Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

Információbiztonság irányítása
Az elektronikus közigazgatási rendszerek biztonsága
1 ENCASIA – A KBSZ részvétele a Hálózat munkájában KBSZ SZAKMAI FÓRUM - LÉGIKÖZLEKEDÉS Budapest, dr. Becske Loránd főigazgató.
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Felsőfokú egészségügyi oklevelek elismerése
Nagy Zoltán Attila CISM
Az Ibtv. civil-szakmai támogatása
A kritikus infrastruktúra védelem nemzetközi háttere és a magyar nemzeti program kialakítása, az ebből fakadó szakmai feladatok Balatonföldvár, március.
Információbiztonság a Magyar Köztársaság közigazgatásában dr
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
NAPII. - mikrogazdaság Jobbágy Valér GKM. Iránymutatások - mikrogazdaság Tudással és innovációval a növekedésért 7. A K+F célú beruházások növelése és.
A közérdekű bejelentők védelmére vonatkozó új szabályozás Budapest, január 18. Dr. Klotz Péter antikorrupciós szakértő Közigazgatás-fejlesztési és.
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
Polgári védelmi feladatok a nem rendszeres hulladékszállítás során
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
Szabványok és ajánlások az informatikai biztonság területén
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
MTA Statisztikai és Jövőkutatási Tudományos Bizottsága
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
Munkahelyi egészség és biztonság
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
dr. Nagy Ádám főosztályvezető Ipari és Építésgazdasági Főosztály
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
SZEREPLŐK ÉS FELELŐSSÉGEK A SZAKKÉPZÉSI RENDSZERBEN MÁV KONFERENCIA
Budapest, október 01. A magyarországi kutatás-fejlesztés nemzetbiztonsági vetületei.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
„Kiberbiztonság és az LRL IBEK”
A tűz-, a polgári- és a katasztrófavédelem kérdései Hoffmann Imre tű. ddtbk. Hatósági Főigazgató-helyettes.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Szakképzési közfeladatok a Kamarában
A BEJELENTŐ-VÉDELEM HELYE ÉS SZEREPE AZ OMBUDSMANI TEVÉKENYSÉGBEN
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
77/ Követelmények és a gyakorlat
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
avagy a zártság dilemmái
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
Az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvény tervezete
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Nemzeti Energetikusi Hálózat
A környezet védelmének általános szabályairól szóló évi LIII. tv.
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr
Keringer Zsolt osztályvezető
Az informatikai biztonság irányításának követelményrendszere (IBIK)
A hivatalos statisztikáról szóló évi CLV. törvény bemutatása Dr
Megjelent a végrehajtási rendelet!
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
Nagyobb biztonság vagy több adminisztráció? - Górcső alatt a GDPR
prezentációja A bemutató és annak tartalma a HT ZRT szellemi terméke!
Kárelhárítás Zöldi Irma OVF.
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Előadás másolata:

Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

KIBERVÉDELEM KRITIKUS INFORMÁCIÓS INFRASTRUKTÚRÁK VÉDELME ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK VÉDELME kibervédelem ?

Az információvédelem igénye Magyarország Alaptörvényének 26. cikkében, a minősített adat védelméről szóló évi CLV. törvényben és végrehajtási rendeleteiben, valamint megállapodásokban, az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvényben, a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről szóló évi CLVII. törvényben és végrehajtási rendeletében, a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló évi CXL. törvényben és végrehajtási rendeleteiben, a hitelintézetekről és a pénzügyi vállalkozásokról szóló évi CXII. törvény 13/C. §-ában, a Büntető Törvénykönyvről szóló évi C. törvény 375. § és §-aiban, a kormányzati célú hálózatokról szóló 346/2010. (XII. 28.) Korm. rendeletben, …

Nemzeti Biztonsági Stratégia Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012 (II.21.) kormányhatározat 31. pontja előírja az elektronikus információs rendszerek biztonságának erősítését, és ennek révén a létfontosságú nemzeti információs infrastruktúra védelmének fokozását, továbbá a megfelelő szintű kibervédelem kialakítását.

best practice A törvény elkészítésénél a legjobb szakmai gyakorlatot, szabványokat és ajánlások kerültek felhasználásra. Ezt a végrehajtási rendeletek készítésénél is szeretnénk folytatni COBIT, ISO 27xxx, NIST SP-800 IFIP 199/200

2008 A Közigazgatási Informatikai Bizottság 25. számú ajánlásai (MIBA): MIBIK MIBÉTS IBIX

Információvédelem? személyi védelem elhárítás dokumentumvédelem fizikai védelem elektronikus információvédelem INFORMÁCIÓVÉDELEM

elektronikus információs rendszer 1. § (2) E törvény alkalmazásában elektronikus információs rendszer az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese

elektronikus információs rendszer a)számítástechnikai rendszerek és hálózatok; b)helyhez kötött, mobil és egyéb rádiófrekvenciás, valamint műholdas elektronikus hírközlési hálózatok, szolgáltatások; x)vezetékes, a rádiófrekvenciás és műholdas műsorszórás; c)rádiós vagy műholdas navigáció; d)automatizálási, vezérlési és ellenőrzési rendszerek (vezérlő és adatgyűjtő, távmérő, távérzékelő és telemetriai rendszerek, stb.); e)a fentiek felderítéséhez, lehallgatásához vagy zavarásához használható rendszerek.

A 2. § (1) bekezdésben felsorolt szervezetek és az azok számára adatkezelést, végzők (s a (2) a) ) elektronikus információs rendszerei információvédelem A nemzeti adatvagyont kezelő szervezetek (2. § (2) b)) elektronikus információs rendszerei A létfontosságú információs infrastruktúrák (2. § (2) c)) elektronikus információs rendszerei

el. inf. rendszer biztonsága 5. § Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

el. inf. rendszer biztonsága 6. § Az elektronikus információs rendszernek az 5. §- ban meghatározott feltételeknek megfelelő védelme körében a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a) a megelőzést és a korai figyelmeztetést, b) az észlelést, c) a reagálást, d) a biztonsági események kezelését.

biztonsági osztályba sorolás 7-8. § Az egyes elektronikus információs rendszerek biztonsági osztályokba legyenek sorolva a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából.

Nem a kormány álláspontja! A vonatkozó vhr. egyeztetés alatt áll!

biztonsági osztályba sorolás Az elektronikus információs rendszerek biztonsági osztályba sorolását kockázatelemzés alapján kell elvégezni, és azt a szervezet vezetője hagyja jóvá. Az osztályba sorolást megelőző kockázatelemzés során ajánlott nemzetközi vagy hazai szabványok, ajánlások, legjobb gyakorlatok figyelembe vétele.

biztonsági osztályba sorolás A kockázatelemezés alapját az adatok és az adott információs rendszer jellegéből kiindulva A … bizalmasság, sértetlenség és rendelkezésre állás sérüléséből, elvesztéséből bekövetkező kár nagysága; illetve a kár bekövetkezésének becsült valószínűsége képzi.

biztonsági osztályba sorolás A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárérték, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárnagyságot kell, vagy lehet figyelembe venni, a szervezet döntésétől függően.

biztonsági osztályba sorolás minősített adatok bizalmasságának elvesztése (???); társadalmi-politikai, illetve a jog sérüléséből adódó hatások; személyeket, csoportokat érintő károk; közvetlen anyagi károk; közvetett anyagi károk.

biztonsági osztályba sorolás Az Ibtv. szerint a besorolás elvégzése az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek: 1. Csak jelentéktelen káresemény, 2. Csekély káresemény, 3. Közepes káresemény, 4. Nagy káresemény, 5. Kiemelkedően nagy káresemény következhet be.

biztonsági előírások NIST SP rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations Updated with Errata page May 7, 2013

biztonsági osztályba sorolás

szervezeti biztonsági szint § A biztonsági szintek a szervezeteknek a biztonsági problémák megoldására, kezelésére való felkészültségét, érettségét határozhatják meg.

Nem a kormány álláspontja! A vonatkozó vhr. egyeztetés alatt áll! COBIT 4.1 DS5 érettségi modell

biztonsági szintbe sorolás A szervezet biztonsági szintjét – az Ibtv 9.§ (2) pontja mellett - meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezetek biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos, vagy magasabb besorolású, de a szervezettől függően legalább az Ibtv. 9.§ (2) pontja szerinti. A tv. 9.§ (4) pontja szerint indokolt esetben a reá vonatkozónál alacsonyabb biztonsági szint is megállapítható.

biztonsági szintbe sorolás A szervezet biztonsági szintje 1. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 1. biztonsági osztálynál magasabb besorolású rendszer, és a szervezet vezetői döntése alapján elfogadható az, hogy az elektronikus információbiztonsági folyamatai kezdeti, ad hoc jellegűek, azaz … A szervezet biztonsági szintje 2. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 2. biztonsági osztálynál magasabb besorolású rendszer, és a szervezet vezetői döntése alapján elfogadható az, hogy a szervezet informatikai folyamatai részben szabályozottak, azaz …

biztonsági szintbe sorolás A szervezet biztonsági szintje 3. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 3. biztonsági osztálynál magasabb besorolású rendszer, és a szervezet vezetői döntése alapján elvárt, hogy a szervezet elektronikus információbiztonsági folyamatai jól szabályozottak legyenek, a folyamatokat dokumentálják és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedésekkel támogassák, azaz …

biztonsági szintbe sorolás A szervezet biztonsági szintje 4. ha a szervezet által működtetett elektronikus információs rendszerek esetén nincs 4. biztonsági osztálynál magasabb besorolású rendszer, valamint a szervezet vezetői döntése alapján elvárt, hogy a szervezet elektronikus információbiztonsági folyamatai irányítottak és mérhetőek legyenek, azaz … A szervezet biztonsági szintje 5. ha a szervezet által működtetett elektronikus információs rendszerek esetén van 5. biztonsági osztályú besorolású rendszer, valamint a szervezet vezetői döntése alapján elvárt, hogy a szervezet elektronikus információbiztonsági folyamatai optimalizáltak legyenek, a máshol már bevált gyakorlatokat kövessék, és azokat automatizálják, azaz …

költségminimalizálás A szervezési, szabályozási módszerek használata, Javaslat a biztonsági osztályok és a biztonsági színt tekintetében a fokozatos bevezetésére.

megelőzés A szervezetek és vezetőik legfontosabb feladatai A megelőzés lehetőségeinek javítása miatt nagy hangsúlyt kap a szabályozás, illetve a biztonságtudatosság növelése, az oktatás-képzés.

A szervezet vezetője 11. § (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről … Mindenért felelős Mindenért felelős! A felelőssége nem átruházható!

biztonsági felelős Az elektronikus információs rendszer biztonságáért felelős személyt KELL kijelölni! Felsőfokú végzettség és szakképzettség kötelező. CISM (és CISA, CRISC), CISSP elfogadható

ellenőrzés hatóság: elsődleges feladata az ellenőrzés. nem közigazgatási szervek esetében bírságolási jog, közigazgatási szervek esetében joga van információbiztonsági gondnok kinevezésre.

ellenőrzés 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról

CERT az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény, valamint a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló évi CLXVI. Törvény alapján

CERT 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről

magas szintű képzés Az információbiztonsági tudatosság növelése a védett az elektronikus információs rendszerek vezetői, informatikai biztonsági vezetői feladatait csak megfelelő szakemberek végezhessék. A vhr. kidolgozás alatt!!!A vhr. kidolgozás alatt!!!

Köszönöm a figyelmet!