Misák István, informatikai biztonsági tanácsadó, a 2013. július 1-jén hatályba lépett Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) által meghatározott szűk határidős feladatokra kívánja felhívni a figyelmet. Egyes kötelezettségek végrehajtása azonnal megkezdhető, a jogszabály azonban számos egyéb feladatra későbbi határidőt állapít meg. Ezekről a cikk folytatásában, a Jegyző és Közigazgatás szeptember elején megjelenő számában olvashatnak.

Az Ibtv. 2. § (1) bekezdés k) pontja alapján annak hatálya kiterjed a helyi és nemzetiségi önkormányzatok képviselő-testületének hivatalaira is.

A korábbiakban közigazgatási szinten nem volt egységes az informatikai biztonság jogi szabályozása. […]. Az Ibtv. kiadásával azonban valamennyi állami és közigazgatási szervnek kötelezően ki kell jelölnie a felelősöket, akiknek ki kell alakítaniuk az informatikai biztonsági irányítási rendszert, és gondoskodniuk kell annak folyamatos működtetéséről.

Az Ibtv. előírásainak betartását a Nemzeti Elektronikus Információbiztonsági Hatóság fogja ellenőrizni, melynek feladat- és hatáskörét a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló a 301/2013. (VII. 29.) Korm. rendelet határozza meg.

Az informatikai rendszerekben bekövetkezett informatikai biztonsági események kezelését az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI. 30.) Korm. rendelet alapján a Nemzetbiztonsági Szakszolgálat végzi.

Az információbiztonsági törvény által alkalmazott alapvető fogalmak értelmezése

Ebben a fejezetben igyekszem megismertetni az Olvasóval az Ibtv. által használt alapvető fogalmakat és kísérletet teszek azok értelmezésére.

Az Ibtv. értelmező rendelkezései ugyan alapszinten tisztázzák ezeket a fogalmakat, de a tapasztalatok szerint informatikai biztonsági ismeretek nélkül ezek a fogalmak némi magyarázatra szorulnak.

Elektronikus információs rendszer biztonsága

Az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.

Az informatikai rendszerek biztonságát alapvetően adminisztratív, logikai és fizikai biztonsági intézkedésekkel lehet megteremteni.

Adminisztratív biztonsági intézkedés: minden olyan védelmi intézkedés, amely technikai eszközökkel nem, vagy csak részben valósítható meg. Ilyen például egy Informatikai Biztonsági Szabályzat elkészítése vagy egy kockázatelemzés elvégzése.

Fizikai biztonsági intézkedések: az adott épület/objektum és az azokban található vagyontárgyak védelmét szolgáló intézkedések, például ezek közé tartozik a számítógépterem biztonságának megteremtése (pl.: tűzjelző, riasztó, beléptető rendszer stb.) vagy a munkatársak részére az “üres íróasztal, üres képernyő politika” elrendelése.

Logikai biztonsági intézkedés: az informatikai rendszerben technikailag beállított vagy kikényszerített védelmi megoldás, ilyen lehet egy megfelelő jelszóházirend beállítása vagy a hálózati tűzfalon csak a szükséges portok, protokollok engedélyezése.

Mit nevezünk bizalmasságnak és mit jelent?

Az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.

Magyarázat: A fentiek alapján egy adat bizalmassága azt jelenti, hogy különböző adminisztratív és logikai intézkedésekkel meghatározza az adatgazda, hogy az adathoz ki és milyen szinten férhet hozzá. Önkormányzati szinten az olyan adatokat kell bizalmasság szempontjából védeni, amelyek védelmét törvény írja elő (pl.: Info tv. személyes adatok) vagy amelyek illetéktelen kézbe kerülése a szervezet részére károkkal járna.

A személyes adatokat kezelő informatikai rendszereket különösen védeni kell a bizalmasság szempontjából, mivel ha illetéktelenek hozzáférnek a személyes adatokhoz (pl.: kiszivárog az internetre), akkor az Info tv. alapján komoly jogi kára keletkezik a szervezetnek. A szervezet weboldalán tárolt adatokat nem kell bizalmasság szempontjából védeni, mivel vélhetően mindenki számára elérhető információkról van szó.

