A 41/2015. BM rendelet (és az ennek alapjául szolgáló 2013. évi L. törvényA 41/2015. BM rendelet (és az ennek alapjául szolgáló 2013. évi L. törvény), bár szigorúan véve nem számítanak ICS biztonsági jogszabálynak vagy szabványnak, Magyarországon ma mégis megkerülhetetlenek, hiszen a nemzeti létfontosságú rendszerek és létesítmények (lánykori nevükön kritikus infrastruktúrák, csak a magyar közigazgatásban elharapódzott tiltott kifejezések-fétis miatt ezt mindenképpen muszáj volt helyettesítő magyar kifejezést alkotni) azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény rendelkezései alapján a magyar kritikus infrastruktúrákra is az L. törvényt és a 41/2015. BM rendelet előírásait kell alkalmazni. Ennek egyes következményeiről később még lesz szó.
A 41/2015. BM rendelet szerint a jogszabály hatálya alá tartozó szervezeteket és azok információs rendszereit biztonsági osztályba kell sorolni egy 5 osztályos rendszer szerint, majd a biztonsági osztály fogja meghatározni, hogy a rendelet alábbi fő fejezetei közül az adott rendszernek illetve a szervezetnek melyeket kell teljesíteniük:
3.1 Adminisztratív védelmi intézkedések
3.1.1. Szervezeti szintű alapfeladatok
3.1.2. Kockázatelemzés
3.1.3. Rendszer és szolgáltatás beszerzés
3.1.4. Üzletmenet (ügymenet) folytonosság tervezése
3.1.5. A biztonsági események kezelése
3.1.6. Emberi tényezőket figyelembe vevő - személy - biztonság
3.1.7. Tudatosság és képzés
3.2 Fizikai védelmi intézkedések
3.3 Logikai védelmi intézkedések
3.3.1. Általános védelmi intézkedések
3.3.2. Tervezés
3.3.3. Rendszer és szolgáltatás beszerzés
3.3.4. Biztonsági elemzés
3.3.5. Tesztelés, képzés és felügyelet
3.3.6. Konfigurációkezelés
3.3.7. Karbantartás
3.3.8. Adathordozók védelme
3.3.9. Azonosítás és hitelesítés
3.3.10. Hozzáférés ellenőrzése
3.3.11. Rendszer és információ sértetlenség
3.3.12. Naplózás és elszámoltathatóság
3.3.13. Rendszer- és kommunikáció védelem
Ha valaki úgy érzi, hogy furcsán ismerősek a fenti fejeztek, az nem véletlen műve, a 41/2015. BM rendelet (és elődje, a 77/2013. NFM rendelet) erősen épít a NIST 800-53-as szabványra, aminek egyaránt megvannak ez előnyei és hátrányai. Tagadhatatlan előny, hogy a 800-53 egy meglehetősen jó és a modern kiberbiztonsági követelményeket jól összefogó szabvány, de ICS biztonsági szempontból ez rögtön a hátránya is, konkrétan az, hogy ez egy IT biztonsági szabvány, ami megfelelő akkor, amikor az eredeti céljára (a 2013. évi L. törvény alapján "az állami és önkormányzati szervek elektronikus információbiztonsága") akarják alkalmazni. Azonban akkor, ha ezeket a követelményeket mindenfajta változtatás nélkül egy ipari folyamatirányító rendszereket, mint kritikus infrastruktúra rendszert üzemeltető szervezettől várják el, már problémái lehetnek az auditornak és a vizsgálat alá vont szervezetnek egyaránt. Egyetlen egyszerű példán jól be lehet mutatni, hogy mire is gondolok:
3.3.10.10.2. Képernyőtakarás
A munkaszakasz zárolásakor a képernyőn korábban látható információt egy nyilvánosan látható képpel (vagy üres képernyővel), vagy a bejelentkezési felülettel - ami a zároló személy nevét is tartalmazhatja - kell eltakarni.
3.3.10.11. A munkaszakasz lezárása
Az elektronikus információs rendszer automatikusan lezárja a munkaszakaszt az érintett szervezet által meghatározott feltételek vagy munkaszakasz szétkapcsolást igénylő események megtörténte után.
Ezek például olyan követelmények, amiket egy közigazgatási szervnél használt számítógépek esetén érthetőek és elfogadhatóak, azonban egy ipari szervezet vezérlőtermében 7/24-ben dolgozó operátorok munkaállomásai esetén nem. Ennek pedig az elsődleges oka az, hogy az ilyen felhasználási helyeken az az elképzelhető legjobb eshetőség, amikor az operátornak hosszú órákon át nem kell beavatkoznia a folyamatirányító rendszer működésébe, az az előre beprogramozott paraméterek szerint az operátor nélkül is tökéletesen kontrollálja a fizikai folyamatokat. Ekkor a kötelező képernyőzárolás (a vezérlőtermekben alkalmazott szigorú fizikai biztonsági intézkedések, mint kompenzáló kontrollok mellett) biztonsági szempontból kockázatcsökkentést érdemben nem jelentenek, viszont az operátorok zavartalan munkavégzését jelentősen akadályozhatja. Az ilyen jellegű, az IT és ICS/OT rendszerek működési különbségeiből adódó problémákat a 41/2015. BM rendelet nem képes kezelni. Emiatt aztán csak az auditorok és a vizsgálat alá vont szervezetek képviselőinek az auditinterjúk során folytatott egyeztetései lehetnek képesek feloldani ezeket az ellentmondásokat, ami, mint látható, mindig az adott auditorok belátásán és az ICS/OT rendszerekkel kapcsolatos ismereteik mélységén múlik, ez viszont óhatatlanul szubjektív, pont akkor, amikor ennek a lehető legobjektívebb szempontnak kéne lennie.
Összességében a 41/2015. BM rendelet egy fontos és hiánypótló jogszabály, azonban most (kb. 8 év után) már látszanak a hiányosságai és javítható részei, a kérdés csak az, hogy a Belügyminisztériumon belül az illetékesek mikor fogják ezt felismerni (fel fogják?) és korrigálni?
A 41/2015. BM rendelet jelenleg (2023.09.09-én) hatályos verziója többek között itt érhető el: https://net.jogtar.hu/jogszabaly?docid=a1500041.bm