Gyakorlati megoldások a KÜRT hiánypótló szakmai tájékoztatóján
A Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára, mindezt határidőkhöz kötötten. A témával több informatikai rendezvényen is foglalkoztak már, azonban a gyakorlati megoldások mindeddig háttérbe szorultak. Ezekről – az intézményeknek nem kis fejtörést okozó gyakorlati teendőkről – rendezett a KÜRT Zrt. szakmai konferenciát november 27-én, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával.
Az elektronikus információbiztonságról szóló, a Nemzeti Kiberbiztonsági Stratégiához kapcsolódó 2013. évi L. törvényt az Országgyűlés ez év április 15-én fogadta el, és hatályba lépése óta számos végrehajtási rendelet is megjelent. A törvény közel 5 ezer közigazgatási intézményt kötelez információbiztonsági helyzetének felülvizsgálatára.
Az elektronikus információbiztonságról szóló törvény elsődleges célja az elektronikus információs rendszerek és az általuk kezelt adatok kockázatarányos védelmének biztosítása, valamint a lehetséges biztonsági események megelőzése, az elektronikus információs rendszerek védelmi képességeinek folyamatos szinten tartása és a bekövetkezett biztonsági események kezelése.
A törvény hatálya alá tartozik a teljes közigazgatás és minden szervezet, amely
• az állam és az önkormányzatok számára adatkezelést végez;
• a nemzeti adatvagyon adatfeldolgozója;
• kritikus információs infrastruktúra üzemeltetője.
A törvényben és a végrehajtási rendeletekben foglaltak értelmezése, az egyes kötelezettségek határidőre történő gyakorlatba ültetése és kielégítése komoly kihívás elé állítja a törvény hatálya alá tartozó intézmények jelentős részét. Informatikai, biztonsági és intézményi vezetőknek egyaránt értelmezni kell a törvényalkotó által megfogalmazott követelményeket, és ennek megfelelően szükséges módosítani az intézmény információbiztonsági állapotát, valamint a kapcsolódó működési elemeket. Mindennek megvalósítása a meghatározott határidőkön belül nem könnyű feladat, és nehezíti a helyzetet, hogy az előírások nem megfelelő teljesítése különböző módokon szankcionálható.
A törvény elfogadása óta eltelt időszakban számos jelentős plénum, köztük nagyszabású informatikai rendezvények is kiemelten foglalkoztak az információbiztonsági törvénnyel, de a gyakorlati teendők vonatkozásában eddig még elenyésző útmutatást kaptak a szervezetek erre igencsak rászoruló vezetői, témafelelősei, szakemberei.
Segítendő az eligazodást a törvény hatálya alá tartozó intézmények számára és megkönnyítendő az előírásoknak a mindennapok gyakorlatába történő átvezetését, a KÜRT Információbiztonsági és Adatmentő Zrt. – a törvény végrehajtásának felügyeletével megbízott kormányzati szervek, a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) és a Kormányzati Eseménykezelő Központ (GovCERT) szakmai támogatásával – november 27-én ingyenes szakmai konferenciát rendezett, Információbiztonsági Törvény – Mit is jelent ez a gyakorlatban? címmel.
A rendezvényen a NEIH elnöke, Nagy Zoltán Attila ismertette a Hivatal elvárásait és az ellenőrzések menetének tervezett lépéseit. A GovCERT vezetője, Gyebrovszki Tamás az incidensek feldolgozásának menetéről, az intézményekkel való együttműködés módjáról és a Központ vonatkozó elvárásairól adott tájékoztatást.
A KÜRT szakértői az Információbiztonsági Törvényről, annak értelmezéséről, lényegi kérdéseiről, a konkrét gyakorlati lépésekről (kockázatelemzés, biztonsági osztályba sorolás, stb.), a törvényi előírások és követelmények teljesítéséhez alkalmazandó módszertanokról és eljárásokról beszéltek, illetve arról, hogy milyen eszközökkel lehet megkönnyíteni, hatékonyabbá tenni a feladatok elvégzését.
„A KÜRT több mint 15 éve az információbiztonság egyik vezető szakértője, így külön öröm számunkra, amikor kormányzati oldalról, törvényi szinten deklarálják az információbiztonság fontosságát. Nagyon sok még a teendő ezen a területen, és fontosnak tartjuk, hogy egy ilyen közérdekű rendezvénnyel segíthetjük az államigazgatási és közigazgatási intézményeket.” – mondta Márton Miklós, a KÜRT Zrt. üzleti vezérigazgató-helyettese.
A jelentkezők nagy száma mutatja, hogy jelentős az igény egy ilyen, a törvényi szabályozást a gyakorlati oldaláról megközelítő szakmai rendezvény iránt. A meghívott intézmények csaknem 40 százaléka jelzett vissza, hogy részt vesz a konferencián, ami kimagaslóan magas arány.