Ezen az oldalon az általam alkalmazott módszertanról olvashat, mellyel felkészítem a szervezetét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény előírásaira.
- Helyzetfelmérés
Az adatok biztonsági osztályba sorolásához és a kockázatelemzéshez fel kell mérni a Hivatal informatikai és informatikai biztonsági rendszerét, valamint meg kell határozni az alkalmazott szakrendszereket.
Elkészülő dokumentum: A Hivatal informatikai biztonsági helyzetfelmérése
- Vagyonleltár
Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat a Hivatal informatikai erőforrásait kell foglalni a következő szempontok szerint:
- Környezeti infrastruktúra
- Hardver
- Szoftver
- Adatok
- Kommunikáció
- Dokumentumok
- Adathordozók
- Humán erőforrások
Elkészülő dokumentum: A Hivatal vagyonleltára
- Adatok biztonsági osztályba sorolása
A Hivatal egyik legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, mely tartalmazza az informatikai rendszerekkel szemben támasztott védelmi igényt.
Valamennyi adatot egy előre felállított 5 fokozatú skálán biztonsági osztályba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése vonatkozásában a Hivatalt ért kár szerint.
Elkészülő dokumentum: A Hivatal védelmi igénye
- Kockázatelemzés
Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezután vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.
Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a kárérték és a bekövetkezés valószínűségének a szorzata fogja megadni.
A kockázatok minősítéséhez kockázati mátrixot kell definiálni, majd a kockázatok kezeléséhez egy tolerancia mátrixot, amely megmutatja, hogy melyek azok a kockázatok, amelyeket a Hivatal még elvisel és melyek azok, amelyeket mindenképpen kezelni kell.
Elkészülő dokumentum: A Hivatal kockázatelemzési dokumentuma táblázatos és szöveges formában is.
- Kockázatkezelő intézkedések elkészítése
Az el nem viselhető kockázatok kezelésére kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével.
Elkészülő dokumentum: A Hivatal kockázatkezelési javaslatok dokumentuma táblázatos és szöveges formában is.
- Szabályozási környezet kialakítása
A tv. előírja, hogy minden szervezetnek rendelkeznie kell a következő dokumentumokkal:
- Informatikai Biztonsági Politika (IBP)
Az IBP célja, hogy egyrészt a Hivatal vezetése egyértelműen kifejezze szándékát az informatikai biztonság folyamatos szinten tartása érdekében, másrészt, hogy magas szinten meghatározza az informatikai biztonsággal szembeni elvárásait.
- Informatikai Biztonsági Stratégia (IBS)
Az IBS az Informatikai Biztonsági Politikában megfogalmazott célok közép és hosszútávú megvalósítását írja le.
- Informatikai Biztonsági Szabályzat
A Hivatal legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, amely a konkrét megvalósítást, szabályozást tartalmazza.
