Információbiztonság állami és önkormányzati szervek részére

2014. szeptember 19. 07:57 - misec

ÚJABB HATÁRIDŐK AZ INFORMÁCIÓBIZTONSÁGI TÖRVÉNY ELŐÍRÁSAI ALAPJÁN

Korábbi cikkeimben már ismertettem az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) által előírt feladatokat.

Jelenlegi cikkemben ismételten fel szeretném hívni a Kedves Olvasó figyelmét a még ez évi határidős feladatokra, illetve a közeljövőben teljesítendő előírásokra, melyek közül néhányat részletesen be is mutatok.

Cselekvési tervek készítése és a Hatósági részére történő megküldése 2014. szeptember 28-ig

Az Ibtv. 7. §-ának (1) bekezdése alapján – legkésőbb 2014. július 1-ig – valamennyi érintett szervezetnek el kellett végeznie az elektronikus információs rendszereinek biztonsági osztályba sorolását.

Az Ibtv. 8. §-ának (4) bekezdése előírja, hogy meg kell vizsgálni a biztonsági osztályba sorolt elektronikus információs rendszereket, hogy jelenleg mely biztonsági osztály előírásainak felelnek meg, majd az (5) bekezdés alapján 90 napon belül cselekvési tervet kell készíteni a hiányosságok pótlására.

A vizsgálatot és a cselekvési tervet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben (továbbiakban: technológiai vhr) foglalt követelmények alapján kell elvégezni, illetve elkészíteni.

Az elektronikus információs rendszerekre logikai védelmi intézkedések vonatkoznak, tehát a vizsgálat, a hiányosságok kimutatása és a cselekvési terv elkészítése az adott elektronikus információs rendszer meglévő logikai védelmi intézkedéseinek az értékelését jelenti, összevetve az elvárt (a biztonsági osztályba sorolás során meghatározott) biztonsági osztályra előírt technológiai vhr-ben rögzített követelményekkel.

Hasonlóképpen kell eljárni a szervezet biztonsági szintbe sorolásánál is, azzal a különbséggel, hogy ebben az esetben nem logikai, hanem adminisztratív és fizikai védelmi intézkedéseket kell értékelni.

A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet 9. §-ának (2) bekezdése alapján a cselekvési terveket meg kell küldeni a Nemzeti Elektronikus Információbiztonsági Hatóság részére.

Felkészülési idők – Határidők a cselekvési tervek végrehajtására

Ebben a fejezetben az Ibtv. által nyújtott felkészülési időket szeretném megismertetni a Kedves Olvasóval.

A szervezet elvárt biztonsági szintjének elérésére biztosított felkészülési idő:

Az Ibtv. 10. §-ának (3) bekezdése előírja, hogy amennyiben a szervezet jelenlegi biztonsági szintje nem éri el az 1-es biztonsági szintet, akkor 1 éven belül fel kell készülni az 1-es biztonsági szintre előírt követelményekre.

A további (2, 3, 4, 5) biztonsági szintek elérésére 2-2 év áll a rendelkezésre.

Tehát, hogyha egy önkormányzati hivatal 3-as biztonsági szintbe sorolta magát, akkor a 3-as biztonsági szintre előírt adminisztratív és fizikai védelmi intézkedéseket legkésőbb 2019. július 1-jéig kell megvalósítani, úgy hogy közben 2015. július 1-jéig teljesíti az 1-es, 2017. július 1-jéig pedig teljesíti a 2-es biztonsági szintre előírt adminisztratív és fizikai védelmi intézkedéseket.

Az elektronikus információs rendszerek elvárt biztonsági osztályainak elérésére rendelkezésre álló felkészülési idő:

Az Ibtv. 8. §-ának (3) bekezdése alapján amennyiben az adott elektronikus információs rendszer nem éri el az elvárt biztonsági osztályát, akkor biztonsági osztályonként 2-2 év áll a rendelkezésre a reá irányadó logikai védelmi intézkedések megvalósítására.

Az elektronikus információs rendszerekre 2-es biztonsági osztálytól kezdve vonatkoznak követelmények, tehát egy 2-es biztonsági osztályba sorolt elektronikus információs rendszert 2016. július 1-jéig kell felkészíteni a reá irányadó logikai védelmi intézkedésekre.

2015. évi feladatok – 1-es biztonsági szint elérése

A szervezetek biztonsági szintjére vonatkozóan elmondható, hogy amíg az adminisztratív védelmi intézkedések a technológiai vhr-ben már 1-es biztonsági szinttől megjelennek, a fizikai védelmi intézkedések csak 2-es biztonsági szinttől kezdve kötelezők.

Ennek alapján 2015-ben – a szervezetre előírt fizikai és a logikai védelmi intézkedésekre történő folyamatos felkészülés mellett – elsősorban az 1-es szintre előírt adminisztratív védelmi intézésekre célszerű fókuszálni (amennyiben azt a korábbi vizsgálat alapján nem éri el).

Az 1-es biztonsági szintre előírt adminisztratív védelmi intézkedések összefoglalása

A következő táblázatban összefoglaltam a technológiai vhr által az 1-es biztonsági szintre előírt adminisztratív védelmi intézkedéseket:

Technológiai vhr sorszám

Követelmény megnevezése

Határidő

3.1.1.

Szervezeti szintű alapfeladatok

2015. július 1.

3.1.1.1.

Informatikai biztonságpolitika

2015. július 1.

3.1.1.2.

Informatikai biztonsági stratégia

2015. július 1.

3.1.1.3.

Informatikai biztonsági szabályzat

2014. január 3.

3.1.1.4.

Az elektronikus információs rendszerek biztonságáért felelős személy

2014. január 3.

3.1.1.7.

Az elektronikus információs rendszerek nyilvántartása

2015. július 1.

3.1.1.11.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

2015. július 1.

3.1.2.

Kockázatelemzés

2015. július 1.

3.1.2.1.

Kockázatelemzési eljárásrend

2015. július 1.

3.1.2.2.

Biztonsági osztályba sorolás

2014. július 1.

3.1.2.3.

Kockázatelemzés

2015. július 1.

3.1.6.

Emberi tényezőket figyelembe vevő – személy – biztonság

 

2015. július 1.

3.1.6.5.

Eljárás a jogviszony megszűnésekor

2015. július 1.

3.1.6.8.

Fegyelmi intézkedések

2015. július 1.

3.1.7.

Tudatosság és képzés

2015. július 1.

3.1.7.1.

Képzési eljárásrend

2015. július 1.

3.1.7.2.

Biztonság tudatosság képzés

2015. július 1.

 

A határidők értelmezésénél azt gondolhatnánk, hogy valamennyi követelményt egységesen 2015. július 1-jéig kell teljesíteni, azonban nem szabad figyelmen kívül hagyni az adatszolgáltatási vhr[1] 11. §-ának előírásait, mely szerint

az elektronikus információs rendszerek biztonságáért felelős személy adatait és a szervezet informatikai biztonsági szabályzatát

2014. február 3-ig

kellett bejelenteni a Hatóság részére.

Az Ibtv. már a fentiekben idézett 7. §-ának (1) bekezdése alapján

a biztonsági osztályba sorolást

2014. július 1-jéig

el kellett végezni és annak eredményét szintén be kellett jelenteni a Hatóság részére.

1-es biztonsági szintre előírt adminisztratív követelmények értelmezése

Jelen fejezetben végigveszem az 1-es biztonsági szintre vonatkozó főbb követelményeket és megpróbálom a Kedves Olvasó számára is érthető módon összefoglalni a lényegét.

Szervezeti szintű alapfeladatok

Informatikai Biztonságpolitika (IBP), Informatikai Biztonsági Stratégia (IBS), Informatikai Biztonsági Szabályzat (IBSZ)

Jelen dokumentumok alkotják a szervezet információbiztonsági irányítási rendszerének törzsét. Az IBP-ben rögzíteni kell az információbiztonsággal szemben támasztott főbb követelményeket és a szervezet vezetőjének ki kell fejeznie elkötelezettségét az információbiztonság szervezeten belüli megteremtéséért és fenntartásáért. Az IBS-ben kell meghatározni az IBP-ben lefektetett célok eléréséhez szükséges intézkedéseket, az IBSZ-ben pedig legalább a következő területeket kell szabályozni:

  •          kockázatelemzés;
  •          biztonsági helyzet-, és eseményértékelés eljárási rendje;
  •          az elektronikus információs rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzés (amennyiben az érintett szervezet ilyet végez, vagy végezhet);
  •          biztonsággal kapcsolatos tervezés (például: beszerzés, fejlesztés, eljárásrendek kialakítását);
  •          fizikai és környezeti védelem szabályai, jellemzői;
  •          az emberi erőforrásokban rejlő veszélyek megakadályozása (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.);
  •          az informatikai biztonság tudatosítására irányuló tevékenység és képzés az érintett szervezet összes közszolgálati, vagy munkavégzésre irányuló egyéb jogviszonyban álló alkalmazottainak, munkavállalóinak, megbízottjainak tekintetében;
  •          az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatok, elvárások, jogok (amennyiben az érintett szervezetnél ez értelmezhető);
  •          üzlet-, ügy- vagy üzemmenet folytonosság tervezése (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.);
  •          az elektronikus információs rendszerek karbantartásának rendje;
  •          az adathordozók fizikai és logikai védelmének szabályozása;
  •          az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárás, és a hozzáférési szabályok betartásának ellenőrzése;
  •          amennyiben az érintett szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelése, az értékelés eredményétől függő eljárások meghatározása;
  •          az adatok mentésének, archiválásának rendje,
  •          a biztonsági események – ideértve az adatok sérülését is – bekövetkeztekor követendő eljárás, ideértve a helyreállítást;
  •          az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét szabályozó (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az elektronikus információbiztonságot érintő, szerződéskötés során érvényesítendő követelmények.
  •          Az informatikai biztonsági szabályzat tartalmazza az érintett szervezet elvárt biztonsági szintjét, valamint az érintett szervezet egyes elektronikus információs rendszereinek elvárt biztonsági osztályát.

Az elektronikus információs rendszerek biztonságáért felelős személy (IBF)

Minden szervezetnél legkésőbb 2014. február 3-ig ki kellett jelölni egy IBF-et, aki megfelel az Ibtv. és a képzési rendelet[2] által előírt képzési, szakképzettségi, illetve gyakorlati követelményeknek.

A képzési rendelet alapján az IBF feladatait elláthatja mind belső, mind külső személy, illetve partner.

Az elektronikus információs rendszerek nyilvántartása

Valamennyi elektronikus információs rendszerről nyilvántartást kell készíteni, mely minimálisan a következő adatokat kell, hogy tartalmazza:

  •          annak alapfeladatait;
  •          a rendszerek által biztosítandó szolgáltatásokat;
  •          az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szervezet kezelésében vannak);
  •          a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait;
  •          a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

A szervezeteknek ki kell dolgozniuk (praktikusan az IBSZ részeként) az engedélyezési eljárásokat valamennyi fizikai, emberi, fizikai és logikai erőforrásra, valamint eljárási és védelmi szintre és folyamatra.

Kockázatelemzés

Az információbiztonság megvalósításának és fenntartásának fontos eleme a rendszeres kockázatelemzés. A kockázatelemzés során azonosítjuk a szervezetre és a szervezet információs vagyonára ható fenyegetettségeket, megbecsüljük azok bekövetkezési valószínűségét és az okozott kárt.

Kockázatelemzési eljárásrend

A kockázatelemzési eljárásrendben rögzíteni kell a kockázatelemzési módszertant, valamint a kockázatok kezelésének módszereit. Ki kell dolgozni a valószínűségek és a kárértékek skáláit, a kockázati és a toleranciamátrixokat.

Rögzíteni kell továbbá, hogy a szervezet hogyan, milyen módszerekkel kezeli a kockázatelemzés során azonosított kezelendő kockázatokat.

Biztonsági osztályba sorolás

Az elektronikus információs rendszerek biztonsági osztályba sorolását a technológiai vhr alapján javasolt elvégezni, melynek eredményét rögzíteni kell az IBSZ-ben.

Kockázatelemzés

A kockázatelemzési eljárásrendben vagy az IBSZ-ben meghatározott gyakorisággal, dokumentált módon el kell végezni a kockázatelemzést és meg kell ismertetni az eredményét az érintettekkel.

Emberi tényezőket figyelembe vevő – személy – biztonság

1-es biztonsági szinten a személyi biztonság területén a jogviszony megszűnésekor szükséges intézkedéseket, valamint a szabályok megsértésével szembeni fegyelmi intézkedéseket szükséges szabályozni.

Tudatosság és képzés

Az Ibtv. kiemelt területként kezeli az információbiztonság oktatásának területét. Többek között emiatt is külön képzési rendelet foglalkozik a szervezet vezetőjének, az IBF és az elektronikus információs rendszerek biztonságával összefüggő feladatok ellátásában részt vevő személyek képzésével és továbbképzésével.

A képzésekről bővebben a http://vtki.uni-nke.hu/tovabbkepzes/elektronikus-informaciobiztonsagi-kepzesek oldalon olvashatnak.

Biztonság tudatosság képzés

A szervezet vezetőjének gondoskodnia kell arról, hogy a munkatársai és saját maga információbiztonsági tudatosságát megteremtse és szinten tartsa.

Ennek érdekében belső információbiztonsági oktatásokat kell szervezni, melyben minimálisan a következő területekre érdemes fókuszálni:

  •          Információbiztonság fogalomrendszere
  •          Információbiztonsági fenyegetettségek
  •          Fenyegetettségek elleni védekezés lehetőségei felhasználói oldalon
  •          Munkavégzés szabályai

Összefoglalás

Cikkemben felhívtam a Kedves Olvasó figyelmét a 2014. szeptember 28-ai hatósági adatszolgáltatás határidejére (cselekvési tervek bejelentése), valamint összefoglaltam és röviden értelmeztem a 2015. július 1-jéig teljesítendő, az 1-es biztonsági szintre vonatkozó adminisztratív védelmi intézkedéseket.

A fentiekből látható, hogy valóban szükséges és indokolt az Ibtv. által biztosított felkészülési idő, javasolt az intézkedések kivitelezésének időben történő megkezdése.

 

Misák István

információbiztonsági tanácsadó

http://misec.hu

 

 

[1] 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről

[2] 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról

Szólj hozzá!

A bejegyzés trackback címe:

http://informaciobiztonsagitv.blog.hu/api/trackback/id/tr136710691

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.
Információbiztonság állami és önkormányzati szervek részére