Kiberbiztonság és az adat életciklusa

Az adatok életciklusa azt az átfogó folyamatot jelenti, amelyen az adatok a létrehozásuktól az esetleges megsemmisítésükig keresztülmennek. Az életciklus minden egyes szakaszának megértése és védelme alapvető fontosságú az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának szempontjából. Az adatok védelme a teljes életciklusuk alatt legtöbb szervezet számára folyamatos kihívást jelent. A kiberbiztonsági intézkedéseknek igazodniuk kell az adatok életciklusainak szakaszaihoz, hogy megvédjék az érzékeny információkat a fejlődő fenyegetésekkel szemben. A Cloud Security Alliance kiadványa felvázolja az egyedi biztonsági kihívásokat és a legjobb gyakorlatokat az adatok védelméhez azok teljes életciklusára vonatkozóan.

Az adatok életciklusai különböző szakaszokra bontható. Az egyes keretrendszerek másképp azonosítják az adatok életciklusának szakaszait, az egyszerű 4 szakaszos modelltől a részletesebb 8 szakaszos modellig. A legegyszerűbb modellek az alapvető szakaszokat vázolják fel, mint például:
1. létrehozás,
2. használat,
2. tárolás,
4. archiválás és törlés.

Adatosztályozás

Az adatok létrehozásának/gyűjtésének fázisa magában foglalja az adatok generálását vagy gyűjtését különböző forrásokból, beleértve a felhasználók által generált tartalmakat, tranzakciós adatokat vagy akár szenzor adatokat. Az adatok és metaadatok osztályozása és címkézése kulcsfontosságú az adatok teljes életciklusa szempontjából, és ennek lehetőleg az adat életciklusának első szakaszában kell megtörténnie. Az adatok létrehozása során történő osztályozás elősegíti a jobb hozzáférés szabályozást és az adat védelmét. Az adatosztályozás túlbonyolítása az adat életciklusának későbbi szakaszában sem fogja egyszerűsíteni a folyamatokat, ezért ezt javasolt kerülni.

Az adatok osztályozása alapvető fontosságú a szabványoknak, jogszabályoknak való megfeleléshez, így például Magyarország kiberbiztonságáról szóló törvény és annak végrehajtási rendeletében előírtaknak való megfelelés érdekében. Emellett az olyan szabványok, mint a a vezető kártyatársaságok által kiadott PCI DSS (Payment Card Industry Data Security Standard), az egészségügyi adatok védelmére vonatkozó HIPAA (Health Insurance Portability and Accountability Act) vagy az általános adatvédelmi rendelet (GDPR) mind különböző célokat szolgálnak, de az adatosztályozás mindegyik szabványnak való megfeleléshez szükséges – hiszen az egészségügyi adatok, a kártyatulajdonosok adatait vagy általánosan a személyes adatok pontos azonosítása és osztályozása nélkül nem biztosítható azok megfelelő védelme sem.

A leggyakrabban használt adatosztályok, amikkel általában találkozhatunk: nyilvános/általános (public), belső használatra (internal use), bizalmas (confidential), korlátozott (restricted). Magyarországon érdemes figyelembe venni az adatosztályozás során – még azoknak is, akik nem kezelnek ilyen adatot -, hogy vannak minősített adatok, amelyek fogalmát a minősített adat védelméről szóló 2009. évi CLV. törvény (Mavtv.) határozza meg. A fogalom ismerete jelen kontextusban nem is annyira lényeges, viszont a Mavtv. többek között a minősített adatok minősítési szintjeit is meghatározza úgy, mint „Szigorúan titkos!”, „Titkos!”, „Bizalmas!”, és „Korlátozott terjesztésű!”. Ezt azért szükséges kiemelni, mert a Kibertv. szerinti adatosztályozás során javasolt figyelembe venni, hogy bár a privát szférában gyakran alkalmazzák a szervezetek a ‘bizalmas’ megnevezést bizonyos nyílt adatok osztálya esetén, ez esetenként félreértésre adhat okot.

A Kibertv. 1. § (1) a) szervezetnek, tehát a Kibertv. 1. mellékletében felsorolt közigazgatási ágazathoz tartozó szervezeteknek minden esetben kötelező az adatosztályozás. Emellett kötelező az adatosztályozás a Kibertv. 1. § (1) b)¹ és c)² pontja szerinti szervezetnek, amennyiben nem privát felhőszolgáltatást szeretne igénybe venni vagy külföldi tervezi kezelni az adatait. Ezzel kapcsolatban meg kell vizsgálni azt is, hogy más jogszabály nem tiltja-e ezeket.

Az adatosztályozás során figyelembe kell venni a logikailag együtt, egységben kezelt elektronikus adatok – ideértve az adatbázist, adattárat, egyedi dokumentumot és egyéb adatállományt – együttes biztonsági igényét. Ez mit jelenthet? Például egy 20 oldalas dokumentum tartalmazhat teljesen általános, szervezeti szempontból abszolút nyilvános adatokat, de ha az utolsó oldalán érzékeny adatok vannak, az egész dokumentumot annak figyelembevételével kell osztályozni és persze később kezelni, hiszen azt a dokumentumot (fájlt) alapvetően nem részekre bontva tároljuk, hanem egyben, egy egészként (ahogy a Kibertv. fogalmaz, “logikailag együtt, egységben”).

És akkor lássuk, hogy mit mond a 418/2024. Korm. rendelet 1. melléklete az adatosztályozásról.

Az adatosztályozás egyik célja, hogy a rendszerekben kezelt adatok a biztonsági súlyuknak megfelelően, tehát kockázatarányosan legyenek védve.

Az adatosztályozásnak van egy másik vonatkozása is. Nagyon egyszerűen az, hogy az eredményétől függően lehet vagy nem lehet külföldön vagy felhőben tárolni az adott adatosztályba tartozó adatokat. És akkor egy dolog, amit javasolt kiemelni a Korm. rendeletből: az 1. melléklet 2. és 3. pontja határozza meg azokat a szempontokat, amiket kötelezően vizsgálni kell az adatosztályozás során. A melléklet azt is mondja, hogy további szempontokat is figyelembe lehet venni az adatosztályozás során (persze ez legyen valahol majd rögzítve). Ez kinek lehet segítség? Hát annak a szervezetnek alapvetően nem, aki most ismerkedik az adatosztályozás fogalmával. Azoknak a szervezeteknek viszont egy kicsit tágabb keretet adhat, akik már korábban is végeztek adatosztályozást, csak éppen teljesen vagy részben más szempontok szerint. Ezeknek a szervezeteknek nem kell teljesen nulláról kezdeni az adatosztályozást, hanem egy kvázi felülvizsgálat során megvizsgálják a Korm. rendeletben rögzített szempontokat is a korábban vizsgált szempontok mellett. Persze ehhez lehet, hogy finomítani kell a korábbi adatosztályozási módszertant vagy szempontokat, de mégsem kell kidobni a kukába mindent. Ennek az oldalnak érdemes távolabbról nézni az adatosztályozást például azoknak a szemszögéből, akik eddig még nem találkoztak ilyennel. Nem ez az egyetlen pont ahol az új jogszabályi környezet megenged valamilyen szintű rugalmasságot…ehhez azonban szükséges minden pontot figyelmesen elolvasni és értelmezni.

Az adatosztályozás során vizsgálni kell az adatok bizalmasságának sérülését és elvesztését, valamint azt hogy ez mekkora mértékű anyagi vagy reputációs veszteséget okozhat a szervezetnek. Az eredmény B1-2-3-4 lehet.

A másik vizsgálandó szempont a rendszerben tárolt és kezelt adat sértetlensége ÉS rendelkezésre állása. Bár lehet, hogy a jogszabály vonatkozó pontja nem pontosan fogalmaz, logikusan gondolkodva és az adatosztályozást célját egészében nézve nem bonyolult a dolog. Kétféle eredmény jöhet ki:

• ha az adat sértetlensége vagy rendelkezésre állásának sérülése vagy elvesztése jelentős, vagy kritikus anyagi vagy reputációs veszteség okoz a szervezetnek vagy más személynek, az eredmény SR2 (kritikus),
• ha pedig (a jogszabálytól eltérően fogalmazva) sem a sértetlenség sem a rendelkezésre állás sérülése vagy elvesztése nem (vagy elhanyagolható mértékben) okoz anyagi vagy reputációs veszteséget, akkor az eredmény SR1 (nem kritikus).

Lehet, hogy egyértelműbben is meg lehetett volna fogalmazni a dolgot, ha külön lettek volna meghatározva osztályozási szempontok sértetlenség és külön rendelkezésre állás vonatkozásában, viszont így a felhő használat és a külföldi adattárolás engedélyezése, tiltása bonyolódott volna. Ez van, ezt kell értelmezni és használni.

A 418/2024. Korm. rendelet szerint ezután az adatkezelés lehetséges helyszínének meghatározásához össze kell adni az adat B és SR kategóriájának megnevezésében szereplő számértéke. A kapott eredmény alapján az adatok F1-2-3-4 kategóriákba fognak tartozni (ha valamilyen jogszabály másként nem rendelkezik…). Még egy gondolat, ami segítheti azokat a szervezeteket, akik már eddig is végeztek adatosztályozást – és esetleg van valamennyi átfedés a Korm. rendelet szerint szempontokkal -, de máshogy nevezték el az egyes adatosztályokat, nem F1/2/3/4-nek, aminek elég nagy a valószínűsége. Semmi sem tiltja, hogy a már meglévő adatosztályokat megfeleltesse a szervezet a Korm. rendelet szerinti adatosztályoknak – természetesen csak akkor, ha az értékelt szempontok ugyanazok (vagy minimálisan a Korm. rendelet szempontjait figyelembe veszik)

A Korm. rendelet 1. melléklet 4. pontja végül előírja, hogy az egyes adatosztályba tartozó adatok milyen korlátozással (vagy anélkül) kezelhetők és tárolhatók külföldön és mik a feltételei az adat kezelésének és tárolásának nem privát felhőszolgáltatás igénybevétele esetén.

Szakmai közösségekben lehetett hallani, olvasni kritikákat a Kibertv-el és annak végrehajtási rendeleteivel kapcsolatban, többek között az adatosztályozást érintően is. Amit mindenképpen látni kell, hogy a NIS2 hatályba lépésével és nemzeti jogrendbe ültetésével hirtelen olyan ágazatokhoz tartozó szervezetek is a Kibertv. hatálya alá kerültek, akik eddig talán nem is hallottak a kiberbiztonságról és az információbiztonságról, nemhogy az adatosztályozásról. Az is egyértelmű, hogy számos olyan szervezet is a Kibertv. hatálya alá tartozik aki nem csak adatosztályozás tekintetében, de tágabb értelemben véve jóval magasabb kiberbiztonsági érettségi szinten van az átlagos szervezetekhez képest.

Források:

• https://cloudsecurityalliance.org/artifacts/cybersecurity-and-the-data-lifecycle
• https://net.jogtar.hu/jogszabaly?docid=a0900155.tv
• https://net.jogtar.hu/jogszabaly?docid=a0400034.tv
• https://njt.hu/jogszabaly/2024-69-00-00
• https://njt.hu/jogszabaly/2024-418-20-22

1. A többségi állami befolyás alatt álló gazdálkodó szervezetek, amelyek minimum 50 fő alkalmazottal rendelkeznek vagy éves nettó árbevételük meghaladja a 10 millió EUR forintösszeget. ↩︎
2. A nemzeti kiberbiztonsági hatóság vagy a honvédelmi kiberbiztonsági hatóság által alapvető vagy fontos szervezetként azonosított szervezet, amely nem tartozik a Kibertv. 1. § (1) a), b), d), e), f) pontja vagy a DORA rendelet hatálya alá. ↩︎