ADMINISZTRATÍV FEJLESZTÉSI CÉLKITŰZÉSEK A RENDŐSÉGI SZERVEZET RÉSZÉRE

Miután az Ibtv.-t vettem alap dokumentumként a fejlesztési irányvonalak meghatározásánál, az elektronikus információs rendszereket – és így közvetve az informatikai hálózatokat – működtető szervezetet biztonsági szintbe kell sorolni, mint első adminisztratív irányvonali célkitűzésként határozom meg a Rendőrségi informatikai hálózatokkal való összefüggésében.

Az Ibtv megfogalmazása szerint:

„biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére;

biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a

112

végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére;”[18]

Ezek alapján a Rendőrséget, mint szervezetet 4-es szintbe sorolom, mert:

„4. Az érintett szervezet biztonsági szintje 4., ha a szervezet vagy szervezeti egység a 3.

szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt.

4.1. A 4. biztonsági szervezeti szint követelményei a 3. szinthez rendelt követelményeken túl:

4.1.1. az üzemeltetési, vagy fejlesztési tevékenységbe épített rendszeres, előre meghatározott tesztekkel biztosítani kell az üzemeltetés, vagy fejlesztés információbiztonsági intézkedéseinek hatékonyságát és megfelelőségét;

4.1.2. tesztelési eljárásban rögzítetten biztosítani kell minden szabályozási folyamat és kontroll működését az elvárt és előre meghatározott információbiztonsági követelmények szerint;

4.1.3. azonnali és eredményes, előre meghatározott biztonsági intézkedéseket kell bevezetni a feltárt, vagy bekövetkezett biztonsági események kezelésére, beleértve az eseménykezelő központok, a beszállítók vagy egyéb megbízható forrás jelzése alapján lehetséges, vagy bekövetkezett biztonsági esemény kezelését is;

4.1.4. folyamatba épített rendszeres belső értékelés alá kell vonni az egyes információ, rendszer, vagy alkalmazás biztonsága érdekében bevezetett intézkedések megfelelőségét és hatékonyságát, mely belső értékelések részben, vagy egészben történhetnek alvállalkozók, vagy más, erre feljogosított, vagy a szerv felett felügyelet gyakorló szerv bevonásával;

4.1.5. a szervezet folyamatba épített belső értékelései nem helyettesíthetőek;

4.1.6. a 4.1.3. pont szerinti forrásból származó, potenciális vagy a valódi biztonsági eseményekkel és biztonsággal kapcsolatos információk, vagy riasztások alapján tesztelési eljárást, vagy biztonsági ellenőrzést kell végezni;

4.1.7. a tesztelés értékelése alapján megállapított követelményeket, - beleértve a tesztelés típusával és gyakoriságával kapcsolatos követelményeket is - dokumentálni kell, az arra jogosulttal jóvá kell hagyatni és be kell vezetni;

4.1.8. az egyedi kontroll eljárások tesztelésének gyakoriságát és mélységét ahhoz kell igazítani, hogy milyen biztonsági kockázattal jár a kontrollok nem megfelelő működése.”[23]

Az Ibtv. általános irányelvei szerint a „az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti. Ezért a Rendőrség informatikai hálózatát megpróbáltam besorolni.

113

„biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége;

biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása;”[18]

Ezért a Rendőrség informatikai hálózatát besorolom 4 osztályba bizalmasság, sérthetetlenség és rendelkezésre állás spektrumán.

„2.5. A 4. biztonsági osztály esetében nagy káresemény következhet be, mivel 2.5.1. különleges személyes adat nagy mennyiségben sérülhet;

2.5.2. személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket);

2.5.3. az érintett szervezet üzlet-, vagy ügymenete szempontjából nagy értékű, üzleti titkot, vagy különösen érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen, vagy jelentősen sérülhet;

2.5.4. a káresemény lehetséges társadalmi-politikai hatásaként a jogszabályok betartása, vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni;

2.5.5. a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át.”[23]

Ebből egyértelműen meghatározható első célja a Rendőrségnek, hogy megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely meghatározza a biztonságpolitikai célok megvalósításának módszerét, eszközrendszerét, ütemezését. Az informatikai biztonsági stratégiának rövid-, közép- és hosszú távú célokat kell megfogalmaznia, mellyel a teljes körű védelem hatását keltheti a szervezet. Álláspontom szerint mind emellett másodlagos céljának kell lennie, hogy belső szabályozásában, vagy magában az informatikai biztonsági stratégiában meghatározza az informatikai biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát ezzel biztosítva a folytonosság alapelvét összhangban az ISO 27001:2013 és ITIL V3 2011-el.

A Rendőrség harmadlagos célja, hogy gondoskodjon arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, módosítható. Véleményem szerit, gondoskodnia kell még arról is, hogy az informatikai biztonsági stratégia illeszkedjen az érintett szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, tevékenységi kör változáshoz, fejlesztéshez), jövőképéhez.

A4-es besorolásnak köszönhetően az alábbi adminisztratív követelmények kerültek még

114

megfogalmazásra a 41/2015. BM rendeletbe:

„4.1.1. az üzemeltetési, vagy fejlesztési tevékenységbe épített rendszeres, előre meghatározott tesztekkel biztosítani kell az üzemeltetés, vagy fejlesztés információbiztonsági intézkedéseinek hatékonyságát és megfelelőségét;

4.1.2. tesztelési eljárásban rögzítetten biztosítani kell minden szabályozási folyamat és kontroll működését az elvárt és előre meghatározott információbiztonsági követelmények szerint;

4.1.3. azonnali és eredményes, előre meghatározott biztonsági intézkedéseket kell bevezetni a feltárt, vagy bekövetkezett biztonsági események kezelésére, beleértve az eseménykezelő központok, a beszállítók vagy egyéb megbízható forrás jelzése alapján lehetséges, vagy bekövetkezett biztonsági esemény kezelését is;

4.1.4. folyamatba épített rendszeres belső értékelés alá kell vonni az egyes információ, rendszer, vagy alkalmazás biztonsága érdekében bevezetett intézkedések megfelelőségét és hatékonyságát, mely belső értékelések részben, vagy egészben történhetnek alvállalkozók, vagy más, erre feljogosított, vagy a szerv felett felügyelet gyakorló szerv bevonásával;

4.1.5. a szervezet folyamatba épített belső értékelései nem helyettesíthetőek;

4.1.6. a 4.1.3. pont szerinti forrásból származó, potenciális vagy a valódi biztonsági eseményekkel és biztonsággal kapcsolatos információk, vagy riasztások alapján tesztelési eljárást, vagy biztonsági ellenőrzést kell végezni;

4.1.7. a tesztelés értékelése alapján megállapított követelményeket, - beleértve a tesztelés típusával és gyakoriságával kapcsolatos követelményeket is - dokumentálni kell, az arra jogosulttal jóvá kell hagyatni és be kell vezetni;

4.1.8. az egyedi kontroll eljárások tesztelésének gyakoriságát és mélységét ahhoz kell igazítani, hogy milyen biztonsági kockázattal jár a kontrollok nem megfelelő működése.”[23]

A rendelet az adminisztratív védekezések tekintetében az alábbi területeket különíti el egymástól:

 Szervezeti szintű alapfeladatok,

 Kockázatelemzés,

 Rendszer és szolgáltatás beszerzés,

 Üzletmenet (ügymenet) folytonosság tervezése,

 Biztonsági események kezelése,

 Emberi tényezőket figyelembe vevő – személy – biztonság,

 Tudatosság és képzés.

Álláspontom szerint ezek olyan általános érvényű védelmi területek, amely szervezet szinten

115

kell megalkotni, a szervezet egészére kell értelmezni, és a Rendőrség informatikai hálózatok tekintetében az általános szabályokat lebontani és implementálni kell erre a szakterületre.

A szabályok területre bontása alapján meghatározhatóak a védelmi feladatok, a feladatok által pedig eljárás rendek és dokumentációk. Ebből a szemszögből elemzést folytattam le a rendelkezésre álló Rendőrségi dokumentációk és a jogszabályi elvárások között és az alábbiakat állapítottam meg:

 a Rendőrség az informatikai hálózatok tekintetében részletes eljárásokat, irányvonalakat nem fogalmaznak meg a dokumentációk,

 hiányoznak még a gyakorlatban is a fenti eljárások kidolgozásai, a fenti adminisztrációs tevékenységek eredményei,

 a részletezett feladatok még nem kerültek meghatározásra a fenti területeket illetően.