Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

77/ Követelmények és a gyakorlat

KiadtaCsilla Horváth Megváltozta több, mint 8 éve

Hasonló előadás

Az előadások a következő témára: "77/ Követelmények és a gyakorlat"— Előadás másolata:

1 77/2013 - Követelmények és a gyakorlat
Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

2 Bevezetés Lassan egy éve fogadták el az Ibtv.-t
Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő határidő, július 1. Lassan ki kell, hogy derüljön, hogyan lehet a követelményeknek megfelelni… LEGAL NOTICE: nem vagyok jogalkotó, nem vagyok hatóság, minden, ami itt elhangzik csak pletyka gyakorlati tapasztalat!

3 A követelmények A 77/2013 hosszú és érdekes olvasmány. Tessék alaposan elolvasni! Felépítése: Biztonsági osztályba sorolás irányelvei Biztonsági szintbe sorolás irányelvei Besorolási útmutató Eltérések, helyettesítő biztonsági intézkedések (!!!) Védelmi intézkedések katalógusa

4 77/2013 FAQ Kockázatelemzés vs. kötelező osztálybasorolás
Kérdés: az elektronikus információs rendszereket kockázatelemzés vagy a rendelet szerint kell osztályba sorolni? Tanács: A vonatkozó szempontrendszer ajánlás, segédlet. Célja az érintettek segítése, nem kötelező ennek alkalmazása. 1.3. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni. 2.1. Az Ibtv. szerint a besorolás elvégzése a következő elvek figyelembevételével az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek. A meglevő védelmi intézkedések hatása a besorolásra Kérdés: ha a meglevő védelmi intézkedések csökkentik a kockázati szintet, akkor csökkentik az osztályba sorolási értéket is? Tanács: A jogszabály zárt szabályozási rendszert hozott létre. Ha a csökkenő kockázati szint miatt elhagyok egy védelmi intézkedést, a kockázat nő(het), így magasabb osztályba fogok tartozni. Azok a biztonsági intézkedések, amelyek kizárólagosan támogatják a bizalmasságot, a sértetlenséget és a rendelkezésre állást, visszasorolhatók (vagy módosíthatók, kivehetők, ha alacsonyabb szinten nincsenek meghatározva) alacsonyabb szintre, ha ez az alacsonyabb szintű besorolás: az érintett szervezetre végrehajtott kockázatelemzés szerint indokolható;

5 77/2013 FAQ Kétévenkénti szintemelés rendszerenként vagy infrastruktúránként? Kérdés: Ha A és B rendszert 4-es szintre kell hozni, de A most 3-as, B pedig 2-es, hány évem van? Tanács: a két év rendszerenként értendő, tehát A-re 2, B-re 4 évem van 2.1. A helyettesítő biztonsági intézkedés olyan eljárás, amelyet az érintett szervezet a reá irányadó biztonsági szinthez tartozó biztonsági intézkedés helyett alkalmazni kíván, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például törvényeknek, vagy szervezeti szintű szabályzóknak) való megfelelést. Milyen kockázatelemzés lesz elfogadható? Kérdés: Milyen kockázatelemzési módszertan elfogadható? Tanács: a kockázatelemzést a szervezet saját maga határozza meg. Kiindulási pontként használhatók a KIB 25 és KIB 28 ajánlások. 11. § (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: f) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,

6 77/2013 FAQ Hogyan kell kiválasztani a követelményeket?
Kérdés: mi alapján jönnek ki az egyes követelmények: Tanács: CIA besorolás EIR-enként, fizikai besorolás maxFL(CIAEIR), adminisztratív besorolás max(CIAEIR), figyelembe véve a lehetséges eltéréseket! 1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni. Az idő kevés, a feladat nagy… Kérdés: Hogyan lehet százas nagyságrendű rendszerre elvégezni a korrekt besorolást ilyen rövid idő alatt? Tanács: Általában „tudjuk”, hogy melyek a legfontosabb rendszerek. Ami (szerintem) a legfontosabb: történjen meg az adatvagyon felmérése, a legfontosabb rendszerekre vonatkozóan a kockázatelemzés és a besorolás. Minden más 1. vagy 2. biztonsági osztály további intézkedésig. 8. § (1) A biztonsági osztályba sorolást legalább háromévenként vagy szükség esetén soron kívül, dokumentált módon felül kell vizsgálni. (2) A soron kívüli biztonsági osztályba sorolást az elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás vagy új elektronikus információs rendszer bevezetése esetén szükséges elvégezni. A soron kívüli felülvizsgálatot akkor is el kell végezni, ha a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatok vonatkozásában változás következik be.

7 77/2013 FAQ Ki kell dobnom a meglevő szabályozást?
Kérdés: van egy létező IBIR-em, mi legyen vele? Tanács: Nem, a létező IBIR-eknek tovább kell élnie! A rendelet ősforrása a NISTSP Rev. 4, ebben találhatók összerendelési táblázatok pl. az ISO hez. Elvileg a létező IBIR-hez kevéssé kell hozzányúlni. A tervezett, vagy már működtetett elektronikus információs rendszerekre alkalmazott biztonsági intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is. Mi lesz a minősített adatokkal? Kérdés: Hogy viszonyul a 77-es a Mavtv.-hez? Tanács: Amíg az NBF máshogy nem rendelkezik, a 77-es mérvadó a minősített adatokat kezelő EIR-ek követelményeivel kapcsolatban. (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni,

8 77/2013 FAQ Vonatkozik a rendelet a bankra/gyárra/telco szolgáltatóra?
Kérdés: A rendelet kizárólag az állami és önkormányzati szervezetekre vonatkozik, vagy másra is? Tanács: Az Ibtv. hatálya kiterjed az állami szervek adatkezelőire, a nemzeti adatvagyon feldolgozóira és a létfontosságú rendszerelemekre is! Ez utóbbiakra akkor fog kiterjedni, ha kijelölik őket! (2) A hatóság feladata: f) javaslattétel a létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére, Hova forduljak segítségért? Kérdés: Milyen segítség áll rendelkezésre a határidő sikeres teljesítéséhez? Tanács: A NEIH honlapján található egy kitöltési útmutató, a KIB ajánlások továbbra is használhatók, a NIST SP meglehetősen hasonló a 77-eshez, az NKE megkezdte a felelősök képzését, a tanácsadók pedig sorban állnak, hogy segíthessenek… A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.

9 Hogyan tovább? Ne felejtsük el: az Ibtv. egy meglehetősen rugalmas keret, amit hosszú távon tudunk ideálisan kitölteni! Mindenkinek a részéről szükség van egyfajta rugalmasságra a jog keretei között! A beavatkozási pontok egyébként is az állam rendelkezésére állnak! Ne feledjük, bizonyos értelemben úttörők vagyunk, a gyakorlatot EGYÜTT kell kialakítanunk!

10 Köszönöm a figyelmet! Dr. Krasznay Csaba
Web: Köszönöm a figyelmet!

Letölteni ppt "77/ Követelmények és a gyakorlat"

Hasonló előadás

A szabványosítás és a szabvány fogalma, feladata

A szabványosítás és a szabvány fogalma, feladata
A rendvédelmi szervek helye a kibervédelemben

A rendvédelmi szervek helye a kibervédelemben
Információbiztonság irányítása

Információbiztonság irányítása
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
Humán rendszerek, közszféra

Humán rendszerek, közszféra
Információbiztonság vs. informatikai biztonság?

Információbiztonság vs. informatikai biztonság?
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ

Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Nagy Zoltán Attila CISM

Nagy Zoltán Attila CISM
Az Ibtv. civil-szakmai támogatása

Az Ibtv. civil-szakmai támogatása
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.

A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr

Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Powerpoint Templates. Page 2  Tehetetlenek  Sajnálatra méltóak  Nem tudnak önmagukról gondoskodni  Nem képesek tanulni  Nem tudnak dolgozni  Az.

Powerpoint Templates. Page 2  Tehetetlenek  Sajnálatra méltóak  Nem tudnak önmagukról gondoskodni  Nem képesek tanulni  Nem tudnak dolgozni  Az.
Munkavédelmi előírások rendszere

Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai

Állam munkavédelmi feladatai
Az első lépések Dr. Kadocsa Ildikó, osztályvezető

Az első lépések Dr. Kadocsa Ildikó, osztályvezető
A Nemzeti Közszolgálati Egyetem közigazgatás-tudományi karának minőségcéljai a 2012/2013. oktatási évre dr. Almásy Gyula szakcsoportvezető Közigazgatásszervezési.

A Nemzeti Közszolgálati Egyetem közigazgatás-tudományi karának minőségcéljai a 2012/2013. oktatási évre dr. Almásy Gyula szakcsoportvezető Közigazgatásszervezési.
1 eEgészség – Digitális Aláírás Előadás a projekt lezárásához „Megbízható harmadik fél szolgáltatás, a digitális aláírás bevezetése az egészségügyi ágazatban”

1 eEgészség – Digitális Aláírás Előadás a projekt lezárásához „Megbízható harmadik fél szolgáltatás, a digitális aláírás bevezetése az egészségügyi ágazatban”
Szabványok és ajánlások az informatikai biztonság területén

Szabványok és ajánlások az informatikai biztonság területén

Hasonló előadás

Google Hirdetések