A magyar elektronikus közigazgatás biztonsága Krasznay Csaba doktorandusz Zrínyi Miklós Nemzetvédelmi Egyetem.

Slides:



Advertisements
Hasonló előadás
A veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezés szabályai (Seveso II.) - polgármesterek felkészítése Lakossági tájékoztatás A lakosság.
Advertisements

Korrupció az igazságszolgáltatásban és a bűnmegelőzésben Állami szereplők és a korrupció „Kormányzati válaszok” Sántha György, dr. IRM Miniszteri Kabinet.
A rendvédelmi szervek helye a kibervédelemben
Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Az információbiztonság
Az új Pmt. alkalmazásának gyakorlati tapasztalatai és az ebből fakadó felügyeleti feladatok Kriminálexpo április 16. Kérdő Gyula PSZÁF.
Humán rendszerek, közszféra
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
Technológiai fejlesztés a hatékony ellátás szolgálatában
A polgári védelmi tervezés Jogszabályi háttér § §1949. évi XX. törvény a Magyar Köztársaság Alkotmánya § §1996. évi XXXVII. törvény a polgári védelemről.
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
Információbiztonság a Magyar Köztársaság közigazgatásában dr
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Kulturális értékek digitalizálása az Új Magyarország Fejlesztési Terv keretében Dippold Péter.
Verseny Versenyfelügyelet az egészségügyben és a kapcsolódó piacokon Torjákné Amberger Teréz Gazdasági Versenyhivatal – Versenypolitikai Iroda január.
A kormányzat és a civil szervezetek kapcsolata Dr. Latorcai Csaba helyettes államtitkár.
MNB Statisztika A külső finanszírozási igény/képesség változása
Az évi LXV. törvény a helyi önkormányzatokról
Európai Mezőgazdasági és Vidékfejlesztési Alapból (EMVA) támogatott kérelmekhez kapcsolódó adatszolgáltatási kötelezettség oktatása február 2.-5.
AaAa ÚJ MAGYARORSZÁG VIDÉKFEJLESZTÉSI PROGRAM Monitoring és értékelés.
Szervezetfejlesztési Program ÁROP November 12. Teljesítménymenedzsment fejlesztési módszertan Előadó: Tóth Dorottya.
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
Budapest, december 9. 1 A könyvvizsgálói közfelügyelet szerepe és a Közfelügyeleti Bizottság tevékenysége ben Fekete Imréné.
TÁMOP szakmai támogatás Educatio Nonprofit Kft
Az e-közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben Krasznay Csaba.
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A fogyasztóvédelmi társadalmi szervezetek működésének tapasztalatai Dr. Eitmann Norbert, elnök Közép-Magyarországi Fogyasztóvédelmi Egyesület június.
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
A Neumann Kht. a kreatív iparágak szolgálatában Mátrai Julianna Pályázati szakértő Neumann János Digitális Könyvtár és Multimédia Központ Kht november.
Magyar Controlling Egyesület Szolnok, október 29. MCE Konferencia 2009 A controlling gyakorlata Bepillantás az államigazgatási kontrolling gyakorlatába.
A Magyar Távmunka Szövetség céljai, törekvései Dr. Horváth Elek elnök III. Országos Távmunka Konferencia Budapest,
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Az NFT társadalmi egyeztetése civil szemszögből Civilek a Nemzeti Fejlesztési Terv Nyilvánosságáért - CNNy Pécs, március 23.
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
MUTATVÁNYOS BERENDEZÉSEK PIACFELÜGYELETI ELLENŐRZÉSE
főigazgató-helyettes
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
A pénzügyi felügyelés fő irányai Európában Dr. Szász Károly elnök Új kihívások előtt a biztosítási piacok A Magyar Biztosítók Szövetségének I. Biztosítási.
Politika, képviselő, információ Kerekes Pál jún. 6. MIBE Konferencia.
Az Országos Fogyatékosügyi Tanács sajátos szerepe az Európai Uniós szabályozások érvényesítésében hazai nemzeti és helyi szintű szabályozásokban Horváth.
Védjegybejelentés elektronikus úton László Áron Márk.
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
A Közigazgatási és Igazságügyi Minisztérium EKOP projektjeinek jelene és jövője dr. Rupp Zoltán főosztályvezető E-közigazgatásért felelős helyettes államtitkárság.
Az igazgatás és az ápolás-szakfelügyelet kapcsolata
Megpályázható tevékenységek BM/9674-2/2011. sz. nyílt pályázati felhívás alapján Európai Integrációs Alap dr. Gyöngy Anna BM EUEFO.
MATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. Szádeczky Tamás e-közszolgáltatások tesztelési módszertana Törvényesség, szabványosság, biztonság.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
IKTA-FÓRUM Fehér Éva Projektmenedzser Budapest IKTA-2000 Négyrétegű Regionális Információs Rendszer tervezése és fejlesztése DARFT Informatikai.
Önkormányzati ASP Központ felállítása projekt
avagy a zártság dilemmái
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Adatvédelmi kihívások a modern információ- technológiában
Az informatikai biztonság irányításának követelményrendszere (IBIK)
prezentációja A bemutató és annak tartalma a HT ZRT szellemi terméke!
Előadás másolata:

A magyar elektronikus közigazgatás biztonsága Krasznay Csaba doktorandusz Zrínyi Miklós Nemzetvédelmi Egyetem

• Jogi háttér • Infrastruktúra • E-közigazgatás, mint KII • Kockázatok • Lehetséges védelmi intézkedések • Védelemért felelős szervek

• • Biztonságos szolgáltatások – A magánszemélyek és az üzleti szféra szereplői számára kényelmes, megbízható és egymással együttműködő közszolgáltatásokat kell nyújtani. Biztonságos és egymással kommunikálni képes, átjárható rendszereket kell létrehozni, amelyek lehetővé teszik az elektronikus személyazonosítást tartózkodási helytől függetlenül; • A hatóság az eljárása során – a biztonságos és átlátható ügyintézés érdekében – az elektronikus ügyintézés informatikai támogatásával gondoskodik az ügyfél által elektronikus úton előterjesztett és a hatóság által készített dokumentumok biztonságos kezeléséről, megőrzéséről. • A modern kormányzatnak – mind a politikaformálás, mind a szolgáltatások nyújtása terén – pontos és időszerű információkkal kell rendelkeznie az állampolgárokról, a vállalkozásokról. E követelmény megvalósításához az információ, az információ hatékony menedzselése és az információbiztonság alapvető követelmény.

• Az informatika, információtechnológia és a távközlés fejlődésével, a rendszerek egyre nagyobb számban történő alkalmazásba vételével párhuzamosan egyre nagyobb jelentőségűvé válik a biztonsági szempontok érvényesítése. A tárolt és kezelt adatok, információk egyre nagyobb mértékben tartalmaznak érzékeny, a személyiségi jog vagy más jogszabály rendelkezése által védett információkat. A közigazgatási ügyeket intéző hivatalok egyre nagyobb mértékben támaszkodnak az elektronikusan tárolt és kezelt információkra, és egyre inkább csak elektronikusan lesz majd elkérhető az információ, ami egyben függést is jelent az elektronikus információk rendelkezésre állásától. • A korábbi években – elsősorban költségvetési okok miatt – a biztonsági kérdések háttérbe szorultak. A legszükségesebb védelmi intézkedések (vírusvédelem, mentések) mellett a közigazgatásban általában kevés figyelmet fordítottak az informatikai biztonság többi tényezőjére. Az Állami Számvevőszék júniusi e-kormányzati monitoring jelentése is megerősíti, hogy a kormányzaton belül alapvető hiányosságok tapasztalhatók az informatikai biztonság terén.

• 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről • 195/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról • 182/2007. (VII. 10.) Korm. rendelet a központi elektronikus szolgáltató rendszerről • + Adatvédelmi törvény, Büntető törvénykönyv, stb.

• Közigazgatási ajánlások: • KIB 25. ajánlás (MIBIK, MIBÉTS, IBIX) • KIB 28. ajánlás (Az E-Közigazgatási Keretrendszer projekt eredményeként létrehozott Követelménytár) • Ezek viszonylag koherens követelményeket támasztanak • Alapvető gond viszont az egységes (műszaki) kivitelezés hiánya -> nincs egyenszilárdságú védelem! • Friss ajánlásokról beszélünk, a es fejlesztések tapasztalatait felhasználva a gondok kiküszöbölhetők

Forrás: KIB 21. ajánlás

Forrás: KIB 28. ajánlás

• 2080/2008. (VI. 30.) Korm. Határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról • Célkitűzés: • Megelőzés és védelem • Felkészülés és jelzés • Üzemfolytonosság és ellenálló képesség • A felsorolásban 12. a kormányzati informatikai, elektronikus hálózatok • Felelős: MeH EKK, KHEM

• „A nemzeti keretjogszabályon és programon alapulva a központi államigazgatási szervek feladata: •... • együttműködés az ágazati infrastruktúra tulajdonosokkal, üzemeltetőkkel, veszély és sebezhetőségek tekintetében információt szolgáltató állami szervekkel az ágazati programok kidolgozása és végrehajtása során, ágazati elemzések lefolytatása során; • kormányzati és magánszféra közötti együttműködés elmozdítása ágazaton belüli biztonsági vonatkozású információ és tapasztalatok cseréjét biztosító konzultáción keresztül; • A Kritikus Információs Infrastruktúrák védelme közügy (ld. később!)

• Jól megszabott fejlesztési irányok, egyedi, példa nélküli fejlesztési igények -> fejlesztési hibák • Komplex szolgáltatások, összetett, egymásra épülő rendszerek -> belső támadások • Centralizáció infrastruktúra oldalon, decentralizáció szabályozási, ellenőrzési oldalon -> külső támadások • Növekvő felhasználói bázis, növekvő médiafigyelem, folyamatos imázs és bizalomvesztés -> rendelkezésre állási incidensek

• Megfelelő kezdeményezés: • Kockázatarányos besorolás  • IT biztonság a közbeszerzésben  • Biztonságos tervezés: • Tervezési útmutatók irányelvek  • Tervezési sablonok  • Jógyakorlatok publikálása  • Ellenőrizhető fejlesztés: • Kódolási követelmények  • Tesztelési elvárások  • Értékelési módszertan 

• Folyamatos üzemeltetés: • Szervezetbiztonsági követelmények  • Rendszeres ellenőrzés  • Biztonságos kivonás: • Hibátlan migrálás  • Visszavonhatatlan megsemmisítés  • Szabályozási szempontből tehát elvarratlan a közvetlen fejlesztés, az üzemeltetés ellenőrzése és a kivonási fázis. • Mind a fejlesztésben, mind az üzemeltetésben jelentős szerepe van a külső szereplőknek -> megrendelői szempontból nincs meg a tökéletes kontroll!

• Kinél legyen a kontroll békeidőben? • MeH EKK: kézenfekvő, de nem ez a feladata • A Kormány Informatikai Biztonsági Felügyelője: jogszerűen az ő feladata, de az eszközei erősen korlátozottak • Megoldás 1.: KIB 25. szerinti értékelőszervek, akik akkreditált, de piaci alapon működő szervezetek, ellenőrzik a jogszabályban előírt biztonsági kötelmek teljesülését a közigazgatási szerveknél • Megoldás 2.: Külön apparátus felállítása (8-10 fő) valamelyik jelenlegi hivatal keretein belül

• Ki reagáljon válság idején? • NNI: nyomozó hatóság, túl „lassan” tud csak reagálni az informatikai incidensekre • NBH: a törvény szerint elsősorban ő felel a támadások elhárításáért, de vajon műszakilag felkészült erre? • NBSZ: műszakilag meg tudná oldani, de nem feladata • Magyar Honvédség: sem műszakilag, sem szervezetileg nem felkészült az informatikai támadások elhárítására, ráadásul nem is tisztázott, hogy egy informatikai támadás az ország elleni támadásnak minősül-e • CERT-Hungary: mind műszakilag, mind szervezetileg felkészült, de nem hivatalos szerv, „csak” egy alapítvány része • Megoldás: a CERT-Hungary ellátása a szükséges jogosítványokkal (információbiztonsági törvény)

• s773/text • „America’s failure to protect cyberspace is one of the most urgent national security problems facing the country.” • Tanácsadó testület létrehozása kormányzati, ipari és civil tagokból • Valósidejű tájékoztató rendszer kiépítése • Tudatossági oktatások non-profit szervezeteken keresztül • Nemzeti szabványok és ajánlások

• A biztonsági szakértők minősítésének kidolgozása • Tudatossági oktatás az állampolgároknak • Szövetségi kutatás-fejlesztési támogatások az információbiztonság területén • Felsőktatási képzési programok támogatása • Versenyek az IT biztonságban diákok és szakemberek számára • Kormányzati és ipari együttműködés!!!

• Az információbiztonság megtalálta az őt megillető helyet a közigazgatásban • Néhány fontos részfeladat azonban még nem megoldott • Ez a terület klasszikus PPP – úgy kell bevonni a civil és üzleti szférát, hogy a Magyar Köztársaság érdekei és titkai ne sérüljenek • De mégsem szabad elbújni a külvilág elől – „security by obscurity”