Milyen a jó IBSZ?

A kérdés szerintem már csak azért is jó, mert eleve érdekes elgondolkodni azon is, hogy mit jelent egyáltalán az IBSZ? Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerint nem más, mint informatikai biztonsági szabályzat. Az ISO 27001 általánosságban információbiztonsági irányítási rendszerről, illetve információbiztonsági szabályozásról, ebből következően pedig információbiztonsági szabályzatról beszél.

A két megközelítés szerintem nem azonos, mivel fogalmilag az információbiztonság a véleményem szerint tágabb fogalom, mint az informatikai biztonság, még akkor is, ha egyébként az informatikai biztonsági szabályzat tartalmazza az elektronikus információs rendszerre, illetve annak védelmére vonatkozó nem feltétlenül informatikai jellegű szabályokat is (például a fizikai biztonság szabályait).

Hogy melyik a helyesebb megjelölés, illetve egyáltalán: mitől lesz jó az IBSZ, az nyilvánvalóan nagyban függ az érintett szervezettől, attól, hogy melyik normatív vagy szabványkörnyezetben kell a szabályozást kialakítani, vagy esetleg milyen egyéb ajánlásoknak kell megfelelni. Függ attól is, hogy a szervezet célja pusztán a szabályozási kereteknek való megfelelés, vagy egyébként vannak elvárásai is egy adott szabályozás gyakorlati érvényesíthetősége és hasznossága kapcsán.

A magam részéről egyébként azt látom, hogy egyre több szervezetben merül fel az az igény, hogy a területet komplexebb módon, az információbiztonság felől közelítsék meg, magasabb szinten látszólag eltávolodva az informatikai területtől, bevonva különösen az adatvédelem és a minősített adatok kezelésével kapcsolatos elvi, releváns követelményeket is. A magam részéről is ezt a fajta megközelítést tartom hatékonyabbnak.

Részben ebből is következően – a véleményem szerint, általában – a leghatékonyabb információbiztonsági szabályozást úgy lehet megalkotni, ha az nem informatikai biztonsági alapokon, hanem információbiztonsági folyamatok elemzésén, egyfajta Business Analyst tevékenységen alapul. Olyan kompetenciával, amely képes az információbiztonsági kockázatokat rendszerszinten megérteni és azokat komplex módon értékelni és kezelni.

Ezt a gondolatmenetet is továbbgörgetve azt is gondolom ezzel, hogy általában nem célszerű, ha az IBSZ önmagában tartalmazza és szabályozni képes a normatív kereteknek vagy szabvány előírásoknak megfelelő valamennyi folyamatot és előírást. Ennek oka egyfelől az, hogy ha minden részletszabály bekerül az IBSZ-be, akkor az érintettek valójában nem fogják a szükséges mértékben megismerni a kötelezettségeiket és feladataikat, mert túl bonyolult és komplex lesz a szabályozás, amit egészében egyébként nem is kell ismerniük, viszont nem lesz egyértelmű, hogy abból mit kell megismerniük és követniük.

Másfelől az érintettek egy része nem is ismerheti meg – épp információbiztonsági okokból – a teljes szabályozást, ami miatt azt eleve kivonatolni kell(ene). Egy jó IBSZ tehát magas szinten tartalmazza a törvénynek, szabványnak, ajánlásnak megfelelő valamennyi kötelező elemet, de a részletes szabályozást a különböző egyéb, adott esetben korlátozott hozzáférhetőségű, további szabályozások tartalmazzák a véleményem szerint.

Természetesen ebben az esetben nehezebb a szabályozás koherenciáját megőrizni, hiszen egy módosítás miatt több szabályzathoz is hozzá kell nyúlni, az esetleges ellentmondások fel kell tárni és meg kell szűntetni. Ilyen tekintetben egy mindent átfogó, egységes szerkezetű IBSZ-el sokkal könnyebb lenne dolgozni, de ennek ellenére a véleményem szerint a szabályozás megismerhetőségét, egyértelműségét és a hatékonyságot nagyban csökkenti. Mindez persze függ a szervezet méretétől, illetve az adott rendszerek, folyamatok komplexitásától.

A téma apropóját az adta, hogy most olvastam a honvédelmi miniszter 53/2022. (XII. 28.) HM utasítását a honvédelmi szervezetek általános elektronikus információbiztonsági követelményeinek meghatározásáról és a védelmi rendszabályokról, ami az általam eddig ugyancsak nem ismert, a honvédelmi tárca általános elektronikus információbiztonsági követelményeinek meghatározásáról és a védelmi rendszabályok pontosításáról szóló 3/2012. (I. 13.) HM utasítást helyezte hatályon kívül.

A HM szabályozásnak egyik érdekessége szerintem az, hogy a Magyar Honvédségre is vonatkozó 2013. évi L törvény – értelemszerűen – a 3/2012. (I. 13.) HM utasítás után hatályosult, a belső normát azonban azóta sem módosították, így abban nincs is – és nem is lehetne – szó például a 2013. évi L törvény végrehajtási rendeleteiben foglalt elvárásokról. Mivel azonban a törvény a honvédelmi célú elektronikus információs rendszerek kapcsán a hatósági feladatokat, a biztonsági felügyeletet a honvédelmi ágazaton belül működő szervezetre delegálta, így az esetleges nemmegfelelőség vizsgálata is a honvédelmi ágazaton belül maradt.

Az első érdekesség a szabályozással kapcsolatban, hogy minden más gyakorlattól eltérően „elektronikus információbiztonsági követelményekről” beszél, ami részben ötvözi a két másik megközelítést, de mégis olyan érzetet ad, mintha kizárólag az információbiztonság elektronikus vetületeit kívánná szabályozni, noha nyilvánvalóan más elemeket is tartalmazhat. Azért indokolt a feltételes mód, mert a konkrét követelményeket (az utasítás fogalmi rendszere szerint „általános biztonsági követelményeket”) tartalmazó 1. számú melléklet nem megismerhető.

A másik pedig az, hogy az új szabályozással a 2013. évi L törvény végül bekerült a HM utasításba, azzal, hogy ha az általános biztonsági követelmény szerepel az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbesorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet Védelmi intézkedés katalógusában és a rendszer biztonsági osztályára vonatkozóan a katalógus kötelező védelmi elemként határozza meg, akkor azt érvényesíteni kell.

Hogy hogy alakult eddig, vagy hogy alakul majd a normaalkalmazás, arról fogalmam sincs, de nyelvtani értelmezésem alapján mindez azt kellene, hogy jelentse, hogy a 2013. évi L törvényben és annak végrehajtási rendeleteiben meghatározott követelményeket ezek után (is?) csak akkor kötelező alkalmazni, ha az szerepel az utasítás mellékleteiben felsorolt „általános biztonsági követelmények” között, és az adott osztályba sorolt rendszereknél a 2013. évi L törvény (és végrehajtási rendelete) azt egyébként kötelezően alkalmazandó védelmi elemként szabályozza.

Mindez persze csak spekuláció, hiszen lehet, hogy a törvény és végrehajtási rendeleteinek minden szabálya szerepel a HM utasítás mellékletében is. Ha viszont mégis jól értem, az rendkívül érdekes információbiztonsági, és egyébként, jogelméleti helyzetet jelenthet, azzal együtt, hogy a mellékletben szereplő követelmények egy adott területen akár szigorúbbak is lehetnek az esetlegesen „hiányzó” törvényi, vagy rendeleti elvárásoknál.

 

 

Érdekes lehet még