Vállaljuk önkormányzatok és más állami szervek információbiztonsági felelős feladatainak ellátását, az ország egész területén!
1,Információbiztonsági szolgáltatásaink:
• Információbiztonsági felelős
• Biztonsági osztályba sorolás
• Cselekvési tervek
• Informatikai Biztonsági Szabályzat elkészítése
• Kockázatelemzés
• Munkatársak biztonsági képzése
2,Fontos információbiztonsági jogszabályok
Információbiztonsági felelős:
Az információbiztonsági felelős feladatait ellátjuk információbiztonsági törvény által
________________________________________
Az Ibtv. 13. § (8) és (10) bekezdései alapján az információbiztonsági felelős:
(8) A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.
(10) Nem kell a (8) bekezdés szerinti képzettséget megszereznie annak a személynek, aki rendelkezik a külön jogszabályban meghatározott, akkreditált nemzetközi képzettséggel vagy e szakterületen szerzett 5 év szakmai gyakorlattal.
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért, azaz az információbiztonsági felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet 7. § (1) bekezdése alapján szakmai gyakorlatnak minősül
a) az információbiztonsági irányítási rendszer
aa) tervezése,
ab) kialakítása,
ac) működtetése során,
b) az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,
c) az információbiztonsági kockázatelemzés területén,
d) az elektronikus információs rendszerek információbiztonsági tanúsítási tevékenysége során, vagy
e) az elektronikus információs rendszerek információbiztonsági tesztelésében (etikus hacker tevékenységben)
szerzett szakmai tapasztalat.
A rendelet 7. § (2) bekezdése szerint nem kell a szükséges szakképzettséget megszereznie annak, aki rendelkezik
a) az Information Systems Audit and Controll Association (ISACA) által kiadott:
aa) Certified Information System Auditor (CISA), vagy
ab) Certified Information Security Manager (CISM), vagy
ac) Certified in Risk and Information Systems Control (CRISC),
b) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP)
érvényes oklevéllel.
A jogszabályok alapján az lehet információbiztonsági felelős, aki
felsőfokú végzettséggel rendelkezik és elvégezte a Nemzeti Közszolgálati Egyetem által szervezett 2 féléves elektronikus információbiztonsági vezető képzést és megkapta az oklevelét,
vagy felsőfokú végzettséggel és információbiztonság területén szerzett 5 év igazolt szakmai gyakorlattal rendelkezik,
vagy felsőfokú végzettséggel rendelkezik és van legalább egy, a fentiekben felsorolt nemzetközi képesítése.
Biztonsági osztályba sorolás:
Az új 41/2015. BM rendelet alapján az elektronikus információs rendszereket 1-5-ös skálán biztonsági osztályba kell sorolni. A biztonsági osztályba sorolás eredményét a bizalmasság, a sértetlenség és a rendelkezésre állás alapfenyegetettségek elvesztése okozta kár becslése adja. A biztonsági osztályba soroláson kívül el kell végezni a szervezetek biztonsági szintbe sorolását is.
A szervezet biztonsági szintjének megállapítása, cselekvési terv készítése
A szervezet biztonsági szintjét az elektronikus információs rendszerek felhasználási módja adja meg.
A szervezet elvárt biztonsági szintének megfelelően kontrollfolyamatokat kell kialakítani a szervezetnél.
A biztonsági szint megállapítása után fel kell mérnie a szervezetnek, hogy mi a jelenlegi biztonsági szintje és az elvárt biztonsági szint eléréséhez 90 napon belül cselekvési tervet kell készítenie.
Abban az esetben, hogy ha a szervezet biztonsági szintje nem éri el az 1-est, akkor az 1-es biztonsági szint elérésre 1 év, utána szintenként 2 év áll a rendelkezésre.
Biztonsági osztályba sorolás, cselekvési tervek készítése
A szervezetnél alkalmazandó adminisztratív, fizikai és logikai védelmi intézkedéseket a szervezet elektronikus információs rendszereinek biztonsági osztályai adják meg.
Ennek érdekében a biztonsági osztályba sorolás elvégzése után meg kell vizsgálnia a szervezetnek az egyes elektronikus információs rendszereinek jelenlegi védelmi intézkedéseit és az elvárt biztonsági osztály által előírt logikai védelmi intézkedések megvalósításához cselekvési terveket kell készítenie.
Abban az esetben, ha az adott elektronikus információs rendszer biztonsági osztálya nem éri el az elvárt osztályt, akkor osztályonként két év áll a rendelkezésre annak elérésére.
Cselekvési tervek:
A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete, melyet az alábbi linken elérhet:
Informatikai Biztonsági Szabályzat elkészítése:
Az információbiztonsági törvény előírja, hogy a szervezet köteles gondoskodni az Informatikai Biztonsági Szabályzat, az Informatikai Biztonságpolitika, Informatikai Biztonsági Stratégia elkészítéséről.
Az Informatikai Biztonsági Szabályzat a következő területeket szabályozza:
• kockázatelemzés (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz);
• biztonsági helyzet-, és eseményértékelés eljárási rendje;
• az elektronikus információs rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzés (amennyiben az érintett szervezet ilyet végez, vagy végezhet);
• biztonsággal kapcsolatos tervezés (például: beszerzés, fejlesztés, eljárásrendek kialakítását);
• fizikai és környezeti védelem szabályai, jellemzői;
• az emberi erőforrásokban rejlő veszélyek megakadályozása (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.);
• az informatikai biztonság tudatosítására irányuló tevékenység és képzés az érintett szervezet összes közszolgálati, vagy munkavégzésre irányuló egyéb jogviszonyban álló alkalmazottainak, munkavállalóinak, megbízottjainak tekintetében;
• az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatok, elvárások, jogok (amennyiben az érintett szervezetnél ez értelmezhető);
• üzlet-, ügy- vagy üzemmenet folytonosság tervezése (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.);
• az elektronikus információs rendszerek karbantartásának rendje;
• az adathordozók fizikai és logikai védelmének szabályozása;
• az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárás, és a hozzáférési szabályok betartásának ellenőrzése;
• amennyiben az érintett szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelése, az értékelés eredményétől függő eljárások meghatározása;
• az adatok mentésének, archiválásának rendje,
• a biztonsági események – ideértve az adatok sérülését is – bekövetkeztekor követendő eljárás, ideértve a helyreállítást.
Kockázatelemzés:
A kockázatelemzés az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak),
fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése.
Munkatársak biztonsági képzése:
A képzés során részletes és pontos adatokat, információkat dolgozunk fel az információbiztonsági felelős munkaköréhez szorosan kapcsolódva.
Elérhető képzések online és előadások személyes prezentáció keretében is.
Fontos információbiztonsági jogszabályok:
41/2015. BM rendelet – új technológiai vhr
Info tv. (2011. évi CXII.)
• A 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
• 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
• 2001. évi XXXV. törvény az elektronikus aláírásról
• 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól
• 83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról
• 84/2012. (IV. 21.) Korm. rendelet egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről
• 85/2012. (IV. 21.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól
• 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről (továbbiakban: technológiai vhr)
• 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről
• 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
• 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról