Az IVSZ észrevételei és módosítási javaslatai a készülő 42/2015. (III. 12.) Korm. rendelet módosításáról

Az IVSZ IT Biztonság munkacsoportja a kormany.hu oldalon közzétett tervezet alapján megfogalmazta észrevételeit és álláspontját. A munkacsoport szeretné, ha a jogalkotó érdemben foglalkozna a felvetésekkel és figyelembe venné a szakmai közösség javaslatait.

Miközben az erősebb szabályozás, minőség alapú szűrés igényét senki nem vitatta, a beavatkozás mikéntje nem szolgálja a szolgáltatás minőségének javulását, hiszen a felállított kritériumok nincsenek összhangban az információ biztonsági szakma nemzetközi sztenderdjeivel, sőt olyan előírásokat tartalmaz, melyek a minősített adatok kezelésére vonatkoznak, miközben a pénzintézetek ilyeneket nem kezelnek.

Észrevételek

I.

  • A tanúsító szervezet fogalma és tevékenységének köre nem került definiálásra.

Mi a pontos feladata, mely rendszereket, illetve mely rendszerek összességét kell tanúsítania?

II.

  • a tanúsító szervezet legalább két szakirányú felsőfokú végzettséggel és legalább kétéves igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat,

A szakirányú végzettség jelen esetben nehezen definiálható, hiszen az információs rendszerek védelme adminisztratív, logikai és fizikai követelményeknek az összessége. Az egyes területeket adott esetben más-más szakirányú végzettséggel rendelkező kolléga tölti be.

Javaslat: a tanúsító szervezet legalább egy felsőfokú végzettséggel és legalább két éves igazolt szakmai gyakorlattal rendelkező szakértőt foglalkoztat.

III.

  • rendelkezik legalább tíz teljes munkaidőben foglalkoztatott munkavállalóval,

Jelen pont elvárásai és a szakmai felkészültség között nincs kapcsolat, az ezen piacon jelen lévő tanácsadó cégek tipikusan ennél kevesebb főt foglalkoztatnak, jellemzően specialisták és nem nagy cégek üzletágaként működnek. Jelen pont helyett javasoljuk, hogy a foglalkoztatott kollégák a tárgyhoz kapcsolódó szakirányú szakmai minősítéssel rendelkezzenek  (CISA, CISM, ISO2700 lead auditor stb.).

IV.

  • tagjai (részvényesei) és munkavállalói közül legalább öten rendelkeznek személyi biztonsági tanúsítvánnyal,

A létszám elvárás és a szakmai felkészültség között nincs kapcsolat. Javasoljuk a pont törlését.

V.

  • a tanúsító szervezet szakmai felelősségbiztosítással rendelkezik,

Elfogadott feltétel.

VI.

  • a tanúsító szervezetet az MNB nyilvántartásba vette, mint az e §-nak eleget tevő tanúsító szervezetet és a megfelelést az MNB részére a tanúsító szervezet évente igazolja,

Elfogadott feltétel.

VII.

  • informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditált státuszt igazoló okirattal, ha az általa vizsgálni kívánt rendszer mérete ezt megköveteli,
  • Az informatikai biztonsági funkciókat megvalósító szoftvertermék nagyon tág fogalom, gyakorlatilag egy számlavezető pénzügyi rendszer, illetve egy tűzfal hasonlóan beletartozik a körbe. Minden ilyen rendszernek rendelkeznie kell tanúsítással? Milyen mérettől van szükség ilyen jellegű tanúsításra? Pontosan mely tanúsítások fogadhatók el?

Javasoljuk a pontok törlését.

VIII.

  • informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek biztonságának hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására vonatkozó akkreditáció alapján végzett – bármilyen ágazatból származó – legalább 3 referenciával.

Javasoljuk a pont törlését, lásd előző pont.

IX.

  • és a Bit. 94. §-ában foglaltakon kívül legalább a következőket kell a rendszeres felülvizsgálaton megvizsgálnia és szakértői jelentésében mindenképp ki kell rá térnie:

a) az informatikai rendszer logikai védelmi intézkedéseinek teljesítési vizsgálatára,

b) az informatikai rendszer logikai védelmének ellenőrzése hardver és szoftver vonatkozásában, valamint

c) az informatikai rendszer logikai védelmére használt szoftver termék beállításainak, telepítésének és üzemeltetésének ellenőrzésére.

  • (3) Az (1) bekezdésben meghatározott informatikai biztonsági funkciók a biztonsági kockázatok 2. és 3. § szerinti elemzését és ellenőrzését szolgálja.
  • (3) A tanúsító szervezet a tanúsítás során legfeljebb 25% mértékig jogosult alvállalkozót igénybe venni.

Nincs észrevétel.

X.

  • (4) A tanúsító szervezet bizalmas információinak és a nagy tömegű személyes adatok védelme érdekében a tanúsító szervezetnek biztonsági szabályzattal, tanúsított informatikabiztonsági irányítási rendszerrel kell rendelkeznie. A tanúsító szervezetnek rendelkeznie kell a minősített adat védelméről szóló 2009. évi CLV. törvény 16. §-a alapján kiállított telephely-biztonsági tanúsítvánnyal, valamint szerepelnie kell a Magyar Nemzeti Bank nyilvántartásában, mint a jogszabályok rendelkezéseinek megfelelő megbízható tanúsító szervezet.

A pénzpiac működése szempontjából indokolatlan követelmény. A tanúsító szervezetek sem a vizsgálat folyamán, sem a későbbiekben nem kezelnek minősített adatokat. Maximum üzleti titkok, illetve biztosítási, valamint banktitkok merülhetnek fel a tanúsítás során. A szakértelemmel és felkészültséggel bíró cégek nagy többségét ellehetetleníti a szakmai munka folytatásától.

Javasoljuk a pont teljes törlését.

Egységes szövegjavaslat

„5/A. § (1) A Hpt. 67/A. §-ában, a Bszt 12. §-ában, az Fsztv. 12/A. §-ában és a Bit. 94. §-ában meghatározott tanúsító szervezetnek a következő feltételeknek kell megfelelnie:

a) a tanúsító szervezet legalább egy fő felsőfokú végzettséggel és legalább kétéves igazolt tanúsítási gyakorlattal rendelkező szakértőt foglalkoztat,

b) a tanúsító szervezet legalább egy fő nemzetközi minősítéssel vagy tanúsítással rendelkező szakértőt foglalkoztat (CISA, CISM ISO27001 lead auditor stb.),

c) a tanúsító szervezet szakmai felelősségbiztosítással rendelkezik.

d) a tanúsító szervezetet az MNB nyilvántartásba vette, mint az e §-nak eleget tevő tanúsító szervezetet és a megfelelést az MNB részére a tanúsító szervezet évente igazolja.

(2) A Hpt. 67/A. §-ában, a Bszt 12. §-ában, az Fsztv. 12/A. §-ában és a Bit. 94. §-ában meghatározott tanúsító szervezetnek a Hpt. 67/A.§-ában, a Bszt 12. §-ában, az Fsztv. 12/A. §-ában és a Bit. 94. §-ában foglaltakon kívül legalább a következőket kell a rendszeres felülvizsgálaton megvizsgálnia és szakértői jelentésében mindenképp ki kell rá térnie:

a) az informatikai rendszer logikai védelmi intézkedéseinek teljesítési vizsgálatára,

b) az informatikai rendszer logikai védelmének ellenőrzése hardver és szoftver vonatkozásában, valamint

c) az informatikai rendszer logikai védelmére használt szoftver termék beállításainak, telepítésének és üzemeltetésének ellenőrzésére.

(3) Az (1) bekezdésben meghatározott informatikai biztonsági funkciók a biztonsági kockázatok 2. és 3. § szerinti elemzését és ellenőrzését szolgálja.

Tisztelettel kérjük, hogy az NFM, mint ágazati szaktárca, véleményének kialakításakor mérlegelje a fenti észrevételeket és világítson rá a jogalkotóknál a tervezet piaci hatásaira is.