77/2013 - Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT



Hasonló dokumentumok
NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

2013. évi L. törvény ismertetése. Péter Szabolcs

Muha Lajos. Az információbiztonsági törvény értelmezése

Jogalkotási előzmények

Nemzetközi jogszabályi háttér I.

Fókuszban az információbiztonság

Dr. Muha Lajos. Az L. törvény és következményei

IT biztonsági törvény hatása

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

TÁJÉKOZTATÓ A VILLAMOS ENERGIA ALÁGAZATOT ÉRINTŐ FELADATOKRÓL

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a évi L. tv. alapján

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Az ISO es tanúsításunk tapasztalatai

7.1 A szervezetek nyilvántartásba vétele Biztonsági események bejelentése, kezelése A hatóság egyes további feladatai

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

2013 L. - tapasztalatok Antidotum 2015

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 1

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Sodródunk vagy (minőség)irányítunk?

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Ipari, vegyipari létfontossl

Informatikai biztonsági ellenőrzés

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

2013. évi L. törvény. az állami és önkormányzati szervek elektronikus információbiztonságáról 1

Szabványok, ajánlások

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Krasznay Csaba ZMNE doktorandusz

Az informatikai biztonsági kockázatok elemzése

T/ számú. törvényjavaslat. az állami és önkormányzati szervek elektronikus információbiztonságáról

2013. évi L. törvény

E L Ő T E R J E S Z T É S

INFORMÁCIÓBIZTONSÁGRÓL GAZDASÁGI VEZETŐKNEK A 41/2015. (VII. 15.) BM RENDELET KAPCSÁN ELŐADÓ: NAGY ISTVÁN

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

Információbiztonsági jogi ismeretek vezetőknek

Az NKI bemutatása EGY KIS TÖRTÉNELEM

Üzletmenet folytonosság Üzletmenet? folytonosság?

A BM OKF helye, szerepe a hazai létfontosságú rendszerek és létesítmények védelmében. Dr. Bognár Balázs PhD tű. ezredes főosztályvezető

TÁJÉKOZTATÓ AZ ALAPVETŐ SZOLGÁLTATÁST NYÚJTÓ SZEREPLŐK RÉSZÉRE

Biztonsági összekötő illetve a Veszélyes ipari védelmi ügyintézői képzés

Az elektronikus információs rendszerek védelmére alkalmazható módszerek az Információbiztonsági törvény szemszögéből Május

A nemzeti fejlesztési miniszter. 77/2013. (XII. 19.) NFM rendelete

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

ELŐTERJESZTÉS. Biatorbágy Város Önkormányzata évi belső ellenőrzési tervéről

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Információbiztonság irányítása

MEGFELELŐSÉG: KALANDOZÁS A

Elektronikus Információbiztonsági Vezetők Okosan Klubja Szakmai Fórum március 28. DR. BODÓ ATTILA PÁL

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Magyar joganyagok - 41/2015. (VII. 15.) BM rendelet - az állami és önkormányzati sz 2. oldal (5) Ha az elektronikus információs rendszert több szervez

SZENTLOŐ RINCI KOÖ ZOÖ S OÖ NKORMAÁ NYZATI HIVATAL INFORMATIKAI BIZTONSAÁ GI SZABAÁ LYZAT

Kunfehértó Község Polgármesteri Hivatal Címzetes Főjegyzőjétől. a évi ellenőrzési munkaterv elfogadása tárgyában

Kockázatkezelés az egészségügyben

V/6. sz. melléklet: Táv- és csoportmunka támogatás funkcionális specifikáció

grpr.info.hu

Tájékoztató az LRL IBEK feladatrendszeréről

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

The Leader for Exceptional Client Service. szolgáltatások

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Bodorkós Ferenc polgármester évi belső ellenőrzési terv

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének május 27-én megtartott ülésének jegyzőkönyvéből

SEBESTYÉN ATTILA AZ INFORMÁCIÓVÉDELEM FELÜGYELETI SZEREPKÖREINEK

ROBOTHADVISELÉS S 2010

Borsod-Abaúj-Zemplén Megyei Kormányhivatal. Nyomtatás és nyomatkezelési eljárásrend

A tervezet előterjesztője Közigazgatási és Igazságügyi Minisztérium.

