IBTV változások

A 2013. évi L. törvény (az állami és önkormányzati szervek elektronikus információbiztonságáról) módosítása már a közeljövőben várható. Az alábbiakban rövid áttekintést adunk a lehetséges változásokról.

Az ISACA Budapest Chapter májusi 2-án, szerdán megtartott előadásán Kodaj Katalin, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) elnökhelyettese beszélt a 2013. évi L. törvény (röviden: Információbiztonsági törvény – IBTV) hatályba lépése óta szerzett tapasztalatokról és a közeljövőben várható törvényi változásokról.

Az IBTV módosítása jelenleg is napirenden van, a módosítások hatályba lépése 2015. július 1-jétől várható. Az IBTV változása miatt az alábbi jogszabályok módosítására is számíthatunk:

• 301/2013. (VII. 29.) Korm. rendelet – Teljesen új kormányrendelet várható helyette.
• 233/2013. (VI. 30.) Korm. rendelet – Módosítás alatt.
• 73/2013. (XII. 4.) NFM rendelet – Módosítás alatt.
• 77/2013. (XII. 19.) NFM rendelet – Módosítás alatt.
• 26/2013. (X. 21.) KIM rendelet – Tervben a módosítás, ősszel várható.

Amennyiben a szervezetek eleget tettek a bejelentési kötelezettségüknek és maradéktalanul megküldték az elvárt információkat, abban az esetben a törvénymódosítás várhatóan nem ró rájuk újabb teendőket.

Lehetséges változások az IBTV gyakorlatában a törvénymódosítást követően:

• A tervek szerint változik a bejelentés módja, az eddigi postai és ügyfélkapus beküldési lehetőségek megszűnnek. A változás már csak azért is indokolt, mert az ügyfélkapu állampolgárhoz, nem pedig szervezethez kötött, így visszaélésre ad lehetőséget. A továbbiakban a NEIH saját, erre a feladatra kialakításra kerülő szakrendszerének segítségével lehetne eleget tenni a bejelentési kötelezettségnek.
• A NEIH az osztályba sorolás eredményének alátámasztása céljából ezentúl elvárja, a korábban csak javasolt NEIH segéd Excel kitöltését és megküldését.
• A Hatóság ellenőrzési és szankcionálási jogköre is bővül. Szükség esetén átsorolhat rendszereket. A kitöltött segédlet alapján kockázatelemzést végezhet, és eljárást indíthat kritikus kockázatok megszüntetésének céljából. Ha az adminisztratív eszközök csődöt mondanak, akkor információbiztonsági felügyelőt rendelhet ki a szervezethez. Ha a szervezet nem működik közre, nem tesz lépéseket a kockázatok megszüntetésé érdekében akkor a hatóság bírságot szabhat ki.
• Jelentős változást jelent majd, hogy új rendszerek bevezetésénél vagy meglévő rendszerek fejlesztésénél az elektronikus információs rendszereknek legkésőbb az üzembe helyezésig meg kell felelniük a besorolás alapján megállapított biztonsági osztály követelményeinek.
• Nagyobb szervezetek esetében jelentős könnyebbséget jelenthet, hogy lehetőség lesz különböző biztonsági szintek meghatározására egyes alegységek esetében. Ez lehetővé teszi, hogy az egész szervezet alacsonyabb biztonsági szintnek feleljen meg, míg egyes specializált területek (informatikai fejlesztést vagy informatikai üzemeltetést végző, informatikai üzemeltetésért vagy információbiztonságért felelős) magasabb biztonsági szintbe sorolást kapjanak. Így a magasabb biztonsági szinthez tartozó, szigorúbb követelményeknek elég az egyes kritikusabb fontosságú területeken megfelelni, míg az egész szervezet kockázatarányosan, csak kevésbé szigorúbb követelményeknek felel meg.
• Az informatikai politika és stratégia kialakítására vonatkozó követelmények megszűnhetnek, hiszen az állami szereplők számára ezt külön kormányrendelet rögzíti.
• Várhatóak a biztonsági szintek követelményeinek pontosítása.
• Az elektronikus információs rendszer biztonságáért felelős személyek továbbképzésének átalakítása is várható, a tervek szerint kreditrendszerű megoldás bevezetésének lehetőségeit mérlegelik.

Kodaj Katalin ismételten felhívta a figyelmet, hogy a szervezetek vezetői (nem az elektronikus információs rendszer biztonságáért felelős személy) felelősek a törvényi kötelezettségek teljesítéséért. Információbiztonsági incidens esetén a szervezet vezetőjének, súlyos esetben büntetőjogi felelőssége is megállapítható, amely akár három évig terjedő szabadságvesztéssel is büntethető. A NEIH (amennyiben sikerül erőforrást allokálnia) idén ősszel konferenciasorozatot tervez a változások kommunikálása és a tudatosság javításának céljából. A tapasztalat ugyanis azt mutatja, hogy nagy szükség van további tájékoztatásra. A körülbelül 5.000 érintett szervezet közül csupán mintegy 1.000 tett eleget a bejelentési kötelezettségének. Ezen szervezetek egyharmada nem végezte el a biztonsági osztályba sorolást. De legalább 500 szervezet esetében előfordul, hogy olyan rendszereket is besoroltak, amelyek nem a szervezet felelősségi körébe tartoznak.

Mivel a Hatóság feladat- és jogkörébe nem tartozik bele semmilyen költségvetési tevékenység, ezért a forráselosztásra sincs hatása, így továbbra sem látni, hogy az állami és önkormányzati szervek honnan fogják előteremteni a megfelelés biztosításához szükséges erőforrásokat.

Az IBTV módosításával egy időben egy kormány határozat megjelenése is várható, melyben javasolni fogják egy hazai terméktanúsítási rendszer kialakításának megfontolását. Egy ilyen rendszer kialakítása és működtetése a következő jelentős mérföldkövet jelenthetné az információbiztonság szabályozás területén.

Az IBTV-vel hazánk még az első között indult el a korszerű információbiztonsági gyakorlat megteremtésének irányában és mindenképpen pozitívan értékelhető, hogy közel két évvel a hatályba lépés után a törvényhozás napirendjére került a törvény gyakorlati alkalmazhatóságot is figyelembe vevő módosítása.

Reméljük, hogy a módosítás eléri a kitűzött céljait, valamint hogy hatására az állami és önkormányzati szervek szélesebb köre tudja teljesíteni a megfeleléshez szükséges követelményeket, hozzájárulva Magyarország egészének informatikai biztonságához.