Muha Lajos

Az idei Informatikai Biztonság Napja (ITBN) elnevezésű konferencián a mai napon ismerheti meg először a nyilvánosság az elektronikus információbiztonságról szóló törvény koncepcióját. Ebből az alkalomból kerestük meg az előadást tartó, a törvénytervezet kidolgozásában részt vevő szakembert, dr. Muha Lajos mk. alezredest, a Nemzeti Közszolgálati Egyetem Hadtudományi és Honvédtisztképző Kara Informatikai és Elektronikai Hadviselés Tanszékének főiskolai tanárát, hogy röviden ismertesse: mik az egyelőre még az előkészítés és előzetes viták tárgyát képező törvénytervezet főbb pontjai.

Itt volt az ideje

Muha Lajos elmondta, hogy a Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012 (II.21.) kormányhatározat 31. pontja előírja az elektronikus információs rendszerek biztonságának erősítését, és ennek révén a létfontosságú nemzeti információs infrastruktúra védelmének fokozását, továbbá a megfelelő szintű kibervédelem kialakítását. A döntéshozók úgy vélték, hogy a világban a közelmúltban tapasztalt jelenségek indokolják, hogy ennek keretében elkészüljön egy korszerű magyar információbiztonsági törvény is.

A törvény elsődleges célja az elektronikus információs rendszerek sérüléséből eredő károk megelőzése, mégpedig az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosításával.

A tanár úr megjegyezte, hogy bár elterjedt egy megnevezés, a szöveget mégis hiba lenne kibertörvénynek, kibervédelmi törvénynek nevezni, mert ahhoz az ebben a feladatban részt vevők politikai szintű irányítását, a legfelső szintű tulajdonosi-vezetői együttműködést és ennek eszközrendszerét is szabályozni kell.

Kerettörvény

Muha Lajos kifejtette, hogy a törvénytervezet kerettörvény jellegű, alapvető jogokat és kötelezettségeket állapít meg. A napjainkban fontosnak tűnő részletkérdéseket részben a törvény szelleménél fogva is lehet kezelni, részben megjelennek a végrehajtási rendeletekben – ha szükséges.

A törvénytervezet személyi hatálya három részre bontható: a kormányzati adatokat kezelő szervezetek mellett a nemzeti adatvagyont kezelő szervezetekre és a létfontosságú információs infrastruktúrákra is kiterjed. A tárgyi hatály az elektronikus információs rendszerek védelme.

A személyi hatály nagy átfedéseket tartalmaz, mert a nemzeti adatvagyont kezelő szervezetek és a létfontosságú információs infrastruktúrák nem választhatók el mereven, ugyanakkor a különösen védendő közigazgatási rendszerek jelentős része valamelyikbe, vagy mindkettőbe beletartozik.

Fokozatos bevezetés, a költségek minimalizálása

A tervezet a legjobb szakmai gyakorlatot (best practice), szabványokat és ajánlásokat használ fel. Kiemelendő az a törekvés, hogy az egyes elektronikus információs rendszerek biztonsági osztályokba legyenek sorolva, és ezekhez a követelményekben meghatározott intézkedések tartozzanak. A biztonsági osztályba sorolás előírásait és a követelményeket a végrehajtási rendeletben szabályozzák, mert részletességük meghaladja a törvényi kereteket, illetve a technika fejlődését, a fenyegetések változását így könnyebb követni. Ez a módszer nem jelent újdonságot, jegyzi meg Muha Lajos, hiszen a hazai szakanyagok közül a Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottság 12. számú ajánlásában, az Informatikai Rendszerek Biztonsági Követelményeiben már megjelent ez az elvárás, és a Közigazgatási Informatikai Bizottság 25. számú ajánlásának IBIK (Informatikai Biztonsági Irányítási Követelmények) kötete is előírja.

A másik fontos javaslat a szervezetek biztonsági szintjeinek megállapítása. Ezek a biztonsági szintek a szervezeteknek a biztonsági problémák megoldására, kezelésére való felkészültségét, érettségét határozhatják meg. A „biztonsági szintek” az informatikai szabályozási keretelv (Control Objectives for Information and related Technology – COBIT) 4.1-es verziójában található DS5 érettségi modelljén alapulnak. Ez elsősorban szervezési, szabályozási módszerekkel emelhető magasabb szintre, azaz kis költséggel, a technikai intézkedések nélkül is képesek növelni a biztonságot. A biztonsági osztályok és a biztonsági színt tekintetében a fokozatos bevezetés javasolt, így ellenőrizhető módon, lépésről lépesre növelhető az elektronikus információs rendszerek biztonsága. Ezekkel a megoldásokkal biztosítható lenne, hogy a törvény bevezetése és alkalmazása minimális költséggel járjon.

Ellenőrzésre is szükség van

Muha Lajos kitért arra is, hogy a szervezetek és vezetőik legfontosabb feladatait is tárgyalja a törvénytervezet. Itt a megelőzés lehetőségeinek javítása miatt nagy hangsúlyt kapna a szabályozás, illetve a biztonságtudatosság növelése, az oktatás-képzés.

A szerepek tisztázása érdekében az alezredes kiemelte, hogy a hatóság elsődleges feladata az ellenőrzés. Nem közigazgatási szervek esetében bírságolási jogot, közigazgatási szervek esetében pedig információbiztonsági gondnok kinevezésre való jogot kaphat a hatóság. Az információbiztonsági gondnok a költségvetési felügyelőhöz hasonló intézmény, aki jogosult lenne azokat a védelmi intézkedéseket meghozni, melyek a vészhelyzet elhárításához szükségesek.

Nagyon fontos a magas szintű képzés

Az információbiztonsági tudatosság növelése érdekében fontos feladat a képzés, így biztosítva, hogy a védett az elektronikus információs rendszerek vezetői, informatikai biztonsági vezetői feladatait csak megfelelő szakemberek végezhessék és, hogy az érintettek a szükséges magas színvonalú, az állami-közszolgálati igényeknek megfelelő képzésben részesüljenek.

Muha Lajos véleménye szerint az egyelőre még belső viták anyagául szolgáló törvénytervezet szövege körülbelül egy-két hét múlva már elérhető lesz a Közigazgatási és Igazságügyi Minisztérium (KIM) honlapján.