Stipkovits István ISZ auditor SGS Hungária Kft.

Slides:

Advertisements

Hasonló előadás

A veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezés szabályai (Seveso II.) - polgármesterek felkészítése Lakossági tájékoztatás A lakosság.

Advertisements

Információcsere a vasúti járművek karbantartása során

Az információbiztonság

AZ INFORMATIKAI BIZTONSÁG

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

Iratkezelés ellenőrzése, az ellenőrzés részletes feladatai

Integrált Igazgatási Rendszer

Varga László netTeam – Magyarország Kft. Budapest, november 23. Az elektronikus ügyintézés jogszabályi háttere és gyakorlata.

Nemzeti Rehabilitációs és Szociális Hivatal

Új szabályok, új fogalmak az elektronikus ügyintézésben dr

KOVEX Computer Kft. Nagy Géza

A hitelesítési tevékenység fő lépései 91/2007. (XI.21.) KvVM rendelete alapján március 18. Bajsz Katalin.

ISO : 2011 – energiairányítási rendszer (EIR)

A MINŐSÉGIRÁNYÍTÁSI RENDSZER

Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,

E-ÖNKORMÁNYZAT Forráskeresés és átalakulás közben BACK OFFICE Jogosultság-kezelési előírások, és ezek megvalósítása egy elektronikus ügyiratkezelő rendszerben.

E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP

Levéltárak kapcsolódása az elektronikus levéltárhoz A levéltári technológiai központok, a központi e-levéltári és e-irattári szolgáltatások Dr. Kenyeres.

Dokumentumkezelés.

Belső ellenőrzés az önkormányzatoknál

MATRIX Vizsgáló, Ellenőrző és Tanúsító Kft. Szádeczky Tamás e-közszolgáltatások tesztelési módszertana Törvényesség, szabványosság, biztonság.

Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.

2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.

Biztonsági szabályozás szerepe a biztonsági rendszeren belül

Kelemen Katalin (MNB) Konkoly Péter (Montana)

Az adatvédelem szabályozása

Önkormányzati ASP Központ felállítása projekt

A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/

Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.

„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.

Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.

avagy a zártság dilemmái

Minta IRATOK Az írásbeli kommunikáció eszközei az iratok.

1 „Papírmentes iroda” avagy Mit jelent ma a teljeskörű elektronikus dokumentumkezelés? Bács Andrea fejlesztési konzulens.

Módosult a közfeladatot ellátó szervek iratkezeléséről szóló kormányrendelet (335/2005.) Dr. Hollósi Gábor Ph.D. Magyar Országos Levéltár Kormányzati Gyűjtőterületi.

BELSŐ MEGFELELÉSI PROGRAM MEZEY MARIANN VEZETŐ TANÁCSOS.

BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-

Egy termék tanúsítása — tapasztalatok és következtetések Vágujhelyi Ferenc.

Helyszíni ellenőrzés Grigely Győző, KDRFÜ. Az ellenőrzés jogi háttere Támogatási Szerződés, ÁSZF 10. pont „Kedvezményezett a Szerződés aláírásával kötelezettséget.

Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.

Füzessy Tamás üzletág igazgató A FreeSoft a megújult elektronikus ügyintézésért.

Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

E-IRATKEZELÉS A LEVÉLTÁRI TÖRVÉNY MÓDOSULÁSÁNAK TÜKRÉBEN.

26/09/20161 Elektronikus számlázás ellenőrzési tapasztalatai Czöndör Szabolcs Elektronikus Kereskedelem Ellenőrzési Osztály.

A közfeladatot ellátó szervek egységes iratkezelését szabályozó törvény aktualitásai és a megvalósítás lehetőségei május.

1. „Úton az elektronikus levéltár felé” konferencia Informatikai iratkezelő rendszerek minősítése, tanúsítása, az iratkezelő szoftverek jogszabályi.

A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.

1 Közigazgatási Szervek Egységes Iratkezelésének Szabályozása Beszámoló a KEIR projekt eredményeiről Előadó: Kakuk Ilona KEIR projektmenedzser November.

Füzessy Tamás üzletág igazgató A MOREQ és a KEIR összehasonlítása.

Elektronikus iratkezelés és megőrzés: az ügyvédi kar tapasztalatai Hagyományos iratkezelés az elektronikus dokumentumok világában szeptember 30.

Biztonsági követelmények a beszállítókkal szemben

„Nem a papírra van szükség, hanem a rajta lévő információra!”

Adatvédelem – közérdekűség, átláthatóság, nyilvánosság

Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.

Úton az elektronikus levéltár felé

Akkreditált IT terméktanúsítás - a NAT szerepe a tanúsításban

Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

ELEKTRONIKUS ALÁÍRÁS E-JOG.

ISO/IEC Software Asset Management szabvány

MIT TEGYÜNK HA BEKÖVETKEZETT A BAJ

A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr

Az informatikai biztonság irányításának követelményrendszere (IBIK)

A hivatalos statisztikáról szóló évi CLV. törvény bemutatása Dr

Őszintén az archiválásról

Az önkormányzati ASP és az önkormányzatok elektronikus ügyintézési feladatai Pécs, november 23.

A GDPR jogi vonatkozásai

Az I-DOK rendszer és ami mögötte van

Főnyilvántartó könyv 1. minta.

TŰZÁLLÓ KÁBELRENDSZEREK TANÚSÍTÁSA

Megfelelőség értékelés a jogi szabályozása, terméktanúsítás kijelölés alapján HTE Informatikai terméktanúsítási szakosztály - DMS Labor április 25.

Előadás másolata:

Stipkovits István ISZ auditor SGS Hungária Kft. A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor SGS Hungária Kft. Korábban infobiztonsági auditorként álltam e közösség előtt Ma az információbiztonság egy konkrét alkalmazásáról lesz szó, ugyanis az SGS Hungária Kft. szűk egy évvel ezelőtt kijelölést nyert iratkezelő szoftverek tanúsítására

Miről lesz szó? A rendelet követelményei Tanúsítási folyamat Az SGS minősítési módszertana Biztonsági követelmények

Az ISZ tanúsítási rendelet 24/2006 (IV.29) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről ISZ: iratkezelési szoftver Iratkezelés: érkeztetés → iktatás → …→ selejtezés/levéltározás Közfeladatot ellátó szerv: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv és személy Iratkezelés alapvetően irat/ügyirat életciklusának nyomonkövetését jelenti az érkeztetéstől, iktatáson át a selejtezésig illetve levéltárba adásig. Az általam talált meghatározás a közfeladatot ellátó szervre nem egyértelmű (önmagával definiálja magát).

Az ISZ tanúsítási rendelet Hatályba lépés: Papír alapú dokumentumok: 2006 május Elektronikus dokumentumok ISZ-en belüli tárolása és kezelése: 2009. január 1. Kapcsolódó rendeletek 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 16/2006. (IV. 6.) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelőségét tanúsító szervezetek kijelölésének részletes szabályairól A rendelet 2006. áprilisában került kiadásra és 8 nap múlva életbe és lépett. Sok szervezet nem tud, a jogszabályi környezet nem engedi számára, vagy nem akar elektronikus iratok kezelésére áttérni akkor. Pl. kis önkormányzatoknál informatikai háttér és ismeretek sincsenek még az elektronikus iktatásra sem, nemhogy elektronikus iratok kezelésére. A rendeletek nem írják elő, hogy iktató szoftvert kell használni. Ma azt sem, hogy ha szoftvert használ egy szervezet, akkor annak a szoftvernek elektronikus iratok kezelésére is képesnek kell lennie, csak azt, ha elektronikus iratokat kezelnek, akkor milyen követelményeket kell teljesítsen a szoftver. A készülő rendeletmódosítások ennek ellenére erőltetni akarják minden szervezetnél elektronikus iratkezelésre alkalmas szoftverre való áttérést 2009.01.01-től, holott ezt sok helyütt nem tudják majd kihasználni. Nem minden iratkezelési aktusra van előírás a Rendeletben, itt a 335/2005 előírásai az irányadók.

A 24/2006 rendelet követelményei Határterület: iratkezelés - információbiztonság Cél Minimálkövetelmények rögzítése Egységes ISZ funkcionalitás Követelmény típusok ISZ elvárt és tiltott működése Kezelt információ köre (metaadatok) Biztonsági követelmények Megfelelés szintjei Szűkített: csak papír alapú iratok kezelése Teljeskörű: elektronikus iratok kezelése is Kibővített: kapcsolat az ügyfélkapuval is A követelmények nem mindenben egyértelműek – a jogászok az auditorokhoz hasonlóan a korrektség kedvéért sokszor feláldozzák az érthetőséget Követelmények nem egyszer a kialakult papír alapú megoldásokból indulnak ki, így nehezebb az informatikában rejlő lehetőségeket kihasználni.

Tanúsítási sajátságok Terméktanúsítás Audit fázisok Dokumentáció vizsgálat Helyszíni audit Mintavételezés Eltérések besorolása: csak lényeges Tanúsítvány érvényessége 3 év Terméktanúsítás: nem a termék előállítás folyamatát, hanem az elkészült terméket vetjük össze egy követelményrendszerrel Tanúsítói tapasztalat, hogy a tanúsításra jelentkezők azokat a pontokat keresik, ahol a tanúsítók elfogadják a tanúsítást kérő által az idők során kialakított működési módokat, megoldásokat, hogy ne kelljen ezen változtatni, mégis tanúsítvánnyal rendelkezzen a szoftver.

Garanciális elemek vizsgálata Vizsgálati módszerek Garanciális elemek vizsgálata Követelményspecifikáció, fejlesztés és tesztelés dokumentáltsága Funkcionális tesztek Pozitív: 59 db egyszerű, 46 db bővített Negatív: 7 db kihívásos A garanciális elemeknél már megjelenik az információbiztonság: tervezés, tesztelés. A biztonsági követelmények teljesülése tipikusan kihívásos tesztekkel ellenőrizhető, bár a naplózás pozitív tesztekkel is vizsgálható. A pozitív (funkcionális) tesztek valamely funkció meglétének és megfelelő működésének a vizsgálatát jelentik egyszerű teszt esetén egy, bővített teszt esetén több tesztadaton. A negatív tesztek bizonyos események be-nem-következését ellenőrzik, azaz értelemszerűen biztonsági elvárások teljesülését hivatottak ellenőrizni. (pl. jogosultság nélküli adatmódosítás megtagadása).

A 24/2006 rendelet követelményei 2. Általános követelmények 3. Iktatókönyvekkel kapcsolatos követelmények 4. Az irattári tervvel kapcsolatos követelmények 5. Iratok iktatása 6. Ügyiratok, iratok kezelése 6.1. Ügyiratok és iratok 6.2. Az iratok mozgásának nyomon követése, statisztikák 6.3. Kapcsolatok ügyiratok és iratok között 6.4. Nem elektronikus iratok kezelése 6.5. Adatok keresése, adatvisszanyerés 7. Jogosultság, adatbiztonság, adatvédelem 7.1. Jogosultság 7.2. Adatok mentése és helyreállítása 7.3. Eseménynaplózás 7.4. Iratok hitelessége 8. Átadás, exportálás, selejtezés 8.1. Felülvizsgálat 8.2. Megőrzési idő 8.3. Az átadás, exportálás és megsemmisítés 9. Iratátvétel/importálás 10. Megjelenítés 11. Műszaki és teljesítmény követelmények, integráció 11.1. Hálózati üzemeltethetőség 11.2. Műszaki szabványok 11.3. Teljesítmény és skálázhatóság 11.4. Elektronikus aláírás 12. Metaadatok 13. Követelményrendszer értelmezése A szakmai követelmények itt is a mellékletben vannak.

Példák információbiztonsági követelményekre 7.2.1 Az ISZ-ben gondoskodni kell az adatok manuális és/vagy automatizált biztonsági mentését és helyreállítását szolgáló eljárásokról,… ISO/IEC 27001/A10.5.1 – másolatok készítése 7.3.4 Az ISZ-nek lehetővé kell tennie a naplóállományokhoz való hozzáférés követhetőségét, a betekintések dokumentálását, valamint a naplóállományok megőrzését. ISO/IEC 27001/A10.10.3 – naplóinformáció védelme

Példák információbiztonsági követelményekre 7.4.1 Az ISZ-nek nem szabad megengednie, hogy a felhasználók megváltoztassák az érkeztetett, kiadmányozott, vagy más számára már ügyintézési célból átadott elektronikus irat tartalmát. ISO/IEC 27001/A12.3.1 – kriptográfiai eljárások használata 8.1.4 Az ISZ-nek figyelmeztetnie kell a felhasználót arra, ha a megsemmisítendő elektronikus ügyiratra egy másik ügyirat hivatkozik (van a két irat között e rendszerben létrehozott kapcsolat) és szüneteltetnie kell a megsemmisítési folyamatot az alábbi korrekciós intézkedések valamelyikének megtételéig: … ISO/IEC 27001/A12.2.2 – belső feldolgozás ellenőrzése

Példák információbiztonsági követelményekre 8.3.7 Az ISZ-nek jelentést kell készítenie az átadás, exportálás vagy megsemmisítés során bekövetkező bármely meghibásodás részleteiről. ISO/IEC 27001/A10.10.5 - hibanaplózás 6.1.7 Ügyirat, irat - leszámítva a levéltárba adás/selejtezés folyamatát - ne legyen törölhető az iratkezelési szoftverben. 7.2.2 Az adatok teljes körű integritását a helyreállítást követően is meg kell őrizni. ISO/IEC 27001/A15.1.3 – szervezeti feljegyzések védelme

Kapcsolódó ISO 27001 óvintézkedések Az információbiztonság szervezete A6.1.4 – jóváhagyási folyamat Kommunikáció és működés irányítása A10.1.3 – kötelességek szétválasztása A10.3.1 - kapacitástervezés A10.4.1 – óvintézkedések a rosszindulatú szoftverek ellen A10.5.1 – másolatok készítése A10.8.1 – információcsere szabályozása és módja A10.10.1 – eseménynaplózás A10.10.2 – rendszerhasználat figyelése A10.10.3 – naplóinformáció védelme A10.10.5 - hibanaplózás Hozzáférés szabályozás A11.2.1 – felhasználók nyilvántartása Beszerzés, fejlesztés A12.2.2 – belső feldolgozás ellenőrzése A12.3.1 – kriptográfiai eljárások használata A12.5.4 – információ szivárgás Megfelelés A15.1.1 – vonatkozó jogszabályok azonosítása A15.1.3 – szervezeti feljegyzések védelme A15.1.4 – személyes adatok védelme +1 kérdés: még egy hivatkozás biztosan hiányzik a felsorolásból, pedig az összes követelmény léte ehhez kapcsolható: A12.1.1 – biztonsági követelmények elemzése és előírása Amit ésszerűen el lehet várni a szoftvertől illetve a fejlesztőtől információbiztonsággal kapcsolatban, azt a rendelet tartalmazza is. Információbiztonsági szempontból jól átgondolt rendelet

Köszönöm a figyelmet! Stipkovits István ISZ auditor SGS Köszönöm a figyelmet! Stipkovits István ISZ auditor istvan.stipkovits@sgs.com Bizonyíték nemcsak az audit feljegyzés, hanem a vizsgált szoftver is, ezt is megőrizzük.