Az önkormányzatok információbiztonsági tanácsadója

Bírságolási lehetőség kölségvetési szervek esetén

Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.) megfogalmazott, a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítéséből fakadó jogkövetkezményeket.

BŐVEBBEN

Önkormányzati ASP rendszer megfeleltetés

2016. szeptember 3-án hatályba lépett a részletszabályokat tartalmazó, az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet (továbbiakban: R.).

Információbiztonsági oldalról követelményként írja elő az R, hogy meg kell felelni az információbiztonsági törvény és annak végrehajtási rendelete előírásainak.


BŐVEBBEN

Miért minket válasszon?

Biztosan felmerül Önben a kérdés, hogy miért cégünket bízza meg a szervezeténél az információbiztonsági törvény által előírtak végrehajtására.





BŐVEBBEN

Módszertan

Vissza 2014. 12. 14.

Ezen az oldalon az általam alkalmazott módszertanról olvashat, mellyel felkészítem a szervezetét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény előírásaira.

  1. Helyzetfelmérés

Az adatok biztonsági osztályba sorolásához és a kockázatelemzéshez fel kell mérni a Hivatal informatikai és informatikai biztonsági rendszerét, valamint meg kell határozni az alkalmazott szakrendszereket.

Elkészülő dokumentum: A Hivatal informatikai biztonsági helyzetfelmérése

  1. Vagyonleltár

Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat a Hivatal informatikai erőforrásait kell foglalni a következő szempontok szerint:

  •  Környezeti infrastruktúra
  • Hardver
  • Szoftver
  • Adatok
  • Kommunikáció
  • Dokumentumok
  • Adathordozók
  • Humán erőforrások

Elkészülő dokumentum: A Hivatal vagyonleltára

  1. Adatok biztonsági osztályba sorolása

A Hivatal egyik legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, mely tartalmazza az informatikai rendszerekkel szemben támasztott védelmi igényt.

Valamennyi adatot egy előre felállított 5 fokozatú skálán biztonsági osztályba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése vonatkozásában a Hivatalt ért kár szerint.

Elkészülő dokumentum: A Hivatal védelmi igénye

  1. Kockázatelemzés

Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezután vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.

Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a kárérték és a bekövetkezés valószínűségének a szorzata fogja megadni.

A kockázatok minősítéséhez kockázati mátrixot kell definiálni, majd a kockázatok kezeléséhez egy tolerancia mátrixot, amely megmutatja, hogy melyek azok a kockázatok, amelyeket a Hivatal még elvisel és melyek azok, amelyeket mindenképpen kezelni kell.

Elkészülő dokumentum: A Hivatal kockázatelemzési dokumentuma táblázatos és szöveges formában is.

  1. Kockázatkezelő intézkedések elkészítése

Az el nem viselhető kockázatok kezelésére kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével.

Elkészülő dokumentum: A Hivatal kockázatkezelési javaslatok dokumentuma táblázatos és szöveges formában is.

  1. Szabályozási környezet kialakítása

A tv. előírja, hogy minden szervezetnek rendelkeznie kell a következő dokumentumokkal:

  •  Informatikai Biztonsági Politika (IBP)

Az IBP célja, hogy egyrészt a Hivatal vezetése egyértelműen kifejezze szándékát az informatikai biztonság folyamatos szinten tartása érdekében, másrészt, hogy magas szinten meghatározza az informatikai biztonsággal szembeni elvárásait.

  • Informatikai Biztonsági Stratégia (IBS)

Az IBS az Informatikai Biztonsági Politikában megfogalmazott célok közép és hosszútávú megvalósítását írja le.

  •  Informatikai Biztonsági Szabályzat

A Hivatal legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, amely a konkrét megvalósítást, szabályozást tartalmazza.

Vissza 2014-12-14

Költségvetési szervek esetében is bírságolhat a Hatóság!

2019. január 1-jével módosult az állami és önkormányzati szervek elektroikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.).

Az Ibtv. 16. § (4) bekezdése alapján

Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a hatóság

a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését,

c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, információbiztonsági felügyelő kirendelését kezdeményezheti,

d) jogosult bírságot kiszabni külön kormányrendeletben meghatározottak szerint.

A bírságok mértékét a 187/2015. (VII. 13.) Korm. rendelet 13. §-a, illetve a Korm. rendelet 1. sz. melléklete tartalmazza.

Ezek alapján a kiszabható bírság mértéke 50.000 Ft-tól 5.000.000 Ft-ig terjedhet.

A Korm. rendelet 13. § (6) bekezdése alapján

az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

 

Kérje ajánlatunkat ide kattintva információbiztonsági felelős (szintén jogszabályi előírás) feladatainak ellátására a bírság elkerülése érdekében.