Az elektronikus információs rendszerek védelmére alkalmazható módszerek az Információbiztonsági törvény szemszögéből 2014. Május 1
Napjaink kiemelten fontos az információs társadalmát érő fenyegetések miatt, az Önkormányzatok vagyonát képező elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, rendszerelemek biztonsága, melyet védelmük érdekében tett intézkedések útján tehetünk meg. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, egyenszilárdságú szakmai elvek és tevékenység megteremtése az információbiztonság területén, nemzeti szinten a megelőzés, a tájékoztatás, az irányítás, a felügyelet, továbbá hanyatlóban van az incidens kezelése és az ország nemzetközi képviselete.
Jelen helyzet Egyre több a megvédendő digitális érték. Nő a nemzeti digitális adatvagyon. Több helyen kell megadni személyes adatokat. Viszont: a jogosulatlan adatgyűjtés száma növekedő tendenciát mutat. Kiemelkedően nagy az információval/adatokkal való visszaélések veszélye.
Mit kell védeni? személyes adatokat a saját elektronikus információhordozó eszközökön, egy elektronikus információs rendszert hálózatot - (önkormányzati, hivatali): a fenntartható működésért, a kritikus infrastruktúrákat: a szolgáltatások folytonosságáért, a rendszerek integritásáért, az elektronikus közszolgáltatást (kormányzati gerinchálózat, ügyfélkapu): az információ hitelességéért, megbízhatóságáért, a felhasználók személyiségi jogait, jó hírnevét.
Mitől kell védeni? kártékony programoktól: malware, vírus, spam, rosszindulatú adatgyűjtéstől: adathalászat, money mule, célzott támadástól, nagykiterjedésű támadástól, jogsértő tartalmaktól, hozzájárulás nélkül hozzáférhetővé tett tartalmaktól.
Az elektronikus információs rendszerek Az elektronikus információs rendszerek által ellátandó cél tekintetében: Nyílt célú számítástechnikai rendszerek és hálózatok, helyhez kötött, mobil és egyéb rádiófrekvenciás, valamint műholdas elektronikus hírközlési hálózatok, szolgáltatások, rádiós vagy műholdas navigáció, automatizálási, vezérlési és ellenőrzési rendszerek (vezérlő és adatgyűjtő, távmérő, távérzékelő és telemetriai rendszerek), a fentiek felderítéséhez, lehallgatásához vagy zavarásához használható rendszerek.
Az elektronikus információs rendszerek Az elektronikus információs rendszerek által ellátandó cél tekintetében: Zárt célú Elektronikus Iktatást és Ügyiratkezelést Támogató rendszerek, Elektronikus Személyügyi Információs rendszerek, Elektronikus Adatkezelő rendszerek, Elektronikus Műveleti rendszerek, Elektronikus információ Biztonságot Támogató rendszerek, Elektronikus Hírközlő információs rendszerek. Létfontosságú információs rendszerelemek (kritikus infrastruktúra)
Az információbiztonsági törvény által előírt védelem Az elektronikus információs rendszer biztonsága zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem, teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem, folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem, kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével a bizalmasság, sértetlenség és rendelkezésre állás területén.
Az Európai Unió kiberbiztonsági stratégiája: Nyílt, megbízható és biztonságos kibertér Kiberbiztonsági feladatkör kezeli a bejövő riasztásokat, ellátja a biztonsági események elhárításának koordinálását, elvégzi a biztonsági események adatainak lehetőség szerinti, távolról történő, online vizsgálatát a biztonsági események mielőbbi észlelése, okozójának, forrásának azonosítása és a szükséges intézkedések megtételének érdekében, ezzel elősegítve mobilitását a Központnak, részt vesz az infokommunikációs biztonságra vonatkozó stratégiák és ágazati szabályozások előkészítésében, tájékoztatási célú, szemléletformáló kampányokat szervez, hírleveleket bocsát ki, kormányzati információtechnológiai, hálózatbiztonsági, és biztonsági eseménykezelési együttműködési fórumot működtethet, a kormányzati kiberbiztonsági tudatosság növelése érdekében tájékoztató, felkészítő tevékenységet végezhet, Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja.
A Kormányzati Eseménykezelő Központ - GovCERT Megelőzés, Szakmai iránymutatás, szakirányítás, Incidenskezelés, Nemzetközi kapcsolatok. Ezen túl technikai védelmi, megelőző, koordinációs, valamint szakmai támogató, tájékoztatási tevékenységet végez, a hálózatbiztonság fenntartásának és fokozásának elősegítéséért tesz intézkedéseket, ellátja a Nemzeti Távközlési Gerinchálózat vonatkozásában a biztonsági eseménykezelés feladatait, a sérülékenységről, fenyegetettségről, káros szoftverekről, biztonsági eseményekről rendszeresen jelentéseket készít, biztonsági eseménykezelési támogatást nyújt, koordinál a hazai és nemzetközi szervezetek felé a biztonsági eseményt kiváltó okok megszüntetése, illetve kezelése érdekében.
A sérülékenység észlelése, kezelése, és vizsgálata A tudomására jutott sérülékenységekről, eseményekről a hatóság, a Nemzeti Biztonsági Felügyelet, az Alkotmányvédelmi Hivatal, az általános rendőrségi feladatok ellátására létrehozott szerv, a Nemzeti Adó- és Vámhivatal kockázatértékelését követően értesíti a rendszer üzemeltetőjét. Terrorveszélyeztetett rendszerelem tekintetében a rendszer üzemeltetője csak a Terrorelhárítási Központ kockázatértékelését követően értesíthető. Ha a kockázatértékelés eredménye kritikus sérülékenységre utal, a rendszer üzemeltetőjének figyelmét haladéktalanul felhívja a sérülékenység elhárítására, megszüntetésére, javaslatot tesz az elhárítás, megszüntetés módjára. Hatóság
Biztonsági esemény bejelentése A biztonsági esemény bejelentését meg kell tenni, melyben rögzíteni kell az esemény leírását (mikor, mi történt) és csatolni kell a bizonyítékokat (mellékletként pl. esetleg az érkezett e-mailt), meg kell jelölni a kapcsolattartót elérhetőségével és kérni a kivizsgálását az eseménynek. A megerősítést kérő válasz e-mailre vissza kell küldeni egy megerősítést. ( üres levelet )
Biztonsági esemény bejelentése CERT-Hungary - Kormányzati Eseménykezelő Központ Székhely: 1063 Budapest Munkácsy Mihály u. 22. Postai elérhetőség: 1399 Budapest 62. Pf. 710/37. Tel.: 0036 (1) 336 4840 Fax.: 0036 (1) 269 1706 E-mail: ugyelet@govcert.hu Web: www.cert-hungary.hu Munkaidő: hétfő-csütörtök 07:00-16:00 péntek 07:00-13:30 Incidensbejelentés A Kormányzati Eseménykezelő Központ a nap 24 órájában fogad bejelentéseket, kizárólag informatikai biztonsági incidensekkel kapcsolatban Elérhetőségek: E-mail: cert@cert-hungary.hu Tel.: 0036 (1) 336 4833 Fax.: 0036 (1) 336 4886 Munkaidő: 0-24 óra
Az információbiztonsági törvény és végrehajtási normatívái adta lehetséges módszerek a elektronikus információs rendszerek védelemére 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről 36/2013. (VII. 17.) BM rendelet a zárt célú elektronikus információs rendszerek biztonságának felügyeletével és ellenőrzésével kapcsolatos ágazati szabályokról
77/2013. (XII. 19.) NFM rendelet állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolása adminisztratív védelmi intézkedések, a fizikai védelmi intézkedések, a logikai védelmi intézkedések
Az Önkormányzatok elektronikus információs rendszerei 1. Önkormányzati Elektronikus Postafiók Szolgáltatás A Belügyminisztérium célja egy olyan, az önkormányzatok részére ingyenes elektronikus levelezőrendszer megvalósítása, majd azt követő üzemeltetése, mely lehetővé teszi a gyors és hatékony elektronikus kommunikációt, annak érdekében, hogy a jövőben minden, az önkormányzatok számára fontos és hasznos információval szolgáló tájékoztatás, pályázati felhívás és egyéb dokumentum időben és biztosan eljuthasson részükre. A Belügyminisztérium kezdeményezésére, a Nemzeti Infokommunikációs Szolgáltató Zrt. bevonásával kialakításra került az Önkormányzati Elektronikus Postafiók Szolgáltatás ( a továbbiakban: ÖEPS) minden helyi önkormányzat számára.
Az Önkormányzatok elektronikus információs rendszerei 1. Önkormányzati Elektronikus Postafiók Szolgáltatás A postafiókok létrehozása a szakterületek közös álláspontja alapján tisztségekhez kötve történt, 4509 e-mail postafiók. jegyzői: 1312 db, főjegyzői: 1 db, polgármesteri: 3176 db, főpolgármesteri: 1 db, megyei közgyűlési elnöki: 19 db A Belügyminisztérium 2013. november végén postai levél formájában küldte meg a belépéshez szükséges felhasználó nevet és jelszót, illetve a szolgáltatási szerződés ajánlatot az önkormányzatok részére. A felhasználók a levelező rendszerbe történő első bejelentkezéskor a bejövő üzenetek között részletesebb tájékoztatót, Informatikai Biztonsági Szabályzatot és oktatási segédanyagot találtak.
Az Önkormányzatok elektronikus információs rendszerei II. A derogációval érintett ivóvízminőség-javító projekteket nyilvántartó és a projekt előrehaladást támogató szoftver az ÖFFK a rendszer elsődlegesen a BM szakértők és a Projektvezetők közötti együttműködést támogatja, a riportok értelmezését grafikus megjelenítéssel valósítja meg. ÖFFK-ban tárolt adatok egy részének megjelenítése, kereshetősége, feladatok kezelése, problémák kezelése, dokumentumok feltöltése projekthez, látogatások tervezése, látogatási jegyzőkönyvek generálása, keresés, jelentések készítése.
Info. törvény által előírt kötelezettségek Információbiztonsági Felelős kijelölése. Elektronikus információs rendszerek biztonsági osztályba sorolása. Informatikai biztonsági szabályzat készítése. Biztonsági szabályzatok létrehozatala. Az elektronikus információs rendszerek kockázatelemzésének elvégzése. Az elektronikus információs rendszerek kockázatkezelésére intézkedések megtétele. Felhasználók felelősségi köreinek megállapítása, kijelölése. Rendszeres képzése a felhasználóknak, biztonság tudatosságának növelése. A biztonsági események kezelése, eljárások kidolgozása a saját szervezeten belül.
Köszönöm a figyelmet Fehér Judit Ujj István Belügyminisztérium Informatikai Főosztály Tel.: 441-1789 e-mail: judit.feher@bm.gov.hu istvan.ujj@bm.gov.hu