Monthly Archives :

december 2014

jegyzők kötelezettségei

150 150 facsa_Csabagorog

Az információbiztonsági törvény alapján a jegyzők kötelezettségei a következők:

(1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint:

a) biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály tekintetében a jogszabályban

meghatározott követelmények teljesülését,

b) biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban meghatározott

követelmények teljesülését,

c) az elektronikus információs rendszer biztonsági osztálya és a szervezet biztonsági szintje alapján előírt

követelményeknek megfelelően az elektronikus információs rendszer biztonságáért felelős személyt nevez ki

vagy bíz meg, aki azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági

vezetővel,

d) kiadja a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonságpolitikáját,

e) meghatározza a szervezet elektronikus információs rendszereinek informatikai biztonsági stratégiáját,

f ) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez

szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,

g) gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról,

h) rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén meggyőződik arról, hogy a szervezet elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak,

i) gondoskodik az elektronikus információs rendszer eseményeinek nyomon követhetőségéről,

j) biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról, és ezt követően a biztonsági események kezeléséről,

k) ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek,  ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek,

m) felelős az érintetteknek a biztonsági eseményekről és a lehetséges fenyegetésekről történő haladéktalan

tájékoztatásáért,

n) megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.

Vonatkozó jogszabályok

150 150 facsa_Csabagorog
  •  A 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
  • 2001. évi XXXV. törvény az elektronikus aláírásról
  • 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól
  • 83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról
  • 84/2012. (IV. 21.) Korm. rendelet egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről
  • 85/2012. (IV. 21.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól
  •  77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről (továbbiakban: technológiai vhr)
  • 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről
  • 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
  • 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról

Hatósági szankciók

150 150 facsa_Csabagorog

Az Ibtv. 16.§ (3) bekezdése alapján a Hatóságnak lehetősége van szankciók alkalmazására, abban az esetben, hogy ha az Ibtv. hatálya alá tartozó szervezetek nem teljesítik a jogszabályban megfogalmazott követelményeket vagy ha nem működnek együtt a Hatósággal.

A szankciók a következők lehetnek:

  • Hatósági felszólítás
  • A szervezetet felügyelő szerv bevonása a követelmények teljesítése érdekében
  • Információbiztonsági felügyelő kirendelése

Fizikai védelmi intézkedések

150 150 facsa_Csabagorog

A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete.

Ennek alapján az önkormányzatoknak – a 2-es biztonsági szintet feltételezve – szervezeti szinten a következő fizikai védelmi intézkedéseket kell végrehajtaniuk:

III. 2. FIZIKAI VÉDELMI INTÉZKEDÉSEK

FIZIKAI ÉS KÖRNYEZETI VÉDELEM (FK)

Jelen fejezet alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz-, és személyvédelmi rendelkezésekre.

Jelen rendelkezések az adott létesítmény szabadon látogatható, vagy igénybe vehető területeire nem vonatkoznak.

FK 1. Fizikai védelmi eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információs rendszerek szempontjából érintett létesítményekre és/vagy helyiségekre érvényes fizikai védelmi eljárásrendet, amely szervezet informatikai biztonsági, vagy egyéb szabályzatának részét képező fizikai védelmi szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a fizikai védelmi eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a fizikai védelmi eljárásrendet.

FK 2. Fizikai belépési engedélyek

Az érintett szervezet:

a) összeállítja, jóváhagyja és kezeli azon személyek listáját, akik jogosultak belépni az elektronikus információs rendszereket tartalmazó létesítményekbe;

b) belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens kártyák) bocsát ki a belépéshez a belépni szándékozó részére;

c) rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;

d) eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése már nem indokolt;

e) intézkedik a b) pont szerinti dokumentum visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.

FK 3. A fizikai belépés ellenőrzése

Az érintett szervezet:

a) biztosítja az engedélyesek számára a fizikai belépést, kizárólag a szervezet által meghatározott be-, illetve kilépési pontokon;

b) naplózza a fizikai belépéseket;

c) ellenőrzés alatt tartja a létesítményen belüli, nyilvánosan elérhető helyiségeket;

d) kíséri a látogatókat és figyelemmel követi a tevékenységüket;

e) megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;

f) nyilvántartást vezet a fizikai belépést ellenőrző eszközről;

g) szervezet által meghatározott gyakorisággal változtatja meg a hozzáférési kódokat és kulcsokat, illetve azonnal, ha a kulcs elveszik, a hozzáférési kód kompromittálódik, vagy az adott személyt elveszti a belépési jogosultságát.

Elvárás:

1. az egyéni belépési engedélyeket a belépési pontokon ellenőrizni kell,

2. a kijelölt pontokon való átjutást felügyelni kell a szervezet által meghatározott fizikai belépést ellenőrző rendszerrel, vagy eszközzel,

3. fel kell hívni a szervezet tagjainak figyelmét a rendellenességek jelentésére.

Adminisztratív védelmi intézkedések

150 150 facsa_Csabagorog

A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete.

Ennek alapján az önkormányzatoknak – a 2-es biztonsági szintet feltételezve – a következő adminisztratív védelmi intézkedéseket kell végrehajtaniuk:

III. 1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK

 SZERVEZETI SZINTŰ ALAP FELADATOK (AL)

AL 1. Informatikai biztonságpolitika

Az érintett szervezet:

a) megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonságpolitikát;

b) belső szabályzóban, vagy magában az informatikai biztonságpolitikáról szóló dokumentumban meghatározza a biztonságpolitika felülvizsgálatának és frissítésének gyakorisággát.

Elvárás:

1. meg kell határozni azokat az okokat, melyeknél fogva a kiberbiztonság fontos a szervezet számára, így különösen a biztonsági célok meghatározása, az informatikai biztonságpolitikai szervezeti szempontú alapelveinek bemutatása;

2. be kell mutatni az érintett szervezet vezetői beosztású tagjainak elkötelezettségét a biztonsági feladatok irányítására és támogatására;

3. ki kell fejteni az érintett szervezetben alkalmazott biztonsági alapelveket és megfelelőségi követelményeket;

AL 2. Informatikai biztonsági stratégia

Az érintett szervezet:

a) megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely kifejti az informatikai biztonságpolitikában biztonsági célok megvalósításának módszerét, eszközrendszerét, ütemezését;

b) belső szabályzóban, vagy magában az informatikai biztonsági stratégiáról szóló dokumentumban meghatározza a biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát;

c) gondoskodik arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

Elvárás:

1. A stratégia rövid, közép és hosszú távú célokat tűz ki.

2. A stratégia illeszkedik az érintett szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, tevékenységi kör változáshoz, fejlesztéshez), jövőképéhez.

 AL 3 Informatikai biztonsági szabályzat

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági szabályzatot;

b) belső szabályzóban, vagy magában az informatikai biztonsági szabályzatról szóló dokumentumban meghatározza az informatikai biztonsági szabályzat felülvizsgálatának és frissítésének gyakoriságát;

c) gondoskodik arról, hogy az informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

Elvárás:

1. az informatikai biztonsági szabályzatban meg kell határozni a

– célokat, a szabályzat tárgyi és személyi (a szervezet jellegétől függően esetleg területi) hatályát,

– az elektronikus információbiztonsággal kapcsolatos szerepköröket,

– a szerepkörhöz rendelt tevékenységet,

– a tevékenységhez kapcsolódó felelősséget,

– az információbiztonság szervezetrendszerének belső, illetve szervezet egészének együttműködését;

2. az informatikai biztonsági szabályzat a következő elektronikus információs rendszerbiztonsággal kapcsolatos területeket szabályozza akár külön függelékekben, akár egységes szerkezetben:

– kockázatelemzést (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz),

– biztonsági helyzet-, és eseményértékelés eljárási rendjét,

– rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzést (amennyiben Az érintett szervezet ilyet végez, vagy végezhet),

– biztonsággal kapcsolatos tervezést (például: beszerzés, fejlesztés, eljárásrendek kialakítását),

– fizikai és környezeti védelem szabályait, jellemzőit,

– az emberi erőforrásokban rejlő veszélyek megakadályozását (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.)

– az informatikai biztonság tudatosítására irányuló tevékenységet és képzést, szervezet összes érintett tagja tekintetében,

– az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatokat, elvárásokat, jogokat (amennyiben a szervezetnél ez értelmezhető),

– üzlet, vagy üzemmenet folytonosság tervezését (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.),

– az elektronikus információs rendszerek karbantartásának rendjét,

– az adathordozók fizikai és logikai védelmének szabályozását,

– az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárást, illetve a hozzáférés szabályok betartásának ellenőrzését,

– amennyiben a szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelését, az értékelés eredményétől függő eljárások meghatározását,

– az adatok mentésének, archiválásának rendjét,

– a biztonsági események – ideértve az adatok sérülését is – bekövetkeztekor követendő eljárást, ideértve a helyreállítást is,

– az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az informatikai biztonságot érintő, szerződéskötés során érvényesítendő követelményeket;

3. meghatározza a biztonsági szintjét, valamint a szervezet összes elektronikus információs rendszerének biztonsági osztályát.

AL 4. Az elektronikus információs rendszerek biztonságáért felelős személy

Az érintett szervezet vezetője az elektronikus információs rendszer biztonsági osztálya és a szervezet biztonsági szintje alapján előírt követelményeknek megfelelően az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki:

a) azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági vezetővel;

b) ellátja a törvény Ibtv. 13 §-ban meghatározott feladatokat.

AL 5. Pénzügyi erőforrások biztosítása

Az érintett szervezet:

a) a költségvetés tervezés, és a beruházások, beszerzések során biztosítja az informatikai biztonsági stratégia megvalósításához szükséges forrásokat, illetve dokumentálja ezen követelmény alá eső kivételeket;

b) biztosítja a terveknek megfelelő kiadásokhoz szükséges erőforrások rendelkezésre állását.

Elvárás:

A pénzügyi erőforrások tervezése illeszkedik AL 2-höz.

AL 6. Cselekvési terv és mérföldkövei

Az érintett szervezet:

a) cselekvési tervet készít az informatikai biztonsági stratégia megvalósításához, ebben mérföldköveket határoz meg;

b) karbantartja a cselekvési tervet

Elvárás:

Felülvizsgálja és karbantartja a cselekvési tervet és mérföldköveit

1 a szervezet kockázatkezelési stratégiájának és a kockázatokra adott válasz tevékenységeknek az érintett szervezet belső prioritása alapján;

2. ha a szervezet az adott elektronikus információs rendszerére vonatkozó biztonsági osztály Ibtv. 8. § szerinti meghatározásánál hiányosságot állapít meg (ebben az esetben a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a hiányosság megszüntetésére koncentrálva);

3. ha a szervezet által meghatározott biztonsági szint alacsonyabb, mint az adott szervezetre az Ibtv. 9. § (2) bekezdésében előírt biztonsági szint (ebben az esetben a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a szervezet számára előírt biztonsági szint elérésére koncentrálva).

AL 7. Az elektronikus információs rendszerek nyilvántartása

Az érintett szervezet:

a) elektronikus információs rendszereiről nyilvántartást készít;

b) folyamatosan aktualizálja a nyilvántartást.

Elvárás:

1. a nyilvántartás minden rendszerre tartalmazza annak alap feladatait,

2. a rendszerek által biztosítandó szolgáltatásokat,

3. tartalmazza az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szerv kezelésében vannak),

4. a rendszer felett felügyeletet gyakorló személyazonosító és elérhetőségi adatait,

5. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek azonosító és elérhetőségi adatait.

AL 10. Kockázatkezelési stratégia

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a kockázatkezelési stratégiát;

b) következetesen alkalmazza a kockázatkezelési stratégiát Az érintett szervezet egészére;

c) belső szabályzóban, vagy magában a kockázatkezelési stratégiában szóló dokumentumban meghatározza a kockázatkezelési stratégia felülvizsgálatának és frissítésének gyakoriságát.

Elvárás:

1. a stratégia terjedjen ki Az érintett szervezetnél lehetséges kockázatok felmérésére,

2. a stratégia terjedjen ki a kockázatok kezelésének felelősségére,

3. a stratégia terjedjen ki a kockázatok kezelésének elvárt minőségére.