TANÚSÍTÁSI JELENTÉS SIEMENS SZÁMLA ARCHIVÁLÓ RENDSZER HUNG-TJ-DA

JAVASLAT AZ ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK 77/2013. (XII. 19.) NFM RENDELET ALAPJÁN ELVÉGZENDŐ BIZTONSÁGI OSZTÁLYBA SOROLÁSA VONATKOZÁSÁBAN

Vállalati adatvédelem

A szerződések határaira vonatkozó iránymutatások

MAGYAR KÖZLÖNY 69. szám

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

Összevont Ellenőrzési munkaterve

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

MAGYAR KÖZLÖNY 69. szám

Útmutató a 77/2013. NFM Rendelet Szerinti Biztonsági Felmérést Támogató Segédlethez 1/16

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Dabas és Környéke Vízügyi Kft

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Átírás:

77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő határidő, 2014. július 1. Lassan ki kell, hogy derüljön, hogyan lehet a követelményeknek megfelelni LEGAL NOTICE: nem vagyok jogalkotó, nem vagyok hatóság, minden, ami itt elhangzik csak pletyka gyakorlati tapasztalat!

A követelmények A 77/2013 hosszú és érdekes olvasmány. Tessék alaposan elolvasni! Felépítése: Biztonsági osztályba sorolás irányelvei Biztonsági szintbe sorolás irányelvei Besorolási útmutató Eltérések, helyettesítő biztonsági intézkedések (!!!) Védelmi intézkedések katalógusa

77/2013 FAQ Kockázatelemzés vs. kötelező osztálybasorolás Kérdés: az elektronikus információs rendszereket kockázatelemzés vagy a rendelet szerint kell osztályba sorolni? Tanács: A vonatkozó szempontrendszer ajánlás, segédlet. Célja az érintettek segítése, nem kötelező ennek alkalmazása. 1.3. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni. 2.1. Az Ibtv. szerint a besorolás elvégzése a következő elvek figyelembevételével az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek. A meglevő védelmi intézkedések hatása a besorolásra Kérdés: ha a meglevő védelmi intézkedések csökkentik a kockázati szintet, akkor csökkentik az osztályba sorolási értéket is? Tanács: A jogszabály zárt szabályozási rendszert hozott létre. Ha a csökkenő kockázati szint miatt elhagyok egy védelmi intézkedést, a kockázat nő(het), így magasabb osztályba fogok tartozni. 1.2.7.1. Azok a biztonsági intézkedések, amelyek kizárólagosan támogatják a bizalmasságot, a sértetlenséget és a rendelkezésre állást, visszasorolhatók (vagy módosíthatók, kivehetők, ha alacsonyabb szinten nincsenek meghatározva) alacsonyabb szintre, ha ez az alacsonyabb szintű besorolás: 1.2.7.1.3. az érintett szervezetre végrehajtott kockázatelemzés szerint indokolható;

77/2013 FAQ Kétévenkénti szintemelés rendszerenként vagy infrastruktúránként? Kérdés: Ha A és B rendszert 4-es szintre kell hozni, de A most 3-as, B pedig 2-es, hány évem van? Tanács: a két év rendszerenként értendő, tehát A-re 2, B-re 4 évem van 2.1. A helyettesítő biztonsági intézkedés olyan eljárás, amelyet az érintett szervezet a reá irányadó biztonsági szinthez tartozó biztonsági intézkedés helyett alkalmazni kíván, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például törvényeknek, vagy szervezeti szintű szabályzóknak) való megfelelést. Milyen kockázatelemzés lesz elfogadható? Kérdés: Milyen kockázatelemzési módszertan elfogadható? Tanács: a kockázatelemzést a szervezet saját maga határozza meg. Kiindulási pontként használhatók a KIB 25 és KIB 28 ajánlások. 11. (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: f) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,

77/2013 FAQ Hogyan kell kiválasztani a követelményeket? Kérdés: mi alapján jönnek ki az egyes követelmények: Tanács: CIA besorolás EIR-enként, fizikai besorolás max FL (CIA EIR ), adminisztratív besorolás max(cia EIR ), figyelembe véve a lehetséges eltéréseket! 1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni. Az idő kevés, a feladat nagy Kérdés: Hogyan lehet százas nagyságrendű rendszerre elvégezni a korrekt besorolást ilyen rövid idő alatt? Tanács: Általában tudjuk, hogy melyek a legfontosabb rendszerek. Ami (szerintem) a legfontosabb: történjen meg az adatvagyon felmérése, a legfontosabb rendszerekre vonatkozóan a kockázatelemzés és a besorolás. Minden más 1. vagy 2. biztonsági osztály további intézkedésig. 8. (1) A biztonsági osztályba sorolást legalább háromévenként vagy szükség esetén soron kívül, dokumentált módon felül kell vizsgálni. (2) A soron kívüli biztonsági osztályba sorolást az elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás vagy új elektronikus információs rendszer bevezetése esetén szükséges elvégezni. A soron kívüli felülvizsgálatot akkor is el kell végezni, ha a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatok vonatkozásában változás következik be.

77/2013 FAQ Ki kell dobnom a meglevő szabályozást? Kérdés: van egy létező IBIR-em, mi legyen vele? Tanács: Nem, a létező IBIR-eknek tovább kell élnie! A rendelet ősforrása a NISTSP 800-53 Rev. 4, ebben találhatók összerendelési táblázatok pl. az ISO 27001-hez. Elvileg a létező IBIR-hez kevéssé kell hozzányúlni. 1.2.5.1. A tervezett, vagy már működtetett elektronikus információs rendszerekre alkalmazott biztonsági intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is. Mi lesz a minősített adatokkal? Kérdés: Hogy viszonyul a 77-es a Mavtv.- hez? Tanács: Amíg az NBF máshogy nem rendelkezik, a 77-es mérvadó a minősített adatokat kezelő EIR-ek követelményeivel kapcsolatban. (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni,

77/2013 FAQ Vonatkozik a rendelet a bankra/gyárra/telco szolgáltatóra? Kérdés: A rendelet kizárólag az állami és önkormányzati szervezetekre vonatkozik, vagy másra is? Tanács: Az Ibtv. hatálya kiterjed az állami szervek adatkezelőire, a nemzeti adatvagyon feldolgozóira és a létfontosságú rendszerelemekre is! Ez utóbbiakra akkor fog kiterjedni, ha kijelölik őket! (2) A hatóság feladata: f) javaslattétel a létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére, Hova forduljak segítségért? Kérdés: Milyen segítség áll rendelkezésre a határidő sikeres teljesítéséhez? Tanács: A NEIH honlapján található egy kitöltési útmutató, a KIB ajánlások továbbra is használhatók, a NIST SP 800-53 meglehetősen hasonló a 77-eshez, az NKE megkezdte a felelősök képzését, a tanácsadók pedig sorban állnak, hogy segíthessenek A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.

Hogyan tovább? Ne felejtsük el: az Ibtv. egy meglehetősen rugalmas keret, amit hosszú távon tudunk ideálisan kitölteni! Mindenkinek a részéről szükség van egyfajta rugalmasságra a jog keretei között! A beavatkozási pontok egyébként is az állam rendelkezésére állnak! Ne feledjük, bizonyos értelemben úttörők vagyunk, a gyakorlatot EGYÜTT kell kialakítanunk!

Dr. Krasznay Csaba E-mail: krasznay.csaba@uni-nke.hu Web: www.krasznay.hu KÖSZÖNÖM A FIGYELMET!

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés