Biztonsági osztályba és szintbe sorolás, IBF feladatköre
Angyal Adrián vezető szakértő
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
2013. évi L. törvény: „az állami és önkormányzati szervek elektronikus információbiztonságáról” IBTv. vagy „50-es” törvény Törvény & végrehajtási rendeletek együttese adja a konkrét intézkedéseket
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Informatikai biztonság bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról; sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, … ; rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek; (egyéb fogalmak, pl.: hitelesség)
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Mit kell tennünk – nagy vonalakban? 1. Adatszolgáltatási kötelezettségeknek eleget kell tenni. Határidő – pl.: az IBSz beküldés határideje már lejárt… …indoklás vagy dokumentum beküldése alapvető fontosságú. 2. Gyakorlati megvalósítás indítása
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Gyakorlati megvalósítás alap eleme: biztonsági osztályokba sorolás, eszköz vagy cél? - Mit tudunk besorolni? - Adatot vagy információs rendszert.
- A besorolással mit szeretnénk elérni a gyakorlatban? - Kockázatarányos védelmet: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével; Végső soron pedig: - technológiai biztonság - ITB tudatosság fokozása - gyenge pontok felszámolása - „globális hatás” – kibertér védelme KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Kockázatelemzés fázisai a rendelet szerint Kockázatelemzés: • Kockázatelemzési eljárásrend* • Biztonsági osztályba sorolás* • Kockázatelemzés* (konkrét eljárás végrehajtása) • Sérülékenységi teszt • Frissítési képesség (vizsgálatai eszköz képessége) • Frissítés időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően (sérülékenységek körét) • Privilegizált hozzáférés (rendszer elérés, a teszt végrehajtáshoz) • Felfedhető információk (támadó mit lát) * - kötelező elem, valamennyi biztonsági szinten KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Módszertan – besorolásra, elemzésre Módszertan: az adott szervezet saját módszertana, melyet a szervezet készít el és vezetője hagy jóvá! Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a B\S\R követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti…
Az elektronikus információs rendszerek biztonsági osztályba sorolását „kockázatelemzés” alapján kell elvégezni: { Relációs kapcsolat }:
kárhatás (x) becsült valószínűség = „kockázati érték”
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Kockázatelemzésben alkalmazott kárhatás alapjai Információs rendszer értéke = könyv szerinti érték + adat értéke (+ járulékos költségeink, pl.: üzembe helyezés, üzemeltetés) adat értékét akkor látjuk igazán, ha a biztonság (B/S/R) sérül: - idegen kézbe kerül (a Facebook hozzáférésünk) - adat sérül (adóbevallás: 1 millióból 10 millió lesz) - adatvesztés (nyilvántartás újraépítése irattárból) Veszteséget mérhetjük például pénzben, működésben, jogi hatásban, hírnév vesztésben… (társadalmi és politikai hatás, személyeket érintő károk)
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Elkészült a biztonsági osztályba sorolás Megadjuk a szervezet biztonsági szintjét (a rendszerek legmagasabb biztonsági osztályával azonos szintű besorolás) Eredményeket rögzítenünk kell az informatikai biztonsági szabályzatba A kockázatelemzés fogja indokolni az intézkedések, beruházások sorrendjét Továbbá, a kockázatelemzés adhat indokot arra, hogy eltérjünk a biztonsági osztályba sorolás eredményétől ( +/- irányba)
Folyamatos figyelem és frissítés (élővé kell tenni a rendszert) KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Megközelítés – módszertan, szabványok IT biztonsággal foglalkozó főbb szabványok: MSZ/ISO27001:2006*, COBIT, PCI DSS, ITB ajánlások, korábbi jogszabályok… Ki mit ismer, a lista egyre bővül. Főleg, ha beleveszünk egyéb kapcsolódó szabványokat is (ISO2700x, ISO20000). Ötletet adnak, jó gyakorlatot – azonban az IBTv. esetében a megvalósítás számít: • Adminisztratív védelmi intézkedések (IBP, IBS, IBSz, Nyilvántartás, kockázatelemzés) • Fizikai védelmi intézkedések • Logikai védelmi intézkedések * - ISO/IEC 27001:2013 KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Eddigi tapasztalatok… Egyre többek számára ismert a maga a törvény – a végrehajtási rendeletek kevésbé; Tevékenység szükséges; Állami és piaci szervezetek is felismerték, hogy előnyökkel jár az „elsők közt lenni”; • Sok szervezet csúszik a határidőkkel • Vita folyik arról, hogy hatályos-e a törvény • Költségvetésben nem tudták az idei évre betervezni
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Előrelépés Mit tudunk tenni??? Alakítsunk ki gyorsan egy IBSz-t? Módszertant? Jelöljünk ki egy „felelőst”? Vizsgáljuk meg a helyzetünket… - Alakítsuk ki azt, amit különösebb erőfeszítés nélkül tudunk. - Tervezzünk előre! (határidők, „ismerjük meg” magát a törvényt) - Felkészülés módjai, lehetőségei („saját magunk”, külső szakértő) - Az elektronikus információs rendszerek nyilvántartása („szolgáltatáskatalógus”) - Írjuk meg a levelet a NEIH-nek, arról, hogy mik a vállalásaink (realitás fontos)
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Továbblépés – konkrét lépések 2/1 Tervezés – be tudjuk lőni az irányokat… Belső erőforrásból megoldható maga a besorolás, elemzés? (i/n) Ki tudunk jelölni egy felelős személyt szervezeten belül? (i/n) Külső szakértőt kell igénybe vennünk? Projektszerűen? Vagy hosszabb távon, keretszerződést kötünk? Mennyire összetett az IT rendszer? - „kicsik vagyunk” (szinte elég a kockásfüzet) - Átlagos mennyiségű IT szolgáltatásunk van (honnan lehet ezt tudni?) – sorvezető van - átlagostól jelentősen eltérő elektronikus információs rendszer
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Továbblépés – konkrét lépések 2/2 301/2013. (VII. 29.) Korm. Rendelet – „átlagostól jelentősen eltérő” (sorvezető: 20 külső IP, >10 webservice, 500+ munkaállomás, …)
Több éves tapasztalat – építkezni az alapoktól? Támogató szoftverek és megoldások. Javaslat: teljes körű megoldásokat, vagy könnyen integrálható megoldásokat keressünk. Tipizált megoldások működhetnek, de csak jól körülhatárolt esetekben!
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Informatikai biztonsági felelős (IBF) Az informatikai biztonságért a Szervezet vagy Intézmény vezetője a felelős! IBF – teljes embert és megfelelő fellépést, gyakorlatot kíván: • A szervezet vezetőjének közvetlenül adhat tájékoztatást, jelentést • felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért • elvégzi vagy irányítja tevékenységek tervezését, szervezését, koordinálását és ellenőrzését • kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal… KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
Fizikai és logikai megvalósítás Számos megoldás létezik! Drága – olcsó… Összetett – egyszerűsített (szinte már kényelmes)
Szinte nem is az a kérdés, hogy mit… hanem, „HOGYAN” KOCKÁZATARÁNYOSAN
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013
KÜRT Zrt. Információmenedzsment • www.kurt.hu • © 2013