A Jegyző és Közigazgatás szeptemberben megjelenő számában közölt cikkemben az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: információbiztonsági törvény, Ibtv.) által előírt követelményekről, illetve az információbiztonság területén alkalmazott fontosabb fogalmakról tájékozódhatott a Kedves Olvasó.
Ebben a cikkemben igyekszem összefoglalni az elmúlt fél év tapasztalatait az Ibtv. alkalmazásával kapcsolatban és ismertetem az azóta megjelent és kiadás előtt álló végrehajtási rendeletek legfontosabb előírásait.
A törvény 2013. július 1-jei hatályba lépése óta a következő végrehajtási rendeletek jelentek meg:
• 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről (továbbiakban: R1);
• 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról (továbbiakban: R2.);
• 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról (továbbiakban: R3.)
• 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről (továbbiakban: R4.)
A Kormány honlapján megtalálható információk szerint a következő NFM rendelet vár kiadásra:
• A nemzeti fejlesztési miniszter ...../2013. (... ...) NFM rendelete az elektronikus információbiztonsággal és az egyes elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről (Tervezet!) (továbbiakban: Technológiai R.)
Az elmúlt időszakban azt tapasztaltam, hogy a szervek vezetői részéről némi bizonytalanságot érzek az informatikai biztonsági felelős személy kijelölésével kapcsolatban.
Nem egyértelmű a szervek vezetői részére, hogy ki láthatja el ezt a feladatot (elláthatja-e külsős is), milyen végzettséggel és milyen tapasztalatokkal kell rendelkeznie az illetőnek.
Tapasztalataim szerint az egyik legjellemzőbb megoldás - megjegyzem, hogy a hatályos jogszabályok jelenleg nem tiltják - hogy az adott szervezet jelenleg is alkalmazott rendszergazdáját jelölik ki a feladat ellátására, mondván ez is csak egy plusz feladat, és hát mégiscsak informatikai feladat, tehát legyen a rendszergazda.
1. Az informatikai biztonsági felelős egyik legfontosabb feladata, hogy a szervezeten belül kialakítsa és ellenőrizze azokat az információbiztonsági szabályokat, amelyek az informatikai rendszerekkel kapcsolatba lépőkre vonatkoznak.
A rendszergazda üzemelteti az informatikai rendszereket, tehát ő is kapcsolatba lép az informatikai rendszerekkel, így ebben az esetben neki kellene saját maga részére szabályokat hoznia és saját magát ellenőriznie. Nem kell ahhoz információbiztonsági gyakorlat, hogy belássuk, ez összeférhetetlen. Érdemes itt a kötelezettségvállalás, érvényesítés, utalványozás és ellenjegyzés területén az összeférhetetlenségi szabályokra gondolni.
2. A másik problémát az szokta okozni, amikor tényleges munkavégzésre kerül a sor, tehát meg kell írni egy Informatikai Biztonsági Stratégiát vagy egy Informatikai Biztonsági Szabályzatot, vagy kockázatelemzést kell készíteni, melynek előtte ki kell dolgozni a módszertanát.
Valljuk be, nem biztos, hogy ezt a fajta szaktudást el lehet várni a kedves rendszergazdánktól, aki egyébként magabiztosan üzemelteti a szervereket és a felhasználók legnagyobb megelégedésére elhárítja a napi problémájukat.
Az Ibtv. 13. § (8) és (10) bekezdései alapján
(8) A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.
(10) Nem kell a (8) bekezdés szerinti képzettséget megszereznie annak a személynek, aki rendelkezik a külön jogszabályban meghatározott, akkreditált nemzetközi képzettséggel vagy e szakterületen szerzett 5 év szakmai gyakorlattal.
Az R3 7. § (1) bekezdése alapján szakmai gyakorlatnak minősül
a) az információbiztonsági irányítási rendszer
aa) tervezése,
- 21/22 -
ab) kialakítása,
ac) működtetése során,
b) az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,
c) az információbiztonsági kockázatelemzés területén,
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
