NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI A Nemzeti Elektronikus Információbiztonsági Hatóság
A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának felügyeletét a 2. (3) és (4) bekezdésben meghatározott kivétellel az e-közigazgatásért felelős miniszter látja el a Kormány által kijelölt hatóság útján, amely az e-közigazgatásért felelős miniszter által vezetett minisztérium (BM) szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység. 2
A NEIH tevékenységét közvetlenül meghatározó jogszabályok Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.); A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013.(VII.29.) Korm. rendelet; Az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, valamint a biztonsági események jelentésének és közzétételének rendjéről szóló 73/2013. (XII. 4.) NFM rendelet;
A NEIH tevékenységét közvetlenül meghatározó jogszabályok Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet; Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet; az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI.30.) Korm. rendelet.
Mit védünk? RENDSZER RENDSZERELEM ADAT INFORMÁCIÓ elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása; elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása; zárt, teljes körű, folytonos és kockázatokkal arányos védelmének megvalósítása és biztosítása. Mi a célunk? MEGELŐZÉS KORAI FIGYELMEZTETÉS ÉSZLELÉS KEZELÉS logikai, fizikai és adminisztratív védelmi intézkedések. NEIH: fizikai és adminisztratív intézkedések felügyelete NBF (szakhatóság): logikai intézkedések felügyelete 5
A NEIH feladatai hatósági feladatok Ellenőrzi az osztályba sorolás és a biztonsági szint megállapítását, ez alapján döntést hoz Ellenőrzi az osztályba sorolásra és biztonsági szintre vonatkozó követelmények teljesülését Elrendeli a feltárt, vagy megismert biztonsági hiányosságok elhárítását és ezt ellenőrzi Kockázatelemzést végez az információs rendszerrel, szervezettel kapcsolatban Kivizsgálja a biztonsági eseményekkel kapcsolatos bejelentéseket Javaslatot tesz az ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére A hatóság az Ibtv-ben meghatározott egyes feladatainak ellátása során a Nemzeti Biztonsági Felügyelet szakhatóságként jár el. 6
A NEIH feladatai nyilvántartás, adatkezelés A Hatóság nyilvántartja és kezeli: a szervezet azonosításához szükséges adatokat, a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályának és a szervezet biztonsági szintjének besorolását, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatait, a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, végzettségét, a szervezet informatikai biztonsági szabályzatát, a biztonsági eseményekkel kapcsolatos bejelentéseket.
Adatszolgáltatás A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) számára adatszolgáltatás a következő módon nyújtható be: hivatali kapun keresztül, űrlapon, amely elérhető a https://ugyintezes.magyarorszag.hu/szolgaltatasok/neih_nyomtatvanyok. html címen; info@neih.gov.hu címre elektronikus aláírással ellátva (elektronikus aláírás hiányában hivatalosan aláírva egyben postai úton is meg kell küldeni); postai úton, hivatalosan aláírva.
Az elektronikus információs rendszerek biztonsági osztályba sorolása Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége. Biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása. 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kellett végezniük a biztonsági osztályba sorolást, a már működő rendszereikre tekintettel.
Az elektronikus információs rendszerek biztonsági osztályba sorolása 1 2 3 4 5 VÉGREHAJTÁS Általános irányelvek Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti Biztonsági osztályok A 77/2013. (XII. 19.) NFM rendelet szempontokat határoz meg a lehetséges káresemény mértéke alapján (jelentéktelen/csekély/közepes/nagy/kiemelkedő). 10
Az elektronikus információs rendszerek biztonsági osztályba sorolása 1 2 3 4 5 VÉGREHAJTÁS 2014. július 1-ig; 3 évente / soron kívül; 1-től 5-ig számozott fokozat; a szervezet vezetője hagyja jóvá (IBSZ-ben rögzíteni kell); az irányadónál magasabbat igen, alacsonyabbat indokolással, kivételes esetben állapíthat meg; a kívánt/irányadó szint elérése fokozatosan is megvalósítható (2 év/szint); cselekvési/intézkedési terv elkészítése (90 nap). 11
Az elektronikus információs rendszerek biztonsági osztályba sorolása 1 2 3 4 5 A NEIH segítséget nyújt: 1. Kérdőívet készítettünk, amely a kitöltést követően megmutatja a jelenlegi biztonsági osztályt; beazonosíthatóvá teszi az irányadó osztály eléréséhez szükséges intézkedéseket. http://neih.gov.hu/?q=node/22 2. A biztonsági osztályba sorolás folyamatában is! 12
Alapvető elektronikus információbiztonsági követelmények A rendszerek teljes életciklusában biztosítani kell: az elektronikus információs rendszerben kezelt adatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását, valamint az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét. A szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a megelőzést és a korai figyelmeztetést, az észlelést, a reagálást, a biztonsági események kezelését.
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 1. 2 3 4 5 Biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. Biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kellett végezniük a szervezet biztonsági szintbe sorolását.
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 2. 2 3 4 5 2-es szintű: Köztársasági Elnöki Hivatal, Országgyűlés Hivatala, Alkotmánybíróság Hivatala, Alapvető Jogok Biztosának Hivatala, A helyi és a nemzetiségi önkormányzatok képviselőtestületének hivatalaira, a hatósági igazgatási társulásokra 3-as szintű: A központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével), Országos Bírósági Hivatalra és a bíróságokra, Ügyészségek, Állami Számvevőszék, Magyar Nemzeti Bank, Fővárosi és megyei kormányhivatalok
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 3. 2 3 4 5 4-es szintű: Magyar Honvédség 5-ös szintű: A jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, Az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 4. 2014. július 1-ig; 3 évente / soron kívül; VÉGREHAJTÁS 1-től 5-ig számozott fokozat (de! létfontosságú: 5.); 1 2 3 4 5 a szervezet vezetője hagyja jóvá (IBSZ-ben rögzíteni kell); az irányadónál magasabbat igen, alacsonyabbat indokolással, kivételes esetben állapíthat meg; a kívánt/irányadó szint elérése fokozatosan is megvalósítható (2 év/szint); cselekvési/intézkedési terv elkészítése (90 nap); ha az 1. szintet sem éri el, a szervezetnek egy éve van az 1. szint eléréséhez szükséges intézkedések megvalósításához. 17
Infobiztonsági oktatás célok Közigazgatási alap- és szakképzés IT biztonsági és elektronikus közigazgatási önálló modullal történő kiegészítése. Célcsoportok szerinti IT biztonsági képzési, visszamérési és folyamatos tudásfenntartási oktatások megteremtése Vezetők IT szakemberek IT biztonsági felelősök Felhasználók Iskolai tudatosítás, pl. Safe internet program Képzés beépítése a Nemzeti Alaptantervbe E-learning, NKE képzések, egyéb képzések Belépők képzése, folyamatos tudásfenntartás Szülők, családok Biztonság tudatosság szervezeti kultúrába illesztése Társadalom biztonság tudatossága
Köszönöm a figyelmüket! Kodaj Katalin elnökhelyettes Nemzeti Elektronikus Információbiztonsági Hatóság Informatikáért Felelős Helyettes Államtitkárság Belügyminisztérium Telefon: +36-1-443-5982 E-mail: katalin.kodaj@bm.gov.hu