Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem



Hasonló dokumentumok
Magyar joganyagok - 41/2015. (VII. 15.) BM rendelet - az állami és önkormányzati sz 2. oldal (5) Ha az elektronikus információs rendszert több szervez

Osztályba sorolás és védelmi intézkedés űrlap Rendszer: Őri Közös Önkormányzati Hivatal

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

ELEKTRONIKUS ALÁÍRÁS E-JOG

TANÚSÍTÁSI JELENTÉS SIEMENS SZÁMLA ARCHIVÁLÓ RENDSZER HUNG-TJ-DA

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

A nemzeti fejlesztési miniszter. 77/2013. (XII. 19.) NFM rendelete

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Informatikai Biztonsági szabályzata

SZOFTVERFEJLESZTŐI KÖVETELMÉNYEK MINŐSÍTETT KÖRNYEZETBEN: ADMINISZTRATÍV KÖVETELMÉNYEK

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Krasznay Csaba ZMNE doktorandusz

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

ELŐTERJESZTÉS. a Kormány részére

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Szabó Zoltán PKI termékmenedzser

Informatikai biztonsági elvárások

ROBOTHADVISELÉS S 2010

Naplózás e- közigazgatási rendszerekben

Információ menedzsment

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Intelligens biztonsági megoldások. Távfelügyelet

Tájékoztató a KryoNet E-számla programcsomaghoz szükséges tanúsítványról

Muha Lajos. Az információbiztonsági törvény értelmezése

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

TANÚSÍTVÁNY. Audi Hungaria Motor Kft.

30 MB INFORMATIKAI PROJEKTELLENŐR

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

Elektronikus hitelesítés a gyakorlatban

Adatbázisok anonimizált összekapcsolását megvalósító rendszer (DBCS) Rendszer biztonsági előirányzat

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre december 7.

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

IT biztonsági törvény hatása

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Rubin SMART COUNTER. Műszaki adatlap 1.1. Státusz: Jóváhagyva Készítette: Forrai Attila Jóváhagyta: Parádi Csaba. Rubin Informatikai Zrt.

2019. ÉVI FOKOZATI VIZSGA TANANYAG 6. VEZETÉS, IRÁNYÍTÁS SZAKMACSOPORT

Az Elektronikus Ügyintézési Felügyelet oldalán ( találhatóak meg a tájékoztató anyagok, ütemtervek, határidők

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Közigazgatási informatika tantárgyból

TANÚSÍTVÁNY. InfoScope Informatikai és Szolgáltató Kft. által kifejlesztett. mysigno API 3.1 elektronikus aláírás alkalmazás fejlesztő készlet v3.

Bevezetés. Adatvédelmi célok

TÁJÉKOZTATÓ SZEPTEMBER 15. ELŐADÓ: DR. SZEPESI GÁBOR OPERATÍV PROJEKTVEZETŐ

ELEKTRONIKUS DOKUMENTUMTÁROLÁSI SZOLGÁLTATÁS (EDT)

Nemzetközi jogszabályi háttér I.

EU támogatással megvalósuló szolgáltató önkormányzati modell

(appended picture) hát azért, mert a rendszerek sosem

Az e közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben. Krasznay Csaba

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Informatikai és telekommunikációs szolgáltatások

Műszaki dokumentáció Másolatkészítés műszaki feltételei

A VPKNet hálózati szabályzata

3/2010. sz. Gazdasági Főigazgatói Utasítás a PTE rendszereihez az egyetem külső partnerei részére adott távoli hozzáférések szabályozásáról

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. Pénztár v aláíró alkalmazás

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Minősített adatot elektronikusan kezelő rendszerek biztonsági aspektusai

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

IMIR fejlesztése, bevezetése és működés-támogatása - módosító hirdetmény. Közbeszerzési Értesítő száma: 2015/99

A HEVES MEGYEI KORMÁNYHIVATAL ELEKTRONIKUS ALÁÍRÁSI SZABÁLYZATA

SZÓBELI ÉRETTSÉGI TÉMAKÖRÖK

Teljesítés helye: Magyar Államkincstár 1054 Budapest, Hold utca 4. Ajánlattételi/részvételi jelentkezési határidő:

Tájékoztató a Tisza Park Kft Informatikai Biztonsági Szabályzatáról (IBSZ) v1.0

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

TANÚSÍTVÁNY. tanúsítja, hogy a. Pénzügyi Szervezetek Állami Felügyelete. által kifejlesztetett. IngridSigno Feldolgozó Modul aláíró alkalmazás

Tudjuk-e védeni dokumentumainkat az e-irodában?

A CityPass rendszer Magyar Gazdaságfejlesztési Központ Nemzeti Innovációs Hivatal NetLock Kft. intelligens kártyán alapul

Fejlesztés, működtetés, felügyelet Hatékony infrastruktúra IBM szoftverekkel

ELŐTERJESZTÉS. a Kormány részére

DW 9. előadás DW tervezése, DW-projekt

Tájékoztató az Ügyfélkapu használatáról

Az elektronikus másolatkészítés rendszerének műszaki dokumentációja 1. BEVEZETŐ

MINŐSÉGÜGYI ELJÁRÁSOK

INFORMATIKAI PROJEKTELLENŐR 30 MB. Átadás-átvételi dokumentáció. Kálmán Miklós és Rácz József MMK-Informatikai projektellenőr képzés 1

Gyakorlati vizsgatevékenység B

HITELES MÁSOLATKÉSZÍTÉSI REND

Az azonosító számú, Internetes alkalmazásfejlesztő megnevezésű elágazás szakmai követelménymoduljainak

2013 L. - tapasztalatok Antidotum 2015

SSP 19 Self sevice pay terminal....az igazi megoldás értékkiadásra

KÖLTSÉGVETÉSI ALAPOKMÁNY

194/2005. (IX. 22.) Korm. rendelet

IT BIZTONSÁGI MŰSZAKI KÖVETELMÉNYEK A KÜLÖNBÖZŐ BIZTONSÁGI SZINTEKRE

BUDAPESTI RENDŐR-FŐKAPITÁNYSÁG XVIII. KERÜLETI RENDŐRKAPITÁNYSÁG

2013. évi L. törvény ismertetése. Péter Szabolcs

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

A Budapesti Értéktőzsde Részvénytársaság Igazgatóságának 110/2003. számú határozata

Információbiztonság irányítása

TÉTI KÖZÖS ÖNKORMÁNYZATI HIVATAL INFORMATIKAI BIZTONSÁGI SZABÁLYZAT TÉTI KÖZÖS ÖNKORMÁNYZATI HIVATAL 2018/... SZÁMÚ JEGYZŐI UTASÍTÁS. Érvényes:...

TANÚSÍTVÁNY. tanúsítja, hogy a E-Group Magyarország Rt. által kifejlesztett és forgalmazott. Signed Document expert (SDX) Professional 1.

Technológia az adatszivárgás ellen

Átírás:

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint 38 nyertes projekt van csak az Elektronikus Közigazgatás Operatív Programon belül 49.105.493.163 Ft értékben Az új rendszerek a következő évtizedre meghatározzák a közigazgatási informatikát. A biztonságos tervezés, kivitelezés és üzemeltetés alapvető fontosságú!

Ahhoz, hogy a szükséges biztonsági szintet el lehessen érni a rendszerekben, a biztonságnak meg kell jelennie: A tervezésben, A dokumentálásában, A fejlesztési folyamatokban, A tesztelésben, A sebezhetőség-vizsgálatban. Jelen előadás a fejlesztési folyamatokkal, azon belül is a fejlesztői környezet biztonságával foglalkozik.

A minősített közigazgatási szoftverfejlesztésekre a következő jogszabályok vonatkozhatnak: 1995. évi LXV. Törvény az államtitokról és a szolgálati titokról 79/1995. (VI. 30.) Korm. Rendelet a minősített adat kezelésének rendjéről 143/2004. (IV. 29.) Korm. rendelet az államtitkot vagy szolgálati titkot, illetőleg alapvető biztonsági, nemzetbiztonsági érdeket érintő vagy különleges biztonsági intézkedést igénylő beszerzések sajátos szabályairól A fejlesztési folyamattal egyik jogszabály sem foglalkozik. Ma Magyarországon a jogszabályok nem foglalkoznak a területtel!

A Közigazgatási Informatikai Bizottság 25. és 28. számú ajánlásai már megemlítik, hogy a fejlesztői környezet biztonságával foglalkozni kell, de konkrét útmutatást nem tartalmaznak. Ma Magyarországon kis túlzással bárki, bárhol, bárhogy előállíthat minősített alkalmazást!!! A gyakorlatban természetesen ez nem így működik, de strukturált követelmények nincsenek.

Meg kell határozni az elvárt biztonsági szinteket! Minden minősített fejlesztés esetén létre kell hozni a biztonságirányítás szervezetét! Fizikai, logikai és adminisztratív védelmi intézkedéseket kell kidolgozni a fejlesztői környezetre!

A KIB 25. és 28. ajánlások szellemében három javasolt biztonsági szint: államtitkot feldolgozó rendszerek (kiemelt biztonsági szint) belső használatú, bizalmas információkat kezelő rendszerek (fokozott biztonsági szint) széles körben, interneten keresztüli hozzáférést biztosító rendszerek (alap biztonsági szint) A KIB 28. ajánlással szemben nem komplex kockázatelemzés alapján dőlnek el a biztonsági szintek, hanem a hozzáférés alapján!

A KIB 25. ajánlás szerint minden érintett fejlesztésben létre kell hozni az Informatikai Biztonsági Fórumot, melynek tagjai: A fejlesztő szervezet vagy a fejlesztési projekt vezetője, Biztonsági Vezető, Fejlesztési vezető, Üzemeltetési Vezető. Munkájukat a projektiroda segíti Részletes feladataikat és felelősségüket ld. Hadmérnök 2010. 1. szám!

Projektvezető Projektiroda munkatársai, a Biztonsági, Fejlesztési és Üzemeltetési Vezető Fejlesztők, üzemeltetők Alap Fokozott Kiemelt A típusú ellenőrzés Erkölcsi bizonyítvány fokozott háttérellenőrzés sel, Biztonsági Vezetőnek CISM vizsga Erkölcsi bizonyítvány B típusú ellenőrzés A típusú ellenőrzés, Biztonsági Vezetőnek CISM vizsga Erkölcsi bizonyítvány fokozott háttérellenőrzés sel C típusú ellenőrzés B típusú ellenőrzés, Biztonsági Vezetőnek CISM vizsga és TÜK bizonyítvány B típusú ellenőrzés

A KIB 28. alapján kerültek kidolgozásra. Az éles rendszerek követelményeit kellett átdolgozni a fejlesztési folyamatokra. Néhány helyen enyhíteni kellett/lehetett, hiszen a fejlesztői környezetben még nem elsősorban üzleti adatokat kell védeni a fejlesztői rendszerek pedig sokszor nem működnek megfelelően az éles környezet előírásaival Részletesen ld. Hadmérnök 2010. 2. szám!

Biztonsági intézkedés neve Alacsony Fokozott Kiemelt Konfiguráció kezelés biztonsági osztály alapkonfigurációja KK-1 Konfiguráció kezelési szabályzat és KK-1 KK-1 KK-1 eljárásrend KK-2 Alap konfiguráció KK-2 KK-2 KK-2 KK-3 Konfigurációváltozások -- KK-3 KK-3 KK-4 A konfigurációváltozások felügyelete -- KK-4 KK-4 KK-5 A változtatásokra vonatkozó hozzáférés -- KK-5 KK-5 korlátozások KK-6 Konfigurációs beállítások KK-6 KK-6 KK-6 KK-7 Legszűkebb funkcionalitás -- KK-7 KK-7 KK-8 Informatikai rendszer komponens leltár KK-8 KK-8 KK-8 Azonosítás és hitelesítés AH-1 Azonosítási és hitelesítési szabályzat és eljárásrend AH-1 AH-1 AH-1 AH-2 Felhasználó azonosítása és hitelesítése AH-2 AH-2 AH-2 AH-3 Eszközök azonosítása és hitelesítése -- AH-3 AH-3 AH-4 Azonosító kezelés AH-4 AH-4 AH-4 AH-5 A hitelesítésre szolgáló eszközök kezelése AH-5 AH-5 AH-5 AH-6 A hitelesítésre szolgáló eszköz visszacsatolása AH-6 AH-6 AH-6 AH-7 Hitelesítés kriptográfiai modul esetén AH-7 AH-7 AH-7

Rendszer és információ sértetlenség RS-1 Rendszer és információ sértetlenségre RS-1 RS-1 RS-1 vonatkozó szabályzat és eljárásrend RS-2 Hibajavítás RS-2 RS-2 RS-2 RS-3 Rosszindulatú kódok elleni védelem RS-3 RS-3 RS-3 RS-4 Behatolás észlelési eszközök és technikák -- RS-4 RS-4 RS-5 Biztonsági riasztások és tájékoztatások RS-5 RS-5 RS-5 RS-6 A biztonsági funkcionalitás ellenőrzése -- -- RS-6 RS-7 Szoftver és információ sértetlenség -- -- RS-7 RS-8 Kéretlen levélszemét (spam) és -- RS-8 RS-8 kémszoftverek (spyware) elleni védelem RS-9 A bemeneti információra vonatkozó -- RS-9 RS-9 korlátozások RS-10 A bemeneti információ pontossága, -- -- -- teljessége és érvényessége RS-11 Hibakezelés -- -- -- RS-12 A kimeneti információ kezelése és -- -- -- megőrzése

Hozzáférés ellenőrzése HE-1 Hozzáférés ellenőrzési szabályzat és eljárásrend HE-1 HE-1 HE-1 HE-2 Felhasználói fiókok kezelése HE-2 HE-2 HE-2 HE-3 Hozzáférés ellenőrzés érvényre juttatása HE-3 HE-3 HE-3 HE-4 Információ áramlás ellenőrzés érvényre juttatása -- HE-4 HE-4 HE-5 A felelősségek szétválasztása HE-5 HE-5 HE-5 HE-6 Legkisebb jogosultság -- HE-6 HE-6 HE-7 Sikertelen bejelentkezési kísérletek HE-7 HE-7 HE-7 HE-8 A rendszerhasználat jelzése HE-8 HE-8 HE-8 HE-9 Értesítés előző bejelentkezésről -- -- -- HE-10 Egyidejű munkaszakasz kezelés -- -- -- HE-11 A munkaszakasz zárolása -- HE-11 HE-11 HE-12 A munkaszakasz lezárása HE-12 -- -- HE-13 Felügyelet és felülvizsgálat hozzáférés ellenőrzés HE-13 HE-13 HE-13 HE-14 Azonosítás és hitelesítés nélkül engedélyezett tevékenységek HE-14 HE-14 HE-14 HE-15 Automatikus jelölés -- -- -- HE-16 Automatikus címkézés -- -- -- HE-17 Távoli hozzáférés ellenőrzése HE-17 -- -- HE-18 A vezeték nélküli hozzáférésre vonatkozó korlátozások HE-18 HE-18 -- HE-19 A hordozható és mobil eszközök hozzáférés ellenőrzése HE-19 -- -- HE-20 Külső informatikai rendszerek használata HE-20 HE-20 HE-20

Naplózás és elszámoltathatóság NA-1 Naplózási és elszámoltathatósági NA-1 NA-1 NA-1 szabályzat és eljárásrend NA-2 Naplózandó események NA-2 NA-2 NA-2 NA-3 A naplóbejegyzések tartalma NA-3 NA-3 NA-3 NA-4 Napló tárkapacitás NA-4 NA-4 NA-4 NA-5 Naplózási hiba kezelése NA-5 NA-5 NA-5 NA-6 Napló figyelése, vizsgálata és jelentések -- NA-6 NA-6 készítése NA-7 Naplócsökkentés, naplóriport készítés -- NA-7 NA-7 NA-8 Időbélyegek NA-8 NA-8 NA-8 NA-9 A napló információk védelme NA-9 NA-9 NA-9 NA-10 Letagadhatatlanság -- -- -- NA-11 A naplóbejegyzések megőrzése NA-11 NA-11 NA-11

Rendszer és kommunikáció védelem RV-1 Rendszer és kommunikáció védelmi szabályzat és eljárásrend RV-1 RV-1 RV-1 RV-2 Alkalmazás szétválasztás -- RV-2 RV-2 RV-3 Biztonsági funkciók elkülönítése -- -- RV-3 RV-4 Információ maradványok -- -- -- RV-5 Szolgáltatás megtagadás elleni védelem -- -- -- RV-6 Erőforrás prioritás -- -- -- RV-7 A határok védelme RV-7 RV-7 RV-7 RV-8 Az adatátvitel sértetlensége RV-8 -- -- RV-9 Az adatátvitel bizalmassága RV-9 -- -- RV-10 A hálózati kapcsolat megszakítása -- -- -- RV-11 Megbízható útvonal -- -- -- RV-12 Kriptográfiai kulcs előállítása és kezelése RV-12 RV-12 RV-12 RV-13 Jóváhagyott kriptográfia alkalmazása RV-13 RV-13 RV-13 RV-14 Sértetlenség védelem nyilvános hozzáférés esetén -- -- -- RV-15 Telekommunikációs szolgáltatások korlátozása RV-15 RV-15 RV-15 RV-16 Biztonsági paraméterek továbbítása -- -- -- RV-17 Nyilvános kulcsú infrastruktúra tanúsítványok -- RV-17 RV-17 RV-18 Mobil kód korlátozása -- RV-18 RV-18 RV-19 Interneten Keresztüli Hangátvitel (VoIP) -- RV-19 RV-19 RV-20 Biztonságos név/cím feloldó szolgáltatások (Hiteles forrás) -- -- -- RV-21 Biztonságos név/cím feloldó szolgáltatás (rekurzív vagy -- -- -- gyorsítótárat használó feloldás) RV-22 Architektúra és tartalékok név/cím feloldási szolgáltatás esetén -- -- -- RV-23 Munkaszakasz hitelessége -- -- --

Az informatikai rendszerek fizikai védelme jelenleg teljes mértékben mostohagyermeknek tekinthető. Sem a jogszabályok, sem az ajánlások nem adnak útmutatást arra, hogy milyen fizikai biztonsági intézkedéseket kell tenni. A 179/2003. (XI. 5.) Kormány rendelet II. fejezetével és ennek Nemzeti Biztonsági Felügyelet által kiadott dokumentumaival lehet analógiát vonni. Részletesen ld. Hadmérnök 2010. 2. szám!

Common Criteria vagy KIB 25. szerinti fejlesztés: alap, közép és kiemelt szinten kötelező. ISO 27001 tanúsítvány a fejlesztési folyamatra: alap szinten opcionális, fokozott és kiemelt szinten kötelező. Nemzetbiztonsági ellenőrzés alatti fejlesztés: fokozott szinten opcionális, kiemelt szinten kötelező.

A fejlesztői folyamatok biztonságát szabályozni kell, a lehető leghamarabb! Erre kitűnő lehetőséget nyújt a KIB 28. ajánlás. Mind a megrendelőnek, mind a fejlesztőnek, de leginkább Magyarországnak érdeke, hogy a közigazgatási rendszerek megfelelően és biztonságosan működjenek. Az erre irányuló ad hoc kezdeményezések helyett teljeskörű és összehasonlítható megoldásokra kell törekedni!

E-mail: csaba@krasznay.hu Web: www.krasznay.hu