Minősített adatot elektronikusan kezelő rendszerek biztonsági aspektusai

Hasonló dokumentumok
ELEKTRONIKUS BIZTONSÁGI KÖVETELMÉNYEK

Informatikai Biztonsági szabályzata

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Magyar joganyagok - 92/2010. (III. 31.) Korm. rendelet - az iparbiztonsági ellenőrzés 2. oldal (2)1 Az egyszerűsített telephely biztonsági tanúsítvány

2019. ÉVI FOKOZATI VIZSGA TANANYAG 6. VEZETÉS, IRÁNYÍTÁS SZAKMACSOPORT

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

A nemzetbiztonsági ellenőrzés:

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Muha Lajos. Az információbiztonsági törvény értelmezése

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Nemzetközi jogszabályi háttér I.

Műszaki dokumentáció Másolatkészítés műszaki feltételei

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc

Tudjuk-e védeni dokumentumainkat az e-irodában?

ADATKEZELÉSI TÁJÉKOZTATÓ

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

A TITKOS ÜGYKEZELŐI KÉPZÉSI PROGRAM KÖVETELMÉNYRENDSZERE

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium.

Számítógép kezelői - használói SZABÁLYZAT

BUDAPESTI RENDŐR-FŐKAPITÁNYSÁG XVIII. KERÜLETI RENDŐRKAPITÁNYSÁG

Csanytelek Község Önkormányzat évi Ellenőrzési Programja

2013. évi L. törvény ismertetése. Péter Szabolcs

Bevezetés. Adatvédelmi célok

A GDPR számítástechnikai oldala a védőnői gyakorlatban

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELMI FELADATOK ÉS A FELELŐSSÉG

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

Jogalkotási előzmények

Az adatvagyon fogalma Adatok kezelésének jogi keretei Adatvagyon építése Adatvagyon használata, publikálása Adatok vizualizációja Előrejelzés

Dr. Muha Lajos. Az L. törvény és következményei

HITELES MÁSOLATKÉSZÍTÉSI REND

Fókuszban az információbiztonság

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

SZAKDOLGOZAT TÉMAJEGYZÉK rendészeti igazgatási szak biztonsági szakirány:

UNICEF fotópályázat Adatkezelési Tájékoztató

A KOMPLEX INFORMÁCIÓVÉDELEM ÚJ IRÁNYAI A NEMZETI MINŐSÍTETT ADATOK VÉDELMÉVEL ÖSSZEFÜGGÉSBEN

INFORMATIKAI SZABÁLYZAT

EZ AZ ELŐTERJESZTÉS A KORMÁNY ÁLLÁSPONTJÁT NEM TÜKRÖZI

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

30 MB INFORMATIKAI PROJEKTELLENŐR

Adatkezelési nyilatkozat, szabályzat

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

Magyar joganyagok - 2/2013. (II. 12.) KüM utasítás - a Külügyminisztérium Biztonság 2. oldal 3. Jelen szabályzat személyi hatálya kiterjed a Külügymin

A SIÓFOKI RENDŐRKAPITÁNYSÁG MÁSOLATKÉSZÍTÉSI SZABÁLYZATA

1. A Windows Vista munkakörnyezete 1

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

NÉVJEGYZÉK 1. Ocsenásné Bethlen Margit r. alezredes 2. Gyarmati Erika r. őrnagy 3. Reiter Lászlóné r. őrnagy 4. Szemes Erika r.százados 5.

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

16/2011.sz. Szabályzat. Csákvár Nagyközség Polgármesteri Hivatalának Informatikai Szabályzata

Töltőtelepítés, illetve üzemeltetés engedélyeztetési eljárás

VIZSGÁLATI BIZONYÍTVÁNY

magyar államvasutak zártkörűen működő részvénytársaság

Wireless technológiák adatátvitel és biztonság IIR Szakkonferencia június Ramada Resort Aquaworld Budapest

Informatikai és Biztonsági Szabályzat. I. Bevezető rendelkezések

Magyar Tudományos Akadémia Agrártudományi Kutatóközpont

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Elektronikus számlázás. Czöndör Szabolcs

Hiteles elektronikus másolat készítésére feljogosított személyek Siklósi Rendőrkapitányság

