Dr. Muha Lajos
Az L. törvény és következményei
a törvény hatálya A 2. § (1) bekezdésben felsorolt (állami és önkormányzati) szervek és ezen szervek számára adatkezelést végzők
A nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói
Az európai és nemzeti létfontosságú rendszerelemmé kijelöltek
A törvény hatálya
Ø
Ø
Ø
A cím és összevetése;
a
2.
szerinti
hatály
Az cím ellenére az önkormányzatok sokáig nem akarták „magukra venni”; Az európai és nemzeti létfontosságú rendszerré kijelölés?
elektronikus információs rendszer
1. § (3)
E törvény alkalmazásában egy elektronikus információs rendszernek kell tekinteni
adott adatgazda által, adott cél érdekében az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttesét.
biztonsági osztályba sorolás
41/2015 BM rendelet NIST SP 800-53 rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations Updated with Errata page May 7, 2013
biztonsági osztályba sorolás
A
B
C
1.
Sorszám
2.
3.
4.
5.
3.3.1.
Általános védelmi intézkedések
6.
3.3.1.3.
7.
3.3.1.3.2.
D
E
F
G
H
Intézkedés típusa
I
J
K
L
M
N
Alapelvek Bizalmasság
Sértetlenség
Rendelkezésre állás
Biztonsági osztályok 2
3
4
5
2
3
4
5
2
3
4
5
Az elektronikus információs rendszer kapcsolódásai
0
X
X
X
0
X
X
X
0
X
X
X
Belső rendszer kapcsolatok
0
X
X
X
0
X
X
X
0
X
X
X
A
B
C
1.
Sorszám
2.
3.
3.1.1.
Szervezeti szintű alapfeladatok
4.
3.1.1.1.
5.
3.1.1.2.
D
Intézkedés típusa
E
F
G
Biztonsági osztály 1
2
3
4
5
Informatikai biztonsági szabályzat
X
X
X
X
X
Az elektronikus információs rendszerek biztonságáért felelős személy
X
X
X
X
X
biztonsági szintbe sorolás
9.§ (2) Az elektronikus információs rendszer a) fejlesztését végző, b) üzemeltetését végző, c) üzemeltetéséért felelős vagy d) információbiztonságáért felelős szervezeti egységeket az elektronikus információs rendszerek védelmére való felkészültségük alapján a szervezettől elvárt, eltérő biztonsági szintekbe kell sorolni jogszabályban meghatározott szempontok szerint.
biztonsági szintbe sorolás
A szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. A biztonsági szint 3., ha … szakfeladatait támogató elektronikus információs rendszert használ. A biztonsági szint 4., ha … elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt
költségminimalizálás A szervezési, szabályozási módszerek használata, Javaslat a biztonsági osztályok és a biztonsági szint tekintetében a fokozatos bevezetésére.
megelőzés
A szervezetek és vezetőik legfontosabb feladatai A megelőzés lehetőségeinek javítása miatt nagy hangsúlyt kap a szabályozás, illetve a biztonságtudatosság növelése, az oktatás-képzés.
A szervezet vezetője
11. § (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről … Mindenért felelős! A felelőssége nem átruházható!
biztonsági felelős
Az elektronikus információs rendszer biztonságáért felelős személyt KELL kijelölni! Felsőfokú végzettség és szakképzettség kötelező.
magas szintű képzés
Az információbiztonsági tudatosság növelése a védett az elektronikus információs rendszerek vezetői, informatikai biztonsági vezetői feladatait csak megfelelő szakemberek végezhessék. 26/2013. (X. 21.) KIM rendelet és NKE képzés
CERT
185/2015. (VII. 13.) Korm. rendelet a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól
ellenőrzés
hatóság: elsődleges feladata az ellenőrzés. nem közigazgatási szervek esetében bírságolási jog, közigazgatási szervek esetében joga van információbiztonsági gondnok kinevezésre.
Köszönöm a figyelmet!
