Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba
1
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Nemzetközi biztonsági trendek és hatásaik Kiberfenyegetések Kiterjedt ellátási láncok Pénzügyi veszteség Reputációs veszteség Védelmi költségek Reaktív vs. proaktív 2
56% azon szervezetek aránya, akik kibertámadás áldozatai voltak
44%-ban harmadik felek
felelősek az adatvesztésekért
$8.6M átlagos veszteség az adatvesztések miatt
30%-os piaci kapitalizáció csökkenés biztonsági incidensek miatt
8%-át teszi ki a biztonság a teljes IT büdzsének 60%-ban költenek több pénzt a vállalatok reaktív védelmi intézkedésekre, mint proaktív kockázatkezelésre
© Copyright 2013 Hewlett-Packard Development L.P.Institute, The information contained is subject to change without notice. Source: HP internal data, Forrester Research,Company, Ponemon Coleman Parkesherein Research
Kulcsmondatok
• A biztonság felsővezetői problémává vált • A biztonsági irányításon sosem volt ekkora nyomás korábban • A fenyegetéseket széles körben kell vizsgálni a megfelelő beszerzési döntések érdekében
Kiberfenyegetések
3
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kiberfenyegetések
4
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kiberfenyegetések
5
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kiberfenyegetések
6
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Kiberfenyegetések
Kiberbűnözés
7
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Trendek a világban
Felismerés
8
Kapkodás
Ad hoc védelem
Jogi szabályozás
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Képességfejlesztés
Szervezett védelem
Jogi szabályozás jelenleg A személyes adatok védelméért 2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról
Az ország védelméért 1035/2012. (II. 21.) Korm. Határozat Magyarország Nemzeti Biztonsági Stratégiájáról
A katonai felkészültségért 1656/2012. (XII. 20.) Korm. Határozat Magyarország Nemzeti Katonai stratégiájának elfogadásáról
A titkosszolgálati felkészültségért 1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról
9
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Jogi szabályozás ezután A szervezett kibervédelemért 1139/2013. (III. 21.) Korm. határozat. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról
Az állami szervek és a KII védelemért 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
Az EU védelméért Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union
10
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Az információbiztonsági törvény
Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások
Jogalanyok széles körben
Szabályozatlan KII pl. KI tv. kibervédelem nélkül
Szervezeti biztonsági szint
Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem
Információbiztonsági felügyelő
Alapvető biztonsági elvárások
Biztonsági osztályba sorolás
Biztonsági vezető és felelős
Szervezetek feldatai (Hatóság, NBF, CERT)
Kormányzati koordináció
Oktatás-kutatásfejlesztés
Szabályozási indokok
11
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
• Tervezhető védelmi felkészülés • Ellenőrzési és azonnali beavatkozási lehetőség • Számonkérhetőség • Kibervédelmi szabályozás alapja • Infobiztonsági kultúra elterjedése
Várható eredmények
A szervezetekre vonatkozó elvárások Felelősségek Szervezet vezetője Biztonsági felelős Megfelelőség biztosítása
Az IBIR operatív irányítása
Biztonsági felelős kinevezése
Az információbiztonságot érintő szerződések véleményezése
Biztonsági szabályozás kiadása
Kapcsolattartás a Hatósággal és a CERT-tel
Oktatás, tudatosság
Szolgáltatók ellenőrzése
IBIR irányítása Erőforrások a biztonsági események kezeléséhez Biztonság, mint szerződéses kötelem Értesítés a biztonsági eseményekről
12
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
A szervezetekre vonatkozó jövőbeni elvárások Végrehajtási rendeletek 301/2013. (VII. 29.) Korm. Rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról • A szervezetek ellenőrzésének szabályai • A sérülékenység-vizsgálat elvégzésének szabályai
az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr. • Konkrét műszaki követelmények
13
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
A szervezetekre vonatkozó jövőbeni elvárások Végrehajtási rendeletek A hatóság által kiszabható bírság mértéke, a bírság kiszabásának és befizetésének részletes eljárási szabályait meghatározó vhr. • A bírságolás szabályai nem állami szerveknél
233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről • Incidenskezelés a létfontosságú rendszerelemeknél
A szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjét tartalmazó vhr. • Az incidensek jelentésének részletei
14
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Mit jelent a piac számára szabályozás iránya? Egyértelmű elvárások mindenkitől
15
Kiberbiztonságra allokált, tervezhető források
Szigorú szakmai számonkérés
Biztonságosabb ország, minőségibb IT ipar
Biztonságtudatos, versenyképesebb szállítók
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Ahol a HP segíteni tud! Belső blokkok felszámolása Külső megfelelőségi követelmények teljesítése Átlátható, elszámoltatható IT Biztonság a dobozból - segítséggel Mellékesen: kockázatcsökkentés 16
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
A HP válasza a jogszabályra A biztonság minden tevékenységünkben jelen van.
Biztonsági konzultáció
17
Menedzselt biztonsági szolgáltatások
Biztonsági technológiák
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
HP oktatás
A védelem három megközelítése
Erősítsük meg a támadási felületeket!
18
Fedezzük fel mielőbb a támadás jeleit!
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Proaktívan védjük az információt!
HP Biztonsági Intelligencia Megoldások
Biztonsági technológiák
Elsődleges HP biztonsági termékek és biztonságtámogatás a HP egyéb megoldásaitól
19
HP TippingPoint
Átfogó platform a fenyegetések és kockázatok monitorozására
A meglévő és a fejlesztés alatt levő alkalmazások jelentette kockázatok © Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to changecsökkentése without notice.
HP Fortify
Hálózatbiztonsági megoldások teljes halmaza a modern fenyegetések kezelésére
Az információbiztonság teljes skálája
20
Biztonságmonitorozás és menedzsment
Irányítás, kockázat és megfelelőség menedzsment
Biztonsági intelligencia és elemzés
Biztonsági események kezelése
Integrált üzemeltetés
Adatkezelés
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Hálózatbiztonság
Cloud biztonsági megoldások
HP Biztonsági kutatások •
SANS, CERT, NIST, OSVDB, szoftver és más gyártók
•
2.600 kutató
•
2000+ adatmegosztó ügyfél
•
7000+ menedzselt hálózat globálisa
•
Vezető biztonsági kutatások
•
Folyamatosan több feltárt sebezhetőség, mint a piac többi szereplőjétől származó bejelentés – összesen
•
Érzékelhető felkészültség a potenciális fenyegetésekkel szemben
•
Több csapat együttműködő munkája: DV Labs, ArcSight, Fortify, HP Labs, Application Security Center
•
Hálózati és biztonsági adatok gyűjtése a világ minden tájáról
21
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Ecosystem partner
HP Global Research
ESS FSRG
Hogyan tovább?
Biztonsággal kapcsolatos kérdés merül fel?
22
…
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Beszélgessünk!
Köszönöm a figyelmet!
E-mail:
[email protected] Web: www.hp.hu
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
