A Nemzeti Elektronikus Információbiztonsági Hatóság
A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának felügyeletét – a 2. § (3) és (4) bekezdésben meghatározott kivétellel – az informatikáért felelős miniszter látja el a hatóság útján, amely az informatikáért felelős miniszter által vezetett minisztérium (NFM) szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység.
2
A NEIH feladatai 2. A Hatóság nyilvántartja és kezeli: • a szervezet azonosításához szükséges adatokat, • a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályának és a szervezet biztonsági szintjének besorolását, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatait, • a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, végzettségét, • a szervezet informatikai biztonsági szabályzatát, • a biztonsági eseményekkel kapcsolatos bejelentéseket. 3
Reputáció
• Tudatosítás: NEIH miben tud segítséget nyújtani ügyfelei számára; • Tudatosítás: miért vált szükségessé az információbiztonság egységes kezelése az önkormányzati és állami szervek informatikai rendszereinek védelmében; • Kölcsönös együttműködés kialakítására az ügyfelekkel és a társszervezetekkel; • Bizalom kialakítása és fenntartása az ügyfelek és a társszervezetek irányába. 4
Kormányzati együttműködés, aktív támogatás Nemzeti Kiberbiztonsági Koordinációs Tanács (Miniszterelnökség) Kiberbiztonsági Fórum (üzleti, tudományos, civil társadalom)
Kiberbiztonsági Munkacsoportok
Ágazati CERT-ek
LRLIBEK (létfontosságú rendszerelemek CERT)
GovCERT
NEIH
NBF
IKMCS
Elektronikus Ügyintézési Felügyelet 5
Tudástőke • •
Közigazgatási alap- és szakképzés IT biztonsági és elektronikus közigazgatási önálló modullal történő kiegészítése. Célcsoportok szerinti IT biztonsági képzési, visszamérési és folyamatos tudásfenntartási oktatások megteremtése - Vezetők - IT szakemberek - IT biztonsági felelősök - Felhasználók Iskolai tudatosítás, pl. Safe internet program
Képzés beépítése a Nemzeti Alaptantervbe
Szülők, családok
E-learning, NKE képzések, egyéb képzések
Belépők képzése, folyamatos tudásfenntartás
Biztonság tudatosság szervezeti kultúrába illesztése
Társadalom biztonság tudatossága 6
KÖZÉRTHETŐEN (nem csak) AZ IT BIZTONSÁGRÓL Készült a Kormányzati Informatikai Fejlesztési Ügynökség (KIFÜ) megbízásából. Terjedelem: 135 oldal Finanszírozás: ÁROP- 1.1.17. Cél: a biztonságtudatos szervezeti kultúra fejlesztésének elősegítése a közigazgatásban dolgozók számára. Az alapvető elektronikus információbiztonsági kockázatokat 3 nézőpont alapján mutatja be: - a felhasználók, - az informatikusok, - és a vezetők szemszögéből. 7
Az információbiztonság tágabb fogalom, mint az IT biztonság Beleértjük az információ minden – nem csak elektronikus megjelenési formájának, az információs szolgáltatásoknak és az ezeket biztosító információs rendszereknek a védelmét. Az információbiztonság egyszerre van jelen egy szervezet minden területén, a szervezet minden erőforrásának (emberek, eszközök, információs rendszerek, vagyontárgyak) szabályozását, viselkedését, használatát, ellenőrzését jelenti. Irányítása a felső vezetés felelőssége. 8
Információbiztonság: • fizikai, • logikai, • humán biztonság. Fizikai védelem: • mechanikai védelem, • elektronikai jelzőrendszer, • élőerős védelem, • beléptető rendszer, • biztonsági kamera rendszer, • villám és túlfeszültség védelem, • tűzvédelem. 9
Biztonsági kultúra Egy szervezet biztonsági kultúráját az egyének biztonságtudatos magatartása alakítja ki. A biztonságtudatosságra külső (pl. jogszabályok, szabványok, politikai hatások, piaci hatások, természeti hatások) és belső tényezők (pl. szabályzatok, a közvetlen vezetés utasításai, humánpolitika és ellenőrzés) egyaránt hatással vannak.
A megelőzés módszerei: • ismeretszerzés, tudatosítás; • Adatmentés; • felhasználók számítógépeinek védelme. 10
A biztonsági kultúra megvalósításának alapelvei • • • • •
Tudatosítás elve Felelősség elve Válaszintézkedések elve Etika elve Demokrácia elve
• Kockázatfelmérés elve • Biztonságtervezés és végrehajtás elve • Biztonságmenedzsment elve • Újraértékelés elve
11
Számítógépes visszaélések A számítógép felhasználókat közvetlenül fenyegető veszélyek és kezelésük. A fejezetrészek pontonként definiálják • a meghatározások jelentését, azaz hogy pontosan miről beszélünk, • az mit veszélyeztet felhasználói, rendszerműködés, információbiztonság és nemzetbiztonság szinten, • a megelőzés lehetőségeit, • és a teendőket bekövetkezés esetén. 12
Mik ezek a veszélyek? • Jogosulatlan adathozzáférés, módosítás; • Jelszavak feltörése; • Kéretlen levelek (spam); • Hamis lánclevelek (hoax); • Vírusok; • Féreg (worm); • Trójaik; • Rootkit-ek (rendszermagot fertőző kártevő); • Zombihálózat (botnet);
• Reklámprogramok (adware); • Kémprogramok (spyware), kártevő programok (malware); • Hamis szoftverek (rogue software, scareware); • Adathalászat (phising); • Fertőző honlapok; • Adatforgalom eltérítése (Man-in-the-middle). 13
Fizikai visszaélések • Jelszavak ellesése (observing passwords attack); • Megtévesztésen alapuló csalások (Social engineering); • IT személyiséglopás (megszemélyesítés eltulajdonítása információs rendszerekben); • Eszközök és adathordozók eltulajdonítása; • Eszközök selejtezése, kidobása; • Szemétbe dobott információ (kukabúvárkodás); • Személyes / hivatali adatok megosztása közösségi hálózatokon.
14
Biztonság a munkahelyen Az irodai IT kockázatok csökkentésének leghatékonyabb módszere a megelőzés. A munkatársaknak ismerniük kell az általuk használt irodai szoftvercsomagok működését: • az adatbiztonsági és adatvédelmi funkciókat; • a személyes adatok törlésének lehetőségét a dokumentumokból; • a dokumentumok jelszavas védelmének módszerét; • a dokumentumok titkosításának lehetőségeit; • az Outlook használat biztonsági kockázatait; • az eszközök közötti adatszinkronizálás kockázatait; • a vezeték nélküli internet (WiFi) használat kockázatait. 15
Biztonságos üzemeltetés Az információs rendszerek biztonságos üzemeltetéséről részletes módszertanok, egyetemi specializációk és nemzetközi szakmai vizsgák szólnak. A gyakorlatban az üzemeltetés biztonsága a rendszereket működtető informatikus szakembereken, rendszergazdákon és közvetlen vezetőiken múlik. Veszélyek: • Túlterheléses támadás (DoS, DDoS); • Hálózati letapogatás (network / port scanning); • Távoli adminisztrátor eszközök; • Adatvesztés; • Rendszerfrissítések hibái, hiánya. 16
Biztonságtudatos vezetés A menedzsment módszertanok a biztonsági kultúra megvalósítását lehetővé tevő sikertényezők között első helyen tartalmazzák a felső vezetés elkötelezettségét. Biztonságirányítás követelményei: • Információbiztonság irányítása; • Információs kockázatkezelés és megfelelés az előírásoknak; • Információbiztonsági program kidolgozása és megvalósítása; • Információbiztonsági rendkívüli eseménykezelés.
17
A felső vezetők elkötelezettsége • • • • • • • • • • •
Személyes példamutatás; Tájékoztatás, belső szervezeti kultúra fejlesztése; Kockázatkezelés; Megfelelés az előírásoknak; Szervezetek felelős irányítása és a biztonságirányítás; Biztonsági szabályozás és kontroll rendszer; Biztonsági monitoring; Adatgazdai szerep, adatok biztonsági osztályozása; Folyamatos működés biztosítása; Belső ellenőrzés szerepe – IT audit és tanácsadás; Kiszervezés. 18
Köszönöm a figyelmüket! Kodaj Katalin elnökhelyettes Nemzeti Elektronikus Információbiztonsági Hatóság Infokommunikációért Felelős Államtitkárság Nemzeti Fejlesztési Minisztérium H-1011 Budapest, Fő u. 44-50. B ép. 502. Telefon: +36-1-79-55270 E-mail:
[email protected] Web: www.kormany.hu
19
