Monthly Archives :

június 2013

Végrehajtási rendeletek

150 150 facsa_Csabagorog

Az információbiztonsági törvény felhatalmazta a Kormányt, hogy rendeletben meghatározza

a) a hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait,
b) a hatóság által kiszabható bírság mértékét, a bírság kiszabásának és befizetésének részletes eljárási szabályait,
c) az információbiztonsági felügyelő kirendelésének szabályait, feladatkörét és eljárásának rendjét,
d) a Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét,
e) a kormányzati eseménykezelő központ és az ágazati eseménykezelő központok feladat- és hatáskörét, és
f ) a 21. § szerinti Tanács, Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével
kapcsolatos szabályokat, feladat- és hatáskörüket.

Felhatalmazást kapott továbbá

az informatikáért felelős miniszter, hogy az e-közigazgatásért felelős miniszterrel és a minősített adatok
védelmének szakmai felügyeletéért felelős miniszterrel egyetértésben meghatározza az 5. § és 6. §-ban
előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó
követelményeket, továbbá a 7–8. § szerinti biztonsági osztályba sorolás és a szervezetek 9–10. § szerinti
biztonsági szintbe sorolásának követelményeit,
b) a közigazgatás-fejlesztésért felelős miniszter, hogy az informatikáért felelős miniszterrel egyetértésben
az e törvényben meghatározott vezetői, az elektronikus információs rendszer biztonságáért felelős személyek
képzésének és továbbképzésének tartalmát,
c) az informatikáért felelős miniszter, hogy a szervezetek hatósági nyilvántartásba vételének, a biztonsági
események jelentésének és közzétételének rendjét rendeletben határozza meg.

 

 

Kockázatelemzés

150 150 facsa_Csabagorog

A kockázatelemzés törvény szerinti fogalma a következő: az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak),
fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése.

Informatikai biztonsági szabályzatok

150 150 facsa_Csabagorog

A tv. 11. § d)-f) alpontjai előírják a szervezet vezetője részére, hogy gondoskodjon az Informatikai Biztonsági Politika, az Informatikai Biztonsági Stratégia és az Informatikai Biztonsági Szabályzat elkészítéséről és kiadásáról.

Azonnali feladatok

150 150 facsa_Csabagorog

Az információbiztonsági törvény előírja, hogy a hatályba lépést követő 60 napon belül be kell jelenteni a Hatóságnak

  • A szervezet azonosító adatait,
  • Az elektronikus információs rendszer biztonságáért felelős személy azonosító adatait és a feladatellátáshoz szükséges felsőfokú és a szakképzettséget igazoló okmányait.
90 napon belül meg kell küldeni a Hatóság részére
  •  a szervezet Informatikai Biztonsági Szabályzatát.

Miért minket válasszon?

150 150 facsa_Csabagorog

Biztosan felmerül Önben a kérdés, hogy miért cégünket bízza meg a szervezeténél az információbiztonsági törvény által előírtak végrehajtására.

Megpróbálunk válaszolni erre a kérdésre:

read more

GY.I.K.

150 150 facsa_Csabagorog

Gyakran ismételt kérdések

Mi az az informatikai biztonság és hogyan tudom megteremteni a szervezetemnél?

A tv. szerint az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.

Az informatikai rendszerek biztonságát alapvetően adminisztratív, logikai és fizikai biztonsági intézkedésekkel lehet megteremteni.

Adminisztratív biztonsági intézkedés egy Informatikai Biztonsági Szabályzat elkészítése vagy egy kockázatelemzés elvégzése.

Fizikai biztonsági intézkedések közé tartozik a számítógépterem biztonságának a megteremtése (pl.: tűzjelző, riasztó, beléptető rendszer stb.) vagy a munkatársak részére az „üres asztal, üres képernyő politika” elrendelése.

Logikai biztonsági intézkedés lehet egy megfelelő jelszóházirend beállítása vagy a hálózati tűzfalon a csak szükséges portok, protokollok engedélyezése.

Mit nevezünk bizalmasságnak és mit jelent?

A tv. szerint az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról.

Példa 1.

A személyes adatokat kezelő informatikai rendszereket különösen védeni kell a bizalmasság szempontjából, mivel ha illetéktelenek hozzáférnek a személyes adatokhoz (pl.: kiszivárog az internetre), akkor az Info tv. alapján komoly jogi kára keletkezik a szervezetnek.

Példa 2.

A szervezet weboldalán tárolt adatokat nem kell bizalmasság szempontjából védeni, mivel vélhetően mindenki számára elérhető információkról van szó.

Mit nevezünk sértetlenségnek és mit jelent?

A tv. szerint az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható;

Vannak olyan adatfajták, ahol különösen fontos az adat integritását megőrizni, mivel nem mindegy egy átutalásnál, hogy az összeg végén egy nullánál több van-e vagy kevesebb.

Fontos továbbá az adatok sértetlenségének a biztosítása például a honlapokon közzétett közérdekű adatoknál is.

Mit nevezünk rendelkezésre állásnak és mit jelent?

A tv. szerint annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;

Mi az a biztonsági osztályba sorolás?

A tv. szerint a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása.

Ez annyit jelent, hogy minden egyes informatikai rendszerben kezelt adatfajtát kategorizálni kell a bizalmasság, a sértetlenség és a rendelkezésre állás szerint annak alapján, hogy mekkora kár éri a szervezetet ha az adatnak valamelyik jellemzője sérül. A biztonsági osztályba sorolás előtt kárérték táblázatot kell készíteni, amely jellemző az adott szervezetre.