Lassan végére ér az ASP bevezetések utolsó köre - 2019. január 1-jétől indulnak el azok az önkormányzatok, akiket erre az időpontra soroltak. A bevezetés nehézségeiről és örömeiről már több cikket is olvashattak a téma iránt érdeklődők és a kitartó előfizetők; most a fenntartás és az üzemeltetés lesz a témánk.
Ismert és elfogadott tény, hogy a 2013. évi L. törvény és annak elválaszthatatlan párja a 2015. évi 41. számú kormányrendelet milyen feladatokat rótt a hatálya alá tartozó szervezetekre. Az ASP pályázatban a "Működésfejlesztési és szabályozási keretek kialakítása" pontban hozzárendelt forrás a legtöbb esetben elegendő volt az alapok letételéhez és lehetőség nyílt a törvényi kötelezettségeknek való megfelelésre + ráirányította a fókuszt azokra a területekre, amelyek addig nem kaptak akkora figyelmet.
Tekintsük tehát adottnak, hogy a hivatal - az ASP programnak hála - létező információbiztonsági rendszerrel bír és azt az arra előírt képzettséggel rendelkező információbiztonsági felelős segítségével üzemelteti. Ez utóbbi költségét már nem finanszírozza az ASP: ezeket egyéb erőforrások felkutatásával, vagy azok átrendezésével kell tudni megoldani.
Az NKE elektronikus információbiztonsági vezető kurzusán (http://eiv.uni-nke.hu/fooldal), ahol az IBF-ek előírt képzettségéhez szükséges vizsgákat tehetjük le - több beszélgetésen is előkerült: vajon hol tart a közigazgatási szervezetek információbiztonsági felkészültsége és az ott dolgozók információvédelmi tudatossága? Vannak olyan kollégák, akik kutatják ezt a területet, de egy nem reprezentatív véleményt még azt megelőzően közreadhatok, hogy ezeket a kutatásban résztvevők publikálnák. A beszélgetésekből azt szűrtem le, hogy van még lehetőségünk a fejlődésre ezen a területen! Mivel tudnám indokolni ezeket a véleményeket? A képzés elindítását követően a választott szakdolgozati témák nagyobbik része az információbiztonsági rendszer kialakításáról és bevezetéséről, illetve az ezekhez kapcsolódó területekről került kiválasztásra és leadásra. Most 2018-at írunk és ez az arány továbbra is magas: nem csökkent olyan ütemben, mint azt a törvényben leírtak alapján várni lehetett volna. (Történik mindez annak ellenére, hogy a képzésen már kimutatható százalékot képviselnek azok a résztvevők, akik NEM a törvény hatálya alá tartozó szervezetek képviselőjeként jöttek el - akár saját maguknak finanszírozva annak költségeit.) Mire utal mindez? Kétsebességes a rendszer: egy részük túl a bevezetés okozta sokkon már az üzemeltetés és a napi üzletmenet zökkenőmentes fenntartását tartja prioritáson - a stratégiában megfogalmazott rövid-, közép- és hosszú távú céloknak megfelelően -, a másik rész viszont nem jutott még túl az adminisztratív intézkedések testreszabásán. Az ASP azon rendszerek esetében, amelyek a hatókörébe tartoznak, csökkent(het)i a különbséget a két csoport között, de nem engedhetjük leszakadni azokat sem, amelyek ezen kívül üzemelnek.
Cikkem - több részben - azokat a technikákat, jó gyakorlatokat szeretné megosztani, amelyek alacsony ráfordítással és mégis hatékonyan képesek segíteni. Ezek közé tartozik az egyik olyan feladat, amelyet a bevezetések során csak nehezen tudtunk elvégezni/elvégeztetni - és akkor még nem beszéltünk arról, hogy miként vesszük rá a hivatalok megbízott munkatársait, hogy az átadást követően naprakészen tartsák a hardver- és szoftverleltárakat!
Alapvető érdekünk - és nem csak a pályázatban beszerzett gépek és eszközök esetében -, hogy pontos nyilvántartásunk legyen a hivatalnál rendszerbe állított számítógépekről és az egyéb IT-eszközökről. Fontos tudnunk, hogy melyek vannak saját tulajdonban, melyek a szolgáltatók eszközei és melyiket béreljük vagy lízingeljük. Leltárt évente készítünk, de vannak olyan körülmények - pályázati elszámolás, hatósági ellenőrzés, nem várt események - lopás, természeti katasztrófák etc., vagy csak egy új választás, amelyhez - az átadás-átvétel részeként - pontos nyilvántartást csatolunk. Egy kisebb hivatalnál (10 gép alatt ilyennek gondolom a szervezetet), amelyik egy telephelyen működik, aránylag könnyű a dolgunk, ha az eszközök fizikai paramétereit szeretnénk összeszedni... De már itt is okozhat fejfájást, ha az adott eszközökön futó szoftverek és azok frissítései kerülnek a leltárba. Csak példaként említeném a kormányzati eseménykezelő központ (GovCERT) októberi körlevelét, amely arra hívta fel az érintettek figyelmét, hogy az egyik adatbáziskezelő ismert sérülékenységét javító "folt" kerüljön telepítésre. Az egyik elterjedt operációs rendszer minden héten új frissítést tesz közzé. Ezek szintén olyan javítások, amelyeket érdemes telepíteni, hiszen épp ezáltal - a frissítésben leírtak alapján - lesznek ismertek a kihasználható biztonsági rések azon rosszindulatú szoftvereket fejlesztő körök számára, amelyek nem bírnak kellő szakértelemmel ahhoz, hogy nulladik napi sérülékenységeket használjanak ki, de ahhoz viszont elegendő tudás birtokában vannak, hogy ezekre már képesek legyenek káros kódokat "fejleszteni"!
Beláthatjuk, hogy a pontos - nemhogy napra, de szinte órára pontos - leltárra szükségünk van. Az egyik lehetőség, hogy az adott felhasználó védelmi képességeit fejlesszük és képessé tesszük arra, hogy a GovCERT által küldött leveleket értelmezze és a saját gépén ellenőrizni tudja, hogy a példában említett üzenetben szereplő adatbáziskezelő fut-e a gépén, érintett-e az a verzió, ami a jelentésben felsorolt. Képes legyen a gyártó oldalára ellátogatni és telepíteni a szükséges frissítést + ezt a szükséges módon adminisztrálja is. Vagy: megpróbálunk olyan eszközt rendszerbe állítani, amely annak elemeit folyamatosan méri fel és a példaként említett esetben csak a rendszergazdának szükséges ellenőriz-
- 36/37 -
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
