Bejelentés-köteles szolgáltatók kötelezettségei a NIS irányelv tükrében

Hasonló dokumentumok
Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

Az NKI bemutatása EGY KIS TÖRTÉNELEM

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

Nemzetközi jogszabályi háttér I.

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Elektronikus Információbiztonsági Vezetők Okosan Klubja Szakmai Fórum március 28. DR. BODÓ ATTILA PÁL

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

A Kormány.../2018. (.) Korm. rendelete. az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről

Muha Lajos. Az információbiztonsági törvény értelmezése

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

XXVII. Magyar Minőség Hét Konferencia

Fókuszban az információbiztonság

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a évi L. tv. alapján

2013. évi L. törvény ismertetése. Péter Szabolcs

Belső Biztonsági Alap

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Információbiztonság irányítása

185/2015. (VII. 13.) Korm. rendelet

Jogalkotási előzmények

Kritikus Infrastruktúra Védelem - Zöld Könyv a Nemzeti Programról

Dr. Zoboky Péter Zöldgazdaság Fejlesztési Főosztály

Ipari, vegyipari létfontossl

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

IT biztonsági törvény hatása

A személyes adatok védelmére vonatkozóan alkalmazandó előírások

TÁJÉKOZTATÓ AZ ALAPVETŐ SZOLGÁLTATÁST NYÚJTÓ SZEREPLŐK RÉSZÉRE

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

(HL L 384., , 75. o.)

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Elektronikus közműegyeztetés

MELLÉKLETEK. a következőhöz: A BIZOTTSÁG (EU) FELHATALMAZÁSON ALAPULÓ RENDELETE

2013 L. - tapasztalatok Antidotum 2015

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

Magyar joganyagok - 21/2017. (VIII. 3.) NGM rendelet - a pénzmosás és a terrorizmus 2. oldal i) az ügyfél-átvilágítás, illetve a bejelentés kapcsán ke

Az ISO es tanúsításunk tapasztalatai

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Bevezetés az Informatikai biztonsághoz

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

bizalom építőkövei Kiberbiztonság és a Magyarország, június 7.

AZ ÁLLAMHÁZTARTÁS SZÁMVITELÉNEK ÉS KÖNYVVIZSGÁLATÁNAK IDŐSZERŰ KÉRDÉSEI

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A Nemzeti Elektronikus Információbiztonsági Hatóság

A BM OKF helye, szerepe a hazai létfontosságú rendszerek és létesítmények védelmében. Dr. Bognár Balázs PhD tű. ezredes főosztályvezető

A katasztrófavédelem megújított rendszere

Információbiztonság fejlesztése önértékeléssel

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

ITIL V3 ALAPÚ IT SZOLGÁLTATÁSIRÁNYÍRÁSI RENDSZER BEVEZETÉSE A GPITINER SEGÍTSÉGÉVEL. Sztrida Ákos IT ügyvezető igazgató helyettes ITIL Expert

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Tájékoztató az LRL IBEK feladatrendszeréről

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Kormányzati kiberbiztonsági koordináció eredményei, stratégiai elvárások az NKE képzésével kapcsolatban

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

EURÓPAI PARLAMENT Állampolgári Jogi, Bel- és Igazságügyi Bizottság. az Állampolgári Jogi, Bel- és Igazságügyi Bizottság részéről

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Belső Biztonsági Alap

Belső és külső ellenőrzés, kockázatkezelés a közszektorban

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Üzletmenet folytonosság menedzsment [BCM]

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

A CYBER interdependencia gyakorlatok nemzetközi és hazai tapasztalatai

5894/16 it/ju 1 DG E2B

A Digitális Nemzet Fejlesztési Program megvalósítását segítő feltételrendszerek, Jogi akadálymentesítés

Rendészeti igazgatás. Rendészet. Jogi szabályozás

Adatfeldolgozói megállapodás

ADATVÉDELMI TÁJÉKOZTATÓ. A fóti Élhető Jövő Park látogatásának szervezéséhez és megvalósulásához kapcsolódó adatkezelésről

Energetikai auditálás és az ISO összehasonlítása. Előnyök és hátrányok

Tartalomjegyzék. Előszó...4. Vezetői összefoglaló...5. ERKT Éves jelentés 2012 Tartalomjegyzék 3

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

Az IT biztonság szerepe a könyvvizsgálatban

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

Az iparbiztonsági szakterület aktuális kérdései április 15.

