Dr. Muha Lajos. Az L. törvény és következményei

Átírás

1 Dr. Muha Lajos Az L. törvény és következményei

2 a törvény hatálya A 2. (1) bekezdésben felsorolt (állami és önkormányzati) szervek és ezen szervek számára adatkezelést végzők A nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói Az európai és nemzeti létfontosságú rendszerelemmé kijelöltek

3 A törvény hatálya Ø A cím és a 2. szerinti hatály összevetése; Ø Az cím ellenére az önkormányzatok sokáig nem akarták magukra venni ; Ø Az európai és nemzeti létfontosságú rendszerré kijelölés?

4 elektronikus információs rendszer 1. (3) E törvény alkalmazásában egy elektronikus információs rendszernek kell tekinteni adott adatgazda által, adott cél érdekében az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttesét.

5 biztonsági osztályba sorolás 41/2015 BM rendelet NIST SP rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations Updated with Errata page May 7, 2013

6 biztonsági osztályba sorolás A B C D E F G H I J K L M N 1. Sorszám Intézkedés típusa Alapelvek 2. Bizalmasság Sértetlenség Rendelkezésre állás 3. Biztonsági osztályok Általános védelmi intézkedések Az elektronikus információs rendszer kapcsolódásai 0 X X X 0 X X X 0 X X X Belső rendszer kapcsolatok 0 X X X 0 X X X 0 X X X A B C D E F G 1. Sorszám Intézkedés típusa Biztonsági osztály Szervezeti szintű alapfeladatok Informatikai biztonsági szabályzat X X X X X Az elektronikus információs rendszerek biztonságáért felelős személy X X X X X

7 biztonsági szintbe sorolás 9. (2) Az elektronikus információs rendszer a) fejlesztését végző, b) üzemeltetését végző, c) üzemeltetéséért felelős vagy d) információbiztonságáért felelős szervezeti egységeket az elektronikus információs rendszerek védelmére való felkészültségük alapján a szervezettől elvárt, eltérő biztonsági szintekbe kell sorolni jogszabályban meghatározott szempontok szerint.

8 biztonsági szintbe sorolás A szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. A biztonsági szint 3., ha szakfeladatait támogató elektronikus információs rendszert használ. A biztonsági szint 4., ha elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt

9 költségminimalizálás A szervezési, szabályozási módszerek használata, Javaslat a biztonsági osztályok és a biztonsági szint tekintetében a fokozatos bevezetésére.

10 megelőzés A szervezetek és vezetőik legfontosabb feladatai A megelőzés lehetőségeinek javítása miatt nagy hangsúlyt kap a szabályozás, illetve a biztonságtudatosság növelése, az oktatás-képzés.

11 A szervezet vezetője 11. (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről Mindenért felelős! A felelőssége nem átruházható!

12 biztonsági felelős Az elektronikus információs rendszer biztonságáért felelős személyt KELL kijelölni! Felsőfokú végzettség és szakképzettség kötelező.

13 magas szintű képzés Az információbiztonsági tudatosság növelése a védett az elektronikus információs rendszerek vezetői, informatikai biztonsági vezetői feladatait csak megfelelő szakemberek végezhessék. 26/2013. (X. 21.) KIM rendelet és NKE képzés

14 CERT 185/2015. (VII. 13.) Korm. rendelet a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól

15 ellenőrzés hatóság: elsődleges feladata az ellenőrzés. nem közigazgatási szervek esetében bírságolási jog, közigazgatási szervek esetében joga van információbiztonsági gondnok kinevezésre.

16 Köszönöm a figyelmet!