Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor.

Hasonló előadás


Az előadások a következő témára: "A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor."— Előadás másolata:

1 A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor SGS Hungária Kft.

2 2 Miről lesz szó? A rendelet követelményei Tanúsítási folyamat Az SGS minősítési módszertana Biztonsági követelmények

3 3 Az ISZ tanúsítási rendelet 24/2006 (IV.29) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről ISZ: iratkezelési szoftver Iratkezelés: érkeztetés → iktatás → …→ selejtezés/levéltározás Közfeladatot ellátó szerv: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv és személy

4 4 Az ISZ tanúsítási rendelet Hatályba lépés:  Papír alapú dokumentumok: 2006 május  Elektronikus dokumentumok ISZ-en belüli tárolása és kezelése: január 1. Kapcsolódó rendeletek  335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről  16/2006. (IV. 6.) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelőségét tanúsító szervezetek kijelölésének részletes szabályairól

5 5 A 24/2006 rendelet követelményei Határterület: iratkezelés - információbiztonság Cél  Minimálkövetelmények rögzítése  Egységes ISZ funkcionalitás Követelmény típusok  ISZ elvárt és tiltott működése  Kezelt információ köre (metaadatok)  Biztonsági követelmények Megfelelés szintjei  Szűkített: csak papír alapú iratok kezelése  Teljeskörű: elektronikus iratok kezelése is  Kibővített: kapcsolat az ügyfélkapuval is

6 6 Tanúsítási sajátságok Terméktanúsítás Audit fázisok  Dokumentáció vizsgálat  Helyszíni audit Mintavételezés Eltérések besorolása: csak lényeges Tanúsítvány érvényessége 3 év

7 7 Vizsgálati módszerek Garanciális elemek vizsgálata  Követelményspecifikáció, fejlesztés és tesztelés dokumentáltsága Funkcionális tesztek  Pozitív: 59 db egyszerű, 46 db bővített  Negatív: 7 db kihívásos

8 8 A 24/2006 rendelet követelményei 2. Általános követelmények 3. Iktatókönyvekkel kapcsolatos követelmények 4. Az irattári tervvel kapcsolatos követelmények 5. Iratok iktatása 6. Ügyiratok, iratok kezelése 6.1. Ügyiratok és iratok 6.2. Az iratok mozgásának nyomon követése, statisztikák 6.3. Kapcsolatok ügyiratok és iratok között 6.4. Nem elektronikus iratok kezelése 6.5. Adatok keresése, adatvisszanyerés 7. Jogosultság, adatbiztonság, adatvédelem 7.1. Jogosultság 7.2. Adatok mentése és helyreállítása 7.3. Eseménynaplózás 7.4. Iratok hitelessége 8. Átadás, exportálás, selejtezés 8.1. Felülvizsgálat 8.2. Megőrzési idő 8.3. Az átadás, exportálás és megsemmisítés 9. Iratátvétel/importálás 10. Megjelenítés 11. Műszaki és teljesítmény követelmények, integráció Hálózati üzemeltethetőség Műszaki szabványok Teljesítmény és skálázhatóság Elektronikus aláírás 12. Metaadatok 13. Követelményrendszer értelmezése

9 9 Példák információbiztonsági követelményekre Az ISZ-ben gondoskodni kell az adatok manuális és/vagy automatizált biztonsági mentését és helyreállítását szolgáló eljárásokról,… ISO/IEC 27001/A – másolatok készítése Az ISZ-nek lehetővé kell tennie a naplóállományokhoz való hozzáférés követhetőségét, a betekintések dokumentálását, valamint a naplóállományok megőrzését. ISO/IEC 27001/A – naplóinformáció védelme

10 10 Példák információbiztonsági követelményekre Az ISZ-nek nem szabad megengednie, hogy a felhasználók megváltoztassák az érkeztetett, kiadmányozott, vagy más számára már ügyintézési célból átadott elektronikus irat tartalmát. ISO/IEC 27001/A – kriptográfiai eljárások használata Az ISZ-nek figyelmeztetnie kell a felhasználót arra, ha a megsemmisítendő elektronikus ügyiratra egy másik ügyirat hivatkozik (van a két irat között e rendszerben létrehozott kapcsolat) és szüneteltetnie kell a megsemmisítési folyamatot az alábbi korrekciós intézkedések valamelyikének megtételéig: … ISO/IEC 27001/A – belső feldolgozás ellenőrzése

11 11 Példák információbiztonsági követelményekre Az ISZ-nek jelentést kell készítenie az átadás, exportálás vagy megsemmisítés során bekövetkező bármely meghibásodás részleteiről. ISO/IEC 27001/A hibanaplózás Ügyirat, irat - leszámítva a levéltárba adás/selejtezés folyamatát - ne legyen törölhető az iratkezelési szoftverben Az adatok teljes körű integritását a helyreállítást követően is meg kell őrizni. ISO/IEC 27001/A – szervezeti feljegyzések védelme

12 12 Kapcsolódó ISO óvintézkedések Az információbiztonság szervezete A6.1.4 – jóváhagyási folyamat Kommunikáció és működés irányítása A – kötelességek szétválasztása A kapacitástervezés A – óvintézkedések a rosszindulatú szoftverek ellen A – másolatok készítése A – információcsere szabályozása és módja A – eseménynaplózás A – rendszerhasználat figyelése A – naplóinformáció védelme A hibanaplózás Hozzáférés szabályozás A – felhasználók nyilvántartása Beszerzés, fejlesztés A – belső feldolgozás ellenőrzése A – kriptográfiai eljárások használata A – információ szivárgás Megfelelés A – vonatkozó jogszabályok azonosítása A – szervezeti feljegyzések védelme A – személyes adatok védelme

13 13 Stipkovits István ISZ auditor Köszönöm a figyelmet! SGS


Letölteni ppt "A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor."

Hasonló előadás


Google Hirdetések