Belső kontrollok és integritás az önkormányzatoknál konferencia Fejér Megyei Kormányhivatal Székesfehérvár, 2013.11.7. Fókuszban az információbiztonság A 2013. évi L. tv-nek való megfeleléshez szükséges fő lépések áttekintése Előadó: Smohay Ferenc, BEMSZ, ABT
2 Az előadás fő témái Bemutatkozás A törvény háttere, hatálya A megfeleléshez vezető út Első feladatok 2014. június 30-ig elvégzendő feladatok További teendők
3 Bemutatkozás Smohay Ferenc Szakterület Informatikai audit Informatikai biztonság Belső ellenőrzés Törvényi megfelelőségi audit Belső kontrollrendszerek, SOX Közgazdász, CISA, CIA Informatikai és belső ellenőrzési üzletágvezető, ABT Treuhand csoport, Budapest Szakmai tapasztalat 2012-2007-2008: KPMG Milánó, Olaszország 2003-2012: KPMG Tanácsadó Kft. Telefon: +36 30 588 35 13 E-mail: ferenc.smohay@abt.hu
4 A törvény háttere Információbiztonsági kockázatok Magyarország veszélyben! Eddigi fő válaszok: Magyarország Nemzeti Kiberbiztonsági Stratégiája A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény és végrehajtási rendeletei Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) Végrehajtási rendelet előkészítés alatt
5 A törvény hatálya Nem csak állami és önkormányzati szervezetek! 2. (1) j) a fővárosi és megyei kormányhivatalokra, k) a helyi és a nemzetiségi önkormányzatok képviselőtestületének hivatalaira, a hatósági igazgatási társulásokra 2. (2) a) az (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők
6 A megfeleléshez vezető út Első feladatok Bejelentési kötelezettség a Nemzeti Elektronikus Információbiztonsági Hatóságnak 2013. augusztus 31-ig (26. (3)) A szervezet azonosításához szükséges adatokat A szervezetnek az elektronikus információs rendszer biztonságáért felelős személye adatait 2013. szeptember 30-ig (26. (3)) A szervezet informatikai biztonsági szabályzatát (15. (1) d))
7 A megfeleléshez vezető út Első feladatok Benyújtás módja: Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) számára adatszolgáltatás a következő módon nyújtható be: 1. hivatali kapun keresztül (Az ügyfél Ügyfélkapun, vagy Hivatali kapun történő azonosítást követően az adatait ÁNYK űrlapon tudja elektronikusan benyújtani.) 2. info@neih.gov.hu címre elektronikus aláírással ellátva (elektronikus aláírás hiányában hivatalosan aláírva - egyben postai úton is meg kell küldeni) 3. postai úton, hivatalosan aláírva az alábbi címen: Nemzeti Fejlesztési Minisztérium Nemzeti Elektronikus Információbiztonsági Hatóság 1440 Budapest, Postafiók 1. Az adatszolgáltatás megtételére kifejlesztett űrlap elérhetőségét hamarosan közzétesszük. Kérdéseiket az info@neih.gov.hu cimen vagy a következő telefonszámon tehetik fel: +36-1-795-2701.
8 Teendők 2014. június 30-ig Áttekintés Elektronikus információs rendszerek biztonsági osztályba sorolása a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából A szervezet biztonsági szintbe sorolása Felelős: a szervezet vezetője Mit kell tennünk pontosan? A véleményezés alatt lévő végrehajtási rendelet pontos útmutatást nyújt.
9 Teendők 2014. június 30-ig Információs rendszerek biztonsági osztályba sorolása Kockázatelemzés előkészítése Az informatikai kockázatok lehetséges hatásának bekategorizálása 1-5-ig: kárérték táblázat (bizalmasság, sértetlenség, rendelkezésre állás) Bekövetkezési valószínűség skála Informatikai rendszerek és bennünk kezelt fő adatkörök azonosítása Kockázatelemzés Kártípusok (legalább v.r. 3. melléklet 4.) rávetítése az informatikai rendszerekben kezelt adatkörökre Mekkora lehet a kár nagysága? (High watermark elv) Mekkora a bekövetkezési valószínűség? Kockázat: az előző két értékből Ez a biztonsági osztály Iránymutatás a biztonsági osztályhoz (v.r. 3. melléklet 4.)
Teendők 2014. június 30-ig 1 0 Szervezet biztonsági szintjének meghatározása A szervezet biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos besorolású, de legalább 2-es önkormányzatok, 3-as kormányhivatalok esetén. V.r. 4. melléklet Iránymutatás a biztonsági osztályhoz 1-5-ig
További teendők 1 1 Védelmi intézkedések bevezetése Adminisztratív, fizikai, logikai Elvárt védelmi intézkedések szintenként erősödnek Érettségi modell: kétévenként kell szintet lépni Példa: üzletmenet folytonosság tervezése ÜF 1 Üzletmenet folytonosságra vonatkozó eljárásrend ÜF 2 Üzletmenet folytonossági terv informatikai erőforrás kiesésekre ÜF 3. A folyamatos működésre felkészítő képzés ÜF 4 Az üzletmenet folytonossági terv tesztelése ÜF 5. Biztonsági tárolási helyszín ÜF 6. Tartalék feldolgozási helyszín ÜF 7. Infokommunikációs szolgáltatások ÜF 8. Az elektronikus információs rendszer mentései ÜF 9. Az elektronikus információs rendszer helyreállítása és újraindítása
További teendők 1 2 Védelmi intézkedések bevezetése
KÖSZÖNÖM A FIGYELMET Kérdések?