MEGFELELŐSÉG: KALANDOZÁS A BIZTONSÁGI JOGSZABÁLYOK ÉS { SZABVÁNYOK ÚTVESZTŐJÉBEN Budapest 2016.05.11 Sipos Győző Sipos CISA, IT Győző Biztonsági CISA, tanácsadó IT Biztonsági tanácsadó Nádor Rendszerház Kft. Kft.
Tartalom Nem felesleges ez az egész? Jogszabályok és kötelezettségek Felelősségek, teendők, határidők Kockázatok és kezelésük Építsünk stabil infrastruktúrát! Betolakodók a határon. Tűzfalak és vírusvédelem. Az internet, mint a legfenyegetőbb veszélyforrás Ügymenet folytonosság Ellenőrzési esettanulmány
Mostanában, a sajtóban
Érdekes számok a biztonságról 63% Az adatlopások, támadások 63%-át a default, gyenge, vagy ellopott jelszavak tették lehetővé. 89 % A visszaélések 89%-ának pénzügyi vagy adatszerzési motívuma van 72% Az alkalmazottak közel háromnegyede tulajdonított már el adatot a munkahelyéről. 86% A biztonsági visszaélések 86 %-át nem veszi észre az érintett szervezet, hanem harmadik fél figyelmezteti rá. 96% Az esetek 96 százalékában megfelelő kontrollok alkalmazásával egyszerűen megelőzhető lett volna a visszaélés.
Jogszabályok, szabványok és kötelezettségek
Legfontosabb vonatkozó jogszabályok 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról [a továbbiakban: Ibtv.] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról [Infotv. ] 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről Egyéb törvények is szabályozzák az adatokkal kapcsolatos tevékenységeket, van törvényünk a közokiratokról, közlevéltárakról, a közadatok újrahasznosításáról, a minősített adatok védelméről, személyi adatok és lakcímek nyilvántartásáról is.
Jogszabályok és szabványok Az állami és önkormányzati szervek elektronikus információ-biztonságáról szóló 2013. évi L. törvény (röviden: Ibtv. Ezt tekintjük irányadónak). a végrehajtásról és a követelményekről szól a 41/2015. (VII. 15.) BM rendelet 535/2013 (XII. 30.) Korm. rendelet a pénzügyi intézmények, a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről MNB 1/2015. számú ajánlása az informatikai rendszer védelméről MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonságirányítási rendszerek. Követelmények.
Az információ biztonság irányítás szabványai
Az információbiztonság a közigazgatási gyakorlatban A hazai jogszabályok és kormányzati ajánlások háttere az ISO 27001 szabvány. Előzmények: KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása, Magyar Informatikai Biztonsági Keretrendszer (MIBIK) Informatikai Biztonsági Irányítási Rendszer (IBIR) Az Informatikai Biztonság Irányításának Vizsgálata (IBIV) Az állami információbiztonsági ajánlások, jogszabályok a ISO 27001 követelményszabványra épülnek.
2013. évi L. törvény Az állami és önkormányzati szervek elektronikus információ-biztonságáról (hatályos 2013.07.02-től) A jogszabály rövidített megnevezése az Ibtv. vagy Információbiztonsági törvény. Célja a nemzeti elektronikus adatvagyon védelme. Hatálya egyebek mellett kiterjed a 2. k) pontja szerint: a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra
A CIA mint a biztonság alapelve Nem az amerikai titkosszolgálatról van szó, csak az érdekesség kedvéért írjuk le az információbiztonság három alapkövetelményének az angol megnevezését: Confidentality bizalmasság Integrity sértetlenség Availability rendelkezésre állás Bizalmasság: az adatot, információt csak az arra jogosultak és csak a jogosultságuk mértéke szerint ismerhetik meg, használhatják fel. Sértetlenség: az adat tartalma és tulajdonságai az elvárttal megegyeznek, az elvárt forrásból származnak (hitelesség), s nem kerültek megváltoztatásra. Rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.
Felelősség az adatokért 6. A szervezeteknek az elektronikus információs rendszereik védelmét biztosító kötelezettségei 11. (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: a) biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály tekintetében a jogszabályban meghatározott követelmények teljesülését, b) biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban meghatározott követelmények teljesülését A fontosabbak: felelősök kijelölése, szabályozások, oktatás, kockázatelemzések, audit, tájékoztatás
Szervezeti szint besorolás, rendszerek osztályba sorolása Az Ibtv. előírja az elektronikus információs rendszerrel rendelkező szervezet biztonsági szintbe sorolását: az 1-től 5-ig terjedő skálán (A magasabb szám szigorúbb követelményeket jelent). A törvény hatálya alá tartozó elektronikus információs rendszereket biztonsági osztályba kell sorolni, a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából. (A biztonsági osztályba sorolás szintén ötfokozatú skálán történik. A bizalmasság, sértetlenség, rendelkezésre állás fogalmait később ismertetjük) A besorolások az információt, illetve a szervezetet fenyegető kockázatok felmérése alapján történnek, s ennek alapján kell védelmi intézkedéseket megvalósítani. Végrehajtásra vonatkozó jogszabály: 41/2015. (VII.15.) BM rendelet
Korábban előírt határidős feladatok Bejelentések a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) felé Előírt biztonsági szint és osztály megállapítása Audit a valós biztonsági állapot meghatározásához Cselekvési terv Elektronikus rendszer biztonságáért felelős személy megbízása 2016. július 1-re valamennyi, az Ibtv. hatálya alá eső szervezetnek el kell érnie az 1-es biztonsági szintet, illetve rendszereinek az 1-es biztonsági osztályt.
