INFORMÁCIÓBIZTONSÁGRÓL GAZDASÁGI VEZETŐKNEK A 41/2015. (VII. 15.) BM RENDELET KAPCSÁN ELŐADÓ: NAGY ISTVÁN
Előadó: Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai osztályvezető Időpont: 2015.10.08.
Miért van szükség adatvédelemre informatikai
biztonsági szabályozásra Az informatikai biztonság fogalma Alapfogalmak Törvények Kérdések, válaszok
Adat
Néhány fogalom meghatározása
Az adat tények, fogalmak olyan megjelenési formája, amely alkalmas emberi eszközökkel történő értelmezésre, feldolgozásra, továbbításra. Az adatokból gondolkodás vagy gépi feldolgozás útján információkat, azaz új ismereteket nyerünk. Technikai megközelítés (bit, byte, HDD lemezen tárolt
információ) Intézményi megközelítés Az adat nem más mint egy olyan vagyontárgy, amit védeni kell.
Az informatikai biztonságon az informatikai rendszer olyan állapotát értjük melyben a rendszer védelme a rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és a kockázatokkal arányos.
Bizalmasság
+ Ségtetlenség + Rendelkezésre állás
Bizalmasságot: A rendszerben kezelt adatot csak az arra jogosultak és csak a jogosultságuk szerinti mértékben ismerhessék meg, használhassák fel, illetve rendelkezhessenek a felhasználásáról. Sértetlenség: Az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik (hitelesség). Rendelkezésre állást: Biztosítani kell, hogy a rendszerben rögzített adatok, illetve az informatikai rendszer elemeit az arra jogosultak számára a szükséges időpontban és időtartamra rendelkezésre álljanak.
Védelem: Az adatok tárolását végző eszközök minden elemének védelmét (fizikai és algoritmikus védelem).
Mert az adatok kezelése, különösen akkor, ha nagy
mennyiségben gyűjtik össze, dolgozzák fel és strukturáltan tárolják azokat komoly figyelmet érdemel. A számítástechnika széleskörű elterjedésével az adatfeldolgozás technológiája lényegesen megváltozott, tömegessé vált. Az adatok döntő többségét egységes formában, digitálisan gyűjtik, tárolják és továbbítják. Az adatok koncentráltan adatbázisokban, adattárházakban tárolják, ami a feldolgozás hatékonyságát lényegesen növeli. Kialakultak olyan vállalkozások, amelyek adatok szolgáltatásával foglalkoznak.
Az államigazgatás szervei mellett személyes adatainkat is sok helyen tartják nyilván: egészségügyi és oktatási intézmények, bankok, biztosító társaságok, szolgáltatók, egyesületek, stb. Összekapcsolva ezeket életünkről olyan részletes elemzés készíthető, amely már a magánélet sérthetetlenségét is veszélyezteti. Bizonyos személyes adatok, pl. az egészségi állapotra, anyagi helyzetre, vallásra, párttagságra, stb. vonatkozó adatok, kezelése engedélyhez kötött és különös gondosságot kíván.
Az infokommunikációs hálózatokon, mobiltelefonokon nagy
távolságba lehet nagy mennyiségű adatot olcsón és gyorsan eljuttatni, illetve adatokhoz hozzáférni. Ez újabb lendületet adott az informatika fejlődésének.
A hálózatok azonban nyilvános csatornának minősülnek, az
adatcsomagokhoz illetéktelenek is hozzáférhetnek.
2011. évi CXII. törvény Az információs önrendelkezési
jogról és az információszabadságról. Az 1997 évi XLVII törvény Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 1997. évi CLIV. tv. az egészségügyről. A 62/1997. (XII.21.) NM rendelet az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről 13/2005. (X. 27.) IHM rendelet a papíralapú
dokumentumokról elektronikus úton történő másolat készítésének szabályairól
Biztonsági követelmények
• authentikáció (authentication) – (személy)azonosítás • • •
•
biztosítása authorizáció (authorization) – hozzáférés biztosítása titkosság, bizalmasság (privacy, confidentiality) adatintegritás (data integrity) – adatsértetlenség biztosítása, rejtett adatmegváltoztatás lehetetlensége letagadhatatlanság (non-repudiation) – egy objektum létrehozója ne tagadhassa le az objektum létrehozásának tényét.
