A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a 2013. évi L. tv. alapján

Hasonló dokumentumok
NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Jogalkotási előzmények

Nemzetközi jogszabályi háttér I.

2013. évi L. törvény ismertetése. Péter Szabolcs

Az Ibtv.-ben meghata rozott feladatok a ttekinte se a to rve ny hata lya ala tartozo szervezetek vonatkoza sa ban

Muha Lajos. Az információbiztonsági törvény értelmezése

T/ számú. törvényjavaslat. az állami és önkormányzati szervek elektronikus információbiztonságáról

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 1

2013. évi L. törvény

Fókuszban az információbiztonság

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

2013. évi L. törvény. az állami és önkormányzati szervek elektronikus információbiztonságáról 1

Magyar joganyagok évi L. törvény - az állami és önkormányzati szervek elektr 2. oldal 4.1 adatkezelés: az alkalmazott eljárástól függetlenül a

Dr. Muha Lajos. Az L. törvény és következményei

2013 L. - tapasztalatok Antidotum 2015

Az NKI bemutatása EGY KIS TÖRTÉNELEM

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Kritikus infrastruktúrák, alapvető szolgáltatások az NISD tükrében

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

MAGYAR KÖZLÖNY 69. szám

MAGYAR KÖZLÖNY 69. szám

A tervezet előterjesztője Közigazgatási és Igazságügyi Minisztérium.

7.1 A szervezetek nyilvántartásba vétele Biztonsági események bejelentése, kezelése A hatóság egyes további feladatai

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

A Nemzeti Elektronikus Információbiztonsági Hatóság

Elektronikus Információbiztonsági Vezetők Okosan Klubja Szakmai Fórum március 28. DR. BODÓ ATTILA PÁL

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

Kormányzati kiberbiztonsági koordináció eredményei, stratégiai elvárások az NKE képzésével kapcsolatban

ALAPÍTÓ OKIRAT (módosításokkal egységes szerkezetben)

Ipari, vegyipari létfontossl

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

TÁJÉKOZTATÓ AZ ALAPVETŐ SZOLGÁLTATÁST NYÚJTÓ SZEREPLŐK RÉSZÉRE

187/2015. (VII. 13.) Korm. rendelet

185/2015. (VII. 13.) Korm. rendelet

1. A kormánymegbízott

A BM OKF helye, szerepe a hazai létfontosságú rendszerek és létesítmények védelmében. Dr. Bognár Balázs PhD tű. ezredes főosztályvezető

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

INFORMÁCIÓBIZTONSÁGRÓL GAZDASÁGI VEZETŐKNEK A 41/2015. (VII. 15.) BM RENDELET KAPCSÁN ELŐADÓ: NAGY ISTVÁN

A tervezet előterjesztője

A Digitális Nemzet Fejlesztési Program megvalósítását segítő feltételrendszerek, Jogi akadálymentesítés

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

A foglalkoztatás-felügyeleti rendszer átalakítása a munkaügyi ellenőrzés tapasztalatai

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

RÖVID ÁTTEKINTÉS A NEMZETI KIBERVÉDELMI INTÉZET MEGALAKULÁSÁRÓL, MŰKÖDÉSÉRŐL ÉS ELŐZMÉNYEIRŐL

TÁJÉKOZTATÓ A VILLAMOS ENERGIA ALÁGAZATOT ÉRINTŐ FELADATOKRÓL

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

IT biztonsági törvény hatása

A szabályzat hatálya. A honvédelmi, polgári és katasztrófavédelmi tevékenység személyi feltételei és a megbízotti rendszer működése

A katasztrófavédelem megújított rendszere

1. melléklet az előterjesztéshez

Tájékoztató az LRL IBEK feladatrendszeréről

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

A tervezet előterjesztője a Közigazgatási és Igazságügyi Minisztérium.

a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről

A Koordinációs és Szervezési Főosztály alapfeladatai

1993. évi XCIII. Törvény a munkavédelemről

T/7397. számú törvényjavaslat. a hulladékról szóló évi CLXXXV. törvény módosításáról

A válság és a különleges jogrend kapcsolata, különös tekintettel a NATO Válságreagálási Rendszerével összhangban álló Nemzeti Intézkedési Rendszerre

Információbiztonság irányítása

A tervezet előterjesztője

A közigazgatási szakvizsga Kül- és biztonságpolitikai ágazat c. tananyagrészéhez tartozó írásbeli esszékérdések augusztus 31.

Adatkezelési tájékoztató

Budapest, június

ÁLTALÁNOS JOGI ISMERETEK KÖZIGAZGATÁSI ISMERETEK

A személyes adatok védelmére vonatkozóan alkalmazandó előírások

/2013. ( ) 212/2010. (VII.

Információbiztonsági jogi ismeretek vezetőknek

INFORMATIKAI FŐOSZTÁLY. 1. Az Informatikai Főosztály funkcionális feladatai tekintetében:

2015. évi CCXXI. törvény. a hulladékról szóló évi CLXXXV. törvény módosításáról 1

ELŐ TERJESZTÉS. a Kormány részére. a Kábítószerügyi Koordinációs Bizottságról

Az Informatikai Főosztály feladatai

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Közbiztonsági referensek képzése

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

2007. évi törvény. a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló évi LXVI. törvény módosításáról

1139/2013. (III. 21.) Korm. határozat. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról

A HATÓSÁGI TEVÉKENYSÉG ÚJ SZABÁLYOZÁSI RENDSZERE

Iromány száma: T/335. Benyújtás dátuma: :48. Parlex azonosító: W838KPW50003

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

TÁJÉKOZTATÓ. az alapvető jogok biztosához fordulás lehetőségéről és feltételeiről ALAPVETŐ JOGOK BIZTOSA AZ ENSZ NEMZETI EMBERI JOGI INTÉZMÉNYE

Bejelentés-köteles szolgáltatók kötelezettségei a NIS irányelv tükrében

Magyar joganyagok évi XLVIII. törvény - a Nemzeti Közszolgálati Egyetem fenn 2. oldal k) az éves központi költségvetés tervezésekor benyújtja

ELŐTERJESZTÉS. a Kormány részére

A Honvédelmi és rendészeti bizottság jelentés e

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

VAS MEGYEI VÉDELMI BIZOTTSÁG

Az Oktatási Hivatal feladatai

Magyar joganyagok - 50/2013. (II. 25.) Korm. rendelet - az államigazgatási szervek in 2. oldal (3) Az (1)-(2) bekezdés szerinti feladatok teljesítésén

Biztonsági összekötő illetve a Veszélyes ipari védelmi ügyintézői képzés

A Fogyatékosságügyi Tárcaközi Bizottság létrehozásáról szóló kormányhatározat

Frissítve: szeptember :30 Netjogtár Hatály: 2019.I.1. - Magyar joganyagok évi CXXVI. törvény - a fővárosi és megyei kormányhivatal

Alapító okirat módosításokkal egységes szerkezetbe foglalva

14. Ismertesse a védelmi igazgatás és a katasztrófavédelem kapcsolatát!

2. oldal A Bács-Kiskun Megyei Kormányhivatal alaptevékenységét a fővárosi és megyei kormányhivatalokról szóló 288/2010. (XII. 21.) Korm. rendelet, val

A KIV területi és helyi feladataival kapcsolatos követelményeinek ismertetése

Belső Biztonsági Alap

Átírás:

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) szerepe a nemzeti kibervédelemben a 2013. évi L. tv. alapján Előadó: Nagy Zoltán Attila CISM elnök (Nemzeti Elektronikus Információbiztonsági Hatóság)

Nemzeti Eseménykezelési Központ Munkacsoport Kiberbiztonsági Koordinációs Tanács Kiberbiztonsági Fórum Kormányzati IT és hálózatbiztonsági információmegosztási, incidens-kezelési együttműködési munkacsoport (Kormányzati IKMCS) Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) 2013. évi L. tv. és 301/2013.(VII.29.) Korm. Rendelet Kormányzati Eseménykezelő Központ Nemzeti Biztonsági Felügyelet (Szakhatóság) Ágazati Eseménykezelő Központok Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja 2

A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. 4

A NEIH tevékenységét közvetlenül meghatározó jogszabályok 2013. évi L. törvény (Az állami és önkormányzati szervek elektronikus információbiztonságáról) (Ibtv.) 301/2013.(VII.29.) Korm. Rendelet (A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról) 5

Kiadás előtt állnak:./2013. (..) Nfm. Rendelet I. (az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről)./2013. (..) Nfm. Rendelet II. (Az elektronikus információbiztonsággal és az egyes elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről) 6

A szervezetek adatszolgáltatási kötelezettségének bejelentési lehetőségei (Ibtv. 15. (1) a, c, d,) 1, Hivatali kapun keresztül ÁNYK űrlap kitöltésével 2, E-mail-en keresztül az info@neih.gov.hu ra 3, Postai úton a Hatóságnak címezve: 1440 Bp. Pf.: 1. (A végleges verzió a Hatóság honlapján keresztüli adatszolgáltatás lesz, de ez jelenleg még fejlesztés alatt áll.) 7

Képzést, továbbképzést szabályozó rendelet 26/2013. (X. 21.) KIM rendelet 8

A NEIH tevékenységét meghatározó egyéb szabályozások 1. Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Kormányhatározat, 2. Magyarország Nemzeti Katonai stratégiájának elfogadásáról szóló 1656/2012. (XII. 20.) Kormányhatározat, 3. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Kormányhatározat, 4. A létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvényhez, azon belül a létfontosságú rendszerek és létesítmények hálózatbiztonsági környezetének kialakítása, 5. Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről 233/2013.(VI.30.) Korm. Rendelet 7. A Magyary Zoltán Közigazgatás-fejlesztési Program, 8. A Digitális Megújulás Cselekvési Terv, 9. Az Európai Unió stratégiai törekvéseihez, úgymint a Digitális Menetrend, valamint az Elektronikus Kormányzati Cselekvési Terv 9

A NEIH tevékenységét meghatározó Európai Uniós kapcsolódások 1. Az Európai Parlament által 2012. november 22-én elfogadott, a kiberbiztonságról és védelemről szóló, 2012/2096 (INI) számú határozata 2. Az Európai Bizottság és az Európai Unió közös kül- és biztonságpolitikájának főképviselője által 2013. február 7-én "Az Európai Unió Kiberbiztonsági Stratégiája: egy nyílt, biztonságos és megbízható kibertér" címmel közzétett közös közleménye 3. Az Európa Tanács számítástechnikai bűnözéssel szembeni, 2001. november 23-i budapesti egyezménye (CyberCrime Convention Budapesti Konvenció), 4. A kritikus információs infrastruktúrák védelméről szóló, 2011. május 27-i tanácsi következtetésekre és a kiberbiztonságról szóló korábbi tanácsi következtetése, 5. A Bizottság Közleményéhez az Európai Parlamentnek, a Tanácsnak, az Európai gazdasági és Szociális bizottságnak és a Régiók Bizottságának a kritikus informatikai infrastruktúrák védelméről - Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása (COM(2009)0149). 10

Az Ibtv. rendelkezéseit kell alkalmazni: a) a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével, b) a Köztársasági Elnöki Hivatalra, c) az Országgyűlés Hivatalára, d) az Alkotmánybíróság Hivatalára, e) az Országos Bírósági Hivatalra és a bíróságokra, f ) az ügyészségekre, g) az Alapvető Jogok Biztosának Hivatalára, h) az Állami Számvevőszékre, i) a Magyar Nemzeti Bankra, j) a fővárosi és megyei kormányhivatalokra, k) a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra, l) a Magyar Honvédségre. a) Az Ibtv 2. (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők, b) a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, c) az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére. 11

Az Ibtv. rendelkezéseit kell alkalmazni: 2. (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni, b) a 14 18. -ban meghatározott feladatok ellátásáról a minősített adatok védelmének szakmai felügyeletéért felelős miniszter gondoskodik. A 2. (4) alá tartozó szervek ágazati eseménykezelő központokat hozhatnak létre, melyek tevékenységét a Kormányzati Eseménykezelő Központ koordinálja 2. (4) (4) A 14 18. -ban meghatározott feladatok ellátásáról: a) a Magyar Honvédség és a Katonai Nemzetbiztonsági Szolgálat zárt célú elektronikus információs rendszerei, továbbá a Honvédelmi Tanács és a Kormány speciális működését biztosító infokommunikációs támogató rendszerei esetében a honvédelemért felelős miniszter, b) a rendvédelmi szervek és a rendvédelmi szervet irányító miniszter által irányított szervek zárt célú elektronikus információs rendszerei esetében a rendvédelmi szervet irányító miniszter, c) a diplomáciai információs célokra használt zárt célú elektronikus információs rendszerei esetében a külpolitikáért felelős miniszter, d) a Nemzeti Adó- és Vámhivatalnak az állami költségvetési bevételek biztosítását támogató elektronikus információs rendszerei esetében az adópolitikáért felelős miniszter, e) az Információs Hivatal esetében a Kormány polgári hírszerzési tevékenység irányításáért felelős tagja, f) a Nemzeti Média- és Hírközlési Hatóság esetében a Nemzeti Média- és Hírközlési Hatóság elnöke jogszabályban meghatározottak szerint gondoskodik. 12

Az elektronikus információs rendszerek biztonsági osztályba sorolása Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége. Biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása. 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a biztonsági osztályba sorolást, a már működő rendszereikre tekintettel. 13

Alapvető elektronikus információbiztonsági követelmények 1. A rendszerek teljes életciklusában biztosítani kell: az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét. A szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a megelőzést és a korai figyelmeztetést, az észlelést, a reagálást, a biztonsági események kezelését. 14

Alapvető elektronikus információbiztonsági követelmények 2. A biztonsági osztályba sorolás alkalmával 1-től 5-ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi előírásokkal együtt. A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá, amit a szervezet informatikai biztonsági szabályzatában rögzíteni kell. A szervezet vezetője az elektronikus információs rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat. A biztonsági osztályba sorolást legalább 3 évente, vagy szükség esetén soron kívül felül kell vizsgálni. A Hatóság (NEIH) a szervezet által megállapított biztonsági osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is megállapíthat. 15

Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 1. 2 3 4 5 Biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. Biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a szervezet biztonsági szintbe sorolását. 16

Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 2. 2 3 4 5 2-es szintű: Köztársasági Elnöki Hivatal, Országgyűlés Hivatala, Alkotmánybíróság Hivatala, Alapvető Jogok Biztosának Hivatala, A helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra 3-as szintű: A központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével), Országos Bírósági Hivatalra és a bíróságokra, Ügyészségek, Állami Számvevőszék, Magyar Nemzeti Bank, Fővárosi és megyei kormányhivatalok 17

Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 3. 2 3 4 5 4-es szintű: Magyar Honvédség 5-ös szintű: A jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, Az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére. 18

Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 4. 2 3 4 5 A szervezet az irányadó besorolási szintnél magasabb szintű besorolást is megállapíthat. A Hatóság a szervezet által megállapított biztonsági szintet felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű besorolást is megállapíthat. A szervezetnek magának kell meghatároznia a jogszabály alapján, hogy mely biztonsági szintnek felel meg. Ha nem éri el a kívánt biztonsági szintet, ennek elérésére vonatkozóan 90 napon belül cselekvési tervet kell készítenie. Ha az 1. szintet sem éri el, a szervezetnek egy éve van az 1. szint eléréséhez szükséges intézkedések megvalósításához. Lehetőség van az előírt biztonsági szint fokozatos elérésére, 2 évente minimum egy biztonsági szinttel feljebb kell lépnie. A biztonsági szintet minimum 3 évente, szükség esetén soron kívül felül kell vizsgálni. A szervezet biztonsági szintbe sorolását a szervezet vezetője hagyja jóvá, továbbá a biztonsági szintbe sorolás eredményét a szervezet informatikai biztonsági szabályzatában kell rögzíteni. 19

Közreműködők a szervezetek elektronikus információs rendszereinek védelmében A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről (a közreműködőkre vonatkozóan) az alábbiak szerint: Ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról (a szervezet vezetője), hogy a 2013. évi L. törvényben foglaltak szerződéses kötelemként teljesüljenek. Ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról (a szervezet vezetője), hogy a 2013. évi L. törvényben foglaltak szerződéses kötelemként teljesüljenek. 20

Az elektronikus információs rendszer biztonságáért felelős személy biztosítja az Ibtv-ben meghatározott követelmények teljesülését: 1. a szervezet valamennyi elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatkezelésében, karbantartásában vagy javításában közreműködők, 2. ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, a közreműködők, a törvény hatálya alá tartozó elektronikus információs rendszereit érintő, biztonsággal összefüggő tevékenysége esetén. E tekintetben a feladatok és felelősségek más személyre át nem ruházhatók. A biztonságért felelős személy a közreműködőktől a biztonsági követelmények teljesülésével kapcsolatban jogosult tájékoztatást kérni. Ennek keretében a követelményeknek való megfelelőség alátámasztásához szükséges bekérni a közreműködői tevékenységgel kapcsolatos adatot, illetve az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot. 21

(301/2013. (VII. 29.) Korm. Rendelet) Ha a szervezet adatkezelési, vagy adatfeldolgozási tevékenységéhez, vagy az elektronikus információs rendszere üzemeltetéséhez az Ibtv. hatálybalépése előtt megkötött szerződés alapján közreműködőt vesz igénybe, a biztonsági követelmények teljesítéséről azt nyilatkoztatni, a nyilatkozatot a Hatóság részére másolatban e rendelet hatályba lépését követő 90 napon belül megküldeni köteles. 22

A Hatóság feladatai (301/2013. (VII. 29.) Korm. Rendelet) Engedélyezi az érintett szervezetek által az Európai Unió tagállamaiban történő elektronikus információs rendszer üzemeltetését, Ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs rendszer üzemeltetést, Ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülését. 23

A Hatóság feladatai - IKMCS A Hatóság az elektronikus információbiztonság növelése, a legjobb gyakorlatok elterjesztése, az információbiztonsági tudatosság növelése és az azonnali reagálás érdekében kormányzati információtechnológiai és hálózatbiztonsági információ-megosztási, incidenskezelési munkacsoportot működtet, amelynek tagjait a Hatóság által felkért szervezetek, a szakhatóság és a kormányzati eseménykezelő központ delegálják. 24

A Hatóság jogosult Nem költségvetési szerv esetén Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a Hatóság a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére, b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, az eset összes körülményeinek mérlegelésével bírságot szabhat ki, amely további nem teljesülés esetén megismételhető. 26

A Hatóság jogosult Költségvetési szerv esetén Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a Hatóság a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére, b) ha a felszólítás ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a (Hatóság) szervezetet felügyelő szervhez ha a szervezet azzal rendelkezik fordulhat és kérheti a közreműködését, c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, (a Hatóság) információbiztonsági felügyelő kirendelését kezdeményezheti. 27

A Hatóság eljárása (301/2013. (VII. 29.) Korm. Rendelet) Ügyintézési határidő: 60 nap (a Hatóság vezetője egy alkalommal 30 nappal meghosszabbíthatja) Az eljárást lezáró döntés meghozatala előtt az érintett szervezet vezetőjével egyeztetést folytat le. Helyszíni ellenőrzés keretében jogosult: - Az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni - Az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív, vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni. - Információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal. - A Hatóság jogosult bármely, jogszabályban meghatározott hatáskörébe tartozó eljárási cselekményt haladéktalanul lefolytatni, ha az a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai számára kiemelten fontos információs rendszereket súlyosan veszélyeztető fenyegetés elhárítását szolgálja. 28

Információbiztonsági felügyelő (Ibtv.) Az információbiztonsági felügyelőt a Hatóság javaslatára az informatikáért felelős miniszter a 16. (3) bekezdése (az első felszólítás eredménytelenségét követő felügyeleti szerv közreműködésének eredménytelensége esetén rendeli ki a Hatóság) szerinti esetben rendelheti ki. Az információbiztonsági felügyelő a fenyegetés elhárításához szükséges védelmi intézkedések eredményes megtétele érdekében a Kormány által rendeletben meghatározott intézkedéseket, eljárásokat javasolhat, a szervezet intézkedései tekintetében kifogással élhet. Az információbiztonsági felügyelő pénzügyi kötelezettségvállalásra nem jogosult. Határozott időtartamra rendeli ki, és vonja vissza a kirendelést ill. biztosítja a felügyelő szakmai irányítását az informatikáért felelős miniszter. Jogállására tekintettel minisztériumi kormánytisztviselőnek minősül, akire főosztályvezető-helyettesi munkakörben alkalmazott kormánytisztviselőre vonatkozó szabályokat kell alkalmazni. Legalább 3 éves vezetői gyakorlat és felsőfokú végzettség és szakképzettség szükséges. 29

Célok, tervek: Közigazgatási alap- és szakképzés IT biztonsági és elektronikus közigazgatási önálló modullal történő kiegészítése. Célcsoportok szerinti IT biztonsági képzési, visszamérési és folyamatos tudásfenntartási oktatások megteremtése - Vezetők - IT biztonsági felelősök Iskolai tudatosítás Pl: Safe internet program? NAT? - IT szakemberek - Felhasználók E-learning, NKE képzések, Egyéb képzések Belépők képzése Folyamatos tudásfenntartás Szülők, családok Bizonság tudatosság szervezeti kultúrába illesztése Társadalom biztonság tudatossága 30

Amikor a változás szelei fújnak, a kétkedők falakat húznak föl, az optimisták pedig vitorlákat (ismeretlen szerző) Köszönöm a figyelmüket! Nagy Zoltán Attila, CISM Közeműködött: Szilárd Zoltán Telefon: +36-1-795-2701 E-mail: zoltan.szilard@nfm.gov.hu Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) Kormányzati Informatikáért Felelős Helyettes Államtitkárság Nemzeti Fejlesztési Minisztérium 1011 Budapest, Iskola utca 13. Telefon: +36-1-795-7653 E-mail: attila.zoltan.nagy@nfm.gov.hu 31

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés