Útmutató az informatikai biztonság megvalósítására önkormányzatok számára

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Útmutató az informatikai biztonság megvalósítására önkormányzatok számára"

Átírás

1 Útmutató az informatikai biztonság megvalósítására önkormányzatok számára Készült az Informatikai és Hírközlési Minisztérium megbízásából Standard-Média Bt március

2 Az útmutató elkészítésében részt vettek Szigeti Szabolcs (szerk) Krasznay Csaba Kremser Csaba (grafika) Muha Lajos Rigó Ernő További közreműködők: Kincses Zoltán Dr. Szigeti Marcell Köszönetünket fejezzük ki az Informatikai és Hírközlési Minisztérium munkatársainak, Németh J. Andrásnak és Sikolya Zsoltnak az útmutató elkészítésében nyújtott értékes segítségükért. Dok id: IHM-2005-ITSEC-1 Verzió: 1.0 Rev: d Kibocsátva: március 15. Szerkesztő: Szigeti Szabolcs

3 Tartalom 1 Vezetői összefoglaló Bevezetés A dokumentum célja A dokumentum célközönsége A dokumentum szerkezete Információbiztonság informatikai biztonság Védelmi intézkedések Informatikai biztonság Követelmények a közigazgatás számára Alapvető elvek Helyzetfelmérés Kockázatelemzés Védelmi intézkedések Szabályzatok Az emberi tényező Jelszavak Adathalászat Jellegzetes informatikai architektúrák és rendszerek önkormányzatoknál Rendszerek beállításai Windows Biztonsági beállítások Linux A Linux egy Windows-felhasználó szemével A Linux rendszer főbb komponensei Általános felhasználási tanácsok a Linux rendszerhez A Linux rendszerek alapvető beállításai A Linux hálózati tűzfala Csomagkezelés Hálózati kiszolgálók beállításai Honnan tudhatom, hogy feltörték? Tűzfalak A tűzfalak típusai Jellegzetes tűzfal architektúrák Címfordítás VPN Tipikus tűzfal beállítások Kártékony kódok Levelezés Titkosítás Vezetéknélküli hálózatok Fogalmak Veszélyek Biztonsági megoldások Lényeges tennivalók I

4 Példa a beállításokra Access Point beállítása Kliensek beállítása Bluetooth biztonság Hordozható eszközök Üzemeltetés Mentés Frissítések Selejtezés Vészhelyzetek További károk megelőzése Hasonló esetek megelőzése Normál üzem visszaállítása Nyomozás A szabályozási környezet által támasztott igények Jogszabályok Szabványok és ajánlások Az önkormányzati környezet specialitásai Az elektronikus aláírás Szótár Jogszabályok A területhez kapcsolódó egyéb jogszabályok A KIETB ajánlásai Hivatkozások Általános IT biztonság Jogszabályi háttér Windows Linux Vezetéknélküli biztonság Elektronikus aláírás Ábrák jegyzéke II

5 Vezetői összefoglaló 1 Vezetői összefoglaló Az informatika mindent átszövő fejlődésével az informatikai biztonság az utóbbi évek egyik legfontosabb szakterületévé vált. Számos eset bizonyítja, hogy a biztonság hiánya súlyos anyagi és erkölcsi károkhoz vezet. Nincs ez másként a közigazgatás területén sem, ahol éppen napjainkban alakulnak ki az elektronikus ügyintézés folyamatai, amelyek esetében magyarázat sem szükséges, hogy mennyire kiemelt fontosságú az információ és az informatikai biztonság megvalósítása. Az informatikai biztonság különleges helyzetben van, mert egyszerre van jelen az informatika minden területén, sőt, helyes kialakítása és működtetése jóval túlmutat a pusztán informatikai eszközökön. Ezért az informatikai biztonság nem képzelhető el termékként, amelyet megvásárolunk majd beüzemelünk. Az informatikai biztonságot a környezetre szabva kell kialakítani, megvalósítani és működtetni. Mindez azonban koránt sem ördöngösség, annak ellenére, hogy természetesen a mögötte álló elméleti és gyakorlati szakismeretek komoly tudományágat alkotnak. Ugyanakkor az informatikai biztonság problémás terület, hiszen megléte nem látható, nem érzékelhető. Mindig a biztonság hiánya az, amelyet gyakran saját bőrünkön is tapasztalhatunk. Ennek eredményeként gyakran csak akkor történnek lépések, ha már késő, mivel sokan felesleges befektetésnek érzik a biztonság irányába tett lépéseket. A dokumentum elsődleges célja, hogy segítséget nyújtson az informatikai biztonság megfelelő szintjének kialakításához önkormányzati környezetben, figyelembe véve az informatikai biztonság területének jelenlegi helyzetét és a vonatkozó jogszabályi környezetet, elsősorban a évi CXL. törvényt a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól és annak végrehajtási rendeleteit. Ezek és más korábbi szabályozások jól definiálják a biztonság számára kitűzött célokat, követelményeket és követendő eljárásokat. Az informatika rohamléptékű fejlődéséből adódó részleteket azonban nem tudják és nem is feladatuk követni a jogszabályoknak. Így ezek megismétlése nélkül szükség van olyan közérthető információkra, amelyek szakácskönyv szerűen próbálnak útmutatást adni ezen a területen. Jelen dokumentum gyakorlati jellegű, így megpróbálja elkerülni a túl hivatalos és formalizált nyelvezetet és módszereket, ehelyett a praktikus információkra koncentrál. Természetesen ezek is köteteket megtöltő mennyiségű információk, amelyek ismételt leírására sem lehetőség, sem szükség nincsen. Ehelyett megpróbálunk az informatikai biztonság kialakításának teljes folyamatába betekintést nyújtani gyakorlatias nézőpontból, úgy, hogy az érdeklődők megismervén ezeket a lépéseket, képesek legyenek önállóan is elmélyedni bennük, ha a szükség úgy hozza. A dokumentum célközönsége kettős. Egyrészt szól minden önkormányzati környezetben dolgozónak, akik akár munkakörüknél fogva, akár a természetes érdeklődésből kifolyólag érdeklődnek az informatikai biztonság iránt. Elsősorban számukra ajánljuk a 3. és a , 6., 7. és 8. fejezeteket. Másrészről szól a - 1 -

6 Vezetői összefoglaló rendszerek beállításával, üzemeltetésével foglalkozó személyeknek, részükre az előbbieken kívül a és az 5. fejezet tartalmaz konkrét információkat a rendszerek beállításáról. A dokumentum különös tekintettel szól a kisebb informatikai infrastruktúrával rendelkező önkormányzatok ezen infrastruktúráért felelős személyeinek. Különösen javasolt az anyag azon önkormányzatok számára, ahol a szervezet méreténél fogva nem áll rendelkezésre külön emberi és egyéb erőforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. Az első rész az informatikai biztonság alapvető fogalmaival és a kialakítás lépésivel foglakozik. Bemutatja a védelmi intézkedések kockázatelemzésen alapuló kialakítását. Ennek során nem alkalmaz szigorúan formalizált módszertant, sokkal inkább egyfajta sorvezetőt kíván adni a biztonság megtervezéséhez, amely segíti a feladatok szisztematikus végigvitelét: Egy rendszer, egy szervezet biztonságának kialakítása nem egyszeri lépés. A biztonság nem állapot, hanem folyamat. Ennek megfelelően a biztonság kialakítása több lépésben történik. A lényeges lépések a következők: Helyzetfelmérés: ennek során meghatározzuk és osztályozzuk a védendő információkat, erőforrásokat, veszélyeket és fenyegetettségeket. Kockázatelemzés: a helyzetelemzés alapján meghatározzuk a fenyegetettségek által képviselt kockázatokat. Védelmi intézkedések kidolgozása: a kockázatokat kezelni kell, ezért meghatározzuk a kockázatok kezelésére (csökkentéséhez, elkerüléséhez, elviseléshez) szükséges intézkedéseket. A védelmi intézkedéseket implementáljuk és működtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket. A második rész gyakorlati jellegű információkat ad, amelyek gerincét a két népszerű platform a Windows és a Linux adja. Kitér egyéb, elsősorban informatikai technikákra, mint a tűzfalak vagy a vezetéknélküli hálózatok. Az itt közölt tanácsok, beállítások elsősorban az általános, irodai jellegű környezetről szólnak, nagyméretű komplex rendszerek biztonságának kialakítása túl mutat a kereteken és feltétlenül szakértői közreműködést igényel. A harmadik rész a szabályozási környezetet és az elektronikus ügyintézést mutatja be, valamint ezekhez kapcsolódóan gyakorlati példákon keresztül ismerteti az elektronikus aláírás technológiáját és folyamatát

7 Bevezetés 2 Bevezetés Az informatika mindent átszövő fejlődésével az informatikai biztonság az utóbbi évek egyik legfontosabb szakterületévé vált. Számos eset bizonyítja, hogy a biztonság hiánya súlyos anyagi és erkölcsi károkhoz vezet. Nincs ez másként a közigazgatás területén sem, ahol éppen napjainkban alakulnak ki az elektronikus ügyintézés folyamatai, amelyek esetében magyarázat sem szükséges, hogy mennyire kiemelt fontosságú az információ és az informatikai biztonság megvalósítása. Az informatikai biztonság különleges helyzetben van, mert egyszerre van jelen az informatika minden területén, sőt, helyes kialakítása és működtetése jóval túlmutat a pusztán informatikai eszközökön. Ezért az informatikai biztonság nem képzelhető el termékként, amelyet megvásárolunk majd beüzemelünk. Az informatikai biztonságot a környezetre szabva kell kialakítani, megvalósítani és működtetni. Mindez azonban koránt sem ördöngösség, annak ellenére, hogy természetesen a mögötte álló elméleti és gyakorlati szakismeretek komoly tudományágat alkotnak. Ugyanakkor az informatikai biztonság problémás terület, hiszen megléte nem látható, nem érzékelhető. Mindig a biztonság hiánya az, amelyet gyakran saját bőrünkön is tapasztalhatunk. Ennek eredményeként gyakran csak akkor történnek lépések, ha már késő, mivel sokan felesleges befektetésnek érzik a biztonság irányába tett lépéseket. Az informatikai biztonság sok apró tényezőből tevődik össze, azonban néhány alapelvet szem előtt tartva és néhány egyszerű, gyakorlati lépést megtéve rendszereink biztonsága nagyságrendeket javítható. 2.1 A dokumentum célja A dokumentum elsődleges célja, hogy segítséget nyújtson az informatikai biztonság megfelelő szintjének kialakításához önkormányzati környezetben, figyelembe véve az informatikai biztonság területének jelenlegi helyzetét és a vonatkozó jogszabályi környezetet, elsősorban a évi CXL. törvényt a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) és annak végrehajtási rendeleteit. Ezek és más korábbi szabályozások jól definiálják a biztonság számára kitűzött célokat, követelményeket és követendő eljárásokat. Az informatika rohamléptékű fejlődéséből adódó részleteket azonban nem tudják és nem is feladatuk követni a jogszabályoknak. Így ezek megismétlése nélkül szükség van olyan közérthető információkra, amelyek szakácskönyv szerűen próbálnak útmutatást adni ezen a területen. Jelen dokumentum gyakorlati jellegű, így megpróbálja elkerülni a túl hivatalos és formalizált nyelvezetet és módszereket, ehelyett a praktikus információkra koncentrál. Természetesen ezek is köteteket megtöltő mennyiségűek, amelyek ismételt leírására sem lehetőség, sem szükség nincsen. Így megpróbálunk az informatikai biztonság kialakításának teljes folyamatába betekintést nyújtani gyakorlatias nézőpontból, úgy, hogy az érdeklődők megismervén ezeket a - 3 -

8 Bevezetés lépéseket, képesek legyenek önállóan is elmélyedni bennük, ha a szükség úgy hozza. Az útmutató a gyakorlati lépéseken túl körüljárja a szabályozási környezetet és az elektronikus ügyintézéssel kapcsolatos lépéseket is, ezzel kialakítva a gyakorlati útmutatások környezetét. Az anyag elkészítése során elsősorban a jelenlegi szakmai gyakorlatra támaszkodtunk, valamint felhasználtuk a szabályozási környezet egyes dokumentumait és az Informatikai és Hírközlési Minisztérium által adott anyagokat és információkat. 2.2 A dokumentum célközönsége A dokumentum célközönsége kettős. Egyrészt szól minden önkormányzati környezetben dolgozónak, akik akár munkakörüknél fogva, akár a természetes érdeklődésből kifolyólag érdeklődnek az informatikai biztonság iránt. Elsősorban számukra ajánljuk a 3. és a , 6., 7. és 8. fejezeteket. Másrészről szól a rendszerek beállításával, üzemeltetésével foglalkozó személyeknek, részükre az előbbieken kívül a és az 5. fejezet tartalmaz konkrét információkat a rendszerek beállításáról. A dokumentum különös tekintettel szól a kisebb informatikai infrastruktúrával rendelkező önkormányzatok ezen infrastruktúráért felelős személyeinek. Különösen javasolt az anyag azon önkormányzatok számára, ahol a szervezet méreténél fogva nem áll rendelkezésre külön emberi és egyéb erőforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. 2.3 A dokumentum szerkezete A dokumentum három fő részre tagolódik. Az első rész az informatikai biztonság alapvető fogalmaival és a kialakítás lépésivel foglakozik. Bemutatja a védelmi intézkedések kockázatelemzésen alapuló kialakítását. Ennek során nem alkalmaz szigorúan formalizált módszertant, sokkal inkább egyfajta sorvezetőt kíván adni a biztonság megtervezéséhez, amely segíti a feladatok szisztematikus végigvitelét. A második rész gyakorlati jellegű információkat ad, amelyek gerincét a két népszerű platform a Windows és a Linux adja. Kitér egyéb, elsősorban informatikai technikákra, mint a tűzfalak vagy a vezetéknélküli hálózatok. Az itt közölt tanácsok, beállítások elsősorban az általános, irodai jellegű környezetről szólnak, nagyméretű komplex rendszerek biztonságának kialakítása túl mutat a kereteken és feltétlenül szakértői közreműködést igényel. A harmadik rész a szabályozási környezetet és az elektronikus ügyintézést mutatja be, valamint ezekhez kapcsolódóan gyakorlati példákon keresztül ismerteti az elektronikus aláírás technológiáját és folyamatát

9 Információbiztonság informatikai biztonság 3 Információbiztonság informatikai biztonság Az információ jelentős értéket képvisel. Különösen igaz ez napjainkban, amikor az informatikai rendszerek hatalmas mennyiségű információt kezelnek, tárolnak és állítanak elő. A bennük áramló információ titkossága, sértetlensége és elérhetősége létfontosságú. Figyelembe véve az e- kormányzati, e-közigazgatási rendszerek és szolgáltatások robbanásszerű fejlődését, belátható, hogy az ezekben kezelt információ védelme, azok jellegénél kiemelten kezelendő. 3.1 Védelmi intézkedések Látható, hogy az információ biztonsága és az informatikai biztonság különböző, de egymással szorosan összefüggő fogalom. Az információbiztonság az információ megjelenési formájától függetlenül foglalkozik annak biztonságával. Az információ biztonság nem csak és nem elsősorban informatikai kérdés. Erre a területre tartozik a titkos ügyiratkezeléstől kezdve a tűzvédelemig nagyon sok szabályozás és szakma. Az ezeken alapuló védelmi intézkedések egyik részhalmaza az informatikai rendszerekre vonatkozó intézkedések. Az informatikai biztonság ezzel szemben kifejezetten az informatikai rendszerekben kezelt információ biztonságával foglalkozik. A szokásos definíció szerint informatikai biztonság a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. A védelmi intézkedésekre jellemző, hogy: teljes körűek, azaz a rendszer összes elemére kiterjednek, zártak, azaz minden fenyegetést figyelembe vesznek folytonosak, azaz a változó körülmények és követelmények mellett is megszakítás nélkül megvalósulnak. Jelen dokumentum az informatikai biztonsággal foglalkozik, azonban nem szabad elfelejteni, hogy annak ellenére, hogy informatikáról beszélünk, a védelmi intézkedéseknek csak egy része jelent közvetlen informatikai - 5 -

10 Információbiztonság informatikai biztonság tevékenységet, vagy eszközt. Az informatikai biztonsági védelmi intézkedéseket több kategóriába sorolhatjuk 1 : Menedzsment biztonsági intézkedések: olyan intézkedések, amelyek a kockázatok és az informatikai rendszerek biztonságának menedzselésére koncentrálnak. Ide tartoznak: o Kockázatfelmérés, azaz a közigazgatási hatóságnak időnként fel kell mérnie a szervezet működése során felmerülő kockázatokat és az ezek által fenyegetett értékeket. o Tervezés, azaz a kockázatfelmérés alapján tervet kell készíteni, amely leírja a szükséges védelmi intézkedéseket és szabályozásokat. o Rendszer és szolgáltatás beszerzés, azaz a tervezés során előállt terv megvalósítása, amelynek során a szervezet erőforrásokat biztosít a terv megvalósítására és megvalósítja azokat. o Biztonság értékelés és akkreditálás, azaz a terv alapján létrehozott intézkedéseket folyamatosan működtetni és felügyelni kell, hatékonyságukat mérni kell és tervet kell készíteni az esetleg szükséges korrekciókra. Üzemeltetési biztonsági intézkedések: olyan intézkedések, melyeket elsősorban emberek valósítanak meg, hajtanak végre. Ide tartoznak: o Fizikai és környezeti védelem, azaz a védeni kell az informatikai infrastruktúrát és kapcsolódó környezetét a fizikai hozzáféréstől. Biztosítani kell, hogy csak az arra jogosultak férjenek hozzá a rendszerekhez. o Személyzettel kapcsolatos biztonság, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatba kerülő személyek megfeleljenek az adott pozícióra vonatkozó biztonsági feltételekre, hogy a biztonság folyamatosan fent legyen tartva a személyek változása esetén is. A biztonsági intézkedéseket be nem tartó személyek ellen szankciókat kell alkalmazni. o Tudatosság és képzés, azaz biztosítani kell, hogy az informatikai rendszerrel kapcsolatban álló személyek tudatában legyenek a tevékenységeikkel kapcsolatos biztonsági kockázatokkal, ismerje a jogszabályi, szabályozási és védelmi hátteret, előírásokat. A személyzet a munkakörének megfelelő képzésben részesüljön az informatikai biztonság területén. o Konfigurációkezelés, azaz ki kell alakítani és folyamatosan karban kell tartani az informatikai rendszer leltárát és alapkonfigurációját. 1 Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatás biztonsági osztályokba sorolt informatikai célrendszereire vonatkozó biztonsági intézkedésekre c. tervezet alapján

11 Információbiztonság informatikai biztonság Ki kell alakítani a biztonságot megvalósító konfigurációkat, beállításokat, és folyamatosan ellenőrizni, nyomon követni kell ezek változását. o Üzletmenet-folytonosság tervezése, azaz a közigazgatási hatóságnak terveket kell készítenie, karbantartania és megvalósítania a rendkívüli helyzetekre való reagálásra, a mentési műveletekre és a katasztrófák utáni helyreállításra, annak biztosítása érdekében, hogy a kritikus információs erőforrások rendelkezésre álljanak és rendkívüli helyzetekben is megvalósuljon a folyamatos működés. o Karbantartás, azaz intézkedéseket kell hozni és működtetni annak érdekében, hogy az informatikai rendszerek időszakos és rendszerek karbantartása megvalósuljon, és figyelembe vegye a biztonsági követelményeket. o Adathordozók védelme, azaz a szervezetnek meg kell valósítania az adathordozók illetve az azokon tárolt, szállított adatok védelmét, különös tekintettel a hozzáférési jogosultságokra és az adatok megsemmisítésére. Műszaki biztonsági intézkedések: olyan intézkedések, melyeket elsősorban az informatikai rendszer valósít meg, hajt végre, a rendszer hardver, szoftver összetevőiben megvalósuló mechanizmusok segítségével. Ide tartoznak: o Azonosítás és hitelesítés, azaz a közigazgatási hatóságnak azonosítani kell az informatikai rendszer felhasználóját és hitelesíteni kell azonosságukat, mielőtt hozzáférést engedélyez. o Hozzáférés ellenőrzés, azaz a hozzáférést az arra jogosultakra kell korlátozni. o Naplózás és elszámoltathatóság, azaz biztosítani kell, hogy az informatikai rendszer eseményeiről megfelelő naplózás szülessen, és ezek a naplóbejegyzések a szükséges ideig meg legyenek őrizve. Biztosítani kell, hogy összhangban a vonatkozó jogszabályokkal az egyes felhasználói tevékenységek nyomon követhetőek legyenek, a felhasználói felelősség megállapíthatóságára. o Rendszer és információ sértetlenség, azaz a szervezetnek azonosítania, jelentenie és javítania kell az informatikai rendszer hibáit, védekeznie kell a kártékony kódok (vírus, féreg) bejutása ellen és figyelemmel kell kísérnie, a rendszer biztonsági riasztásait. o Rendszer és kommunikáció védelem, azaz monitorozni, ellenőrizni és védeni kell a szervezetből kilépő és az oda belépő információkat. o Reagálás a biztonsági eseményekre, azaz a közigazgatási hatóságnak úgy kell kialakítania rendszerét, hogy lehetővé tegye az észlelését, elemzését, reagálást a biztonsági eseményekre

12 Információbiztonság informatikai biztonság Egyes módszertanok más felosztását alkalmazzák az intézkedéseknek, érdemes ezeket is áttekinteni, mivel más nézőpontból csoportosítja ugyanezeket a védelmi intézkedéseket: Fizikai védelmi intézkedések. Az informatikai eszközök fizikai védelmét megvalósító intézkedések. Ezek inkább tartoznak a hagyományos biztonságtechnikai területre, de ide tartozik például az elektronikus kisugárzás elleni védelem is. Algoritmikus védelmi intézkedések. Gyakran ezeket az intézkedéseket értik szűk értelemben informatikai biztonság alatt, mivel ide tartoznak a titkosítási, vírusvédelmi, hálózati forgalom szűrési stb. intézkedései, vagyis mindazok, amelyek az informatika eszközeivel (algoritmusokkal) megoldható. Adminisztratív intézkedések. Minden olyan intézkedés, amely előírások, szabályzatok formájában jelentkezik, és azok betartását elsősorban szankcionálással éri el. Ezek az intézkedések kicsit a másik kettő fölött helyezkednek el, mivel céljuk többek között az összes védelmi intézkedés egységbe foglalása is (biztonsági politika, stb.) 3.2 Informatikai biztonság Mindezek után tekintsük át, hogy mit takar az informatikai biztonság! Az egyik leggyakrabban használt definíciója szerint a rendszer által kezelt információ biztonsága három pilléren nyugszik: Bizalmasság (Confidentiality): az információhoz csak az arra feljogosítottak férhetnek hozzá. Ez a gyakorlatban azt jelenti, hogy biztosítani kell, hogy illetéktelenek vagy ne férhessenek hozzá az adathoz, vagy az adatok olyan formában pl. titkosítva legyenek hozzáférhetőek, hogy azt csak az arra jogosultak (személyek, rendszerek) tudják értelmezni. Sértetlenség (Integrity): az információt csak az arra feljogosítottak módosíthatják. Más szóval ez azt jelenti, hogy az adat mindig olyan állapotban legyen, ahogy az utolsó, módosításra jogosult hagyta. Gyakorlatban meg kell akadályozni a módosítás jellegű hozzáféréseket, illetve megfelelő módszerekkel biztosítani kell a jogosulatlan (vagy véletlen, pl. műszaki hibából eredő) módosítások felismerését. A sértetlenség körébe tartozik a letagadhatatlanság (nonrepudiation), az elszámoltathatóság (accountability) és a hitelesség (authenticity). Letagadhatatlanság alatt azt értjük, hogy az információ jogosult módosítója vagy előállítója ne tudja letagadni ezt a cselekedetet. Ez nyilvánvalóan alapvető fontosságú például az elektronikus úton indított közigazgatási eljárások, stb. esetében. Az elszámoltathatóság annak biztosítása, hogy az információval kapcsolatos műveletek végrehajtója később azonosítható legyen. Ez többek között megfelelő naplózással biztosítható. A hitelesség a sértetlenség bizonyíthatósága. Ennek tipikus eszköze az elektronikus aláírás

13 Információbiztonság informatikai biztonság Elérhetőség (Availability): az információ rendelkezésre áll az arra feljogosítottak számára. Gyakorlatban biztosítani kell, hogy a rendszer, amely az adatot szolgáltatja működőképes legyen, ne lehessen támadással megbénítani, műszaki hiba esetén sem semmisüljenek meg az adatok és az információ értelmezhető formában álljon rendelkezésre. Ezt a hármast szokás az angol rövidítések alapján CIA elvnek nevezni 2. Az informatikai biztonság kialakítása során a cél ezen három feltétel megvalósítása és meglétüknek folyamatos fenntartása. Fontos tudni, hogy az informatikai biztonság által megvalósított célok nem abszolút célok, és csak valamilyen igényszintnek megfelelően értelmezhetőek. Nyilvánvaló például, hogy másként kell értelmezni és biztosítani a rendelkezésre állást és házi számítógép és egy elektronikus piactér esetében. Az önkormányzati környezet esetében számos jogszabály és előírás határozza meg a biztonság igényszintjét, és a megvalósítás során elérendő célokat. 3.3 Követelmények a közigazgatás számára A Ket. által megkövetelt informatikai biztonsági környezetet a 195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról definiálja. A rendeletben foglaltak megfelelnek az általános informatikai biztonsági alapelveknek és céloknak, azonban ezeket pontosítják a környezetre vonatkozó kötelező érvényű előírásokkal. A rendelet több alapvető megállapítást tesz, amely igen lényeges a biztonság szempontjából: Minőségirányítási rendszerrel kell rendelkezni, amely magában foglalja a biztonsági követelményeket (6. ), és ezt megfelelő dokumentációs rendszerrel támasztja alá (8. ). Mindez hangsúlyozza a biztonság folyamatszerű megközelítését, amely a helyesen kialakított célrendszerre, megfelelően elvégzett tervezésre és kivitelezésre valamint a folyamatos üzemeltetésre épül. A fejezet ismerteti az ennek során végrehajtandó lépéseket és elkészítendő dokumentumokat. A 9. ismerteti a kockázatelemzés fontosságát. Kiemelendő a 9. (1), amely kimondja, hogy A hatóság az informatikai célrendszer informatikai biztonsági kockázatait legalább kétévenként felméri, és gondoskodik az informatikai célrendszer kockázatokkal arányos védelméről a tervezés, a beszerzés, az előállítás, az üzemeltetés és a felülvizsgálat területén. Azaz előírja, hogy a biztonsági rendszert periódikusan felül kell vizsgálni, reagálni kell a változó környezet által támasztott igényekre. A kétévenkénti felülvizsgálatot célszerű sűríteni, ha jelentős változás áll be A fejezet bemutatja a helyzetfelmérés és a kockázatelemzés 2 Bár biztonság területe miatt kétségtelen az áthallás a USA hírszerző hivatalának elnevezésével, a CIA elv elnevezés elterjedt mind a külföldi, mind a hazai szakirodalomban

14 Információbiztonság informatikai biztonság folyamatát. A 10. felhívja a figyelmet a biztonsági osztályba sorolásra, amely a helyzetelemzés-kockázatelemzés része. A 12. az informatikai rendszerek kiszervezéséről szól és tükrözi azt az elvet, hogy az informatikai biztonság során a teljeskörűségre kell törekedni, azaz a saját rendszerünk biztonságát befolyásolja minden ezzel kapcsolatban lévő más rendszer. Kiszervezés esetén legfontosabb az átláthatóság, azaz a kiszervezett rendszerbe olyan szintű rálátással kell rendelkeznünk, hogy megbizonyosodhassunk a biztonsági szempontból helyes megvalósításról illetve befolyásunk lehessen ebből a szempontból. (12. (1)). A 13. hasonló megállapításokat tesz az adatvédelem szempontjából. A rendelet biztonsági követelményeket állapít meg a 14. -ban meghatározott (gyak. a csak elektronikusan folytatható ügyek) területekre: Ügyfél azonosításával kapcsolatos követelmények (15. ). Az ügyfél azonosításnak meg kell akadályozni a későbbi megszemélyesítést és meg kell akadályozni az elektronikus aláírással ellátott űrlapok újrafelhasználását (visszajátszását). Az elektronikus aláírás kérdéseivel a 8. fejezet foglalkozik. A naplózással kapcsolatos követelmények (16. ). A naplózásnak különös tekintettel ki kell térnie az ügykezelés minden lépésére, olyan szinten, hogy az ügykezelés minden mozzanata rekonstruálható legyen. A naplóállományokat megfelelő módon védeni kell. A naplózás megvalósítása elsősorban az adott alkalmazás feladata, de a követelményrendszerben ezt specifikálni kell. A rendelkezésre állással kapcsolatos követelmények (17. ). Ki kell dolgozni és biztosítani kell a rendszerek megfelelő szintű üzemeltetését illetve helyreállítási tervét. Az üzemeltetéssel foglalkozik az 5. fejezet. A mentéssel és archiválással kapcsolatos követelmények (18., 19. ). A mentésnek biztosítani kell az ügyekhez kapcsolódó dokumentumok megőrzését, helyreállíthatóságát és hitelességének megőrzését. A mentési és üzeltmenet-folytonossági terv kialakítása során ezekre ki kell térni. A üzemeltetésről a 5. fejezet, az egyes rendszerekhez kötődő alapvető mentési beállításokról a 4.8. fejezet szól. A vírusok és más támadások elleni védelem követelményei. A rendszerek védelmét biztosítani kell a kártékony kódok és a támadások ellen. A 4.8 fejezet szól az alapvető beállításokról és lehetőségekről ezen a területen. Az adattárolással (12. ) és adattovábbítással (22. ) kapcsolatos követelmények. A vizsgált környezetben elsősorban az adatvédelemmel kapcsolatos feladatok jelentkeznek az általános biztonsági követelmények felett. Az adattovábbítás biztonságában lényeges szerepet játszó tűzfalakról a 4.8.3, a titkosításról a 4.9, a vezetéknélküli hálózatok biztonságáról a és az elektronikus aláírásról a 8 fejezet szól. A hozzáférés és a fizikai biztonság követelményei (23., 24. ). A hozzáférés során minden félnek azonosíthatónak kell lennie, különös

15 Információbiztonság informatikai biztonság tekintettel az ügyintézésben részt vevő felekre. Az általános biztonsági alapelveknek megfelelően a rendszerekhez való fizikai hozzáférés biztonságát meg kell oldani. Az informatikai rendszer kezelésével kapcsolatos követelmények (25. ). Az informatikai rendszerben alkalmazott elemek csak szabályozott körülmények között vehetőek használatba. Ezzel kapcsolatban a 4.11 és 5.3 fejezet szól. Természetesen a rendelet nem tér és nem is térhet ki a konkrét beállításokra és megvalósításokra, mivel ezek mindig az adott alkalmazástól és helyzettől függenek. Azonban a biztonsági előírások és politika kialakítása során a fentieket figyelembe kell venni és alkalmazni kell

16 4 Egy rendszer, egy szervezet biztonságának kialakítása nem egyszeri lépés. A biztonság nem állapot, hanem folyamat. Ennek megfelelően a biztonság kialakítása több lépésben történik. A lényeges lépések a következők: 1. A rendszer leírása, helyzetfelmérés: meghatározzuk a vizsgált rendszer határait, környezetét, az érintett információs és egyéb erőforrásokat, figyelembe véve a rendszer komponenseit, a tárolt, feldolgozott, előállított és továbbított információt, ezek sérülékenységeit, kritikusságát és érzékenységét. 2. A veszélyek meghatározása: a veszély a sebezhetőség kihasználása valamely veszélyforrás által. A lépés során meghatározzuk és felsoroljuk a vizsgált rendszer veszélyforrásait. 3. A sebezhetőségek elemzése, kockázatelemzés: a sebezhetőségeket elemzzük a kihasználhatóság valószínűsége és a kihasználás esetén fellépő hatás súlyossága alapján. 4. Az intézkedések elemzése: megvizsgáljuk a biztonsági intézkedéseket hatékonyságuk és az általuk esetleg indukált más sérülékenységek szempontjából. 5. A valószínűségek meghatározása: a sebezhetőségek kihasználhatóságának valószínűségét osztályokba soroljuk: alacsony, közepes, magas. A vizsgálat során figyelembe vesszük a sebezhetőség jellegét, a veszélyforrás képességeit és motivációját, a meglevő biztonsági intézkedéseket. 6. Hatáselemzés: a sebezhetőségek kihasználásának káros hatásait vizsgáljuk a CIA elv alapján. A hatást alacsony, fokozott és kiemelt osztályokba sorolhatjuk. 7. Kockázat meghatározása: a kihasználhatóság valószínűsége és a hatás alapján meghatározzuk a kockázatot. 8. Biztonsági intézkedések megtervezése: azon menedzsment, üzemeltetési és műszaki biztonsági intézkedések meghozása, amelyek elfogadható szintre csökkentik rendszer kockázati szintjét. 9. Dokumentálás: a folyamat eredményét dokumentálni kell. A védelmi intézkedéseket megvalósítjuk és működtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket. A következőkben egy egyszerű módszertant mutatunk be ezeknek a lépéseknek végrehajtására. Az itt bemutatott lépések nem szigorúan formalizáltak, sokkal inkább segítséget nyújtanak abban, hogy a biztonság megtervezése és megvalósítása során szisztematikusan tudjuk végigvinni a tervezést, ne kerülje el semmi a figyelmünket. 4.1 Alapvető elvek Nagyon fontos tisztában lenni a biztonság kialakítása során elérendő célokkal. Néhány lényeges pont, amelyet szem előtt kell tartani:

17 Ismerd meg magad és ellenséged! Az biztonságot csak úgy lehet kellő szinten kialakítani, ha tisztában vagyunk saját környezetünkkel, rendszerünkkel, igényeinkkel és hasonló rálátással rendelkezünk a fenyegető veszélyekkel. A pontos helyzetfelmérés nélkül csak vaktában hozhatunk intézkedéseket. A biztonság kompromisszumok kérdése. A biztonság kialakítása során fel kell tennünk a következő kérdéseket: Milyen biztonsági problémát kívánunk megoldani, milyen veszélyeket akarunk csökkenteni? A választott megoldások mennyire szolgálják a megoldást? Milyen új biztonsági problémákat vet fel a megoldás? Figyelembe véve a megoldás költségét (nem csak a pénzben kifejezhetőeket) és a megoldás által generált újabb problémákat, érdemes-e ezt a megoldást választani? Látszik, hogy sosem egy jó és egy nem jó megoldás között kell dönteni, hanem különböző környezetben különböző kompromisszumokat kell hozni. Mindent nem védhetünk száz százalékos biztonsággal. Az előbb láthattuk, hogy a biztonság mindig kompromisszum kérdése. Meg kell találni azt a pontot, ahol az adott biztonsági szint elfogadható, anélkül, hogy más téren elfogadhatatlan dolgokat kényszerítene ki. Az indokolatlanul szigorú védelmi intézkedések nem csak túlzottan költségesek, de gyakran akadályozzák a produktív munkát és arra ösztönzik a felhasználókat, hogy szántszándékkal megkerüljék őket, így nagyobb kockázatot jelentve, mint amit az eredeti intézkedés kiküszöbölt. Tipikus eset például a túlzottan bonyolult jelszavak kikényszerítése, amelyet ezután a felhasználók nem képesek fejben tartani, hanem leírják őket. A védelem legyen egyenszilárdságú! Minden védelmi rendszer annyira erős, amennyire erős a leggyengébb láncszeme. A védelem kialakítása során tehát kellő gondossággal tervezzük meg az egyes komponenseket, ugyanis hamis biztonságérzetet adhat az, ha az egyik komponens erős, miközben más komponensekre nem fordítunk kellő figyelmet. Gyakran előfordul, hogy egy technológia (pl. tűzfal, vagy erős titkosítás) meglétével a biztonságot elintézettnek tekintik, miközben ezek pusztán önmagukban nem oldanak meg semmit. Az egyenszilárdság kialakítása nem egyszerű, mivel olyan nehezen kezelhető dolgokat kell beilleszteni a rendszerbe, mint az emberi tényező. A védelem ne kerüljön többe, mint a védett érték! Ez nyilvánvaló és tulajdonképpen következik az előző két elvből is. Bizonyos esetekben célszerűbb együtt élni, vagy más módon (pl. biztosítással) kezelni valamely fenyegetettség által jelentett kockázatot. Például hazai viszonyok között nagyok kevés olyan érték van, amelyet érdemes megelőző védelemmel védeni hetes erősségű földrengés ellen, annak ellenére, hogy egy ilyen veszély elvileg nem zárható ki. A biztonság sosem állapot, hanem folyamat. Mivel a biztonság önmagában nem érzékelhető, csak annak hiánya észlelhető, ezért folyamatosan követni kell rendszerünket, olyan jelek után kutatva, amely az aktuális helyzet hiányosságait jelzik, és a megfelelő ellenintézkedéseket meg kell

18 tenni. Ha kell, módosítani kell a szabályzatokat, eljárásokat. Gyakori eset, hogy ragaszkodnak a valamikor elkészített szabályzatokhoz, beállításokhoz, miközben a megváltozott körülmények miatt ez nagyobb kárt okoz, mint hasznot. Válasszuk az egyszerű megoldást! A biztonsági kérdések esetében különösen igaz, hogy ami bonyolult, az valószínűleg nagyobb valószínűséggel tartalmaz olyan hibákat, amelyek biztonsági problémához vezetnek. Törekedjünk a minél egyszerűbb architektúrákra, szabályzatokra és rendszerekre. Nem szabad engedni a kísértésnek, hogy a bonyolult megoldás biztonságosabb. Általában csak annak látszik, de nem az! Legyen többszintű védelem! Több, egymást támogató védelmi vonal többet ér, mint egy, általában még akkor is, ha egyenként gyengébbek. A támadóknak több akadályon kell átverekedni magukat, így nagyobb az esély, hogy még a siker előtt felfedezik őket. Például ha levelező rendszerünkben központi vírusvédelem van, még nem jelenti azt, hogy nem kell az irodai gépeken külön is víruskeresőt (mégpedig lehetőleg a központitól eltérőt) telepíteni. 4.2 Helyzetfelmérés Csak akkor tudjuk rendszereinket, adatainkat biztonságba helyezni, ha tudatában vagyunk a jelenlegi helyzettel. Ezért első és nagyon fontos lépés az átfogó helyzetelemzés. Ennek során felmérjük a rendszereinket, működési eljárásainkat és a kezelt információt. A helyzetfelmérés során elsősorban megállapítjuk a védendő értékeket és az ezekre veszélyt jelentő veszélyforrásokat. Ezeket célszerű kategóriánként számba venni: Környezeti veszélyek pl. természeti károk, tűz, stb. Fizikai veszélyek lopás, rongálás, fizikai betörés. Informatikai veszélyek vírusok, számítógépes betörés, stb. Humán veszélyek szabotázs, gondatlanság, stb. Szervezeti veszélyek szervezeti problémák, irányítási gondok, stb. A veszélyforrásokból a helyzetelemzés eredményeként keletkezik egy felsorolás, amely elsősorban intuitív munka eredménye. Ebbe be kell vonni a szervezet minél több munkatársát, mivel általában a különböző területeken, munkakörökben mások a veszélyek és a prioritások. Természetesen figyelembe kell venni a szabályozási környezet által támasztott igényeket is (pl. adatvédelem, titokvédelem). 4.3 Kockázatelemzés A kockázatelemzés során az egyes veszélyforrások által képviselt kockázatot próbáljuk megállapítani. A kockázat meghatározása során a veszély megvalósulásának valószínűsége és az okozható kár alapján, vagy más nézőpontból az adott veszélyt képviselő sérülékenység kihasználhatósága és ennek hatása alapján történik

19 Egyes módszertanok megpróbálják számszerűsíteni a kockázatot, általában a bekövetkezési valószínűség és az okozott kár nagyságának szorzataként, azonban a gyakorlat sokszor azt mutatja, hogy ez a számszerűsítés nehéz, vagy egyenesen lehetetlen. Különösen igaz ez azért, mert a legtöbb módszertant elsősorban üzleti környezetben történő felhasználásra dolgozták ki, ahol a közigazgatási környezethez képest gyakran könnyebb a károk számszerűsítése (veszteség, elmarad haszon, stb.). Ezért a gyakorlatban célszerűbb kategóriákkal dolgozni, amelyek az adott környezet működéséhez igazodnak. Az hatások kategorizálása a közigazgatás szemszögéből: Alacsony, várhatóan korlátozott hátrányos hatást gyakorol a közigazgatási szervezet műveleteire, vagy a szervezet eszközeire. A korlátozott hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan időtartamra csökkentheti, hogy a szervezet képes végrehajtani ugyan elsődleges funkcióit, de a funkciók hatásossága észrevehetően csökken. Az ügyek lefolytatásában fennakadást okoz, de a sikeres lefolytatást és határidők betartását nem veszélyezteti. o A szervezeti eszközök kisebb mértékű károsulását eredményezi. o Kisebb mértékű pénzügyi veszteséget okoz. o A jogbiztonságot kisebb mértékben veszélyezteti, a személyes és/vagy közhiteles adatok védelmével kapcsolatban felmerül a lehetőség, hogy a helyzet javítása nélkül az adatok védelme sérülhet. Fokozott, várhatóan komoly hátrányos hatást gyakorol a közigazgatási szervezet műveleteire, vagy a szervezet eszközeire. A komoly hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet oly mértékben és olyan időtartamra csökkentheti, hogy a szervezet képes végrehajtani elsődleges funkcióit, de a funkciók hatásossága jelentős mértékben csökken. Az ügyekkel kapcsolatban olyan szintű adatvesztés következik be, amely az ügyek folytatását megakasztja, a határidők betartását lehetetlenné teszi vagy más útra (papír alapú) tereli. o A szervezeti eszközök jelentős károsulását eredményezi. o Jelentős pénzügyi veszteséget okoz. o A jogbiztonságot jelentős mértékben veszélyezteti, személyes és/vagy közhiteles adatok védelme sérül. Kiemelt, várhatóan súlyos vagy katasztrofális hatást gyakorol a közigazgatási szervezet műveleteire, vagy a szervezet eszközeire. A súlyos vagy katasztrofális hátrányos hatás azt jelenti, hogy: o A szolgáltatási képességet olyan mértékben és olyan időtartamra csökkentheti, illetve akár meg is szűntetheti, hogy a szervezet nem

20 képes végrehajtani egy vagy több elsődleges funkcióját. Az ügyekkel kapcsolatosan olyan szintű adatvesztés következik be, amely lehetetlenné teszi az ügy folytatását és az eredeti helyzet helyreállítását. o A szervezeti eszközök lényegi károsulását eredményezi. o Lényegi pénzügyi veszteséget okoz. o A jogbiztonságot alapvetően veszélyezteti, a személyes és/vagy közhiteles adatok védelme súlyosan és jóvátehetetlenül sérül. Hasonló módon a bekövetkezési valószínűséget is kategorizálhatjuk: Magas bármikor előfordulhat. mert pl. gyakori esemény, vagy a támadást bárki végrehajthatja. Ilyen lehet például egy olyan vírustámadás, amelyet nagyrészt automatizált kártékony kódok hajtanak végre Közepes gyakran előfordulhat, pl. szakértő támadó által végrehajtható. Ilyen lehet egy célzott számítógépes betörés a rendszerbe. Alacsony az előfordulása a vizsgált rendszer vagy szervezet működési idejéhez képest nem gyakori. Ilyen lehet például tűzeset vagy természeti csapás. A várható kár és a bekövetkezés valószínűsége alapján a kockázat is kategorizálható: hatás \ valószínűség magas közepes alacsony alacsony mérsékelt alacsony alacsony fokozott jelentős mérsékelt alacsony kiemelt kritikus jelentős mérsékelt A táblázat a kockázatot az alacsony, mérsékelt, jelentős és kritikus kategóriákba sorolja. Az egyes besorolások az igényszintek alapján természetesen módosíthatóak, sőt, igény esetén akár a kár, akár az előfordulás valószínűségére és használhatóak más felbontások. A lényeg nem az értékeken van, hanem azon, hogy képesek legyünk prioritásokat felállítani a kockázatok között, így megfelelően koncentrálva a kritikus pontokra. A következő táblázat egy kiragadott példa a veszélyek felsorolásra és a kockázatelemzésre: Veszély Típus Leírás Kár Valószínűség Kockázat Hardverhiba környezeti Hardverhiba a kiszolgálóban Vírus-támadás Informatikai Vírus kerül a belső számítógépes rendszerbe Jelentős Ritka Mérsékelt Közepes Állandó Jelentős Adathordozó Humán Dolgozó érzékeny Közepes Gyakori Mérsékelt

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2

Részletesebben

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos Információbiztonsági Szabályzat elkészítése és javasolt tartalma Debrıdy István Németh Ákos 2013. évi L. törvény Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában

Részletesebben

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság

Részletesebben

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata 2009.11.19. TARTALOMJEGYZÉK 1 Általános rendelkezések... 3 1.1 A SZABÁLYOZÁS CÉLJA... 3 1.2 A DOKUMENTUM BESOROLÁSA... 3 1.3 KAPCSOLAT AZ ELECTOOL

Részletesebben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő 2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény

Részletesebben

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal. Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Email: info@silentsignal.hu Web: www.silentsignal.hu. 1 Tartalom 1. BEVEZETŐ... 3 1.1 Architektúra (terv) felülvizsgálat...

Részletesebben

Tudjuk-e védeni dokumentumainkat az e-irodában?

Tudjuk-e védeni dokumentumainkat az e-irodában? CMC Minősítő vizsga Tudjuk-e védeni dokumentumainkat az e-irodában? 2004.02.10. Miről lesz szó? Mitvédjünk? Hogyan védjük a papírokat? Digitális dokumentumokvédelme A leggyengébb láncszem Védelem korlátai

Részletesebben

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint

Részletesebben

Informatikai Biztonsági szabályzata

Informatikai Biztonsági szabályzata A NIIF Intézet Informatikai Biztonsági szabályzata Készítette: Springer Ferenc Információbiztonsági vezető Ellenőrizte: Jóváhagyta: Császár Péter Minőségirányítási vezető Nagy Miklós Igazgató Dátum: 2008.05.09.

Részletesebben

Informatikai biztonsági elvárások

Informatikai biztonsági elvárások Informatikai biztonsági elvárások dr. Dedinszky Ferenc kormány-fıtanácsadó informatikai biztonsági felügyelı 2008. július 2. Tartalom Átfogó helyzetkép Jogszabályi alapok és elıírások Ajánlások, a MIBA

Részletesebben

Andrews Kft. A technológia megoldás szállító.

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu> Andrews Kft. A technológia megoldás szállító. Az Andrews bemutatása. 1999 derekán alakult az ALF tűzfal fejlesztésére. Csak magyar tulajdonosok. Tulajdonosok zömében mérnökök

Részletesebben

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT 77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő

Részletesebben

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató Informatikai adatvédelem a gyakorlatban Dr. Kőrös Zsolt ügyvezető igazgató Az informatika térhódításának következményei Megnőtt az informatikától való függőség Az informatikai kockázat üzleti kockázattá

Részletesebben

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN N 1. Informatikai eszközök az irodában PC, Notebook, Szerver A számítógép típusonként az informatikai feladatoknak megfelelően. Nyomtatók, faxok, scannerek, fénymásolók Írásos dokumentum előállító eszközök.

Részletesebben

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009 Adatbázisok elleni fenyegetések rendszerezése Fleiner Rita BMF/NIK Robothadviselés 2009 Előadás tartalma Adatbázis biztonsággal kapcsolatos fogalmak értelmezése Rendszertani alapok Rendszerezési kategóriák

Részletesebben

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ A magyar elektronikus közigazgatási rendszer biztonsági analízise Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ Tartalom A Közigazgatási Eljárási Törvény és végrehajtási rendeletei Fogalmak

Részletesebben

Közigazgatási informatika tantárgyból

Közigazgatási informatika tantárgyból Tantárgyi kérdések a záróvizsgára Közigazgatási informatika tantárgyból 1.) A közbeszerzés rendszere (alapelvek, elektronikus árlejtés, a nyílt eljárás és a 2 szakaszból álló eljárások) 2.) A közbeszerzés

Részletesebben

Az ISO 27001-es tanúsításunk tapasztalatai

Az ISO 27001-es tanúsításunk tapasztalatai Az ISO 27001-es tanúsításunk tapasztalatai Bartek Lehel Zalaszám Informatika Kft. 2012. május 11. Az ISO 27000-es szabványsorozat az adatbiztonság a védelmi rendszer olyan, a védekező számára kielégítő

Részletesebben

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Az informáci cióbiztonság alapjai Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe Tartalom Az információbiztonság fogalma Az információbiztonsági

Részletesebben

IT biztonsági törvény hatása

IT biztonsági törvény hatása IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16. 1 Informatikai biztonság jogszabályai Today 1 2 3

Részletesebben

Projektmenedzsment sikertényezők Információ biztonsági projektek

Projektmenedzsment sikertényezők Információ biztonsági projektek Projektmenedzsment sikertényezők Információ biztonsági projektek A Project Management Institute (PMI, www.pmi.org) részletesen kidolgozott és folyamatosan fejlesztett metodológiával rendelkezik projektmenedzsment

Részletesebben

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP) Opennetworks Kereskedelmi és Szolgáltató Kft Információ Biztonsági Politika (IBP) Verzió 11 Jóváhagyom: Beliczay András, ügyvezető 2015 március 16 Tartalomjegyzék 1 DOKUMENTUM KARBANTARTÁS 4 2 BEVEZETÉS,

Részletesebben

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA Adat és információvédelem Informatikai biztonság Dr. Beinschróth József CISA BCP, DRP Fogalmak: BCP, DRP Felkészülési/készenléti szakasz Katasztrófa helyzet kezelése A katasztrófa kezelés dokumentumai

Részletesebben

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) 2-8/2014 KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS) Jóváhagyom: Karcag, 2014. július Oldal: 1 / 9 1. IBS dokumentum karbantartás Dokumentum változások története Verzió Dátum

Részletesebben

Bejelentkezés az egyetemi hálózatba és a számítógépre

Bejelentkezés az egyetemi hálózatba és a számítógépre - 1 - Bejelentkezés az egyetemi hálózatba és a számítógépre 1. lépés: az Egyetem Novell hálózatába történő bejelentkezéskor az alábbi képernyő jelenik meg: az első sorban a felhasználónevet, a második

Részletesebben

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Rendszerszemlélet let az informáci cióbiztonsági rendszer bevezetésekor Dr. Horváth Zsolt INFOBIZ Kft. www.infobiz.hu Informáci cióbiztonsági irány nyítási rendszer (IBIR) részeir Információs vagyon fenyegetettségeinek

Részletesebben

zigazgatás s az informatikai biztonság

zigazgatás s az informatikai biztonság A magyar közigazgatk zigazgatás s az informatikai biztonság szemszögéből Póserné Oláh Valéria poserne.valeria@nik.bmf.hu ROBOTHADVISELÉS 8 TUDOMÁNYOS KONFERENCIA Miről l lesz szó? Informatikai biztonsági

Részletesebben

Változások folyamata

Változások folyamata ISO 9001:2008 Változások az új szabványban Változások folyamata A változtatások nem csak a rendszer dokumentumait előállítókra vonatkozik, hanem: az ellenőrzéseket végzőkre, a belső auditot végzőkre, és

Részletesebben

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009 IT biztonsági keretek és követelmények Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központ Szigeti Szabolcs Networkshop 2009 Tartalom Az EK3 projektről Problémafelvetés l é Célkitűzések

Részletesebben

Az informatikai katasztrófa elhárítás menete

Az informatikai katasztrófa elhárítás menete Az informatikai katasztrófa elhárítás menete A katasztrófa elhárításáért felelős személyek meghatározása Cég vezetője (ügyvezető): A Cég vezetője a katasztrófa elhárítás első számú vezetője. Feladata:

Részletesebben

Jogalkotási előzmények

Jogalkotási előzmények Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Bodó Attila Pál főosztályvezető-helyettes

Részletesebben

A Nemzeti Elektronikus Információbiztonsági Hatóság

A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának

Részletesebben

OPEN SPACE FÓRUM TÉMA JEGYZET

OPEN SPACE FÓRUM TÉMA JEGYZET OPEN SPACE FÓRUM TÉMA JEGYZET Téma neve/címe: Integrált ügyfélszolgálat kialakítása Téma gazdája: Lakatos András Jegyzetkészítő: Lakatos András További résztvevők: Csiba András Kovács István Lackó Péter

Részletesebben

A 9001:2015 a kockázatközpontú megközelítést követi

A 9001:2015 a kockázatközpontú megközelítést követi A 9001:2015 a kockázatközpontú megközelítést követi Tartalom n Kockázat vs. megelőzés n A kockázat fogalma n Hol található a kockázat az új szabványban? n Kritikus megjegyzések n Körlevél n Megvalósítás

Részletesebben

INFORMATIKAI SZABÁLYZAT

INFORMATIKAI SZABÁLYZAT INFORMATIKAI SZABÁLYZAT HATÁLYOS: 2011. MÁRCIUS 30.-TÓL 1 INFORMATIKAI SZABÁLYZAT Készült a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény és a szerzői

Részletesebben

Az információbiztonság új utakon

Az információbiztonság új utakon Az információbiztonság új utakon Előadó: Kmetty József vezérigazgató Jozsef.Kmetty@kurt.hu Az információs társadalom jelentősége Nincs olyan eszköz, amelyhez az ember ne folyamodna, hogy megmeneküljön

Részletesebben

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ Sérülékenység kezelés Komli József project manager PTA CERT-Hungary Központ 1 A biztonságérzet a veszély érzékelésének hiánya 2 Mi a sérülékenység? Sérülékenység: Az IT biztonság területén a sérülékenység

Részletesebben

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1 Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András 2011.03.04. 2011.03.04 Marketingtorta - 4 1 Témáink Bevezető Webáruház, mint IT rendszer biztonsága OWASP TOP10 webes hiba

Részletesebben

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel TÁMOP-6.2.5.A-12/1-2012-0001 Egységes külső felülvizsgálati rendszer kialakítása a járó- és fekvőbeteg szakellátásban, valamint a gyógyszertári ellátásban Az akkreditáció és a klinikai audit kapcsolata

Részletesebben

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre. 2005. december 7.

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre. 2005. december 7. Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre 2005. december 7. 1. Bevezetés Ez a dokumentum az elektronikus közigazgatásban alkalmazható hitelesítési

Részletesebben

SZOLGÁLATI TITOK! KORLÁTOZOTT TERJESZTÉSŰ!

SZOLGÁLATI TITOK! KORLÁTOZOTT TERJESZTÉSŰ! A 10/2007 (II. 27.) SzMM rendelettel módosított 1/2006 (II. 17.) OM rendelet Országos Képzési Jegyzékről és az Országos Képzési Jegyzékbe történő felvétel és törlés eljárási rendjéről alapján. Szakképesítés,

Részletesebben

Információbiztonság fejlesztése önértékeléssel

Információbiztonság fejlesztése önértékeléssel Információbiztonság fejlesztése önértékeléssel Fábián Zoltán Dr. Horváth Zsolt, 2011 Kiindulás SZTE SZAKK információ információ adatvédelmi szabályozás napi gyakorlat információ Milyen az összhang? belső

Részletesebben

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA) KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 25/3. Informatikai Biztonsági Iránymutató Kis Szervezeteknek (IBIX) 1.0 verzió 2008. június Közigazgatási

Részletesebben

Tisztelt Képviselő-testület!

Tisztelt Képviselő-testület! Tisztelt Képviselő-testület! A képviselő testület a 183/2013. (XI.28.) Kt. határozatával hagyta jóvá a 2014. évi belső ellenőrzési tervet. Az ellenőrzési terv elfogadásakor az előterjesztésben jeleztük,

Részletesebben

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI A Nemzeti Elektronikus Információbiztonsági Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus

Részletesebben

IT üzemeltetés és IT biztonság a Takarékbankban

IT üzemeltetés és IT biztonság a Takarékbankban IT üzemeltetés és IT biztonság a Takarékbankban Előadó: Rabatin József Üzleti stratégia igények Cél? IT és IT biztonsági stratégia Mit? Felmérés, Feladatok, Felelősség Minőségbiztosítás Mennyiért? Hogyan?

Részletesebben

Számítógépes vírusok. Barta Bettina 12. B

Számítógépes vírusok. Barta Bettina 12. B Számítógépes vírusok Barta Bettina 12. B Vírusok és jellemzőik Fogalma: A számítógépes vírus olyan önmagát sokszorosító program,mely képes saját magát más végrehajtható alkalmazásokban, vagy dokumentumokban

Részletesebben

V/6. sz. melléklet: Táv- és csoportmunka támogatás funkcionális specifikáció

V/6. sz. melléklet: Táv- és csoportmunka támogatás funkcionális specifikáció V/6. sz. melléklet: Táv- és csoportmunka támogatás funkcionális specifikáció 1. A követelménylista céljáról Jelen követelménylista (mint a GOP 2.2. 1 / KMOP 1.2.5 pályázati útmutató melléklete) meghatározza

Részletesebben

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata Pécs 2005 1. Tartalomjegyzék 1. TARTALOMJEGYZÉK... 2 2. BEVEZETÉS... 3 2.1. AZ Informatikai Védelmi Szabályzat célja... 3 2.2.

Részletesebben

HITELES MÁSOLATKÉSZÍTÉSI REND

HITELES MÁSOLATKÉSZÍTÉSI REND BOLEVÁCZ ÉS VÖRÖS ÜGYVÉDI IRODA 1053 Budapest, Veres Pálné utca 9. I/2. Budapesti Ügyvédi Kamara 2291 HITELES MÁSOLATKÉSZÍTÉSI REND Kiadás dátuma 2015. február 20. 1 TARTALOM 1. A másolatkészítési rend

Részletesebben

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE ALSÓZSOLCA VÁROS ÖNKORMÁNYZAT POLGÁRMESTERÉTŐL 3571 Alsózsolca, Kossuth L. út 138. Tel: 46/520-020 ; Fax: 46/520-021 polgarmester@alsozsolca.hu www.alsozsolca.hu ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK

Részletesebben

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett TANÚSÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint a NAT által NAT-6-0048/2011 számon akkreditált terméktanúsító szervezet tanúsítja, hogy a Közigazgatási

Részletesebben

Bevezetés az Informatikai biztonsághoz

Bevezetés az Informatikai biztonsághoz AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package Bevezetés az Informatikai biztonsághoz 2012 Szeptember 12. Mi a helyzet manapság az informatikával? Tévedni emberi dolog,

Részletesebben

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek

Részletesebben

CitiManager: Migrációs gyors útmutató kártyabirtokosok részére

CitiManager: Migrációs gyors útmutató kártyabirtokosok részére Ez a Gyors útmutató az alábbiakban segít: 1. Regisztráció a CitiManager portálra a) Csak már meglévő online kivonatos kártyabirtokosok részére b) Csak papír alapú kivonatos kártyabirtokosok részére 2.

Részletesebben

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok Alapfogalmak Biztonság Biztonsági támadások Biztonsági célok Biztonsági szolgáltatások Védelmi módszerek Hálózati fenyegetettség Biztonságos kommunikáció Kriptográfia SSL/TSL IPSec Támadási folyamatok

Részletesebben

Fókuszban az információbiztonság

Fókuszban az információbiztonság Belső kontrollok és integritás az önkormányzatoknál konferencia Fejér Megyei Kormányhivatal Székesfehérvár, 2013.11.7. Fókuszban az információbiztonság A 2013. évi L. tv-nek való megfeleléshez szükséges

Részletesebben

Építési napló. e-napló)

Építési napló. e-napló) Építési napló (elektronikusan vezetett és az e-napló) Az elektronikusan vezetett építési napló A hatályos 191/2009. (IX. 15.) Korm. rendelet rögzíti az építési napló formai-tartalmi követelményeit. Nem

Részletesebben

KOCKÁZATKEZELÉSI SZABÁLYZAT

KOCKÁZATKEZELÉSI SZABÁLYZAT A Bács-Kiskun megyei Önkormányzat Hivatala Szervezeti és Működési Szabályzatának számú melléklete Bács-Kiskun Megyei Önkormányzat Hivatala KOCKÁZATKEZELÉSI SZABÁLYZAT 2013.01.01. TARTALOMJEGYZÉK I. Általános

Részletesebben

Üzletmenet folytonosság menedzsment [BCM]

Üzletmenet folytonosság menedzsment [BCM] Üzletmenet folytonosság menedzsment [BCM] Üzletmenet folytonosság menedzsment Megfelelőség, kényszer? Felügyeleti előírások Belső előírások Külföldi tulajdonos előírásai Szabványok, sztenderdek, stb Tudatos

Részletesebben

ADATMENTÉSSEL KAPCSOLATOS 7 LEGNAGYOBB HIBA

ADATMENTÉSSEL KAPCSOLATOS 7 LEGNAGYOBB HIBA ADATMENTÉSSEL KAPCSOLATOS 7 LEGNAGYOBB HIBA Készítette: Hunet Kft, 2013 Ez az alkotás a Creative Commons Nevezd meg! - Ne add el! - Így add tovább! 2.5 Magyarország licenc alá tartozik. A licenc megtekintéséhez

Részletesebben

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László A kockázat alapú felülvizsgálati és karbantartási stratégia alkalmazása a MOL Rt.-nél megvalósuló Statikus Készülékek Állapot-felügyeleti Rendszerének kialakításában II. rész: a rendszer felülvizsgálati

Részletesebben

Általános Szerződési Feltételek

Általános Szerződési Feltételek Készült: 2011. szeptember 19. Utolsó módosítás dátuma: 2011. szeptember 19. Utolsó módosítás hatályos: 2011. szeptember 19. Általános Szerződési Feltételek (1) A ToolSiTE Informatikai és Szolgáltató Kft.

Részletesebben

IT Biztonság. Dr. Bakonyi Péter c.főiskolai tanár

IT Biztonság. Dr. Bakonyi Péter c.főiskolai tanár IT Biztonság Dr. Bakonyi Péter c.főiskolai tanár A hálózati információbiztonság megteremtése Az információs társadalom kiteljesedése hazánkat minőségileg új kihívásokkal állítja szembe, ahol a terrorizmus,

Részletesebben

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt Klinikai kockázatelemzésre épülő folyamatfejlesztés Katonai Zsolt A szabvány alapú MIR logikája mérhető célok meghatározása folyamatok azonosítása kölcsönhatások elemzése a kívánt eredmény elérése és kockázatok

Részletesebben

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető. www.nospammail.hu

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető. www.nospammail.hu Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben Börtsök András Projekt vezető www.nospammail.hu Email forgalom 2010 2010. májusában Magyarország az egy főre jutó spamek

Részletesebben

ISO 9001 revízió Dokumentált információ

ISO 9001 revízió Dokumentált információ ISO 9001 revízió Dokumentált információ Dokumentumkezelés manapság dokumentált eljárás Minőségi kézikönyv DokumentUM feljegyzés Dokumentált eljárás feljegyzések kezeléséhez Dokumentált eljárás dokumentumok

Részletesebben

HELYISÉGEK ÉS BERENDEZÉSEK HASZNÁLATÁNAK SZABÁLYZATA

HELYISÉGEK ÉS BERENDEZÉSEK HASZNÁLATÁNAK SZABÁLYZATA HELYISÉGEK ÉS BERENDEZÉSEK HASZNÁLATÁNAK SZABÁLYZATA SZENT-GYÖRGYI ALBERT GIMNÁZIUM ÉS SZAKKÖZÉPISKOLA BALASSAGYARMAT, RÁKÓCZI ÚT 50. HELYISÉGEK ÉS BERENDEZÉSEK HASZNÁLATÁNAK SZABÁLYZATA Hatályos: 2010.

Részletesebben

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT Informatikai Igazgatóság: Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT I N F O R M A T I K A S Z O L G Á L T A T Á S O K Az Igazgatóság felelős az informatikai szolgáltatások biztosításáért, kiemelten a központi gazdálkodási

Részletesebben

KUTATÁSMÓDSZERTAN 4. ELŐADÁS. A minta és mintavétel

KUTATÁSMÓDSZERTAN 4. ELŐADÁS. A minta és mintavétel KUTATÁSMÓDSZERTAN 4. ELŐADÁS A minta és mintavétel 1 1. A MINTA ÉS A POPULÁCIÓ VISZONYA Populáció: tágabb halmaz, alapsokaság a vizsgálandó csoport egésze Minta: részhalmaz, az alapsokaság azon része,

Részletesebben

Novell és Windows7 bejelentkezési jelszavak módosítása

Novell és Windows7 bejelentkezési jelszavak módosítása 1 Novell és Windows7 bejelentkezési jelszavak módosítása A jelszavak használatáról a Nemzeti Közszolgálati Egyetem informatikai és kommunikációs hálózata használatának és üzemeltetésének szabályai, abban

Részletesebben

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft. www.cardinal.hu Az Internet elavult Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft wwwcardinalhu Cardinal Kft 2006 1 Elektronikus elérésre szükség van Internet híján betárcsázós ügyfélprogramok voltak:

Részletesebben

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán Működési kockázatkezelés fejlesztése a CIB Bankban IT Kockázatkezelési konferencia 2007.09.19. Kállai Zoltán, Mogyorósi Zoltán 1 A Működési Kockázatkezelés eszköztára Historikus adatok gyűjtése és mennyiségi

Részletesebben

Számítógép kezelői - használói SZABÁLYZAT

Számítógép kezelői - használói SZABÁLYZAT Számítógép kezelői - használói SZABÁLYZAT I. A SZABÁLYZAT CÉLJA, HATÁLYA A számítógép hálózat nagy anyagi és szellemi értéket képviselő rendszer. Felhasználóinak vállalniuk kell a használattal járó kötöttségeket

Részletesebben

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17.

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia 2015. Szeptember 17. AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE 2015. Szeptember 17. SGS BEMUTATÁSA Alapítás: 1878 Központ: Genf, Svájc Tevékenység: Ellenőrzés, vizsgálat és tanúsítás Szervezet: 80.000

Részletesebben

Az információbiztonság egy lehetséges taxonómiája

Az információbiztonság egy lehetséges taxonómiája ROBOTHADVISELÉS S 8. Az információbiztonság egy lehetséges taxonómiája Muha Lajos PhD, CISM egyetemi docens ZMNE BJKMK IHI Informatikai Tanszék Előszó személyi védelem fizikai védelem INFORMÁCIÓVÉDELEM

Részletesebben

Tájékoztató az Ügyfélkapu használatáról

Tájékoztató az Ügyfélkapu használatáról Tájékoztató az Ügyfélkapu használatáról Az Ügyfélkapu a magyar kormányzat elektronikus ügyfél-beléptető és azonosító rendszere. Biztosítja, hogy felhasználói a személyazonosság igazolása mellett, egyszeri

Részletesebben

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet

Tartalom. Konfiguráció menedzsment bevezetési tapasztalatok. Bevezetés. Tipikus konfigurációs adatbázis kialakítási projekt. Adatbázis szerkezet Konfiguráció menedzsment bevezetési tapasztalatok Vinczellér Gábor AAM Technologies Kft. Tartalom 2 Bevezetés Tipikus konfigurációs adatbázis kialakítási projekt Adatbázis szerkezet Adatbázis feltöltés

Részletesebben

A katasztrófavédelem megújított rendszere

A katasztrófavédelem megújított rendszere A katasztrófavédelem megújított rendszere MAGYARORSZÁG BIZTONSÁGA ÁLLAM BM OKF ÁLLAM- POLGÁR... A régi Kat. törvény alapvetően jó volt DE 10 év 2010. évi árvízi veszélyhelyzet; vörösiszap katasztrófa kezelésének

Részletesebben

A LICENSZGAZDÁLKODÁS ÚTVESZTŐI. Gintli Sándor - Neubauer János

A LICENSZGAZDÁLKODÁS ÚTVESZTŐI. Gintli Sándor - Neubauer János A LICENSZGAZDÁLKODÁS ÚTVESZTŐI 2015 Gintli Sándor - Neubauer János Licenszgazdálkodás Selejtezés IT Szoftverek beszerzése Beszerzés IT nyilvántartásba vétel Kontrolling Könyvelés Könyvekbe kerül Költségtétellé

Részletesebben

Üzletmenet folytonosság Üzletmenet? folytonosság?

Üzletmenet folytonosság Üzletmenet? folytonosság? Üzletmenet folytonosság Üzletmenet? folytonosság? avagy "mit is ér a hogyishívják" Léstyán Ákos vezető auditor ISO 9001, 27001, 22000, 22301 BCP - Hétpecsét 1 Hétfőn sok ügyfelet érintett egyszerűen nem

Részletesebben

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában Előadó: Ivanyos János Trusted Business Partners Kft. ügyvezetője Magyar Közgazdasági Társaság Felelős Vállalatirányítás szakosztályának

Részletesebben

Jogi nyilatkozat Budapest, 2014. szeptember 24.

Jogi nyilatkozat Budapest, 2014. szeptember 24. Bátor Tábor Alapítvány Jogi nyilatkozat Budapest, 2014. szeptember 24. 1 1. SZOLGÁLTATÓ ADATAI: A szolgáltató neve: Bátor Tábor Alapítvány A szolgáltató székhelye: 1135 Budapest, Reitter Ferenc u. 46-48.

Részletesebben

TAKARNET24 szolgáltatásai

TAKARNET24 szolgáltatásai TAKARNET24 szolgáltatásai Szilvay Gergely Földmérési és Távérzékelési Intézet ÖSSZEFOGLALÁS A Digitális Földhivatal k özéptávú fejlesztési terv első lépések ént a befejezéséhez k özeledik az EKOP-1.1.3

Részletesebben

SLA RÉSZLETESEN. 14. óra

SLA RÉSZLETESEN. 14. óra 14. óra SLA RÉSZLETESEN Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés: Vizsga, (félévi 1db ZH)

Részletesebben

Versenyképesség és az innovatív vagyonvédelem

Versenyképesség és az innovatív vagyonvédelem Versenyképesség és az innovatív vagyonvédelem avagy lehet-e és hogyan szerepe a vagyonvédelemnek a versenyképesség növelésében? Bernáth Mihály okl. biztonságszervező szakember Amiben mindenki egyetért...

Részletesebben

Informatikai prevalidációs módszertan

Informatikai prevalidációs módszertan Informatikai prevalidációs módszertan Zsakó Enikő, CISA főosztályvezető PSZÁF IT szakmai nap 2007. január 18. Bankinformatika Ellenőrzési Főosztály Tartalom CRD előírások banki megvalósítása Belső ellenőrzés

Részletesebben

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT 10. óra BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT Tárgy: Szolgáltatás menedzsment Kód: NIRSM1MMEM Kredit: 5 Szak: Mérnök Informatikus MSc (esti) Óraszám: Előadás: 2/hét Laborgyakorlat: 2/hét Számonkérés:

Részletesebben

E L Ő T E R J E S Z T É S

E L Ő T E R J E S Z T É S E L Ő T E R J E S Z T É S Zirc Városi Önkormányzat Képviselő-testülete 2005. december 19-i ülésére Tárgy: Zirc Városi Önkormányzat 2006. évi belső ellenőrzési tervének kockázatelemzése Előterjesztés tartalma:

Részletesebben

Dr. Bakonyi Péter c.fıiskolai tanár

Dr. Bakonyi Péter c.fıiskolai tanár IT Biztonság Dr. Bakonyi Péter c.fıiskolai tanár A hálózati információbiztonság megteremtése Az információs társadalom kiteljesedése hazánkat minıségileg új kihívásokkal állítja szembe, ahol a terrorizmus,

Részletesebben

Informatika. 3. Az informatika felhasználási területei és gazdasági hatásai

Informatika. 3. Az informatika felhasználási területei és gazdasági hatásai Informatika 1. Hírek, információk, adatok. Kommunikáció. Definiálja a következő fogalmakat: Információ Hír Adat Kommunikáció Ismertesse a kommunikáció modelljét. 2. A számítástechnika története az ENIAC-ig

Részletesebben

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata Balatonalmádi, 2015. 09. 17. Dr. Horváth Zsolt, egyetemi adjunktus Óbudai Egyetem, Kandó Kálmán Villamosmérnöki Kar AZ

Részletesebben

Információbiztonság irányítása

Információbiztonság irányítása Információbiztonság irányítása Felső vezetői felelősség MKT szakosztályi előadás 2013.02.22 BGF Horváth Gergely Krisztián, CISA CISM gerhorvath@gmail.com Találós kérdés! Miért van fék az autókon? Biztonság

Részletesebben

Felhasználói kézikönyv

Felhasználói kézikönyv Felhasználói kézikönyv Központi Jogosultsági Rendszer Nemzeti Szakképzési és Felnőttképzési Intézet 2010. július 23. Verziószám: 1.0 Végleges Tartalomjegyzék 1 Bevezető... 1 2 A Központi Jogosultsági Rendszer

Részletesebben

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője 1 Az előadás témái Emlékeztetőül: összefoglaló a változásokról Alkalmazási

Részletesebben

Adatbiztonság és adatvédelem

Adatbiztonság és adatvédelem Adatbiztonság és s adatvédelem delem ADATBIZTONSÁG Az adatok jogosulatlan megszerzése, se, módosítása sa és s tönkrett nkretétele tele ellen tett olyan eljárások, szabályok, műszaki m és szervezési si

Részletesebben

VIZSGÁLATI BIZONYÍTVÁNY

VIZSGÁLATI BIZONYÍTVÁNY VIZSGÁLATI BIZONYÍTVÁNY A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft. értékelési divíziója, mint a NAT által a NAT-1-1578/2008 számon akkreditált vizsgáló laboratórium

Részletesebben

A vállalat mint rendszer. Informatikai rendszerek Vállalati információs rendszerek. Üzleti kapcsolatok. Vevői információs kapcsolatok. Cég.

A vállalat mint rendszer. Informatikai rendszerek Vállalati információs rendszerek. Üzleti kapcsolatok. Vevői információs kapcsolatok. Cég. A vállalat mint rendszer Informatikai rendszerek Vállalati információs rendszerek erőforrások Cég Gazdálkodó szervezet Vállalat erőforrások Szendrői Etelka szendroi@witch.pmmf.hu Valóságos Működő Gazdasági

Részletesebben

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban

Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban Elektronikus információbiztonság tudatosság és képzési igények a magyar közigazgatásban Nemeslaki András E-közszolgálat Fejlesztési Intézet Nemzeti Közszolgálati Egyetem Az IB továbbképzés és éves továbbképzés

Részletesebben

Információ menedzsment

Információ menedzsment Információ menedzsment Szendrői Etelka Rendszer- és Szoftvertechnológiai Tanszék szendroi@witch.pmmf.hu Infrastruktúra-menedzsment Informatikai szolgáltatások menedzsmentje Konfigurációkezelés Gyorssegélyszolgálat

Részletesebben