TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL"

Átírás

1 TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL 1

2 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának részeként készült. A dokumentum elkészítésében részt vett: 2

3 1. Metaadat-táblázat Megnevezés Cím (dc:title) Kulcsszó (dc:subject) Leírás (dc:description) Típus (dc:type) Forrás (dc:source) Kapcsolat (dc:relation) Terület (dc:coverage) Létrehozó (dc:creator) Kiadó (dc:publisher) Résztvevı (dc:contributor) Jogok (dc:rights) Dátum (dc:date) Formátum (dc:format) Azonosító (dc:identifier) Nyelv (dc:language) Verzió (dc:version) Státusz (State) Fájlnév (FileName) Méret (Size) Ár (Price) Felhasználási jogok (UserRights) Leírás TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL IT biztonság; útmutató; IT biztonsági követelmény A dokumentum célja segítséget adni az IT biztonság szempontjainak érvényesítéséhez a fejlesztési projektekben. Elsısorban gyakorlati jellegő információkat tartalmaz, amelyek alapján az IT biztonság kialakításának és ellenırzésének lépései megismerhetıek és megtervezhetıek. e-közigazgatási Keretrendszer Kialakítása projekt Miniszterelnöki Hivatal BME Informaikai Központ V1 Végleges EKK_ekozig_ITbiztonsagiutmutato_080728_V1 3

4 2. Verziókövetési táblázat A dokumentum neve TERVEZÉS AZ IT BIZTONSÁG SZEMPONTJÁBÓL A dokumentum készítıjének neve BME Informaikai Központ A dokumentum jóváhagyójának neve A dokumentum készítésének dátuma Verziószám V1 Összes oldalszám 86 A projekt azonosítója e-közigazgatási Keretrendszer Kialakítása projekt 2.1. Változáskezelés Verzió Dátum A változás leírása V MeH-nek átadott verzió V2 V3 4

5 3. Szövegsablon Megnevezés 1. Elıszó (Foreword) 2. Bevezetés (Preamble) 3. Alkalmazási terület (Scope) 4. Rendelkezı hivatkozások (References) 5. Fogalom-meghatározások (Definitions) 6. A szabvány egyedi tartalma (UniqueContent) 7. Bibliográfia 8. Rövidítésgyőjtemény 9. Fogalomtár 10. Ábrák 11. Képek 12. Fogalmak 13. Verzió 14. Mellékletek (Appendix) Leírás 5

6 4. Tartalomjegyzék Tartalom 1. Metaadat-táblázat Verziókövetési táblázat Változáskezelés 4 3. Szövegsablon Tartalomjegyzék Bevezetés Az IT biztonság helye a fejlesztési projektekben A környezet specialitásai Biztonsági alapfogalmak Biztonsági célok Követelmények Elérés módja Alapvetı elvek A biztonság megvalósításának folyamata Helyzetfelmérés Kockázatelemzés Védelmi intézkedések Védelmi intézkedések meghatározása Fizikai biztonsági kérdések Központi számítógéptermekkel szemben támasztott követelmények Általános követelmények Szakágankénti elemzés Géptermi fizikai környezet (építészet, statika) Objektumon belüli helyiségkiosztás és biztonsági elvárások Statikai szempontok és megközelíthetıség Számítógépterem határoló szerkezetek építészeti szempontból Moduláris géptermi határoló szerkezetek Rezgés- és zajvédelem Megelızı intézkedések Zajterhelés 27 6

7 Rezgésvédelem Épületgépészet és technológiai hőtés Tervezés Hőtési rendszer méretezése Alkalmazható technológiák Üzemeltetési szempontok Frisslevegı ellátás és légtechnikai kivitelezés Katasztrófaesetek elleni védelem (passzív és aktív tőzvédelem) Megelızı intézkedések (adminisztratív védelem) Számítógépterem határoló szerkezetek katasztrófavédelmi szempontból Aktív tőzvédelem Elektromos ellátó rendszerek Energiaellátási alapkoncepció, redundancia szintek Méretezési szempontok Villamos rendszerekkel szembeni követelmények Túlfeszültség- és villámvédelem Elektromágneses zavarvédelem EM védelem tervezésének lépései Géptermi hálózatok és kommunikációs kapcsolatok Objektumvédelem Decentrális géptermekkel szemben támasztott követelmények Technológiai leírások Géptermi határoló felületek kialakítási lehetıségei Rezgésvédelmi megoldások a számítógépteremben Technológiai hőtés mőszaki leírása Releváns tőzérzékelési megoldások technológiai összehasonlítása Releváns oltórendszerek technológiai összehasonlítása Áramellátási lehetıségek mőszaki leírása EMC árnyékolási megoldások Objektumvédelmi koncepció Számítógépterem biztonságos üzemeltetése integrált távfelügyeleti rendszerrel Informatikai kérdések Azonosítás és ellenırzés Nyomonkövetés, naplózás, auditálás Ellenırzés Etikus hekkelés Eszközök a vizsgálathoz 80 7

8 5. Bevezetés Az informatikai biztonság megvalósítása az elméleti megalapozáson túl jelentıs mennyiségő gyakorlati kérdést is felvet. Az anyag ezekre a gyakorlati jellegő kérdésekre világít rá, ellenırzı listaként, sorvezetıként használható. Kiindulhatunk a biztonság definíciójából. Informaációt akkor tekintünk biztonságban lévıknek, ha a következı három feltétel teljesül: Bizalmasság (Confidentiality): az információhoz csak az arra feljogosítottak férhetnek hozzá. Ez a gyakorlatban azt vonja maga után, hogy biztosítani kell, hogy illetéktelenek vagy ne férhessenek hozzá az adathoz, vagy az adatok olyan formában pl. titkosítva legyenek hozzáférhetıek, hogy azt csak az arra jogosultak (személyek, rendszerek) tudják értelmezni. Sértetlenség (Integrity): az információt csak az arra feljogosítottak módosíthatják. Más szóval ez azt jelenti, hogy az adat mindig olyan állapotban legyen, ahogy az utolsó, módosításra jogosult hagyta. Gyakorlatban meg kell akadályozni a módosítás jellegő hozzáféréseket, illetve megfelelı módszerekkel biztosítani kell a jogosulatlan, vagy véletlen módosítások felismerését és az eredeti állapot visszaállítását. A sértetlenség körébe tartozik a letagadhatatlanság (nonrepudiation), az elszámoltathatóság (accountability) és a hitelesség (authenticity). Letagadhatatlanság alatt azt értjük, hogy az információ jogosult módosítója vagy elıállítója ne tudja letagadni ezt a cselekedetet. Ez nyilvánvalóan alapvetı fontosságú például az elektronikus úton indított közigazgatási eljárások, stb. esetében. Az elszámoltathatóság annak biztosítása, hogy az információval kapcsolatos mőveletek végrehajtója késıbb azonosítható legyen. Ez többek között megfelelı naplózással biztosítható. A hitelesség a sértetlenség bizonyíthatósága. Ennek tipikus eszköze az elektronikus aláírás. Elérhetıség (Availability): az információ rendelkezésre áll az arra feljogosítottak számára. Biztosítani kell, hogy a rendszer, amely az adatot szolgáltatja mőködıképes legyen, ne lehessen támadással megbénítani, mőszaki hiba esetén sem semmisüljenek meg az adatok és az információ értelmezhetı formában álljon rendelkezésre. Ezt a hármast szokás az angol rövidítések alapján CIA elvnek nevezni Az informatikai biztonság kialakítása során a cél ezen három feltétel megvalósítása és meglétüknek folyamatos fenntartása. Fontos tudni, hogy az informatikai biztonság által megvalósított célok nem abszolút célok, és csak valamilyen igényszintnek megfelelıen értelmezhetıek. Nyilvánvaló például, hogy másként kell értelmezni és biztosítani a rendelkezésre állást és házi számítógép és egy elektronikus piactér esetében. Az önkormányzati környezet esetében számos jogszabály és elıírás határozza meg a biztonság igényszintjét, és a megvalósítás során elérendı célokat. 8

9 6. Az IT biztonság helye a fejlesztési projektekben 6.2. A környezet specialitásai A Ket. által megkövetelt informatikai biztonsági környezetet a 195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetıvé tevı informatikai rendszerek biztonságáról, együttmőködési képességérıl és egységes használatáról definiálja. A rendeletben foglaltak megfelelnek az általános informatikai biztonsági alapelveknek és céloknak, azonban ezeket pontosítják a környezetre vonatkozó kötelezı érvényő elıírásokkal. A rendelet több alapvetı megállapítást tesz, amely igen lényeges a biztonság szempontjából: Minıségirányítási rendszerrel kell rendelkezni, amely magában foglalja a biztonsági követelményeket (6. ), és ezt megfelelı dokumentációs rendszerrel támasztja alá (8. ). Mindez hangsúlyozza a biztonság folyamatszerő megközelítését, amely a helyesen kialakított célrendszerre, megfelelıen elvégzett tervezésre és kivitelezésre valamint a folyamatos üzemeltetésre épül. A fejezet ismerteti az ennek során végrehajtandó lépéseket és elkészítendı dokumentumokat. A 9. ismerteti a kockázatelemzés fontosságát. Kiemelendı a 9. (1), amely kimondja, hogy A hatóság az informatikai célrendszer informatikai biztonsági kockázatait legalább kétévenként felméri, és gondoskodik az informatikai célrendszer kockázatokkal arányos védelmérıl a tervezés, a beszerzés, az elıállítás, az üzemeltetés és a felülvizsgálat területén. Azaz elıírja, hogy a biztonsági rendszert periódikusan felül kell vizsgálni, reagálni kell a változó környezet által támasztott igényekre. A kétévenkénti felülvizsgálatot célszerő sőríteni, ha jelentıs változás áll be A fejezet bemutatja a helyzetfelmérés és a kockázatelemzés folyamatát. A 10. felhívja a figyelmet a biztonsági osztályba sorolásra, amely a helyzetelemzés-kockázatelemzés része. A 12. az informatikai rendszerek kiszervezésérıl szól és tükrözi azt az elvet, hogy az informatikai biztonság során a teljeskörőségre kell törekedni, azaz a saját rendszerünk biztonságát befolyásolja minden ezzel kapcsolatban lévı más rendszer. Kiszervezés esetén legfontosabb az átláthatóság, azaz a kiszervezett rendszerbe olyan szintő rálátással kell rendelkeznünk, hogy megbizonyosodhassunk a biztonsági szempontból helyes megvalósításról illetve befolyásunk lehessen ebbıl a szempontból. (12. (1)). A 13. hasonló megállapításokat tesz az adatvédelem szempontjából. A rendelet biztonsági követelményeket állapít meg a 14. -ban meghatározott (gyak. a csak elektronikusan folytatható ügyek) területekre: Ügyfél azonosításával kapcsolatos követelmények (15. ). Az ügyfél azonosításnak meg kell akadályozni a késıbbi megszemélyesítést és meg kell akadályozni az elektronikus aláírással ellátott őrlapok újrafelhasználását (visszajátszását). Az elektronikus aláírás kérdéseivel a 8. fejezet foglalkozik. A naplózással kapcsolatos követelmények (16. ). A naplózásnak különös tekintettel ki kell térnie az ügykezelés minden lépésére, olyan szinten, hogy az ügykezelés minden mozzanata rekonstruálható legyen. A naplóállományokat megfelelı módon védeni kell. A naplózás megvalósítása elsısorban az adott alkalmazás feladata, de a követelményrendszerben ezt specifikálni kell. A rendelkezésre állással kapcsolatos követelmények (17. ). Ki kell dolgozni és biztosítani kell a rendszerek megfelelı szintő üzemeltetését illetve helyreállítási tervét. Az üzemeltetéssel foglalkozik az 5. fejezet. 9

10 A mentéssel és archiválással kapcsolatos követelmények (18., 19. ). A mentésnek biztosítani kell az ügyekhez kapcsolódó dokumentumok megırzését, helyreállíthatóságát és hitelességének megırzését. A mentési és üzeltmenetfolytonossági terv kialakítása során ezekre ki kell térni. A üzemeltetésrıl a 5. fejezet, az egyes rendszerekhez kötıdı alapvetı mentési beállításokról a 4.8. fejezet szól. A vírusok és más támadások elleni védelem követelményei. A rendszerek védelmét biztosítani kell a kártékony kódok és a támadások ellen. A 4.8 fejezet szól az alapvetı beállításokról és lehetıségekrıl ezen a területen. Az adattárolással (12. ) és adattovábbítással (22. ) kapcsolatos követelmények. A vizsgált környezetben elsısorban az adatvédelemmel kapcsolatos feladatok jelentkeznek az általános biztonsági követelmények felett. Az adattovábbítás biztonságában lényeges szerepet játszó tőzfalakról a 4.8.3, a titkosításról a 4.9, a vezetéknélküli hálózatok biztonságáról a és az elektronikus aláírásról a 8 fejezet szól. A hozzáférés és a fizikai biztonság követelményei (23., 24. ). A hozzáférés során minden félnek azonosíthatónak kell lennie, különös tekintettel az ügyintézésben részt vevı felekre. Az általános biztonsági alapelveknek megfelelıen a rendszerekhez való fizikai hozzáférés biztonságát meg kell oldani. Az informatikai rendszer kezelésével kapcsolatos követelmények (25. ). Az informatikai rendszerben alkalmazott elemek csak szabályozott körülmények között vehetıek használatba. Ezzel kapcsolatban a 4.11 és 5.3 fejezet szól Biztonsági alapfogalmak A következı 5 fogalom az, amit egy rendszernél megvalósítani igyekszünk (sok más mellett). Rendelkezésre állás (Availability): A szolgáltatások és adatok elérhetısége biztosított az arra jogosult felhasználók számára. Véd a jogosulatlan hozzáféréstıl és adatmódosítástól, törléstıl, illetve a szolgáltatás elérhetıségének megakadályozásától (Denial of Service). Sértetlenség (Integrity): Két típusa van, adat és rendszer integritás. Adat integritás esetén az adat nem módosult nem engedélyezett módon a tárolás, feldolgozás, adatátvitel során. Rendszer integritáson azt érjük, hogy a rendszer a megvalósított funkciót változatlanul, engedélyezetlen manipulációtól mentesen hajtja végre. Bizalmasság (Confidentiality): Az a követelmény, hogy a bizalmas, vagy magántermészető információ nem jutott jogosulatlan kezekbe. Ez vonatkozik az adat tárolására, feldolgozására, átvitelére egyaránt. Felelısség (Accountability): Bármely entitás cselekvései követhetıek, és egyértelmően visszavezethetıek rá. Megbízhatóság (Assurance): A különbözı biztonsági intézkedések az irányítási, technológiai, mőködési vezérlés területén megfelelıen mőködnek, és védik a rendszert és az általa feldolgozott adatot. Az elızı négy cél megvalósított, ha: Ha a kívánt funkció jelen van és pontosan megvalósított. Ha megfelelı védelem van a nem szándékos hibák ellen. Ha megfelelı védelem van a szándékos hibák (behatolás, stb.) ellen. A fogalmak összefüggése a következı képen található: 10

11 A bizalmasság függ az integritástól, hiszen ha az elveszett, akkor nincsen ésszerő elvárás arra, hogy az információ nem került jogosulatlan kezekbe. Az integritás függ a bizalmasságtól, hiszen ha valamilyen adatnak elveszett a bizalmassága (superuser jelszó), akkor az adatok jogosulatlanul is módosulhattak. A rendelkezésre állás és a felelısség függ a bizalmasságtól és az integritástól, hiszen ha a bizalmasság sérült, akkor ezek a célok már nem érvényesek. Az összes összefügg a megbízhatósággal, hiszen már a rendszer tervezése során egy minıségi szintet meghatároz a tervezı az összes fogalomra nézve. Nem csak a szükséges funkciókat biztosítják, hanem azt is, hogy nem kívánt események nem történhetnek meg Biztonsági célok A számítógépes biztonságnak támogatni kell a szervezet céljait: A biztonság célja, hogy a szervezet erıforrásait (hardver, szoftver, információ) védje, és segítse a kitőzött célok megvalósításában azáltal, hogy védi a fizikai, pénzügyi erıforrásait, a hírnevét, dolgozóit, s egyéb tárgyi és szellemi tulajdonait. Fontos az, hogy a dolgozó ne érezze azt, hogy akadályozza munkáját a sok biztonsági követelmény, intézkedés. A biztonság szerves része a megbízható irányításnak: A számítógépes rendszerek és a rajtuk tárolt információ igen gyakran kritikus a szervezet mőködésének szempontjából. Ennek védelme legalább olyan fontos lehet, mint az erıforrásoké. Így tehát el kell dönteni, mekkora kockázatot hajlandó vállalni a szervezet vezetése a biztonság terén, milyen összegeket hajlandó rááldozni. Költséghatékonynak kell lennie: A biztonsági intézkedések várható költségét és az általa elért védelmet alaposan meg kell vizsgálni, nehogy sokkal drágább legyen, mint az általa biztosított elınyök. Semmilyen biztonsági megoldásnak sem szabad többe kerülnie annál, mintha egyszerően elviselnénk a biztonsági rés által okozott problémát, vagyis az okozott kárnál. 11

12 A rendszerhez tartozó felelısségeket határozottan definiálni kell: A számítógépes rendszerhez tartozó felhasználók, szolgáltatók, tulajdonosok, s egyéb, hozzáféréssel rendelkezık felelıssége egyértelmően meghatározott kell, hogy legyen. A szervezet méretétıl függetlenül szükség van konkrét szabályokra. Maga a fogalom nem jelenti feltétlenül a személyes felelısségre vonhatóságot is, hiszen sok információs rendszer nem is igényel felhasználói azonosítást. A rendszerek mőködtetıi saját rendszereiken kívül is felelısséggel tartoznak: Ha a rendszernek vannak külsı felhasználói is, akkor a rendszer gazdái felelısséggel tartoznak azért, hogy a különbözı felhasználókat tudassák a rendszer védelmének mértékérıl és szintjérıl. Ezzel együtt az információ megosztása azt is jelenti, hogy az esetleges hibákról betörésekrıl a többi rendszer mőködtetıjét is értesíteni kell, így koordináltan tehetik meg a védelmi intézkedéseket. A biztonság széleskörő, egységes megközelítést igényel: Ahhoz, hogy hatékony számítógépes biztonságot biztosítsunk, nemcsak a számítástechnika területérıl kell alapos ismeretekkel rendelkeznünk. Szükségünk van annak ismeretére, hogy a rendszer biztonságának kezelése hogyan kapcsolódik a szervezet mőködésének különbözı területeihez. A különbözı biztonsági vezérlık szintén más vezérlık megfelelı mőködésétıl függenek. Sok ilyen belsı függés létezik, megfelelı kiválasztással az irányítási, mőködési, technikai vezérlés kiválóan tud együttmőködni. Azonban a rossz kezelés azt okozhatja, hogy ezek a funkciók akadályozzák egymást. A biztonságot idırıl-idıre újra kell értékelni: Maga a számítógépes rendszer, a környezete dinamikusan változik. A technológia, a tárolt információ s éppen ezért a kockázat mértéke is folyton változik. Ezzel együtt viszont a biztonsági követelmények is megváltoznak. Történhet ez valamilyen technikai fejlesztés, külsı hálózathoz történı kapcsolódás, vagy az információ fontosságának változása folytán. Így egy rendszer soha sem tökéletes mikor implementálják, hiszen akaratlanul is derülnek ki hibák, s így sebezhetıbb lesz a rendszer. Éppen ezért kell idıvel újraértékelni a biztonsági intézkedések megbízhatóságát. A biztonságot különbözı szociális tényezık korlátozzák: A biztonsági intézkedéseket korlátozzák a különbözı szociális tényezık. Általában az intézkedések sorába tartozik, hogy jegyzik az egyes felhasználók belépését a rendszerbe, illetve az általa végrehajtott mőveleteket. Azonban ez ellentétben áll a magánszféra sérthetetlenségével, hiszen ekkor akár a megírt eket is feljegyezhetik. A fontos felismerés az, hogy az intézkedéseket csak az alanyok jogainak figyelembevételével hozzuk meg és valósítjuk meg Követelmények Látható, hogy az információ biztonsága és az informatikai biztonság különbözı, de egymással szorosan összefüggı fogalom. Az információbiztonság az információ megjelenési formájától 12