Mit nevezünk sértetlenségnek és mit jelent?

Az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.

Magyarázat: Jó példa erre, hogy valamilyen sérülékenységnél fogva (szoftver hiba, adatrögzítő figyelmetlensége) módosul a jegyző fizetését tartalmazó adat, ha egy nullával kevesebbet írunk utána. Ebben az esetben sérül az adat sértetlensége, mert az adat tartalma nem ez elvárttal megegyező. Fontos továbbá az adatok sértetlenségének a biztosítása például a honlapokon közzétett közérdekű adatoknál is.

Mit nevezünk rendelkezésre állásnak és mit jelent?

Annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.

Magyarázat: Ez azt jelenti, hogy például az önkormányzat iktatási rendszerének a működőképességét biztosítani kell az iktatást végző munkatársak számára a hivatali munkaidő tartalma alatt. Sérül az iktatási rendszer rendelkezésre állása (azaz leáll és nem érhető el), hogyha szoftverhiba vagy hálózati meghibásodás miatt a rendszer felhasználói az iktatási rendszert nem érik el vagy betelik a rendszert futtató szerver merevlemeze és nem gondoskodtak tartalék adattároló egységről.

Mi az a biztonsági osztályba sorolás?

A kockázatok alapján az elektronikus információs rendszer védelmi erősségének meghatározása.

Magyarázat: Ez annyit jelent, hogy minden egyes informatikai rendszerben kezelt adatfajtát kategorizálni kell a bizalmasság, a sértetlenség és a rendelkezésre állás szerint annak alapján, hogy mekkora kár éri a szervezetet, ha az adatnak valamelyik jellemzője sérül.

A biztonsági osztályba sorolást az adatgazdák végzik, akik előzetesen kijelölésre kerültek az általuk kezelt adatok vonatkozásában.

A biztonsági osztályba sorolás előtt a szervezetre jellemző kárérték-táblázatokat kell készíteni külön-külön a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztéséből adódó kár megállapítása érdekében.

Példa kárérték-táblázatra

Példa kárérték-táblázat a bizalmasságra vonatkozóan a Közigazgatási Informatikai Bizottság 25. számú ajánlását figyelembe véve:

Példa kárérték-táblázat a sértetlenségre vonatkozóan a Közigazgatási Informatikai Bizottság 25. számú ajánlását figyelembe véve:

Példa kárérték-táblázat a rendelkezésre állásra vonatkozóan a Közigazgatási Informatikai Bizottság 25. számú ajánlását figyelembe véve:

Természetesen valamennyi szervezetnek saját kárérték-táblázatot kell készítene a helyi sajátosságokra tekintettel, mivel például nem biztos, hogy minden önkormányzatnál értelmezhető egy adatfajta bizalmasságának az elvesztésekor a 100.000.000 Ft-os anyagi kár. Tehát minden önkormányzatnak saját nagyságrendeket kell alkalmaznia.

A kárérték-táblázat elkészítése után meg kell határozni valamennyi informatikai rendszerekben kezelt adatot és be kell sorolni egy-egy biztonsági osztályba.

Példa biztonsági osztályba sorolásra

Ebben a példában egy tetszőleges szervezet iktatási rendszerét, illetve az abban kezelt adatokat sorolom biztonsági osztályba.

Az iktatási rendszer alapvetően személyes adatokat és az iktatással összefüggő adatokat. A fenti kárérték-táblázatok alapján a biztonsági osztályba sorolás a következő (az egyes adatok besorolásának részletes indoklásától itt most eltekintek):

Személyes adatok biztonsági osztálya: (bizalmasság: 3), (sértetlenség:3), (rendelkezésre állás:1)

Iktatási adatok biztonsági osztálya: (bizalmasság: 2), (sértetlenség:3), (rendelkezésre állás:3)

A fentiek alapján az iktatási rendszer biztonsági osztályba sorolása a következő:

Iktatási rendszer biztonsági osztálya a „high water mark elv” alapján:

(bizalmasság:3), (sértetlenség:3), (rendelkezésre állás:3)

          (Az úgynevezett „high water mark” elv alapján a kárérték szinteknek nem az átlagát, hanem a maximumát kell venni.)

