A KÖZINFORMATIKA Nonprofit Kft. több mint száz önkormányzatnál vezetett már be, és működtet információbiztonsági rendszert, melynek módszertanát a 2013. évi L. törvény és végrehajtási rendelete [41/2015. (VII. 15.) BM rendelet] alapján alakította ki. A cég ügyvezetőjével, Vékás Sándorral beszélgetünk, aki korábban hasonló rendszerek nagy számú tanúsításában is részt vett, s amely tapasztalataira építve vállal a KÖZINFORMATIKA auditgaranciát a rendszereire.
• Jegyző és Közigazgatás (J. K.): A pályázati kiírást átfutva, ez a sor - Működési- és szabályozási keretek kialakítása - az iratkezelési szabályzat és az információbiztonsági szabályzat elkészítését jelenti. Önnek milyen tapasztalatai gyűltek össze ezzel kapcsolatban?
Vékás Sándor (V. S.): A fenti dokumentumok elkészítésén, illetve átvizsgálásán túl, több mint 40 egyéb dokumentum segít megfelelni a vonatkozó jogszabályoknak. Az Ön által említett iratokat csak "indikátorként" említi a pályázati kiírás - korántsem elegendőek azonban, hogy az audit során megfeleljen egy olyan szervezet, amelyik csak ezeket tudja felmutatni. A 257/2016. (VIII. 31.) ASP Kormányrendelet (2. számú melléklet, 8. pont) világosan fogalmaz: "Elvárt informatikai biztonsági megfelelés: Az állami és önkormányzati szervek elektronikus információbiztonságáról történő megfelelésről szóló 2013. évi L. törvény, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet rendelkezéseiből következő, a rendszer biztonsági osztályba sorolása alapján megállapított információbiztonsági követelményeknek történő megfelelés". Ez messze nem két szabályzatot jelent. Természetesen a megfelelően elkészített dokumentumok sem adnak önmagukban garanciát! A kialakított rendszer működtetése és fejlesztése, illetve az adott jogszabályok változásainak követése és átvezetése az érintett területeken, a szükséges jelentések elkészítése és feladása - tehát mindazon feladatok, amelyek az információbiztonsági felelős hatáskörébe tartoznak - mind szükségesek ahhoz, hogy az ellenőrzés során ne kerüljön felszínre olyan hiányosság, amely szankciókkal jár. A KÖZINFORMATIKA mind a rendszerek építése, mind azok üzemeltetése során auditgaranciát ad és anyagi felelősséget vállal az általa felügyelt rendszerekre!
• J. K.: Mennyire nehéz bevezetni egy ilyen rendszert?
V. S.: A jelen helyzetben az anyagi erőforrások adottak: a pályázatban meghatározott összegekből fel lehet építeni - ki lehet alakítani - egy olyan környezetet, amely megfelel a jogszabályi követelményeknek. A bevezetés során nem is ez a legnagyobb nehézség, hanem a szemléletformálás. Cégünk küldetése éppen ez: olyan hozzáállást kialakítani, amely az érintett területek minden dolgozójával - legyenek azok kívül, vagy belül - megérteti, hogy a kezelt adatokért felelősséggel tartoznak. Ha ezt sikerül a rendszer bevezetése során tartott oktatásokon megértetni, akkor nem nehéz az ehhez kapcsolódó "jó gyakorlatokat" megvalósítani!
• J. K.: Hogyan folyik a bevezetés a gyakorlatban?
V. S.: Az ASP 2.0 második körére kiírt pályázat 2017. április 24-én zárult. Van már olyan partnerünk, aki az elsők között küldte be az anyagát és már megkapta a nyerési értesítőt/határozatot. Innen - az első kör tapasztalataiból kiindulva - már csak pár hét és megérkezik a pályázott összeg a hivatal számlájára, de a szerződéskötésnek ez nem feltétele. Több partnerünkkel már kötöttünk előszerződést, illetve az ASP pályázattól függetlenül üzemeltetünk információbiztonsági rendszert: itt mi adjuk az információbiztonsági felelőst. Az ASP csatlakozáshoz kapcsolódóan nekik is át kell vizsgálniuk a rendszert, hogy az megfeleljen az ott előírt követelményeknek, az új rendszerek bevezetése során és utána is. Akik most kérnek ajánlatot tőlünk, azokkal az ajánlatok elbírálását és a nyertesek kihirdetését követően kötünk szerződést és küldünk egy olyan "dokumentumcsomagot", amely kitöltése tanácsadóink helyszíni megjelenését előzi meg. Előzetes időpontegyeztetést követően, helyszíni bejárás során mérjük fel a fizikai-, az adminisztratív- és a logikai biztonság állapotát, az összes olyan biztonsági/kockázati elemet, amelyet a megfelelő dokumentumokban rögzítünk. A felmérést követően készítünk oktatási- és intézkedési tervet, amelyet aztán a bevezetés és/vagy az üzemeltetés során végrehajtunk. Tehát itt nem áll meg a "A gép forog, az alkotó pihen" madáchi jóslat... Az információbiztonsági rendszert ugyanis életben kell tartani: "üzemeltetni kell". Az Információbiztonsági Felelős (IBF)
- 31/32 -
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
