ÁROP ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI VEZETŐ SZAKIRÁNYÚ TOVÁBBKÉPZÉSI SZAK

ÁROP-2.2.21-2013

ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI VEZETŐ SZAKIRÁNYÚ TOVÁBBKÉPZÉSI SZAK Dr. Szádeczky Tamás Nemzeti Közszolgálati Egyetem

ÁROP-2.2.21-2013

Információbiztonsági képzések illeszkedése a közszolgálati továbbképzési rendszerbe

A képzések jogszabályi háttere

ÁROP-2.2.21-2013

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, illetve a törvényben meghatározott vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet. A képzéseket (azok kidolgozását, megszervezését, feltételeinek biztosítását, a képzések lebonyolítását, a vizsgáztatást, és az tanúsítványok kiadását) a törvény és a rendelet is kifejezetten az NKE gondozásába helyezte.

A képzések célcsoportjai ÁROP-2.2.21-2013

Célcsoportok: • elektronikus információs rendszerek védelméért felelős vezetők, • elektronikus információs rendszer biztonságáért felelős személyek, • elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek. A célcsoportba tartoznak közszolgálati tisztviselők, akik képzési kötelezettségük részeként teljesíthetik a képzéseket (tanulmányi pontért), valamint nem tisztviselői jogviszonyban lévő érintettek.

A tisztviselői képzések jogszabályi hátteréről általában

ÁROP-2.2.21-2013

•

A közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 80-81.§ – NKE feladata a továbbképzési programok kifejlesztése, a szakértők, oktatók képzése, valamint a továbbképzési rendszer minőségirányítása, – a közszolgálati tisztviselő köteles a központilag vagy az államigazgatási szerv által előírt továbbképzésben részt venni (öregségi nyugdíj előtt 5 évvel megszűnik).

•

A közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX.28.) Korm. rendelet – továbbképzések típusai, képzési kötelezettség meghatározása, nyilvántartásba vétel / minősítés folyamata, finanszírozási szabályok

•

12/2013. (III. 14.) KIM utasítás a közszolgálati tisztviselők továbbképzésének minőségirányítási szabályzatáról – Részletes folyamatleírások (továbbképzési programok kifejlesztése, minősítése, ellenőrzése, oktatók felkészítése, ellenőrzése, bizonylatok kezelése stb.)

A továbbképzés intézményrendszere

ÁROP-2.2.21-2013

KIM KIH (személyügyi kp) - tervezési rendszer működtetése - éves tervek összesítése - monitoring

Irányítás, szabályozás

KTK - követelmények - programok minősítése - névjegyzékek

NKE Munkáltató közig. szervek - Egyéni képzési tervek - Intézményi képzési terv - Belső képzések lebonyolítása - Képzésteljesítés nyilvántartása

Felsőoktatási, felnőttképző intézmény - Továbbképzési programok kialakítása - Képzés megvalósítás

- Továbbképzési programok fejlesztése - képzések megvalósítása - Oktatók felkészítése - minősítési, nyilvántartási rendszer - Informatikai rendszer működtetése

Tisztviselők továbbképzési programjainak típusai

ÁROP-2.2.21-2013

EIV

(csak az NKE nyújthatja)

Közszolgálati továbbképzési programok

(csak az NKE nyújthatja)

Vezetőképzési programok

(csak az NKE nyújthatja) Szakmai és kompetenciafejlesztő továbbképzési programok

Minősített szakmai és kompetenciafejlesztő programok INFORMÁCIÓBIZTONSÁGI KÉPZÉSEK

Belső továbbképzések

(közigazgatási szervek)

Tisztviselők képzési kötelezettsége • • • •

ÁROP-2.2.21-2013

A továbbképzési időszak 4 év (2014. január 1-től indul). A továbbképzési programoknak meghatározott pontértéke van (összetett értékelési rendszer alapján). A képzési kötelezettség csak minősített vagy nyilvántartásba vett továbbképzésekkel, illetve vezetőképzéssel teljesíthető. A kötelezettség mértéke: - felsőfokú végzettséggel rendelkező tisztviselő, illetve vezető: 128 tanulmányi pont, ezen belül -

-

Ha nincs szakvizsgája vagy nem mentesített alóla: 96 pont közszolgálati továbbképzés (szakvizsga felkészítés) és 32 pont szakmai továbbképzés / vezetőképzés, Ha van szakvizsgája: 32 pont közszolgálati továbbképzés és 96 pont szakmai továbbképzés / vezetőképzés,

középfokú végzettséggel rendelkező tisztviselő: 64 tanulmányi pont, ezen belül: -

16 pont közszolgálati továbbképzés, 48 pont szakmai továbbképzés.

Információ-biztonsági képzések típusai

ÁROP-2.2.21-2013

Képzés célcsoportja

Képzés célja, neve

Képzés típusa

Óraszá m

Tanulmányi pontérték

Képzés díja

elektronikus információs rendszerek védelméért felelős vezetők

Belépő képzés

E-learning

8

8

8.000 Ft

Éves továbbképzés

E-learning

8

8

8.000 Ft

EIV (elektronikus információ-biztonsági vezető) szakirányú továbbképzés

Blended learning

320

48

149.000 Ft/félév


E-learning

50

32

50.000 Ft

Belépő képzés

E-learning

50

32

50.000 Ft


E-learning

25

16

25.000 Ft

elektronikus információs rendszer biztonságáért felelős személyek

Elektronikus információbiztonsági feladatok ellátásában résztvevő személyek

Képzés igénybevétele ÁROP-2.2.21-2013

Jelenleg zártpályás jelentkezés! Egy munkáltató több tisztviselő képzési díját is befizetheti. Arról, hogy meghirdetésre került a képzés közvetlenül kapnak értesítés. Indulás: szeptember, február Az EIV képzések megszervezése, meghirdetése ügyben keressék az Átképzési és Szakirányú Továbbképzési Központot.

ÁROP-2.2.21-2013

Elektronikus információbiztonsági vezető szakirányú továbbképzési szak

EIV adatok ÁROP-2.2.21-2013

Felsőfokú végzettségűek számára két féléves szakirányú továbbképzés A szakirányú továbbképzési szak létesítésére és indítására az NKE Vezető- és Továbbképzési Intézetének keretében került sor Jelentős eltérés a továbbképzésektől


Továbbképzési szak megnevezése: Elektronikus információbiztonsági vezető szakirányú továbbképzési szak Az oklevélben szereplő szakképzettség megnevezése: Elektronikus információbiztonsági vezető Képzési terület: Közigazgatási, rendészeti, honvédelmi Belépési feltétel: Alap/mesterfokozat (főiskola/egyetem), angol alapfokú (B1) komplex (C) nyelvvizsga


A fokozat megszerzéséhez összegyűjtendő kreditek száma: 60 kredit A képzési idő: 2 félév, 320 óra Az oktatás rendszere: minden héten, pénteki és szombati napokon Az oktatás rendszere: minden héten, pénteki és szombati napokon Moodle keretrendszer (hasonlóan a továbbképzésekhez) Képzés végén: Szakdolgozat, záróvizsga

EIV célok ÁROP-2.2.21-2013

Közigazgatási információbiztonsági szakmai réteg megerősítése: Gondolkodásmód, tárgyi tudás és szakmai kapcsolatok Érdekeltek széles körű bevonása: Információbiztonsági Oktatási Tanács (IBOT) Oktatók túlnyomó része a szakmából Versenyképes oktatási program létrehozása: ISACA CISM model curriculum alkalmazása

Tanulmányi területek és tantárgyak 1

ÁROP-2.2.21-2013

Alapismeretek-jogi, vezetéselméleti és technológia ismeretek – 12 kredit 1.1. Minőségügyi ismeretek (2 kredit) 1.2. Biztonságtechnika (3 kredit) 1.3. Biztonságpolitika (2 kredit) 1.4. Jogi és közigazgatási ismeretek (3 kredit) 1.5. Vezetéselmélet (2 kredit) Stratégia és szervezettámogatás - Rendszerirányítási szakismeretek – 14 kredit 2.1. Információbiztonsági szabványok (4 kredit) 2.2. Irányítási rendszerek (3 kredit) 2.3. Információbiztonsági stratégia és vezetés (4 kredit) 2.4. Biztonság támogatása (3 kredit)

Tanulmányi területek és tantárgyak 2 3.1. 3.2. 3.3. 3.4. 3.5. 3.6.

ÁROP-2.2.21-2013

Információbiztonsági szervezési szakismeretek – 18 kredit Információbiztonsági program (3 kredit) Biztonsági technológiák alkalmazása (3 kredit) Biztonságtudatossági gyakorlat (3 kredit) Rendszerek biztonsága (3 kredit) Hálózatok biztonsága (3 kredit) Biztonsági tesztelés gyakorlat (3 kredit)

Információ kockázatok kezelése és a megfelelőség – 6 kredit 4.1. Kockázatértékelés, kockázatmenedzsment (3kredit) 4.2. Kockázatmenedzsment gyakorlat (3 kredit) Információbiztonsági események kezelése (incidenskezelés) ismeretek – 6 kredit 5.1. Incidens-menedzsment, BCP, DRP integráció (3 kredit) 5.2. Incidens-menedzsment gyakorlat (3 kredit)

Moodle keretrendszer ÁROP-2.2.21-2013

Rövid video megtekintése

ÁROP-2.2.21-2013

Irányítási rendszerek Dr. Szádeczky Tamás, PhD, CISSP egyetemi adjunktus, ISO 27001 vezető auditor NKE KTK Információbiztonsági Tanszék

Irányítási rendszerek ÁROP-2.2.21-2013

Irányítási rendszer Rendszer politika és célok megfogalmazásához, valamint célok eléréséhez Minőségirányítási rendszer (ISO 9001) Irányítási rendszer egy szervezet vezetésére és szabályozására, a minőség szempontjából

