Szolgáltatások

A 2013-as L. törvény, az állami és önkormányzati szervek elektronikus információbiztonságáról (Ibtv.) rendelkezik a nemzeti vagyon részét képező elektronikus adatvagyon biztonságának és védelmének szabályairól. A védelemhez számos feltételt szab a törvény, amelynek egyik fontos eleme a felhasználók biztonságtudatossági képzése. A törvény végrehajtási rendelete, (a 41/2015. (VII.15.) BM rendelet) meghatározza, hogy „az érintett szervezet annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára", mely képzésnek nem csak a belépéskor kell megtörténnie, hanem az ismeretek felfrissítése és aktualizálása érdekében rendszeresen (célszerűen évente) meg kell tartani.

Információbiztonság-tudatossági program

Napjainkban az információ biztonsága, a hivatalok, cégek és magánszemélyek adatainak védelme egyre inkább központi kérdéssé válik. Az adatok véletlen vagy szándékos kompromittálódása, sérülése, ellopása vagy rossz szándékú manipulálása komoly erkölcsi károkat okoz az érintett szereplőknek, elvesztik jó hírnevüket, megrendül a bizalom a szolgáltatásban. E mellett sokszor további, anyagi, kártérítési és büntetőjogi következményei is lehetnek az adatok helytelen kezelésének.

A nemzetközi adatok azt mutatják, hogy az adatvesztés, adat-kompromittálódás legtöbbször emberi tényezőkre vezethető vissza – a munkatársak odafigyelésével, a szabályok betartásával sok esetben megelőzhető lett volna az incidens.

Az oktatás hagyományos tantermi formában, valamint e-learning keretében is egyaránt lehetséges.

A képzés során egyebek mellett az alábbi témák kerülnek feldolgozásra:

• Információbiztonsági alapfogalmak
• Törvényi kötelezettségek, vonatkozó jogszabályok
• Adatok és osztályozásuk, adatvagyon
• Támadások, vírusok és emberi kártevők
• Hozzáférés és jelszavak
• Tiszta asztal, tiszta képernyő
• Mobil eszközök és Internet
• Biztonsági incidensek kezelése
• Ügymenet folytonosság és katasztrófa elhárítás

A képzés anyagához kapcsolódóan olyan kérdések is említésre kerülnek, mint például a:

• A fogkefédet nem adod kölcsön. Miért tennéd ezt a jelszavaiddal?
• Amikor a kukabúvár nem a betétes üveget keresi!
• A dohányzás és a fecsegés ártalmai – milyen információk szedhetők össze a folyosón?
• A legnagyobb értékek nem a széfben vannak!
• Phising és social engineering: amikor nem a hal kapja be a csalit!

Az e-learning és előnyei

A rendelet megfogalmazása szerint a biztonságtudatossági képzés „az érintett személyeket készítse fel a fenyegetések felismerésére, és tudatosítsa jelentési kötelezettségüket", azaz sajátítsák el a Hivatal biztonságos működéséhez szükséges viselkedési, tevékenységi formákat, ismerjék fel a veszélyeket és legyenek képesek megtenni a megfelelő lépéseket a veszélyek elhárítására.

A képzést gördülékenyen, leginkább költséghatékonyan e-learning keretében lehet megtartani, mely oktatás során minden résztvevő maga szabhatja meg az ismeretek feldolgozásának idejét és sebességét, nem kell minden munkatárs számára egyszerre tantermi oktatást tartani. Ez a képzési forma lehetővé teszi a vizsgakérdések beépítését is a tananyagba.

A kurzus célja nem a törvény és végrehajtási rendeletének lexikális jellegű közlése és számonkérése, hanem a gyakorlatban is jól használható ismeretek átadása. A cél az ismeretek elsajátítása, ezért, amennyiben a hallgató nem tud az adott szakaszt lezáró kérdésekre jól válaszolni, akkor az esedékes tananyag újbóli átnézése után ismét megkísérelheti a válaszadást – immár más kérdésekre.

A képzés modulokból áll, melyek sikeres elsajátítása és a vizsgakérdések megválaszolása utána a hallgatók a képzés elvégzését igazoló oklevelet kapnak. A Hivatal személyügyi részlege összesített kimutatást kap a tanfolyam elvégzésnek eredményéről, mellyel egy esetleges felügyeleti hatósági ellenőrzés során is igazolni tudja a képzés megtörténtét.

