MEGFELELŐSÉG: KALANDOZÁS A

Hasonló dokumentumok
A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Fókuszban az információbiztonság

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Információbiztonság irányítása

Nemzetközi jogszabályi háttér I.

Jogalkotási előzmények

IT biztonsági törvény hatása

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Muha Lajos. Az információbiztonsági törvény értelmezése

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a évi L. tv. alapján

Dr. Muha Lajos. Az L. törvény és következményei

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Informatikai biztonsági ellenőrzés

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

2013. évi L. törvény ismertetése. Péter Szabolcs

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Üzletmenet folytonosság Üzletmenet? folytonosság?

Szabványok, ajánlások

2013 L. - tapasztalatok Antidotum 2015

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Bevezetés az Informatikai biztonsághoz

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

7.1 A szervezetek nyilvántartásba vétele Biztonsági események bejelentése, kezelése A hatóság egyes további feladatai

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Szolgáltatásaink Sog az ITBT-ben. Antidotum 2010

Üzletmenet folytonosság menedzsment [BCM]

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

A Nemzeti Elektronikus Információbiztonsági Hatóság

Az ISO es tanúsításunk tapasztalatai

Az adatvagyon fogalma Adatok kezelésének jogi keretei Adatvagyon építése Adatvagyon használata, publikálása Adatok vizualizációja Előrejelzés

30 MB INFORMATIKAI PROJEKTELLENŐR

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Borsod-Abaúj-Zemplén Megyei Kormányhivatal. Nyomtatás és nyomatkezelési eljárásrend

Az informatikai katasztrófa elhárítás menete

Az NKI bemutatása EGY KIS TÖRTÉNELEM

Informatikai biztonsági elvárások

Információbiztonság fejlesztése önértékeléssel

Kockázatkezelés az egészségügyben

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

30 MB INFORMATIKAI PROJEKTELLENŐR

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

A Bankok Bázel II megfelelésének informatikai validációja

BIZTONSÁGPOLITIKA, BIZTONSÁGI SZABÁLYZAT

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Üzletmenet folytonosság menedzsment (BCM) és vizsgálata. Kövesdi Attila

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

IGÉNY- ÉS PORTFOLIÓMENEDZSMENT

Az Újhartyáni Német Nemzetiségi Általános Iskola IRATKEZELÉSI ÉS ADATKEZELÉSI SZABÁLYZATA

Informatikai Biztonsági szabályzata

SZOLGÁLTATÁS BIZTOSÍTÁS

Headline Verdana Bold

A BUDAPESTI ÉRTÉKTŐZSDE ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG MŰKÖDÉSI KOCKÁZATKEZELÉSI SZABÁLYZATA

Magyar joganyagok - 41/2015. (VII. 15.) BM rendelet - az állami és önkormányzati sz 2. oldal (5) Ha az elektronikus információs rendszert több szervez

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 1

BCM Software Az uwe! rendszer ismertetése. Kézben tartható informatika

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

2013. évi L. törvény. az állami és önkormányzati szervek elektronikus információbiztonságáról 1

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

ADATKEZELÉSI TÁJÉKOZTATÓ

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Tudjuk-e védeni dokumentumainkat az e-irodában?

ÁLTALÁNOS SZEMÉLYES ADATVÉDELMI TÁJÉKOZTATÓ MÁJUS 25.

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

A Magyar Nemzeti Bank elnökének 19/2009. (VIII. 6.) MNB rendelete

A CRD prevalidáció informatika felügyelési vonatkozásai

IT üzemeltetés és IT biztonság a Takarékbankban

Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Biztonsági Szabályzat

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

Általános rendelkezések

T/ számú. törvényjavaslat. az állami és önkormányzati szervek elektronikus információbiztonságáról

A GDPR elmúlt egy éve

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

Bemutató el adás Bodnár Ferenc e-egészségügy 2009 Bevetési és tevékenységirányítási rendszerek az egészségügyben

Napjaink kihívásai, információvédelem. A biztonságot egészében kell vizsgálni, mert egy rendszer csak annyira erős, mint a leggyengébb eleme!

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Vép Város Jegyzőjének 1/2018. (IV.26.) jegyzői utasítása. Vépi Közös Önkormányzati Hivatal Informatikai Biztonsági Szabályzata

Tájékoztató elektronikus együttműködésre kötelezett szervek részére

Tudatos kockázatmenedzsment vs. megfelelés

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

INFORMÁCIÓBIZTONSÁGRÓL GAZDASÁGI VEZETŐKNEK A 41/2015. (VII. 15.) BM RENDELET KAPCSÁN ELŐADÓ: NAGY ISTVÁN

SZENTLOŐ RINCI KOÖ ZOÖ S OÖ NKORMAÁ NYZATI HIVATAL INFORMATIKAI BIZTONSAÁ GI SZABAÁ LYZAT

Muha Lajos: Informatikai biztonság

Átírás:

MEGFELELŐSÉG: KALANDOZÁS A BIZTONSÁGI JOGSZABÁLYOK ÉS { SZABVÁNYOK ÚTVESZTŐJÉBEN Budapest 2016.05.11 Sipos Győző Sipos CISA, IT Győző Biztonsági CISA, tanácsadó IT Biztonsági tanácsadó Nádor Rendszerház Kft. Kft.

Tartalom Nem felesleges ez az egész? Jogszabályok és kötelezettségek Felelősségek, teendők, határidők Kockázatok és kezelésük Építsünk stabil infrastruktúrát! Betolakodók a határon. Tűzfalak és vírusvédelem. Az internet, mint a legfenyegetőbb veszélyforrás Ügymenet folytonosság Ellenőrzési esettanulmány

Mostanában, a sajtóban

Érdekes számok a biztonságról 63% Az adatlopások, támadások 63%-át a default, gyenge, vagy ellopott jelszavak tették lehetővé. 89 % A visszaélések 89%-ának pénzügyi vagy adatszerzési motívuma van 72% Az alkalmazottak közel háromnegyede tulajdonított már el adatot a munkahelyéről. 86% A biztonsági visszaélések 86 %-át nem veszi észre az érintett szervezet, hanem harmadik fél figyelmezteti rá. 96% Az esetek 96 százalékában megfelelő kontrollok alkalmazásával egyszerűen megelőzhető lett volna a visszaélés.

Jogszabályok, szabványok és kötelezettségek

Legfontosabb vonatkozó jogszabályok 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról [a továbbiakban: Ibtv.] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról [Infotv. ] 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről Egyéb törvények is szabályozzák az adatokkal kapcsolatos tevékenységeket, van törvényünk a közokiratokról, közlevéltárakról, a közadatok újrahasznosításáról, a minősített adatok védelméről, személyi adatok és lakcímek nyilvántartásáról is.

Jogszabályok és szabványok Az állami és önkormányzati szervek elektronikus információ-biztonságáról szóló 2013. évi L. törvény (röviden: Ibtv. Ezt tekintjük irányadónak). a végrehajtásról és a követelményekről szól a 41/2015. (VII. 15.) BM rendelet 535/2013 (XII. 30.) Korm. rendelet a pénzügyi intézmények, a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről MNB 1/2015. számú ajánlása az informatikai rendszer védelméről MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonságirányítási rendszerek. Követelmények.

Az információ biztonság irányítás szabványai

Az információbiztonság a közigazgatási gyakorlatban A hazai jogszabályok és kormányzati ajánlások háttere az ISO 27001 szabvány. Előzmények: KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása, Magyar Informatikai Biztonsági Keretrendszer (MIBIK) Informatikai Biztonsági Irányítási Rendszer (IBIR) Az Informatikai Biztonság Irányításának Vizsgálata (IBIV) Az állami információbiztonsági ajánlások, jogszabályok a ISO 27001 követelményszabványra épülnek.

2013. évi L. törvény Az állami és önkormányzati szervek elektronikus információ-biztonságáról (hatályos 2013.07.02-től) A jogszabály rövidített megnevezése az Ibtv. vagy Információbiztonsági törvény. Célja a nemzeti elektronikus adatvagyon védelme. Hatálya egyebek mellett kiterjed a 2. k) pontja szerint: a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra

A CIA mint a biztonság alapelve Nem az amerikai titkosszolgálatról van szó, csak az érdekesség kedvéért írjuk le az információbiztonság három alapkövetelményének az angol megnevezését: Confidentality bizalmasság Integrity sértetlenség Availability rendelkezésre állás Bizalmasság: az adatot, információt csak az arra jogosultak és csak a jogosultságuk mértéke szerint ismerhetik meg, használhatják fel. Sértetlenség: az adat tartalma és tulajdonságai az elvárttal megegyeznek, az elvárt forrásból származnak (hitelesség), s nem kerültek megváltoztatásra. Rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.

Felelősség az adatokért 6. A szervezeteknek az elektronikus információs rendszereik védelmét biztosító kötelezettségei 11. (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: a) biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály tekintetében a jogszabályban meghatározott követelmények teljesülését, b) biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban meghatározott követelmények teljesülését A fontosabbak: felelősök kijelölése, szabályozások, oktatás, kockázatelemzések, audit, tájékoztatás

Szervezeti szint besorolás, rendszerek osztályba sorolása Az Ibtv. előírja az elektronikus információs rendszerrel rendelkező szervezet biztonsági szintbe sorolását: az 1-től 5-ig terjedő skálán (A magasabb szám szigorúbb követelményeket jelent). A törvény hatálya alá tartozó elektronikus információs rendszereket biztonsági osztályba kell sorolni, a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából. (A biztonsági osztályba sorolás szintén ötfokozatú skálán történik. A bizalmasság, sértetlenség, rendelkezésre állás fogalmait később ismertetjük) A besorolások az információt, illetve a szervezetet fenyegető kockázatok felmérése alapján történnek, s ennek alapján kell védelmi intézkedéseket megvalósítani. Végrehajtásra vonatkozó jogszabály: 41/2015. (VII.15.) BM rendelet

Korábban előírt határidős feladatok Bejelentések a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) felé Előírt biztonsági szint és osztály megállapítása Audit a valós biztonsági állapot meghatározásához Cselekvési terv Elektronikus rendszer biztonságáért felelős személy megbízása 2016. július 1-re valamennyi, az Ibtv. hatálya alá eső szervezetnek el kell érnie az 1-es biztonsági szintet, illetve rendszereinek az 1-es biztonsági osztályt.

Szervezeti biztonsági szint, osztályok A Hivatalok minimális biztonsági szintje, a 2015. VII. 15. előtt érvényes szabályozás szerint: 2-es biztonsági szint. A jogszabály időközben megváltozott, de azoknak a szervezeteknek, amelyek határidőre elvégezték a szintbe sorolást, legközelebb három év múlva esedékes a biztonsági szint felülvizsgálata. Szigorodó előírások a szintbe sorolás terén!

Felügyelet és szankciók 187/2015. (VII. 13.) Korm. Rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról Új feladatfelosztás a kormányzati szervek között: A Kormány Nemzeti Elektronikus Információbiztonsági Hatóságként a Nemzetbiztonsági Szakszolgálatot jelöli ki. Az érintett szervezet kötelezettségszegése esetén a miniszter információbiztonsági felügyelőt rendel ki az adott szerv elektronikus információbiztonsági tevékenységének felügyeletére.

Megváltozott követelmények, segédtáblák A 41/2015 BM rendelet főbb változásai a 77/2013 NFM rendelethez képest: Változott a szervezeti szint megállapítására vonatkozó melléklet a besorolás meghatározása egzaktabb lett viszont a követelmények szigorúbbak lettek, az önkormányzati hivatalok szintje a 4-es lett Az osztályba sorolások néhány követelménye változott egyszerűbb és átláthatóbb lett a rendszerek osztályba sorolási kockázati értékelő lapja az internet használati szabályok meghatározása az 1-es osztályban is kötelező

Letölthető segédletek a szintbe és osztályba soroláshoz A NEIH honlapjáról letölthetők a segédletek a szintbe és osztályba soroláshoz: [NEIH-SZVI] Szintbe sorolás és védelmi intézkedés űrlap (v1.00, MS Office) [NEIH-OVI] Osztályba sorolás és védelmi intézkedés űrlap (v4.31, MS Office) Kitöltési útmutató a NEIH-OVI űrlap 4.30-as változatához

Kockázatok és kezelésük

Fenyegetettség és kockázat Az adatok fenyegetettsége: bármilyen behatás, mely megsérti a rendszer védettségét, biztonságát! A fenyegetések bekövetkezési gyakoriságától (bekövetkezési valószínűségétől) és az okozott kár nagyságától függ a rendszer kockázata. Az Ibtv. a kockázattal arányos védelmet ír elő, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével. Fenyegetettség lehet például: természeti csapás, árvíz, felhőszakadás, tűz támogató infrastruktúra, elektromos ellátás telekommunikáció, vízellátás sérülése védelmi rendszerek, riasztók meghibásodása hacker támadás, vírusok személyzet gondatlansága stb.

MSZ ISO/IEC 27001:2014 a kockázatról 0. Bevezetés 0.1 Általános tájékoztatás Az információbiztonság-irányítási rendszer egy kockázatkezelési-folyamat segítségével őrzi meg az információk bizalmasságát, sértetlenségét és rendelkezésre állását. 41/2015. BM rendelet: Kockázatelemzési és kockázatkezelési eljárásrend Az érintett szervezet megfogalmazza, és az érintett szervezetre érvényes követelmények szerint dokumentálja, valamint az érintett szervezeten belül kihirdeti a kockázatelemzési és kockázatkezelési eljárásrendet

Építsünk stabil infrastruktúrát!

És gondoskodjunk a fizikai biztonságról!

Az internet mint a legfenyegetőbb veszélyforrás

Internet sok veszély forrása Az Internet kapcsolat a hivatali működés érdekében lett létrehozva. Az Internet helytelen használata lehetővé teszi egyes támadások, vírusok aktiválódását, betörését a Hivatal hálózatába. Az 1-es osztály teljesítéséhez is kell: Viselkedési szabályok az interneten Az érintett szervezet: tiltja és számon kéri a szervezettel kapcsolatos információk nyilvános internetes oldalakon való illegális közzétételét; tiltja a belső szabályzatában meghatározott, interneten megvalósuló tevékenységet (pl.: chat, fájlcsere, nem szakmai letöltések, tiltott oldalak, nem kívánt levelezőlisták, stb.); tilthatja a közösségi oldalak használatát, magánpostafiók elérését, és más, a szervezettől idegen tevékenységet.

Internethasználat védelmi eszközök A belső hálózat védelme érdekében a Hivatal több védelmi eszközt alkalmaz, részben az informatikai hálózat külső határán, részben a belső adatforgalomra. A munkatársaknak tudniuk kell, hogy A Hivatal az adatbiztonság érdekében korlátozhatja és monitorozza az Internet és e-mail forgalmat. TŰZFALAK! Az informatikai terület feladata az elektronikus adatforgalom rendszeres figyelése és a forgalom naplózása, a szabályok megszegése esetén a munkahelyi vezetők értesítése. NAPLÓZAS, LOGELEMZÉS!

A legfőbb érték az ember de a támadások jelentős része megelőzhető a biztonságtudatos felhasználói hozzáállással! Jogszabályi előírás a felhasználók biztonságtudatossági képzése! Rendszeresen, évente Tantermi oktatás vagy e-learning

Kémprogram, trójai, vírus, féreg Megváltozott a vírusok viselkedése! A kockázat a korábbiak sokszorosára növekedett! Védelmi eszközöket kell telepíteni A felhasználók nélkül nem lesz hatékony a védelem! Csak a legkorszerűbb vírusvédelemmel lehet felvenni a harcot a külső támadásokkal szemben!

Naplózás hamarosan ez is kötelező 3.3.12. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG Naplóbejegyzések tartalma Az elektronikus információs rendszer a naplóbejegyzésekben gyűjtsön be elegendő információt ahhoz, hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi volt ezen események kimenetele.

DRP megoldások

Üzletmenet (ügymenet) folytonosság BCP/DRP BCP: Business Continuity Management üzletmenet (ügymenet) folytonossági menedzsment DRP: Disaster Recovery Plan katasztrófa (utáni) helyreállítási terv

ÜZLET (a Hivatal): IT szolgáltatás megrendelője Elvárások: A szolgáltatás legyen ELÉRHETŐ! Az IT szolgáltatása Ha mindig biztosan elérhető Ha nem elérhető drága (üzleti) veszteség

4. melléklet a 41/2015. (VII. 15.) BM rendelethez 3. VÉDELMI INTÉZKEDÉS KATALÓGUS 3.1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK 3.1.4.1. Üzletmenet folytonosságra vonatkozó eljárásrend 3.1.4.2. Üzletmenet folytonossági terv informatikai erőforrás kiesésekre 3.1.4.3. A folyamatos működésre felkészítő képzés 3.1.4.4. Az üzletmenet folytonossági terv tesztelése 3.1.4.5. Biztonsági tárolási helyszín 3.1.4.6. Tartalék feldolgozási helyszín 3.1.4.7. Infokommunikációs szolgáltatások 3.1.4.8. Az elektronikus információs rendszer mentései 3.1.4.9. Az elektronikus információs rendszer helyreállítása és újraindítása

Üzemzavar kezelés folyamata Incidens Az RTO értékeket úgy kell megtervezni, hogy a helyreállítás a sebezhetőségi ablakon belül (az üzleti oldal által még tolerálható kiesési időtartam) megtörténjen! Normál működés Működés kiesés Sebezhetőségi ablak Normál működés RTO1 RTO2 Felkészülési idő Szerver visszaállítás Adatok visszaállítása

ebéd után: Önkormányzati percek Esettanulmány: egy Számvevőszéki ellenőrzés és tanulságai A NEIH ellenőrzési gyakorlata A bevezetés eddigi tapasztalatai és a résztvevők meglátásai

KÉRDÉSE VAN? TEGYE FEL!

A 2-es osztályhoz nem kell ugyan az összes pontot teljesíteni de a gyakorlat azt mutatja, hogy a kötelezettségek szélesebb körűek is lehetnek. Nem csak a NEIH ellenőrizhet!

Egy számvevőszéki ellenőrzés tanulságai 3/1. Állami Számvevőszék (ÁSZ) vizsgálat egy önkormányzatnál (megtörtént eset) Az audit a nem-megfelelőségeket állapított meg a pénzügyi rendszert illetően. A kifogások: a hivatal nem ellenőrzi kellőképpen a szállítót nincsenek szerződésben rögzítve a felelősségek a fejlesztők bármikor beléphetnek a hivatal pénzügyi rendszerébe, a hivatal nem tudja követni a tevékenységet, nincsen dokumentált változáskövetés és jóváhagyás

Egy számvevőszéki ellenőrzés tanulságai 3/2. A feladat látszólag megoldhatatlan: A fejlesztő nem képes/nem akarja a támogatást másképp ellátni A távoli elérési csatorna a hivatali munkatársak számára nem ellenőrizhető technikailag Nincsen kellő szakmai felkészültség a fejlesztő tevékenységének realtime ellenőrzésére Nem kontrollálható az adatok esetleges szervezeten kívülre jutása

Egy számvevőszéki ellenőrzés tanulságai 3/3. A feladat látszólag megoldhatatlan: Hogy lehet ellenőrizni az előjogokkal rendelkező fejlesztőket, rendszergazdákat? Csak erre kialakított cél-szoftverrel! (A későbbiekben még hallunk róla!) A szoftver rögzíti a felhasználó valamennyi tevékenységét, Beállíthatók riasztások, korlátozások, Az alkalmazás képes titkosított csatornákba belelátni és a tevékenységeket rögzíteni. A megoldás csak megfelelően kialakított szerződéses háttérrel és belső szabályrendszerrel lehet teljes!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés