KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG



Hasonló dokumentumok
KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

Informatikai biztonsági elvárások

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

Szabványok, ajánlások

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

ROBOTHADVISELÉS S 2010

ÚTMUTATÓ AKKREDITOROK SZÁMÁRA

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Salgótarján Megyei Jogú Város J e g y zıjétıl 3100 Salgótarján, Múzeum tér 1. 32/ jegyzo@salgotarjan.hu

ADATBÁZISOK BIZTONSÁGÁNAK KEZELÉSE A KÖZIGAZGATÁSBAN

Mindezek figyelembevételével Tengelic Község Önkormányzatának évi belsı ellenırzési terve a következıket tartalmazza.

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

IT BIZTONSÁG RELEVÁNS SZABVÁNYAI

AZ ADATBÁZIS-BIZTONSÁG SZABÁLYOZÁSÁNAK ALAPJAI A MAGYAR KÖZTÁRSASÁGBAN

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Károli Gáspár Református Egyetem ME BELSİ AUDIT

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

26/2004. (VI. 11.) BM rendelet

Alkalmazásportfólió. Szoftvermenedzsment. menedzsment. Racionalizálás. Konszolidáció. Nyilvántartás. Elemzés

2013 L. - tapasztalatok Antidotum 2015

A tőzvédelmi tanúsítási rendszer mőködése Magyarországon

Éves ellenırzési terv évre

DEBRECENI EGYETEM EGYETEMI ÉS NEMZETI KÖNYVTÁR GYAKORNOKI SZABÁLYZATA

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

Sárospatak Város Polgármesterétıl

Minıségirányítási rendszer tervezése és bevezetése

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

ELİLAP AZ ELİTERJESZTÉSEKHEZ

Funkcionális menedzsment Általános (naturális) filozófiai értelmezés

Szigma Integrisk integrált kockázatmenedzsment rendszer

FÜGGETLEN KÖNYVVIZSGÁLÓI RÉSZJELENTÉS. Szeged Megyei Jogú Város Önkormányzat I-III. negyedévi költségvetés teljesítésének átvilágításáról

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. Magyar Informatikai Biztonsági Ajánlások (MIBA)

Pilis Város Jegyzıje

18/2013. (III. 5.) EMMI rendelet

NAR IRT 2. kiadás

Gyakornoki szabályzat

Az ÚMFT és OP-k értékelésének rendszere, a monitoring bizottságok és az indikátorok szerepe az értékelésben

A Borsod Abaúj Zemplén Megyei Kórház és Egyetemi Oktató Kórház Minıségügyi Rendszere. Múlt. Jelen. Jövı

Beruházás-szervezés projektkoordináció

Bakonyi Szakképzés-szervezési Társulás HATÁROZAT

203/2011. (X. 7.) Korm. rendelet

ORDACSEHI KÖZSÉG ÖNKORMÁNYZAT Felülvizsgált stratégiai ellenırzési terve a év vonatkozásában

Környezeti célú fejlesztések

Távmunka: a XXI. század foglalkoztatási formája. CMC prezentáció

Komplex szervezetfejlesztés megvalósítása Tab Város Önkormányzatánál

ELİLAP AZ ELİTERJESZTÉSEKHEZ

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

A külsı minıségbiztosítás jelentısége az e-kormányzati fejlesztésekben, a magyar IIER fejlesztésben szerzett tapasztalatok alapján

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

SZEGHALOM VÁROS ÖNKORMÁNYZATA POLGÁRMESTERI HIVATALÁNAK SZERVEZETFEJLESZTÉSE SZERVEZETFEJLESZTÉSI FELMÉRÉS BELSİ ELLENİRZÉS KÉZIRAT

SZAKISKOLAI ÖNÉRTÉKELÉSI MODELL

E L İ T E R J E S Z T É S. AZ ELİTERJESZTÉS SORSZÁMA: 125. MELLÉKLET: 1 db

Muha Lajos A MAGYAR KÖZTÁRSASÁG KRITIKUS INFORMÁCIÓS INRASTRUKTÚRÁINAK VÉDELME

Elıterjesztés Lajosmizse Város Önkormányzata Képviselı-testületének június 24-i ülésére

Az ÁFSZ 1 stratégia aktualizálása az új rehabilitációs és szociális feladatkörben

INTÉZMÉNYI MINŐSÉGIRÁNYÍTÁSI PROGRAM TÜRR ISTVÁN GIMNÁZIUM ÉS KOLLÉGIUM

SZOLGÁLTATÁSOK MEGFELELİSÉG VIZSGÁLATÁBAN TECHNIKAI LEÍRÁS KÖZREMŐKÖDİ SZERVEZETEKRE VONATKOZÓ ELVÁRÁSOK

E-KÖZIGAZGATÁS BEVEZETÉS STRATÉGIA AZ ÖNKORMÁNYZATI HIVATAL SZERVEZET- FEJLESZTÉSÉHEZ 4.

