avagy a zártság dilemmái

Slides:



Advertisements
Hasonló előadás
Információbiztonság irányítása
Advertisements

Az elektronikus közigazgatási rendszerek biztonsága
Információbiztonság vs. informatikai biztonság?
AZ INFORMATIKAI BIZTONSÁG
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Felsőfokú egészségügyi oklevelek elismerése
A védelmi bizottság elnökének katasztrófavédelmi feladatai Jogszabályi háttér: § §1999. évi LXXIV. törvény a katasztrófák elleni védekezés irányításáról,
Nagy Zoltán Attila CISM
Az Ibtv. civil-szakmai támogatása
ENVI-ART Környezetvédelmi Tanácsadó és Szolgáltató Kft.
Információbiztonság a Magyar Köztársaság közigazgatásában dr
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
A FOLYAMATBA ÉPÍTETT ELLENŐRZÉS JELLEMZŐI
A 100%-os helyszíni ellenőrzés koncepciója
Levegőtisztaság-védelem 10. előadás Engedélyezési eljárások, eljáró hatóságok, eljárások menete, engedélykérelmek tartalmi követelményei.
Új kihívások a katasztrófavédelemben
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
Jogszabályi háttér A katasztrófavédelem a polgári védelem és a tűzoltóság országos és területi szerveinek összevonásával alakult meg január 1- jével,
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság
Az adatbiztonság fizikai biztonsági vetülete
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Elektronikus információbiztonsági kihívások – új szempontból – a Magyar Honvédségnél
A rendészet szervei.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Adatbiztonság, adatvédelem, kockázatelemzés
A BEJELENTŐ-VÉDELEM HELYE ÉS SZEREPE AZ OMBUDSMANI TEVÉKENYSÉGBEN
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
Stipkovits István ISZ auditor SGS Hungária Kft.
77/ Követelmények és a gyakorlat
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
„Információvédelem menedzselése VIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Hulladékgazdálkodás önkormányzati feladatai december 6. Szeged Csongrád Megyei Kormányhivatal Törvényességi Felügyeleti Főosztály Dr. Balogh Zoltánné.
A kapacitás fenntartási program a nukleáris biztonsági hatóság szemszögéből Hullán Szabolcs GTTSZ konferencia „atomenergia=ellátásbiztonság” november.
E-számlázás gyakorlata és ellenőrzése Czöndör Szabolcs Ellenőrzést Támogató Főosztály főosztályvezető.
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.
A Magyar Telekom csoport e-számla megoldásai „Elektronikus számlázás – MOST!” konferencia március 7.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.
Adatbiztonság egy évszázadig Vinczéné Géczy Gabriella Országos Nyugdíjbiztosítási Főigazgatóság.
26/09/20161 Elektronikus számlázás ellenőrzési tapasztalatai Czöndör Szabolcs Elektronikus Kereskedelem Ellenőrzési Osztály.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Az elektronikus számla adóigazgatási azonosításra alkalmassága.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Nemzeti Energetikusi Hálózat
A környezet védelmének általános szabályairól szóló évi LIII. tv.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Úton az elektronikus levéltár felé
Akkreditált IT terméktanúsítás - a NAT szerepe a tanúsításban
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Országos Statisztikai Tanács
Mezőgazdasági termékek élelmiszerbiztonsága
A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr
Ki kell-e nyomtatni az elektronikus számlát?
Keringer Zsolt osztályvezető
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
A hivatalos statisztikáról szóló évi CLV. törvény bemutatása Dr
Szenzor Gazdaságmérnöki Kft.
ETS-létesítményeket, EU-ETS hitelesítőket
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
MUNKAVÉDELMI ELLENŐRZÉS ZÖKKENŐMENTESEN? munkabiztonsági szakmérnök
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Előadás másolata:

avagy a zártság dilemmái Közüzemi számlázás, avagy a zártság dilemmái

Áttekintés Törvényi háttér Anomáliák A megfelelőség sajátosságai

Törvényi háttér Közüzemi törvények: 2003. évi C. törvény az elektronikus hírközlésről 2007. évi LXXXVI. törvény a villamos energiáról 2008. évi XL. törvény a földgázellátásról 2011. évi CCIX. törvény a víziközmű-szolgáltatásról 2014. 10.  …számlázási rendszer információbiztonsági megfeleltetéséről … az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvénynek megfelelően és módon köteles gondoskodni.

Törvényi háttér - módszertan 2013. évi L. trv. az állami és önkormányzati szervek elektronikus információbiztonságáról 77/2013. (XII. 19.) NFM rendelet egyedi számlázó szoftverek esetén a vizsgálatnak ki kell terjednie a számlázó szoftver forráskódszintű elemzésére meglévő terméktanúsítvány nyilvános, nemzetközi sérülékenységi adatbázis

Törvényi háttér - hatókör (+) számlázási rendszer számlázó szoftver termék (konkrét beállításainak, telepítésének és üzemeltetésének ellenőrzése) a díjak hibátlan kiszámítását végző rendszerelemek a számlázási folyamathoz szükséges összes releváns bemeneti adatot kezelő rendszerelem (-) a számlák kiállításához közvetlenül nem tartozó rendszerelemek nem esnek a tanúsítás hatáskörébe

Törvényi háttér - ITS követelmények „Általános információbiztonsági” zártság adminisztratív fizikai logikai intézkedések Jogosulatlan hozzáférés Észrevétlen módosítás bizalmasság sértetlenség rendelkezésre állás

Törvényi háttér - határidő 2015.01.01. … bekezdésben szabályozott feltételeknek nem megfelelő számlázási rendszerből kiállított számla érvénytelen.

Anomáliák „Versenyigazgatási szektor” Határidő dilemmák Az IBF kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal Határidő dilemmák Államigazgatás: 0-1 szint (1 év); 1-2 szint (+2év); 2-3 szint (+2év)=0-3 szint (5év) Közmű szektor:  2 szint (3 hónap) Felkészülés 0-3 szintre: min. 6 hónap Tanúsítás min. 2 hónap (forráskód szintű elemzés esetén min. 3 hónap)

Anomáliák Milyen magas a léc? Távközlési dilemma Minimum szintek az államigazgatásra Tanúsítói döntés vagy szervezeti önbesorolás Milyen szint kell most? (0+stratégia is elég?) Távközlési dilemma Tételes számlamelléklet Csak a forgalmi díjas, vagy a havi fix díjas is? (pl.: internet) Szervezeten kívüli rendszerelemek? Erőművek, elosztók, kereskedők? Egyedi számlázó szoftverek kérdése Mitől nem egyedi? Hozzájutás a forráskódhoz

A megfelelőség sajátosságai: 3. szint

A megfelelősség sajátosságai 77/2013 Termék és irányítási rendszer követelmények ISO/IEC 27001 Irányítási rendszer követelmények  3.3.8.9. A naplóinformációk védelme 3.3.10.4. A biztonsági események kezelése A 12.4.2 Rendszervizsgálat adatainak védelme A 13.2.1 Információbiztonsági incidensek, felelősségek és eljárások

A megfelelősség sajátosságai: ISO/IEC 27001  77/2013 (3. szint) Adminisztratív 3.1.7.4. A biztonsági képzésre vonatkozó dokumentációk 3.1.6.3. Munkakörök, feladatok biztonsági szempontú besorolása Fizikai 3.2.1.7. A fizikai hozzáférések felügyelete 3.2.1.8. A látogatók ellenőrzése Logikai 3.3.1.2. Alapkonfiguráció 3.3.1.6. Konfigurációs beállítások 3.3.6.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek

A megfelelőség sajátosságai: ISO/IEC 27001  77/2013 (3. szint) Logikai 3.3.6.18. Nyilvánosan elérhető tartalom 3.3.7.5. Az elektronikus információs rendszer felügyelete 3.3.7.12. A kimeneti információ kezelése és megőrzése 3.3.8.2. Naplózható események 3.3.8.5. Naplózási hiba kezelése 3.3.9.5. Szolgáltatás megtagadás alapú támadás elleni védelem 3.3.9.22. A folyamatok elkülönítése: (elkülönített végrehajtási tartományt minden végrehajtó folyamat számára) 3.3.10.5. A biztonsági események figyelése 3.3.10.7. Segítségnyújtás a biztonsági események kezeléséhez

:) :( ! ? Összegzés Markáns törvényi háttér A biztonság államigazgatási szektorban történő megjelenésének üdvözlése Kérdéses átültetés a versenyszférára Jelen állapot szerint, szinte kivitelezhetetlen megvalósítás

Köszönöm a figyelmet! Faragó János CISA farago.janos@andrews.hu