A közigazgatás által döntően elektronikus információs rendszerekben tárolt, feldolgozott és továbbított adatok és információk mennyiségének, illetve mibenlétének köszönhetően, a magyar állami és önkormányzati szervek egyre több kibertér felől érkező fenyegetésnek vannak kitéve, melyek érinthetik magukat a szerveket és az ott dolgozó munkatársakat egyaránt. Az Európai Unió Kiberbiztonsági Ügynöksége, az ENISA által készített, kiberfenyegetésekről szóló 2021-es jelentése (ENISA Threat Landscape 2021)[1] megállapította, hogy 2020. április és 2021. július között, a bekövetkezett kiberbiztonsági események száma alapján a legtöbb támadás a közigazgatási, kormányzati szektorral szemben következett be. Az ENISA Threat Landscape 2022,[2] mely a 2021. július - 2022. július közötti időszakot elemzi, megerősíti a közigazgatás elsődleges szerepét a kibertámadásokkal szembeni kitettség tekintetében.
E növekvő, napjaink információs társadalmát érő fenyegetések miatt, a nemzet érdekében kiemelten fontos "a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága" - fogalmazza meg az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény[3] (továbbiakban: Ibtv.) preambuluma.
E cél elérése érdekében az Ibtv. a hatálya alá tartozó szervezeteknek, az elektronikus információs rendszereik védelmét biztosító kötelezettségei körében mind a szervezet vezetője számára, mind pedig az általa megbízott vagy kinevezett elektronikus információs rendszer biztonságáért felelős személy számára meghatározott feladatok ellátását teszi kötelezővé. Az Ibtv. és a végrehajtására szolgáló 41/2015. (VII. 15.) BM rendelet[4] konkrét feladatkatalógust határoz meg az elektronikus információs rendszer biztonságáért felelős személy részére, ugyanakkor e feladatok ellátását szolgáló ismeretekről, készségekről és kompetenciákról nem ad felvilágosítást.
Jelen tanulmány célja az elektronikus információs rendszer biztonságáért felelős személy részére egy olyan szerepprofil tudományos alapokon történő megalkotása, amely meghatározza az általa ellátandó feladatokat, valamint a végrehajtáshoz szükséges készségeket, ismereteket és kompetenciákat, és nem utolsósorban szervesen illeszkedik a tágabb európai környezetbe. A kutatási cél elérése érdekében A nemzetközi keretrendszerek összehasonlítása és a jó gyakorlatok azonosítása az IBF szerepprofil definiálása érdekében című korábbi tanulmányomban[5] azonosítottam és meghatároztam azokat a nemzetközi keretrendszereket, amelyek kiberbiztonsági munkakörökhöz köthető feladatokat, ismereteket, készségeket és kompetenciákat határoznak meg, és a magyar közigazgatási környezetben "jó gyakorlatként" alkalmazhatók. Jelen tanulmány keretében, e keretrendszerek elemei segítségével kidolgozom az elektronikus információs rendszer biztonságáért felelős személy szerepprofilját, amely meghatározza a jogszabályokban megfogalmazott feladatok ellátásához nélkülözhetetlen ismereteket, készségeket és kompetenciákat is.
Az elektronikus információs rendszer biztonságáért felelős személy szerepprofiljának létrehozása érdekében az alábbi három hipotézist állítottam fel:
H1 Azonosíthatók a kiberbiztonsággal kapcsolatos ismeretekkel, tudással, készségekkel és kompetenciákkal foglalkozó nemzetközi keretrendszerek segítségével olyan jó gyakorlatok, amelyek átültethetők a magyar közigazgatási környezetbe.
H2 Az elektronikus információs rendszer biztonságáért felelős személy magyar jogszabályokban meghatározott feladatai, és e feladatok ellátásához szükséges készségek, ismeretek és kompetenciák azonosíthatók a jó gyakorlatként bemutatott nemzetközi keretrendszerekben.
H3 Kidolgozható az elektronikus információs rendszer biztonságáért felelős személy számára egy olyan szerepprofil, amely meghatározza a mindennapi munkavégzés részét képző feladatokat, illetve a végrehajtáshoz szükséges készségeket, ismereteket és kompetenciákat.
Az első hipotézis bizonyítására korábbi tanulmányomban már sor került,[6] így jelen írásban a 2. és a 3. hipotézis vizsgálatára, valamint az IBF szerepprofil megalkotására vállalkozom.
A hipotézisek megválaszolására a következő lépéseket hajtottam végre, melyeket részleteiben a következő fejezetekben ismertetek.
- 39/40 -
A H2 hipotézis esetén, a magyar jogszabályi környezet elemzését követően megfogalmaztam azon kiberbiztonsági feladatokat, amelyeket az IBF-nek a hatályos jogszabályok alapján ellátnia szükséges, majd e feladatokat és a hozzá kapcsolódó készségeket, ismereteket és kompetenciákat azonosítottam a kiválasztott keretrendszerekben.
A H3 hipotézis igazolása érdekében a nemzetközi keretrendszerekben, a H2 hipotézis bizonyítása során bemutatott elemek segítségével - saját tapasztalataimmal kiegészítve - meghatároztam azokat a magyar közigazgatási környezetben értelmezhető feladatokat és a feladatok ellátásához szükséges ismereteket, készségeket és kompetenciákat, amelyek nélkülözhetetlenek az IBF feladatellátásához, végül megalkottam az IBF szerepprofilját, valamint annak tartalmi elemeit.
1. sz. ábra: A kutatási folyamat bemutatása (forrás: saját szerkesztés)
A nemzetközi keretrendszerek összehasonlítása eredményeként azonosítottam azokat a keretrendszereket, amelyek jó gyakorlatként kiindulási pontként szolgálhatnak az IBF szerepprofiljának megalkotásában, majd meghatároztam a releváns keretrendszerek azon elemeit, amelyek átültethetők a magyar közigazgatási környezetbe, tehát a H1 hipotézisem bizonyítást nyert. Következő lépésként meg kell határozni azokat a konkrét kiberbiztonsági feladatokat, amelyeket az IBF-nek végre kell hajtania a mindennapi munkája során, majd e feladatokat meg kell feleltetni az azonosított keretrendszerekben.
Ahhoz, hogy meghatározzam, hogy az IBF-nek a munkája során milyen feladatokat kell ellátnia és ahhoz milyen ismeretanyag, készség és kompetencia szükséges, a következő lépéseket kell végrehajtani:
1. meg kell vizsgálni az Ibtv. szerinti elektronikus információs rendszerek biztonságáért felelős személy jelenlegi, törvényben felsorolt feladatait,
2. a feladatokat be kell azonosítani az European Cybersecurity Skills Framework (Európai Kiberbiztonsági Készség-keretrendszer, ECSF)[7] szerepprofilokban,
3. az ECSF-ben beazonosított feladatok alapján ki kell jelölni a feladatokhoz kapcsolódó ECSF-ben meghatározott ismereteket, készségeket és kompetenciákat (e-CF).[8]
Az Ibtv. 13. §-a határozza meg részletesen az IBF feladatait, ugyanakkor a 11. és 12. §-ban a szervezet vezetője számára megfogalmazott feladatok is megjelennek az IBF mindennapi feladatellátása során a szervezet vezetőjét támogató, előkészítő, végrehajtó tevékenységként.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