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

Informatika és Módszertani Osztály

I. FEJEZET ÁLTALÁNOS RENDELKEZÉSEK

FONYÓD RENDŐRKAPITÁNYSÁG MÁSOLATKÉSZÍTÉSI SZABÁLYZATA

Rendszerkezelési útmutató

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010

Hiteles elektronikus másolat készítésére feljogosított ügykezelők

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

Információbiztonság fejlesztése önértékeléssel

Építményengedélyezés 2016

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Intelligens biztonsági megoldások. Távfelügyelet

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

Építési napló. e-napló)

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

Adatkezelési nyilatkozat

Útmutató befektetési alapok kezelési szabályzatának módosításához

Bemutatkozik a BIZMUT EHS szakértőktől XXI. Század igényeihez igazodva

Tartalom. I. Rész A számítógép megosztása 5. Bevezetés 1. 1 n Saját profilt mindenkinek 7. Biztonsági programok 3 A könyvben használt jelek 4

Adatkezelési tájékoztató

A Pénzügyi Szervezetek Állami Felügyelete elnökének 17/2012. számú utasítása. Belső adatvédelmi és adatbiztonsági szabályzat

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

A Budapesti Értéktőzsde Részvénytársaság Igazgatóságának 110/2003. számú határozata

Megbízhatóság az informatikai rendszerekben

BUDAPESTI RENDŐR-FŐKAPITÁNYSÁG IV. KERÜLETI RENDŐRKAPITÁNYSÁG

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

ADATVÉDELMI SZABÁLYZAT

Informatikai biztonsági elvárások

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

INFORMATIKAI SZABÁLYZAT

Milyen feladatai vannak a csatlakozóknak az Elektronikus Egészségügyi Szolgáltatási Térhez csatlakozással kapcsolatban?

Információbiztonság irányítása

Windows hálózati adminisztráció

TLF005_KIV_V01 Oldal: 1 / 8

NHDR-3104AHD-II NHDR-3108AHD-II NHDR-3116AHD-II NHDR-5004AHD-II NHDR-5008AHD-II NHDR-5016AHD-II NHDR-5204AHD NHDR-5208AHD. Telepítői Segédlet

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

Szombathely Város Vezetõi Döntéstámogató Rendszere VDIR-STAT.

Átírás:

Belügyminisztérium Nemzeti Biztonsági Felügyelet Minősített adatot elektronikusan kezelő rendszerek biztonsági aspektusai Pintér Diána elektronikus biztonsági főreferens

Tartalom Jogszabályi háttér Kialakítás előtt tisztázandó kérdések Mit kell biztosítani? Módszer Komplex terület Fizikai védelem Személyi feltételek Adminisztratív biztonsági eljárások Számítástechnikai (elektronikus) védelem TEMPEST Rejtjelzés Rendszerengedély

Jogszabályi háttér 2009. évi CLV. törvény a minősített adat védelméről (Mavtv.) 2004. évi CXL. tv. A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) 2013. évi L. tv. az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.) NATO: CM(2002)49 - új Primary Directives EU Tanács 264/2001/EC és kapcsolódó dokumentumok

Jogszabályi háttér A Mavtv. végrehajtási rendeletei: 90/2010. (III. 26.) Korm. rendelet az NBF működésének, valamint a minősített adat kezelésének rendjéről 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól 161/2010. (V. 6.) Korm. rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól

A kialakítás előtt tisztázandó már meglévő helyszínen folyik majd az adatkezelés, vagy az objektum újonnan kerül kialakításra (megépítésre) papír alapon kívánnak minősített adatot kezelni vagy elektronikus úton is kezelni kívánt adatkör(ök) - nemzeti, NATO, EU - és minősítési szintek - KT, B, T, SZT beérkező/keletkező minősített adat várható mennyisége a helyszín és a szervezet veszélyeztetettségi szintje Elektronikus adatkezelés esetén: csak önálló munkaállomás(ok) vagy hálózatot építenek, ha a minősítési szint meghaladja a KT-t, akkor a TEMPEST követelmények betartása is szükséges.

Mit kell biztosítani? Bizalmasság Illetéktelen hozzáférés megakadályozása(zárt körben marad) Jogosulatlan használat megakadályozása (nincs visszaélés) Sértetlenség Illetéktelen módosítás (hiteles marad) Jogosulatlan törlés megakadályozása (adat nem vész el) Rendelkezésre állás A követelményeknek megfelelően (7/24, 99%...) Jogosult számára az elérhetőség biztosítása (neki viszont legyen elérhető, mert kell a munkához) Azonosíthatóság (személy, eszköz, szolgáltatás)

Módszer Megelőzés, elrettentés (admin. eszközök) Feliratok, figyelmeztetés, fenyegetés Szabályzatok, nyilatkozatok, tudomásul vétel Felhasználói tudatosság Védelem (HW-, SW-biztonság, hozzáférés, stb.) Fizikai korlátok, jelszó, jogosultság, elkülönítés, naplózás Helyreállítás (mentések) Adatok, rendszerfájlok, naplók máshol tárolása Visszakereshetőség, személyhez kötés

Komplex terület Az informatikai rendszerek biztonsága a Mavtv. értelmében az érintett rendszereken az alábbi biztonsági területek összességét jelenti: Fizikai- Személyi- Adminisztratív- és Számítástechnikai (hardver-szoftver) biztonság Kisugárzás-védelem (TEMPEST) Rejtjelzés

Fizikai biztonság A fizikai védelem az alábbi biztonsági elemek együttesét foglalja magában: falazat, biztonsági ajtó, zárak, rácsozatok biztonsági tárolók (páncélszekrény) elektronikus jelző-, riasztó-, és beléptető rendszerek, távfelügyeleti megoldások megfigyelő rendszerek (zártláncú videó) élőerős őrzés (személyi felügyelet, biztonsági őrség, fegyveres őrség) A kockázati besorolástól függően vannak kötelezően létesítendő és választható fizikai biztonsági elemek. A megfelelés - a 90/2010. (III. 26.) Korm. rend. mellékletét képező - pontozási tábla alapján dönthető el.

Fizikai biztonság Korlátozott terjesztésű! nemzeti, külföldi minősítéssel és jelöléssel ellátott adatot kezelő rendszert ADMINISZTRATÍV ZÓNÁBAN is lehet telepíteni. Bizalmas vagy magasabb minősítési szintű adatot kezelő rendszert I. vagy II. osztályú BIZTONSÁGI TERÜLETEN kell telepíteni. Ekkor a rendszerengedély kiadásának feltétele a - legalább az elektronikusan kezelni kívánt adat minősítési szintjének megfelelő szintű - adatkezelési engedély megléte.

Személyi biztonság A szervezet állományába tartozó munkatársak közül ki kell nevezni: Biztonsági vezető Rendszerbiztonsági felügyelő (RBF) Rendszeradminisztrátor (RA - esetében ajánlott az informatikus képzettség) RBF és RA kijelölése hivatalosan: munkaköri leírásban/übsz-ben + Felhasználók kijelölése, felkészítése, nyilatkozat az ÜBSZ-ben foglaltak tudomásulvételéről. A biztonsági személyeknek és a felhasználóknak is rendelkezniük kell: kockázatmentes nemzetbiztonsági ellenőrzéssel, személyi biztonsági tanúsítvánnyal, felhasználói engedéllyel, titoktartási nyilatkozattal.

Adminisztratív biztonsági eljárások nyilvántartások vezetése (főnyilvántartó-, iktatókönyv, belső átadóokmány) üzemeltetés-biztonsági szabályzat (ÜBSZ) és rendszerbiztonsági követelmények (RBK) kidolgozása Rendszerdokumentáció (pl. nyomtatási, ellenőrzési napló, stb.) és nyomtatványok (hozzáférés jogosultság igénylő lap, biztonsági esemény jelentés, stb.) elkészítése rendszerszintű jelszavak, biztonsági másolatok, op. rendszer lemezek, naplófájlok elkülönített tárolása hardver- és szoftverlista ellenőrzött, követhető nyomtatás adathordozók nyilvántartása, kísérőlap jogosulatlan belépők nyilvántartása

Számítástechnikai (elektronikus) biztonság A számítástechnikai védelem az alábbi biztonsági elemek együttesét jelenti: Hardveres védelmi megoldások Szoftveres védelmi megoldások Minősített kialakítása adatot továbbító hálózat védett Kompromittáló kiépítése kisugárzás elleni védelem Rejtjelző eszközök alkalmazása adatok megbízható védelmére a minősített

Hardver, szoftver Hardver: kivehető merevlemez, amely munkaidőn kívül, illetve személyes felügyelet végeztével elzárandó (vagy laptop, amely elzárható), eszközök felbontás elleni védelme, minősítés szerinti felcímkézése naprakész hardverlista Szoftver: engedélyezett, jogtiszta, gyártói rendszer és felhasználói programok támogatással rendelkező op. alkalmazások korlátozása: munkához szükséges, tanúsított, ajánlott (konzultáció NBF-el) az NBF által megkövetelt BIOS beállítások (jelszóvédelem, a jóváhagyott konfigurációban nem engedélyezett kimeneti portok letiltása, primary HDD boot, stb) biztonsági házirend (figyelmeztető üzenet, lomtár kikapcsolása, vendég letiltása, stb.)

Hardver, szoftver felhasználók elkülönített kezelése naprakész szoftverlista op. rendszer naplózási követelmények (pl. felhasználói belépések, belépési kísérletek, a rendszer dátum és idő módosítása, rendszer erőforrásokhoz történő sikertelen hozzáférési kísérletek, stb.) jelszóházirend aktív, jogtiszta vírusvédelem, vírusdefiníciós adatbázis rendszeres frissítése A biztonsági beállításokat minden részletre kiterjedően tartalmazza egy beállító csomag, amelyet az akkreditációra való felkészülés során az NBF E-biztonsági Osztály munkatársai rendelkezésre bocsájtanak.

Kompromittáló kisugárzás elleni védelem Bizalmas és azt meghaladó min. adatok kezelése esetén követelmény A kompromittáló kisugárzás elleni védelem az elektromágneses kisugárzás és fémes vezetés útján előforduló adatszivárgást előzi meg Intézkedések pl.: elektromos kábelek (védett/nyílt) vonalvezetése, rádiófrekvenciás szűrők alkalmazása, rendszer környezetében alkalmazható berendezések korlátozása, telepítési távolságok tartása, elektromágneses árnyékolástechnikai megoldások, csökkentett kisugárzású hardver eszközök alkalmazása (TEMPEST), a rendszerhez tartozó fém berendezések földelése, stb. A TEMPEST minősítés a hardver elemek különleges árnyékolási jellemzőit jelenti (Level A, B, C), ezt tanúsítvánnyal igazolják. Ha a helyszín kialakítása még nem történt meg, azt ajánlott a TEMPEST követelmények teljesülése érdekében körültekintően megválasztani. TEMPEST-zóna mérés kérhető az NBF-től.

Rejtjelzés Rejtjelzés alkalmazására nincs szükség, ha önálló munkaállomásokon történik a minősített adat feldolgozása, és az adatot elektronikusan nem továbbítják. Minősített adat elektronikusan továbbítható a nyílt informatikai átviteli utakon (pl. internet vagy szervezetek saját hálózatai) HA azt rejtjelző eszközzel rejtjelezték. A címzettnek hasonló képességre van szüksége a küldemények visszafejtésére. A minősített adat védelmére csak az NBF által, a megfelelő szintű védelemre rendszeresített rejtjelző eszköz használható. A védett rendszer felhasználója nem végez rejtjelzést, a feladatra rejtjelzőt kell kinevezni és az adott eszköz kezelésére tanfolyamon kiképezni.

Rendszerengedély A Felügyelet a minősített adatot kezelő informatikai rendszer üzemeltetését rendszerengedély kiadásával hagyja jóvá. Az engedély kiadásának eljárását az adatkezelő szerv kezdeményezi, ha az üzemeltetés valamennyi feltételét megvalósították, a dokumentáció hiánytalan, a rendszer üzemkész, de minősített adat ekkor még nem lehet rajta. Az engedély kérelem, kérdőív és a csatolt útmutató a www.nbf.hu honlapról letölthetők. A rendszeren az elektronikus biztonsági jellemzőket érintő változtatásokhoz az NBF előzetes jóváhagyása szükséges. A dokumentációban a változtatásokat át kell vezetni. Az adatbiztonság veszélyeztetése esetén a Felügyelet jogosult felhívni a biztonsági vezetőt intézkedések megtételére, vagy intézkedhet a kiadott engedély korlátozására, felfüggesztésére, visszavonására.

Eljárásrend Ket. - hatósági eljárás KÉRDŐÍV kitöltése, aláírása, beküldés --> ELJÁRÁS indul (a szükséges feltételek teljesülését az NBF ellenőrizheti, SZT adatkezelés esetén kötelezően ellenőrzi) Végzést kapnak (8 nap) Érdemi vizsgálat nélküli elutasítás Hiánypótlás elrendelése határidő megszabásával Eljárási határidő meghosszabbítása Eljárás megszüntetése Határozatot kapnak (21 nap) Kérelem elutasítása Rendszerengedély kiadása (max. 3 év), visszavonása Módosítás, korlátozások

Köszönöm a figyelmet!

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés