IT biztonsági törvény hatása

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "IT biztonsági törvény hatása"

Egon Bognár
9 évvel ezelőtt
Látták:

1 IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, Október 16.

1 Informatikai biztonság jogszabályai Today 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

2 1 Informatikai biztonság jogszabályai Today Koncepció a megfelelés biztosítására Stratis Vezetői és Informatikai Tanácsadó Kft. 2

26 27 28 29 30 31 2 Koncepció a megfelelés

3 Új jogszabályok jelentek meg az állami és önkormányzati szervek elektronikus információbiztonságáról évi L. törvény (IT biztonsági törvény) Definiálja azoknak a szervezeteknek a körét, akikre vonatkozik Általános követelményeket határoz meg (pl. kockázat arányos védelem, C, I, A) Előírja az információs rendszerek és szervezetek biztonsági besorolását 77/2013. (XII. 19.) NFM rendelet (Végrehajtási rendelet) Biztonsági osztályok jellemzőit határozza meg kvalitatív jellemzőkkel Biztonsági osztályokhoz tartozó követelményeket határozza meg Követelmények tartalmát határozza meg Július 1.-től egy éven belül kell a törvényi megfelelést biztosítani Stratis Vezetői és Informatikai Tanácsadó Kft. 3

kockázat arányos védelem, C, I, A) Előírja az információs rendszerek és szervezetek biztonsági besorolását 77/2013. (XII. 19.

: 90 nap) Nemzeti adatvagyont kezelő, illetve létfontosságú rendszerelemeket működtető szervezetek 5.

4 Adminisztratív és technikai intézkedésekkel biztosítható a megfelelés két évente egy biztonsági szint Informatikai biztonsági felelős kijelölése (hi.: 60 nap) Biztonsági szint meghatározása (hi.: 1 év) Szabályozási környezet kialakítása (hi.: 90 nap) Nemzeti adatvagyont kezelő, illetve létfontosságú rendszerelemeket működtető szervezetek 5. osztályba sorolandók Kockázattokkal arányos biztonsági intézkedéseket kell bevezetni és megvalósítást ellenőrizni Stratis Vezetői és Informatikai Tanácsadó Kft. 4

5 A nevesített dokumentumok elkészítése kötelező, de részletességük szervezet függő Dokumentum Jellemzők Információ biztonsági politika Biztonsági célokat, alapelveket fogalmaz meg A vezetés biztonsági elkötelezettségét deklarálja Informatikai biztonsági stratégia A biztonság fejlesztési irányainak meghatározása, Rövid-, közép- és hosszú távú tervek meghatározása Informatikai biztonsági szabályzat Kockázatelemzés Biztonsági szerepköröket, feladataikat és felelősségi körüket definiálja Biztonság irányítási feladatait szabályozza, kockázatelemzési módszert határozza meg Biztonság különböző területeit szabályozza Kockázati regiszter Kockázatkezelés terv Üzletmenet folytonossági terv Folytonossági követelmények meghatározása, visszaállítási stratégia meghatározása ÜFT tevékenységek szabályozása, folyamatokra és a rendszerek visszaállítására vonatkozó eljárások meghatározása Stratis Vezetői és Informatikai Tanácsadó Kft. 5

Kockázatelemzés Biztonsági szerepköröket, feladataikat és felelősségi körüket definiálja Biztonság irányítási feladatait szabályozza, kockázatelemzési módszert határozza meg Biztonság különböző

Minimális kiegészítő szabályozások - A kevesebb néha több Védendő erőforrások listája Erőforrás kategóriák, Egyedi erőforrások, Biztonsági besorolás alapja, mit és mennyire kell védeni, ki az

6 Minimális kiegészítő szabályozások - A kevesebb néha több Védendő erőforrások listája Erőforrás kategóriák, Egyedi erőforrások, Biztonsági besorolás alapja, mit és mennyire kell védeni, ki az erőforrás gazdája Kockázatelemzés alapja IT biztonsági kisokos A felhasználókra vonatkozó biztonsági szabályok Kivonat a lényeges szabályokról Üzemeltetési rend Rutin üzemeltetési feladatok szabályai Rendszer specifikus szabályok: Ki, mikor, mit Mentési rend Mentési eljárásrend Rendszerenként a mentési szabályok Jogosultság kezelési eljárás Jogosultság igénylés, módosítás, visszavonás, Jogosultságok felülvizsgálata Változáskezelési eljárás Változáskérelmek kezelése: hatáselemzés, bírálat, ellenőrzés Változáskezelés üzleti szempontok alapján történik Szolgáltatás katalógus (CMDB) Szolgáltatások katalógus Az IT erőforrások és kapcsolataik nyilvántartása Stratis Vezetői és Informatikai Tanácsadó Kft. 6

Rendszer specifikus szabályok: Ki, mikor, mit Mentési rend Mentési eljárásrend Rendszerenként a mentési szabályok Jogosultság kezelési eljárás Jogosultság igénylés, módosítás, visszavonás,

Az előírt biztonsági szint elérésére szintenként két évet ad a jogszabály Felmérés Útiterv készítése Biztonsági fejlesztések Biztonsági felülvizsgálat Biztonsági fejlesztés II Hova kell eljutni?

7 Az előírt biztonsági szint elérésére szintenként két évet ad a jogszabály Felmérés Útiterv készítése Biztonsági fejlesztések Biztonsági felülvizsgálat Biztonsági fejlesztés II Hova kell eljutni? Hogyan jutunk oda? Haladunk Ott vagyunk már? Tovább haladunk Kockázatok felmérése Biztonsági osztályba sorolás Két éves fejlesztési terv Nevesített dokumentumok elkészítése Nevesített kontrollok bevezetése Belső és vagy külső auditok Változások esetén felülvizsgálat Két évente egy szint, ameddig az előírt biztonsági szintet elérjük Stratis Vezetői és Informatikai Tanácsadó Kft. 7

Tovább haladunk Kockázatok felmérése Biztonsági osztályba sorolás Két éves fejlesztési terv Nevesített dokumentumok elkészítése Nevesített

Tel: + 36 (1) 454 1900 Fax: + 36 (1) 454 1901 Mobil: +

8 Tim Zoltán Igazgató tanácsadó Iroda: 1037 Budapest, Szépvölgyi út 139. Tel: + 36 (1) Fax: + 36 (1) Mobil: + 36 (30) zoltan.tim@stratis.hu Stratis Vezetői és Informatikai Tanácsadó Kft. 8

Hasonló dokumentumok

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

INFORMATIKAI BIZTONSÁGI POLITIKA SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL Verziószám: 1.0 Hivatkozási szám: K1314-0102-150608-01-E Dátum: 2015. június 08. TARTALOM 1. INFORMATIKAI BIZTONSÁGI