A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a 2013. évi L. tv. alapján Előadó:
Nagy Zoltán Attila CISM elnök (Nemzeti Elektronikus Információbiztonsági Hatóság)
Nemzeti Eseménykezelési Központ Munkacsoport
Kiberbiztonsági Koordinációs Tanács
Kormányzati IT és hálózatbiztonsági információmegosztási, incidens-kezelési együttműködési munkacsoport (Kormányzati IKMCS)
Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH)
Kormányzati Eseménykezelő Központ Ágazati Eseménykezelő Központok
Kiberbiztonsági Fórum
2013. évi L. tv. és 301/2013.(VII.29.) Korm. Rendelet
Nemzeti Biztonsági Felügyelet (Szakhatóság)
Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja 2
• A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. • Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. 4
A NEIH tevékenységét közvetlenül meghatározó jogszabályok • 2013. évi L. törvény (Az állami és önkormányzati szervek elektronikus információbiztonságáról) (Ibtv.) • 301/2013.(VII.29.) Korm. Rendelet (A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról) 5
Kiadás előtt állnak: • …./2013. (……..) Nfm. Rendelet I. (az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről) • …./2013. (……..) Nfm. Rendelet II. (Az elektronikus információbiztonsággal és az egyes elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről) 6
A szervezetek adatszolgáltatási kötelezettségének bejelentési lehetőségei (Ibtv. 15. § (1) a, c, d,) 1, Hivatali kapun keresztül ÁNYK űrlap kitöltésével 2, E-mail-en keresztül az
[email protected] –ra 3, Postai úton a Hatóságnak címezve: 1440 Bp. Pf.: 1.
(A végleges verzió a Hatóság honlapján keresztüli adatszolgáltatás lesz, de ez jelenleg még fejlesztés alatt áll.) 7
Képzést, továbbképzést szabályozó rendelet 26/2013. (X. 21.) KIM rendelet
8
A NEIH tevékenységét meghatározó egyéb szabályozások 1. 2. 3. 4.
5.
7. 8. 9.
Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Kormányhatározat, Magyarország Nemzeti Katonai stratégiájának elfogadásáról szóló 1656/2012. (XII. 20.) Kormányhatározat, Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Kormányhatározat, A létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvényhez, azon belül a létfontosságú rendszerek és létesítmények hálózatbiztonsági környezetének kialakítása, Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről 233/2013.(VI.30.) Korm. Rendelet A Magyary Zoltán Közigazgatás-fejlesztési Program, A Digitális Megújulás Cselekvési Terv, Az Európai Unió stratégiai törekvéseihez, úgymint a Digitális Menetrend, valamint az Elektronikus Kormányzati Cselekvési Terv
9
A NEIH tevékenységét meghatározó Európai Uniós kapcsolódások 1. 2.
3. 4. 5.
Az Európai Parlament által 2012. november 22-én elfogadott, a kiberbiztonságról és védelemről szóló, 2012/2096 (INI) számú határozata Az Európai Bizottság és az Európai Unió közös kül- és biztonságpolitikájának főképviselője által 2013. február 7-én "Az Európai Unió Kiberbiztonsági Stratégiája: egy nyílt, biztonságos és megbízható kibertér" címmel közzétett közös közleménye Az Európa Tanács számítástechnikai bűnözéssel szembeni, 2001. november 23-i budapesti egyezménye (CyberCrime Convention – Budapesti Konvenció), A kritikus információs infrastruktúrák védelméről szóló, 2011. május 27-i tanácsi következtetésekre és a kiberbiztonságról szóló korábbi tanácsi következtetése, A Bizottság Közleményéhez az Európai Parlamentnek, a Tanácsnak, az Európai gazdasági és Szociális bizottságnak és a Régiók Bizottságának a kritikus informatikai infrastruktúrák védelméről - „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása” (COM(2009)0149).
10
Az Ibtv. rendelkezéseit kell alkalmazni: a) a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével, b) a Köztársasági Elnöki Hivatalra, c) az Országgyűlés Hivatalára, d) az Alkotmánybíróság Hivatalára, e) az Országos Bírósági Hivatalra és a bíróságokra, f ) az ügyészségekre, g) az Alapvető Jogok Biztosának Hivatalára, h) az Állami Számvevőszékre, i) a Magyar Nemzeti Bankra, j) a fővárosi és megyei kormányhivatalokra, k) a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra, l) a Magyar Honvédségre.
a) Az Ibtv 2.§ (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők, b) a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, c) az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.
11
Az Ibtv. rendelkezéseit kell alkalmazni: 2.§ (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni, b) a 14–18. §-ban meghatározott feladatok ellátásáról a minősített adatok védelmének szakmai felügyeletéért felelős miniszter gondoskodik.
A 2.§ (4) alá tartozó szervek ágazati eseménykezelő központokat hozhatnak létre, melyek tevékenységét a Kormányzati Eseménykezelő Központ koordinálja
2.§ (4) (4) A 14–18. §-ban meghatározott feladatok ellátásáról:
a) a Magyar Honvédség és a Katonai Nemzetbiztonsági Szolgálat zárt célú elektronikus információs rendszerei, továbbá a Honvédelmi Tanács és a Kormány speciális működését biztosító infokommunikációs támogató rendszerei esetében a honvédelemért felelős miniszter, b) a rendvédelmi szervek és a rendvédelmi szervet irányító miniszter által irányított szervek zárt célú elektronikus információs rendszerei esetében a rendvédelmi szervet irányító miniszter, c) a diplomáciai információs célokra használt zárt célú elektronikus információs rendszerei esetében a külpolitikáért felelős miniszter, d) a Nemzeti Adó- és Vámhivatalnak az állami költségvetési bevételek biztosítását támogató elektronikus információs rendszerei esetében az adópolitikáért felelős miniszter, e) az Információs Hivatal esetében a Kormány polgári hírszerzési tevékenység irányításáért felelős tagja, f) a Nemzeti Média- és Hírközlési Hatóság esetében a Nemzeti Média- és Hírközlési Hatóság elnöke jogszabályban meghatározottak szerint gondoskodik.
12
Az elektronikus információs rendszerek biztonsági osztályba sorolása • Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége. • Biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása. • 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a biztonsági osztályba sorolást, a már működő rendszereikre tekintettel. 13
Alapvető elektronikus információbiztonsági követelmények 1. A rendszerek teljes életciklusában biztosítani kell: • az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint • az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.
A szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: • a megelőzést és a korai figyelmeztetést, • az észlelést, • a reagálást, • a biztonsági események kezelését.
14
Alapvető elektronikus információbiztonsági követelmények 2. • A biztonsági osztályba sorolás alkalmával 1-től 5-ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi előírásokkal együtt. • A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá, amit a szervezet informatikai biztonsági szabályzatában rögzíteni kell. • A szervezet vezetője az elektronikus információs rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat. • A biztonsági osztályba sorolást legalább 3 évente, vagy szükség esetén soron kívül felül kell vizsgálni. • A Hatóság (NEIH) a szervezet által megállapított biztonsági osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is megállapíthat. 15
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 1. 2
3
4
5
• Biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. • Biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. • 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a szervezet biztonsági szintbe sorolását. 16
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 2. 2
3
2-es szintű: • Köztársasági Elnöki Hivatal, • Országgyűlés Hivatala, • Alkotmánybíróság Hivatala, • Alapvető Jogok Biztosának Hivatala, • A helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra
4
5
3-as szintű: • A központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével), • Országos Bírósági Hivatalra és a bíróságokra, • Ügyészségek, • Állami Számvevőszék, • Magyar Nemzeti Bank, • Fővárosi és megyei kormányhivatalok 17
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 3. 2 4-es szintű: • Magyar Honvédség
3
4
5
5-ös szintű: • A jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, • Az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.
18
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 4. 2 • •
• • •
• • •
3
4
5
A szervezet az irányadó besorolási szintnél magasabb szintű besorolást is megállapíthat. A Hatóság a szervezet által megállapított biztonsági szintet felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű besorolást is megállapíthat. A szervezetnek magának kell meghatároznia a jogszabály alapján, hogy mely biztonsági szintnek felel meg. Ha nem éri el a kívánt biztonsági szintet, ennek elérésére vonatkozóan 90 napon belül cselekvési tervet kell készítenie. Ha az 1. szintet sem éri el, a szervezetnek egy éve van az 1. szint eléréséhez szükséges intézkedések megvalósításához. Lehetőség van az előírt biztonsági szint fokozatos elérésére, 2 évente minimum egy biztonsági szinttel feljebb kell lépnie. A biztonsági szintet minimum 3 évente, szükség esetén soron kívül felül kell vizsgálni. A szervezet biztonsági szintbe sorolását a szervezet vezetője hagyja jóvá, továbbá a biztonsági szintbe sorolás eredményét a szervezet informatikai biztonsági szabályzatában kell rögzíteni. 19
Közreműködők a szervezetek elektronikus információs rendszereinek védelmében A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről (a közreműködőkre vonatkozóan) az alábbiak szerint:
Ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról (a szervezet vezetője), hogy a 2013. évi L. törvényben foglaltak szerződéses kötelemként teljesüljenek.
Ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról (a szervezet vezetője), hogy a 2013. évi L. törvényben foglaltak szerződéses kötelemként teljesüljenek.
20
Az elektronikus információs rendszer biztonságáért felelős személy biztosítja az Ibtv-ben meghatározott követelmények teljesülését: 1.
a szervezet valamennyi elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatkezelésében, karbantartásában vagy javításában közreműködők,
2.
ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, a közreműködők, a törvény hatálya alá tartozó elektronikus információs rendszereit érintő, biztonsággal összefüggő tevékenysége esetén. E tekintetben a feladatok és felelősségek más személyre át nem ruházhatók. A biztonságért felelős személy a közreműködőktől a biztonsági követelmények teljesülésével kapcsolatban jogosult tájékoztatást kérni. Ennek keretében a követelményeknek való megfelelőség alátámasztásához szükséges bekérni a közreműködői tevékenységgel kapcsolatos adatot, illetve az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot.
21
(301/2013. (VII. 29.) Korm. Rendelet) Ha a szervezet adatkezelési, vagy adatfeldolgozási tevékenységéhez, vagy az elektronikus információs rendszere üzemeltetéséhez az Ibtv. hatálybalépése előtt megkötött szerződés alapján közreműködőt vesz igénybe, a biztonsági követelmények teljesítéséről azt nyilatkoztatni, a nyilatkozatot a Hatóság részére másolatban e rendelet hatályba lépését követő 90 napon belül megküldeni köteles.
22
A Hatóság feladatai (301/2013. (VII. 29.) Korm. Rendelet) • Engedélyezi az érintett szervezetek által az Európai Unió tagállamaiban történő elektronikus információs rendszer üzemeltetését, • Ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs rendszer üzemeltetést, • Ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülését.
23
A Hatóság feladatai - IKMCS A Hatóság az elektronikus információbiztonság növelése, a legjobb gyakorlatok elterjesztése, az információbiztonsági tudatosság növelése és az azonnali reagálás érdekében kormányzati információtechnológiai és hálózatbiztonsági információ-megosztási, incidenskezelési munkacsoportot működtet, amelynek tagjait a Hatóság által felkért szervezetek, a szakhatóság és a kormányzati eseménykezelő központ delegálják.
24
A Hatóság jogosult
Nem költségvetési szerv esetén Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a Hatóság a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére, b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, az eset összes körülményeinek mérlegelésével bírságot szabhat ki, amely további nem teljesülés esetén megismételhető. 26
A Hatóság jogosult
Költségvetési szerv esetén Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a Hatóság a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére, b) ha a felszólítás ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a (Hatóság) szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését, c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, (a Hatóság) információbiztonsági felügyelő kirendelését kezdeményezheti. 27
A Hatóság eljárása (301/2013. (VII. 29.) Korm. Rendelet) Ügyintézési határidő: 60 nap (a Hatóság vezetője egy alkalommal 30 nappal meghosszabbíthatja) Az eljárást lezáró döntés meghozatala előtt az érintett szervezet vezetőjével egyeztetést folytat le. Helyszíni ellenőrzés keretében jogosult: - Az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni - Az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív, vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni. - Információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal. - A Hatóság jogosult bármely, jogszabályban meghatározott hatáskörébe tartozó eljárási cselekményt haladéktalanul lefolytatni, ha az a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai számára kiemelten fontos információs rendszereket súlyosan veszélyeztető fenyegetés elhárítását szolgálja. 28
Információbiztonsági felügyelő (Ibtv.) Az információbiztonsági felügyelőt a Hatóság javaslatára az informatikáért felelős miniszter a 16. § (3) bekezdése (az első felszólítás eredménytelenségét követő felügyeleti szerv közreműködésének eredménytelensége esetén rendeli ki a Hatóság) szerinti esetben rendelheti ki. Az információbiztonsági felügyelő a fenyegetés elhárításához szükséges védelmi intézkedések eredményes megtétele érdekében a Kormány által rendeletben meghatározott intézkedéseket, eljárásokat javasolhat, a szervezet intézkedései tekintetében kifogással élhet. Az információbiztonsági felügyelő pénzügyi kötelezettségvállalásra nem jogosult. Határozott időtartamra rendeli ki, és vonja vissza a kirendelést ill. biztosítja a felügyelő szakmai irányítását az informatikáért felelős miniszter. Jogállására tekintettel minisztériumi kormánytisztviselőnek minősül, akire főosztályvezető-helyettesi munkakörben alkalmazott kormánytisztviselőre vonatkozó szabályokat kell alkalmazni. Legalább 3 éves vezetői gyakorlat és felsőfokú végzettség és szakképzettség szükséges.
29
Célok, tervek: • Közigazgatási alap- és szakképzés IT biztonsági és elektronikus közigazgatási önálló modullal történő kiegészítése. • Célcsoportok szerinti IT biztonsági képzési, visszamérési és folyamatos tudásfenntartási oktatások megteremtése - IT szakemberek - Vezetők - Felhasználók - IT biztonsági felelősök Iskolai tudatosítás Pl: Safe internet program ?
NAT ?
Szülők, családok
E-learning, NKE képzések, Egyéb képzések
Belépők képzése Folyamatos tudásfenntartás
Bizonság tudatosság szervezeti kultúrába illesztése
Társadalom biztonság tudatossága 30
„Amikor a változás szelei fújnak, a kétkedők falakat húznak föl, az optimisták pedig vitorlákat” (ismeretlen szerző)
Köszönöm a figyelmüket! Nagy Zoltán Attila, CISM Közeműködött:
Szilárd Zoltán Telefon: +36-1-795-2701 E-mail:
[email protected]
Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) Kormányzati Informatikáért Felelős Helyettes Államtitkárság Nemzeti Fejlesztési Minisztérium 1011 Budapest, Iskola utca 13. Telefon: +36-1-795-7653 E-mail:
[email protected] 31
