6. napirendi pont
ELŐTERJESZTÉS
Az Ügyrendi, Oktatási, Kulturális, Kisebbségi és Esélyegyenlőségi Bizottság
2015. április 22-i ülésére

Tárgy:   Beszámoló az önkormányzati szervek elektronikus információbiztonsági feladatainak időarányos teljesítéséről
Készítette:   Megyeri László aljegyző
Előterjesztő:   Megyeri László aljegyző
Véleményező bizottság:   Ügyrendi, Oktatási, Kulturális, Kisebbségi és Esélyegyenlőségi Bizottság

 

Tisztelt Képviselő-testület!
 
2013. július 1-én lépett hatályba az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) melynek megalkotásának alapjául a Nemzeti Kiberbiztonsági Strarégia szolgált. Kialakult egy jogszabályi háttérrel rendelkező keretrendszer, amely tartalmaz egy megelőzési funkciót, egy üzemeltetési, auditálási funkciót és felállításra került egy Nemzeti Kormányzati eseménykezelő központ is. A megelőzési funkció a Nemzeti Biztonsági Felügyelet feladata, az üzemeltetési, auditálási funkció pedig a Nemzeti Elektronikus Információbiztonsági Hatóság feladatköre.
A törvény alapján a szervezeteknek meg kell valósítaniuk a kockázatokkal arányos védelmet, ami azt jelenti, hogy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel, azaz a védelemre akkora összeget és olyan módon fordítanak, hogy ez által a kockázatok elviselhető szintre kerülnek. A kockázatokkal arányos védelem kialakításához adminisztratív, fizikai és logikai védelmi intézkedések végrehajtása szükséges az egyes biztonsági besorolási szintek szerint.
A szervezetek hatékony vezetése és rendeltetés szerinti működtetése egyre jobban támaszkodik az elektronikus információs rendszerekre. Mind az információ, mind az ahhoz tartozó folyamatok, rendszerek és eszközök jelentős üzleti értéket, vagyont képeznek, olyan kiemelt jelentőségű erőforrások, amelyek semmi mással nem helyettesíthetők. A biztonsági incidensek növekedése és az ez ellen való védekezés hatékonyságának fenntartása folyamatos figyelmet igényel. Az egyes elemzések szerint minden rendszer sérülékenységnek 80 % -a humán tényezőből ered. A jól konfigurált rendszerek mellett nagyon fontos a felhasználók biztonságtudatosságának növelése is.
A törvény megfogalmazása szerint kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága.
Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.
Az Ibtv. hatálya az egyes hatalmi ágak központi és helyi szervei (pl. Kormány központi szervei, a Köztársasági Elnöki Hivatal, az Országgyűlés Hivatalára, az Alkotmánybíróság Hivatalára, az Országos Bírósági Hivatalra és a bíróságokra, az ügyészségekre, a fővárosi és megyei kormányhivatalokra stb.) mellett a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira is kiterjed.
Az Ibtv. hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.
Az elektronikus információs rendszernek a fentiekben meghatározott feltételeknek megfelelő védelme körében a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják:
a) a megelőzést és a korai figyelmeztetést,
b) az észlelést,
c) a reagálást,
d) a biztonsági események kezelését.

A törvény végrehajtása első lépéseként a Gyomaendrődi Közös Önkormányzati Hivatal (a továbbiakban: Hivatal) bejelentkezett a Nemzeti Elektronikus Információ Biztonsági Hatóságnál. A bejelentkezéssel együtt megküldtük a hatályos informatikai szabályzatunkat és az aljegyző személyében megjelöltük az elektronikus információ biztonságért felelős személyt is.
Ezt követően az Ibtv. technológiai végrehajtási rendeleteként kiadott 77/2013. NFM rendelet alapján meghatároztuk a szervezet biztonsági szintbe, az elektronikus információs rendszerünk biztonsági osztályba sorolását.
A jegyző a Hivatalt az ötfokozatú skálán a 2-es biztonsági szintbe, míg az informatikai rendszerét a 2-es biztonsági osztályba sorolta. A követelményeknek való megfelelőségi vizsgálat alapján viszont azt állapítottuk meg, hogy az informatikai rendszerünk aktuálisan csak az első szintnek felel meg.
Mindezekre és arra tekintettel, hogy a Békési Kistérségi Társulás informatikai hálózatában működő Polgármesteri Hivatalokban a közösen használt fizikai (Ftth) infrastruktúra valamint a részben közösen használt szoftverek miatt hasonló Információ Biztonsági Rendszer kialakításra szükséges, a feladatok összevonása gazdaságosabb megoldást eredményezhet, ha ezek megvalósítását összehangoljuk és a feladatok ellátását az „elektronikus információs rendszer biztonságáért felelős személy” közös delegálásával oldjuk meg. Ennek eredményeként Békés, Mezőberény, Gyomaendrőd, Csárdaszállás, Hunya, Kamut és Bélmegyer hivatal vezetése a külső szakértő közös alkalmazása mellett egyezteti a közös adatátviteli hálózaton elvégzendő technológiai lépéseket az egységes határvédelmi megoldás biztosítása érdekében.
A Hivatalra előírt biztonsági szint eléréshez többségében dokumentációkat, eljárás rendeket és folyamatszabályozásokat kell elvégezni. Ezeket a mellékelt cselekvési terv foglalja össze.

Az Ibtv. végrehajtása és a megfelelő biztonsági szint elérése érdekében eddig a következő feladatokat hajtottuk végre:
 
1.       Az elektronikus információs rendszer biztonságáért közösen alkalmazott felelős személyt bejelentettük a NEIH felé.
2.       A jegyző elfogadta a Gyomaendrődi Közös Önkormányzati Hivatal Információs Rendszerének Biztonsági Szabályzatát.
3.       Összeállításra került a biztonsági szint eléréséhez szükséges elvégzendő feladatokat tartalmazó cselekvési terv.
4.       Elfogadás előtt a Hivatal Információs Biztonsági Politkája, mint kötelező dokumentum.
5.       A márciusi apparátusi értekezlet keretében megtartottuk a tudatosság képzés első előadását.
6.       Frissítettük és megfelelő licence számban biztosítjuk az úgynevezett nulladik napi támadások ellen is védelmet nyújtó, mesterséges intelligencia által, heurisztikus analíziseket is végző, proaktív védelmet nyújtó vírusvédelmi szoftvert.
7.       Az elmúlt évben 12 (Gyomaendrőd 11, Hunya 1), ez évben további 19 (Gyomaendrőd 12, Hunya 3, Csárdaszállás 4) munkaállomást vásároltunk korszerű Windows 8.1 operációs rendszerrel az elavult XP operációs rendszerek cseréje érdekében.
8.       Az elavult és a gyártó által már nem támogatott XP operációs rendszereket folyamatosan cseréljük a 6-8 évesnél nem öregebb gépek feljavításával és Win7 operációs rendszer telepítésével.
9.       Tárgyalásokat folytatunk a Békési Kistérségi Társulással, hogy a nagykiterjedésű optikai hálózatának végződtetését építsék ki a Városházához. Ez feltétele annak, hogy olyan külső határvédelmi megoldást is tudjunk működtetni, amely a közös hivatal (Gyomaendrőd-Csárdaszállás-Hunya telephelyeket alkotó) virtuális hálózatát védje a külső támadásoktól.
10.   A 10-11 éves kiszolgáló (szerver) számítógépeink 7/24-es működőképességét az alkatrészek szükséges pótlásával (HDD, tápegység, vezérlő panelek) folyamatosan fenntartjuk.

Az előírt biztonsági szint eléréshez, valamint a valós fizikai, technológiai védelem folyamatos szinten tartásához a következő két évben a költségvetésben biztosítani kell a szükséges forrásokat.
A következő két év során megoldandó feladatok, amelyek beruházási forrásokat is igényelnek.
 
1. 2015 nyarán megszűnik a Windows2003 szerver operációs rendszer támogatása, illetve fizikailag is elavulnak a szerver számítógépek. A közigazgatási informatikában körvonalazódó trendekre is figyelemmel (állam által nyújtott ASP alkalmazások) kell megtervezni a saját tulajdonú fizikai kiszolgáló beszerzését, vagy bérleti konstrukcióban a virtualizált kiszolgáló beállítását az akkor legkorszerűbb operációsrendszer szolgáltatással.
2. A lokális adattárolás mellett a nagykiterjedésű hálózaton végzett csoportmunka támogatásra ki kell terjeszteni a kliensek által elérhető felhőszolgáltatásokat.
3. Meg kell oldani a városháza optikai csatlakoztatását.
4. A BKTT hálózaton elérhető partnerekkel együttműködésben meg kell valósítani a külső határvédelmet, amelyen belül a Hivatal központja és kirendeltségei önálló belső logikai és védelmi vonallal rendelkeznek.
5. Meg kell valósítani az informatikai rendszer beléptetési rendszerét többszintű logikai és fizikai elemeket is magában foglaló authentikációs eljárásokkal.
6. A cselekvési tervben rögzített logikai és fizikai védelmi intézkedések implementálásával és munkafolyamatba bevezetésével el kell érni a szervezetre előírt biztonsági szint és információs rendszerre megállapított biztonsági osztály követelményeit.

 

 


Döntéshozói vélemények

Ügyrendi, Oktatási, Kulturális, Kisebbségi és Esélyegyenlőségi Bizottság  

Az Ügyrendi, Oktatási, Kulturális, Kisebbségi és Esélyegyenlőségi Bizottság javasolja elfogadásra a beszámolót és a határozati javaslatot.

 
Döntési javaslat

"Beszámoló az önkormányzati szervek elektronikus információbiztonsági feladatainak időarányos teljesítéséről"

Tervezett döntéstípus: határozat
Tervezett ágazati besorolás: Szervezet fejlesztés
Az Ügyrendi, Oktatási, Kulturális, Kisebbségi és Esélyegyenlőségi Bizottság a javaslatról egyszerű többséggel, nyílt szavazással dönt.

 

Ügyrendi, Oktatási, Kulturális, Kisebbségi és Esélyegyenlőségi Bizottság javasolja a Képviselő-testületnek a következő tartalmú határozat meghozatalát:
 
Gyomaendrőd Város Önkormányzatának Képviselő-testülete megismerte és tudomásul veszi a Gyomaendrődi Közös Önkormányzati Hivatalnak az elektronikus információbiztonsági feladatai időarányos teljesítése érdekében végzett cselekvéseit.
Felkéri a jegyzőt, hogy az éves költségvetés összeállítása során a hivatal működési költségvetési előirányzataiban, továbbá a közös hivatalt fenntartó önkormányzatok fejlesztési előirányzatai között szerepeltesse az információ biztonsági törvény végrehajtásához kapcsolódó források ésszerű mértékben történő meghatározását.

 

 


Határidők, felelősök:

Határidő: azonnal

« Vissza
Vissza a főmenübe