Muha Lajos. Az információbiztonsági törvény értelmezése

Hasonló dokumentumok
Dr. Muha Lajos. Az L. törvény és következményei

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Jogalkotási előzmények

Nemzetközi jogszabályi háttér I.

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a évi L. tv. alapján

2013. évi L. törvény ismertetése. Péter Szabolcs

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Szabványok, ajánlások

Fókuszban az információbiztonság

KRITIKUS INFRASTRUKTÚRÁK VÉDELME: KRITIKUS INFORMÁCIÓS INFRASTRUKTÚRÁKRÓL ÁLTALÁBAN

Az információbiztonság egy lehetséges taxonómiája

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

T/ számú. törvényjavaslat. az állami és önkormányzati szervek elektronikus információbiztonságáról

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

2013. évi L. törvény

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 1

2013. évi L. törvény. az állami és önkormányzati szervek elektronikus információbiztonságáról 1

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

2013 L. - tapasztalatok Antidotum 2015

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

INFORMÁCIÓBIZTONSÁGRÓL GAZDASÁGI VEZETŐKNEK A 41/2015. (VII. 15.) BM RENDELET KAPCSÁN ELŐADÓ: NAGY ISTVÁN

7.1 A szervezetek nyilvántartásba vétele Biztonsági események bejelentése, kezelése A hatóság egyes további feladatai

Információbiztonság irányítása

A tervezet előterjesztője Közigazgatási és Igazságügyi Minisztérium.

MAGYAR KÖZLÖNY 69. szám

Belső Biztonsági Alap

Az NKI bemutatása EGY KIS TÖRTÉNELEM

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

MAGYAR KÖZLÖNY 69. szám

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

Az adatvagyon fogalma Adatok kezelésének jogi keretei Adatvagyon építése Adatvagyon használata, publikálása Adatok vizualizációja Előrejelzés

Elektronikus Információbiztonsági Vezetők Okosan Klubja Szakmai Fórum március 28. DR. BODÓ ATTILA PÁL

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

30 MB INFORMATIKAI PROJEKTELLENŐR

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Az informatikai biztonsági kockázatok elemzése

Az elektronikus információs rendszerek védelmére alkalmazható módszerek az Információbiztonsági törvény szemszögéből Május

Az iparbiztonsági szakterület aktuális kérdései április 15.

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Az alábbiakban a HUNGUARD Kft. tanúsítási tevékenységével kapcsolatos jogszabályokat, mértékadó, szakmai előírásokat és elvárásokat találja.

RÖVID ÁTTEKINTÉS A NEMZETI KIBERVÉDELMI INTÉZET MEGALAKULÁSÁRÓL, MŰKÖDÉSÉRŐL ÉS ELŐZMÉNYEIRŐL

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A BM OKF helye, szerepe a hazai létfontosságú rendszerek és létesítmények védelmében. Dr. Bognár Balázs PhD tű. ezredes főosztályvezető

A nemzeti fejlesztési miniszter. 77/2013. (XII. 19.) NFM rendelete

IT biztonsági törvény hatása

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

Borsod-Abaúj-Zemplén Megyei Kormányhivatal. Nyomtatás és nyomatkezelési eljárásrend

Az ISO es tanúsításunk tapasztalatai

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

TÁJÉKOZTATÓ AZ ALAPVETŐ SZOLGÁLTATÁST NYÚJTÓ SZEREPLŐK RÉSZÉRE

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

I. Országgyűlés Nemzeti Adatvédelmi és Információszabadság Hatóság

Ipari, vegyipari létfontossl

Kivonat Kunszentmárton Város Önkormányzata Képviselő-testületének október 29-én tartott soros ülésének jegyzőkönyvéből.

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

Kockázatkezelés az egészségügyben

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

INFOKOMMUNIKÁCIÓS BIZTONSÁGI STRATÉGIA 1

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium.

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

A kockázatelemzés alapjai

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

JAVASLAT AZ ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK 77/2013. (XII. 19.) NFM RENDELET ALAPJÁN ELVÉGZENDŐ BIZTONSÁGI OSZTÁLYBA SOROLÁSA VONATKOZÁSÁBAN

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

Biztonsági összekötő illetve a Veszélyes ipari védelmi ügyintézői képzés

Bevezetés az Informatikai biztonsághoz

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

SZENTLOŐ RINCI KOÖ ZOÖ S OÖ NKORMAÁ NYZATI HIVATAL INFORMATIKAI BIZTONSAÁ GI SZABAÁ LYZAT

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Tájékoztató az LRL IBEK feladatrendszeréről

ROBOTHADVISELÉS S 2010

A RENDŐRSÉGI INFORMATIKAI HÁLÓZATOK INFORMÁCIÓBIZTONSÁGI HÁTTERÉNEK MEGHATÁROZÁSA

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

A katasztrófavédelem megújított rendszere

MEGFELELŐSÉG: KALANDOZÁS A

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Iromány száma: T/335. Benyújtás dátuma: :48. Parlex azonosító: W838KPW50003

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

Közigazgatási informatika tantárgyból

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

Bejelentés-köteles szolgáltatók kötelezettségei a NIS irányelv tükrében

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Az informatikai katasztrófa elhárítás menete

AZ ELEKTRONIKUS INFORMÁCIÓVÉDELMI RENDSZABÁLYOK KATONAI SPECIFIKÁCIÓJÁNAK KIALAKÍTÁSA, A CIVIL ÖNKÉNTES TÁMOGATÁS MEGVALÓSÍTÁSÁNAK FONTOSABB KÉRDÉSEI

TÁJÉKOZTATÓ A VILLAMOS ENERGIA ALÁGAZATOT ÉRINTŐ FELADATOKRÓL

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

Magyar joganyagok - 41/2015. (VII. 15.) BM rendelet - az állami és önkormányzati sz 2. oldal (5) Ha az elektronikus információs rendszert több szervez

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

Üzletmenet folytonosság Üzletmenet? folytonosság?

Kritikus Infrastruktúra Védelem - Zöld Könyv a Nemzeti Programról

Budapest, június

I. Országgyűlés Nemzeti Adatvédelmi és Információszabadság Hatóság

Átírás:

Muha Lajos Az információbiztonsági törvény értelmezése

kibervédelem? KIBERVÉDELEM KRITIKUS INFORMÁCIÓS INFRASTRUKTÚRÁK VÉDELME ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK VÉDELME

Az információvédelem igénye Magyarország Alaptörvényének 26. cikkében, a minősített adat védelméről szóló 2009. évi CLV. törvényben és végrehajtási rendeleteiben, valamint megállapodásokban, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben, a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről szóló 2010. évi CLVII. törvényben és végrehajtási rendeletében, a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvényben és végrehajtási rendeleteiben, a hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény 13/C. -ában, a Büntető Törvénykönyvről szóló 2012. évi C. törvény 375. és 422-424. - aiban, a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendeletben,

Nemzeti Biztonsági Stratégia Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012 (II.21.) kormányhatározat 31. pontja előírja az elektronikus információs rendszerek biztonságának erősítését, és ennek révén a létfontosságú nemzeti információs infrastruktúra védelmének fokozását, továbbá a megfelelő szintű kibervédelem kialakítását.

best practice A törvény elkészítésénél a legjobb szakmai gyakorlatot, szabványokat és ajánlások kerültek felhasználásra. Ezt a végrehajtási rendeletek készítésénél is szeretnénk folytatni COBIT, ISO 27xxx, NIST SP-800 IFIP 199/200

2008 A Közigazgatási Informatikai Bizottság 25. számú ajánlásai (MIBA): MIBIK MIBÉTS IBIX

Információvédelem? személyi védelem fizikai védelem elektronikus információvédelem dokumentumvédelem elhárítás

elektronikus információs rendszer 1. (2) E törvény alkalmazásában elektronikus információs rendszer az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese

elektronikus információs rendszer a) számítástechnikai rendszerek és hálózatok; b) helyhez kötött, mobil és egyéb rádiófrekvenciás, valamint műholdas elektronikus hírközlési hálózatok, szolgáltatások; x) vezetékes, a rádiófrekvenciás és műholdas műsorszórás; c) rádiós vagy műholdas navigáció; d) automatizálási, vezérlési és ellenőrzési rendszerek (vezérlő és adatgyűjtő, távmérő, távérzékelő és telemetriai rendszerek, stb.); e) a fentiek felderítéséhez, lehallgatásához vagy zavarásához használható rendszerek.

információvédelem A 2. (1) bekezdésben felsorolt szervezetek és az azok számára adatkezelést, végzők (s a (2) a) ) elektronikus információs rendszerei A nemzeti adatvagyont kezelő szervezetek (2. (2) b)) elektronikus információs rendszerei A létfontosságú információs infrastruktúrák (2. (2) c)) elektronikus információs rendszerei

el. inf. rendszer biztonsága 5. Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

el. inf. rendszer biztonsága 6. Az elektronikus információs rendszernek az 5. - ban meghatározott feltételeknek megfelelő védelme körében a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a) a megelőzést és a korai figyelmeztetést, b) az észlelést, c) a reagálást, d) a biztonsági események kezelését.

biztonsági osztályba sorolás 7-8. Az egyes elektronikus információs rendszerek biztonsági osztályokba legyenek sorolva a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából.

Nem a kormány álláspontja! A vonatkozó vhr. egyeztetés alatt áll!

biztonsági osztályba sorolás Az elektronikus információs rendszerek biztonsági osztályba sorolását kockázatelemzés alapján kell elvégezni, és azt a szervezet vezetője hagyja jóvá. Az osztályba sorolást megelőző kockázatelemzés során ajánlott nemzetközi vagy hazai szabványok, ajánlások, legjobb gyakorlatok figyelembe vétele.

biztonsági osztályba sorolás A kockázatelemezés alapját az adatok és az adott információs rendszer jellegéből kiindulva A bizalmasság, sértetlenség és rendelkezésre állás sérüléséből, elvesztéséből bekövetkező kár nagysága; illetve a kár bekövetkezésének becsült valószínűsége képzi.

biztonsági osztályba sorolás A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárérték, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárnagyságot kell, vagy lehet figyelembe venni, a szervezet döntésétől függően.

biztonsági osztályba sorolás minősített adatok bizalmasságának elvesztése (???); társadalmi-politikai, illetve a jog sérüléséből adódó hatások; személyeket, csoportokat érintő károk; közvetlen anyagi károk; közvetett anyagi károk.

biztonsági osztályba sorolás Az Ibtv. szerint a besorolás elvégzése az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek: 1. Csak jelentéktelen káresemény, 2. Csekély káresemény, 3. Közepes káresemény, 4. Nagy káresemény, 5. Kiemelkedően nagy káresemény következhet be.

biztonsági előírások NIST SP 800-53 rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations Updated with Errata page May 7, 2013

biztonsági osztályba sorolás

szervezeti biztonsági szint 9-10. A biztonsági szintek a szervezeteknek a biztonsági problémák megoldására, kezelésére való felkészültségét, érettségét határozhatják meg.

Nem a kormány álláspontja! A vonatkozó vhr. egyeztetés alatt áll! COBIT 4.1 DS5 érettségi modell

biztonsági szintbe sorolás A szervezet biztonsági szintjét az Ibtv 9. (2) pontja mellett - meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezetek biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos, vagy magasabb besorolású, de a szervezettől függően legalább az Ibtv. 9. (2) pontja szerinti. A tv. 9. (4) pontja szerint indokolt esetben a reá vonatkozónál alacsonyabb biztonsági szint is megállapítható.

biztonsági szintbe sorolás A szervezet biztonsági szintje 1. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 1. biztonsági osztálynál magasabb besorolású rendszer, és a szervezet vezetői döntése alapján elfogadható az, hogy az elektronikus információbiztonsági folyamatai kezdeti, ad hoc jellegűek, azaz A szervezet biztonsági szintje 2. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 2. biztonsági osztálynál magasabb besorolású rendszer, és a szervezet vezetői döntése alapján elfogadható az, hogy a szervezet informatikai folyamatai részben szabályozottak, azaz

biztonsági szintbe sorolás A szervezet biztonsági szintje 3. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 3. biztonsági osztálynál magasabb besorolású rendszer, és a szervezet vezetői döntése alapján elvárt, hogy a szervezet elektronikus információbiztonsági folyamatai jól szabályozottak legyenek, a folyamatokat dokumentálják és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedésekkel támogassák, azaz

biztonsági szintbe sorolás A szervezet biztonsági szintje 4. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 4. biztonsági osztálynál magasabb besorolású rendszer, valamint a szervezet vezetői döntése alapján elvárt, hogy a szervezet elektronikus információbiztonsági folyamatai irányítottak és mérhetőek legyenek, azaz A szervezet biztonsági szintje 5. ha a szervezet által működtetett elektronikus információs rendszerek esetén van 5. biztonsági osztályú besorolású rendszer, valamint a szervezet vezetői döntése alapján elvárt, hogy a szervezet elektronikus információbiztonsági folyamatai optimalizáltak legyenek, a máshol már bevált gyakorlatokat kövessék, és azokat automatizálják, azaz

költségminimalizálás A szervezési, szabályozási módszerek használata, Javaslat a biztonsági osztályok és a biztonsági színt tekintetében a fokozatos bevezetésére.

megelőzés A szervezetek és vezetőik legfontosabb feladatai A megelőzés lehetőségeinek javítása miatt nagy hangsúlyt kap a szabályozás, illetve a biztonságtudatosság növelése, az oktatás-képzés.

A szervezet vezetője 11. (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről Mindenért felelős! A felelőssége nem átruházható!

biztonsági felelős Az elektronikus információs rendszer biztonságáért felelős személyt KELL kijelölni! Felsőfokú végzettség és szakképzettség kötelező. CISM (és CISA, CRISC), CISSP elfogadható

ellenőrzés hatóság: elsődleges feladata az ellenőrzés. nem közigazgatási szervek esetében bírságolási jog, közigazgatási szervek esetében joga van információbiztonsági gondnok kinevezésre.

ellenőrzés 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról

CERT az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, valamint a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. Törvény alapján

CERT 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről

magas szintű képzés Az információbiztonsági tudatosság növelése a védett az elektronikus információs rendszerek vezetői, informatikai biztonsági vezetői feladatait csak megfelelő szakemberek végezhessék. A vhr. kidolgozás alatt!!!

Köszönöm a figyelmet!

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés