Információbiztonság állami és önkormányzati szervek részére

2016. október 01. 09:57 - misec

Az önkormányzati ASP rendszerhez csatlakozás információbiztonsági követelményeiről

Az önkormányzati ASP rendszerhez csatlakozás információbiztonsági követelményeiről

 

Jelen cikkemben összefoglalást szeretnék adni a napjainkban hatályba lépő, az önkormányzati ASP központhoz történő csatlakozási határidőket előíró Korm. rendeletről, mely előírja, hogy csak az az önkormányzat csatlakozhat az ASP rendszerhez, mely teljesíti az információbiztonsági törvényben foglaltakat, valamint szeretném ismertetni a csatlakozással összefüggő, frissen megjelent pályázati lehetőségeket.

Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény 114. §-a előírja az önkormányzatok részére, hogy csatlakozniuk kell az állam által működtetett önkormányzati ASP rendszerhez.

2016. szeptember 3-án hatályba lépett a részletszabályokat tartalmazó, az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet (továbbiakban: R.).

Az R hatályon kívül helyezte az önkormányzati ASP központról és a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet módosításáról szóló 62/2015. (III. 24.) Korm. rendeletet.

Alapfogalmak

Az R elsőként megfogalmazza az önkormányzati ASP rendszer (továbbiakban: ASP) fogalmát:

önkormányzati ASP rendszer: a Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény (a továbbiakban: Mötv.) 114. § (2) bekezdése szerinti, a helyi önkormányzatok feladatellátását támogató, számítástechnikai hálózaton keresztül távoli alkalmazásszolgáltatást (Application Service Provider, ASP) nyújtó elektronikus információs rendszer

Az R az ASP működtetőjének a Magyar Államkincstárat, a Nemzeti Infokommunikációs Szolgáltató Zrt.-t és az IdomSoft Zrt.-t jelölte ki.

Az ASP a következő szakrendszereket foglalja magába:

  1. iratkezelő rendszer,
  2. önkormányzati települési portál rendszer,
  3. az elektronikus ügyintézési portál rendszer, ideértve az elektronikus űrlap-szolgáltatást,
  4. gazdálkodási rendszer,
  5. ingatlanvagyon-kataszter rendszer,
  6. önkormányzati adórendszer,
  7. ipar- és kereskedelmi rendszer,
  8. hagyatéki leltár rendszer.

Határidők

Az R 4. számú mellékletében meghatározott önkormányzatok az ASP rendszer gazdálkodási rendszeréhez és önkormányzati adórendszeréhez csatlakoznak.

2017. október 1-ig az önkormányzati adórendszerhez csatlakozik valamennyi helyi önkormányzat.

2018. január 1-jéig az önkormányzati ASP rendszer valamennyi szakrendszeréhez csatlakozik – interfészes csatlakozás esetén a 3. melléklet szerinti adatok teljes körének átadhatóságát biztosítja – az összes helyi önkormányzat.

Informatikai és információbiztonsági követelmények

Az R előírja, hogy csak az az önkormányzat csatlakozhat az ASP rendszerhez, amely teljesíti az R-ben megfogalmazott informatikai és információbiztonsági követelményeket:

Informatikai követelmények

Az R 2. számú mellékletében megfogalmazták a kliens oldali minimum hardver- és szoftver követelményeket.

Szoftver oldalról gyártó által támogatott operációs rendszerek (pl.: Microsoft Windows XP már nem!) és irodai programcsomagok (Microsoft Office 2003 már nem!), tűzfal és vírusvédelem.

Hardver oldalról a fenti szoftverek futtatni képes munkaállomások és laptopok.

Információbiztonsági követelmények

Információbiztonsági oldalról követelményként írja elő az R, hogy meg kell felelni az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvénynek és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet előírásainak.

Csatlakozás módjai

Az ASP rendszerhez interfészes vagy rendszercsatlakozás útján csatlakozhat egy önkormányzat.

Rendszercsatlakozás:

Rendszercsatlakozás esetén a fent felsorolt szakrendszereit megszünteti az önkormányzat és az azokban kezelt adatokat migrálás (adatok előkészítése egyik rendszerből a másikba történő átemelésre) után átadja az ASP rendszer üzemeltetőjének, aki betölti az ASP rendszer egyes szakrendszereibe azokat.

Ezek után az önkormányzat ezeket a szakrendszereket távoli hozzáféréssel érheti el.

Interfészes mód:

Ebben az esetben marad helyben a szakrendszer a helyi önkormányzatnál, de saját költségen kifejlesztet – a Kincstár által megfogalmazott informatikai specifikáció alapján - egy interfészt (automata kapcsolódást) az ASP rendszer irányába, hogy az előírt adatok automatikusan átadásra kerüljenek az ASP rendszerben található önkormányzati adattárház részére.

Az átadandó adatokat az R 3. sz. melléklete határozza meg.

Pályázati lehetőségek

Az R hatályba lépésével párhuzamosan meghirdették a „KÖFOP-1.2.1-VEKOP-16 Csatlakoztatási konstrukció az önkormányzati ASP rendszer országos kiterjesztéséhez” elnevezésű pályázatot, mely lehetőséget biztosít az önkormányzatok számára, hogy az R-ben megfogalmazott informatikai és információbiztonsági követelményeknek való megfelelés költségeit a pályázat forrásaiból valósítsák meg.

A projekt során a következő szakmai tevékenységek számolhatók el:

  1. Eszközök (szoftverrel együtt) beszerzése
  2. Működésfejlesztés és szabályozási keretek kialakítása
  3. Önkormányzatok elektronikus ügyintézéséhez kapcsolódó feltételek kialakítása
  4. Önkormányzati szakrendszerek adatminőségének javítása, migrációja
  5. Oktatásokon történő részvételhez kapcsolódó utazás
  6. Tesztelés, élesítés

A pályázatra mindösszesen 8,5 milliárd forint áll a rendelkezésre, a következő megoszlás szerint:

 

A költségek 100%-a számolható el, a pályázat benyújtási határideje a 2017. január 1-ig csatlakozásra kötelezett önkormányzatok részére 2016. szeptember 30., a többi önkormányzat részére 2017. február 28.

A pályázat részletei a következő honlapon olvashatóak:

https://www.palyazat.gov.hu/kfop-121-vekop-16-csatlakoztatsi-konstrukci-az-nkormnyzati-asp-rendszer-orszgos-kiterjesztshez

Információbiztonsági követelmények részletesen

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény lehetővé teszi a hatálya alá tarozó szervezetek részére a fokozatos felkészülést, azaz nem kell rögtön valamennyi előírásnak megfelelni, hanem lehetőség nyílik az elérendő biztonsági osztályokhoz és biztonsági szintekhez előírt védelmi intézkedéseket fokozatosan, 2-évente egy-egy osztályt, illetve szintet lépve teljesíteni.

Az Ibtv. hatályba lépésétől - 2013. július 1-jétől - számítva 1 év állt a rendelkezésre az elektronikus információs rendszerek biztonsági osztályba sorolására, majd ettől számítva kell egy-egy osztályt lépve elérni a kívánt biztonsági osztályokhoz előírt védelmi előírásokat.

A fentiek alapján 2016. július 1-jéig az 1-es biztonsági osztályhoz előírt követelmények teljesítésére volt szükség.

Az 1-es biztonsági osztályhoz csak adminisztratív védelmi intézkedések tartoznak, mivel a fizikai és a logikai védelmi követelmények csak a 2-es biztonsági osztálytól kezdve jelennek meg.

Az 1-es biztonsági osztály adminisztratív követelményei a következők:

Adminisztratív védelmi intézkedések

Sorszám

Intézkedés típusa

3.1.1.

Szervezeti szintű alapfeladatok

3.1.1.1.

Informatikai biztonsági szabályzat

3.1.1.2.

Az elektronikus információs rendszerek biztonságáért felelős személy

3.1.1.4.

Az elektronikus információs rendszerek nyilvántartása

3.1.1.5.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

3.1.2.

Kockázatelemzés

3.1.2.1.

Kockázatelemzési és kockázatkezelési eljárásrend

3.1.2.2.

Biztonsági osztályba sorolás

3.1.2.3.

Kockázatelemzés

3.1.6.

Emberi tényezőket figyelembe vevő - személy - biztonság

3.1.6.4.

Eljárás a jogviszony megszűnésekor

3.1.6.7.

Fegyelmi intézkedések

3.1.6.9.

Viselkedési szabályok az interneten

3.1.7.

Tudatosság és képzés

3.1.7.2.

Képzési eljárásrend

3.1.7.3.

Biztonság tudatosság képzés

 

Az 1-es biztonsági osztályhoz tartozó adminisztratív védelmi intézkedéseket röviden összefoglalva:

  • a csatlakozandó hivatalnak rendelkeznie kell egy a jogszabályoknak megfelelő Informatikai Biztonsági Szabályzattal,
  • ki kellett jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt,
  • el kellett végeznie az elektronikus információs rendszerek biztonsági osztályba sorolását és kockázatelemzését,
  • szabályoznia kellett a személyi biztonságát és
  • oktatnia kellett a felhasználóit biztonságtudatosság szempontjából.

A fenti követelményeknek való megfelelést vélhetően a jogszabályban kijelölt Nemzeti Elektronikus Információbiztonsági Hatóság fogja ellenőrizni a pályázni kívánó hivataloknál.

Összefoglalásul bízzunk abban, hogy – köszönhetően a pályázatnak - végre lehetősége nyílik azoknak az önkormányzatoknak is az információbiztonsági rendszerük kialakítására és fejlesztésére, melyeknek ezidáig forráshiány miatt az nem állt módukban.

  

Misák István

információbiztonsági tanácsadó

http://misec.hu

Szólj hozzá!
2016. február 03. 07:24 - misec

Biztonságtudatosság fokozó online tréning – NKE kreditpontokért

Jogszabályi előírás: Az állami és az önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdésének g) pontja értelmében a szervezet vezetőjének gondoskodnia kell az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai információbiztonsági ismereteinek (biztonságtudatosság) szinten tartásáról.

A követelménynek a technológiai végrehajtási rendelet alapján (41/2015. BM rendelet) – mivel már az I. biztonsági osztálytól kezdve ez kötelező – legkésőbb 2016. július 1-jéig kell eleget tenniük a szervezeteknek.

Újdonság!

A Nemzeti Közszolgálati Egyetem Probono portálján belső továbbképzésként (a közszolgálati tisztviselők továbbképzéséről szóló 273/2012. (IX. 28.) Korm. rendelet 15. §-a alapján) felvehető a tréningünk, így ez tervezhető az éves továbbképzés részeként és értékes kreditpontokhoz juthatnak a munkatársak. A Probono regisztrációhoz szükséges információkat a szerződéskötés után rendelkezésre bocsájtjuk.

Tudta, hogy a felhasználó a leggyengébb láncszem?

Az információbiztonsági tudatosságfokozó tréningünk kifejezetten az állami és önkormányzati szervek munkatársai számára készült. Csomagárainkat igyekeztünk úgy kialakítani, hogy valamennyi szervezet részére elérhető legyen. További esetleges kedvezményekért hívja munkatársunkat a +36-30-250-6352 telefonszámon.

Az első 10 megrendelő részére további 20% kedvezményt adunk.

Létszám Akciós ár
1-25 2000 Ft+Áfa/fő
26-49 1800 Ft+Áfa/fő
50-99 1600 Ft+Áfa/fő
100-199 1400 Ft+Áfa/fő
200-299 Egyedi ár

 1

A tananyag tartalma:

  • Fogalmak
    • Információbiztonság 1
    • Információbiztonság 2
  • Fenyegetések
    • Kártékony kódok
    • Spam
    • Trójai
    • Adathalászat
    • Féreg
    • Exploit
    • Adware
    • Spyware
    • Vírus
  • Védekezési lehetőségek
  • A nem megfelelő felhasználói viselkedés veszélyei, a felhasználói viselkedés szabályai
    • Felhasználó megtévesztése – socialenginering
    • Jelszavak kezelése
    • Jelszószabályok
  • Fizikai biztonság
    • Üres íróasztal, tiszta képernyő politika példa
  • Mobil eszközök
  • Internet, e-mail használat
  • Mit tegyünk, ha...

 Már több mint 30 szervezet 800 munkatársa elvégezte a tréningünket. Az Ön szervezete se maradjon le a biztonságtudatosság megteremtésében.2

A tréninget a szerződéskötéstől számított 1 hónapon keresztül elérhetővé tesszük a szervezete valamennyi munkatársa részére, így nagy rugalmasságot biztosítunk a tananyag elsajátításához. A tréning vizsgával zárul, melynek sikeres teljesítése esetén elektronikus oklevelet kapnak a munkatársak, melyet kinyomtatva és a személyi anyagukhoz lefűzve a Nemzeti Elektronikus Információbiztonsági Hatóság helyszíni ellenőrzése során igazolható, hogy a szervezet és annak vezetője gondoskodott a jogszabály által előírt felhasználói biztonságtudatosság fokozásáról és szinten tartásáról.

