Elektronikus információbiztonság a közigazgatásban - Ötezer intézményt kötelez felülvizsgálatra az információbiztonsági törvény

2013.11.28. Jogi Fórum / KÜRT

A Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára, mindezt határidőkhöz kötötten. A témával több informatikai rendezvényen is foglalkoztak már, azonban a gyakorlati megoldások mindeddig háttérbe szorultak. Ezekről – az intézményeknek nem kis fejtörést okozó gyakorlati teendőkről – rendezett a KÜRT Zrt. szakmai konferenciát november 27-én, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával.

Az elektronikus információbiztonságról szóló, a Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvényt az Országgyűlés ez év április 15-én fogadta el, és hatályba lépése óta számos végrehajtási rendelet is megjelent. A törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára.

Az elektronikus információbiztonságról szóló törvény elsődleges célja az elektronikus információs rendszerek és az általuk kezelt adatok kockázatarányos védelmének biztosítása, valamint a lehetséges biztonsági események megelőzése, az elektronikus információs rendszerek védelmi képességeinek folyamatos szinten tartása és a bekövetkezett biztonsági események kezelése.

A törvény hatálya alá tartozik a teljes közigazgatás és minden szervezet, amely

  • az állam és az önkormányzatok számára adatkezelést végez;
  • a nemzeti adatvagyon adatfeldolgozója;
  • kritikus információs infrastruktúra üzemeltetője.

A törvényben és a végrehajtási rendeletekben foglaltak értelmezése, az egyes kötelezettségek határidőre történő gyakorlatba ültetése és kielégítése komoly kihívás elé állítja a törvény hatálya alá tartozó intézmények jelentős részét. Informatikai, biztonsági és intézményi vezetőknek egyaránt értelmezni kell a törvényalkotó által megfogalmazott követelményeket, és ennek megfelelően szükséges módosítani az intézmény információbiztonsági állapotát, valamint a kapcsolódó működési elemeket. Mindennek megvalósítása a meghatározott határidőkön belül nem könnyű feladat, és nehezíti a helyzetet, hogy az előírások nem megfelelő teljesítése különböző módokon szankcionálható.

Segítendő az eligazodást a törvény hatálya alá tartozó intézmények számára és megkönnyítendő az előírásoknak a mindennapok gyakorlatába történő átvezetését, a KÜRT Információbiztonsági és Adatmentő Zrt. – a törvény végrehajtásának felügyeletével megbízott kormányzati szervek, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával – november 27-én ingyenes szakmai konferenciát rendezett, Információbiztonsági Törvény – Mit is jelent ez a gyakorlatban? címmel.

A rendezvényen a NEIH elnöke, Nagy Zoltán Attila ismertette a Hivatal elvárásait és az ellenőrzések menetének tervezett lépéseit. A GovCERT vezetője, Gyebrovszki Tamás az incidensek feldolgozásának menetéről, az intézményekkel való együttműködés módjáról és a Központ vonatkozó elvárásairól adott tájékoztatást.

A KÜRT szakértői az Információbiztonsági Törvényről, annak értelmezéséről, lényegi kérdéseiről, a konkrét gyakorlati lépésekről (kockázatelemzés, biztonsági osztályba sorolás, stb.), a törvényi előírások és követelmények teljesítéséhez alkalmazandó módszertanokról és eljárásokról beszéltek, illetve arról, hogy milyen eszközökkel lehet megkönnyíteni, hatékonyabbá tenni a feladatok elvégzését.

  • kapcsolódó anyagok
ADATVÉDELEM
KÖZIGAZGATÁS
INFOKOMMUNIKÁCIÓS JOG
E-KÖZIGAZGATÁS