Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba 1
Nemzetközi biztonsági trendek és hatásaik Kiberfenyegetések 56% azon szervezetek aránya, akik kibertámadás áldozatai voltak 2 Kiterjedt ellátási láncok Pénzügyi veszteség Reputációs veszteség Védelmi költségek Reaktív vs. proaktív 44%-ban harmadik felek felelősek az adatvesztésekért $8.6M átlagos veszteség az adatvesztések miatt 30%-os piaci kapitalizáció csökkenés biztonsági incidensek miatt 8%-át teszi ki a biztonság a teljes IT büdzsének 60%-ban költenek több pénzt a vállalatok reaktív védelmi intézkedésekre, mint proaktív kockázatkezelésre Source: Copyright HP internal 2013 Hewlett-Packard data, Forrester Development Research, Company, Ponemon L.P. Institute, The information Coleman contained Parkes herein Research is subject to change without notice. Kulcsmondatok A biztonság felsővezetői problémává vált A biztonsági irányításon sosem volt ekkora nyomás korábban A fenyegetéseket széles körben kell vizsgálni a megfelelő beszerzési döntések érdekében
Kiberfenyegetések 3
Kiberfenyegetések 4
Kiberfenyegetések 5
Kiberfenyegetések 6
Kiberfenyegetések Kiberbűnözés 7
Trendek a világban Felismerés Kapkodás Ad hoc védelem Jogi szabályozás Képességfejlesztés Szervezett védelem 8
Jogi szabályozás jelenleg A személyes adatok védelméért 2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról Az ország védelméért 1035/2012. (II. 21.) Korm. Határozat Magyarország Nemzeti Biztonsági Stratégiájáról A katonai felkészültségért 1656/2012. (XII. 20.) Korm. Határozat Magyarország Nemzeti Katonai stratégiájának elfogadásáról A titkosszolgálati felkészültségért 1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról 9
Jogi szabályozás ezután A szervezett kibervédelemért 1139/2013. (III. 21.) Korm. határozat. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról Az állami szervek és a KII védelemért 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról Az EU védelméért Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union 10
Az információbiztonsági törvény Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások Szabályozatlan KII pl. KI tv. kibervédelem nélkül Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem Jogalanyok széles körben Szervezeti biztonsági szint Információbiztonsági felügyelő Alapvető biztonsági elvárások Biztonsági vezető és felelős Kormányzati koordináció Biztonsági osztályba sorolás Szervezetek feldatai (Hatóság, NBF, CERT) Oktatás-kutatásfejlesztés Tervezhető védelmi felkészülés Ellenőrzési és azonnali beavatkozási lehetőség Számonkérhetőség Kibervédelmi szabályozás alapja Infobiztonsági kultúra elterjedése Szabályozási indokok Várható eredmények 11
A szervezetekre vonatkozó elvárások Felelősségek Szervezet vezetője Biztonsági felelős Megfelelőség biztosítása Az IBIR operatív irányítása Biztonsági felelős kinevezése Az információbiztonságot érintő szerződések véleményezése Biztonsági szabályozás kiadása Kapcsolattartás a Hatósággal és a CERT-tel Oktatás, tudatosság Szolgáltatók ellenőrzése IBIR irányítása Erőforrások a biztonsági események kezeléséhez Biztonság, mint szerződéses kötelem Értesítés a biztonsági eseményekről 12
A szervezetekre vonatkozó jövőbeni elvárások Végrehajtási rendeletek 301/2013. (VII. 29.) Korm. Rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról A szervezetek ellenőrzésének szabályai A sérülékenység-vizsgálat elvégzésének szabályai az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr. Konkrét műszaki követelmények 13
A szervezetekre vonatkozó jövőbeni elvárások Végrehajtási rendeletek A hatóság által kiszabható bírság mértéke, a bírság kiszabásának és befizetésének részletes eljárási szabályait meghatározó vhr. A bírságolás szabályai nem állami szerveknél 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről Incidenskezelés a létfontosságú rendszerelemeknél A szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjét tartalmazó vhr. Az incidensek jelentésének részletei 14
Mit jelent a piac számára szabályozás iránya? Egyértelmű elvárások mindenkitől Kiberbiztonságra allokált, tervezhető források Szigorú szakmai számonkérés Biztonságosabb ország, minőségibb IT ipar Biztonságtudatos, versenyképesebb szállítók 15
Ahol a HP segíteni tud! Belső blokkok felszámolása Külső megfelelőségi követelmények teljesítése Átlátható, elszámoltatható IT Biztonság a dobozból - segítséggel Mellékesen: kockázatcsökkentés 16
A HP válasza a jogszabályra A biztonság minden tevékenységünkben jelen van. Biztonsági konzultáció Menedzselt biztonsági szolgáltatások Biztonsági technológiák HP oktatás 17
A védelem három megközelítése Erősítsük meg a támadási felületeket! Fedezzük fel mielőbb a támadás jeleit! Proaktívan védjük az információt! 18
HP Biztonsági Intelligencia Megoldások Biztonsági technológiák 19 Elsődleges HP biztonsági termékek és biztonságtámogatás a HP egyéb megoldásaitól Átfogó platform a fenyegetések és kockázatok monitorozására HP TippingPoint A meglévő és a fejlesztés alatt levő alkalmazások jelentette kockázatok csökkentése HP Fortify Hálózatbiztonsági megoldások teljes halmaza a modern fenyegetések kezelésére
Az információbiztonság teljes skálája Biztonságmonitorozás és menedzsment Irányítás, kockázat és megfelelőség menedzsment Biztonsági intelligencia és elemzés Hálózatbiztonság Biztonsági események kezelése Integrált üzemeltetés Adatkezelés Cloud biztonsági megoldások 20
HP Biztonsági kutatások SANS, CERT, NIST, OSVDB, szoftver és más gyártók 2.600 kutató 2000+ adatmegosztó ügyfél 7000+ menedzselt hálózat globálisa Ecosystem partner Vezető biztonsági kutatások Folyamatosan több feltárt sebezhetőség, mint a piac többi szereplőjétől származó bejelentés összesen Érzékelhető felkészültség a potenciális fenyegetésekkel szemben HP Global Research Több csapat együttműködő munkája: DV Labs, ArcSight, Fortify, HP Labs, Application Security Center Hálózati és biztonsági adatok gyűjtése a világ minden tájáról FSRG ESS 21
Hogyan tovább? Biztonsággal kapcsolatos kérdés merül fel? Beszélgessünk! 22
Köszönöm a figyelmet! E-mail: csaba.krasznay@hp.com Web: www.hp.hu