Ajánlás
szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó biztonsági követelményeknek való megfelelésének biztosításáról
1
TARTALOMJEGYZÉK
1
2
3
4
5
6
7
Bevezetés......................................................................................................................................... 4 1.1
Felhatalmazás .......................................................................................................................... 4
1.2
Az ajánlás célja ........................................................................................................................ 4
1.3
Az ajánlás hatálya .................................................................................................................... 5
Szerepkörök ..................................................................................................................................... 6 2.1
Érintett szervezet .................................................................................................................... 6
2.2
A szervezet vezetője ................................................................................................................ 6
2.3
A rendszer biztonságáért felelős személy ............................................................................... 6
2.4
A rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy ................... 7
2.5
Hatóság.................................................................................................................................... 7
2.6
Ágazati biztonsági felügyelet ................................................................................................... 7
2.7
Szakhatóság ............................................................................................................................. 7
2.8
Eseménykezelő központ .......................................................................................................... 8
2.9
Nemzeti Közszolgálati Egyetem ............................................................................................... 8
2.10
Képző szervek .......................................................................................................................... 8
2.11
Elektronikus ügyintézési felügyelet ......................................................................................... 8
A rendszerek biztonsági osztályba sorolása .................................................................................... 9 3.1
A biztonsági osztály fogalma ................................................................................................... 9
3.2
A biztonsági osztály meghatározása........................................................................................ 9
3.3
Besorolási példák................................................................................................................... 10
A szervezetek biztonsági szintje .................................................................................................... 12 4.1
A biztonsági szint fogalma ..................................................................................................... 12
4.2
A biztonsági szint meghatározásának módja ........................................................................ 12
A védelmi előírások teljesítése ...................................................................................................... 14 5.1
A védelmi előírás fogalma, értelmezése ............................................................................... 14
5.2
Kapcsolódó követelmények................................................................................................... 15
Képzés............................................................................................................................................ 16 6.1
Képzettségi, képzési követelmények ..................................................................................... 16
6.2
Képzés szervezése ................................................................................................................. 16
Eljárásrend ..................................................................................................................................... 17 2
7.1
A szervezetek nyilvántartásba vétele .................................................................................... 17
7.2
Biztonsági események bejelentése, kezelése ........................................................................ 18
7.3
A hatóság egyes további feladatai......................................................................................... 18
7.4
Jogkövetkezmények .............................................................................................................. 19
8
Informatikai biztonsági szabályzat ................................................................................................ 20
9
Lépésről lépésre ............................................................................................................................ 21
3
1
BEVEZETÉS
1.1 Felhatalmazás A közigazgatási és igazságügyi miniszter
az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 2. § (1) bekezdés c) pontjában meghatározott, e-közigazgatásért való, valamint egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV. 21.) Korm. rendelet 2. §-ában meghatározott feladatkörében, mint elektronikus ügyintézési felügyelet,
a szabályozott elektronikus ügyintézési szolgáltatások nyújtásának megkönnyítése érdekében a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény 161. § (6) bekezdésében meghatározott hatáskörében
a műszaki és biztonsági előírások vonatkozásában a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV. 21.) Korm. rendelet 14. § (1) bekezdésének megfelelően, a (2) bekezdésében meghatározott módon, a közigazgatási informatika infrastrukturális megvalósíthatóságának biztosításáért felelős miniszter egyetértésével
a jelen ajánlást bocsátja ki.
1.2 Az ajánlás célja Az ajánlás - a felhatalmazásnak megfelelően - a szabályozott elektronikus ügyintézési szolgáltatóknak kíván segítséget nyújtani az elektronikus információs rendszerekre vonatkozó biztonsági követelményeknek való megfelelésben, az előírt dokumentáció elkészítésében, az elektronikus ügyintézési felügyelettel és az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatósággal való kapcsolattartásban. Az ajánlás ugyanakkor alkalmazható általánosabb körben is, az Ibtv. hatálya alá tartozó elektronikus információs rendszerekkel kapcsolatos biztonsági követelmények teljesítéséhez kapcsolódó útmutatóként. Az ajánlás elősegíti az alábbi jogszabályok egységes alkalmazását:
2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.)
2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.),
4
83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról (Szeüszr.), 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő
központjának,
ágazati
eseménykezelő
központjainak,
valamint
a
létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről,
301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról (Hatr.),
…./2013. (… …) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről (Nyilvr.),
…../2013. (... ...) NFM rendelet az elektronikus információbiztonsággal és az egyes elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről (Kövr.),
……./2013. (… ...) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról (Képzésr.),
1.3 Az ajánlás hatálya Az ajánlás alkalmazása a szabályozott elektronikus ügyintézési szolgáltatókra nézve nem kötelező, ugyanakkor a Szeüszr. 19. § (3) bekezdése értelmében, amennyiben a szolgáltató az ajánlás alkalmazásáról nyilatkozik, úgy az elektronikus ügyintézési felügyelet az ellenőrzés során az ajánlásban rendezett kérdésekben kizárólag az ajánlásnak való megfelelést ellenőrzi. Az ajánlásban foglalt elvárások követése így a szabályozott elektronikus ügyintézési szolgáltatók alapvető érdekeit is szolgálja.
5
2
SZEREPKÖRÖK
2.1 Érintett szervezet Az Ibtv. hatálya alá tartozó szervek és ezen szervek számára adatkezelést végzők, valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói. A rendszerre előírt feltételeket a szervezetnek olyan mértékig kell teljesíteni, amely mértékig az adott rendszer tekintetében kapott jogosultságai birtokában arra képes.
2.2 A szervezet vezetője A szervezet vezetőjének fogalmát az Ibtv. nem határozza meg, viszont a Képzésr. értelmezésében nem feltétlenül a szervezet egyszemélyi vezetője értendő alatta, hanem az a vezető, akit a szervezeti és működési szabályzat vagy munkaköri leírás az elektronikus információs rendszerek védelmére kijelöl. A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a jogszabályokban meghatározott szabályozási, személyi és technikai feltételek biztosításával, a rendszeres elemzések, ellenőrzések, auditok végrehajtásával. Gondoskodik az események nyomonkövethetőségének biztosításáról, a biztonsági események hatékony kezeléséről, az igénybe vett közreműködőkre vonatkozó feltételek szerződéses teljesüléséről (kivéve abban az esetben, ha a közreműködő igénybevételét jogszabály írja elő). A szervezet vezetője együttműködik a hatósággal a hatóság feladatainak elvégzésében.
2.3 A rendszer biztonságáért felelős személy A rendszer biztonságáért felelős személy felel a rendszerek védelméhez kapcsolódó feladatok ellátásáért a jogszabályi előírásokkal összhangban. Elvégzi vagy irányítja a kapcsolódó feladatokat, a biztonsági szabályzatok elkészítését, véleményezi a szerződéseket, egyéb szabályzatokat biztonsági szempontból, a biztonsági eseményekről bejelentést tesz, kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal, tájékoztatást ad a szervezet vezetőjének. Felelőssége kiterjed a rendszer teljes életciklusára a tervezéstől a karbantartásig, és nem átruházható közreműködők bevonása esetén sem. Az Ibtv. a rendszer biztonságáért felelős személy esetében büntetlen előéletet és később részletezendő képzetségi, képzési követelményeket ír elő. A Hatr. értelmezésében a rendszer biztonságáért felelős személy lehet külsős, részmunkaidős és a feladatot több szervezetnél is végezheti párhuzamosan.
6
2.4 A rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy A jogszabályok a biztonsággal összefüggő feladatok ellátásának a felelősségét nem osztják tovább, így az abban részt vevő személyek részére csak tanfolyami képzést, illetve továbbképzést írnak elő.
2.5 Hatóság A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH), az NFM önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egysége, a mely a törvényben meghatározott kivételektől (minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei) eltekintve az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét látja el. A hatóság feladatainak ellátása során:
ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülését,
ellenőrzi az elektronikus információs rendszerek osztályba sorolását és a szervezet biztonsági szintje megállapítását,
ellenőrzi a besorolásra vonatkozó, jogszabályban meghatározott követelmények teljesülését.
2.6 Ágazati biztonsági felügyelet Az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét minősített adatot kezelő rendszerek, a honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és az NMHH rendszerei esetében az illetékes miniszter látja el a rendszerek biztonságának felügyeletével és ellenőrzésével kapcsolatos ágazati szabályokat tartalmazó rendeletben meghatározott módon (lásd pl. 16/2013. (VIII. 30.) HM rendelet, 36/2013. (VII. 17.) BM rendelet, 34/2013. (VIII. 30.) NGM rendelet).
2.7 Szakhatóság A hatóság feladatainak ellátása során a Nemzeti Biztonsági Felügyelet szakhatóságként vagy a hatóság egyedi felkérése alapján jár el különösen az alábbi területeken:
sérülékenység-vizsgálatokat végez,
a bejelentett biztonsági eseményekre műszaki vizsgálatot végez.
7
2.8 Eseménykezelő központ Az Ibtv-ben foglalt biztonsági események kezelését végzi a kormányzati eseménykezelő központ a katasztrófák elleni védekezésért felelős miniszter (BM) irányítása alatt. A kormányzati eseménykezelő központhoz tartozik az összes rendszer a minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei kivételével, melyek vonatkozásában ágazati eseménykezelő központok hozhatók létre.
2.9 Nemzeti Közszolgálati Egyetem Az NKE a képzési tevékenység ellátásával összefüggésben kidolgozza a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek képzési, továbbképzési követelményeit, oktatási programját, illetve gondoskodik a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai képzéséről és éves továbbképzéséről.
2.10 Képző szervek Képző, ill. továbbképzést végző szerv bármely felsőoktatási intézmény lehet (továbbképzést végző szerv esetén egyéb, képzési engedéllyel rendelkező szervezet is), mely biztosítja az oktatókat, helyszínt, vizsgáztatás lehetőségét, segédanyagokat és egyéb eszközöket.
2.11 Elektronikus ügyintézési felügyelet A Ket-ben definiált szabályozott elektronikus ügyintézési szolgáltatás az elektronikus ügyintézési felügyeletnek tett bejelentés, esetenként a felügyelet engedélye alapján nyújtható. A felügyelet a szabályozott elektronikus ügyintézési szolgáltatások nyújtásának megkönnyítése érdekében ajánlásokat bocsát ki. A hatóság együttműködik a Ket-ben meghatározott elektronikus ügyintézési felügyelettel a szabályozott elektronikus ügyintézési szolgáltatás szolgáltatókra vonatkozó biztonsági követelmények teljesülésének ellenőrzésében.
8
3
A RENDSZEREK BIZTONSÁGI OSZTÁLYBA SOROLÁSA
3.1 A biztonsági osztály fogalma Az Ibtv. hatálya alá tartozó rendszereket a jogszabályi rendelkezések, illetve kockázatelemzés alapján öt fokozatú (1-től 5-ig szigorodó) skálán biztonsági osztályba kell sorolni külön-külön a bizalmasság, sértetlenség és rendelkezésre állás szempontjából.
3.2 A biztonsági osztály meghatározása A biztonsági osztályba sorolást:
már működő rendszer esetén 2014. július 1-ig el kell végezni
legalább háromévenként el kell végezni minden rendszer esetében;
soron kívül el kell végezni az alábbi esetekben: o
a rendszer biztonságát érintő jogszabályváltozás,
o
új rendszer bevezetése,
o
a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatok vonatkozásában bekövetkező változás.
A biztonsági osztályba sorolást dokumentált módon kell végezni. A besorolást a szervezet vezetője hagyja jóvá, és a szervezet informatikai biztonsági szabályzatában kell rögzíteni. A rendszerek biztonsági osztályba sorolásához elvégzendő kockázatelemzésre a Kövr. 3. melléklete nem határoz meg alkalmazandó szabványokat vagy módszertanokat, de meghatározza a vizsgálandó kártípusokat és javaslatot tesz a biztonsági osztályba sorolásra a kapcsolódó lehetséges kármértékek alapján. Fontos, hogy a Kövr. szerint javasolt besorolás csak tájékoztató jellegű, a tényleges besorolás az érintett szervezet felelőssége. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárérték, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárnagyságot kell, vagy lehet figyelembe venni, a szervezet döntésétől függően. A szervezet vezetője az Ibtv-ben meghatározott feltételeknek megfelelő, az elektronikus információs rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat az elektronikus információs rendszerre vonatkozóan. A hatóság (a minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei kivételével) a szervezet által megállapított biztonsági osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is megállapíthat.
9
A következő alfejezetben néhány szabályozott elektronikus ügyintézési szolgáltatás példáján keresztül mutatjuk be a Kövr. 3. mellékletének alkalmazását.
3.3 Besorolási példák Az elektronikus iratok kezelése SZEÜSZ igénybevétele egy szervezet részéről egy tipikus kiszervezési konstrukció, ugyanakkor világosan kell látni, hogy a besorolás az adatok biztonságáért felelős vezető feladata, azaz a SZEÜSZ szolgáltatást igénybe vevő szervezet vezetőjének a felelőssége. A SZEÜSZ általános jellemzői alapján a biztonsági osztályba sorolásra az alábbi javaslat adható:
Szempont Bizalmasság
Biztonsági osztály
Megjegyzés
2-5
Az iratkezelő rendszerben kezelt legérzékenyebb irattól függően.
Sértetlenség
4-5
Mivel a rendszerben való illetéktelen módosítással elérhető lenne, hogy nem az átvett és iktatott elektronikus irat kerül megőrzésre, kezelésre.
Rendelkezésre állás
4-5
Az irattárazás funkciót végző alrendszer (ami vagy egy külső elektronikus dokumentumtárolási szolgáltatás SZEÜSZ vagy egy saját zárt rendszer) esetében, mivel az irattárban kezelt elektronikus iratok elvesztése vagy el nem érhetősége komoly anyagi és erkölcsi károkat okozna a hatóságnak.
3-4
A többi (átvétel, felbontás, stb.) funkciót végző alrendszer esetében, mivel ezek átmeneti el nem érhetősége kisebb károkat okozna.
A kiszervezéses modellben ezt úgy kell értelmezni, hogy a (külső) SZEÜSZ szolgáltató által ténylegesen megvalósított biztonsági szintnél magasabb biztonsági fokozatú iratok kezelésének kiszervezése az adott szolgáltató irányába nem lehetséges. Nyilvánvalóan az elektronikus iratokat kezelő rendszereknek meg kell felelniük azoknak a biztonsági elvárásoknak is, melyeket a 24/2006 BM–IHM–NKÖM együttes rendelet 1. sz. mellékletének 7. pontja (Jogosultság, adatbiztonság, adatvédelem) fogalmaz meg. Egy másik, a felhő alapú kiszervezés lehetőségét (is) biztosító SZEÜSZ az informatikai háttér szolgáltatása. Ebben az esetben az Ibtv. rendelkezéseinek való megfelelésből olyan jellegű követelmények vezethetők le, hogy például milyen biztonsági osztályokba sorolt alkalmazás rendszerek számára szolgáltathat felhő alapú infrastruktúra háttérszolgáltatást a SZEÜSZ szolgáltató. Ennek vizsgálatakor figyelembe kell venni a SZEÜSZ szolgáltató által nyújtott felhő szolgáltatások megvalósulási módozatait (privát vagy publikus, illetve helyi vagy kiszervezett) Egyes modellek 10
alkalmazása érzékeny adatok és rendszerek esetén egyáltalán nem javasolt, vagy csak bizonyos biztonsági fokozatba sorolt rendszerek esetén, megfelelő biztonsági határvédelmi megoldások alkalmazása mellett. Egy egyszerűbb SZEÜSZ, az elektronikus aláírás ellenőrzése szolgáltatás általános jellemzői alapján a biztonsági osztályba sorolásra az alábbi táblázat szerinti javaslat adható:
Szempont Bizalmasság
Biztonsági osztály
Megjegyzés
2
Mivel nem kezel bizalmasság szempontjából kiemelten védendő adatokat.
Sértetlenség
4-5
Mivel a rendszerben való illetéktelen módosítással elérhető
lenne,
hogy
a
szolgáltatás
ellenőrzési
eredménye (az aláírás érvényessége, a dokumentum sértetlensége vagy egyéb szempontokat illetően) nem a helyes eredményt mutatja. Rendelkezésre állás
4-5
Mivel az egyes hatósági eljárásokban előírás lehet a gyors
reakció
rendelkezésre
a álló
hatóság
részéről,
szolgáltatás
mely
esetén
nem
komoly
fennakadásokat okozhat.
Érdemes arra is gondolni, hogy ugyanaz a SZEÜSZ más megítélés alá esik, ha a szervezeten belüli infrastruktúrán működik, mint kiszervezett szolgáltatásként. Így például a rendelkezésre állás követelményének teljesítésével összefüggésben - mivel az elektronikus aláírás ellenőrzése nagy számítási kapacitást igényelhet a SZEÜSZ oldalán - egy kiszervezett modellben a SZEÜSZ szolgáltatónak megelőző intézkedéseket kell tenni az elárasztásos (DoS) támadások kivédésére. Ugyanez a belső infrastruktúrán általában nem merül fel.
11
4
A SZERVEZETEK BIZTONSÁGI SZINTJE
4.1 A biztonsági szint fogalma A szervezet biztonsági szintje a szervezet felkészültségének, védelmi képességének fokmérője. A szervezetek biztonsági szintje a rendszerek biztonsági osztályozásához hasonlóan öt fokozatú skálán értelmezett az Ibtv. alapján. A Kövr. 4. melléklete jellemzi az egyes szinteket a szervezet védelmi képességeinek rövid összefoglalásával. Ezt itt nem ismételjük meg, csak kiemeljük az öt szint megkülönböztetésére leginkább alkalmas kulcsszavakat. A szervezet biztonsági szintje: 1. ha az információbiztonság folyamatai ad hoc jellegűek 2. ha az információbiztonság folyamatai részben szabályozottak 3. ha az információbiztonság folyamatai jól szabályozottak, dokumentáltak és az adminisztratív védelmi intézkedéseket hatékony logikai védelmi intézkedések támogatják 4. ha az információbiztonság folyamatai irányítottak és mérhetőek 5. ha az információbiztonság folyamatai optimalizáltak, automatizáltak, követik a legjobb gyakorlatot
4.2 A biztonsági szint meghatározásának módja A biztonsági szint meghatározását:
első alkalommal 2014. július 1-ig el kell végezni
legalább háromévenként el kell végezni az elvárt minimális biztonsági szint elérését követően;
soron kívül el kell végezni az alábbi esetekben: o
a rendszer biztonságát érintő változás,
o
új rendszer bevezetése.
A szervezet biztonsági szintbe sorolását dokumentált módon kell végezni. A besorolást a szervezet vezetője hagyja jóvá, és a szervezet informatikai biztonsági szabályzatában kell rögzíteni. Minimális elvárás, hogy a védelmi képesség szintje feleljen meg a legmagasabb biztonsági osztályba tartozó rendszerei biztonsági besorolásának. Egyes szervezetek estén a rendszerek biztonsági osztályának besorolásától függetlenül az Ibtv. előírja a minimális védelmi képesség szintjét. Ezt az alábbi táblázat foglalja össze.
12
Szervezet
Elvárt minimális biztonsági szint
Köztársasági Elnöki Hivatal
2
Országgyűlés Hivatala Alkotmánybíróság Hivatala Alapvető Jogok Biztosának Hivatala központi államigazgatási szervek (a Kormány és a
3
kormánybizottságok kivételével) Országos Bírósági Hivatal és a bíróságok ügyészségek Állami Számvevőszék Magyar Nemzeti Bank fővárosi és megyei kormányhivatalok helyi és nemzetiségi önkormányzatok képviselőtestületének
hivatalai,
hatósági
igazgatási
társulások Magyar Honvédség
4
a jogszabályban meghatározott, a nemzeti
5
adatvagyon
körébe
tartozó
állami
nyilvántartások adatfeldolgozói az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek Egyéb
Legmagasabb fokú védelmet igénylő rendszere legmagasabb biztonsági osztályának szintje
A szervezet a minimális besorolási szintnél magasabb szintű besorolást is megállapíthat. A hatóság – ill. az Ibtv. által meghatározott esetekben az elektronikus információs rendszerek biztonságának felügyeletét és ellenőrzését ellátó ágazati szerv – a szervezet által megállapított biztonsági szintet felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű besorolást is megállapíthat.