AL 11. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információbiztonsággal kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási folyamatokat;

b) irányítja és kezeli az elektronikus információs rendszer és környezet biztonsági állapotát;

c) egyértelműen meghatározza az információbiztonsággal összefüggő szerep- és felelősség köröket, kijelöli az ezeket betöltő személyeket;

d) integrálja az elektronikus információbiztonsággal engedélyezési folyamatokat Az érintett szervezeti szintű kockázatkezelési eljárásba, kapcsolatban az információbiztonsági szabályzattal.

Elvárás:

1. az elektronikus információbiztonsággal kapcsolatos engedélyezés terjedjen ki minden az érintett szerv hatókörébe tartozó emberi, fizikai és logikai erőforrásra,

2. terjedjen ki minden, a szervezet hatókörébe tartozó szintre és folyamatra.

KOCKÁZATELEMZÉS (KE)

KE 1.  Kockázatelemzési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és Az érintett szervezeten belül kihirdeti a kockázatelemzési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező kockázatelemzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) belső szabályzóban, vagy magában a kockázatelemzési eljárásrendről szóló dokumentumban meghatározza a kockázatelemzési eljárásrend felülvizsgálatának és frissítésének gyakoriságát.

KE 2. Biztonsági osztályba sorolás

Az érintett szervezet:

a) a jogszabályban meghatározott szempontok alapján megvizsgálja elektronikus információs rendszereit az azokról szóló AL 7. nyilvántartás alapján, és meghatározza, hogy azok a vizsgálat elvégzésekor melyik biztonsági osztálynak felelnek meg;

b) rögzíti a biztonsági osztályba sorolás eredményét a szervezet informatikai biztonsági szabályzatában;

c) vezetője jóváhagyja a biztonsági osztályba sorolást.

Elvárás:

1. a biztonsági osztályba sorolást az elektronikus információs rendszereket érintő változások után ismételten el kell végezni,

2. kapcsolódást kell biztosítani AL 6-hoz.

KE 3. Kockázatelemzés

Az érintett szervezet:

a) végrehajtja a biztonsági kockázatelemzéseket;

b) megállapítja a kockázatelemzések eredményét az informatikai biztonsági szabályzatban, kockázatelemzési jelentésben, vagy más a KE 1. szerint előírt dokumentumban;

c) a KE 1. szerinti felülvizsgálja a kockázatelemzések eredményét;

d) a KE 1., vagy AL 3. szerint megismerteti a kockázatelemzés eredményét az érintettekkel;

e) amikor jelentős változás áll be az elektronikus információs rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést hajt végre;

f) gondoskodik arról, hogy a kockázatelemzési eredmények jogosulatlanok számára ne legyenek megismerhetők.

TERVEZÉS (TE)

TE 1. Biztonságtervezési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül a munka- és feladatkörük miatt érintettek számára kihirdeti a biztonságtervezési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező biztonságtervezési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a biztonságtervezési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságtervezési eljárásrendet.

TE 2. Rendszerbiztonsági terv

Az érintett szervezet, amennyiben az elektronikus információs rendszer tervezése hatókörébe tartozik:

a) az elektronikus információs rendszerhez rendszerbiztonsági tervet készít, amely:

1. összhangban áll a szervezeti felépítésével/szervezeti szintű architektúrájával (AL 9.),

2. meghatározza az elektronikus információs rendszer hatókörét, alap feladatait (biztosítandó szolgáltatásait), biztonságkritikus elemeit és alap funkcióit,

3. meghatározza elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztályát,

4. meghatározza az elektronikus információs rendszer működési körülményeit és más elektronikus információs rendszerrel való kapcsolatait,

5. a vonatkozó rendszerdokumentáció keretébe foglalja az elektronikus információs rendszer biztonsági követelményeit,

6. meghatározza a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket és intézkedésbővítéseket, végrehajtja a jogszabály szerinti biztonsági feladatokat.

