FőoldalFelső menüLakosságnakAdatvédelemElektronikus információbiztonság

Elektronikus információbiztonság

(2017.06.15.)

Napjainkban az állam, és annak minden szervezete és polgára kiszolgáltatottá vált a többszörösen összetett elektronikus információs rendszereknek, amelyek nélkül az állam működése, különböző szolgáltatások biztosítása és igénybevétele megvalósíthatatlanná vált. A modern gazdasági berendezkedés mellett a társadalom nincs felkészülve arra, hogy a kiesett infrastruktúrák, eszközök vagy szolgáltatások nélkül működjön, így ezeket - egyértelműen - védeni kell, különös tekintettel arra, hogy az azok működése során felhasznált és keletkező információk, továbbá az azokban kezelt adatok jelentős vagyont képviselnek.
Szándékos károkozások egyre gyakrabban fordulnak elő, ugyanakkor ezek egyre vakmerőbbek és egyre bonyolultabbak is. Folyamatosan növekvő fenyegetést jelent sérülékeny elektronikus információs rendszereinkre a „kiberterrorizmus”.
Az elektronikus információs rendszerek, szolgáltatások bármelyikének megsemmisülése vagy sérülése a társadalom széles rétegeit érintheti, továbbá az ezen elektronikus információs rendszerek által kezelt adatvagyon bizalmassága, sértetlensége és rendelkezésre állása alapvető fontossággal bír, amely jogszabályi és intézményi hátterét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény illetve a hozzá kapcsolódó egyéb jogszabályok biztosítják.

 

Tartalom:

Mit jelent az elektronikus információbiztonság?
Mi a biztonsági osztály?
Mi a biztonsági szint?
Melyek az egészségbiztosítási informatikai rendszerei?
Mi biztosítja a jogszabályi követelmények betartását?
Kapcsolódó intézmények
Jogszabályok

 

Mit jelent az elektronikus információbiztonság?

Az elektronikus információbiztonság önmagában az elektronikus információs rendszerekben szereplő adatok, és az azokat kezelő rendszer védelmét jelenti. Az elektronikus információs rendszerek és az azokban tárolt és kezelt információk védelme a szintén törvényileg – tehát az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben, a polgárok személyes adatainak nyilvántartásáról és lakcímének nyilvántartásáról szóló 1992. évi LXVI. törvényben, az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényben és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben – szabályozott adatvédelmi rendelkezések útján valósul meg.

Az elektronikus információbiztonság az elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer elemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítását jelenti.

A biztonság jelentésével kapcsolatban fontos megjegyezni, hogy ez önmagában csak egy állapotot jelent, amely az összes számba vehető fenyegetést figyelembe veszi és a rendszer valamennyi elemére kiterjed, folyamatosan megvalósul és annak költségei hosszútávon arányosak a fenyegetések által okozható károkkal. Az információbiztonság, mint elvárt állapot a megelőzés és a korai figyelmeztetés, az észlelés, a reagálás és a biztonsági események kezelése feladatainak folyamatosan végzendő tevékenységein keresztül valósul meg.

A biztonság tervezése, kialakítása során a komplex biztonságra kell törekedni és a leggyengébb láncszem elvét figyelembe véve a biztonság minden területére és a biztonsági intézkedések minden fajtájára, tevékenységére kellő hangsúlyt kell fektetni ahhoz, hogy a védelem elérje célját.

Az elektronikus információs rendszer védelmének kidolgozásánál törekedni szükséges arra, hogy a fenyegetések elkerülhetőek legyenek, de ha az nem lehetséges, akkor arról, még annak bekövetkezése előtt az érintettek szerezzenek tudomást. Az elektronikus információs rendszerek esetében különösen fontos a biztonsági események, tehát az olyan nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat bekövetkeztének azonnali észlelése, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül. Ha a biztonsági esemény bekövetkezik fontos figyelmet fordítani azok kezelésére is. Ennek során – a jövőbeni előfordulás megakadályozása érdekében - a bekövetkezett biztonsági események dokumentálására, a következmények felszámolására, az okok és felelősök megállapítására, a hasonló biztonsági események jövőbeni előfordulásának megakadályozására irányuló tevékenységekre kerül sor.

 

Mi a biztonsági osztály?

A biztonsági osztály nem más, mint az elektronikus információs rendszer védelmének elvárt erőssége. Az elektronikus információs rendszerek keretén belül kezelt adatok védelmét a kockázatokkal arányosan alakítják ki, ennek érdekében az elektronikus információs rendszerek egy-egy biztonsági osztályba – az elektronikus információs rendszer védelmének elvárt erőssége – kerülnek besorolásra a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából. Az érintett elektronikus információs rendszer vagy az általa kezelt adat bizalmasságának, sértetlenségének vagy rendelkezésre állásának kockázata alapján a biztonsági osztályok 1-5-ig számozott fokozata alkalmazható. A számozás emelkedésével párhuzamosan a védelmi előírások is szigorodnak.

Az információs rendszer védelmére fordított kiadások a kockázatarányosságra épülnek, azaz csak a lehetségesen bekövetkező veszteségek és károk nagyságrendjével arányosan indokolt a védelemre költeni. Azt, hogy milyen mértékben kell az információs rendszer védelmére költeni a kezelt adatok a bizalmasságának, a sértetlenségének vagy a rendelkezésre állásának, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása elvesztésével okozott károk nagyságrendjével lehet megállapítani.

A hatályos jogi szabályozás a nemzeti adatvagyont kezelő rendszerek esetében a sértetlenség, a létfontosságú információs rendszerelemek esetében a rendelkezésre állás követelményét emeli ki, a különleges személyes adatokkal kapcsolatban pedig alapvető igényként fogalmazza meg a bizalmasság fenntartását.

A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági osztályba sorolást a szervezet informatikai biztonsági szabályzatában kell rögzíteni. Mivel a kockázatok folyamatosan változnak, az elektronikus információs rendszerek osztályba sorolását biztonsági osztályba sorolást legalább háromévenként vagy szükség esetén soron kívül, dokumentált módon felül kell vizsgálni. Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer fejlesztése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell.

A nemzeti adatvagyont kezelő, és a jogszabály alapján létfontosságú rendszernek kijelölt rendszert a legmagasabb biztonsági osztályba kell sorolni, melyre a legszigorúbb védelmi előírások vonatkoznak.

Figyelemmel arra, hogy a Nemezti Egészségbiztosítási Alapkezelő (a továbbiakban: NEAK) nemzeti adatvagyont, tehát közérdekű adatok, személyes adatok és közérdekből nyilvános adatok összességét tartalmazó adatokat is kezel, és jogszabályi kijelölés alapján az egészségbiztosítás informatikai rendszere létfontosságú rendszernek minősül, ezért a legmagasabb szintű védelmi előírásoknak való megfelelést szükséges biztosítania, így informatika rendszere 5-ös biztonsági osztályba sorolandó, amely azt is jelenti, hogy akár egy kisebb üzemzavar esetében is kiemelkedően nagy káresemény következhet be, mivel

  • különleges személyes adat kiemelten nagy mennyiségben sérülhet;
  • emberi életek kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be;
  • a nemzeti adatvagyon helyreállíthatatlanul megsérülhet;
  • az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított;
  • súlyos bizalomvesztés következhet be az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek;
  • nagy értékű üzleti titkot, vagy kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer, vagy információt képező adat tömegesen vagy jelentősen sérülhet;
  • a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át.

 

Mi a biztonsági szint?

A biztonsági szint a szervezet felkészültsége az elektronikus információbiztonságra vonatkozó jogszabályokban meghatározott biztonsági feladatok kezelésére. A kockázatokkal arányos, költséghatékony védelem kialakítása érdekében a szervezetet az elektronikus információs rendszerek védelmére való felkészültsége alapján biztonsági szintekbe kell sorolni, amely azt hivatott mérni, hogy az adott szervezet az elektronikus információs rendszerek védelmével kapcsolatban milyen felkészültségi szinten áll. A biztonsági szintet 1-5-ig számozott fokozatokba lehet besorolni.

A szervezet biztonsági szintbe sorolását a szervezet vezetője hagyja jóvá, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és időszerűségéért. A biztonsági szintbe sorolás eredményét a szervezet informatikai biztonsági szabályzatában rögzíteni kell. A biztonsági szint meghatározását a biztonsági szint elérését követően legalább háromévenként, szükség esetén soron kívül, dokumentált módon felül kell vizsgálni. Az elektronikus információs rendszer biztonságát érintő változás esetén, illetve új elektronikus információs rendszer bevezetésekor a szervezet vagy szervezeti egység biztonsági szintbe sorolását soron kívül meg kell ismételni.

A szervezetnek azt a biztonsági szintet kell elérnie, amely megegyezik az általa kezelt elektronikus információs rendszerek közül a legmagasabb biztonsági osztállyal.

A biztonsági szint mértékének megállapításához az alábbi feladatok és elvárások vizsgálata szükséges:

  • a biztonsági folyamatok részletszabályainak kidolgozottsága,
  • az elektronikus információs rendszerek biztonságával kapcsolatos szaktudás biztosítottsága a szervezeten belül,
  • az elektronikus információs rendszerek biztonságával kapcsolatos feladatok és felelősségi körök szabályozottsága,
  • a biztonsági szint mérése rendszeressége,
  • a fizikai, védelmi intézkedések kidolgozottsága,
  • az elektronikus információs rendszerekkel kapcsolatos információk feldolgozottsága,
  • az információbiztonság szervezeten belüli helyzete (a szervezet részeként vagy csak informatikai szinten kezelik-e),
  • biztonsági kockázat- és hatáselemzés biztosítottsága,
  • biztonságirányítási célok és mérési módszerek alkalmazása,
  • eseti biztonsági és sérülékenységi tesztelések gyakorisága;
  • az elektronikus információs rendszerek biztonságának kiértékelése,
  • biztonságirányítás hatékonyságának mérése,
  • az elektronikus információs rendszer fejlesztésénél biztonsági szempontból értékelt termékek beszerzésére, stb.

A biztonsági szintbe soroláskor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a feladatokra és a fennálló elvárásokra tekintettel, és a kockázatokhoz illeszkedő súllyal kell érvényesíteni. 

Az érintett szervezet biztonsági szintje abban az esetben lehet 5-ös, ha a szervezet a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.

A NEAK, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény értelmében nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt egészségbiztosítás informatikai rendszerének üzemeltetője, továbbá nemzeti adatvagyon-elemeket is kezel, amelyek 5-ös biztonsági osztálynak megfelelő informatikai rendszer keretén belül védendőek.

Figyelemmel arra, hogy a NEAK 5-ös biztonsági osztályba sorolt rendszert kezel, biztonsági szintjének is az 5-ös szinthez megfelelő követelményeket kell teljesítenie, tehát többek között:

  • biztosítani kell az információbiztonsági kontrollfolyamatoknak a szervezet alapfeladataiba történő beépítését,
  • biztosítani kell a szabályzatok, tesztelési eljárások, biztonsági folyamatok folyamatos felülvizsgálatát és továbbfejlesztését,
  • a szervezetnek rendelkeznie kell átfogó információbiztonsági programmal, amely szerves része a szervezet feladatellátásának és biztosítja a személyi állomány biztonságtudatosságának növelését,
  • a szervezet személyi állományának rendelkeznie kell információbiztonsági operatív képességgel és a feladat elvégzéséhez szükséges szaktudással,
  • a biztonsági sérülékenységek felismerésének és kezelésének képességét a szervezet egésze tekintetében meg kell valósítani,
  • a fenyegetettségek folyamatos újraértékelésével, a kontrollfolyamatok felülvizsgálatával nyomon kell követni az információbiztonsági környezet változását,
  • az információbiztonságot érintő külső vagy belső környezeti változásokra figyelemmel további információbiztonsági alternatívákat kell meghatározni,
  • a szervezetnek ki kell alakítania az információbiztonsági képesség- és állapotmérési és értékelési módszertanát, meg kell határozni annak mutatóit.

 

Melyek az egészségbiztosítás informatikai rendszerei?

Az egészségbiztosítás legfontosabb informatikai rendszerei az alábbiak:

 

Elektronikus Jelentésbeküldő Rendszer (e-Jelentés):

2009 óta már sikeresen működik a gyógyszertárak, GYSE forgalmazók, a gyógyfürdők egészségügyi szolgáltatók munkáját támogatva. A rendszer célja, hogy egyszerűsítse a jelentések küldésének folyamatát és lehetővé tegye a heti/havi jelentések elektronikus, biztonságos adatátviteli vonalon (interneten) keresztül történő beküldését közvetlenül a NEAK részére. Az e-Jelentésről bővebben a finanszírozás elszámolásáról szóló tájékoztatóban, valamint itt olvashat.

BÉVER elszámolás:

A NEAK országos hálózatként működő informatikai rendszert alkalmaz az ártámogatás elszámolására, a gyógyszer, különleges táplálkozási igényt kielégítő tápszer (továbbiakban együtt: gyógyszer), gyógyászati segédeszköz, gyógyászati ellátás és a különkeretes centrum egységes elszámolása érdekében, a vény alapú jelentés fogadása, feldolgozása, nyilvántartása, ellenőrzése céljából. Az informatikai rendszer elnevezése a korábbi mozaikszóból (Békéscsabai Vényelszámoló és Ellenőrző Rendszer) mára szakkifejezéssé vált, így BÉVER néven vált ismertté. Előbbiekről bővebben az ártámogatás elszámolásáról szóló tájékoztatóban, valamint itt olvashat.

Jogviszonyellenőrzés (OJOTE):

A jogosultság és TAJ ellenőrzésre a NEAK országos informatikai rendszert alkalmaz. A jogviszony-ellenőrzés lényege, hogy jelenleg valamennyi közfinanszírozott egészségügyi szolgáltató jogszabályi kötelezettségnek eleget téve, minden orvos-beteg találkozó alkalmával on-line módon ellenőrzi, hogy a beteg szerepel-e az egészségbiztosítónál vezetett nyilvántartásban. Előbbiekről bővebben az ellátásra való jogosultság igazolásáról szóló tájékoztatóban, valamint itt olvashat.

Tételes jelentő felület:

A 9/1993. (IV.2.) NM rendelet 1/A. mellékletében felsorolt hatóanyag felhasználásának elszámolása történik a rendszeren keresztül, amely segítségével a NEAK a rendeletben felsorolt hatóanyagok felhasználását az ott rögzített indikációkban, a társadalombiztosítási támogatásba befogadó határozatban és az alkalmazási előiratban foglaltaknak megfelelően számolja el. A tételes elszámolásról bővebben itt olvashat. 

Gyógyszer-nagykereskedők havi jelentése (PANKA):

A hivatalos statisztikáról szóló 2016. évi CLV. törvény felhatalmazása alapján, az Országos Statisztikai Adatgyűjtési Program (OSAP) keretében az Országos Statisztikai Adatgyűjtési Program adatgyűjtéseiről szóló 288/2009. (XII. 15.) Korm. rendelet 3. számú melléklete a gyógyszergyártók és gyógyszer nagykereskedők részére 1913 számon havonkénti adatszolgáltatási kötelezettséget ír elő, amely teljesítése az alábbi alkalmazáson keresztül történik, amelyről bővebben itt olvashat.

További informatikai rendszerek:

 

Mi biztosítja a jogszabályi követelmények betartását?

Mivel az elektronikus információbiztonság megteremtése egyes szervezeteken belül a társadalom által elvárt követelmény, ezért célszerűnek látszott országos hatáskörrel független szervezetek létrehozása a jogszabályi rendelkezések betartásának ellenőrzése érdekében.

Nemzeti Elektronikus Információbiztonsági Hatóság

A Kormány a Nemzeti Elektronikus Információbiztonsági Hatóságként (a továbbiakban: hatóság) az ország egész területére illetékességgel rendelkező, önállóan működő és gazdálkodó központi költségvetési szervet, a Nemzetbiztonsági Szakszolgálatot jelölte ki. 

A hatóság feladata többek között:

  • az érintett szervezetek által az Európai Gazdasági Térség (a továbbiakban: EGT) tagállamaiban történő elektronikus információsrendszer-üzemeltetésének engedélyezése,
  • az érintett szervezetek által az EGT tagállamain kívül történő elektronikus információsrendszer-üzemeltetés ellenőrzése,
  • az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülésének ellenőrzése,
  • a szervezet elektronikus információs rendszereinek megnevezésének, az elektronikus információs rendszerek biztonsági osztályának, valamint az elektronikus információs rendszer osztályba soroláshoz szükséges, jogszabályban meghatározott fizikai, logikai és adminisztratív védelmi intézkedések adatainak nyilvántartása,
  • a biztonsági eseményekkel kapcsolatos, a kormányzati eseménykezelő központtól kapott értesítések nyilvántartása és honlapján történő közzététele, valamint
  • jogszabályban meghatározott szempontok szerint, hatósági eljárás keretében a fizikai, logikai és adminisztratív védelmi ellenőrzések lefolytatása,
  • együttműködés a hálózati és információs rendszerek biztonságáért felelős nemzetközi szervekkel, az Európai Unió e feladatra létrehozott Együttműködési csoportjával,
  • Magyarország képviselete a hálózati és információs rendszerek biztonságáért felelős nemzetközi szervezetekben.

Kormányzati Eseménykezelő Központ

A Kormány a Kormányzati Eseménykezelő Központként (a továbbiakban: Központ) az ország egész területére illetékességgel rendelkező, önállóan működő és gazdálkodó központi költségvetési szervet, a Nemzetbiztonsági Szakszolgálatot jelölte ki. 

A Központ feladat és hatásköre:

  • a Központ a biztonsági események és fenyegetések kezelésével támogatja az állami és önkormányzati szerveket, amelynek céljából együttműködik
    • a hatósággal, valamint a Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központjával,
    • a rendvédelmi szervekkel és a Katonai Nemzetbiztonsági Szolgálattal,
    • a Nemzeti Média- és Hírközlési Hatósággal és az általa működtetett Országos Informatikai és Hírközlési Főügyelettel,
    • az elektronikus hírközlési szolgáltatókkal, a központosított informatikai és elektronikus hírközlési szolgáltatóval,
    • az elektronikus kereskedelmi szolgáltatókkal és közvetítő szolgáltatókkal,
    • az elektronikus információs rendszer biztonságáért felelős személlyel,
    •  a magyar és nemzetközi hálózatbiztonsági és információbiztonsági szervezetekkel, így különösen az Európai Unió számítógép-biztonsági eseményekre reagáló csoportjával, valamint
    • iparági szereplőkkel.
  • a Központ a biztonságiesemény-kezelési feladatkörében felelős
    • a tudomására jutott biztonsági eseményekről az érintettek haladéktalan értesítéséért,
    • a biztonsági eseményekről személyes adatokat nem tartalmazó nyilvántartás vezetéséért, amely tartalmazza a biztonsági esemény kapcsán megtett intézkedéseket és azok eredményét, valamint
    • az érintettek számára a biztonsági események kezelése során szakmai támogatás nyújtásáért.
  • a Központ az elektronikus információs rendszereket veszélyeztető sérülékenységekkel és fenyegető kockázatokkal összefüggésben felelős
    • az elektronikus információs rendszerek biztonságáért felelős személyek tájékoztatásáért,
    • a hatóságok és az eseménykezelő központok tájékoztatásáért, valamint
    • a sérülékenységekről és fenyegetésekről, valamint a javasolt biztonsági intézkedésekről a honlapján rendszeres tájékoztatás nyújtásáért.
  • • A Központ továbbá
    • elemzéseket, jelentéseket készít a magyar és nemzetközi információbiztonsági irányokról,
    • a hatáskörébe tartozó biztonsági eseményekről negyedévente jelentést tesz a Nemzeti Kiberbiztonsági Koordinációs Tanács részére,
    • évente jelentést készít a tevékenységéről a Központot irányító miniszter részére,
    • nem kötelező érvényű állásfoglalásokat, ajánlásokat adhat ki,
    • a biztonsági események kezelésére irányuló tájékoztatót tarthat, részt vehet az információbiztonság tudatosításáért felelős intézmények tudatosítási programjában, szakértői-oktatói tevékenységet végezhet,
    • kormányzati információtechnológiai, hálózatbiztonsági, és biztonságiesemény-kezelési együttműködési fórumot működtethet, valamint
    • részt vesz az infokommunikációs biztonságra vonatkozó stratégiák és szabályozások előkészítésében.

Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja

A belügyminisztérium nemzeti létfontosságú rendszerek és létesítmények védelmével kapcsolatos hálózatbiztonsági tevékenység ellátása érdekében eseménykezelő központot működtet Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja néven.


Feladata közé tartozik

  • a technikai védelmi, megelőző, tájékoztatási és oktatási tevékenységet végzése, felkérés esetén infokommunikációs biztonságra, valamint a létfontosságú elektronikus információs rendszerek és létesítmények védelmére vonatkozó stratégiák és ágazati szabályozások előkészítésében való részvétel,
  • a nemzeti létfontosságú rendszerelemként azonosított informatikai rendszerek és hírközlő hálózatok felé irányuló, a globális kibertérből érkező beavatkozások elhárításának koordinálása.

 

Intézmények

 

Jogszabályok