Az iktatási rendszer összevont biztonsági osztálya: 3.

Kockázatelemzés

Az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése.

Magyarázat: Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat, csoportosítani kell a Hivatal informatikai erőforrásait (pl.: hardver, szoftver, adat stb.).

Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezt követően vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.

Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a sérülékenység bekövetkezésének a valószínűsége és az okozott kár szorzata fogja megadni.

A kockázatok minősítéséhez kockázati mátrixot kell definiálni.

Kockázatkezelés

Az elektronikus információs rendszerre ható kockázatok csökkentésére irányuló intézkedésrendszer kidolgozása.

Magyarázat: Döntést kell hozni, hogy a szervezet számára mely kockázatok elviselhetők és melyek nem. Az elviselhető vagy felvállalt (tudjuk hogy van, de például kicsi a bekövetkezési valószínűsége, vagy kicsi a szervezetre gyakorolt hatása, esetleg a kockázat áthárítható), akkor erről szervezeti vezetői szinten nyilatkozni szükséges. Ezt táblázatos formában a toleranciamátrix tartalmazza.

Az el nem viselhető kockázatok kezelésére többféle módszer létezik. Alapfenyegetettségenként kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével. A kockázatcsökkentő védelmi intézkedések a PreDeCo elvek alapján megelőző, detektáló és javító intézkedések lehetnek.

Feladatok

Az Ibtv. több esetben felkészülési időt ad a szervezeteknek, de van néhány „kvázi” azonnali feladat is.

Azonnali feladatok

Az Ibtv. 26. § (3) bekezdése szerint a Nemzeti Fejlesztési Minisztérium irányítása alá tartozó Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: a Hatóság) részére meg kell küldeni

– a hatályba lépést követő 60 napon belül:

               – – a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, a 13. § (8) bekezdésében meghatározott végzettségét;

                  – – a szervezet azonosításához szükséges adatokat;

– a hatályba lépést követő 90 napon belül:

                  – – nyilvántartásba vétel céljából a szervezet Informatikai Biztonsági Szabályzatát.

Elektronikus információs rendszer biztonságáért felelős személy

Ki kell jelölni minden szervezetnél egy elektronikus információs rendszer biztonságáért felelős személyt, aki felsőfokú végzettséggel és a szükséges szakképzettséggel rendelkezik. Az elektronikus információs rendszer biztonságáért felelős személy (továbbiakban: informatikai biztonsági felelős) feladatai a törvény 13. § (2) bekezdése alapján:

a) gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,

b) elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését,

c) előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot,

d) előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,

e) véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit,

f) kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal.

Az informatikai biztonsági felelős képesítési és képzési követelményeit részletesen végrehajtási rendelet fogja tartalmazni, melynek tervezete elérhető a Kormány honlapján:

http://www.kormany.hu/download/c/4e/e0000/Ibtv_KIM_kepzesi_rendelet_06_17.pdf#!DocumentBrowse

A tervezet szerint minden informatikai biztonsági felelősnek kötelező képzésen és továbbképzésen kell részt vennie. A kötelező képzéssel, két félév alatt elektronikus információbiztonsági vezető képesítést lehet szerezni.

A törvény 26. § (4) bekezdése alapján a képzési követelményeknek 5 éven belül kell eleget tenni.

Nem kell a fenti képesítést megszereznie annak, aki rendelkezik a következő oklevelek egyikével:

– Certified Information Security Manager (CISM), vagy

– Certified Information Systems Security Professional (CISSP).

További feladatok […] A cikket a Jegyző és Közigazgatás szeptember elején megjelenő, 2013. évi 4. számában folytatjuk.

Információk: http://misec.hu