© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági törvény hatása a pénzintézetekre Dr. Krasznay Csaba HP Magyarország
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 2 A világ jelenleg
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 3 Kiberfenyegetések Kiberbűnözés
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 4 Trendek a világban FelismerésKapkodásAd hoc védelemJogi szabályozásKépességfejlesztésSzervezett védelem
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 5 A kibervédelem magyar evolúciója eddig … Felismerés Anonymous támadások Nemzetközi trendek/kötelezettségek Magyar érintettségű célzott támadások (DuQu) Kapkodás Ugrás a jelentéktelen hacktivista támadásokra A jelenségek rendőri megközelítésű kezelése Ad hoc védelem Szemléletváltás A rendelkezésre álló szervezetrendszer használata Jogi szabályozás Stratégiák (nemzeti, katonai) Törvények (titkosszolgálati, közigazgatási)
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 6 … és ezután Képesség- fejlesztés Felderítési képességek (titkosszolgálatok, CERT, NBF) Elhárítási képességek (intézmények, CERT) Koordinációs képességek (Hatóság, civil szervezetek) Nemzetközi képességek (Honvédség) Szervezett védelem Kibervédelmi törvény Kialakult, működő, védelem, koordináció és ellenőrzés
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 7 Jogi szabályozás jelenleg A pénzintézetek biztonságáért évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról A személyes adatok védelméért évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról Az ország védelméért 1035/2012. (II. 21.) Korm. Határozat Magyarország Nemzeti Biztonsági Stratégiájáról A katonai felkészültségért 1656/2012. (XII. 20.) Korm. Határozat Magyarország Nemzeti Katonai stratégiájának elfogadásáról A titkosszolgálati felkészültségért évi CXXV. Törvény a nemzetbiztonsági szolgálatokról
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 8 Jogi szabályozás ezután A szervezett kibervédelemért 1139/2013. (III. 21.) Korm. határozat. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról Az állami szervek és a KII védelemért T/ számú törvényjavaslat az állami és önkormányzati szervek elektronikus információbiztonságáról Az EU védelméért Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 9 Az információbiztonsági törvény Jogalanyok széles körben Alapvető biztonsági elvárások Szervezeti biztonsági szint Biztonsági vezető és felelős Szervezetek feldatai (Hatóság, NBF, CERT) Információbizton -sági felügyelő Kormányzati koordináció Oktatás-kutatás- fejlesztés Biztonsági osztályba sorolás Tervezhető védelmi felkészülés Ellenőrzési és azonnali beavatkozási lehetőség Számonkérhetőség Kibervédelmi szabályozás alapja Infobiztonsági kultúra elterjedése Szabályozatlan közig. informatika pl. visszavont rendeletek, nem használt ajánlások Szabályozatlan KII pl. KI tv. kibervédelem nélkül Részben szabályozott felelősség pl. nemzeti adatvagyon, szétszórt védelem Szabályozási indokok Várható eredmények
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 10 Pénzintézetekre vonatkozó elvárások Létfontosságú rendszerelemek
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 11 Rendszerek besorolása Pénzintézetekre vonatkozó elvárások
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 12 Szervezeti besorolás Pénzintézetekre vonatkozó elvárások Belső és hatósági felülvizsgálat Biztonsági szint emelése Követelmények a Vhr.-ből Besorolás a rendszerek alapján Besorolás jelleg szerint TervezésMegvalósítás FelülvizsgálatBeavatkozás
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 13 Felelősségek Pénzintézetekre vonatkozó elvárások Szervezet vezetője Megfelelőség biztosítása Biztonsági felelős kinevezése Biztonsági szabályozás kiadása Oktatás, tudatosság IBIR irányítása Erőforrások a biztonsági események kezeléséhez Biztonság, mint szerződéses kötelem Értesítés a biztonsági eseményekről Biztonsági felelős Az IBIR operatív irányítása Az információbiztonságot érintő szerződések véleményezése Kapcsolattartás a Hatósággal és a CERT-tel Szolgáltatók ellenőrzése
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 14 Felügyeleti rendszer Hatóság Nemzeti Biztonsági Felügyelet Kormányzati eseménykezelő központ Tanács PSZÁF ??? Ellenőrzés Ajánlások Kapcsolattartás Nyilvántartás IT biztonsági felügyelő Sérülékenység-vizsgálat Incidenskezelés Koordináció OKF ???
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 15 Végrehajtási rendeletek Pénzintézetekre vonatkozó jövőbeni elvárások A hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait tartalmazó vhr. Létfontosságú rendszerelemek ellenőrzésének szabályai A Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét tartalmazó vhr. A sérülékenység-vizsgálat elvégzésének szabályai az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr. Konkrét műszaki követelmények
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 16 Végrehajtási rendeletek Pénzintézetekre vonatkozó jövőbeni elvárások A hatóság által kiszabható bírság mértéke, a bírság kiszabásának és befizetésének részletes eljárási szabályait meghatározó vhr. A bírságolás szabályai nem állami szerveknél A kormányzati eseménykezelő központ és az ágazati eseménykezelő központok feladat- és hatáskörét tartalmazó vhr. Incidenskezelés a létfontosságú rendszerelemeknél A szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjét tartalmazó vhr. Az incidensek jelentésének részletei
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 17 Fejlesztőkre vonatkozó elvárások jelenleg Szerződéses kötelmek
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 18 Gyakorlati feladatok Fejlesztőkre vonatkozó elvárások jelenleg
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 19 Végrehajtási rendeletek Fejlesztőkre vonatkozó jövőbeni elvárások A hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait tartalmazó vhr. Elvárások szerződésekre, a rendszerek ellenőrzésének technikáira A Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét tartalmazó vhr. A sérülékenység-vizsgálat elvégzésének szabályai az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr. Konkrét műszaki követelmények
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 20 Mit jelent a piac számára szabályozás iránya? Egyértelmű elvárások mindenkitől Kiberbiztonságra allokált, tervezhető források Szigorú szakmai számonkérés Biztonságtudatos, versenyképesebb szállítók Biztonságosabb ország, minőségibb IT ipar
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. 21 Buktatók Ellenálló szervezetek Puhuló követelmények „Trükkös megoldások” „Elkent” informatikai incidensek Újraszabályozás
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Köszönöm a figyelmet! Web: Twitter: twitter.com/csabika25