13
5
A VÉDELMI ELŐÍRÁSOK TELJESÍTÉSE
5.1 A védelmi előírás fogalma, értelmezése A Kövr. határozza meg a rendszerek biztonsági osztály és a szervezet biztonsági szint szerinti besorolása fokozatának emelkedésével párhuzamosan szigorodó védelmi előírásokat. Az előírások védelmi intézkedéseket határoznak meg egy katalógusból adminisztratív, fizikai és logikai intézkedési területeken. Az adminisztratív és fizikai védelmi intézkedések kizárólag a szervezet biztonsági szintjétől, míg a logikai védelmi intézkedések rendszerenként és külön-külön a bizalmasság, sértetlenség és rendelkezésre állás szempontja szerinti biztonsági osztálynak megfelelően kerültek meghatározásra. Képzeljünk el egy rendszert mely bizalmasság és sértetlenség szempontjából 5. biztonsági osztályba tartozik, de rendelkezésre állás szempontjából 2. biztonsági osztályba. Ilyen lehet például egy bizalmas adatokat tartalmazó adatbázis melynek a napi munkavégzés során nem kell elérhetőnek lennie. A Kövr. 2. mellékletének logikai védelmi intézkedések c. táblázata alapján az alábbi intézkedéseket kell tenni. Ebben a példában - hiába magas a bizalmasság és sértetlenség szerinti biztonsági osztály - az üzletmenet folytonosság tervezéséhez kapcsolódó dokumentálás területén csak az alábbiaknak kell megfelelni:
3.3.2.1.: meg kell fogalmazni az üzletmenet folytonosságra vonatkozó eljárásrendet és
3.3.2.2.: el kell készíteni a vonatkozó üzletmenet folytonossági tervet informatikai erőforrás kiesésekre (3.3.2.2.1.), de nem kell biztosítani a magasabb rendelkezésre állási igényű biztonsági osztályoknál előírt bővítményeket (3.3.2.2.2.-3.3.2.2.7.).
Ugyanakkor - hiába alacsony a rendelkezésre állási igény - a magas szintű sértetlenségi besorolásból következően az alábbiaknak kell megfelelni:
3.3.2.8.: mentéseket kell végezni a rendszer adatairól (3.3.2.8.1.), sőt azokat rendszeresen megbízhatósági és sértetlenségi tesztnek kell alávetni (3.3.2.8.2.), de a 3.3.2.8.3.- 3.3.2.8.5. kiegészítéseket már nem kell biztosítani.
3.3.2.9.: biztosítani kell a rendszer korábbi állapotba történő helyreállításának és újraindításának lehetőségét (3.3.2.9.1.), sőt a félbeszakadt tranzakciókat is helyre kell tudni állítani (3.3.2.9.2.), de a 3.3.2.9.3. kiegészítést már nem kell biztosítani.
Az adminisztratív és fizikai védelmi intézkedéseknél mindenhol a legmagasabb elvárásoknak kell megfelelni, mert a szervezet biztonsági szintje 5. fokozatú lesz automatikusan. Meghatározott feltételekkel és körültekintő indoklással a szervezet a reá irányadó biztonsági szinthez tartozó egyes biztonsági intézkedések helyett alkalmazhat egyenértékű vagy összemérhető védelmet nyújtó helyettesítő intézkedéseket is. 14
5.2 Kapcsolódó követelmények Az Ibtv. alapján a rendszerekre vonatkozó védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első vizsgálatkor megállapított biztonsági osztályt, illetve szintet alapul véve, minden egyes következő, magasabb biztonsági osztályhoz, illetve szinthez rendelt biztonsági intézkedések kivitelezésére két év áll rendelkezésére. Ha a szervezet egy rendszer vizsgálata során a vonatkozó biztonsági osztály meghatározásából következően hiányosságot állapít meg a létező védelmi intézkedések területén, akkor a vizsgálatot követő 90 napon belül cselekvési tervet készít a hiányosság megszüntetésére. Ugyanez történik, ha a vizsgálat alapján a szervezet a rá előírt minimális biztonsági szintnek nem felel meg. Ha a biztonsági szint a vizsgálat alapján az 1. szintet nem éri el, akkor az 1. szint eléréséhez szükséges intézkedéseket a vizsgálatot követő egy éven belül meg kell valósítani. Mivel az első vizsgálat lehetséges legkésőbbi időpontja 2014. július 1., az 1. szintet minden szervezetnek legkésőbb 2015. június 1-ig kell elérnie.
15
6
KÉPZÉS
6.1 Képzettségi, képzési követelmények Képzettségi követelményt az Ibtv. csak a rendszer biztonságáért felelős személy esetében ír elő: csak olyan személy végezheti, aki rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel. A törvény hatálybalépésekor már a feladatot ellátó személy estében a képzettséget a hatálybalépést követő öt éven belül (2018. július 1-ig) kell megszerezni. Nem kell képzettséget szereznie annak a személynek, aki rendelkezik érvényes CISA vagy CISSP oklevéllel vagy e szakterületen szerzett 5 év szakmai gyakorlattal. Az előírt szakképzettség megnevezése: elektronikus információbiztonsági vezető, mely két féléves, iskolarendszerű szakirányú továbbképzés keretében szerezhető meg. A képzésre az vehető fel, aki felsőfokú végzettséggel és angol nyelvű alapfokú komplex nyelvvizsgával rendelkezik. A Képzésr. rendelet meghatározza az Ibtv. rendelkezéseivel összhangban az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője kötelező, egyszeri képzésének tárgyköreit és időtartamát. A jogszabályok nem írnak elő határidőt a képzés elvégzésére. A Képzésr. (az Ibtv-vel összhangban) éves továbbképzést ír elő
a szervezet vezetője,
a rendszer biztonságáért felelős személy és
a rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek
részére a rendeletben meghatározott tárgykörben és időtartamban. Az előírt oktatásokról a szervezet vezetője köteles gondoskodni.
6.2 Képzés szervezése A Ibtv értelmében a vezetők és az elektronikus információs rendszer biztonságáért felelős személyek képzési, továbbképzési követelményeit, oktatási programját, illetve az elektronikus információs rendszer biztonságáért felelős személyek képzettségi követelményeit a Nemzeti Közszolgálati Egyetem (NKE) dolgozza ki. A képzés, továbbképzés formáit, tartalmát a Képzésr. határozza meg. Az Ibtv. és a Képzésr. értelmében az NKE gondoskodik a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai képzéséről, tanfolyami képzéséről és éves továbbképzéséről.
16
7
ELJÁRÁSREND
Az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét a törvényben meghatározott kivételektől (minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei) eltekintve az NFM szervezeti egysége, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH, jelen fejezetben a továbbiakban: hatóság) látja el. A hatóság eljárásainak ügyintézési határideje hatvan nap, amelyet a hatóság vezetője indokolt esetben egy alkalommal, legfeljebb harminc nappal meghosszabbíthat. A hatóság eljárása során (előzetes értesítéssel vagy indokolt esetben anélkül) helyszíni ellenőrzés keretében jogosult önállóan, a szakhatósággal vagy más hatósággal együtt is a helyiségekbe belépni, okiratokat,
egyéb
dokumentumokat,
eszközöket,
rendszereket,
biztonsági
intézkedéseket
megismerni, másolatot készíteni, belépési jogosultságot kapni. A szervezet vezetője köteles együttműködni a hatósággal az ellenőrzés lefolytatásához szükséges feltételek biztosításával.
7.1 A szervezetek nyilvántartásba vétele Az Ibtv. értelmében a szervezet 2013. szeptember 1-ig köteles bejelenteni a hatóság részére az alábbi adatokat:
szervezet azonosító adatai,
a rendszer biztonságáért felelős személy természetes személyazonosító adatai, telefon- és telefaxszáma, e-mail címe, a 13. § (8) bekezdésében meghatározott végzettsége.
A szervezetnél csak olyan személy végezheti a rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel. A hatóságnak meg kell küldeni a vonatkozó munka-, megbízási vagy más szerződés másolatát, amelyhez csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát. 2013. október 1-ig kell megküldeni a hatóság részére a szervezet informatikai biztonsági szabályzatát Ha a rendszer biztonságért felelős személy, szervezet kijelölése vagy az informatikai biztonsági szabályzat elkészítése a határidőn belül a szervezetnek fel nem róható okból nem teljesül, ugyanazon határidővel a hatóságot erről tájékoztatni kell a teljesítést akadályozó ok és a teljesítés határidejének megjelölésével. Ha a szervezet az Ibtv. hatálya alá tartozó tevékenységét a rendelet hatálybalépését követően kezdi meg, az adatközlést a tevékenység megkezdését megelőző 8 napon belül kell elvégezni. A korábban megküldött adatokban történt változást a változást követő 8 napon belül kell megküldeni a hatóság részére. 17
Az adatok megküldésére a hatóság elektronikus űrlapot biztosít, mely az ÁNYK alkalmazással tölthető ki és a Ket. szerint alkalmazható módokon küldhető be.
7.2 Biztonsági események bejelentése, kezelése Az Ibtv. értelmében a rendszer biztonságáért felelős személy a törvény hatálya alá tartozó bármely rendszerét érintő biztonsági eseményről tájékoztatni köteles a hatóságot a biztonsági eseményre vonatkozó összes információ megadásával, a kapcsolódó dokumentumok csatolásával. A bejelentések megküldésére a hatóság elektronikus űrlapot biztosít, mely az ÁNYK alkalmazással tölthető ki és elektronikus úton küldhető be. Az érintett szervezet a biztonsági eseményekről technológiai naplót köteles vezetni, amely tartalmazza az esemény kapcsán tett intézkedéseket, és azok eredményét is. Nem kell bejelenteni a hatóság felé azokat a biztonsági eseményeket, amelyeket az érintett szervezet el tudott hárítani, és amelyek kárt vagy működésbeli kiesést nem okoztak (naplót azonban ezekről is vezetni kell). A hatóság a biztonsági eseményeket haladéktalanul megvizsgálja, és annak alapján szükség esetén megteszi a biztonsági esemény elhárítására irányuló intézkedéseket. Ennek során a bejelentés tartalmáról értesíti az illetékes eseménykezelő központot vagy az esetleg érintett más hatóságot. Szükség esetén a Nemzeti Biztonsági Felügyelet (a továbbiakban: szakhatóság) végzi a biztonsági események adatainak műszaki vizsgálatát, és tesz ez alapján javaslatot a biztonsági esemény által okozott kár elhárítására. A kormányzati eseménykezelő központ (Nemzetbiztonsági Szakszolgálat), valamint - a honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei esetében - az ágazati eseménykezelő központok is részt vesznek a biztonsági események kezelésében.
