7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 1/22
1
Ajánlás
szabályozott elektronikus ügyintézési szolgáltatások
elektronikus információs rendszerekre vonatkozó biztonsági
követelményeknek való megfelelésének biztosításáról
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 2/22
2
TARTALOMJEGYZÉK
1 Bevezetés......................................................................................................................................... 4
1.1 Felhatalmazás .......................................................................................................................... 4
1.2 Az ajánlás célja ........................................................................................................................ 4
1.3 Az ajánlás hatálya .................................................................................................................... 5
2 Szerepkörök ..................................................................................................................................... 6
2.1 Érintett szervezet .................................................................................................................... 6
2.2 A szervezet vezetője ................................................................................................................ 6
2.3 A rendszer biztonságáért felelős személy ............................................................................... 6
2.4 A rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy ................... 7
2.5 Hatóság .................................................................................................................................... 7
2.6 Ágazati biztonsági felügyelet ................................................................................................... 7
2.7 Szakhatóság ............................................................................................................................. 7
2.8 Eseménykezelő központ .......................................................................................................... 8
2.9 Nemzeti Közszolgálati Egyetem ............................................................................................... 8
2.10 Képző szervek .......................................................................................................................... 8
2.11 Elektronikus ügyintézési felügyelet ......................................................................................... 8
3 A rendszerek biztonsági osztályba sorolása .................................................................................... 9
3.1 A biztonsági osztály fogalma ................................................................................................... 9
3.2 A biztonsági osztály meghatározása ........................................................................................ 9
3.3 Besorolási példák ................................................................................................................... 10
4 A szervezetek biztonsági szintje .................................................................................................... 12
4.1 A biztonsági szint fogalma ..................................................................................................... 12
4.2 A biztonsági szint meghatározásának módja ........................................................................ 12
5 A védelmi előírások teljesítése ...................................................................................................... 14
5.1 A védelmi előírás fogalma, értelmezése ............................................................................... 14
5.2 Kapcsolódó követelmények ................................................................................................... 15
6 Képzés ............................................................................................................................................ 16
6.1 Képzettségi, képzési követelmények ..................................................................................... 16
6.2 Képzés szervezése ................................................................................................................. 167 Eljárásrend ..................................................................................................................................... 17
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 3/22
3
7.1 A szervezetek nyilvántartásba vétele .................................................................................... 17
7.2 Biztonsági események bejelentése, kezelése ........................................................................ 18
7.3 A hatóság egyes további feladatai......................................................................................... 18
7.4 Jogkövetkezmények .............................................................................................................. 19
8 Informatikai biztonsági szabályzat ................................................................................................ 20
9 Lépésről lépésre ............................................................................................................................ 21
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 4/22
4
1
BEVEZETÉS
1.1 Felhatalmazás
A közigazgatási és igazságügyi miniszter
az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és
hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 2. § (1) bekezdés c) pontjában
meghatározott, e-közigazgatásért való, valamint egyes, az elektronikus ügyintézéshez
kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV. 21.) Korm. rendelet 2. §-ában
meghatározott feladatkörében, mint elektronikus ügyintézési felügyelet,
a szabályozott elektronikus ügyintézési szolgáltatások nyújtásának megkönnyítése érdekében
a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL.
törvény 161. § (6) bekezdésében meghatározott hatáskörében
a műszaki és biztonsági előírások vonatkozásában a szabályozott elektronikus ügyintézési
szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV.
21.) Korm. rendelet 14. § (1) bekezdésének megfelelően, a (2) bekezdésében meghatározott
módon, a közigazgatási informatika infrastrukturális megvalósíthatóságának biztosításáért
felelős miniszter egyetértésével
a jelen ajánlást bocsátja ki.
1.2 Az ajánlás célja
Az ajánlás - a felhatalmazásnak megfelelően - a szabályozott elektronikus ügyintézési szolgáltatóknak
kíván segítséget nyújtani az elektronikus információs rendszerekre vonatkozó biztonsági
követelményeknek való megfelelésben, az előírt dokumentáció elkészítésében, az elektronikus
ügyintézési felügyelettel és az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatósággal való kapcsolattartásban. Az ajánlás ugyanakkor alkalmazható általánosabb körben is, az
Ibtv. hatálya alá tartozó elektronikus információs rendszerekkel kapcsolatos biztonsági
követelmények teljesítéséhez kapcsolódó útmutatóként.
Az ajánlás elősegíti az alábbi jogszabályok egységes alkalmazását:
2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól
(Ket.)
2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
(Ibtv.),
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 5/22
5
83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és
az állam által kötelezően nyújtandó szolgáltatásokról (Szeüszr.),
233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati
eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a
létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- éshatásköréről,
301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és
az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági
Felügyelet szakhatósági eljárásáról (Hatr.),
…./2013. (… …) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya
alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események
jelentésének és közzétételének rendjéről (Nyilvr.),
…../2013. (... ...) NFM rendelet az elektronikus információbiztonsággal és az egyes
elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről (Kövr.) ,
……./2013. (… ...) KIM rendelet az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus
információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének
tartalmáról (Képzésr.),
1.3 Az ajánlás hatálya
Az ajánlás alkalmazása a szabályozott elektronikus ügyintézési szolgáltatókra nézve nem kötelező,
ugyanakkor a Szeüszr. 19. § (3) bekezdése értelmében, amennyiben a szolgáltató az ajánlás
alkalmazásáról nyilatkozik, úgy az elektronikus ügyintézési felügyelet az ellenőrzés során az
ajánlásban rendezett kérdésekben kizárólag az ajánlásnak való megfelelést ellenőrzi. Az ajánlásban
foglalt elvárások követése így a szabályozott elektronikus ügyintézési szolgáltatók alapvető érdekeit is
szolgálja.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 6/22
6
2 SZEREPKÖRÖK
2.1 Érintett szervezet
Az Ibtv. hatálya alá tartozó szervek és ezen szervek számára adatkezelést végzők, valamint a nemzeti
adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói. A rendszerre előírt feltételeket a
szervezetnek olyan mértékig kell teljesíteni, amely mértékig az adott rendszer tekintetében kapott
jogosultságai birtokában arra képes.
