2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Hasonló dokumentumok
A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Fókuszban az információbiztonság

Nemzetközi jogszabályi háttér I.

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Jogalkotási előzmények

2013 L. - tapasztalatok Antidotum 2015

Dr. Muha Lajos. Az L. törvény és következményei

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Muha Lajos. Az információbiztonsági törvény értelmezése

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

2013. évi L. törvény ismertetése. Péter Szabolcs

Bevezetés az Informatikai biztonsághoz

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

IT biztonsági törvény hatása

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Informatikai biztonsági ellenőrzés

TÁJÉKOZTATÓ AZ ALAPVETŐ SZOLGÁLTATÁST NYÚJTÓ SZEREPLŐK RÉSZÉRE

Üzletmenet folytonosság Üzletmenet? folytonosság?

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a évi L. tv. alapján

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

SeCube vagy azzal egyenértékű szoftver beszerzése/2016

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

TÁJÉKOZTATÓ A VILLAMOS ENERGIA ALÁGAZATOT ÉRINTŐ FELADATOKRÓL

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Informatikai prevalidációs módszertan

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 1

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

The Leader for Exceptional Client Service. szolgáltatások

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Kossa György elnök-vezérigazgató címzetes egyetemi docens Az OKF Iparbiztonsági Tanácsadó Testület Elnöke

Információbiztonság fejlesztése önértékeléssel

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Üzletmenet folytonosság menedzsment [BCM]

A Bankok Bázel II megfelelésének informatikai validációja

Informatikai Biztonsági szabályzata

Kritikus infrastruktúra üzemeltetés a jövőben - törvénytől a megoldásig ELEMZÉS

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

1. Általános rendelkezések. 2. Értelmező rendelkezések

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

SZENTLOŐ RINCI KOÖ ZOÖ S OÖ NKORMAÁ NYZATI HIVATAL INFORMATIKAI BIZTONSAÁ GI SZABAÁ LYZAT

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

II. rész: a rendszer felülvizsgálati stratégia kidolgozását támogató funkciói. Tóth László, Lenkeyné Biró Gyöngyvér, Kuczogi László

IT üzemeltetés és IT biztonság a Takarékbankban

A BM OKF helye, szerepe a hazai létfontosságú rendszerek és létesítmények védelmében. Dr. Bognár Balázs PhD tű. ezredes főosztályvezető

Ipari, vegyipari létfontossl

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Az iparbiztonsági szakterület aktuális kérdései április 15.

7.1 A szervezetek nyilvántartásba vétele Biztonsági események bejelentése, kezelése A hatóság egyes további feladatai

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Község Önkormányzata

2013. évi L. törvény. az állami és önkormányzati szervek elektronikus információbiztonságáról 1

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

30 MB INFORMATIKAI PROJEKTELLENŐR

Tudatos kockázatmenedzsment vs. megfelelés

Az ISO es tanúsításunk tapasztalatai

ELŐTERJESZTÉS. Biatorbágy Város Önkormányzata évi belső ellenőrzési tervéről

2018. évi belső ellenőrzési terv

Információbiztonság fejlesztése önértékeléssel Fábián Zoltán, Dr. Horváth Zsolt (SZTE Szent-Györgyi Albert Klinikai Központ -INFOBIZ Kft.

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

MEGFELELŐSÉG: KALANDOZÁS A

Tájékoztató az LRL IBEK feladatrendszeréről

Üzleti folyamatok. Vezetői összefoglaló. Az ADAPTO megoldásról. Pro-CLR Kft.

Műszaki dokumentáció Másolatkészítés műszaki feltételei

Kakucsi Polgármesteri Hivatal Informatikai Biztonsági Szabályzata

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Biztosítók belső ellenőrzése

Elektronikus Információbiztonsági Vezetők Okosan Klubja Szakmai Fórum március 28. DR. BODÓ ATTILA PÁL

Dr. Bognár Balázs PhD tű. ezredes főosztályvezető, LRL IBEK vezető

A szabályzat hatálya. A honvédelmi, polgári és katasztrófavédelmi tevékenység személyi feltételei és a megbízotti rendszer működése

Összefoglaló jelentés

Az informatikai katasztrófa elhárítás menete

Kritikus Infrastruktúra Védelem - Zöld Könyv a Nemzeti Programról

IT biztonsági szolgáltatás csomag. ISO 9001:2000 TÜV ID: Simplexion Informatikai Kft., 1094 Budapest, Tompa utca 11, 3. emelet 24.

ISO auditra felkészítés/2017.

185/2015. (VII. 13.) Korm. rendelet

A CRD prevalidáció informatika felügyelési vonatkozásai

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

TÁJÉKOZTATÓ SZEPTEMBER 15. ELŐADÓ: DR. SZEPESI GÁBOR OPERATÍV PROJEKTVEZETŐ

GYAKORLATI TAPASZTALATOK AZ ISO EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR

Szabványok, ajánlások

Információbiztonság irányítása

1. célhoz kötöttség elve 2. az adatkezelés jogalapja 3. adat megőrzésének ideje 4. egyértelmű, részletes tájékoztatás 5. hozzájárulás 6.

TÉTI KÖZÖS ÖNKORMÁNYZATI HIVATAL INFORMATIKAI BIZTONSÁGI SZABÁLYZAT TÉTI KÖZÖS ÖNKORMÁNYZATI HIVATAL 2018/... SZÁMÚ JEGYZŐI UTASÍTÁS. Érvényes:...

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

Biztonsági Felhő A KÜRT legújabb világszínvonalú technológiai fejlesztése

ME/42-01 Minőségirányítási eljárás készítése

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Átírás:

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL A címben szereplő információbiztonsági törvény (a továbbiakban: lbtv.) hatálya alá tartozó szervezeteknek a törvény egyik végrehajtási rendelete, a 41/2015. (VII. 15.) BM rendelet alapján logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatározniuk és alkalmazniuk. A biztonsági osztályba és a biztonsági szintbe sorolásra vonatkozó követelményeket szintén ez a végrehajtási rendelet határozza meg. Főbb feladatok a törvényi megfeleléshez: Nyilvántartásba vétel céljából regisztrálni kell a Hatóságnál, és be kell jelentetni az információbiztonsági felelős adatait és a szervezeti adatokat. El kell végezni az elektronikus információs rendszerek biztonsági osztályba sorolását, a szervezetek biztonsági szintbe sorolását, valamint az előírt védelmi intézkedések (adminisztrációs, logikai és fizikai) célból végrehajtott helyzetfelmérését. Fel kell tárni az aktuális állapotot és az alkalmazott védelmi intézkedéseket, amelyek alapján meghatározhatóak az aktuálisan elért biztonsági szintek és osztályok. Ezen információkat a Hatóság által elvárt formátumban kell előkészíteni. A Hatóságnak meg kell küldeni a szervezetre vonatkozó, a besorolási eredményeket is tartalmazó Informatikai Biztonsági Szabályzatot (IBSZ). A helyzetfelmérés során feltárt hiányosságok pótlására Cselekvési tervet kell készíteni, ami alapján biztosítható az elvárt biztonsági szinthez és osztályhoz kapcsolódó adminisztrációs, logikai és fizikai védelmi előírások tervezett időtávon belüli megvalósítása. Besorolás Helyzet felmérés Cselekvési terv készítés IBSZ készítés Cselekvési terv végrehajtása Besorolandó rendszerek meghatározása Szervezet és szervezeti egységek szintbe sorálasa Rendszerek BSR osztályba sorolása Védelmi intézkedések feltérképezése és megfeleltetése a BM rendelet követelményeinek Aktuálisan elért BSR osztályzatok kimutatása rendszerenként A védelmi intézkedések felmérése során feltárt hiányosságok pótlásának cselekvési tervezése Informatikai Biztonsági Szabályzat elkészítése Eljárásbeli hiányosságok pótlása IT biztonsági folyamatok kiegészítése BCP, DRP tervezés

INFORMÁCIÓBIZTONSÁGI MEGOLDÁSOK A KÜRT Információbiztonsági és Adatmentő Zrt. megfelelve az irányadó jogszabályi követelményeknek, 2016. március 30. napjával bekerült az Ibtv. végrehajtási rendeleteként kiadott 185/2015. (VII. 13.) Korm. rendelet 14. (4) bek. b) pontjában hivatkozott sérülékenységvizsgálat lefolytatására jogosult gazdasági társaságok nyilvántartásába. Egy gazdálkodó szervezeténél a megfelelő szintű biztonság eléréséhez a sérülékenységvizsgálat szükséges, de nem elégséges feltétel. A törvény 11. -a értelmében a szervezet vezetője köteles gondoskodni a szervezet elektronikus információs rendszereinek védelméről, így a szükséges kockázatelemzések, auditok végrehajtásáról, a biztonsági szintbe és osztályba sorolás alapján meghatározott kockázatarányos védelmi intézkedések megvalósításáról. A KÜRT több mint húsz éve nyújt információbiztonsági szakértői szolgáltatásokat. Jelentős tapasztalatokat szereztünk az informatikai rendszerek tervezése, üzemeltetése, auditálása, működési megfelelősségének vizsgálata, a kockázatelemzés és értékelés, az informatikai naplóelemzés, valamint a jelentős adatmennyiségeket érintő analitikus adatelemzések terén. Ezen tudásunkat fejlesztéseinkbe implementálva, a gyakorlati működést kiemelten támogató, sokoldalú alkalmazásokat hoztunk létre szoftver termékek formájában. A KÜRT a teljes körű megfelelésben képes támogatni a szervezetet. Ennek egyik eszköze a moduláris felépítésű, az Ibtv-t kiemelten támogató SeCube IT GRC szoftver (www.secube.hu), mely számos előnye mellett megteremti a kockázatarányos védelem kialakításának és fenntartásának valós lehetőségét. Információbiztonsági irányítási rendszerként egységes keretbe foglalja a kockázatelemzés, -kezelés, az üzletmenet-folytonossági tervezés és a katasztrófahelyzet utáni helyreállítás-tervezés folyamatait. A SeCube szoftverrel hatékony módon megvalósíthatóak és folyamatosan karbantarthatóak a 41/2015. (VII. 15.) BM rendelet által előírt osztályozási, kockázatelemzési és cselekvési-terv kezelési feladatok, továbbá a hatóság által elvárt, XML formátumú jelentések is előállíthatók.az Ibtv-nek való megfeleléshez szükséges feladatok megvalósításakor elengedhetetlen, hogy az információbiztonsági program alkalmas szakértői háttérrel rendelkezzen.

Szakértőink az alábbi lépésekben támogatják az Ibtv. megfelelés elérését: 1. Elektronikus információs rendszerek meghatározása A besorolás elvégzéséhez első lépésként meg kell határozni azokat a rendszereket, amelyek értelmezhetőek az Ibtv. szempontjából. 2. Besorolás: Elektronikus információs rendszerek biztonsági osztályba sorolása A Hatóság által elvárt elemzéskor minden érintett elektronikus információs rendszer tekintetében különkülön meg kell vizsgálni, illetve adminisztrálni szükséges az adott információs rendszer vagy az általa kezelt adatkörök rendelkezésre állásának elvesztéséből (R), sértetlenségének (S) és bizalmasságának (B) sérüléséből adódó lehetséges veszteségeket. 3. Besorolás: Szervezetek biztonsági szintjének meghatározása A szervezeti szint megállapításakor külön is meg kell vizsgálni az elektronikus információs rendszer fejlesztését, üzemeltetését végző, illetve az üzemeltetéséért vagy az információbiztonságáért felelős szervezeti egységeket, mivel a jogszabály alapján a szervezettől elvárt szinttől eltérő biztonsági szintekbe is lehet sorolni ezeket a területeket. 4. Helyzetfelmérés: Jelenleg alkalmazott védelmi intézkedések felmérése A helyzetfelmérés célja az, hogy megállapítsa a szervezet jelenlegi védelmi képességét, és így a szervezet felismerje és feltárja azokat a hiányosságokat, amelyeket meg kell szüntetnie annak érdekében, hogy az Ibtv. által előírt kötelezettségeket a tervezett időtávon belül (akár több éves távlatban) maradéktalanul teljesíteni tudja. 5. Informatikai biztonsági szabályzat készítése Az IBSZ elkészítése alapszintű elvárás, az eljárásrendek kialakítása biztonsági osztályzattól függő védelmi követelmény. 6. Cselekvési terv készítése A védelmi intézkedések felmérésekor feltárt hiányosságok pótlására Cselekvési tervet kell készíteni, melyet a Hatóság számára be kell nyújtani. A KÜRT elkészíti a tervet (szintlépések szükséges csoportosítással) olyan optimális megoldásra törekedve, amely megfelel a biztonsági követelményeknek és nem jár a szükségesnél több erőforrás igénnyel. 7. Hatósághoz történő bejelentés és adatszolgáltatás Az illetékes hatósághoz a bejelentés csak a fenti lépések megtörténte után tehető meg, a Hatóság által elvárt formai követelmények betartásával. Jelen feladatok végrehajtása és az adatszolgáltatás nem egyszeri tevékenység. Jelentősebb változások esetén ezen eredmények frissített változatát információs rendszerenként külön-külön, ismét meg kell küldeni a Hatóságnak. A SeCube alkalmazás használata az adminisztratív feladatok végrehajtását nagyságrendekkel képes megkönnyíteni. A SeCube Compliance modulja a rendszerek kiértékelését, a cselekvési terv végrehajtását egységes módon kezeli, ezzel jelentős mértékben megkönnyítve az adminisztratív feladatokat. A Hatóság által közreadott XML formátumú export előállítására is képes, rendszerenként külön-külön, a NEIH által közzétett és elvárt formában. A szoftver használatával a felhasználó képes lesz az elkészített eredménytermék halmazok önálló, hatékony karbantartására, igény szerint eredmény exportok belső vagy hatósági adatszolgáltatási céllal történő generálására. A szoftver használatával a NEIH-OVI Excel(ek) használata elhagyható, ezáltal lényegesen könnyítve az adminisztratív terheken. A jogszabályi és Hatósági elvárási változásokat a KÜRT szoftverkövetési tevékenysége lefedi.

LÉTFONTOSSÁGÚ INFRASTRUKTÚRÁK VÉDELME A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLX- VI. törvény (a továbbiakban Lrtv.) hatálya alá tartozó szervezeteknek ahhoz, hogy megfeleljenek a törvény előírásainak, a szükséges adminisztrációs és fizikai védelmi tevékenységeken felül gondoskodniuk kell a szervezet információbiztonsági fejlettségének növeléséről is. A KÜRT vállalja, hogy az azonosítási jelentés alapján kijelölt vállalatokat segíti az üzemeltetői biztonsági terv elkészítésében és az abban foglalt, hálózatbiztonságra vonatkozó tevékenységek megvalósításában. Az Információbiztonsági törvény (Ibtv.) a 2. (2) c) pontja értelmében vonatkozik az európai vagy nemzeti létfontosságú rendszerelemek elektronikus információs rendszereinek védelmére is. Az üzemeltetői biztonsági terv elkészítésében való részvételen felül, illetve az Ibtv. megfeleléssel is összhangban, a KÜRT, a létfontosságú rendszerek üzemeltetői számára az információs infrastruktúrák védelmére vonatkozóan az alábbi területeken tud segítséget nyújtani: Business Continuity Management (BCM) A megelőzés, a felkészülés és a katasztrófák utáni helyreállítás fontos üzemeltetői feladat. A vállalati informatikai rendszerekre vonatkozó üzletmenet-folytonossági (BCP) és a termelési folyamatokra kiterjesztett termelés-folytonossági (PCP), illetve katasztrófa-helyreállítási (DRP) tervek megfelelő alapját képezhetik az IT rendszerekre vonatkozó (hálózatbiztonság) üzemeltetői biztonsági tervnek. Kockázatmenedzsment A létfontosságú rendszerelemek üzemeltetőit a rendszeres kockázatelemzések elvégzése segíti annak felismeréséhez, hogy mely tényezők veszélyeztetik az általuk üzemeltetett infrastruktúra elemeket, és ezen fenyegetések, az infrastruktúra mely rendszerelemein hatnak. Ezen kívül láthatóvá teszi azt a hatásláncot, amely egy fenyegetettség bekövetkezése esetén végigfuthat a rendszerelemeken és az általuk támogatott üzleti folyamatokon. A kockázatelemzés és működésfolytonosság tervezését, illetve ezek periodikus megújításának tevékenységét a SeCube IT GRC szoftver hatékonyan képes támogatni.

További védelmi lehetőségek A hatósági követelményeknek való megfelelést, valamint a hálózatbiztonsággal szemben támasztott, jogszabályban, illetve hatósági határozatban rögzített elvárásokhoz történő alkalmazkodást jól szolgálhatják a következő lehetőségek is: az IT rendszerekben nagy mennyiségben keletkező naplóállományok rögzítése és feldolgozása, megfelelő logelemző alkalmazással (LogDrill) történő elemzése, értékelése a rendszerek sérülékenységének vizsgálata (ethical hacking, penetrációs vizsgálatok) a rendszerek biztonsági szintjének növelését célzó, környezetfüggő konfigurációs változtatások végrehajtása (hardening) megfelelő biztonságú eszközök implementálása További információkért ebben a témában, olvassa el a Kritikus infrastruktúra üzemeltetés a jövőben törvénytől a megoldásig című szakértői elemzésünket.

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés