Biztonságos ország – biztonságos szolgáltató

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

Projekt általános bemutatása
Információbiztonság irányítása
Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Elektronikus vám – E-Customs
Jövő Internet technológiák és alkalmazások kutatása Magyarországon A Magyar Tudomány Hónapja Jövő Internet technológiák és alkalmazások kutatása Magyarországon.
Humán rendszerek, közszféra
1 Felszámolók Országos Egyesülete Balatonalmádi Szeptember 6.
katasztrófa-veszélyeztetettsége Dr. Tóth Ferenc tű. dandártábornok
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
Önkormányzati informatika ASP alapokon
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
A kritikus infrastruktúra biztonsági aspektusai a MOL-nál
Az Állami Foglalkoztatási Szolgálat hosszú távú stratégiája, kapcsolata a releváns operatív programokkal.
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
A kritikus infrastruktúra védelem nemzetközi háttere és a magyar nemzeti program kialakítása, az ebből fakadó szakmai feladatok Balatonföldvár, március.
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
PannonRIS – Folyami Információs Szolgáltatások Magyarországon
Dr. Suba Ferenc Testületi elnök PTA CERT-Hungary
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Előadó: Dr. habil. Lakatos László ny. okl. mk. vezérőrnagy
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
Magyar Információs Társadalom Stratégia (MITS) – egészségügyi és szociális vonatkozások: Az Egészségügyi és Szociális Ágazati Információs Stratégia (MITS-ESZ)
Biztosításfelügyeleti szakmai konzultáció
Biztosítók irányítási rendszere
Új kihívások a katasztrófavédelemben
Az ellátási láncok biztonsága
Kibertér-biztonság és iparbiztonság Kossa György tű. dandártábornok
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Dr. Lamperth Mónika Budapest április 18.
MTA Statisztikai és Jövőkutatási Tudományos Bizottsága
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
Infó-kommunikációs technológia, mint kritikus infrastruktúra védelmi faktor Napjaink egyik világméretekben egységesen felismert és értelmezett jelensége.
Katasztrófavédelem válaszai a globális klímaváltozás
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
Bonnyai Tünde pv. hadnagy Katasztrófavédelmi Tudományos Tanács
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
A Safer Internetplus Program célja és területei eContentplus és Safer Internetplus Nemzeti Információs Nap Budapest, április 18. Simor Gabriella,GKM.
A projekt az Európai Unió támogatásával, az Európai Szociális Alap társfinanszírozásával valósul meg Nemzetközi és határ menti együttműködések támogatása.
Munkahelyi egészség és biztonság
Elektronikus Kormányzati Gerinchálózat (EKG) – a Központi Elektronikus Szolgáltató Rendszer alapinfrastruktúrája
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Kihívások a HR szakterület előtt Budapest, PSZE HR Szakmai nap Előadó: Rajnai Attila gazdasági vezérigazgató-helyettes.
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
A pénzügyi felügyelés fő irányai Európában Dr. Szász Károly elnök Új kihívások előtt a biztosítási piacok A Magyar Biztosítók Szövetségének I. Biztosítási.
Válságkezelő rendszere
Miért szükséges? Önkormányzati feladatok irányításának alapköve Kinek és miért hasznos? Képviselőtestületek és bizottságai Polgármester Polgármesteri hivatal.
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
HÉTFA Kutatóintézet és Elemző Központ A gazdasági növekedés társadalmi feltételei: értékek, intézmények, kizáródás, tudás, egészség - Panelbeszélgetés.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
©Copyright: Tűzvédelmi Konferencia Siófok Király András 1/10 Király András tűzbiztosítási szakértő Épületek tűzvédelmi felülvizsgálata,
„Kiberbiztonság és az LRL IBEK”
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
avagy a zártság dilemmái
2003. május 21. ÜZLETMENETFOLYTONOSSÁG ÉS KATASZTRÓFA ELHÁRÍTÁS TERVEZÉSE Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Biztonság kábelek nélkül Magyar Dénes május 19.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Előadás másolata:

Biztonságos ország – biztonságos szolgáltató Gencsy Péter igazgató magyar Telekom, Csoport biztonsági igazgatóság 2013.09.30. – strictly confidential / confidential / internal / public – Author / Topic of presentation 01/10/2012

Miért vagyunk fenyegetettek? Terrorizmus és a Magyar Telekom Mert… …Közép-Európa és Magyarország egyik meghatározó vállalata vagyunk …integrált szolgáltatásokat nyújtunk …hatalmas üzleteket kötünk, milliárdos tenderek, akvizíciók, stb. …ügyfélkörünk „igazi kihívást”, értékes célpontot jelenthet (Kormányzat is!) …sok millió személyes adatot kezelünk. …nagyon sok outsourcing partnerünk, külső alvállalkozónk van, a kontrolljuk nehéz. …sajnos nem tudunk eleget költeni a biztonságra. Mennyi az „elég”? … kritikus infrastruktúra („különlegesen fontos”) szolgáltatók vagyunk és kiszolgálunk más kritikus infrastruktúra szolgáltatókat is! levegő cloud kábel rádiófrekvencia optika internet – strictly confidential / confidential / internal / public – Author / Topic of presentation 01/10/2012

ezért Elsőrendű érdekünk Adataink és hálózataink védelme Integrált szolgáltatóként elsőrendű érdekünk – és kötelességünk - ügyfeleink adatainak és a hálózataink védelme. Védenünk kell rendszereinket saját üzleti érdekünkből is és közérdekből is. Magunk is kritikus infrastruktúra vagyunk és számtalan kritikus infrastruktúra működik a hálózatunkban. Szolgáltatásaink folytonosságot követelnek – kiesés üzleti veszteséget jelentene, illetve biztonsági kockázat. Szolgáltatás leállás ügyfeleinknek, üzletfeleinknek is üzleti veszteséget és biztonsági kockázatokat jelenthet.

Kritikus infrastruktúrák – törvényi háttér 2012. évi CLXVI. tv. a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 1249/2010. (XI. 19.) Korm. határozat az európai kritikus infrastruktúrák azonosításáról és kijelöléséről 2080/2008. (VI.30. ) Korm. határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról Európai Bizottság Zöld könyv (létfontosságú infrastruktúrák védelmére) 2011. évi CXXVIII. tv. a katasztrófavédelemről 1035/2012. Korm. határozat Magyarország Nemzeti Biztonsági Stratégiájáról 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról 2003. évi C. tv. - az elektronikus hírközlésről

Kritikus infrastruktúrák – törvényi háttér 2012. Évi clxvi. Tv. Kritikus infrastruktúra horizontális kritériumai: Személyi veszteség (áldozatok száma) Gazdasági hatás (pénzügyi kár, szolgáltatás romlás) Társadalmi hatás (lakosság érintettsége) Politikai hatás (közbizalom) Környezeti hatás (épített vagy természeti környezet) Ágazati kritériumok 2014 január 1.-től az „Infokommunikációs technológiák” a BM Országos Katasztrófavédelmi Főigazgatóság hatáskörébe kerülnek Jelenleg az infokommunikáció nem létfontosságú rendszerelem! Az OKF dönthet, melyek a kritikus infrastruktúrák - csak a kijelölési eljárás után válhatunk azzá (gyors döntés szükséges, törvényi határidő!!)

A Magyar Telekom mint Kritikus infrastruktúra A vezetékes, mobil távközlési szolgáltatásaink fokozottan védendő folyamatok Ezek folyamatos biztosításához elengedhetetlen egy nagy megbízhatósággal működő távközlési hálózat A berendezéseink működésképtelenné válása, megsemmisülése igen komoly károkat okozhat A MT lehet célpont is, de a hálózatainkon keresztül is indíthatnak támadásokat Ezért nagyon fontos, hogy mind ügyfeleinket, mind vállalatunkat magas biztonsági szintű védelemmel támogassuk De nem csak terrorista célpontok lehetünk…

Globális célpontok, globális fenyegetések, globális támadások Kiber kémkedés

Veszélyek, fenyegetések Gencsy Péter igazgató Magyar Telekom, Csoport biztonsági igazgatóság

hatósági elvárások a Kritikus infrastruktúra szolgáltatók felé Informatikai üzletmenet folytonossági terv (BCP) és katasztrófa- helyreállítási terv (DRP) kidolgozása, dokumentációja, karbantartása, tesztelése. A belső informatikai folyamatok előírás és szabvány szerinti fenntartása, dokumentációja és kontrollja. Incidenskezelési kötelmek Bejelentések kezelése, megszabott határidejű beavatkozás, visszajelzés Részvétel hatósági munkacsoportokban Incidenskezelő rendszer használata Adatszolgáltatás Együttműködés a CERT-tel 2014. január 1-től

A magyar Telekom meglévő biztonsági, ill A magyar Telekom meglévő biztonsági, ill. a biztonságot szolgáló rendszerei A MT nagyon magas biztonsági szinten szolgáltat, nemzetközi standardokat alkalmaz: ISO 27001, Információ Biztonsági Irányítási Rendszer (ISMS) (2008) ISO 22301, Üzletmenet-folytonosság (BCMS) (2010, tanúsítvány: 2014) Katasztrófa elhárítási tervek (DRP) (2003) Hálózati katasztrófa elhárítási tervek Informatikai katasztrófa elhárítási tervek Incidenskezelés (2008) Hatósági adatszolgáltatás (1993) Teljes hálózatfelügyelet (vezetékes, mobil, TV) a menedzsment rendszereken (2008) Együttműködés a CERT-tel

Csak komplex biztonsági rendszerben szabad gondolkozni!! Védelmi megoldásaink Épületek biztonsági osztályba sorolása, hierarchikus kulcsrendszer, beléptető rendszer IT rendszerek biztonsági osztályba sorolása Kiemelt kábelvédelem, gerinchálózat védelme, megszakító létesítmények védelme Rádiós hálózatvédelem Támadás detektálás Központi LOG gyűjtés és elemzés, NAC bevezetve, DLP előkészítés Kockázatkezelés, BCM, DRP, CM ISO 27001 tanusítás (ISMS), komplex jogosultságkezelés Sebezhetőség vizsgálatok Irodai környezet védelme Komplex biztonsági szabályozási rendszer Biztonság tudatosítás (belsők és partnerek) … Csak komplex biztonsági rendszerben szabad gondolkozni!!

Magyar Telekom Hálózat menedzselő központ (NOC)

Dilemmák Standardok, biztonsági szintek, arányosság Egységes nemzetközi (EU) és hazai biztonsági standardok és definíciók hiánya Biztonsági szintek és az arányosság kérdése (piac - állam - EU) -> Kire vonatkozik? (Technológia? Felhasználó?) Kinek mi az érdeke?

Dilemmák – felelősség és szerepek Hol a határ? Meddig tart a piac felelőssége, és hol kezdődik az államé? A piac felelősségének határa: ami üzleti racionalitással, működés mellett vállalható Az állam szerepe: egy ország szempontjából létfontosságú rendszerek védelme és felügyelet, koordináció, követelménytámasztás, kontroll, audit, stb. A BIZTONSÁG ÉRTÉKE Piaci logika szerint: a kockázatokkal arányosnak kell lennie a ráfordításoknak Állami logika szerint: a lehető legmagasabb biztonsági szint közérdek (vs. forráshiány) Vagy az igénybevevő (felhasználó) fizesse a biztonság költségeit?

Költségek A legfontosabb kérdés: Ki fizesse a biztonság költségeit? A biztonság értéke A legfontosabb kérdés: Ki fizesse a biztonság költségeit? Hol a határ? Alapvetés: Annyit érdemes rákölteni, amennyit az információ ér (üzleti megközelítés), és… Biztonság értéke: Amekkora kár érhet bennünket egy káresemény során, kockázatelemzés (üzleti megközelítés)

A biztonság pénzbe kerül. Nagyon sok pénzbe, de… A biztonság alapérdekünk Határ a csillagos ég, de sok mindent tehetünk, ami emeli a védelmi szintet és nem kerül pénzbe… Nincs 100%-os védelem, de lépni felé, közelíteni igenis lehet! Mi is erre törekszünk. Felelősségek? (Állam, Szolgáltatók, Gyártók) „Menedzsment” (politikai) felelősség: mit vállalunk fel mint kockázat?

Összefoglalás Rendkívüli komplexitású hálózatot érő, globális támadások ellen kell védekeznünk Globális rendszerben kell gondolkodni A Magyar Telekom kritikus infrastruktúra és számtalan kritikus infrastruktúrát szolgál ki. Az érdekeltek mindegyikének folyamatosan együtt kell működni Világos elvárások, szabályok, kontrollok, auditok, tanúsítás Mi van a fejekben? - tudás, tudatosítás, tudatosság A Magyar Telekom csoport tisztában van a felelősségével. Magas technológiai szint Szervezett, globális üzemeltetési rendszer Magasan képzett, tudatos, folyamatosan fejlesztett munkatársak Legjobb iparági gyakorlatok (DT) alkalmazása Nagyon jelentős mértékű tartalék erőforrás

De egyedül nem megy! CSAK EGYÜTT, VELED

Csoport biztonsági igazgató +36 30 921 0686 gencsy.peter@telekom.hu Gencsy Péter Magyar Telekom Csoport biztonsági igazgató +36 30 921 0686 gencsy.peter@telekom.hu – strictly confidential / confidential / internal / public – Author / Topic of presentation 2013/01/10 – strictly confidential / confidential / internal / public – Author / Topic of presentation 01/10/2012