2.2
A szervezet vezetője
A szervezet vezetőjének fogalmát az Ibtv. nem határozza meg, viszont a Képzésr. értelmezésében
nem feltétlenül a szervezet egyszemélyi vezetője értendő alatta, hanem az a vezető, akit a szervezeti
és működési szabályzat vagy munkaköri leírás az elektronikus információs rendszerek védelmére
kijelöl. A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről
a jogszabályokban meghatározott szabályozási, személyi és technikai feltételek biztosításával, a
rendszeres elemzések, ellenőrzések, auditok végrehajtásával. Gondoskodik az események
nyomonkövethetőségének biztosításáról, a biztonsági események hatékony kezeléséről, az igénybevett közreműködőkre vonatkozó feltételek szerződéses teljesüléséről (kivéve abban az esetben, ha a
közreműködő igénybevételét jogszabály írja elő). A szervezet vezetője együttműködik a hatósággal a
hatóság feladatainak elvégzésében.
2.3 A rendszer biztonságáért felelős személy
A rendszer biztonságáért felelős személy felel a rendszerek védelméhez kapcsolódó feladatok
ellátásáért a jogszabályi előírásokkal összhangban. Elvégzi vagy irányítja a kapcsolódó feladatokat, a
biztonsági szabályzatok elkészítését, véleményezi a szerződéseket, egyéb szabályzatokat biztonsági
szempontból, a biztonsági eseményekről bejelentést tesz, kapcsolatot tart a hatósággal és a
kormányzati eseménykezelő központtal, tájékoztatást ad a szervezet vezetőjének. Felelőssége
kiterjed a rendszer teljes életciklusára a tervezéstől a karbantartásig, és nem átruházható
közreműködők bevonása esetén sem. Az Ibtv. a rendszer biztonságáért felelős személy esetében
büntetlen előéletet és később részletezendő képzetségi, képzési követelményeket ír elő. A Hatr.
értelmezésében a rendszer biztonságáért felelős személy lehet külsős, részmunkaidős és a feladatot
több szervezetnél is végezheti párhuzamosan.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 7/22
7
2.4 A rendszer biztonságával összefüggő feladatok ellátásában részt vevőszemély
A jogszabályok a biztonsággal összefüggő feladatok ellátásának a felelősségét nem osztják tovább, így
az abban részt vevő személyek részére csak tanfolyami képzést, illetve továbbképzést írnak elő.
2.5 Hatóság
A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH), az NFM önálló feladatkörrel és hatósági
jogkörrel rendelkező szervezeti egysége, a mely a törvényben meghatározott kivételektől (minősített
adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és
NMHH rendszerei) eltekintve az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét látja
el.
A hatóság feladatainak ellátása során:
ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági
követelmények teljesülését,
ellenőrzi az elektronikus információs rendszerek osztályba sorolását és a szervezet biztonsági
szintje megállapítását,
ellenőrzi a besorolásra vonatkozó, jogszabályban meghatározott követelmények teljesülését.
2.6 Ágazati biztonsági felügyelet
Az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét minősített adatot kezelő
rendszerek, a honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és az NMHH
rendszerei esetében az illetékes miniszter látja el a rendszerek biztonságának felügyeletével és
ellenőrzésével kapcsolatos ágazati szabályokat tartalmazó rendeletben meghatározott módon (lásd
pl. 16/2013. (VIII. 30.) HM rendelet, 36/2013. (VII. 17.) BM rendelet, 34/2013. (VIII. 30.) NGM
rendelet).
2.7
Szakhatóság
A hatóság feladatainak ellátása során a Nemzeti Biztonsági Felügyelet szakhatóságként vagy a
hatóság egyedi felkérése alapján jár el különösen az alábbi területeken:
sérülékenység-vizsgálatokat végez,
a bejelentett biztonsági eseményekre műszaki vizsgálatot végez.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 8/22
8
2.8
Eseménykezelő központ
Az Ibtv-ben foglalt biztonsági események kezelését végzi a kormányzati eseménykezelő központ a
katasztrófák elleni védekezésért felelős miniszter (BM) irányítása alatt. A kormányzati eseménykezelő
központhoz tartozik az összes rendszer a minősített adatot kezelő rendszerek, honvédségi,rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei kivételével, melyek
vonatkozásában ágazati eseménykezelő központok hozhatók létre.
2.9 Nemzeti Közszolgálati Egyetem
Az NKE a képzési tevékenység ellátásával összefüggésben kidolgozza a vezetők, az elektronikus
információs rendszer biztonságáért felelős személyek képzési, továbbképzési követelményeit,
oktatási programját, illetve gondoskodik a vezetők, az elektronikus információs rendszer
biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai képzéséről
és éves továbbképzéséről.
2.10 K épző szervek
Képző, ill. továbbképzést végző szerv bármely felsőoktatási intézmény lehet (továbbképzést végző
szerv esetén egyéb, képzési engedéllyel rendelkező szervezet is), mely biztosítja az oktatókat,helyszínt, vizsgáztatás lehetőségét, segédanyagokat és egyéb eszközöket.
2.11 Elektronikus ügyintézési felügyelet
A Ket-ben definiált szabályozott elektronikus ügyintézési szolgáltatás az elektronikus ügyintézési
felügyeletnek tett bejelentés, esetenként a felügyelet engedélye alapján nyújtható. A felügyelet a
szabályozott elektronikus ügyintézési szolgáltatások nyújtásának megkönnyítése érdekében
ajánlásokat bocsát ki.
A hatóság együttműködik a Ket-ben meghatározott elektronikus ügyintézési felügyelettel a
szabályozott elektronikus ügyintézési szolgáltatás szolgáltatókra vonatkozó biztonsági követelmények
teljesülésének ellenőrzésében.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 9/22
9
3 A RENDSZEREK BIZTONSÁGI OSZTÁLYBA SOROLÁSA
3.1 A biztonsági osztály fogalma
Az Ibtv. hatálya alá tartozó rendszereket a jogszabályi rendelkezések, illetve kockázatelemzés alapján
öt fokozatú (1-től 5-ig szigorodó) skálán biztonsági osztályba kell sorolni külön-külön a bizalmasság,
sértetlenség és rendelkezésre állás szempontjából.
3.2
Abiztonsági osztály meghatározás
a
A biztonsági osztályba sorolást:
már működő rendszer esetén 2014. július 1-ig el kell végezni
legalább háromévenként el kell végezni minden rendszer esetében;
soron kívül el kell végezni az alábbi esetekben:
o a rendszer biztonságát érintő jogszabályváltozás,
o új rendszer bevezetése,
o
a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatokvonatkozásában bekövetkező változás.
A biztonsági osztályba sorolást dokumentált módon kell végezni. A besorolást a szervezet vezetője
hagyja jóvá, és a szervezet informatikai biztonsági szabályzatában kell rögzíteni.
A rendszerek biztonsági osztályba sorolásához elvégzendő kockázatelemzésre a Kövr. 3. melléklete
nem határoz meg alkalmazandó szabványokat vagy módszertanokat, de meghatározza a vizsgálandó
kártípusokat és javaslatot tesz a biztonsági osztályba sorolásra a kapcsolódó lehetséges kármértékek
alapján. Fontos, hogy a Kövr. szerint javasolt besorolás csak tájékoztató jellegű, a tényleges besorolás
az érintett szervezet felelőssége. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb
kárérték, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható
kárnagyságot kell, vagy lehet figyelembe venni, a szervezet döntésétől függően.
A szervezet vezetője az Ibtv-ben meghatározott feltételeknek megfelelő, az elektronikus információs
rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva
alacsonyabb biztonsági osztályt is megállapíthat az elektronikus információs rendszerre vonatkozóan.
A hatóság (a minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek,
NAV, Információs Hivatal és NMHH rendszerei kivételével) a szervezet által megállapított biztonsági
osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is
megállapíthat.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 10/22
10
A következő alfejezetben néhány szabályozott elektronikus ügyintézési szolgáltatás példáján
keresztül mutatjuk be a Kövr. 3. mellékletének alkalmazását.
3.3
Besorolási példák
Az elektronikus iratok kezelése SZEÜSZ igénybevétele egy szervezet részéről egy tipikus kiszervezési
konstrukció, ugyanakkor világosan kell látni, hogy a besorolás az adatok biztonságáért felelős vezető
feladata, azaz a SZEÜSZ szolgáltatást igénybe vevő szervezet vezetőjének a felelőssége.
A SZEÜSZ általános jellemzői alapján a biztonsági osztályba sorolásra az alábbi javaslat adható:
Szempont Biztonsági osztály Megjegyzés
Bizalmasság 2-5 Az iratkezelő rendszerben kezelt legérzékenyebb irattólfüggően.
Sértetlenség 4-5 Mivel a rendszerben való illetéktelen módosítással
elérhető lenne, hogy nem az átvett és iktatott
elektronikus irat kerül megőrzésre, kezelésre.
Rendelkezésre állás 4-5
3-4
Az irattárazás funkciót végző alrendszer (ami vagy egy
külső elektronikus dokumentumtárolási szolgáltatás
SZEÜSZ vagy egy saját zárt rendszer) esetében, mivel az
irattárban kezelt elektronikus iratok elvesztése vagy el
nem érhetősége komoly anyagi és erkölcsi károkat
okozna a hatóságnak.
A többi (átvétel, felbontás, stb.) funkciót végző
alrendszer esetében, mivel ezek átmeneti el nem
érhetősége kisebb károkat okozna.
A kiszervezéses modellben ezt úgy kell értelmezni, hogy a (külső) SZEÜSZ szolgáltató által
ténylegesen megvalósított biztonsági szintnél magasabb biztonsági fokozatú iratok kezelésének
kiszervezése az adott szolgáltató irányába nem lehetséges.
Nyilvánvalóan az elektronikus iratokat kezelő rendszereknek meg kell felelniük azoknak a biztonsági
elvárásoknak is, melyeket a 24/2006 BM –IHM –NKÖM együttes rendelet 1. sz. mellékletének 7.
pontja (Jogosultság, adatbiztonság, adatvédelem) fogalmaz meg.
Egy másik, a felhő alapú kiszervezés lehetőségét (is) biztosító SZEÜSZ az informatikai háttér
szolgáltatása. Ebben az esetben az Ibtv. rendelkezéseinek való megfelelésből olyan jellegű
követelmények vezethetők le, hogy például milyen biztonsági osztályokba sorolt alkalmazás
rendszerek számára szolgáltathat felhő alapú infrastruktúra háttérszolgáltatást a SZEÜSZ szolgáltató .
Ennek vizsgálatakor figyelembe kell venni a SZEÜSZ szolgáltató által nyújtott felhő szolgáltatásokmegvalósulási módozatait (privát vagy publikus, illetve helyi vagy kiszervezett) Egyes modellek
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 11/22
11
alkalmazása érzékeny adatok és rendszerek esetén egyáltalán nem javasolt, vagy csak bizonyos
biztonsági fokozatba sorolt rendszerek esetén, megfelelő biztonsági határvédelmi megoldások
alkalmazása mellett.
Egy egyszerűbb SZEÜSZ, az elektronikus aláírás ellenőrzése szolgáltatás általános jellemzői alapján a
biztonsági osztályba sorolásra az alábbi táblázat szerinti javaslat adható:
Szempont Biztonsági osztály Megjegyzés
Bizalmasság 2 Mivel nem kezel bizalmasság szempontjából kiemelten
védendő adatokat.
Sértetlenség 4-5 Mivel a rendszerben való illetéktelen módosítással
elérhető lenne, hogy a szolgáltatás ellenőrzési
eredménye (az aláírás érvényessége, a dokumentum
sértetlensége vagy egyéb szempontokat illetően) nem ahelyes eredményt mutatja.
Rendelkezésre állás 4-5 Mivel az egyes hatósági eljárásokban előírás lehet a
gyors reakció a hatóság részéről, mely nem
rendelkezésre álló szolgáltatás esetén komoly
fennakadásokat okozhat.
Érdemes arra is gondolni, hogy ugyanaz a SZEÜSZ más megítélés alá esik, ha a szervezeten belüli
infrastruktúrán működik, mint kiszervezett szolgáltatásként. Így például a rendelkezésre állás
követelményének teljesítésével összefüggésben - mivel az elektronikus aláírás ellenőrzése nagy
számítási kapacitást igényelhet a SZEÜSZ oldalán - egy kiszervezett modellben a SZEÜSZ
szolgáltatónak megelőző intézkedéseket kell tenni az elárasztásos (DoS) támadások kivédésére.
Ugyanez a belső infrastruktúrán általában nem merül fel.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 12/22
12
4 A SZERVEZETEK BIZTONSÁGI SZINTJE
4.1 A biztonsági szint fogalma
A szervezet biztonsági szintje a szervezet felkészültségének, védelmi képességének fokmérője. A
szervezetek biztonsági szintje a rendszerek biztonsági osztályozásához hasonlóan öt fokozatú skálán
értelmezett az Ibtv. alapján. A Kövr. 4. melléklete jellemzi az egyes szinteket a szervezet védelmi
képességeinek rövid összefoglalásával. Ezt itt nem ismételjük meg, csak kiemeljük az öt szint
megkülönböztetésére leginkább alkalmas kulcsszavakat.
A szervezet biztonsági szintje:
1. ha az információbiztonság folyamatai ad hoc jellegűek
2. ha az információbiztonság folyamatai részben szabályozottak
3.
ha az információbiztonság folyamatai jól szabályozottak, dokumentáltak és az adminisztratív
védelmi intézkedéseket hatékony logikai védelmi intézkedések támogatják
4. ha az információbiztonság folyamatai irányítottak és mérhetőek
5. ha az információbiztonság folyamatai optimalizáltak, automatizáltak, követik a legjobb
gyakorlatot
4.2 A biztonsági szint meghatározásának módja
A biztonsági szint meghatározását:
első alkalommal 2014. július 1-ig el kell végezni
legalább háromévenként el kell végezni az elvárt minimális biztonsági szint elérését
követően;
soron kívül el kell végezni az alábbi esetekben:
o
a rendszer biztonságát érintő változás,
o új rendszer bevezetése.
A szervezet biztonsági szintbe sorolását dokumentált módon kell végezni. A besorolást a szervezet
vezetője hagyja jóvá, és a szervezet informatikai biztonsági szabályzatában kell rögzíteni.
Minimális elvárás, hogy a védelmi képesség szintje feleljen meg a legmagasabb biztonsági osztályba
tartozó rendszerei biztonsági besorolásának. Egyes szervezetek estén a rendszerek biztonsági
osztályának besorolásától függetlenül az Ibtv. előírja a minimális védelmi képesség szintjét. Ezt az
alábbi táblázat foglalja össze.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 13/22
13
Szervezet Elvárt minimális biztonsági szint
Köztársasági Elnöki Hivatal
Országgyűlés Hivatala
Alkotmánybíróság Hivatala
Alapvető Jogok Biztosának Hivatala
2
központi államigazgatási szervek (a Kormány és a
kormánybizottságok kivételével)
Országos Bírósági Hivatal és a bíróságok
ügyészségek
Állami Számvevőszék
Magyar Nemzeti Bank
fővárosi és megyei kormányhivatalok helyi és nemzetiségi önkormányzatok képviselő-
testületének hivatalai, hatósági igazgatási
társulások
3
Magyar Honvédség 4
a jogszabályban meghatározott, a nemzeti
adatvagyon körébe tartozó állami
nyilvántartások adatfeldolgozói
az európai létfontosságú rendszerelemmé és anemzeti létfontosságú rendszerelemmé törvény
alapján kijelölt rendszerelemek
5
Egyéb Legmagasabb fokú védelmet igénylő rendszere
legmagasabb biztonsági osztályának szintje
A szervezet a minimális besorolási szintnél magasabb szintű besorolást is megállapíthat.
A hatóság – ill. az Ibtv. által meghatározott esetekben az elektronikus információs rendszerek
biztonságának felügyeletét és ellenőrzését ellátó ágazati szerv – a szervezet által megállapított
biztonsági szintet felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű besorolást is
megállapíthat.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 14/22
14
5 A VÉDELMI ELŐÍRÁSOK TELJESÍTÉSE
5.1 A védelmi előírás fogalma, értelmezése
A Kövr. határozza meg a rendszerek biztonsági osztály és a szervezet biztonsági szint szerinti
besorolása fokozatának emelkedésével párhuzamosan szigorodó védelmi előírásokat. Az előírások
védelmi intézkedéseket határoznak meg egy katalógusból adminisztratív, fizikai és logikai intézkedési
területeken. Az adminisztratív és fizikai védelmi intézkedések kizárólag a szervezet biztonsági
szintjétől, míg a logikai védelmi intézkedések rendszerenként és külön-külön a bizalmasság,
sértetlenség és rendelkezésre állás szempontja szerinti biztonsági osztálynak megfelelően kerültek
meghatározásra.
Képzeljünk el egy rendszert mely bizalmasság és sértetlenség szempontjából 5. biztonsági osztályba
tartozik, de rendelkezésre állás szempontjából 2. biztonsági osztályba. Ilyen lehet például egy
bizalmas adatokat tartalmazó adatbázis melynek a napi munkavégzés során nem kell elérhetőnek
lennie. A Kövr. 2. mellékletének logikai védelmi intézkedések c. táblázata alapján az alábbi
intézkedéseket kell tenni.
Ebben a példában - hiába magas a bizalmasság és sértetlenség szerinti biztonsági osztály - az
üzletmenet folytonosság tervezéséhez kapcsolódó dokumentálás területén csak az alábbiaknak kell
megfelelni:
3.3.2.1.: meg kell fogalmazni az üzletmenet folytonosságra vonatkozó eljárásrendet és
3.3.2.2.: el kell készíteni a vonatkozó üzletmenet folytonossági tervet informatikai erőforrás
kiesésekre (3.3.2.2.1.), de nem kell biztosítani a magasabb rendelkezésre állási igényű
biztonsági osztályoknál előírt bővítményeket (3.3.2.2.2.-3.3.2.2.7.).
Ugyanakkor - hiába alacsony a rendelkezésre állási igény - a magas szintű sértetlenségi besorolásból
következően az alábbiaknak kell megfelelni:
3.3.2.8.: mentéseket kell végezni a rendszer adatairól (3.3.2.8.1.), sőt azokat rendszeresen
megbízhatósági és sértetlenségi tesztnek kell alávetni (3.3.2.8.2.), de a 3.3.2.8.3.- 3.3.2.8.5.kiegészítéseket már nem kell biztosítani.
3.3.2.9.: biztosítani kell a rendszer korábbi állapotba történő helyreállításának és
újraindításának lehetőségét (3.3.2.9.1.), sőt a félbeszakadt tranzakciókat is helyre kell tudni
állítani (3.3.2.9.2.), de a 3.3.2.9.3. kiegészítést már nem kell biztosítani.
Az adminisztratív és fizikai védelmi intézkedéseknél mindenhol a legmagasabb elvárásoknak kell
megfelelni, mert a szervezet biztonsági szintje 5. fokozatú lesz automatikusan.
Meghatározott feltételekkel és körültekintő indoklással a szervezet a reá irányadó biztonsági szinthez
tartozó egyes biztonsági intézkedések helyett alkalmazhat egyenértékű vagy összemérhető védelmet
nyújtó helyettesítő intézkedéseket is.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 15/22
15
5.2
Kapcsolódó követelmények
Az Ibtv. alapján a rendszerekre vonatkozó védelem elvárt erősségének eléréséhez a szervezetnek
lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első
vizsgálatkor megállapított biztonsági osztályt, illetve szintet alapul véve, minden egyes következő,magasabb biztonsági osztályhoz, illetve szinthez rendelt biztonsági intézkedések kivitelezésére két év
áll rendelkezésére.
Ha a szervezet egy rendszer vizsgálata során a vonatkozó biztonsági osztály meghatározásából
következően hiányosságot állapít meg a létező védelmi intézkedések területén, akkor a vizsgálatot
követő 90 napon belül cselekvési tervet készít a hiányosság megszüntetésére. Ugyanez történik, ha a
vizsgálat alapján a szervezet a rá előírt minimális biztonsági szintnek nem felel meg. Ha a biztonsági
szint a vizsgálat alapján az 1. szintet nem éri el, akkor az 1. szint eléréséhez szükséges intézkedéseket
a vizsgálatot követő egy éven belül meg kell valósítani. Mivel az első vizsgálat lehetséges legkésőbbi
időpontja 2014. július 1., az 1. szintet minden szervezetnek legkésőbb 2015. június 1-ig kell elérnie.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 16/22
16
6 KÉPZÉS
6.1 Képzettségi, képzési követelmények
Képzettségi követelményt az Ibtv. csak a rendszer biztonságáért felelős személy esetében ír elő: csak
olyan személy végezheti, aki rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és
szakképzettséggel. A törvény hatálybalépésekor már a feladatot ellátó személy estében a
képzettséget a hatálybalépést követő öt éven belül (2018. július 1 -ig) kell megszerezni. Nem kell
képzettséget szereznie annak a személynek, aki rendelkezik érvényes CISA vagy CISSP oklevéllel vagy
e szakterületen szerzett 5 év szakmai gyakorlattal.
Az előírt szakképzettség megnevezése: elektronikus információbiztonsági vezető, mely két féléves,
iskolarendszerű szakirányú továbbképzés keretében szerezhető meg. A képzésre az vehető fel, aki
felsőfokú végzettséggel és angol nyelvű alapfokú komplex nyelvvizsgával rendelkezik.
A Képzésr. rendelet meghatározza az Ibtv. rendelkezéseivel összhangban az elektronikus információs
rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője
kötelező, egyszeri képzésének tárgyköreit és időtartamát. A jogszabályok nem írnak elő határidőt a
képzés elvégzésére.
A Képzésr. (az Ibtv-vel összhangban) éves továbbképzést ír elő
a szervezet vezetője,
a rendszer biztonságáért felelős személy és
a rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek
részére a rendeletben meghatározott tárgykörben és időtartamban.
Az előírt oktatásokról a szervezet vezetője köteles gondoskodni.
6.2 Képzés szervezése
A Ibtv értelmében a vezetők és az elektronikus információs rendszer biztonságáért felelős személyek
képzési, továbbképzési követelményeit, oktatási programját, illetve az elektronikus információs
rendszer biztonságáért felelős személyek képzettségi követelményeit a Nemzeti Közszolgálati
Egyetem (NKE) dolgozza ki. A képzés, továbbképzés formáit, tartalmát a Képzésr. határozza meg.
Az Ibtv. és a Képzésr. értelmében az NKE gondoskodik a vezetők, az elektronikus információs
rendszer biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai
képzéséről, tanfolyami képzéséről és éves továbbképzéséről.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 17/22
17
7 ELJÁRÁSREND
Az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét a törvényben meghatározott
kivételektől (minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek,
NAV, Információs Hivatal és NMHH rendszerei) eltekintve az NFM szervezeti egysége, a Nemzeti
Elektronikus Információbiztonsági Hatóság (NEIH, jelen fejezetben a továbbiakban: hatóság) látja el.
A hatóság eljárásainak ügyintézési határideje hatvan nap, amelyet a hatóság vezetője indokolt
esetben egy alkalommal, legfeljebb harminc nappal meghosszabbíthat.
A hatóság eljárása során (előzetes értesítéssel vagy indokolt esetben anélkül) helyszíni ellenőrzés
keretében jogosult önállóan, a szakhatósággal vagy más hatósággal együtt is a helyiségekbe belépni,
okiratokat, egyéb dokumentumokat, eszközöket, rendszereket, biztonsági intézkedéseket
megismerni, másolatot készíteni, belépési jogosultságot kapni. A szervezet vezetője köteles
együttműködni a hatósággal az ellenőrzés lefolytatásához szükséges feltételek biztosításával.
7.1 A szervezetek nyilvántartásba vétele
Az Ibtv. értelmében a szervezet 2013. szeptember 1-ig köteles bejelenteni a hatóság részére az alábbi
adatokat:
szervezet azonosító adatai,
a rendszer biztonságáért felelős személy természetes személyazonosító adatai, telefon- és
telefaxszáma, e-mail címe, a 13. § (8) bekezdésében meghatározott végzettsége.
A szervezetnél csak olyan személy végezheti a rendszer biztonságáért felelős személy feladatait, aki
büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és
szakképzettséggel. A hatóságnak meg kell küldeni a vonatkozó munka-, megbízási vagy más
szerződés másolatát, amelyhez csatolni kell az adott személy végzettségét, képzettségét igazoló
okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát. 2013. október 1-ig kell megküldeni a hatóság részére a szervezet informatikai biztonsági szabályzatát
Ha a rendszer biztonságért felelős személy, szervezet kijelölése vagy az informatikai biztonsági
szabályzat elkészítése a határidőn belül a szervezetnek fel nem róható okból nem teljesül, ugyanazon
határidővel a hatóságot erről tájékoztatni kell a teljesítést akadályozó ok és a teljesítés határidejének
megjelölésével.
Ha a szervezet az Ibtv. hatálya alá tartozó tevékenységét a rendelet hatálybalépését követően kezdi
meg, az adatközlést a tevékenység megkezdését megelőző 8 napon belül kell elvégezni. A korábban
megküldött adatokban történt változást a változást követő 8 napon belül kell megküldeni a hatóság
részére.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 18/22
18
Az adatok megküldésére a hatóság elektronikus űrlapot biztosít, mely az ÁNYK alkalmazással tölthető
ki és a Ket. szerint alkalmazható módokon küldhető be.
7.2
Biztonsági események bejelentése, kezelése
Az Ibtv. értelmében a rendszer biztonságáért felelős személy a törvény hatálya alá tartozó bármely
rendszerét érintő biztonsági eseményről tájékoztatni köteles a hatóságot a biztonsági eseményre
vonatkozó összes információ megadásával, a kapcsolódó dokumentumok csatolásával. A
bejelentések megküldésére a hatóság elektronikus űrlapot biztosít, mely az ÁNYK alkalmazással
tölthető ki és elektronikus úton küldhető be.
Az érintett szervezet a biztonsági eseményekről technológiai naplót köteles vezetni, amely
tartalmazza az esemény kapcsán tett intézkedéseket, és azok eredményét is. Nem kel l bejelenteni a
hatóság felé azokat a biztonsági eseményeket, amelyeket az érintett szervezet el tudott hárítani, és
amelyek kárt vagy működésbeli kiesést nem okoztak (naplót azonban ezekről is vezetni kell).
A hatóság a biztonsági eseményeket haladéktalanul megvizsgálja, és annak alapján szükség esetén
megteszi a biztonsági esemény elhárítására irányuló intézkedéseket . Ennek során a bejelentés
tartalmáról értesíti az illetékes eseménykezelő központot vagy az esetleg érintett más hatóságot.
Szükség esetén a Nemzeti Biztonsági Felügyelet (a továbbiakban: szakhatóság) végzi a biztonsági
események adatainak műszaki vizsgálatát, és tesz ez alapján javaslatot a biztonsági esemény által
okozott kár elhárítására.
A kormányzati eseménykezelő központ (Nemzetbiztonsági Szakszolgálat), valamint - a honvédségi,rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei esetében - az
ágazati eseménykezelő központok is részt vesznek a biztonsági események kezelésében.
7.3 A hatóság egyes további feladatai
A hatóság (engedélyezési eljárás keretében) ellenőrzi és az előírásoknak való megfelelés esetén
engedélyezi az Európai Unió tagállamaiban történő rendszerüzemeltetést. Ha a külföldön végzett
adatkezelésre vagy rendszerüzemeltetésre nemzetközi szerződés alapján kerül sor, a hatóságot
tájékoztatni kell az érintett adatokról, az adatfeldolgozó, vagy üzemeltető személyéről, és a
szerződéses jogviszony tartalmáról. A hatóság a tájékoztatást további eljárás lefolytatása nélkül
tudomásul veszi. Az Ibtv. hatálya alá tartozó rendszerek Európai Unió tagállamain kívül történő
üzemeltetését a törvény nem teszi lehetővé (a honvédségi és zárt célú diplomáciai rendszerek
kivételével), ennek ellenőrzése is a hatóság feladata.
A hatóság jogosult a központi és az európai uniós forrásból megvalósuló fejlesztési projektek
tervezési szakaszában ellenőrizni az információbiztonsági követelmények megtartását. Ennek
érdekében a projekt tervezési szakában a hatóság részére véleményezésre meg kell küldeni avonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá mindazon
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 19/22
19
dokumentációkat, amelyek alapján a biztonsági és termékminősítési követelmények megvalósulása
ellenőrizhető. A projekt folyamatában, az egyes projekt szakaszok zárását legkevesebb harminc
nappal megelőzően kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus
információbiztonsági dokumentációt, hogy annak észrevételei, vagy kifogásai a projekt terveken,
vagy a projekt tárgyán átvezethető és alkalmazható legyen. A hatvan napnál rövidebb időtartamúprojektek esetén a dokumentációt legkésőbb a projekt befejezésekor kell a hatóság rendelkezésére
bocsátani. A hatóság a dokumentumok tekintetében a szakhatóság véleményét kikéri.
A rendszerek biztonsági osztályba sorolásának és a szervezet biztonsági szintbe sorolásának
ellenőrzése és az ellenőrzés eredménye alapján döntés meghozatala a hatóságnak megküldött
információk alapján történik. A besorolás elfogadása nem zárja ki a döntés későbbi felülvizsgálatát. A
hatóság az eljárása során döntésében meghatározhat a bejelentettnél magasabb biztonsági
besorolást, illetve javaslatot tehet alacsonyabb besorolásra. A hatóság (ellenőrzési terv alapján)
ellenőrzi a rendszerek osztályba sorolását és a szervezetek biztonsági szintjeire vonatkozó,
jogszabályban meghatározott követelmények teljesülését. Ez alapján szükség esetén elrendeli a
feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását, és ellenőrzi az elhárítás
eredményességét. A hatóság ezen feladatának ellátása során a Nemzeti Biztonsági Felügyelet
szakhatóságként jár el.
7.4 Jogkövetkezmények
A hatóság a rendszerek, és az azokban kezelt adatok biztonsága érdekében jogosult megtenni,
elrendelni, ellenőrizni minden olyan, a rendszer védelmére vonatkozó intézkedést, amellyel az
érintett rendszert veszélyeztető fenyegetések kezelhetőek. Ha a szervezet a jogszabályokban foglalt
biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat a hatóság felszólítása
ellenére sem teljesíti, vagy nem tartja be, a hatóság (nem költségvetési szerv esetében) bírságot
szabhat ki, illetve (költségvetési szerv esetében) információbiztonsági felügyelő kirendelését
kezdeményezheti.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 20/22
20
8 INFORMATIKAI BIZTONSÁGI SZABÁLYZAT
Az Ibtv. előírja, hogy biztonsági osztályba sorolást és a biztonsági szintbe sorolás eredményét a
szervezet informatikai biztonsági szabályzatában (IBSZ) kell rögzíteni, melyet a szervezet vezetője ad
ki és a hatóság részére tájékoztatás céljából megküld legkésőbb 2013. október 1-ig. A szervezetek
IBSZ-ének kialakítására vonatkozóan eddig három útmutató készült a hazai közigazgatás számára:
Az Informatikai Tárcaközi Bizottság (ITB) 8. sz. ajánlásának (Informatikai biztonsági
módszertani kézikönyv) 4. fejezete: Útmutató az informatikai biztonsági szabályzat (IBSZ)
elkészítéséhez. (1994., http://www.itb.hu/ajanlasok/a8/html/a8_4.htm)
A Közigazgatási Informatikai Bizottság (KIB) 25. számú ajánlásaként kiadott Magyar
Informatikai Biztonsági Ajánlások (MIBA) című ajánlássorozat részét képező 25/1-2. kötet:
Informatikai Biztonság Irányítási Követelmények (IBIK). (2008. június,
http://www.ekk.gov.hu/hu/kib/ajanlasok)
A KIB 28. számú ajánlásaként kiadott, az E-Közigazgatási Keretrendszer projekt
eredményeként létrehozott Követelménytár részét képező „Közigazgatási Operatív
Programok IT Biztonsági környezete - Az IT biztonsági szabályzat követelményei” c.
dokumentum. (2008. szeptember, http://kovetelmenytar.complex.hu/)
A KIB 25. számú ajánlássorozata tartalmilag úgy lett összeállítva, hogy az akkor hatályos jogszabályok
(195/2005. (IX. 22.) és a 84/2007 (IV. 25.) Korm. rendeletek) által előírt rendelkezéseknek aközigazgatási szervezetek meg tudjanak felelni. A MIBA az ITB 8., 12., és 16. számú ajánlásait váltotta
fel, azok kibővítése és jelentős kiegészítése révén.
Az ajánlás 1. kötete Magyar Informatikai Biztonsági Irányítási Keretrendszer (MIBIK) címmel az
ISO/IEC MSZ 27701:2005, az ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványokon,
valamint az irányadó EU és NATO szabályozáson alapul. A MIBIK ajánlásokat tartalmaz az Informatikai
Biztonsági Irányítási Rendszer (IBIR) felépítéséhez, irányításához (Informatikai Biztonság Irányítási
Követelmények - IBIK) és vizsgálatához (Informatikai Biztonság Irányításának Vizsgálata - IBIV). Az
ajánlások értelemszerűen kiterjednek az irányítási rendszert alkotó folyamatokra, a gyakorlatban
működtetett biztonsági intézkedésekre, a végrehajtásukat támogató szervezetre, erőforrásokra,
eljárásokra. A biztonsági folyamatok működtetéséhez és ellenőrzéséhez megfelelő szabályozási
környezetet kell kialakítani. Az ajánlások által előírt biztonsági alapdokumentumok egyike az
informatikai biztonsági szabályzat, amely az ajánlás szerint technológia független kell legyen. Az IBSZ
a biztonsági szabályozás keretdokumentuma, amely összefoglalja az IT biztonsággal kapcsolatos
feladatokat és felelősségeket. A technológia, a helyszín, a tevékenység spec ifikus biztonsági
intézkedések szabályozása alsóbb szintű szabályozásokban, eljárásrendekben történik, amelyek
készítését, karbantartását delegálni lehet, a központi irányítás és felügyelet megtartása mellett.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 21/22
21
9 LÉPÉSRŐL LÉPÉSRE
Az alábbiakban összefoglalóan kiemeljük a szabályozással érintett szervezetek jogszabályban előírt
feladatait a végrehajtás sorrendjében:
1. Érintettség meghatározása
A szabályozással érintettek az Ibtv. 2.§ (1) bekezdésében meghatározott szervek, a számukra
adatkezelést végzők, valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások és
európai létfontosságú rendszerelemmé vagy nemzeti létfontosságú rendszerelemmé törvény
alapján kijelölt rendszerelemek adatkezelői, adatfeldolgozói.
2.
Rendszerek elhatárolása
Az Ibtv. definíciója értelmében egy elektronikus információs rendszernek kell tekinteni az
azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön
(környezeti infrastruktúra, hardver, hálózat), egymással összefüggő eljárásokkal (szabályozás,
szoftver és kapcsolódó folyamatok) azonos célból kezelt, kiszolgált, illetve felhasznált adatok,
az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és
felhasználó személyek együttesét.
3. Felelős vezetők kijelölése
Kijelölt felelős vezető (a szervezetre egységesen): Az egyes jogszabályokban a szervezet
vezetőjeként hivatkozott személy lehet az egyszemélyi vezető vagy az információs rendszerek
védelmére kijelölt vezető.
A rendszer biztonságáért felelős személy (az egyes rendszerekre külön): A rendszer
védelméhez kapcsolódó feladatok ellátásáért felelős személy. A szervezetnél csak olyan
személy végezheti az elektronikus információs rendszer biztonságáért felelős személy
feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú
végzettséggel és szakképzettséggel.
4. Felügyeletet ellátó szervezet meghatározása
Az elektronikus információs rendszerek biztonságának felügyeletét az NFM szervezeti
egysége, a Nemzeti Elektronikus Információbiztonsági Hatóság látja el a minősített adatot
kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal
és NMHH rendszerei kivételével. A felügyeletet ellátó szervezet az Ibtv. 2.§ (3)-(4) bekezdései
alapján határozható meg (a továbbiakban egységesen hatóságként szerepel).
5. A szervezet bejelentése
2013. szeptember 1-ig be kell jelenteni a hatóság részére a szervezet azonosító adatait,
valamint a rendszer biztonságáért felelős személy adatait az Ibtv. 15.§ (1) c) pontjának
megfelelően, vagy ugyanazon határidővel a hatóságot tájékoztatni kell a bejelentés
teljesítését akadályozó ok és a teljesítés határidejének megjelölésével.
7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…
http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 22/22
22
A szervezetnél csak olyan személy végezheti a rendszer biztonságáért felelős személy
feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú
végzettséggel és szakképzettséggel. A hatóságnak meg kell küldeni a vonatkozó munka -,
megbízási vagy más szerződés másolatát, amelyhez csatolni kell az adott személy
végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagynyilatkozat másolatát.
6. Biztonsági szabályzat bejelentése
2013. október 1-ig meg kell küldeni a hatóság részére a szervezet informatikai biztonsági
szabályzatát, vagy ugyanazon határidővel a hatóságot tájékoztatni kell a bejelentés
teljesítését akadályozó ok és a teljesítés határidejének megjelölésével.
7. A rendszerek biztonsági osztályba sorolása
A rendszereket biztonsági osztályba kell sorolni a bizalmasság, sértetlenség és rendelkezésre
állás szempontjából (külön-külön) 2014. július 1-ig, továbbá az Ibtv. 8.§ (1)-(2) bekezdéseiben
meghatározott esetekben.
8. A szervezet biztonsági szintjének meghatározása
Az érintett szervezet biztonsági szintjét meg kell határozni 2014. július 1 -ig, továbbá az Ibtv.
10.§ (5)-(6) bekezdéseiben meghatározott esetekben.
9.
A biztonsági intézkedések fokozatos kivitelezése
Amennyiben valamely vizsgálat során hiányosság állapítható meg akár az egyes informatikai
rendszerekhez kapcsolódó védelmi intézkedések, akár a szervezet biztonsági szintjének
tekintetében, a szervezetnek 90 napon belül cselekvési tervet kell készítenie a hiányosság
megszüntetésére. Az első biztonsági szint elérésére az első vizsgálatot követően 1 év áll
rendelkezésre. Amennyiben az első vizsgálat 2014. június 1-i, az első biztonsági szint
elérésének határideje 2015. június 1. A rendszerek megállapított biztonsági osztályaihoz
tartozó védelmi intézkedések megvalósítása esetében két évente kell egy-egy biztonsági
osztállyal előrelépni, ugyanez igaz a szervezetre előírt biztonsági szint elérésére.
10. Képzés
Az informatikai rendszer biztonságáért felelős személynek 2018. július 1-ig kell megszereznie
az elektronikus információbiztonsági vezető megnevezésű szakképzettséget, amennyiben
nem rendelkezik 5 év szakmai gyakorlattal vagy jogszabályban meghatározott (CISA, CISM,CRISC, CISSP) oklevelek valamelyikével.
A szervezet vezetőjének (kijelölt felelős vezetőjének) és az elektronikus információs rendszer
biztonságával összefüggő feladatok ellátásában részt vevő személyeknek kötelező részt
venniük az NKE által biztosítandó egyszeri képzésben. A jogszabályok nem írnak elő határidőt
a képzés elvégzésére.
Szintén az NKE biztosítja az előírt éves továbbképzést, melyen az elektronikus információs
rendszer biztonságáért felelős személy, az elektronikus információs rendszer biztonságával
összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője köteles részt
venni.