árelv megfelelı alkalmazása A szokásos piaci árelv megfelelı alkalmazása Az összehasonlíthatóság problémája FOTIADI ÁGNES osztályvezetı NAV Kiemelt Adózók Adóigazgatósága Szokásos Piaci Ár-megállapítási Önálló Osztály 2012. Október

Részletesebben

Bakonyi Szakképzés-szervezési Társulás HATÁROZAT ... ...

Bakonyi Szakképzés-szervezési Társulás HATÁROZAT ... ... Bakonyi Szakképzés-szervezési Társulás...... HATÁROZAT Szám: 7/2009. (III.16.) BTT határozat Tárgy: A Bakonyi Szakképzés-szervezési Társulás Társulási Tanács Közbeszerzési szabályzatának elfogadása A Bakonyi

Részletesebben

Az alkoholtartalom-növelésre, az édesítésre, a savtartalom-növelésre és a savtompításra vonatkozó új Európai Uniós elıírások

Az alkoholtartalom-növelésre, az édesítésre, a savtartalom-növelésre és a savtompításra vonatkozó új Európai Uniós elıírások Az alkoholtartalom-növelésre, az édesítésre, a savtartalom-növelésre és a savtompításra vonatkozó új Európai Uniós elıírások A közös borpiaci szabályozás második ütemében, 2009. augusztus 1-tıl léptek

Részletesebben

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági

Részletesebben

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

ISO 9001 kockázat értékelés és integrált irányítási rendszerek BUSINESS ASSURANCE ISO 9001 kockázat értékelés és integrált irányítási rendszerek XXII. Nemzeti Minőségügyi Konferencia jzr SAFER, SMARTER, GREENER DNV GL A jövőre összpontosít A holnap sikeres vállalkozásai

Részletesebben

106/2009. (XII. 21.) OGY határozat. a kábítószer-probléma kezelése érdekében készített nemzeti stratégiai programról

106/2009. (XII. 21.) OGY határozat. a kábítószer-probléma kezelése érdekében készített nemzeti stratégiai programról 106/2009. (XII. 21.) OGY határozat a kábítószer-probléma kezelése érdekében készített nemzeti stratégiai programról Az Országgyőlés abból a felismerésbıl kiindulva, hogy a kábítószer-használat és -kereskedelem

Részletesebben

91/2006. (XII. 26.) GKM rendelet. a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól

91/2006. (XII. 26.) GKM rendelet. a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól A jogszabály 2010. április 2. napon hatályos állapota 91/2006. (XII. 26.) GKM rendelet a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól A fogyasztóvédelemrıl

Részletesebben

Minıségirányítás a legfıbb ellenırzı intézmények számára

Minıségirányítás a legfıbb ellenırzı intézmények számára ISSAI 40 A legfıbb ellenırzı intézmények nemzetközi standardjait (ISSAI) a Legfıbb Ellenırzı Intézmények Nemzetközi Szervezete (INTOSAI) adja ki. További információ: www.issai.org Minıségirányítás a legfıbb

Részletesebben

SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM. Szóbeli vizsgatevékenység

SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM. Szóbeli vizsgatevékenység SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM Vizsgarészhez rendelt követelménymodul azonosítója, megnevezése: 2652-06/1 Az információáramlás feltételeinek meghatározása a logisztikában. Az E-logisztikai feladatok

Részletesebben

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában Előadó: Ivanyos János Trusted Business Partners Kft. ügyvezetője Magyar Közgazdasági Társaság Felelős Vállalatirányítás szakosztályának

Részletesebben

Módszertani útmutató hulladéklerakók rekultivációjára irányuló projektek költség-haszon elemzéséhez KVVM FI

Módszertani útmutató hulladéklerakók rekultivációjára irányuló projektek költség-haszon elemzéséhez KVVM FI Módszertani útmutató rekultivációs célú projektek költség-haszon elemzéséhez 0 KVVM FI Módszertani útmutató hulladéklerakók rekultivációjára irányuló projektek költség-haszon elemzéséhez Változatelemzés,

Részletesebben

A 9001:2015 a kockázatközpontú megközelítést követi

A 9001:2015 a kockázatközpontú megközelítést követi A 9001:2015 a kockázatközpontú megközelítést követi Tartalom n Kockázat vs. megelőzés n A kockázat fogalma n Hol található a kockázat az új szabványban? n Kritikus megjegyzések n Körlevél n Megvalósítás

Részletesebben

Szociális és Egészségügyi Iroda

Szociális és Egészségügyi Iroda Salgótarján Megyei Jogú Város Polgármesteri Hivatal Szociális és Egészségügyi Iroda 3100 Salgótarján, Múzeum tér 1., Pf.: 85. Tel.: 06 (32) 311-057 Ikt.szám: 47246/2005. J a v a s l a t a három éves szociális

