Több ezer önkormányzat és államigazgatási szervezet kockáztat információ-biztonsági bírságot

A több szakaszban egy-egy kiemelt intézkedést igénylő folyamat része többek között az informatikai biztonsági szabályzatok kialakítása és az információs rendszer biztonságáért felelős szakemberek kijelölése. Pető Gábor, a MultiContact Consulting Kft. ügyvezetője szerint a távolinak tűnő július 1-i végső határidő valójában szűkös: az információbiztonsági felkészülés nem rutinmunka, és a tapasztalatok alapján a költségvetési szervezetek többsége a […]

A több szakaszban egy-egy kiemelt intézkedést igénylő folyamat része többek között az informatikai biztonsági szabályzatok kialakítása és az információs rendszer biztonságáért felelős szakemberek kijelölése. Pető Gábor, a MultiContact Consulting Kft. ügyvezetője szerint a távolinak tűnő július 1-i végső határidő valójában szűkös: az információbiztonsági felkészülés nem rutinmunka, és a tapasztalatok alapján a költségvetési szervezetek többsége a kapcsolódó feladatokat saját kapacitás, illetve speciális szaktudás hiányában nem fogja tudni időben végrehajtani – a külső szakértő bevonásának elhalasztásával pedig saját költségvetését terhelő, 50 ezertől 5 millió forintig terjedő bírságot kockáztathat.

„Jól működő elektronikus információs rendszerek nélkül nem létezik modern közigazgatás; egyértelmű, hogy az ezek által tárolt és kezelt adatok biztonságát nem lehet félvállról venni” – vázolja az alaphelyzetet Pető Gábor, a MultiContact Consulting Kft. ügyvezetője. – „Erre azonban nincs „recept” vagy központosított megoldás: ahány szervezet, annyi információ-biztonsági szabályzat, szervezeti sajátosságokhoz igazodó adatokkal és hozzáférési szintekkel.”

A megfelelő információbiztonság kialakítását a 2013. évi 50. számú törvény szabályozza. Ennek értelmében mindenhol ki kell dolgozni és elfogadni az informatikai biztonsági szabályzatot, amelynek célja a kockázatok feltárása, kezelése, az esetleges problémák korai észlelése és a gyors reagálás; illetve ki kell jelölni az ezek tervezéséért, koordinálásáért és ellenőrzéséért felelő, a Nemzeti Elektronikus Információbiztonsági Hatósággal kapcsolatot tartó belső szakértőt. Az informatikai rendszereket – és magát az állami vagy önkormányzati szervet – meghatározott szempontok alapján biztonsági osztályokba kell sorolni, amelynek eredménye egy összetett, háromévenként frissítendő biztonsági rendszer, amelyen belül számos kombináció szerint beállíthatók a szükséges védelmi intézkedések és hozzáférések. A szakértő szerint külön kihívást jelent, hogy az érintettek a mindezek egyik alapjául szolgáló szervezeti módszertant sem készen kapják, hanem maguknak kell kialakítaniuk, és az információbiztonsági hatósággal elfogadtatniuk.

„A végső határidő július elseje, miközben a költségvetési intézmények nagy többsége nem áll készen a fenti törvényi kötelezettségek fél éven belüli végrehajtására. Ahhoz, hogy megfelelően kezeljék az adatbiztonsági kockázatokat és a bírságot elkerüljék, a felkészülési folyamatot, ahol ez még nem történt meg, gyakorlatilag azonnal el kell indítani” – figyelmeztet Pető Gábor. – „A feladatokat célszerű részben vagy teljes egészében gyakorlott külső szakemberre bízni, különösen akkor, ha szervezeten belül nem biztosítható az információbiztonsági szakértő kijelölése vagy belső erőforrásból nem oldható meg a szakértői elemzés és biztonsági osztályba sorolás.”
 

SOCIAL BOX