A kibervédelmi szakemberek részéről egy gyakran hangoztatott mondás, hogy “a hackerek már a spájzban vannak.” Van benne igazság, ha csak azt nézzük, hogy az elmúlt két évben mennyire gyakoriak a hackertámadásokkal összefüggő hírek, melyek az állami, önkormányzati szektor, valamint a magánszféra szereplői közül nevezték meg a támadások áldozatait. Tehát érdemes megfogadni a tanácsot: ha nem akarja, hogy felkészületlenül érje szervezetét egy olyan támadás, amelyről társadalmunk mondhatni alig tud valamit, akkor mérlegelje annak lehetőségét, hogy információbiztonsági vezetőt bíz meg.
Bizonyos szerveteket számára egyenesen kötelező!
Hogy mely szervezetek? Elég hosszú és fárasztó a törvényben szereplő felsorolás, viszont van egy nevezetes pont, ami – ha a közigazgatásban dolgozik – elképzelhető, hogy érinti Önt:
A helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalai is kötelesek betartani az Ibtv. rendelkezéseit!
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény számos kötelezettséget fogalmaz meg több féle szervezet számára, így rendelkezései szerint kell eljárniuk:
- a központi államigazgatási szerveknek, a Kormány és a kormánybizottságok kivételével,
- a Köztársasági Elnöki Hivatalnak,
- az Országgyűlés Hivatalának,
- az Alkotmánybíróság Hivatalának,
- az Országos Bírósági Hivatalnak és a bíróságoknak,
- az ügyészségeknek,
- az Alapvető Jogok Biztosának Hivatalának,
- az Állami Számvevőszéknek,
- a Magyar Nemzeti Banknak,
- a fővárosi és megyei kormányhivataloknak,
- a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalainak, a hatósági igazgatási társulásoknak,
- a Magyar Honvédségnek.
Emellett van pár elkülönülő kategória, amelyek közül az egyik szorosan fűződik a fenti felsoroláshoz:
- a fenti szervek számára adatkezelést végzők,
- a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,
- az európai vagy nemzeti létfontosságú rendszerelemmé a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény alapján kijelölt rendszerelemek
elektronikus információs rendszereinek védelmére.
Fontolja meg annak kérdését, hogy az Ibtv. hatálya alá tartozik-e, ugyanis számos kötelezettsége van, amennyiben a fenti felsorolás közül az Ön által képviselt szervezet valamelyiket is kimeríti. A szervezet vezetője ugyanis köteles gondoskodni az elektronikus információs rendszerek védelméről az alábbiak szerint:
- Biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály tekintetében a jogszabályban meghatározott követelmények teljesülését.
- Biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban meghatározott követelmények teljesülését.
- Az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg.
- Meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot.
- Gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról.
- Rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén meggyőződik arról, hogy a szervezet elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak.
- Gondoskodik az elektronikus információs rendszer eseményeinek nyomon követhetőségéről.
- Biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról, és ezt követően a biztonsági események kezeléséről.
- Ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek.
- Ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek.
- Felelős az érintetteknek a biztonsági eseményekről és a lehetséges fenyegetésekről történő haladéktalan tájékoztatásáért-
- Megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.