A NISZ Zrt. kiberbiztonsági jövője az új információbiztonsági törvény

Download Report

Transcript A NISZ Zrt. kiberbiztonsági jövője az új információbiztonsági törvény

A NISZ Zrt. kiberbiztonsági jövője az új információbiztonsági törvény tükrében

2013. Szeptember 3.

Szekeres Balázs Informatikai biztonsági igazgató

Tartalom

• IT és kiberbiztonsági képességeink • Jogszabályi követelmények • A NISZ Zrt. kiberbiztonsági jövőképe

IT és kiberbiztonsági képességeink

• 2012 – 2013 az IT biztonsági igazgatóság létszáma 4 fő – IT biztonsági igazgató – 2 IT biztonsági referens – 1 technikai szakértő – + megbízással szakértők projekt feladatokra • Jelentős mennyiségű projekt tervezése és megvalósítása lekötötte az IT biztonsági erőforrásokat • Eredmények: – Megerősödött az IT és kiberbiztonsági tevékenység a NISZ-en belül – Elkezdődött a szabályozási és technikai felmérés – Bekerültek a projektekbe az IT és kiberbiztonsági témák

IT és kiberbiztonsági képességeink

• 2013 júliustól jelentős szervezeti változások kezdődtek – IT biztonsági igazgatóság létszáma fokozatosan megnőtt (jelenleg 16 fő) – Az üzemeltetésen létrejött az Üzemeltetés Biztonsági Ügyelet (jelenleg 3 fő) • A kormányzati IT és Kiberbiztonsági felügyeleti rendszer megkezdte a jogszabályok szerinti működését • A projektek megvalósulási fázisba kerültek – jelentős részük 2013 év végére megvalósul – más részük 2014-ben valósul meg

Jogszabályi követelmények

• 2013. évi L. törvény: 2 § (2) E törvény rendelkezéseit kell alkalmazni:

a)

az (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők,

b)

a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,

c)

az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.

• 309/2011 (XII. 23.) Korm. Rendelet a központosított informatikai és elektronikus hírközlési szolgáltatásokról • 38/2011. (III. 22.) Korm. Rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról • 346/2010. (XII. 28.) Korm. Rendelet a kormányzati célú hálózatokról

Jogszabályi követelmények

• Alkalmazási területek – NISZ Zrt. saját informatikai rendszerei – Jogszabályok alapján nyújtott informatikai szolgáltatások – Szerződések alapján nyújtott informatikai szolgáltatások • Minden alkalmazási területen teljesíteni kell az alapvető elektronikus információbiztonsági követelményeket (5. – 6. §) • Az elektronikus információs rendszerek biztonsági osztályba sorolása (7. – 8. §): – NISZ Zrt. saját IT rendszerei esetén saját hatáskörben – Jogszabály vagy szerződés alapján nyújtott IT szolgáltatás esetén az adott szervezettel együttműködve

Jogszabályi követelmények

• Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje (9. – 10. §): – 9. §

d)

a 2. § (2) bekezdés

b)

szervezetek esetén 5.

és

c)

pontjába tartozó – Azaz a NISZ Zrt. szervezeti biztonsági besorolása 5, a jelenlegi szint ??

– A követelményeket az NFM rendelet fogja meghatározni • A szervezeteknek az elektronikus információs rendszereik védelmét biztosító kötelezettségei (11. – 13. §): – IT biztonsági irányítási rendszer felülvizsgálata és jogszabályi követelményeknek megfelelő átalakítása – IT biztonsági szabályozás felülvizsgálata és átalakítása – Szolgáltatások (jogszabály vagy szerződés alapján) IT biztonsági szabályozásának kialakítása (együttműködés)

Jogszabályi követelmények

• Operatív feladatok – 11. § h) – folyamatos kockázatelemzés, ellenőrzés, audit – 11. § i) – biztonsági események nyomon követése – 11. § j) – biztonsági események kezelése – 11. § m) – az érintettek tájékoztatása a biztonsági eseményekről és a lehetséges fenyegetésekről – 11. § n) – a szükséges egyéb védelmi intézkedések megtétele • 13. § (4) – A NISZ Zrt. esetén elektronikus információbiztonsági szervezeti egység látja el a feladatokat, azaz az IT biztonsági igazgatóság

Jogszabályi követelmények

• Együttműködések – 12. § - a NISZ Zrt. vezetője együttműködik a hatósággal – 13. § (1) f) – az IT biztonsági igazgatóság kapcsolatot tart a hatósággal és a Kormányzati Eseménykezelő Központtal – A jogszabályok és szerződések alapján nyújtott szolgáltatások tekintetében az IT biztonsági igazgatóság együttműködik az érintett biztonsági felelősökkel és szervezetekkel – Az IT biztonsági igazgatóság együttműködik az NBF-el, az OKF-el, a n emzetbiztonsági szolgálatokkal és bűnüldöző szervezetekkel • Nem jogszabályi kötelezettség alapján együttműködésre törekszünk hazai és nemzetközi szakmai szervezetekkel

NISZ kiberbiztonsági jövőkép

• A hatályos jogszabályoknak megfelelő működés kialakítása és folyamatos fenntartása • A kialakított IT biztonsági irányítási és szabályozó rendszer megfelelésének folyamatos vizsgálata, elemzése és javítása • Költséghatékony, de a kockázatokkal arányos biztonsági fejlesztések kezdeményezése és megvalósítása a legújabb kutatási eredmények felhasználásával • Az üzemeltetett infrastruktúrát érő fenyegetések folyamatos figyelése, kockázatértékelése, elemzése és védelmi intézkedések életbe léptetése

NISZ kiberbiztonsági jövőkép

• A bekövetkezett biztonsági események felismerése, elemzése, elhárítása és a tanulságok visszacsatolása • A biztonsági tudatosság kialakítása, fokozása és fenntartása a felhasználók, az üzemeltetők, a beszállítók és más alvállalkozók esetén

Mindezeket a célokat a jogszabályi követelményeknek megfelelő együttműködések NISZ oldali biztosításával, illetve hazai és nemzetközi szakmai együttműködések kialakításával és felhasználásával szeretnénk elérni!

Köszönöm a figyelmet!

Szekeres Balázs

www.nisz.hu

NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság 1081 Budapest, Csokonai u. 3.

Telefon: +36 1 459 4200 Fax: +36 1 303 1000