A Kincsinfo (Kincstári Informatikai Nonprofit Kft.) és a MÁK (Magyar Államkincstár) 2017. október 9-ei dátummal adott közre egy 33 oldalas útmutatót, amelyet már régóta vártak az információbiztonsági felelősök…

A már sokszor emlegetett 2013. évi L. törvény és a hozzá tartozó 41/2015. (VII. 15.) BM rendelet (az állami és önkormányzati szervek elektronikus információbiztonságáról) előírta, hogy a törvény hatálya alá eső szervezetek sorolják be a náluk üzemelő szakrendszereket – most végre konkrét segítséget kaptunk, hogy az ASP-hez kapcsolódóan pontosan milyen feladataink adódnak. A leirat első bekezdésében kiemeli: a tájékoztató alapján az Informatikai Biztonsági Szabályzatokat (IBSZ) kötelezően szükséges módosítani!

Akik már szerződtek információvédelmi szolgáltatás igénybevétele tárgyában és az információbiztonsági felelősük „képben van”, most elégedetten hátradőlhetnek. (Pontosítok: részletes tájékoztatást kapnak, hogy milyen feladatokat kell az előírások alapján cselekvési/intézkedési tervben rögzíteniük.) Ezeknél a hivataloknál a havidíj tartalmazza a jogszabálykövetést: újabb költség nem terheli az ügyfeleket. Akik úgy döntöttek, hogy a szabályzatokat saját erőforrások igénybevételével alakítják ki és elégségesnek ítélték a pályázatban indikátorként nevesített két szabályzatot összeállítani, most ismét elmélyülhetnek az útmutató végén megadott jogszabályi hivatkozásokban…

Azon hivatalok, akik az interfészes csatlakozást választották, szintén pontos iránymutatást kapnak a rendszerhez történő kapcsolódás tekintetében. Számukra is mérföldkő lehet ez a dokumentum: fontos igazodási pont a projekt megvalósításában.

Vannak olyan jellegű szigorítások a felsorolt – és kötelezően alkalmazandó – védelmi intézkedések között, amelyekre korábban talán nem ilyen határozott előírásokat foganatosítottunk. Most azonban elég egyértelműnek tűnik, hogy azokat a gépeket, amelyeket az ASP hálózathoz kapcsolunk, különösen magas biztonsági követelményeknek kell megfeleltetnünk. (A távoli hozzáférések korlátozása ezeken a gépeken sok kisebb hivatal esetében – itt elsősorban azokra gondolok, akik nem saját rendszergazdával oldják meg a hivatali infrastruktúra üzemeltetését – biztosan felvet olyan problémákat, amelyek orvoslására plusz erőforrások bevonására lesz szükség.)

Változik az incidensek jelentésének menete is: az eddig szabályzatban rögzített folyamat kiegészül és az ASP központ értesítése is kötelező lesz. (Az indokolatlanul magas jogosultsági szintekből adódó biztonsági események kapcsán vizsgálat tárgya lesz az adott jogosultságot kiosztó felelőssége is.)

A tájékoztatóban már fellelhetőek az új uniós adatvédelmi rendelet (GDPR) elemeinek megfelelésére utaló hivatkozások – ezzel kapcsolatban további szigorítások is várhatóak még!

A Nemzeti Közszolgálati Egyetem elektronikus információbiztonsági vezetőképző szakán idén szeptemberben az eddig megszokott létszám többszöröse kezdte meg tanulmányait. Nemcsak a most lejáró – 5 éves – türelmi időszak végét jelzi a felfokozott érdeklődés, de annak is szól, hogy egyre többen eszmélnek rá: a törvény hatálya azon szervezetekre is kiterjed, amelyek részben (vagy egészben) állami feladatokat vállalnak át – ide sorolva természetesen az önkormányzati cégeket is. Hogy a korábban már többször említett GDPR-ről már ne is beszéljünk: az ennek való megfelelés adekvátan kiépített információbiztonsági rendszer nélkül olyan, mintha egy kettévágott macskától várnánk el, hogy fogjon egeret…

A 2013. évi L. törvény – bármennyire is furcsán hangzik – olyan igazodási pont, amely akár alapjául szolgálhat egy piaci szabványon alapuló megfelelésnek, ráadásul kellően nagyszámú hazai referenciát tudhat maga mögött: az önkormányzatokat! Ne becsüljük alá az erőinket: sok piaci szereplő még csak most ismerkedik az elektronikus információs rendszerekre leselkedő veszélyekkel – nekünk már vannak szabályzataink, szakembereink, és azt javaslom: tekintsünk a MÁK-ot és a Kincsinfot támogató segédcsapatoknak, akik a mi állásainkat segítenek védeni a kibertér egyre élesedő csatáiban.

Aki szeretné átvilágítani jelenlegi rendszerét, esetleg érdekli, hogy milyen kihívásokkal kell szembenéznie jövő év május 25-ét (a GDPR hatályba lépése) követően: ne habozzon – a konzultáció pénzbe nem – csak időbe – kerül!