Keringer Zsolt osztályvezető E-mail: keringer@szombathely.hu Gyakorlati tapasztalatok Szombathelyen a 2013. évi L. törvény vonatkozásában Keringer Zsolt osztályvezető E-mail: keringer@szombathely.hu Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 5. § Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell: a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét. Ezt figyelembe véve el kellett készítenie a Hivatalnak: Adatvagyonleltárt (mely tartalmazza a kezelt adatok körét és az EIR-eket). Kockázatelemzést Jogalkotó célja: A törvény hatálya alá tartozó szervezetek adatainak bizalmasságát, sértetlenségét, valamint rendelkezésre állásását egy kockázatokkal arányos informatikai védelem övezze. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Szombathely Megyei Jogú Város Polgármesteri Hivatala Fejlett IT infrastruktúra és alkalmazáskörnyezet. Számtalan belső és központi alkalmazás, melyek között merőben eltérő felhasználói jogosultságokkal. A belső alkalmazások egységes kezelése biztosított. A központi alkalmazások pedig önmagukban biztosítják a felhasználói jogosultságok. Sok, több ponton egymáshoz kapcsolódó ügyviteli folyamat. Rengeteg kezelt adat (lakosság ~ 80.000 fő). A belső felmérés eredményeként az átláthatóság, a kezelhetőség, és a törvényi megfelelőség érdekében az alábbi intézkedések megtétele: IBIR támogató szoftver bevezetése – BCM Software: uWe! Tanácsadó bevonása – kancellár.hu Zrt. Miért az uWe?: Az Ibtv. megfelelés támogatásához feltétlen szükséges: Megfelelően paraméterezhető kárérték táblázattal támogassa a kvalitatív kockázatelemzést Biztonsági kritériumokat külön-külön tudja kezelni A kockázatokat elektronikus információs rendszerekhez tudja rendelni Tartalmazza a rendelet követelményeit Szombathely specifikus követelmények: Támogassa egy fejlett BCM kialakítását (BIA, BCP-DRP) Láthatóvá tegye az esetleges változtatások hatásait, ezzel segítve a tervezést CRAMM – modellt támogassa Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
BCM Software - uWe! modell A BCM uWe! Szoftvere az alábbi modellt követi. A Hivatal tevékenységét folyamatonként ábrázolja, melyet elemi lépésekből lehet felépíteni. Azokat az adatokat, amelyeket az adott folyamatok kezelnek, azt valamilyen logikai erőforráson keresztül (alkalmazáson, hálózaton, interfaceken vagy esetleg valamilyen fizikai médián keresztül) érik el. A folyamatokat emberek működtetik (vannak felelősök, résztvevők), továbbá az egyes logikai erőforrásoknak van valamilyen fizikai infrastruktúrája. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Helyzetfelmérés, értékelés 5 szintű kvalitatív kárértéktáblázat Kárértéktáblázat kialakítása tevékenység, folyamatgazda(+ RTO, RPO, kritikus időszak) Folyamatok felmérése B-S-R kárértékelés, adatgazdák Adatvagyon felmérése, értékelése környezeti infrastruktúra, kommunikációs rendszer, hardver, szoftver, adathordozó, emberi erőforrás Támogató erőforrások feltérképezése A Hivatal vezetésével meghatároztuk a Hivatal által kezelt adatok bizalmasságának, sértetlenségének, rendelkezésre állásának sérülése esetén jelentkező lehetséges kárhatásokat és kialakítottunk egy 5 szintű kvalitatív kárérték-táblázatot. Lehetséges kárhatás típusok pl.: jogi károk, személyzeti károk, társadalmi, politikai, humán jellegű károk stb. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Folyamatok felmérése A szakterületekkel folytatott interjúk során meghatároztuk: A szakterületek által végzett folyamatokat és a folyamatgazdákat A folyamatok elemi lépéseit A folyamatokban megjelenő elektronikus információs rendszereket A folyamatokban kezelt adatokat és az adatgazdákat A BCM tervezéshez meghatároztuk az RTO, RPO értékeket, a kritikus időablakokat és a folyamatok leállásának lehetséges kárkövetkezményeit. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Tevékenységek lépései felelős 1. felelős 2. felelős 3. Az egyes területek feladatait folyamatokra, az uWe! terminológiája szerint „tevékenységekre” bontottuk. Az „Üzleti kategória” jelen esetben az adott szakterületet jelenti, akikhez az adott tevékenység tartozik. Az egyes tevékenységek elemi lépésenként rögzíthetőek. Elágazásokat is megadhatunk a folyamatokban, a különböző irányok kiválasztásához feltételrendszert alakíthatunk ki. A szerepkörök és az uWe! modellben említett alkalmazott rétegek elemi lépésenként hozzárendelhetőek a folyamatokhoz. A médiákat, vagyis a fizikai adathordozókat (például papír, CD, pendrive stb) is hozzárendelhetünk az elemi lépésekhez. Az adott elemi lépés más oszlopba kerül, ha változik az elemi lépés felelőse. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Adatvagyon felmérése, kárértékelése Az adatgazdákkal és a szakterületekkel egyeztetve elvégeztük az adatok biztonsági kritériumonkénti kárértékelését a kárérték táblázat segítségével. A Hivatal dolgozói számára idegen volt az ilyen jellegű értékelés végrehajtása, így indokolt volt tanácsadó bevonása. B: Bizalmasságnál az adatok nyilvánosságra kerülésekor S: Sértetlenségnél az adatok módosulásakor R: Rendelkezésre állásnál az adatok elérhetetlenségekor várható kárkövetkezmények kerültek meghatározásra Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Támogató erőforrások feltérképezése A folyamatok ismeretében meghatároztuk a folyamatokat támogató erőforrásokat. Környezeti infrastruktúra Hálózat Hardver Szoftver Emberi erőforrás Adathordozó Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Kockázatelemzés: CRAMM - modell kihasználják A fenyegetések a sebezhetőségeket , ami kárt okoz a , melyek következménye a biztonsági esemény , aminek hatása a vagyontárgyban. van A CRAMM-modellt alkalmaztuk a kvalitatív kockázatelemzéshez, melyet az uWe! rendszer megfelelően támogatott. a tulajdonosra. A Central Computer and Telecommunation Agency (Egyesült Királyság) által kidolgozott kockázatelemzési és kezelési módszertan – CCTA Risk Analysis and Management Method) Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Kockázatelemzés A kancellár.hu segítségével, az Ibtv. alapján meghatároztuk: a szervezetre releváns kockázatokat (melyek kiterjedtek a korábban kialakított logikai modell elemeire (fizikai környezet, EIR, szervezet stb.) a feltárt sérülékenységek és a valós fenyegetések ismeretében az elektronikus információs rendszereket és az azokat érintő kockázatokat, figyelembe véve a modell többi érintett objektumát, a működési környezetet (szoftveres támogatás). a besoroláshoz a kockázatelemzés biztonsági kritériumonként történt követve a 77/2013. (XII. 19.) NFM rendeletben leírtakat. A CRAMM elemzés szerint ott vettük fel az adott sérülékenységeket ahol azok a leginkább jellemzőek. A kockázatelemzés során külön-külön kell figyelembe venni az EIR-ek BSR-ét. 77/2013. (XII. 19.) NFM rendelet 1. mellékletének 1.5. pontjában leírtak: „1.5. A veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárérték szinteknek megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő.” Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Besorolás Biztonsági osztályba sorolás A Hivatal Ibtv. által elvárt biztonsági szintje Biztonsági osztályba sorolás A releváns kockázatok ismeretében megállapítottuk az elektronikus információs rendszerek védelmének elvárt erősségét Az elektronikus információs rendszerek biztonsági osztályának maximuma határozza meg a Hivatal elvárt biztonsági szintjét Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Biztonsági osztályba sorolás Az elektronikus információs rendszerek meghatározásához a felvitt elemekből lehet meghatározni. Lehet egy alkalmazás, de akár több alkalmazás vagy több különböző rétegbeli elem is alkothat egy EIR-t. A kockázatok elektronikus információs rendszerekhez rendelhetőek. Összegyűjti az uWe! az egyes elektronikus információs rendszerekhez kapcsolódó releváns kockázatokat, megjeleníti a kockázati szinteket ( biztonsági kritériumonként), ami alapján a Hivatal el tudja végezni a besorolást. A megjelenített szintektől a biztonsági besorolás eltérhet és az indoklásra is van lehetőség a felületen. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Cselekvési terv Helyzetfelmérés Kockázatelemzés Cselekvési terv Besorolás A helyzetfelmérés és a besorolás alapján a kancellár.hu -val közösen elkészítettük a cselekvési tervet, mely rövid, közép- és hosszú távú adminisztratív, logikai és fizikai védelmi intézkedéseket fogalmaz meg az előírásoknak megfelelően. Az előírásoknak megfelelően a biztonsági szintbe sorolástól számított 1 éven belül az esetlegesen hiányzó első szint teljesítéséhez szükséges adminisztratív intézkedési kiegészítéseket teszi meg a Hivatal a szabályzati rendszerébe, mellyel párhuzamosan került ütemezésre a fizikai, logikai és további adminisztratív biztonságra vonatkozó intézkedések végrehajtása a törvényben meghatározott határidőig. 2015-ben a következő fő feladatokat tervezzük elvégezni: - Szabályzati környezet kialakítása - Intézkedési terv megvalósítása - uWe! rendszer további BCM moduljának bevezetése (BCP/DRP) Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Projekt időtartama Lépés Dátum Közbeszerzési eljárás megindítása 2014.04.30. Szerződéskötés 2014.05.30. Munka megkezdése 2014.06.02. I. ütem 2014.06.30. II. ütem 2014.09.30. Projekt lezárása 2014.10.17. I. Ütem: Üzleti hatáselemzés (BIA) Helyzetfelmérés, jelenlegi biztonsági szint meghatározása Biztonsági osztályba sorolás II. ütem: Cselekvési terv elkészítése Informatikai Biztonsági Szabályzat aktualizálása Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu
Köszönöm megtisztelő figyelmüket! Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu