elektronikus információbiztonság és közigazgatás (a kormányzati információs rendszerek...

Elektronikus információbiztonság és

közigazgatás(A kormányzati információs

rendszerek védelme)

Sik Zoltán Nándor biztonságpolitikai szakértő

Tartalom

1. Hatalom és kormányzás 2. Az információtól való függés3. Védelem és biztonság4. Az állam szerepe5. Kritikus információs infrastruktúra védelem6. Big Data

A hatalomról és a kormányokról

• Az ember természeténél fogva törekszik a hatalomra. • Érdekei és értékei mentén érvényesíteni akarja az akaratát. • Befolyásolni akarja a többieket. • Mindezt anélkül, hogy ellenállásba ütközne, sőt minél szélesebb körben,

nagyobb területen, több erőforrást birtokolva. • Okok pl.:

– a kényelemhez való ragaszkodás, – önkifejezés, – zsarnoki hajlam, – szűkös erőforrások birtoklása, – bosszúvágy, – küldetéstudat vagy akár

– a hatalom öncélú akarása.


• Az emberi közösségek a hatalomra épülnek, • A társadalom hierarchiára alapul• Csúcsán a kormánnyal/uralkodóval

„…a kormány életre hívása vagy tudomásulvétele nem mérlegelő választás tárgya. Az egyetlen elgondolható alternatíva az anarchia, ami önpusztító volna a közösségre – valójában nincs mi között választani.”

(George F. Kennan)


• A kormány és a hatalom kapcsolata:

„…a kormányzattal mindig együtt jár, tőle elválaszthatatlan a hatalom. Nincs kormányzás hatalom nélkül. Egyetlen kormány sem tud meglenni nélküle. A kormány leglényegibb tulajdonsága a hatalma. A kormány fogalma pontosan azt fejezi ki, hogy benne testesül meg egy ország legjelentősebb hatalmi központja.”

(George F. Kennan)

Hatalom és háború• A hatalom megragadásának sokféle eszköze van… • Ezek közül a legerőszakosabb a háború.

„A háború a politika folytatása egyéb eszközökkel”(Carl von Clausewitz)

• Klasszikus hadviselés: „kinetikus”• Új módszerek:

pl. az információs hadviselés

Hatalom és háború• A háborúk végső célja – a hatalom

megragadása/megtartása, de hogyan?– Klasszikusan: a csaták megnyerésén keresztül a győzelem

kivívása– Újonnan: a közvélemény meggyőzése/megnyerése (lásd:

Orwell)• Mi a közvélemény megnyerése?

– Elfogadtatni akaratunkat– Befolyást gyakorolni – Hatalmat érvényesíteni– Nem csak az ellenfél… – …hanem a saját oldal felett is!

Hatalom és háború

• Egyéb befolyásolási formák• Mi a befolyás gyakorlásának leghatásosabb módja?

– Nem feltétlenül a pusztítás, az elrettentés– Hanem közvetlenül az emberek

• döntéseinek és • viselkedésének befolyásolása.

• A döntések meghozatalához, az adott viselkedés kiváltásához adatokra, információkra van szükség

• Az emberek döntéseiket információk birtokában hozzák…

• …viselkedésük mindig információfeldolgozásra alapul


• Megfelelő eszköz a befolyásolandó emberek által nyert információk manipulálása, irányítása.

• A befolyásoltak olyan információkhoz jutnak, amelyek belőlük a befolyásoló által kívánt viselkedési mintát, a kívánt döntés meghozatalát váltják ki.

• Főbb csoportjai: – Megvesztegetés, megvásárlás– Fenyegetés, – Erőszak, – Megtévesztés – Meggyőzés (de nem a saját meggyőződés)


• Legtöbb esetben csak addig tartható fenn a befolyás, amíg a befolyásoló eszközt alkalmazzák

• Kivétel: a meggyőzés - olyan tartós hatást vált ki, amely fennmarad az eszköz alkalmazásának megszűnte után is.

• Az információkra alapuló befolyásolás egyik fő célja pedig a meggyőzésen alapuló megfelelő döntés és viselkedés kiváltása.

• Egyik leghathatósabb eszköz: az információs hadviselés/információs műveletek

Az információtól való függés• Az információtól való függés a

társadalmakban• Toffler „hullámai”

– 1. hullám – mezőgazdasági társadalmak

– 2. hullám – ipari társadalmak– 3. hulám – információs társadalmak

• Az információtól való függés egyre nagyobb

• …és visszafordíthatatlan jelenség!

Az információtól való függés• DIKW:

– Adat, (Data)– Információ, (Information)– Tudás, (Knowledge)– Bölcsesség (Wisdom)

DIKW• Adat: Az adat a legkisebb építőelem, amely gyakorlatilag a tényeket,

valamint a megfigyelések és mérések nyers eredményeit jelenti, azok megjelenési/ábrázolási/kifejezési formájától függetlenül.

• Információ: Az adatokból áll össze az információ, amely az adatok jelentéssel való megtöltésével, a köztük való összefüggések elemzésével áll elő. Az információ gyakorlatilag egy üzenet, amely üzenetnek így van célközönsége és célja.

• Tudás: A tudás az információkból áll össze, az információk, vagy azok összefüggéseinek működő, gyakorlati alkalmazása.

• Bölcsesség: A tudás elemzésével, annak megértésével, a tudás használatával, valamint a tudás felhasználóinak kommunikációjából, visszajelzéseiből áll össze a bölcsesség (egyes megfogalmazásokban a tudomány).

Az új sebezhetőségi pont:A harmadik hullám

• Hasonlóan az ipari forradalomhoz, az információs társadalom újabb veszélyeket rejt magában

• Az információs hadviselés (IW), illetve az információs műveletek (IO) az információs társadalommal együtt járó új terület

• Információtól való függés = újabb sebezhetőségi pont

• Veszély tehát:– Társadalomra– Gazdaságra– Kultúrára

Harcban állunk!• Védekezni kell! (és támadni is…)• A védelem egyik területe -az

adatvédelem• Definíció (Wikipedia):

– Adatvédelem (jog): a személyes adatok jogi védelme.

– Adatvédelem (informatika): az összegyűjtött adatvagyon sérthetetlenségét, integritását, használhatóságát és bizalmasságát lehetővé tevő technológiák és szervezési módszerek összessége.

http://hu.wikipedia.org/wiki/Adatv%C3%A9delem_(jog)

http://hu.wikipedia.org/wiki/Adatv%C3%A9delem_(informatika)

Védelem és biztonság

Definíció: •„A védelem a biztonság megteremtésére és fenntartására, fejlesztésére tett aktív lépések sorozata.”A biztonság pedig egy megteremtendő és fenntartandó állapot. Definíció:•„A biztonság a rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben zárt, teljes körű, folytonos és a kockázatokkal arányos védelem valósul meg.”

Védelem és biztonság• Zárt védelem: az összes releváns fenyegetést

figyelembe vevő védelem,• Teljes körű védelem: az adott rendszer

valamennyi elemére kiterjedő védelmi intézkedések összessége

• Folytonos védelem: az időben változó körülmények és viszonyok ellenére is megszakítás nélküli védelem

• Kockázattal arányos védelem: egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel

Adatvédelem

• A védelem egyik területe – az adatvédelem• De mi az?• Definíció (Wikipedia):

– Adatvédelem (jog): a személyes adatok jogi védelme.– Adatvédelem (informatika): az összegyűjtött

adatvagyon sérthetetlenségét, integritását, használhatóságát és bizalmasságát lehetővé tevő technológiák és szervezési módszerek összessége.

• …egyébként inkább adat és információ védelem

http://hu.wikipedia.org/wiki/Adatv%C3%A9delem_(jog)

http://hu.wikipedia.org/wiki/Adatv%C3%A9delem_(informatika)

Adatvédelem• Adatvédelem (jogi megközelítés):

– Az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, az érintett személyek védelmével foglalkozik.

– Elsősorban nem az adatok védelme, hanem azoké a személyeké, akikkel az adatok összeköthetők.

– Eszközei lehetnek:• jogi szabályok, • eljárások, • technológiai eszközök.

Adatvédelem• Adatvédelem (informatikai megközelítés):

– Az adatok védelme a következő megközelítésben:• Berendezés védelem• Kommunikációs hálózatok védelme• Hozzáférés védelem• Adathordozó védelem• Adatközlés/kommunikáció titkosítása• Adatkezelési folyamat monitorozása

• Adatbiztonság (szintén informatikai megközelítés):– CIA alapelv:

• Bizalmasság (Confidentiality)• Sértetlenség (Integrity)• Rendelkezésre állás (Availability)

– Erősen hasonlít az adatvédelem definíciójára…

Adatbiztonság

Az adatbiztonságon túl

• De sajnos nem csak ez van• Másfajta biztonságra is szükség

van:– Fizikai/környezeti– Személyi/szervezeti– Információ (!) biztonság

• benne – dokumentum biztonság és – informatikai biztonság

• (valaha algoritmikus biztonságról beszéltek)

Információbiztonság• Az információbiztonság alapvetően az információ

védelmét tűzi ki célul, nem az infrastruktúrára koncentrál, hanem magát az információ előállítási, gyűjtési, feldolgozási, tárolási, továbbítási és megjelenítési funkciót állítja a középpontba.

• Definíció: • „Információ biztonság: Az információs vagyon

szándékosan, vagy gondatlanul történő jogosulatlan gyűjtése, károsítása, közlése, manipulálása, módosítása, elvesztése, illetve felhasználása elleni védelmének koncepciói, technikái, technikai, illetve adminisztratív intézkedései ”

Információbiztonsági alappillérek

• CIA alapelv:– Confidentiality – bizalmasság – Integrity – sértetlenség – Availability – rendelkezésre állás

• Information Assurance+ Authentication – hitelesítés (feleké)+ Authenticity – hitelesség (adaté)+ Non-repudiation – letagadhatatlanság + Utility – hasznosság és használhatóság

Az állam szerepe

• Állami szempontból az elsődlegesen védendő információs rendszerek a kormányzati rendszerek.

• A közjó, a közérdek szempontjából pedig elsődleges jelentőségűek az állami információs rendszerek.

• Az állam, pontosabban a kormányzat fő feladata a közjó, a közérdek szolgálata, a társadalom fennmaradásának biztosítása, valamint a gazdaság működőképessége megőrzésének, illetve fejlődésének elősegítése.

Az állam szerepe

• Az alap nem maguknak a rendszereknek a védelme, hanem az általuk kezelt (!) (bennük tárolt, általuk feldolgozott, továbbított, gyűjtött, stb.) adatok védelme.

• Az adatok nem védhetők anélkül, hogy azt az infrastruktúrát ne védenénk, amely lehetővé teszi az adatok „létezését”.

• Tehát az infrastruktúrát kell védeni.• De: mi az, hogy infrastruktúra?

Infrastruktúra

• Az infrastruktúra USA definíciója, természetesen értelemszerűen hazánkra is vonatkoztatható:„Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek összessége, amelyek meghatározott ipari létesítményeket, intézményeket (beleértve a szakembereket és eljárásokat), illetve elosztó képességeket tartalmaznak. Mindezek biztosítják a termékek megbízható áramlását az Egyesült Államok védelmi és gazdasági biztonságának fenntartása, valamint a minden szinten zavartalan kormányzati munka és a társadalom egésze érdekében.”

Teljes körű védelem

• Lényeg a védendő adatok/információk szempontjából a teljes körűség!

• Egyrészt az elektronikus adatok biztonsága, ill. védelme

• Másrészt a hagyományos, papír alapú (rajz, írás), de pl. a szóban közölt, vagy bármilyen más formában létező adatokra is.

• Az információs rendszerek mindezen formában megjelenő adatokat kezelik. Így ezeket a rendszereket kell védeni.

Nemzeti adat- és információs vagyon

• A nemzeti adatvagyon alapvető fontosságú, a nemzet talán legfőbb kincse. Ennek birtokában működik az állam, a társadalom és a gazdaság, illetve e nélkül mindez nem működik.

• Ez az adatvagyon őrzi a nemzet kultúráját, ezen alapszik a nemzeti identitás, a nemzeti egység. A nemzeti adatvagyon nélkül, mint nemzet nyomtalanul eltűnnénk a föld színéről, csak annyiban maradnánk meg a történelemben, amennyit mások feljegyeztek rólunk.

• A nemzeti adatvagyon az, amelynek birtokában újra „teremthető” az állam (pl. egy kataklizma után).

Nemzeti adat- és információs vagyon

• A nemzeti adatvagyon elemei adnak identitást az állampolgároknak, adják meg tulajdonviszonyaikat, vagyoni helyzetüket, társadalomban elfoglalt helyüket, őrzik egészségük, múltjuk, munkájuk, családi, rokoni kapcsolataik, iskolai végzettségük adatait, stb. A nemzeti adatvagyon ránk vonatkozó tételei nélkül gyakorlatilag nem létezünk a társadalom számára.

• A nemzeti adatvagyon elemei őrzik a gazdasági szereplők adatait, a társadalom és a gazdaság felépítésének, hierarchiájának adatait, az ország nemzetközi közösségben elfoglalt helyének adatait és mindennek dinamikáját.

Megjegyzés: a nemzeti adatvagyon nem azonos a kormányzat által kezelt adatokkal, annál sokkal bővebb. Ugyanakkor nem minden kormányzat által kezelt adat és információ része a nemzeti adatvagyonnak (többnyire az alapadatok a részei, kevésbé a tranzakciós adatok).

A fő kormányzati feladat

• A fő feladat a nemzeti adat- és információs vagyon védelme

• Az adatokat viszont valamilyen infrastruktúra hordozza – kritikus infrastruktúra védelme

• Az adatokat felhasználás nélkül nem sokat érnek – felhasználás és felhasználók védelme (civil, gazdasági, állami, akadémiai szektor, szektorok egymás közti kapcsolata és a külfölddel való kapcsolat)

A kritikus infrastruktúra és védelme

• Definíció (2080/2008 Korm. hat – Zöld Könyv):„Kritikus infrastruktúrák alatt olyan, egymással összekapcsolódó, interaktív és egymástól kölcsönös függésben lévő infrastruktúra elemek, létesítmények, szolgáltatások, rendszerek és folyamatok hálózatát értjük, amelyek az ország (lakosság, gazdaság és kormányzat) működése szempontjából létfontosságúak és érdemi szerepük van egy társadalmilag elvárt minimális szintű jogbiztonság, közbiztonság, nemzetbiztonság, gazdasági működőképesség, közegészségügyi és környezeti állapot fenntartásában.”

A kritikus infrastruktúra és védelme

• Miért kell védeni?– Mert „kritikus” = létfontosságú

• Infrastruktúra – nem is annyira, az infrastruktúra, mint szolgáltatások, funkciók, folyamatok

• USA definíció:• „Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek

összessége, amelyek meghatározott ipari létesítményeket, intézményeket (beleértve a szakembereket és eljárásokat, illetve elosztó képességeket) tartalmaznak. Mindezek biztosítják a termékek megbízható áramlását az Egyesült Államok védelmi és gazdasági biztonságának fenntartása, valamint a minden szinten zavartalan kormányzati munka és a társadalom egésze érdekében”

(Critical Foundations Protecting America’s Infrastructures, The Report of the President’s Commission on Critical Infrastructures Protection; Washington, 1997 )

A 2005. július 7-i londoni terrortámadás helyszínei

Kritikus információs infrastruktúra védelem (KII)

• A kritikus infrastruktúrák elleni támadások egyre többször információs hadviselési eszközökkel történnek (pl. London, Madrid, Észtország, Grúzia, Gázai övezet)

• Ezek közül egyre több a kritikus információs infrastruktúrákat (KII – CII) érinti

• Gibson hadviselés -> 4th generation warfare (4GW) - aszimmetrikus hadviselés (stateless), nem hagyományos formák

Szintjei: fizikai, mentális, morális–Nem államok az államok ellen, Hagyományos katonai összecsapások eltűnnek, Hátország megszűnik (totális háború)–Cél: nem a csaták, hanem a közvélemény megnyerése (ld. Orwell: 1984)–Módszerei: Gerilla hadviselés, terrorizmus (= aszimmetrikus hadviselés), szabotázsok, Nem hagyományos hadviselési formák, Cyberwarfare!

• De! Nem csak az információs hadviselési eszközök jelentenek veszélyt a CII szempontjából (pl. természeti katasztrófák, szoftverhibák, emberi tényező! (nem csak social engineering))


• A kritikus információs infrastruktúrák kiemelt jelentőségűek:• A CI minden területen tartalmaz CII-t is:

– Funkcionális ICT (pl.: IT, távközlés, műsorszórás, távérzékelés, navigáció, irányítás, vezetési és vezérlési rendszerek, stb.)

– Támogató ICT (pl. energetika, logisztika, bankok, K+F, stb.)

• ITU ajánlás a CIIP struktúrára– A CIIP pillérei, funkciói:

• Megelőzés, figyelmeztetés• Detektálás, észlelés• Reagálás• Krízis kezelés, „utógondozás”,

helyreállítás

Megelőzés

Detektálás

Reagálás

Krízis kezelé

s


• USA: 2001/09/11 után létrehozza a Department of Homeland Security-t (DHS)• Nemzetközi szervezetek:

– IWWN – International Watch and Warning Network (minden infrastruktúrára)– FIRST – Forum of Incident Response Teams– TF-CSIRT – Task Force of Computer Security Incident Response Teams– ENISA – European Network and Information Security Agency (2004-től létezik, a magyar

EU elnökség alatt fogják ismét meghosszabbítani a működési idejét)

• EU: madridi és londoni robbantások után 2006-ban EPCIP és CIWIN (minden infrastruktúrára!)

– EPCIP Green Paper (COM (2005) 576 final)– EPCIP – European Program for Critical Infrastructure Protection (COM(2006) 786 final –

2006.12.12)– EPCIP része a CIWIN - Critical Infrastructure Warning Information Network– 114/2008 EK Irányelv az európai kritikus infrastruktúrák azonosításáról és kijelöléséről,

valamint védelmük javítása szükségességének értékeléséről – 2008.12.08


• G8 irányelvek:• 1. Az országoknak rendelkezniük kell cyber-sérülékenységekre, -gyengeségekre, -incidensekre vonatkozó

vészhelyzet jelző hálózattal.• 2. Az országoknak növelniük kell az egyes szereplők tudatosságát annak érdekében, hogy megértsék saját

kritikus információs infrastruktúrájuk természetét és mértékét, valamint vállaljanak szerepet azok megvédésében.

• 3. Az országoknak elemezniük kell infrastruktúráikat, fel kell tárniuk a köztük lévő összefüggéseket, ezzel is növelve a rendszerek biztonságát.

• 4. Az országoknak ösztönözniük kell az együttműködést a különböző szereplők között – beleértve a magán és az állami szektort –, hogy egymás közt osszák meg a kritikus infokommunikációs hálózatokkal kapcsolatos információikat valamint, hogy megelőzzék és felderítsék az infrastruktúrákat ért támadásokat és reagáljanak a vészhelyzetekre.

• 5. Az országoknak létre kell hozniuk, és fenn kell tartaniuk egy kríziskezelő hálózatot az informatikai vészhelyzetekre, valamint tesztelniük kell, hogy ez a hálózat az adott vészhelyzet esetén is megbízhatóan, biztonságosan működjön.

• 6. Az országok tekintsék a kritikus információs infrastruktúra védelem részének az adat-hozzáférhetőségi irányelveket is.


• G8 irányelvek (folyt):• 7. Az országoknak nyomon kell követniük a kritikus infrastruktúra ellen irányuló támadásokat, valamint

szükség esetén meg kell osztaniuk információikat más országokkal is.• 8. Az országoknak válaszadási képességük javítása érdekében oktatásokat és gyakorlatokat kell tartaniuk,

valamint folyamatosan tesztelniük kell az információs infrastruktúrát ért támadás esetére kidolgozott védelmi terveiket, illetve erre kell ösztönözniük a többi szereplőt is.

• 9. Az országoknak megfelelő jogi kereteket– mint pl. a Council of Europe CyberCrime Convention, Budapest, 2001. november 23. – valamint képzett személyek rendelkezésre állását kell biztosítaniuk, hogy nyomozzanak és vádat emeljenek az információs infrastruktúrát ért támadások ügyében, illetve szükség esetén együttműködjenek más országok képviselőivel is.

• 10. Az országoknak az információs infrastruktúrák védelmének érdekében kötelezettséget kell vállalniuk szükség esetén való nemzetközi együttműködésre. Ez magába kell foglalja a vészjelző hálózatok fejlesztését és együttműködését, a sérülékenységeket, veszélyeket érintő információk megosztását és elemzését, illetve a helyi törvényekkel összhangban az infrastruktúra elleni bekövetkezett támadások kinyomozásának összehangolását.

• 11. Az országoknak támogatniuk kell a nemzeti és nemzetközi kutatásokat és fejlesztéseket valamint ösztönözniük kell a nemzetközi előírásoknak megfelelő biztonsági technológiák alkalmazását.

Commission proposes new EU cybercrime law

• 2010.10.11 - Commission proposes new EU cybercrime law

„The European Commission wants to harmonise the laws of EU member states dealing with cyber-attacks. It wants to create a new Directive on attacks on information systems, it said in a statement.The European Commission adopted a 'framework decision' in 2005 that attempted to coordinate laws across Europe on hacking, viruses and denial of service attacks.”

– http://out-law.com/page-11436

http://out-law.com/page-11436

KII és elektronikus információ biztonság

• Eddigi hazai jogszabályok:– 2004. évi CV. Törvény a honvédelemről és a Magyar Honvédségről– 2236/2003 (X. 1.) Korm. határozat a Magyar Honvédség 2004-2013 közötti

időszakra vonatkozó átalakításának és új szervezeti struktúrájának kialakításáról– 180/2003. (XI. 5.) Korm. Rendelet a Nemzeti Biztonsági Felügyelet részletes

feladatairól és működési rendjéről, valamint az iparbiztonsági ellenőrzések részletes szabályairól

– 2073/2004 (IV. 15.) Korm. határozat a Magyar Köztársaság nemzeti biztonsági stratégiájáról

– 2112/2004 (V. 7.) Korm. határozat a terrorizmus elleni küzdelem aktuális feladatairól

– 24/2004. (VIII. 16.) IHM rendelet a védelmi feladatokban részt vevő elektronikus hírközlési, illetve postai szolgáltatók kijelöléséről és felkészülési feladataik meghatározásáról


– 2151/2005 (VII. 27.) Korm. határozat a Terrorizmus Elleni Akcióterv felülvizsgálatáról

– 2046/2007 (III. 19.) Korm. határozat a terrorizmus elleni küzdelem aktuális feladatairól szóló 2112/2004 (V. 7.) Korm. Határozat módosításáról

– 1/2007 (III. 29.) Kormányzati Koordinációs Bizottság határozat– 84/2007. (IV. 25.) Korm. Rendelet a Központi Elektronikus Szolgáltató Rendszer

és a kapcsolódó rendszerek biztonsági követelményeiről– 81/2008 (IV. 4.) Korm. Rendelet a Közigazgatási és Elektronikus

Közszolgáltatások Központi Hivatala létrehozásáról, feladatairól és hatásköréről szóló 276/2006 (XII. 23.) Korm. Rendelet módosításáról

– 2080/2008 (VI. 30.) Korm. Határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról

– 2010. évi XLII. Tv. a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről


– 2012. évi CLXVI. Tv. a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről

– 2013. évi L. Tv. az állami és önkormányzati szervek elektronikus információbiztonságáról

– 301/2013.(VII.29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról

– 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról

– 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, valamint a biztonsági események jelentésének és közzétételének rendjéről

– 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről

Egy kis plágium...

(a NEIH engedélyével )

46

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH)

A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának felügyeletét – a 2. § (3) és (4) bekezdésben meghatározott kivétellel – az informatikáért felelős miniszter látja el a hatóság útján, amely az informatikáért felelős miniszter által vezetett minisztérium (NFM) szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység.


Az elektronikus információs rendszerek biztonsági osztályba sorolása

Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége.

Biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása.

2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a biztonsági osztályba sorolást, a már működő rendszereikre tekintettel.


Alapvető elektronikus információbiztonsági követelmények 1.

A rendszerek teljes életciklusában biztosítani kell:az elektronikus információs rendszerben kezelt adatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását, valamintaz elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

A szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják:

a megelőzést és a korai figyelmeztetést,

az észlelést, a reagálást, a biztonsági események

kezelését.


A biztonsági osztályba sorolás alkalmával 1-től 5-ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi előírásokkal együtt.

A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá, amit a szervezet informatikai biztonsági szabályzatában rögzíteni kell.

A szervezet vezetője az elektronikus információs rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat.

A biztonsági osztályba sorolást legalább 3 évente, vagy szükség esetén soron kívül felül kell vizsgálni.

A Hatóság (NEIH) a szervezet által megállapított biztonsági osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is megállapíthat.

Alapvető elektronikus információbiztonsági követelmények 2.


Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 1.

22 33 44 55

Biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére.

Biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére.

2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a szervezet biztonsági szintbe sorolását.



22 33 44 55

2-es szintű:Köztársasági Elnöki Hivatal,Országgyűlés Hivatala,Alkotmánybíróság Hivatala,Alapvető Jogok Biztosának Hivatala,A helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra

3-as szintű:A központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével),Országos Bírósági Hivatalra és a bíróságokra,Ügyészségek,Állami Számvevőszék,Magyar Nemzeti Bank,Fővárosi és megyei kormányhivatalok



22 33 44 55

4-es szintű:

Magyar Honvédség



22 33 44 55 A szervezet az irányadó besorolási szintnél magasabb szintű besorolást is

megállapíthat. A Hatóság a szervezet által megállapított biztonsági szintet felülbírálhatja és

magasabb, indokolt esetben alacsonyabb szintű besorolást is megállapíthat. A szervezetnek magának kell meghatároznia a jogszabály alapján, hogy

mely biztonsági szintnek felel meg. Ha nem éri el a kívánt biztonsági szintet, ennek elérésére vonatkozóan 90 napon

belül cselekvési tervet kell készítenie. Ha az 1. szintet sem éri el, a szervezetnek egy éve van az 1. szint eléréséhez

szükséges intézkedések megvalósításához. Lehetőség van az előírt biztonsági szint fokozatos elérésére, 2 évente minimum

egy biztonsági szinttel feljebb kell lépnie. A biztonsági szintet minimum 3 évente, szükség esetén soron kívül felül kell

vizsgálni. A szervezet biztonsági szintbe sorolását a szervezet vezetője hagyja jóvá,

továbbá a biztonsági szintbe sorolás eredményét a szervezet informatikai biztonsági szabályzatában kell rögzíteni.


Kormányzati együttműködés, aktív támogatás

Nemzeti Kiberbiztonsági Koordinációs Tanács

(Miniszterelnökség)

Nemzeti Kiberbiztonsági Koordinációs Tanács

(Miniszterelnökség)

Kiberbiztonsági MunkacsoportokKiberbiztonsági

Munkacsoportok

GovCERTGovCERTÁgazati CERT-ekÁgazati CERT-ek

LRLIBEK(létfontosságú rendszerele-mek CERT)

LRLIBEK(létfontosságú rendszerele-mek CERT)

Kiberbiztonsági Fórum(üzleti, tudományos, civil

társadalom)

Kiberbiztonsági Fórum(üzleti, tudományos, civil

társadalom)

NEIHNEIH NBFNBF


Infobiztonsági gyakorlatok, oktatás

GyakorlatokA NEIH, az NBF, a GovCERT hazai információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokat szervez.A NEIH, az NBF és a GovCERT nemzetközi információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokon felkérésre képviseli Magyarországot.A NEIH az információs társadalom biztonságtudatosságának elősegítését és támogatását is szem előtt kell, hogy tartsa.

OktatásA Nemzeti Közszolgálati Egyetem szabályozza az elektronikus információs rendszer biztonságáért felelős személyek képzési, továbbképzési követelményeit, oktatási programját.Kidolgozza a biztonságért felelős személy meghatározott képzettségi követelményeit.Gondoskodik az érintett személyek éves továbbképzéséről.Közreműködik az információbiztonsági, kibervédelmi, létfontosságú információs rendszer védelmi gyakorlatokon.


Infobiztonsági oktatás – célok • Közigazgatási alap- és szakképzés IT biztonsági és elektronikus

közigazgatási önálló modullal történő kiegészítése.• Célcsoportok szerinti IT biztonsági képzési, visszamérési és

folyamatos tudásfenntartási oktatások megteremtése Vezetők IT biztonsági felelősök

IT szakemberek Felhasználók

E-learning,NKE képzések,

egyéb képzések

E-learning,NKE képzések,

egyéb képzések

Belépők képzése,

folyamatos tudásfenntartá

s

Belépők képzése,

folyamatos tudásfenntartá

s

Biztonság tudatosság szervezeti kultúrába illesztése

Biztonság tudatosság szervezeti kultúrába illesztése

Iskolai tudatosítás,

pl. Safe internet

program

Iskolai tudatosítás,

pl. Safe internet

program

Képzés beépítése a

Nemzeti Alaptantervbe

Képzés beépítése a

Nemzeti Alaptantervbe

Szülők, családokSzülők, családok

Társadalom biztonság tudatosságaTársadalom biztonság tudatossága

Plágium eddig…

Az információsűrűség

Az információtól való függés elmélyülése – az információsűrűség növekedése

• Tárolt adatok• Adatforgalom• Kezelt/feldolgozott adatok – Big Data

Tárolt adatok

MRVertex, aka Stone Arabia Consulting

Tárolt adatok

Adatforgalom

Cisco Visual Networking Index: Forecast and Methodology, 2012–2017

Big DataBig data: minden, ami adatrögzítés, feltételezés, illetve

adatelemzés e feltételezések vonatkozásában

Pl. az egészségügyi marketingben a felhasznált adatok minimálisan a következőkből állnak:

• Web site analízis• Szociális média analízis• Egyéb eMarketing analízis (pl. email kampány, mobil

analízis, stb.)• CRM adatok

(Greystone Journal, 2013.08.05)

Big DataA marketingesek a nyereségesség növelése érdekében minden

olyan adatot felhasználnak, amivel a felhasználó nyomon követhető, pl:

• Hírfolyam előfizetések – még jobb, ha az előfizetői adatok érdeklődési kört, ill. demográfiai adatokat is tartalmaznak

• Web site konverziók, pl. hogy egy látogató elvégzett egy online tranzakciót és ezáltal azonosíthatóvá vált, vagy pl. Időpontot foglalt, feliratkozott egy eseményre, kitöltött egy online kérdőívet, stb.

• Web site-ok létezése – hol, hogyan, miért, stb.

(Greystone Journal, 2013.08.05)

Big Data

Big Data – Hype Cycle

Big Data – Heat Map

Big Data

Az addig rendben is van (?), hogy óriási üzlet az adatok elemzése…

DE!

Mire is használható még?

Az Internet nem felejt…

Sőt, archivál is!!!

Internet Archive

Brewster Kahle és az Internet Archive terrakotta serege

Sik Zoltán Nándor

[email protected]

elektronikus információbiztonság és közigazgatás (a kormányzati információs rendszerek...

Documents