Az NKI bemutatása
Tikos Anita Nemzeti Kibervédelmi Intézet
EGY KIS TÖRTÉNELEM
•
2013. Nemzeti Kiberbiztonsági Stratégiája
•
2013. július 1.: hatályba lép az Információbiztonsági törvény (Ibtv.)
Heterogén szervezetrendszer: • • • •
hatósági feladatok: Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szakhatóság: Nemzeti Biztonsági Felügyelet CDMA Informatikai biztonsági eseménykezelés : NBSZ GovCERT Kiberbiztonsági Koordinációs Tanács
Nehézkes együttmĦködés, forráshiány, infóhiány…
KIBERBIZTONSÁGI STRUKTÚRA 2015. JÚLIUS 16. ELėTT Miniszterelnökség Nemzeti Kiberbiztonsági Koordinációs Tanács Kiberbiztonsági Titkárság
IKMCS
Eseménykezelési Munkacsoport
Belbiztonsági Munkacsoport
Belügyminisztérium NBSZ GovCERT
IT biztonsággal foglalkozó egyetemek
E-közigazgatási munkacsoport
Közigazgatási és Igazságügyi Minisztérium NBF CDMA
Operatív törzs
Energetikai munkacsoport
Gyermekvédelmi munkacsoport
Nemzeti Fejlesztési Minisztérium NEIH
Kiberbiztonsági fórum IT biztonsággal foglalkozó cégek, szervezetek
JELENLEGI KIBERBIZTONSÁGI STRUKTÚRA Belügyminisztérium Nemzeti Kiberbiztonsági Koordinációs Tanács
Nemzeti Kibervédelmi Intézet GovCERT
NEIH
Biztonságirányítás támogatás
ÚJ STRUKTÚRA 2015 JÚLIUS 16. UTÁN Belügyminisztérium Nemzeti Kiberbiztonsági Koordinációs Tanács
Kiberkoordinátor (Titkárság)
stratégiai szint
Incidenskezelési Munkacsoport
Eseménykezelési Munkacsoport
Belbiztonsági Munkacsoport
E-közigazgatási munkacsoport
Kiberbiztonsági Fórum
Energetikai munkacsoport
operatív szint Belügyminisztérium Nemzeti Kibervédelmi Intézet
HM CERT
IH CERT
OKF LRLIBEK
Gyermekvédelmi munkacsoport
ÚJ SZERVEZETI MODELL (2015) SZTAKI
HunCERT
NIIFI
Belügyminisztérium
CSIRT
IH
NKI (NEIH)
OKF
MĦködtetĘ szerv
NKI (GovCERT)
LRLIBEK
HM
IH
HM
IH
Gazdasági társaságok nem kormányzati rendszerek
HM
NKI (GovCERT) kormányzati rendszerek
megfelelĘség incidenskezelés sérülékenységvizsgálat
Kritikus infrastruktúrá k
speciális rendszerek
KORMÁNYZATI IT BIZTONSÁGI ÉLETCIKLUS Tervezés
Tudatosítás
Riasztások oktatás GovCER T
EllenĘrzés Incidensek és kitettség elhárítása
Intézmény
Incidenskoordináció
Rendszertámogatás
IT biztonsági kontroll
Szabályozás és védelem kialakítása
NEIH
Védelmi gyakorlat Fenntartás és felügyelet
Sérülékenység vizsgálat
SZERVEZETI FELÉPÍTÉS GovCERT IncidenskezelĘ Osztály
- Biztonsági események kezelése - Fenyegetésmenedzsment - Ügyeleti szolgálat - Elemzés/értékelés - Kibervédelmi gyakorlat - Képzés, tudatosítás
Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH)
- Ügyfelek és rendszerek nyilvántartása - Biztonsági osztályba és szintbe sorolás ellenĘrzése - Követelmények teljesülésének ellenĘrzése - Javaslat információbiztonsági felügyelĘ kirendelésére
Biztonságirányítási és Sérülékenységvizsgálati Osztály
- Sérülékenységvizsgálat - EMIR/FAIR rendszerekkel kapcsolatos informatikai biztonsági feladatok ellátása -IT biztonsági tanácsadás
NEMZETKÖZI SZEREPVÁLLALÁS szervezeti tagságok:
z z z z z
FIRST Trusted Introducer CECSP IWWN
globális európai súlypontú V4 és Ausztria globális
munkacsoport tagságok
z z z z z
Berni klub – elektronikus támadások (EA) ENISA szakértĘi munkacsoportok Európai Bizottsági munkacsoportok (EFMS, EP3R) NIS munkacsoportok ( EgyüttmĦködési Csoport, CSIRT hálózat stb.)
NEMZETKÖZI SZEREPVÁLLALÁS 2016 kibervédelmi gyakorlatok
z z z z z
Cyber Storm V. CMX Locked Shields Cyber Europe 2016
együttmĦködések
z z z
Európai Hálózat- és Információbiztonsági Irányelv (NIS) Smart Project
Az EU-s információbiztonsági szabályozás
NIS IRÁNYELV: ELėZMÉNYEK •
2013. február 7: Az Európai Unió Kiberbiztonsági Stratégiája: Nyílt, megbízható és biztonságos kibertér” címĦ közlemény hálózat- és információbiztonságnak az egész Unióban egységesen magas szintjére vonatkozó intézkedésekrĘl szóló irányelv javaslatát
•
Cél: EU-s szinten közös minimum szabályok és képességek
•
Intézmények és követelmények definiálása
•
Tagállamok által kialakított struktúra fenntartása
•
Biztonságos, hatékony együttmĦködés EU-s szinten ( CSIRT és hatóság esetében egyaránt)
NIS IRÁNYELV •
új EU-szintĦ kiberbiztonsági szabályozás • • •
az EU 2016/1148 irányelve (2016. július 19.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekr Cél: EU-s szinten közös minimum szabályok és képességek Tagállamok által kialakított struktúra fenntartása
•
a piaci és kormányzati szereplĘk széles körét érinti
•
IT-biztonsági követelményeket, incidens bejelentési eljárásokat ír elĘ • •
alapvetĘ szolgáltatást nyújtó szereplĘknek és digitális szolgáltatóknak
HATÁLY JOGSZABÁLYOK Ibtv.
NIS irányelv
állami és önkormányzati szervek
Digitális szolgáltatók
ALAPVETė SZOLGÁLTATÓK •
alapvetĘ szolgáltatásokat nyújtó szereplĘ( 6 szektor) •
közjogi vagy magánjogi szervezet, amely • • •
•
kritikus társadalmi és/vagy gazdasági tevékenységek fenntartásához alapvetĘ szolgáltatást nyújt a szolgáltatása IT rendszerektĘl függ a szolgáltatását érintĘ biztonsági esemény jelentĘs zavart okozna a szolgáltatásban
feladatai •
megfelelĘ és arányos mĦszaki és szervezési intézkedéseket tesz • •
•
IT rendszerei biztonságát fenyegetĘ kockázatok kezelésére, és IT rendszereit érintĘ biztonsági események megelĘzésére, hatásainak csökkentésére
bejelenti a szolgáltatásaira jelentĘs hatást gyakorló biztonsági eseményeket
DIGITÁLIS SZOLGÁLTATÓK •
digitális szolgáltató •
•
minden digitális szolgáltatást nyújtó jogi személy
feladatai •
az alábbi szolgáltatások EU-n belül nyújtása során általa használt IT rendszerek biztonságát fenyegetĘ kockázatok kezelése érdekében megfelelĘ és arányos mĦszaki és szervezési intézkedéseket tesz: • • •
•
online piactér online keresĘprogram felhĘalapú számítástechnikai szolgáltatás
bejelenti a szolgáltatásaira jelentĘs hatást gyakorló biztonsági eseményeket
ALANYI HATÁLY: KIVÉTELEK •
nem vonatkozik • • • •
•
mikro- és kisvállalatok; más EU-szintĦ IT-biztonságot érintĘ ágazati szabályozás hatálya alá (is) esĘk (pl. kritikus infrastruktúra) a nemzeti ágazati kijelölési kritériumokat nem teljesítĘ alapvetĘ szolgáltatók gyártók, fejlesztĘk
vonatkozik • •
EU-n kívüli székhelyĦ, de az EU területén szolgáltatást nyújtók (pl. Google) (közvetve, az érintetteknek IT szolgáltatást nyújtó harmadik felek)
TAGÁLLAMOK FELADATAI •
kapcsolattartási pontok kijelölése (SPoC)
•
részvétel az EU-szintĦ • •
•
stratégiai együttmĦködési csoportban és CSIRT-hálózatban
jogszabályalkotás illetve -harmonizáció • •
stratégia elfogadása jogszabályok elfogadása • • •
•
ágazati kijelölés kritériumai IT-biztonsági követelmények incidens-bejelentési követelmények
statisztikai adatszolgáltatás idĘszakosan
TAGÁLLAMOK FELADATAI ENISA 2012 Más szabályozások is fogalmaznak meg biztonsági követelményeket, incidens bejelentési kötelezettséget: - eIDAS - CI - Adatvédelmi rendelet - elektronikus hírközlés keretszabályozás NIS irányelv
ÁGAZATI MODELLEK •
decentralizált •
•
részben centralizált •
•
a meglévĘ ágazati szabályozó szerv vállalja fel a CERT szerepét
centralizált •
•
az ágazati szereplĘk önszervezĘdĘen hoznak létre CERT-et
az ágazati szereplĘk a GovCERT szolgáltatásait közvetlenül veszik igénybe
itthon várhatóan hibrid, azaz ágazatonként eltérĘ modell alakul ki
MENETREND 2017
2016 hatóság és CERT kijelölés
2018
Jogszabály alkalmazása 2018. november
EU-s munkacsoportok megalakulása 2017 február hatóságok és CERT-ek EU-s együttmĦködése
NIS irányelv 2016 július 19.
ENISA ajánlás
EC rendeletek
kötelezĘ alkalmazás digitális szolgáltatók
ágazati követelménymeghatározás és jogharmonizáció
átültetési határidĘ 2018.Május
kijelölések határideje alapvetĘ szolgáltatók
?
[email protected] [email protected]
