TMSI Antidotum konferencia, 2015
Hatékony védelem bevezetési tapasztalatai
Németh István Informatikai főosztály Rendszertechnikai osztályvezető, IT biztonsági menedzser E-mail:
[email protected] Telefon: (+36-1) 345-6307 Budapest, 2015. április 9.
1
IT biztonsági megoldások Fizikai védelem: a fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, klimatizálás és a tűzvédelem.
Logikai védelem: az elektronikus információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem:
A KSH és az adatok Adatbiztonság és az IT biztonság kapcsolata Az információs rendszer biztonság Kockázatok a végponton A mobil eszközök A hatékony végpontvédelem Fejlesztés, minőségbiztosítás, audit.
Adminisztratív védelem: a védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések, továbbá a védelemre vonatkozó oktatás.
2
A Magyar Királyi Központi Statisztikai Hivatal épületének homlokzata 1897 decemberében.
(forrás: Erdélyi Mór, Vasárnapi Ujság 1898/2, 24. p. http://epa.oszk.hu/00000/00030/02291/pdf/02291.pdf)
3
Központi Statisztikai Hivatal kialakulása KSH (Központi Statisztikai Hivatal, Budatest II. kerület, Keleti Károly utca 5–7.) 1867-ben a Földművelés-, Ipar- és Kereskedelemügyi Minisztériumban statisztikai ügyosztály alakul (5 fő), vezetője Keleti Károly (1833 – 1892, elméleti közgazdász, statisztikus, iparpolitikus, a magyar és a nemzetközi statisztikatudomány egyik alapítója.) 1870: az első magyar népszámlálás sikeres megszervezését követően önálló Hivatal. A Statisztikai Hivatal szabályzatát 1871.04.18-án hagyták jóvá. Első igazgatója: Keleti Károly. 1892-re a hivatali tisztviselők létszáma: 50 fő. A Magyar Kir. Központi Statisztikai Hivatal palotája az 1896. évi XX. törvény felhatalmazása alapján épült. (Az eklektikus stílusú épületet (Czigler Győző tervezte) 1896 októberében kezdték építeni és 1897.12.18-án adták át.) A KSH Feladata: Az 1874. évi XXV. törvény a statisztika ügyének szervezéséről létrehozta a kötelező statisztikai adatszolgáltatást: (http://www.1000ev.hu/index.php?a=3¶m=5637|) 1. § A magyar korona országai közállapotának és évről-évre változó közérdekü viszonyainak nyilvántartása elrendeltetik. 2. § Az országos statistika vezetését, a statistikai adatoknak országos gyüjtését, földolgozását, összeállitását és közzétételét a központi statistikai hivatal eszközli, mely közvetlenül a földmivelés-, ipar- és kereskedelemügyi ministernek van alárendelve. Az egyes ministeriumok a körükbe tartozó statistikai anyagot szintén a statistikai hivatalnak adják át. 3. § A központi statistikai hivatal mellett, mint szakértő testület, az országos statistikai tanács áll, mely az egyes szakministeriumok képviselőiből, valamint a földmivelés-, ipar- és kereskedelemügyi minister által kinevezett szakférfiakból alakul. 4
Központi Statisztikai Hivatal jogállása 1897. évi XXXV. törvénycikk a m. kir. központi statisztikai hivatalról 1. § A m. kir. központi statisztikai hivatal feladata: a magyar korona országai közállapotának és évről-évre változó közérdekü viszonyainak nyilvántartása s ezen czélra minél teljesebb és megbizhatóbb adatok gyüjtése, az adatok megvizsgálása, összeállitása, feldolgozása s olyképen való közrebocsátása, hogy azok ugy tudományos, valamint törvényhozási, kormányzati, közigazgatási és más gyakorlati czélokra egyaránt használhatók legyenek. Összehasonlitás czéljából a központi statisztikai hivatal nemzetközi adatokat is gyüjt, köteles viszont a nemzetközi statisztika érdekeit saját részéről is előmozditani. 2. § A m. kir. központi statisztikai hivatal hatásköre - ugy az adatok gyüjtésére nézve, valamint azok feldolgozását és közzétételét illetőleg is - kiterjed a magyar korona országainak egész területére. 3. § A központi statisztikai hivatal közvetlenül a kereskedelemügyi ministernek van alárendelve. Ügykörét és ügyviteli szabályzatát a ministertanács hozzájárulásával s Ő cs. és apostoli királyi Felségének legfelsőbb jóváhagyásával a kereskedelemügyi minister rendeleti uton állapitja meg. A központi statisztikai hivatal müködéséről évenkint tüzetes munkaterv készitendő. A munkaterv a már folyamatban levő adatgyüjtések felsorolásán kivül magában foglalja a következő évre tervezett adatgyüjtéseket, az utóbbiak tárgyának és módszerének megemlitésével, valamint annak is kitüntetésével, hogy az adatok gyüjtése közvetlenül vagy közvetve a magánszemélyek bevallásain alapszik-e. A munkatervbe nem vehető fel oly adatok gyüjtése, a melyek a magánszemélyek jövedelmének, vagy vagyonának összességére, vagy ezek külsőleg nem nyilvánuló alkatrészeire, vagy végül az egyén családi, társadalmi és erkölcsi életének benső viszonyaira vonatkoznak. A kereskedelemügyi minister a ministertanács hozzájárulásával megállapitott ezen munkatervet, az alkalmazandó kérdőivekkel együtt az állami költségvetés beterjesztése alkalmával az országgyülésnek előterjeszti. A központi statisztikai hivatal évi müködésében az országgyülés által elfogadott munkaterv korlátai között jár el. A munkaterv keretén kivül adatgyüjtések csakis sürgős szükség esetén, az országgyülésnek tett előzetes jelentés után foganatosithatók. 5
Központi Statisztikai Hivatal feladata
( forrás: http://commons.wikimedia.org/wiki/File:K%C3%B6zponti_Statisztikai_Hivatal.jpg))
Statisztikai fogalmak, módszerek kidolgozása A központi állami statisztikai rendszerben sorra kerülő statisztikai adatgyűjtések elrendelése A kötelező és az önkéntes adatszolgáltatáson alapuló statisztikai adatgyűjtések keretében befolyó információk feldolgozása és elemzése Adatok és elemzések szolgáltatása az állami és EU szerveknek A társadalmi szervezetek, pártok, önkormányzatok, valamint a tudományos kutatás és a közvélemény statisztikai információs igényeinek kielégítése. A népszámlálások előkészítése, lebonyolítása, az adatok feldolgozása és közzététele. 6
Statisztikai jogszabályok
1874. évi XXV. törvénycikk az országos statisztika ügyének szervezéséről, 1897. évi XXXV. törvénycikk a M.kir. Központi Statisztikai Hivatalról, 1929. évi XIX. törvénycikk a hivatalos statisztikai szolgálatról (), 1952. évi VI. törvény az állami statisztikáról, 1973. évi V. törvény a statisztikáról, 1993. évi XLVI. törvény a statisztikáról (pdf, 213.8 KB) 170/1993. (XII. 3.) Korm. rendelet a statisztikáról szóló 1993. évi XLVI. törvény végrehajtásáról (pdf, 259 KB) Rendelet az európai statisztikákról (pdf, 132 KB)
A statisztikai adatgyűjtés alapvető szabálya hogy egyedi adat csak statisztikai célokat szolgálhat, illetékteleneknek át nem adható, továbbá nyilvánosságra nem hozható, már az 1929. évi XIX. törvénycikk (http://www.1000ev.hu/index.php?a=3¶m=7783) is tartalmazta: 21. § Egyéni természetű statisztikai bevallásokat, valamint az adatgyüjtés vagy ellenőrzés alkalmával az adatgyüjtő hatóság, hivatal, testület vagy intézet tudomására jutott egyéb adatokat az adók kivetésénél nem szabad alapul venni. Az adatgyüjtő hatóság, hivatal, testület vagy intézet a statisztikai adatokat - a címtárak körébe tartozó közleményeknek és azoknak az adatoknak a kivételével, amelyek törvény alapján vagy egyébként is nyilvánosságra kerülnek - nem egyénenkint, hanem mindenkor csak területi vagy tárgyszerinti összefoglalásban teheti közzé, kivéve, ha az egyénenkinti közléshez az adatszolgáltatók hozzájárulnak. 7
Statisztika feladata és célja Adatgyűjtési program - OSAP (Országos Statisztikai Adatgyűjtési Program) adatgyűjtések, adatátvételek, 2015
Adatgyűjtések, adatátvételek, 2015
Adatkörök, 2015 Vonatkozó jogszabályok Törvény által elrendelt adatgyűjtések Önkéntes adatgyűjtések
A statisztika feladata és célja, hogy valósághű, tárgyilagos képet adjon a társadalom, a gazdaság, a tulajdonviszonyok, a környezet állapotáról és változásairól az államhatalmi és a közigazgatási szervek, valamint a társadalom szervezetei és tagjai számára. A cél elérése érdekében a Központi Statisztikai Hivatal összeállítja adatgyűjtési programját, megszervezi az adatok átadását, átvételét. (pdf, 161 KB)
8
Az adatvédelem területei a KSH-ban
Jogi adatvédelem Külső és belső szabályozás, működési feltételek
Módszertani adatvédelem
Jog
Tájékoztatás
Módszertan
Informatika
(felfedés elleni védelem) Matematikai-statisztikai-logikai megoldások
Informatikai biztonság Fizikai-logikai-adminisztratív megoldások
Tájékoztatási tevékenység
Adatvédelem tehát a KSH-ban: olyan jogi, módszertani, fizikai, informatikai és egyéb eljárás, módszer, tevékenység, amelyet a Hivatal annak érdekében alkalmaz, hogy a rendelkezésre álló adatokat a jogosulatlan, céltól eltérő felhasználástól megóvja.
9
Fogalmak
Azonosítás: az az esemény, amikor egy adott statisztikai egységet (pl. személyt, vállalatot) egyértelműen felismernek. Felfedés: a közzétett adatokból egy adott statisztikai egységre (pl. személy, vállalat vagy ezek csoportjai) vonatkozó új információ nyilvánosságra kerülése. Közvetlen azonosítás: a statisztikai egység azonosítása közvetlen azonosító alapján. Közvetlen azonosító: a statisztikai egységhez rendelt egyedi azonosítási kód (függetlenül annak nyilvános hozzáférhetőségétől), illetve a statisztikai egység megnevezése/neve, a statisztikai egységhez tartozó pontos címadat (pl. lakcím, székhelycím, telephelycím, stb.), valamint a statisztikai egység elérhetőségi adatai (pl. e-mail cím, telefonszám, stb.). Közvetett azonosítás: a statisztikai egység azonosítása bármilyen, a közvetlen azonosítástól eltérő módon. Van-e felfedés azonosítás nélkül?
A” régióban minden termelő vállalat környezetszennyező! Vagyis, ha találok egy termelő vállalatot „A” régióban, akkor környezetszennyező (anélkül meg tudom mondani egy konkrét egyedről, hogy környezetszennyező, hogy megelőzően közvetlenül beazonosítottam volna) 10
Statisztikai célok
Cél: statisztikai célra kezelt adatok statisztikai célra való használatának kizárólagossága és az adatvédelmi célok érvényesítése
Cél: felhasználók igényeinek kielégítése (kiemelt szerepben a tudományos kutatás; jelentősen növekvő mikroadat igénnyel)
A fő cél olyan megoldást találni, hogy a statisztikai cél kizárólagossága ne sérüljön, de a felhasználó is a lehető legrészletesebb és legjobb minőségű adat alapján kutathasson!
Statisztikai cél kizárólagossága („mert törvény általi kötelezettségünk”) nem statisztikai célra való felhasználás tilalma (pl. NAV hatósági célokra statisztikai célra kezelt adatokat használna fel)
11
Adatbiztonság és az IT biztonság kapcsolata
Információ: bizonyos tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott megfigyelés, tapasztalat vagy ismeret. Információs rendszer: adatok összegyűjtése, tárolása, feldolgozása, továbbítása. Informatikai biztonság: az informatikai rendszerek és az általuk kezelt adatok biztonságához kötődik. Információbiztonság: a tetszőleges módon hordozott (pl. papíron, fejben, adatbázisban, elektronikus dokumentumban) információ (adat) védelmével kapcsolatos. De ugyanakkor nem tartalmazza az informatikai rendszereknek a biztonságát. Adatbiztonság: az adatok védelme a jogosulatlan hozzáférés, a módosítás, a törlés, illetve a megsemmisítés ellen, azaz az adatok: bizalmasságának, rendelkezésre állásának és sértetlenségének védelme/védettsége.
ADAT: információ hordozója. Adatvédelem alatt a személyes és érzékeny adatok jogszabályi (Avtv.) védelmét érti a jogalkotó. Tehát az adatvédelem az Adatbiztonság része. (forrás: Munk Sándor: Információbiztonság vs. informatikai biztonság. – Robothadviselés 7 tudományos szakmai konferencia anyaga, Hadmérnök különszám)
12
Az információs rendszer biztonsága Az elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt (az összes számításba vehető fenyegetést figyelembe vevő védelem), teljes körű (minden elemre kiterjedő védelem), folytonos (megszakítás nélkül megvalósuló védelem) és a kockázatokkal arányos (2013.L tv.).
Komplex védelem az IT architektúrában
(forrás Az informatikai biztonság hagyma modellje, Budai Péter:Hogyan csökkentsük az IT-kockázatokat? )
13
Az információs rendszerek biztonsága Magyarországon
Forrás: NEIH
14
A biztonsági incidensek kormányzati kezelése
Kormányzati Eseménykezelő Központ (CERT-Hungary) (www.CERT-HUNGARY.HU): a Nemzetbiztonsági Szakszolgálaton belül működő magyar kormányzati hálózatbiztonsági incidenskezelő központ. Feladata a teljes magyar állami szféra informatikai rendszereinek hálózatbiztonsági támogatása. A Központnak kiemelt szerepe van a nemzetgazdaság és az állami működőképesség szempontjából alapvető fontosságú informatikai rendszerek védelmében.
A CERT (Computer Emergency Response Team): Az a szervezet, amelyik megfelelő technikai háttérrel rendelkezik ahhoz, hogy időben reagáljon és kezeljen minden hálózatbiztonságra és kritikus információs infrastruktúrára veszélyes internetes eseményt. A CERT tehát egy Számítástechnikai Sürgősségi Reagáló Egység.
Internet biztonsági incidens: „Internet biztonsági incidens minden olyan biztonsági esemény, amelynek célja az információs infrastruktúrák bizalmasságának, sértetlenségének vagy rendelkezésre állásának megsértése az interneten, mint nyílt információs infrastruktúrán keresztül.” Incidens bejelentés: E-mail:
[email protected]
15
A webes alkalmazások ellenőrzése és felügyelete A megfelelő biztonsághoz a teljes rendszernek naprakésznek és jól konfiguráltnak kell lennie: az operációs rendszertől a web és adatbázis szerveren át a teljes alkalmazásig. Ezeket a beállításokat meg kell határozni, végre kell hajtani, majd folyamatosan karban kell tartani és ellenőrizni kell. (ld. OWASP A6).
ORACLE: Data must Be protection
Forrás: OWASP
16
A webes alkalmazások ellenőrzése és felügyelete
Az adatbázisokban tárolt adatok a külvilág számára a legtöbb esetben webes alkalmazásokon keresztül válnak érhetővé, ezért elsődleges fontosságú az üzemeltetők és a biztonsági szakemberek számára a webes alkalmazások és interfészek megvédése a kívülről érkező támadásokkal szemben. A webes alkalmazás tűzfal (Web Application Firewall - WAF) védi a web alapú alkalmazásokat és az internetről elérhető adatokat a támadás és az adatvesztés ellen. A fejlett technika védelmet nyújt mind a rosszindulatú támadások ellen, mind az alkalmazási réteg DoS támadásai és a kifinomult fenyegetések ellen.
ORACLE: Data must Be protection 17
Global shipments of tablets, laptops and desktop PC’s
18
Global tablet shipments from 2010 to 2014, by operating system (in million units)
19
20
A mobil eszközök kockázatai
Source: IBM
21
A magyarországi mobil incidensek
22
Endpoint Protection
23
Sophos a végpontvédelem
A központi felületről konfigurálható, főbb funkciók: Antivírus (Windows XP - Windows 8, Windows Server 2003 – Windows Server 2012, Linux, UNIX, Mac), Proaktív, viselkedés alapú felismerés, Gyanús fájltalálat esetén, a pontos felismerés megállapításához azonnali, automatikus adatküldés a gyártó laborja számára, Naponta többször frissülő felismerési adatbázis, Tűzfal (kliens oldalon, legalább két különböző hálózati profil beállíthatósággal, plusz VPN kliensek konfigurációjának importálhatóságával), Alkalmazás-felügyelet (alkalmazások telepíthetőségének és futtathatóságának felügyelete és blokkolása előre definiált szoftver-kategóriák alapján), Web-felügyelet (felhasználók böngészéseinek monitorozása és felügyelete előre definiált weboldal kategóriák alapján), Device - felügyelet (végpontra csatlakoztatott hordozható eszközök felügyelete, blokkolása, eszköz WHITE LIST lehetőség, wifi eszköz letiltása belső LAN-ra való csatlakozáskor),
24
Sophos a végpontvédelem II
Adatszivárgás elleni védelem (a végpontokon másolt, kiküldött adatok felügyelete és blokkolása szabályok alapján. Figyelt portok, protokollok: USB, CD/DVD, e-mail kliensek, http, https) Teljes merevlemez titkosítása Számítógépekre telepített operációs rendszerek és alkalmazások biztonsági frissítéseinek ellenőrzése, a hiányosságok rangsorolása kritikussági szempontból (a következő gyártók szoftvereinek vizsgálata: Microsoft, Adobe, Sun Microsystems, Mozilla, VMware)
25
A bevezetés tapasztalatai
+ Tapasztalatok:
heterogén és mobil környezetben is működik, egyszerű, átlátható, intuitív a kezelési központja, átállást a felhasználók nem is érzékelték (néhány kivételtől eltekintve), Application Control hatékonyan támogatja a szabályozást és a rendszergazdákat, Device Control hatékony szabályozási lehetőségek, adatbiztonság, kontrol, Data Control végponti DLP (adatszivárgás elleni védelem), email integrált, Web protection csökkenti a webes kockázatokat (Web Filtering) egyszerű, könnyen elkészíthető, paraméterezhető riportok, Mobile Conrol + Endpoint protection költséghatékony licence.
- Tapasztalatok:
Policy problémák (komplex szabályzat: mindent blokkolva, engedélyezve ami szükséges), időbe telt: a jogosultságok beállítása és a mappák hozzáférésének biztosítása a Sophos adminisztrátornak, Sophos server hozzáférése az internethez, a frissítések letöltéséhez, központi és regionális szerverek egymás közti adatkapcsolatának biztosítása port szinten, A disztribúciós server dinamikus portjai egy adott porttartományon belül maradjanak. Előző Av rendszer okozta problémák: korábbi AV szoftver eltávolításakor a kliens AV önvédelmi mechanizmusát ki kellett kapcsolni, A regiós szervereken a korábbi AV server sw komponenseit el kellett távolítani a telepítéshez.
26
Number of alerts and events
27
28
29
Fejlesztés A Központi Statisztikai Hivatal Informatikai fejlesztéseinek és üzembe helyezésének eljárási rendje (12/2011. KSH utasítás)
Az utasítás hatálya az alábbiakra terjed ki: új informatikai rendszerek beszerzésére, meglévő informatikai rendszerek módosítására, a rendszerek fejlesztésére és üzembe helyezésére. Az utasítás hatálya az informatikai rendszerek típusát tekintve az alábbiakra terjed ki: beszerzésre, az általános, a téma-, illetve időfüggő informatikai rendszerekre, a kisebb és a nagyobb módosításokra, de az utasítás hatálya nem terjed ki az egyszer futó, ad-hoc igényeket kielégítő programokra, alkalmazásokra.
30
Informatikai projektek minőségbiztosítása Informatikai projektek esetében a (termék-)minőségbiztosító feladata: a szabványokból és a módszertanokból eredeztetett minőségbiztosítói elvárások, követelmények és feladatok kommunikálása, teljesülésük ellenőrzése, az (informatikai) stratégiai célok, projektcélok, projekt terjedelem és a szerződésben rögzítettek teljesülésének követése, a megrendelői követelmények teljesülésének ellenőrzése, a projekt leszállítandók és dokumentációk tartalmi megfelelőségének ellenőrzése, a projekttermékek és dokumentációik közti eltérések és hiányosságok azonosítása és jelzése a projektvezetés számára, valamint a projektvezetés folyamatos és naprakész tájékoztatása az azonosított kockázatokról, a projekt indításakor definiált terjedelem, költség- és időkeret tartásának támogatása. A minőségbiztosító ezek segítségével támogatja a projektfolyamatok, az alkalmazásfejlesztés, a hardver és szoftver termékek kellő minőségben való előállítását, működtetését. (Forrás: Informatikai fejlesztések termék- és minőségbiztosítási tevékenységei – módszertani leírás, KIFÜ, 2014. november 28.)
31
Az informatikai projektek termék-minőségbiztosítási folyamata
A termék-minőségbiztosítás folyamata a projekttermékek, vizsgálati szempontok, alkalmazandó szabványok szerint. 32
A követelmények nyomon követése a projekttermékeken keresztül
33
A Megvalósítás során ellenőrizendő termékek legfontosabb összefüggései
34
A minőségbiztosító közreműködése projekt auditokban
Belső projektzáró audit A projekt lezárásakor a Megrendelő (független szakértő bevonásával) záró auditot végezhet. Az audit célja:
egyrészt az elvárásoknak, követelményeknek való megfelelés vizsgálata, valamint az esetleges külső auditokra, ellenőrzésekre való felkészülés.
A minőségbiztosító általában a belső audit résztvevője, és feladata, hogy rendelkezésre bocsássa a követelmények teljesülését, valamint a szabályszerűség ellenőrzését vizsgáló tevékenységeinek eredményét. EU-s finanszírozású projektek szakhatósági ellenőrzése a 301/2013. (VII. 29.) Kormányrendelet alapján feladat az információbiztonsági követelményeknek való megfelelésről a Nemzeti Biztonsági Felügyelet számára információt biztosítani az alábbiak szerint:
a projekt tervezési szakaszában a hatóság részére véleményezésre meg kell küldeni a vonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá mindazon dokumentációkat, amelyek alapján a biztonsági és informatikai követelmények megvalósulása ellenőrizhető a projekt teljes életciklusára nézve (például IT Biztonsági Szabályzat, DRP, BCP) az adott projekt szakasz zárását megelőző legkevesebb harminc nappal kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus információbiztonsági dokumentációt, hogy annak észrevételei vagy kifogásai a projektterveken vagy a projekt tárgyán átvezethető és alkalmazható legyen. A dokumentumokat a projektvezetőnek kell rendelkezésre bocsátania a szakhatóság számára. A minőségbiztosító közreműködése a feladatban javasolt.
35
IT biztonsági audit Amennyiben nem EU-s finanszírozású a projekt, vagy a szakhatósági ellenőrzés mellett még szükség van IT biztonsági audit tevékenységek elvégzésére, akkor azt független auditor bevonásával kell végezni. Az auditor feladata: A rendszer sérülékenység-vizsgálatának elvégzése, a rendszer biztonsági ellenőrzése (a fizikai architektúra ellenőrzése, szerverek, tűzfal vizsgálata), a kapcsolódó dokumentáció (például: IBSZ - IT Biztonsági Szabályzat, DRP - Disaster Recovery Plan – informatikai katasztrófaterv, BCP - Business Continuity Planning -üzletmenet-folytonosság tervezése) ellenőrzése. A termék-minőségbiztosító feladata együttműködni az auditorral, valamint az audit megállapításokhoz kapcsolódó feladatok teljesülését nyomon követni (a projektvezetővel együttesen). EU-s finanszírozású projektek egyéb ellenőrzései EU-s projekteken helyszíni ellenőrzést végezhet a Támogató a szabályszerűség és a céloknak való megfelelés szempontjából. Mindezek mellett szabályszerűségi vizsgálatot végezhet az ÁSZ és az EUTAF is. Ezeken az ellenőrzéseken a minőségbiztosító is részt vehet.
36
Köszönöm a figyelmet! Kérdések?
? 37
