Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
avagy a zártság dilemmái
Közüzemi számlázás, avagy a zártság dilemmái
2
Áttekintés Törvényi háttér Anomáliák A megfelelőség sajátosságai
3
Törvényi háttér Közüzemi törvények:
2003. évi C. törvény az elektronikus hírközlésről 2007. évi LXXXVI. törvény a villamos energiáról 2008. évi XL. törvény a földgázellátásról 2011. évi CCIX. törvény a víziközmű-szolgáltatásról …számlázási rendszer információbiztonsági megfeleltetéséről … az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvénynek megfelelően és módon köteles gondoskodni.
4
Törvényi háttér - módszertan
2013. évi L. trv. az állami és önkormányzati szervek elektronikus információbiztonságáról 77/2013. (XII. 19.) NFM rendelet egyedi számlázó szoftverek esetén a vizsgálatnak ki kell terjednie a számlázó szoftver forráskódszintű elemzésére meglévő terméktanúsítvány nyilvános, nemzetközi sérülékenységi adatbázis
5
Törvényi háttér - hatókör
(+) számlázási rendszer számlázó szoftver termék (konkrét beállításainak, telepítésének és üzemeltetésének ellenőrzése) a díjak hibátlan kiszámítását végző rendszerelemek a számlázási folyamathoz szükséges összes releváns bemeneti adatot kezelő rendszerelem (-) a számlák kiállításához közvetlenül nem tartozó rendszerelemek nem esnek a tanúsítás hatáskörébe
6
Törvényi háttér - ITS követelmények
„Általános információbiztonsági” zártság adminisztratív fizikai logikai intézkedések Jogosulatlan hozzáférés Észrevétlen módosítás bizalmasság sértetlenség rendelkezésre állás
7
Törvényi háttér - határidő
… bekezdésben szabályozott feltételeknek nem megfelelő számlázási rendszerből kiállított számla érvénytelen.
8
Anomáliák „Versenyigazgatási szektor” Határidő dilemmák
Az IBF kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal Határidő dilemmák Államigazgatás: 0-1 szint (1 év); 1-2 szint (+2év); 2-3 szint (+2év)=0-3 szint (5év) Közmű szektor: 2 szint (3 hónap) Felkészülés 0-3 szintre: min. 6 hónap Tanúsítás min. 2 hónap (forráskód szintű elemzés esetén min. 3 hónap)
9
Anomáliák Milyen magas a léc? Távközlési dilemma
Minimum szintek az államigazgatásra Tanúsítói döntés vagy szervezeti önbesorolás Milyen szint kell most? (0+stratégia is elég?) Távközlési dilemma Tételes számlamelléklet Csak a forgalmi díjas, vagy a havi fix díjas is? (pl.: internet) Szervezeten kívüli rendszerelemek? Erőművek, elosztók, kereskedők? Egyedi számlázó szoftverek kérdése Mitől nem egyedi? Hozzájutás a forráskódhoz
10
A megfelelőség sajátosságai: 3. szint
11
A megfelelősség sajátosságai
77/2013 Termék és irányítási rendszer követelmények ISO/IEC 27001 Irányítási rendszer követelmények A naplóinformációk védelme A biztonsági események kezelése A Rendszervizsgálat adatainak védelme A Információbiztonsági incidensek, felelősségek és eljárások
12
A megfelelősség sajátosságai: ISO/IEC 27001 77/2013 (3. szint)
Adminisztratív A biztonsági képzésre vonatkozó dokumentációk Munkakörök, feladatok biztonsági szempontú besorolása Fizikai A fizikai hozzáférések felügyelete A látogatók ellenőrzése Logikai Alapkonfiguráció Konfigurációs beállítások Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek
13
A megfelelőség sajátosságai: ISO/IEC 27001 77/2013 (3. szint)
Logikai Nyilvánosan elérhető tartalom Az elektronikus információs rendszer felügyelete A kimeneti információ kezelése és megőrzése Naplózható események Naplózási hiba kezelése Szolgáltatás megtagadás alapú támadás elleni védelem A folyamatok elkülönítése: (elkülönített végrehajtási tartományt minden végrehajtó folyamat számára) A biztonsági események figyelése Segítségnyújtás a biztonsági események kezeléséhez
14
:) :( ! ? Összegzés Markáns törvényi háttér
A biztonság államigazgatási szektorban történő megjelenésének üdvözlése Kérdéses átültetés a versenyszférára Jelen állapot szerint, szinte kivitelezhetetlen megvalósítás
15
Köszönöm a figyelmet! Faragó János CISA
Hasonló előadás
