Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaEmma Mezeiné Megváltozta több, mint 9 éve
1
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság Információvédelem menedzselése XXXV. Szakmai Fórum Budapest, 2009. 03. 18.
2
Jogszabályi alapok A magyar közigazgatásra jelenleg érvényes alapvető informatikai biztonsági jogszabályok: 195/2005. (IX. 22. ) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről Figyelembe veendő jogszabályok: 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (Avtv.) 2001. évi XXXV. törvény az elektronikus aláírásról (Eat.) 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) 193/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól (Ekr.) 194/2005. (IX. 22.) Korm. rendelet a közigazgatási hatósági eljárásban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó követelményekről 182/2007. (VII. 10.) Korm. rendelet a központi elektronikus szolgáltató rendszerről
3
A KIB 25. számú Ajánlása (MIBA) KIB - Közigazgatási informatikai Bizottság MIBA – Magyar Informatikai Biztonsági Ajánlások ( http://www.ekk.gov.hu ) Az ajánláscsomag nyitó kötete az infokommunikációs biztonság szükségességéről, helyéről és szerepéről, és az önálló kötetek tartalmáról rövid összefoglaló Önálló kötetekben: a szervezeti szintű informatikai biztonságról (IBIR – Informatikai Biztonság Irányítási Rendszere) – informatikai vezetőknek, informatikai biztonsági felelősöknek az informatikai biztonsági dokumentumok tartalmi követelményei (IBIK – Informatikai Biztonság Irányítási Követelményei) az informatikai biztonság szervezeti szintű vizsgálatának (ellenőrzésének) formái és eljárásai (IBIV - Informatikai Biztonság Irányításának Vizsgálata) a technológiai szintű informatikai biztonságról a MIBÉTS (Magyar Informatikai Biztonság Értékelési és Tanúsítási Séma) Külön kötetekben: megbízóknak, vezetőknek, fejlesztőknek, értékelőknek a kis szervezetek, különösen az önkormányzatok informatikai biztonsági felkészülésének támogatására külön kötet!
4
Informatikai biztonsági felügyelő A 195/2005. (IX. 22. ) Korm. rendelet 5. § (1) bekezdése szerint a közigazgatási szervek informatikai biztonságának felügyeletét a közigazgatási informatikáért felelős miniszter látja el az általa kinevezett informatikai biztonsági felügyelő útján A Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről szóló 84/2007. (IV. 25.) Korm. rendelet 4. § (1) bekezdése szerint a közigazgatási informatikáért felelős miniszter a közvetlen irányítása alá tartozó informatikai biztonsági felügyelőt nevez ki, vagy bíz meg.
5
Az informatikai biztonságról szóló törvény előkészítése 2007. december: Nemzetbiztonsági Kabinet határozata 2008. január: előkészítő tevékenységek 2008. február-március: az 1. változat véleményeztetése (NB) 2008. április-május: a 2. változat véleményeztetése (szakmai) 2008. június-november: E-közszolgáltatásról szóló törvénnyel összehangolás 2008. november-2009. február: kodifikációs egyeztetés az IRM-mel 2009. március: a 3. változat kész 2009. március-április: közigazgatási egyeztetés 2009. április: kormány elé terjesztés 2009. április vagy május: benyújtás az Országgyűléshez
6
Informatikai biztonságról szóló törvény-javaslat Fő részei: Hatálya Értelmező rendelkezések Egyetemes informatikai biztonsági minimum követelmények Kritikus infrastruktúrák Az elektronikus szolgáltatások informatikai biztonsága Az adattartalmak megismeréséhez kapcsolódó rendelkezések Alkalmazásszolgáltató központok (ASP) A lakosság informatikai biztonsági kultúrájának emelését célzó, és a szolgáltatók tájékoztatási kötelezettségeit érintő rendelkezések Az informatikai biztonság felügyeleti és irányítási rendszere Felhatalmazó rendelkezések Módosuló jogszabályok Hatálybalépés, átmeneti rendelkezések
7
Hatálya Minden, a Magyar Köztársaság területén elérhető informatikai rendszer és elektronikus szolgáltatás a fentiek működtetői és üzemeltetői a fentiek használói és igénybe vevői Kivételek (amelyek szigorúbb rendszabályokat írhatnak elő) a minősített információkat kezelő, feldolgozó, továbbító rendszerek; a NATO és EU védett információkat továbbító rendszerei; a külügyi, nemzetbiztonsági, katonai, bűnüldöző szervek rendszerei
8
Értelmező rendelkezések újdonságai Fontosabb új fogalmak jogszabályi bevezetése: biztonságos elektronikus szolgáltatás egyetemes informatikai biztonsági minimum követelmények egyetemes informatikai biztonsági szintek informatikai támadást megvalósító hálózat személyi azonosításra alkalmas adat
9
Informatikai biztonsági szintek 5 szint: 1.A kritikus infrastruktúra ágazatok minden informatikai rendszere, zártcélú, és nyilvános elektronikus hálózata, illetőleg szolgáltatása, és informatikai alkalmazása 2.Minden olyan nyilvános elektronikus szolgáltatás, amely személyi azonosításra alkalmas adatot kezel, tárol, feldolgoz, illetőleg továbbít 3.Minden olyan nyilvános elektronikus szolgáltatás, amely nem kezel, nem tárol, nem dolgoz fel, illetőleg nem továbbít személyi azonosításra alkalmas adatokat, beleértve a személyes azonosításra alkalmas adatokat nem kötelezően kérő, anonim regisztrációhoz kötött szolgáltatást is 4.Minden egyéb informatikai rendszer, belső informatikai hálózat, korlátozott (belső) hozzáférésű nemnyilvános elektronikus szolgáltatás, illetőleg nyilvános elektronikus szolgáltatás igénybevételére alkalmas belső hálózat vagy egyedi számítógép 5.A lakossági, otthoni, saját célú informatikai hálózat és internethez kapcsolt egyedi számítógép
10
Egyetemes informatikai biztonsági minimum követelmények Az 1. és 2. szinten kötelező a teljesítésük Alapkövetelmények a törvényben, részletesen kormányrendeletben Technikai-technológiai értékelés és szolgáltatás-audit a KIB 25. ajánlása (MIBA) alapján Az NHH regisztrálja az auditált szolgáltatásokat 2011. január 1-től csak regisztrált 1. és 2. szintű szolgáltatások működhetnek A 3. szint is auditáltathatja és regisztráltathatja a szolgáltatást (de nem kötelező) A 4. szinten az üzemeltetőnek biztosítania kell az adatok biztonságát, és a rendszer külső támadások elleni védelmét Az 5. szinten (lakosság) törekedni kell a külső támadások elleni védekezésre
11
Informatikai biztonságról szóló törvény-javaslat Legfontosabb elemei: 2011. január 1-től a személyi azonosítást tartalmazó elektronikus szolgáltatások, illetve az e-közszolgáltatások csak akkor működhetnek, ha informatikai biztonsági szempontból auditálva és regisztrálva vannak; a kritikus infrastruktúra ágazatok minden informatikai elemét auditáltatni szükséges; kötelezővé teszi az internet-szolgáltatók részére a folyamatos lakossági tájékoztatást az internet-használattal összefüggő biztonsági kockázatokról bevezeti a személyiséglopás és a támadó informatikai hálózatok (botnet) fogalmát (a Btk. és a Be. párhuzamos módosítása ezeket bűncselekménnyé nyilvánítja, és rendelkezik a bűncselekményt megvalósító internetes tartalmak hozzáférhetetlenné tételéről); kimondja, hogy a forgalmazott adatok tartalma (beleértve az e-maileket is) csak bírói engedéllyel ismerhető meg; rendelkezik az informatikai biztonság felügyeleti és irányítási rendszeréről, hálózatbiztonsági központ működtetéséről
12
Auditálási rendszer A törvény-javaslat 2011. január 1-től teszi kötelezővé (a jelenleg működő e-szolgáltatásoknál 2010. december 31-ig le kell folytatni!) Két részből áll: Szervezeti, technológiai értékelés (szervezetenként 1-szer) Szolgáltatás informatikai biztonsági auditja (szolgáltatásonként) Auditálásra jogosultak: Átmeneti időszakban (2009-2010): a 143/2004. (IV. 29.) Korm. rendelet szerinti eljárással kiválasztott auditáló cégek (kategóriánként 5) Később: minden olyan informatikai biztonsági auditálással foglalkozó cég, amely ilyen irányú akkreditációval rendelkezik
13
Köszönöm a figyelmet!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.