Belső kontrollok és integritás az önkormányzatoknál konferencia Fejér Megyei Kormányhivatal Székesfehérvár, 2013.11.7.
Fókuszban az információbiztonság A 2013. évi L. tv-nek való megfeleléshez szükséges fő lépések áttekintése Előadó: Smohay Ferenc, BEMSZ, ABT
ABT Treuhand csoport
2
Az előadás fő témái
Bemutatkozás A törvény háttere, hatálya A megfeleléshez vezető út Első feladatok 2014. június 30-ig elvégzendő feladatok További teendők
ABT Treuhand csoport
3
Bemutatkozás Smohay Ferenc
Szakterület Informatikai audit
Informatikai biztonság Belső ellenőrzés Törvényi megfelelőségi audit Belső kontrollrendszerek, SOX • •
• •
Közgazdász, CISA, CIA Informatikai és belső ellenőrzési üzletágvezető, ABT Treuhand csoport, Budapest Telefon: +36 30 588 35 13 E-mail:
[email protected]
ABT Treuhand csoport
Szakmai tapasztalat 2012-
ABT Treuhand csoport
2007-2008: KPMG Milánó, Olaszország 2003-2012: KPMG Tanácsadó Kft.
4
A törvény háttere Információbiztonsági kockázatok
Magyarország veszélyben! Eddigi fő válaszok: Magyarország Nemzeti Kiberbiztonsági Stratégiája A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény és végrehajtási rendeletei Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) Végrehajtási rendelet előkészítés alatt
ABT Treuhand csoport
5
A törvény hatálya Nem csak állami és önkormányzati szervezetek!
2. § (1)… j) a fővárosi és megyei kormányhivatalokra, k) a helyi és a nemzetiségi önkormányzatok képviselőtestületének hivatalaira, a hatósági igazgatási társulásokra 2. § (2) a) az (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők
ABT Treuhand csoport
6
A megfeleléshez vezető út Első feladatok
Bejelentési kötelezettség a Nemzeti Elektronikus Információbiztonsági Hatóságnak 2013. augusztus 31-ig (26. § (3)) A szervezet azonosításához szükséges adatokat A szervezetnek az elektronikus információs rendszer biztonságáért felelős személye adatait 2013. szeptember 30-ig (26. § (3)) A szervezet informatikai biztonsági szabályzatát (15. § (1) d))
ABT Treuhand csoport
7
A megfeleléshez vezető út Első feladatok
Benyújtás módja: Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) számára adatszolgáltatás a következő módon nyújtható be: 1. hivatali kapun keresztül (Az ügyfél Ügyfélkapun, vagy Hivatali kapun történő azonosítást követően az adatait ÁNYK űrlapon tudja elektronikusan benyújtani.) 2.
[email protected] címre elektronikus aláírással ellátva (elektronikus aláírás hiányában – hivatalosan aláírva - egyben postai úton is meg kell küldeni) 3. postai úton, hivatalosan aláírva az alábbi címen: Nemzeti Fejlesztési Minisztérium Nemzeti Elektronikus Információbiztonsági Hatóság 1440 Budapest, Postafiók 1. Az adatszolgáltatás megtételére kifejlesztett űrlap elérhetőségét hamarosan közzétesszük. Kérdéseiket az
[email protected] cimen vagy a következő telefonszámon tehetik fel: +36-1-795-2701.
ABT Treuhand csoport
8
Teendők 2014. június 30-ig Áttekintés
Elektronikus információs rendszerek biztonsági osztályba sorolása a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából A szervezet biztonsági szintbe sorolása Felelős: a szervezet vezetője Mit kell tennünk pontosan? A véleményezés alatt lévő végrehajtási rendelet pontos útmutatást nyújt.
ABT Treuhand csoport
9
Teendők 2014. június 30-ig Információs rendszerek biztonsági osztályba sorolása
Kockázatelemzés előkészítése Az informatikai kockázatok lehetséges hatásának bekategorizálása 1-5-ig: kárérték táblázat (bizalmasság, sértetlenség, rendelkezésre állás) Bekövetkezési valószínűség skála Informatikai rendszerek és bennünk kezelt fő adatkörök azonosítása Kockázatelemzés Kártípusok (legalább v.r. 3. melléklet 4.) rávetítése az informatikai rendszerekben kezelt adatkörökre Mekkora lehet a kár nagysága? (High watermark elv) Mekkora a bekövetkezési valószínűség? Kockázat: az előző két értékből Ez a biztonsági osztály Iránymutatás a biztonsági osztályhoz (v.r. 3. melléklet 4.) ABT Treuhand csoport
1 0
Teendők 2014. június 30-ig Szervezet biztonsági szintjének meghatározása
A szervezet biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos besorolású, de legalább 2-es önkormányzatok, 3-as kormányhivatalok esetén. V.r. 4. melléklet Iránymutatás a biztonsági osztályhoz 1-5-ig
ABT Treuhand csoport
1 1
További teendők Védelmi intézkedések bevezetése
Adminisztratív, fizikai, logikai Elvárt védelmi intézkedések szintenként erősödnek Érettségi modell: kétévenként kell szintet lépni Példa: üzletmenet folytonosság tervezése ÜF 1 Üzletmenet folytonosságra vonatkozó eljárásrend ÜF 2 Üzletmenet folytonossági terv informatikai erőforrás kiesésekre ÜF 3. A folyamatos működésre felkészítő képzés ÜF 4 Az üzletmenet folytonossági terv tesztelése ÜF 5. Biztonsági tárolási helyszín ÜF 6. Tartalék feldolgozási helyszín ÜF 7. Infokommunikációs szolgáltatások ÜF 8. Az elektronikus információs rendszer mentései ÜF 9. Az elektronikus információs rendszer helyreállítása és újraindítása
ABT Treuhand csoport
1 2
További teendők Védelmi intézkedések bevezetése
ABT Treuhand csoport
KÖSZÖNÖM A FIGYELMET Kérdések?
ABT Treuhand csoport