13 függetlenül foglalkozik annak biztonságával. Az információ biztonság nem csak és nem elsısorban informatikai kérdés. Erre a területre tartozik a titkos ügyiratkezeléstıl kezdve a tőzvédelemig nagyon sok szabályozás és szakma. Az ezeken alapuló védelmi intézkedések egyik részhalmaza az informatikai rendszerekre vonatkozó intézkedések. Az informatikai biztonság ezzel szemben kifejezetten az informatikai rendszerekben kezelt információ biztonságával foglalkozik. A szokásos definíció szerint informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítı mértékő állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körő, folytonos és a kockázatokkal arányos. A védelmi intézkedésekre jellemzı, hogy: teljes körőek, azaz a rendszer összes elemére kiterjednek, zártak, azaz minden fenyegetést figyelembe vesznek folytonosak, azaz a változó körülmények és követelmények mellett is megszakítás nélkül megvalósulnak Elérés módja Egy rendszer, egy szervezet biztonságának kialakítása nem egyszeri lépés. A biztonság nem állapot, hanem folyamat. Ennek megfelelıen a biztonság kialakítása több lépésben történik. A lényeges lépések a következık: 1. A rendszer leírása, helyzetfelmérés: meghatározzuk a vizsgált rendszer határait, környezetét, az érintett információs és egyéb erıforrásokat, figyelembe véve a rendszer komponenseit, a tárolt, feldolgozott, elıállított és továbbított információt, ezek sérülékenységeit, kritikusságát és érzékenységét. 2. A veszélyek meghatározása: a veszély a sebezhetıség kihasználása valamely veszélyforrás által. A lépés során meghatározzuk és felsoroljuk a vizsgált rendszer veszélyforrásait. 3. A sebezhetıségek elemzése, kockázatelemzés: a sebezhetıségeket elemzzük a kihasználhatóság valószínősége és a kihasználás esetén fellépı hatás súlyossága alapján. 4. Az intézkedések elemzése: megvizsgáljuk a biztonsági intézkedéseket hatékonyságuk és az általuk esetleg indukált más sérülékenységek szempontjából. 5. A valószínőségek meghatározása: a sebezhetıségek kihasználhatóságának valószínőségét osztályokba soroljuk: alacsony, közepes, magas. A vizsgálat során figyelembe vesszük a sebezhetıség jellegét, a veszélyforrás képességeit és motivációját, a meglevı biztonsági intézkedéseket. 6. Hatáselemzés: a sebezhetıségek kihasználásának káros hatásait vizsgáljuk a CIA elv alapján. A hatást alacsony, fokozott és kiemelt osztályokba sorolhatjuk. 7. Kockázat meghatározása: a kihasználhatóság valószínősége és a hatás alapján meghatározzuk a kockázatot. 8. Biztonsági intézkedések megtervezése: azon menedzsment, üzemeltetési és mőszaki biztonsági intézkedések meghozása, amelyek elfogadható szintre csökkentik rendszer kockázati szintjét. 9. Dokumentálás: a folyamat eredményét dokumentálni kell. A védelmi intézkedéseket megvalósítjuk és mőködtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket. 13

14 A következıkben egy egyszerő módszertant mutatunk be ezeknek a lépéseknek végrehajtására. Az itt bemutatott lépések nem szigorúan formalizáltak, sokkal inkább segítséget nyújtanak abban, hogy a biztonság megtervezése és megvalósítása során szisztematikusan tudjuk végigvinni a tervezést, ne kerülje el semmi a figyelmünket Alapvetı elvek Nagyon fontos tisztában lenni a biztonság kialakítása során elérendı célokkal. Néhány lényeges pont, amelyet szem elıtt kell tartani: Ismerd meg magad és ellenséged! Az biztonságot csak úgy lehet kellı szinten kialakítani, ha tisztában vagyunk saját környezetünkkel, rendszerünkkel, igényeinkkel és hasonló rálátással rendelkezünk a fenyegetı veszélyekkel. A pontos helyzetfelmérés nélkül csak vaktában hozhatunk intézkedéseket. A biztonság kompromisszumok kérdése. A biztonság kialakítása során fel kell tennünk a következı kérdéseket: Milyen biztonsági problémát kívánunk megoldani, milyen veszélyeket akarunk csökkenteni? A választott megoldások mennyire szolgálják a megoldást? Milyen új biztonsági problémákat vet fel a megoldás? Figyelembe véve a megoldás költségét (nem csak a pénzben kifejezhetıeket) és a megoldás által generált újabb problémákat, érdemes-e ezt a megoldást választani? Látszik, hogy sosem egy jó és egy nem jó megoldás között kell dönteni, hanem különbözı környezetben különbözı kompromisszumokat kell hozni. Mindent nem védhetünk száz százalékos biztonsággal. Az elıbb láthattuk, hogy a biztonság mindig kompromisszum kérdése. Meg kell találni azt a pontot, ahol az adott biztonsági szint elfogadható, anélkül, hogy más téren elfogadhatatlan dolgokat kényszerítene ki. Az indokolatlanul szigorú védelmi intézkedések nem csak túlzottan költségesek, de gyakran akadályozzák a produktív munkát és arra ösztönzik a felhasználókat, hogy szántszándékkal megkerüljék ıket, így nagyobb kockázatot jelentve, mint amit az eredeti intézkedés kiküszöbölt. Tipikus eset például a túlzottan bonyolult jelszavak kikényszerítése, amelyet ezután a felhasználók nem képesek fejben tartani, hanem leírják ıket. A védelem legyen egyenszilárdságú! Minden védelmi rendszer annyira erıs, amennyire erıs a leggyengébb láncszeme. A védelem kialakítása során tehát kellı gondossággal tervezzük meg az egyes komponenseket, ugyanis hamis biztonságérzetet adhat az, ha az egyik komponens erıs, miközben más komponensekre nem fordítunk kellı figyelmet. Gyakran elıfordul, hogy egy technológia (pl. tőzfal, vagy erıs titkosítás) meglétével a biztonságot elintézettnek tekintik, miközben ezek pusztán önmagukban nem oldanak meg semmit. Az egyenszilárdság kialakítása nem egyszerő, mivel olyan nehezen kezelhetı dolgokat kell beilleszteni a rendszerbe, mint az emberi tényezı. A védelem ne kerüljön többe, mint a védett érték! Ez nyilvánvaló és tulajdonképpen következik az elızı két elvbıl is. Bizonyos esetekben célszerőbb együtt élni, vagy más módon (pl. biztosítással) kezelni valamely fenyegetettség által jelentett kockázatot. Például hazai viszonyok között nagyok kevés olyan érték van, amelyet érdemes megelızı védelemmel védeni hetes erısségő földrengés ellen, annak ellenére, hogy egy ilyen veszély elvileg nem zárható ki. A biztonság sosem állapot, hanem folyamat. Mivel a biztonság önmagában nem érzékelhetı, csak annak hiánya észlelhetı, ezért folyamatosan követni kell 14

15 rendszerünket, olyan jelek után kutatva, amely az aktuális helyzet hiányosságait jelzik, és a megfelelı ellenintézkedéseket meg kell tenni. Ha kell, módosítani kell a szabályzatokat, eljárásokat. Gyakori eset, hogy ragaszkodnak a valamikor elkészített szabályzatokhoz, beállításokhoz, miközben a megváltozott körülmények miatt ez nagyobb kárt okoz, mint hasznot. Válasszuk az egyszerő megoldást! A biztonsági kérdések esetében különösen igaz, hogy ami bonyolult, az valószínőleg nagyobb valószínőséggel tartalmaz olyan hibákat, amelyek biztonsági problémához vezetnek. Törekedjünk a minél egyszerőbb architektúrákra, szabályzatokra és rendszerekre. Nem szabad engedni a kísértésnek, hogy a bonyolult megoldás biztonságosabb. Általában csak annak látszik, de nem az! Legyen többszintő védelem! Több, egymást támogató védelmi vonal többet ér, mint egy, általában még akkor is, ha egyenként gyengébbek. A támadóknak több akadályon kell átverekedni magukat, így nagyobb az esély, hogy még a siker elıtt felfedezik ıket. Például ha levelezı rendszerünkben központi vírusvédelem van, még nem jelenti azt, hogy nem kell az irodai gépeken külön is víruskeresıt (mégpedig lehetıleg a központitól eltérıt) telepíteni. 7. A biztonság megvalósításának folyamata 7.8. Helyzetfelmérés Csak akkor tudjuk rendszereinket, adatainkat biztonságba helyezni, ha tudatában vagyunk a jelenlegi helyzettel. Ezért elsı és nagyon fontos lépés az átfogó helyzetelemzés. Ennek során felmérjük a rendszereinket, mőködési eljárásainkat és a kezelt információt. A helyzetfelmérés során elsısorban megállapítjuk a védendı értékeket és az ezekre veszélyt jelentı veszélyforrásokat. Ezeket célszerő kategóriánként számba venni: Környezeti veszélyek pl. természeti károk, tőz, stb. Fizikai veszélyek lopás, rongálás, fizikai betörés. Informatikai veszélyek vírusok, számítógépes betörés, stb. Humán veszélyek szabotázs, gondatlanság, stb. Szervezeti veszélyek szervezeti problémák, irányítási gondok, stb. A veszélyforrásokból a helyzetelemzés eredményeként keletkezik egy felsorolás, amely elsısorban intuitív munka eredménye. Ebbe be kell vonni a szervezet minél több munkatársát, mivel általában a különbözı területeken, munkakörökben mások a veszélyek és a prioritások. Természetesen figyelembe kell venni a szabályozási környezet által támasztott igényeket is (pl. adatvédelem, titokvédelem). 15

16 7.9. Kockázatelemzés A kockázatelemzés során az egyes veszélyforrások által képviselt kockázatot próbáljuk megállapítani. A kockázat meghatározása során a veszély megvalósulásának valószínősége és az okozható kár alapján, vagy más nézıpontból az adott veszélyt képviselı sérülékenység kihasználhatósága és ennek hatása alapján történik. Egyes módszertanok megpróbálják számszerősíteni a kockázatot, általában a bekövetkezési valószínőség és az okozott kár nagyságának szorzataként, azonban a gyakorlat sokszor azt mutatja, hogy ez a számszerősítés nehéz, vagy egyenesen lehetetlen. Különösen igaz ez azért, mert a legtöbb módszertant elsısorban üzleti környezetben történı felhasználásra dolgozták ki, ahol a közigazgatási környezethez képest gyakran könnyebb a károk számszerősítése (veszteség, elmarad haszon, stb.). Ezért a gyakorlatban célszerőbb kategóriákkal dolgozni, amelyek az adott környezet mőködéséhez igazodnak. Az hatások kategorizálása a közigazgatás szemszögébıl: Alacsony, várhatóan korlátozott hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A korlátozott hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani ugyan elsıdleges funkcióit, de a funkciók hatásossága észrevehetıen csökken. Az ügyek lefolytatásában fennakadást okoz, de a sikeres lefolytatást és határidık betartását nem veszélyezteti. o A szervezeti eszközök kisebb mértékő károsulását eredményezi. o Kisebb mértékő pénzügyi veszteséget okoz. o A jogbiztonságot kisebb mértékben veszélyezteti, a személyes és/vagy közhiteles adatok védelmével kapcsolatban felmerül a lehetıség, hogy a helyzet javítása nélkül az adatok védelme sérülhet. Fokozott, várhatóan komoly hátrányos hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A komoly hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan idıtartamra csökkentheti, hogy a szervezet képes végrehajtani elsıdleges funkcióit, de a funkciók hatásossága jelentıs mértékben csökken. Az ügyekkel kapcsolatban olyan szintő adatvesztés következik be, amely az ügyek folytatását megakasztja, a határidık betartását lehetetlenné teszi vagy más útra (papír alapú) tereli. o A szervezeti eszközök jelentıs károsulását eredményezi. o Jelentıs pénzügyi veszteséget okoz. o A jogbiztonságot jelentıs mértékben veszélyezteti, személyes és/vagy közhiteles adatok védelme sérül. 16

17 Kiemelt, várhatóan súlyos vagy katasztrofális hatást gyakorol a közigazgatási szervezet mőveleteire, vagy a szervezet eszközeire. A súlyos vagy katasztrofális hátrányos hatás azt jelenti, hogy: A szolgáltatási képességet olyan mértékben és olyan idıtartamra csökkentheti, illetve akár meg is szőntetheti, hogy a szervezet nem képes végrehajtani egy vagy több elsıdleges funkcióját. Az ügyekkel kapcsolatosan olyan szintő adatvesztés következik be, amely lehetetlenné teszi az ügy folytatását és az eredeti helyzet helyreállítását. A szervezeti eszközök lényegi károsulását eredményezi. Lényegi pénzügyi veszteséget okoz. A jogbiztonságot alapvetıen veszélyezteti, a személyes és/vagy közhiteles adatok védelme súlyosan és jóvátehetetlenül sérül. Hasonló módon a bekövetkezési valószínőséget is kategorizálhatjuk: Magas bármikor elıfordulhat. mert pl. gyakori esemény, vagy a támadást bárki végrehajthatja. Ilyen lehet például egy olyan vírustámadás, amelyet nagyrészt automatizált kártékony kódok hajtanak végre Közepes gyakran elıfordulhat, pl. szakértı támadó által végrehajtható. Ilyen lehet egy célzott számítógépes betörés a rendszerbe. Alacsony az elıfordulása a vizsgált rendszer vagy szervezet mőködési idejéhez képest nem gyakori. Ilyen lehet például tőzeset vagy természeti csapás. A várható kár és a bekövetkezés valószínősége alapján a kockázat is kategorizálható: hatás \ valószínőség magas közepes alacsony alacsony mérsékelt alacsony alacsony fokozott jelentıs mérsékelt alacsony kiemelt kritikus jelentıs mérsékelt A táblázat a kockázatot az alacsony, mérsékelt, jelentıs és kritikus kategóriákba sorolja. Az egyes besorolások az igényszintek alapján természetesen módosíthatóak, sıt, igény esetén akár a kár, akár az elıfordulás valószínőségére és használhatóak más felbontások. A lényeg nem az értékeken van, hanem azon, hogy képesek legyünk prioritásokat felállítani a kockázatok között, így megfelelıen koncentrálva a kritikus pontokra. A következı táblázat egy kiragadott példa a veszélyek felsorolásra és a kockázatelemzésre: Veszély Típus Leírás Kár Valószínőség Kockázat Meghibásodás környezeti Hardverhiba Jelentıs Ritka Mérsékelt Kártékony kód Adathordozó elvesztése Informatikai Kártékony kód a belsı számítógépes rendszerbe Humán Dolgozó érzékeny adatokat tartalmazó adathordozót veszít el Közepes Állandó Jelentıs Közepes Gyakori Mérsékelt 17

18 7.10. Védelmi intézkedések A fenti alapelvek figyelembevételével úgy tudjuk kidolgozni védelmi rendszerünket, hogy felmérjük a különbözı veszélyeket, az általuk jelentett kockázatot, majd ezt összevetve a kockázat kezelésére alkalmas védelmi és más intézkedésekkel, kiválasztjuk a megfelelı intézkedést. A prioritások megállapításával meghatározzuk, hogy mely kockázatokkal kívánunk (kell) elıször foglalkozni, illetve milyen kockázati szintig kívánunk védelmi intézkedéseket hozni, és melyek esetében véljük elfogadhatónak a kockázatot. A védelmi intézkedések, az elızıkben foglaltak alapján a menedzsment, üzemeltetési és mőszaki intézkedések csoportjaiba sorolhatóak, azonban felállítható egy másik nézıpont szerinti csoportosítás, amely segíti a veszélyekhez rendelt intézkedések kidolgozását, azon az alapon, hogy a veszélyt megelızni, észlelni, vagy javítani kívánjuk: Megelızı (preventív): a megelızés során olyan tevékenységeket kell végrehajtani, amely lehetetlenné teszi a veszélyes esemény bekövetkeztét. Megelızı intézkedés például tartalomszőrés, amellyel megelızzük vírusok levelezésen keresztüli bejutását. Észlelı (detektáló): az észlelés során a már folyamatban lévı támadást, károkozást próbáljuk lehetıleg minél hamarabb észlelni, majd ez alapján megszüntetni, mielıtt lényegi károkozásra kerülne sor. Ilyen például a behatolás jelzı (IDS) rendszer használata, amely gyanús hálózati forgalom esetén riasztást ad. Az észlelés alapján azután más tevékenységeket is végezhetünk. Javító (korrektív): a javító intézkedés a már megtörtént esemény által okozott kárt csökkenti vagy szünteti meg. Javító intézkedés például a rendszer visszaállítása mentésbıl, de ilyen intézkedés akár az is, ha biztosítással rendelkezünk, amely kár esetén biztosít fedezetet. Ezt a hármast az angol megnevezések alapján PreDeCo-nak nevezik. Természetesen elıfordulhat, hogy bizonyos esetekben valamelyik típusú védelmi intézkedés nem értelmezhetı, vagy úgy ítéljük, hogy nincsen rá szükség. Az egyes veszélyforrásokra vonatkozóan most már megállapíthatóak a védelmi intézkedések, ezek kidolgozása során használhatjuk a CIA elvet, minden veszélyforráshoz hozzárendelve az általa képviselt kockázatot, az azt megvalósító bizalmasság, sértetlenség vagy rendelkezésre állás sérülését és az ezeket megelızı, detektáló vagy javító intézkedéseket. Ennek táblázatos összefoglalása egy egyszerő példával: Veszély Hardver meghibásodása Kockázat Mérsékelt Intézkedés C I A Redundáns Redundáns Redundáns Pre rendszer, rendszer, rendszer, megelızı megelızı megelızı karbantartás karbantartás karbantartás De Co Vírustámadás Jelentıs Pre - Integritás ellenırzı kriptográfiai eszközök - Biztonsági mentés Vírusszőrés, tőzfal, felhasználók oktatása Vírusszőrés, tőzfal, felhasználók oktatása Rendszerfelügyelet mőködtetése Tartalék rendszer, biztonsági mentés Vírusszőrés, tőzfal, felhasználók oktatása 18

19 De Víruskeresı Integritás ellenırzı kriptográfiai eszközök Biztonsági mentés Rendszerfelügyelet, víruskeresı Nem védjük / Tartalék rendszer, Co biztosítás biztonsági mentés A táblázatot minden veszélyre kitöltve meghatározhatóak azok a védelmi intézkedések, amelyek az adott kockázat kezelésére alkalmasak, vagy amelyeket alkalmazni kívánunk. Természetesen, ahogy a példában is elıfordul, hogy a táblázat egyes mezıi kitöltetlenek, mivel az adott sérülékenység nem értelmezhetı és/vagy az adott kockázatot nem kívánjuk vagy nem tudjuk kezelni. Ezzel a módszerrel szisztematikusan végig gondolható a szervezet informatikai védelme, és meghatározhatóak és dokumentálhatóak a védelmi intézkedések. A lényeg nem a táblázatgyártásban van, hanem ha követjük a fenti eljárást, akkor biztosak lehetünk abban, hogy sikerült átfogóan végiggondolni a biztonsági kérdéseket, nem hagytunk rést. Az informatikai biztonságnak pedig a teljes szervezetre nézve átfogónak kell lennie. Az intézkedéseket besoroljuk a menedzsment, üzemeltetési vagy mőszaki kategóriákba, így elhelyezhetıek a szervezet szabályozásaiban. Az intézkedéseket implementálni kell. Ezek egy része informatikai feladat, más része pedig szabályzatok és egyéb elıírások meghozatalát igényli. Az intézkedések kialakítása és meghozatala természetesen nem jelenti a tevékenység befejezését, az elemzést rendszeresen meg kell ismételni, és a változó körülmények, fenyegetettségek és üzemeltetési tapasztalatok alapján módosítani, helyesbíteni kell. Az egyik leggyakoribb hiba az egyszer kialakított védelmi intézkedések kıbe vésése, mivel a változó körülmények között egy védelmi intézkedés akár késıbbiekben károssá is válhat. 8. Védelmi intézkedések meghatározása Fizikai biztonsági kérdések Az biztonság megvalósításának egyik alapvetı pillére a helyesen kialakított fizikai biztonság. A bizalmasság, a sértetlenség és a rendelkezésre állás megfelelı megteremtése igényli a fizikai biztonság helyes tervezését, gyakran nem is triviális megoldásokat használva. A fejezet bemutatja az alapvetı intézkedéseket és tervezési irányelveket. Informatikai számítóközpontok vagy decentrális informatikai és kommunikációs rendszerek fizikai- és üzemeltetési környezetének kialakítását a releváns fenyegetettségek figyelembe vételével kell megvalósítani. Jelen tanulmány célja, hogy átfogóan bemutassa az informatikai rendszerek üzemeltetési környezetével szemben támasztott, fenyegetettségek kimutatásán alapuló követelménystruktúrákat. A követelmények kiválasztása során figyelembe vettük a vonatkozó információbiztonsági szabványokat (CC, COBIT, MSZ ISO 27001, 27002), illetve a számítógépterem építésére vonatkozó BITKOM ajánlást és a TIER szerinti osztályozási rendszert, valamint a számítógéptermek környezeti határértékeire vonatkozó Euronorma szabványokat és nemzetközi ajánlásokat. Kiemelt figyelmet fordítottunk az ISO és szabványban 19

20 megfogalmazott fizikai védelmi és az informatikai szolgáltatás folyamatosságára vonatkozó követelményekre. Az egyes szakterületek súlyának és az ezen belüli követelmények meghatározása során, ahol lehetséges, alternatív lehetıségek kerülnek megadásra, biztosítva ezáltal, hogy minden egyes védendı objektum esetében lehetıség legyen a kockázatarányosság elvének érvényesítésére. Fontos kiemelni továbbá, hogy az egyes védelmi szintek kialakítása idıben elkülönülhet, ahogy az üzemeltetési lehetıségek és a felhasználói igények fejlıdnek. A kiinduló pontot jelentı gyakorlati fenyegetések általánosítását alapfenyegetéseknek hívjuk, amelyek: a bizalmasság (az adatot csak az arra felhatalmazottak ismerhetik meg és rendelkezhetnek a felhasználásáról), a sértetlenség (az adatok konzisztenciája, integritása, fizikai vagy logikai teljessége biztosított), a rendelkezésre állás, (az informatikai rendszer megbízhatósági szempontokat figyelembe vevı tervezésének és üzemeltetésének köszönhetıen az adat használhatóságának biztosítása a rendelkezésre állás meghatározott követelmény szintjén) elvesztése. A támadás alatt nemcsak az adatok bizalmasságát, sértetlenségét veszélyeztetı akciókat kell érteni, hanem minden olyan fenyegetést is, amely a rendszer megbízható mőködését, ezáltal az adatok rendelkezésre állását veszélyezteti. A tanulmányban szakterületenként bemutatjuk a fenti alapkövetelményeknek megfelelı követelményrendszert, méretezési szempontokat, valamint a jelenleg alkalmazott technológiai megoldásokat. A bemutatásra kerülı követelményrendszer és technológiai megoldásokat alapvetıen központi, elsıdleges számítógépterem szempontjából vizsgáljuk. A tanulmányban, ezen túlmenıen, külön fejezet foglalkozik a további (helyi) szerverszobák, géptermek valamint kismérető informatikai helyiségek kialakításának szempont- és követelményrendszerével. Fontos azonban megjegyezni, hogy egy adott informatikai gépteremmel szemben elvárt követelményeket az ott mőködı rendszerektıl és a rendszereken futó alkalmazásoktól kell függıvé tenni Központi számítógéptermekkel szemben támasztott követelmények Általános követelmények A Számítóközpont és a kisegítı helyiségek kivitelezése feleljen meg a munka- és egészségvédelmi, használati és üzemviteli biztonsági követelményeknek, továbbá a megfelelı szabványoknak és az elvárható esztétikai szempontoknak egyaránt. Igazolni kell a beépített anyagok (álmennyezetek, felfüggesztések, falburkolatok, álpadlók stb.) építıipari alkalmasságát és beépíthetıségét is. A minısítı iratok, a szállítói megfelelıségi nyilatkozatok az átadási dokumentáció részét kell, hogy képezzék. Minıségbiztosítási terv alapján gondoskodni kell a minıség folyamatos ellenırzésérıl a számítóközpont kivitelezésekor, és ezt dokumentálni szükséges. A beruházó 20

Informatikai biztonsági elvárások

Informatikai biztonsági elvárások Informatikai biztonsági elvárások dr. Dedinszky Ferenc kormány-fıtanácsadó informatikai biztonsági felügyelı 2008. július 2. Tartalom Átfogó helyzetkép Jogszabályi alapok és elıírások Ajánlások, a MIBA

Részletesebben

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában

Részletesebben

FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ

FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ FOLYAMATLEÍRÁST SEGÍTİ GYAKORLATI ÚTMUTATÓ 1/ 50 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER RENDELKEZÉSREÁLLÁS MENEDZSMENT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER RENDELKEZÉSREÁLLÁS MENEDZSMENT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER RENDELKEZÉSREÁLLÁS MENEDZSMENT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus

Részletesebben

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA ÚTMUTATÓ AKKREDITOROK SZÁMÁRA A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA) KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/3. Informatikai Biztonsági Iránymutató Kis Szervezeteknek (IBIX) 1.0 verzió 2008. június Közigazgatási

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER INCIDENSMENEDZSMENT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

KÖZPONTI RENDSZER PILOT PROJEKTTERV

KÖZPONTI RENDSZER PILOT PROJEKTTERV KÖZPONTI RENDSZER PILOT PROJEKTTERV 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt

Részletesebben

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Nincs informatika-mentes folyamat! Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában Oláh Róbert számvevı tanácsos Az elıadás témái 2 Miért, mit, hogyan? Az IT ellenırzés

Részletesebben

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

A tőzvédelmi tanúsítási rendszer mőködése Magyarországon

A tőzvédelmi tanúsítási rendszer mőködése Magyarországon A tőzvédelmi tanúsítási rendszer mőködése Magyarországon A tőzvédelmi törvény értelmében a Magyarországon forgalomba hozni csak olyan tőzoltótechnikai terméket, tőz- vagy robbanásveszélyes készüléket,

Részletesebben

OTSZ VILLÁMVÉDELEM. Elemzés és módosítási javaslat

OTSZ VILLÁMVÉDELEM. Elemzés és módosítási javaslat OTSZ Elemzés és módosítási javaslat OTSZ 3. rész Elemzés Válasz a következı kérdésekre: - a szabályzat tartalmaz-e szabványhivatkozásokat - a hivatkozások megfelelnek-e az európai elveknek és az európai

Részletesebben

Mindezek figyelembevételével Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve a következıket tartalmazza.

Mindezek figyelembevételével Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve a következıket tartalmazza. Melléklet a. /2014. (XII. 16.) kt. határozathoz Tengelic Község Önkormányzatának 2015. évi belsı ellenırzési terve A Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. Törvény, az államháztartásról

Részletesebben

Informatikai Biztonsági szabályzata

Informatikai Biztonsági szabályzata A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER IT ÜGYFÉLSZOLGÁLAT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER IT ÜGYFÉLSZOLGÁLAT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER IT ÜGYFÉLSZOLGÁLAT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE

A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE A MAGYAR SOA ALAPÚ ARCHITEKTÚRA RENDSZERTERVE BME Informatikai Központ 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

Beruházás-szervezés projektkoordináció

Beruházás-szervezés projektkoordináció Beruházás-szervezés projektkoordináció Projektciklus: Építési kivitelezés résztvevıi: Projekt menedzsment Beruházó (építtetı): 1. szerzıdések (építési, tervezési) megkötése 2. a tervezı kiválasztása, jogszabályban

Részletesebben

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER KIADÁSMENEDZSMENT AJÁNLÁS

ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER KIADÁSMENEDZSMENT AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER KIADÁSMENEDZSMENT AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

Útmutató az informatikai biztonság megvalósítására önkormányzatok számára

Útmutató az informatikai biztonság megvalósítására önkormányzatok számára Útmutató az informatikai biztonság megvalósítására önkormányzatok számára Készült az Informatikai és Hírközlési Minisztérium megbízásából Standard-Média Bt. 2006. március Az útmutató elkészítésében részt

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/2. Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) 1.0 verzió 2008. június

Részletesebben

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági

Részletesebben

Felvonó felújítás, modernizálás helyzete Magyarországon

Felvonó felújítás, modernizálás helyzete Magyarországon Felvonó felújítás, modernizálás helyzete Magyarországon Siófok 2014. május 05. Gyökér Imre tanúsítási csoportvezetı Tel: 30 / 530-2592 30 / 267-6383 E-mail: gyoker.imre@emi-tuv.hu Gyors áttekintés Az országban

Részletesebben

Az informatikai katasztrófa elhárítás menete

Az informatikai katasztrófa elhárítás menete Az informatikai katasztrófa elhárítás menete A katasztrófa elhárításáért felelős személyek meghatározása Cég vezetője (ügyvezető): A Cég vezetője a katasztrófa elhárítás első számú vezetője. Feladata:

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

A jel melléklet Szolgáltatással kapcsolatos távközlési alapfogalmak Árprés: Egyéni el fizet Elektronikus hírközlési építmény

A jel melléklet Szolgáltatással kapcsolatos távközlési alapfogalmak Árprés: Egyéni el fizet Elektronikus hírközlési építmény 1. Árprés: olyan versenykorlátozó helyzet, amelyben egy hatékonyan mőködı szolgáltató az árrés szőkösségébıl következıen nem képes a hálózati szolgáltatás igénybevételével a hálózati szolgáltatást nyújtó

Részletesebben

A WINETTOU Távközlési Szolgáltató Korlátolt Felelısségő Társaság. Internet szolgáltatásra vonatkozó Általános Szerzıdéses Feltételek

A WINETTOU Távközlési Szolgáltató Korlátolt Felelısségő Társaság. Internet szolgáltatásra vonatkozó Általános Szerzıdéses Feltételek A WINETTOU Távközlési Szolgáltató Korlátolt Felelısségő Társaság Internet szolgáltatásra vonatkozó Általános Szerzıdéses Feltételek IV. számú módosításának kivonata 2010. március 15. Általános szerzıdési

Részletesebben

Elektronikus közigazgatási keretrendszer Mentési rend ajánlás ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS

Elektronikus közigazgatási keretrendszer Mentési rend ajánlás ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS ELEKTRONIKUS KÖZIGAZGATÁSI KERETRENDSZER MENTÉSI REND AJÁNLÁS 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási

Részletesebben

Logisztikai rendszerek. Termelési logisztika

Logisztikai rendszerek. Termelési logisztika Logisztikai rendszerek Termelési logisztika Termelési logisztika A termelési logisztika a mőködési területek jellegzetessége szerint a mikrologisztika, ezen belül a vállalati logisztika legmeghatározóbb

Részletesebben

Dr. Bakonyi Péter c.fıiskolai tanár

Dr. Bakonyi Péter c.fıiskolai tanár IT Biztonság Dr. Bakonyi Péter c.fıiskolai tanár A hálózati információbiztonság megteremtése Az információs társadalom kiteljesedése hazánkat minıségileg új kihívásokkal állítja szembe, ahol a terrorizmus,

Részletesebben

A hatósági géphigiéniai minısítési eljárás

A hatósági géphigiéniai minısítési eljárás A hatósági géphigiéniai minısítési eljárás Egy gép, berendezés vagy eszköz higiéniailag akkor felel meg a jogszabályi követelményeknek, ha azonosítható, ha rendelkezik a megfelelıségét tanúsító dokumentummal,

Részletesebben

Biztonság. Információ. Adat. Információelmélet. Információbiztonság az alkalmazásfejlesztésben ADAT INFORMÁCIÓ

Biztonság. Információ. Adat. Információelmélet. Információbiztonság az alkalmazásfejlesztésben ADAT INFORMÁCIÓ Információbiztonság az alkalmazásfejlesztésben Röviden az információbiztonságról Miért van erre szükség az alkalmazásfejlesztésben? Néhány ismertebb támadás Amire a biztonságos fejlesztés érdekében figyelni

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 1.0 verzió 2008. június - 1 - Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki

Részletesebben

Az MSZ EN 62305 villámvédelmi szabványsorozat. 3. rész: A létesítmények fizikai károsodása és életveszély (IEC 62305-3:2006)

Az MSZ EN 62305 villámvédelmi szabványsorozat. 3. rész: A létesítmények fizikai károsodása és életveszély (IEC 62305-3:2006) Az MSZ EN 62305 villámvédelmi szabványsorozat 3. rész: A létesítmények fizikai károsodása és életveszély (IEC 62305-3:2006) Az MSZ EN 62305-3-ben leírt intézkedések célja Az építmények megóvása a fizikai

Részletesebben

Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése. Készítette: Kassai Eszter Rónafalvi György

Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése. Készítette: Kassai Eszter Rónafalvi György Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése Készítette: Kassai Eszter Rónafalvi György Tartalom A kockázatról általában A kockázatelemzés folyamata Az

Részletesebben

MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET

MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET MINTA BIZTONSÁGI KATEGORIZÁLÁS SEGÉDLET A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt

Részletesebben

A blokkot irányító személyzet tartózkodó helye

A blokkot irányító személyzet tartózkodó helye A BV személyzet feladatai A Blokkvezénylık helye az atomerımővekben Túri Tamás PA Zrt. Irányítástechnikai Mőszaki Osztály turi@npp.hu Termelési feladatok A kívülrıl, ember-ember kommunikáció útján kapott

Részletesebben

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK TECHNIKAI LEÍRÁS A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával,

Részletesebben

OKTATÁSI CSOMAG (SOA)

OKTATÁSI CSOMAG (SOA) OKTATÁSI CSOMAG (SOA) 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer tárgyú kiemelt projekt megvalósításának

Részletesebben

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal. Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1 Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat...

Részletesebben

Tudjuk-e védeni dokumentumainkat az e-irodában?

Tudjuk-e védeni dokumentumainkat az e-irodában? CMC Minősítő vizsga Tudjuk-e védeni dokumentumainkat az e-irodában? 2004.02.10. Miről lesz szó? Mitvédjünk? Hogyan védjük a papírokat? Digitális dokumentumokvédelme A leggyengébb láncszem Védelem korlátai

Részletesebben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény

Részletesebben

E-Számlázás az ECOD rendszeren belül. Horváth Péter, Senior Projekt Menedzser Synergon Retail Systems Kft.

E-Számlázás az ECOD rendszeren belül. Horváth Péter, Senior Projekt Menedzser Synergon Retail Systems Kft. E-Számlázás az ECOD rendszeren belül Horváth Péter, Senior Projekt Menedzser Synergon Retail Systems Kft. Tartalom ECOD EDI rendszer Magyarországon és a helyi ECOD HelpDesk E-számlák archiválása az ECOD

Részletesebben

Az MSZ EN 62305 villámvédelmi szabványsorozat. 2. rész: Kockázatelemzés (IEC 62305-2:2006)

Az MSZ EN 62305 villámvédelmi szabványsorozat. 2. rész: Kockázatelemzés (IEC 62305-2:2006) Az MSZ EN 62305 villámvédelmi szabványsorozat 2. rész: Kockázatelemzés (IEC 62305-2:2006) MSZ EN 62305-2 1. Alkalmazási terület 2. Rendelkezı hivatkozások 3. Szakkifejezések, fogalom-meghatározások, jelölések

Részletesebben

A munkavédelem szabályozási rendszere Terjék László MAGYAR KÖZTÁRSASÁG ALKOTMÁNYA 1949: XX.Tv.70/D. A MAGYAR KÖZTÁRSASÁG TERÜLETÉN ÉLİKNEK JOGUK VAN A LEHETİ LEGMAGASABB SZINTŐ TESTI ÉS LELKI EGÉSZSÉGHEZ.

Részletesebben

Szakmérnöki továbbképzés. Épületgépészeti szabályozástechnika. Dr. Magyar Zoltán

Szakmérnöki továbbképzés. Épületgépészeti szabályozástechnika. Dr. Magyar Zoltán Szakmérnöki továbbképzés Épületgépészeti szabályozástechnika Dr. Magyar Zoltán Tartalom 1. Épületgépészeti rendszerek üzemeltetése Beüzemelés, commissioning tevékenység Épületek belsı légállapotának kritériumai

Részletesebben

Zajcsökkentési intézkedési tervek készítése szakértői szemszögből

Zajcsökkentési intézkedési tervek készítése szakértői szemszögből Zajcsökkentési intézkedési tervek készítése szakértői szemszögből Jogszabályi környezet 284/2007. (X. 29.) Korm. rendelet 17-18. 280/2004. (X. 20.) Korm. rendelet 9. 5. sz. melléklet 2 Intézkedési terv

Részletesebben

VT - MMK Elektrotechnikai tagozat 2015.02.02. Villámvédelem. #1. Szabvány és jogszabályi környezet változása, dokumentálás.

VT - MMK Elektrotechnikai tagozat 2015.02.02. Villámvédelem. #1. Szabvány és jogszabályi környezet változása, dokumentálás. Magyar Mérnöki Kamara ELEKTROTECHNIKAI TAGOZAT Kötelező szakmai továbbképzés 2014 2015. február 2. #1. Szabvány és jogszabályi környezet változása, dokumentálás Tartalom, tervezői jogosultságok A tervezés

Részletesebben

Útmutató az IT biztonsági szintek meghatározásához ÚTMUTATÓ AZ IT BIZTONSÁGI SZINTEK MEGHATÁROZÁSÁHOZ ÚTMUTATÓ

Útmutató az IT biztonsági szintek meghatározásához ÚTMUTATÓ AZ IT BIZTONSÁGI SZINTEK MEGHATÁROZÁSÁHOZ ÚTMUTATÓ ÚTMUTATÓ AZ IT BIZTONSÁGI SZINTEK MEGHATÁROZÁSÁHOZ ÚTMUTATÓ 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az Elektronikus közigazgatási keretrendszer

Részletesebben

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT 77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő

Részletesebben

A Visegrádi Önkormányzat 3/2004. (VI. 29.) ör. rendelete a helyi zaj- és rezgésvédelmi szabályozásról

A Visegrádi Önkormányzat 3/2004. (VI. 29.) ör. rendelete a helyi zaj- és rezgésvédelmi szabályozásról A Visegrádi Önkormányzat 3/2004. (VI. 29.) ör. rendelete a helyi zaj- és rezgésvédelmi szabályozásról A helyi önkormányzatokról szóló 1990. évi LXV. törvény 1. -ában foglaltak, továbbá az 1991. évi XX.

Részletesebben

Építőipari tűzvédelmi rendszerek szükséges átadási dokumentumai.

Építőipari tűzvédelmi rendszerek szükséges átadási dokumentumai. Építőipari tűzvédelmi rendszerek szükséges átadási dokumentumai. Miért aktuális ez a téma Kivitelezés minőségének hatása a tűzvédelem területén: 1. Egységes szabályok (alapkövetelmények) kivitelezők részére

Részletesebben

HELYSZÍNI KOCKÁZATFELMÉRÉSI JEGYZİKÖNYV VAGYONBIZTOSÍTÁSHOZ (Egyszerősített) (MJK: A-KOCKFELM_EGYSZ 001-2008)

HELYSZÍNI KOCKÁZATFELMÉRÉSI JEGYZİKÖNYV VAGYONBIZTOSÍTÁSHOZ (Egyszerősített) (MJK: A-KOCKFELM_EGYSZ 001-2008) HELYSZÍNI VAGYONBIZTOSÍTÁSHOZ (Egyszerősített) (MJK: A-KOCKFELM_EGYSZ 001-2008) 1. A Szerzıdı fél neve: címe: A kockázatviselés helye (címe): 1.1. A létesítmény teljes területe: m² A létesítmény beépítettsége:

Részletesebben

Szikra Csaba. Épületenergetikai és Épületgépészeti Tsz. www.egt.bme.hu

Szikra Csaba. Épületenergetikai és Épületgépészeti Tsz. www.egt.bme.hu Szikra Csaba Épületenergetikai és Épületgépészeti Tsz. www.egt.bme.hu Az EU EPBD (2002/91/EC) direktíva lényegesebb pontjai Az új épületek energia-fogyasztását az ésszerőség határain belül korlátozni kell.

Részletesebben

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Pécs 2005 1. Tartalomjegyzék 1. TARTALOMJEGYZÉK... 2 2. BEVEZETÉS... 3 2.1. AZ Informatikai Védelmi Szabályzat célja... 3 2.2.

Részletesebben

Projektmenedzsment Szervezet Szervezeti és Mőködési Szabályzat

Projektmenedzsment Szervezet Szervezeti és Mőködési Szabályzat SAJÓSZENTPÉTER VÁROS ÖNKORMÁNYZATA Projektmenedzsment Szervezet Szervezeti és Mőködési Szabályzat 2009 Tartalomjegyzék 1. A szervezet feladat- és hatásköre... 3 2. Szervezet felépítése... 4 3. A tagok

Részletesebben

IT üzemeltetés és IT biztonság a Takarékbankban

IT üzemeltetés és IT biztonság a Takarékbankban IT üzemeltetés és IT biztonság a Takarékbankban Előadó: Rabatin József Üzleti stratégia igények Cél? IT és IT biztonsági stratégia Mit? Felmérés, Feladatok, Felelősség Minőségbiztosítás Mennyiért? Hogyan?

Részletesebben

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek

Részletesebben

Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/452-745, 452-751; Fax: 28/452-755 e-mail: jegyzo@pecel.hu

Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/452-745, 452-751; Fax: 28/452-755 e-mail: jegyzo@pecel.hu Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/452-745, 452-751; Fax: 28/452-755 e-mail: jegyzo@pecel.hu Iktatószám: SZ/706/16/2009 ELİTERJESZTÉS a 2010. évre vonatkozó Éves i

Részletesebben

E L İ T E R J E S Z T É S

E L İ T E R J E S Z T É S AZ ELİTERJESZTÉS SORSZÁMA: 231. MELLÉKLET: 1 db TÁRGY: Javaslat az Állami Számvevıszék Szekszárd Megyei Jogú Város Önkormányzata pénzügyi helyzetének ellenırzésérıl készült jelentésben foglalt megállapításokhoz

Részletesebben

2006. évi XCIV. törvény. a tőz elleni védekezésrıl, a mőszaki mentésrıl és a tőzoltóságról szóló 1996. évi XXXI. törvény módosításáról

2006. évi XCIV. törvény. a tőz elleni védekezésrıl, a mőszaki mentésrıl és a tőzoltóságról szóló 1996. évi XXXI. törvény módosításáról Mi változott a tőzvédelmi törvényben, 2006-ban? A 2006. évi XCIV. törvény több ponton módosította az 1996. évi XXXI. Törvényt. A változások és az eredeti szöveg egymás melletti vizsgálata és a hozzá főzött

Részletesebben

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP) Opennetworks Kereskedelmi és Szolgáltató Kft Információ Biztonsági Politika (IBP) Verzió 11 Jóváhagyom: Beliczay András, ügyvezető 2015 március 16 Tartalomjegyzék 1 DOKUMENTUM KARBANTARTÁS 4 2 BEVEZETÉS,

Részletesebben

KÖRNYEZETI FENNTARTHATÓSÁGI SEGÉDLET. ÚMFT-s. építési beruházásokhoz. 1.0 változat. 2009. augusztus. Szerkesztette: Kovács Bence.

KÖRNYEZETI FENNTARTHATÓSÁGI SEGÉDLET. ÚMFT-s. építési beruházásokhoz. 1.0 változat. 2009. augusztus. Szerkesztette: Kovács Bence. KÖRNYEZETI FENNTARTHATÓSÁGI SEGÉDLET ÚMFT-s építési beruházásokhoz 1.0 változat 2009. augusztus Szerkesztette: Kovács Bence Írta: Kovács Bence, Kovács Ferenc, Mezı János és Pataki Zsolt Kiadja: Független

Részletesebben

ELİLAP AZ ELİTERJESZTÉSEKHEZ

ELİLAP AZ ELİTERJESZTÉSEKHEZ ELİLAP AZ ELİTERJESZTÉSEKHEZ ÜLÉS IDİPONTJA: Vecsés Város Önkormányzata Képviselı-testületének 2012. május 22-i ülésére ELİTERJESZTÉS TÁRGYA: Vincent Auditor Számviteli Szolgáltató és Tanácsadó Kft. 2011.

Részletesebben

6. A szervezet. Az egyik legfontosabb vezetıi feladat. A szervezetek kialakítása, irányítása, mőködésük ellenırzése, hatékonyságuk növelése,

6. A szervezet. Az egyik legfontosabb vezetıi feladat. A szervezetek kialakítása, irányítása, mőködésük ellenırzése, hatékonyságuk növelése, 6. A szervezet Az egyik legfontosabb vezetıi feladat A szervezetek kialakítása, irányítása, mőködésük ellenırzése, hatékonyságuk növelése, 1 Formális és informális szervezetek A formális szervezet formákban

Részletesebben

Elızmények. Csengey Gusztáv Általános Iskola 2170 Aszód, Csengey u. 30. Ü.szám: 222/2009.

Elızmények. Csengey Gusztáv Általános Iskola 2170 Aszód, Csengey u. 30. Ü.szám: 222/2009. Csengey Gusztáv Általános Iskola 2170 Aszód, Csengey u. 30. Ü.szám: 222/2009. Aszód Város Önkormányzatai Képviselı Testülete részére 2170 Aszód, Szabadság tér 9. Tárgy: Beszámoló az iskola Minıségirányítási

Részletesebben

Alkalmazásportfólió. Szoftvermenedzsment. menedzsment. Racionalizálás. Konszolidáció. Nyilvántartás. Elemzés

Alkalmazásportfólió. Szoftvermenedzsment. menedzsment. Racionalizálás. Konszolidáció. Nyilvántartás. Elemzés Megjegyzés: Egyes megoldásokban, ahol -szel kell jelölni a helyes választ, K (= közömbös) jelzés arra utal, hogy az és az hiánya egyaránt elfogadható (= valami lehetséges, de nem jellemzı). 5.1. A sorokban

Részletesebben

Tájékoztató az üzemi létesítmények környezeti zajkibocsátási határérték megállapításáról

Tájékoztató az üzemi létesítmények környezeti zajkibocsátási határérték megállapításáról Tájékoztató az üzemi létesítmények környezeti zajkibocsátási határérték megállapításáról A környezeti zaj és rezgés elleni védelem egyes szabályairól szóló 284/2007. (X. 29.) Korm. rendelet (a továbbiakban:

Részletesebben

3/2001. (I. 31.) KöViM rendelet. a közutakon végzett munkák elkorlátozási és forgalombiztonsági követelményeirıl

3/2001. (I. 31.) KöViM rendelet. a közutakon végzett munkák elkorlátozási és forgalombiztonsági követelményeirıl A jogszabály 2010. április 2. napon hatályos állapota 3/2001. (I. 31.) KöViM rendelet a közutakon végzett munkák elkorlátozási és forgalombiztonsági követelményeirıl A közúti közlekedésrıl szóló 1988.

Részletesebben

IT BIZTONSÁGI KÖVETELMÉNYRENDSZER

IT BIZTONSÁGI KÖVETELMÉNYRENDSZER IT BIZTONSÁGI KÖVETELMÉNYRENDSZER ÉRVÉNYESÍTÉSÉNEK MÓDJA A KÖZIGAZGATÁSI INFORMATIKAI RENDSZEREK FEJLESZTÉSEK SORÁN 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív

Részletesebben

zigazgatás s az informatikai biztonság

zigazgatás s az informatikai biztonság A magyar közigazgatk zigazgatás s az informatikai biztonság szemszögéből Póserné Oláh Valéria poserne.valeria@nik.bmf.hu ROBOTHADVISELÉS 8 TUDOMÁNYOS KONFERENCIA Miről l lesz szó? Informatikai biztonsági

Részletesebben

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László A kockázat alapú felülvizsgálati és karbantartási stratégia alkalmazása a MOL Rt.-nél megvalósuló Statikus Készülékek Állapot-felügyeleti Rendszerének kialakításában II. rész: a rendszer felülvizsgálati

Részletesebben

Kruppa Attila MEE Tűzvédelmi Munkabizottság. A Villamos Tűzvédelmi Műszaki Irányelv

Kruppa Attila MEE Tűzvédelmi Munkabizottság. A Villamos Tűzvédelmi Műszaki Irányelv Kruppa Attila MEE Tűzvédelmi Munkabizottság A Villamos Tűzvédelmi Műszaki Irányelv Előzmények A tűzvédelem szabályrendszerének általános problémái: 2 - Tűzveszélyességi osztályba sorolás problematikája

Részletesebben

SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE MINİSÉGIRÁNYÍTÁS AZ ÖNKORMÁNYZATOKNÁL 1. MINİSÉGÜGY AZ ÖNKORMÁNYZATOKNÁL

SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE MINİSÉGIRÁNYÍTÁS AZ ÖNKORMÁNYZATOKNÁL 1. MINİSÉGÜGY AZ ÖNKORMÁNYZATOKNÁL V I AD ORO KÖZIGAZGATÁSFEJLESZTÉSI TANÁCSADÓ ÉS SZOLGÁLTATÓ KFT. 8230 BALATONFÜRED, VAJDA J. U. 33. +36 (30) 555-9096 A R O P.PALYAZAT@YAHOO.COM SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK

Részletesebben

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó.

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here> Titkok Belsı támadások Törvényi elıírások Oracle adatbázisok proaktív es reaktív védelmi eszközei Mosolygó Ferenc, vezetı technológiai tanácsadó Proaktív és reaktív védelem Proaktív

Részletesebben

ÚTMUTATÓ A FÖLDRENGÉSES KÖRÜLMÉNYEKNEK KITETT FELVONÓKRAVONATKOZÓ EN 81-77 SZABVÁNY ALKALMAZÁSÁHOZ

ÚTMUTATÓ A FÖLDRENGÉSES KÖRÜLMÉNYEKNEK KITETT FELVONÓKRAVONATKOZÓ EN 81-77 SZABVÁNY ALKALMAZÁSÁHOZ ÚTMUTATÓ A FÖLDRENGÉSES KÖRÜLMÉNYEKNEK KITETT FELVONÓKRAVONATKOZÓ EN 81-77 SZABVÁNY ALKALMAZÁSÁHOZ 2014. október Felelısség kizárása: Jelen útmutató az ELA szakembereinek legjobb tudását tükrözi a közzététel

Részletesebben

Nyomtatási rendszer szolgáltatás - SLA

Nyomtatási rendszer szolgáltatás - SLA Nyomtatási rendszer szolgáltatás - SLA 1. oldal Telefon: +36 (72) 501-500 Fax: +36 (72) 501-506 1. Dokumentum adatlap Azonosítás Dokumentum címe Állomány neve Dokumentum verzió 1.1 Kiadás idõpontja 2009.11.01.

Részletesebben

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint

Részletesebben

91/2006. (XII. 26.) GKM rendelet. a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól

91/2006. (XII. 26.) GKM rendelet. a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának A fogyasztóvédelemrıl szóló 1997. évi CLV. törvény (a továbbiakban: Fgytv.) 56. -ának a) pontjában kapott felhatalmazás alapján

Részletesebben

Bakonyi Szakképzés-szervezési Társulás HATÁROZAT ... ...

Bakonyi Szakképzés-szervezési Társulás HATÁROZAT ... ... Bakonyi Szakképzés-szervezési Társulás...... HATÁROZAT Szám: 7/2009. (III.16.) BTT határozat Tárgy: A Bakonyi Szakképzés-szervezési Társulás Társulási Tanács Közbeszerzési szabályzatának elfogadása A Bakonyi

Részletesebben

Az ellenırzések helyszínei:

Az ellenırzések helyszínei: Az ellenırzések helyszínei: I. Általános területi ellenırzések ÚTMUTATÓ a NAPSUGÁR 2008 akció Élelmiszerlánc-felügyeleti nyári kiemelt ellenőrzés végrehajtásához I./1. Élelmiszerforgalmazó és vendéglátóhelyek,

Részletesebben

Object Orgy PROJEKTTERV 1 (9) Adattípusok menedzselése Palatinus Endre 2010-09-27 1.0

Object Orgy PROJEKTTERV 1 (9) Adattípusok menedzselése Palatinus Endre 2010-09-27 1.0 Object Orgy PROJEKTTERV 1 (9) Projektterv 1 Összefoglaló 2 Verziók Ez az projekt projektterve, ahol kitérünk a megrendelt szoftver elvárt szolgáltatásaira, és a tárgy keretein belül a projekt során felhasználandó

Részletesebben

HÍRLEVÉL. A Magyar Kereskedelmi Engedélyezési Hivatal közleménye

HÍRLEVÉL. A Magyar Kereskedelmi Engedélyezési Hivatal közleménye HÍRLEVÉL I. A Borsod-Abaúj Zemplén Megyei Kormányhivatal Miskolci Mérésügyi és Műszaki Biztonsági Hatósága által előírt tájékoztató a társasházi tulajdonosok részére A Magyar Kereskedelmi Engedélyezési

Részletesebben

5. A vezetıi dönt. ntéshozatal. A döntéselmélet tárgya. A racionális viselkedés feltételei megszervezésének, megnyilvánulásának, vizsgálata.

5. A vezetıi dönt. ntéshozatal. A döntéselmélet tárgya. A racionális viselkedés feltételei megszervezésének, megnyilvánulásának, vizsgálata. 5. A vezetıi dönt ntéshozatal A döntéselmélet tárgya A racionális viselkedés feltételei megszervezésének, megnyilvánulásának, logikai, matematikai és, empirikus vizsgálata. 1 A döntéselmélet rendeltetése

Részletesebben

A Natura 2000 területekhez kapcsolódó eljárások kritikus mérlegelési kérdései

A Natura 2000 területekhez kapcsolódó eljárások kritikus mérlegelési kérdései A Natura 2000 területekhez kapcsolódó eljárások kritikus mérlegelési kérdései 2010. január 11. Ambrusné dr. Tóth Éva JNOB, Nemzetközi Fıosztály Bevezetés Nem kell félretenni a 275/2004. (X. 8.) Korm. rendeletet

Részletesebben

A Magyar Aktuárius Társaság szakmai ajánlása Nem-élet termékterv díjkalkulációjával szembeni aktuáriusi elvárások

A Magyar Aktuárius Társaság szakmai ajánlása Nem-élet termékterv díjkalkulációjával szembeni aktuáriusi elvárások A Magyar Aktuárius Társaság szakmai ajánlása Nem-élet termékterv díjkalkulációjával szembeni aktuáriusi elvárások Elfogadás, hatályba lépés Az alábbi figyelemfelhívó szakmai ajánlást a Magyar Aktuárius

Részletesebben

A szabályozás lényege: integrált energiamérlegre vonatkozik, amely tartalmazza

A szabályozás lényege: integrált energiamérlegre vonatkozik, amely tartalmazza A szabályozás lényege: integrált energiamérlegre vonatkozik, amely tartalmazza a főtés és a légtechnika termikus fogyasztását, a nyereségáramok hasznosított hányadát, a ventilátorok, szivattyúk energiafogyasztását,

Részletesebben

KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI SZABÁLYZATMENEDZSMENT KÖVETELMÉNYEI

KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI SZABÁLYZATMENEDZSMENT KÖVETELMÉNYEI KÖZIGAZGATÁSI OPERATÍV PROGRAMOK IT BIZTONSÁGI KÖRNYEZETE AZ IT BIZTONSÁGI SZABÁLYZATMENEDZSMENT KÖVETELMÉNYEI 1 A dokumentum az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program

Részletesebben

O.T.SZ. MVÉDELEM MSZ EN 62305. dr.szedenik Norbert BME Villamos Energetika Tsz. szedenik@mail.bme.hu

O.T.SZ. MVÉDELEM MSZ EN 62305. dr.szedenik Norbert BME Villamos Energetika Tsz. szedenik@mail.bme.hu O.T.SZ. VILLÁMV MVÉDELEM 2009. JÚNIUS J 25. MSZ EN 62305 dr.szedenik Norbert BME Villamos Energetika Tsz. szedenik@mail.bme.hu MSZ EN 62305 1. rész: Általános elvek 2. rész: Kockázatelemzés 3. rész: Létesítmények

Részletesebben

26/2004. (VI. 11.) BM rendelet

26/2004. (VI. 11.) BM rendelet A jogszabály 2010. április 2. napon hatályos állapota 26/2004. (VI. 11.) BM rendelet az egyes mőszaki termékek tőzvédelmi megfelelıségét vizsgáló, ellenırzı és tanúsító szervezetek kijelölésérıl A mőszaki

Részletesebben

91/2006. (XII. 26.) GKM rendelet. a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól

91/2006. (XII. 26.) GKM rendelet. a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól A jogszabály 2010. április 2. napon hatályos állapota 91/2006. (XII. 26.) GKM rendelet a csomagolás környezetvédelmi követelményeknek való megfelelısége igazolásának részletes szabályairól A fogyasztóvédelemrıl

Részletesebben

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) 2-8/2014 KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) Jóváhagyom: Karcag, 2014. július Oldal: 1 / 9 1. IBS dokumentum karbantartás Dokumentum változások története Verzió Dátum

Részletesebben

83/2004. (VI. 4.) GKM rendelet. a közúti jelzőtáblák megtervezésének, alkalmazásának és elhelyezésének követelményeiről

83/2004. (VI. 4.) GKM rendelet. a közúti jelzőtáblák megtervezésének, alkalmazásának és elhelyezésének követelményeiről 83/2004. (VI. 4.) GKM rendelet a közúti jelzőtáblák megtervezésének, alkalmazásának és elhelyezésének követelményeiről A közúti közlekedésrıl szóló 1988. évi I. törvény 48. -a (3) bekezdése b) pontjának

Részletesebben

Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/311-683 E-mail: jegyzo@salgotarjan.hu

Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/311-683 E-mail: jegyzo@salgotarjan.hu Szám: 15355/2009. Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/311-683 E-mail: jegyzo@salgotarjan.hu Javaslat a 252/2005.(X.27.) Öh. sz. határozattal jóváhagyott Salgótarján

Részletesebben

Projekttervezés alapjai

Projekttervezés alapjai Projekttervezés alapjai Langó Nándor 2009. október 10. Közéletre Nevelésért Alapítvány A stratégiai tervezés folyamata Külsı környezet elemzése Belsı környezet elemzése Küldetés megfogalmazása Stratégiai

Részletesebben

Szigma Integrisk integrált kockázatmenedzsment rendszer

Szigma Integrisk integrált kockázatmenedzsment rendszer Szigma Integrisk integrált kockázatmenedzsment rendszer A rendszer kidolgozásának alapja, hogy a vonatkozó szakirodalomban nem volt található olyan eljárás, amely akkor is megbízható megoldást ad a kockázatok

Részletesebben

Általános Szerzıdési Feltételek Internet Protokoll alapú szolgáltatásokhoz A jelő melléklet Szolgáltatással kapcsolatos távközlési alapfogalmak

Általános Szerzıdési Feltételek Internet Protokoll alapú szolgáltatásokhoz A jelő melléklet Szolgáltatással kapcsolatos távközlési alapfogalmak 1.Árprés: olyan versenykorlátozó helyzet, amelyben egy hatékonyan mőködı szolgáltató az árrés szőkösségébıl következıen nem képes a hálózati szolgáltatás igénybevételével a hálózati szolgáltatást nyújtó

Részletesebben

Szikra Csaba. Épületenergetikai és Épületgépészeti Tsz. www.egt.bme.hu

Szikra Csaba. Épületenergetikai és Épületgépészeti Tsz. www.egt.bme.hu Szikra Csaba Épületenergetikai és Épületgépészeti Tsz. www.egt.bme.hu Alapelvek: A füstvédett térhez tartozó fajlagos felület értéke Zárt lépcsıház esetén: 5 %. Kiürítési út vízszintes szakasza (közlekedı,

Részletesebben

A használatbavételi engedélyezési kérelem mellékletei:

A használatbavételi engedélyezési kérelem mellékletei: A használatbavételi engedélyezési kérelem mellékletei: - Kérelem - Felelıs mőszaki vezetıi nyilatkozat (felelıs mőszaki vezetıi névjegyzékbe felvett személy lehet) - Közmő üzemeltetıi nyilatkozat(ok) -

Részletesebben

KISKÖRE VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATAL. Szervezetfejlesztés Kisköre Város Polgármesteri Hivatalában ÁROP-1.A.2.

KISKÖRE VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATAL. Szervezetfejlesztés Kisköre Város Polgármesteri Hivatalában ÁROP-1.A.2. KISKÖRE VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATAL Szervezetfejlesztés Kisköre Város Polgármesteri Hivatalában ÁROP-1.A.2./A-2008-0163 A PROJEKT LEÍRÁSA Kisköre, 2010. március 31. A projekt az Európai Unió

Részletesebben