Kürt: Információbiztonsági Törvény – mit is jelent ez a gyakorlatban?
2013. december 2.
A Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára, mindezt határidőkhöz kötötten. A témával több informatikai rendezvényen is foglalkoztak már, azonban a gyakorlati megoldások mindeddig háttérbe szorultak. Ezekről – az intézményeknek nem kis fejtörést okozó gyakorlati teendőkről – rendezett a KÜRT Zrt. szakmai konferenciát november 27-én, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával.
Az elektronikus információbiztonságról szóló törvény elsődleges célja az elektronikus információs rendszerek és az általuk kezelt adatok kockázatarányos védelmének biztosítása, valamint a lehetséges biztonsági események megelőzése, az elektronikus információs rendszerek védelmi képességeinek folyamatos szinten tartása és a bekövetkezett biztonsági események kezelése.
A törvény hatálya alá tartozik a teljes közigazgatás és minden szervezet, amely
· az állam és az önkormányzatok számára adatkezelést végez;
· a nemzeti adatvagyon adatfeldolgozója;
· kritikus információs infrastruktúra üzemeltetője.
A törvényben és a végrehajtási rendeletekben foglaltak értelmezése, az egyes kötelezettségek határidőre történő gyakorlatba ültetése és kielégítése komoly kihívás elé állítja a törvény hatálya alá tartozó intézmények jelentős részét. Informatikai, biztonsági és intézményi vezetőknek egyaránt értelmezni kell a törvényalkotó által megfogalmazott követelményeket, és ennek megfelelően szükséges módosítani az intézmény információbiztonsági állapotát, valamint a kapcsolódó működési elemeket. Mindennek megvalósítása a meghatározott határidőkön belül nem könnyű feladat, és nehezíti a helyzetet, hogy az előírások nem megfelelő teljesítése különböző módokon szankcionálható.
A törvény elfogadása óta eltelt időszakban számos jelentős plénum, köztük nagyszabású informatikai rendezvények is kiemelten foglalkoztak az információbiztonsági törvénnyel, de a gyakorlati teendők vonatkozásában eddig még elenyésző útmutatást kaptak a szervezetek erre igencsak rászoruló vezetői, témafelelősei, szakemberei.
Segítendő az eligazodást a törvény hatálya alá tartozó intézmények számára és megkönnyítendő az előírásoknak a mindennapok gyakorlatába történő átvezetését, a KÜRT Információbiztonsági és Adatmentő Zrt. – a törvény végrehajtásának felügyeletével megbízott kormányzati szervek, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával – november 27-én ingyenes szakmai konferenciát rendezett, Információbiztonsági Törvény – Mit is jelent ez a gyakorlatban? címmel.
A rendezvényen a NEIH elnöke, Nagy Zoltán Attila ismertette a Hivatal elvárásait és az ellenőrzések menetének tervezett lépéseit. A GovCERT vezetője, Gyebrovszki Tamás az incidensek feldolgozásának menetéről, az intézményekkel való együttműködés módjáról és a Központ vonatkozó elvárásairól adott tájékoztatást.
A KÜRT szakértői az Információbiztonsági Törvényről, annak értelmezéséről, lényegi kérdéseiről, a konkrét gyakorlati lépésekről (kockázatelemzés, biztonsági osztályba sorolás, stb.), a törvényi előírások és követelmények teljesítéséhez alkalmazandó módszertanokról és eljárásokról beszéltek, illetve arról, hogy milyen eszközökkel lehet megkönnyíteni, hatékonyabbá tenni a feladatok elvégzését.
„A KÜRT több mint 15 éve az információbiztonság egyik vezető szakértője, így külön öröm számunkra, amikor kormányzati oldalról, törvényi szinten deklarálják az információbiztonság fontosságát. Nagyon sok még a teendő ezen a területen, és fontosnak tartjuk, hogy egy ilyen közérdekű rendezvénnyel segíthetjük az államigazgatási és közigazgatási intézményeket.” – mondta Márton Miklós, a KÜRT Zrt. üzleti vezérigazgató-helyettese.
A jelentkezők nagy száma mutatja, hogy jelentős az igény egy ilyen, a törvényi szabályozást a gyakorlati oldaláról megközelítő szakmai rendezvény iránt. A meghívott intézmények csaknem 40 százaléka jelzett vissza, hogy részt vesz a konferencián, ami kimagaslóan magas arány.
Kapcsolódó cikkek
- Információbiztonsági Törvény: felkészültek az érintett intézmények?
- Megbízásból lopta mások jelszavát a kaposvári adathalász
- Milyen legyen egy könnyen megjegyezhető, de (szinte) feltörhetetlen jelszó?
- Nem kért internetes reklámmal vertek át 577 céget
- AdatŐr: adatmentés távfelügyelettel
- Titkos adatgyűjtés - Vádat emeltek Snowden ellen
- Kristóf Csaba másodszor az „Év információbiztonsági újságírója”
- Külföldi szervereken lévő adatok elérését is blokkolhatnák egy javaslat szerint
- Ismerkedés az etikus hacker szakma alapjaival
- Magyarok a világ hálózatbiztonsági élvonalában