3

Ide kattintva kipróbálhatja demo tananyagunkat!

 

Rendelje meg online a képzést ide kattintva...

 A megrendelés után megküldjük Önnek a szerződéstervezetet és elérhetővé tesszük szervezete munkatársai részére a tréninget.

Szólj hozzá!
2016. január 17. 12:23 - misec

Frissítsd a böngésződet !

Lejárt a gyártói támogatás!

Az elmúlt években sorra szembesülünk azzal, hogy a Microsoft bizonyos termékeinek (pl.: Windows XP, Windows 2003 Server) gyártói támogatása lejárt.

A gyártói támogatás nagyon fontos, mivel az alkalmazások használata során különböző típusú segítséget kapunk a fejlesztő csapattól.

Információbiztonsági szempontból a biztonsági frissítések publikálása a legfontosabb, azaz amikor valaki egy biztonsági rést fedez fel valamelyik Microsoft alkalmazásban, akkor a Microsoft remélhetőleg záros határidőn belül kiadja a biztonsági rés befoltozására alkalmas biztonsági frissítést.

A két időszak között megjelenő kártékony kódot hívjuk nulladik napi kártékony kódnak és az ezzel a kóddal elkövetett támadást nulladik napi támadásnak.

 

A gyártói támogatást a Microsoft életciklus modellhez köti, melyről bővebben itt lehet olvasni.

Számunkra a kiterjesztett, meghosszabbított gyártói támogatás a lényeg, mivel ebben az időszakban még garantálja a Microsoft, hogy foltozza az alkalmazásaink biztonsági réseit.

https://support.microsoft.com/hu-hu/lifecycle/search#General Questions

A mostani cikkem lényege, hogy felhívjam a figyelmet arra, hogy a Microsoft 2016. január 12-én megszüntette az Internet Explorer böngésző gyártói támogatását azzal, hogy ettől az időponttól kezdve – bizonyos eseteket kivéve – csak a legfrissebb 11-es verziószámú böngészőt támogatja.

 

 https://support.microsoft.com/hu-hu/lifecycle#gp/Microsoft-Internet-Explorer

Információbiztonsági tanácsadóként az országot járva azt tapasztalom, hogy a vállalatok körében még a 2014. április 8-án lejárt támogatású Windows XP használata is jelentős, kérdésként merül fel bennem, hogy mikorra várható, hogy a Microsoft alkalmazásokat használó vállalatok, hivatalok esetében bevált gyakorlattá válik a Microsoft termékek életciklusának figyelemmel követése, és a szükséges intézkedések (frissítések) időben – lehetőleg a támogatás lejárta előtt – történő elvégzése.

A böngésző frissítése vállalati környezetben nem triviális dolog. Először is fel kell mérni azon web alkalmazások körét, melyek Internet Exploreren keresztül érhetők el, majd a web alkalmazás fejlesztőjével tesztelni kell az új verziót, mielőtt valamennyi böngészőt frissítenénk.

A frissítés elhagyásával magas kockázatnak tesszük ki a vállalati informatikai rendszereket, mivel a későbbiekben felfedezett biztonsági rések befoltozatlanok maradnak, ezáltal utat nyitva a biztonsági réseket kihasználó kártékony kódoknak, exploitoknak.

A kártékony kódok jelentős részre pont a web böngészők sérülékenységeit használja ki az interneten található fertőzött honlapok segítségével!

Sok vállalati IT vezető abban a tévhitben van, hogy elegendő a vírusvédelmi eszközök alkalmazása a kártékony kód általi fertőzés elkerülésére és a biztonsági frissítések telepítésére csak, mint egy „plusz kiegészítő szolgáltatás” tekint.

Sajnos a helyzet nem ennyire egyszerű, mivel egyrészt a vírusirtók alapvetően szignatúra alapon működnek, ezért mindig csak az adatbázisukban lévő vírusmintákat ismerik, másrészt vannak olyan exploit-ok, melyeket egész egyszerűen nem észlel a vírusirtó.

Összefoglalásul minden vállalatra jelentős teher hárul az Internet Explorer legfrissebb verzióra történő átállásával kapcsolatban, ráadásul ez a feladat nem tűr halasztást, mivel a fentiek miatt a vállalatok informatikai rendszereinek és az azokban kezelt adatoknak kitettsége jelentős.

Természetesen a különböző termékek életciklusának követése és a kiadott biztonsági frissítések záros határidőn belüli telepítése mellett számos más védelmi intézkedés  létezik a kitettség csökkentése érdekében, azonban ezek taglalása meghaladja a jelen cikk hatókörét.

Szólj hozzá!
2015. július 20. 18:14 - misec

Módosították az információbiztonsági törvényt - első benyomások

Az Országgyűlés az elmúlt két év tapasztalatai alapján felülvizsgálta az információbiztonsági törvényt.

Az Országgyűlés az e-kártya megvalósításához szükséges egyes törvények, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény módosításáról szóló 2015. évi CXXX. törvény elfogadásával módosította az információbiztonsági törvényt.

A módosítások 2015. július 16-án léptek hatályba.

Az információbiztonsági törvény felülvizsgálatával párhuzamosan a Kormány, valamint a Belügyminisztérium elvégezte a végrehajtási rendeletek felülvizsgálatát is.

Ennek eredményeként a következő új jogszabályok léptek hatályba:

  • 187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról
  • 185/2015. (VII. 13.) Korm. rendelet a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól
  • 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről
  • 42/2015. (VII. 15.) BM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének rendjéről

A fentiekkel párhuzamosan a következő jogszabályokat helyezték hatályon kívül:

  • 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről
  • 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
  • 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről
  • 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről

Szervezeti változások

A 2014-es kormányzati átalakítás eredményeként már a korábbiakban a Belügyminisztériumhoz került a Nemzeti Biztonsági Felügyelet (korábbiakban: KIM), valamint a Nemzeti Elektronikus Információbiztonsági Hatóság (korábbiakban: NFM, továbbiakban: NEIH).

Az információbiztonsági törvény és annak végrehajtási rendeleteinek módosításával a Nemzeti Biztonsági Felügyelet sérülékenységvizsgálati szakhatósági feladatköre megszűnt, azt a Nemzetbiztonsági Szakszolgálat vette át.

A NEIH 2015. január 1-jétől a Belügyminisztérium főosztályaként tevékenykedett. Ezt a feladatkört mostantól szintén a Nemzetbiztonsági Szakszolgálat veszi át.

Hatósági adatszolgáltatás változása

A korábbiakban lehetősége volt a szervezetnek az Ibtv. 15. § (3) bekezdése szerinti adatokat ÁNYK űrlapon, elektronikusan aláírt elektronikus levélben, vagy postai úton is megküldeni a hatóság részére.

Az új szabályozás (42/2015. BM rendelet) szerint erre kizárólag elektronikus űrlap szolgáltatás igénybevételével a hatóság elektronikus adatbejelentési felületén kerülhet sor.

Fontos változás, hogy idáig az Ibtv. 15. § (1) bekezdése szerinti, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatainak megküldésére vonatkozóan nem volt kötelezően meghatározott formai és tartalmi követelmény (a hatóság segédletet tett közzé a honlapján), mostantól ezeket az adatokat a hatóság által meghatározott formában kell megküldeni.

Változtatták a szervezeti regisztrációját is. Az új szabály szerint elsőként a szervezet regisztrálja be az elektronikus információs rendszerek biztonságáért felelős személyt (továbbiakban: IBF), majd az IBF jelenti be a szervezetet.

A szervezet vezetőjének a feladata, hogy az így kapott regisztrációs űrlap hitelesített példányát biztonságos elektronikus kézbesítési szolgáltatás útján, vagy postai úton megküldje a hatóság számára.

Az új rendelet hatályba lépése előtt regisztrált szervezeteknek nem kell újra regisztrálniuk magukat. Az interneten fellelhető nem hivatalos információk szerint a mintegy 5000 érintett szervezet közül nagyságrendileg 1000 tett eleget a bejelentési kötelezettségének.

Biztonsági osztályba sorolás, biztonsági szintbe sorolás követelményeinek változása

Fontos megemlíteni, hogy megváltozott a szervezetek biztonsági szintbe sorolásának a módja.

A törvény alapján valamennyi hatálya alá tartozó szervezetnek biztonsági szintbe kell sorolnia szervezetét és a megállapított biztonsági szinttől függően adminisztratív és fizikai védelmi intézkedéseket kell bevezetnie.

 A korábbiakban az Ibtv. definiálta az egyes szervezetek minimális biztonsági szintjét, valamint azt, hogy legalább a legmagasabb biztonsági osztályba sorolt elektronikus információs rendszerével azonos biztonsági szinttel kellett, hogy megegyezzen.

A módosítást követően a fenti módszertant megszűntették, mostantól az elektronikus információs rendszerek felhasználásának a módja határozza meg egy szervezet biztonsági szintjét.

Változás továbbá, hogy az új szabály szerint nem csak a szervezetet, hanem a következő szervezeti egységeket is biztonsági szintbe kell sorolni:

Az elektronikus információs rendszer

a) fejlesztését végző,

b) üzemeltetését végző,

c) üzemeltetéséért felelős vagy

d) információbiztonságáért felelős szervezeti egységek.

A besorolási útmutatót a technológiai vhr tartalmazza.

Ennek alapján 2-es a biztonsági szintje a szervezetnek, amely személyes adatokat kezel, és a szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe.

Jogszabály alapján kijelölt szolgáltató lehet a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet alapján a Nemzeti Infokommunikációs Szolgáltató Zrt. (továbbiakban: NISZ) vagy az önkormányzati ASP központról és a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet módosításáról szóló 62/2015. (III. 24.) Korm. rendelet alapján szintén a NISZ, illetve a Magyar Államkincstár.

3-as a biztonsági szintje annak a szervezetnek, amely a szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.

Az Ibtv. alapján kritikus adat: az Infotv. szerinti személyes adat, különleges adat vagy valamely jogszabállyal védett adat.

Az Info tv. szerint különleges adat

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

Jogszabály által védett adat lehet az adótitok, az üzleti titok, a orvosi, ügyvédi, biztosítási, banktitok stb.

4-es a szervezet biztonsági szintje, ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt.

Az Ibtv. alapján zártcélú elektronikus információs rendszer a nemzetbiztonsági, honvédelmi, rendészeti, diplomáciai információs feladatok ellátását biztosító, rendeltetése szerint elkülönült elektronikus információs rendszer, amely kizárólagosan a speciális igények kielégítését, az e célra létrehozott szervezet és technika működését szolgálja.

5-ös biztonsági szintbe kell sorolni azokat a szervezeteket, amelyek a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.

Az európai létfontosságú rendszerelemekkel és a nemzeti létfontosságú rendszerelemekkel a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény foglalkozik.

Az új módszertan alapján javasolt minden szervezet részére a biztonsági szintjének felülvizsgálata, mivel más szempontrendszer alapján végzett vizsgálat vélhetően más eredményt ad.

A fentiek alapján megállapítható, hogy az a szervezet, amely központi szolgáltatótól veszi igénybe az elektronikus információs rendszerek szolgáltatásait annak alacsonyabb lesz a biztonsági szintje, mint annak, aki önállóan üzemelteti azokat.

Hogy a fenti megoldás mennyire lesz hatékony, azt csak az elkövetkező évek tapasztalatai fogják tudni megmondani.

 

További információk honlapunkon.

Szólj hozzá!
2014. szeptember 19. 07:57 - misec

ÚJABB HATÁRIDŐK AZ INFORMÁCIÓBIZTONSÁGI TÖRVÉNY ELŐÍRÁSAI ALAPJÁN

Korábbi cikkeimben már ismertettem az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) által előírt feladatokat.

Jelenlegi cikkemben ismételten fel szeretném hívni a Kedves Olvasó figyelmét a még ez évi határidős feladatokra, illetve a közeljövőben teljesítendő előírásokra, melyek közül néhányat részletesen be is mutatok.

Cselekvési tervek készítése és a Hatósági részére történő megküldése 2014. szeptember 28-ig

Az Ibtv. 7. §-ának (1) bekezdése alapján – legkésőbb 2014. július 1-ig – valamennyi érintett szervezetnek el kellett végeznie az elektronikus információs rendszereinek biztonsági osztályba sorolását.

Az Ibtv. 8. §-ának (4) bekezdése előírja, hogy meg kell vizsgálni a biztonsági osztályba sorolt elektronikus információs rendszereket, hogy jelenleg mely biztonsági osztály előírásainak felelnek meg, majd az (5) bekezdés alapján 90 napon belül cselekvési tervet kell készíteni a hiányosságok pótlására.

A vizsgálatot és a cselekvési tervet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben (továbbiakban: technológiai vhr) foglalt követelmények alapján kell elvégezni, illetve elkészíteni.

Tovább
Szólj hozzá!
2014. szeptember 12. 17:25 - misec

Üres íróasztal - tiszta képernyő "politika"

Mit is jelent ez a bűvös fogalom?

Információbiztonsági szempontból védeni kell a szervezet információs vagyonát, azaz akár a számítógépen tárolt elektronikus adatokat, akár a munkatárs íróasztalán elhelyezett érzékeny, papír alapú információkat.

üres iróasztal.jpg

Ennek érdekében a napi munkavégzés során gondoskodnunk kell a következőkről:

  • a monitorok elhelyezésekor törekedni kell az azokra való minél kisebb rálátás biztosítására, hogy a képernyők tartalma ne legyen olvasható az alkalmilag arra haladó személyek számára, és semmiképpen se legyen látható az épületen kívülről (ha monitor elhelyezéssel nem biztosítható, akkor sötétítő függöny használatával);
  • a felhasználó a számítógépét zárolni köteles (a Ctrl +Alt +Del billentyűk, majd a Zárolás gomb lenyomásával), ha azt rövidebb időre őrizetlenül hagyja;
  • hosszabb idejű távollét esetén a számítógépből ki kell jelentkezni, illetve ki kell azt kapcsolni;
  • a munkafázis végeztével ki kell jelentkezni az alkalmazásokból, majd leállítani a számítógépet;
  • munkavégzés után minden érzékeny információt tartalmazó anyagot (papír alapú anyagokat, valamint elektronikus adathordozókat) el kell tenni az asztalokról, és zárható irodabútorban kell tárolni;
  • gondoskodni kell arról, hogy a nyomtatókból, faxokból, fénymásolóból kijövő dokumentumokhoz illetéktelenek ne férjenek hozzá;
  • ügyelni kell arra, hogy érzékeny információt tartalmazó dokumentumot ne felejtsünk a fénymásolóban;
  • az iroda elhagyásakor az irodaajtót kulccsal zárjuk;
  • ügyfelet ne hagyjuk felügyelet nélkül az irodában.
Szólj hozzá!
2014. szeptember 12. 17:07 - misec

Biztonsági osztályba sorolás

Információbiztonsági törvény szerinti hatósági adatszolgáltatás

Biztonsági osztályba sorolás

 

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) 7. §-ának (1) és 9. §-ának (1) bekezdései alapján biztonsági osztályba kell sorolni a szervezet elektronikus információs rendszereit és meg kell állapítani a szervezet biztonsági szintjét.

Az Ibtv. 8. §-ának (5) és 10. §-ának (2) bekezdéseinek megfelelően a szervezetnek meg kell vizsgálnia hogy az elektronikus információs rendszerei, illetve a szervezetének biztonsági szintje jelenleg melyik osztályoknak, illetve szintnek felelnek meg és a hiányosságok pótlására 90 napon belül cselekvési terveket kell készíteni.

 

Figyelem!

Hatósági adatszolgáltatási határidő a fentiek alapján: 2014. szeptember 28.

 További információk honlapunkon.

Szólj hozzá!
2014. szeptember 12. 11:40 - misec

Köszöntő!

Kedves Olvasó!

 

Köszöntelek az információbiztonsági blogomon.

A blog célja, hogy az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben és annak végrehajtási rendeleteiben foglalt követelményekkel megismertesselek.

Haszon lehet neked ez az oldal, akkor, hogy ha valamelyik állami vagy önkormányzati szerv vezetője vagy, illetve hogy ezen szervek informatikai területén dolgozol és érintett vagy az információbiztonság megteremtésében és fenntartásában.

Természetesen a blog az érintett szervek információbiztonsági felelőseinek is szól.

 

Jó olvasást kívánok!

Misák István

misec.hu

 

 

Szólj hozzá!
Információbiztonság állami és önkormányzati szervek részére