Professional Documents
Culture Documents
infrastruktúrák védelme
Dr. Bonnyai Tünde PhD
2022.04.01.
Hazai jogszabályi környezet
a
stratégiai
tervezés
©Dr. Bonnyai Tünde
Stratégiai tervezés – tagállami szint
szavatolásának FÓKUSZBAN:
egyik természeti csapások, civilizációs kihívások,
terrorfenyegetettség, kiberbiztonság, energiabiztonság,
alapvető pénzügyi biztonság, szervezett bűnözés, migráció
feltétele
a
stratégiai
tervezés
©Dr. Bonnyai Tünde
Stratégiai tervezés – tagállami szint
szavatolásának
egyik Magyarország Nemzeti Kiberbiztonsági Stratégiája
2013
alapvető
1139/2013. (III. 21.) Korm. hat.
FÓKUSZBAN:
feltétele Magyarország kiberbiztonsági környezete, értékrendje és céljai; célok
megvalósítása érdekében meghatározott feladatok és erőforrásfejlesztés.
a Együttműködés fejlesztése (kormányzati szervek, civil szervek,
tudományos és gazdasági szervezetek).
stratégiai Kritikus információs infrastruktúrák biztonsága.
Szabályozási környezet modernizálása és nemzetközi és regionális
tervezés kapcsolatok fejlesztése.
Kiberbiztonsági szempontok érvényesítése a fejlesztési projektek,
beruházások terén is.
©Dr. Bonnyai Tünde
Stratégiai FÓKUSZBAN:
tervezés – tagállami szint
NIS irányelvi kötelezettség
Alapvető fogalmak, kiberbűnözés kapcsolódásai, kibertámadások és célpontjaik (CI),
Magyarországaktualitások a magyar Stratégiája
Nemzeti Biztonsági kibertérben…
Biztonság 2012
A digitális környezet(II.
1035/2012. iránti
21.)bizalom erősítése: együttműködés, tudatosság növelés,
Korm. hat.
… tagállami kötelezettség intézményrendszer fejlesztés.
szavatolásának Digitális infrastruktúra védelem: informatikai fejlesztések, szolgáltatás biztonság,
egyik védekező-elhárító-reagáló
Magyarország képesség fejlesztés.
Nemzeti Kiberbiztonsági Stratégiája
… 2013
kormányzati stratégiai
Gazdasági irányításról
szereplők szóló
(III. 21.)támogatása:kormányrendelet kötelez
Korm. hat. K+F+I, versenyképesség.
alapvető
1139/2013.
feltétele energiaellátási
… közösségi problémák,
stratégia leképezése,
Magyarország hálózati
szervezett
követése
és
civilizációs
bűnözés, természeti- és
szükséges
információs
katasztrófák.
2018 vonatkozó Stratégiája 1838/2018. (XII. 28.) Korm. hat.rendszerek biztonságára
Célok/feladatok/eszközök.
a
stratégiai 2020 Magyarország Nemzeti Biztonsági Stratégiája
tervezés
1163/2020. (IV. 21.) Korm. hat.
nemzeti
stratégia SPOC
alapvető
illetékes OES
hatóság azonosítás szolgáltatások
jegyzéke
DSP CSIRT
követel- jelentős
küszöb-
értékek mények zavar
értelmezése
2020 felülvizsgálat
©Dr. Bonnyai Tünde
TAGÁLLAMI
KÖTELEZETTSÉGEK
nemzeti
stratégia
Hálózatbiztonsági Stratégia (2018)
alapvető
szolgáltatások 65/2013. (III. 8.) kormányrendelet (Lrtv. vhr.)
jegyzéke
illetékes
hatóság/ 187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)
SPOC
kiberbiztonsági
Ibtv + 41/2015. (VII. 15.) BM rendelet
követelmények
nemzeti
271/2018. (XII. 20.) kormányrendelet (Ibtv. eseménykezelés)
CSIRT
! pl.:
központi államigazgatási szervek
fővárosi és megyei kormányhivatalok
önkormányzati hivatalok
nemzeti adatvagyon körébe tartozó
állami nyilvántartások adatfeldolgozói elektronikus információs
rendszerei
kijelölt létfontosságú rendszerelemek
alapvető szolgáltatást nyújtó szereplők
nb. védelem alá eső szervek
Magyar Honvédség*
©Dr. Bonnyai Tünde
KIK – KIVEL ÁLL KAPCSOLATBAN IBTV SZERINT?
elektronikus információs
felelős
SZEMÉLYI HATÁLY ALÁ TARTOZNAK rendszerek biztonságának
eseménykezelő központ
! pl.:
központi államigazgatási szervek EIR-jei
felügyeletét ellátó hatóság
elektronikus
információs rendszer
elektronikus
információs rendszer
elemei
elektronikus információs rendszerben
kezelt adatok és információk
nemzeti NBSZ
CSIRT CII
NKI
BM
OKF
NBSZ kijelölő
vezető NKI hatóság
IBF
SLO nemzeti BM
CSIRT OKF
CII állam/jogalkotó
CII állam/jogalkotó
kijelölő
vezető
BM NBSZ nemzeti
IBF SLO hatóság OKF NKI CSIRT
IBSZ készítése
IBSZ kiadása nyilvántartás
oktatás biztosítása
oktatás – képzés
besorolás döntéshozatal
megfelelés
ellenőrzés
kockázatkezelés
követelményelőírás
elhárításra kötelezés
©Dr. Bonnyai Tünde
CII állam/jogalkotó
kijelölő
vezető
BM NBSZ nemzeti
IBF SLO hatóság OKF NKI CSIRT
szankcionálás
kapcsolattartás
együttműködés a hatóságokkal
együttműködés
EZÉRT KELL:
kommunikálni sérülékenységvizsgálat
FEEDBACK jogalkotás…
©Dr. Bonnyai Tünde
Információbiztonsági követelmények
Ibtv. 7-8. §
a kockázatok alapján az elektronikus információs
+
rendszer védelme elvárt erősségének meghatározása
41-es 1. melléklet
3 évente
felülvizsgálni követelményrendszer: ennek teljesítésével lehet a védelem színvonalát növelni
→ 3 fő védelmi intézkedés típust különböztetünk meg:
adminisztratív védelem: szabályzatok, IBF, nyilvántartások, kockázatelemzés, dokumentációk
fizikai védelem: fizikai hozzáférés szabályozása, áramellátás, elhatárolt területek,
logikai védelem: biztonsági elemzések, tesztelések, konfiguráció-kezelés, frissítés, naplózás…
©Dr. Bonnyai Tünde
BIZTONSÁGI OSZTÁLYBA SOROLÁS FOLYAMATA
A fenti szempontokat vizsgálva meg kell állapítani „hol tart jelenleg a szervezetünk”, minden
1. egyes információs rendszerét tekintve külön-külön.
Meg kell állapítani az információs rendszereinkben kezelt adatok, a szervezet funkciója és védelmi
2. képességei alapján az AKTUÁLIS biztonsági osztályt/osztályokat.
Meg kell állapítani a kezelt adatok, a szervezet funkciója és védelmi képességei alapján az
1. AKTUÁLIS biztonsági szintet.
Jogszabályi előírások alapján az ELÉRENDŐ (előírt) biztonsági szintet fel kell mérni (hova
2. kell eljutni?) – cselekvési tervet kell készíteni ennek elérésére.
Az elektronikus információs
rendszerrel rendelkező
szervezetek, vagy szervezeti
egységek biztonsági szintbe
sorolása
KÖVETELMÉNYEI
nem hoz
a használt elektronikus információs infrastruktúra kialakítása 3
tekintetében döntési jogköre nincs
egyedi adatokat és információkat kezel / dolgoz fel, de kritikus adatot
nem kezel
! 2-es szint követelményei +++
olyan EIR- t használ, amely személyes adatokat kezel A biztonsági kontroll folyamataiba bevonja, az
szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe
elvárásokról tájékoztatja az érintetteket.
szakfeladatait támogató EIR-t használ, de Ezeket a folyamatokat szabályozottan és
nem üzemelteti azt ellenőrizhető módon vezeti be, oktatja.
kritikus adatot; nem minősített, de nem A biztonsági kontroll folyamatokat erre
közérdekű / közérdekből nyilvános adatot jogosult vezető hagyja jóvá.
kezel
A folyamatok előzetes tesztelésével biztosítják
központi üzemeltetésű, és több szervezetre
a követelmények szerinti működését.
érvényes biztonsági megoldásokkal védett
EIR-ek / zárt célú* EIR felhasználója Rendelkezik információbiztonsági költség- és
haszonelemzési módszertannal.
A SZERVEZET
nem üzemeltet / fejleszt EIR-t
adatkezelés tekintetében technikai / információtechnológiai döntést
KÖVETELMÉNYEI
nem hoz
a használt elektronikus információs infrastruktúra kialakítása 4
tekintetében döntési jogköre nincs
egyedi adatokat és információkat kezel / dolgoz fel, de kritikus adatot
nem kezel
! 3-as szint követelményei +++
KÖVETELMÉNYEI
nem hoz
a használt elektronikus információs infrastruktúra kialakítása 4
tekintetében döntési jogköre nincs
egyedi adatokat és információkat kezel / dolgoz fel, de kritikus adatot
nem kezel
! 3-as szint követelményei +++
kritikus adatot; nem minősített, de nem közérdekű / közérdekből A biztonsági eseményekkel kapcsolatos információk
nyilvános adatot kezel alapján tesztelési eljárást, vagy biztonsági ellenőrzést
központi üzemeltetésű, és több szervezetre érvényes biztonsági végez.
megoldásokkal védett EIR-ek / zárt célú EIR felhasználója
A tesztelés értékelése alapján megállapított
EIR-t vagy zárt célú EIR-t üzemeltet, vagy követelményeket dokumentálja, illetékes vezetővel
fejleszt jóváhagyatja és bevezeti.
Az egyedi kontroll eljárások tesztelésének
A SZERVEZET Beépített, rendszeres
gyakoriságát belsőahhoz
és mélységét értékelés keretében
igazítja, hogy
vizsgálja a biztonsági
milyen biztonsági intézkedések
kockázattal jár amegfelelőségét
kontrollok nemés
hatékonyságát.
megfelelő működése.
©Dr. Bonnyai Tünde
nem üzemeltet / fejleszt EIR-t
adatkezelés tekintetében technikai / információtechnológiai döntést
KÖVETELMÉNYEI
nem hoz
a használt elektronikus információs infrastruktúra kialakítása 5
tekintetében döntési jogköre nincs
egyedi adatokat és információkat kezel / dolgoz fel, de kritikus adatot
nem kezel
! 4-es szint követelményei +++
KÖVETELMÉNYEI
nem hoz
a használt elektronikus információs infrastruktúra kialakítása 5
tekintetében döntési jogköre nincs
egyedi adatokat és információkat kezel / dolgoz fel, de kritikus adatot
nem kezel
! 4-es szint követelményei +++
Az elektronikus információs
rendszerek biztonsági
osztályba sorolása
bekövetkező
káresemény
adatsérülés
hatás
eszkalálódása
anyagi kár
bekövetkező káresemény
jelentéktelen
súlyossága
bekövetkező káresemény
csekély
súlyossága
személyes adat, csekély értékű védett adat, vagy
adatsérülés mértéke
EIR sérülhet
hatás eszkalálódása szervezeten belül kezelhető
bekövetkező káresemény
közepes
súlyossága
különleges/személyes adat, jogszabállyal védett
adatsérülés mértéke
adat sérülhet + érzékeny folyamatot kezelő EIR
hatás eszkalálódása bizalomvesztés szervezeten belül
bekövetkező káresemény
nagy
súlyossága
bekövetkező káresemény
kiemelkedően nagy
súlyossága
különleges személyes adat kiemelten nagy
adatsérülés mértéke
mennyiségben
személyi sérülések, nemzeti adatvagyon, üzleti titok
hatás eszkalálódása
sérülhet, KI nem áll rendelkezésre, súlyos bizalomvesztés
Információbiztonsági felelős
Kinevezve vagy megbízva
IBSZ előkészítése
Kapcsolattartás a hatósággal
Felülvizsgálat
Kockázatelemzés
Kockázatelemzési és kockázatkezelési eljárásrend
Felelősségi körök meghatározása
Lehetséges kockázatok felmérése / kezelése / kezelés minősége
A biztonsági osztályba sorolás rendje, módszertana, ismétlés szabályai
Kockázatelemzési eredmények megismerésének szabályai
Adathordozók védelme
Adathordozók védelmére vonatkozó eljárásrend
Hozzáférés az adathordozókhoz
Adathordozók tárolása
Kriptográfiai védelem
Adathordozók használata
Adathordozók törlése + ellenőrzés és tesztelés
Logikai védelmi intézkedések
Azonosítás és hitelesítés
Azonosítási és hitelesítési eljárásrend (belső és külső felhasználók egyaránt)
Az EIR egyedileg azonosítja és hitelesíti a szervezet felhasználóit
Hálózati hozzáférés privilegizált és nem fiókokhoz
Belső fenyegetések ismerete
Helyi és távoli hozzáférés biztosítása
Eszközök azonosítása és hitelesítése
Azonosító kezelés
A hitelesítésre szolgáló eszközök kezelése
Logikai védelmi intézkedések
Naplózás és elszámoltathatóság
Naplózási eljárásrend
Naplózható és naplózandó események + időbélyegek
Naplóbejegyzések tartalma, tárkapacitás
Naplózási hiba kezelése
Naplóvizsgálat és jelentéskészítés
A naplóinformációk védelme és letagadhatatlanság
A naplóbejegyzések megőrzése
OVI TÁBLA…
Letölthető:
https://nki.gov.hu/hatosag/tartalom/urlapok/
illetékes
hatóság/ 187/2015. (VII. 13.) kormányrendelet (Ibtv. hatóság)
SPOC
kiberbiztonsági
Ibtv + 41/2015. (VII. 15.) BM rendelet
követelmények
nemzeti
271/2018. (XII. 20.) kormányrendelet (Ibtv. eseménykezelés)
CSIRT
Jogosult:
Ibtv. III. fejezet + 187-es KR megtenni, elrendelni, ellenőrizni minden olyan, az EIR
védelmére vonatkozó intézkedést, amellyel az érintett EIR-t
EIR-ek biztonságának felügyelete veszélyeztető fenyegetések kezelhetőek
BO/BSZ ellenőrzése + döntés
+ javaslatot tehet
követelmények teljesítésének ellenőrzése információbiztonsági felügyelő* kirendelésére
megfelelés ellenőrzés
kockázatkezelés követelményelőírás
mulasztás elhárításra kötelezés
szankcionálás
©Dr. Bonnyai Tünde
CII állam/jogalkotó
ügyfél EIR felügyeletét ellátó hatóság (NKI)
BIZTONSÁGI
ESEMÉNY
bejelentés
együttműködés a
reagálás&kezelés CSIRT-tel
ellenőrzés
elhárításra kötelezés
szankcionálás
együttműködés kapcsolattartás
Eseménykezelő központok
honvédelmi
célú EIR-ek
kivételével
©Dr. Bonnyai Tünde
NEMZETI CSIRT (KÖZPONT)
+ önkéntes
rövid leírás, státusz
bejelentés
zavar mértéke
1. elektronikus úton
2. bármely módon
kapcsolattartási adatok
kivizsgálása IBF
biztonságiesemény-
Az érintett szervezet köteles: kezelési megbízott
illetékes eseménykezelő
Központtal együttműködni központ munkatársai