Az önkormányzatok információbiztonsági tanácsadója

Bírságolási lehetőség kölségvetési szervek esetén

Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.) megfogalmazott, a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítéséből fakadó jogkövetkezményeket.

BŐVEBBEN

Önkormányzati ASP rendszer megfeleltetés

2016. szeptember 3-án hatályba lépett a részletszabályokat tartalmazó, az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet (továbbiakban: R.).

Információbiztonsági oldalról követelményként írja elő az R, hogy meg kell felelni az információbiztonsági törvény és annak végrehajtási rendelete előírásainak.


BŐVEBBEN

Miért minket válasszon?

Biztosan felmerül Önben a kérdés, hogy miért cégünket bízza meg a szervezeténél az információbiztonsági törvény által előírtak végrehajtására.





BŐVEBBEN

Fizikai védelmi intézkedések

Vissza 2014. 12. 14.

A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete.

Ennek alapján az önkormányzatoknak – a 2-es biztonsági szintet feltételezve – szervezeti szinten a következő fizikai védelmi intézkedéseket kell végrehajtaniuk:

III. 2. FIZIKAI VÉDELMI INTÉZKEDÉSEK

FIZIKAI ÉS KÖRNYEZETI VÉDELEM (FK)

Jelen fejezet alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz-, és személyvédelmi rendelkezésekre.

Jelen rendelkezések az adott létesítmény szabadon látogatható, vagy igénybe vehető területeire nem vonatkoznak.

FK 1. Fizikai védelmi eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információs rendszerek szempontjából érintett létesítményekre és/vagy helyiségekre érvényes fizikai védelmi eljárásrendet, amely szervezet informatikai biztonsági, vagy egyéb szabályzatának részét képező fizikai védelmi szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a fizikai védelmi eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a fizikai védelmi eljárásrendet.

FK 2. Fizikai belépési engedélyek

Az érintett szervezet:

a) összeállítja, jóváhagyja és kezeli azon személyek listáját, akik jogosultak belépni az elektronikus információs rendszereket tartalmazó létesítményekbe;

b) belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens kártyák) bocsát ki a belépéshez a belépni szándékozó részére;

c) rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;

d) eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése már nem indokolt;

e) intézkedik a b) pont szerinti dokumentum visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.

FK 3. A fizikai belépés ellenőrzése

Az érintett szervezet:

a) biztosítja az engedélyesek számára a fizikai belépést, kizárólag a szervezet által meghatározott be-, illetve kilépési pontokon;

b) naplózza a fizikai belépéseket;

c) ellenőrzés alatt tartja a létesítményen belüli, nyilvánosan elérhető helyiségeket;

d) kíséri a látogatókat és figyelemmel követi a tevékenységüket;

e) megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;

f) nyilvántartást vezet a fizikai belépést ellenőrző eszközről;

g) szervezet által meghatározott gyakorisággal változtatja meg a hozzáférési kódokat és kulcsokat, illetve azonnal, ha a kulcs elveszik, a hozzáférési kód kompromittálódik, vagy az adott személyt elveszti a belépési jogosultságát.

Elvárás:

1. az egyéni belépési engedélyeket a belépési pontokon ellenőrizni kell,

2. a kijelölt pontokon való átjutást felügyelni kell a szervezet által meghatározott fizikai belépést ellenőrző rendszerrel, vagy eszközzel,

3. fel kell hívni a szervezet tagjainak figyelmét a rendellenességek jelentésére.

Vissza 2014-12-14

Költségvetési szervek esetében is bírságolhat a Hatóság!

2019. január 1-jével módosult az állami és önkormányzati szervek elektroikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.).

Az Ibtv. 16. § (4) bekezdése alapján

Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a hatóság

a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését,

c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, információbiztonsági felügyelő kirendelését kezdeményezheti,

d) jogosult bírságot kiszabni külön kormányrendeletben meghatározottak szerint.

A bírságok mértékét a 187/2015. (VII. 13.) Korm. rendelet 13. §-a, illetve a Korm. rendelet 1. sz. melléklete tartalmazza.

Ezek alapján a kiszabható bírság mértéke 50.000 Ft-tól 5.000.000 Ft-ig terjedhet.

A Korm. rendelet 13. § (6) bekezdése alapján

az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

 

Kérje ajánlatunkat ide kattintva információbiztonsági felelős (szintén jogszabályi előírás) feladatainak ellátására a bírság elkerülése érdekében.