avagy a zártság dilemmái Közüzemi számlázás, avagy a zártság dilemmái
Áttekintés Törvényi háttér Anomáliák A megfelelőség sajátosságai
Törvényi háttér Közüzemi törvények: 2003. évi C. törvény az elektronikus hírközlésről 2007. évi LXXXVI. törvény a villamos energiáról 2008. évi XL. törvény a földgázellátásról 2011. évi CCIX. törvény a víziközmű-szolgáltatásról 2014. 10. …számlázási rendszer információbiztonsági megfeleltetéséről … az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvénynek megfelelően és módon köteles gondoskodni.
Törvényi háttér - módszertan 2013. évi L. trv. az állami és önkormányzati szervek elektronikus információbiztonságáról 77/2013. (XII. 19.) NFM rendelet egyedi számlázó szoftverek esetén a vizsgálatnak ki kell terjednie a számlázó szoftver forráskódszintű elemzésére meglévő terméktanúsítvány nyilvános, nemzetközi sérülékenységi adatbázis
Törvényi háttér - hatókör (+) számlázási rendszer számlázó szoftver termék (konkrét beállításainak, telepítésének és üzemeltetésének ellenőrzése) a díjak hibátlan kiszámítását végző rendszerelemek a számlázási folyamathoz szükséges összes releváns bemeneti adatot kezelő rendszerelem (-) a számlák kiállításához közvetlenül nem tartozó rendszerelemek nem esnek a tanúsítás hatáskörébe
Törvényi háttér - ITS követelmények „Általános információbiztonsági” zártság adminisztratív fizikai logikai intézkedések Jogosulatlan hozzáférés Észrevétlen módosítás bizalmasság sértetlenség rendelkezésre állás
Törvényi háttér - határidő 2015.01.01. … bekezdésben szabályozott feltételeknek nem megfelelő számlázási rendszerből kiállított számla érvénytelen.
Anomáliák „Versenyigazgatási szektor” Határidő dilemmák Az IBF kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal Határidő dilemmák Államigazgatás: 0-1 szint (1 év); 1-2 szint (+2év); 2-3 szint (+2év)=0-3 szint (5év) Közmű szektor: 2 szint (3 hónap) Felkészülés 0-3 szintre: min. 6 hónap Tanúsítás min. 2 hónap (forráskód szintű elemzés esetén min. 3 hónap)
Anomáliák Milyen magas a léc? Távközlési dilemma Minimum szintek az államigazgatásra Tanúsítói döntés vagy szervezeti önbesorolás Milyen szint kell most? (0+stratégia is elég?) Távközlési dilemma Tételes számlamelléklet Csak a forgalmi díjas, vagy a havi fix díjas is? (pl.: internet) Szervezeten kívüli rendszerelemek? Erőművek, elosztók, kereskedők? Egyedi számlázó szoftverek kérdése Mitől nem egyedi? Hozzájutás a forráskódhoz
A megfelelőség sajátosságai: 3. szint
A megfelelősség sajátosságai 77/2013 Termék és irányítási rendszer követelmények ISO/IEC 27001 Irányítási rendszer követelmények 3.3.8.9. A naplóinformációk védelme 3.3.10.4. A biztonsági események kezelése A 12.4.2 Rendszervizsgálat adatainak védelme A 13.2.1 Információbiztonsági incidensek, felelősségek és eljárások
A megfelelősség sajátosságai: ISO/IEC 27001 77/2013 (3. szint) Adminisztratív 3.1.7.4. A biztonsági képzésre vonatkozó dokumentációk 3.1.6.3. Munkakörök, feladatok biztonsági szempontú besorolása Fizikai 3.2.1.7. A fizikai hozzáférések felügyelete 3.2.1.8. A látogatók ellenőrzése Logikai 3.3.1.2. Alapkonfiguráció 3.3.1.6. Konfigurációs beállítások 3.3.6.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek
A megfelelőség sajátosságai: ISO/IEC 27001 77/2013 (3. szint) Logikai 3.3.6.18. Nyilvánosan elérhető tartalom 3.3.7.5. Az elektronikus információs rendszer felügyelete 3.3.7.12. A kimeneti információ kezelése és megőrzése 3.3.8.2. Naplózható események 3.3.8.5. Naplózási hiba kezelése 3.3.9.5. Szolgáltatás megtagadás alapú támadás elleni védelem 3.3.9.22. A folyamatok elkülönítése: (elkülönített végrehajtási tartományt minden végrehajtó folyamat számára) 3.3.10.5. A biztonsági események figyelése 3.3.10.7. Segítségnyújtás a biztonsági események kezeléséhez
:) :( ! ? Összegzés Markáns törvényi háttér A biztonság államigazgatási szektorban történő megjelenésének üdvözlése Kérdéses átültetés a versenyszférára Jelen állapot szerint, szinte kivitelezhetetlen megvalósítás
Köszönöm a figyelmet! Faragó János CISA farago.janos@andrews.hu