Mit jelent a kibertörvény és a NIS2 szerinti adatosztályozás?

 adatosztalyozass.jpg

A 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, jogszabályba emelte többek között az adatosztályozás kötelezettségét is.

Most az ehhez kapcsolódó fontosabb feladatokat és folyamatokat próbáljuk meg az alábbiakban dióhéjban (in nuce) áttekinteni.

Először is fontos tisztázni, hogy az adatosztályozás fogalma nem új keletű, de annak jogszabályba emelése nagyon fontos lépés. Adatosztályozás természetesen nagyon sok szempont szerint és metodikával történhet, de amit a hazai jogszabályok megfogalmaznak, azok közül a legfontosabbak az alábbiak:

  1. 2024. évi LXIX. törvény Magyarország kiberbiztonságáról,
  • adatosztályozás: a szervezet által az elektronikus információs rendszerben kezelt adatok és információk biztonsági besorolása azok bizalmasságának, sértetlenségének és rendelkezésre állásának szempontjából;”
  • „Az adatosztályozás során figyelembe kell venni a logikailag együtt, egységben kezelt elektronikus adatok – ideértve az adatbázist, adattárat, egyedi dokumentumot és egyéb adatállományt – együttes biztonsági igényét.”
  1. 418/2024. (XII. 23.) Korm. rendelet Magyarország kiberbiztonságáról szóló törvény végrehajtásáról
  • melléklet „Az adatosztályozás végrehajtásához irányadó szempontok”: célok meghatározása, szempontok az adatok bizalmasság szerinti besorolására, az adatok sértetlenség és rendelkezésre állás szerinti értékelésére, és a besorolás utáni legfontosabb teendőkre.

Fontos: „A nemzeti kiberbiztonsági hatóság az adatosztályozást és a biztonsági osztályba sorolást felülbírálhatja, és indokolt esetben magasabb vagy alacsonyabb szintű besorolást is megállapíthat.”

 

Itt is ki kell emelnünk: minden szervezet más, mindenhol más típusú adatokat kezelnek, rengeteg különböző struktúrában mind technikailag (adatbázisok, nem strukturált adatok, célrendszerek, OT, felhő, stb.), mind szervezetileg (felelősségek, adatgazdák, stb.). Ennek figyelembevételével az alábbiakban megpróbáljuk összefoglalni, hogy nézhet ki az adatosztályozás folyamata, és mik lehetnek a legfontosabb szempontok.

  1. Azonosítás és leltárkészítés
  • Az összes szervezeti adat azonosítása.
  • Adatforrások, rendszerek és adatfolyamok feltérképezése.
  1. Osztályozási kritériumok meghatározása

Az adatok osztályozása általában a következő tényezők alapján történik:

  • Bizalmasság: Az adatok nyilvánosságra kerülése milyen hatással lehet a szervezetre vagy érintettekre?
  • Integritás: Milyen hatással lenne az adatok módosítása vagy megváltoztatása?
  • Rendelkezésre állás: Milyen következményei lennének az adatok elvesztésének vagy elérhetetlenné válásának?
  • Jogszabályi megfelelés: Milyen jogi vagy szabályozási követelmények vonatkoznak az adatra (pl. GDPR, iparági szabályok)?
  • Érzékenység: Az adat tartalmaz-e bizalmas vagy személyes információt?
  1. Adatok kategorizálása

A szervezetek gyakran a következő kategóriákat használják az adatok védelmi szintjének meghatározására:

  • Nyilvános adatok: Bárki számára elérhető adatok (pl. weboldalak, sajtóközlemények).
  • Belső használatra szánt adatok: Csak a szervezet belső munkatársai számára elérhetők (pl. üzleti tervekre vonatkozó információk).
  • Bizalmas adatok: Korlátozott hozzáféréssel rendelkező, érzékeny adatok (pl. ügyféladatok, pénzügyi adatok).
  • Kritikus/erősen bizalmas adatok: Olyan adatok, amelyek nyilvánosságra kerülése súlyos károkat okozhat (pl. egészségügyi adatok, szerződések, belső fejlesztési dokumentáció, kutatási adatok).
  1. Védelmi intézkedések hozzárendelése

Az osztályozás után minden adatkategóriához megfelelő védelmi intézkedéseket kell hozzárendelni:

  • Hozzáférés-szabályozás: Ki férhet hozzá az adatokhoz?
  • Titkosítás: Adatok tárolása és továbbítása során alkalmazott védelem.
  • Biztonsági mentések: Adatok helyreállíthatóságának biztosítása.
  • Monitorozás és naplózás: Gyanús tevékenységek észlelése.
  1. Folyamatos ellenőrzés és frissítés

Az osztályozást rendszeresen felül kell vizsgálni, és frissíteni kell a változó üzleti és szabályozási környezethez igazodva.

  1. Szempontok az adatosztályozás során

Az adatosztályozás során érdemes a következő szempontokat is figyelembe venni:

  • Szabályozási megfelelés: Az adatkezelési szabályzatnak összhangban kell lennie a kibertörvény, a NIS2 előírásaival és egyéb vonatkozó jogszabályokkal.
  • Kockázatalapú megközelítés: Az adatok értéke és a kockázatok alapján kell meghatározni a védelmi szinteket.
  • Incidenskezelés: Az adatvesztési vagy támadási forgatókönyvek elemzése és az ehhez szükséges védelem kialakítása.
  • Hozzáférés-kezelés: Biztosítani kell, hogy csak a megfelelő személyek férhessenek hozzá az adatokhoz.
  • Adathozzáférési naplózás: A felhasználói tevékenységek nyomon követése, hogy az esetleges incidenseket vissza lehessen vezetni.

 

Összegzés

Az adatosztályozás egy strukturált folyamat, amely segít az adatok biztonsági védelmének megfelelő kialakításában. Az adatok osztályozását az üzleti kockázatok, a jogszabályi követelmények és az adat érzékenysége alapján kell elvégezni, majd ehhez megfelelő védelmi intézkedéseket rendelni. A folyamatos felülvizsgálat és aktualizálás pedig biztosítja, hogy az adatosztályozási rendszer hatékonyan működjön, a változó környezetben is.

 www.nuce.hu

Címkék: Felkészülés, Információbiztonság, Kiberbiztonság, NIS2, NIS 2, ITSec