Keringer Zsolt osztályvezető

Slides:



Advertisements
Hasonló előadás
A veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezés szabályai (Seveso II.) - polgármesterek felkészítése Lakossági tájékoztatás A lakosság.
Advertisements

Információbiztonság irányítása
Az elektronikus közigazgatási rendszerek biztonsága
RCH, mint karbantartásért felelős szervezet (ECM) kapcsolatrendszere
Információbiztonság vs. informatikai biztonság?
AZ INFORMATIKAI BIZTONSÁG
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
A kritikus infrastruktúra biztonsági aspektusai a MOL-nál
DOKUMENTUMKEZELÉS.
Baranya Megyei Önkormányzat
A 100%-os helyszíni ellenőrzés koncepciója
A Stratégiai Környezeti Vizsgálat (SKV) szerepe a gazdasági tervezésben Dr. Fogarassy Csaba egyetemi docens.
Fejlesztési, stratégiai útmutató
Szervezetfejlesztési Program
Konzulens: Dr. Boda György Készítette: Kovács Katalin
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
Az IKTA/ számú pályázat alapján: Ügyfélbarát ügyintézést támogató informatikai rendszer prototípusának kialakítása (Elektronikus Polgármesteri.
Szabványok és ajánlások az informatikai biztonság területén
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A települések polgári védelmi sorolásának szabályai Jogszabályi háttér § §114/1995. (IX. 27.) Korm. rendelet a települések polgári védelmi besorolásának.
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
Környezetközpontú irányítása rendszerek MSZ14001.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Tájékoztatás a polgármesterek katasztrófavédelmi feladatairól
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
Miért szükséges? Önkormányzati feladatok irányításának alapköve Kinek és miért hasznos? Képviselőtestületek és bizottságai Polgármester Polgármesteri hivatal.
KÖZÖS MÓDSZERTANI KERETEK KIALAKÍTÁSA A MAGYARORSZÁG-SZERBIA IPA HATÁRON ÁTNYÚLÓ EGYÜTTMŰKÖDÉSI PROGRAM HÁTRÁNYOS HELYZETŰ TÉRSÉGEINEK KOMPLEX ÉS INTEGRÁLT.
A vis maior esemény bekövetkezését követően az érintett Önkormányzatnak 5 munkanap áll rendelkezésére, hogy azt bejelentse az ebr42 rendszeren, valamint.
Projekt eredményeinek disszeminációja – 2. és 12. fejlesztési elem ÁROP- 1.A „Szervezetfejlesztés a konvergencia régióban lévő önkormányzatok számára”
2014. június 12. Lackó Péter Clarity
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Közigazgatás- technológiai kérdések Dr. Budai Balázs Benjámin.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
77/ Követelmények és a gyakorlat
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
A REND a biztonság alapja az informatikában IS! Informatikai Szolgáltatás Vizsgálata, Értékelése (COBIT tudásbázis alapján)
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Kiskőrös Város Polgármesteri Hivatalának Szervezetfejlesztése 4Sales Systems Államreform Operatív Program (ÁROP) 1.2.A.
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN Structured Systems Analysis and Design Method.
1 Szervezet és minőség 2. előadás 1. 2 Az előadás tartalmi elemei Alapfogalmak A minőségfejlesztés jogszabályi háttere Minőségfejlesztési megközelítések.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
A helyi identitás és kohézió erősítése TOP TOP
A MINŐSÉGFEJLESZTÉSI TERÜLET TERVEI 2008
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
SZÖM II. Fejlesztési szint folyamata 5.1. előadás
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Önértékelési projektterv
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Előzetes piaci konzultáció
Az adatforrásokról és aktualizálási rendjéről
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL ÖNÉRTÉKELÉSI SZINTEK
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Biztonság és GDPR kancellar.hu
Az SZMBK Intézményi Modell
Előadás másolata:

Keringer Zsolt osztályvezető E-mail: keringer@szombathely.hu Gyakorlati tapasztalatok Szombathelyen a 2013. évi L. törvény vonatkozásában Keringer Zsolt osztályvezető E-mail: keringer@szombathely.hu Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 5. § Az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell: a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét. Ezt figyelembe véve el kellett készítenie a Hivatalnak: Adatvagyonleltárt (mely tartalmazza a kezelt adatok körét és az EIR-eket). Kockázatelemzést Jogalkotó célja: A törvény hatálya alá tartozó szervezetek adatainak bizalmasságát, sértetlenségét, valamint rendelkezésre állásását egy kockázatokkal arányos informatikai védelem övezze. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Szombathely Megyei Jogú Város Polgármesteri Hivatala Fejlett IT infrastruktúra és alkalmazáskörnyezet. Számtalan belső és központi alkalmazás, melyek között merőben eltérő felhasználói jogosultságokkal. A belső alkalmazások egységes kezelése biztosított. A központi alkalmazások pedig önmagukban biztosítják a felhasználói jogosultságok. Sok, több ponton egymáshoz kapcsolódó ügyviteli folyamat. Rengeteg kezelt adat (lakosság ~ 80.000 fő). A belső felmérés eredményeként az átláthatóság, a kezelhetőség, és a törvényi megfelelőség érdekében az alábbi intézkedések megtétele: IBIR támogató szoftver bevezetése – BCM Software: uWe! Tanácsadó bevonása – kancellár.hu Zrt. Miért az uWe?: Az Ibtv. megfelelés támogatásához feltétlen szükséges: Megfelelően paraméterezhető kárérték táblázattal támogassa a kvalitatív kockázatelemzést Biztonsági kritériumokat külön-külön tudja kezelni A kockázatokat elektronikus információs rendszerekhez tudja rendelni Tartalmazza a rendelet követelményeit Szombathely specifikus követelmények: Támogassa egy fejlett BCM kialakítását (BIA, BCP-DRP) Láthatóvá tegye az esetleges változtatások hatásait, ezzel segítve a tervezést CRAMM – modellt támogassa Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

BCM Software - uWe! modell A BCM uWe! Szoftvere az alábbi modellt követi. A Hivatal tevékenységét folyamatonként ábrázolja, melyet elemi lépésekből lehet felépíteni. Azokat az adatokat, amelyeket az adott folyamatok kezelnek, azt valamilyen logikai erőforráson keresztül (alkalmazáson, hálózaton, interfaceken vagy esetleg valamilyen fizikai médián keresztül) érik el. A folyamatokat emberek működtetik (vannak felelősök, résztvevők), továbbá az egyes logikai erőforrásoknak van valamilyen fizikai infrastruktúrája. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Helyzetfelmérés, értékelés 5 szintű kvalitatív kárértéktáblázat Kárértéktáblázat kialakítása tevékenység, folyamatgazda(+ RTO, RPO, kritikus időszak) Folyamatok felmérése B-S-R kárértékelés, adatgazdák Adatvagyon felmérése, értékelése környezeti infrastruktúra, kommunikációs rendszer, hardver, szoftver, adathordozó, emberi erőforrás Támogató erőforrások feltérképezése A Hivatal vezetésével meghatároztuk a Hivatal által kezelt adatok bizalmasságának, sértetlenségének, rendelkezésre állásának sérülése esetén jelentkező lehetséges kárhatásokat és kialakítottunk egy 5 szintű kvalitatív kárérték-táblázatot. Lehetséges kárhatás típusok pl.: jogi károk, személyzeti károk, társadalmi, politikai, humán jellegű károk stb. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Folyamatok felmérése A szakterületekkel folytatott interjúk során meghatároztuk: A szakterületek által végzett folyamatokat és a folyamatgazdákat A folyamatok elemi lépéseit A folyamatokban megjelenő elektronikus információs rendszereket A folyamatokban kezelt adatokat és az adatgazdákat A BCM tervezéshez meghatároztuk az RTO, RPO értékeket, a kritikus időablakokat és a folyamatok leállásának lehetséges kárkövetkezményeit. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Tevékenységek lépései felelős 1. felelős 2. felelős 3. Az egyes területek feladatait folyamatokra, az uWe! terminológiája szerint „tevékenységekre” bontottuk. Az „Üzleti kategória” jelen esetben az adott szakterületet jelenti, akikhez az adott tevékenység tartozik. Az egyes tevékenységek elemi lépésenként rögzíthetőek. Elágazásokat is megadhatunk a folyamatokban, a különböző irányok kiválasztásához feltételrendszert alakíthatunk ki. A szerepkörök és az uWe! modellben említett alkalmazott rétegek elemi lépésenként hozzárendelhetőek a folyamatokhoz. A médiákat, vagyis a fizikai adathordozókat (például papír, CD, pendrive stb) is hozzárendelhetünk az elemi lépésekhez. Az adott elemi lépés más oszlopba kerül, ha változik az elemi lépés felelőse. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Adatvagyon felmérése, kárértékelése Az adatgazdákkal és a szakterületekkel egyeztetve elvégeztük az adatok biztonsági kritériumonkénti kárértékelését a kárérték táblázat segítségével. A Hivatal dolgozói számára idegen volt az ilyen jellegű értékelés végrehajtása, így indokolt volt tanácsadó bevonása. B: Bizalmasságnál az adatok nyilvánosságra kerülésekor S: Sértetlenségnél az adatok módosulásakor R: Rendelkezésre állásnál az adatok elérhetetlenségekor várható kárkövetkezmények kerültek meghatározásra Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Támogató erőforrások feltérképezése A folyamatok ismeretében meghatároztuk a folyamatokat támogató erőforrásokat. Környezeti infrastruktúra Hálózat Hardver Szoftver Emberi erőforrás Adathordozó Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Kockázatelemzés: CRAMM - modell kihasználják A fenyegetések a sebezhetőségeket , ami kárt okoz a , melyek következménye a biztonsági esemény , aminek hatása a vagyontárgyban. van A CRAMM-modellt alkalmaztuk a kvalitatív kockázatelemzéshez, melyet az uWe! rendszer megfelelően támogatott. a tulajdonosra. A Central Computer and Telecommunation Agency (Egyesült Királyság) által kidolgozott kockázatelemzési és kezelési módszertan – CCTA Risk Analysis and Management Method) Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Kockázatelemzés A kancellár.hu segítségével, az Ibtv. alapján meghatároztuk: a szervezetre releváns kockázatokat (melyek kiterjedtek a korábban kialakított logikai modell elemeire (fizikai környezet, EIR, szervezet stb.) a feltárt sérülékenységek és a valós fenyegetések ismeretében az elektronikus információs rendszereket és az azokat érintő kockázatokat, figyelembe véve a modell többi érintett objektumát, a működési környezetet (szoftveres támogatás). a besoroláshoz a kockázatelemzés biztonsági kritériumonként történt követve a 77/2013. (XII. 19.) NFM rendeletben leírtakat. A CRAMM elemzés szerint ott vettük fel az adott sérülékenységeket ahol azok a leginkább jellemzőek. A kockázatelemzés során külön-külön kell figyelembe venni az EIR-ek BSR-ét. 77/2013. (XII. 19.) NFM rendelet 1. mellékletének 1.5. pontjában leírtak: „1.5. A veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárérték szinteknek megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő.” Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Besorolás Biztonsági osztályba sorolás A Hivatal Ibtv. által elvárt biztonsági szintje Biztonsági osztályba sorolás A releváns kockázatok ismeretében megállapítottuk az elektronikus információs rendszerek védelmének elvárt erősségét Az elektronikus információs rendszerek biztonsági osztályának maximuma határozza meg a Hivatal elvárt biztonsági szintjét Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Biztonsági osztályba sorolás Az elektronikus információs rendszerek meghatározásához a felvitt elemekből lehet meghatározni. Lehet egy alkalmazás, de akár több alkalmazás vagy több különböző rétegbeli elem is alkothat egy EIR-t. A kockázatok elektronikus információs rendszerekhez rendelhetőek. Összegyűjti az uWe! az egyes elektronikus információs rendszerekhez kapcsolódó releváns kockázatokat, megjeleníti a kockázati szinteket ( biztonsági kritériumonként), ami alapján a Hivatal el tudja végezni a besorolást. A megjelenített szintektől a biztonsági besorolás eltérhet és az indoklásra is van lehetőség a felületen. Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Cselekvési terv Helyzetfelmérés Kockázatelemzés Cselekvési terv Besorolás A helyzetfelmérés és a besorolás alapján a kancellár.hu -val közösen elkészítettük a cselekvési tervet, mely rövid, közép- és hosszú távú adminisztratív, logikai és fizikai védelmi intézkedéseket fogalmaz meg az előírásoknak megfelelően. Az előírásoknak megfelelően a biztonsági szintbe sorolástól számított 1 éven belül az esetlegesen hiányzó első szint teljesítéséhez szükséges adminisztratív intézkedési kiegészítéseket teszi meg a Hivatal a szabályzati rendszerébe, mellyel párhuzamosan került ütemezésre a fizikai, logikai és további adminisztratív biztonságra vonatkozó intézkedések végrehajtása a törvényben meghatározott határidőig. 2015-ben a következő fő feladatokat tervezzük elvégezni: - Szabályzati környezet kialakítása - Intézkedési terv megvalósítása - uWe! rendszer további BCM moduljának bevezetése (BCP/DRP) Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Projekt időtartama Lépés Dátum Közbeszerzési eljárás megindítása 2014.04.30. Szerződéskötés 2014.05.30. Munka megkezdése 2014.06.02. I. ütem 2014.06.30. II. ütem 2014.09.30. Projekt lezárása 2014.10.17. I. Ütem: Üzleti hatáselemzés (BIA) Helyzetfelmérés, jelenlegi biztonsági szint meghatározása Biztonsági osztályba sorolás II. ütem: Cselekvési terv elkészítése Informatikai Biztonsági Szabályzat aktualizálása Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu

Köszönöm megtisztelő figyelmüket! Szombathely Megyei Jogú Város Önkormányzata Ÿ Telefon: +36 94 / 520-100 Ÿ Honlap: http://www.szombathely.hu