Megfelelés a 2013. évi L. törvénynek

Home  /  Megfelelés a 2013. évi L. törvénynek

Törvényi követelmények

2013. július 1. napján lép hatályba a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról. A törvény régóta várt, hiánypótló, normatív erejű rendelkezés a hatálya alá tartozó állami és önkormányzati szervek informatika rendszereinek és a nemzeti adatvagyon védelméről.

A törvény számos korábbi, kötelező erővel nem rendelkező ajánlásra (KIB 25. és 28. számú ajánlás), illetve a piaci legjobb gyakorlatnak megfelelő szabványra (CoBit, ISO 27001) épít. Megfogalmazza azon generális elvárást, hogy a törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

A fenti általános követelményeknek történő megfelelést érdekében a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia és implementálnia. A külön jogszabályként nevezett végrehajtási rendelet jelenleg tervezés alatt áll.

A törvény kötelezően elírja a hatálya alá tartozó szervezetek részére az alábbiakat:

  • az elektronikus információs rendszereket be kell sorolni egy-egy biztonsági osztályba a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából. A biztonsági osztályba sorolás alkalmával – az érintett elektronikus információs rendszer vagy az általa kezelt adat bizalmasságának, sértetlenségének vagy rendelkezésre állásának kockázata alapján – 1-től 5-ig számozott fokozatot kell alkalmazni. A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért.
  • ha a szervezet az adott elektronikus információs rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg, akkor a vizsgálatot követő 90 napon belül cselekvési tervet készít a hiányosság megszüntetésére.
  • a szervezetet az elektronikus információs rendszerek védelmére való felkészültsége alapján a szervezetnek biztonsági szintekbe kell sorolni a jogszabályban meghatározott szempontok szerint.
  • Ha a vizsgálat alapján meghatározott biztonsági szint alacsonyabb, mint az adott szervezetre előírt biztonsági szint, akkor a szervezetnek a vizsgálatot követő 90 napon belül cselekvési tervet kell készítenie a számára előírt biztonsági szint elérésére. Az előírt biztonsági szint teljesítése során a szervezetnek lehetősége van az előírt biztonsági szint fokozatos elérésére. Ennek keretében a magasabb biztonsági szint elérésére – minden egyes szintet érintően, a következő magasabb szintre lépéshez – két év áll rendelkezésére.

A szervezet vezetőjéhez rendelt egyéb követelményeket (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat kiadása, rendszeres kockázatelemzés végrehajtása, stb.) a törvény 11§ (1) bekezdése tartalmazza felsorolás szerűen.

A fenti követelmények teljesítésére a törvény az alábbi határidőket szabja: A szervezetnek a már működő elektronikus információs rendszerei, valamint a szervezet biztonsági osztályba sorolását első alkalommal az e törvény hatálybalépését követő egy éven belül el kell végezni. A szervezet azonosításához szükséges adatokat, valamint a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait a törvény hatálybalépésétől számított 60 napon belül, míg az informatikai biztonsági szabályzatot a törvény hatálybalépésétől számított 90 napon belül nyilvántartásba vétel céljából kell bejelenteni a hatóságnak.

Szoftveres támogatás

PR-AUDIT Kft. saját fejlesztésű PCP célalkalmazásával támogatja az elektronikus információs rendszerek és a szervezet törvény által előírt osztályba sorolását, a besoroláshoz szükséges felmérések gyors, hatékony és érdemi elvégzését. A szervezet biztonsági intézkedéseit alapvetően a nála kezelt információk és infrastruktúrák biztonsági besorolása határozza meg. Ezért fontos, hogy a biztonsági osztályok meghatározása pontosan, az adott információ illetve infrastruktúra valós kockázati besorolása alapján történjen.

PCP keretrendszer funkciói (PCP keretrendszer a végrehajtási rendelet alapját képező KIB 28. ajánlása alapján elvárt funkciókat tartalmazza):

  • Adatosztályok rögzítése a KIB 28. számú ajánlás alapján, CIA elv alkalmazásával
  • Folyamatfelmérés és függőségvizsgálat
  • Üzleti hatáselemzés végrehajtása
  • Adatleltár és adatosztályozás végrehajtása, adatkörök informatikai rendszerekhez rendelése
  • Elektronikus információs rendszerek osztályba sorolása (bizalmasság, sértetlenség és rendelkezésre állás alapján)
  • Technológiai biztonsági szintek elvárásainak történő megfelelés vizsgálata – Elektronikus információs rendszerek valós biztonsági szintjének, hiányosságok meghatározása
  • Cselekvési tervek összeállítása az elvárt biztonsági szint eléréséhez
  • Szervezet elvárt biztonsági osztályának meghatározása (BIZTONSÁGI SZINT szervezet =max (BIZTONSÁGI OSZTÁLY elektronikus információs rendszer i)(i=1..n).)
  • Szervezet tényleges biztonsági szintjének felmérése
  • Cselekvési tervek összeállítása az elvárt biztonsági szint eléréséhez

A keretrendszer használatának előnyei:

  • A keretrendszer használata jelentős mértékben megkönnyíti a törvény által előírt vizsgálatok ÉRDEMI végrehajtását. Az osztályba sorolás végrehajtásának nehézsége, hogy azt nagy mennyiségű bejövő adat összevetése alapján kell elvégezni (pl: informatikai rendszerben kezelt adatok besorolása közül a high water mark elv alapján kell kiválasztani a rendszer biztonsági besorolását). Ezen összefüggősek lekérdezése az alapadatok relációs adatbázisba szervesésével jelentősen megkönnyíthető.
  • A technológiai biztonsági szinteknek történő megfelelés felmérése bonyolult mátrixok alapján lehetséges, mely szoftveres támogatás nélkül jelentős erőforrásokat igényel
  • Felülvizsgálat és karbantartás erőforrás hatékony végrehajtása
  • Ellenőrző hatóságok részére az információk rendszerezett, és módszertanilag alátámasztott átadása

Kapcsolódó szolgáltatások:

  • PR-AUDIT Kft. vállalja a felmérések és osztályba sorolások végrehajtásának teljes körű támogatását, a rendszer bevezetését és oktatását, valamint tanácsadói feladatok ellátását a teles folyamat során