Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság Információvédelem menedzselése XXXV. Szakmai Fórum Budapest,
Jogszabályi alapok A magyar közigazgatásra jelenleg érvényes alapvető informatikai biztonsági jogszabályok: 195/2005. (IX. 22. ) Korm. rendelet az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről Figyelembe veendő jogszabályok: évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (Avtv.) évi XXXV. törvény az elektronikus aláírásról (Eat.) évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) 193/2005. (IX. 22.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól (Ekr.) 194/2005. (IX. 22.) Korm. rendelet a közigazgatási hatósági eljárásban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó követelményekről 182/2007. (VII. 10.) Korm. rendelet a központi elektronikus szolgáltató rendszerről
A KIB 25. számú Ajánlása (MIBA) KIB - Közigazgatási informatikai Bizottság MIBA – Magyar Informatikai Biztonsági Ajánlások ( ) Az ajánláscsomag nyitó kötete az infokommunikációs biztonság szükségességéről, helyéről és szerepéről, és az önálló kötetek tartalmáról rövid összefoglaló Önálló kötetekben: a szervezeti szintű informatikai biztonságról (IBIR – Informatikai Biztonság Irányítási Rendszere) – informatikai vezetőknek, informatikai biztonsági felelősöknek az informatikai biztonsági dokumentumok tartalmi követelményei (IBIK – Informatikai Biztonság Irányítási Követelményei) az informatikai biztonság szervezeti szintű vizsgálatának (ellenőrzésének) formái és eljárásai (IBIV - Informatikai Biztonság Irányításának Vizsgálata) a technológiai szintű informatikai biztonságról a MIBÉTS (Magyar Informatikai Biztonság Értékelési és Tanúsítási Séma) Külön kötetekben: megbízóknak, vezetőknek, fejlesztőknek, értékelőknek a kis szervezetek, különösen az önkormányzatok informatikai biztonsági felkészülésének támogatására külön kötet!
Informatikai biztonsági felügyelő A 195/2005. (IX. 22. ) Korm. rendelet 5. § (1) bekezdése szerint a közigazgatási szervek informatikai biztonságának felügyeletét a közigazgatási informatikáért felelős miniszter látja el az általa kinevezett informatikai biztonsági felügyelő útján A Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről szóló 84/2007. (IV. 25.) Korm. rendelet 4. § (1) bekezdése szerint a közigazgatási informatikáért felelős miniszter a közvetlen irányítása alá tartozó informatikai biztonsági felügyelőt nevez ki, vagy bíz meg.
Az informatikai biztonságról szóló törvény előkészítése december: Nemzetbiztonsági Kabinet határozata január: előkészítő tevékenységek február-március: az 1. változat véleményeztetése (NB) április-május: a 2. változat véleményeztetése (szakmai) június-november: E-közszolgáltatásról szóló törvénnyel összehangolás november február: kodifikációs egyeztetés az IRM-mel március: a 3. változat kész március-április: közigazgatási egyeztetés április: kormány elé terjesztés április vagy május: benyújtás az Országgyűléshez
Informatikai biztonságról szóló törvény-javaslat Fő részei: Hatálya Értelmező rendelkezések Egyetemes informatikai biztonsági minimum követelmények Kritikus infrastruktúrák Az elektronikus szolgáltatások informatikai biztonsága Az adattartalmak megismeréséhez kapcsolódó rendelkezések Alkalmazásszolgáltató központok (ASP) A lakosság informatikai biztonsági kultúrájának emelését célzó, és a szolgáltatók tájékoztatási kötelezettségeit érintő rendelkezések Az informatikai biztonság felügyeleti és irányítási rendszere Felhatalmazó rendelkezések Módosuló jogszabályok Hatálybalépés, átmeneti rendelkezések
Hatálya Minden, a Magyar Köztársaság területén elérhető informatikai rendszer és elektronikus szolgáltatás a fentiek működtetői és üzemeltetői a fentiek használói és igénybe vevői Kivételek (amelyek szigorúbb rendszabályokat írhatnak elő) a minősített információkat kezelő, feldolgozó, továbbító rendszerek; a NATO és EU védett információkat továbbító rendszerei; a külügyi, nemzetbiztonsági, katonai, bűnüldöző szervek rendszerei
Értelmező rendelkezések újdonságai Fontosabb új fogalmak jogszabályi bevezetése: biztonságos elektronikus szolgáltatás egyetemes informatikai biztonsági minimum követelmények egyetemes informatikai biztonsági szintek informatikai támadást megvalósító hálózat személyi azonosításra alkalmas adat
Informatikai biztonsági szintek 5 szint: 1.A kritikus infrastruktúra ágazatok minden informatikai rendszere, zártcélú, és nyilvános elektronikus hálózata, illetőleg szolgáltatása, és informatikai alkalmazása 2.Minden olyan nyilvános elektronikus szolgáltatás, amely személyi azonosításra alkalmas adatot kezel, tárol, feldolgoz, illetőleg továbbít 3.Minden olyan nyilvános elektronikus szolgáltatás, amely nem kezel, nem tárol, nem dolgoz fel, illetőleg nem továbbít személyi azonosításra alkalmas adatokat, beleértve a személyes azonosításra alkalmas adatokat nem kötelezően kérő, anonim regisztrációhoz kötött szolgáltatást is 4.Minden egyéb informatikai rendszer, belső informatikai hálózat, korlátozott (belső) hozzáférésű nemnyilvános elektronikus szolgáltatás, illetőleg nyilvános elektronikus szolgáltatás igénybevételére alkalmas belső hálózat vagy egyedi számítógép 5.A lakossági, otthoni, saját célú informatikai hálózat és internethez kapcsolt egyedi számítógép
Egyetemes informatikai biztonsági minimum követelmények Az 1. és 2. szinten kötelező a teljesítésük Alapkövetelmények a törvényben, részletesen kormányrendeletben Technikai-technológiai értékelés és szolgáltatás-audit a KIB 25. ajánlása (MIBA) alapján Az NHH regisztrálja az auditált szolgáltatásokat január 1-től csak regisztrált 1. és 2. szintű szolgáltatások működhetnek A 3. szint is auditáltathatja és regisztráltathatja a szolgáltatást (de nem kötelező) A 4. szinten az üzemeltetőnek biztosítania kell az adatok biztonságát, és a rendszer külső támadások elleni védelmét Az 5. szinten (lakosság) törekedni kell a külső támadások elleni védekezésre
Informatikai biztonságról szóló törvény-javaslat Legfontosabb elemei: január 1-től a személyi azonosítást tartalmazó elektronikus szolgáltatások, illetve az e-közszolgáltatások csak akkor működhetnek, ha informatikai biztonsági szempontból auditálva és regisztrálva vannak; a kritikus infrastruktúra ágazatok minden informatikai elemét auditáltatni szükséges; kötelezővé teszi az internet-szolgáltatók részére a folyamatos lakossági tájékoztatást az internet-használattal összefüggő biztonsági kockázatokról bevezeti a személyiséglopás és a támadó informatikai hálózatok (botnet) fogalmát (a Btk. és a Be. párhuzamos módosítása ezeket bűncselekménnyé nyilvánítja, és rendelkezik a bűncselekményt megvalósító internetes tartalmak hozzáférhetetlenné tételéről); kimondja, hogy a forgalmazott adatok tartalma (beleértve az eket is) csak bírói engedéllyel ismerhető meg; rendelkezik az informatikai biztonság felügyeleti és irányítási rendszeréről, hálózatbiztonsági központ működtetéséről
Auditálási rendszer A törvény-javaslat január 1-től teszi kötelezővé (a jelenleg működő e-szolgáltatásoknál december 31-ig le kell folytatni!) Két részből áll: Szervezeti, technológiai értékelés (szervezetenként 1-szer) Szolgáltatás informatikai biztonsági auditja (szolgáltatásonként) Auditálásra jogosultak: Átmeneti időszakban ( ): a 143/2004. (IV. 29.) Korm. rendelet szerinti eljárással kiválasztott auditáló cégek (kategóriánként 5) Később: minden olyan informatikai biztonsági auditálással foglalkozó cég, amely ilyen irányú akkreditációval rendelkezik
Köszönöm a figyelmet!