Blog

Információbiztonsági törvény – az S&T tapasztalatai

Az egykori, egyik legszigorúbban ellenőrzött és így talán legismertebb, informatikai rendszerek védelméről szóló szabályozás, a hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény sokáig „13/B”, később „13/C”, paragrafusa óta sokat változott a jogi környezet, a jogalkotó egyre pontosabban rendszerezett leírásokkal segíti a megfelelésért fáradozók munkáját.

Bővült a hasonló követelményeknek eleget tenni kötelezettek köre is, a napjainkban (2017. március) érvényes 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (gyakran említik még mint információbiztonsági törvényt, esetleg „ibtv” is) vonatkozik a

  • helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira,
  • hatósági igazgatási társulásokra,
  • fővárosi és megyei kormányhivatalokra,
  • Magyar Honvédségre,
  • Köztársasági Elnöki Hivatalra,
  • Országgyűlés Hivatalára,
  • Alkotmánybíróság Hivatalára,
  • Országos Bírósági Hivatalra és a bíróságokra, ügyészségekre,
  • Alapvető Jogok Biztosának Hivatalára,
  • Állami Számvevőszékre,
  • Magyar Nemzeti Bankra (lsd. még 2013. évi CXXXIX. törvény a Magyar Nemzeti Bankról),
  • központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével)

és a fentiek számára adatkezelést végzőkre is, így magáncégek, közműszolgáltatók, de egészségügyi intézmények is érintettek lehetnek.

Mindezt a lenti, kapcsolódó jogszabályok és rendeletek, teljesség igénye nélküli felsorolása is jól szemlélteti:

  • 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről
  • 42/2015. (III. 12.) Korm. Rendelet a
    • pénzügyi intézmények, a
    • biztosítók és a
    • viszontbiztosítók, továbbá a
    • befektetési vállalkozások és az
    • árutőzsdei szolgáltatók

informatikai rendszerének védelméről

  • a jelenleg hatályos
    • Hpt. (hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény),
    • Fsztv. (az egyes fizetési szolgáltatókról szóló 2013. évi CCXXXV. törvény), úgy mint pénzforgalmi intézményre, elektronikuspénz-kibocsátó intézményre és a Posta Elszámoló Központot működtető intézmény pénzforgalmi szolgáltatási és elektronikus pénzkibocsátási tevékenységére
    • Bit. (a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény)
    • Bszt. (a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény)

vonatkozó paragrafusai, úgy, mint

    • Hpt. 67/A. §
    • Fsztv. 12/A. §
    • Bit. 94. §
    • Bszt. 12. §
  • stb. is.

Fentiek értelmében az érintett szervezeteknél az elektronikus információs rendszerek teljes életciklusában biztosítani kell a kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását és azok teljes körű, folytonos és kockázatokkal arányos védelmét.

Túlzás nélkül elmondható, hogy a korunkra jellemző információbiztonsági fenyegetettség, kitettség okán bármely szervezet, intézmény, vállalkozás jól felfogott érdeke komolyan venni a fentiek által szabályozott szempontokat még akkor is, ha elsődlegesen nem őrá vonatkoznak. Ebben nagy segítségére lehetnek akár az említett jogszabályok, akár a COBIT 5 keretrendszer, de talán a legcélravezetőbb az informatikai biztonsági irányítási rendszerekre vonatkozó nemzetközi szabvány követése, betartása – lsd. még MSZ ISO/IEC 27001:2014-et is.

Hasonló megfontolásból kezdeményezte cégünkkel való együttműködésének bővítését az egyik legnagyobb hazai élelmiszeripari szereplő is, az informatikai rendszerek biztonsági osztályba sorolása, rés elemzés (gap analízis) és IT biztonsági cselekvési stratégia kidolgozása céljából. Az S&T munkatársai megvizsgálták a használatban levő, a cég üzletmenete szempontjából kritikusnak számító elektronikus információ-feldolgozó rendszereket (alkalmazásokat) és ellenőrizték a jogszabályokhoz kapcsolódó végrehajtási rendeletben az információbiztonságra vonatkozó követelmények teljesülését, a szükséges intézkedések meglétét. A gap analízis a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) által a szervezetek aktuális állapotának felméréséhez javasolt táblázat segítségével készült el. A szervezetre, illetve a rendszerekre vonatkozó információkat személyes interjúkon keresztül a vizsgált cég informatikai területének képviselői nyújtották az egyes kontroll területek állapotáról, a technológiai megvalósításokról, a bevezetett intézkedésekről, a meglevő dokumentációról, illetve a mindennapi gyakorlatról.

A kritikus informatikai infrastruktúrák folyamatos üzemeltetési követelménye miatt a 2013. évi L. törvény és a kapcsolódó 41/2015 BM rendelet voltak iránymutatók. Ezek alapján történt az informatikai rendszerek biztonsági osztályba sorolása, melyről külön jelentés készült a jogszabályi követelmények tükrében.

Hasonlóan történt a kötelező és a felülvizsgálatkor nem teljesülő követelmények, szervezeti oldali és informatikai rendszer oldali feladatok sorba rendezése a jogszabály által előírt biztonsági szint és a kapcsolódó megvalósítási idejük szerint, ezek alapján készült javasolt cselekvési terv rövid- (1 éven belüli), közép- (2-3 éven belüli) és hosszú (3-5 éven belüli) távokra.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Kis-Szabó András Riasztó és megfigyelő rendszerek, beágyazott rendszerek, IOT

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.