az információbiztonsági törvény hatása a pénzintézetekre
DESCRIPTION
Az információbiztonsági törvény hatása a pénzintézetekre. Dr. Krasznay Csaba HP Magyarország. A világ jelenleg. Kiberfenyegetések. Hacktivizmus. Kiberkémkedés. Kiberhadviselés. Kiberbűnözés. Trendek a világban. A kibervédelem magyar evolúciója eddig …. … és ezután. - PowerPoint PPT PresentationTRANSCRIPT
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Az információbiztonsági törvény hatása a pénzintézetekreDr. Krasznay CsabaHP Magyarország
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2
A világ jelenleg
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3
Kiberfenyegetések
Kiberbűnözés
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4
Trendek a világban
Felismerés Kapkodás Ad hoc védelem Jogi szabályozás Képességfejlesztés
Szervezett védelem
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.5
A kibervédelem magyar evolúciója eddig …
Felismerés
•Anonymous támadások•Nemzetközi trendek/kötelezettségek•Magyar érintettségű célzott támadások (DuQu)
Kapkodás
•Ugrás a jelentéktelen hacktivista támadásokra•A jelenségek rendőri megközelítésű kezelése
Ad hoc védelem
•Szemléletváltás•A rendelkezésre álló szervezetrendszer használata
Jogi szabályozás
•Stratégiák (nemzeti, katonai)•Törvények (titkosszolgálati, közigazgatási)
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6
… és ezután
Képesség-fejlesztés
• Felderítési képességek (titkosszolgálatok, CERT, NBF)• Elhárítási képességek (intézmények, CERT)• Koordinációs képességek (Hatóság, civil szervezetek)• Nemzetközi képességek (Honvédség)
Szervezett védelem
• Kibervédelmi törvény• Kialakult, működő, védelem, koordináció és ellenőrzés
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7
Jogi szabályozás jelenleg
A pénzintézetek biztonságáért
1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról
A személyes adatok védelméért
2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról
Az ország védelméért
1035/2012. (II. 21.) Korm. Határozat Magyarország Nemzeti Biztonsági Stratégiájáról
A katonai felkészültségért
1656/2012. (XII. 20.) Korm. Határozat Magyarország Nemzeti Katonai stratégiájának elfogadásáról
A titkosszolgálati felkészültségért
1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.8
Jogi szabályozás ezután
A szervezett kibervédelemért
1139/2013. (III. 21.) Korm. határozat. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról
Az állami szervek és a KII védelemért
T/10327. számú törvényjavaslat az állami és önkormányzati szervek elektronikus információbiztonságáról
Az EU védelméértProposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9
Az információbiztonsági törvény
Jogalanyok széles körben
Alapvető biztonsági elvárások
Szervezeti biztonsági szint
Biztonsági vezető és felelős
Szervezetek feldatai (Hatóság, NBF, CERT)
Információbizton-sági felügyelő
Kormányzati koordináció
Oktatás-kutatás-fejlesztés
Biztonsági osztályba sorolás
• Tervezhető védelmi felkészülés
• Ellenőrzési és azonnali beavatkozási lehetőség
• Számonkérhetőség
• Kibervédelmi szabályozás alapja
• Infobiztonsági kultúra elterjedése
Szabályozatlan közig.informatikapl. visszavont rendeletek,nem használt ajánlások
Szabályozatlan KIIpl. KI tv. kibervédelem nélkül
Részben szabályozottfelelősségpl. nemzeti adatvagyon,szétszórt védelem
Szabályozási indokok Várható eredmények
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10
Pénzintézetekre vonatkozó elvárásokLétfontosságú rendszerelemek
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11
Rendszerek besorolása
Pénzintézetekre vonatkozó elvárások
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12
Szervezeti besorolás
Pénzintézetekre vonatkozó elvárások
•Belső és hatósági felülvizsgálat
•Biztonsági szint emelése
•Követelmények a Vhr.-ből
•Besorolás a rendszerek alapján
•Besorolás jelleg szerint
Tervezés Megvalósítás
Felülvizsgálat
Beavatkozás
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13
Felelősségek
Pénzintézetekre vonatkozó elvárások
Szervezet vezetője
Megfelelőség biztosítása
Biztonsági felelős kinevezése
Biztonsági szabályozás kiadása
Oktatás, tudatosság
IBIR irányítása
Erőforrások a biztonsági események kezeléséhez
Biztonság, mint szerződéses kötelem
Értesítés a biztonsági eseményekről
Biztonsági felelős
Az IBIR operatív irányítása
Az információbiztonságot érintő szerződések véleményezése
Kapcsolattartás a Hatósággal és a CERT-tel
Szolgáltatók ellenőrzése
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.14
Felügyeleti rendszer
Hatóság
Nemzeti Biztonsági Felügyelet
Kormányzati eseménykezelő központ
Tanács
PSZÁF
???Ellenőrzés
Ajánlások
Kapcsolattartás
Nyilvántartás
IT biztonsági felügyelő
Sérülékenység-vizsgálat
Incidenskezelés
Koordináció
OKF
???
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.15
Végrehajtási rendeletek
Pénzintézetekre vonatkozó jövőbeni elvárások
A hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait tartalmazó vhr.
• Létfontosságú rendszerelemek ellenőrzésének szabályai
A Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét tartalmazó vhr.
• A sérülékenység-vizsgálat elvégzésének szabályai
az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr.
• Konkrét műszaki követelmények
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.16
Végrehajtási rendeletek
Pénzintézetekre vonatkozó jövőbeni elvárások
A hatóság által kiszabható bírság mértéke, a bírság kiszabásának és befizetésének részletes eljárási szabályait meghatározó vhr.
• A bírságolás szabályai nem állami szerveknél
A kormányzati eseménykezelő központ és az ágazati eseménykezelő központok feladat- és hatáskörét tartalmazó vhr.
• Incidenskezelés a létfontosságú rendszerelemeknél
A szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjét tartalmazó vhr.
• Az incidensek jelentésének részletei
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.17
Fejlesztőkre vonatkozó elvárások jelenlegSzerződéses kötelmek
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.18
Gyakorlati feladatok
Fejlesztőkre vonatkozó elvárások jelenleg
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.19
Végrehajtási rendeletek
Fejlesztőkre vonatkozó jövőbeni elvárások
A hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait tartalmazó vhr.
• Elvárások szerződésekre, a rendszerek ellenőrzésének technikáira
A Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét tartalmazó vhr.
• A sérülékenység-vizsgálat elvégzésének szabályai
az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr.
• Konkrét műszaki követelmények
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.20
Mit jelent a piac számára szabályozás iránya?
Egyértelmű elvárások
mindenkitől
Kiberbiztonságra allokált, tervezhető
források
Szigorú szakmai
számonkérés
Biztonságtudatos,
versenyképesebb szállítók
Biztonságosabb ország,
minőségibb IT ipar
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.21
Buktatók
Ellenálló szervezetek
Puhuló követelménye
k
„Trükkös megoldások”
„Elkent” informatikai incidensek
Újraszabályozás
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Köszönöm a figyelmet!
E-mail: [email protected]: www.krasznay.huTwitter: twitter.com/csabika25