SlideShare une entreprise Scribd logo

Robot2009 krasznay

Télécharger en tant que PPTX, PDF
Csaba Krasznay
Csaba Krasznay
1  sur  21
Szoftverfejlesztői követelmények minősített környezetben Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem
Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint 38 nyertes projekt van csak az Elektronikus Közigazgatás Operatív Programon belül 49.105.493.163 Ft értékben Az új rendszerek a következő évtizedre meghatározzák a közigazgatási informatikát. A biztonságos tervezés, kivitelezés és üzemeltetés alapvető fontosságú! Bevezetés
Ahhoz, hogy a szükséges biztonsági szintet el lehessen érni a rendszerekben, a biztonságnak meg kell jelennie: A tervezésben, A dokumentálásában, A fejlesztési folyamatokban, A tesztelésben, A sebezhetőség-vizsgálatban. Jelen előadás a fejlesztési folyamatokkal, azon belül is a fejlesztői környezet biztonságával foglalkozik. Fejlesztésbiztonsági követelmények
A minősített közigazgatási szoftverfejlesztésekre a következő jogszabályok vonatkozhatnak: 1995. évi LXV. Törvény az államtitokról és a szolgálati titokról 79/1995. (VI. 30.) Korm. Rendelet a minősített adat kezelésének rendjéről 143/2004. (IV. 29.) Korm. rendelet az államtitkot vagy szolgálati titkot, illetőleg alapvető biztonsági, nemzetbiztonsági érdeket érintő vagy különleges biztonsági intézkedést igénylő beszerzések sajátos szabályairól A fejlesztési folyamattal egyik jogszabály sem foglalkozik. Ma Magyarországon a jogszabályok nem foglalkoznak a területtel! Jogszabályi háttér
A Közigazgatási Informatikai Bizottság 25. és 28. számú ajánlásai már megemlítik, hogy a fejlesztői környezet biztonságával foglalkozni kell, de konkrét útmutatást nem tartalmaznak. Ma Magyarországon kis túlzással bárki, bárhol, bárhogy előállíthat minősített alkalmazást!!! A gyakorlatban természetesen ez nem így működik, de strukturált követelmények nincsenek. Ajánlások
Meg kell határozni az elvárt biztonsági szinteket! Minden minősített fejlesztés esetén létre kell hozni a biztonságirányítás szervezetét! Fizikai, logikai és adminisztratív védelmi intézkedéseket kell kidolgozni a fejlesztői környezetre! Javasolt lépések
Tipikus fejlesztés
A KIB 25. és 28. ajánlások szellemében három javasolt biztonsági szint: államtitkot feldolgozó rendszerek (kiemelt biztonsági szint) belső használatú, bizalmas információkat kezelő rendszerek (fokozott biztonsági szint) széles körben, interneten keresztüli hozzáférést biztosító rendszerek (alap biztonsági szint) A KIB 28. ajánlással szemben nem komplex kockázatelemzés alapján dőlnek el a biztonsági szintek, hanem a hozzáférés alapján! Biztonsági szintek
A KIB 25. ajánlás szerint minden érintett fejlesztésben létre kell hozni az Informatikai Biztonsági Fórumot, melynek tagjai: A fejlesztő szervezet vagy a fejlesztési projekt vezetője, Biztonsági Vezető, Fejlesztési vezető, Üzemeltetési Vezető. Munkájukat a projektiroda segíti Részletes feladataikat és felelősségüket ld. Hadmérnök 2010. 1. szám! Személyi és szervezeti követelmények
Személyi és szervezeti követelmények
Szabályzati követelmények
A KIB 28. alapján kerültek kidolgozásra. Az éles rendszerek követelményeit kellett átdolgozni a fejlesztési folyamatokra. Néhány helyen enyhíteni kellett/lehetett, hiszen a fejlesztői környezetben még nem elsősorban üzleti adatokat kell védeni a fejlesztői rendszerek pedig sokszor nem működnek megfelelően az éles környezet előírásaival Részletesen ld. Hadmérnök 2010. 2. szám! Műszaki követelmények
Műszaki követelmények
Műszaki követelmények
Műszaki követelmények
Műszaki követelmények
Műszaki követelmények
Az informatikai rendszerek fizikai védelme jelenleg teljes mértékben mostohagyermeknek tekinthető. Sem a jogszabályok, sem az ajánlások nem adnak útmutatást arra, hogy milyen fizikai biztonsági intézkedéseket kell tenni. A 179/2003. (XI. 5.) Kormány rendelet II. fejezetével és ennek Nemzeti Biztonsági Felügyelet által kiadott dokumentumaival lehet analógiát vonni. Részletesen ld. Hadmérnök 2010. 2. szám! Fizikai biztonsági követelmények
Common Criteria vagy KIB 25. szerinti fejlesztés: alap, közép és kiemelt szinten kötelező. ISO 27001 tanúsítvány a fejlesztési folyamatra: alap szinten opcionális, fokozott és kiemelt szinten kötelező. Nemzetbiztonsági ellenőrzés alatti fejlesztés: fokozott szinten opcionális, kiemelt szinten kötelező. Hogyan lehet ezt elérni?
A fejlesztői folyamatok biztonságát szabályozni kell, a lehető leghamarabb! Erre kitűnő lehetőséget nyújt a KIB 28. ajánlás. Mind a megrendelőnek, mind a fejlesztőnek, de leginkább Magyarországnak érdeke, hogy a közigazgatási rendszerek megfelelően és biztonságosan működjenek. Az erre irányuló ad hoc kezdeményezések helyett teljeskörű és összehasonlítható megoldásokra kell törekedni! Összefoglalás
Köszönöm a figyelmet! E-mail: csaba@krasznay.hu Web: www.krasznay.hu

