Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Hasonló dokumentumok
NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Jogalkotási előzmények

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Muha Lajos. Az információbiztonsági törvény értelmezése

2013. évi L. törvény ismertetése. Péter Szabolcs

Nemzetközi jogszabályi háttér I.

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Fókuszban az információbiztonság

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Informatikai biztonsági ellenőrzés

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Az ISO es tanúsításunk tapasztalatai

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

2013 L. - tapasztalatok Antidotum 2015

Dr. Muha Lajos. Az L. törvény és következményei

Borsod-Abaúj-Zemplén Megyei Kormányhivatal. Nyomtatás és nyomatkezelési eljárásrend

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

Információbiztonság irányítása

IT biztonsági törvény hatása

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a évi L. tv. alapján

SZENTLOŐ RINCI KOÖ ZOÖ S OÖ NKORMAÁ NYZATI HIVATAL INFORMATIKAI BIZTONSAÁ GI SZABAÁ LYZAT

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Az NKI bemutatása EGY KIS TÖRTÉNELEM

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Bevezetés az Informatikai biztonsághoz

TÉTI KÖZÖS ÖNKORMÁNYZATI HIVATAL INFORMATIKAI BIZTONSÁGI SZABÁLYZAT TÉTI KÖZÖS ÖNKORMÁNYZATI HIVATAL 2018/... SZÁMÚ JEGYZŐI UTASÍTÁS. Érvényes:...

HIVATALOS ÉRTESÍTÕ. 44. szám. A M A G Y A R K Ö Z L Ö N Y M E L L É K L E T E augusztus 11., csütörtök. Tartalomjegyzék. I.

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

Informatikai Biztonsági szabályzata

Szabványok, ajánlások

Tudatos kockázatmenedzsment vs. megfelelés

Vép Város Jegyzőjének 1/2018. (IV.26.) jegyzői utasítása. Vépi Közös Önkormányzati Hivatal Informatikai Biztonsági Szabályzata

7.1 A szervezetek nyilvántartásba vétele Biztonsági események bejelentése, kezelése A hatóság egyes további feladatai

Informatikai biztonsági elvárások

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

Technológia az adatszivárgás ellen

Informatikai Biztonsági Szabályzata

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Műszaki dokumentáció Másolatkészítés műszaki feltételei

Magyar joganyagok - 41/2015. (VII. 15.) BM rendelet - az állami és önkormányzati sz 2. oldal (5) Ha az elektronikus információs rendszert több szervez

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 1

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Költség-haszon elemzési ajánlások a közigazgatásnak. dr. Antal Tímea - Sántha Zsófia március 05.

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

EMLÉKEZTETŐ. 1. Májusi rendezvény értékelése

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

PARADIGMAVÁLTÁS AZ ÖNKORMÁNYZATI INFORMATIKÁBAN (ASP, Információbiztonság, e-közigazgatás, GDPR) Vékás Sándor, ügyvezető

ALSÓZSOLCA VÁROS JEGYZŐJÉTŐL Alsózsolca, Kossuth L. út 138. Tel.: 46/ ; Fax: 46/

BUDAPESTI RENDŐR-FŐKAPITÁNYSÁG XVIII. KERÜLETI RENDŐRKAPITÁNYSÁG

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

A Baranya Megyei Önkormányzat Éves ellenőrzési terv

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

2013. évi L. törvény. az állami és önkormányzati szervek elektronikus információbiztonságáról 1

AJÁNLATA. Taksonyi Polgármesteri Hivatal részére. Informatikai Biztonsági Feladatok elvégzésére

Az informatikai biztonsági kockázatok elemzése

Üzletmenet folytonosság menedzsment [BCM]

Répcelaki Közös Önkormányzati Hivatal Informatikai Biztonsági Szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

TÁJÉKOZTATÓ SZEPTEMBER 15. ELŐADÓ: DR. SZEPESI GÁBOR OPERATÍV PROJEKTVEZETŐ

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

A kormányzati IT biztonság aktualitásai

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

Kakucsi Polgármesteri Hivatal Informatikai Biztonsági Szabályzata

Mágocsi Közös Önkormányzati Hivatal Informatikai Biztonsági Szabályzata TERVEZET

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

A nemzeti fejlesztési miniszter. 77/2013. (XII. 19.) NFM rendelete

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

Gara Péter, senior technikai tanácsadó. Identity Management rendszerek

IT biztonság és szerepe az információbiztonság területén

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Wigner Jenő Műszaki, Informatikai Középiskola és Kollégium _/_/ Gépgyártástechnológiai technikus szakképesítés. Vizsga.

E L Ő T E R J E S Z T É S a évi belső ellenőrzési tervről

TANÚSÍTÁSI JELENTÉS SIEMENS SZÁMLA ARCHIVÁLÓ RENDSZER HUNG-TJ-DA

Magyar Szabad Szoftver Tárház. Erdei Csaba Mátó Péter

Lotus Notes rendszer alkalmazása egy nagyipari vállalatnál. (BorsodChem Rt.) Viszlai Balázs Szoftvermérnök

Csanytelek Község Önkormányzat évi Ellenőrzési Programja

2699 OKTATÁSI ÉS KULTURÁLIS KÖZLÖNY évi 9. szám

Kormányhivatalok. Informatikai Biztonsági Irányítási Rendszere

Tájékoztató az LRL IBEK feladatrendszeréről

A Bankok Bázel II megfelelésének informatikai validációja

Németh Ágota informatikai főosztályvezető Baranya Megyei Kormányhivatal 20/ , 72/

SEGESDI KÖZÖS ÖNKORMÁNYZATI HIVATAL

Átírás:

Biztonsági osztályba és szintbe sorolás, IBF feladatköre Angyal Adrián vezető szakértő

2013. évi L. törvény: az állami és önkormányzati szervek elektronikus információbiztonságáról IBTv. vagy 50-es törvény Törvény & végrehajtási rendeletek együttese adja a konkrét intézkedéseket

Informatikai biztonság bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról; sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ; rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek; (egyéb fogalmak, pl.: hitelesség)

Mit kell tennünk nagy vonalakban? 1. Adatszolgáltatási kötelezettségeknek eleget kell tenni. Határidő pl.: az IBSz beküldés határideje már lejárt indoklás vagy dokumentum beküldése alapvető fontosságú. 2. Gyakorlati megvalósítás indítása

Gyakorlati megvalósítás alap eleme: biztonsági osztályokba sorolás, eszköz vagy cél? - Mit tudunk besorolni? - Adatot vagy információs rendszert. - A besorolással mit szeretnénk elérni a gyakorlatban? - Kockázatarányos védelmet: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével; Végső soron pedig: - technológiai biztonság - ITB tudatosság fokozása - gyenge pontok felszámolása - globális hatás kibertér védelme

Kockázatelemzés fázisai a rendelet szerint Kockázatelemzés: Kockázatelemzési eljárásrend* Biztonsági osztályba sorolás* Kockázatelemzés* (konkrét eljárás végrehajtása) Sérülékenységi teszt Frissítési képesség (vizsgálatai eszköz képessége) Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően (sérülékenységek körét) Privilegizált hozzáférés (rendszer elérés, a teszt végrehajtáshoz) Felfedhető információk (támadó mit lát) * - kötelező elem, valamennyi biztonsági szinten

Módszertan besorolásra, elemzésre Módszertan: az adott szervezet saját módszertana, melyet a szervezet készít el és vezetője hagy jóvá! Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a B\S\R követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti Az elektronikus információs rendszerek biztonsági osztályba sorolását kockázatelemzés alapján kell elvégezni: { Relációs kapcsolat }: kárhatás (x) becsült valószínűség = kockázati érték

Kockázatelemzésben alkalmazott kárhatás alapjai Információs rendszer értéke = könyv szerinti érték + adat értéke (+ járulékos költségeink, pl.: üzembe helyezés, üzemeltetés) adat értékét akkor látjuk igazán, ha a biztonság (B/S/R) sérül: - idegen kézbe kerül (a Facebook hozzáférésünk) - adat sérül (adóbevallás: 1 millióból 10 millió lesz) - adatvesztés (nyilvántartás újraépítése irattárból) Veszteséget mérhetjük például pénzben, működésben, jogi hatásban, hírnév vesztésben (társadalmi és politikai hatás, személyeket érintő károk)

