2017.04.04. képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.

Az előadások a következő témára: "2017.04.04. képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék."— Előadás másolata:

1 képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék

2 Miért kell? Az élet minden területén egyre bonyolultabb és nagy kiterjedésű informatikai rendszerek alakulnak ki. Az intézmények tevékenységét és működését mind intenzívebben támogatják informatikai alkalmazások. Ezzel együtt emelkedik az informatikai biztonság szerepe és jelentősége.

3 Szükséges? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására? Ehhez vannak-e felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel foglalkoznak, akik képesek a kárfelszámolásra?

4 Miért kell? AZ INFORMÁCIÓ: érték, vagyon, hatalom.

5 Ki (mi) fenyeget? kiberterrorizmus (cyberterrorizm);
információs műveletek (információs hadviselés); gazdasági hírszerzés; ipari kémkedés; hackerek, crackerek; rosszindulatú, bosszúálló munkatársak; képzetlen, hanyag, felelőtlen munkatársak; természeti csapások; műszaki hibák.

6 Az informatikai védelem
A rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer elemei sértetlenségének és rendelkezésre állásának védelme.

7 Miért kell vele foglalkozni?

8 megelőzés és korai figyelmeztetés észlelés reagálás
A védelem feladatai megelőzés és korai figyelmeztetés észlelés reagálás incidens vagy krízis menedzsment

9 Az informatikai biztonsággal kapcsolatos jogszabályok, szabványok és ajánlások

10 E-közigazgatás 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) 2009. évi LX. törvény az elektronikus közszolgáltatásról 2009. évi LXXVI. törvény a szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól

11 E-közigazgatás 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról

12 Common Criteria A Common Criteria (CC, Közös Követelmények) az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával került kidolgozásra. A CC követelmény­rendszerének első három fejezetét kitevő „CC 2.0” dokumentumot ISO/IEC számon nemzetközi szabványként is kiadták.

13 ISO/IEC 270xx ISO/IEC – Szószedet és terminológia (definíciók a sorozat összes szabványához). Fejlesztés alatt. ISO/IEC – Az informatikai biztonság irányítási rendszere (BS :2002), a szervezet auditálásához szükséges (megfelelőségi) előírások. Az ISO/IEC szabványt én tették közzé ISO/IEC 27001:2005 számon.

14 ISO/IEC 270xx ISO/IEC – Az ISO/IEC 17799:2005 szabvány utódja, azzal gyakorlatilag megegyezik. Az informatikai biztonság irányítása gyakorlati előírásait, ellenőrzési célokat és a legjobb gyakorlatot (best practice) írja le. ISO/IEC – Az ISO/IEC szabvány implementálásához szükséges tanácsokat és útmutatókat fogja tartalmazni. A szabvány még csak terv.

15 ISO/IEC 270xx ISO/IEC – Egy új szabvány lesz, amely az informatikai biztonság mérésével fog foglalkozni, abból a célból, hogy az informatikai biztonság irányítási rendszerének hatékonyságát mérni tudjuk. ISO/IEC – Az informatikai biztonság kockázatkezelésével foglalkozik. Az ISO/IEC  és szabványok felülvizsgálatával készül. Fejlesztés alatt áll.

16 ISO/IEC 270xx ISO/IEC – az ISO/IEC IEC 27001 szabványnak való megfelelést vizsgáló szervezetek számára tartalmaz követelményeket. ISO/IEC – informatikai biztonságirányítási irányelvek a telekommunikációnak. Jelenleg ez a szabvány fejlesztés alatt áll.

17 KIB 25. számú ajánlás MIBIK MIBÉTS IBIX

18 A Magyar Informatikai Biztonság Irányítási Keretrendszere (MIBIK)
Az ISO 27000, az ISO/IEC TR szabványok, továbbá a Security within the North Atlantic Treaty Organisation és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata figyelembe vételével készült.

19 25/1-1. IBIR Az Informatikai Biztonsági Irányítási Rendszer a TVEB (PDCA = Plan-Do-Check- Act, Tervezés-Végrehajtás-Ellenőrzés- Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.

20 25/1-2 IBIK Az Informatikai Biztonsági Irányítási Követelmények alapját az ISO/IEC :2005, az ISO/IEC TR nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.

21 25/1-3 IBIV Az Informatikai Biztonság Irányításának Vizsgálata c. vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS :2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 munkadokumentumok képzik, továbbá az IFIP 199/200 (USA) előírások.

22 IBIV Az összeállított kérdőívek lefedik az Informatikai Biztonság Irányítási Rendszer (IBIR, ISMS – Information Security Management System) folyamatokat. Segítségükkel részletesen meghatározhatjuk, hogy az IBIK követelményei mennyiben kerültek megvalósításra. (Az intézkedések részletes vizsgálata.)

23 Magyar Informatika Biztonság Értékelési és Tanúsítási Séma
MIBÉTS Magyar Informatika Biztonság Értékelési és Tanúsítási Séma A Common Critéria egyezményhez (2003. október) való csatlakozás után kezdődött meg egy magyar „lite CC” kidolgozása

24 A képzés célja A képzés célja olyan közszolgálati informatikai biztonsági felelősök képzése, akik a képzést követően alkalmassá válnak – a 223/2009 kormányrendelettel, továbbá a KIB 25. és 28. számú ajánlásaival összhangban – a szervezet informatikai biztonsági feladatainak tervezésére, szervezésére és irányítására, továbbá a MIBIK vagy az ISO/IEC szerinti auditálás, illetve a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC (CEM) szerinti értékelés előkészítésére

25 célcsoport A közszolgálati informatikai rendszerekben kijelölt informatikai biztonsági felelősök.

26 Megszerezhető kompetenciák
A vonatkozó hazai és nemzetközi szabványok ismerete szervezeti biztonság, személyi biztonság, fizikai és környezeti biztonság az eszközök biztonsági besorolása és ellenőrzése számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje hozzáférés menedzsment, fejlesztés és karbantartás, biztonsági incidensek kezelése, működésfolytonosság jogszabályi megfelelőség a MIBIK vagy az ISO/IEC szerinti auditálás a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC (CEM) szerinti értékelés

27 követelmények A továbbképzés befejezésekor a résztvevőknek megalapozott ismeretekkel kell rendelkezniük a tematikában szereplő témaköröket illetően, jártasságot kell szerezniük azok elemzésében és az összefüggések feltárásában.

28 követelmények A képzés 80 %-án való részvétel szükséges ahhoz, hogy a résztvevő jogosult legyen a záróvizsgán részt venni, és hogy tanúsítványt kapjon. Nincs tematikai egységenkénti értékelés, csak a képzés végén a tananyag egészéből kell írásbeli tesztvizsgát tenniük a résztvevőknek.

29 Ellenőrzés-értékelés
A továbbképzési program elsajátításának ellenőrzése egyfelől a konkrét témák interaktív előadása és konzultációja keretében, a szóbeli kérdésekre adott válaszok alapján, másfelől záróvizsgán, tesztfeladat-lap kitöltésével történik.  A záróvizsgán a megfelelő értékeléshez legalább 60 %-os eredmény szükséges – ezek az értékelés általános szempontjai.

30 Köszönöm a figyelmet!