Elvárás:

b) gondoskodik arról, hogy a rendszerbiztonsági tervet az érintett szervezet által meghatározott személyi- és szerepkörök megismerje (ideértve annak változásait is);

c) belső szabályzóban, vagy a rendszerbiztonsági tervben meghatározott gyakorisággal felül kell vizsgálni az elektronikus információs rendszer rendszerbiztonsági tervét;

d) frissíteni kell a rendszerbiztonsági tervet az elektronikus információs rendszerben vagy annak üzemeltetési környezetében történt változások, illetve a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt problémák esetén;

e) elvégzi a TE 2. 1. pont szerintieket;

e) gondoskodik arról, hogy a rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

TE 3. Személyi biztonság

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet (kapcsolat AL 3-al, és AL 11-el);

b) az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozat megtételére szólítja fel a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismert, saját felelősségére betartja;

c) meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet a viselkedési szabályokat;

d) gondoskodik arról, hogy a c) pont szerinti változás esetén a hozzáféréssel rendelkezők tekintetében a b) pont szerinti eljárás megtörténjen;

e) meghatározza a szervezeten kívüli irányban megvalósuló követelményeket

RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS (RB)

Jelen címben meghatározott eljárásokat abban az esetben kell bevezetni az érintett szervezetnél, amennyiben saját hatókörében informatikai szolgáltatást, vagy eszközöket (ide nem értve a jellemzően kisebb egyedi értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, illetve azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, illetve az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket) nem szerez be, illetve nem végez, vagy végeztet rendszerfejlesztési tevékenységet. Nem kell a fejlesztések tekintetében előírt követelményeket alkalmazni, amennyiben azok a kereskedelmi forgalomban kapható szoftverek szolgáltatásainak kihasználásával jönnek létre.

RB 1. Beszerzési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a beszerzési eljárásrendet, mely a szervezet elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg (akár az általános beszerzési szabályzat részeként), és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a beszerzési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a beszerzési eljárásrendet.

RB 3.  A rendszer fejlesztési életciklusa

Az érintett szervezet:

a) elektronikus információs rendszereit a rendszer teljes életútjára tekintettel kezeli, amelynek minden életciklusában figyelemmel van az informatikai biztonságra;

b) a fejlesztési életciklus egészére meghatározza és dokumentálja az információ biztonsági szerepköröket és felelősségeket;

c) meghatározza, és a szervezetre érvényes szabályok szerint kijelöli az információ biztonsági szerepköröket betöltő, felelős személyeket.

Elvárás:

Egy rendszer életciklus szakaszait a következők szerint kell meghatározni:

1. követelmény meghatározás,

2. fejlesztés/beszerzés,

3. megvalósítás/értékelés,

4. üzemeltetés és fenntartás,

4. kivonás (archiválás, megsemmisítés).

RB 7. Külső elektronikus információs rendszerek szolgáltatásai

Az érintett szervezet:

a) szerződéses kötelezettségként követeli meg, hogy a külső – nem az érintett szervezet által üzemeltetett, hanem annak szolgáltatásait szerződés alapján igénybe vett – elektronikus információs rendszerek szolgáltatásai megfeleljenek a szervezet elektronikus információbiztonsági követelményeinek;

b) meghatározza és dokumentálja a szervezet felhasználóinak feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban;

c) folyamatosan ellenőrzi, hogy a külső elektronikus információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.

EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ – SZEMÉLY – BIZTONSÁG (SZ)

Minden, a személybiztonsággal kapcsolatos eljárás, vagy elvárás kiterjed az érintett szervezet teljes személyi állományára, valamint minden olyan természetes személyre, aki a szervezet elektronikus információs rendszereivel kapcsolatba kerül, vagy kerülhet.

Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az érintett szervezet tagja, a jelen fejezet felé irányuló elvárásait a tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell, mint kötelezettséget érvényesíteni (ideértve szabályzatok, eljárásrendek megismerése és betartására irányuló kötelezettségvállalást, titoktartási nyilatkozatot)

SZ 4. Eljárás jogviszony megszűnésekor

Az érintett szervezet:

a) belső szabályozásban meghatározott időpontban megszünteti a hozzáférési jogosultságot az elektronikus információs rendszerhez;

b) megszünteti, illetve visszaveszi a személy egyéni hitelesítő eszközeit;

c) tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről;

d) visszaveszi a szervezet elektronikus információs rendszerével kapcsolatos, tulajdonát képező összes eszközt;

e) megtartja a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti információkhoz;

f) a szervezet által meghatározott módon a jogviszony megszűnéséről értesíti a szervezet által meghatározott szerepköröket betöltő, feladatokat ellátó személyeket.

