az információbiztonsági törvény hatása a pénzintézetekre

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Az információbiztonsági törvény hatása a pénzintézetekreDr. Krasznay CsabaHP Magyarország

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2

A világ jelenleg

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.3

Kiberfenyegetések

Kiberbűnözés

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.4

Trendek a világban

Felismerés Kapkodás Ad hoc védelem Jogi szabályozás Képességfejlesztés

Szervezett védelem

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.5

A kibervédelem magyar evolúciója eddig …

Felismerés

•Anonymous támadások•Nemzetközi trendek/kötelezettségek•Magyar érintettségű célzott támadások (DuQu)

Kapkodás

•Ugrás a jelentéktelen hacktivista támadásokra•A jelenségek rendőri megközelítésű kezelése

Ad hoc védelem

•Szemléletváltás•A rendelkezésre álló szervezetrendszer használata

Jogi szabályozás

•Stratégiák (nemzeti, katonai)•Törvények (titkosszolgálati, közigazgatási)

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.6

… és ezután

Képesség-fejlesztés

• Felderítési képességek (titkosszolgálatok, CERT, NBF)• Elhárítási képességek (intézmények, CERT)• Koordinációs képességek (Hatóság, civil szervezetek)• Nemzetközi képességek (Honvédség)

Szervezett védelem

• Kibervédelmi törvény• Kialakult, működő, védelem, koordináció és ellenőrzés

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.7

Jogi szabályozás jelenleg

A pénzintézetek biztonságáért

1996. évi CXII. törvény a hitelintézetekről és a pénzügyi vállalkozásokról

A személyes adatok védelméért

2011. évi CXII. Törvény az információs önrendelkezési jogról és az információszabadságról

Az ország védelméért

1035/2012. (II. 21.) Korm. Határozat Magyarország Nemzeti Biztonsági Stratégiájáról

A katonai felkészültségért

1656/2012. (XII. 20.) Korm. Határozat Magyarország Nemzeti Katonai stratégiájának elfogadásáról

A titkosszolgálati felkészültségért

1995. évi CXXV. Törvény a nemzetbiztonsági szolgálatokról

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.8

Jogi szabályozás ezután

A szervezett kibervédelemért

1139/2013. (III. 21.) Korm. határozat. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról

Az állami szervek és a KII védelemért

T/10327. számú törvényjavaslat az állami és önkormányzati szervek elektronikus információbiztonságáról

Az EU védelméértProposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.9

Az információbiztonsági törvény

Jogalanyok széles körben

Alapvető biztonsági elvárások

Szervezeti biztonsági szint

Biztonsági vezető és felelős

Szervezetek feldatai (Hatóság, NBF, CERT)

Információbizton-sági felügyelő

Kormányzati koordináció

Oktatás-kutatás-fejlesztés

Biztonsági osztályba sorolás

• Tervezhető védelmi felkészülés

• Ellenőrzési és azonnali beavatkozási lehetőség

• Számonkérhetőség

• Kibervédelmi szabályozás alapja

• Infobiztonsági kultúra elterjedése

Szabályozatlan közig.informatikapl. visszavont rendeletek,nem használt ajánlások

Szabályozatlan KIIpl. KI tv. kibervédelem nélkül

Részben szabályozottfelelősségpl. nemzeti adatvagyon,szétszórt védelem

Szabályozási indokok Várható eredmények

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.10

Pénzintézetekre vonatkozó elvárásokLétfontosságú rendszerelemek

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.11

Rendszerek besorolása

Pénzintézetekre vonatkozó elvárások

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.12

Szervezeti besorolás

Pénzintézetekre vonatkozó elvárások

•Belső és hatósági felülvizsgálat

•Biztonsági szint emelése

•Követelmények a Vhr.-ből

•Besorolás a rendszerek alapján

•Besorolás jelleg szerint

Tervezés Megvalósítás

Felülvizsgálat

Beavatkozás

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.13

Felelősségek

Pénzintézetekre vonatkozó elvárások

Szervezet vezetője

Megfelelőség biztosítása

Biztonsági felelős kinevezése

Biztonsági szabályozás kiadása

Oktatás, tudatosság

IBIR irányítása

Erőforrások a biztonsági események kezeléséhez

Biztonság, mint szerződéses kötelem

Értesítés a biztonsági eseményekről

Biztonsági felelős

Az IBIR operatív irányítása

Az információbiztonságot érintő szerződések véleményezése

Kapcsolattartás a Hatósággal és a CERT-tel

Szolgáltatók ellenőrzése

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.14

Felügyeleti rendszer

Hatóság

Nemzeti Biztonsági Felügyelet

Kormányzati eseménykezelő központ

Tanács

PSZÁF

???Ellenőrzés

Ajánlások

Kapcsolattartás

Nyilvántartás

IT biztonsági felügyelő

Sérülékenység-vizsgálat

Incidenskezelés

Koordináció

OKF

???

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.15

Végrehajtási rendeletek

Pénzintézetekre vonatkozó jövőbeni elvárások

A hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait tartalmazó vhr.

• Létfontosságú rendszerelemek ellenőrzésének szabályai

A Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét tartalmazó vhr.

• A sérülékenység-vizsgálat elvégzésének szabályai

az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr.

• Konkrét műszaki követelmények

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.16

Végrehajtási rendeletek

Pénzintézetekre vonatkozó jövőbeni elvárások

A hatóság által kiszabható bírság mértéke, a bírság kiszabásának és befizetésének részletes eljárási szabályait meghatározó vhr.

• A bírságolás szabályai nem állami szerveknél

A kormányzati eseménykezelő központ és az ágazati eseménykezelő központok feladat- és hatáskörét tartalmazó vhr.

• Incidenskezelés a létfontosságú rendszerelemeknél

A szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjét tartalmazó vhr.

• Az incidensek jelentésének részletei

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.17

Fejlesztőkre vonatkozó elvárások jelenlegSzerződéses kötelmek

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.18

Gyakorlati feladatok

Fejlesztőkre vonatkozó elvárások jelenleg

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.19

Végrehajtási rendeletek

Fejlesztőkre vonatkozó jövőbeni elvárások

A hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait tartalmazó vhr.

• Elvárások szerződésekre, a rendszerek ellenőrzésének technikáira

A Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét tartalmazó vhr.

• A sérülékenység-vizsgálat elvégzésének szabályai

az előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó követelményeket, továbbá a biztonsági osztályba sorolás és a szervezetek biztonsági szintbe sorolásának követelményeit tartalmazó vhr.

• Konkrét műszaki követelmények

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.20

Mit jelent a piac számára szabályozás iránya?

Egyértelmű elvárások

mindenkitől

Kiberbiztonságra allokált, tervezhető

források

Szigorú szakmai

számonkérés

Biztonságtudatos,

versenyképesebb szállítók

Biztonságosabb ország,

minőségibb IT ipar

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.21

Buktatók

Ellenálló szervezetek

Puhuló követelménye

k

„Trükkös megoldások”

„Elkent” informatikai incidensek

Újraszabályozás

© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Köszönöm a figyelmet!

E-mail: csaba.krasznay@hp.comWeb: www.krasznay.huTwitter: twitter.com/csabika25