Balatonboglár Városi Önkormányzat Képviselı-testületének 7/2009. (II.27.) rendelete a közoktatási intézmények adatszolgáltatási rendjérıl

KÖZPONTI RENDSZER PILOT PROJEKTTERV

Ordacsehi Község Önkormányzata évi belsı ellenırzési terve

E L İ T E R J E S Z T É S

Pécel Város Önkormányzatának Jegyzıje 2119 Pécel, Kossuth tér 1. Tel: 28/ , ; Fax: 28/

Beszámoló a Tolna Megyei Területfejlesztési Tanács évi munkájáról

Elıterjesztés az Oktatási és Kulturális Bizottság november 10-i ülésére

Szociális és Egészségügyi Iroda

A szállító, gyártó feladatai a CE megfelelıségi jel megalapozott feltüntetése érdekében

Fejér Megye Közgyőlése 31/2004. (VII.9.) K.r.számú. r e n d e l e t e. a sportról

A TISZÁNTÚLI KÖRNYEZETVÉDELMI, TERMÉSZETVÉDELMI ÉS VÍZÜGYI FELÜGYELİSÉG ÉVI ELLENİRZÉSEIRİL

Belsı ellenırzési jelentés

Elıterjesztés. Lajosmizse Város Önkormányzata Képviselı-testületének május 31-i ülésére

A BELSİ ELLENİRZÉS KIALAKÍTÁSA ÉS MŐKÖDTETÉSE A GYİR-MOSON-SOPRON MEGYEI ÖNKORMÁNYZATNÁL

MINİSÉGIRÁNYÍTÁSI ELJÁRÁS

(2007. évben kidolgozott változat, évben felülvizsgált, egységes szerkezetbe foglalt változata)

Szépmővészeti Múzeum térszint alatti bıvítése: A projekt idıt befolyásoló kockázatok értékelése. Készítette: Kassai Eszter Rónafalvi György

V. sz. melléklet 22. pontja APOR VILMOS KATOLIKUS FİISKOLA FELESLEGES VAGYONTÁRGYAK HASZNOSÍTÁSÁNAK ÉS SELEJTEZÉSÉNEK SZABÁLYZATA

Projekttervezés alapjai

Referatúra Fıosztály Pécs, Széchenyi tér 1.

A Végrehajtás Operatív Program as akcióterve december

Mozgásjavító Gyermek- és Ifjúsági Központ

OTSZ VILLÁMVÉDELEM. Elemzés és módosítási javaslat

Salgótarján Megyei Jogú Város Polgármestere

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

SZERVEZETFEJLESZTÉS KENDERES VÁROS ÖNKORMÁNYZAT POLGÁRMESTERI HIVATALÁBAN

Elıterjesztés az Önkormányzat évi ellenırzési tervérıl

Tengelic Község Önkormányzatának Stratégiai ellenırzési terve év

A Wesley János Lelkészképzı Fıiskola Doktori Iskolájának minıségpolitikája

A ZSIRAI ÁLTALÁNOS ISKOLA

Felsılajos Község Önkormányzata Képviselı-testületének április 26-i ülésére. pénzügyi-ügyintézı. aljegyzı

A TÁMOP /2 pályázat keretében képzési és mentori szolgáltatás ellátására benyújtott ajánlati dokumentációról

SZOCIÁLIS ÉS MUNKAÜGYI MINISZTÉRIUM. Szóbeli vizsgatevékenység

Bodroghelyi Csaba főigazgató-helyettes. Jóváhagyta: Sződyné Nagy Eszter, főosztályvezető. Készítésért felelős: Szabályzat kódja: NAR IRT_SZT_k04

A környezetbarát (zöld) közbeszerzés helyzete és lehetıségei az Európai Unióban

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG. 25. számú Ajánlása. 25/2. Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS)

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

E l ı t e r j e s z t é s

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Átírás:

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG 25. számú Ajánlása Magyar Informatikai Biztonsági Ajánlások (MIBA) 1.0 verzió 2008. június - 1 -

Közigazgatási Informatikai Bizottság 25. számú Ajánlása Készült a Miniszterelnöki Hivatal megbízásából Készítették: 25/1 Magyar Informatikai Biztonság Irányítási Keretrendszer (MIBIK) (Muha Lajos PhD, CISM) 25/1-1 Informatikai Biztonság Irányítási Rendszer (IBIR) Közremőködött: Berkes Zoltán, Déri Zoltán, Krasznay Csaba CISA, CISM, CISSP, Muha Lajos PhD, CISM 25/1-2 Informatikai Biztonság Irányítási Követelmények (IBIK) Közremőködött: Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Sneé Péter, Váncsa Julianna PhD 25/1-3 Az Informatikai Biztonság Irányításának Vizsgálata (IBIV) Közremőködött: Balázs István CSc, Déri Zoltán, Lobogós Katalin, Muha Lajos PhD, CISM, Nyíry Géza CSc, CISM, Sneé Péter, Váncsa Julianna PhD 25/2 Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS) 1-4. segédletet Összeállította: Balázs István Közremőködött: Balázs István, Staub Klára, Szabó István 5. segédletet Összeállította: Balázs István Közremőködött: Balázs István, Farkas Gábor, Endrıdi Zsolt, Juhász Judit 25/3 Informatikai Biztonsági Iránymutató Kis Szervezeteknek (IBIX) Összeállította: Szigeti Szabolcs CISA, CISM, CISSP Közremőködött: Krasznay Csaba CISA, CISM, CISSP, Muha Lajos PhD, CISM, Rigó Ernı, Szigeti Szabolcs CISA, CISM, CISSP A bevezetıt írta, és az ajánlást kiadásra elıkészítette: dr. Dedinszky Ferenc Az ajánlás a Közigazgatási Informatikai Bizottság (KIB) Jogi és Mőszaki Szabályozási Albizottsága észrevételei alapján véglegesített tartalommal a KIB tagjainak 2008. május-júniusi elektronikus távszavazása alapján került elfogadásra - 2 -

A Közigazgatási informatikai Bizottság 25. számot viselı ajánlássorozata az Informatikai Tárcaközi Bizottság 1994-1996. között kiadott 8. (Az informatikai biztonság módszertani kézikönyve) 12. (Az informatikai rendszerek biztonsági követelményeirıl) és 16. számú (A Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertanáról) címő ajánlásait váltja fel kiegészített, átdolgozott és a korábbinál bıvebb tartalommal. A korábbi ajánlások az elmúlt több, mint 10 évben tartalmilag megállták a helyüket, és megállapításaik túlnyomórészt ma is érvényesnek tekinthetık. Ugyanakkor az elmúlt idıszakban az informatika olyan fejlıdésen ment keresztül, amelyek indokolják a biztonsággal összefüggı ajánlásoknak az idıközben bekövetkezett változásokat figyelembe vevı új, egységes szerkezető, és az informatikai biztonság minden lényeges területét átfogó kiadását. Az ajánlások tartalmilag úgy lettek összeállítva, hogy a jelenleg hatályos jogszabályok (195/2005. (IX. 22.) és a 84/2007 (IV. 25.) Korm. rendeletek) által elıírt rendelkezéseknek a közigazgatási szervezetek meg tudjanak felelni. Az ajánláscsomag tartalmazza mindazokat az információkat, amelyek jogszabályok által elıírt dokumentumok összeállításához, az eljárásrendek kialakításához, valamint a biztonságos elektronikus szolgáltatások megvalósításához szükségesek. Az ajánlássorozatba foglaltak alapján valósul meg az elektronikus szolgáltatást mőködtetı/üzemeltetı szervezetek biztonsági értékelése/tanúsítása, valamint a szolgáltatások auditálása. Az ajánlássorozat kiadásának idıpontjában elıkészületben van az informatikai biztonságról szóló törvény-tervezet, amely rendelkezik arról, hogy a közigazgatási szervek csak auditált elektronikus szolgáltatást mőködtethetnek. A törvény megfelelı felkészülési idıt ad az auditálás végrehajtására, de javasolt, hogy a most fejlesztés alatt álló e-szolgáltatások már az ajánlás figyelembe vételével készüljenek el, illetve javasolt a már mőködı szolgáltatásoknak az ajánlás szerinti átvizsgálása, és szükség esetén a hiányosságok felszámolása. Az elektronikus szolgáltatásoknak az ajánlássorozat szerinti biztonsági követelményeknek és elıírásoknak a megfeleltetése azért különösen fontos, mert örvendetesen egyre jobban nı a közigazgatási szervek által indított szolgáltatások száma, amelyek egyre több közigazgatási ügy elektronikus úton történı elintézését teszik lehetıvé. E szolgáltatások jelentıs része a szükséges azonosítás következtében, illetve a továbbított adatok tartalma miatt tartalmaz vagy a személyiségi jogok, vagy az üzleti titok körébe sorolható olyan adatokat, amelyek védelme különös fontosságú. Ha az esetlegesen elégtelen biztonsági megoldások miatt a szolgáltatások során tárolt, továbbított és feldolgozásra kerülı információk illetéktelenek számára hozzáférhetıvé, módosíthatóvá vagy törölhetıvé válnak, vagy egy váratlanul bekövetkezı esemény következtében a tárolt adatok helyreállíthatatlanul megsérülnek, akkor az nemcsak jelentıs erkölcsi és anyagi károkkel járna, hanem az elektronikus közigazgatási szolgáltatások egész rendszerébe vetett bizalom rendülne meg. A biztonsági követelmények biztosítása, és ezek ellenırzése többletköltséget jelent az elektronikus közigazgatási szolgáltatást nyújtók számára, azonban ezek a költségek nem összevethetık azokkal az erkölcsi és anyagi károkkal, amelyek e költségek elhagyása esetén jelentkeznének. Az elektronikus szolgáltatások iránti bizalom megszőnése esetén a feleslegessé váló közigazgatási informatikai fejlesztések miatt több tízmilliárdos kár keletkezne. Különösen fontos annak a tételnek a széleskörő belátása, hogy az információbiztonság területén minden egyes elkerült kár nyereségnek felel meg. Az ajánlás célja az egységes elveken nyugvó, a nemzetközi szabványokhoz és ajánlásokhoz igazodó hazai elıírások biztosítása az informatikai biztonság megteremtéséhez és fenntartásához. - 3 -

Magyar Informatikai Biztonsági Ajánlások (MIBA) A Magyar Informatikai Biztonsági Ajánlások (MIBA) címő ajánlássorozat fı célja, hogy biztonságos informatikai rendszerek kialakítását és fenntartását segítse elı. A nemzetközi szabványokhoz és ajánlásokhoz igazodva a MIBA három fı részbıl áll: A Magyar Informatikai Biztonsági Keretrendszer (MIBIK) szervezeti szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBIK a biztonságos informatikai rendszerek irányításáért, menedzseléséért felelıs vezetıknek, illetve a szervezet egészére vonatkozó követelmények teljesülését értékelı szakembereknek szól. A Magyar Informatikai Biztonság Értékelési és Tanúsítási Séma (MIBÉTS) technológiai szempontból kezeli az informatikai biztonság kérdését. Ezért a MIBÉTS célközönsége az informatikai rendszer kialakításáért, fejlesztéséért felelıs vezetık, valamint az informatikai termékek és rendszerek biztonsági értékelését és tanúsítását végzı szakemberek köre. Az Informatikai Biztonsági Iránymutató Kis Szervezetek Számára (IBIX) olyan szervezeteknek nyújt segítséget biztonságos informatikai rendszereik kialakításához, amelyek nem rendelkeznek jelentısebb informatikai rendszerrel, illetve ehhez elkülönült informatikai személyzettel. A MIBIK az ISO/IEC 27001:2005, ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványokon, valamint az irányadó EU és NATO szabályozáson alapul. A MIBIK része az Informatikai Biztonsági Irányítási Rendszer (IBIR), amely a szervezet informatikai biztonságának tervezésére, üzemeltetésére, ellenırzésére és javítására vonatkozik. A MIBIK további részei az Informatikai Biztonság Irányítási Követelmények (IBIK), amely az informatikai biztonság kezelésének hatékonyabbá tételéhez nyújt segítséget, lehetıséget teremtve a követelmények és feladatok szakmailag egységes kezelésére, illetve az Informatikai Biztonsági Irányítás Vizsgálata (IBIV), amely az informatikai biztonság ellenırzéséhez ad módszertani segítséget. A MIBÉTS az ISO/IEC 15408:2005 és ISO/IEC 18045:2005 nemzetközi szabványokon, illetve a nemzetközi legjobb gyakorlatokon és nemzeti sémákon alapul. Keretet biztosít arra, hogy az informatikai termékek és rendszerek tekintetében a biztonsági funkciók teljessége és hatásossága értékelésre kerüljön. Értékelési módszertana alkalmas az operációs rendszerek, hardverek (pl. hálózati eszközök, tőzfalak, behatolás észlelık, intelligens kártyák), szoftver-alkalmazások (pl. különbözı programnyelveken megírt kritikus alkalmazások) speciális biztonsági szempontjainak értékelésére. Ezzel a MIBÉTS a megbízható harmadik felek által végzett biztonsági ellenırzés és audit egységes szempontrendszerét alkotja meg. Az IBIX elsıdleges célja, hogy segítséget nyújtson az informatikai biztonság megfelelı szintjének kialakításához önkormányzati és más informatikai szempontból kis mérető környezetben. Javasolt az anyag azon szervezetek számára, ahol a szervezet méreténél fogva nem áll rendelkezésre külön emberi és egyéb erıforrás az informatikai rendszerek biztonságának kialakítására és üzemeltetésére, hanem ezt házon belül kell megoldani. - 4 -

Az ajánlások alkalmazása Az ajánlások alkalmazásánál a következı alapelvek segítenek: A nagyobb szervezetek az informatika-biztonsági irányításában, mőködtetésében a MIBIK ajánlásait fokozatosan vezessék be; A nagyobb szervezetek az informatikai termék és rendszer beszerzéseik során az azonos tulajdonságú termékek vagy rendszerek közül a közbeszerzési törvény elıírásainak figyelembe vétele mellett részesítsék elınyben a nemzetközi (CC, Common Criteria) vagy hazai (MIBÉTS) séma szerint értékelt és tanúsított termékeket, rendszereket; A kisebb szervezetek informatikai fejlesztéseik során az IBIX ajánlás szerinti szervezeti követelményeket érvényesítsék, valamint végeztessék el az ott megfogalmazott technológiai beállításokat. Egy szervezeten belül az informatikai biztonság megteremtéséhez és fenntartásához az ajánlásokhoz kapcsolódó részletes segédletek adnak konkrét segítséget, a következı módon: Feladat Szükséges lépések A MIBA felhasználandó dokumentumai Az Informatikai Biztonság Irányítási Rendszer létrehozása és mőködtetése IBIR Az informatikai rendszer(ek) biztonságának megteremtése és fenntartása Új informatikai alkalmazás bevezetése Új informatikai alkalmazást megvalósító termék vagy rendszer kiválasztása Biztonság-kritikus termék és rendszer technológiai szempontú értékeltetése és tanúsíttatása Biztonság-kritikus termék és rendszer technológiai szempontú értékelése és tanúsítása (szervezeten kívüli feladat) A beszerzett termékek és rendszerek biztonságos üzemeltetése A rendszerek és adatok minısítése, a hiányosságok megállapítása Védelmi követelmények megfogalmazása, Informatikai Biztonsági Szabályzat (IBSZ) elkészítése, meglévı aktualizálása A védelmi követelmények alapján az alkalmazás biztonság-kritikusságának felmérése, szükség esetén a védelmi (biztonsági) követelményeknek megfelelı, értékelt és tanúsított termékek kiválasztása Amennyiben nincs megfelelıen értékelt termék, vagy a termék egy olyan komplex rendszerben kerül alkalmazásra, melynek egységes értékelése is szükséges, a termék vagy a rendszer technológiai szempontú értékeltetése és tanúsíttatása A technológiai szempontú értékelésben és tanúsításban érintett külsı résztvevık (fejlesztı, vizsgáló laboratórium, tanúsító szervezet) végrehajtják az értékelést és tanúsítást A biztonsági szabályozók és a termék által teljesített (értékelt) biztonsági funkciók feltételrendszerének összhangba hozása Kockázatelemzés, belsı ellenırzések elvégzése, külsı audit megrendelése és elfogadása IBIK 1. számú segédlet: Modell és folyamatok 2. számú segédlet: Útmutató megbízóknak 3., 4. és 5. számú segédletek (Útmutató fejlesztıknek, Útmutató értékelıknek, Értékelési módszertan) IBIK IBIV - 5 -

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés