77/2013 - Követelmények és a gyakorlat Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT
Bevezetés Lassan egy éve fogadták el az Ibtv.-t Lassan 3 hónapos a 77/2013 NFM rendelet Lassan itt a következő határidő, 2014. július 1. Lassan ki kell, hogy derüljön, hogyan lehet a követelményeknek megfelelni… LEGAL NOTICE: nem vagyok jogalkotó, nem vagyok hatóság, minden, ami itt elhangzik csak pletyka gyakorlati tapasztalat!
A követelmények A 77/2013 hosszú és érdekes olvasmány. Tessék alaposan elolvasni! Felépítése: Biztonsági osztályba sorolás irányelvei Biztonsági szintbe sorolás irányelvei Besorolási útmutató Eltérések, helyettesítő biztonsági intézkedések (!!!) Védelmi intézkedések katalógusa
77/2013 FAQ Kockázatelemzés vs. kötelező osztálybasorolás Kérdés: az elektronikus információs rendszereket kockázatelemzés vagy a rendelet szerint kell osztályba sorolni? Tanács: A vonatkozó szempontrendszer ajánlás, segédlet. Célja az érintettek segítése, nem kötelező ennek alkalmazása. 1.3. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni. 2.1. Az Ibtv. szerint a besorolás elvégzése a következő elvek figyelembevételével az érintett szervezet felelőssége, az alábbiak a döntéshez csak szempontokat jelentenek. A meglevő védelmi intézkedések hatása a besorolásra Kérdés: ha a meglevő védelmi intézkedések csökkentik a kockázati szintet, akkor csökkentik az osztályba sorolási értéket is? Tanács: A jogszabály zárt szabályozási rendszert hozott létre. Ha a csökkenő kockázati szint miatt elhagyok egy védelmi intézkedést, a kockázat nő(het), így magasabb osztályba fogok tartozni. 1.2.7.1. Azok a biztonsági intézkedések, amelyek kizárólagosan támogatják a bizalmasságot, a sértetlenséget és a rendelkezésre állást, visszasorolhatók (vagy módosíthatók, kivehetők, ha alacsonyabb szinten nincsenek meghatározva) alacsonyabb szintre, ha ez az alacsonyabb szintű besorolás: 1.2.7.1.3. az érintett szervezetre végrehajtott kockázatelemzés szerint indokolható;
77/2013 FAQ Kétévenkénti szintemelés rendszerenként vagy infrastruktúránként? Kérdés: Ha A és B rendszert 4-es szintre kell hozni, de A most 3-as, B pedig 2-es, hány évem van? Tanács: a két év rendszerenként értendő, tehát A-re 2, B-re 4 évem van 2.1. A helyettesítő biztonsági intézkedés olyan eljárás, amelyet az érintett szervezet a reá irányadó biztonsági szinthez tartozó biztonsági intézkedés helyett alkalmazni kíván, és egyenértékű vagy összemérhető védelmet nyújt az adott elektronikus információs rendszerre valós fenyegetést jelentő veszélyforrások ellen, és a helyettesített intézkedéssel egyenértékű módon biztosít minden külső vagy belső követelménynek (például törvényeknek, vagy szervezeti szintű szabályzóknak) való megfelelést. Milyen kockázatelemzés lesz elfogadható? Kérdés: Milyen kockázatelemzési módszertan elfogadható? Tanács: a kockázatelemzést a szervezet saját maga határozza meg. Kiindulási pontként használhatók a KIB 25 és KIB 28 ajánlások. 11. § (1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint: f) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,
77/2013 FAQ Hogyan kell kiválasztani a követelményeket? Kérdés: mi alapján jönnek ki az egyes követelmények: Tanács: CIA besorolás EIR-enként, fizikai besorolás maxFL(CIAEIR), adminisztratív besorolás max(CIAEIR), figyelembe véve a lehetséges eltéréseket! 1.1. Az érintett szervezet biztonsági szintjét meghatározza a működtetett elektronikus információs rendszerek biztonsági osztályba sorolása. Az érintett szervezet a biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a szervezet feladataira, a vele szemben fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal érvényesíti. A legmagasabb biztonsági osztályba sorolt rendszer biztonsági osztályát ennek figyelembevételével lehet a biztonsági szint meghatározásakor mérvadónak, vagy nem mérvadónak tekinteni. Az idő kevés, a feladat nagy… Kérdés: Hogyan lehet százas nagyságrendű rendszerre elvégezni a korrekt besorolást ilyen rövid idő alatt? Tanács: Általában „tudjuk”, hogy melyek a legfontosabb rendszerek. Ami (szerintem) a legfontosabb: történjen meg az adatvagyon felmérése, a legfontosabb rendszerekre vonatkozóan a kockázatelemzés és a besorolás. Minden más 1. vagy 2. biztonsági osztály további intézkedésig. 8. § (1) A biztonsági osztályba sorolást legalább háromévenként vagy szükség esetén soron kívül, dokumentált módon felül kell vizsgálni. (2) A soron kívüli biztonsági osztályba sorolást az elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás vagy új elektronikus információs rendszer bevezetése esetén szükséges elvégezni. A soron kívüli felülvizsgálatot akkor is el kell végezni, ha a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatok vonatkozásában változás következik be.
77/2013 FAQ Ki kell dobnom a meglevő szabályozást? Kérdés: van egy létező IBIR-em, mi legyen vele? Tanács: Nem, a létező IBIR-eknek tovább kell élnie! A rendelet ősforrása a NISTSP 800-53 Rev. 4, ebben találhatók összerendelési táblázatok pl. az ISO 27001-hez. Elvileg a létező IBIR-hez kevéssé kell hozzányúlni. 1.2.5.1. A tervezett, vagy már működtetett elektronikus információs rendszerekre alkalmazott biztonsági intézkedések kialakítása során figyelembe kell venni a rendszer célját meghatározó jogszabályi hátteret, funkciót is. Mi lesz a minősített adatokkal? Kérdés: Hogy viszonyul a 77-es a Mavtv.-hez? Tanács: Amíg az NBF máshogy nem rendelkezik, a 77-es mérvadó a minősített adatokat kezelő EIR-ek követelményeivel kapcsolatban. (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni,
77/2013 FAQ Vonatkozik a rendelet a bankra/gyárra/telco szolgáltatóra? Kérdés: A rendelet kizárólag az állami és önkormányzati szervezetekre vonatkozik, vagy másra is? Tanács: Az Ibtv. hatálya kiterjed az állami szervek adatkezelőire, a nemzeti adatvagyon feldolgozóira és a létfontosságú rendszerelemekre is! Ez utóbbiakra akkor fog kiterjedni, ha kijelölik őket! (2) A hatóság feladata: f) javaslattétel a létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére, Hova forduljak segítségért? Kérdés: Milyen segítség áll rendelkezésre a határidő sikeres teljesítéséhez? Tanács: A NEIH honlapján található egy kitöltési útmutató, a KIB ajánlások továbbra is használhatók, a NIST SP 800-53 meglehetősen hasonló a 77-eshez, az NKE megkezdte a felelősök képzését, a tanácsadók pedig sorban állnak, hogy segíthessenek… A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.
Hogyan tovább? Ne felejtsük el: az Ibtv. egy meglehetősen rugalmas keret, amit hosszú távon tudunk ideálisan kitölteni! Mindenkinek a részéről szükség van egyfajta rugalmasságra a jog keretei között! A beavatkozási pontok egyébként is az állam rendelkezésére állnak! Ne feledjük, bizonyos értelemben úttörők vagyunk, a gyakorlatot EGYÜTT kell kialakítanunk!
Köszönöm a figyelmet! Dr. Krasznay Csaba E-mail: krasznay.csaba@uni-nke.hu Web: www.krasznay.hu Köszönöm a figyelmet!