Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: az információbiztonsági törvény vagy törvény) 2013. július 1-jén lépett hatályba. A jogszabály legfontosabb előírásait Misák István információbiztonsági tanácsadó foglalja össze.
A törvény hatálya
A törvény 2. §-a alapján annak hatálya explicit módon kiterjed
- a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével,
- a Köztársasági Elnöki Hivatalra,
- az Országgyűlés Hivatalára,
- az Alkotmánybíróság Hivatalára,
- az Országos Bírósági Hivatalra és a bíróságokra,
- az ügyészségekre,
- az Alapvető Jogok Biztosának Hivatalára,
- az Állami Számvevőszékre,
- a Magyar Nemzeti Bankra,
- a fővárosi és megyei kormányhivatalokra,
- a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,
- a Magyar Honvédségre.
- A fentieken kívül e törvény rendelkezéseit kell alkalmazni:
- a fentiekben meghatározott szervek számára adatkezelést végzők,
- a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,
- az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek
elektronikus információs rendszereinek védelmére.
Azonnali feladatok
A törvény 26. § (3) bekezdése szerint a Nemzeti Fejlesztési Minisztérium irányítása alá tartozó Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: a Hatóság) részére meg kell küldeni
- a hatályba lépést követő 60 napon belül: a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, a 13. § (8) bekezdésében meghatározott végzettségét; és a szervezet azonosításához szükséges adatokat;
- a hatályba lépést követő 90 napon belül: nyilvántartásba vétel céljából a szervezet Informatikai Biztonsági Szabályzatát.
2013. december 4-én megjelent az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről szóló 73/2013. (XII. 4.) NFM rendelet, melynek 11. §-a alapján a fenti feladatok határideje 2014. február 5-ére módosult.
Az elektronikus információs rendszerek biztonságáért felelős személy kijelölése körüli bizonytalanságok
Az elmúlt időszakban a szervek vezetői részéről némi bizonytalanságot érzek az informatikai biztonsági felelős személyének kijelölésével kapcsolatban.
Nem egyértelmű számukra, hogy ki láthatja el ezt a feladatot (elláthatja-e külsős is), milyen végzettséggel és milyen tapasztalatokkal kell rendelkeznie az illetőnek.
A tapasztalataim szerint az egyik legjellemzőbb megoldás – megjegyzem, hogy a hatályos jogszabályok jelenleg nem tiltják – hogy az adott szervezet jelenleg is alkalmazott rendszergazdáját jelölik ki a feladat ellátására, mivel úgy ítélik meg, hogy ez is csak egy informatikai feladat.
Információbiztonsági szempontból:
1. Az informatikai biztonsági felelős egyik legfontosabb feladata, hogy a szervezeten elül kialakítsa és ellenőrizze azokat az információbiztonsági szabályokat, amelyek az informatikai rendszerekkel kapcsolatba lépőkre vonatkoznak.
A rendszergazda üzemelteti az informatikai rendszereket, tehát ő is kapcsolatba lép az informatikai rendszerekkel, tehát ebben az esetben neki kellene saját maga részére szabályokat hoznia és saját magát kellene ellenőriznie. Nem kell ehhez információbiztonsági gyakorlat, hogy belássuk ez összeférhetetlen.
2. A másik problémát az szokta okozni, amikor a tényleges munkavégzésre kerül a sor, tehát meg kell írni egy Informatikai Biztonsági Stratégiát vagy egy Informatikai Biztonsági Szabályzatot, vagy kockázatelemzést kell készíteni, melynek előtte ki kell dolgozni a módszertanát.
Valljuk be, hogy nem biztos, hogy ezt a fajta szaktudást el lehet várni a rendszergazdánktól, aki egyébként magabiztosan üzemelteti a szervereket és a felhasználók legnagyobb megelégedésére elhárítja a napi problémájukat.
Mit írnak a jogszabályok
Az Ibtv. 13. § (8) és (10) bekezdései alapján
(8) A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.
(10) Nem kell a (8) bekezdés szerinti képzettséget megszereznie annak a személynek, aki rendelkezik a külön jogszabályban meghatározott, akkreditált nemzetközi képzettséggel vagy e szakterületen szerzett 5 év szakmai gyakorlattal.
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet 7. § (1) bekezdése alapján szakmai gyakorlatnak minősül
a) az információbiztonsági irányítási rendszer
aa) tervezése,
ab) kialakítása,
ac) működtetése során,
b) az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,
c) az információbiztonsági kockázatelemzés területén,
d) az elektronikus információs rendszerek információbiztonsági tanúsítási tevékenysége során, vagy
e) az elektronikus információs rendszerek információbiztonsági tesztelésében (etikus hacker tevékenységben)
szerzett szakmai tapasztalat.
A rendelet 7. § (2) bekezdése szerint nem kell a szükséges szakképzettséget megszereznie annak, aki rendelkezik
a) az Information Systems Audit and Controll Association (ISACA) által kiadott:
aa) Certified Information System Auditor (CISA), vagy
ab) Certified Information Security Manager (CISM), vagy
ac) Certified in Risk and Information Systems Control (CRISC),
b) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP)
érvényes oklevéllel.
Összefoglalva
Az lehet elektronikus információs rendszerek biztonságáért felelős személy aki
- felsőfokú végzettséggel rendelkezik és elvégezte a Nemzeti Közszolgálati Egyetem által szervezett 2 féléves elektronikus információbiztonsági vezető képzést és megkapta az oklevelét,
- vagy felsőfokú végzettséggel és információbiztonság területén szerzett 5 év igazolt szakmai gyakorlattal rendelkezik,
- vagy felsőfokú végzettséggel rendelkezik és van legalább egy a fentiekben felsorolt
nemzetközi képesítése.
Az az elektronikus információbiztonsági vezető szakirányú továbbképzési szakról bővebben az NKE honlapján olvashatnak.
További feladatok
A törvényben előírt adminisztratív, fizikai és logikai védelmi intézkedéseket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben található védelmi intézkedés katalógus szerint kell végrehajtani.
1. A szervezet biztonsági szintbe sorolása
Határidő: A törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.
2. A szervezet biztonsági szintjének megfelelő informatikai biztonsági irányítási rendszer kialakítására cselekvési terv készítése.
Határidő: Az 1-es pontban leírt feladat elvégzése után 90 nap.
Magyarázat: A törvény által előírt szervezeti szintű biztonsági besorolást követően, ha a szervezet – a rendeletben részletezett – a törvényben meghatározott biztonsági szintet nem éri el, akkor 90 napon belül cselekvési tervet kell készítenie az előírt biztonsági szint elérésére.
A törvény alapján a szervezetnek lehetősége van az előírt biztonsági szint fokozatos elérésére. Ennek keretében a magasabb biztonsági szint elérésére – minden egyes szintet érintően, a következő magasabb szintre lépéshez – két év áll rendelkezésére.
Ha a biztonsági szint a vizsgálat alapján az 1. szintet nem éri el, akkor az 1. szint eléréséhez szükséges intézkedéseket a lefolytatott vizsgálatot követő egy éven belül meg kell valósítani.
3. El kell végezni a szervezet elektronikus információs rendszereiben kezelt adatok biztonsági osztályba sorolását.
Határidő: A törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.
4. Cselekvési terv készítése az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelően az adott biztonsági osztály eléréséhez.
Határidő: A 3-as pontban leírt feladat elvégzése után 90 nap.
Magyarázat: A szervezet az adott elektronikus információs rendszere biztonsági osztályba sorolását követően megvizsgálja, hogy a rendszer melyik biztonsági osztályt éri el és ha hiányosságokat tapasztal, akkor 90 napon belül cselekvési tervet készít.
A védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első vizsgálatkor megállapított biztonsági osztályt alapul véve, minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére két év áll rendelkezésére.
Hatósági ellenőrzés
A fenti feladatok végrehajtását a Nemzeti Elektronikus Információbiztonsági Hatóság ellenőrzi, melynek feladat- és hatáskörét a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet állapítja meg.
Az előírások be nem tartása esetén a Hatóság – a törvény 16.§ (3) bekezdése alapján – állami szervek esetében a következő szankciókkal élhet:
- hatósági felszólítás,
- a szervezetet felügyelő szerv bevonása a követelmények teljesítése érdekében,
- Információbiztonsági felügyelő kirendelése.
A törvény szövege a Magyar Közlöny 69. számában olvasható.
Misák István információbiztonsági tanácsadó http://misec.hu
Kapcsolódó cikk: