Az önkormányzatok információbiztonsági tanácsadója

Bírságolási lehetőség kölségvetési szervek esetén

Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.) megfogalmazott, a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítéséből fakadó jogkövetkezményeket.

BŐVEBBEN

Önkormányzati ASP rendszer megfeleltetés

2016. szeptember 3-án hatályba lépett a részletszabályokat tartalmazó, az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet (továbbiakban: R.).

Információbiztonsági oldalról követelményként írja elő az R, hogy meg kell felelni az információbiztonsági törvény és annak végrehajtási rendelete előírásainak.


BŐVEBBEN

Miért minket válasszon?

Biztosan felmerül Önben a kérdés, hogy miért cégünket bízza meg a szervezeténél az információbiztonsági törvény által előírtak végrehajtására.





BŐVEBBEN

A 2013. évi L. törvény előírásai

Az önkormányzatok számára is, hogy az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell:2013. évi L. törvény

a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és

rendelkezésre állása, valamint

b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása

zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

6. § Az elektronikus információs rendszernek az 5. §-ban meghatározott feltételeknek megfelelő védelme körében

a szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell

meghatároznia, amelyek támogatják:

a) a megelőzést és a korai figyelmeztetést,

b) az észlelést,

c) a reagálást,

d) a biztonsági események kezelését.

A 2013. évi L. törvény hatálya kiterjed

a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével,

b) a Köztársasági Elnöki Hivatalra,

c) az Országgyűlés Hivatalára,

d) az Alkotmánybíróság Hivatalára,

e) az Országos Bírósági Hivatalra és a bíróságokra,

f) az ügyészségekre,

g) az Alapvető Jogok Biztosának Hivatalára,

h) az Állami Számvevőszékre,

i) a Magyar Nemzeti Bankra,

j) a fővárosi és megyei kormányhivatalokra,

k) a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,

l) a Magyar Honvédségre.

A törvény teljes szövege itt olvasható.

Figyelem!

A törvény 2015. július 16-án módosította az Országgyűlés. A módosítások összefoglalását a információbiztonsági blogunkon olvashatja:

A 2013. évi L. törvény által előírt konkrét feladatokról és határidőkről a következőkben olvashat:

1. Ki kell nevezni a szervezet elektronikus információs rendszereinek biztonságáért felelős személyt.

Határidő: a törvény hatályba lépését követően azonnal.

Magyarázat: A törvény alapján felsőfokú végzettséggel és szakképzettséggel rendelkező személy nevezhető ki, a vhr-ek alapján szerződéses viszony keretein belül a feladat ellátható.

2. Be kell jelenteni a Hatóságnak az 1-es pontban kinevezett személy adatait.

Határidő: 2013. augusztus 31.

Magyarázat: A törvény hatályba lépését követő 60 napon belül meg kell küldeni a Nemzeti Elektronikus Információbiztonsági Hatóságnak a szervezet elektronikus információs rendszereinek biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét és a végzettségét igazoló okiratokat.

3. Be kell jelenteni a Hatóságnak a szervezet adatait.

Határidő: 2013. augusztus 31.

Magyarázat: A törvény hatályba lépését követő 60 napon belül meg kell küldeni a Nemzeti Elektronikus Információbiztonsági Hatóságnak a szervezetnek a szervezet azonosításához szükséges adatokat.

4. Meg kell küldeni a Hatóságnak a szervezet Informatikai Biztonsági Szabályzatát.

Határidő: 2013. szeptember 30.

Magyarázat: A törvény hatályba lépését követő 90 napon belül meg kell küldeni nyilvántartásba vétel céljából a Nemzeti Elektronikus Információbiztonsági Hatóságnak a szervezet Informatikai Biztonsági Szabályzatát.

5. A szervezet biztonsági szintbe sorolása

Határidő: Az törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.

6. A szervezet biztonsági szintjének megfelelő informatikai biztonsági irányítási rendszer kialakítására cselekvési terv készítése.

Határidő: Az 5-ös pontban leírt feladat elvégzése után 90 nap.

 Magyarázat: A törvény által előírt szervezeti szintű biztonsági besorolást követően, ha a szervezet – a vhr-ekben részletezett – a törvényben meghatározott biztonsági szintet nem éri el, akkor 90 napon belül cselekvési tervet kell készítenie az előírt biztonsági szint elérésére.

A törvény alapján a szervezetnek lehetősége van az előírt biztonsági szint fokozatos elérésére. Ennek keretében a magasabb biztonsági szint elérésére – minden egyes szintet érintően, a következő magasabb szintre lépéshez – két év áll rendelkezésére.

 7. El kell végezni a szervezet elektronikus információs rendszereiben kezelt adatok biztonsági osztályba sorolását.

 Határidő: Az törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.

 8. Cselekvési terv készítése az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelően az adott biztonsági szint eléréséhez.

Határidő: Az 5-ös pontban leírt feladat elvégzése után 90 nap.

Magyarázat: A szervezet az adott elektronikus információs rendszere biztonsági osztályba sorolását követően megvizsgálja, hogy a rendszer melyik biztonsági szintet éri el és ha hiányosságokat tapasztal, akkor 90 napon belül cselekvési tervet készít.

A védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első vizsgálatkor megállapított biztonsági osztályt alapul véve, minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére két év áll rendelkezésére.

Cégünk segítséget nyújt állami és önkormányzati szervek részére a 2013. évi L. törvény által előírt feladatok megvalósításában.

Kérje ajánlatunkat online!

Költségvetési szervek esetében is bírságolhat a Hatóság!

2019. január 1-jével módosult az állami és önkormányzati szervek elektroikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.).

Az Ibtv. 16. § (4) bekezdése alapján

Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a hatóság

a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését,

c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, információbiztonsági felügyelő kirendelését kezdeményezheti,

d) jogosult bírságot kiszabni külön kormányrendeletben meghatározottak szerint.

A bírságok mértékét a 187/2015. (VII. 13.) Korm. rendelet 13. §-a, illetve a Korm. rendelet 1. sz. melléklete tartalmazza.

Ezek alapján a kiszabható bírság mértéke 50.000 Ft-tól 5.000.000 Ft-ig terjedhet.

A Korm. rendelet 13. § (6) bekezdése alapján

az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

 

Kérje ajánlatunkat ide kattintva információbiztonsági felelős (szintén jogszabályi előírás) feladatainak ellátására a bírság elkerülése érdekében.