Krasznay Csaba ZMNE doktorandusz



Hasonló dokumentumok
77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó

Szabványok, ajánlások

IT biztonsági keretek és követelmények. Budapesti Műszaki és. Informatikai Központ. Szigeti Szabolcs. Networkshop 2009

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

TANÚSÍTVÁNY. tanúsítja, hogy a. Magyar Telekom Nyrt. által üzemeltetett. megfelel

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

2011 PCI Community Meeting Újdonságok Tassi Miklós Gáspár Csaba

SZOFTVERFEJLESZTŐI KÖVETELMÉNYEK MINŐSÍTETT KÖRNYEZETBEN: ADMINISZTRATÍV KÖVETELMÉNYEK

TANÚSÍTVÁNY. A HUNGUARD Számítástechnikai-, informatikai kutató-fejlesztő és általános szolgáltató Kft, mint tanúsító szervezet.

2013 L. - tapasztalatok Antidotum 2015

Muha Lajos. Az információbiztonsági törvény értelmezése

Az e közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben. Krasznay Csaba

Nemzetközi jogszabályi háttér I.

Intelligens partner rendszer virtuális kórházi osztály megvalósításához

Informatikai biztonsági elvárások

Bevezetés: Mi a CRM? A tervezési fázis helye és szerepe a CRM implementációs projektekben Jógyakorlatok: mire figyeljünk a CRM tervezés közben.

Az Európai Unió Tanácsa A SZERVEZETT ÉS SÚLYOS NEMZETKÖZI BŰNÖZÉSRE VONATKOZÓ EURÓPAI UNIÓS SZAKPOLITIKAI CIKLUS

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

ROBOTHADVISELÉS S 2010

IATF - International Automotive Task Force IATF 16949:2016 Hivatalos értelmezés

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Tesztmérnök: tesztautomatizálási mérnök Feladat: Elvárások: Előnyt jelent: Beágyazott rendszer tesztmérnök beágyazott rendszer tesztmérnök Feladat:

Magyar Szabad Szoftver Tárház. Erdei Csaba Mátó Péter

Konvergens ICT fejlesztések az e-közigazgatás támogatására. Ádám Csongor, kiemelt fejlesztések ágaza7 igazgató

Iránymutatások a piaci visszaélésekről szóló rendelethez

Az agrár-informatikai fejlesztések ágazati kihívásai az EU finanszírozás tükrében. Előadók: Dr. Mezőszentgyörgyi Dávid és Kaszás Zoltán

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

A MAGYAR ELEKTRONIKUS KÖZIGAZGATÁSI ALKALMAZÁSOK INFORMÁCIÓBIZTONSÁGI MEGOLDÁSAI

HELYES zárójelentése) Válasz sikeresnek vagy sikertelennek nyilvánítja a projektet HIBAS

PSZÁF - IT kockázatkezelési konferencia IT szolgáltatások megfelelőségének biztosítása Mátyás Sándor Belső Ellenőrzés

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Összefoglaló jelentés

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Hatékony iteratív fejlesztési módszertan a gyakorlatban a RUP fejlesztési módszertanra építve

ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM HADTUDOMÁNYI KAR KATONAI M SZAKI DOKTORI ISKOLA

BIZTONSÁGI AUDIT. 13. óra

ADATVÉDELMI NYILATKOZAT

Tartalom. Dr. Bakonyi Péter c. docens. Midterm review: összefoglaló megállapítások. A A célkitűzések teljesülése 2008-ig

Dr. Bakonyi Péter c. docens

DW/BI rendszerek kialakítása bevezetői szemszögből. Gollnhofer Gábor - Meta Consulting Kft.

PCI DSS trendek külföldön és Magyarországon Tátrai Péter Gáspár Csaba

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Naplózás e- közigazgatási rendszerekben

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Autóipari beágyazott rendszerek Dr. Balogh, András

Az értékelési rendszerek minőségbiztosítása. Elkészült egy rendszer és kézikönyv

gyógypedagógus, SZT Bárczi Gusztáv Egységes Gyógypedagógiai Módszertani Intézmény 2

Nemzeti Klaszter Konferencia

Az ökoiskolai munkatervünk 2015/2016

elearning TAPASZTALATOK ÉS TERVEK A ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEMEN

A szabványos minőségi rendszer elemei. Termelési folyamatok

KÖZIGAZGATÁSI INFORMATIKAI BIZOTTSÁG

A BUDAPESTI GAZDASÁGI FŐISKOLA SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZATA. BUDAPESTI GAZDASÁGI FŐISKOLA SZERVEZETI ÉS MŰKÖDÉSI RENDJÉNEK.

Állami érdekű alkalmazás-fejlesztések egységes környezetben. Papp Gergely Zoltán

SZOCIÁLIS ÁGAZATI KONZULTÁCIÓ 2018 MEGÚJULÁS FELKÉSZÜLTSÉG MINŐSÉG

Pedagógiai asszisztens Pedagógiai asszisztens

ROBOTHADVISELÉS 7. tudományos konferencia november 27.

Hatékony műszaki megoldások lineáris és lekérhető médiaszolgáltatások esetén Ajánlástervezet ismertetése

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Minőségirányítás az építőiparban. Földessyné Nagy Márta okl. építőmérnök 2013.

Innovációs területek fejlesztési feladatok és hozzájuk rendelt tanácsadói tevékenységek meghatározása 1. innovációs terület:

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ

Az adatbázis-biztonság szerepe és megvalósításának feladatai a kritikus információs infrastruktúrák védelmében

KISBAJCS és VÉNEK KÖZSÉGEK ÖNKORMÁNYZATA KÉPVISELŐ-TESTÜLETEI

A JÖVŐ INTERNET KUTATÁSKOORDINÁCIÓS KÖZPONT SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZATA

Bárányfelhő vagy viharfelhő? A felhő alapú megoldások biztonsági kérdései. Császár Rudolf Műszaki fejlesztési vezető Digital Kft.

INTÉZMÉNYI ÖNÉRTÉKELÉS TÁMOP

T2S NUG TÁRSASÁGI ESEMÉNYEK MUNKACSOPORT 8. ÜLÉSE AGENDA

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

20 éves Szombathely város térinformatikai rendszere

Új dokumentálandó folyamatok, azok minimális tartalmi elvárásai

stratégiai kutatási terve

Budapesti Műszaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék

TANÚSÍTVÁNY. tanúsítja, hogy a Magyar Posta Biztosító Zrt. és a Magyar Posta Életbiztosító Zrt., illetve a Magyar Posta Zrt. által üzemeltetett

TANÚSÍTÁSI JELENTÉS HUNG-TJ /2011

Pánczél Zoltán / Lyukvadászok szabálykönyve

Szakmai ajánlat független külső minőségbiztosítási tevékenység ellátására a. Struktúraváltás a Bajai Szent Rókus Kórházban című

Települési ÉRtékközpont

2. SZEMÉLYISÉG- ÉS KÖZÖSSÉGFEJLESZTÉS

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

A TESZTELÉS ALAPJAI A TESZTELÉS ALAPVETŐ FOLYAMATA A TESZTELÉS PSZICHOLÓGIÁJA A TESZTELÉS ETIKAI KÓDEXE

TANÚSÍTVÁNY. Jelen tanúsítvány a HUNG-TJ-MIBETS számú Tanúsítási jelentés alapján került kiadásra.

NEMZETI PARLAMENT INDOKOLÁSSAL ELLÁTOTT VÉLEMÉNYE A SZUBSZIDIARITÁSRÓL

ELTE Informatikai Kooperációs Kutatási és Oktatási Központ. Az ELTE-Soft KMOP / jelű pályázat zárórendezvénye

ZRÍNYI MIKLÓS NEMZETVÉDELMI EGYETEM HADTUDOMÁNYI KAR KATONAI MŰSZAKI DOKTORI ISKOLA

TANÚSÍTVÁNY (E-MS06T-TAN-01.ST) MELLÉKLETE

Az elektronikus közigazgatás fejlesztése - különös tekintettel az önkormányzatokra

Követelmény meghatározás. Információrendszer fejlesztés módszertana, Dr. Molnár Bálint egyetemi docens 1

Küldetésünk a biztonság

Építőipari tűzvédelmi rendszerek szükséges átadási dokumentumai.

Az informatikai biztonsági kockázatok elemzése

Hatékonyságnövelő program

Tudatos kockázatmenedzsment vs. megfelelés

VINÇOTTE HUNGARY. ISO Üzleti kockázatok kezelése és csökkentése Péter Lajos, vezető auditor,

ÖNKORMÁNYZATI ÉS TERÜLETFEJLESZTÉSI MINISZTER J/1893. Jelentés

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

Átírás:

Krasznay Csaba ZMNE doktorandusz

Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal? Válasz: mert e-közigazgatási rendszerek esetén nemzeti kritikus információs infrastruktúrákról beszélünk Okok (prioritási sorrendben): Belső visszaélések Külső, nem szervezett támadások elkerülése (hackertámadások) Külső, anyagi motivációból elkövetett támadások (szervezett alvilág) Külső, ideológiai alapon nyugvó támadások (kiberterrorizmus) Külső, országok közötti konfliktusok miatti támadások (kiberhadviselés)

Elmondható, hogy az államigazgatás felismerte a fejlesztés biztonságának fontosságát. A mozgásteret a szabályrendszer nagyjából kijelöli. Az ördög azonban a részletekben rejlik! Fejlődő területről van szó, nem csak hazánkban, hanem külföldön is! A következőkben a legégetőbb problémákról lesz szó.

Microsoft SDL OWASP CLASP NIST SP 800-64

Minőségbiztosít ó

Az EKOP-on belüli alkalmazásfejlesztésekben a biztonság kiemelt szerepet kapott A projektek elindulása után azonban sokszor felmerültek azok a hatásköri kérdések, melyekre a pályázat nem tért ki. Így elsősorban az, hogy kinek a feladata az alkalmazáshoz kapcsolódó kockázatelemzés elkészítése, a biztonsági besorolások elvégzése. Általánosságban elmondható, hogy nem pontosan tisztázott, hogy a kiírás/tervezés során milyen alapdokumentumokat kell átadnia a megrendelőnek, melyekből a fejlesztő már konkrét biztonsági rendszert tud tervezni.

A biztonságos alkalmazásfejlesztés annyira új tudományterület, hogy nagyon kevés szakember foglalkozik a fejlesztőcégeknél ezzel a témával. A fejlesztő és a megrendelő/minőségbiztosító közötti láncban két biztonsággal foglalkozó szerepkört hasznos beilleszteni: a security architektet, akinek a feladata az adott technológiai platformra magas szinten meghatározni a biztonsági követelményeket (technológiai tudás) a belső biztonsági auditort, aki a szabályozási követelmények teljesülését és a megfelelő fejlesztési folyamatokat követeli meg (auditori tudás).

A biztonsági minőségbiztosító hasznos segítséget jelent mind a megrendelő, mint a szállító oldal részére. Nem tisztázott azonban, hogy hatásköre meddig terjed ki, azaz mekkora belelátása lehet a fejlesztési folyamatokba. Érezhetően nincs egységesen elfogadott auditori gyakorlat, melynek kialakulása gördülékenyebbé tehetné az átadás/átvételi folyamatokat.

A KIB 28. ajánlás az egyes biztonsági szintekhez pontosan meghatározza a funkcionális követelményeket. Ezek azonban eléggé magas szintűek ahhoz, hogy konkrét esetben (pl. mit naplózzon a rendszer) ne lehessen egyértelmű választ adni. A gyakorlatban az látható, hogy elsősorban az authentikációs, authorizációs és naplózási kérdésekre valamilyen egységes ajánlást kell kidolgozni Kicsit távolabbról nézve, a KIB 28. ajánláskötetet egy olyan élő halmazzá kell tenni, melyben folyamatosan jelenhetnek meg jógyakorlatok vagy műszaki ajánlások, melyek a jelenlegi rendszert kiegészítik. Ugyanez mondható el a fejlesztési folyamatokra is, pl. a sebezhetőségvizsgálat egységes módszertanának kidolgozása még várat magára.

Az EKOP projektek egy része előírta a CC EAL4 megfelelést. Ezen szabvány sikeres alkalmazásához azonban számos peremfeltétel hiányzik, így annak eldöntése hogy az ISO szabvány, vagy a magyar értelmezésnek megfelelő MIBÉTS az irányadó, pontosan milyen tartalmi és formai követelmények fogadhatók el, milyen könnyítésekkel lehet esetlegesen élni, stb. Nagyon hiányzik a rendszerből egy olyan vének tanácsa jellegű testület, melyhez értelmezési kérdésekkel lehet foglalkozni. Ennek hiánya okozza azt a paradoxont, hogy ugyanabból a szabványból dolgozva a különböző minőségbiztosítók különböző következtetéseket vonnak le.

Egy út elején járunk, ahol nagyon fontos a visszacsatolás, a további kutatás. A biztonságot már tervezési fázisban be kell építeni a rendszerbe, ezért nyilvánvaló problémákat a lehető leghamarabb meg kell oldani! Vegyük tudomásul: a rendszerfejlesztés teljes költségének 10-20%-a biztonsági jellegű kell, hogy legyen.

E-mail: csaba@krasznay.hu Web: www.krasznay.hu

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés