IT biztonsági törvény hatása IT biztonság a modern államigazgatás szolgálatában Tim Zoltán CISA, CISM, CRISC, CCSK, IPMA B Budapest, 2014. Október 16.
1 Informatikai biztonság jogszabályai Today 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 2 Koncepció a megfelelés biztosítására 2012 - Stratis Vezetői és Informatikai Tanácsadó Kft. 2
Új jogszabályok jelentek meg az állami és önkormányzati szervek elektronikus információbiztonságáról 2013. évi L. törvény (IT biztonsági törvény) Definiálja azoknak a szervezeteknek a körét, akikre vonatkozik Általános követelményeket határoz meg (pl. kockázat arányos védelem, C, I, A) Előírja az információs rendszerek és szervezetek biztonsági besorolását 77/2013. (XII. 19.) NFM rendelet (Végrehajtási rendelet) Biztonsági osztályok jellemzőit határozza meg kvalitatív jellemzőkkel Biztonsági osztályokhoz tartozó követelményeket határozza meg Követelmények tartalmát határozza meg http://www.nbf.hu/jogszabalyok.html 2013. Július 1.-től egy éven belül kell a törvényi megfelelést biztosítani 2012 - Stratis Vezetői és Informatikai Tanácsadó Kft. 3
Adminisztratív és technikai intézkedésekkel biztosítható a megfelelés két évente egy biztonsági szint Informatikai biztonsági felelős kijelölése (hi.: 60 nap) Biztonsági szint meghatározása (hi.: 1 év) Szabályozási környezet kialakítása (hi.: 90 nap) Nemzeti adatvagyont kezelő, illetve létfontosságú rendszerelemeket működtető szervezetek 5. osztályba sorolandók Kockázattokkal arányos biztonsági intézkedéseket kell bevezetni és megvalósítást ellenőrizni 2012 - Stratis Vezetői és Informatikai Tanácsadó Kft. 4
A nevesített dokumentumok elkészítése kötelező, de részletességük szervezet függő Dokumentum Jellemzők Információ biztonsági politika Biztonsági célokat, alapelveket fogalmaz meg A vezetés biztonsági elkötelezettségét deklarálja Informatikai biztonsági stratégia A biztonság fejlesztési irányainak meghatározása, Rövid-, közép- és hosszú távú tervek meghatározása Informatikai biztonsági szabályzat Kockázatelemzés Biztonsági szerepköröket, feladataikat és felelősségi körüket definiálja Biztonság irányítási feladatait szabályozza, kockázatelemzési módszert határozza meg Biztonság különböző területeit szabályozza Kockázati regiszter Kockázatkezelés terv Üzletmenet folytonossági terv Folytonossági követelmények meghatározása, visszaállítási stratégia meghatározása ÜFT tevékenységek szabályozása, folyamatokra és a rendszerek visszaállítására vonatkozó eljárások meghatározása 2014 - Stratis Vezetői és Informatikai Tanácsadó Kft. 5
Minimális kiegészítő szabályozások - A kevesebb néha több Védendő erőforrások listája Erőforrás kategóriák, Egyedi erőforrások, Biztonsági besorolás alapja, mit és mennyire kell védeni, ki az erőforrás gazdája Kockázatelemzés alapja IT biztonsági kisokos A felhasználókra vonatkozó biztonsági szabályok Kivonat a lényeges szabályokról Üzemeltetési rend Rutin üzemeltetési feladatok szabályai Rendszer specifikus szabályok: Ki, mikor, mit Mentési rend Mentési eljárásrend Rendszerenként a mentési szabályok Jogosultság kezelési eljárás Jogosultság igénylés, módosítás, visszavonás, Jogosultságok felülvizsgálata Változáskezelési eljárás Változáskérelmek kezelése: hatáselemzés, bírálat, ellenőrzés Változáskezelés üzleti szempontok alapján történik Szolgáltatás katalógus (CMDB) Szolgáltatások katalógus Az IT erőforrások és kapcsolataik nyilvántartása 2014 - Stratis Vezetői és Informatikai Tanácsadó Kft. 6
Az előírt biztonsági szint elérésére szintenként két évet ad a jogszabály Felmérés Útiterv készítése Biztonsági fejlesztések Biztonsági felülvizsgálat Biztonsági fejlesztés II Hova kell eljutni? Hogyan jutunk oda? Haladunk Ott vagyunk már? Tovább haladunk Kockázatok felmérése Biztonsági osztályba sorolás Két éves fejlesztési terv Nevesített dokumentumok elkészítése Nevesített kontrollok bevezetése Belső és vagy külső auditok Változások esetén felülvizsgálat Két évente egy szint, ameddig az előírt biztonsági szintet elérjük 2014 - Stratis Vezetői és Informatikai Tanácsadó Kft. 7
Tim Zoltán Igazgató tanácsadó Iroda: 1037 Budapest, Szépvölgyi út 139. Tel: + 36 (1) 454 1900 Fax: + 36 (1) 454 1901 Mobil: + 36 (30) 2110 390 E-mail: zoltan.tim@stratis.hu 2014 - Stratis Vezetői és Informatikai Tanácsadó Kft. 8