Az Országgyűlés 2013-ban – figyelembe véve Magyarország Biztonsági Stratégiáját, Magyarország Nemzeti Kiberbiztonsági Stratégiáját, valamint ez utóbbit is megalapozó Európai Unió kiberbiztonsági stratégiáját – megalkotta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (Ibtv.), amely 2013. július 01-jén lépett hatályba.
Az Ibtv. célként fogalmazza meg a nemzeti elektronikus adatvagyon, valamint az állami- és önkormányzati szervek elektronikus információs rendszereinek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonságának erősítését; deklarálja, hogy az elektronikus információs rendszerek biztonságáért az üzemeltető, működtető állami szerv a felelős.
A törvény továbbá létrehozta a hazai kibervédelmi szervezetrendszert, amelynek alapvető rendeltetése, hogy az állami szervek információbiztonsági feladatainak végrehajtását biztonsági szolgáltatásokkal támogassa, ellenőrizze, az állami szervezetrendszer egésze tekintetében a biztonságtudatosságot fejlessze.
A szervezetrendszer stratégiai szintű eleme a Nemzeti Kiberkoordinációs Tanács, amelynek feladata a stratégia kormányzati tevékenység koordinációjának elősegítése és a végrehajtás figyelemmel kísérése, valamint a magánszféra szakmai véleményének kormányzati döntéshozatalba történő becsatornázására létrehozott Kiberbiztonsági Fórum.
A szervezetrendszer operatív elemei:
Az Ibtv. 2015. évi módosítása eredményeként az állami és önkormányzati szervezetek információs rendszerei tekintetében a fenti operatív feladatok működtetésére a Nemzetbiztonsági Szakszolgálat (NBSZ) kerül kijelölésre, amelynek szervezetén belül 2015. október 1-jével létrehozásra került a Nemzeti Kibervédelmi Intézetet (NKI).
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet a 2019. január 1-jén hatályba lépett jogszabály-módosítások eredményeként ellátja
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet jogszabályi feladatai közé tartozik továbbá az ún. „nemzeti kapcsolattartó pont” működtetése, amelynek feladata az Európai Unión belüli nagy hatású kiber-incidensek hazai koordinálása, az incidensekkel kapcsolatos jelentések fogadása, küldése a nemzetközi partner-szervezetek irányába.
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet rendeltetése az informatikai rendszerek informatikai biztonsági támogatása országosan, amely egyrészt megelőző jellegű, a szoftver-sérülékenységek és információbiztonsági fenyegetések nyomon követésére és az IT rendszereket üzemeltetők részére történő kommunikálására (sérülékenység menedzsment), másrészt pedig reaktív jellegű, a védett szerveknél bekövetkező biztonsági események (incidensek) kivizsgálására és a kezelésük koordinációjára irányul. A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet nem ellenőrzi az internet-felhasználást, és nem tilt le semmilyen honlaphoz való hozzáférést, csupán figyelmeztet a veszélyes helyekre.
A sérülékenység-menedzsment során a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet információkat gyűjt a szoftver-sérülékenységekről és káros szoftverekről, megvizsgálják azok ügyfélkörre vonatkozó relevanciáját, és általános körben vagy célzottan tájékoztatják a fenyegetés kiváltotta biztonsági esemény megelőzése érdekében ezen rendszereket üzemeltetőket.
Az incidenskezelési tevékenység során folyamatosan fogadja az IT rendszereket érő incidensek bejelentéseit, és megteszi az alapvető intézkedéseket (incidensek nyilvántartásba vétele, bejelentő visszatájékoztatása, alapvető információk azonosítása, stb.). A bejelentett incidens felszámolása során a következő lépés a jogosultsággal és/vagy képességgel rendelkező szerv/személy tájékoztatása a teendőkről, szükség esetén kapcsolattartás a bejelentővel, valamint az érintett incidens felszámolásának nyomon követése (incidens-koordináció).
Amennyiben szükséges, az incidensre utaló jelek alapján összegyűjti az incidens felderítéséhez szükséges információkat (pl.: naplóadatok) és ezek elemzésével megkísérlik rekonstruálni az incidens kiváltó okait, egyúttal javaslatot tesz a hasonló incidensek megelőzését vagy az okozott kár enyhítését támogató informatikai védelmi intézkedésekre.
Ellátott feladatok:
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet egyik kiemelt feladata a biztonságtudatosság növelése a felhasználók vonatkozásában. A kibervédelem legolcsóbb és leghatékonyabb módja a biztonságtudatos használat. A védelemre fordítható összegek ugyanis korlátozottak, ráadásul a megfelelő biztonság technikailag sokszor nem, vagy csak irreálisan magas költségek mellett lenne a megfelelő szinten kialakítható. A tudatosítás számos formában megjelenhet, mint például szakmai anyagok és útmutatók készítése, közvetlenül kifejtett oktatási vagy képzési tevékenység, a kiberbiztonság hangsúlyának növelése a médiában.
A tudatosító tevékenység számos réteget céloz, ezek közt elsősorban kell említeni a döntéshozókat (szervezeti vezetőket, akik a rendszerek védelméért felelősek), az üzemeltetőket (akik ellátják a rendszerek működtetését, és tőlük várható el a védelmi intézkedések működtetése), és a felhasználókat, akiket meg kell tanítani az internet és az információs technológiák biztonságos használatára, saját és a rájuk bízott adatok felelős és szakszerű kezelésére.
A hatóság az elektronikus információbiztonsági jogszabályokban előírt követelményeknek való megfelelőség ellenőrzésének letéteményese. Amennyiben a szervezet a hatósággal nem működik együtt, úgy – költségvetési szerv esetében – a hatóságnak joga van kirendelni ún. információbiztonsági felügyelőt, indokolt, súlyosabb esetben akár öt millió forintos bírság kiszabására is lehetősége van.
A hatóság ellenőrző funkciója erőteljes támogató funkcióval is bír, ugyanis jogosult a központi és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában véleményezni és ellenőrizni az információbiztonsági követelmények megtartását. Az információtechnológiai fejlesztések elektronikus információbiztonsága szempontjából kiemelt fontosságú, hogy a vonatkozó előírások a rendszerek teljes életciklusa alatt következetesen és maradéktalanul megvalósításra kerüljenek és a fejlesztések eredményeként önmagukban is teljes, továbbá a meglévő rendszerekhez funkcionálisan és biztonsági aspektusból is harmonikusan és költséghatékonyan illeszkedő rendszerelemek, rendszerek épüljenek ki.
A hatóság feladatai:
A sérülékenységvizsgálat célja az esetleges biztonsági események bekövetkeztét megelőzően az elektronikus információs rendszer gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása. A sérülékenységvizsgálat végrehajtása során a vizsgálat alá vont elektronikus információs rendszerben a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet munkatársai felkutatják többek között a potenciális szoftverhibákat, gyenge jelszavakat, hibás beállításokat, amelyeket egy támadó képes lenne kihasználni, és ezeken keresztül kárt okozni a rendszerben. A sérülékenységvizsgálat eredményeként előálló vizsgálati jelentésben (állásfoglalás) a szakértők minden esetben javaslatot tesznek az azonosított sérülékenységek kijavítására is.
A vizsgálat lehet:
Míg a Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet egyes szakterületei kívülről támogatják az érintett szerveket abban, hogy saját rendszereik védelmét ellássák, és ennek keretében kialakítsák saját ún. információbiztonsági irányítási rendszerüket (röviden: biztonságirányítási rendszer), addig a biztonságirányítási szakterület ezt a feladatot, a Nemzetbiztonsági Szakszolgálat számára kijelölt kormányzati rendszerek esetében, az informatikai biztonsági feladatok vonatkozásában, tevőlegesen főtevékenységeként végzi. A szakterület főtevékenysége mellett szakmai támogatást biztosít a többi szakterület számára.
