Transcript A NISZ Zrt. kiberbiztonsági jövője az új információbiztonsági törvény
A NISZ Zrt. kiberbiztonsági jövője az új információbiztonsági törvény tükrében
2013. Szeptember 3.
Szekeres Balázs Informatikai biztonsági igazgató
Tartalom
• IT és kiberbiztonsági képességeink • Jogszabályi követelmények • A NISZ Zrt. kiberbiztonsági jövőképe
IT és kiberbiztonsági képességeink
• 2012 – 2013 az IT biztonsági igazgatóság létszáma 4 fő – IT biztonsági igazgató – 2 IT biztonsági referens – 1 technikai szakértő – + megbízással szakértők projekt feladatokra • Jelentős mennyiségű projekt tervezése és megvalósítása lekötötte az IT biztonsági erőforrásokat • Eredmények: – Megerősödött az IT és kiberbiztonsági tevékenység a NISZ-en belül – Elkezdődött a szabályozási és technikai felmérés – Bekerültek a projektekbe az IT és kiberbiztonsági témák
IT és kiberbiztonsági képességeink
• 2013 júliustól jelentős szervezeti változások kezdődtek – IT biztonsági igazgatóság létszáma fokozatosan megnőtt (jelenleg 16 fő) – Az üzemeltetésen létrejött az Üzemeltetés Biztonsági Ügyelet (jelenleg 3 fő) • A kormányzati IT és Kiberbiztonsági felügyeleti rendszer megkezdte a jogszabályok szerinti működését • A projektek megvalósulási fázisba kerültek – jelentős részük 2013 év végére megvalósul – más részük 2014-ben valósul meg
Jogszabályi követelmények
• 2013. évi L. törvény: 2 § (2) E törvény rendelkezéseit kell alkalmazni:
a)
az (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők,
b)
a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,
c)
az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.
• 309/2011 (XII. 23.) Korm. Rendelet a központosított informatikai és elektronikus hírközlési szolgáltatásokról • 38/2011. (III. 22.) Korm. Rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról • 346/2010. (XII. 28.) Korm. Rendelet a kormányzati célú hálózatokról
Jogszabályi követelmények
• Alkalmazási területek – NISZ Zrt. saját informatikai rendszerei – Jogszabályok alapján nyújtott informatikai szolgáltatások – Szerződések alapján nyújtott informatikai szolgáltatások • Minden alkalmazási területen teljesíteni kell az alapvető elektronikus információbiztonsági követelményeket (5. – 6. §) • Az elektronikus információs rendszerek biztonsági osztályba sorolása (7. – 8. §): – NISZ Zrt. saját IT rendszerei esetén saját hatáskörben – Jogszabály vagy szerződés alapján nyújtott IT szolgáltatás esetén az adott szervezettel együttműködve
Jogszabályi követelmények
• Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje (9. – 10. §): – 9. §
d)
a 2. § (2) bekezdés
b)
szervezetek esetén 5.
és
c)
pontjába tartozó – Azaz a NISZ Zrt. szervezeti biztonsági besorolása 5, a jelenlegi szint ??
– A követelményeket az NFM rendelet fogja meghatározni • A szervezeteknek az elektronikus információs rendszereik védelmét biztosító kötelezettségei (11. – 13. §): – IT biztonsági irányítási rendszer felülvizsgálata és jogszabályi követelményeknek megfelelő átalakítása – IT biztonsági szabályozás felülvizsgálata és átalakítása – Szolgáltatások (jogszabály vagy szerződés alapján) IT biztonsági szabályozásának kialakítása (együttműködés)
Jogszabályi követelmények
• Operatív feladatok – 11. § h) – folyamatos kockázatelemzés, ellenőrzés, audit – 11. § i) – biztonsági események nyomon követése – 11. § j) – biztonsági események kezelése – 11. § m) – az érintettek tájékoztatása a biztonsági eseményekről és a lehetséges fenyegetésekről – 11. § n) – a szükséges egyéb védelmi intézkedések megtétele • 13. § (4) – A NISZ Zrt. esetén elektronikus információbiztonsági szervezeti egység látja el a feladatokat, azaz az IT biztonsági igazgatóság
Jogszabályi követelmények
• Együttműködések – 12. § - a NISZ Zrt. vezetője együttműködik a hatósággal – 13. § (1) f) – az IT biztonsági igazgatóság kapcsolatot tart a hatósággal és a Kormányzati Eseménykezelő Központtal – A jogszabályok és szerződések alapján nyújtott szolgáltatások tekintetében az IT biztonsági igazgatóság együttműködik az érintett biztonsági felelősökkel és szervezetekkel – Az IT biztonsági igazgatóság együttműködik az NBF-el, az OKF-el, a n emzetbiztonsági szolgálatokkal és bűnüldöző szervezetekkel • Nem jogszabályi kötelezettség alapján együttműködésre törekszünk hazai és nemzetközi szakmai szervezetekkel
NISZ kiberbiztonsági jövőkép
• A hatályos jogszabályoknak megfelelő működés kialakítása és folyamatos fenntartása • A kialakított IT biztonsági irányítási és szabályozó rendszer megfelelésének folyamatos vizsgálata, elemzése és javítása • Költséghatékony, de a kockázatokkal arányos biztonsági fejlesztések kezdeményezése és megvalósítása a legújabb kutatási eredmények felhasználásával • Az üzemeltetett infrastruktúrát érő fenyegetések folyamatos figyelése, kockázatértékelése, elemzése és védelmi intézkedések életbe léptetése
NISZ kiberbiztonsági jövőkép
• A bekövetkezett biztonsági események felismerése, elemzése, elhárítása és a tanulságok visszacsatolása • A biztonsági tudatosság kialakítása, fokozása és fenntartása a felhasználók, az üzemeltetők, a beszállítók és más alvállalkozók esetén
Mindezeket a célokat a jogszabályi követelményeknek megfelelő együttműködések NISZ oldali biztosításával, illetve hazai és nemzetközi szakmai együttműködések kialakításával és felhasználásával szeretnénk elérni!
Köszönöm a figyelmet!
Szekeres Balázs
www.nisz.hu
NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság 1081 Budapest, Csokonai u. 3.
Telefon: +36 1 459 4200 Fax: +36 1 303 1000