Az önkormányzatok információbiztonsági tanácsadója

Bírságolási lehetőség kölségvetési szervek esetén

Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.) megfogalmazott, a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítéséből fakadó jogkövetkezményeket.

BŐVEBBEN

Önkormányzati ASP rendszer megfeleltetés

2016. szeptember 3-án hatályba lépett a részletszabályokat tartalmazó, az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet (továbbiakban: R.).

Információbiztonsági oldalról követelményként írja elő az R, hogy meg kell felelni az információbiztonsági törvény és annak végrehajtási rendelete előírásainak.


BŐVEBBEN

Miért minket válasszon?

Biztosan felmerül Önben a kérdés, hogy miért cégünket bízza meg a szervezeténél az információbiztonsági törvény által előírtak végrehajtására.





BŐVEBBEN

Internet Explorer

A mostani cikkem lényege, hogy felhívjam a figyelmet arra, hogy a Microsoft 2016. január 12-én megszüntette az Internet Explorer böngésző gyártói támogatását azzal, hogy ettől az időponttól kezdve – bizonyos eseteket kivéve – csak a legfrissebb 11-es verziószámú böngészőt támogatja.

Az elmúlt években sorra szembesülünk azzal, hogy a Microsoft bizonyos termékeinek (pl.: Windows XP, Windows 2003 Server) gyártói támogatása lejárt.

A gyártói támogatás nagyon fontos, mivel az alkalmazások használata során különböző típusú segítséget kapunk a fejlesztő csapattól.

Információbiztonsági szempontból a biztonsági frissítések publikálása a legfontosabb, azaz amikor valaki egy biztonsági rést fedez fel valamelyik Microsoft alkalmazásban, akkor a Microsoft remélhetőleg záros határidőn belül kiadja a biztonsági rés befoltozására alkalmas biztonsági frissítést.

A két időszak között megjelenő kártékony kódot hívjuk nulladik napi kártékony kódnak és az ezzel a kóddal elkövetett támadást nulladik napi támadásnak.

Internet Explorer

A gyártói támogatást a Microsoft életciklus modellhez köti, melyről bővebben itt lehet olvasni.

Számunkra a kiterjesztett, meghosszabbított gyártói támogatás a lényeg, mivel ebben az időszakban még garantálja a Microsoft, hogy foltozza az alkalmazásaink biztonsági réseit.

Információbiztonsági tanácsadóként az országot járva azt tapasztalom, hogy a vállalatok körében még a 2014. április 8-án lejárt támogatású Windows XP használata is jelentős, kérdésként merül fel bennem, hogy mikorra várható, hogy a Microsoft alkalmazásokat használó vállalatok, hivatalok esetében bevált gyakorlattá válik a Microsoft termékek életciklusának figyelemmel követése, és a szükséges intézkedések (frissítések) időben – lehetőleg a támogatás lejárta előtt – történő elvégzése.

A böngésző frissítése vállalati környezetben nem triviális dolog. Először is fel kell mérni azon web alkalmazások körét, melyek Internet Exploreren keresztül érhetők el, majd a web alkalmazás fejlesztőjével tesztelni kell az új verziót, mielőtt valamennyi böngészőt frissítenénk.

A frissítés elhagyásával magas kockázatnak tesszük ki a vállalati informatikai rendszereket, mivel a későbbiekben felfedezett biztonsági rések befoltozatlanok maradnak, ezáltal utat nyitva a biztonsági réseket kihasználó kártékony kódoknak, exploitoknak.

A kártékony kódok jelentős részre pont a web böngészők sérülékenységeit használja ki az interneten található fertőzött honlapok segítségével.

Sok vállalati IT vezető abban a tévhitben van, hogy elegendő a vírusvédelmi eszközök alkalmazása a kártékony kód általi fertőzés elkerülésére és a biztonsági frissítések telepítésére csak, mint egy „plusz kiegészítő szolgáltatás” tekint.

Sajnos a helyzet nem ennyire egyszerű, mivel egyrészt a vírusirtók alapvetően szignatúra alapon működnek, ezért mindig csak az adatbázisukban lévő vírusmintákat ismerik, másrészt vannak olyan exploit-ok, melyeket egész egyszerűen nem észlel a vírusirtó.

Összefoglalásul minden vállalatra jelentős teher hárul az Internet Explorer legfrissebb verzióra történő átállásával kapcsolatban, ráadásul ez a feladat nem tűr halasztást, mivel magas a kitettsége a vállalatok informatikai rendszereinek és az azokban kezelt adatoknak.

Természetesen a különböző termékek életciklusának követése és a kiadott biztonsági frissítések záros határidőn belüli telepítése mellett számos más védelmi intézkedés  létezik a kitettség csökkentése érdekében, azonban ezek taglalása meghaladja a jelen cikk hatókörét.

Költségvetési szervek esetében is bírságolhat a Hatóság!

2019. január 1-jével módosult az állami és önkormányzati szervek elektroikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.).

Az Ibtv. 16. § (4) bekezdése alapján

Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a hatóság

a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését,

c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, információbiztonsági felügyelő kirendelését kezdeményezheti,

d) jogosult bírságot kiszabni külön kormányrendeletben meghatározottak szerint.

A bírságok mértékét a 187/2015. (VII. 13.) Korm. rendelet 13. §-a, illetve a Korm. rendelet 1. sz. melléklete tartalmazza.

Ezek alapján a kiszabható bírság mértéke 50.000 Ft-tól 5.000.000 Ft-ig terjedhet.

A Korm. rendelet 13. § (6) bekezdése alapján

az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

 

Kérje ajánlatunkat ide kattintva információbiztonsági felelős (szintén jogszabályi előírás) feladatainak ellátására a bírság elkerülése érdekében.