Az oktatási anyagot a való életből vett példák színesítik.

Az Információbiztonsági törvény (2013. évi L. tv.) illetve a 2015. július 17-e óta hatályos végrehajtási rendelete (41/2015. (VII. 15.) BM rendelet) számos feladatot ír elő az Önkormányzatok számára, melyek határidőhöz kötöttek. A biztonsági osztályok által meghatározott kötelezően teljesítendő feladatok attól függően változnak, hogy az Önkormányzat a BM rendelet hatályba lépéséig mennyire tett eleget törvényi kötelezettségeinek.

Ugyan a BM rendelet módosította a szervezet és az elektronikus információs rendszerek besorolási osztályait és a szintbesorolás menetét, azonban általánosságban elmondható, hogy az 1. biztonsági osztályt 2016. június 30-ig el kell érniük az Önkormányzatoknak, majd 2 évente a következő biztonsági szint elérését kell teljesíteni.

A Hivataloknak az alábbi táblázatban felsorolt adminisztratív folyamatok valamint fizikai és logikai védelmi intézkedési területek esetében kell bevezetniük nyilvántartásokat, szabályzatokat és eljárásrendeket a törvényi mgfelelés érdekében az 1. és 2. biztonsági osztály eléréséhez az elkövetkezendő időszakokban:

Miben segíthetünk?

Szakértő kollégáink az alábbi feladatok elvégzésében tudnak segítségükre lenni:

• Biztonsági szintbe és osztályba sorolás elvégzése és időszakos felülvizsgálata
• Cselekvési terv elkészítése, egyeztetése és elküldése a NEIH részére
• Cselekvési terv elkészítése, egyeztetése és elküldése a NEIH részére
• Informatikai Biztonsági Szabályzat elkészítése és időszakos felülvizsgálata
• Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárások és nyilvántartások úgymint Felhasználói jogosultságok kiosztásának eljárása és nyilvántartása, Eszköznyilvántartás (hardver és szoftver), Változáskezelési eljárásrend kidolgozása
• Kockázatelemzés elvégzése és kockázatkezelési eljárásrend kidolgozása
• HR folyamatok felülvizsgálata (fegyelmi és munkaviszony megszűnésekor alkalmazandó eljárások)
• Képzési eljárásrend kidolgozása és dolgozói IT biztonságtudatossági oktatás, igény szerint tantermi formában vagy elektronikus keretrendszerben
• Eljárásrendek elkészítése, mely során a törvényi megfelelés érdekében az alábbi eljárásrendek kerülnek kidolgozásra:

- Üzletmenet folytonosságra vonatkozó eljárásrend

- Fizikai védelmi eljárásrend

- Rendszerbiztonsági terv

- Konfigurációkezelési eljárásrend

- Rendszer karbantartási eljárásrend

- Adathordozók védelmére vonatkozó eljárásrend

- Azonosítási és hitelesítési eljárásrend

- Hozzáférés ellenőrzési eljárásrend

- Rendszer és információ sértetlenségre vonatkozó eljárásrend

- Naplózási eljárásrend

- Rendszer- és kommunikáció védelmi eljárásrend

• A törvényi előírásoknak megfelelő tűzfal, antivírus és naplózó megoldásokkal kapcsolatos tanácsadás, integráció
• A további biztonsági osztályok és szintek elérésének követelményeit, határidőket szakértő kollégáink konzultáció keretein belül ismertetik

A Nádor Rendszerház több mint 20 éves – többek között számos önkormányzatnál szerzett – tapasztalatával jelentősen megkönnyítheti a törvényi előírásnak való megfelelést.

Az Információbiztonsági törvény (2013. évi L. tv.) kötelezővé teszi az államigazgatási szervezetek és önkormányzatok számára:

• az adatvagyon, az azt kezelő rendszerek valamint a létfontosságú informatikai rendszerek kockázat arányos védelmét
• és az azokkal kapcsolatos feladatok ellátásához szükséges felelős kijelölését (Információ biztonságért felelős személy).

A törvény és a végrehajtási rendeletek a törvény hatálya alá eső szervezetek számára az alábbi feladatokat határozza meg:

a) Fel kell mérni és elemezni kell a működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat, el kell végezni az intézmény biztonsági szintbe sorolását.

b) Ki kell dolgozni, és hatályba kell helyezni az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályokat, utasításokat, terveket és irányelveket.

c) Meg kell valósítani:

• • • a rendkívüli események kezelésére szolgáló tervek elkészítését, azok naprakészen tartását;
    • a fizikai biztonsági feltételek kialakítását, követelményeinek meghatározását;
    • az informatikai biztonság szempontjából fontosnak minősített munkakörök betöltési szabályainak, feltételeinek meghatározását;
    • a biztonsági követelmények és az előírások betartásának ellenőrzését.

d) Információ biztonsági felelőst kell kinevezni, aki:

• • • szakmai szempontból közvetlenül koordinálja az informatikai biztonsági tevékenységeket
    • szakmai szempontból irányítja az informatikai biztonságra vonatkozó oktatást.
    • szakmai szempontból egyezteti és jóváhagyásra benyújtja az Informatikai Biztonsággal kapcsolatos szabályzatokat (Biztonsági Politika, Biztonsági Stratégia, Biztonsági Szabályzat)
    • elemzéseket végez, szükség esetén javaslatokat tesz a szükséges informatikai biztonsági intézkedésekre, valamint a biztonságos működéssel összefüggő szabályok megváltoztatására
    • ellenőrzi az informatikai biztonsági előírások végrehajtását
    • a biztonsági eszközök állapotát figyelemmel kíséri, javaslatot tesz azok cseréjére, bővítésére
    • részt vesz az üzletmenet-folytonossági terv (katasztrófa-elhárítási terv) összeállításában.
    • a rendszerek biztonsági hiányosságait, az informatikai biztonsággal összefüggő számítástechnikai, valamint informatikai problémákat jelenti.
    • kapcsolatot tart a Nemzeti Elektronikus Információbiztonsági Hatósággal.

Ezen feladatok maradéktalan és hatékony elvégzése nagyfokú IT biztonsági szakértelmet és jártasságot kíván, amelyet egy hozzáértő információ biztonsági felelősnek kell ellátnia. Ez a felelős külsős cég/szakember is lehet.

A Nádor Rendszerház több mint 20 éves – többek között számos önkormányzatnál szerzett – tapasztalatával jelentősen megkönnyítheti a törvényi előírásnak való megfelelést.

Miben segíthetünk?

1. A teljes információ biztonsági felelős feladatkör ellátásában – az ellenőrzés előkészítésétől, a rendszerek és szabályzatok ellenőrzésén, a biztonsági szint megállapításán át a cselekvési terv elkészítéséig és végrehatásáig, majd az elért biztonság folyamatos fenntartásában és fejlesztésében.
2. Az információ biztonsági felelős munkájának támogatásában, kiegészítésében, a szükséges eszközök, szolgáltatások biztosításában – minden fent említett feladat során szakértő háttértámogatást nyújtunk, így biztosítva a sikeres eredményt, segítünk kiválasztani, majd bevezetni és folyamatosan naprakészen tartani, fejleszteni a biztonsági szint eléréséhez és megtartásához szükséges lehető legjobb ár-érték arányú eszközöket és megoldásokat.
3. A gyakorlati feladatok végrehajtásában, a külső, objektív szemléletet igénylő sérülékenységi vizsgálatok elvégzésében – a biztonsági szint eléréséhez, megtartásához és fejlesztéséhez szükséges eszközök és szolgáltatások biztosításában, az időszakonként szükséges objektív sérülékenységi és kockázatelemzési vizsgálatok elvégzésében.

Mit nyerhet a Nádor Rendszerház segítsége által?

• Gyors, hatékony, a költségkímélést szem előtt tartó feladatmegoldást
• A törvényi előírásoknak való maradéktalan megfelelést, miközben szervezetükre nem hárulnak megterhelő feladatok.
• Olyan objektív szemléletet, amely képes rámutatni az igazán sérülékeny pontokra, megmutatja a lehetséges veszélyeket és minden olyan ésszerű lépést, amit érdemes megtenni a biztonsági szint érdekében, de nem erőltet a szervezetre felesleges fejlesztéseket.
• Számos szakembert, akik nem csupán az IT biztonság területén rendelkeznek több évtizedes tapasztalattal, hanem ugyanígy jártasak az informatika, távközlés, vonalkód technika, szoftverfejlesztés és irodatechnika területén is.
• Egy szolgáltatót, aki az Önök érdekeit képviseli jól ismerve az önkormányzati folyamatokat, mindennapokat, kihívásokat és a törvényi hátteret, valamint a legújabb és legjobb IT biztonsági és informatikai megoldásokat egyaránt.