Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.

Hasonló előadás


Az előadások a következő témára: "Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő."— Előadás másolata:

1 Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság Információvédelem menedzselése XXXVIII. Szakmai Fórum Budapest, 2009. 11. 18.

2 Új jogszabályok Az Elektronikus közszolgáltatásról szóló 2009. évi LX. törvény A törvény végrehajtási rendeletei: 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról

3 A törvény alapelvei Az elektronikus közszolgáltatást nyújtó szervezetek a szolgáltatás nyújtása során biztosítják: a) az ügyintézési folyamatok átláthatóságát, b) a közérdekű, illetve közérdekből nyilvános adatok megismerhetőségét és a személyes, illetve a jogszabályokban védeni rendelt egyéb adatok védelmét, c) az informatikai biztonságot, ideértve az elektronikus irat sértetlenségének, megváltoztathatatlanságának biztosítását, az erre szolgáló elektronikus aláírási technológia alkalmazhatóságát, d) az informatikai rendszerekkel való együttműködés követelményeinek érvényesülését, e) az üzemeltetés folytonosságát, f) az egyenlő bánásmód követelményének érvényesítését. A törvény hatálya alá tartoznak az önkormányzatok és a közüzemi szolgáltatók is!

4 Biztonsági alapelvek személyi profil nem képezhető (technikailag kell biztosítani) azonosítás (tudás alapú; birtoklás alapú; tulajdonság alapú); illetve magas, közepes vagy alacsony biztonsági szinten a magas szint esetén előírás két egymástól független azonosítási módszer – az egyiknek tudás alapúnak kell lennie közepes szint: azonosító és egyszer használatos jelszó (amelyet az internettől független csatornán kell eljuttatni); alacsony szint: a jelenleginek megfelelő ügyfélkapus azonosító és jelszó Távolról történő ügyintézés esetén az előírás általában az alacsony biztonsági szint nem képezhető univerzálisan használható azonosító kód az elektronikus közszolgáltatást nyújtónak kell biztosítania (többek között) az informatikai és kommunikációs rendszerek biztonságos működésének feltételeit; az adatok védelmét a jogosulatlan hozzáféréstől, módosítástól, törléstől, megsemmisüléstől; a személyes adatok védelméhez fűződő jog érvényesülését

5 Üzemeltetési alapelvek kizárólag olyan informatikai és kommunikációs rendszer alkalmazható, amely biztosítja a szolgáltatásokat igénybe vevőkkel való biztonságos kapcsolatot, annak elérhetőségét a szolgáltatás nyújtásához kizárólag olyan, megbízható és tanúsított informatikai rendszerek és termékek használhatók, amelyek lehetővé teszik a hiteles iratcserét, biztosítják az elektronikus iratok sértetlenségét és védettségét, valamint az informatikai rendszerekben tárolt adatok hiteles archiválását az elektronikus közszolgáltatások hitelessége, minősége, üzembiztonsága és a kezelt adatok biztonsága érdekében a központi rendszer részét képező, illetve ahhoz csatlakozó rendszerek egységes biztonsági, valamint a rendszerek együttes működését biztosítani képes szabályok szerint működnek A követelmények teljesülését a Nemzeti Hírközlési Hatóság (NHH) regisztrálja

6 Vhr. a működtetésről 222/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás működtetéséről közigazgatási hatóság az elektronikus kapcsolattartás során - törvény eltérő rendelkezése hiányában - kizárólag a központi rendszer azonosítási szolgáltatását veheti igénybe a központi rendszerhez csatlakozni csak az előírt biztonsági feltételek teljesülése esetén lehet A jelenleg elektronikus közszolgáltatást nyújtó rendszereknek az e rendelet szerinti együttműködési feltételeknek 2011. december 31-ig kell megfelelniük az elektronikus közszolgáltatás biztonságáról szóló kormányrendelet szerinti auditálással együtt

7 Vhr. a biztonságról 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról Legfontosabb részei: Az informatikai biztonsági felügyelő feladatai, hatás- és jogköre A Nemzeti Hálózatbiztonsági Központ Az e-közszolgáltatások értékelése és auditja Alapkövetelmények: A központi rendszer a kritikus infrastruktúra része, védelmét a kritikus infrastruktúrára vonatkozó, nemzetközileg kialakult biztonsági követelményeknek megfelelően kell kialakítani A rendszernek biztosítania kell: a törvényes adatkezelés, a bizalmasság,a sértetlenség, a rendelkezésre állás, valamint a folytonos és a kockázatokkal arányos védelem elvét Elektronikus közszolgáltatás csak az Ekszt. 30. §-ában rögzített tanúsítás megléte, és annak bejelentése esetén folytatható (biztonságos informatikai rendszer)

8 Informatikai biztonsági felügyelő Az elektronikus közszolgáltatást nyújtó rendszerek informatikai biztonságának felügyeletét a közigazgatási informatikáért felelős miniszter (a továbbiakban: miniszter) látja el. A miniszter a feladat ellátására az irányítása alá tartozó informatikai biztonsági felügyelőt jelöl ki. Az informatikai biztonsági felügyelő ellenőrzi az elektronikus közszolgáltatást nyújtó rendszerek eljárási és biztonsági követelményeknek való megfelelőségét Az informatikai biztonsági felügyelő hatásköre a központi rendszer működtetőjére, adatkezelőjére, üzemeltetőjére, az elektronikus közszolgáltatást nyújtó szervezetek, valamint a számukra a rendszer üzemeltetéséhez szolgáltatást nyújtó szervezetek informatikai biztonsággal összefüggő tevékenységére terjed ki

9 1.Jóváhagyja a biztonsági irányelvet, szabályzatot és eljárásrendet (kiemelt kockázatot jelentő - azaz adatvesztés, vagy adatokhoz való jogosulatlan hozzáférés veszélyét felvető - hiányosság esetén a szolgáltatást azonnal felfüggeszti!) 2.Ajánlásokat ad ki (Közigazgatási Informatikai Bizottság ajánlásai keretében) 3.Ellenőrzi az eljárási és biztonsági követelményeknek való megfelelőséget, a biztonságirányítási rendszer működtetésének megvalósítását 4.Véleményezi az eljárási cselekmények biztonsági osztályba sorolását 5.Állást foglal a Központi Rendszerhez csatlakozni kívánó szervezetek és szolgáltatások biztonságáról. 6.Jelentések fogadása: Az üzemeltető szervezet félévente tájékoztatást nyújt az informatikai biztonsági eljárásrendek működéséről; I. és II. kategóriájú biztonsági esemény esetén haladéktalanul jelentést tesz az informatikai biztonsági felügyelőnek 7.Vizsgálat: Biztonsági esemény esetén az okok és következmények feltárása érdekében lefolytatja a vizsgálatot 8.Beavatkozás: Az eljárási és biztonsági követelmények nem teljesülése esetén felhívja a hatóságot, a jogszabályban foglaltak szerinti működés helyreállítására Az informatikai biztonsági felügyelő feladatai, hatás- és jogköre

10 Nemzeti Hálózatbiztonsági Központ A kormány a magyar kritikus információs infrastruktúrák védelme, valamint a központi rendszeren megvalósuló kommunikáció biztonsága, a vírus- és más támadások káros hatásainak korlátozása érdekében nemzetközi együttműködéssel hálózatbiztonsági központot működtet. A Központ a miniszter felügyelete alatt áll, működését az informatikai biztonsági felügyelő ellenőrzi A Központ évente jelentést készít tevékenységéről, a potenciális veszélyforrásokról és elhárításuk lehetőségeiről A Központ nemzetközi hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmére szakosodott szervezetekben tagsággal rendelkező, akkreditált szervezet, mely védi a központi rendszer szolgáltatásait az interneten keresztül érkező támadások ellen.

11 A Nemzeti Hálózatbiztonsági Központ Feladatai: Technikai védelmi, megelőző és felvilágosító tevékenységet végez, továbbá képviseli Magyarországot a nemzetközi hálózatbiztonsági és kritikus információs infrastruktúrák védelmére szakosodott együttműködési fórumokon és szervezetekben. A magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúravédelmi szervezetek felé magyar Nemzeti Kapcsolati Pontként (NKP), kormányzati számítástechnikai sürgősségi reagáló egységként (kormányzati CERT) működik, folyamatos rendelkezésre állással;

12 Nemzeti Kapcsolati Pont (NKP) feladatai A Nemzeti Hálózatbiztonsági Központ, mint Nemzeti Kapcsolati Pont (NKP) feladatai: Ellátja a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé az internetet támadási csatornaként felhasználó beavatkozások kezelését és elhárításának koordinálását; Kezeli a magyar és nemzetközi hálózatbiztonsági és kritikus információs infrastruktúra védelmi szervezetek felé a felismert és publikált szoftver sérülékenységeket, a tudomására jutott szoftver sérülékenységeket honlapján, www.cert-hungary.hu magyar nyelven publikálja, illetve a nemzetközi hálózat felé biztosítja a magyar szoftver-sérülékenységekről az angol nyelvű információt;

13 A Nemzeti Hálózatbiztonsági Központ tevékenységei oktatási anyagokat dolgoz ki és tréningeket tart, felvilágosító, szemléletformáló kampányokat szervez, továbbá a tudatosságot növelő honlapot alakít ki és tart fenn az interneten; együttműködik a magyar informatikai és hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmében érintett bűnüldöző szervekkel, akadémiai és iparági szereplőkkel, ennek keretében gyakorlatokat tart és munkacsoportokat működtet, illetve azokban részt vesz.

14 Dokumentáltsági követelmények Minimum informatikai biztonsági követelmények: rendelkezni kell üzemeltetési, valamint informatikai biztonsági szabályzatokkal; üzletmenet-folytonossági, katasztrófaelhárítási tervvel kell rendelkezni; a tárolt és kezelt adatok biztonsága érdekében az elektronikus szolgáltatásra vonatkozóan szolgáltatásműködési szabályzatot kell készíteni; az informatikai rendszerben forgalmazott adatok illetéktelen személy által történő megismerhetőségének megakadályozását elektronikus úton kell biztosítani az adatok keletkezési helyétől azok végső tárolási helyéig bezárólag, beleértve az adatok nyilvános hálózaton történő forgalmazását is; az elektronikus közszolgáltatás informatikai rendszereinek (alrendszereinek) módosítása előzetesen jóváhagyott változáskezelési szabályzat alapján, az abban foglalt eljárásrend betartásával állítható éles üzembe A működtető köteles az elektronikus közszolgáltatást informatikai biztonsági szempontból auditáltatni, illetőleg üzemeltető köteles az elektronikus közszolgáltatáshoz kapcsolódó informatikai rendszert és háttérrendszert informatikai biztonsági szempontból értékeltetni

15 A 223/2009. Vhr. további részei A folyamatok naplózása; A mentés és archiválás rendje; A felhasználók problémáinak kezelése; Az üzemeltetés kiszervezésével kapcsolatos speciális követelmények; Alkalmazásszolgáltató központokra vonatkozó speciális követelmények; Az elektronikus kormányzati gerinchálózat speciális biztonsági követelményei; A központi elektronikus szolgáltató rendszer biztonsági alapdokumentumai.

16 Köszönöm a figyelmet!


Letölteni ppt "Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő."

Hasonló előadás


Google Hirdetések