Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Stipkovits István ISZ auditor SGS Hungária Kft.
A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor SGS Hungária Kft. Korábban infobiztonsági auditorként álltam e közösség előtt Ma az információbiztonság egy konkrét alkalmazásáról lesz szó, ugyanis az SGS Hungária Kft. szűk egy évvel ezelőtt kijelölést nyert iratkezelő szoftverek tanúsítására
2
Miről lesz szó? A rendelet követelményei Tanúsítási folyamat Az SGS minősítési módszertana Biztonsági követelmények
3
Az ISZ tanúsítási rendelet
24/2006 (IV.29) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről ISZ: iratkezelési szoftver Iratkezelés: érkeztetés → iktatás → …→ selejtezés/levéltározás Közfeladatot ellátó szerv: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv és személy Iratkezelés alapvetően irat/ügyirat életciklusának nyomonkövetését jelenti az érkeztetéstől, iktatáson át a selejtezésig illetve levéltárba adásig. Az általam talált meghatározás a közfeladatot ellátó szervre nem egyértelmű (önmagával definiálja magát).
4
Az ISZ tanúsítási rendelet
Hatályba lépés: Papír alapú dokumentumok: 2006 május Elektronikus dokumentumok ISZ-en belüli tárolása és kezelése: január 1. Kapcsolódó rendeletek 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről 16/2006. (IV. 6.) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelőségét tanúsító szervezetek kijelölésének részletes szabályairól A rendelet áprilisában került kiadásra és 8 nap múlva életbe és lépett. Sok szervezet nem tud, a jogszabályi környezet nem engedi számára, vagy nem akar elektronikus iratok kezelésére áttérni akkor. Pl. kis önkormányzatoknál informatikai háttér és ismeretek sincsenek még az elektronikus iktatásra sem, nemhogy elektronikus iratok kezelésére. A rendeletek nem írják elő, hogy iktató szoftvert kell használni. Ma azt sem, hogy ha szoftvert használ egy szervezet, akkor annak a szoftvernek elektronikus iratok kezelésére is képesnek kell lennie, csak azt, ha elektronikus iratokat kezelnek, akkor milyen követelményeket kell teljesítsen a szoftver. A készülő rendeletmódosítások ennek ellenére erőltetni akarják minden szervezetnél elektronikus iratkezelésre alkalmas szoftverre való áttérést től, holott ezt sok helyütt nem tudják majd kihasználni. Nem minden iratkezelési aktusra van előírás a Rendeletben, itt a 335/2005 előírásai az irányadók.
5
A 24/2006 rendelet követelményei
Határterület: iratkezelés - információbiztonság Cél Minimálkövetelmények rögzítése Egységes ISZ funkcionalitás Követelmény típusok ISZ elvárt és tiltott működése Kezelt információ köre (metaadatok) Biztonsági követelmények Megfelelés szintjei Szűkített: csak papír alapú iratok kezelése Teljeskörű: elektronikus iratok kezelése is Kibővített: kapcsolat az ügyfélkapuval is A követelmények nem mindenben egyértelműek – a jogászok az auditorokhoz hasonlóan a korrektség kedvéért sokszor feláldozzák az érthetőséget Követelmények nem egyszer a kialakult papír alapú megoldásokból indulnak ki, így nehezebb az informatikában rejlő lehetőségeket kihasználni.
6
Tanúsítási sajátságok
Terméktanúsítás Audit fázisok Dokumentáció vizsgálat Helyszíni audit Mintavételezés Eltérések besorolása: csak lényeges Tanúsítvány érvényessége 3 év Terméktanúsítás: nem a termék előállítás folyamatát, hanem az elkészült terméket vetjük össze egy követelményrendszerrel Tanúsítói tapasztalat, hogy a tanúsításra jelentkezők azokat a pontokat keresik, ahol a tanúsítók elfogadják a tanúsítást kérő által az idők során kialakított működési módokat, megoldásokat, hogy ne kelljen ezen változtatni, mégis tanúsítvánnyal rendelkezzen a szoftver.
7
Garanciális elemek vizsgálata
Vizsgálati módszerek Garanciális elemek vizsgálata Követelményspecifikáció, fejlesztés és tesztelés dokumentáltsága Funkcionális tesztek Pozitív: 59 db egyszerű, 46 db bővített Negatív: 7 db kihívásos A garanciális elemeknél már megjelenik az információbiztonság: tervezés, tesztelés. A biztonsági követelmények teljesülése tipikusan kihívásos tesztekkel ellenőrizhető, bár a naplózás pozitív tesztekkel is vizsgálható. A pozitív (funkcionális) tesztek valamely funkció meglétének és megfelelő működésének a vizsgálatát jelentik egyszerű teszt esetén egy, bővített teszt esetén több tesztadaton. A negatív tesztek bizonyos események be-nem-következését ellenőrzik, azaz értelemszerűen biztonsági elvárások teljesülését hivatottak ellenőrizni. (pl. jogosultság nélküli adatmódosítás megtagadása).
8
A 24/2006 rendelet követelményei
2. Általános követelmények 3. Iktatókönyvekkel kapcsolatos követelmények 4. Az irattári tervvel kapcsolatos követelmények 5. Iratok iktatása 6. Ügyiratok, iratok kezelése 6.1. Ügyiratok és iratok 6.2. Az iratok mozgásának nyomon követése, statisztikák 6.3. Kapcsolatok ügyiratok és iratok között 6.4. Nem elektronikus iratok kezelése 6.5. Adatok keresése, adatvisszanyerés 7. Jogosultság, adatbiztonság, adatvédelem 7.1. Jogosultság 7.2. Adatok mentése és helyreállítása 7.3. Eseménynaplózás 7.4. Iratok hitelessége 8. Átadás, exportálás, selejtezés 8.1. Felülvizsgálat 8.2. Megőrzési idő 8.3. Az átadás, exportálás és megsemmisítés 9. Iratátvétel/importálás 10. Megjelenítés 11. Műszaki és teljesítmény követelmények, integráció 11.1. Hálózati üzemeltethetőség 11.2. Műszaki szabványok 11.3. Teljesítmény és skálázhatóság 11.4. Elektronikus aláírás 12. Metaadatok 13. Követelményrendszer értelmezése A szakmai követelmények itt is a mellékletben vannak.
9
Példák információbiztonsági követelményekre
7.2.1 Az ISZ-ben gondoskodni kell az adatok manuális és/vagy automatizált biztonsági mentését és helyreállítását szolgáló eljárásokról,… ISO/IEC 27001/A – másolatok készítése 7.3.4 Az ISZ-nek lehetővé kell tennie a naplóállományokhoz való hozzáférés követhetőségét, a betekintések dokumentálását, valamint a naplóállományok megőrzését. ISO/IEC 27001/A – naplóinformáció védelme
10
Példák információbiztonsági követelményekre
7.4.1 Az ISZ-nek nem szabad megengednie, hogy a felhasználók megváltoztassák az érkeztetett, kiadmányozott, vagy más számára már ügyintézési célból átadott elektronikus irat tartalmát. ISO/IEC 27001/A – kriptográfiai eljárások használata 8.1.4 Az ISZ-nek figyelmeztetnie kell a felhasználót arra, ha a megsemmisítendő elektronikus ügyiratra egy másik ügyirat hivatkozik (van a két irat között e rendszerben létrehozott kapcsolat) és szüneteltetnie kell a megsemmisítési folyamatot az alábbi korrekciós intézkedések valamelyikének megtételéig: … ISO/IEC 27001/A – belső feldolgozás ellenőrzése
11
Példák információbiztonsági követelményekre
8.3.7 Az ISZ-nek jelentést kell készítenie az átadás, exportálás vagy megsemmisítés során bekövetkező bármely meghibásodás részleteiről. ISO/IEC 27001/A hibanaplózás 6.1.7 Ügyirat, irat - leszámítva a levéltárba adás/selejtezés folyamatát - ne legyen törölhető az iratkezelési szoftverben. 7.2.2 Az adatok teljes körű integritását a helyreállítást követően is meg kell őrizni. ISO/IEC 27001/A – szervezeti feljegyzések védelme
12
Kapcsolódó ISO 27001 óvintézkedések
Az információbiztonság szervezete A6.1.4 – jóváhagyási folyamat Kommunikáció és működés irányítása A – kötelességek szétválasztása A kapacitástervezés A – óvintézkedések a rosszindulatú szoftverek ellen A – másolatok készítése A – információcsere szabályozása és módja A – eseménynaplózás A – rendszerhasználat figyelése A – naplóinformáció védelme A hibanaplózás Hozzáférés szabályozás A – felhasználók nyilvántartása Beszerzés, fejlesztés A – belső feldolgozás ellenőrzése A – kriptográfiai eljárások használata A – információ szivárgás Megfelelés A – vonatkozó jogszabályok azonosítása A – szervezeti feljegyzések védelme A – személyes adatok védelme +1 kérdés: még egy hivatkozás biztosan hiányzik a felsorolásból, pedig az összes követelmény léte ehhez kapcsolható: A – biztonsági követelmények elemzése és előírása Amit ésszerűen el lehet várni a szoftvertől illetve a fejlesztőtől információbiztonsággal kapcsolatban, azt a rendelet tartalmazza is. Információbiztonsági szempontból jól átgondolt rendelet
13
Köszönöm a figyelmet! Stipkovits István ISZ auditor
SGS Köszönöm a figyelmet! Stipkovits István ISZ auditor Bizonyíték nemcsak az audit feljegyzés, hanem a vizsgált szoftver is, ezt is megőrizzük.
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.