Részletesebben

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP) Opennetworks Kereskedelmi és Szolgáltató Kft Információ Biztonsági Politika (IBP) Verzió 11 Jóváhagyom: Beliczay András, ügyvezető 2015 március 16 Tartalomjegyzék 1 DOKUMENTUM KARBANTARTÁS 4 2 BEVEZETÉS,

Részletesebben

ORDACSEHI KÖZSÉG ÖNKORMÁNYZAT Felülvizsgált stratégiai ellenırzési terve a 2015. év vonatkozásában

ORDACSEHI KÖZSÉG ÖNKORMÁNYZAT Felülvizsgált stratégiai ellenırzési terve a 2015. év vonatkozásában ORDACSEHI KÖZSÉG ÖNKORMÁNYZAT Felülvizsgált stratégiai ellenırzési terve a 2015. év vonatkozásában Ordacsehi Község Önkormányzat alapvetı célja, hogy biztosítsa a település mőködı képességét, a kötelezı

Részletesebben

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap) A Balaton-felvidéki Nemzeti Park Igazgatóság 0. évi integritásjelentése III.. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap) Az integritás menedzsment táblázat

Részletesebben

Nemzetközi projektmenedzsment. Balázsy Eszter, csoportvezetı ÉARFÜ Nonprofit Kft. 2009. augusztus 17.

Nemzetközi projektmenedzsment. Balázsy Eszter, csoportvezetı ÉARFÜ Nonprofit Kft. 2009. augusztus 17. Nemzetközi projektmenedzsment Balázsy Eszter, csoportvezetı ÉARFÜ Nonprofit Kft. 2009. augusztus 17. Nemzetközi pályázatok: miben más? Hosszú elıkészítés, egyeztetés Partnerek száma 10-15 is lehet Kommunikáció

Részletesebben

Az informatikai biztonsági kockázatok elemzése

Az informatikai biztonsági kockázatok elemzése ROBOTHADVISELÉS S 2009 Az informatikai biztonsági kockázatok elemzése Muha Lajos PhD, CISM főiskolai tanár, mb. tanszékvezet kvezető ZMNE BJKMK IHI Informatikai Tanszék 1 Az informatikai biztonság Az informatikai

Részletesebben

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE

TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE TANÚSÍTVÁNY (E-MS08T_TAN-ST-01) MELLÉKLETE Dokumentumazonosító TAN-ST-01.ME-01 Projektazonosító E-MS08T Microsec Kft. tan. MATRIX tanúsítási igazgató Dr. Szőke Sándor MATRIX tanúsító Hornyák Gábor Kelt

Részletesebben

Általános módszertani útmutató költség-haszon elemzéshez. Nemzeti Fejlesztési Ügynökség

Általános módszertani útmutató költség-haszon elemzéshez. Nemzeti Fejlesztési Ügynökség 80 Általános módszertani útmutató költség-haszon elemzéshez 1 Nemzeti Fejlesztési Ügynökség Általános módszertani útmutató költség-haszon elemzéshez Változatelemzés, pénzügyi elemzés, közgazdasági költség-haszon

Részletesebben

Örökségvédelmi szempontok a beruházás-elıkészítésben

Örökségvédelmi szempontok a beruházás-elıkészítésben Befektetıbarát településekért Örökségvédelmi szempontok a beruházás-elıkészítésben Reményi László remenyi.laszlo@mnm-nok.gov.hu Befektetıbarát településekért Gazdasági növekedése és a foglalkoztatási helyzet

Részletesebben

SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM. Szóbeli vizsgatevékenység

SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM. Szóbeli vizsgatevékenység SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM Vizsgarészhez rendelt követelménymodul azonosítója, megnevezése: 0753-06/1 Emberi erıforrás-menedzsment bemutatása, funkciói (munkakörelemzés, -értékelés, szervezeti

Részletesebben

Az éves ellenırzési terv összeállításának fıbb szempontjai

Az éves ellenırzési terv összeállításának fıbb szempontjai 2 Az éves ellenırzési terv összeállításának fıbb szempontjai A költségvetési szervek belsı ellenırzésérıl szóló, többször módosított 193/2003. (XI.26.) Kormányrendelet alapján az Adó- és Pénzügyi Ellenırzési

Részletesebben

Monitoring, ellenırzés, értékelés. Balázsy Eszter, csoportvezetı ÉARFÜ Nonprofit Kft. 2009. augusztus 17.

