Transcript A rendvédelmi szervek helye a kibervédelemben

A rendvédelmi szervek helye a
kibervédelemben
Dr. Krasznay Csaba
Információbiztonsági Tanszék
E-közszolgálati Fejlesztési
Intézet
Közigazgatás-tudományi Kar
Bevezetés
• A 2013. évi L. törvény minden korábbinál
fontosabb szerepbe helyezte a BM alá
tartozó különböző szervezeteket a
kibervédelem területén
• Az előadás a következő kérdésekkel
foglalkozik:
– Miért alakult ez így?
– Jó-e az irány?
– Mik a konkrét feladatok és mi hiányzik még a
rendszerből?
Kibervédelmi stratégiák
ITU
National
Cybersecurity
Strategy
Guide
A legmagasabb kormányzati szintű kiberbiztonsági felelősség
meghatározása
Nemzeti kiberbiztonsági koordinátor kinevezése
Nemzeti kiberbiztonsági tanács létrehozása
Jogszabályalkotás
Nemzeti kiberbiztonsági keretrendszer kidolgozása
Computer Incident Response Team (CIRT) felállítása
Kiberbiztonsági tudatosság és oktatás megszervezése
Köz- és magánegyüttműködés a kiberbiztonság területén
Humán képességek fejlesztése a kiberbiztonság területén
Nemzetközi együttműködés
ENISA
National Cyber Security Strategies – Practical Guide on Development and
Execution
1. A vízió, a hatókör, a célok és a prioritások
meghatározása.
11. Állampolgári tudatosság emelése.
2. Nemzeti kockázat-felmérési szempontrendszer
követése.
12. Kutatás-fejlesztés támogatása.
3. A létező jogszabályok, szabályozások és
képességek számbavétele.
13. Szakértői oktatások és tréningek indítása.
4. Tiszta irányítási struktúra felállítása.
14. Incidenskezelési képességek kialakítása.
5. A fontos szereplők azonosítása és bevonása.
15. Kiberbűnözés visszaszorítása.
6. Megbízható információátadási eljárások
kidolgozása.
16. Részvétel a nemzetközi kapcsolatokban.
7. Kiberbiztonságot számba vevő folytonossági
tervek kidolgozása.
17. Köz- és magánegyüttműködés kialakítása.
8. Kibervédelmi gyakorlatok szervezése.
18. A biztonság és az adatvédelem közötti
összhang kialakítása.
9. Alapvető biztonsági követelmények
meghatározása
19. A kibervédelem rendszerének értékelése.
10. Incidensjelentési eljárások kidolgozása.
20. A nemzeti kibervédelmi stratégia
finomhangolása.
NATO
1.
Minden ország más, ezért egyéni kibervédelmi stratégiát kell kidolgozni!
2. A stratégia csatlakozzon más nemzetek stratégiájához
és a nemzetközi szervezetek ajánlásaihoz!
3. Legyen kidolgozva egy olyan frissítési és ellenőrzési eljárás, melynek
segítségével a szabályozás mindig a valós kockázatokra adhat választ!
4. Legyen felsőszintű, kormányzati és középszintű, szervezeti koordinációs csoport!
5. Legyenek beazonosítva a kritikus szolgáltatások és infrastruktúrák!
6. Meg kell teremteni a kibertudatosságot, elsősorban a jogszabályalkotók szintjén!
7. Biztosítani kell az információk formális és informális áramlását a szereplők között!
8. Ki kell dolgozni a közös fogalmi rendszert!
9. Olyan jogszabályi rendszert kell létrehozni, mely az alapelveket magas szinten,
az operatív munkához szükséges szabályokat rugalmasan változtatható,
alacsony szintű rendeletekben szabályozza!
10. A kulcsfontosságú szervezeteknek rugalmasnak kell lenniük az operatív munkában!
11. Ne legyenek lyukak a jogszabályi rendszerben!
12. A szervezeten belüli információáramlást elő kell segíteni!
13. Ne legyenek elavult szabályozások!
14. Az operatív műveletek esetén a szervezetek között
rugalmas együttműködést kell kialakítani!
15. Tisztázni kell az információátadás és az adatvédelem közötti egyensúlyt!
16. Küzdeni kell a digitális írástudatlanság ellen!
17. A nemzetközi kötelezettségvállalásokat a helyükön kell kezelni!
18. Az alapvető információbiztonsági követelmények
megvalósítását meg kell követelni!
19. Törekedni kell a nemzetközi interoperabilitásra!
20. Tanulni kell más országok tapasztalatából!
Szerepkörök, feladatok
Internet
irányítása/
Kiberdiplomácia
Nemzeti kibervédelmi koordinátor
Nemzetközi, internetet érintő koordinátor
Nemzetközi, informatikai és
távközlési szervezetek (ITU,
ICANN, IAB, IETF, stb.)
Kríziskezelés/
Kritikus
infrastruktúrák
védelme
Nemzeti vészhelyzet-kezelési szervezet
Nemzeti CERT szervezet
Információmegosztó és elemző szervezetek (ISAC)
Katonai kiberműveletei szerv (védelmi, csapásmérő, válaszadó)
Katonai
kiberműveletek
Katonai hírszerző szervezet
Katonai kibertartalékosok
Hírszerzés/
Elhárítás
Nemzeti hírszerző és biztonsági szervezet
Elhárítás
Kiberbűnüldözés
Jogszabályalkotók
Kormányzati CISO
ISP-k
Tudatosság
Rendőrség
(kiberosztály)
Digitális
helyszínelők
Bíróságok/
Jogszabályalkotók
Belbiztonsági feladatok
• Gov-CERT
• Belügyi szervek
sebezhetőségvizsgálata
• CIIP
• LRLIBEK
NBSZ
OKF
• Kiberbűnüldözés
• Hatósági
feladatok a zárt
célú hálózatoknál
• Oktatás, K+F az
NKE-n keresztül
Rendőrség
BM
Megfelelés az ajánlásoknak
Feladatok
Titkosszolgálatok
OKF
Rendőrség
Egyéb
Jogszabályalkotás
X (BM)
Részvétel a nemzeti kiberbiztonsági tanács
munkájában
X (BM)
Nemzetközi együttműködés
X
Köz- és magánegyüttműködés a kiberbiztonság
területén
X
X
X
Nemzeti kockázati szempontrendszer
meghatározása, kritikus szolgáltatások és
infrastruktúrák beazonosítása
X
Nemzeti CERT működtetése
X
Incidensjelentési eljárások kidolgozása
X
Kibervédelmi gyakorlatok szervezése
X
X
Humán képességek fejlesztése, kutatásfejlesztés támogatása
X (NKE)
Kiberbűnözés visszaszorítása
A biztonság és az adatvédelem közötti összhang
kialakítása
Információáramlás elősegítése
X
X
X
X
X (BM)
Összefoglalás
• Magyarországon az ajánlásoknak megfelelően alakul a
kibervédelem rendszere
• Az Ibtv. jó keretet, de nem a teljesen kimunkált megoldást
jelenti
• A kibervédelmi operatív feladatok többsége BM
alárendeltségbe tartozó szervezetnél van
• A kiberbűnözés és kiberterrorizmus elleni területen érezhető
némi lemaradás
• Kulcsfontosságú lesz a szervezetek közötti koordináció
miniszteri/minisztériumi szintű megszervezése!
Köszönöm szépen
Információbiztonsági Tanszék
E-közszolgálati Fejlesztési Intézet
Közigazgatás-tudományi Kar
[email protected]