Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.

Slides:



Advertisements
Hasonló előadás
A veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezés szabályai (Seveso II.) - polgármesterek felkészítése Lakossági tájékoztatás A lakosság.
Advertisements

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
A távközlési piac állami felügyelete dr. Orosi Renáta Hírközlési Felügyelet Hírközlési Felügyelet.
A piacgazdaságra nyitott rugalmas képzési rendszer intézményi jogi megvalósulása. A szak- és felnőtt képzőkkel szemben támasztott szakmai jogi feltételek.
A polgári védelmi tervezés Jogszabályi háttér § §1949. évi XX. törvény a Magyar Köztársaság Alkotmánya § §1996. évi XXXVII. törvény a polgári védelemről.
Információbiztonság a Magyar Köztársaság közigazgatásában dr
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
KBSZ STRATÉGIA KBSZ SZAKMAI NAPOK - VASÚT Siófok, április 10. Bajkó Erika kommunikációs vezető.
A környezetvédelem intézményrendszere
DOKUMENTUMKEZELÉS.
Sikolya Zsolt IKF kormányzati nap Budapest, május 19. Egységes azonosítás, hitelesítés és elektronikus aláírás az elektronikus ügyintézésben.
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
Az elektronikus aláírás állami elismerése
Az első lépések Dr. Kadocsa Ildikó, osztályvezető
Közigazgatási és Igazságügyi Minisztérium
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
ORFK PORTÁL On-line bejelentések rendszere
Biztonságos-e az Ügyfélkapu?
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
Munkahelyi egészség és biztonság
Transzparencia, információszabadság és közérdekű adatok nyilvánossága Dr. Fazekas Judit Igazságügyi Minisztérium európai uniós ügyekért felelős helyettes.
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
Az adatbiztonság fizikai biztonsági vetülete
2011. évi CCIX. Tv. Konferencia neve, helye: Budapest, 2012 október 30. GWP-konferencia Vojtilla László elnöki tanácsadó Magyar Energia Hivatal.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Adatvédelmi alapelvek
A FELNŐTTKÉPZÉSI TEVÉKENYSÉG FOLYTATÁSÁNAK ENGEDÉLYEZÉSE 2013
Előadó: Bellovicz Gyula igazságügyi szakértő
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala
Az adatvédelem szabályozása
A BEJELENTŐ-VÉDELEM HELYE ÉS SZEREPE AZ OMBUDSMANI TEVÉKENYSÉGBEN
Stipkovits István ISZ auditor SGS Hungária Kft.
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
avagy a zártság dilemmái
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki.
112 Dr. Dósa Imre.  Áttekintő  Új adatvédelmi törvény  Alapjogi beágyazás  Ráncfelvarrás  Újdonságok  Javaslatok a felkészüléshez.
Szeged M. J. Város Polgármesteri Hivatal Nyílt forráskódú megoldások a közigazgatásban Szabad Szoftver Konferencia Szeged, Szegfű László szegfu.laszlo.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.
Simon Gábor a Fogyasztóvédelmi bizottság elnöke Budapest, december 16. A fogyasztóvédelem ügyei a évi őszi ülésszakban.
26/09/20161 Elektronikus számlázás ellenőrzési tapasztalatai Czöndör Szabolcs Elektronikus Kereskedelem Ellenőrzési Osztály.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Az elektronikus számla adóigazgatási azonosításra alkalmassága.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Nemzeti Energetikusi Hálózat
A pénzügyi szolgáltatások közvetítőit érintő jogszabályi változások
Tűzvédelmi Szabályzat
A közigazgatási eljárás II.
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
Úton az elektronikus levéltár felé
Elektronikus aláírás és iratkezelés
ELEKTRONIKUS ALÁÍRÁS E-JOG.
Adatvédelmi kihívások a modern információ- technológiában
A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr
Az informatikai biztonság irányításának követelményrendszere (IBIK)
A hivatalos statisztikáról szóló évi CLV. törvény bemutatása Dr
MUNKAVÉDELMI ELLENŐRZÉS ZÖKKENŐMENTESEN? munkabiztonsági szakmérnök
1/15/2019 Az uniós bel- és igazságügyi informatikai rendszerekkel és az interoperabilitással kapcsolatos jogharmonizációs kérdések október 10. Belügyminisztérium.
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Előadás másolata:

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság Információvédelem menedzselése XXXVIII. Szakmai Fórum Budapest,

Új jogszabályok Az Elektronikus közszolgáltatásról szóló évi LX. törvény A törvény végrehajtási rendeletei: 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról

A törvény alapelvei Az elektronikus közszolgáltatást nyújtó szervezetek a szolgáltatás nyújtása során biztosítják: a) az ügyintézési folyamatok átláthatóságát, b) a közérdekű, illetve közérdekből nyilvános adatok megismerhetőségét és a személyes, illetve a jogszabályokban védeni rendelt egyéb adatok védelmét, c) az informatikai biztonságot, ideértve az elektronikus irat sértetlenségének, megváltoztathatatlanságának biztosítását, az erre szolgáló elektronikus aláírási technológia alkalmazhatóságát, d) az informatikai rendszerekkel való együttműködés követelményeinek érvényesülését, e) az üzemeltetés folytonosságát, f) az egyenlő bánásmód követelményének érvényesítését. A törvény hatálya alá tartoznak az önkormányzatok és a közüzemi szolgáltatók is!

Biztonsági alapelvek személyi profil nem képezhető (technikailag kell biztosítani) azonosítás (tudás alapú; birtoklás alapú; tulajdonság alapú); illetve magas, közepes vagy alacsony biztonsági szinten a magas szint esetén előírás két egymástól független azonosítási módszer – az egyiknek tudás alapúnak kell lennie közepes szint: azonosító és egyszer használatos jelszó (amelyet az internettől független csatornán kell eljuttatni); alacsony szint: a jelenleginek megfelelő ügyfélkapus azonosító és jelszó Távolról történő ügyintézés esetén az előírás általában az alacsony biztonsági szint nem képezhető univerzálisan használható azonosító kód az elektronikus közszolgáltatást nyújtónak kell biztosítania (többek között) az informatikai és kommunikációs rendszerek biztonságos működésének feltételeit; az adatok védelmét a jogosulatlan hozzáféréstől, módosítástól, törléstől, megsemmisüléstől; a személyes adatok védelméhez fűződő jog érvényesülését

Üzemeltetési alapelvek kizárólag olyan informatikai és kommunikációs rendszer alkalmazható, amely biztosítja a szolgáltatásokat igénybe vevőkkel való biztonságos kapcsolatot, annak elérhetőségét a szolgáltatás nyújtásához kizárólag olyan, megbízható és tanúsított informatikai rendszerek és termékek használhatók, amelyek lehetővé teszik a hiteles iratcserét, biztosítják az elektronikus iratok sértetlenségét és védettségét, valamint az informatikai rendszerekben tárolt adatok hiteles archiválását az elektronikus közszolgáltatások hitelessége, minősége, üzembiztonsága és a kezelt adatok biztonsága érdekében a központi rendszer részét képező, illetve ahhoz csatlakozó rendszerek egységes biztonsági, valamint a rendszerek együttes működését biztosítani képes szabályok szerint működnek A követelmények teljesülését a Nemzeti Hírközlési Hatóság (NHH) regisztrálja

Vhr. a működtetésről 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről közigazgatási hatóság az elektronikus kapcsolattartás során - törvény eltérő rendelkezése hiányában - kizárólag a központi rendszer azonosítási szolgáltatását veheti igénybe a központi rendszerhez csatlakozni csak az előírt biztonsági feltételek teljesülése esetén lehet A jelenleg elektronikus közszolgáltatást nyújtó rendszereknek az e rendelet szerinti együttműködési feltételeknek december 31-ig kell megfelelniük az elektronikus közszolgáltatás biztonságáról szóló kormányrendelet szerinti auditálással együtt

Vhr. a biztonságról 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról Legfontosabb részei: Az informatikai biztonsági felügyelő feladatai, hatás- és jogköre A Nemzeti Hálózatbiztonsági Központ Az e-közszolgáltatások értékelése és auditja Alapkövetelmények: A központi rendszer a kritikus infrastruktúra része, védelmét a kritikus infrastruktúrára vonatkozó, nemzetközileg kialakult biztonsági követelményeknek megfelelően kell kialakítani A rendszernek biztosítania kell: a törvényes adatkezelés, a bizalmasság,a sértetlenség, a rendelkezésre állás, valamint a folytonos és a kockázatokkal arányos védelem elvét Elektronikus közszolgáltatás csak az Ekszt. 30. §-ában rögzített tanúsítás megléte, és annak bejelentése esetén folytatható (biztonságos informatikai rendszer)

Informatikai biztonsági felügyelő Az elektronikus közszolgáltatást nyújtó rendszerek informatikai biztonságának felügyeletét a közigazgatási informatikáért felelős miniszter (a továbbiakban: miniszter) látja el. A miniszter a feladat ellátására az irányítása alá tartozó informatikai biztonsági felügyelőt jelöl ki. Az informatikai biztonsági felügyelő ellenőrzi az elektronikus közszolgáltatást nyújtó rendszerek eljárási és biztonsági követelményeknek való megfelelőségét Az informatikai biztonsági felügyelő hatásköre a központi rendszer működtetőjére, adatkezelőjére, üzemeltetőjére, az elektronikus közszolgáltatást nyújtó szervezetek, valamint a számukra a rendszer üzemeltetéséhez szolgáltatást nyújtó szervezetek informatikai biztonsággal összefüggő tevékenységére terjed ki

1.Jóváhagyja a biztonsági irányelvet, szabályzatot és eljárásrendet (kiemelt kockázatot jelentő - azaz adatvesztés, vagy adatokhoz való jogosulatlan hozzáférés veszélyét felvető - hiányosság esetén a szolgáltatást azonnal felfüggeszti!) 2.Ajánlásokat ad ki (Közigazgatási Informatikai Bizottság ajánlásai keretében) 3.Ellenőrzi az eljárási és biztonsági követelményeknek való megfelelőséget, a biztonságirányítási rendszer működtetésének megvalósítását 4.Véleményezi az eljárási cselekmények biztonsági osztályba sorolását 5.Állást foglal a Központi Rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról. 6.Jelentések fogadása: Az üzemeltető szervezet félévente tájékoztatást nyújt az informatikai biztonsági eljárásrendek működéséről; I. és II. kategóriájú biztonsági esemény esetén haladéktalanul jelentést tesz az informatikai biztonsági felügyelőnek 7.Vizsgálat: Biztonsági esemény esetén az okok és következmények feltárása érdekében lefolytatja a vizsgálatot 8.Beavatkozás: Az eljárási és biztonsági követelmények nem teljesülése esetén felhívja a hatóságot, a jogszabályban foglaltak szerinti működés helyreállítására Az informatikai biztonsági felügyelő feladatai, hatás- és jogköre

Nemzeti Hálózatbiztonsági Központ A kormány a magyar kritikus információs infrastruktúrák védelme, valamint a központi rendszeren megvalósuló kommunikáció biztonsága, a vírus- és más támadások káros hatásainak korlátozása érdekében nemzetközi együttműködéssel hálózatbiztonsági központot működtet. A Központ a miniszter felügyelete alatt áll, működését az informatikai biztonsági felügyelő ellenőrzi A Központ évente jelentést készít tevékenységéről, a potenciális veszélyforrásokról és elhárításuk lehetőségeiről A Központ nemzetközi hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmére szakosodott szervezetekben tagsággal rendelkező, akkreditált szervezet, mely védi a központi rendszer szolgáltatásait az interneten keresztül érkező támadások ellen.

A Nemzeti Hálózatbiztonsági Központ Feladatai: Technikai védelmi, megelőző és felvilágosító tevékenységet végez, továbbá képviseli Magyarországot a nemzetközi hálózatbiztonsági és kritikus információs infrastruktúrák védelmére szakosodott együttműködési fórumokon és szervezetekben. A magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúravédelmi szervezetek felé magyar Nemzeti Kapcsolati Pontként (NKP), kormányzati számítástechnikai sürgősségi reagáló egységként (kormányzati CERT) működik, folyamatos rendelkezésre állással;

Nemzeti Kapcsolati Pont (NKP) feladatai A Nemzeti Hálózatbiztonsági Központ, mint Nemzeti Kapcsolati Pont (NKP) feladatai: Ellátja a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé az internetet támadási csatornaként felhasználó beavatkozások kezelését és elhárításának koordinálását; Kezeli a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé a felismert és publikált szoftver sérülékenységeket, a tudomására jutott szoftver sérülékenységeket honlapján, magyar nyelven publikálja, illetve a nemzetközi hálózat felé biztosítja a magyar szoftver-sérülékenységekről az angol nyelvű információt;

A Nemzeti Hálózatbiztonsági Központ tevékenységei oktatási anyagokat dolgoz ki és tréningeket tart, felvilágosító, szemléletformáló kampányokat szervez, továbbá a tudatosságot növelő honlapot alakít ki és tart fenn az interneten; együttműködik a magyar informatikai és hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmében érintett bűnüldöző szervekkel, akadémiai és iparági szereplőkkel, ennek keretében gyakorlatokat tart és munkacsoportokat működtet, illetve azokban részt vesz.

Dokumentáltsági követelmények Minimum informatikai biztonsági követelmények: rendelkezni kell üzemeltetési, valamint informatikai biztonsági szabályzatokkal; üzletmenet-folytonossági, katasztrófaelhárítási tervvel kell rendelkezni; a tárolt és kezelt adatok biztonsága érdekében az elektronikus szolgáltatásra vonatkozóan szolgáltatásműködési szabályzatot kell készíteni; az informatikai rendszerben forgalmazott adatok illetéktelen személy által történő megismerhetőségének megakadályozását elektronikus úton kell biztosítani az adatok keletkezési helyétől azok végső tárolási helyéig bezárólag, beleértve az adatok nyilvános hálózaton történő forgalmazását is; az elektronikus közszolgáltatás informatikai rendszereinek (alrendszereinek) módosítása előzetesen jóváhagyott változáskezelési szabályzat alapján, az abban foglalt eljárásrend betartásával állítható éles üzembe A működtető köteles az elektronikus közszolgáltatást informatikai biztonsági szempontból auditáltatni, illetőleg üzemeltető köteles az elektronikus közszolgáltatáshoz kapcsolódó informatikai rendszert és háttérrendszert informatikai biztonsági szempontból értékeltetni

A 223/2009. Vhr. további részei A folyamatok naplózása; A mentés és archiválás rendje; A felhasználók problémáinak kezelése; Az üzemeltetés kiszervezésével kapcsolatos speciális követelmények; Alkalmazásszolgáltató központokra vonatkozó speciális követelmények; Az elektronikus kormányzati gerinchálózat speciális biztonsági követelményei; A központi elektronikus szolgáltató rendszer biztonsági alapdokumentumai.

Köszönöm a figyelmet!