Recommandé

A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...
A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...
A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...Csaba Krasznay
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Csaba Krasznay
 
Darktrace kiberintelligencia
Darktrace kiberintelligenciaDarktrace kiberintelligencia
Darktrace kiberintelligenciaBalázs Antók
 
It3 4 4 1 1
It3 4 4 1 1It3 4 4 1 1
It3 4 4 1 1Project IT3
 
The possibilities and limitations of the spreading of digital signature (in H...
The possibilities and limitations of the spreading of digital signature (in H...The possibilities and limitations of the spreading of digital signature (in H...
The possibilities and limitations of the spreading of digital signature (in H...Csaba Krasznay
 
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung BTS Kommunikációs rendszerek
 
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Csaba Krasznay
 

Recommandé

A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...
A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...
A magyar elektronikus közigazgatási szolgáltatások komplex információvédelmi ...Csaba Krasznay
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Security analysis of the Hungarian e-government system (in Hungarian)
Security analysis of the Hungarian e-government system (in Hungarian)Csaba Krasznay
 
Darktrace kiberintelligencia
Darktrace kiberintelligenciaDarktrace kiberintelligencia
Darktrace kiberintelligenciaBalázs Antók
 
It3 4 4 1 1
It3 4 4 1 1It3 4 4 1 1
It3 4 4 1 1Project IT3
 
The possibilities and limitations of the spreading of digital signature (in H...
The possibilities and limitations of the spreading of digital signature (in H...The possibilities and limitations of the spreading of digital signature (in H...
The possibilities and limitations of the spreading of digital signature (in H...Csaba Krasznay
 
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung BTS Kommunikációs rendszerek
 
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Csaba Krasznay
 
Security of the Hungarian electronic government systems (in Hungarian)
Security of the Hungarian electronic government systems (in Hungarian)Security of the Hungarian electronic government systems (in Hungarian)
Security of the Hungarian electronic government systems (in Hungarian)Csaba Krasznay
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Csaba Krasznay
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
 
NETaudIT
NETaudITNETaudIT
NETaudITAttila Suba
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Laufer Tamás: Programozás, mint tananyag a Nat-ban
Laufer Tamás: Programozás, mint tananyag a Nat-banLaufer Tamás: Programozás, mint tananyag a Nat-ban
Laufer Tamás: Programozás, mint tananyag a Nat-banSulinetwork
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Botnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBotnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBederna Zsolt
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Csaba KOLLAR (Dr. PhD.)
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 
Iskolából az informatikába
Iskolából az informatikábaIskolából az informatikába
Iskolából az informatikábafOrgXpert International
 
