©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Az elektronikus információbiztonságról szóló törvénytervezet Dr. Krasznay Csaba IT biztonsági tanácsadó
A tervezet indokoltsága 2HP Confidential A szakma évek óta készül a jogszabály elfogadására, hiszen – egyre jobban függünk kritikus információs infrastruktúráinktól, – a kiberfenyegetések nemzetünk egyik fő biztonsági kérdésévé váltak, – a hacktivizmus, a kiberbűnözés és a kiberhadviselés bennünket sem kerül ki Többszöri halasztás után olyan tervezet készült, melyet a szakmai szervezetek véleményeztek és széleskörűen támogatnak. Olyan kerettörvény-tervezet készült, mely: – időtálló, de reagál a technológiai újításokra, – költséghatékony, de a kockázatokkal arányos, – kellő átmenetet biztosít, de aránylag gyorsan növeli a védelmi szinteket, – alkalmazkodik a jelenlegi viszonyokhoz, de finoman javítja azt, – erős kontrollálást tesz lehetővé, de elsősorban az együttműködésre épít.
A tervezet tartalma 3HP Confidential A törvény hatálya kiterjed: – a közigazgatás egészére – a nemzeti adatvagyon adatfeldolgozóira – a kritikus információs infrastruktúrákra A jogszabály szerint védeni kell a közigazgatás elektronikus információit és a kritikus információs infrastruktúrákat oly módon, hogy: – be kell tartani az információbiztonság alapvető elveit, – biztonsági osztályokba kell sorolni az elektronikus információs rendszereket, – biztonsági szinteket kell meghatározni a szervezeteknél. Jól meghatározott felelősségi körök kerülnek kijelölésre a szervezet vezetője és a biztonságért felelős személy részére. A tervezet megjelöli a védelemben kiemelten fontos szervezeteket: – a Nemzeti Elektronikus Információvédelmi Hatóságot, – az Információbiztonsági gondnokot, – a Nemzeti Biztonsági Felügyeletet – a kormányzati eseménykezelő központot A tervezet foglalkozik a képzés és a kutatás-fejlesztés kérdésével is.
A szolgáltatók kötelezettségei 4HP Confidential A teljes közigazgatási informatika üzemeltetése valószínűleg elképzelhetetlen piaci szolgáltatók nélkül. Jogos igény viszont az, hogy a szolgáltatók megfelelő kontrollok mellett működjenek. Ennek biztosítása érdekében – a szervezet vezetője gondoskodik arról, hogy a törvényben foglaltak szerződéses kötelemként jelenjenek meg a szolgáltatók felé is, – a biztonságért felelős személy ellenőrzési és beavatkozási jogosultságai kiterjednek a közreműködők érintett rendszereire és szervezeti egységeire is, – a szervezet vezetőjének és a biztonságért felelős személynek a felelőssége nem áthárítható, – az ellenőrző szervek jogosultságai közvetve kiterjednek a szolgáltatókra is. Összességében minden adott ahhoz, hogy egy szolgáltató megfelelően ellenőrizhető legyen, ehhez azonban megfelelő ajánlásokat és eljárásokat kell kidolgozni!
Cloud kérdések 5HP Confidential Az egyik leggyakrabban feltett kérdés a tervezettel kapcsolatban az volt, hogy a cloud megoldások engedélyezettek-e? A tervezet időtálló, ezért nem nevesít egy technológiát sem, de egyértelműen támogatja a (publikus) cloud szolgáltatásokat, amennyiben: – a szolgáltatónak van magyarországi képviselője, – a szolgáltatás az Európai Unió területén belüli adatközpontból történik, – a Hatóság engedélyezi a szolgáltatás igénybevételét. A publikus cloud használata tehát valószínűleg kockázatarányos döntés lesz, hasonlóan más iparágakhoz. Nem valószínű, hogy stratégiai állami szolgáltatások publikus cloud szolgáltatásokat vesznek igénybe, bár a SOA alapú megoldásoknál néhány SaaS típusú megoldás nem elképzelhetetlen.
Közigazgatási cloud 6HP Confidential Minden technológiai, jogi és gazdasági feltétel adott ahhoz, hogy kiépüljön egy közigazgatási (community) cloud. Érdekes kettősség: – a közigazgatási cloud egyrészt tárgya a jogszabálynak, – másrészt közreműködő szolgáltatóként jelenik meg a jogszabály alanyainál. Gyaníthatóan egy ilyen szolgáltatásnak magas biztonsági osztályba, üzemeltetőjének pedig magas biztonsági szintbe kell majd tartoznia. Viszont mindazon szervezetekkel, ahol igénybe vennének egy ilyen szolgáltatást, külön szerződést kell kötni (ld. korábbi szabályozás). A közigazgatási cloud igénybevétele nem jelentené viszont a szervezet vezetőjét terhelő felelősség áthárítását. De bizonyosan hozzájárulna ez a megoldás a biztonságosabb közigazgatás kialakításához!
THANK YOU