7.3 A hatóság egyes további feladatai A hatóság (engedélyezési eljárás keretében) ellenőrzi és az előírásoknak való megfelelés esetén engedélyezi az Európai Unió tagállamaiban történő rendszerüzemeltetést. Ha a külföldön végzett adatkezelésre vagy rendszerüzemeltetésre nemzetközi szerződés alapján kerül sor, a hatóságot tájékoztatni kell az érintett adatokról, az adatfeldolgozó, vagy üzemeltető személyéről, és a szerződéses jogviszony tartalmáról. A hatóság a tájékoztatást további eljárás lefolytatása nélkül tudomásul veszi. Az Ibtv. hatálya alá tartozó rendszerek Európai Unió tagállamain kívül történő üzemeltetését a törvény nem teszi lehetővé (a honvédségi és zárt célú diplomáciai rendszerek kivételével), ennek ellenőrzése is a hatóság feladata. A hatóság jogosult a központi és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában ellenőrizni az információbiztonsági követelmények megtartását. Ennek érdekében a projekt tervezési szakában a hatóság részére véleményezésre meg kell küldeni a vonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá mindazon 18
dokumentációkat, amelyek alapján a biztonsági és termékminősítési követelmények megvalósulása ellenőrizhető. A projekt folyamatában, az egyes projekt szakaszok zárását legkevesebb harminc nappal megelőzően kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus információbiztonsági dokumentációt, hogy annak észrevételei, vagy kifogásai a projekt terveken, vagy a projekt tárgyán átvezethető és alkalmazható legyen. A hatvan napnál rövidebb időtartamú projektek esetén a dokumentációt legkésőbb a projekt befejezésekor kell a hatóság rendelkezésére bocsátani. A hatóság a dokumentumok tekintetében a szakhatóság véleményét kikéri. A rendszerek biztonsági osztályba sorolásának és a szervezet biztonsági szintbe sorolásának ellenőrzése és az ellenőrzés eredménye alapján döntés meghozatala a hatóságnak megküldött információk alapján történik. A besorolás elfogadása nem zárja ki a döntés későbbi felülvizsgálatát. A hatóság az eljárása során döntésében meghatározhat a bejelentettnél magasabb biztonsági besorolást, illetve javaslatot tehet alacsonyabb besorolásra. A hatóság (ellenőrzési terv alapján) ellenőrzi a rendszerek osztályba sorolását és a szervezetek biztonsági szintjeire vonatkozó, jogszabályban meghatározott követelmények teljesülését. Ez alapján szükség esetén elrendeli a feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását, és ellenőrzi az elhárítás eredményességét. A hatóság ezen feladatának ellátása során a Nemzeti Biztonsági Felügyelet szakhatóságként jár el.
7.4 Jogkövetkezmények A hatóság a rendszerek, és az azokban kezelt adatok biztonsága érdekében jogosult megtenni, elrendelni, ellenőrizni minden olyan, a rendszer védelmére vonatkozó intézkedést, amellyel az érintett rendszert veszélyeztető fenyegetések kezelhetőek. Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat a hatóság felszólítása ellenére sem teljesíti, vagy nem tartja be, a hatóság (nem költségvetési szerv esetében) bírságot szabhat ki, illetve (költségvetési szerv esetében) információbiztonsági felügyelő kirendelését kezdeményezheti.
19
8
INFORMATIKAI BIZTONSÁGI SZABÁLYZAT
Az Ibtv. előírja, hogy biztonsági osztályba sorolást és a biztonsági szintbe sorolás eredményét a szervezet informatikai biztonsági szabályzatában (IBSZ) kell rögzíteni, melyet a szervezet vezetője ad ki és a hatóság részére tájékoztatás céljából megküld legkésőbb 2013. október 1-ig. A szervezetek IBSZ-ének kialakítására vonatkozóan eddig három útmutató készült a hazai közigazgatás számára:
Az Informatikai Tárcaközi Bizottság (ITB) 8. sz. ajánlásának (Informatikai biztonsági módszertani kézikönyv) 4. fejezete: Útmutató az informatikai biztonsági szabályzat (IBSZ) elkészítéséhez. (1994., http://www.itb.hu/ajanlasok/a8/html/a8_4.htm)
A Közigazgatási Informatikai Bizottság (KIB) 25. számú ajánlásaként kiadott Magyar Informatikai Biztonsági Ajánlások (MIBA) című ajánlássorozat részét képező 25/1-2. kötet: Informatikai
Biztonság
Irányítási
Követelmények
(IBIK).
(2008.
június,
http://www.ekk.gov.hu/hu/kib/ajanlasok)
A KIB 28. számú ajánlásaként kiadott, az E-Közigazgatási Keretrendszer projekt eredményeként létrehozott Követelménytár részét képező „Közigazgatási Operatív Programok IT Biztonsági környezete - Az IT biztonsági szabályzat követelményei” c. dokumentum. (2008. szeptember, http://kovetelmenytar.complex.hu/)
A KIB 25. számú ajánlássorozata tartalmilag úgy lett összeállítva, hogy az akkor hatályos jogszabályok (195/2005. (IX. 22.) és a 84/2007 (IV. 25.) Korm. rendeletek) által előírt rendelkezéseknek a közigazgatási szervezetek meg tudjanak felelni. A MIBA az ITB 8., 12., és 16. számú ajánlásait váltotta fel, azok kibővítése és jelentős kiegészítése révén. Az ajánlás 1. kötete Magyar Informatikai Biztonsági Irányítási Keretrendszer (MIBIK) címmel az ISO/IEC MSZ 27701:2005, az ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványokon, valamint az irányadó EU és NATO szabályozáson alapul. A MIBIK ajánlásokat tartalmaz az Informatikai Biztonsági Irányítási Rendszer (IBIR) felépítéséhez, irányításához (Informatikai Biztonság Irányítási Követelmények - IBIK) és vizsgálatához (Informatikai Biztonság Irányításának Vizsgálata - IBIV). Az ajánlások értelemszerűen kiterjednek az irányítási rendszert alkotó folyamatokra, a gyakorlatban működtetett biztonsági intézkedésekre, a végrehajtásukat támogató szervezetre, erőforrásokra, eljárásokra. A biztonsági folyamatok működtetéséhez és ellenőrzéséhez megfelelő szabályozási környezetet kell kialakítani. Az ajánlások által előírt biztonsági alapdokumentumok egyike az informatikai biztonsági szabályzat, amely az ajánlás szerint technológia független kell legyen. Az IBSZ a biztonsági szabályozás keretdokumentuma, amely összefoglalja az IT biztonsággal kapcsolatos feladatokat és felelősségeket. A technológia, a helyszín, a tevékenység specifikus biztonsági intézkedések szabályozása alsóbb szintű szabályozásokban, eljárásrendekben történik, amelyek készítését, karbantartását delegálni lehet, a központi irányítás és felügyelet megtartása mellett.
20
9
LÉPÉSRŐL LÉPÉSRE
Az alábbiakban összefoglalóan kiemeljük a szabályozással érintett szervezetek jogszabályban előírt feladatait a végrehajtás sorrendjében: 1. Érintettség meghatározása A szabályozással érintettek az Ibtv. 2.§ (1) bekezdésében meghatározott szervek, a számukra adatkezelést végzők, valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások és európai létfontosságú rendszerelemmé vagy nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek adatkezelői, adatfeldolgozói. 2. Rendszerek elhatárolása Az Ibtv. definíciója értelmében egy elektronikus információs rendszernek kell tekinteni az azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön (környezeti infrastruktúra, hardver, hálózat), egymással összefüggő eljárásokkal (szabályozás, szoftver és kapcsolódó folyamatok) azonos célból kezelt, kiszolgált, illetve felhasznált adatok, az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és felhasználó személyek együttesét. 3. Felelős vezetők kijelölése Kijelölt felelős vezető (a szervezetre egységesen): Az egyes jogszabályokban a szervezet vezetőjeként hivatkozott személy lehet az egyszemélyi vezető vagy az információs rendszerek védelmére kijelölt vezető. A rendszer biztonságáért felelős személy (az egyes rendszerekre külön): A rendszer védelméhez kapcsolódó feladatok ellátásáért felelős személy. A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel. 4. Felügyeletet ellátó szervezet meghatározása Az elektronikus információs rendszerek biztonságának felügyeletét az NFM szervezeti egysége, a Nemzeti Elektronikus Információbiztonsági Hatóság látja el a minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei kivételével. A felügyeletet ellátó szervezet az Ibtv. 2.§ (3)-(4) bekezdései alapján határozható meg (a továbbiakban egységesen hatóságként szerepel). 5. A szervezet bejelentése 2013. szeptember 1-ig be kell jelenteni a hatóság részére a szervezet azonosító adatait, valamint a rendszer biztonságáért felelős személy adatait az Ibtv. 15.§ (1) c) pontjának megfelelően, vagy ugyanazon határidővel a hatóságot tájékoztatni kell a bejelentés teljesítését akadályozó ok és a teljesítés határidejének megjelölésével. 21
A szervezetnél csak olyan személy végezheti a rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel. A hatóságnak meg kell küldeni a vonatkozó munka-, megbízási vagy más szerződés másolatát, amelyhez csatolni kell az adott személy végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát. 6. Biztonsági szabályzat bejelentése 2013. október 1-ig meg kell küldeni a hatóság részére a szervezet informatikai biztonsági szabályzatát, vagy ugyanazon határidővel a hatóságot tájékoztatni kell a bejelentés teljesítését akadályozó ok és a teljesítés határidejének megjelölésével. 7. A rendszerek biztonsági osztályba sorolása A rendszereket biztonsági osztályba kell sorolni a bizalmasság, sértetlenség és rendelkezésre állás szempontjából (külön-külön) 2014. július 1-ig, továbbá az Ibtv. 8.§ (1)-(2) bekezdéseiben meghatározott esetekben. 8. A szervezet biztonsági szintjének meghatározása Az érintett szervezet biztonsági szintjét meg kell határozni 2014. július 1-ig, továbbá az Ibtv. 10.§ (5)-(6) bekezdéseiben meghatározott esetekben. 9. A biztonsági intézkedések fokozatos kivitelezése Amennyiben valamely vizsgálat során hiányosság állapítható meg akár az egyes informatikai rendszerekhez kapcsolódó védelmi intézkedések, akár a szervezet biztonsági szintjének tekintetében, a szervezetnek 90 napon belül cselekvési tervet kell készítenie a hiányosság megszüntetésére. Az első biztonsági szint elérésére az első vizsgálatot követően 1 év áll rendelkezésre. Amennyiben az első vizsgálat 2014. június 1-i, az első biztonsági szint elérésének határideje 2015. június 1. A rendszerek megállapított biztonsági osztályaihoz tartozó védelmi intézkedések megvalósítása esetében két évente kell egy-egy biztonsági osztállyal előrelépni, ugyanez igaz a szervezetre előírt biztonsági szint elérésére. 10. Képzés Az informatikai rendszer biztonságáért felelős személynek 2018. július 1-ig kell megszereznie az elektronikus információbiztonsági vezető megnevezésű szakképzettséget, amennyiben nem rendelkezik 5 év szakmai gyakorlattal vagy jogszabályban meghatározott (CISA, CISM, CRISC, CISSP) oklevelek valamelyikével. A szervezet vezetőjének (kijelölt felelős vezetőjének) és az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyeknek kötelező részt venniük az NKE által biztosítandó egyszeri képzésben. A jogszabályok nem írnak elő határidőt a képzés elvégzésére. Szintén az NKE biztosítja az előírt éves továbbképzést, melyen az elektronikus információs rendszer biztonságáért felelős személy, az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője köteles részt venni. 22