A mérnökké válás folyamata
A mérnökké válás folyamataA mérnökké válás folyamata
A mérnökké válás folyamatawaxey.gordon
 
Gonosz IkertestvéRek
Gonosz IkertestvéRekGonosz IkertestvéRek
Gonosz IkertestvéRekC4M7SX
 
Ha célgépet keresel, válaszd a legjobbat!
Ha célgépet keresel, válaszd a legjobbat!Ha célgépet keresel, válaszd a legjobbat!
Ha célgépet keresel, válaszd a legjobbat!Chemplex
 
EFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvénye
EFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvényeEFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvénye
EFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvényeDigitális Pedagógiai Módszertani Központ
 
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxIII. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxSzabolcs Gulyás
 
XXI. századi szoftverfejlesztés
XXI. századi szoftverfejlesztésXXI. századi szoftverfejlesztés
XXI. századi szoftverfejlesztésGyörgy Balássy
 
Szoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatSzoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatTamás Szőke
 
Value Measuring Methodology
Value Measuring MethodologyValue Measuring Methodology
Value Measuring MethodologyGábor Nagymajtényi
 
Sagax EW projekt intro
Sagax EW projekt introSagax EW projekt intro
Sagax EW projekt introBertalan EGED
 
Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Csaba Krasznay
 
Countermeasures on the internet (in Hungarian)
Countermeasures on the internet (in Hungarian)Countermeasures on the internet (in Hungarian)
Countermeasures on the internet (in Hungarian)Csaba Krasznay
 

Contenu connexe

Similaire à Robot2009 krasznay

Security of the Hungarian electronic government systems (in Hungarian)
Security of the Hungarian electronic government systems (in Hungarian)Security of the Hungarian electronic government systems (in Hungarian)
Security of the Hungarian electronic government systems (in Hungarian)Csaba Krasznay
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Csaba Krasznay
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)Csaba Krasznay
 
Laufer Tamás: Programozás, mint tananyag a Nat-ban
Laufer Tamás: Programozás, mint tananyag a Nat-banLaufer Tamás: Programozás, mint tananyag a Nat-ban
Laufer Tamás: Programozás, mint tananyag a Nat-banSulinetwork
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Botnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBotnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBederna Zsolt
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Csaba KOLLAR (Dr. PhD.)
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsokHZsolt
 
A mérnökké válás folyamata
A mérnökké válás folyamataA mérnökké válás folyamata
A mérnökké válás folyamatawaxey.gordon
 
Gonosz IkertestvéRek
Gonosz IkertestvéRekGonosz IkertestvéRek
Gonosz IkertestvéRekC4M7SX
 
Ha célgépet keresel, válaszd a legjobbat!
Ha célgépet keresel, válaszd a legjobbat!Ha célgépet keresel, válaszd a legjobbat!
Ha célgépet keresel, válaszd a legjobbat!Chemplex
 
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxIII. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxSzabolcs Gulyás
 
XXI. századi szoftverfejlesztés
XXI. századi szoftverfejlesztésXXI. századi szoftverfejlesztés
XXI. századi szoftverfejlesztésGyörgy Balássy
 
Szoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatSzoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatTamás Szőke
 
Sagax EW projekt intro
Sagax EW projekt introSagax EW projekt intro
Sagax EW projekt introBertalan EGED
 

Similaire à Robot2009 krasznay (20)

Security of the Hungarian electronic government systems (in Hungarian)
Security of the Hungarian electronic government systems (in Hungarian)Security of the Hungarian electronic government systems (in Hungarian)
Security of the Hungarian electronic government systems (in Hungarian)
 
Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)Development of information systems - Common Criteria (in Hungarian)
Development of information systems - Common Criteria (in Hungarian)
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)
 
NETaudIT
NETaudITNETaudIT
NETaudIT
 
The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)The ISO 27000 family (in Hungarian)
The ISO 27000 family (in Hungarian)
 
Laufer Tamás: Programozás, mint tananyag a Nat-ban
Laufer Tamás: Programozás, mint tananyag a Nat-banLaufer Tamás: Programozás, mint tananyag a Nat-ban
Laufer Tamás: Programozás, mint tananyag a Nat-ban
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)
 
Botnetek hálózati megközelítésben
Botnetek hálózati megközelítésbenBotnetek hálózati megközelítésben
Botnetek hálózati megközelítésben
 
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
Dr. Kollár Csaba: Az informatika(i biztonság) mutatószámai
 
02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok02 IT Biztonsági tanácsok
02 IT Biztonsági tanácsok
 
Iskolából az informatikába
Iskolából az informatikábaIskolából az informatikába
Iskolából az informatikába
 
A mérnökké válás folyamata
A mérnökké válás folyamataA mérnökké válás folyamata
A mérnökké válás folyamata
 
Gonosz IkertestvéRek
Gonosz IkertestvéRekGonosz IkertestvéRek
Gonosz IkertestvéRek
 
Ha célgépet keresel, válaszd a legjobbat!
Ha célgépet keresel, válaszd a legjobbat!Ha célgépet keresel, válaszd a legjobbat!
Ha célgépet keresel, válaszd a legjobbat!
 
EFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvénye
EFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvényeEFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvénye
EFOP-3.2.15-VEKOP-17-2017-00001 DPMK konzorciumi partner nyitórendezvénye
 
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptxIII. Elmélet - Az ERP rendszerek implementációja 1..pptx
III. Elmélet - Az ERP rendszerek implementációja 1..pptx
 
XXI. századi szoftverfejlesztés
XXI. századi szoftverfejlesztésXXI. századi szoftverfejlesztés
XXI. századi szoftverfejlesztés
 
Szoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_SzakdolgozatSzoke_Tamas_TelekomMBA_Szakdolgozat
Szoke_Tamas_TelekomMBA_Szakdolgozat
 
Value Measuring Methodology
Value Measuring MethodologyValue Measuring Methodology
Value Measuring Methodology
 
Sagax EW projekt intro
Sagax EW projekt introSagax EW projekt intro
Sagax EW projekt intro
 

Plus de Csaba Krasznay

Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Csaba Krasznay
 
Countermeasures on the internet (in Hungarian)
Countermeasures on the internet (in Hungarian)Countermeasures on the internet (in Hungarian)
Countermeasures on the internet (in Hungarian)Csaba Krasznay
 
Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Csaba Krasznay
 
Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Csaba Krasznay
 
Evaluation laboratories in the Hungarian Information Security Evaluation and ...
Evaluation laboratories in the Hungarian Information Security Evaluation and ...Evaluation laboratories in the Hungarian Information Security Evaluation and ...
Evaluation laboratories in the Hungarian Information Security Evaluation and ...Csaba Krasznay
 
Security of handheld computers (in Hungarian)
Security of handheld computers (in Hungarian)Security of handheld computers (in Hungarian)
Security of handheld computers (in Hungarian)Csaba Krasznay
 
Hacktivity2009 krasznay
Hacktivity2009 krasznayHacktivity2009 krasznay
Hacktivity2009 krasznayCsaba Krasznay
 
Phishing and spam in Hungary and worldwide (in Hungarian)
Phishing and spam in Hungary and worldwide (in Hungarian)Phishing and spam in Hungary and worldwide (in Hungarian)
Phishing and spam in Hungary and worldwide (in Hungarian)Csaba Krasznay
 
Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)Csaba Krasznay
 
Information security from the other side: Hackers in Hungary (in Hungarian)
Information security from the other side: Hackers in Hungary (in Hungarian)Information security from the other side: Hackers in Hungary (in Hungarian)
Information security from the other side: Hackers in Hungary (in Hungarian)Csaba Krasznay
 
On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)Csaba Krasznay
 
Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...
Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...
Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...Csaba Krasznay
 
Developing interoperable e-government solutions in Hungary
Developing interoperable e-government solutions in Hungary Developing interoperable e-government solutions in Hungary
Developing interoperable e-government solutions in Hungary Csaba Krasznay
 
Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Csaba Krasznay
 
Wireless network security (in Hungarian)
Wireless network security (in Hungarian)Wireless network security (in Hungarian)
Wireless network security (in Hungarian)Csaba Krasznay
 
Hackers in the national cyber security
Hackers in the national cyber securityHackers in the national cyber security
Hackers in the national cyber securityCsaba Krasznay
 

Plus de Csaba Krasznay (16)

Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)Authentic long-term archiving with electronic signature (in Hungarian)
Authentic long-term archiving with electronic signature (in Hungarian)
 
Countermeasures on the internet (in Hungarian)
Countermeasures on the internet (in Hungarian)Countermeasures on the internet (in Hungarian)
Countermeasures on the internet (in Hungarian)
 
Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...Possibilities and results of the usage of electronic signatures in the busine...
Possibilities and results of the usage of electronic signatures in the busine...
 
Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)Security of mobile devices (in Hungarian)
Security of mobile devices (in Hungarian)
 
Evaluation laboratories in the Hungarian Information Security Evaluation and ...
Evaluation laboratories in the Hungarian Information Security Evaluation and ...Evaluation laboratories in the Hungarian Information Security Evaluation and ...
Evaluation laboratories in the Hungarian Information Security Evaluation and ...
 
Security of handheld computers (in Hungarian)
Security of handheld computers (in Hungarian)Security of handheld computers (in Hungarian)
Security of handheld computers (in Hungarian)
 
Hacktivity2009 krasznay
Hacktivity2009 krasznayHacktivity2009 krasznay
Hacktivity2009 krasznay
 
Phishing and spam in Hungary and worldwide (in Hungarian)
Phishing and spam in Hungary and worldwide (in Hungarian)Phishing and spam in Hungary and worldwide (in Hungarian)
Phishing and spam in Hungary and worldwide (in Hungarian)
 
Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)Bluetooth security (in Hungarian)
Bluetooth security (in Hungarian)
 
Information security from the other side: Hackers in Hungary (in Hungarian)
Information security from the other side: Hackers in Hungary (in Hungarian)Information security from the other side: Hackers in Hungary (in Hungarian)
Information security from the other side: Hackers in Hungary (in Hungarian)
 
On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)On the net night and day - security in the virtual space (in Hungarian)
On the net night and day - security in the virtual space (in Hungarian)
 
Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...
Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...
Hungarian Electronic Public Administration Interoperability Framework (MEKIK)...
 
Developing interoperable e-government solutions in Hungary
Developing interoperable e-government solutions in Hungary Developing interoperable e-government solutions in Hungary
Developing interoperable e-government solutions in Hungary
 
Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)Rules of digital archiving (in Hungarian)
Rules of digital archiving (in Hungarian)
 
Wireless network security (in Hungarian)
Wireless network security (in Hungarian)Wireless network security (in Hungarian)
Wireless network security (in Hungarian)
 
Hackers in the national cyber security
Hackers in the national cyber securityHackers in the national cyber security
Hackers in the national cyber security
 

Robot2009 krasznay

  • 1. Szoftverfejlesztői követelmények minősített környezetben Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem
  • 2. Korábban soha nem látott mennyiségű közigazgatási rendszer- és szoftverfejlesztés történik Magyarországon A Nemzeti Fejlesztési Ügynökség adatai szerint 38 nyertes projekt van csak az Elektronikus Közigazgatás Operatív Programon belül 49.105.493.163 Ft értékben Az új rendszerek a következő évtizedre meghatározzák a közigazgatási informatikát. A biztonságos tervezés, kivitelezés és üzemeltetés alapvető fontosságú! Bevezetés
  • 3. Ahhoz, hogy a szükséges biztonsági szintet el lehessen érni a rendszerekben, a biztonságnak meg kell jelennie: A tervezésben, A dokumentálásában, A fejlesztési folyamatokban, A tesztelésben, A sebezhetőség-vizsgálatban. Jelen előadás a fejlesztési folyamatokkal, azon belül is a fejlesztői környezet biztonságával foglalkozik. Fejlesztésbiztonsági követelmények
  • 4. A minősített közigazgatási szoftverfejlesztésekre a következő jogszabályok vonatkozhatnak: 1995. évi LXV. Törvény az államtitokról és a szolgálati titokról 79/1995. (VI. 30.) Korm. Rendelet a minősített adat kezelésének rendjéről 143/2004. (IV. 29.) Korm. rendelet az államtitkot vagy szolgálati titkot, illetőleg alapvető biztonsági, nemzetbiztonsági érdeket érintő vagy különleges biztonsági intézkedést igénylő beszerzések sajátos szabályairól A fejlesztési folyamattal egyik jogszabály sem foglalkozik. Ma Magyarországon a jogszabályok nem foglalkoznak a területtel! Jogszabályi háttér
  • 5. A Közigazgatási Informatikai Bizottság 25. és 28. számú ajánlásai már megemlítik, hogy a fejlesztői környezet biztonságával foglalkozni kell, de konkrét útmutatást nem tartalmaznak. Ma Magyarországon kis túlzással bárki, bárhol, bárhogy előállíthat minősített alkalmazást!!! A gyakorlatban természetesen ez nem így működik, de strukturált követelmények nincsenek. Ajánlások
  • 6. Meg kell határozni az elvárt biztonsági szinteket! Minden minősített fejlesztés esetén létre kell hozni a biztonságirányítás szervezetét! Fizikai, logikai és adminisztratív védelmi intézkedéseket kell kidolgozni a fejlesztői környezetre! Javasolt lépések
  • 8. A KIB 25. és 28. ajánlások szellemében három javasolt biztonsági szint: államtitkot feldolgozó rendszerek (kiemelt biztonsági szint) belső használatú, bizalmas információkat kezelő rendszerek (fokozott biztonsági szint) széles körben, interneten keresztüli hozzáférést biztosító rendszerek (alap biztonsági szint) A KIB 28. ajánlással szemben nem komplex kockázatelemzés alapján dőlnek el a biztonsági szintek, hanem a hozzáférés alapján! Biztonsági szintek
  • 9. A KIB 25. ajánlás szerint minden érintett fejlesztésben létre kell hozni az Informatikai Biztonsági Fórumot, melynek tagjai: A fejlesztő szervezet vagy a fejlesztési projekt vezetője, Biztonsági Vezető, Fejlesztési vezető, Üzemeltetési Vezető. Munkájukat a projektiroda segíti Részletes feladataikat és felelősségüket ld. Hadmérnök 2010. 1. szám! Személyi és szervezeti követelmények
  • 10. Személyi és szervezeti követelmények
  • 12. A KIB 28. alapján kerültek kidolgozásra. Az éles rendszerek követelményeit kellett átdolgozni a fejlesztési folyamatokra. Néhány helyen enyhíteni kellett/lehetett, hiszen a fejlesztői környezetben még nem elsősorban üzleti adatokat kell védeni a fejlesztői rendszerek pedig sokszor nem működnek megfelelően az éles környezet előírásaival Részletesen ld. Hadmérnök 2010. 2. szám! Műszaki követelmények
  • 18. Az informatikai rendszerek fizikai védelme jelenleg teljes mértékben mostohagyermeknek tekinthető. Sem a jogszabályok, sem az ajánlások nem adnak útmutatást arra, hogy milyen fizikai biztonsági intézkedéseket kell tenni. A 179/2003. (XI. 5.) Kormány rendelet II. fejezetével és ennek Nemzeti Biztonsági Felügyelet által kiadott dokumentumaival lehet analógiát vonni. Részletesen ld. Hadmérnök 2010. 2. szám! Fizikai biztonsági követelmények
  • 19. Common Criteria vagy KIB 25. szerinti fejlesztés: alap, közép és kiemelt szinten kötelező. ISO 27001 tanúsítvány a fejlesztési folyamatra: alap szinten opcionális, fokozott és kiemelt szinten kötelező. Nemzetbiztonsági ellenőrzés alatti fejlesztés: fokozott szinten opcionális, kiemelt szinten kötelező. Hogyan lehet ezt elérni?
  • 20. A fejlesztői folyamatok biztonságát szabályozni kell, a lehető leghamarabb! Erre kitűnő lehetőséget nyújt a KIB 28. ajánlás. Mind a megrendelőnek, mind a fejlesztőnek, de leginkább Magyarországnak érdeke, hogy a közigazgatási rendszerek megfelelően és biztonságosan működjenek. Az erre irányuló ad hoc kezdeményezések helyett teljeskörű és összehasonlítható megoldásokra kell törekedni! Összefoglalás
  • 21. Köszönöm a figyelmet! E-mail: csaba@krasznay.hu Web: www.krasznay.hu