Több ezer önkormányzat és államigazgatási szervezet kockáztat információ-biztonsági bírságot
Több mint háromezer önkormányzatnak és több ezer központi államigazgatási szervezetnek kevesebb mint fél éve maradt arra, hogy végrehajtsa az információbiztonságról szóló, tavaly hozott törvényt.
Több mint háromezer önkormányzatnak és több ezer központi államigazgatási szervezetnek kevesebb mint fél éve maradt arra, hogy végrehajtsa az információbiztonságról szóló, tavaly hozott törvényt.
A több szakaszban egy-egy kiemelt intézkedést igénylő folyamat része többek között az informatikai biztonsági szabályzatok kialakítása és az információs rendszer biztonságáért felelős szakemberek kijelölése. Pető Gábor, a MultiContact Consulting Kft. ügyvezetője szerint a távolinak tűnő július 1-i végső határidő valójában szűkös: az információbiztonsági felkészülés nem rutinmunka, és a tapasztalatok alapján a költségvetési szervezetek többsége a kapcsolódó feladatokat saját kapacitás, illetve speciális szaktudás hiányában nem fogja tudni időben végrehajtani – a külső szakértő bevonásának elhalasztásával pedig saját költségvetését terhelő, 50 ezertől 5 millió forintig terjedő bírságot kockáztathat.
„Jól működő elektronikus információs rendszerek nélkül nem létezik modern közigazgatás; egyértelmű, hogy az ezek által tárolt és kezelt adatok biztonságát nem lehet félvállról venni" – vázolja az alaphelyzetet Pető Gábor, a MultiContact Consulting Kft. ügyvezetője. – „Erre azonban nincs „recept" vagy központosított megoldás: ahány szervezet, annyi információ-biztonsági szabályzat, szervezeti sajátosságokhoz igazodó adatokkal és hozzáférési szintekkel."
A megfelelő információbiztonság kialakítását a 2013. évi 50. számú törvény szabályozza. Ennek értelmében mindenhol ki kell dolgozni és elfogadni az informatikai biztonsági szabályzatot, amelynek célja a kockázatok feltárása, kezelése, az esetleges problémák korai észlelése és a gyors reagálás; illetve ki kell jelölni az ezek tervezéséért, koordinálásáért és ellenőrzéséért felelő, a Nemzeti Elektronikus Információbiztonsági Hatósággal kapcsolatot tartó belső szakértőt. Az informatikai rendszereket – és magát az állami vagy önkormányzati szervet – meghatározott szempontok alapján biztonsági osztályokba kell sorolni, amelynek eredménye egy összetett, háromévenként frissítendő biztonsági rendszer, amelyen belül számos kombináció szerint beállíthatók a szükséges védelmi intézkedések és hozzáférések. A szakértő szerint külön kihívást jelent, hogy az érintettek a mindezek egyik alapjául szolgáló szervezeti módszertant sem készen kapják, hanem maguknak kell kialakítaniuk, és az információbiztonsági hatósággal elfogadtatniuk.
„A végső határidő július elseje, miközben a költségvetési intézmények nagy többsége nem áll készen a fenti törvényi kötelezettségek fél éven belüli végrehajtására. Ahhoz, hogy megfelelően kezeljék az adatbiztonsági kockázatokat és a bírságot elkerüljék, a felkészülési folyamatot, ahol ez még nem történt meg, gyakorlatilag azonnal el kell indítani" – figyelmeztet Pető Gábor. – „A feladatokat célszerű részben vagy teljes egészében gyakorlott külső szakemberre bízni, különösen akkor, ha szervezeten belül nem biztosítható az információbiztonsági szakértő kijelölése vagy belső erőforrásból nem oldható meg a szakértői elemzés és biztonsági osztályba sorolás."