E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP

Az előadások a következő témára: "E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP"— Előadás másolata:

1 e-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP szigi@ik.bme.hu

2 Tartalom Két szó a biztonságról Eddig fejlesztések tanulságai A biztonság helye a fejlesztésekben Mi várható?

3 Biztonság definíciója Bizalmasság Sértetlenség –Hitelesség –Letagadhatatlanság –Elszámoltathatóság Rendelkezésre állás Információ védelem – informatikai védelem – adatvédelem

4 Biztonság jellemzői A hiányát érzékeljük! Nem külön rendszerkomponens Több összetevő Minden, mindennel összefügg Nem állapot – folyamat Nincs 100%-os védelem Kompromisszum Emberi tényező kiemelkedő szerepe

5 Tanulságok Korábbi fejlesztések: –Szigetszerűség –Kevés figyelem a biztonságra –Kiírások hibái –Szállítóvezérelt megoldások –Nem egyenszilárdságú megoldások –Elfogadási követelmények hiánya –Csak a rendszerre koncentrálás –Fejlesztői tapasztalatlanság

6 Mire építhetünk? ITB 8. számú ajánlása „Informatikai biztonsági módszertani kézikönyv” ITB 12. sz. ajánlás „Informatikai Rendszerek Biztonsági Követelményei” MIBÉTS, Magyar informatikai Biztonsági Értékelési és Tanúsítási Séma MIBIK - IBIK – IBIV (Magyar Informatikai Biztonság Irányítási Keretrendszer, Informatikai Biztonság Irányításának Követelményrendszere, Informatikai Biztonság Irányításának Vizsgálata)

7 Mire építhetünk / 2 KET és kapcsolódó rendelkezések Pl.: –195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról EU környezet További jogszabályok, ajánlások

8 Mire építhetünk / 3 Meglévő rendszerek –Központi rendszer –Ügyfélkapu –Kormányzati gerinc –Cert Hungary –stb. Ne találjunk fel újra semmit!

9 Fejlesztési kérdések Biztonsághoz kell: –Követelményrendszer –Tervezés –Fejlesztés –Ellenőrzés –Üzemeltetés és fenntartás

10 Követelményrendszer Szabályozási környezet követelményei: KET, Személyes adatok védelme, stb. Általános kockázatelemzési módszerek adaptálása (pl.: IHM ajánlás a közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására, stb.) Kapcsolódó rendszerek követelményei (pl.: 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről)

11 Tervezés Biztonságra tervezni kell! Fejlesztési projekteknek részének kell lenni: –erőforrást kell biztosítani –meg kell követelni Oktatási támogatás kell

12 Fejlesztés A biztonságos fejlesztésnek át kell hatnia az egész rendszert Nem lehet utólag biztonságot fejleszteni Hibák nagy része: banális implementációs probléma Megfelelő kompetenciákkal kell rendelkezni, ellenőrizhetően! Oktatás!

13 Ellenőrzés Auditálás, tanúsítás Mi alapján? MIBÉTS… CC Ki jogosult? Pl. EKK (84/2007 korm. rendelet ) Független vizsgáló laboratóriumok Meglévő tanúsítások elfogadása – feltételekkel!

14 Fenntartás Nehéz kérdés: –Erőforrások? –Koordináció? –Információ? Különös figyelem az emberi tényezőre

15 Mi várható? Igazi veszély, ha van motiváció támadásra! e-közigazgatás, e-kormányzat  lesz motiváció! A támadó előnyös helyzetben van és nem alszik Szokatlan (e-specifikus) támadások várhatóak Biztonságos az, amiről sokan állítják (nyílt technológiák!) Emberi tényező kihasználása

16 Merre menjünk? Fontos a központi koordináció! (Pl. EKK) Fontos az egyértelmű követelményrendszer (új ajánlások kellenek!) Elfogadási kritériumok, tanúsítás Proaktivitás minden téren Jövőálló, nyílt megoldások kellenek A technológiai csak a megoldás egy része – általában nem azon múlik! Érintettek informálása, tudatosságnövelés, oktatás

17 Köszönöm a figyelmet! szigi@ik.bme.hu