Szervezeti biztonsági szint, osztályok A Hivatalok minimális biztonsági szintje, a 2015. VII. 15. előtt érvényes szabályozás szerint: 2-es biztonsági szint. A jogszabály időközben megváltozott, de azoknak a szervezeteknek, amelyek határidőre elvégezték a szintbe sorolást, legközelebb három év múlva esedékes a biztonsági szint felülvizsgálata. Szigorodó előírások a szintbe sorolás terén!
Felügyelet és szankciók 187/2015. (VII. 13.) Korm. Rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról Új feladatfelosztás a kormányzati szervek között: A Kormány Nemzeti Elektronikus Információbiztonsági Hatóságként a Nemzetbiztonsági Szakszolgálatot jelöli ki. Az érintett szervezet kötelezettségszegése esetén a miniszter információbiztonsági felügyelőt rendel ki az adott szerv elektronikus információbiztonsági tevékenységének felügyeletére.
Megváltozott követelmények, segédtáblák A 41/2015 BM rendelet főbb változásai a 77/2013 NFM rendelethez képest: Változott a szervezeti szint megállapítására vonatkozó melléklet a besorolás meghatározása egzaktabb lett viszont a követelmények szigorúbbak lettek, az önkormányzati hivatalok szintje a 4-es lett Az osztályba sorolások néhány követelménye változott egyszerűbb és átláthatóbb lett a rendszerek osztályba sorolási kockázati értékelő lapja az internet használati szabályok meghatározása az 1-es osztályban is kötelező
Letölthető segédletek a szintbe és osztályba soroláshoz A NEIH honlapjáról letölthetők a segédletek a szintbe és osztályba soroláshoz: [NEIH-SZVI] Szintbe sorolás és védelmi intézkedés űrlap (v1.00, MS Office) [NEIH-OVI] Osztályba sorolás és védelmi intézkedés űrlap (v4.31, MS Office) Kitöltési útmutató a NEIH-OVI űrlap 4.30-as változatához
Kockázatok és kezelésük
Fenyegetettség és kockázat Az adatok fenyegetettsége: bármilyen behatás, mely megsérti a rendszer védettségét, biztonságát! A fenyegetések bekövetkezési gyakoriságától (bekövetkezési valószínűségétől) és az okozott kár nagyságától függ a rendszer kockázata. Az Ibtv. a kockázattal arányos védelmet ír elő, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével. Fenyegetettség lehet például: természeti csapás, árvíz, felhőszakadás, tűz támogató infrastruktúra, elektromos ellátás telekommunikáció, vízellátás sérülése védelmi rendszerek, riasztók meghibásodása hacker támadás, vírusok személyzet gondatlansága stb.
MSZ ISO/IEC 27001:2014 a kockázatról 0. Bevezetés 0.1 Általános tájékoztatás Az információbiztonság-irányítási rendszer egy kockázatkezelési-folyamat segítségével őrzi meg az információk bizalmasságát, sértetlenségét és rendelkezésre állását. 41/2015. BM rendelet: Kockázatelemzési és kockázatkezelési eljárásrend Az érintett szervezet megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a kockázatelemzési és kockázatkezelési eljárásrendet
Építsünk stabil infrastruktúrát!
És gondoskodjunk a fizikai biztonságról!
Az internet mint a legfenyegetőbb veszélyforrás
Internet sok veszély forrása Az Internet kapcsolat a hivatali működés érdekében lett létrehozva. Az Internet helytelen használata lehetővé teszi egyes támadások, vírusok aktiválódását, betörését a Hivatal hálózatába. Az 1-es osztály teljesítéséhez is kell: Viselkedési szabályok az interneten Az érintett szervezet: tiltja és számon kéri a szervezettel kapcsolatos információk nyilvános internetes oldalakon való illegális közzétételét; tiltja a belső szabályzatában meghatározott, interneten megvalósuló tevékenységet (pl.: chat, fájlcsere, nem szakmai letöltések, tiltott oldalak, nem kívánt levelezőlisták, stb.); tilthatja a közösségi oldalak használatát, magánpostafiók elérését, és más, a szervezettől idegen tevékenységet.
Internethasználat védelmi eszközök A belső hálózat védelme érdekében a Hivatal több védelmi eszközt alkalmaz, részben az informatikai hálózat külső határán, részben a belső adatforgalomra. A munkatársaknak tudniuk kell, hogy A Hivatal az adatbiztonság érdekében korlátozhatja és monitorozza az Internet és e-mail forgalmat. TŰZFALAK! Az informatikai terület feladata az elektronikus adatforgalom rendszeres figyelése és a forgalom naplózása, a szabályok megszegése esetén a munkahelyi vezetők értesítése. NAPLÓZAS, LOGELEMZÉS!