• authentikáció (authentication) – hitelesítés
(személy)azonosítás biztosítása
A „mit tudsz?” kérdésre adott válasz (tudás: jelszó, PIN-kód), 2. A „mid van?” kérdésre bemutatott eszköz (tulajdonlás alapú pl. kártya, igazolvány, kulcs stb.) 3. És a „ki vagy?” kérdésre adott az egyénre jellemző biológiai adat (tulajdonság: ujjlenyomat, hang, DNS-minta, vénaszkenner, stb.) 1.
• authorizáció (authorization) – hozzáférés biztosítása ,
feljogosítás A számítástechnikában olyan eljárást jelent, amely megadott erőforrásokhoz (adatállományokhoz, valamilyen rendszer meghatározott szolgáltatásaihoz) való hozzáférést csak jogosultság esetén biztosít.
A feljogosítás azon jogok megadása a szubjektumok részére,
amelyekkel - az erőforrásokkal és adatokkal kapcsolatban előre meghatározott szabályok szerint rendelkezhetnek. Szorosan kapcsolódik az [Autentikáció] témaköréhez, és ma már többnyire együtt is említendő a gyakorlati munka során. A megfelelő autentikáció után következik a jogosultságok felhasználóhoz vagy egyéb szubjektumhoz rendelése. Fontos kiemelni, hogy a megfelelő autentikációt követheti egy nem megfelelő autorizáció . Amennyiben nem megfelelő a jogosultságok kezelése, úgy a rendszer mindhárom fő biztonsági paramétere sérülhet.
• titkosság, bizalmasság (privacy, confidentiality) -
Az információhoz csak azok a természetes és jogi személyek férhetnek hozzá akik erre feljogosítottak, és azok is csak az előírt módon. A rendszerek és adatok biztonsági osztályba sorolása meghatározza azok kezelési módját a bizalmasság – titkosság vonatkozásában is.
• adatintegritás (data integrity) –
adatsértetlenség biztosítása, rejtett adatmegváltoztatás lehetetlensége • letagadhatatlanság (non-repudiation) –
egy objektum létrehozója ne tagadhassa le az objektum létrehozásának vagy módosításának a tényét.
Kockázati tényezők
A fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élő- erős védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, klimatizálás és a tűzvédelem….
A védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések, továbbá a védelemre vonatkozó oktatás;.
Az elektronikus információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem.
Tapasztalatlanság Adatlopás – bennfentes, külső Szándékos rongálás, károkozás Rendszergazda Mérnök
2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 2015.07.16. óta hatályos 77/2013 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről TÖRÖLVE 2015.07.16. 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre,termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről 2015.07.16. óta hatályos
2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről
2012.11.12. óta hatályos 246/2015. (IX. 8.) Korm. rendelet az egészségügyi létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről
2015.09.16. óta hatályos
Kérdések
A nemzet érdekében kiemelten fontos a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. 2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 2 .melléklet
Javaslattevő hatóság az AEEK (246/2015. (IX. 8.) Korm. Rendelet 2 2§ a-b pont)
4. § Nemzeti létfontosságú rendszerelemnek kell nyilvánítani az aktív fekvőbeteg-ellátót, illetve annak telephelyét a továbbiakban együtt: kórház), ha a) legalább 400 aktív ággyal rendelkezik, vagy a területi ellátási kötelezettségébe tartozók létszáma eléri vagy meghaladja az 1,5 millió főt, és b) kiesése esetén a legközelebbi kórház közúton 45 percen belül nem közelíthető meg az ellátottak által, vagy a kórház működésének folyamatos fenntartásához egészségpolitikai érdek fűződik.
5. § Az e törvény hatálya alá tartozó elektronikus információs
rendszerek teljes életciklusában meg kell valósítani és biztosítani kell a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.
6. § Az elektronikus információs rendszernek az 5.
§-ban meghatározott feltételeknek megfelelő védelme körében a szervezetnek külön jogszabályban előírt logikai,fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a) a megelőzést és a korai figyelmeztetést, b) az észlelést, c) a reagálást, d) a biztonsági események kezelését.
Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége Biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása Biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére Biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére
11. § (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: a) biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály tekintetében a jogszabályban meghatározott követelmények teljesülését, b) biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban meghatározott követelmények teljesülését, f) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot, g) gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról, h) rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén meggyőződik arról, hogy a szervezet elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak, i) gondoskodik az elektronikus információs rendszer eseményeinek nyomon követhetőségéről, j) biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról, és ezt követően a biztonsági események kezeléséről, k) ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek, l) ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek, m) felelős az érintetteknek a biztonsági eseményekről és a lehetséges fenyegetésekről történő haladéktalan tájékoztatásáért, n) megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.
(2) Az (1) bekezdésben meghatározott feladatokért a szervezet vezetője az (1) bekezdés k) és l) pontjában meghatározott esetben is felelős, kivéve azokat az esetköröket, amikor jogszabály által kijelölt központosított informatikai és elektronikus hírközlési szolgáltatót, illetve központi adatkezelőt és adatfeldolgozó szolgáltatót kell a szervezetnek igénybe venni.
Biztonsági osztályba sorolás
1. Biztonsági osztály (Káresemény jelentéktelen)
Személyes adat sérülés nincs mivel az elektronikus információs rendszer nem kezel jogszabályok által védett (pl.: személyes) adatot, nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható, a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen,
2. Biztonsági osztály (Csekély káresemény keletkezhet)
Személyes adat sérülhet, Az érintett szervezet üzlet-, vagy ügymenete szempontjából csekély értékű, és/vagy csak belső (intézményi) szabályzóval védett adat, vagy elektronikus információs rendszer sérülhet, a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető, a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át.
3. Biztonsági osztály (Káresemény közepes)
Különleges személyes adat sérülhet, személyes adatok nagy mennyiségben sérülhetnek, az érintett szervezet üzlet-, vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek, a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át.
4. Biztonsági osztály (Nagy káresemény következhet be)
Különleges személyes adat nagy mennyiségben sérülhet, Személyi sérülések esélye megnőhet, Az érintett szervezet üzlet-, vagy ügymenete szempontjából nagy értékű, üzleti titkot, vagy különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtá- sa elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni, a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át.
5. Biztonsági osztály (Kiemelkedően nagy káresemény következhet be)
Különleges személyes adat kiemelten nagy mennyiségben sérülhet, emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be a nemzeti adatvagyon helyreállíthatatlanul megsérülhet, az ország, a társadalom működőképessé- gének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított, a lehetséges társadalmi-politikai hatás: sú- lyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek, az érintett szervezet üzlet- vagy ügymenete szempontjából nagy értékű üzleti titkot, vagy kiemelten érzékeny folyamatokat kezelő elektronikus informáci- ós rendszer, vagy információt képező adat tömegesen vagy jelentősen sérülhet, a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át
1. Biztonsági szint Az érintett szervezet biztonsági szintje 1., ha a szervezet nem üzemeltet és nem fejleszt elektronikus információs rendszert, és saját hatáskörben erre más szervezetet, vagy szolgáltatót (ide nem értve a telekommunikációs szolgáltatót) sem vesz igénybe. Az adatfeldolgozás módját nem maga határozza meg, az adatkezelés tekintetében technikai, vagy információtechnológiai döntést nem hoz, a használt elektronikus információs infrastruktúra kialakítása tekintetében döntési jogköre – ide nem értve a szervezet munkavégzését érintő informatikai rendszerelemek elhelyezését – nincs, egyedi adatokat és információkat kezel, vagy dolgoz fel, és kritikus adatot nem kezel. A szervezet információbiztonsági tevékenysége elsődlegesen az elektronikus információs rendszerrel kapcsolatba kerülő személyek információbiztonsággal kapcsolatos kötelezettségeinek szabályozására, számonkérésére terjed ki, addig a mértékig, ameddig a szervezet, vagy az egyes személyek tevékenysége az elektronikus információs rendszerre hatást tud gyakorolni.,
2. Biztonsági szint A szervezet vagy szervezeti egység az 1. szinthez rendelt jellemzőkön túl olyan elektronikus Információs rendszert használ, amely személyes adatokat kezel, és a szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe.
3. Biztonsági szint Ha a szervezet vagy szervezeti egység a 2. szinthez rendelt jellemzőkön túl szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvé- nyes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.
4. Biztonsági szint Ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt.,
5. Biztonsági szint A szervezet vagy szervezeti egység a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.
1.
Adminisztratív védelmi intézkedések
Szervezeti szintű alapofeladatok Kockázatelemzés Rendszer és szolgáltatás beszerzés Üzletmenet (ügymenet) folytonosság tervezése A biztonsági események kezelése Emberi tényezőket figyelembe vevő – személy – biztonság Tudatosság és képzés
2. Fizikai védelmi intézkedések 3. Logikai védelmi intézkedések