Jogalkotási előzmények

Átírás

1 Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Bodó Attila Pál főosztályvezető-helyettes - KIM Kormányiroda Nemzeti Közszolgálati Egyetem

2 Jogalkotási előzmények Magyary Zoltán Közigazgatás-fejlesztési Program. A kormányzati stratégiai irányításról szóló 38/2012. (III. 12.) Korm. rendelet. Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Korm. határozat (kiberbiztonság). Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III.21.) Korm. határozat, amely elemzi Magyarország jelenlegi kiberbiztonsági helyzetét, jövőképét, megnevezi az elérendő célokat és az alkalmazandó eszközöket. Kormány munkaterve / munkacsoport KIM vezetéssel. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény.

3 Az Ibtv. alapelvei Cél: az állami és önkormányzati szervek elektronikus információs rendszereiben tárolt, kezelt információk védelme, a megelőzés és a tudatosságnövelés, a biztonsági események bekövetkezése esetén a felmerült problémák tudatos kezelése. Alapvetés: az elektronikus információs rendszer minden elemére kiterjedő védelem. Kockázatokkal arányos védelem: ahol a védelmi intézkedésekre fordított költségek arányosak a fenyegetések által okozható károkkal. Védelmi feladatok: megelőzés, korai figyelmeztetés, észlelés, reagálás és eseménykezelés. Védelmi formák: adminisztratív, fizikai, logikai védelem.

4 Az Ibtv. hatálya Tárgyi hatály rögzíti, hogy mit kell a törvény alkalmazása során elektronikus információs rendszernek tekinteni: az adatok, információk kezelésére használt eszközök, eljárások, valamint az ezeket kezelő személyek együttesét, az azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön, egymással összefüggő eljárásokkal azonos célból kezelt, kiszolgált, illetve felhasznált adatok, az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és felhasználó személyek együttesét. Személyi hatály az államszervezet működésének fenntartása szempontjából kiemelt jelentőséggel rendelkező, valamint a nemzeti adatvagyon kezelését ellátó szervezetekre terjed ki..

5 Az Ibtv. hatálya Kivételek: Kormány, kormánybizottságok, önkormányzatok képviselő testületei és annak bizottságai, önkormányzati közgyűlés. Az Ibtv. hatálya kiterjed továbbá: - a személyi hatály alá tartozó szervek és a számukra adatkezelést végző szervek elektronikus információs rendszereinek védelmére; - a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói elektronikus információs rendszereinek védelmére; - az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemekre.

6 Az Ibtv. hatálya Területi hatály: - a személyi hatály alá tartozó szervek és a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói az általuk kezelt, a nemzeti adatvagyon részét képező adatokat csak Magyarország területén üzemeltetett elektronikus információs rendszerekben, valamint diplomáciai információs célokra használt zárt célú elektronikus információs rendszerben kezelhetik - kivétel a Magyar Honvédség; - nemzetközi szerződés vagy NEIH engedélyével biztosított az EU területén üzemeltetett elektronikus információs rendszerekben történő adatkezelés is - kivétel a Magyar Honvédség (EU területén kívül üzemeltetett elektronikus információs rendszerekben is).

7 Az Ibtv. hatálya

8 Jogok és kötelezettségek Cél a szervezetek alapállapotának rögzítése, ehhez kapcsolódóan az elektronikus információs rendszerek biztonsági osztályba sorolása és a szervezetek biztonsági szintjének meghatározása - 1-től 5-ig terjedő számozással ellátott skálán, önbesorolás útján, ahol a védelmi intézkedések a skála értékének növekedésével fokozatosan szigorodnak. Alapelv a fokozatosság elvének érvényesítése - a megállapított biztonsági osztályt és biztonsági szintet alapul véve lépésről lépésre lehet haladni, minden egyes következő, magasabb biztonsági osztályhoz és biztonsági szinthez rendelt biztonsági intézkedések kivitelezésére 2 év áll rendelkezésre. Folyamatos értékelés: fő szabály szerint 3 évente meg kell ismételni az önbesorolást, esetenként soron kívüli felülvizsgálatot kell elvégezni.

9 Jogok és kötelezettségek A szervezet biztonság szintjének azt a biztonsági szintet kell elérnie, amely megegyezik az általa kezelt elektronikus információs rendszerek közül a legmagasabb biztonsági osztállyal, de minimum az előírt alap biztonsági szinttel. A biztonsági osztályba sorolás és a biztonsági szint meghatározását: dokumentált módon kell végrehajtani; eredményét az IBSZ-ben kell rögzíteni; elvégzése és jóváhagyása a szervezet vezetőjének felelőssége; hiányosság esetén a vizsgálatot követő 90 napon belül cselekvési tervet kell készíteni. A szervezet a feladatellátáshoz igénybe vett közreműködő esetén (elektronikus információs rendszer létrehozása, üzemeltetése, auditálása, karbantartása, javítása vagy az adatkezelési/adatfeldolgozási tevékenység során) köteles gondoskodni arról, hogy az Ibtv.-ben foglaltak a közreműködővel kötött szerződésben kötelemként teljesüljenek.

10 Jogok és kötelezettségek A szervezet vezetője: az elektronikus információs rendszer biztonságáért felelős személy kinevezése; az oktatás és az információbiztonsági ismeretek szinten tartásának biztosítása; a biztonsági események hatékony kezelése; szabályozási környezet kialakítása (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat). Az elektronikus információs rendszer biztonságáért felelős személy: irányítja a biztonsági tevékenységek tervezését, szervezését, koordinálását és ellenőrzését; előkészíti a biztonsági osztályba és a biztonsági szintbe sorolást.

11 Végrehajtási szabályok Rendeleti szinten került meghatározásra: a Nemzeti Kiberbiztonsági Koordinációs Tanács és szervezetrendszerének szabályai; a NEIH feladatának, hatósági ellenőrzésének, bírságolási jogkörének és az információbiztonsági felügyelő kirendelésének eljárási rendje és szabályai; az NBF, mint szakhatóság feladat- és hatásköre; a CERT és az ágazati eseménykezelő központok feladat- és hatásköre; a képzés és továbbképzés rendje; a hatósági nyilvántartásba vétel és a biztonsági események jelentésének és közzétételének rendje; a biztonsági osztályba és a biztonsági szintbe sorolás követelményrendszere.

12 Végrehajtási szabályok

13 Szervezetrendszer

14 Képzés, továbbképzés Képzésre kötelezett személyi kör: az elektronikus információs rendszerek védelméért felelős vezető: akit az Ibtv. hatálya alá tartozó szervezet a szervezeti és működési szabályzat vagy munkaköri leírás alapján, illetve egyéb módon, mint felelős vezetőt kijelölt a védelmi feladatok ellátásával összefüggésben; az elektronikus információs rendszer biztonságáért felelős személy: akit az Ibtv. hatálya alá tartozó szervezet az elektronikus információs rendszerek biztonságával összefüggő feladatok ellátására kijelölt, gyakorlatban általában ez a személy azonos az informatikai biztonsági felelőssel; az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy: akit az Ibtv. hatálya alá tartozó szervezet a szervezeti és működési szabályzat vagy munkaköri leírás alapján, illetve egyéb módon a feladatellátással megbízott.

15 Képzés, továbbképzés Szakirányú továbbképzés / továbbképzés / éves továbbképzés Mentességek a szakirányú továbbképzés alól: 5 év szakmai gyakorlat megszerzése az alábbi területeken: az információbiztonsági irányítási rendszer tervezése, kialakítása, működtetése során; az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén; az információbiztonsági kockázatelemzés területén; az elektronikus információs rendszerek információbiztonsági tanúsítási tevékenysége során, vagy az elektronikus információs rendszerek információbiztonsági tesztelésében (etikus hacker tevékenységben). Nemzetközi akkreditált képzettség megléte: CISA, CISM, CRISC, CISSP.

16 Képzés, továbbképzés

17 Jogalkotói tapasztalatok A törvény előkészítése nem csak nemzeti, hanem nemzetközi szinten is hiánypótló jellegű. Értelmezési problémát jelentett, hogy az önbesoroláson alapuló alapállapot rögzítése nem forrásigényes. A határidőre történő végrehajtás széles körű jogszabály-értelmezést és információt igényel, várhatóan minden érintett az önbesorolást határidőre nem tudja elvégezni. Szükséges a jogalkalmazók szakmai támogatása és a folyamatos nyomon követés. Az eredményes végrehajtás záloga a jogalkotó, a hatóság és a jogalkalmazó közötti interaktív szakmai kapcsolat.

18 Felülvizsgálat iránya A kormányzati átalakítást követően az elektronikus információbiztonság szervezetrendszerét szabályozó rendelkezések 1 éves működést követő felülvizsgálata. Az elektronikus információs rendszerek biztonsági osztályba sorolására és a szervezet biztonsági szintbe sorolására vonatkozó alaphatáridő felülvizsgálata. A biztonsági események bejelentési és kezelési rendjének egycsatornássá tétele és kockázatalapú kezelés vizsgálata. Biztonsági osztályba sorolás finomhangolása (értékek vs. szöveges indoklás). EIR tulajdonos vs. üzemeltető.

19 Tájékoztatás Nemzeti Elektronikus Információbiztonsági Hatóság telefonszám: és E- mail cím: Közigazgatási és Igazságügyi Minisztérium Kormányirodát Irányító Helyettes Államtitkárság telefonszám: ; cím: Nemzeti Biztonsági Felügyelet: telefonszám: ; cím:

20 KÖSZÖNÖM A FIGYELMET!