(Jogalkotási aktusok) IRÁNYELVEK

XXIII. MAGYAR MINŐSÉG HÉT

JOGI, MEGFELELŐSÉGI ELEMZÉS

Vállalati adatvédelem

IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat. Hatályos: május 25-től visszavonásig

a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

Az Európai Unió Tanácsa Brüsszel, április 21. (OR. en)

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

Dr. Muha Lajos. Az L. törvény és következményei

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Átírás:

I n f o r m á c i ó v é d e l e m m e n e d z s e l é s e L X X X I V. S z a k m a i F ó r u m 2019. j a n u á r 16. Bejelentés-köteles szolgáltatók kötelezettségei a NIS irányelv tükrében Dr. Bonnyai Tünde PhD

Kinek/minek a szempontjából? gazdasági tevékenységek társadalmi tevékenységek belső piac működése pénzügyi veszteségek felhasználói bizalom Kire/mire gyakorol hatást? szolgáltató felhasználó nemzetgazdaság államigazgatás közbiztonság EU belső piac Mekkora hatást gyakorol? belső lokális regionális nemzeti közösségi globális

Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (NISD) A Bizottság (EU) 2017/179 végrehajtási határozata (2017. február 1.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló (EU) 2016/1148 európai parlamenti és tanácsi irányelv 11. cikkének (5) bekezdése értelmében az együttműködési csoport működéséhez szükséges eljárásrend megállapításáról A Bizottság (EU) 2018/151 végrehajtási rendelete (2018. január 30.) a hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése céljából a digitális szolgáltatók által figyelembe veendő elemek és a biztonsági események hatása jelentőségének megállapítására szolgáló paraméterek pontosabb meghatározása tekintetében az (EU) 2016/1148 európai parlamenti és tanácsi irányelv alkalmazására vonatkozó szabályok meghatározásáról

CÉLKITŰZÉSEK Biztonsági szint növelése Kockázatkezelés kultúrájának előmozdítása Kibertámadásokkal szembeni védekező és ellenálló képesség fejlesztése Nélkülözhetetlen szolgáltatások védelme MIT? MIVEL? Kockázatokkal arányos biztonsági intézkedések megtétele Hatósági felügyelet erősítése Súlyos biztonsági események bejelentése / elemzése 1. Nemzeti kiberbiztonsági képességek javítása 2. Stratégiai célkitűzések megalkotása és végrehajtása 3. Kockázatmenedzsment fejlesztése 4. Hatósági szerepkörök pontosítása szereplők azonosítása 5. Hiányosságok pótlását szolgáló utasítások kiadása útján HOGYAN?

HOGYAN? Nemzeti kiberbiztonsági képességek javítása Stratégiai célkitűzések megalkotása és végrehajtása STRUKTÚRA FELELŐSSÉGI KÖRÖK EGYÜTTMŰKÖDÉS FELKÉSZÜLTSÉG KOCKÁZATELEMZÉS REAGÁLÓ KÉPESSÉG OKTATÁS-KÉPZÉS TUDATOSÍTÁS KUTATÁS-FEJLESZTÉS

HOGYAN? Kockázatmenedzsment fejlesztése BIZTONSÁGI ESEMÉNY DEFINIÁLÁSA KOCKÁZATOK AZONOSÍTÁSA KOCKÁZATOK ÉRTÉKELÉSE MEGELŐZŐ INTÉZKEDÉSEK KOCKÁZAT minden olyan ésszerűen azonosítható körülmény vagy esemény, amely kedvezőtlen hatást gyakorolhat a hálózati és információs rendszerek biztonságára FELDERÍTÉS & ÉSZLELÉS BIZTONSÁGI ESEMÉNY KEZELÉSE HATÁSOK MÉRSÉKLÉSE KÖVETKEZMÉNYEK KEZELÉSE KOCKÁZATOK AZONOSÍTÁSA

HOGYAN? Hatósági szerepkörök pontosítása szereplők azonosítása Hiányosságok pótlását szolgáló utasítások kiadása (TAG)ÁLLAMI GARANCIÁK Hatóság(ok) CSIRT-ek Egyedüli nemzeti kapcsolattartó pont ÜGYFÉLKÖR Alapvető szolgáltatást nyújtó szereplők Digitális szolgáltatást nyújtók Nemzeti struktúra Végrehajtható stratégia +EU Együttműködési Csoport BIZTONSÁG INTEGRITÁS ELLENÁLLÓ KÉPESSÉG szavatolása fejlesztése Hatáskör & felügyelet Együttműködés (PPP) fejlesztése Minimumkövetelmények Szakmai támogatás & szankció Információcsere NIS (44) Az információs rendszerek biztonságának biztosítása nagymértékben az alapvető szolgáltatást nyújtó szereplők és a digitális szolgáltatók felelőssége.