Monitoring, ellenırzés, értékelés. Balázsy Eszter, csoportvezetı ÉARFÜ Nonprofit Kft. 2009. augusztus 17. Monitoring, ellenırzés, értékelés Balázsy Eszter, csoportvezetı ÉARFÜ Nonprofit Kft. 2009. augusztus 17. Fogalmak Az ellenırzés a folyamatok, tevékenységek végrehajtásának állandó felülvizsgálatát jelenti,

Részletesebben

Szakmérnöki továbbképzés. Épületgépészeti szabályozástechnika. Dr. Magyar Zoltán

Szakmérnöki továbbképzés. Épületgépészeti szabályozástechnika. Dr. Magyar Zoltán Szakmérnöki továbbképzés Épületgépészeti szabályozástechnika Dr. Magyar Zoltán Tartalom 1. Épületgépészeti rendszerek üzemeltetése Beüzemelés, commissioning tevékenység Épületek belsı légállapotának kritériumai

Részletesebben

Transzferáras kerekasztal

Transzferáras kerekasztal Transzferáras kerekasztal Kerényi Máté Fülöp Budapest, 2011. július 8. A megbeszélés javasolt témái I. Mikor lehet/kell összevont nyilvántartást készíteni és mikor nem? Mi a piaci kamatláb a hátrasorolt

Részletesebben

MÉRNÖK-SZÓTÁR. számítógépes program rendszer. magyar-angol-német-orosz és más nyelvek. Mérnökök által összeállított szakmai szótárak, szakembereknek!

MÉRNÖK-SZÓTÁR. számítógépes program rendszer. magyar-angol-német-orosz és más nyelvek. Mérnökök által összeállított szakmai szótárak, szakembereknek! MÉRNÖK-SZÓTÁR számítógépes program rendszer - Többnyelvő szakszótárak - Építıipari szakszótár - Gépipari szakszótár - Vasúti szakszótár - Nyelvi választék: magyar-angol-német-orosz és más nyelvek - Általános

Részletesebben

Tengelic Község Önkormányzatának Stratégiai ellenırzési terve 2015 2018. év

Tengelic Község Önkormányzatának Stratégiai ellenırzési terve 2015 2018. év Tengelic Község Önkormányzatának Stratégiai ellenırzési terve 2015 2018. év A költségvetési szervek belsı kontrollrendszerérıl és belsı ellenırzésérıl szóló 370/2011.(XII. 31.) Kormány rendelet (továbbiakban:

Részletesebben

Az ellenırzések helyszínei:

Az ellenırzések helyszínei: Az ellenırzések helyszínei: I. Általános területi ellenırzések ÚTMUTATÓ a NAPSUGÁR 2008 akció Élelmiszerlánc-felügyeleti nyári kiemelt ellenőrzés végrehajtásához I./1. Élelmiszerforgalmazó és vendéglátóhelyek,

Részletesebben

Koordinációs Irányító Hatóság

Koordinációs Irányító Hatóság Koordinációs Irányító Hatóság EMIR Informatikai Biztonsági Szabályzat Tartalomjegyzék 1. A dokumentum keretei... 4 1.1. Dokumentum hatálya... 4 1.2. Kapcsolódó dokumentumok... 4 1.3. Fogalomtár... 4 1.4.

Részletesebben

Az MKB Befektetési Alapkezelı Zrt. (1056 Budapest, Váci utca 38.)

Az MKB Befektetési Alapkezelı Zrt. (1056 Budapest, Váci utca 38.) Az MKB Befektetési Alapkezelı Zrt. (1056 Budapest, Váci utca 38.) Végrehajtási Politikája és Allokációs Szabályzata Hatályos: 2012. április 30. - 1 - TARTALOMJEGYZÉK 1. Preambulum... 3 2. Az üzletkötésre

Részletesebben

Sämling Kft. LEAN menedzsment. A veszteségek folyamatos és szisztematikus kiküszöbölése Több mint eszköztár. 18 év 5 fı terület:

Sämling Kft. LEAN menedzsment. A veszteségek folyamatos és szisztematikus kiküszöbölése Több mint eszköztár. 18 év 5 fı terület: Sämling Kft. 18 év 5 fı terület: 1.Oktatásszervezés (>100 képzés), 2.Projektmenedzsment, 3.Soft-skills, 4.LEAN és SixSigma 5.Szervezetfejlesztés LEAN menedzsment A veszteségek folyamatos és szisztematikus

Részletesebben

Informatikai prevalidációs módszertan

Informatikai prevalidációs módszertan Informatikai prevalidációs módszertan Zsakó Enikő, CISA főosztályvezető PSZÁF IT szakmai nap 2007. január 18. Bankinformatika Ellenőrzési Főosztály Tartalom CRD előírások banki megvalósítása Belső ellenőrzés

Részletesebben