Az Országgyűlés az elmúlt két év tapasztalatai alapján felülvizsgálta az információbiztonsági törvényt. – A legfontosabb változásokat Misák István információbiztonsági tanácsadó foglalja össze.

Az Országgyűlés az e-kártya megvalósításához szükséges egyes törvények, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény módosításáról szóló 2015. évi CXXX. törvény elfogadásával módosította az információbiztonsági törvényt.

A módosítások 2015. július 16-án léptek hatályba.

Az információbiztonsági törvény felülvizsgálatával párhuzamosan a Kormány, valamint a Belügyminisztérium elvégezte a végrehajtási rendeletek felülvizsgálatát is.

Ennek eredményeként a következő új jogszabályok léptek hatályba:

  • 187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról
  • 185/2015. (VII. 13.) Korm. rendelet a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól
  • 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről
  • 42/2015. (VII. 15.) BM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének rendjéről
  • A fentiekkel párhuzamosan a következő jogszabályokat helyezték hatályon kívül:
  • 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről
  • 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
  • 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről
  • 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről

Szervezeti változások

A 2014-es kormányzati átalakítás eredményeként már a korábbiakban a Belügyminisztériumhoz került a Nemzeti Biztonsági Felügyelet (korábbiakban: KIM), valamint a Nemzeti Elektronikus Információbiztonsági Hatóság (korábbiakban: NFM, továbbiakban: NEIH).

Az információbiztonsági törvény és annak végrehajtási rendeleteinek módosításával a Nemzeti Biztonsági Felügyelet sérülékenységvizsgálati szakhatósági feladatköre megszűnt, azt a Nemzetbiztonsági Szakszolgálat vette át.

A NEIH 2015. január 1-jétől a Belügyminisztérium főosztályaként tevékenykedett. Ezt a feladatkört mostantól szintén a Nemzetbiztonsági Szakszolgálat veszi át.

Hatósági adatszolgáltatás változása

A korábbiakban lehetősége volt a szervezetnek az Ibtv. 15. § (3) bekezdése szerinti adatokat ÁNYK űrlapon, elektronikusan aláírt elektronikus levélben, vagy postai úton is megküldeni a hatóság részére.

Az új szabályozás (42/2015. BM rendelet) szerint erre kizárólag elektronikus űrlap szolgáltatás igénybevételével a hatóság elektronikus adatbejelentési felületén kerülhet sor.

Fontos változás, hogy idáig az Ibtv. 15. § (1) bekezdése szerinti, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatainak megküldésére vonatkozóan nem volt kötelezően meghatározott formai és tartalmi követelmény (a hatóság segédletet tett közzé a honlapján), mostantól ezeket az adatokat a hatóság által meghatározott formában kell megküldeni.

Változtatták a szervezeti regisztrációját is. Az új szabály szerint elsőként a szervezet regisztrálja be az elektronikus információs rendszerek biztonságáért felelős személyt (továbbiakban: IBF), majd az IBF jelenti be a szervezetet.

A szervezet vezetőjének a feladata, hogy az így kapott regisztrációs űrlap hitelesített példányát biztonságos elektronikus kézbesítési szolgáltatás útján, vagy postai úton megküldje a hatóság számára.

Az új rendelet hatályba lépése előtt regisztrált szervezeteknek nem kell újra regisztrálniuk magukat. Az interneten fellelhető nem hivatalos információk szerint a mintegy 5000 érintett szervezet közül nagyságrendileg 1000 tett eleget a bejelentési kötelezettségének.

Biztonsági osztályba sorolás, biztonsági szintbe sorolás követelményeinek változása

Fontos megemlíteni, hogy megváltozott a szervezetek biztonsági szintbe sorolásának a módja.

A törvény alapján valamennyi hatálya alá tartozó szervezetnek biztonsági szintbe kell sorolnia szervezetét és a megállapított biztonsági szinttől függően adminisztratív és fizikai védelmi intézkedéseket kell bevezetnie.

A korábbiakban az Ibtv. definiálta az egyes szervezetek minimális biztonsági szintjét, valamint azt, hogy legalább a legmagasabb biztonsági osztályba sorolt elektronikus információs rendszerével azonos biztonsági szinttel kellett, hogy megegyezzen.

A módosítást követően a fenti módszertant megszűntették, mostantól az elektronikus információs rendszerek felhasználásának a módja határozza meg egy szervezet biztonsági szintjét.

Változás továbbá, hogy az új szabály szerint nem csak a szervezetet, hanem a következő szervezeti egységeket is biztonsági szintbe kell sorolni:

Az elektronikus információs rendszer

a) fejlesztését végző,
b) üzemeltetését végző,
c) üzemeltetéséért felelős vagy
d) információbiztonságáért felelős szervezeti egységek.

A besorolási útmutatót a technológiai vhr tartalmazza.

Ennek alapján 2-es a biztonsági szintje a szervezetnek, amely személyes adatokat kezel, és a szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe.

Jogszabály alapján kijelölt szolgáltató lehet a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet alapján a Nemzeti Infokommunikációs Szolgáltató Zrt. (továbbiakban: NISZ) vagy az önkormányzati ASP központról és a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet módosításáról szóló 62/2015. (III. 24.) Korm. rendelet alapján szintén a NISZ, illetve a Magyar Államkincstár.

3-as a biztonsági szintje annak a szervezetnek, amely a szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.

Az Ibtv. alapján kritikus adat: az Infotv. szerinti személyes adat, különleges adat vagy valamely jogszabállyal védett adat.

Az Info tv. szerint különleges adat

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

Jogszabály által védett adat lehet az adótitok, az üzleti titok, a orvosi, ügyvédi, biztosítási, banktitok stb.

4-es a szervezet biztonsági szintje, ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt.

Az Ibtv. alapján zártcélú elektronikus információs rendszer a nemzetbiztonsági, honvédelmi, rendészeti, diplomáciai információs feladatok ellátását biztosító, rendeltetése szerint elkülönült elektronikus információs rendszer, amely kizárólagosan a speciális igények kielégítését, az e célra létrehozott szervezet és technika működését szolgálja.

5-ös biztonsági szintbe kell sorolni azokat a szervezeteket, amelyek a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.

Az európai létfontosságú rendszerelemekkel és a nemzeti létfontosságú rendszerelemekkel a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény foglalkozik.

Az új módszertan alapján javasolt minden szervezet részére a biztonsági szintjének felülvizsgálata, mivel más szempontrendszer alapján végzett vizsgálat vélhetően más eredményt ad.

A fentiek alapján megállapítható, hogy az a szervezet, amely központi szolgáltatótól veszi igénybe az elektronikus információs rendszerek szolgáltatásait annak alacsonyabb lesz a biztonsági szintje, mint annak, aki önállóan üzemelteti azokat.

Hogy a fenti megoldás mennyire lesz hatékony, azt csak az elkövetkező évek tapasztalatai fogják tudni megmondani.

Misák István
információbiztonsági tanácsadó
http://misec.hu