IBIR ÁROP-2.2.21-2013

ISO/IEC 27001 Információbiztonság irányítási rendszer (IBIR) = Information Security Management System (ISMS) Irányítási rendszer egy szervezet vezetésére és szabályozására, a információbiztonság szempontjából PDCA-elv alapján folyamatos biztonsági fejlesztést vár el Folyamatszemléletű megközelítést alkalmaz Nem csak IT Át kell gondolnunk a biztonságot

ISO/IEC 27000 sorozat

ÁROP-2.2.21-2013

• Előzmények: BS 7799, ISO/IEC 17799 • Sorozat : most 32 tag – – – – – – –

ISO/IEC 27000: Alapelvek és szótár ISO/IEC 27001: IBIR szabvány ISO/IEC 27002: Útmutató ISO/IEC 27003: Kialakítási irányelvek ISO/IEC 27004: Metrikák és mérés ISO/IEC 27005: Kockázatkezelés ISO/IEC 27006: Tanúsító szervre vonatkozó köv. 22

Kockázatkezelés

ÁROP-2.2.21-2013

• Kockázatokkal arányos védelem szükséges • Ár-érték arány • Elemi események értékelése (változó) – Fenyegetés hatása (I) – Bekövetkezési valószínűség (P) – Kockázat súlyossága R=I*P

• Elviselhető kockázat: vezetői döntés 23

Törzsrész: általános IR

ÁROP-2.2.21-2013

• A dokumentálás követelményei – A dokumentumok kezelése – A feljegyzések kezelése

• A vezetőség felelőssége – A vezetőség elkötelezettsége – Gazdálkodás az erőforrásokkal • Gondoskodás az erőforrásokról • Képzés, tudatosság és felkészültség

• Belső IBIR-auditok • Az IBIR vezetőségi átvizsgálása • Az IBIR fejlesztése – Folyamatos fejlesztés – Helyesbítő tevékenység – Megelőző tevékenység 24

27001 specifikum

ÁROP-2.2.21-2013

• Alkalmazhatósági nyilatkozat Statement of Applicability (SoA) – A kizárt kontrollokat tartalmazza a kizárás indoklásával – Opcionálisan az alkalmazott kontrollok megjelenési helyét (pl. vonatkozó szabályzat) hivatkozza be

25

Kontroll követelmények

ÁROP-2.2.21-2013

• A következőkben az ISO/IEC 27001:2013 szabvány A mellékletében található kontrollkövetelményeket tekintjük át • Csak ezekből lehet kizárni a SoA-ban

A.5 IB politika

ÁROP-2.2.21-2013

• Információbiztonsági politika – Az információbiztonsági politika dokumentuma – Az információbiztonsági politika átvizsgálása

27

A.6 Az információbiztonság szervezete

ÁROP-2.2.21-2013

• A.6.1 Belső szervezet – IB szerepkörök és felelősségek • Vezetője a CISO, mindig a felső vezetésnek kell jelentenie

– Feladatok szétválasztása • Fejlesztés és üzemelteltetés

– Kapcsolat a felhatalmazott szervezetekkel • Pl. CERT-ek, NEIH, NAIH, NMHH

– Kapcsolat speciális érdekcsoportokkal • IB szakmai szervezetek

– IB a projektmenedzsmentben • Projektek biztonsági felügyelete vö. műszaki ellenőr

• A.6.2. Mobileszközök és távmunka – Mobileszköz-politika • BYOD

– Távmunka • VPN, Remote Desktop/Terminal Server, CITRIX 28

A.7 Emberi erőforrások biztonsága •

ÁROP-2.2.21-2013

A.7.1 Az alkalmazás előtt – Átvilágítás • • •

Megbízhatóság, szabályok betartása, befolyásolás (erőszakos, anyagi) Rendelkezésre állás: betegség, családi háttér, káros szenvedélyek Beszállítók értékelése, biztonsági szempontból is

– Az alkalmazás kikötései és feltételei •

•

Szakértelem és annak hiánya

A.7.2 Az alkalmazás alatt – A vezetőség felelősségei •

Rávezetés (rákényszerítés) a biztonságos működésre

– Információbiztonsági tudatosság, képzés, oktatás •

Social engineering: információszerzés az emberek kihasználásával

– Fegyelmi eljárás •

•

Minden incidens esetén le kell folytatni

A.7.3 Az alkalmazás megszűnése vagy változtatása – A megszüntetés felelősségei • • •

Folyamat A vagyontárgyak visszaszolgáltatása A hozzáférési jogok visszavonása

29

A.8 Vagyontárgyak kezelése ÁROP-2.2.21-2013

•

A.8.1 Felelősség a vagyontárgyakért – – – –

•

Vagyontárgyleltár A vagyontárgyak gazdája A vagyontárgyak elfogadható használata A vagyontárgyak visszaszolgáltatása

A.8.2 Információ-osztályozás – Osztályozási irányelvek – Az információ megjelölése és kezelése – Vagyontárgyak kezelése

•

A.8.3 Adathordozók kezelése – Az eltávolítható adathordozók kezelése – Adathordozók selejtezése • Biztonságos megsemmisítés: pl. többszörös törlés, demagnetizálás, darálás, égetés

– Fizikai média szállítása 30

A.9 Hozzáférés-ellenőrzés 1 ÁROP-2.2.21-2013

•

A.9.1 Hozzáférés-ellenőrzés üzleti követelményei – Hozzáférési politika – Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz

•

A.9.2 Felhasználói hozzáférés-menedzsment – Felhasználók regisztrálása és törlése • •

Azonosítás (authentication) kijátszása: más felhasználó megszemélyesítése Kitérő: jelszavak, azonosítás 3 faktora, biometria

– Felhasználói jogok kiosztása •

Eljárás kialakítása

– Előjogok kezelése •

Jogosultságok (authorization) kijátszása: meglévő jogosultságok kiterjesztése

– Felhasználók titkos azonosító adatainak kezelése •

Password complexity requirements

– Felhasználói hozzáférési jogosultságok átvizsgálása – Hozzáférési jogosultságok visszavonása és változtatása 31

(Azonosítás faktorai) •

Tudásalapú azonosítás – – – –

•

ÁROP-2.2.21-2013

számítógépes környezet jellemző azonosítása PIN, jelszó, jelmondat probléma: feledékenység, Alzheimer kór szabadon többszörözhető

Birtoklás alapú azonosítás – vagyonvédelmi beléptetés jellemző azonosítása – kártya, token – otthon marad, elveszik

•

Tulajdonság alapú azonosítás – magasabb védelmi igény esetén jellemző – biometrikus azonosítás: ujjnyomat, írisz, stb.

•

A három faktor különböző kombinációi alkalmazhatók 32

A.9 Hozzáférés-ellenőrzés 2 ÁROP-2.2.21-2013

• A.9.3 Felhasználók felelőssége – Felhasználók titkos azonosító adatainak használata • Jelszóhasználat

• A.9.4 Rendszer és alkalmazás hozzáférés-vezérlés – Információ-hozzáférés korlátozása • Adatok és alkalmazás-funkciók védelme

– Biztonságos bejelentkezési eljárások • Ctrl+Alt+Del

– Jelszókezelő rendszer • Interaktív menedzsment, jelszóminőség

– Rendszergazdai segédprogramok használata • DiskPart, MBR editor, Boot sequence, BIOS

– Forráskódhoz való hozzáférés

33

A.10 Kriptográfia

ÁROP-2.2.21-2013

• A.10.1 Kriptográfia intézkedések – A kriptográfiai intézkedések szabályzata • Szabályozni kell

– Kulcsmenedzsment • Védelem és érvényesség a teljes életciklusban

34

A.11 Fizikai és környezeti biztonság 1

ÁROP-2.2.21-2013

• A.11.1 Biztonsági területek – Fizikai biztonsági határzóna • Crime Prevention Through Environmental Design (CPTED)

– Fizikai belépési intézkedések • Aktív jogosulatlan hozzáférés (behatolás) – – – –

illetéktelen belépés korlátlan mozgás erőszakos behatolás őrizetlenül hagyás

• Passzív jogosulatlan hozzáférés (lehallgatás, megfigyelés) – akusztikus, elektromágneses, optikai

– Irodák, helyiségek és berendezések védelme 35


ÁROP-2.2.21-2013

– Védelem külső és környezeti fenyegetések ellen • • • • • •

Tűz, robbanás Árvíz, belvíz, vízellátás meghibásodása Földrengés, rezgések (pl. villamos az utcán) Meteorológiai veszélyhelyzetek: villám, szélvihar Mérgező, korrozív, nukleáris anyagok Elektromágneses terek: interferenciát (EMI), meghibásodást okozhat, harcászati célra is alkalmazzák

– Munkavégzés biztonsági területen – Szállítás és rakodási területek 36


ÁROP-2.2.21-2013

• A.11.2 Berendezések – Berendezések elhelyezése és védelme • Légállapot: hőmérséklet, páratartalom

– Közműszolgáltatások • Villamosenergia-ellátás: többszörös betáplálás, szünetmentes áramforrás lehet szükséges • Távközlési, informatikai becsatlakozások: többszörös becsatlakozás, eszközök duplikálása lehet szükséges

– Kábelezés biztonsága • Kábelcsatornák, alagutak: wiretap ellen

37


ÁROP-2.2.21-2013

– A berendezés karbantartása • Műszaki megbízhatóság: Elöregedés, meghibásodás, gyártási, szerelési hibák

– Vagyontárgy eltávolítása • Előzetes engedélyezés kivitelhez

– Telephelyen kívül használt berendezés biztonsága – A berendezés biztonságos megsemmisítése vagy újrahasználata • Pl. plotter esete

– Felügyelet nélküli eszközök – Tiszta asztal, tiszta képernyő szabályzat 38

A.12 Üzemeltetési biztonság 1

ÁROP-2.2.21-2013

• A.12.1 Üzemeltetési eljárások és felelősségek – Dokumentált üzemeltetési eljárások • Hardver- és szoftver-dokumentációk: Telepítési tervrajzok, leírások elkészítés, megőrzése, egyedi fejlesztésű szoftverek

– Változásmenedzsment – Kapacitásmenedzsment – Fejlesztési, tesztelési és üzemeltetési környezetek különválasztása

• A.12.2 Védelem a rosszindulatú kódok (malware) ellen • Vírusok, rootkitek, férgek, kémprogramok, botnetek, logikai bombák, trójai falovak: Védelem elengedhetetlen! Vírus ÉS (!) kémprogram kereső

• A.12.3 Biztonsági mentés (backup) • Teljes, inkrementális, differenciális

39

A.12 Üzemeltetési biztonság 2

ÁROP-2.2.21-2013

• A.12.4 Naplózás és monitoring – – – –

Eseményes naplózása (event logging) Naplóinformációk védelme Adminisztrátori és operátori napló Órajelek szinkronozása

• A.12.5 Operációs rendszer kontrollja – Szoftverinstalláció operációs rendszerre

• A.12.6 Műszaki sebezhetőség kezelése – A műszaki sebezhetőségek ellenőrzése • Vulnerability analysis

– Szoftvertelepítés korlátozása

• A.12.7 Információs rendszerek auditja • Minimálisan zavarva az üzleti folyamatokat 40

A.13 Kommunikációbiztonság 1 ÁROP-2.2.21-2013

• A.13.1 Hálózatbiztonsági menedzsment – Hálózati intézkedések – Hálózati szolgáltatások biztonsága • Hackertámadások az Internetről, védelem: tűzfal, IDS, IPS

– Hálózatok leválasztása (segregation)

41

A.13 Kommunikációbiztonság 2 ÁROP-2.2.21-2013

• A.13.2 Információcsere – Információcserére vonatkozó szabályzatok és eljárások – Megállapodások az információcserére • Üzleti titkok védelme harmadik fél felé

– Elektronikus üzenetküldés • E-mailek védelme

– Titoktartási megállapodások • NDA

42

A.14 Információs rendszerek beszerzése, fejlesztése és karbantartása 1

ÁROP-2.2.21-2013

• A.14.1 Információs rendszerek biztonsági követelményei – Biztonsági követelmények elemzése és specifikációja – Nyilvános hálózati alkalmazás-szolgáltatás védelme – Alkalmazás-szolgáltatás tranzakcióinak védelme

• A.14.2 Biztonság a fejlesztési és támogató folyamatokban – Biztonságos fejlesztési politika – Változtatásszabályozási (change control) eljárások – Alkalmazások műszaki átvizsgálása az üzemeltetési platform megváltoztatása után – Szoftvercsomagok megváltoztatásának korlátozása 43

A.14 Információs rendszerek beszerzése, fejlesztése és karbantartása 2

ÁROP-2.2.21-2013

– Biztonságos rendszertervezési alapelvek – Biztonságos fejlesztői környezet – Kiszervezett fejlesztés – Rendszer biztonsági tesztelés • Fejlesztett rendszerre vonatkozóan

– Rendszer elfogadási tesztelés (System acceptance testing)

• A.14.3 Tesztadatok – Tesztadatok védelme 44

A.15 Beszállítói kapcsolatok ÁROP-2.2.21-2013

• A.15.1 IB a beszállítói kapcsolatokban – IB politika a beszállítói kapcsolatokban – Biztonság a beszállítói megállapodásokban – ICT supply chain

• A.15.2 Beszállítói szolgáltatás menedzsment – Szállítói szolgáltatások monitoringja és ellenőrzése – Változásmenedzsment a beszállítói szerződésekben

45

A.16 Az információbiztonsági incidensek kezelése

ÁROP-2.2.21-2013

• A.16.1 Az információbiztonsági incidensek és fejlesztések kezelése – – – – – – –

Felelősségek és eljárások IB események jelentése IB gyengeségek jelentése Értékelés és döntés az IB eseményekről Reagálás az IB eseményekre Tanulságok az IB incidensekből Bizonyítékok gyűjtése 46

A.17 Üzletmenet-folytonosság menedzsment IB aspektusa

ÁROP-2.2.21-2013

• A.17.1 IB folytonosság – IB folytonosság-tervezés • Üzletment-folytonossági terv (Business Continuity Plan, BCP) • Katasztrófa-helyreállítási terv (Disaster Recovery Plan, DRP)

– IB folytonosság-bevezetés – IB folytonosság ellenőrzése, átvizsgálása és értékelése • A.17.2 Redundancia – Információfeldolgozási képességek rendelkezésre állása

47

A.18 Megfelelőség

ÁROP-2.2.21-2013

• A.18.1 Megfelelés a jogi és szerződéses követelményeknek – Az alkalmazandó jogszabályok és szerződéses követelmények meghatározása – Szerzői és kapcsolódó jogok (Szellemi tulajdonjogok, IPR) – Feljegyzések védelme – Adatvédelem és a személyes adatok védelme • Ld. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

– A kriptográfiai kontrollok szabályozása • Ahol jogi korlátozás van rá

• A.18.2 IB átvizsgálás – IB független átvizsgálása – Megfelelés a biztonsági politikának és szabványoknak – Műszaki megfelelőség-vizsgálat • Pentesting

48

Ellenőrzés formái

ÁROP-2.2.21-2013

• Vizsgálat – Egy jellemző megfigyelése

• Audit – Tervezett ellenőrzés, meghatározott hatókörrel

• Tanúsítás és minősítés – Normatívának való megfelelés igazolása

• Akkreditáció – Nemzeti akkreditáló szerv általi képességvizsgálat

• Kijelölés (notifikáció) – Állami szerv felhatalmaz valamilyen tevékenység végzésére 49

Az ellenőrzés eszközei

ÁROP-2.2.21-2013

• • • • •

Interjú Megfigyelés Információ bekérése Dokumentumok vizsgálata Technikai berendezések által rögzített adatok ellenőrzése • Feladatlap kitöltése • Folyamat ellenőrzések 50

Audit típusok • • • • • • • • • • •

ÁROP-2.2.21-2013

IT audit: általános fogalom Jogszabályi megfelelés ellenőrzése (compliance audit) Könyvvizsgálói audit Minőségügyi audit Külső audit Beszállítói audit Belső audit Folyamatszintű audit FEUVE Kockázatértékelés Fejlesztési projektek auditja 51

Az auditok fajtái

ÁROP-2.2.21-2013

Audit megrendelője a szervezet maga 1st party audit / Belső audit

Auditorok jellemzően a belső munkatársak Saját megfelelőségüket vizsgálják

Megrendelő végzi a beszállítónál, függő viszony 2nd party audit /

Általában vállalati szabványok alapján

Szállítói audit

Külső, független harmadik fél végzi 3rd party audit / Külső audit

Általában nemzetközi szabvány alapján Tanúsító audit mindig ilyen

52

Az irányítási rendszerek auditálására vonatkozó szabványok

ÁROP-2.2.21-2013

Régi általános audit szabvány: MSZ EN ISO 19011:2003 Útmutató minőségirányítási és/vagy környezetközpontú irányítási rendszerek auditjához (ISO 19011:2002) Új belső audit szabvány: ISO 19011:2011 Guidelines for auditing management systems Új tanúsító auditokra vonatkozó szabvány: MSZ EN ISO/IEC 17021:2011 Irányítási rendszerek auditját és tanúsítását végző testületekre vonatkozó követelmények (ISO/IEC 17021:2011) 53

Kommunikáció & beszéd ÁROP-2.2.21-2013

Aranyszabályok A beszélgetés során • egyszerre csak egy kérdésről tárgyaljunk, • szakmai megbeszélést folytassunk, • teremtsünk szakmai tekintélyt (ha van miből) természetes módon, nagyképűség nélkül, • hagyjuk a másikat beszélni, • a kérdést tegyük fel másképp fogalmazva is, • ismételjük meg a partner válaszát saját szavainkkal is, • ha tévedünk, ismerjük azonnal el, • valamennyi résztvevőt vonjuk be, de egyszerre csak egy személlyel tárgyaljunk, • ugyanazt kérdezzük meg több kompetens interjú alanytól is, • ugyanazt (nem szakmai részletkérdést) kérdezzük meg kompetens beosztottól és vezetőtől is, • kerüljük a vitát, • ne tegyünk szemrehányást.

54

Interjúkészítés A helyszínen feltett kérdés legyen: • • • • •

egyszerű érthető célratörő, pontos nyitott végső esetben alternatív

ÁROP-2.2.21-2013

ne legyen: • • •

agresszív szuggeráló gúnyos

Aranyszabályok az interjúk, helyszíni vizsgálatokra 1. Nézzük az ügyfél/vevő szemével a tevékenységeket és azok eredményeit, valamint a biztonsági követelményeket is! 2. A lényeges dolgokra koncentráljunk! 3. Az okokat, ne az okozót keressük! 4. A partnereknek érezniük kell, hogy az audit tevékenység a szervezet javát szolgálja!

55

ÁROP-2.2.21-2013

Kockázatelemzés Kockázat felmérő és elemző módszerek Kockázat prioritási módszerek Tarján Gábor 2014.04.26. 9.00 – 12.50

Áttekintő tartalom • Bevezetés avagy a „CISM” alapú kockázatmenedzsment • Fogalmak • A kockázatelemzés „ISO-s” világa

ÁROP-2.2.21-2013

„CISM” alapú kockázatmenedzsment

ÁROP-2.2.21-2013

• 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról – 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról •

Az Ibtv. 13. § (10) bekezdése alapján nem kell a 4. § (1) bekezdése szerinti végzettséget megszereznie annak a személynek, aki rendelkezik: – a)

az Information Systems Audit and Controll Association (ISACA) által kiadott: » a) Certified Information System Auditor (CISA), vagy » b)

Certified Information Security Manager (CISM), vagy

» c) Certified in Risk and Information Systems Control (CRISC), – b) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) érvényes oklevéllel.

CISM Review Manual 2014

ÁROP-2.2.21-2013

• Domain 1—Information Security Governance (24%) • Domain 2—Information Risk Management and Compliance (33%) • Domain 3—Information Security Program Development and Management (25%) • Domain 4—Information Security Incident Management (18%)

A „compliance” (megfelelőség) is egy kockázat!

2.8.1 Risk Management Process

ÁROP-2.2.21-2013

Risk management usually consists of the following processes: • Establish scope and boundaries • Risk assessment • Risk treatment • Acceptance of residual risk • Risk communication and monitoring

2.10 Risk Assessment

ÁROP-2.2.21-2013

Numerous risk management models are available including: • COBIT • OCTAVE • NIST 800-39 • HB 158-2010 • ISO/IEC 31000 • ITIL • CRAMM The approach selected will be determined by the best form, fit and function.

2.10.11 Risk Treatment Options

ÁROP-2.2.21-2013

Faced with risk, organizations have four strategic choices:

• Terminate the activity giving rise to risk (Terminate) • Transfer risk to another party (Transfer) • Reduce risk by using of appropriate control measures or mechanisms (Mitigate) • Accept the risk (Tolerate)

2.17 Documentation

ÁROP-2.2.21-2013

Typical documentation for risk management should include: • • • • • • •

A risk register Consequences and likelihood of compromise Initial risk rating Vulnerability to external/internal factors An inventory of information assets A risk mitigation and action plan Monitoring and audit documents

Kockázatok – Fogalom meghatározás ÁROP-2.2.21-2013

Kockázat: Egy olyan kedvezőtlen állapot bekövetkezésének valószínűsége, mely pénzügyi vagy más veszteséget okoz a szervezet számára: Kockázat = Fenyegetés * Sebezhetőség * Erőforrás értéke Fenyegetés: egy személy, dolog, esemény, ötlet, mely a támadás lehetőségét képezi az erőforrásokra. Sebezhetőség: A fenyegetés bekövetkezésének valószínűsége. Erőforrás értéke: A fenyegetésnek kitett erőforrások pótlásának költsége

64

ISO • • • •

Mi az az ISO? ISO 9000 ISO/IEC ISO/IEC 2700x család • ISO/IEC 27005:2011 • Kockázatkezelés

ÁROP-2.2.21-2013

IS kockázatmenedzsment folyamatok

7. Környezet kialakítás 8. Kockázatfelmérés Kockázat azonosítás Kockázat elemzés Kockázat értékelés Döntési pont 1 Felmérés kielégítő? I

N

9. Kockázatkezelés Döntési pont 2 Kezelés kielégítő? I

N

10. Kockázat elfogadás az első vagy soronkövetkező iteráció vége

12. Kockázat figyelemmel kísérés és átvizsgálás

11. Kockázat kommunikációja és konzultációja

ÁROP-2.2.21-2013

IS kockázatkezelés felmérés eredménye

ÁROP-2.2.21-2013

felmérés kielégítő

Kockázatkezelés Kockázatkezelési lehetőségek

K. módosítás

K. fenntartás

K. elkerülés

maradványkockázat

kezelés kielégítő

K. megosztás

Kockázatkezelés - Alapok ÁROP-2.2.21-2013

A kockázat menedzselés főbb részei: a kockázatok értékelése, a fenyegetések kontrollálása, és a kockázatok felügyelete.

68

Kockázat értékelés és menedzsment

ÁROP-2.2.21-2013

Kockázatkezelés: Mit tehetünk a kockázatokkal? Kockázatot okozó tevékenység beszüntetése A kockázat átruházása harmadik félre Megfelelő kontroll eljárások bevezetésével a kockázatok csökkentése! A kockázatok elfogadása

69

Kockázatértékelés ÁROP-2.2.21-2013

• Az ISMS (IBIR) „magja” a kockázatértékelés • Az ISO 27001 kevés támpontot ad a végrehajtáshoz • Létezik-e egy uniformizált kockázatértékelési módszertan? • Gondolatkísérlet négy szervezettípusra: közkórház, csomagküldő szolgálat, bank, járműipari beszállító 70

A kockázatértékelés és az ISO 27001:2013 •

ÁROP-2.2.21-2013

Az ISO 27001:2013 szabvány a kockázatértékelésről a következőket mondja:

6.1.2. Információbiztonsági kockázatfelmérés A szervezetnek meg kell határozni és alkalmazni kell egy információbiztonsági kockázatfelmérési folyamatot, mely a)

információbiztonsági kockázati kritériumokat alakít ki és tart karban, közte 1)

a kockázat elfogadási kritériumokat; és

2) a kritériumokat az információbiztonsági kockázatfelmérés végrehajtására; b) biztosítja, hogy egy megismételt információbiztonsági kockázatfelmérés következetes, érvényes és összehasonlítható eredményeket adjon; c)

azonosítja az információbiztonsági kockázatokat:

1) információbiztonsági kockázat-felmérési folyamatot alkalmaz az információk bizalmasságának, sértetlenségének és rendelkezésre állásának elvesztésére vonatkozó kockázatok azonosítására az információbiztonsági irányítási rendszer alkalmazási területén belül; és 2)

azonosítja a kockázat felelősét; 71

A kockázatértékelés és az ISO 27001:2013

ÁROP-2.2.21-2013

d)

elemezi az információbiztonsági kockázatokat: 1) felméri a lehetséges következményeket, amelyeket az eredményezhet, ha a 6.1.2 c)1)-ben azonosított kockázat bekövetkezik; 2) felméri a 6.1.2 c)1)-ben azonosított kockázatok előfordulásának valóságos valószínűségét; 3) meghatározza a kockázat szintjét; e) értékeli az információbiztonsági kockázatokat 1) összehasonlítja a kockázatelemzés eredményeit a 6.1.2 a)-ban kialakított kockázati kritériumokkal; és 2) felállítja a fontossági sorrendet az elemzett kockázatokra a kockázatkezeléshez. A szervezetnek dokumentált információt kell megőriznie az információbiztonsági kockázat-felmérési folyamatról. 72

A kockázatértékelés áttekintő algoritmusa

ÁROP-2.2.21-2013

1. A szervezeti „erőtér” vizsgálata 2. Az alkalmazási terület és a politika meghatározása 3. A védendő értékek számbavétele és értékelése 4. A fenyegetettségek elemzése – kockázatelemzés 5. Kockázatkezelés 73

A szervezeti „erőtér” ÁROP-2.2.21-2013

A szervezet működési (külső) környezete, mint „erőtér”: • Az állam (társadalom) szabályozó ereje • A vevők (ügyfelek) igénye a bizalom iránt • A kezelt információk teljessége az információs életciklus szempontjából • A verseny erőssége és kiterjedése az adott iparágon (szolgáltatói ágon) belül

Ez a négy elem minden gazdálkodó szervezet erőterében jelen van, csak a mértéke és aránya különböző! 74

A közkórház

ÁROP-2.2.21-2013

• Az erőtér hangsúlyos elemei • Az állam szabályozó ereje nagy • A költségvetési korlát igen erős!

• Az információbiztonsági politika kulcsszavai: • Betegadatok bizalmas és biztonságos kezelése • Költség-hatékony megoldások keresése

• Az alkalmazási terület: „betegadatok” 75

A közkórház ÁROP-2.2.21-2013

Betegadatokhoz kapcsolódóan bekövetkezhető kárfajták

Kárfajták szerinti lehetséges fenyegetettségek

Közvetlen anyagi károk (információs rendszer, eszköz, infrastruktúra, elmaradt haszon stb.)

Fenyegetettség 1

Közvetett anyagi károk (helyreállítás, perköltség stb.)

…

Társadalmipolitikai, humán károk (állam-, szolgálati titok, személyiségi, csoport jog, hírnév, bizalmas/hamis nyilvánosságra hozatal stb.)

…

Személyi sérülés, haláleset (felhasználók, személyzet)

…

Jogsértés (visszaélés, védett adatok sérülése)

…

Védelmi intézkedések

Védelmi intézkedések költségei

Megjegyzések

Fenyegetettség 2 ………………. Fenyegetettség N

76

A csomagküldő szolgálat ÁROP-2.2.21-2013

• Az erőtér hangsúlyos eleme: • A legfőbb érték az ügyfél adatbázis!

• Az információbiztonsági politika kulcsszavai: • Az ügyféladatbázis kiemelt védelme • Az adat-életciklus menedzsment

• Az alkalmazási terület: • „ügyféladatok a keletkezésük pillanatától megsemmisítésükig” 77

A csomagküldő szolgálat ÁROP-2.2.21-2013

Az adat életciklus szakasza

Fenyegetettségek az ügyfél adatbázissal szemben

Keletkezés

Fenyegetettség Fenyegetettség ……………… Fenyegetettség Fenyegetettség Fenyegetettség ……………… Fenyegetettség Fenyegetettség Fenyegetettség ……………… Fenyegetettség Fenyegetettség Fenyegetettség ……………… Fenyegetettség

Módosítás

Tárolás

Megsemmisítés

Az adott fenyegetett ség súlyossága (az üzleti kár mértéke)

Ellenintézkedés

Megjegyzés

1 2 N N+1 N+2 P P+1 P+2 Q Q+1 Q+2 R

78

A bank

ÁROP-2.2.21-2013

• Az erőtér hangsúlyos eleme • Az ügyfelek bizalmának megnyerése és megtartása!

• Az információbiztonsági politika kulcsszavai: • Bizalmasság • Sértetlenség • 24 órás rendelkezésre állás

• Az alkalmazási terület: • „ügyfelek adatainak és tranzakcióinak teljes körű logikai, fizikai és személyi védelme”

79

A bank ÁROP-2.2.21-2013

Vagyon (érték) típusok ITB 8 alapján Logikai

Vagyon (érték) elem megnevezése

Megjegyzés

Logikai elem 1

-

szoftverek és alkalmazások

Logikai elem 2

-

adatbázisok

Logikai elem N

-

kommunikáció

……………

Fizikai

Fizikai elem 1

-

környezet (infrastruktúra)

Fizikai elem 2

-

hardver

Fizikai elem M

-

e-adathordozó

-

dokumentumok, iratok

Személy

Fenyegetettség

……………

Személyi elem 1

-

banki alkalmazottak

Személyi elem 2

-

felhasználók (ügyfelek)

Személyi elem K

-

ellenőrök

………………

80

A bank

ÁROP-2.2.21-2013

Súlyosság (S) x Előfordulási gyakoriság (O) x Felfedezhetőség (D) = RPN (1…5)

Fenyegetettség Súlyosság (S)

(1…3)

(1…3)

Előfordulási Felfedezhetőség Kockázat Védelmi gyakoriság (D) rangsorolási intézkedés (O) mutató (RPN)

Fenyegetettség 1 Fenyegetettség 2 ....................... Fenyegetettség N

81

A járműipari beszállító ÁROP-2.2.21-2013

• Az erőtér hangsúlyos elemei • Erősen (darab)költségvezérelt gazdálkodás

• Az információbiztonsági politika kulcsszavai: • Az elvárt védelmi szint rendszeres egyeztetése a megrendelővel • Az üzleti folyamat védelme • Költség-hatékony megoldások választása

• Az alkalmazási terület: • „X vevő Y termékéhez kötődő információk védelme a teljes termelési ciklus során (a terméktervezéstől a kiszállítás utáni szolgáltatásokkal bezárólag)”

82

A járműipari beszállító ÁROP-2.2.21-2013

Az üzleti Védendő Fenyegetettség Ellenintézkedés Az Megjegyzés és annak (működési) információ ellenintézkedés folyamat az adott osztálya költsége lépése lépés kapcsán Lépés 1 Lépés 2 … Lépés N

83

Összefoglaló következtetések

ÁROP-2.2.21-2013

• Nincs egységes recept a kockázatértékelés végrehajtásához • A kockázatértékelés a szervezet „erőterének” vizsgálatával kezdődik • Testre szabás nélkül nem megy • Az ISMS (IBIR) működtetésének részeként a kockázatértékeléskarbantartása is igényel folyamatosan erőforrásokat • Mindig van maradványkockázat! 84

Kockázatmenedzsment Kockázatkezelési terv

ÁROP-2.2.21-2013

• Meg kell határozni az „elfogadott kockázati szintet” • Minden nem elfogadható szintű kockázatra döntés: a kockázat elfogadásáról (felvállalásáról) a kockázat áthárításáról a kockázat csökkentéséről egy elfogadható szintre – definiált intézkedéssel vagy intézkedési tervről a hiba bekövetkezésének esetére

85

Kockázatkezelési terv

ÁROP-2.2.21-2013

Tartalmazza: • Az intézkedések felsorolását és bemutatását • Intézkedések melyik kockázatokat csökkentik • Áttekintést a maradványkockázatokról • A maradványkockázatok elfogadását

Kapcsolat a kockázatok és az intézkedések között

86

Lehetséges intézkedések meghatározása

ÁROP-2.2.21-2013

„Hogyan kell védenünk?” • • • •

Lehetséges védelmi intézkedések, alternatívák felsorolása, számba vétele (pl. táblázatosan) Védelmi intézkedésenként becsülhetők a költségei (egyszeri beruházási, valamint a folytonos üzemeltetési) Védelmi intézkedésenként becsülhető az okozott hatás ezáltal becsülhető a kockázati értékben a nyereség Védelmi intézkedés kiválasztása – a megelőző döntéselőkészítő információk alapján – a felső vezetőség joga, feladata és felelőssége.

87

Lehetséges intézkedések értékelése ID Védelmi intézkedés

Beruházási költség

Éves költség

ÁROP-2.2.21-2013

Hatás

Hatás vizsgálatánál azt kell nézni, melyik veszélyforrásra milyen hatást gyakorol az intézkedés bevezetése. Ez lehet: • a veszélyforrás teljes kiküszöbölése • az okozott kár csökken, jelentősen csökken • a bekövetkezési valószínűség csökken vagy jelentősen csökken

88

Az információvédelmi intézkedések területei

• • • • •

ÁROP-2.2.21-2013

Az információvédelmi intézkedések a következő szakmai területek munkáját foglalják magába: objektum, terület védelem, személy védelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől), adatok, módszerek, eszközök védelme, informatikai védelem, (fizikai, logikai és szervezési) elemi károk, természeti csapások elleni védelem (az információ-biztonság szemszögéből).

89

Kockázatok értékelésének megismétlése

ÁROP-2.2.21-2013

Miért szükséges? • Változnak a körülmények, fenyegetettségek (a tavalyi erős védelem mára már gyenge)

• Új rendszereket – rendszerelemeket vezettünk be • Komolyabb incidensek történtek • … Mikor szükséges? • Rendszeres ciklikussággal (évente legalább egyszer) • Rendszerbeli változásokkor • Megtörtént biztonsági incidensek, esetek tapasztalatainak levonása után 90

Kockázatok értékelésének megismétlése

ÁROP-2.2.21-2013

Hogyan csináljuk? • Régi kockázatértékelés eredményeinek felhasználásával • Először teljesség vizsgálata (minden vagyontárgy) • Fontosság / kárérték eredmények felül-bírálata • Új elemek részletes vizsgálata (mint az első értékelésnél!) • Az eltelt időben újonnan bevezetett / megváltozott intézkedések, folyamatok figyelembe vétele • Veszélyforrások hatásának, bekövetkezési valószínűsége eredményeinek felül-bírálata (a változások figyelembe vétele) • Kockázati értékek számítása, elfogadható kockázati szint meghatározása • Új intézkedések meghatározása (kockázatkezelési terv aktualizálása) 91

Általánosítható következtetések (összefoglalás): A megvalósítás módja

ÁROP-2.2.21-2013

• Vagyonleltár: a vagyontárgy azonosítása, értékelése • Sebezhetőség-vizsgálat – a lehetséges, releváns fenyegető tényezők számba vétele – a sikeres támadáshoz szükséges támadható felületek (sebezhetőségek) azonosítása • Kockázatbecslés: a sikeres támadás valószínűségének, és az azon keresztül a vagyontárgyban okozott kár mértékének becslése • Védelmi intézkedés tervezése és bevezetése • Védelmi intézkedés működtetése, ellenőrzése • Kockázatok újraértékelése

Vagyonleltár • A cég információs vagyonának leltára • Tartalma – Adatok (név, leírás, gazda, kárérték) – Folyamatok (név, leírás, tevékenységek, gazda, kritikus időszakok, kárérték) – Adathordozók (név, leírás, jellemzők, gazda, kárérték) + alkalmazás, technológia, infrastruktúra, személyzet • A további lépések alapja, mert – a sebezhetőség-vizsgálat a vagyonelemek „üzemi környezetének” fenyegetéseit méri fel – a kockázatelemzés meghatározza a kárértékek és a sebezhetőségek alapján a kockázati szintet – az „üzemi környezet” besorolása a vagyonelemek kockázati szintje alapján történik ...

ÁROP-2.2.21-2013

Környezeti infrastruktúra

Sebezhetőségvizsgálat

ÁROP-2.2.21-2013

• Célja: a rendszer gyenge pontjainak azonosítása. • Input: vagyonelemek listája („működési környezet”) • Output: „kockázati tényezők” listája vagyonelemenként (fenyegetés + sérülékenység) • Továbblépés: bekövetkezési gyakoriság becslése, kitettség számítása. • Kockázat: az egész projekt kritikus pontja – ha túl felületes, a kockázatelemzés értelmét veszti; – ha aprólékosabb, mint amit a szervezet elbír belebukhat a projekt.

Példa fenyegetésekre

ÁROP-2.2.21-2013

• Környezeti: Természeti katasztrófák, elemi csapások, tűz, stb. • Fizikai: betörés, stb. • Informatikai: hardver/szoftver hibák, stb. • Szervezeti: szerepkörök szétválasztásának elmulasztása, feladatok rotálásának elmulasztása, stb. • Humán: kémkedés, social engineering, stb.

Kockázatelemzés

ÁROP-2.2.21-2013

• Célja: döntéstámogatás költséghatékony védelmi intézkedések bevezetéséhez. • Input: vagyonleltár (a cég modellje) + ezek sebezhetőségei. • Output: a vagyonelemek rendezett listája kockázati kitettség szerinti sorrendben. • Továbblépés: a legnagyobb kockázatú néhány(!) vagyonelem kitettségének csökkentése védelmi intézkedések tervezésével és bevezetésével.

Kockázatbecslés

ÁROP-2.2.21-2013

• Kvantitatív (ANSI - Amerikai Szabványügyi Hivatal által kiadott publikáció szerint (FIPDPUB65) • Kvalitatív (Ausztrál Szabványügyi Hivatal által kiadott AS4360 számú – a kockázatkezelésről szóló – dokumentum szerint)

Kvantitatív kockázatbecslés ALE = SLE x ARO

ÁROP-2.2.21-2013

• ALE: Várható éves kár (Annualized Loss Expectancy): egy kockázat által okozható veszteség éves szinten. • SLE: Egyszeri várható veszteség (Single Loss Expectancy): Egy kockázat egyszeri bekövetkezésekor várható veszteség mértéke. • ARO: Éves bekövetkezés mutató (Annualized Rate of Occurence): A kockázat bekövetkezésének valószínűsége éves szinten.

Kvantitatív kockázatbecslés

ÁROP-2.2.21-2013

ALE = AV x EF • ALE: Várható éves kár (Annualized Loss Expectancy): egy kockázat által okozható veszteség éves szinten. • AV: Vagyontárgy értéke (Asset Value): a becsült forintosított érték. • EF: Kitettségi mutató (Exposure Factor): A vagyontárgyban keletkezett kár vagy hatás nagyságának mértéke.

Kvantitatív kockázatbecslés

ÁROP-2.2.21-2013

ALE = AV x EF = SLE x ARO Az így kapott összeg az a határérték, amit az adott vagyonelem éves védelmére fordíthatunk!

Kvalitatív kockázatbecslés

ÁROP-2.2.21-2013

• A kvalitatív kockázatbecslés alapvetései: – A kockázat mértéke szintén az elszenvedhető kár mértékével (következmény) és a bekövetkezés gyakoriságával arányos (valószínűség). – Mind a vagyontárgy értéke, mind a bekövetkezés gyakorisága, mind pedig a kockázat mértéke egyegy kvalitatív skála segítségével adható meg. – A három érték közötti összefüggést egy táblázat, az ún. kitettségi, vagy kockázati mátrix adja meg.

Kvalitatív kockázatbecslés

ÁROP-2.2.21-2013

Összefoglalás Információ

Vagyontárgy

ÁROP-2.2.21-2013

Sérülékenység

Fenyegetés

Kockázat

Védelmi intézkedések

Akkreditált Szakirányú Továbbképzési Szak

ÁROP-2.2.21-2013

ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI VEZETŐ dr. Bodó Attila Pál főosztályvezető-helyettes Közigazgatási és Igazságügyi Minisztérium Kormányiroda

Jogi és közigazgatási ismeretek

ÁROP-2.2.21-2013

Tematika: I. blokk: Jog, jogrendszer, alapfogalmak II. blokk: Jogalkotástan III. blokk: Közigazgatási jog alapjai IV. blokk: Közigazgatási szervek Vizsga: kollokvium, szóbeli (tételsor alapján) Szakirodalom: 1. Szilágyi Péter: Jogi alaptan (Osiris Kiadó, 2003. Budapest) 2. Drinóczi Tímea – Petrétei József: Jogalkotástan (DialógCampus Kiadó, 2004. Pécs) 3. Fazekas Marianna – Ficzere Lajos: Magyar közigazgatási jog – Általános rész (Osiris Kiadó, 2002. Budapest)

ÁROP-2.2.21-2013

II. blokk Jogalkotástan – elektronikus információbiztonság a magyar jogrendszerben

Célok ÁROP-2.2.21-2013

•

•

• •

•

A jog tudomány-rendszertani szerepénél szerzett ismeretek alapján helyezzék el az elektronikus információbiztonság szabályozási környezetét a magyar jogrendszerben. Ismerjék meg az elektronikus információbiztonság területén lezajlott stratégiaalkotást, a kapcsolódó cselekvési terveket, a szabályozást nemzeti és nemzetközi színtereken. Ismerjék meg az állami és önkormányzati szervek elektronikus információbiztonságát szabályozási rendszerét. Ismerjék meg az elektronikus információbiztonság szervezetrendszerét, a szervek jogállását, irányítását, feladatait, s működésük részletszabályait. Ismerjék meg az információbiztonsággal kapcsolatos felelősségi szabályokat.

1. Gondolatok az elektronikus információbiztonságról ÁROP-2.2.21-2013

• Az elektronikus közszolgáltatás biztonságáról szóló 223/2009.(X.14.) Korm. rendelet • 2009. évi CLV. tv./ 2010. évi CLVII. tv. Nemzeti adatvagyon • Globális kibertér: a globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információs rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok együttese; • Magyar kibertér: a globális kibertér elektronikus információs rendszereinek azon része, amelyek Magyarországon találhatóak, valamint a globális kibertér elektronikus rendszerein keresztül adatok és információk formájában megjelenő társadalmi és gazdasági folyamatok közül azok, amelyek Magyarországon történnek vagy Magyarországra irányulnak, illetve Magyarország érintett benne;

2. Stratégiaalkotás ÁROP-2.2.21-2013

• Magyary Program=Közigazgatási stratégiaalkotás • Kormányzati stratégiai irányításról szóló 38/2012.(III.12.) Korm. rendelet = kidolgozási szempontrendszer • Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012.(II.21.) Korm. határozat 1. melléklet 31. pont – Elsődleges feladat: felismerés, priorizálás, koordináció, társadalmi tudatosság

• Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013.(II.21.) Korm. határozat = a rögzített célok a magyar kibertérre terjednek ki – Célok: szabad biztonságos kibertér kialakítása, nemzeti szuverenitás védelme, gazdaság növekedésének biztosítása, fenyegetések és kockázatok kezelése

2.1. Kapcsolódási pontok ÁROP-2.2.21-2013

•

• • • •

• •

Alapértékek - szabadság, biztonság, jogállamiság, nemzetközi és európai együttműködés leképezése az Alaptörvény 38. cikkéből levezetett, a nemzeti vagyon részét képező nemzeti adatvagyon, valamint a kapcsolódó létfontosságú rendszerek és létesítmények kiberbiztonsága Magyarország Nemzeti Biztonsági Stratégiájának 31. pontja 2001-ben elfogadott Budapesti Konvenció („Convention on Cybercrime”), Az Európai Parlament által 2012. november 22-én elfogadott, „A kiberbiztonságról és védelemről szóló”, 2012/2096(INI) számú határozat Az Európai Bizottság és az Európai Unió közös kül- és biztonságpolitikájának főképviselője által 2013. február 7-én „Az Európai Unió Kiberbiztonsági Stratégiája: egy nyílt, biztonságos és megbízható kibertér” címmel közzétett közös közleménye NATO 2010 novemberében elfogadott Stratégiai Koncepciója, a 2011 júniusában elfogadott Kibervédelmi Politika és végrehajtási terve 2010. november 19-20-ai lisszaboni és a 2012. május 20-21-ei chicagói NATO-csúcs dokumentumaiban megfogalmazott Szövetségi kibervédelmi elvekhez és célokhoz.

2.2. Nemzeti cselekvési területek

ÁROP-2.2.21-2013

• Kormányzati koordináció = testület • Együttműködés = civil, gazdasági és tudományos területek képviselői • Szakosított intézmények = hatóság, szakhatóság, eseménykezelő központok • Szabályozás = jogalkotás, együttműködés • Nemzetközi együttműködések = EU, NATO, ENSZ, EBESZ – ENISA, ISACA • Tudatosság és oktatás, kutatásfejlesztés • Gyermekvédelem = gyermekbarát internet • Gazdasági szereplők motivációja = infokommunikációs fejlesztések

3. Törvényi szabályozás

ÁROP-2.2.21-2013

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) „A nemzet érdekében kiemelten fontos - napjaink információs társadalmát érő fenyegetések miatt - a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.”

3.1. Alapelvek és fogalmi rendszer Alapelvek

ÁROP-2.2.21-2013

Értelmező rendelkezések, fogalmak

• közel 50 pontban rögzített értelmező rendelkezések • Közigazgatási Informatikai Bizottsági ajánlások • ISO/IEC 27000 • ITB Common Criteria (CC) elvei • PreDeCo elv – megelőző/felismerő/elhárító védelem

3.1. Alapelvek és fogalmi rendszer

ÁROP-2.2.21-2013

Elektronikus információbiztonság = az elektronikus információs rendszerben szereplő adatok és információk, az azokat kezelő rendszerek védelme Elektronikus információs rendszer vs. tulajdonságok Bizalmasság – a rendszerben tárolt adatok és információk jogosultság szerinti megismerése, felhasználása Sértetlenség – az adat származása (hitelesség), az adat eredete (letagadhatatlanság) ellenőrizhető, a rendeltetésnek megfelelő használat Rendelkezésre állás – a rendszer az arra jogosult számára elérhető, az abban kezelt adatok felhasználhatóak


ÁROP-2.2.21-2013

Középpontban a védelem Védelmi feladatok: megelőzés és korai figyelmeztetés, észlelés, reagálás, eseménykezelés (Ibtv. 1. § 46. pont) • megelőzés = fenyegetés hatásának elkerülése (Ibtv. 1. § 36. pont) • korai figyelmeztetés = időben jelzés a várható fenyegetésről /hatékony védelmi intézkedések (Ibtv. 1. § 32. pont) • észlelés = bekövetkezés felismerése (Ibtv. 1. § 17. pont) • reagálás = megakadályozás, késleltetés, kármérséklés (Ibtv. 1. § 37. pont) • biztonsági esemény kezelése = dokumentálás, felszámolás, tényfeltárás, jövőbeni tervezés (Ibtv. 1. § 10. pont)


ÁROP-2.2.21-2013

fenyegetés vs. biztonsági esemény fenyegetés: olyan lehetséges művelet vagy esemény, amely sértheti az elektronikus információs rendszer vagy az elektronikus információs rendszer elemei védettségét, biztonságát, továbbá olyan mulasztásos cselekmény, amely sértheti az elektronikus információs rendszer védettségét, biztonságát; biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül;


ÁROP-2.2.21-2013

Védelemi intézkedések • logikai – információtechnólógia eszközök és eljárások • fizikai – mechanika, elektronika, élőerő, stb. • adminisztratív – szervezés, szabályozás, ellenőrzés Védelemi formák • folytonos – megszakítás nélküli • teljes körű – minden elemre lebontott • zárt – összes fenyegetést alapulvétele Az un. kockázatokkal arányos védelem elve – védelmi intézkedésekre fordított költségek és a fenyegetések által okozható károk értékének aránya


ÁROP-2.2.21-2013

AZ ELEKRONIKUS INFORMÁCIÓS RENDSZEREK TELJES ÉLETCIKLUSÁBAN MEG KELL VALÓSÍTANI A RENDSZER, A RENDSZERELEM ÉS AZ ADATOK BIZALMASSÁGA (csak adat!) SÉRTETLENSÉGE ÉS RENDELKEZÉSRE ÁLLÁSA ÉRDEKÉBEN A VÉDELMI FORMÁKNAK MEGFELELŐ VÉDELMET, AZZAL, HOGY A VÉDELMI INTÉZKEDÉSEK A VÉDELMI FELADATOK ÖSSZES ELEMÉT MAGUKBA FOGLALJÁK! (Ibtv. 5- 6. §)


ÁROP-2.2.21-2013

Biztonság = a védett elektronikus információs rendszer olyan állapota: - amely során az összes számításba vehető fenyegetést figyelembe kell venni, - amely az elektronikus információs rendszer valamennyi elemére kiterjed - folyamatában megvalósul, - költségei arányosak a fenyegetések által okozható károkkal.

3.2. Az Ibtv. hatálya ÁROP-2.2.21-2013

Tárgyi hatály (Ibtv. 1. § (2)-(3) bekezdés) Elektronikus információs rendszernek kell tekinteni: az adatok, információk kezelésére használt eszközök, eljárások, valamint az ezeket kezelő személyek együttesét, ezen belül - a számítástechnikai rendszereket és hálózatokat; - a helyhez kötött, mobil és egyéb rádiófrekvenciás, - műholdas elektronikus hírközlési hálózatokat, szolgáltatásokat; - rádiós vagy műholdas navigációt; - az automatizálási, vezérlési és ellenőrzési rendszereket (vezérlő és adatgyűjtő, távmérő, távérzékelő és telemetriai rendszerek); fentiek felderítéséhez, lehallgatásához vagy zavarásához használható rendszereket.


Elektronikus információs rendszernek kell tekinteni továbbá: az azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön, egymással összefüggő eljárásokkal azonos célból kezelt, kiszolgált, illetve felhasznált adatok, az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és felhasználó személyek együttesét. Eszközök alatt a környezeti infrastruktúrát, a hardvert, a hálózatot, és az adathordozókat, eljárások alatt a szabályozást, a szoftvert és a kapcsolódó folyamatokat kell érteni.


Személyi hatály – Ibtv. 2.§ Kiemelt jelentőséggel rendelkező és a nemzeti adatvagyon kezelését ellátó szervezetek kerültek a személyi hatály alá. A személyi hatály alá tartozó szervek és a számukra adatkezelést végző szervek elektronikus információs rendszereinek védelmére. A személyi hatálya nem terjed ki a Kormányra és a kormánybizottságokra, továbbá az önkormányzatok képviselő testületeire, annak bizottságaira, és a közgyűlésre. Személyi hatály – Ibtv. 2. § - kiterjed: • nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói elektronikus információs rendszereinek védelmére, • az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemekre


• a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala esetében: – a polgárok személyi adatainak és lakcímének nyilvántartására; – a központi idegenrendészeti nyilvántartására; – az egyéni vállalkozók nyilvántartására; – a központi útiokmány-nyilvántartásra; – a közúti közlekedési nyilvántartásra; – a Magyar igazolvány és a Magyar hozzátartozói igazolvány tulajdonosainak nyilvántartására; – a szabálysértési nyilvántartási rendszerre; – a bűnügyi nyilvántartási rendszerre; • a Nemzeti Rehabilitációs és Szociális Hivatalnak az egységes szociális nyilvántartására és az egységes örökbefogadási nyilvántartásra;


• a Földmérési és Távérzékelési Intézetre és a földhivatalokra, mint az ingatlannyilvántartás, a földhasználati nyilvántartás és egyéb földmérési és térképészeti, nyilvántartás adatfeldolgozóira; • az ONYF, mint a nyugdíjbiztosítási nyilvántartás adatkezelőjére; • az OEP, mint az egészségbiztosítási nyilvántartás adatkezelőjére; • az MH Geoinformációs Szolgálat és HM Térképészeti Közhasznú Nonprofit Kft.-re, a közepes és kisméretarányú állami topográfiai térképek adatfeldolgozása tekintetében; • a Pillér Pénzügyi és Számítástechnikai Kft-re, a Nemzeti Adó- és vámhivatal által kezelt adó- és vámhatósági adatok nyilvántartásának adatfeldolgozása tekintetében; • a Nemzeti Infokommunikációs Szolgáltató Zrt.-re, a Foglalkoztatási és Szociális Adatbázis, a kulturális örökségvédelmi nyilvántartás elektronikus adatfeldolgozása tekintetében;


A minősített adatokat kezelő elektronikus információs rendszereket érintően a Mavtv.-ben meghatározott eltérésekkel kell alkalmazni (10. § (4) bek.) - A minősített adat védelméhez szükséges és a minősítési szintnek megfelelő Mavtv. szerinti személyi, fizikai és adminisztratív védelmet, - ha a minősített adat elektronikus információs rendszeren van kezelve, akkor az Ibtv. szerinti biztonsági feltételeket. A hatósági (ideértve az információbiztonsági felügyelő feladatait is) és szakhatósági feladatok ellátásáról a minősített adatok védelmének szakmai felügyeletéért felelős miniszter gondoskodik.


A hatósági és a szakhatósági feladatok ellátása bizonyos elkülönített, rendészeti, honvédelmi, nemzetbiztonsági, valamint diplomáciai információs célokra használt ún. zárt célú elektronikus információs rendszerek és a nemzetgazdasági szempontból kiemelt jelentőséggel bíró vagy törvényi felhatalmazás alapján speciális feladatokat (pl.: médiaszolgáltatási és elektronikus hírközlési tevékenység) ellátó információs rendszerek esetében ágazati hatáskör. -

HM, BM, IH KÜM NAV NMHH


Magyarország területén kívüli adatkezelés korlátozva: - a személyi hatály alá tartozó szervek és a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói az általuk kezelt, a nemzeti adatvagyon részét képező adatokat csak Magyarország területén üzemeltetett elektronikus információs rendszerekben, valamint diplomáciai információs célokra használt zárt célú elektronikus információs rendszerben kezelhetik. - Kivétel a Magyar Honvédség, amely feladatellátásából adódóan külföldön is kell, hogy dolgozhasson adataival, elektronikus információs rendszereivel (pl.: NATO tagságból eredő kötelezettségek)


• Az európai létfontosságú rendszerelem és a nemzeti létfontosságú rendszerelem ha az elektronikus információs rendszerben kezelt adat nem a nemzeti adatvagyon részét képező adat az elektronikus információs rendszer az Európai Unió tagállamai területén is üzemeltethető, mivel a kizárólag Magyarország területén belül engedélyezett adatkezelés biztonsági és gazdasági szempontból sem indokolt. • Nemzeti adatvagyon esetén az adatkezelés csak Magyarországon történhet.


• A személyi hatálya alá tartozó szervek esetében biztosított az Európai Unió területén üzemeltetett elektronikus információs rendszerekben történő adatkezelést is, ha a hatóság engedélyezi vagy nemzetközi szerződésben előírt kötelezettség van rá. • Kivétel a Magyar Honvédség, ahol nemzetközi szerződés alapján, nemzetbiztonsági érdekből az Európai Unió területén kívül üzemeltetett elektronikus információs rendszerekben is kezelhetőek adatok. • A ún. zárt célú elektronikus információs rendszerek és a nemzetgazdasági szempontból kiemelt jelentőséggel bíró vagy törvényi felhatalmazás alapján speciális feladatokat ellátó információs rendszerek esetében a mentesség figyelembevételével hatósági feladatot ellátó szervezeti egység engedélyezi az Európai Unión belüli adatkezelést.

3.3 Az Lrtv. ÁROP-2.2.21-2013

A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény Létfontosságú rendszerelem az energetikai, a közlekedési, az agrárgazdasági, az egészségügyi, a pénzügyi, az ipari, az infokommunikációs, a vízügyi, a kormányzati, a közbiztonsági ágazatok valamelyikébe tartozó eszköz, létesítmény vagy rendszer olyan rendszereleme, amely elengedhetetlen a létfontosságú társadalmi feladatok ellátásához, és amelynek kiesése e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna. Alágazatokra történő felosztás

3.3 Az Lrtv. ÁROP-2.2.21-2013

Törvényben előírtak alapján kijelölt olyan létfontosságú rendszerelem, amelynek kiesése: • jelentős hatással lenne legalább két EGT-államra – ez esetben az egyes ágazatokon átnyúló kölcsönös függőségből következő hatásokat is figyelembe kell venni – európai létfontosságú rendszerelemnek, • a létfontosságú társadalmi feladatok folyamatos ellátásának hiánya miatt jelentős hatása lenne Magyarországon nemzeti létfontosságú rendszerelemnek minősül.

3.3 Az Lrtv. ÁROP-2.2.21-2013

A nemzeti létfontosságú rendszerelemmé történő kijelölés tagállami (nemzeti) hatáskör, amely alapján: - az egyes ágazatok esetében nemzeti létfontosságú rendszerelemmé történő kijelölést (vagy annak visszavonását) - az azonosítási eljárás lefolytatása után - az üzemeltető vagy a javaslattevő hatóság, - azonosítási jelentés benyújtásával kezdeményezheti az ágazati kijelölő hatóságnál. Ket. szerinti eljárás, az ún. ágazati és horizontális kritériumok alapján határozathozatallal zárul.

3.3 Az Lrtv.

ÁROP-2.2.21-2013

• Ágazati kritériumok azok a szempontok és az ezekhez tartozó küszöbértékek, műszaki vagy funkcionális tulajdonságok, amelyek alapján egy eszköz, létesítmény rendszereleme megzavarásának vagy megsemmisítésének hatása meghatározható, a hatások ismeretében az eszköz, a létesítmény, a rendszer vagy azok része létfontosságú rendszerelemmé jelölhető és ágazati besorolása meghatározható. • Horizontális kritériumok esetén az eszköz, létesítmény rendszerelemének azon tulajdonságai és azok a szempontok kerülnek meghatározásra, amelyek figyelemmel vannak a bekövetkező emberiélet-veszteségekre, a gazdasági és társadalmi hatásokra, az egészségre, a természetre, az épített környezetre gyakorolt hatásokra és létfontosságú rendszerelemmé történő kijelölésük független az ágazati besorolástól.

3.3 Az Lrtv.

ÁROP-2.2.21-2013

• A hatósági döntés során meghatározásra kerül az a határidő, amely időpontig az üzemeltetőnek biztonsági tervet kell kidolgoznia és rögzítésre kerülnek a létfontosságú rendszerelem védelmével összefüggő, a rendszerelem egyedi sajátosságaihoz, környezetéhez, a veszély mértékéhez igazodó feltételeket. !!!!! Üzemeltető - üzemeltetői biztonsági terv / biztonsági összekötő személy Az európai létfontosságú rendszerelemek kijelölése (a kijelölés visszavonása) nem nemzeti hatáskör, a kijelölési folyamat vagy Magyarországon belül, az üzemeltető vagy a javaslattevő hatóság kérelmére, vagy pedig valamely EGT-állam kezdeményezésére indulhat meg. A kijelölés nem hatósági eljárás, legalább kettő tagállam együttműködését, megállapodását és nemzetközi szerződés megkötését igényli.

3.4. Az Ibtv szerinti biztonsági osztályba sorolás

ÁROP-2.2.21-2013

• Biztonsági kockázatok és a kockázatokkal arányos védelem meghatározása • Szervezet vezetőjének felelőssége • Bizalmasság, sértetlenség, rendelkezésre állás alapján – minden egyes rendszerre vonatkozóan • Védelem elvárt erőssége meghatározása kerüljön • Kockázat: a fenyegetettség mértékének azonosítása, amely mérték egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye – nagyságrend!


ÁROP-2.2.21-2013

Kockázatelemzés alapján: • társadalmi-politikai káros hatások, károk vagy a jogsértésből, kötelezettség elmulasztásából fakadó káros hatás, károk; • személyeket, csoportokat érintő károk, káros hatások; • közvetlen anyagi károk; • közvetett anyagi károk.


ÁROP-2.2.21-2013

Az 1. biztonsági osztály esetében csak jelentéktelen káresemény következhet be, mivel • az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot; • nincs bizalomvesztés, a probléma kisebb, az érintett szervezeten belül marad, és azon belül meg is oldható; • a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentéktelen.


ÁROP-2.2.21-2013

A 2. biztonsági osztály esetében csekély káresemény következhet be, mivel • személyes adat sérülhet; • az üzlet-, vagy ügymenet szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat, vagy elektronikus információs rendszer sérülhet; • a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető; • a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest csekély.


ÁROP-2.2.21-2013

A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel • különleges személyes adat, vagy nagy tömegű személyes adatok sérülhetnek; • az üzlet-, vagy ügymenet szempontjából közepes értékű, vagy az érintett szervezet szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet; • a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek; • a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest közepes.


ÁROP-2.2.21-2013

A 4. biztonsági osztály esetében nagy káresemény következhet be: • nagy tömegű különleges személyes adat sérülhet; • személyi sérülések esélye megnőhet (ideértve a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket); • az üzlet-, vagy ügymenet szempontjából nagy értékű, üzleti titkot, vagy az érintett szervezet szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet; • a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, az érintett szervezet vezetésében személyi konzekvenciákat kell alkalmazni; • a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest jelentős.


ÁROP-2.2.21-2013

• 5. biztonsági osztály, kiemelkedően nagy káresemény következhet be: kiemelten nagy tömegű különleges személyes adat sérül; • emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be; • a nemzeti adatvagyon helyreállíthatatlanul megsérülhet; • az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított; • a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek; • a közvetlen és közvetett anyagi kár az érintett szervezet költségvetését, szellemi és anyagi erőforrásait meghaladó, különösen nagy értékű üzleti titok, az érintett szervezet szempontjából kiemelten érzékeny információt képező adat sérül.


ÁROP-2.2.21-2013

A biztonsági osztályba sorolás: - a bizalmasság, a sértetlenség vagy rendelkezésre állás kockázata alapján, - minden egyes elektronikus információs rendszer esetében - önbesorolás útján, - 1-től 5-ig terjedő számozással ellátott skálán kell elvégezni (a számozás emelkedésével a védelmi előírások fokozatosan szigorodnak) kell elvégezni. Kezdő, alapállapotának rögzítése a már működő elektronikus információs rendszerek tekintetében első alkalommal 2014. július 1-ig Ciklikusság jellemzi, fő szabály = 3 év


ÁROP-2.2.21-2013

- kivétel a 3 év alól és soron kívüli felülvizsgálatot kell elvégezni: - az elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás - új elektronikus információs rendszer bevezetése, - a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatok vonatkozásában bekövetkezett változás Fokozatosság elve: az első vizsgálatkor megállapított biztonsági osztályt alapul véve lépésről lépésre lehet haladni, minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére 2t év áll rendelkezésre.


ÁROP-2.2.21-2013

Egy szervezet az önbesorolás alapján elektronikus információs rendszerét 3. biztonsági osztályba sorolja 2014 májusában: - a reá irányadó érték az 5-ös, - a 4-es biztonsági osztály elérésére 2 év, 2016 májusáig, - az 5-ös szint és osztály elérésére további 2 év áll rendelkezésére 2018 májusáig, összesen tehát 4 év alatt kell a megfelelő biztonsági osztályt elérnie.


ÁROP-2.2.21-2013

• Szervezet vezetője az irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat - nem jogszabályi kérdés. • Hatóság ellenőrzi, a megállapított biztonsági osztályt felülbírálhatja és magasabb - indokolt esetben alacsonyabb - szintű biztonsági osztályba sorolást is megállapíthat. - Kivétel: minősített adat, zárt célú hálózat. • Dokumentált forma. • Szervezet vezetője a jóváhagyó. • Eredményét az IBSZ-ben kell rögzíteni. • Hiányosság esetén - vizsgálatot követő 90 napon belül cselekvési terv készítése.

3.5. Az Ibtv. szerinti szervezeti biztonsági szint meghatározás

ÁROP-2.2.21-2013

• Biztonsági osztályba sorolással párhuzamosan, annak szabályrendszeréhez igazodva kell elvégezni. • Elvégzése a szervezet vezetőjének a felelőssége. • A szervezetnek azt a felkészültségét kell meghatározni, amely a biztonsági feladatok kezelésére vonatkozik, azaz a szervezet elektronikus információs rendszereinek védelmét a bizalmasság és a sértetlenség, valamint a rendelkezésre állás alapján hogyan, a kockázatokkal mennyire arányosan és költséghatékonyan biztosítja. • Minimum biztonsági szint meghatározása, amelynél alacsonyabb meghatározásra nem kerülhet sor.


ÁROP-2.2.21-2013

Alap biztonsági szintek • A Köztársasági Elnöki Hivatal, az Országgyűlés Hivatala, az Alkotmánybíróság Hivatala, az Alapvető Jogok Biztosának Hivatala, a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalai és a hatósági igazgatási társulások esetén legalább a 2. biztonsági szint. • A központi államigazgatási szervek, a bírósági szervezetrendszer (Országos Bírósági Hivatal, Kúria, ítélőtábla, törvényszék, járásbíróság és kerületi bíróság, közigazgatási és munkaügyi bíróság), az ügyészségi szervezetrendszer (Legfőbb Ügyészség, fellebbviteli főügyészség, főügyészségek, járási ügyészségek), az Állami Számvevőszék, a Magyar Nemzeti Bank, a fővárosi és megyei kormányhivatalok esetén legalább a 3. biztonsági szint.

3.5. Az Ibtv. szerinti szervezeti biztonsági szint meghatározás ÁROP-2.2.21-2013

Alap biztonsági szintek • A Magyar Honvédség esetén legalább a 4. biztonsági szint. • A nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek esetén legalább az 5. biztonsági szint. DE! A szervezet biztonság szintjének – a biztonsági irányítási rendszerében elért információbiztonság szintjének – azt a biztonsági szintet kell elérnie, amely megegyezik az általa kezelt elektronikus információs rendszerek közül a legmagasabb biztonsági osztállyal, de minimum az előírt alap biztonsági szinttel.


ÁROP-2.2.21-2013

Egy központi államigazgatási szerv olyan elektronikus információs rendszert kezel, melyben: - az információk bizalmassági besorolása 2., - sértetlenségi besorolása 3., - rendelkezésre állási besorolása pedig 1., akkor a szervezeti biztonsági szintjét mindenre figyelemmel 3. szinten kell meghatározni. Ha minden osztályba sorolási érték 2., a szervezeti biztonsági szintje akkor is 3., mivel ez az alap biztonsági szint. Ha olyan elektronikus információs rendszert kezelnek, amely biztonsági osztályba sorolása eléri a 4. szintet, a szervezet biztonsági szintjét is 4. szinten kell meghatározni.


ÁROP-2.2.21-2013

• 2014. július 1-e - 3 éves ciklikusság. • Az elektronikus információs rendszer biztonságát érintő változás esetén vagy új elektronikus információs rendszer bevezetésekor soron kívüli felülvizsgálat. • Fokozatosság elve – szintek elérésére 2 év - (2. biztonsági szint 2014 május, irányadó alap biztonsági szint 4-es szint, 3-as szint elérés 2016 májusig, 4-es szint elérés 2018 májusáig, összesen 4 év alatt kell a megfelelő biztonsági szintet elérni) • Kiegészítő szabály: ha az 1. biztonsági szint nincs meg, az 1. biztonsági szint eléréséhez szükséges intézkedéseket a vizsgálatot követő egy éven belül kell megtenni, 2014 májusában elvégzett felülvizsgálat esetén 2015 májusáig.


ÁROP-2.2.21-2013

• Szervezet vezetője az irányadó biztonsági szintnél magasabb, biztonsági szintet is megállapíthat szervezet jogállását és feladatkörének változásait figyelembe véve. • Hatóság ellenőrzi, a megállapított biztonsági szintet felülbírálhatja és magasabb - indokolt esetben alacsonyabb - szintet is megállapíthat. - Kivétel: minősített adat, zárt célú hálózat. • Dokumentált forma. • Szervezet vezetője a jóváhagyó. • Eredményét az IBSZ-ben kell rögzíteni. • Hiányosság esetén - vizsgálatot követő 90 napon belül cselekvési terv készítése.

ÁROP-2.2.21-2013

KÖSZÖNÖM A FIGYELMET!

ÁROP ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI VEZETŐ SZAKIRÁNYÚ TOVÁBBKÉPZÉSI SZAK

Recommend Documents