Információbiztonsági jogszabályok módosítása

A közigazgatás szakmai fóruma

Cikkek / Jogszabálymódosítás

Információbiztonsági jogszabályok módosítása

2019-01-24 ,
Szerző(k):
 Misák István
információbiztonsági szakértő
misec.hu

A tavalyi év végén módosultak az információbiztonsági jogszabályok. Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (továbbiakban: Ibtv.), az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló törvény végrehajtásához kapcsolódó miniszteri rendeletek módosításáról szóló 37/2018. (XII. 28.) BM rendelet pedig módosította az Ibtv. végrehajtási rendeleteit, illetve egy végrehajtási rendeletet hatályon kívül helyezett és további két információbiztonságot érintő új végrehajtási rendelet született.

A jelen cikkemben igyekszem összefoglalást adni az Ibtv. hatálya alá tartozó szervezetek vezetői (jegyzők, egyéb vezetők) részére a jelentősebb változásokról.

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény módosítása

A bevezetőben említett törvény több ponton is módosította az Ibtv.-t.

Fogalmi meghatározások

Az első fontos módosítás, hogy megváltozott az elektronikus információs rendszer fogalma. A jelenlegi szabályozás szerint (Ibtv. 1. § 14b.) az elektronikus információs rendszer fogalma a következő:

a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat;
b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi; vagy
c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok;

A korábbi szabályozás szerint az elektronikus információs rendszer meghatározása az alábbi volt:

az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese;

A fentiekből látható, hogy meglehetősen módosult az elektronikus információs rendszer fogalma, melynek értelmezése átalakíthatja a meglévő elektronikus információs rendszerek biztonsági osztályba sorolását, illetve a biztonsági osztályba sorolás szerinti védelmi intézkedések teljesítését, mivel elképzelhető, hogy a fentiek más módszertan, illetve megközelítés alkalmazását teszik szükségessé a védelmi intézkedések megszervezésekor.

Bírságolás bevezetése költségvetési szervek esetében

Az Ibtv. 16. §-ának (2) bekezdése tartalmazta már korábban is a költségvetési szervek esetén alkalmazható jogkövetkezményeket, abban az esetben, ha az érintett szervezet nem tesz eleget a jogszabályban meghatározott biztonsági követelményeknek, illetve az ehhez kapcsolódó további eljárási szabályoknak.

A korábbiakban a Nemzeti Elektronikus Információbiztonsági Hatóság részéről alkalmazható jogkövetkezmények a következők voltak:

  • A szervezet vezetőjének felszólítása a hiányosságok pótlására;
  • A fentiek sikertelensége esetén a szervezetet felügyelő szervhez fordulhat és kérheti a közreműködését;
  • Az e-közigazgatási miniszter egyetértésével, megfelelő végzettséggel és szakértelemmel rendelkező információbiztonsági felügyelőt rendelhet ki az érintett szervezethez, aki jogosult az érintett szervezetnél az információbiztonsági követelmények teljesítése érdekében, az Ibtv.-ben meghatározott szükséges intézkedéseket végrehajtani.

Az Ibtv. 16. §-ának (2) d) pontja alapján 2019. január 1-jétől a Hatóság jogosult bírságot kiszabni költségvetési szervek esetében is a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítése vagy be nem tartása esetén.

2019. január 13-án lépett hatályba az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet 13. § (5) bekezdése, mely alapján a hatóság – a következő táblázatban foglalt jogszabálysértések esetében – ötvenezer forinttól ötmillió forintig terjedő bírságot szabhat ki, amelyet a hatóság határozatának véglegessé válását követő nyolc napon belül kell befizetni a hatóság Magyar Államkincstárnál vezetett számlájára:

A jogszabálysértés megnevezése A bírság legkisebb mértéke A bírság legnagyobb mértéke
regisztráció elmulasztása 50.000 Ft 100.000 Ft
adatváltozás bejelentésének elmulasztása 50.000 Ft 500.000 Ft
kockázatelemzés készítésének elmulasztása 200.000 Ft 500.000 Ft
kockázatokkal arányos biztonsági intézkedések bevezetésének és alkalmazásának elmulasztása 300.000 Ft 5.000.000 Ft
kockázatelemzés és a szükséges biztonsági intézkedések biztonsági eseményt követő haladéktalan, egyéb esetben évente dokumentált felülvizsgálatának elmulasztása, a felülvizsgálat során feltárt hiányosságok alapján a szükséges módosítások végrehajtásának elmulasztása 200.000 Ft 2.000.000 Ft
biztonsági esemény bejelentésének elmulasztása 300.000 Ft 5.000.000 Ft
hatóság végleges, végrehajtandó határozatában foglalt kötelezésének nem teljesítése 400.000 Ft 5.000.000 Ft

Bírságok mértéke

Fontos kiemelni továbbá, hogy a Korm. rendelet 13. § (6) bekezdése alapján, a fentieken túlmenően az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

A fentiek alapján, egyrészt ha az érintett költségvetési szerv nem tesz eleget a fenti táblázatban foglalt elírásoknak, akkor magát a szervezetet sújthatja bírsággal a hatóság, illetve ezen túlmenően a szervezet vezető tisztségviselőjét is, ha akadályozza a hatásági eljárást, illetve nem vagy nem megfelelő minőségben szolgáltat adatot a hatóság részére.

Mindezekre tekintettel javasolható valamennyi, az Ibtv. hatálya alá tartozó költségvetési szervnek, hogy ha ez idáig nem tette meg, akkor

  • tegyen eleget a regisztrációs kötelezettségeinek a hatóság irányába,ami magába foglalja a:
    • a szervezet bejelentését;
    • az elektronikus információs rendszer biztonságáért felelős személy bejelentését;
    • biztonsági osztályba sorolás és a biztonsági szintbe sorolás bejelentését a jelenleg teljesített védelmi intézkedésekkel együtt a hatóság által rendszeresített NEIH OVI, illetve NEIH SZVI űrlapokon;
    • az elektronikus információs rendszerek biztonsági osztályba sorolását és a szervezet és a szervezeti egységek biztonsági szintbe sorolását tartalmazó Informatikai Biztonsági Szabályzat elkészítését és megküldését;
  • jelentse be a szervezetét és az elektronikus információs rendszereit érintő változásait a hatóság felé;
  • végezze el az Ibtv.-ben és annak technológiai végrehajtási rendeletében (41/2015. BM rendelet) előírt elektronikus információs rendszerek biztonsági osztályba sorolását, a szervezet biztonsági szintbe sorolását;
  • mérje fel az elektronikus információs rendszerei – az irányadó biztonsági osztályból adódó – adminisztratív, fizikai és logikai védelmi intézkedéseit, illetve a szervezet biztonsági szintjéből fakadó követelményeket;
  • készítsen cselekvési tervet a hiányosságok kezelésére és hajtsa végre a szükséges védelmi intézkedéseket a megadott határidőre, figyelemmel az Ibtv.-ben megfogalmazott felkészülési időkre;
  • végezze el az elektronikus információs rendszerek információbiztonsági kockázatelemzését és kezelje a feltárt és nem tolerálható kockázatokat;
  • biztonsági esemény bekövetkeztekor jelentse azt be az eseménykezelő központnak;
  • teljesítse a hatóság végleges, végrehajtandó határozatában foglalt kötelezettségeit.

Összességében bízzunk abban, hogy az Ibtv. felügyeletét ellátó hatóság a fentiekben foglalt jogkövetkezmények elméleti alkalmazhatóságán túlmenően a továbbiakban is az elmúlt években tapasztalt, ügyfélbarát, segítőkész, támogató jellegű hatóság elvét fogja képviselni, megértve a néhol meglehetősen szigorú jogszabályi követelmények alkalmazhatóságának nehézségeit.

Biztonsági események bejelentése

A fenti követelményekből fontosnak tartom kiemelni a biztonsági események jelentési kötelezettségét.

Fontos jogszabályi követelmény és kifejezett elvárás is az illetékes szervek részéről, hogy ha biztonsági eseményt észlelünk, akkor azt haladéktalanul jelentsük be az eseménykezelő központ részére.

Javaslom, hogy a tapasztalt biztonsági eseményeket nyugodtan jelentsék be az illetékes eseménykezelő központ részére, mivel sokakban még az a szemlélet él, hogy nemhogy be nem jelentem a biztonsági eseményemet, de igyekszem minél inkább titokban tartani és saját magam megoldani az általa okozott problémákat.

