Módszertan

150 150 Misec

Ezen az oldalon az általam alkalmazott módszertanról olvashat, mellyel felkészítem a szervezetét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény előírásaira.

  1. Helyzetfelmérés

Az adatok biztonsági osztályba sorolásához és a kockázatelemzéshez fel kell mérni a Hivatal informatikai és informatikai biztonsági rendszerét, valamint meg kell határozni az alkalmazott szakrendszereket.

Elkészülő dokumentum: A Hivatal informatikai biztonsági helyzetfelmérése

  1. Vagyonleltár

Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat a Hivatal informatikai erőforrásait kell foglalni a következő szempontok szerint:

  •  Környezeti infrastruktúra
  • Hardver
  • Szoftver
  • Adatok
  • Kommunikáció
  • Dokumentumok
  • Adathordozók
  • Humán erőforrások

Elkészülő dokumentum: A Hivatal vagyonleltára

  1. Adatok biztonsági osztályba sorolása

A Hivatal egyik legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, mely tartalmazza az informatikai rendszerekkel szemben támasztott védelmi igényt.

Valamennyi adatot egy előre felállított 5 fokozatú skálán biztonsági osztályba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése vonatkozásában a Hivatalt ért kár szerint.

Elkészülő dokumentum: A Hivatal védelmi igénye

  1. Kockázatelemzés

Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezután vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.

Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a kárérték és a bekövetkezés valószínűségének a szorzata fogja megadni.

A kockázatok minősítéséhez kockázati mátrixot kell definiálni, majd a kockázatok kezeléséhez egy tolerancia mátrixot, amely megmutatja, hogy melyek azok a kockázatok, amelyeket a Hivatal még elvisel és melyek azok, amelyeket mindenképpen kezelni kell.

Elkészülő dokumentum: A Hivatal kockázatelemzési dokumentuma táblázatos és szöveges formában is.

  1. Kockázatkezelő intézkedések elkészítése

Az el nem viselhető kockázatok kezelésére kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével.

Elkészülő dokumentum: A Hivatal kockázatkezelési javaslatok dokumentuma táblázatos és szöveges formában is.

  1. Szabályozási környezet kialakítása

A tv. előírja, hogy minden szervezetnek rendelkeznie kell a következő dokumentumokkal:

  •  Informatikai Biztonsági Politika (IBP)

Az IBP célja, hogy egyrészt a Hivatal vezetése egyértelműen kifejezze szándékát az informatikai biztonság folyamatos szinten tartása érdekében, másrészt, hogy magas szinten meghatározza az informatikai biztonsággal szembeni elvárásait.

  • Informatikai Biztonsági Stratégia (IBS)

Az IBS az Informatikai Biztonsági Politikában megfogalmazott célok közép és hosszútávú megvalósítását írja le.

  •  Informatikai Biztonsági Szabályzat

A Hivatal legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, amely a konkrét megvalósítást, szabályozást tartalmazza.