A Jegyző és Közigazgatás szeptemberben megjelenő számában közölt cikkemben az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: információbiztonsági törvény, Ibtv.) által előírt követelményekről, illetve az információbiztonság területén alkalmazott fontosabb fogalmakról tájékozódhatott a Kedves Olvasó.

Ebben a cikkemben igyekszem összefoglalni az elmúlt fél év tapasztalatait az Ibtv. alkalmazásával kapcsolatban és ismertetem az azóta megjelent és kiadás előtt álló végrehajtási rendeletek legfontosabb előírásait.

A törvény hatálybalépése óta megjelent jogszabályok

A törvény 2013. július 1-jei hatályba lépése óta a következő végrehajtási rendeletek jelentek meg:

• 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről (továbbiakban: R1);

• 301/2013. (VII. 29.) Korm. rendelet a Nem-zeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról (továbbiakban: R2.);

• 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról (továbbiakban: R3.)

• 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről (továbbiakban: R4.)

Kiadás alatt álló jogszabályok

A Kormány honlapján megtalálható információk szerint a következő NFM rendelet vár kiadásra:

• A nemzeti fejlesztési miniszter …../2013. (… …) NFM rendelete az elektronikus információbiztonsággal és az egyes elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről (Tervezet!) (továbbiakban: Technológiai R.)

Az elektronikus információs rendszerek biztonságáért felelős személy kijelölése körüli bizonytalanságok

Az elmúlt időszakban azt tapasztaltam, hogy a szervek vezetői részéről némi bizonytalanságot érzek az informatikai biztonsági felelős személy kijelölésével kapcsolatban.

Nem egyértelmű a szervek vezetői részére, hogy ki láthatja el ezt a feladatot (elláthatja-e külsős is), milyen végzettséggel és milyen tapasztalatokkal kell rendelkeznie az illetőnek.

Tapasztalataim szerint az egyik legjellemzőbb megoldás – megjegyzem, hogy a hatályos jogszabályok jelenleg nem tiltják – hogy az adott szervezet jelenleg is alkalmazott rendszergazdáját jelölik ki a feladat ellátására, mondván ez is csak egy plusz feladat, és hát mégiscsak informatikai feladat, tehát legyen a rendszergazda.

Elemezzük egy kicsit információbiztonsági szempontból:

1. Az informatikai biztonsági felelős egyik legfontosabb feladata, hogy a szervezeten belül kialakítsa és ellenőrizze azokat az információbiztonsági szabályokat, amelyek az informatikai rendszerekkel kapcsolatba lépőkre vonatkoznak.

A rendszergazda üzemelteti az informatikai rendszereket, tehát ő is kapcsolatba lép az informatikai rendszerekkel, így ebben az esetben neki kellene saját maga részére szabályokat hoznia és saját magát ellenőriznie. Nem kell ahhoz információbiztonsági gyakorlat, hogy belássuk, ez összeférhetetlen. Érdemes itt a kötelezettségvállalás, érvényesítés, utalványozás és ellenjegyzés területén az összeférhetetlenségi szabályokra gondolni.

2. A másik problémát az szokta okozni, amikor tényleges munkavégzésre kerül a sor, tehát meg kell írni egy Informatikai Biztonsági Stratégiát vagy egy Informatikai Biztonsági Szabályzatot, vagy kockázatelemzést kell készíteni, melynek előtte ki kell dolgozni a módszertanát.

Valljuk be, nem biztos, hogy ezt a fajta szaktudást el lehet várni a kedves rendszergazdánktól, aki egyébként magabiztosan üzemelteti a szervereket és a felhasználók legnagyobb megelégedésére elhárítja a napi problémájukat.

Most pedig nézzük meg, hogy mit írnak a jogszabályok:

Az Ibtv. 13. § (8) és (10) bekezdései alapján

(8) A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.

(10) Nem kell a (8) bekezdés szerinti képzettséget megszereznie annak a személynek, aki rendelkezik a külön jogszabályban meghatározott, akkreditált nemzetközi képzettséggel vagy e szakterületen szerzett 5 év szakmai gyakorlattal.

Az R3 7. § (1) bekezdése alapján szakmai gyakorlatnak minősül

a) az információbiztonsági irányítási rendszer

   aa) tervezése,

   ab) kialakítása,

   ac) működtetése során,

b) az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,

c) az információbiztonsági kockázatelemzés területén,

d) az elektronikus információs rendszerek információbiztonsági tanúsítási tevékenysége során, vagy

e) az elektronikus információs rendszerek információbiztonsági tesztelésében (etikus hacker tevékenységben)

szerzett szakmai tapasztalat.

Az R3 7. § (2) bekezdése szerint nem kell a szükséges szakképzettséget megszereznie annak, aki rendelkezik

a) az Information Systems Audit and Controll Association (ISACA) által kiadott:

aa) Certified Information System Auditor (CISA), vagy

ab) Certified Information Security Manager (CISM), vagy

ac) Certified in Risk and Information Systems Control (CRISC),

b) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP)

érvényes oklevéllel.

Összefoglalva:

Az lehet elektronikus információs rendszerek biztonságáért felelős személy aki

1. felsőfokú végzettséggel rendelkezik és elvégezte a Nemzeti Közszolgálati Egyetem által szervezett 2 féléves elektronikus információbiztonsági vezető képzést és megkapta az oklevelét,

2. vagy felsőfokú végzettséggel és információbiztonság területén szerzett 5 év igazolt szakmai gyakorlattal rendelkezik,

3. vagy felsőfokú végzettséggel rendelkezik és van legalább egy a fentiekben felsorolt nemzetközi képesítése.

Az elektronikus információbiztonsági vezető szakirányú továbbképzési szakról bővebben az NKE honlapján olvashatnak:

http://vtki.uni-nke.hu/szakiranyu-tovabbkepzes/projektbol-fejlesztett-szakiranyu-tovabbkepzesi-szakok

Cert-Hungary működése

Időrendben elsőként az R1 lépett hatályba, mely a Nemzetbiztonsági Szakszolgálat, mint kormányzati eseménykezelő központ (Cert-Hungary) feladat- és hatáskörét állapítja meg.

A Cert-Hungary alapvető feladata, hogy a kibertérből (internet irányából) érkező támadások ellen védelmet nyújtson, illetve közzétegye a felismert és publikált szoftver sérülékenységeket a honlapján (tech.cert-hungary.hu).

A Központ a szolgáltatásait (preventív információ-megosztás és operatív incidens-kezelés) kormányzati szervezetek és önkormányzatok részére nyújtja.

Véleményem szerint a Központ alapvetően az általa felügyelt Nemzeti Távközlési Gerinchálózat (továbbiakban: NTG) esetében tehet megelőző intézkedéseket. Azon szervezetek részére, melyek nem az NTG-n keresztül csatlakoznak az internetre, már csak az incidens bekövetkezése után tud segítséget nyújtani az incidens minél rövidebb időn belüli elhárításához.

Ugyanígy a központnak a szervezet belső hálózatában bekövetkező incidens vonatkozásában sincs megfelelő illetékessége.

A Központ további feladatairól és szolgáltatásairól az R1-ben, illetve a Központ honlapján olvashatnak.

Adatszolgáltatási kötelezettség teljesítése a Nemzeti Elektronikus Információbiztonsági Hatóság felé

Az elmúlt fél év során többen megkerestek azért, hogy megtudakolják, hogy a Hatóság felé teljesítendő adatszolgáltatási kötelezettség (a szervezet azonosító adatainak megküldése, a szervezet által kijelölt elektronikus információs rendszerek biztonságáért felelős személy bejelentése, Informatikai Biztonsági Szabályzat megküldése), hogyan, milyen módon teljesíthető.

A közelmúltban megjelent az adatszolgáltatás és a biztonsági események jelentési rendjéről szóló R4, mely részletesen szabályozza a fentieket.

Az adatszolgáltatás módjai röviden összefoglalva a következők:

A szervezet ÁNYK-űrlap benyújtás támogatási szolgáltatás keretében szolgáltatja be a Hatóság részére az adatokat. Ennek érdekében letölti a következő honlapról az ÁNYK-űrlapot, melyet az Általános Nyomtatványkitöltő Programmal kitölt, és Ügyfélkapun keresztül beküldi a Hatóság részére.

ÁNYK program linkje:

http://www.nav.gov.hu/nav/letoltesek/nyomtatvanykitolto_programok/

nyomtatvany_apeh/keretprogramok/abevjava_install.html

ÁNYK űrlap linkje:

https://segitseg.magyarorszag.hu/segitseg/Neih_nyomtatvanyok_20130913.html

Abban az esetben, ha a szervezetnek nincs ügyfélkapuja vagy hivatali kapuja, akkor a kitöltött ÁNYK-űrlapot e-mailen keresztül is megküldheti a Hatóság részére, de ebben az esetben fokozott biztonságú elektronikus aláírással kell ellátni.

A Hatóság e-mail címe:

info@NEIH.gov.hu

Ha a szervezet nem rendelkezik elektronikus aláírással vagy ügyfélkapuval/hivatali kapuval, akkor az űrlapot ki kell nyomtatni és a Hatóság részére postai úton megküldeni.

A Hatóság postacíme:

Nemzeti Fejlesztési Minisztérium Nemzeti Elektronikus Információbiztonsági Hatóság, 1440 Budapest, Postafiók 1.

Biztonsági események jelentése

Az R4 előírja, hogy a biztonsági események jelentésére kötelezett szerv a biztonsági eseményeket – a Ket. szerinti írásbelinek minősülő – elektronikus úton (ügyfélkapun keresztül) teszi meg.

Nem kell bejelenteni a hatóság felé azokat a biztonsági eseményeket, amelyeket az érintett szervezet saját hatáskörében, biztonsági rendszerének üzemszerű működésével el tudott hárítani, és amelyek jogszabályban meghatározottak szerinti csekély értékű kárt, vagy működésbeli kiesést nem okoztak.

A Hatóság a magyarorszag.hu honlapon közzétette az adatszolgáltatás fent leírt módjait, illetve a szükséges űrlapokat. Az említett honlap linkje a következő:

https://segitseg.magyarorszag.hu/segitseg/Neih_nyomtatvanyok_20130913.html

Fontos!

Az R4 záró rendelkezései alapján az adatszolgáltatási határidő a már működő szervezetek esetében az R4 megjelenését követő újabb 60 nappal meghosszabbodik.

A Nemzeti Elektronikus Információbiztonsági Hatóság megalakulásáról

Az R2 kiadásával létrejött a Nemzeti Fejlesztési Minisztérium önálló szervezeti egységeként működő Nemzeti Elektronikus Információbiztonsági Hatóság.

Az Ibtv. 14. § (2) bekezdése alapján a Hatóság talán legfontosabb, az önkormányzatokat is érintő feladatai a következők:

a) az osztályba sorolás és a biztonsági szint megállapításának ellenőrzése, és az ellenőrzés eredménye alapján döntés meghozatala,

b) az elektronikus információs rendszerek osztályba sorolására és a szervezetek biztonsági szintjeire vonatkozó, jogszabályban meghatározott követelmények teljesülésének ellenőrzése,

c) az ellenőrzés során a feltárt vagy tudomására jutott biztonsági hiányosságok elhárításának elrendelése, és eredményességének ellenőrzése, a rendelkezésre álló információk alapján kockázatelemzés elvégzése,

d) a hozzá érkező biztonsági eseményekkel kapcsolatos bejelentések kivizsgálása.

A fentiekből látható, hogy a Hatóság a beküldött információkat fogadja, feldolgozza, hatósági döntéseket hoz, helyszíni ellenőrzéseket végez, illetve kivizsgálja a bejelentett biztonsági incidenseket.

Természetesen a Hatóságnak mind az Ibtv., mind az R2 alapján számos további feladata is van (pl.: a létfontosságú rendszerelemek, illetve a nemzeti adatvagyon vonatkozásában), de jelen cikkben leginkább az önkormányzatokat érintő feladatokat igyekeztem összefoglalni.

Szankcionálás

Költségvetési szerv esetében, ha a jogszabályban előírtakat a szerv nem teljesíti, vagy nem működik együtt a Hatósággal

a) a Hatóság felszólíthatja a szervet hiányosságok pótlására,

b) ha a szerv továbbra sem működik együtt a Hatóság a szerv felügyeleti szervéhez fordulhat,

c) ha a fenti szankciók nem járnak sikerrel, akkor információbiztonsági fel-ügyelőt rendelhet ki a szervhez.

Az információbiztonsági felügyelő

A Hatóság javaslatára az informatikáért felelős miniszter rendelheti ki. (Nem összekeverendő az elektronikus információs rendszerek biztonságáért felelős személlyel, akit maga a szervezet jelöl ki.)

Az információbiztonsági felügyelő:

• intézkedéseket, eljárásokat javasolhat,

• a szervezet intézkedései tekintetében kifogással élhet.

Az R2 19. § (1) bekezdése értelmében a felügyelő jogosult a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok betartásával, teljesítésével összefüggésben

a) az adott szerv vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni,

b) az érintett szervezet információtechnológiával kapcsolatos valamennyi dokumentumába, okiratába betekinteni, arról másolatot, kivonatot készíttetni,

c) az érintett szervezet valamennyi információtechnológiával kapcsolatos helyiségébe belépni,

d) azonnali intézkedést javasolni a szerv vezetőjének a közvetlen fenyegetés elhárításához (működés korlátozása, leállítása),

e) intézkedést javasolni a jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében különösen az érintett szabályzatok felülvizsgálatát kezdeményezni,

f) előzetesen véleményezni a működéssel kapcsolatos elektronikus információbiztonságot is érintő intézkedéseket és

g) kifogással élni az érintett szervezet által az Ibtv. alapján megtett vagy elmulasztott intézkedései, döntései tekintetében. A felügyelő felett a munkáltatói jogokat a miniszter gyakorolja.

Az információbiztonsági törvény (és végrehajtási rendeletei) iránti fokozott érdeklődésre tekintettel egy információbiztonsági kérdezz-felelek fórumot hoztam létre, melyen feltehetők azok a kérdések, amelyek a jelen cikkbe már nem fértek bele és a nagyközönség számára is fontosak lehetnek.

A fórum a következő linken keresztül érhető el: http://misec.hu/?topic=t2

Fórumra>>> 

Zárszóként fontos további információ, hogy kiadás előtt áll az adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó vhr., amelyről – remélhetőleg már a hatályos jogszabályról – a Jegyző és Közigazgatás következő számában részletesen hírt adok.