Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő
2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény Törvény & végrehajtási rendeletek együttese adja a konkrét intézkedéseket
Informatikai biztonság bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról; sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ; rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek; (egyéb fogalmak, pl.: hitelesség)
Mit kell tennünk nagy vonalakban? 1. Adatszolgáltatási kötelezettségeknek eleget kell tenni. Határidő pl.: az IBSz beküldés határideje már lejárt indoklás vagy dokumentum beküldése alapvető fontosságú. 2. Gyakorlati megvalósítás indítása
Gyakorlati megvalósítás alap eleme: biztonsági osztályokba sorolás, eszköz vagy cél? - Mit tudunk besorolni? - Adatot vagy információs rendszert. - A besorolással mit szeretnénk elérni a gyakorlatban? - Kockázatarányos védelmet: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével; Végső soron pedig: - technológiai biztonság - ITB tudatosság fokozása - gyenge pontok felszámolása - globális hatás kibertér védelme
Kockázatelemzés fázisai a rendelet szerint Kockázatelemzés: Kockázatelemzési eljárásrend* Biztonsági osztályba sorolás* Kockázatelemzés* (konkrét eljárás végrehajtása) Sérülékenységi teszt Frissítési képesség (vizsgálatai eszköz képessége) Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően (sérülékenységek körét) Privilegizált hozzáférés (rendszer elérés, a teszt végrehajtáshoz) Felfedhető információk (támadó mit lát) * - kötelező elem, valamennyi biztonsági szinten
Módszertan besorolásra, elemzésre Módszertan: az adott szervezet saját módszertana, melyet a szervezet készít el és vezetője hagy jóvá! Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a B\S\R követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti Az elektronikus információs rendszerek biztonsági osztályba sorolását kockázatelemzés alapján kell elvégezni: { Relációs kapcsolat }: kárhatás (x) becsült valószínűség = kockázati érték
Kockázatelemzésben alkalmazott kárhatás alapjai Információs rendszer értéke = könyv szerinti érték + adat értéke (+ járulékos költségeink, pl.: üzembe helyezés, üzemeltetés) adat értékét akkor látjuk igazán, ha a biztonság (B/S/R) sérül: - idegen kézbe kerül (a Facebook hozzáférésünk) - adat sérül (adóbevallás: 1 millióból 10 millió lesz) - adatvesztés (nyilvántartás újraépítése irattárból) Veszteséget mérhetjük például pénzben, működésben, jogi hatásban, hírnév vesztésben (társadalmi és politikai hatás, személyeket érintő károk)
Elkészült a biztonsági osztályba sorolás Megadjuk a szervezet biztonsági szintjét (a rendszerek legmagasabb biztonsági osztályával azonos szintű besorolás) Eredményeket rögzítenünk kell az informatikai biztonsági szabályzatba A kockázatelemzés fogja indokolni az intézkedések, beruházások sorrendjét Továbbá, a kockázatelemzés adhat indokot arra, hogy eltérjünk a biztonsági osztályba sorolás eredményétől ( +/- irányba) Folyamatos figyelem és frissítés (élővé kell tenni a rendszert)
Megközelítés módszertan, szabványok IT biztonsággal foglalkozó főbb szabványok: MSZ/ISO27001:2006*, COBIT, PCI DSS, ITB ajánlások, korábbi jogszabályok Ki mit ismer, a lista egyre bővül. Főleg, ha beleveszünk egyéb kapcsolódó szabványokat is (ISO2700x, ISO20000). Ötletet adnak, jó gyakorlatot azonban az IBTv. esetében a megvalósítás számít: Adminisztratív védelmi intézkedések (IBP, IBS, IBSz, Nyilvántartás, kockázatelemzés) Fizikai védelmi intézkedések Logikai védelmi intézkedések * - ISO/IEC 27001:2013
Eddigi tapasztalatok Egyre többek számára ismert a maga a törvény a végrehajtási rendeletek kevésbé; Tevékenység szükséges; Állami és piaci szervezetek is felismerték, hogy előnyökkel jár az elsők közt lenni ; Sok szervezet csúszik a határidőkkel Vita folyik arról, hogy hatályos-e a törvény Költségvetésben nem tudták az idei évre betervezni
Előrelépés Mit tudunk tenni??? Alakítsunk ki gyorsan egy IBSz-t? Módszertant? Jelöljünk ki egy felelőst? Vizsgáljuk meg a helyzetünket - Alakítsuk ki azt, amit különösebb erőfeszítés nélkül tudunk. - Tervezzünk előre! (határidők, ismerjük meg magát a törvényt) - Felkészülés módjai, lehetőségei ( saját magunk, külső szakértő) - Az elektronikus információs rendszerek nyilvántartása ( szolgáltatáskatalógus ) - Írjuk meg a levelet a NEIH-nek, arról, hogy mik a vállalásaink (realitás fontos)
Továbblépés konkrét lépések 2/1 Tervezés be tudjuk lőni az irányokat Belső erőforrásból megoldható maga a besorolás, elemzés? (i/n) Ki tudunk jelölni egy felelős személyt szervezeten belül? (i/n) Külső szakértőt kell igénybe vennünk? Projektszerűen? Vagy hosszabb távon, keretszerződést kötünk? Mennyire összetett az IT rendszer? - kicsik vagyunk (szinte elég a kockásfüzet) - Átlagos mennyiségű IT szolgáltatásunk van (honnan lehet ezt tudni?) sorvezető van - átlagostól jelentősen eltérő elektronikus információs rendszer
Továbblépés konkrét lépések 2/2 301/2013. (VII. 29.) Korm. Rendelet átlagostól jelentősen eltérő (sorvezető: 20 külső IP, >10 webservice, 500+ munkaállomás, ) Több éves tapasztalat építkezni az alapoktól? Támogató szoftverek és megoldások. Javaslat: teljes körű megoldásokat, vagy könnyen integrálható megoldásokat keressünk. Tipizált megoldások működhetnek, de csak jól körülhatárolt esetekben!
Informatikai biztonsági felelős (IBF) Az informatikai biztonságért a Szervezet vagy Intézmény vezetője a felelős! IBF teljes embert és megfelelő fellépést, gyakorlatot kíván: A szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért elvégzi vagy irányítja tevékenységek tervezését, szervezését, koordinálását és ellenőrzését kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal
Fizikai és logikai megvalósítás Számos megoldás létezik! Drága olcsó Összetett egyszerűsített (szinte már kényelmes) Szinte nem is az a kérdés, hogy mit hanem, HOGYAN KOCKÁZATARÁNYOSAN