IT biztonsági keretek és követelmények Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központ Szigeti Szabolcs Networkshop 2009
Tartalom Az EK3 projektről Problémafelvetés l é Célkitűzések Elért eredmények 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 2
E-közigazgatási keretrendszer kialakítása projekt MeH megbízásából, e-közigazgatási fejlesztések támogatására e-közigazgatási keretrendszer kialakítása architektúra folyamatleírás IT biztonság interoperabilitás tanúsítás projektmanagement 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer
E-közigazgatási keretrendszer kialakítása projekt eredményei Eredmények: Előírások, ajánlások, segédletek (KIB 28.) 28) Pilot rendszer Projektek támogatása http://kovetelmenytar.complex.hu/ hu/ 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer
Problémafelvetés IT biztonsági kérdések és követelmények alulreprezentáltak a fejlesztési projektekben Szükség van követelményrendszerekre a megrendelők segítésére Szükség van mintákra a fejlesztők segítésére Ellenőrizhetőségre ő van szükség Igazodva a hazai és nemzetközi szabványokhoz és előírásokhoz 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 5
IT biztonsági kérdések é a fejlesztési projektekben Speciális jogszabályi és egyéb igények (pl.: személyes adatok védelme) Pontos követelmények gyakran tisztázatlanok IT biztonság nem kap elég hangsúlyt a fejlesztések során Alkalmazásba vételi és üzemeltetési kérdések 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer
Alprojekt célkitűzései IT biztonsági követelmények kidolgozása közigazgatási fejlesztési projektek számára Projektek k támogatása á Követelmények érvényesítésének elősegítése 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 7
Tevékenységek Környezet felmérése Biztonsági i igényszintek i kialakítása kí IT biztonsági követelményrendszer Stratégiai Politika Szabályzatok Technikai 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 8
Környezet és igényszintek Biztonság kialakítása az igényektől függ Tipikus ik igényszinteket i t kell meghatározni Projektek ezek alapján dönthetik el a szükséges IT biztonsági feladatokat Alacsony-magas-kiemelt biztonsági szint és kritériumainak felállítása 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 9
Biztonsági szintek kategorizálása Három szintű IT biztonsági igényszint kategóriák, a megkívánt követelmények könnyű előállíthatósága érdekében Összhangban a nemzetközi szabványokkal (MSZ ISO27001:2006, CC, stb.) Útmutató: könnyen végrehajtható, kevésbé formalizált Segédlet: közigazgatási példák 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 10
Követelményrendszer érvényesítése IT biztonsági követelmények érvényesítése fejlesztési projektek során Elsősorban Központi rendszerhez csatlakozó fejlesztések, de alkalmazható l általános esetben is Teljes pályázati, tervezési, fejlesztési és üzemeltetési életciklus alatt Audit! 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 11
Követelményrendszer Követelmények meghatározása az igényszinteknek megfelelően Stratégiai / politikai / szabályzati / műszaki Meglévő ő előírásokon alapulva l Minta előírások készítése a fejlesztés és üzemeltetés segítéséhez é Vonatkozó szabványok, előírások, ajánlások összegyűjtése 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 12
Követelményrendszer Gyakorlatban alkalmazható, megvalósítható Egyenszilárdságú, teljeskörű, kockázatarányoská á Fenntartható, projekt teljes életciklusára érvényes Betartható és ellenőrizhető 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 13
Eredmények Követelményrendszer, amely előírható (és előírandó!), ellenőrizhető a fejlesztési projektekben Követelmények érvényesítésének é é é alapját képezi Támpontok megrendelőknek, fejlesztőknek, üzemeltetőknek Esettanulmányok kellenének! 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 14
Kitűzött cél: Összefoglalás IT biztonság elhelyezése a fejlesztési projektekben Projektek támogatása és a követelmények érvényesítése a teljes életciklusuk alatt Elkészültek a követelmények, a minta besorolások és a szabályzatok Nem csak e-közigazgatási i fejlesztéseknél él alkalmazhatóak Szükséges további lebontás, frissítés, részletezés 2009.03.16. Továbblépés a szolgáltató állam kialakítása felé az Elektronikus közigazgatási keretrendszer 15
Köszönöm a figyelmüket!