Elkészült a biztonsági osztályba sorolás Megadjuk a szervezet biztonsági szintjét (a rendszerek legmagasabb biztonsági osztályával azonos szintű besorolás) Eredményeket rögzítenünk kell az informatikai biztonsági szabályzatba A kockázatelemzés fogja indokolni az intézkedések, beruházások sorrendjét Továbbá, a kockázatelemzés adhat indokot arra, hogy eltérjünk a biztonsági osztályba sorolás eredményétől ( +/- irányba) Folyamatos figyelem és frissítés (élővé kell tenni a rendszert)

Megközelítés módszertan, szabványok IT biztonsággal foglalkozó főbb szabványok: MSZ/ISO27001:2006*, COBIT, PCI DSS, ITB ajánlások, korábbi jogszabályok Ki mit ismer, a lista egyre bővül. Főleg, ha beleveszünk egyéb kapcsolódó szabványokat is (ISO2700x, ISO20000). Ötletet adnak, jó gyakorlatot azonban az IBTv. esetében a megvalósítás számít: Adminisztratív védelmi intézkedések (IBP, IBS, IBSz, Nyilvántartás, kockázatelemzés) Fizikai védelmi intézkedések Logikai védelmi intézkedések * - ISO/IEC 27001:2013

Eddigi tapasztalatok Egyre többek számára ismert a maga a törvény a végrehajtási rendeletek kevésbé; Tevékenység szükséges; Állami és piaci szervezetek is felismerték, hogy előnyökkel jár az elsők közt lenni ; Sok szervezet csúszik a határidőkkel Vita folyik arról, hogy hatályos-e a törvény Költségvetésben nem tudták az idei évre betervezni

Előrelépés Mit tudunk tenni??? Alakítsunk ki gyorsan egy IBSz-t? Módszertant? Jelöljünk ki egy felelőst? Vizsgáljuk meg a helyzetünket - Alakítsuk ki azt, amit különösebb erőfeszítés nélkül tudunk. - Tervezzünk előre! (határidők, ismerjük meg magát a törvényt) - Felkészülés módjai, lehetőségei ( saját magunk, külső szakértő) - Az elektronikus információs rendszerek nyilvántartása ( szolgáltatáskatalógus ) - Írjuk meg a levelet a NEIH-nek, arról, hogy mik a vállalásaink (realitás fontos)

Továbblépés konkrét lépések 2/1 Tervezés be tudjuk lőni az irányokat Belső erőforrásból megoldható maga a besorolás, elemzés? (i/n) Ki tudunk jelölni egy felelős személyt szervezeten belül? (i/n) Külső szakértőt kell igénybe vennünk? Projektszerűen? Vagy hosszabb távon, keretszerződést kötünk? Mennyire összetett az IT rendszer? - kicsik vagyunk (szinte elég a kockásfüzet) - Átlagos mennyiségű IT szolgáltatásunk van (honnan lehet ezt tudni?) sorvezető van - átlagostól jelentősen eltérő elektronikus információs rendszer

Továbblépés konkrét lépések 2/2 301/2013. (VII. 29.) Korm. Rendelet átlagostól jelentősen eltérő (sorvezető: 20 külső IP, >10 webservice, 500+ munkaállomás, ) Több éves tapasztalat építkezni az alapoktól? Támogató szoftverek és megoldások. Javaslat: teljes körű megoldásokat, vagy könnyen integrálható megoldásokat keressünk. Tipizált megoldások működhetnek, de csak jól körülhatárolt esetekben!

Informatikai biztonsági felelős (IBF) Az informatikai biztonságért a Szervezet vagy Intézmény vezetője a felelős! IBF teljes embert és megfelelő fellépést, gyakorlatot kíván: A szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért elvégzi vagy irányítja tevékenységek tervezését, szervezését, koordinálását és ellenőrzését kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal

Fizikai és logikai megvalósítás Számos megoldás létezik! Drága olcsó Összetett egyszerűsített (szinte már kényelmes) Szinte nem is az a kérdés, hogy mit hanem, HOGYAN KOCKÁZATARÁNYOSAN

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés