77/ Követelmények és a gyakorlat

Slides:



Advertisements
Hasonló előadás
A szabványosítás és a szabvány fogalma, feladata
Advertisements

A rendvédelmi szervek helye a kibervédelemben
Információbiztonság irányítása
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Humán rendszerek, közszféra
Információbiztonság vs. informatikai biztonság?
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Nagy Zoltán Attila CISM
Az Ibtv. civil-szakmai támogatása
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Powerpoint Templates. Page 2  Tehetetlenek  Sajnálatra méltóak  Nem tudnak önmagukról gondoskodni  Nem képesek tanulni  Nem tudnak dolgozni  Az.
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
Az első lépések Dr. Kadocsa Ildikó, osztályvezető
A Nemzeti Közszolgálati Egyetem közigazgatás-tudományi karának minőségcéljai a 2012/2013. oktatási évre dr. Almásy Gyula szakcsoportvezető Közigazgatásszervezési.
1 eEgészség – Digitális Aláírás Előadás a projekt lezárásához „Megbízható harmadik fél szolgáltatás, a digitális aláírás bevezetése az egészségügyi ágazatban”
Szabványok és ajánlások az informatikai biztonság területén
MTA Statisztikai és Jövőkutatási Tudományos Bizottsága
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A települések polgári védelmi sorolásának szabályai Jogszabályi háttér § §114/1995. (IX. 27.) Korm. rendelet a települések polgári védelmi besorolásának.
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
Munkahelyi egészség és biztonság
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
Szakirányválasztási eljárás - Orientációs eljárás.
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
A pénzügyi felügyelés fő irányai Európában Dr. Szász Károly elnök Új kihívások előtt a biztosítási piacok A Magyar Biztosítók Szövetségének I. Biztosítási.
Adatvédelmi alapelvek
Az érintettek jogai, jogérvényesítési lehetőségek.
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Anyagvizsgálat a Gyakorlatban 7. Szakmai Szeminárium Tóth Péter MVM Paks II. Atomerőmű fejlesztő ZRt. Nukleáris Osztály VII. AGY, Új atomerőművek.
Mobileszköz védelem közigazgatási környezetben Dr. Krasznay Csaba NKE KTK EFI ITB.
dr. Nagy Ádám főosztályvezető Ipari és Építésgazdasági Főosztály
Ellenőrzés, karbantartás, felülvizsgálat
INTÉZMÉNYI KÖR NYILVÁNTARTÁS AKKREDITÁCIÓ ENGEDÉLYEZÉS.
2014. június 12. Lackó Péter Clarity
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Minőségbiztosítási ismeretek
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Jogi alapfogalmak. Társadalmi normák A társadalmi normáknak nevezzük az emberek életét, tevékenységét meghatározó magatartási szabályok összességét, amelyeknek.
Az adatvédelem szabályozása
Köz beszerez; ÉS? avagy informatikai biztonság a központosított közbeszerzésben.
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
avagy a zártság dilemmái
Nyíregyháza június 1..  Speciális élethelyzet, speciális és egyénre szabott segítségek.  Érintettségből adódó rálátás a helyi szükségletekre.
Nagykanizsa július – HEP munkatalálkozók tapasztalatainak összegzése- a szervezetek szemével Közös fellépési lehetőségek a tapasztalok.
A kapacitás fenntartási program a nukleáris biztonsági hatóság szemszögéből Hullán Szabolcs GTTSZ konferencia „atomenergia=ellátásbiztonság” november.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
FÜGGETLENSÉG Készítette: Szabó Gabriella. Nemzetközi szabályozás A Könyvvizsgálók Nemzetközi Szövetsége (IFAC) által kiadott Könyvvizsgálói Etikai Kódex.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Az ideiglenes biztosítási intézkedés elrendelésének általános és különös szabályai Villányi- Kollár Károly Dusán okleveles nemzetközi adószakértő.
A közigazgatási eljárás II.
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Elektronikus aláírás és iratkezelés
A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr
Keringer Zsolt osztályvezető
Az informatikai biztonság irányításának követelményrendszere (IBIK)
A hivatalos statisztikáról szóló évi CLV. törvény bemutatása Dr
Szenzor Gazdaságmérnöki Kft.
Közbeszerzési Döntőbizottság
Nagyobb biztonság vagy több adminisztráció? - Górcső alatt a GDPR
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Új adatvédelmi szabályok – Az EU adatvédelmi rendelete
Előadás másolata:

77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő határidő, 2014. július 1. Lassan ki kell, hogy derüljön, hogyan lehet a követelményeknek megfelelni… LEGAL NOTICE: nem vagyok jogalkotó, nem vagyok hatóság, minden, ami itt elhangzik csak pletyka gyakorlati tapasztalat!

A követelmények A 77/2013 hosszú és érdekes olvasmány. Tessék alaposan elolvasni! Felépítése: Biztonsági osztályba sorolás irányelvei Biztonsági szintbe sorolás irányelvei Besorolási útmutató Eltérések, helyettesítő biztonsági intézkedések (!!!) Védelmi intézkedések katalógusa

77/2013 FAQ Kockázatelemzés vs. kötelező osztálybasorolás Kérdés: az elektronikus információs rendszereket kockázatelemzés vagy a rendelet szerint kell osztályba sorolni? Tanács: A vonatkozó szempontrendszer ajánlás, segédlet. Célja az érintettek segítése, nem kötelező ennek alkalmazása. 1.3. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni. 2.1. Az Ibtv. szerint a besorolás elvégzése a következő elvek figyelembevételével az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek. A meglevő védelmi intézkedések hatása a besorolásra Kérdés: ha a meglevő védelmi intézkedések csökkentik a kockázati szintet, akkor csökkentik az osztályba sorolási értéket is? Tanács: A jogszabály zárt szabályozási rendszert hozott létre. Ha a csökkenő kockázati szint miatt elhagyok egy védelmi intézkedést, a kockázat nő(het), így magasabb osztályba fogok tartozni. 1.2.7.1. Azok a biztonsági intézkedések, amelyek kizárólagosan támogatják a bizalmasságot, a sértetlenséget és a rendelkezésre állást, visszasorolhatók (vagy módosíthatók, kivehetők, ha alacsonyabb szinten nincsenek meghatározva) alacsonyabb szintre, ha ez az alacsonyabb szintű besorolás: 1.2.7.1.3. az érintett szervezetre végrehajtott kockázatelemzés szerint indokolható;

77/2013 FAQ Kétévenkénti szintemelés rendszerenként vagy infrastruktúránként? Kérdés: Ha A és B rendszert 4-es szintre kell hozni, de A most 3-as, B pedig 2-es, hány évem van? Tanács: a két év rendszerenként értendő, tehát A-re 2, B-re 4 évem van 2.1. A helyettesítő biztonsági intézkedés olyan eljárás, amelyet az érintett szervezet a reá irányadó biztonsági szinthez tartozó biztonsági intézkedés helyett alkalmazni kíván, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például törvényeknek, vagy szervezeti szintű szabályzóknak) való megfelelést. Milyen kockázatelemzés lesz elfogadható? Kérdés: Milyen kockázatelemzési módszertan elfogadható? Tanács: a kockázatelemzést a szervezet saját maga határozza meg. Kiindulási pontként használhatók a KIB 25 és KIB 28 ajánlások. 11. § (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: f) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,

77/2013 FAQ Hogyan kell kiválasztani a követelményeket? Kérdés: mi alapján jönnek ki az egyes követelmények: Tanács: CIA besorolás EIR-enként, fizikai besorolás maxFL(CIAEIR), adminisztratív besorolás max(CIAEIR), figyelembe véve a lehetséges eltéréseket! 1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni. Az idő kevés, a feladat nagy… Kérdés: Hogyan lehet százas nagyságrendű rendszerre elvégezni a korrekt besorolást ilyen rövid idő alatt? Tanács: Általában „tudjuk”, hogy melyek a legfontosabb rendszerek. Ami (szerintem) a legfontosabb: történjen meg az adatvagyon felmérése, a legfontosabb rendszerekre vonatkozóan a kockázatelemzés és a besorolás. Minden más 1. vagy 2. biztonsági osztály további intézkedésig. 8. § (1) A biztonsági osztályba sorolást legalább háromévenként vagy szükség esetén soron kívül, dokumentált módon felül kell vizsgálni. (2) A soron kívüli biztonsági osztályba sorolást az elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás vagy új elektronikus információs rendszer bevezetése esetén szükséges elvégezni. A soron kívüli felülvizsgálatot akkor is el kell végezni, ha a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatok vonatkozásában változás következik be.

77/2013 FAQ Ki kell dobnom a meglevő szabályozást? Kérdés: van egy létező IBIR-em, mi legyen vele? Tanács: Nem, a létező IBIR-eknek tovább kell élnie! A rendelet ősforrása a NISTSP 800-53 Rev. 4, ebben találhatók összerendelési táblázatok pl. az ISO 27001-hez. Elvileg a létező IBIR-hez kevéssé kell hozzányúlni. 1.2.5.1. A tervezett, vagy már működtetett elektronikus információs rendszerekre alkalmazott biztonsági intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is. Mi lesz a minősített adatokkal? Kérdés: Hogy viszonyul a 77-es a Mavtv.-hez? Tanács: Amíg az NBF máshogy nem rendelkezik, a 77-es mérvadó a minősített adatokat kezelő EIR-ek követelményeivel kapcsolatban. (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni,

77/2013 FAQ Vonatkozik a rendelet a bankra/gyárra/telco szolgáltatóra? Kérdés: A rendelet kizárólag az állami és önkormányzati szervezetekre vonatkozik, vagy másra is? Tanács: Az Ibtv. hatálya kiterjed az állami szervek adatkezelőire, a nemzeti adatvagyon feldolgozóira és a létfontosságú rendszerelemekre is! Ez utóbbiakra akkor fog kiterjedni, ha kijelölik őket! (2) A hatóság feladata: f) javaslattétel a létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére, Hova forduljak segítségért? Kérdés: Milyen segítség áll rendelkezésre a határidő sikeres teljesítéséhez? Tanács: A NEIH honlapján található egy kitöltési útmutató, a KIB ajánlások továbbra is használhatók, a NIST SP 800-53 meglehetősen hasonló a 77-eshez, az NKE megkezdte a felelősök képzését, a tanácsadók pedig sorban állnak, hogy segíthessenek… A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.

Hogyan tovább? Ne felejtsük el: az Ibtv. egy meglehetősen rugalmas keret, amit hosszú távon tudunk ideálisan kitölteni! Mindenkinek a részéről szükség van egyfajta rugalmasságra a jog keretei között! A beavatkozási pontok egyébként is az állam rendelkezésére állnak! Ne feledjük, bizonyos értelemben úttörők vagyunk, a gyakorlatot EGYÜTT kell kialakítanunk!

Köszönöm a figyelmet! Dr. Krasznay Csaba E-mail: krasznay.csaba@uni-nke.hu Web: www.krasznay.hu Köszönöm a figyelmet!