formájának a jogszabályi környezetét vizsgálom, ami nélkül az előbb említett képesség és készség nem is létezne, ez pedig nem más, mint a kibertér.
Magyarországon egy jelentős információbiztonsági szabályozási és korszerűsítési folyamat vette kezdetét a 2009. évi CLV. törvény 2010. április 1-i hatályba lépését követően. Ez a törvény a minősített adat védelméről rendelkezik. A korábban érvényes nemzeti és külföldi minősített adatok védelméről szóló rendelkezéseket hatálytalanította, és azonos szintre emelte a nemzeti minősített adatok védelmét a NATO vagy az EU minősített adatainak védelmi szintjével. Ezt követően jelentek meg és a törvénnyel egy időben léptek hatályba a törvény végrehajtási rendelkezései. Az egyik a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Kormányrendelet. A másik az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Kormányrendelet. Majd ezt követte a minősített adat elektronikus
biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Kormányrendelet [123][124][125][126].
A fenti szabályzók megalkotását és életbeléptetését az tette szükségessé, hogy Magyarország 1999-ben a NATO tagjává vált, valamint 2004-ben az Európai Unió közösségébe lépett. Mind a két szövetségi rendszerhez történő csatlakozás feltétele volt a szövetségesek és a közösség által ránk bízott minősített adatok védelmének a garantálása, amelyeket az akkori kormányzatok meg is tettek. A nemzeti minősített adatok védelme viszont méltatlanul el volt hanyagolva és a külföldi minősített adatokhoz képest alacsony védelmet kapott [24].
1.3.1 Az elektronikus információbiztonság jogszabályi háttere
Felgyorsult életünk megkerülhetetlen eleme az elektronikai területen elért vívmányoknak a mindennapokban történő alkalmazása. Az internet által nyújtott szolgáltatások ma már nagyon sok ember zsebében ott lapulnak okostelefonok formájában. Az emberek többsége az otthonában, és a munkahelyen a számítógépek segítségével éli mindennapjait. A munkahelyek többsége ma már elképzelhetetlen az informatikai rendszerek hálózatának alkalmazása nélkül.
Teljes életünket behálózzák azon infrastruktúrák, amelyeket összekötnek, de akár működtetnek is az infokommunikációs17 rendszerek és technológiák. Természetesen ezeknek a vívmányoknak is vannak sérülékeny pontjai, amelyeket védeni kell, mert mint az élet minden területének, ezeknek is megvannak a maguk bűnelkövetői csoportjai. Ezek a bűnözők ma már a világon bárhonnan összehangolt támadásokat képesek végrehajtani akár az internet felhasználói ellen, akár különböző infrastruktúrák, akár közigazgatási és gazdasági intézmények ellen az internet felhasználásával.
A mai világunkban, amikor az információs vagy tudás alapú társadalom korát éljük, a legfontosabb erőforrások egyikévé lépett elő az információ. A továbbítására, tárolására szolgáló új közegen, a kibertéren keresztül is egy ország ugyanolyan sérülékeny és kiszolgáltatott, mint amikor egy ország légtere nincs megfelelően védve. Ezért tehát ezt a közeget is sajátosságainak megfelelően kell védeni, sőt a katonai alkalmazhatóságáról, védelméről sem szabad megfeledkezni.
17 Az információ- és kommunikációtechnológia (Information and Communications Technology, ICT) alatt az
1.3.2 Az kibertér védelmének jogszabályi háttere
Azokat az elektronikus információs rendszereket, amelyek összekapcsoltan és decentralizáltan biztosítják az adatok és információk továbbítását a gazdasági és társadalmi folyamatokhoz, kibertérnek nevezik.
Magyarország kibervédelmi stratégiája a Magyarország Alaptörvényében megfogalmazott alapértékek leképezése egy külön biztonság- és gazdaságpolitikai területre, az Alaptörvény 38.
cikkéből levezetett, a nemzeti vagyon részét képező nemzeti adatvagyon, valamint a kapcsolódó létfontosságú rendszerek és létesítmények kiberbiztonságának dokumentuma. A stratégia összhangban van az 1035/2012. (II. 21.) Korm. határozattal [127] elfogadott Magyarország Nemzeti Biztonsági Stratégiájával. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. Továbbá elfogadásra került a 1139/2013. (III.21.) Korm.határozat Magyarország Nemzeti Kiberbiztonsági Stratégiájáról.
Ezen stratégia célja az Alaptörvény elveivel összhangban, többek között a nemzetgazdaság és társadalom szabad tevékenységének védelme és biztonságának garantálása [128].
1.3.3 Törvény az elektronikus információbiztonságról
A Magyar Országgyűlés 2013-ban egy korszakalkotónak mondható törvényt (2013. évi L.
törvény) fogadott el, az állami és önkormányzati szervek elektronikus információbiztonságáról (a továbbiakban: IBTV). A törvény 2013. július 1-jén lépett hatályba. A napjaink információs társadalmát érő fenyegetések, miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, továbbá az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága a nemzet érdekében kiemelten fontos. A törvény úgy definiálja a felhasználót, mint egy adott elektronikus információs rendszert igénybe vevők köre. Meghatározza továbbá az elektronikus információs rendszert is, mint az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese. Tehát a törvény a felhasználó személyt a rendszer részének tekinti, mint „humán interfészt” [129].
1.3.4 Az Ibtv végrehajtásának szabályozása
Az Ibtv végrehajtására a hatályba lépését követően számos jogszabály lépett életbe és került visszavonásra. A disszertáció készítésekor a hatályban lévő jogszabályok a következők a megalkotásuk szerinti időrendben:
• 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról [130].
• 484/2013. (XII.17.) Korm. rendelet a Nemzeti Kiberbiztonsági Koordinációs Tanács, valamint a Kiberbiztonsági Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével kapcsolatos szabályokról, feladat- és hatáskörükről [131].
• 185/2015. (VII. 13.) Korm. rendelet a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól [132].
• 186/2015. (VII. 13.) Korm. rendelet a központosított informatikai és elektronikus hírközlési szolgáltató információbiztonsággal kapcsolatos feladatköréről [133].
• 187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról [134].
• 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről [135].
A 185/2015. (VII. 13.) Korm. rendelet a disszertáció témáját tekintve azért különösen fontos, mert kimondja, hogy „a sérülékenységvizsgálat tárgya az adatok, információk kezelésére használt elektronikus információs rendszerek, rendszerelemek, eszközök, eljárások és kapcsolódó folyamatok vizsgálata, valamint az ezeket kezelő személyek általános informatikai felkészültségének, és az érintett szervezetnél használt informatikai és információbiztonsági
részben is megfogalmaztam, a felhasználó, mint „humán interfész” a rendszer részét képezve ebben az összefüggésben már a sérülékenységvizsgálat elhagyhatatlan része.
1.3.5 Összegzés
Magyarország információbiztonsági helyzete szabályozott, törvényei és a végrehajtó rendeletei az Európai Uniós és a NATO szabályzásaival harmonizálnak, azoknak megfelelnek. Az új kor társadalmi berendezkedéséből adódó kihívásoknak a szabályozások eleget tesznek.
Természetesen, ezen a ponton nem szabad hátradőlni és elégedetten szemlélni a folyamatokat.
Az információbiztonsággal foglalkozó szakmai társadalomnak igenis kötelessége a jogszabályalkotók figyelmét felhívni az újabbnál újabb kihívásokra, fenyegetettségekre, valamint az olyan korszerű eljárások bevezetésére, amelyek az információ – mint érték, és erőforrás – biztonságát szolgálják, garantálják.