Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaBalázs Hegedűs Megváltozta több, mint 10 éve
1
e-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP szigi@ik.bme.hu
2
Tartalom Két szó a biztonságról Eddig fejlesztések tanulságai A biztonság helye a fejlesztésekben Mi várható?
3
Biztonság definíciója Bizalmasság Sértetlenség –Hitelesség –Letagadhatatlanság –Elszámoltathatóság Rendelkezésre állás Információ védelem – informatikai védelem – adatvédelem
4
Biztonság jellemzői A hiányát érzékeljük! Nem külön rendszerkomponens Több összetevő Minden, mindennel összefügg Nem állapot – folyamat Nincs 100%-os védelem Kompromisszum Emberi tényező kiemelkedő szerepe
5
Tanulságok Korábbi fejlesztések: –Szigetszerűség –Kevés figyelem a biztonságra –Kiírások hibái –Szállítóvezérelt megoldások –Nem egyenszilárdságú megoldások –Elfogadási követelmények hiánya –Csak a rendszerre koncentrálás –Fejlesztői tapasztalatlanság
6
Mire építhetünk? ITB 8. számú ajánlása „Informatikai biztonsági módszertani kézikönyv” ITB 12. sz. ajánlás „Informatikai Rendszerek Biztonsági Követelményei” MIBÉTS, Magyar informatikai Biztonsági Értékelési és Tanúsítási Séma MIBIK - IBIK – IBIV (Magyar Informatikai Biztonság Irányítási Keretrendszer, Informatikai Biztonság Irányításának Követelményrendszere, Informatikai Biztonság Irányításának Vizsgálata)
7
Mire építhetünk / 2 KET és kapcsolódó rendelkezések Pl.: –195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról EU környezet További jogszabályok, ajánlások
8
Mire építhetünk / 3 Meglévő rendszerek –Központi rendszer –Ügyfélkapu –Kormányzati gerinc –Cert Hungary –stb. Ne találjunk fel újra semmit!
9
Fejlesztési kérdések Biztonsághoz kell: –Követelményrendszer –Tervezés –Fejlesztés –Ellenőrzés –Üzemeltetés és fenntartás
10
Követelményrendszer Szabályozási környezet követelményei: KET, Személyes adatok védelme, stb. Általános kockázatelemzési módszerek adaptálása (pl.: IHM ajánlás a közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására, stb.) Kapcsolódó rendszerek követelményei (pl.: 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről)
11
Tervezés Biztonságra tervezni kell! Fejlesztési projekteknek részének kell lenni: –erőforrást kell biztosítani –meg kell követelni Oktatási támogatás kell
12
Fejlesztés A biztonságos fejlesztésnek át kell hatnia az egész rendszert Nem lehet utólag biztonságot fejleszteni Hibák nagy része: banális implementációs probléma Megfelelő kompetenciákkal kell rendelkezni, ellenőrizhetően! Oktatás!
13
Ellenőrzés Auditálás, tanúsítás Mi alapján? MIBÉTS… CC Ki jogosult? Pl. EKK (84/2007 korm. rendelet ) Független vizsgáló laboratóriumok Meglévő tanúsítások elfogadása – feltételekkel!
14
Fenntartás Nehéz kérdés: –Erőforrások? –Koordináció? –Információ? Különös figyelem az emberi tényezőre
15
Mi várható? Igazi veszély, ha van motiváció támadásra! e-közigazgatás, e-kormányzat lesz motiváció! A támadó előnyös helyzetben van és nem alszik Szokatlan (e-specifikus) támadások várhatóak Biztonságos az, amiről sokan állítják (nyílt technológiák!) Emberi tényező kihasználása
16
Merre menjünk? Fontos a központi koordináció! (Pl. EKK) Fontos az egyértelmű követelményrendszer (új ajánlások kellenek!) Elfogadási kritériumok, tanúsítás Proaktivitás minden téren Jövőálló, nyílt megoldások kellenek A technológiai csak a megoldás egy része – általában nem azon múlik! Érintettek informálása, tudatosságnövelés, oktatás
17
Köszönöm a figyelmet! szigi@ik.bme.hu
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.