Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor.

Hasonló előadás


Az előadások a következő témára: "A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor."— Előadás másolata:

1 A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor SGS Hungária Kft.

2 2 Miről lesz szó? A rendelet követelményei Tanúsítási folyamat Az SGS minősítési módszertana Biztonsági követelmények

3 3 Az ISZ tanúsítási rendelet 24/2006 (IV.29) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről ISZ: iratkezelési szoftver Iratkezelés: érkeztetés → iktatás → …→ selejtezés/levéltározás Közfeladatot ellátó szerv: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv és személy

4 4 Az ISZ tanúsítási rendelet Hatályba lépés:  Papír alapú dokumentumok: 2006 május  Elektronikus dokumentumok ISZ-en belüli tárolása és kezelése: 2009. január 1. Kapcsolódó rendeletek  335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről  16/2006. (IV. 6.) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelőségét tanúsító szervezetek kijelölésének részletes szabályairól

5 5 A 24/2006 rendelet követelményei Határterület: iratkezelés - információbiztonság Cél  Minimálkövetelmények rögzítése  Egységes ISZ funkcionalitás Követelmény típusok  ISZ elvárt és tiltott működése  Kezelt információ köre (metaadatok)  Biztonsági követelmények Megfelelés szintjei  Szűkített: csak papír alapú iratok kezelése  Teljeskörű: elektronikus iratok kezelése is  Kibővített: kapcsolat az ügyfélkapuval is

6 6 Tanúsítási sajátságok Terméktanúsítás Audit fázisok  Dokumentáció vizsgálat  Helyszíni audit Mintavételezés Eltérések besorolása: csak lényeges Tanúsítvány érvényessége 3 év

7 7 Vizsgálati módszerek Garanciális elemek vizsgálata  Követelményspecifikáció, fejlesztés és tesztelés dokumentáltsága Funkcionális tesztek  Pozitív: 59 db egyszerű, 46 db bővített  Negatív: 7 db kihívásos

8 8 A 24/2006 rendelet követelményei 2. Általános követelmények 3. Iktatókönyvekkel kapcsolatos követelmények 4. Az irattári tervvel kapcsolatos követelmények 5. Iratok iktatása 6. Ügyiratok, iratok kezelése 6.1. Ügyiratok és iratok 6.2. Az iratok mozgásának nyomon követése, statisztikák 6.3. Kapcsolatok ügyiratok és iratok között 6.4. Nem elektronikus iratok kezelése 6.5. Adatok keresése, adatvisszanyerés 7. Jogosultság, adatbiztonság, adatvédelem 7.1. Jogosultság 7.2. Adatok mentése és helyreállítása 7.3. Eseménynaplózás 7.4. Iratok hitelessége 8. Átadás, exportálás, selejtezés 8.1. Felülvizsgálat 8.2. Megőrzési idő 8.3. Az átadás, exportálás és megsemmisítés 9. Iratátvétel/importálás 10. Megjelenítés 11. Műszaki és teljesítmény követelmények, integráció 11.1. Hálózati üzemeltethetőség 11.2. Műszaki szabványok 11.3. Teljesítmény és skálázhatóság 11.4. Elektronikus aláírás 12. Metaadatok 13. Követelményrendszer értelmezése

9 9 Példák információbiztonsági követelményekre 7.2.1 Az ISZ-ben gondoskodni kell az adatok manuális és/vagy automatizált biztonsági mentését és helyreállítását szolgáló eljárásokról,… ISO/IEC 27001/A10.5.1 – másolatok készítése 7.3.4 Az ISZ-nek lehetővé kell tennie a naplóállományokhoz való hozzáférés követhetőségét, a betekintések dokumentálását, valamint a naplóállományok megőrzését. ISO/IEC 27001/A10.10.3 – naplóinformáció védelme

10 10 Példák információbiztonsági követelményekre 7.4.1 Az ISZ-nek nem szabad megengednie, hogy a felhasználók megváltoztassák az érkeztetett, kiadmányozott, vagy más számára már ügyintézési célból átadott elektronikus irat tartalmát. ISO/IEC 27001/A12.3.1 – kriptográfiai eljárások használata 8.1.4 Az ISZ-nek figyelmeztetnie kell a felhasználót arra, ha a megsemmisítendő elektronikus ügyiratra egy másik ügyirat hivatkozik (van a két irat között e rendszerben létrehozott kapcsolat) és szüneteltetnie kell a megsemmisítési folyamatot az alábbi korrekciós intézkedések valamelyikének megtételéig: … ISO/IEC 27001/A12.2.2 – belső feldolgozás ellenőrzése

11 11 Példák információbiztonsági követelményekre 8.3.7 Az ISZ-nek jelentést kell készítenie az átadás, exportálás vagy megsemmisítés során bekövetkező bármely meghibásodás részleteiről. ISO/IEC 27001/A10.10.5 - hibanaplózás 6.1.7 Ügyirat, irat - leszámítva a levéltárba adás/selejtezés folyamatát - ne legyen törölhető az iratkezelési szoftverben. 7.2.2 Az adatok teljes körű integritását a helyreállítást követően is meg kell őrizni. ISO/IEC 27001/A15.1.3 – szervezeti feljegyzések védelme

12 12 Kapcsolódó ISO 27001 óvintézkedések Az információbiztonság szervezete A6.1.4 – jóváhagyási folyamat Kommunikáció és működés irányítása A10.1.3 – kötelességek szétválasztása A10.3.1 - kapacitástervezés A10.4.1 – óvintézkedések a rosszindulatú szoftverek ellen A10.5.1 – másolatok készítése A10.8.1 – információcsere szabályozása és módja A10.10.1 – eseménynaplózás A10.10.2 – rendszerhasználat figyelése A10.10.3 – naplóinformáció védelme A10.10.5 - hibanaplózás Hozzáférés szabályozás A11.2.1 – felhasználók nyilvántartása Beszerzés, fejlesztés A12.2.2 – belső feldolgozás ellenőrzése A12.3.1 – kriptográfiai eljárások használata A12.5.4 – információ szivárgás Megfelelés A15.1.1 – vonatkozó jogszabályok azonosítása A15.1.3 – szervezeti feljegyzések védelme A15.1.4 – személyes adatok védelme

13 13 Stipkovits István ISZ auditor istvan.stipkovits@sgs.com Köszönöm a figyelmet! SGS


Letölteni ppt "A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor."

Hasonló előadás


Google Hirdetések