Kürt: Információbiztonsági Törvény – mit is jelent ez a gyakorlatban?

forrás: Prím Online, 2013. december 2. 09:04

A Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára, mindezt határidőkhöz kötötten. A témával több informatikai rendezvényen is foglalkoztak már, azonban a gyakorlati megoldások mindeddig háttérbe szorultak. Ezekről – az intézményeknek nem kis fejtörést okozó gyakorlati teendőkről – rendezett a KÜRT Zrt. szakmai konferenciát november 27-én, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával.

Az elektronikus információbiztonságról szóló, a Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvényt az Országgyűlés ez év április 15-én fogadta el, és hatályba lépése óta számos végrehajtási rendelet is megjelent. A törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára.


Az elektronikus információbiztonságról szóló törvény elsődleges célja az elektronikus információs rendszerek és az általuk kezelt adatok kockázatarányos védelmének biztosítása, valamint a lehetséges biztonsági események megelőzése, az elektronikus információs rendszerek védelmi képességeinek folyamatos szinten tartása és a bekövetkezett biztonsági események kezelése.


A törvény hatálya alá tartozik a teljes közigazgatás és minden szervezet, amely


·    az állam és az önkormányzatok számára adatkezelést végez;
·    a nemzeti adatvagyon adatfeldolgozója;
·    kritikus információs infrastruktúra üzemeltetője.


A törvényben és a végrehajtási rendeletekben foglaltak értelmezése, az egyes kötelezettségek határidőre történő gyakorlatba ültetése és kielégítése komoly kihívás elé állítja a törvény hatálya alá tartozó intézmények jelentős részét. Informatikai, biztonsági és intézményi vezetőknek egyaránt értelmezni kell a törvényalkotó által megfogalmazott követelményeket, és ennek megfelelően szükséges módosítani az intézmény információbiztonsági állapotát, valamint a kapcsolódó működési elemeket. Mindennek megvalósítása a meghatározott határidőkön belül nem könnyű feladat, és nehezíti a helyzetet, hogy az előírások nem megfelelő teljesítése különböző módokon szankcionálható.


A törvény elfogadása óta eltelt időszakban számos jelentős plénum, köztük nagyszabású informatikai rendezvények is kiemelten foglalkoztak az információbiztonsági törvénnyel, de a gyakorlati teendők vonatkozásában eddig még elenyésző útmutatást kaptak a szervezetek erre igencsak rászoruló vezetői, témafelelősei, szakemberei.


Segítendő az eligazodást a törvény hatálya alá tartozó intézmények számára és megkönnyítendő az előírásoknak a mindennapok gyakorlatába történő átvezetését, a KÜRT Információbiztonsági és Adatmentő Zrt. – a törvény végrehajtásának felügyeletével megbízott kormányzati szervek, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával – november 27-én ingyenes szakmai konferenciát rendezett, Információbiztonsági Törvény – Mit is jelent ez a gyakorlatban? címmel.


A rendezvényen a NEIH elnöke, Nagy Zoltán Attila ismertette a Hivatal elvárásait és az ellenőrzések menetének tervezett lépéseit. A GovCERT vezetője, Gyebrovszki Tamás az incidensek feldolgozásának menetéről, az intézményekkel való együttműködés módjáról és a Központ vonatkozó elvárásairól adott tájékoztatást.


A KÜRT szakértői az Információbiztonsági Törvényről, annak értelmezéséről, lényegi kérdéseiről, a konkrét gyakorlati lépésekről (kockázatelemzés, biztonsági osztályba sorolás, stb.), a törvényi előírások és követelmények teljesítéséhez alkalmazandó módszertanokról és eljárásokról beszéltek, illetve arról, hogy milyen eszközökkel lehet megkönnyíteni, hatékonyabbá tenni a feladatok elvégzését.


„A KÜRT több mint 15 éve az információbiztonság egyik vezető szakértője, így külön öröm számunkra, amikor kormányzati oldalról, törvényi szinten deklarálják az információbiztonság fontosságát. Nagyon sok még a teendő ezen a területen, és fontosnak tartjuk, hogy egy ilyen közérdekű rendezvénnyel segíthetjük az államigazgatási és közigazgatási intézményeket.” – mondta Márton Miklós, a KÜRT Zrt. üzleti vezérigazgató-helyettese.

A jelentkezők nagy száma mutatja, hogy jelentős az igény egy ilyen, a törvényi szabályozást a gyakorlati oldaláról megközelítő szakmai rendezvény iránt. A meghívott intézmények csaknem 40 százaléka jelzett vissza, hogy részt vesz a konferencián, ami kimagaslóan magas arány.