Ezzel ellentétben a biztonsági események kezelése kezd egy új szakterületté válni az információbiztonság területén belül. Az eseménykezelő központoknak megvannak a kifejezetten erre a területre képesített, napi gyakorlattal rendelkező szakemberei, módszertanai, (esetenként több millió forintos) eszközrendszere.

A gyakorlati tapasztalatok alapján a biztonsági események kezelésekor az eseménykezelő központ bizalmasan kezeli a bejelentett biztonsági eseményeket (ez jogszabályi követelmény is) és megfelelő szakmai segítséget nyújt az esemény elhárításához, nem a felelősök keresése és a felelősségre vonás az elsődleges szempont, hanem a biztonsági esemény kezelése és elhárítása.

Ahhoz, hogy ezt megtegyük, tisztázni kell, hogy mi számít biztonsági eseménynek.

Az Ibtv. fogalmi meghatározása alapján biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül.

Elképzelhetőnek tartom, hogy van olyan felhasználó, vezető, akinek a fenti fogalom nem segít a biztonsági esemény meghatározásában, így álljon itt egy közel sem teljes, ellenben konkrét lista az elektronikus információs rendszereket érintő, jellemző biztonsági eseményekről:

  • szolgáltatás sérülése, leállása
  • berendezés vagy eszközök elvesztése;
  • hálózati adatgyűjtés (scan) célzott sérülékenység keresés észlelése;
  • rendszer hibás működése vagy túlterhelések (DoS-támadás);
  • a szabályzatoknak vagy irányelveknek való nem megfelelés;
  • a fizikai biztonsági rendelkezések megsértése;
  • nem ellenőrzött rendszerbeli változások;
  • a szoftver vagy hardver hibás működése;
  • hozzáférési előírások tudatos megsértése;
  • kártékony kód általi fertőzés;
  • a nem teljes vagy nem pontos működési adatokból eredő hibák;
  • a bizalmasság és sértetlenség megsértése;
  • social engineering (pl. célzott phishing)
  • az elektronikus információs rendszerrel való visszaélés (pl.: Btk. 423-424. §).

A fentiekből látható, hogy nem kell bejelenteni azt az esetet, amikor az elektronikus levelezési szolgáltatás során a felhasználó spam mappájában landol egy kéretlen levél vagy a kártékony kód elleni védelem detektál egy kártékony kódot, mivel ezek az általunk alkalmazott védelmi eszközök megszokott működését jelentik, a védelmi eszközök végzik a dolgukat.

Azt az esetet kell bejelenteni, amelynek hatására sérül valamelyik elektronikus információs rendszer sértetlensége (pl.: a honlapon olyan információk jelennek meg, melyről nincs a szervezetnek tudomása vagy illetéktelenek módosították valamely elektronikus információs rendszert) vagy rendelkezésre állása (pl.: leáll a honlap), vagy az elektronikus információs rendszerben kezelt adat bizalmassága (pl.: adótitok illetéktelen kézbe kerül, nyilvánosságra kerülnek személyes adatok), sértetlensége (pl.: a rendszerben illetéktelenek adatokat módosítanak) vagy rendelkezésre állása sérül (pl.: illetéktelenek adatokat törölnek a rendszerben).

Néhány eset, amit javasolt jelenteni az eseménykezelő központnak:

  • Egy spam kampány során az érintett szervezet annyi kéretlen levelet kap, hogy az megnehezíti a napi munkavégzést, betelíti a postafiókokat vagy a sávszélességet nagymértékben felhasználja;
  • Olyan zsaroló kód jut be a szervezet elektronikus információs rendszerébe, amelyet az alkalmazott kártékony kód elleni védelem még nem ismer fel és a zsaroló kód ki tudja fejteni káros hatását (pl.: dokumentumokat titkosít);
  • Adathalászat által kicsalják egy felhasználó azonosítóját, jelszavát és visszaélnek azzal;
  • Illetéktelenül módosítják (feltörik) a szervezet honlapját.

 

Semmilyen körülmények között nem javaslom például egy zsaroló kód által tikosított háttértároló vagy egy logikai törléssel törölt háttértároló különböző, az interneten elérhető, ingyenes eszközzel történő helyreállításának a megpróbálását, mivel a siker nem garantált és sérülhetnek a rendelkezésre álló bizonyítékok egy későbbi hatósági vizsgálathoz.

A későbbi hatósági vizsgálatok céljából javasolt a biztonsági eseményben érintett, a hálózatról már leválasztott eszközről egy bitképes mentést készíteni és/vagy páncélszekrényben elzártan őrizni, hogy az eseménykezelő központ munkatársai részére az át tudjuk adni további intézkedés/elemzés céljából.

Hatósági feladatok, eseménykezelő központok

A fent említett időszakban hatályon kívül helyezték a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendeletet és helyette hatályba lépett az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet.

Az új Korm. rendelet alapján megszűnt a korábbi Kormányzati Eseménykezelő Központ elnevezés, helyette az eseménykezelő központ jelent meg új fogalomként, melynek feladatai ellátására a Kormány változatlanul a Nemzetbiztonsági Szakszolgálatot jelölte ki.

Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet alapján pedig megszűnt a korábbi Nemzeti Elektronikus Információbiztonsági Hatóság elnevezés, helyét egyszerűen a hatóság elnevezés vette át, melynek feladatai ellátására a Kormány változatlanul a Nemzetbiztonsági Szakszolgálatot jelölte ki.

Csak a teljesség érdekében az Ibtv. alapján egyes, ágazatspecifikus elektronikus információs rendszerek és szervek esetében (jellemzően honvédelmi, belügyi zárt célú elektronikus információs rendszerek, létfontosságú rendszerelemek elektronikus információs rendszerei) más szervek (pl.: BM Országos Katasztófavédelmi Főigazgatóság) látják el az eseménykezelő központok és hatóság feladatait, azonban ezek tételes felsorolása a jelen olvasói kör részére talán nem annyira létfontosságúak.

Összefoglalásul az eseménykezelő központ és a hatóság feladatait a Nemzetbiztonsági Szakszolgálat látja el.

Összefoglalás a hatályban lévő információbiztonsági jogszabályokról

Cikkem elején említettem, hogy a jogalkotók 2018. év végén lényeges jogszabály módosításokat hajtottak végre.

A cikk írásának időpontjában (2019. január 24.) hatályban lévő információbiztonságot érintő, fontosabb jogszabályok a következők:

  • évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról;
  • 187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról;
  • 271/2018. (XII. 20.) Korm. rendelet az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól;
  • 270/2018. (XII. 20.) Korm. rendelet az információs társadalommal összefüggő szolgáltatások elektronikus információbiztonságának felügyeletéről és a biztonsági eseményekkel kapcsolatos eljárásrendről
  • 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről;
  • 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról.

Összefoglalásul

2018. év végén jelentősen módosultak az információbiztonságot érintő jogszabályok, egyes jogszabályokat hatályon kívül helyeztek, valamint új jogszabályok léptek hatályba.

Megváltozott az elektronikus információs rendszer fogalma, melynek értelmezése, alkalmazása időt vesz igénybe.

Költségvetési szervek esetében is lehetővé válik a hatóság részéről a bírságolás lehetősége mint lehetséges jogkövetkezmény, mind a szervezetet, mind a szervezet vezető tisztségviselőjét érintően.

Meghatározásra kerültek azok a feladatok, amelyeket el kell végezni annak érdekében, hogy a bírságolást elkerüljük.

Minden vezető tisztségviselőnek érdemes tételesen átolvasni a módosított jogszabályokat annak érdekében, hogy maradéktalanul eleget tudjon tenni a meghatározott követelményeknek.

Kategória

Könyvajánló

Facebook Pagelike Widget

 

1037 Budapest, Montevideo utca 14.
Tel.: +36 1 340 2304
Fax: +36 1 349 7600
E-mail: info@orac.hu

Weboldal: orac.hu

Szakmai partnerek

Jegyzők Országos Szövetsége (JOSZ) – www.josz.eu

Közszolgálati Tisztviselők Szakmai Szervezeteinek Szövetsége – www.kozszov.org.hu