This website uses cookies to manage authentication, navigation, and other functions.

14 November 2016

A 2013. évi L. törvény rendelkezik, az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.), a nemzeti vagyon részét képező elektronikus adatvagyon biztonságának és védelmének szabályairól. A védelemhez számos feltételt szab a törvény, amelynek egyik fontos eleme a felhasználók biztonságtudatossági képzése.

A törvény (41/2015. (VII. 15.) BM) végrehajtási rendelete meghatározza, hogy az érintett szervezetek dolgozóikat tájékoztassák az alapvető biztonsági követelményekről és felkészítsék a lehetséges belső fenyegetések felismerésére. A rendelet 4. melléklet 3.1.7. Tudatosság és Képzés pontja alapján a képzést belépéskor, valamint az ismeretek felfrissítése és az újabb támadási technikákra / fenyegetésekre való felkészülés érdekében rendszeresen (évente) meg kell tartani.

Mit nyújt az IT Biztonságtudatosság II. kurzus?

A nemzetközi adatok azt mutatják, hogy az adatvesztés, adat-kompromittálódás legtöbbször emberi tényezőkre vezethető vissza – a munkatársak odafigyelésével, a szabályok betartásával az esetek túlnyomó többségében megelőzhető lett volna az incidens.


A kurzus célja tehát nem a törvény és végrehajtási rendeletének lexikális jellegű közlése és számonkérése, hanem a Hivatal biztonságos működéséhez szükséges viselkedési, tevékenységi formák elsajátítása, a folyamatosan megújuló veszélyek felismerése és a veszély elhárítására való lépések alkalmazása.

A II. évfolyam tananyaga tematikusan kapcsolódik az I. évfolyam alapozó témaköreihez, folyamatosan építve a felhasználók biztonságra való törekvését és a megszerzett tudás elmélyítését.


Az IT Biztonságtudatosság II. képzés során egyebek mellett az alábbi témák kerülnek előtérbe, melyeket a hétköznapi életből vett példák segítségével dolgozhatnak fel a résztvevők:

  • Visszatekintés az Információbiztonsági alapozó képzés anyagára
  • Vírusok és egyéb kártevők felismerése, védekezés ellenük - gyakorlati példákkal
  • Zsaroló vírusok elleni védekezés
  • Hordozható eszközök és a rájuk leselkedő veszélyek
  • Internethasználat

Hogyan teheti gördülékenyebbé és költséghatékonyabbá az oktatást?

A Nádor Rendszerház e-learning keretrendszerével, amely szabadságot és rugalmasságot biztosít felhasználói számára a tanulás üteme, időbeosztása és helye tekintetében, a Hivatal pedig értékes időt és költséget takarít meg azáltal, hogy nem kell minden munkatárs számára egyszerre (vagy több ütemben) tantermi oktatást tartani.


Ne késlekedjen! Tudja biztonságban rendszerét, feleljen meg a törvényi előírásoknak!

kérje egyedi ajánlatunkat még ma!

01 February 2016

IT BiztonságInformation is an essential resource for all businesses today and is the key to growth and success. However, all the organizations need to ensure that the information held on their IT systems is secure.

The impact of a security breach may be far greater than people would expect. The loss of sensitive or critical information may not only affect their competitiveness and cashflow but also damage their reputation - something which may have taken them years to establish and which may be impossible to restore.

Information also needs to be protected if they share it with other organisations. For many businesses, the internet has replaced traditional paper-based ways of exchanging information.

Information security and data protection requires a strong, centralised management, especially, if the employees, customers and clients of the company can access the company’s IT system from several locations. Nador Systems created its IT Security Department in 2006 to fulfill the requirements of his customers.

Services

  • Audit
  • Risk management
  • Ethical hacking
  • Security hardening and monitoring
  • IT Security Policy and ISMS
  • ITIL introduction
  • Spam filtering
  • Introduction, training
  • IT security services

Solutions

  • Data leakage prevention
  • Virus, Spam and URL filtering
  • Log collection and correlation
  • Risk2value
  • Firewalls and Intrusion Detection/Prevention
  • User authentication
  • Mobile device protection
  • Archiving
  • Wifi protection
  • PKI systems
  • Tempest
  • Data Diode
17 March 2015

Adminisztratív védelmi intézkedések

1-es szint

2-es szint

3.1.1.

Szervezeti szintű alapfeladatok

Kötelező

Kötelező

3.1.1.1.

Informatikai biztonságpolitika

Kötelező

Kötelező

3.1.1.2.

Informatikai biztonsági stratégia

Kötelező

Kötelező

3.1.1.3.

Informatikai biztonsági szabályzat

Kötelező

Kötelező

3.1.1.4.

Az elektronikus információs rendszerek biztonságáért felelős személy

Kötelező

Kötelező

3.1.1.5.

Pénzügyi erőforrások biztosítása

Nem kötelező

Kötelező

3.1.1.6.

Az intézkedési terv és mérföldkövei

Nem kötelező

Kötelező

3.1.1.7.

Az elektronikus információs rendszerek nyilvántartása

Kötelező

Kötelező

3.1.1.10.

Kockázatkezelési stratégia

Nem kötelező

Kötelező

3.1.1.11.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

Kötelező

Kötelező

3.1.2.

Kockázatelemzés

Kötelező

Kötelező

3.1.2.1.

Kockázatelemzési eljárásrend

Kötelező

Kötelező

3.1.2.2.

Biztonsági osztályba sorolás

Kötelező

Kötelező

3.1.2.3.

Kockázatelemzés

Kötelező

Kötelező

3.1.3.

Tervezés

Nem kötelező

Kötelező

3.1.3.1.

Biztonságtervezési eljárásrend

Nem kötelező

Kötelező

3.1.3.2.

Rendszerbiztonsági terv

Nem kötelező

Kötelező

3.1.3.3.

Személyi biztonság

Nem kötelező

Kötelező

3.1.3.3.2.

Viselkedési szabályok az interneten

Nem kötelező

Kötelező

3.1.4.

Rendszer és szolgáltatás beszerzés

Nem kötelező

Kötelező

3.1.4.2.

Beszerzési eljárásrend

Nem kötelező

Kötelező

3.1.4.4.

A rendszer fejlesztési életciklusa

Nem kötelező

Kötelező

3.1.4.8.

Külső elektronikus információs rendszerek szolgáltatásai

Nem kötelező

Kötelező

3.1.6.

Emberi tényezőket figyelembe vevő - személy - biztonság

Kötelező

Kötelező

3.1.6.5.

Eljárás a jogviszony megszűnésekor

Kötelező

Kötelező

3.1.6.8.

Fegyelmi intézkedések

Kötelező

Kötelező

3.1.7.

Tudatosság és képzés

Kötelező

Kötelező

3.1.7.1.

Képzési eljárásrend

Kötelező

Kötelező

3.1.7.2.

Biztonság tudatosság képzés

Kötelező

Kötelező

.
17 March 2015

A 2013-as L. törvény, az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.) rendelkezik a nemzeti vagyon részét képező elektronikus adatvagyon biztonságának és védelmének szabályairól. A védelemhez számos feltételt szab a törvény, amelynek egyik fontos eleme a felhasználók biztonságtudatossági képzése. A törvény végrehajtási rendelete, (a 41/2015. (VII.15.) BM rendelet) meghatározza, hogy „az érintett szervezet annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára", mely képzésnek nem csak a belépéskor kell megtörténnie, hanem az ismeretek felfrissítése és aktualizálása érdekében rendszeresen (célszerűen évente) meg kell tartani.

Információbiztonság-tudatossági program

Napjainkban az információ biztonsága, a hivatalok, cégek és magánszemélyek adatainak védelme egyre inkább központi kérdéssé válik. Az adatok véletlen vagy szándékos kompromittálódása, sérülése, ellopása vagy rossz szándékú manipulálása komoly erkölcsi károkat okoz az érintett szereplőknek, elvesztik jó hírnevüket, megrendül a bizalom a szolgáltatásban. E mellett sokszor további, anyagi, kártérítési és büntetőjogi következményei is lehetnek az adatok helytelen kezelésének.

A nemzetközi adatok azt mutatják, hogy az adatvesztés, adat-kompromittálódás legtöbbször emberi tényezőkre vezethető vissza – a munkatársak odafigyelésével, a szabályok betartásával sok esetben megelőzhető lett volna az incidens.

Az oktatás hagyományos tantermi formában, valamint e-learning keretében is egyaránt lehetséges.

A képzés során egyebek mellett az alábbi témák kerülnek feldolgozásra:

  • Információbiztonsági alapfogalmak
  • Törvényi kötelezettségek, vonatkozó jogszabályok
  • Adatok és osztályozásuk, adatvagyon
  • Támadások, vírusok és emberi kártevők
  • Hozzáférés és jelszavak
  • Tiszta asztal, tiszta képernyő
  • Mobil eszközök és Internet
  • Biztonsági incidensek kezelése
  • Ügymenet folytonosság és katasztrófa elhárítás

A képzés anyagához kapcsolódóan olyan kérdések is említésre kerülnek, mint például a:

  • A fogkefédet nem adod kölcsön. Miért tennéd ezt a jelszavaiddal?
  • Amikor a kukabúvár nem a betétes üveget keresi!
  • A dohányzás és a fecsegés ártalmai – milyen információk szedhetők össze a folyosón?
  • A legnagyobb értékek nem a széfben vannak!
  • Phising és social engineering: amikor nem a hal kapja be a csalit!

Az e-learning és előnyei

A rendelet megfogalmazása szerint a biztonságtudatossági képzés „az érintett személyeket készítse fel a fenyegetések felismerésére, és tudatosítsa jelentési kötelezettségüket", azaz sajátítsák el a Hivatal biztonságos működéséhez szükséges viselkedési, tevékenységi formákat, ismerjék fel a veszélyeket és legyenek képesek megtenni a megfelelő lépéseket a veszélyek elhárítására.

A képzést gördülékenyen, leginkább költséghatékonyan e-learning keretében lehet megtartani, mely oktatás során minden résztvevő maga szabhatja meg az ismeretek feldolgozásának idejét és sebességét, nem kell minden munkatárs számára egyszerre tantermi oktatást tartani. Ez a képzési forma lehetővé teszi a vizsgakérdések beépítését is a tananyagba.

A kurzus célja nem a törvény és végrehajtási rendeletének lexikális jellegű közlése és számonkérése, hanem a gyakorlatban is jól használható ismeretek átadása. A cél az ismeretek elsajátítása, ezért, amennyiben a hallgató nem tud az adott szakaszt lezáró kérdésekre jól válaszolni, akkor az esedékes tananyag újbóli átnézése után ismét megkísérelheti a válaszadást – immár más kérdésekre.

A képzés modulokból áll, melyek sikeres elsajátítása és a vizsgakérdések megválaszolása utána a hallgatók a képzés elvégzését igazoló oklevelet kapnak. A Hivatal személyügyi részlege összesített kimutatást kap a tanfolyam elvégzésnek eredményéről, mellyel egy esetleges felügyeleti hatósági ellenőrzés során is igazolni tudja a képzés megtörténtét.

Az oktatási anyagot a való életből vett példák színesítik.

17 March 2015

Az Információbiztonsági törvény (2013. évi L. tv.) illetve a 2015. július 17-e óta hatályos végrehajtási rendelete (41/2015. (VII. 15.) BM rendelet) számos feladatot ír elő az Önkormányzatok számára, melyek határidőhöz kötöttek. A biztonsági osztályok által meghatározott kötelezően teljesítendő feladatok attól függően változnak, hogy az Önkormányzat a BM rendelet hatályba lépéséig mennyire tett eleget törvényi kötelezettségeinek.

Ugyan a BM rendelet módosította a szervezet és az elektronikus információs rendszerek besorolási osztályait és a szintbesorolás menetét, azonban általánosságban elmondható, hogy az 1. biztonsági osztályt 2016. június 30-ig el kell érniük az Önkormányzatoknak, majd 2 évente a következő biztonsági szint elérését kell teljesíteni.

A Hivataloknak az alábbi táblázatban felsorolt adminisztratív folyamatok valamint fizikai és logikai védelmi intézkedési területek esetében kell bevezetniük nyilvántartásokat, szabályzatokat és eljárásrendeket a törvényi mgfelelés érdekében az 1. és 2. biztonsági osztály eléréséhez az elkövetkezendő időszakokban:

Adminisztratív védelmi intézkedések 1-es szint

2-es szint

3.1.1

Szervezeti szintű alapfeladatok

Kötelező

Kötelező

3.1.1.1.

Informatikai biztonsági szabályzat

Kötelező

Kötelező

3.1.1.2.

Az elektronikus információs rendszerek biztonságáért felelős személy

Kötelező

Kötelező

3.1.1.4.

Az elektronikus információs rendszerek nyilvántartása

Kötelező

Kötelező

3.1.1.11.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

Kötelező

Kötelező

3.1.2

Kockázatelemzés

Kötelező

Kötelező

3.1.2.1.

Kockázatelemzési eljárásrend

Kötelező

Kötelező

3.1.2.2.

Biztonsági osztályba sorolás

Kötelező

Kötelező

3.1.2.3.

Kockázatelemzés

Kötelező

Kötelező

3.1.3

Rendszer és szolgáltatás beszerzés

Nem kötelező

Kötelező

3.1.4

Üzletmenet (ügymenet) folytonosság tervezése

Nem kötelező

Kötelező

3.1.6

Emberi tényezőket figyelembe vevő - személy - biztonság

Kötelező

Kötelező

3.1.6.4.

Eljárás a jogviszony megszűnésekor

Kötelező

Kötelező

3.1.6.7.

Fegyelmi intézkedések

Kötelező

Kötelező

3.1.6.8.

Viselkedési szabályok az interneten

Kötelező

Kötelező

3.1.7

Tudatosság és képzés

Kötelező

Kötelező

3.1.7.2.

Képzési eljárásrend

Kötelező

Kötelező

3.1.7.3.

Biztonság tudatosság képzés

Kötelező

Kötelező

Fizikai védelmi intézkedések

 

 

3.2.1

Fizikai és környezeti védelem

Nem kötelező

Kötelező

Logikai védelmi intézkedések

 

 

3.3.1

Általános védelmi intézkedések

Nem kötelező

Kötelező

3.3.2

Tervezés

Nem kötelező

Kötelező

3.3.3

Rendszer és szolgáltatás beszerzés

Nem kötelező

Kötelező

3.3.6

Konfigurációkezelés

Nem kötelező

Kötelező

3.3.7

Karbantartás

Nem kötelező

Kötelező

3.3.8

Adathordozók védelme

Nem kötelező

Kötelező

3.3.9

Azonosítás és hitelesítés

Nem kötelező

Kötelező

3.3.10

Hozzáférés ellenőrzése

Nem kötelező

Kötelező

3.3.11

Rendszer és információ sértetlenség

Nem kötelező

Kötelező

3.3.12

Naplózás és elszámoltathatóság

Nem kötelező

Kötelező

3.3.13

Rendszer- és kommunikáció védelem

Nem kötelező

Kötelező


Miben segíthetünk?

Szakértő kollégáink az alábbi feladatok elvégzésében tudnak segítségükre lenni:

  • Biztonsági szintbe és osztályba sorolás elvégzése és időszakos felülvizsgálata
  • Cselekvési terv elkészítése, egyeztetése és elküldése a NEIH részére
  • Cselekvési terv elkészítése, egyeztetése és elküldése a NEIH részére
  • Informatikai Biztonsági Szabályzat elkészítése és időszakos felülvizsgálata
  • Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárások és nyilvántartások úgymint Felhasználói jogosultságok kiosztásának eljárása és nyilvántartása, Eszköznyilvántartás (hardver és szoftver), Változáskezelési eljárásrend kidolgozása
  • Kockázatelemzés elvégzése és kockázatkezelési eljárásrend kidolgozása
  • HR folyamatok felülvizsgálata (fegyelmi és munkaviszony megszűnésekor alkalmazandó eljárások)
  • Képzési eljárásrend kidolgozása és dolgozói IT biztonságtudatossági oktatás, igény szerint tantermi formában vagy elektronikus keretrendszerben
  • Eljárásrendek elkészítése, mely során a törvényi megfelelés érdekében az alábbi eljárásrendek kerülnek kidolgozásra:

- Üzletmenet folytonosságra vonatkozó eljárásrend

- Fizikai védelmi eljárásrend

- Rendszerbiztonsági terv

- Konfigurációkezelési eljárásrend

- Rendszer karbantartási eljárásrend

- Adathordozók védelmére vonatkozó eljárásrend

- Azonosítási és hitelesítési eljárásrend

- Hozzáférés ellenőrzési eljárásrend

- Rendszer és információ sértetlenségre vonatkozó eljárásrend

- Naplózási eljárásrend

- Rendszer- és kommunikáció védelmi eljárásrend

  • A törvényi előírásoknak megfelelő tűzfal, antivírus és naplózó megoldásokkal kapcsolatos tanácsadás, integráció
  • A további biztonsági osztályok és szintek elérésének követelményeit, határidőket szakértő kollégáink konzultáció keretein belül ismertetik

A Nádor Rendszerház több mint 20 éves – többek között számos önkormányzatnál szerzett – tapasztalatával jelentősen megkönnyítheti a törvényi előírásnak való megfelelést.