PARADIGMAVÁLTÁS AZ ÖNKORMÁNYZATI INFORMATIKÁBAN (ASP, Információbiztonság, e-közigazgatás, GDPR) Vékás Sándor, ügyvezető

Átírás

1 PARADIGMAVÁLTÁS AZ ÖNKORMÁNYZATI INFORMATIKÁBAN Vékás Sándor, ügyvezető KÖZINFORMATIKA Közigazgatási Informatikai Szolgáltató Központ Nonprofit Kft.

2 A KÖZINFORMATIKA Közigazgatási Informatikai Szolgáltató Központ Nonprofit Kft. - Évtizedes információbiztonsági és menedzsmentrendszer (ISO 9001, 27001, stb.,) illetve ERP és számviteli tapasztalat - Információbiztonsági és minőségirányítási auditori tapasztalat - Közigazgatási gyakorlat önkormányzati ügyfél - Kipróbált megoldásszállító partnerhálózat - Több tíz párhuzamosan futó és több száz lezárt projekt - Széles közigazgatási szolgáltatáskör 2. dia

3 Mi vár ránk ban? 1) Információbiztonsági rendszer kiépítése és működtetése 2) Önkormányzati ASP 2.0 csatlakozás 3) E-ügyintézés beindítása, e-közigazgatás 4) GDPR (Általános Adatvédelmi Rendelet - EU) megfelelés kialakítása 3. dia

4 2.) Az ASP 2.0 Az ASP 257/2016. (VIII. 31.) Kormány Rendelt szerint, az ASP 2.0 pályázat (KÖFOP VEKOP-16) segítségével Szakrendszerek adattisztítása és migrációja Szabályozási keretek kialakítása (Információbiztonsági rendszer, azaz az 1. feladat) E-ügyintézés kereteinek kialakítása (azaz a 3. feladat) Eszközbeszerzés Oktatás, tesztelés, pm, kommunikáció Pályázható összegek: az ASP 1.0-en kívülieknek mérettől függően 6MFt, 7MFt, 9MFt 4. dia

5 1.) Az Információbiztonsági rendszer június 30-tól elektronikus információbiztonsági rendszer kell működtetnie az állami és önkormányzati szervek elektronikus információbiztonságát szabályozó évi L. törvény és végrehajtási rendelete, a évi 41. számú BM rendelet alapján, minden magyarországi önkormányzatnak és állami szervnek. Az ITB rendszert ki kell építeni Szabályozási környezet kialakítása, beillesztése a meglévőbe (IBSZ, IBP, IBS) Pontos helyzetfelmérés, leltár, kockázatértékelés Fizikai megfelelés megtervezése, kialakítása Logikai megfelelés megtervezése, kialakítása Dokumentáció (működési bizonylatok) elkészítése (majdnem 40 féle bizonylat) Oktatás 5. dia

6 1.) Az Információbiztonsági rendszer június 30-tól elektronikus információbiztonsági rendszer kell működtetnie az állami és önkormányzati szervek elektronikus információbiztonságát szabályozó évi L. törvény és végrehajtási rendelete, a évi 41. számú BM rendelet alapján, minden magyarországi önkormányzatnak és állami szervnek. Az ITB rendszert üzemeltetni kell Információbiztonsági Felügyelő szolgáltatás (IBF) Törvényi megfelelőség garantálása IT fejlesztések felügyelete Incidensek kivizsgálása Ismétlődő oktatások Belső auditok Jelentések Fejlesztés 6. dia

7 3.) Az e-közigazgatás, e-ügyintézés január 1-től kötelező minden elektronikus ügyintézést biztosító szerv részére elektronikus ügyintézési portál kialakítása a évi CCXXII. Törvény (Eüsz tv.) szerint Az elektronikus ügyintézést biztosító szervek az Eüsz tv. alapján kötelesek a feladat- és hatáskörükbe tartozó ügy, valamint a jogszabály alapján biztosítandó szolgáltatásaik igénybevételéhez, lemondásához vagy módosításához szükséges ügyeknek az ügyfelekkel történő elektronikus intézését a törvényben meghatározottak szerint biztosítani. Hiába későbbi az ASP e-ügyintézés kialakítására vonatkozó határideje, január 1-ig legalább egy e-szolgáltatásnak működnie kell. (Legpraktikus az ASP pályázatban vállaltak megvalósítása.) A Cégkapun regisztrált gazdálkodó szervezetek jogosultak e-ügyintézésre bármely általuk indított ügyben január 1-től. 7. dia

8 4.) A GDPR megfelelés Az EU Általános Adatvédelmi Rendelete, a GDPR május 25. napjától kötelező érvényű minden személyes adatot kezelő szervezetre, köztük minden magyarországi önkormányzatra és állami szervre. A GDPR közvetlenül érvényes minden olyan szervezetre, amely személyes adatot kezel az önkormányzatra tehát nyomatékosan érvényes Mi a dolgunk ezzel? Információbiztonsági rendszerünket a GDPR szabályozás szerint ki kell bővítenünk. Az önkormányzati szervek és gazdasági társaságok, valamint a közfeladatot ellátó szereplők kötelesek a működést ellenőrző Adatvédelmi tisztviselőt (Data Protection Officer, azaz DPO) kinevezni. A kötelezettségek megsértése (pl. jogellenes adatkezelés) euró összegig terjedő, vagy az előző pénzügyi évben generált teljes forgalom 4%-át kitevő bírsággal járhat. 8. dia

9 GDPR alapelvek az ITB rendszer tükrében 1. Adatvédelmi tudatosság erősítése 2. Az adatkezelés kritériumainak felülvizsgálata (mi a célja?, mi lesz vele?) 3. Az érintett megfelelő tájékoztatása (információs önrendelkezési jog) 4. Az érintettek jogai (megismerés, helyesbítés, törlés, korlátozás, profilalkotás tiltása, hordozás joga) 5. Az érintett hozzáférési joga 6. Az adatkezelés jogalapja 7. A hozzájárulás feltételeinek felülvizsgálata 8. Gyermekek jogainak kiemelt védelme 9. Adatvédelmi incidens bejelentése (eddig csak nyilvántartás volt, most 72 órán belül be kell jelenteni, nem lehet aránytalanul terhes) 10. Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat (adatvédelmi szemlélet már tervezéskor is; a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik?) 11. Az adatvédelmi tisztviselők (ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé) 12. Az adatvédelmi felügyeleti hatóság illetékessége (Nemzeti Elektronikus Információbiztonsági Hatóság mellett Nemzeti Adatvédelmi és Információszabadság Hatóság) 9. dia

10 A GDPR viszonya a működő információbiztonsági rendszerhez (ITBR) A GDPR az ITB rendszernek nem egyszerű mélyítése, hanem annak szélesítése is. A GDPR nem csak a szervezetet védi, hanem vele szemben a személyes adatok érintettjeit is. A GDPR elvek betartásához, a személyes adatok védelméhez, elengedhetetlen a jól működő, felügyelt információbiztonsági rendszer. 10. dia

11 A GDPR, mint az Információbiztonsági rendszer integrált része Integráltságra törekvés (nem két párhuzamos rendszer) - Szinkronizálás (az ITB rendszer felülvizsgálata GDPR elvek szerint) - Az ITB rendszer létező szabályzatainak, dokumentumainak kibővítése a GDPR elvek szerint - Szükséges plusz dokumentáció (adatvagyon felmérése, személyes adatok kezelésének részletesebb szabályozása, kommunikációs felületek kialakítása) és gyakorlat kialakítása (beépített adatkezelés, kockázatelemzés és kezelés, incidenskezelés) - A GDPR megfelelés kielégítésénél figyelembe kell venni az információbiztonsági szempontokat - Oktatás A DPO azaz az Adatvédelmi Tisztviselő körültekintő kiválasztása rendkívül fontos! 11. dia

12 Tipikus ellenvetések? Nem kell ez nekünk. Elég lesz, ha ellenőrzik. Nincs pénzünk még közmunkásra sem, nemhogy erre. Adjanak pénzt is a feladathoz! Ellenállunk a végsőkig. Nincsenek nekünk számítógépeink, csak pár darab régi. Úgysem értünk hozzá. Csak arra jó, hogy lássák odafenn, hogy milyen adatokat kezelünk. Úgysem ellenőrzi senki.?? Nekünk már van IBSZ-ünk, az jó, azt mondta a rendszergazda.? 12. dia

13 De, miért is kell? Van az információbiztonságnak és a többinek valami értelme nálunk? Ne a törvény miatt akarjuk ITB rendszert és GDPR megfelelést, hanem lássuk be, hogy Rendszereink fenyegetettsége napról napra nő. A változás exponenciális. zsarolóvírusok, honlap feltörések, honlapok túlterhelése, elérhetetlenné tétele, adatvesztés, adatlopás, jelszavak elvesztése, jogosulatlan átadása érintettek pereinek veszélye stb. A várható fejlesztési irányok megkövetelik (ASP, SZEÜSZ-ök, Smart City) Mindemellett persze a törvények is hatályosak és bizony NEIH, NAIH, Kormányhivatal, ÁSZ, stb. ellenőrzések és auditok várhatóak az IBR és a GDPR téren egyaránt. 13. dia

14 Útravaló - Ha az ASP megvalósításba még nem kezdett be, haladéktalanul tegye meg még a többi feladat határidejének lejárta előtt! - Győződjön meg róla, hogy valóban bevezetett, teljes Információbiztonsági rendszere van-e (tudja, az IBSZ csak egy szabályzat a sok közül)! - Gondolja át, hogy nem összeférhetetlen-e esetleg megbízott információbiztonsági felelőse az IBF pozícióval (a rendszergazda pl. összeférhetetlen)! - Információbiztonsági rendszerbe integrált GDPR megfelelést építsen! 14. dia

15 KÖSZÖNÖM A FIGYELMET Vékás Sándor, ügyvezető info@kozinformatika.hu tel.: KÖZINFORMATIKA Közigazgatási Informatikai Szolgáltató Központ Nonprofit Kft.