e-közigazgatás biztonsági nézőpontból

1. e-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP szigi@ik.bme.hu

2. Tartalom • Két szó a biztonságról • Eddig fejlesztések tanulságai • A biztonság helye a fejlesztésekben • Mi várható?

3. Biztonság definíciója • Bizalmasság • Sértetlenség • Hitelesség • Letagadhatatlanság • Elszámoltathatóság • Rendelkezésre állás • Információ védelem – informatikai védelem – adatvédelem

4. Biztonság jellemzői • A hiányát érzékeljük! • Nem külön rendszerkomponens • Több összetevő • Minden, mindennel összefügg • Nem állapot – folyamat • Nincs 100%-os védelem • Kompromisszum • Emberi tényező kiemelkedő szerepe

5. Tanulságok • Korábbi fejlesztések: • Szigetszerűség • Kevés figyelem a biztonságra • Kiírások hibái • Szállítóvezérelt megoldások • Nem egyenszilárdságú megoldások • Elfogadási követelmények hiánya • Csak a rendszerre koncentrálás • Fejlesztői tapasztalatlanság

6. Mire építhetünk? • ITB 8. számú ajánlása „Informatikai biztonsági módszertani kézikönyv” • ITB 12. sz. ajánlás „Informatikai Rendszerek Biztonsági Követelményei” • MIBÉTS, Magyar informatikai Biztonsági Értékelési és Tanúsítási Séma • MIBIK - IBIK – IBIV (Magyar Informatikai Biztonság Irányítási Keretrendszer, Informatikai Biztonság Irányításának Követelményrendszere, Informatikai Biztonság Irányításának Vizsgálata)

7. Mire építhetünk / 2 • KET és kapcsolódó rendelkezések • Pl.: • 195/2005 (IX. 22.) Kormány rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról • EU környezet • További jogszabályok, ajánlások

8. Mire építhetünk / 3 • Meglévő rendszerek • Központi rendszer • Ügyfélkapu • Kormányzati gerinc • Cert Hungary • stb. • Ne találjunk fel újra semmit!

9. Fejlesztési kérdések • Biztonsághoz kell: • Követelményrendszer • Tervezés • Fejlesztés • Ellenőrzés • Üzemeltetés és fenntartás

10. Követelményrendszer • Szabályozási környezet követelményei: KET, Személyes adatok védelme, stb. • Általános kockázatelemzési módszerek adaptálása (pl.: IHM ajánlása közigazgatás informatikai célrendszereinek kockázatfelmérésére, biztonsági osztályokba sorolására, stb.) • Kapcsolódó rendszerek követelményei (pl.: 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről)

11. Tervezés • Biztonságra tervezni kell! • Fejlesztési projekteknek részének kell lenni: • erőforrást kell biztosítani • meg kell követelni • Oktatási támogatás kell

12. Fejlesztés • A biztonságos fejlesztésnek át kell hatnia az egész rendszert • Nem lehet utólag biztonságot fejleszteni • Hibák nagy része: banális implementációs probléma • Megfelelő kompetenciákkal kell rendelkezni, ellenőrizhetően! • Oktatás!

13. Ellenőrzés • Auditálás, tanúsítás • Mi alapján? MIBÉTS… CC • Ki jogosult? Pl. EKK (84/2007 korm. rendelet ) • Független vizsgáló laboratóriumok • Meglévő tanúsítások elfogadása – feltételekkel!

14. Fenntartás • Nehéz kérdés: • Erőforrások? • Koordináció? • Információ? • Különös figyelem az emberi tényezőre

15. Mi várható? • Igazi veszély, ha van motiváció támadásra! • e-közigazgatás, e-kormányzat  lesz motiváció! • A támadó előnyös helyzetben van és nem alszik • Szokatlan (e-specifikus) támadások várhatóak • Biztonságos az, amiről sokan állítják (nyílt technológiák!) • Emberi tényező kihasználása

16. Merre menjünk? • Fontos a központi koordináció! (Pl. EKK) • Fontos az egyértelmű követelményrendszer (új ajánlások kellenek!) • Elfogadási kritériumok, tanúsítás • Proaktivitás minden téren • Jövőálló, nyílt megoldások kellenek • A technológiai csak a megoldás egy része – általában nem azon múlik! • Érintettek informálása, tudatosságnövelés, oktatás

17. Köszönöm a figyelmet! szigi@ik.bme.hu