A Nemzeti Elektronikus Információbiztonsági Hatóság

A Nemzeti Elektronikus Információbiztonsági Hatóság

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának felügyeletét a 2. (3) és (4) bekezdésben meghatározott kivétellel az informatikáért felelős miniszter látja el a hatóság útján, amely az informatikáért felelős miniszter által vezetett minisztérium (NFM) szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység. 2

A NEIH feladatai 2. A Hatóság nyilvántartja és kezeli: a szervezet azonosításához szükséges adatokat, a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályának és a szervezet biztonsági szintjének besorolását, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatait, a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, végzettségét, a szervezet informatikai biztonsági szabályzatát, a biztonsági eseményekkel kapcsolatos bejelentéseket. 3

Reputáció Tudatosítás: NEIH miben tud segítséget nyújtani ügyfelei számára; Tudatosítás: miért vált szükségessé az információbiztonság egységes kezelése az önkormányzati és állami szervek informatikai rendszereinek védelmében; Kölcsönös együttműködés kialakítására az ügyfelekkel és a társszervezetekkel; Bizalom kialakítása és fenntartása az ügyfelek és a társszervezetek irányába. 4

Kormányzati együttműködés, aktív támogatás Nemzeti Kiberbiztonsági Koordinációs Tanács (Miniszterelnökség) Kiberbiztonsági Munkacsoportok Kiberbiztonsági Fórum (üzleti, tudományos, civil társadalom) Ágazati CERT-ek LRLIBEK (létfontosságú rendszerelemek CERT) GovCERT NEIH NBF IKMCS Elektronikus Ügyintézési Felügyelet 5

Közigazgatási alap- és szakképzés IT biztonsági és elektronikus közigazgatási önálló modullal történő kiegészítése. Célcsoportok szerinti IT biztonsági képzési, visszamérési és folyamatos tudásfenntartási oktatások megteremtése - Vezetők - IT biztonsági felelősök Iskolai tudatosítás, pl. Safe internet program Képzés beépítése a Nemzeti Alaptantervbe Tudástőke - IT szakemberek - Felhasználók E-learning, NKE képzések, egyéb képzések Belépők képzése, folyamatos tudásfenntartás Szülők, családok Biztonság tudatosság szervezeti kultúrába illesztése Társadalom biztonság tudatossága 6

KÖZÉRTHETŐEN (nem csak) AZ IT BIZTONSÁGRÓL Készült a Kormányzati Informatikai Fejlesztési Ügynökség (KIFÜ) megbízásából. Terjedelem: 135 oldal Finanszírozás: ÁROP- 1.1.17. Cél: a biztonságtudatos szervezeti kultúra fejlesztésének elősegítése a közigazgatásban dolgozók számára. Az alapvető elektronikus információbiztonsági kockázatokat 3 nézőpont alapján mutatja be: - a felhasználók, - az informatikusok, - és a vezetők szemszögéből. 7

Az információbiztonság tágabb fogalom, mint az IT biztonság Beleértjük az információ minden nem csak elektronikus megjelenési formájának, az információs szolgáltatásoknak és az ezeket biztosító információs rendszereknek a védelmét. Az információbiztonság egyszerre van jelen egy szervezet minden területén, a szervezet minden erőforrásának (emberek, eszközök, információs rendszerek, vagyontárgyak) szabályozását, viselkedését, használatát, ellenőrzését jelenti. Irányítása a felső vezetés felelőssége. 8

Információbiztonság: fizikai, logikai, humán biztonság. Fizikai védelem: mechanikai védelem, elektronikai jelzőrendszer, élőerős védelem, beléptető rendszer, biztonsági kamera rendszer, villám és túlfeszültség védelem, tűzvédelem. 9

Biztonsági kultúra Egy szervezet biztonsági kultúráját az egyének biztonságtudatos magatartása alakítja ki. A biztonságtudatosságra külső (pl. jogszabályok, szabványok, politikai hatások, piaci hatások, természeti hatások) és belső tényezők (pl. szabályzatok, a közvetlen vezetés utasításai, humánpolitika és ellenőrzés) egyaránt hatással vannak. A megelőzés módszerei: ismeretszerzés, tudatosítás; Adatmentés; felhasználók számítógépeinek védelme. 10

A biztonsági kultúra megvalósításának alapelvei Tudatosítás elve Felelősség elve Válaszintézkedések elve Etika elve Demokrácia elve Kockázatfelmérés elve Biztonságtervezés és végrehajtás elve Biztonságmenedzsment elve Újraértékelés elve 11

Számítógépes visszaélések A számítógép felhasználókat közvetlenül fenyegető veszélyek és kezelésük. A fejezetrészek pontonként definiálják a meghatározások jelentését, azaz hogy pontosan miről beszélünk, az mit veszélyeztet felhasználói, rendszerműködés, információbiztonság és nemzetbiztonság szinten, a megelőzés lehetőségeit, és a teendőket bekövetkezés esetén. 12

Mik ezek a veszélyek? Jogosulatlan adathozzáférés, módosítás; Jelszavak feltörése; Kéretlen levelek (spam); Hamis lánclevelek (hoax); Vírusok; Féreg (worm); Trójaik; Rootkit-ek (rendszermagot fertőző kártevő); Zombihálózat (botnet); Reklámprogramok (adware); Kémprogramok (spyware), kártevő programok (malware); Hamis szoftverek (rogue software, scareware); Adathalászat (phising); Fertőző honlapok; Adatforgalom eltérítése (Man-in-the-middle). 13

Fizikai visszaélések Jelszavak ellesése (observing passwords attack); Megtévesztésen alapuló csalások (Social engineering); IT személyiséglopás (megszemélyesítés eltulajdonítása információs rendszerekben); Eszközök és adathordozók eltulajdonítása; Eszközök selejtezése, kidobása; Szemétbe dobott információ (kukabúvárkodás); Személyes / hivatali adatok megosztása közösségi hálózatokon. 14

Biztonság a munkahelyen Az irodai IT kockázatok csökkentésének leghatékonyabb módszere a megelőzés. A munkatársaknak ismerniük kell az általuk használt irodai szoftvercsomagok működését: az adatbiztonsági és adatvédelmi funkciókat; a személyes adatok törlésének lehetőségét a dokumentumokból; a dokumentumok jelszavas védelmének módszerét; a dokumentumok titkosításának lehetőségeit; az Outlook használat biztonsági kockázatait; az eszközök közötti adatszinkronizálás kockázatait; a vezeték nélküli internet (WiFi) használat kockázatait. 15

Biztonságos üzemeltetés Az információs rendszerek biztonságos üzemeltetéséről részletes módszertanok, egyetemi specializációk és nemzetközi szakmai vizsgák szólnak. A gyakorlatban az üzemeltetés biztonsága a rendszereket működtető informatikus szakembereken, rendszergazdákon és közvetlen vezetőiken múlik. Veszélyek: Túlterheléses támadás (DoS, DDoS); Hálózati letapogatás (network / port scanning); Távoli adminisztrátor eszközök; Adatvesztés; Rendszerfrissítések hibái, hiánya. 16

Biztonságtudatos vezetés A menedzsment módszertanok a biztonsági kultúra megvalósítását lehetővé tevő sikertényezők között első helyen tartalmazzák a felső vezetés elkötelezettségét. Biztonságirányítás követelményei: Információbiztonság irányítása; Információs kockázatkezelés és megfelelés az előírásoknak; Információbiztonsági program kidolgozása és megvalósítása; Információbiztonsági rendkívüli eseménykezelés. 17

A felső vezetők elkötelezettsége Személyes példamutatás; Tájékoztatás, belső szervezeti kultúra fejlesztése; Kockázatkezelés; Megfelelés az előírásoknak; Szervezetek felelős irányítása és a biztonságirányítás; Biztonsági szabályozás és kontroll rendszer; Biztonsági monitoring; Adatgazdai szerep, adatok biztonsági osztályozása; Folyamatos működés biztosítása; Belső ellenőrzés szerepe IT audit és tanácsadás; Kiszervezés. 18

Köszönöm a figyelmüket! Kodaj Katalin elnökhelyettes Nemzeti Elektronikus Információbiztonsági Hatóság Infokommunikációért Felelős Államtitkárság Nemzeti Fejlesztési Minisztérium H-1011 Budapest, Fő u. 44-50. B ép. 502. Telefon: +36-1-79-55270 E-mail: katalin.kodaj@nfm.gov.hu Web: www.kormany.hu 19