IT biztonsági keretek és követelmények y
Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központ Szigeti Szabolcs Networkshop 2009
Tartalom • • • •
Az EK3 projektről P blé Problémafelvetés f l é Célkitűzések Elért eredmények
2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
2
E-közigazgatási á keretrendszer kialakítása projekt • MeH megbízásából, e-közigazgatási fejlesztések támogatására • e-közigazgatási keretrendszer kialakítása – – – – – – 2009.03.16.
architektúra folyamatleírás IT biztonság interoperabilitás tanúsítás projektmanagement
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
E-közigazgatási á keretrendszer kialakítása projekt eredményei • • • • •
Eredmények: Előí á k ajánlások, Előírások, já lá k segédletek édl k (KIB 28.) 28 ) Pilot rendszer Projektek támogatása http://kovetelmenytar complex hu/ http://kovetelmenytar.complex.hu/
2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
Problémafelvetés • IT biztonsági kérdések és követelmények alulreprezentáltak a fejlesztési projektekben • Szükség van követelményrendszerekre a megrendelők segítésére • Szükség van mintákra a fejlesztők segítésére • Ellenőrizhetőségre Ell ő i h tő é van szükség ük é • Igazodva a hazai és nemzetközi szabványokhoz b á kh és é előírásokhoz lőí á kh 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
5
IT biztonsági á kérdések é é a fejlesztési é projektekben • Speciális jogszabályi és egyéb igények (pl : személyes adatok védelme) (pl.: • Pontos követelmények gyakran tisztázatlanok i á l k • IT biztonság nem kap elég hangsúlyt a fejlesztések során • Alkalmazásba vételi és üzemeltetési kérdések 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
Alprojekt célkitűzései • IT biztonsági követelmények kidolgozása közigazgatási fejlesztési projektek számára • Projektek P j k k támogatása á á • Követelmények érvényesítésének elősegítése
2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
7
Tevékenységek • Környezet felmérése • Biztonsági Bi á i iigényszintek é i k kialakítása ki l kí á • IT biztonsági követelményrendszer – – – –
2009.03.16.
Stratégiai Politika Szabályzatok Technikai
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
8
Környezet és igényszintek • Biztonság kialakítása az igényektől függ – Ti Tipikus ik igényszinteket i é i t k tk kell ll meghatározni h tá i – Projektek ezek alapján dönthetik el a szükséges IT biztonsági feladatokat – Alacsony-magas-kiemelt biztonsági szint és kritériumainak felállítása
2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
9
Biztonsági szintek kategorizálása • Három szintű IT biztonsági igényszint kategóriák a megkívánt követelmények kategóriák, könnyű előállíthatósága érdekében • Összhangban Ö h b a nemzetközi kö i szabványokkal b á kk l (MSZ ISO27001:2006, CC, stb.) • Útmutató: Ú könnyen végrehajtható, kevésbé formalizált • Segédlet: közigazgatási példák 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
10
Követelményrendszer Kö t l é d érvényesítése • IT biztonsági követelmények érvényesítése fejlesztési projektek során • Elsősorban Központi rendszerhez csatlakozó l k ó ffejlesztések, jl é k de d alkalmazható lk l h ó általános esetben is • Teljes pályázati, tervezési, fejlesztési és üzemeltetési életciklus alatt • Audit! 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
11
Követelményrendszer • Követelmények meghatározása az igényszinteknek megfelelően – Stratégiai / politikai / szabályzati / műszaki – Meglévő M lé ő előírásokon lőí á k alapulva l l
• Minta előírások készítése a fejlesztés és üzemeltetés é segítéséhez íé é • Vonatkozó szabványok, előírások, ajánlások összegyűjtése 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
12
Követelményrendszer • Gyakorlatban alkalmazható, megvalósítható • Egyenszilárdságú, teljeskörű, k ká kockázatarányos á • Fenntartható, projekt teljes életciklusára érvényes • Betartható és ellenőrizhető
2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
13
Eredmények • Követelményrendszer, amely előírható (és előírandó!) ellenőrizhető a fejlesztési előírandó!), projektekben • Követelmények Kö l é k érvényesítésének é é í é é k alapját l já képezi • Támpontok megrendelőknek, fejlesztőknek, üzemeltetőknek • Esettanulmányok kellenének! 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
14
Összefoglalás • Kitűzött cél: – IT biztonság elhelyezése a fejlesztési projektekben – Projektek támogatása és a követelmények érvényesítése a teljes életciklusuk alatt
• Elkészültek a követelmények, a minta besorolások és a szabályzatok • Nem N csak k e-közigazgatási kö i tá i fejlesztéseknél f jl té k él alkalmazhatóak • Szükséges további lebontás, lebontás frissítés, frissítés részletezés 2009.03.16.
Továbblépés a szolgáltató állam kialakítása felé – az „Elektronikus közigazgatási keretrendszer”
15
Köszönöm a figyelmüket!
