Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) 7. §-ának (1) bekezdése alapján a szervezet elektronikus információs rendszereit (továbbiakban: informatikai rendszer) a kockázatarányos védelem megvalósítása érdekében biztonsági osztályba, továbbá az Ibtv. 9. §-ának (1) bekezdése alapján a szervezet védelmi felkészültsége alapján a szervezetet biztonsági szintbe kell sorolni.
A biztonsági osztályba és a biztonsági szintbe sorolást az Ibtv. 26. §-ának (1) és (2) bekezdései alapján legkésőbb a törvény hatálybalépését követő egy éven belül, azaz legkésőbb 2014. július 1-jéig kell elvégezni.
A biztonsági osztályba sorolás elvégzését követően meg kell vizsgálni, hogy az adott informatikai rendszer melyik biztonsági osztály követelményeit teljesíti, és ha nem éri el az elvárt követelményeket, akkor 90 napon belül, azaz legkésőbb 2014. szeptember 28-ig cselekvési terveket kell készíteni a hiányosságok pótlására.
Az Ibtv. lehetőséget ad a követelmények fokozatos teljesítésére, tehát ha egy informatikai rendszer biztonsági osztálya nem éri el az elvárt biztonsági osztályt, akkor két év áll a rendelkezésre, hogy a következő biztonsági osztály követelményeit teljesítse.
Az informatikai rendszereket az információbiztonság három alaptényezője - bizalmasság, sértetlenség, rendelkezésre állás - szerint külön-külön egy ötfokozatú skálán biztonsági osztályba kell sorolni. A besoroláskor a rendszerben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, illetve az informatikai rendszer sértetlenségének és rendelkezésre állásának elvesztéséből fakadó kár szerint kell az értékelést elvégezni.
Bizalmasság fogalma: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.
Sértetlenség fogalma: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.
Rendelkezésre állás fogalma: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.
A végeredmény valamennyi informatikai rendszer (B, S, R) számhármasa, mely alapján a logikai védelmi intézkedéseket ki lehet dolgozni.
A logikai védelmi intézkedéseket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet (továbbiakban: technológiai vhr.) tartalmazza.
Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs rendszerek biztonságáét felelős személy készíti elő, ugyanakkor a feladatot célszerű az adott rendszer adatgazdájával együttműködésben elvégezni.
A feladat elvégzésébe azért javasolt az adatgazdákat bevonni, mivel az információbiztonsági felelős nem feltétlenül ismeri a rendszerben kezelt adatokat, illetve nem biztos, hogy meg tudja ítélni, hogy ha az informatikai rendszerben kezelt adat bizalmassága, sértetlensége vagy rendelkezésre állása, illetve az informatikai rendszer sértetlensége vagy rendelkezésre állása sérül, akkor mekkora kár éri az adott szervezetet.
Adatgazda fogalma: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik.
A biztonsági osztályba sorolás útmutatóját a technológiai vhr. tartalmazza, de ezt minden szervezetnek saját magára nézve testre kell szabnia.
A következőkben megnézünk két konkrét példát, ahol részletesen végigvezetjük az olvasót a biztonsági osztályba sorolás műveletén.
Adott egy Polgármesteri Hivatal, amely több informatikai rendszert használ.
- 23/24 -
Mi most kiválasztunk két, széles körben elterjedt informatikai alkalmazást, melyek biztonsági osztályba sorolását lépésről-lépésre el fogjuk végezni.
A Hivatal szociális juttatásokat kezelő informatikai alkalmazása.
A Hivatal humánpolitikai nyilvántartása.
Első lépésként ki kell dolgoznunk a szervezet biztonsági osztályba sorolásának módszertanát, azaz a technológiai vhr-hez igazodóan fel kell állítanunk a bizalmasság, sértetlenség és a rendelkezésre állás kárérték táblázatait.
A technológiai vhr.-rel ellentétben mi nem egy, hanem három kárérték táblázatot fogunk használni, mivel más lehet a káresemény mindhárom tényező esetén.
Bizalmasság kárérték táblázata - minta
| Kárérték szint/Kárfajta | Közvetlen anyagi kár | Társadalmi-politikai hatás | Jogi következmény |
| 1. nem értelmezhető | Nyilvános adat | ||
| 2. csekély kár | 1 000 000 Ft-ig | Kínos helyzet a szervezeten belül. | Belső szabályozóval védett adat vagy néhány személyes adat bizalmassága sérül. |
| 3. közepes kár | 10 000 000 Ft-ig | Bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel. | Tömeges személyes adat vagy néhány különleges adat bizalmassága sérül. |
| 4. nagy kár | 100 000 000 Ft-ig | Bizalomvesztés a szervezet felső vezetésében, a középvezetésen belül személyi konzekvenciák. | Tömeges különleges adat bizalmassága sérül. |
| 5. nagyon nagy kár | 100 000 000 Ft felett | Súlyos bizalomvesztés a szervezet felső vezetésében, a szervezet felső vezetésén belül személyi konzekvenciák. | Kiemelten tömeges különleges adat bizalmassága sérül. |
Sértetlenség kárérték táblázata - minta
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
