2017.04.04. képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék
Miért kell? Az élet minden területén egyre bonyolultabb és nagy kiterjedésű informatikai rendszerek alakulnak ki. Az intézmények tevékenységét és működését mind intenzívebben támogatják informatikai alkalmazások. Ezzel együtt emelkedik az informatikai biztonság szerepe és jelentősége.
Szükséges? Felkészültünk az informatikai rendszereinket ért támadások megelőzésére, a károk enyhítésére, a következmények felszámolására? Ehhez vannak-e felkészült szakembereink, akik már a támadás előtt – preventív módon – a megelőzéssel foglalkoznak, akik képesek a kárfelszámolásra?
Miért kell? AZ INFORMÁCIÓ: érték, vagyon, hatalom.
Ki (mi) fenyeget? kiberterrorizmus (cyberterrorizm); információs műveletek (információs hadviselés); gazdasági hírszerzés; ipari kémkedés; hackerek, crackerek; rosszindulatú, bosszúálló munkatársak; képzetlen, hanyag, felelőtlen munkatársak; természeti csapások; műszaki hibák.
Az informatikai védelem A rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer elemei sértetlenségének és rendelkezésre állásának védelme.
Miért kell vele foglalkozni?
megelőzés és korai figyelmeztetés észlelés reagálás A védelem feladatai megelőzés és korai figyelmeztetés észlelés reagálás incidens vagy krízis menedzsment
Az informatikai biztonsággal kapcsolatos jogszabályok, szabványok és ajánlások
E-közigazgatás 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) 2009. évi LX. törvény az elektronikus közszolgáltatásról 2009. évi LXXVI. törvény a szolgáltatási tevékenység megkezdésének és folytatásának általános szabályairól
E-közigazgatás 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról
Common Criteria A Common Criteria (CC, Közös Követelmények) az Európai Közösség, valamint az amerikai és a kanadai kormányok támogatásával került kidolgozásra. A CC követelményrendszerének első három fejezetét kitevő „CC 2.0” dokumentumot ISO/IEC 15408 számon nemzetközi szabványként is kiadták.
ISO/IEC 270xx ISO/IEC 27000 – Szószedet és terminológia (definíciók a sorozat összes szabványához). Fejlesztés alatt. ISO/IEC 27001 – Az informatikai biztonság irányítási rendszere (BS 7799-2:2002), a szervezet auditálásához szükséges (megfelelőségi) előírások. Az ISO/IEC 27001 szabványt 2005.10.14-én tették közzé ISO/IEC 27001:2005 számon.
ISO/IEC 270xx ISO/IEC 27002 – Az ISO/IEC 17799:2005 szabvány utódja, azzal gyakorlatilag megegyezik. Az informatikai biztonság irányítása gyakorlati előírásait, ellenőrzési célokat és a legjobb gyakorlatot (best practice) írja le. ISO/IEC 27003 – Az ISO/IEC 27000 szabvány implementálásához szükséges tanácsokat és útmutatókat fogja tartalmazni. A szabvány még csak terv.
ISO/IEC 270xx ISO/IEC 27004 – Egy új szabvány lesz, amely az informatikai biztonság mérésével fog foglalkozni, abból a célból, hogy az informatikai biztonság irányítási rendszerének hatékonyságát mérni tudjuk. ISO/IEC 27005 – Az informatikai biztonság kockázatkezelésével foglalkozik. Az ISO/IEC 13335-3 és 13335-4 szabványok felülvizsgálatával készül. Fejlesztés alatt áll.
ISO/IEC 270xx ISO/IEC 27006 – az ISO/IEC IEC 27001 szabványnak való megfelelést vizsgáló szervezetek számára tartalmaz követelményeket. ISO/IEC 27011 – informatikai biztonságirányítási irányelvek a telekommunikációnak. Jelenleg ez a szabvány fejlesztés alatt áll.
KIB 25. számú ajánlás MIBIK MIBÉTS IBIX
A Magyar Informatikai Biztonság Irányítási Keretrendszere (MIBIK) Az ISO 27000, az ISO/IEC TR 13335 szabványok, továbbá a Security within the North Atlantic Treaty Organisation és az Európai Unió (Európai Unió Tanácsának Biztonsági Szabályzata figyelembe vételével készült.
25/1-1. IBIR Az Informatikai Biztonsági Irányítási Rendszer a TVEB (PDCA = Plan-Do-Check- Act, Tervezés-Végrehajtás-Ellenőrzés- Beavatkozás) modellen alapul. Ezek a folyamatok lefedik a teljes tevékenységi ciklust, megcélozva az effektív informatikai biztonság irányítását egy folytonos fejlesztési programon keresztül.
25/1-2 IBIK Az Informatikai Biztonsági Irányítási Követelmények alapját az ISO/IEC 27002:2005, az ISO/IEC TR 13335 nemzetközi szabványok, továbbá a NATO és az Európai Unió releváns szabályozásai képezik.
25/1-3 IBIV Az Informatikai Biztonság Irányításának Vizsgálata c. vizsgálati módszertan alapját a MeH ITB 8. számú ajánlás, a BS 7799- 2:2002 szabvány, és az ehhez kapcsolódó PD 3001 – PD 3005 munkadokumentumok képzik, továbbá az IFIP 199/200 (USA) előírások.
IBIV Az összeállított kérdőívek lefedik az Informatikai Biztonság Irányítási Rendszer (IBIR, ISMS – Information Security Management System) folyamatokat. Segítségükkel részletesen meghatározhatjuk, hogy az IBIK követelményei mennyiben kerültek megvalósításra. (Az intézkedések részletes vizsgálata.)
Magyar Informatika Biztonság Értékelési és Tanúsítási Séma MIBÉTS Magyar Informatika Biztonság Értékelési és Tanúsítási Séma A Common Critéria egyezményhez (2003. október) való csatlakozás után kezdődött meg egy magyar „lite CC” kidolgozása
A képzés célja A képzés célja olyan közszolgálati informatikai biztonsági felelősök képzése, akik a képzést követően alkalmassá válnak – a 223/2009 kormányrendelettel, továbbá a KIB 25. és 28. számú ajánlásaival összhangban – a szervezet informatikai biztonsági feladatainak tervezésére, szervezésére és irányítására, továbbá a MIBIK vagy az ISO/IEC 27001 szerinti auditálás, illetve a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC 18045 (CEM) szerinti értékelés előkészítésére
célcsoport A közszolgálati informatikai rendszerekben kijelölt informatikai biztonsági felelősök.
Megszerezhető kompetenciák A vonatkozó hazai és nemzetközi szabványok ismerete szervezeti biztonság, személyi biztonság, fizikai és környezeti biztonság az eszközök biztonsági besorolása és ellenőrzése számítógépes hálózati szolgáltatások és az üzemeltetés menedzsmentje hozzáférés menedzsment, fejlesztés és karbantartás, biztonsági incidensek kezelése, működésfolytonosság jogszabályi megfelelőség a MIBIK vagy az ISO/IEC 27001 szerinti auditálás a MIBÉTS vagy a ISO/IEC15408 (CC) és ISO/IEC 18045 (CEM) szerinti értékelés
követelmények A továbbképzés befejezésekor a résztvevőknek megalapozott ismeretekkel kell rendelkezniük a tematikában szereplő témaköröket illetően, jártasságot kell szerezniük azok elemzésében és az összefüggések feltárásában.
követelmények A képzés 80 %-án való részvétel szükséges ahhoz, hogy a résztvevő jogosult legyen a záróvizsgán részt venni, és hogy tanúsítványt kapjon. Nincs tematikai egységenkénti értékelés, csak a képzés végén a tananyag egészéből kell írásbeli tesztvizsgát tenniük a résztvevőknek.
Ellenőrzés-értékelés A továbbképzési program elsajátításának ellenőrzése egyfelől a konkrét témák interaktív előadása és konzultációja keretében, a szóbeli kérdésekre adott válaszok alapján, másfelől záróvizsgán, tesztfeladat-lap kitöltésével történik. A záróvizsgán a megfelelő értékeléshez legalább 60 %-os eredmény szükséges – ezek az értékelés általános szempontjai.
Köszönöm a figyelmet!