Misák István, informatikai biztonsági tanácsadó, a 2013. július 1-jén hatályba lépett az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) által meghatározott szűk határidős feladatokra kívánja felhívni a figyelmet.
Az Ibtv. szövege a Magyar Közlöny 69. számában olvasható. (Töltse le a HVG-ORAC Kiadó ingyenes Jogkódex alkalmazását a jogkodex.hu oldalról és tekintse meg a jogszabály szövegét. - szerk.)
Az Ibtv. 2. § (1) bekezdés k) pontja alapján annak hatálya kiterjed a helyi és nemzetiségi önkormányzatok képviselő-testületének hivatalaira is.
A korábbiakban közigazgatási szinten nem volt egységes az informatikai biztonság jogi szabályozása:
• Az elektronikus közszolgáltatást nyújtó szervezetekre vonatkozott az azóta hatályon kívül helyezett elektronikus közszolgáltatásokról szóló 2009. évi LX. törvény és annak végrehajtási rendeletei, amelyek megfelelő módon szabályozták a szervezetek informatikai biztonságát.
• A fenti jogszabály azonban csak az elektronikus közszolgáltatásra kötelezettek, illetve elektronikus közszolgáltatásokat önként nyújtó szervezetekre vonatkozott.
• Fontos előírásokat tartalmaz az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Info tv.) 6. §-a az adatbiztonság vonatkozásában, ugyanakkor a hivatkozott paragrafus csak a személyes adatokat kezelő informatikai rendszerekre terjed ki és csupán nagyvonalakban írja elő a követelményeket, a konkrét megvalósításra nem terjed ki.
• Az államháztartás működési rendjéről szóló 292/2009. (XII. 19.) Korm. rendelet (hatálytalan 2012. január 1-jétől) a beszámolási rendszerek vonatkozásában írt elő néhány általános követelményt.
• A közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet az elektronikus iratkezelés feltételeit szabályozza.
• Ezeken kívül csupán nemzetközi, illetve hazai szabványok és ajánlások (pl.: MSZ ISO/IEC 27001:2006, KIB ajánlások) alapján lehetett a közigazgatási szervek informatikai biztonságát megalapozni.
Az Ibtv. kiadásával valamennyi állami és közigazgatási szervnek kötelezően ki kell jelölnie a felelősöket, akiknek ki kell alakítaniuk az informatikai biztonsági irányítási rendszert, és gondoskodniuk kell annak folyamatos működtetéséről.
Az Ibtv. előírásainak betartását a Nemzeti Elektronikus Információbiztonsági Hatóság fogja ellenőrizni, melynek feladat- és hatáskörét a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló a 301/2013. (VII. 29.) Korm. rendelet határozza meg.
Az informatikai rendszerekben bekövetkezett informatikai biztonsági események kezelését az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI. 30.) Korm. rendelet alapján a Nemzetbiztonsági Szakszolgálat végzi.
Ebben a fejezetben igyekszem megismertetni az Olvasóval az Ibtv. által használt alapvető fogalmakat és kísérletet teszek azok értelmezésére.
Az Ibtv. értelmező rendelkezései ugyan alapszinten tisztázzák ezeket a fogalmakat, de a tapasztalatok szerint informatikai biztonsági ismeretek nélkül ezek a fogalmak némi magyarázatra szorulnak.
Az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.
Az informatikai rendszerek biztonságát alapvetően adminisztratív, logikai és fizikai biztonsági intézkedésekkel lehet megteremteni.
Adminisztratív biztonsági intézkedés: minden olyan védelmi intézkedés, amely technikai eszközökkel nem, vagy csak részben valósítható meg. Ilyen például egy Informatikai Biztonsági Szabályzat elkészítése vagy egy kockázatelemzés elvégzése.
Fizikai biztonsági intézkedések: az adott épület/objektum és az azokban található vagyontárgyak védelmét szolgáló intézkedések, ezek közé tartozik a számítógépterem biztonságának megteremtése (pl.: tűzjelző, riasztó, beléptető rendszer stb.) vagy a munkatársak részére az "üres íróasztal, üres képernyő politika" elrendelése.
Logikai biztonsági intézkedés: az informatikai rendszerben technikailag beállított vagy kikényszerített védelmi megoldás pl.: ilyen lehet egy megfelelő jelszóházirend beállítása vagy a hálózati tűzfalon csak a szükséges portok, protokollok engedélyezése.
Az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.
Magyarázat:
A fentiek alapján egy adat bizalmassága azt jelenti, hogy különböző adminisztratív és logikai intézkedésekkel meghatározza az adatgazda, hogy az adathoz ki és milyen szinten férhet hozzá. Önkormányzati szinten az olyan adatokat kell bizalmasság szempontjából védeni, amelyek védelmét törvény írja elő (pl.: Info tv. személyes adatok) vagy amelyek illetéktelen kézbe kerülése a szervezet részére károkkal járna.
A személyes adatokat kezelő informatikai rendszereket különösen védeni kell a bizalmasság szempontjából, mivel ha illetéktelenek hozzáférnek a személyes adatokhoz (pl.: kiszivárog az internetre), akkor az Info tv. alapján komoly jogi kára keletkezik a szervezetnek. A szervezet weboldalán tárolt adatokat nem kell bizalmasság szempontjából
- 19/20 -
védeni, mivel vélhetően mindenki számára elérhető információkról van szó.
Az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