A legfőbb érték az ember de a támadások jelentős része megelőzhető a biztonságtudatos felhasználói hozzáállással! Jogszabályi előírás a felhasználók biztonságtudatossági képzése! Rendszeresen, évente Tantermi oktatás vagy e-learning
Kémprogram, trójai, vírus, féreg Megváltozott a vírusok viselkedése! A kockázat a korábbiak sokszorosára növekedett! Védelmi eszközöket kell telepíteni A felhasználók nélkül nem lesz hatékony a védelem! Csak a legkorszerűbb vírusvédelemmel lehet felvenni a harcot a külső támadásokkal szemben!
Naplózás hamarosan ez is kötelező 3.3.12. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG Naplóbejegyzések tartalma Az elektronikus információs rendszer a naplóbejegyzésekben gyűjtsön be elegendő információt ahhoz, hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi volt ezen események kimenetele.
DRP megoldások
Üzletmenet (ügymenet) folytonosság BCP/DRP BCP: Business Continuity Management üzletmenet (ügymenet) folytonossági menedzsment DRP: Disaster Recovery Plan katasztrófa (utáni) helyreállítási terv
ÜZLET (a Hivatal): IT szolgáltatás megrendelője Elvárások: A szolgáltatás legyen ELÉRHETŐ! Az IT szolgáltatása Ha mindig biztosan elérhető Ha nem elérhető drága (üzleti) veszteség
4. melléklet a 41/2015. (VII. 15.) BM rendelethez 3. VÉDELMI INTÉZKEDÉS KATALÓGUS 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK 3.1.4.1. Üzletmenet folytonosságra vonatkozó eljárásrend 3.1.4.2. Üzletmenet folytonossági terv informatikai erőforrás kiesésekre 3.1.4.3. A folyamatos működésre felkészítő képzés 3.1.4.4. Az üzletmenet folytonossági terv tesztelése 3.1.4.5. Biztonsági tárolási helyszín 3.1.4.6. Tartalék feldolgozási helyszín 3.1.4.7. Infokommunikációs szolgáltatások 3.1.4.8. Az elektronikus információs rendszer mentései 3.1.4.9. Az elektronikus információs rendszer helyreállítása és újraindítása
Üzemzavar kezelés folyamata Incidens Az RTO értékeket úgy kell megtervezni, hogy a helyreállítás a sebezhetőségi ablakon belül (az üzleti oldal által még tolerálható kiesési időtartam) megtörténjen! Normál működés Működés kiesés Sebezhetőségi ablak Normál működés RTO1 RTO2 Felkészülési idő Szerver visszaállítás Adatok visszaállítása
ebéd után: Önkormányzati percek Esettanulmány: egy Számvevőszéki ellenőrzés és tanulságai A NEIH ellenőrzési gyakorlata A bevezetés eddigi tapasztalatai és a résztvevők meglátásai
KÉRDÉSE VAN? TEGYE FEL!
A 2-es osztályhoz nem kell ugyan az összes pontot teljesíteni de a gyakorlat azt mutatja, hogy a kötelezettségek szélesebb körűek is lehetnek. Nem csak a NEIH ellenőrizhet!
Egy számvevőszéki ellenőrzés tanulságai 3/1. Állami Számvevőszék (ÁSZ) vizsgálat egy önkormányzatnál (megtörtént eset) Az audit a nem-megfelelőségeket állapított meg a pénzügyi rendszert illetően. A kifogások: a hivatal nem ellenőrzi kellőképpen a szállítót nincsenek szerződésben rögzítve a felelősségek a fejlesztők bármikor beléphetnek a hivatal pénzügyi rendszerébe, a hivatal nem tudja követni a tevékenységet, nincsen dokumentált változáskövetés és jóváhagyás
Egy számvevőszéki ellenőrzés tanulságai 3/2. A feladat látszólag megoldhatatlan: A fejlesztő nem képes/nem akarja a támogatást másképp ellátni A távoli elérési csatorna a hivatali munkatársak számára nem ellenőrizhető technikailag Nincsen kellő szakmai felkészültség a fejlesztő tevékenységének realtime ellenőrzésére Nem kontrollálható az adatok esetleges szervezeten kívülre jutása
Egy számvevőszéki ellenőrzés tanulságai 3/3. A feladat látszólag megoldhatatlan: Hogy lehet ellenőrizni az előjogokkal rendelkező fejlesztőket, rendszergazdákat? Csak erre kialakított cél-szoftverrel! (A későbbiekben még hallunk róla!) A szoftver rögzíti a felhasználó valamennyi tevékenységét, Beállíthatók riasztások, korlátozások, Az alkalmazás képes titkosított csatornákba belelátni és a tevékenységeket rögzíteni. A megoldás csak megfelelően kialakított szerződéses háttérrel és belső szabályrendszerrel lehet teljes!