INFORMÁCIÓBIZTONSÁG
az elektronikus közszolgáltatásban
2
Köszöntô Kedves leendô Ügyfelünk! A brüsszeli központú Vinçotte 138 éve áll partnerei szolgálatában. Több mint 130 speciális szolgáltatást kínálunk, szinte mindent, ami környezetvédelemmel, vizsgálatokkal, képzéssel, biztonsággal és tanú sítással kapcsolatos. Ezen legutóbbiak közül az egyik legfontosabb az információbiztonsági irányítási rendszer (IBIR) tanúsítása. A Vinçotte ezen a területen is partnerei rendelkezésére áll. Úgy gondoljuk, az információbiztonság részleteivel és a tanúsítás fogal mával, tartalmával és gyakorlatával az e-közszolgáltatás területén dolgozók ritkábban találkozhatnak, ezért a szokásosnál részletesebb információt kívánunk nyújtani. Kérem, tiszteljen meg figyelmével, és olvassa végig kiadványunkat, amely részletesen bemutatja, hogy miben tud a Vinçotte az Önök segítségére lenni ezen a területen. A további sikeres együttmûködés reményében üdvözli: KLUJBER Dénes ügyvezetô igazgató
3
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
Mi az információ?
Az információbiztonság három alapelven nyugszik:
A szervezet tevékenységének, életének talán legfontosabb összetevôje (adatok, eljárások, eredmények, tervek, teendôk, piaci adatok, a vevôk, a versenytársak jellemzôi, elôírások stb.). Mindaz, ami az adott szervezet szempontjából értéket hordoz. Az információ egy része publikus, nyílt, vagyis bárki hozzáférhet. Más része azonban bizalmas, és van olyan is, ami a törvény erejénél fogva titkos, védendô, mint például a polgárok személyi vagy egészségügyi adatai.
• Bizalmasság elve: Az információhoz csak az fér hozzá, aki erre fel van hatalmazva. • Teljesség elve: Aki hozzáférhet az adott információhoz, az annak teljességében és torzítatlanul juthat hozzá. • Rendelkezésre állás elve: Aki hozzáférhet az adott információhoz, az ezen jogát bármikor gyakorolhatja.
Mi az információbiztonság? Egy szervezetnek sokféle vagyontárgya lehet. Ezek egy része igazi tárgy, de a felhalmozott tudás és az információ is valódi értéket képvisel, amit óvni kell.
Ezen három alapelv biztosítására tudatosan készülni kell. A mûködést megfelelô szabályzatok szerint kell megszer vezni, számba kell venni a szervezetet és a kapcsolódó információkat, a fenyegetô veszélyeket és kockázatokat, és utóbbiakkal kapcsolatban elhárításuk vagy csökkentésük módját is. Tökéletes biztonság természetesen nem létezik, de a nagyfokú biztonság megvalósítható.
Fontos tudni! Az információ nem az onos az informatikával és így az információbiztonság sem azonos az informatikai biztonsággal. Sokkal több annál. Az informatikai eszközök – melyek az információ feldolgozásához és tárolásához szükségesek – fontos tényezôi a védelem biztosításának, azonban ezek csak egy részét képezik az információbiztonságnak. Az információbiztonság az adott szervezet mûködési, irányítási jellemzôje, vagyis a vezetés elengedhetetlen része. A vezetônek nemcsak a személyzet leterheltségével vagy a gépek kihasználtságával kell foglalkoznia, hanem az információ kezelése és védelme is a vezetés elidegeníthetetlen része és jól felfogott érdeke. Mindezek megfelelô kezelésére alkalmas egy jól kiépített és bevezetett információbiztonsági irányítási rendszer (IBIR).
4
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága A korábban papíralapú közszolgáltatási tevékenység elekt ronizálódik, vagyis a papír helyét az elektronikus adathordo zók, számítógépek, nagy sebességû elektronikus hálózatok veszik át. Ez a jelenség világszerte egyre gyorsuló ütemben terjed. Ez az elektronikus közszogáltatás. Ebben leginkább kormányzati és/vagy önkormányzati szervezetek szerepelnek, és az ügyintézés a közhivatalokat összekötô elektronikus kor mányzati gerinchálón (EKG) történik. Ennek , illetve az ezt is felölelô Központi Elektronikus Közszolgáltatási Rendszernek („Központi Rendszer” ill. „KR”) biztonsága különösen fontos, hiszen nem csak a törvény által védett személyes adatok jelennek meg a hálón, hanem egyéb, az ország biztonsága szempontjából kritikus információk is. Az e-közszolgáltatás biztonságának szavatolására külön törvények, kormányrendeletek, központi ajánlások jelennek meg minden országban. Az e-közszolgáltatás, a Központi Rendszer információs biztonsága kritikusan fontos, és ez a biztonság a KR-re (Ügyfélkapura) kapcsolódó valamennyi szervezet közös ügye. Nem szabad biztonsági rést hagyni, hiszen a lánc erôsségét a leggyengébb láncszem határozza meg. A Központi Rendszeren egyébként nemcsak a köz igazgatás szervezetei jelenhetnek meg, hanem az ország mûködése szempontjából kritikus állami és/vagy nem-állami szervezetek is (energiaellátás, vízügy stb.).
Fontos tudni! Magyarországon az elektronikus közszolgáltatást és annak biztonságát törvények és rendeletek szabályozzák. Ezek kimondják, hogy a Központi Rendszeren lévô szervezeteket legkésôbb 2011. december 31-ig információbiztonság szempontjából tanúsítani (auditálni) szükséges. Új, tanúsítatlan rendszer már nem kerülhet a KR-re; 2011. december 31. után pedig a már most is rajta lévô, de a kiszabott határidôig nem tanúsított információbiztonságú részeket le fogják onnan választani.
Minden kapcsolódó szervezetnek elemi érdeke, hogy az említett leválasztás ne történjék meg, hiszen ez akár az ügyintézés összeomlásához is vezethetne. (A kizárt szer vezetéhez bizonyosan.) A papíralapú ügyintézéshez pedig nincs visszatérés, hiszen se eszköz, se erôforrás nem áll már rendelkezésre. Az információbiztonsággal kapcsolatos törvényt, a kormányrendeleteket nem lehet, nem szabad megkerülni, azokat minden körülmények között végre kell hajtani. A végrehajtást számos központi ajánlás (jelesül a Közigazgatási Informatikai Bizottság – a KIB ajánlásai) is segítik. Ezek bár ajánlások, lényegében majdhogynem a törvény erejével bírnak.
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
5
Az e-közszolgáltatás (a Központi Elektronikus Közszolgáltatási Rendszer) információbiztonságának rendeleti, szabványi hátterérôl
Ezen szféra információbiztonságának kérdéseit az alábbiak szabályozzák: • • • • •
2009. évi LX. törvény az elektronikus közszolgáltatásról; 222/2009 (X.14.) kormányrendelet az elektronikus közszolgáltatás mûködtetésérôl; 223/2009(X.14.) kormányrendelet az elektronikus közszolgáltatás biztonságáról; KIB 25. számú ajánlása (Magyar Informatikai Biztonsági Ajánlások – MIBA); KIB 28. számú ajánlása (az E-közigazgatási Keretrendszer, Követelménytár).
Ezek a dokumentumok az információ biztonságát szavatoló magyarországi teendôket kimerítôen szabályozzák.
Kapcsolódó nemzetközi szabványok: ISO/IEC 27001:2005 nemzetközi szabvány (MSZ ISO/IEC 27001:2006)
ISO 15408 nemzetközi szabvány (az ISO/IEC 27001:2005 szabvány párja)
Ez a szabvány jóval általánosabb és átfogóbb, mint a fenti szabályozások, ezért ugyancsak kiválóan alkalmazható az információbiztonság megszervezéséhez és fenntar tásához. Ez a szabvány az információbiztonság kérdését általánosságban, minden szervezetre nézve szabályozza. (A KIB 25. ajánlásában ennek a nemzetközi szabványnak a ’magyarítása’ szerepel.) Az a szervezet, amelynek információbiztonsági irányítási rendszere az ISO/IEC 27001:2005 szerint tanúsított, a magyar elôírásoknak kivétel nélkül eleget tesz. A Vinçotte az információbiztonságot ezen szabvány szerint tanúsítja.
Ez a szabvány az IT rendszer technológiai értékelésével foglalkozik. (A KIB 25. ajánlása ezt is ’magyarítja’, ez az ún. MIBÉTS). Azon információbiztonsági irányítási rendszer (az e-közszol gáltatási, KR és EKG is), amely mindkét szabvány elôírásainak eleget tesz, igen biztonságosnak tekinthetô. (A technológiai szempontú értékeléssel a Vinçotte maga nem foglalkozik, de tanúsítóként olyan megbízható cégeket tud ajánlani, melyek a Vinçotte szolgáltatási színvonalához hasonló körültekintéssel végzik az auditot.)
Miután a két nemzetközi szabványnak számos közös pontja van, és azonos vagy hasonló követelményeket is elôírnak, ezért célszerû ezeket együtt tanúsíttatni. Ezzel a megrendelô komplett biztonsággal fog rendelkezni és ugyanakkor pénzt, erôforrást és energiát takarít meg.
6
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
Tanúsítási kisokos Egy szervezetnek szám talan esetben kell önma gáról véleményt monda nia. Ez – bármekkora is az objektivitásra törek vés az adott egységben – mégiscsak elfogult vélemény, ezért azt egy független, pártatlan szervezettel meg kell erôsíttetnie. Ez a tanúsítás, vagy másképpen audit. A tanúsításnak nemzetközi szabványokban elôírt, szabályozott menete van. A tanúsítás lényege az, hogy a független tanúsító szervezet meggyôzôdik arról, hogy a tanúsítandó szervezet: • rendelkezik az adott elôírásnak megfelelô szabályza tokkal, dokumentációkkal; • tevékenysége, irányítása az elkészített szabályzatoknak megfelelôen zajlik; • ezt az állítását dokumentumokkal igazolni tudja; • ezt a szervezet vezetôi és munkatársai megkérdezé sükkor meg is erôsítik.
helyesbítô intézkedések alapján határozza meg teendôit, illetve jut arra a következtetésre, hogy tevékenységét egy külsô, független szervezet is jónak ítélné meg. A külsô, független auditorok szakemberek, tevékenysé gi körük kiemelkedô szaktudású egyéniségei, de auditori funkciójukban nem tanácsadók. Nem feladatuk a tanúsított szervezet információbiztonsággal kapcsolatos munkájáról, folyamatainak hatékonyságáról, célszerûségérôl való véle ményalkotás. Azt kell vizsgálniuk, hogy egy adott szervezet egy adott szabvány elôírásait elegendô mértékben teljesíti-e. Ha igen, a szervezet errôl tanúsítási oklevelet (tanúsítványt) kap, ha nem, akkor tovább kell csiszolnia rendszerét, irányítási metódusát, eljárásait. Az auditor nem vizsgáztató, hanem segítôtárs, aki tevékenységével hozzá szeretne járulni az általa vizsgált szervezet sikeres mûködéséhez . Ez minden Vinçotte-auditor alapvetô vezérelve. A tanúsítás nem egyszer s mindenkorra szól, három évenként meg kell újítani. A hároméves cikluson belül évente egyszer ún. felügyeleti auditot kell végezni.
Fontos tudni! Tanúsítani csak olyan szervezet képes hitelesen, akit arra egy tôle független szervezet (valamely ország akkreditáló testülete) arra képesnek és alkalmasnak ítélt. Ez a felha talmazás az akkreditáció, amit idôrôl idôre meg kell újítani. A tanúsító testület szakemberei, akik külsô, független szemlélôként a dokumentáció átvizsgálását és a helyszíni szemlét végzik, az auditorok. Azonban a tanúsítandó szer vezetnek magának is meg kell vizsgálnia magát, vagyis belsô auditot kell végeznie egy saját, ún. belsô auditorával, aki ismereteinek köszönhetôen képes az eltérések, nemmegfelelôségek észrevételére, annak érdekében, hogy ezt megfelelô módon korrigálni tudják a tanúsítás elôtt. A szer vezet vezetôsége ezen belsô auditori jelentés és a javasolt
A tanúsítás nem szükséges rossz, nem öncél, hanem a szervezet tevékenysége javításának, eredményessége növelésének elengedhetetlen eszköze.
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
7
Út a tanúsításig
Miben tud segíteni Önöknek a Vinçotte? A folyamat egészét tekintve szinte mindenben. A pártatlan ság alapelvébôl következôen a tanúsító szervezet nem vehet részt a szervezet felkészíté sében, ezen kívül azonban a Vinçotte számos szolgáltatás sal áll az Önök rendelkezésére.
A tanúsítás maga csak néhány napot vesz igénybe, de a tanúsításhoz vezetô út bonyolult és hosszú. A szer vezet jellemzôitôl, tevékenységétôl, szervezeti nagysá gától, a tevékenység összetettségétôl függôen elérheti vagy meghaladhatja akár az egy évet is. Fázisai: 1. 2. 3. 4. 5.
öntés-elôkészítés, projektindítás D Elôzetes helyzetfelmérés Felkészítés Tanúsítás Folyamatos fejlesztés projektindítás
▼ elôzetes felmérés
▼ felkészítés
▼ tanúsítás
▼ folyamatos fejlesztés
• A szervezet átvilágítása, vezetési támogatás; • a szakemberek elôzetes kijelölése, képzés; • a tanúsítási projektterv készítése, követelmények rögzítése. • A dokumentumleltár készítése és átvizsgálása; • elôaudit szervezése; • döntés más irányítási rendszerekkel való integrálásról; • döntés a felkészítésrôl. • Szabályzatok, dokumentumok, feljegyzések készítése; • az esetleg szükséges eszközök beszerzése; • a megkívánt mûködési rend kialakítása; • a személyzet képzése és felkészítése. • I. fázis: dokumentum-átvizsgálás; • II. fázis: a szabvány szerinti mûködés vizsgálata; • III. fázis: (egy évvel késôbb) felügyeleti audit.
A Vinçotte készen áll: • részt venni a szervezet általános átvilágításában, tevé kenysége jellemzôinek megállapításában, a szervezet erôsségeinek és gyengeségeinek feltérképezésében; • segítséget nyújtani az információbiztonsággal foglal kozó team jellemzôinek meghatározásában. A Vinçotte többfajta képzéssel is hozzájárul ezen szakem berek tudásának, képességeinek fejlesztéséhez. (Képzéseinkrôl bôvebben Tréning katalógusunkból vagy a www.vincotte.hu oldalon tájékozódhat.); • a szervezet ismeretében szempontokat közvetíteni a vezetôségi döntés meghozatalához. Elôzetes felmérés: A fázis célja a pozitív vezetôségi döntés után a konkrétabb vezetôi tennivalók megfogalmazása. Ez nem része a szervezet tanúsításra való felkészítésének. A Vinçotte készen áll:
• Az eljárások, szabályzatok tökéletesítése; • a dokumentációk karbantartása, fejlesztése; • a munkatársak hozzáértésének fejlesztése.
A folyamatos fejlesztés a biztonság belsô logikája, erre a tanúsítás után kerül sor. Ez egyúttal már a következô auditra való felkészülés része.
8
Projektindítás: A fázis célja a vezetôséget olyan helyzetbe hozni, hogy az dönteni tudjon, hogy elindítja a szervezet információbiztonsági tanúsítási folyamatát.
• részt venni a szervezet már meglévô dokumentumainak átvizsgálásában és kiértékelésében; • elôauditot végezni az adott szervezetben. Ennek célja a szervezet tanúsítás-szempontú értékelése, az erôsségek és tennivalók számbavétele; • tanácsot adni azon tekintetben, hogy az adott szerve zetnél esetleg meglévô más irányítási rendszereket (ISO 9001, ISO 14001 stb.) célszerû-e az IBIR-rel integráltan kezelni. Ez költséget, idôt és energiát takaríthat meg.
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
Felkészítés: E fázis célja a tanúsításhoz szükséges minden teendô elôkészítése és megvalósítása, a szükséges elôírások, szabályzatok, dokumentumok rendszerének és a még meg nem lévô dokumentumoknak elkészítése, a szabályzatok szerinti mûködés kialakítása, a mûködés rutinná tétele, a szervezet szakembereinek oktatása. (Az egész folyamat leghosszabb és emiatt legdrágább fázisa.) A felkészítés minôsége meghatározó a sikeres tanúsítás végrehajtásában. A pártatlanság biztosításának érdekében a Vinçotte ebben a fázisban semmilyen szolgáltatást nem nyújt. Tanúsítás: Az egész folyamat célja, eredménye. Ennek során a Vinçotte, mint független és pártatlan tanúsító, a szabvány ban elôírt tevékenységet elvégzi, illetve auditorai elvégzik. A Vinçotte : • elsô lépésben részletesen megismerkedik a felkészítési fázisban elkészült dokumentumokkal, a vezetôséggel közösen megállapodnak az audit terv részleteiben. Ez a lépés általában – a szervezet nagyságától függôen – egy-két napot vesz igénybe; • második lépésben konkrétan kiértékeli a szervezet infor mációbiztonsággal kapcsolatos tevékenységét szabvány szerint. Ennek idôtartamát a szervezet nagysága hatá rozza meg, általában néhány nap. (Nagyobb szervezet esetén néhány fôs auditor-team végzi a munkát annak érdekében, hogy a folyamat ne terhelje túl hosszan az adott szervezet tevékenységét.) Sikeres tanúsítás esetén a projekt sikeresen lezárult, a szervezet információbiz tonsági tevékenységérôl a Vinçotte az egész világon ismert és elismert oklevelet, tanúsítványt állít ki. A tanú sítvány három évre szól, há rom év elteltével azt a szer vezetnek meg kell újítani.
A sikeres tanúsítással azonban „nem áll meg az élet”. A szer vezetnek folyamatosan az elôírásoknak megfelelôen kell mûködnie, ezt a Vinçotte az évenkénti ún. felügyeleti audit során ellenôrzi. Ez a tanúsító auditnál jóval egyszerûbb, gyor sabb és olcsóbb. Folyamatos fejlesztés: Az IBIR belsô logikája azt diktálja, hogy a szervezet ne elégedjen meg az elért információbiz tonsággal, hanem azt folyamatosan növelje és fejlessze. A Vinçotte ezt a fázist már a következô (felügyeleti) auditra való felkészülés részének tekinti, ezért – pártatlansága megôrzése érdekében – abban nem vesz részt. Ugyanakkor, hogy ezt a fázist a vezetôség pontosabban áttekinthesse és megtervezhesse, a Vinçotte alapos szaktudású auditorai – rögtön az audit lezárta után, mintegy informálisan, a szer vezet vezetôségének kérésére – • informális szakvéleményt mondanak a megvizsgált in formációbiztonsági irányítási rendszerrôl; • informális szakvéleményt mondanak az IBIR lehetséges továbbfejlesztésérôl; • nevek említése nélkül ismertetik, hogy a Vinçotte által tanúsított hasonló szervezetek egyes jellemzôinek át lagához képest az adott szervezet mely jellemzôi átlag felettiek, melyek az átlagosak és mely jellemzôk területén lenne célszerû a gyorsabb fejlesztés. Ezen legutóbbi szolgáltatásait a Vinçotte a tanúsított szer vezet tevékenységének segítéséhez, fejlesztéséhez való hozzájárulásként, díjmentesen nyújtja, és az adott vezetés szuverén joga, hogy abból mit fogad el.
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
9
10 ok, amiért érdemes a Vinçotte-ot választania: • A világ 10 legnagyobb vállalata közül 9 a Vinçotte-ot választotta. • A Vinçotte auditorai nemcsak az ISO/IEC 27001 szab vány követelményeivel vannak tökéletesen tisztában, hanem az információbiztonság magyar, specifikus elôírásaival is. Auditoraink jól ismerik a törvényi hátte ret, az e-közszolgáltatás és a KR információbiztonsági specifikumait, arról alapos képzésben részesültek, sikeres vizsgát tettek és errôl külön oklevelük is van. • A Vinçotte rendelkezik a 143/2004 (IV.29.) kormány rendelet szerinti nemzetbiztonsági minôsítéssel. • A Vinçotte tapasztalt és rugalmas: ismeri a kis szer vezetek jellemzôit és gondolatmenetét és a több ezer vagy tízezer fôt foglalkoztató gigászokét is. A Vinçotte auditál kisvállalkozásokat vagy egyéni vállalkozókat csakúgy, mint az egész világot behálózó multinacionális óriásvállalatokat. A Vinçotte kis szervezet a kis szerve zeteknek és nagy a nagyoknak.
• A Vinçotte tevékenységének sarkalatos pontja a pár tatlanság, a szakértelem, a minôség-centrikusság, a megbízhatóság, az ügyfélközpontúság és ügyfeleink feltétlen szolgálata. • Áraink versenyképesek, szolgáltatásaink ár/érték ará nya kiemelkedôen jó, konferenciáink, vevôtalálkozóink vonzóak. • Auditoraink brüsszeli támogatással, hazai és nemzet közi tapasztalatokkal, felkészülten, vevôorientáltan, szakszerûen, kellemes légkört teremtve dolgoznak. • Folyamatosan tájékoztatjuk ügyfeleinket a szabványok, és ez által a követelmények változásairól. • Nemzetközi szinten is elfogadott akkreditációkkal ren delkezünk. • Széles szolgáltatási palettánknak köszönhetôen bármi lyen céges problémára tudunk megoldást kínálni.
A Vinçotte Magyarországon többszáz szervezetet tanúsított már. Szeretettel várjuk Önöket is ügyfeleink között!
10
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
Design & Typography: Surmann Gyula
A Központi Elektronikus Közszolgáltatási Rendszer információbiztonsága
11
Szolgáltatásaink: Anyagvizsgálat Elektromos berendezések vizsgálata Építési mûszaki ellenôrzés Képzés Környezetvédelem Munka- és tûzvédelmi szaktevékenység Szoftver forgalmazás Tanúsítás
AIB-Vinçotte Hungary Kft. • H-1143 Budapest, Semsey Andor u. 25. Telefon: 06 1 321 4965 • Fax: 06 1 413 6048 E-mail:
[email protected] • www.vincotte.hu
Ellenôrzés, vizsgálat, tanúsítás, oktatás