CÉLCSOPORTOK Alapvető szolgáltatást nyújtó szereplők Olyan közjogi vagy magánjogi szervezet, amely kritikus társadalmi és/vagy gazdasági tevékenységek fenntartásához alapvető szolgáltatást nyújt, az adott szolgáltatás nyújtása hálózati és információs rendszerektől függ, és az említett szolgáltatást érintő biztonsági esemény jelentős zavart okozna a szolgáltatás nyújtásában, valamint beletartozik az alábbi ágazatok valamelyikébe: Energia Egészségügy Közlekedés Banki szolgáltatások Pénzügyi piaci infrastruktúrák Ivóvízellátás és elosztás Digitális infrastruktúra Digitális szolgáltatást nyújtók Minden olyan jogi személy, amely az alábbi típusokba sorolható digitális szolgáltatást nyújt: online piactér, online keresőprogram, felhőlapú számítástechnikai szolgáltatás.

* 2002/21/EK irányelv ** 910/2014/EU irányelv NEM kell alkalmazni:! azokra a vállalkozásokra amelyek olyan, nyilvános hírközlő hálózatokat üzemeltetnek vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtanak, amelyek különös biztonsági és integritási követelmények* hatálya alá tartoznak;! olyan bizalmi szolgáltatókra, amelyek külön rendeletben megállapított biztonsági követelmények** hatálya alá tartoznak;! digitális szolgáltatást nyújtó mikro- és kisvállalkozásokra;! online szolgáltatásokra, amelyek csupán köztes lépéseket jelentenek olyan harmadik fél által nyújtott szolgáltatások előtt, amelyek keretében a szerződések végleges megkötésére sor kerülhet;! hardvergyártók és a szoftverfejlesztők nem minősülnek alapvető szolgáltatást nyújtó szereplőknek vagy digitális szolgáltatóknak

Digitális szolgáltatást nyújtók Online piactér fogyasztók és a kereskedők online adás-vételi és/vagy szolgáltatási szerződéseket kötnek, amely szerződések végpontjai a piacterek (kivétel pl. arukereso.hu; de pl. ide tartozik a GooglePlay, a B2C-k, stb.) Online keresőprogram a felhasználók egy adott kulcsszó alapján elvben minden webhelyen keresést hajthatnak végre, és ennek eredményeként hivatkozásokat érnek el (kivétel meghatározott webhelyre korlátozott keresőfunkciók; és pl. arukereso.hu) Felhő alapú számítástechnikai szolgáltatás olyan szolgáltatások, amelyek megosztható (több olyan felhasználó számára biztosított, akik közös hozzáféréssel rendelkeznek, de a feldolgozás külön történik) számítástechnikai erőforrások (pl.: hálózat, szerver) méretezhető és rugalmas (keresletnek megfelelően nyújtott)pooljához engednek hozzáférést

CÉLCSOPORTOK NIS ÁLTAL BEVEZETETT KÖTELEZETTSÉGEI BIZTONSÁGI ÉS BEJELENTÉSI KÖVETELMÉNYEK TELJESÍTÉSE KOCKÁZATMENEDZSMENT kialakítása kötelező kockázatértékelés, kockázatok számszerűsítése, elemző-értékelő eljárások alkalmazása, humán-erőforrás szempontok érvényesítése intézkedések megtétele a valós kockázatokkal arányos, az adott hálózati és információs rendszer ellenállóképességének növelése érdekében BIZTONSÁGI ESEMÉNY bejelentése indokolatlan késedelem nélkül bejelentik a szolgáltatás folytonosságára jelentős hatást gyakorló biztonsági eseményeket

KÖVETELMÉNYEK Kockázat alapú megközelítés alkalmazása Kockázatok azonosítása, súlyosságuk számszerűsítése A rendszer szisztematikus irányítása keretében végzett kockázatelemzés során tett intézkedések kritikus létesítményeket fenyegető veszélyek azonosítása működésre gyakorolt potenciális hatások felmérése veszélyek eredményes csökkentésének lehetőségei Folytonosság érdekében megelőző és a hatások csökkentésére irányuló intézkedések Felmerülő kockázatoknak megfelelő biztonsági szint folyamatos garantálása arányos és megfelelő műszaki és szervezési intézkedések

KÖVETELMÉNYEK arányos és megfelelő műszaki és szervezési intézkedések fizikai és környezeti biztonság, ellátás biztonsága, hálózati és információs rendszerek integritása rendszerekhez való hozzáférés ellenőrzése folytonosságot szolgáló stratégiai és vészhelyzeti tervek katasztrófaelhárítási képességek monitoringra és a naplózásra vonatkozó előírások, vészhelyzeti tervek gyakorlása, hálózati és információs rendszerek tesztelése, biztonsági értékelések és a megfelelés monitoringja készségek kezelése, fejlesztése tudatosság növelése rendszerek és létesítmények biztonsága üzletmenetfolytonosságmenedzsment monitoring, audit és tesztelés humánerő-forrás

KÖVETELMÉNYEK Biztonsági események hatásaira vonatkozó paraméterek Biztonsági események késedelem nélküli bejelentése Bejelentési kötelezettséggel kapcsolatos intézkedések biztonsági esemény észlelése biztonsági esemény bejelentése eseményről való tájékoztatás rendszer hiányosságainak, sebezhető pontjainak feltárása eljárásoknak megfelelő reagálás, esemény értékelése, dokumentálása EU VHR. 3. cikk a biztonsági esemény által érintett felhasználók száma biztonsági esemény időtartama biztonsági esemény által érintett terület földrajzi lehatárolása működés zavarának mértéke gazdasági és társadalmi tevékenységekre gyakorolt hatás mértéke Annak érdekében, hogy az illetékes hatóságok értesülhessenek a potenciális új kockázatokról, a digitális szolgáltatókat arra kell ösztönözni, hogy önkéntes alapon jelentsenek be minden olyan eseményt, amelyek számukra addig ismeretlen jellemzőkkel bírtak, legyenek azok új sérülékenységet kihasználó módszerek, támadási vektorok vagy támadó felek, sebezhető pontok vagy fenyegetések. NIS VHR (11)

HAZAI SZABÁLYOZÁS (BEJELENTÉS-KÖTELES SZOLGÁLTATÓK) 2001. CVIII. Eker. tv.: definíciós háttér és különleges szabályok Nyilvántartás vezetése Követelmények teljesítésének ellenőrzése Hatósági eljárás, szankcionálás Regisztráció Előírt követelmények teljesítése Biztonsági esemény bejelentése Hatósági döntések végrehajtása KIVÉTELEK Mikro- és kisvállalkozások 50 főnél kevesebb foglalkoztatottal bír és éves nettó árbevétele vagy mérlegfőösszege max. 10 millió Kijelölt nemzeti vagy európai létfontosságú rendszerelemek Ibtv. személyi hatálya alá tartozók 270/2018. (XII. 20.) kormányrendelet: részletszabályok Hatóság feladatai, szolgáltatói biztonsági követelmények Biztonsági esemény és bejelentésével kapcsolatos szabályok Jogkövetkezmények

Gondoskodik azon megfelelő dokumentumok rendelkezésre állásáról, amelyek lehetővé teszik a rendszerek és létesítmények biztonsága érdekében alkalmazott biztonsági elemek megfelelőségének hatóság általi ellenőrzését A bejelentés-köteles szolgáltató REGISZTRÁL EGYÜTTMŰKÖDIK BEJELENT hatóság honlapján közétett formában, tartalommal (gazdasági társaság elnevezése, székhelye, cégjegyzékszáma, elektronikus kapcsolattartási adatai, nyújtott bejelentés-köteles szolgáltatás típusa) különösen a hatóság által végzett ellenőrzések során, kiadott döntések végrehajtása tekintetében, biztonsági esemény kezelése és kivizsgálása időszakában, egyéb érintettre is vonatkozó kötelezettség biztonsági eseményeket, amelyek hatást gyakorolnak a szolgáltatás nyújtására (haladéktalanul) tevékenység megszűnése, létfontosságúvá történő kijelölés, egyéb változások (8 nap)

BEJELENT biztonsági eseményeket, amelyek hatást gyakorolnak a szolgáltatás nyújtására (haladéktalanul) 1. A hatás jelentőségének megállapításakor a már említett EU végrehajtási rendelet 3. cikk szerinti paramétereket kell figyelembe venni 2. Csak akkor kell bejelenteni, ha a bejelentés-köteles szolgáltató számára elérhetők azok az információk, amelyek alapján a paraméterek figyelembevételével ki tudja értékelni a biztonsági esemény hatását 3. Önkéntes alapon bejelenthetnek minden olyan eseményt, amelyek addig ismeretlen jellemzőkkel bírtak (sérülékenységet kihasználó új módszereket, sebezhető pontokat, fenyegetéseket, stb.) 4. Kormányzati eseménykezelő központ (GovCert) részére kell bejelenteni 5. Elsődlegesen elektronikus úton, ha nem megoldható bármely más módon 6. Tartalma legalább: a biztonsági esemény rövid leírása, státusza, a zavar mértéke, az esemény kezelésére kijelölt kapcsolattartó elérhetőségei, az esemény hatását meghatározó szempontok

Hatóság Nemzetbiztonsági Szakszolgálat (hatóság, GovCert, egyedüli kapcsolattartó) Biztonsági esemény (Ibtv. 1. 9.) + 41a. (!!) nem kívánt vagy nem várt egyedi esemény, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására a hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül NYILVÁNTARTÁS a szolgáltató regisztrációja és adatbejelentései alapján KAPCSOLATTARTÁS szolgáltatókkal, rendvédelmi szervekkel, EU intézményekkel és tagállamokkal, Nemzeti Adatvédelmi és Információszabadság Hatósággal TÁJÉKOZTATÁS szükség szerint a nyilvánosságot, a bekövetkezett biztonsági eseményekről HATÓSÁGI ELLENŐRZÉS szolgáltatók kötelezettségeinek teljesítését ellenőrzi HATÓSÁGI ELJÁRÁS információbiztonsági követelmények nem teljesülése esetén indítja szolgáltatónál helyszíni ellenőrzés tarthat

MIRE KÖTELEZHET ENGEM, MINT DIGITÁLIS SZOLGÁLTATÓT A HATÓSÁG? HATÁRIDŐ MEGÁLLAPÍTÁSÁVAL bocsássam rendelkezésre az információs rendszereim biztonságának megállapításához szükséges adatokat, dokumentumokat, gondoskodjak a kockázatoknak megfelelő biztonsági szint biztosításáról, intézkedjek a biztonsági esemény megelőzésére, bejelentésére, kezelésére, teljesítsem a jogszabályban meghatározott kötelezettségeimet, szüntessem meg a tapasztalt hiányosságokat, amelyeket ellenőrzés keretében, vagy biztonsági eseményt követően feltártak,, azonnali intézkedéseket tegyek, ha a hiányosság, mulasztás, vagy a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget,

MIRE KÖTELEZHET ENGEM, MINT DIGITÁLIS SZOLGÁLTATÓT A HATÓSÁG? elhárításra javasolt intézkedéseket foganatosítsak, amelyeket a biztonsági eseményt követő vizsgálat eredményeként javasol, további károkozás megelőzése érdekében további intézkedéseket tegyek, amelyeket a vizsgálat eredményeként javasol, tájékoztassam a nyilvánosságot a bekövetkezett biztonsági esemény kapcsán, ha az egy másik biztonsági esemény megelőzése miatt szükség van, vagy ha a bejelentés a közérdeket szolgálja. MIKOR? Ha a szolgáltató nem teljesíti a hatósági döntés tartalmát MIÉRT? Regisztráció elmulasztása Adatváltozás bejelentésének elmulasztása Kockázatelemzés elmulasztása* Biztonsági intézkedés bevezetés/alkalmazás elmulasztása Kockázatelemzés és intézkedések felülvizsgálatának elmulasztása Biztonsági esemény bejelentésének elmulasztása Hatóság döntésének nem teljesítése BÍRSÁG

Kockázatelemzés elmulasztása* A korábbi kormányrendelet tartalmazott olyan kötelezettséget, hogy a szolgáltató kockázatelemzést készítsen, de ez most nem része a szabályozásnak A kockázatelemzés készítése kiterjedt: a hálózati és információs rendszerek és létesítmények biztonságára, a biztonsági események kezelésére és az üzletmenet folytonosság biztosítására. A kidolgozott kockázatelemzés alapján a kockázatokkal arányos biztonsági intézkedések bevezetése és alkalmazása volt kötelező A kockázatelemzést és a biztonsági intézkedéseket bekövetkezett biztonsági eseményt követően haladéktalanul, de legalább évente kellett volna célszerűen felülvizsgálni.

DE MIVEL SZEMBEN VÉDJEM? tipikus fenyegetettségek túlterheléses támadás (DoS, DDoS) adathalászat, adatvesztés identitás lopás fizető felület sérülékenysége SQL injection publikált sérülékenységek kihasználása social engineering belső támadások ENISA - https://www.enisa.europa.eu/ jó gyakorlatok, szabványok használata (COBIT, ISO 27000 szabványcsalád, ITIL) naprakész jogosultságkezelés naprakész (biztonsági) frissítések megbízható, releváns fejlesztők alkalmazása Ingyenes / ismeretlen eredetű modul-adatbázis kezelő rendszerek kerülése biztonsági mentések, auditálás, stb HASZNOS

Köszönöm a megtisztelő figyelmet!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés