NEIH vizsglat tapasztalatai Ismert s j kihvsok az

  • Slides: 15
Download presentation
NEIH vizsgálat tapasztalatai { Ismert és új kihívások az Ibtv. kapcsán Sipos Győző -

NEIH vizsgálat tapasztalatai { Ismert és új kihívások az Ibtv. kapcsán Sipos Győző - IT biztonságtechnikai auditor Cím: H-1152 Budapest, Telek utca 7 -9. Telefon: +36 1 470 5000 Mobil: +36 20 999 -9999 E-mail: vezeteknev. keresztnev@nador. hu

A Nemzeti Elektronikus Információ-biztonsági Hatóság (NEIH) által egyik önkormányzati partnerünknél végzett ellenőrzés tapasztalatai www.

A Nemzeti Elektronikus Információ-biztonsági Hatóság (NEIH) által egyik önkormányzati partnerünknél végzett ellenőrzés tapasztalatai www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Előzmények • Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) értesítése, az Ibtv. végrehajtásával kapcsolatosan ellenőrzésről Öröm!

Előzmények • Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) értesítése, az Ibtv. végrehajtásával kapcsolatosan ellenőrzésről Öröm! Miért is? • Az ellenőrzések végrehajtására, azok terjedelmére vonatkozó hatósági iránymutatások nem került eddig kiadásra • A Hatóság közvetlen információi segítik az Ibtv. megfelési felkészülést • A tapasztalatok megosztása valamennyi partnerünk számára hasznos lehet. www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Az ellenőrzés folyamata • • • Előzetes adatbekérés Hivatali kapcsolattartó kijelölése (célszerűen az IBF)

Az ellenőrzés folyamata • • • Előzetes adatbekérés Hivatali kapcsolattartó kijelölése (célszerűen az IBF) Adat pontosítás, kiegészítés kérése a Hatóság részéről Helyszíni vizsgálat időpontjának egyeztetése Helyszíni vizsgálat Előzetes audit jegyzőkönyv megküldése, véleményezésre Végleges jegyzőkönyv, határozat Hivatal: intézkedési terv készítése a megállapítások alapján Esetleges hatósági utóellenőrzés www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Előzetes adatbekérés Az ellenőrzést elrendelő végzésben meghatározott adatokat be kellett nyújtani a Hatósághoz, a

Előzetes adatbekérés Az ellenőrzést elrendelő végzésben meghatározott adatokat be kellett nyújtani a Hatósághoz, a helyszíni vizsgálat megkezdése előtt. A kért adatok köre részben • az Ibtv. és végrehajtási rendeletei által előírt kötelező bejelentések • az elektronikus információs rendszerek nyilvántartása • a kötelező szabályzatok www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Kérdőív a fizikai biztonsági intézkedésekről A helyszíni vizsgálat megkezdése előtt a Hatóság további adatlapot

Kérdőív a fizikai biztonsági intézkedésekről A helyszíni vizsgálat megkezdése előtt a Hatóság további adatlapot küldött ki, amely a megvalósított fizikai védelmi intézkedésekre vonatkozott. A kérdések: • • • az elektronikus információs rendszereknek helyet adó létesítmények fizikai biztonságáról az irodaépületbe(!) belépésre jogosultak nyilvántartásáról belépőkártyák kezeléséről idegenek belépésének nyilvántartásáról a géptermek és a technikai helyiségek biztonságáról belépés szabályozása, nyilvántartása mentések szabályozására és tárolása hivatali ügymenet folytonossági és informatikai katasztrófa utáni helyreállítási tervek értesítési listák stb. www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Helyszíni vizsgálat A helyszíni vizsgálatot két auditor végezte. Tájékoztatást adtak az – eddig írásban

Helyszíni vizsgálat A helyszíni vizsgálatot két auditor végezte. Tájékoztatást adtak az – eddig írásban nem dokumentált – elvárásaikról, az ASP csatlakozás biztonsági követelményeiről. Kérdéseket tettek fel a • felhasználói képzésekre vonatkozóan, • a teljes hivatal működési módjára, • ügyfélfogadási rendjére, • informatikai szolgáltatókra, szolgáltatási szerződésekre vonatkozóan www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

A bejárás során… • • • megtekintették a hivatali épületeket, megvizsgálták mind a dolgozói-,

A bejárás során… • • • megtekintették a hivatali épületeket, megvizsgálták mind a dolgozói-, mind az ügyfélbeléptetés rendjét, a biztonsági rendszereket, kamerarendszert, a felvételek tárolását Külön figyelmet fordítottak az ügyfelek által látogatható területekre, a munkahelyek kialakítására, a képernyőkre való rálátásra. Dolgozókat kérdeztek a rendszerekhez használt jelszavaikról, ellenőrizték a számítógépeket, megvizsgálták, hogy az USB port használható-e, van-e CD meghajtó a gépben stb. www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Összegzés Az auditorok számos olyan követelményt ellenőriztek, melyek a szabályzatainkban szerepelnek, vagy a kidolgozás

Összegzés Az auditorok számos olyan követelményt ellenőriztek, melyek a szabályzatainkban szerepelnek, vagy a kidolgozás alatt lévő szabályzatokban kerülnek részletezésre, ebből a szempontból az elvárásaik nem okoztak meglepetést. Nagyon erősen koncentrálnak a munkakörnyezet kialakítására és rendjére, s megkövetelik azokat az opciókat, melyeket ajánlásként szoktunk megfogalmazni partnereink részére, azaz • • • az internet általános tilalmát, csak a szakmailag igazolható esetekben, és csak előre kijelölt tartalmak látogatása az eszközök portjainak tiltását (USB, CD meghajtó) irodai területek zárása stb. www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Ami új volt: • • Eddig nem publikált információk az állami üzemeltetésű és az

Ami új volt: • • Eddig nem publikált információk az állami üzemeltetésű és az ASP rendszerek felhasználói környezetével szembeni magas követelményekről Ezek következtében a hivatalokkal szembeni biztonsági kontroll követelmények emelése – 3 -as, 4 -es, esetleg 5 -ös biztonsági osztály! www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Amit tudtunk eddig is… • • A biztonságos üzemeltetési környezet fenntartása érdekében be kell

Amit tudtunk eddig is… • • A biztonságos üzemeltetési környezet fenntartása érdekében be kell vezetni a felhasználók „szabadságát” korlátozó intézkedéseket A Felhasználói Biztonsági Szabályzatainkban megfogalmazott ajánlásainkat a Hatóság kötelező érvénnyel elvárja www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Piros és fekete pontok Az ellenőrzés során könnyen lehet „jó és rossz pontokat” szerezni.

Piros és fekete pontok Az ellenőrzés során könnyen lehet „jó és rossz pontokat” szerezni. A „rossz pont” alatt azt értjük, amikor a felügyelők határozatban kötelezhetik a szervezetet az üzemeltetési és szabályozási környezetük javítására. Jó pontjaink: • Biztonsági szabályzatok • Oktatási anyag • Felhasználói Szabályzat ajánlásai www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Rossz pontok • • • A felhasználók túl nagy szabadsága, internet használat, webes levelezés,

Rossz pontok • • • A felhasználók túl nagy szabadsága, internet használat, webes levelezés, felhő tárhelyek használata – például a Gmail egyértelműen tiltott a hivatali környezetben Rosszul kialakított munkakörnyezet, esetlegesen rálátást lehetővé tevő monitorok Ügyfelek által hozzáférhető iratok, informatikai rendezőszekrények Nyitott irodák Ellenőrizetlen ügyfélmozgás a hivatalon belül www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Teendők • • • Az Ibtv által megkövetelt szabályzatok mielőbbi kiadása Az ASP rendszerek

Teendők • • • Az Ibtv által megkövetelt szabályzatok mielőbbi kiadása Az ASP rendszerek fogadása során az érintett területek 3 -as, illetve 4 es biztonsági osztálynak megfelelő védelmi intézkedéseinek meghozatala A felhasználói szabályzatokban megfogalmazott korlátozások szigorú érvényesítése, ehhez technikai eszközök beszerzése (mobil eszközök korlátozása stb. ) Az ügyfélfogadás, ügyfélmozgás rendjének szigorú szabályozása, beléptetők, biztonsági zónák Szállítói szerződések felülvizsgálata, az Ibtv. előírásai szerinti követelmények részletes beemelése a szerződésekbe Hivatali ügymenet folytonossági tervek készítése, RTO, RPO értékek meghatározása. www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

Kérdése van? Tegye fel! www. nador. hu I Tel. : + 36 1 470

Kérdése van? Tegye fel! www. nador. hu I Tel. : + 36 1 470 -5000 I info@nador. hu

NEIH vizsglat tapasztalatai Ismert s j kihvsok azNEIH vizsglat tapasztalatai Ismert s j kihvsok az
Csontvel vizsglat STERNUMPUNCTIO Csontvel vizsglat STERNUMPUNCTIO A vrkpzsCsontvel vizsglat STERNUMPUNCTIO Csontvel vizsglat STERNUMPUNCTIO A vrkpzs
Nukleris veszlyforrsok s kihvsok Nukleris veszlyforrsok s kihvsokNukleris veszlyforrsok s kihvsok Nukleris veszlyforrsok s kihvsok
Kihvsok s vlaszok az alagtptsben Kihvsok s vlaszokKihvsok s vlaszok az alagtptsben Kihvsok s vlaszok
A dohnyzs ismert s j mdszerei illetve veszlyeiA dohnyzs ismert s j mdszerei illetve veszlyei
Auraria Higher Education Center Case Study John IsmertAuraria Higher Education Center Case Study John Ismert
Parapszicholgia Mi a parapszicholgia Az ismert fizikai klcsnhatsoktlParapszicholgia Mi a parapszicholgia Az ismert fizikai klcsnhatsoktl
HRKLSZ Hraklsz grgl msik ismert latin nevn HerculesHRKLSZ Hraklsz grgl msik ismert latin nevn Hercules
Ismert emberek nagy gondolatai s KAKTUSZOK Nachtigall SerenadeIsmert emberek nagy gondolatai s KAKTUSZOK Nachtigall Serenade
A Nyugat 1908 1941 Keress ismert szerzket aA Nyugat 1908 1941 Keress ismert szerzket a
Bolygk Egy kis ttekints A naprendszer ma ismertBolygk Egy kis ttekints A naprendszer ma ismert
MENNYIRE ISMERT S ELTERJEDT A PROJEKTPEDAGGIA A MAIMENNYIRE ISMERT S ELTERJEDT A PROJEKTPEDAGGIA A MAI
ANALGIK ADATBANKOK sszahasonlts mr ismert elemekkel Gen BankANALGIK ADATBANKOK sszahasonlts mr ismert elemekkel Gen Bank
Moldova Egy kevsb ismert tbbnyelv s tbbkultrj eurpaiMoldova Egy kevsb ismert tbbnyelv s tbbkultrj eurpai