Elvárás:

1. a szervezet a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését megelőzően gondoskodik,

2. a jogviszony megszűnésekor fokozott figyelmet kell fordítani arra, hogy a jogviszonyt megszüntető személy esetleges káros tevékenysége megelőzhető legyen.

SZ 7. Fegyelmi intézkedések

Az érintett szervezet:

a) belső eljárási rendje szerint fegyelmi intézkedést kezdeményez az elektronikus információ biztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel szemben;

b) amennyiben az elektronikus információ biztonsági szabályokat nem a szervezet személyi állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott következményeket, megvizsgálja az egyéb jogi lépések fennállásának lehetőségét, szükség szerint bevezeti ezeket az eljárásokat.

TUDATOSSÁG ÉS KÉPZÉS (TK)

TK 1. Képzési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a képzési eljárásrendet, mely szervezet informatikai biztonsági szabályzatának részét képező képzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a képzési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a képzési eljárásrendet.

TK 2. Biztonság tudatosság képzés

Az érintett szervezet az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára:

a) az új felhasználók kezdeti képzésének részeként;

b) amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;

c) ezen túlmenően a szervezet által meghatározott gyakorisággal.

Elvárás

A biztonság tudatossági képzés az érintett személyeket készítse fel a lehetséges belső fenyegetések felismerésére.

Info tv. (2011. évi CXII.)

150 150 facsa_Csabagorog

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

A tv. 7. §-a foglalkozik a személyes adatokat kezelő informatikai rendszerek informatikai biztonsági követelményeivel. Ez szerint

7. § (1) Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.

(2) Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(3) Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

(4) A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

(5) A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja

a) a jogosulatlan adatbevitel megakadályozását;

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

(6) Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

Módszertan

150 150 facsa_Csabagorog

Ezen az oldalon az általam alkalmazott módszertanról olvashat, mellyel felkészítem a szervezetét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény előírásaira.

  1. Helyzetfelmérés

Az adatok biztonsági osztályba sorolásához és a kockázatelemzéshez fel kell mérni a Hivatal informatikai és informatikai biztonsági rendszerét, valamint meg kell határozni az alkalmazott szakrendszereket.

Elkészülő dokumentum: A Hivatal informatikai biztonsági helyzetfelmérése

  1. Vagyonleltár

Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat a Hivatal informatikai erőforrásait kell foglalni a következő szempontok szerint:

  •  Környezeti infrastruktúra
  • Hardver
  • Szoftver
  • Adatok
  • Kommunikáció
  • Dokumentumok
  • Adathordozók
  • Humán erőforrások

Elkészülő dokumentum: A Hivatal vagyonleltára

  1. Adatok biztonsági osztályba sorolása

A Hivatal egyik legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, mely tartalmazza az informatikai rendszerekkel szemben támasztott védelmi igényt.

Valamennyi adatot egy előre felállított 5 fokozatú skálán biztonsági osztályba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése vonatkozásában a Hivatalt ért kár szerint.

Elkészülő dokumentum: A Hivatal védelmi igénye

  1. Kockázatelemzés

Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezután vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.

Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a kárérték és a bekövetkezés valószínűségének a szorzata fogja megadni.

A kockázatok minősítéséhez kockázati mátrixot kell definiálni, majd a kockázatok kezeléséhez egy tolerancia mátrixot, amely megmutatja, hogy melyek azok a kockázatok, amelyeket a Hivatal még elvisel és melyek azok, amelyeket mindenképpen kezelni kell.

Elkészülő dokumentum: A Hivatal kockázatelemzési dokumentuma táblázatos és szöveges formában is.

  1. Kockázatkezelő intézkedések elkészítése

Az el nem viselhető kockázatok kezelésére kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével.

Elkészülő dokumentum: A Hivatal kockázatkezelési javaslatok dokumentuma táblázatos és szöveges formában is.

  1. Szabályozási környezet kialakítása

A tv. előírja, hogy minden szervezetnek rendelkeznie kell a következő dokumentumokkal:

  •  Informatikai Biztonsági Politika (IBP)

Az IBP célja, hogy egyrészt a Hivatal vezetése egyértelműen kifejezze szándékát az informatikai biztonság folyamatos szinten tartása érdekében, másrészt, hogy magas szinten meghatározza az informatikai biztonsággal szembeni elvárásait.

  • Informatikai Biztonsági Stratégia (IBS)

Az IBS az Informatikai Biztonsági Politikában megfogalmazott célok közép és hosszútávú megvalósítását írja le.

  •  Informatikai Biztonsági Szabályzat

A Hivatal legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, amely a konkrét megvalósítást, szabályozást tartalmazza.

Adatvédelem

150 150 facsa_Csabagorog

Adatvédelem

Az információbiztonság megteremtése mellett a személyes adatok védelme (adatvédelem) és a közérdekű adatok nyilvánossága is számos feladatot ró a közigazgatási és az államigazgatási szervekre.

A jogszabályoknak megfelelő adatvédelmi intézkedések kialakításában partnerünk a HÁTADAT Szakértői Iroda.

Sokéves gyakorlattal rendelkező és szerteágazó területeken működő szakértőink vállalják az adatvédelmi szabályzatok elkészítését, tanácsadást, auditálást, oktatást. Önkormányzati megbízóink részére elkészítjük a közérdekű adatigénylési, közzétételi és általános adatvédelmi szabályzatot, a weboldal adatkezelési tájékoztatóját. Kihelyezett tanfolyamokon esetközpontú oktatás keretében bemutatjuk az adatvédelem szellemiségét és jogi megalapozottságát, a hatóságok jogalkalmazási logikáját, a bíróságok és az alkotmánybíróság végső döntéseit.

Weboldal üzemeltető partnerek számára elvégezzük a jogi megfelelőségi vizsgálatot, tanácsokat nyújtunk a site technikai és jogi átalakításának szükségességéről, a szükséges információk és tájékoztatók listájáról és tartalmáról.

Komplex adatkezelési folyamatok vagy a teljes működés auditálása során részletesen elemezzük a feltárt hiányosságokat, és lépésről-lépésre hozzásegítjük a megbízót, hogy mind az intézményen, cégen belüli off-line működése során, mind a on-line nyilvánosság világában kizárja a hatósági bírságolási veszélyt és az esetleges magánszemélyek általi sérelemdíj követelését személyiségi joguk megsértése miatt.

HÁTADAT Szövetkezet
2120 Dunakeszi, Szt. István u. 31.
www.adatvedelmiiroda.hu
info@adatvedelmiiroda.hu
tel. 20/777-9042

Azonnali feladat

150 150 facsa_Csabagorog

Az Ibtv. 11. § (1) bekezdésének c) pontja értelmében a szervezet vezetőjének

2013. augusztus 31-ig

ki kell jelölnie egy az

elektronikus információs rendszerek biztonságáért felelős személyt,

aki rendelkezik az Ibtv. 13. § (8)-(10) bekezdésében meghatározott felsőfokú végzettséggel, szakképzettséggel és 5 év szakmai gyakorlattal.

Tekintettel arra, hogy nem minden önkormányzat engedheti meg magának, hogy főállásban egy ilyen szakembert alkalmazzon (kisebb önkormányzatoknál nem is érdemes),

jutányos áron vállalom, hogy ellátom önkormányzatánál az elektronikus információs rendszerek biztonságáért felelős személy feladatait.

Misák István

egyéni vállalkozó

Ajánlatok kistérségi társulások számára

150 150 facsa_Csabagorog

Javaslom megvizsgálni annak a lehetőségét, hogy az Ön által irányított Többcélú Kistérségi Társulás keretein belül van-e lehetőség a fenti feladatok elvégzésére, mivel véleményem szerint ebben az esetben a rendszer kialakításának és a feladat ellátásának lényegesen kevesebb a költsége, mint ha az önkormányzatok azt a saját erejükből önállóan alakíttatják ki.

  • 1
  • 2