A 242006 BMIHMNKM egyttes rendelet ltal az iratkezelsi
A 24/2006. BM-IHM-NKÖM együttes rendelet által az iratkezelési szoftverekkel szemben támasztott biztonsági követelmények Stipkovits István ISZ auditor SGS Hungária Kft.
Miről lesz szó? n A rendelet követelményei n Tanúsítási folyamat n Az SGS minősítési módszertana n Biztonsági követelmények 2
Az ISZ tanúsítási rendelet 24/2006 (IV. 29) BM-IHM-NKÖM együttes rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverekkel szemben támasztott követelményekről n ISZ: iratkezelési szoftver n Iratkezelés: érkeztetés → iktatás → …→ selejtezés/levéltározás n Közfeladatot ellátó szerv: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv és személy 3
Az ISZ tanúsítási rendelet n Hatályba lépés: · Papír alapú dokumentumok: 2006 május · Elektronikus dokumentumok ISZ-en belüli tárolása és kezelése: 2009. január 1. n Kapcsolódó rendeletek · 335/2005. (XII. 29. ) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről · 16/2006. (IV. 6. ) BM rendelet a közfeladatot ellátó szerveknél alkalmazható iratkezelési szoftverek megfelelőségét tanúsító szervezetek kijelölésének részletes szabályairól 4
A 24/2006 rendelet követelményei n Határterület: iratkezelés - információbiztonság n Cél · Minimálkövetelmények rögzítése · Egységes ISZ funkcionalitás n Követelmény típusok · ISZ elvárt és tiltott működése · Kezelt információ köre (metaadatok) · Biztonsági követelmények n Megfelelés szintjei · Szűkített: csak papír alapú iratok kezelése · Teljeskörű: elektronikus iratok kezelése is · Kibővített: kapcsolat az ügyfélkapuval is 5
Tanúsítási sajátságok n Terméktanúsítás n Audit fázisok · Dokumentáció vizsgálat · Helyszíni audit n Mintavételezés n Eltérések besorolása: csak lényeges n Tanúsítvány érvényessége 3 év 6
Vizsgálati módszerek n Garanciális elemek vizsgálata · Követelményspecifikáció, fejlesztés és tesztelés dokumentáltsága n Funkcionális tesztek · Pozitív: 59 db egyszerű, 46 db bővített · Negatív: 7 db kihívásos 7
A 24/2006 rendelet követelményei 2. Általános követelmények 3. Iktatókönyvekkel kapcsolatos követelmények 4. Az irattári tervvel kapcsolatos követelmények 5. Iratok iktatása 6. Ügyiratok, iratok kezelése 6. 1. Ügyiratok és iratok 6. 2. Az iratok mozgásának nyomon követése, statisztikák 6. 3. Kapcsolatok ügyiratok és iratok között 6. 4. Nem elektronikus iratok kezelése 6. 5. Adatok keresése, adatvisszanyerés 7. Jogosultság, adatbiztonság, adatvédelem 7. 1. Jogosultság 7. 2. Adatok mentése és helyreállítása 7. 3. Eseménynaplózás 7. 4. Iratok hitelessége 8. Átadás, exportálás, selejtezés 8. 1. Felülvizsgálat 8. 2. Megőrzési idő 8. 3. Az átadás, exportálás és megsemmisítés 9. Iratátvétel/importálás 10. Megjelenítés 11. Műszaki és teljesítmény követelmények, integráció 11. 1. Hálózati üzemeltethetőség 11. 2. Műszaki szabványok 11. 3. Teljesítmény és skálázhatóság 11. 4. Elektronikus aláírás 12. Metaadatok 13. Követelményrendszer értelmezése 8
Példák információbiztonsági követelményekre n 7. 2. 1 Az ISZ-ben gondoskodni kell az adatok manuális és/vagy automatizált biztonsági mentését és helyreállítását szolgáló eljárásokról, … ISO/IEC 27001/A 10. 5. 1 – másolatok készítése n 7. 3. 4 Az ISZ-nek lehetővé kell tennie a naplóállományokhoz való hozzáférés követhetőségét, a betekintések dokumentálását, valamint a naplóállományok megőrzését. ISO/IEC 27001/A 10. 3 – naplóinformáció védelme 9
Példák információbiztonsági követelményekre n 7. 4. 1 Az ISZ-nek nem szabad megengednie, hogy a felhasználók megváltoztassák az érkeztetett, kiadmányozott, vagy más számára már ügyintézési célból átadott elektronikus irat tartalmát. ISO/IEC 27001/A 12. 3. 1 – kriptográfiai eljárások használata n 8. 1. 4 Az ISZ-nek figyelmeztetnie kell a felhasználót arra, ha a megsemmisítendő elektronikus ügyiratra egy másik ügyirat hivatkozik (van a két irat között e rendszerben létrehozott kapcsolat) és szüneteltetnie kell a megsemmisítési folyamatot az alábbi korrekciós intézkedések valamelyikének megtételéig: … ISO/IEC 27001/A 12. 2. 2 – belső feldolgozás ellenőrzése 10
Példák információbiztonsági követelményekre n 8. 3. 7 Az ISZ-nek jelentést kell készítenie az átadás, exportálás vagy megsemmisítés során bekövetkező bármely meghibásodás részleteiről. ISO/IEC 27001/A 10. 5 - hibanaplózás n 6. 1. 7 Ügyirat, irat - leszámítva a levéltárba adás/selejtezés folyamatát - ne legyen törölhető az iratkezelési szoftverben. n 7. 2. 2 Az adatok teljes körű integritását a helyreállítást követően is meg kell őrizni. ISO/IEC 27001/A 15. 1. 3 – szervezeti feljegyzések védelme 11
Kapcsolódó ISO 27001 óvintézkedések n Az információbiztonság szervezete A 6. 1. 4 – jóváhagyási folyamat n Kommunikáció és működés irányítása A 10. 1. 3 – kötelességek szétválasztása A 10. 3. 1 - kapacitástervezés A 10. 4. 1 – óvintézkedések a rosszindulatú szoftverek ellen A 10. 5. 1 – másolatok készítése A 10. 8. 1 – információcsere szabályozása és módja A 10. 1 – eseménynaplózás A 10. 2 – rendszerhasználat figyelése A 10. 3 – naplóinformáció védelme A 10. 5 - hibanaplózás n Hozzáférés szabályozás A 11. 2. 1 – felhasználók nyilvántartása n Beszerzés, fejlesztés A 12. 2. 2 – belső feldolgozás ellenőrzése A 12. 3. 1 – kriptográfiai eljárások használata A 12. 5. 4 – információ szivárgás n Megfelelés A 15. 1. 1 – vonatkozó jogszabályok azonosítása A 15. 1. 3 – szervezeti feljegyzések védelme A 15. 1. 4 – személyes adatok védelme 12
SGS Köszönöm a figyelmet! Stipkovits István ISZ auditor istvan. stipkovits@sgs. com 13
- Slides: 13