Az új információbiztonsági törvény rendelkezései és azok értelmezése

A közigazgatás szakmai fóruma

Cikkek / Jogalkotás-Jogalkalmazás

Az új információbiztonsági törvény rendelkezései és azok értelmezése

XV. évfolyam, 4. lapszám
Szerző(k):
Misák István
informatikai biztonsági tanácsadó
Budapest
http://misec.hu

Misák István, informatikai biztonsági tanácsadó, a 2013. július 1-jén hatályba lépett Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) által meghatározott szűk határidős feladatokra kívánja felhívni a figyelmet. Egyes kötelezettségek végrehajtása azonnal megkezdhető, a jogszabály azonban számos egyéb feladatra későbbi határidőt állapít meg. Ezekről a cikk folytatásában, a Jegyző és Közigazgatás szeptember elején megjelenő számában olvashatnak.

Az Ibtv. 2. § (1) bekezdés k) pontja alapján annak hatálya kiterjed a helyi és nemzetiségi önkormányzatok képviselő-testületének hivatalaira is.

A korábbiakban közigazgatási szinten nem volt egységes az informatikai biztonság jogi szabályozása. […]. Az Ibtv. kiadásával azonban valamennyi állami és közigazgatási szervnek kötelezően ki kell jelölnie a felelősöket, akiknek ki kell alakítaniuk az informatikai biztonsági irányítási rendszert, és gondoskodniuk kell annak folyamatos működtetéséről.

Az Ibtv. előírásainak betartását a Nemzeti Elektronikus Információbiztonsági Hatóság fogja ellenőrizni, melynek feladat- és hatáskörét a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló a 301/2013. (VII. 29.) Korm. rendelet határozza meg.

Az informatikai rendszerekben bekövetkezett informatikai biztonsági események kezelését az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI. 30.) Korm. rendelet alapján a Nemzetbiztonsági Szakszolgálat végzi.

Az információbiztonsági törvény által alkalmazott alapvető fogalmak értelmezése

Ebben a fejezetben igyekszem megismertetni az Olvasóval az Ibtv. által használt alapvető fogalmakat és kísérletet teszek azok értelmezésére.

Az Ibtv. értelmező rendelkezései ugyan alapszinten tisztázzák ezeket a fogalmakat, de a tapasztalatok szerint informatikai biztonsági ismeretek nélkül ezek a fogalmak némi magyarázatra szorulnak.

Elektronikus információs rendszer biztonsága

Az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.

Az informatikai rendszerek biztonságát alapvetően adminisztratív, logikai és fizikai biztonsági intézkedésekkel lehet megteremteni.

Adminisztratív biztonsági intézkedés: minden olyan védelmi intézkedés, amely technikai eszközökkel nem, vagy csak részben valósítható meg. Ilyen például egy Informatikai Biztonsági Szabályzat elkészítése vagy egy kockázatelemzés elvégzése.

Fizikai biztonsági intézkedések: az adott épület/objektum és az azokban található vagyontárgyak védelmét szolgáló intézkedések, például ezek közé tartozik a számítógépterem biztonságának megteremtése (pl.: tűzjelző, riasztó, beléptető rendszer stb.) vagy a munkatársak részére az “üres íróasztal, üres képernyő politika” elrendelése.

Logikai biztonsági intézkedés: az informatikai rendszerben technikailag beállított vagy kikényszerített védelmi megoldás, ilyen lehet egy megfelelő jelszóházirend beállítása vagy a hálózati tűzfalon csak a szükséges portok, protokollok engedélyezése.

Mit nevezünk bizalmasságnak és mit jelent?

Az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.

Magyarázat: A fentiek alapján egy adat bizalmassága azt jelenti, hogy különböző adminisztratív és logikai intézkedésekkel meghatározza az adatgazda, hogy az adathoz ki és milyen szinten férhet hozzá. Önkormányzati szinten az olyan adatokat kell bizalmasság szempontjából védeni, amelyek védelmét törvény írja elő (pl.: Info tv. személyes adatok) vagy amelyek illetéktelen kézbe kerülése a szervezet részére károkkal járna.

A személyes adatokat kezelő informatikai rendszereket különösen védeni kell a bizalmasság szempontjából, mivel ha illetéktelenek hozzáférnek a személyes adatokhoz (pl.: kiszivárog az internetre), akkor az Info tv. alapján komoly jogi kára keletkezik a szervezetnek. A szervezet weboldalán tárolt adatokat nem kell bizalmasság szempontjából védeni, mivel vélhetően mindenki számára elérhető információkról van szó.

Mit nevezünk sértetlenségnek és mit jelent?

Az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.

Magyarázat: Jó példa erre, hogy valamilyen sérülékenységnél fogva (szoftver hiba, adatrögzítő figyelmetlensége) módosul a jegyző fizetését tartalmazó adat, ha egy nullával kevesebbet írunk utána. Ebben az esetben sérül az adat sértetlensége, mert az adat tartalma nem ez elvárttal megegyező. Fontos továbbá az adatok sértetlenségének a biztosítása például a honlapokon közzétett közérdekű adatoknál is.

Mit nevezünk rendelkezésre állásnak és mit jelent?

Annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.

Magyarázat: Ez azt jelenti, hogy például az önkormányzat iktatási rendszerének a működőképességét biztosítani kell az iktatást végző munkatársak számára a hivatali munkaidő tartalma alatt. Sérül az iktatási rendszer rendelkezésre állása (azaz leáll és nem érhető el), hogyha szoftverhiba vagy hálózati meghibásodás miatt a rendszer felhasználói az iktatási rendszert nem érik el vagy betelik a rendszert futtató szerver merevlemeze és nem gondoskodtak tartalék adattároló egységről.

Mi az a biztonsági osztályba sorolás?

A kockázatok alapján az elektronikus információs rendszer védelmi erősségének meghatározása.

Magyarázat: Ez annyit jelent, hogy minden egyes informatikai rendszerben kezelt adatfajtát kategorizálni kell a bizalmasság, a sértetlenség és a rendelkezésre állás szerint annak alapján, hogy mekkora kár éri a szervezetet, ha az adatnak valamelyik jellemzője sérül.

A biztonsági osztályba sorolást az adatgazdák végzik, akik előzetesen kijelölésre kerültek az általuk kezelt adatok vonatkozásában.

A biztonsági osztályba sorolás előtt a szervezetre jellemző kárérték-táblázatokat kell készíteni külön-külön a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztéséből adódó kár megállapítása érdekében.

Példa kárérték-táblázatra

Példa kárérték-táblázat a bizalmasságra vonatkozóan a Közigazgatási Informatikai Bizottság 25. számú ajánlását figyelembe véve:

Kárérték szint/Kárfajta Anyagi kár Társadalmi politikai hatás Jogszabályi következmény
1. nem értelmezhető Nyilvános adat
2. csekély kár 100 000 Ft Kínos helyzet a szervezeten belül Belső szabályozóval védett adat bizalmassága sérül
3. közepes kár 1 000 000 Ft Bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel. Személyes adat bizalmassága sérül
4. nagy kár 10 000 000 Ft Bizalomvesztés a szervezet felső vezetésében, a középvezetésen belül személyi konzekvenciák Tömeges személyes adat vagy különleges adat bizalmassága sérül
5. nagyon nagy kár 100 000 000 Ft Súlyos bizalomvesztés a szervezet felső vezetésében, a szervezet felső vezetésén belül személyi konzekvenciák Tömeges különleges adat bizalmassága sérül

Példa kárérték-táblázat a sértetlenségre vonatkozóan a Közigazgatási Informatikai Bizottság 25. számú ajánlását figyelembe véve:

Az informatikai rendszer vagy az abban tárolt adat pontatlansága esetén a kár mértéke:
Kárérték szint/Kárfajta Anyagi kár Közvetett anyagi kár Társadalmi politikai hatás
1. jelentéktelen kár 10 000 Ft 1 emberórával állítható helyre Nincs bizalomvesztés, a probléma a szervezeten belül marad
2. csekély kár 100 000 Ft 1 embernappal állítható helyre Kínos helyzet a szervezeten belül
3. közepes kár 1 000 000 Ft 1 emberévvel állítható helyre Bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel.
4. nagy kár 10 000 000 Ft 1–10 emberévvel állítható helyre Bizalomvesztés a szervezet felső vezetésében, a középvezetésen belül személyi konzekvenciák
5. nagyon nagy kár 100 000 000 Ft 10–100 emberévvel állítható helyre Súlyos bizalomvesztés a szervezet felső vezetésében, a szervezet felső vezetésén belül személyi konzekvenciák

Példa kárérték-táblázat a rendelkezésre állásra vonatkozóan a Közigazgatási Informatikai Bizottság 25. számú ajánlását figyelembe véve:

Az informatikai rendszer vagy az abban tárolt adatok rendelkezésre állásának elvesztése esetén (nem elérhető a rendszer vagy az adat) a kár mértéke:
Kárérték szint/Kárfajta Anyagi kár Közvetett anyagi kár Társadalmi politikai hatás
1. jelentéktelen kár 10 000 Ft 1 emberórával állítható helyre Nincs bizalomvesztés, a probléma a szervezeten belül marad
2. csekély kár 100 000 Ft 1 embernappal állítható helyre Kínos helyzet a szervezeten belül
3. közepes kár 1 000 000 Ft 1 emberévvel állítható helyre Bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel.
4. nagy kár 10 000 000 Ft 1-10 emberévvel állítható helyre Bizalomvesztés a szervezet felső vezetésében, a középvezetésen belül személyi konzekvenciák
5. nagyon nagy kár 100 000 000 Ft 10-100 emberévvel állítható helyre Súlyos bizalomvesztés a szervezet felső vezetésében, a szervezet felső vezetésén belül személyi konzekvenciák

Természetesen valamennyi szervezetnek saját kárérték-táblázatot kell készítene a helyi sajátosságokra tekintettel, mivel például nem biztos, hogy minden önkormányzatnál értelmezhető egy adatfajta bizalmasságának az elvesztésekor a 100.000.000 Ft-os anyagi kár. Tehát minden önkormányzatnak saját nagyságrendeket kell alkalmaznia.

A kárérték-táblázat elkészítése után meg kell határozni valamennyi informatikai rendszerekben kezelt adatot és be kell sorolni egy-egy biztonsági osztályba.

Példa biztonsági osztályba sorolásra

Ebben a példában egy tetszőleges szervezet iktatási rendszerét, illetve az abban kezelt adatokat sorolom biztonsági osztályba.

Az iktatási rendszer alapvetően személyes adatokat és az iktatással összefüggő adatokat. A fenti kárérték-táblázatok alapján a biztonsági osztályba sorolás a következő (az egyes adatok besorolásának részletes indoklásától itt most eltekintek):

Adatfajta/Alapfenyegetettségek Bizalmasság Sértetlenség Rendelkezésre állás
Személyes adatok 3 3 1
Iktatási adatok 2 3 3

Személyes adatok biztonsági osztálya: (bizalmasság: 3), (sértetlenség:3), (rendelkezésre állás:1)

Iktatási adatok biztonsági osztálya: (bizalmasság: 2), (sértetlenség:3), (rendelkezésre állás:3)

A fentiek alapján az iktatási rendszer biztonsági osztályba sorolása a következő:

Iktatási rendszer biztonsági osztálya a „high water mark elv” alapján:

(bizalmasság:3), (sértetlenség:3), (rendelkezésre állás:3)

          (Az úgynevezett „high water mark” elv alapján a kárérték szinteknek nem az átlagát, hanem a maximumát kell venni.)

Az iktatási rendszer összevont biztonsági osztálya: 3.

Kockázatelemzés

Az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése.

Magyarázat: Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat, csoportosítani kell a Hivatal informatikai erőforrásait (pl.: hardver, szoftver, adat stb.).

Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezt követően vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.

Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a sérülékenység bekövetkezésének a valószínűsége és az okozott kár szorzata fogja megadni.

A kockázatok minősítéséhez kockázati mátrixot kell definiálni.

Kockázatkezelés

Az elektronikus információs rendszerre ható kockázatok csökkentésére irányuló intézkedésrendszer kidolgozása.

Magyarázat: Döntést kell hozni, hogy a szervezet számára mely kockázatok elviselhetők és melyek nem. Az elviselhető vagy felvállalt (tudjuk hogy van, de például kicsi a bekövetkezési valószínűsége, vagy kicsi a szervezetre gyakorolt hatása, esetleg a kockázat áthárítható), akkor erről szervezeti vezetői szinten nyilatkozni szükséges. Ezt táblázatos formában a toleranciamátrix tartalmazza.

Az el nem viselhető kockázatok kezelésére többféle módszer létezik. Alapfenyegetettségenként kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével. A kockázatcsökkentő védelmi intézkedések a PreDeCo elvek alapján megelőző, detektáló és javító intézkedések lehetnek.

Feladatok

Az Ibtv. több esetben felkészülési időt ad a szervezeteknek, de van néhány „kvázi” azonnali feladat is.

Azonnali feladatok

Az Ibtv. 26. § (3) bekezdése szerint a Nemzeti Fejlesztési Minisztérium irányítása alá tartozó Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: a Hatóság) részére meg kell küldeni

– a hatályba lépést követő 60 napon belül:

               – – a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, a 13. § (8) bekezdésében meghatározott végzettségét;

                  – – a szervezet azonosításához szükséges adatokat;

– a hatályba lépést követő 90 napon belül:

                  – – nyilvántartásba vétel céljából a szervezet Informatikai Biztonsági Szabályzatát.

Elektronikus információs rendszer biztonságáért felelős személy

Ki kell jelölni minden szervezetnél egy elektronikus információs rendszer biztonságáért felelős személyt, aki felsőfokú végzettséggel és a szükséges szakképzettséggel rendelkezik. Az elektronikus információs rendszer biztonságáért felelős személy (továbbiakban: informatikai biztonsági felelős) feladatai a törvény 13. § (2) bekezdése alapján:

a) gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,

b) elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését,

c) előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot,

d) előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,

e) véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit,

f) kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal.

Az informatikai biztonsági felelős képesítési és képzési követelményeit részletesen végrehajtási rendelet fogja tartalmazni, melynek tervezete elérhető a Kormány honlapján:

http://www.kormany.hu/download/c/4e/e0000/Ibtv_KIM_kepzesi_rendelet_06_17.pdf#!DocumentBrowse

A tervezet szerint minden informatikai biztonsági felelősnek kötelező képzésen és továbbképzésen kell részt vennie. A kötelező képzéssel, két félév alatt elektronikus információbiztonsági vezető képesítést lehet szerezni.

A törvény 26. § (4) bekezdése alapján a képzési követelményeknek 5 éven belül kell eleget tenni.

Nem kell a fenti képesítést megszereznie annak, aki rendelkezik a következő oklevelek egyikével:

– Certified Information Security Manager (CISM), vagy

– Certified Information Systems Security Professional (CISSP).

További feladatok […] A cikket a Jegyző és Közigazgatás szeptember elején megjelenő, 2013. évi 4. számában folytatjuk.

 

Információk: http://misec.hu

Kategória

Könyvajánló

Facebook Pagelike Widget

 

1037 Budapest, Montevideo utca 14.
Tel.: +36 1 340 2304
Fax: +36 1 349 7600
E-mail: info@orac.hu

Weboldal: orac.hu

Szakmai partnerek

Jegyzők Országos Szövetsége (JOSZ) – www.josz.eu

Közszolgálati Tisztviselők Szakmai Szervezeteinek Szövetsége – www.kozszov.org.hu