41/2015. BM rendelet – új technológiai vhr

Az információbiztonsági törvény módosításával együtt hatályon kívül helyezték a korábbi technológiai végrehajtási rendeletet hatályba lépett a 41/2015. BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről.

Szervezetek biztonsági szintbe sorolása

Fontos megemlíteni, hogy megváltozott a szervezetek biztonsági szintbe sorolásának a módja.

A törvény alapján valamennyi hatálya alá tartozó szervezetnek biztonsági szintbe kell sorolnia szervezetét és a megállapított biztonsági szinttől függően kontrollfolyamatokat kell kialakítania.

A korábbiakban az Ibtv. definiálta az egyes szervezetek minimális biztonsági szintjét, valamint azt, hogy legalább a legmagasabb biztonsági osztályba sorolt elektronikus információs rendszerével azonos biztonsági szinttel kellett, hogy megegyezzen.

A módosítást követően a fenti módszertant megszüntették, mostantól az elektronikus információs rendszerek felhasználásának a módja határozza meg egy szervezet biztonsági szintjét.

Változás továbbá, hogy a 41/2015. BM rendelet szerint nem csak a szervezetet, hanem a következő szervezeti egységeket is biztonsági szintbe kell sorolni:

Az elektronikus információs rendszer

a) fejlesztését végző,

b) üzemeltetését végző,

c) üzemeltetéséért felelős vagy

d) információbiztonságáért felelős szervezeti egységek.

A besorolási útmutatót a 41/2015. BM rendelt 2. sz. melléklete tartalmazza.

Ennek alapján 2-es a biztonsági szintje a szervezetnek, amely személyes adatokat kezel, és a szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe.

Jogszabály alapján kijelölt szolgáltató lehet a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet alapján a Nemzeti Infokommunikációs Szolgáltató Zrt. (továbbiakban: NISZ) vagy az önkormányzati ASP központról és a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet módosításáról szóló 62/2015. (III. 24.) Korm. rendelet alapján szintén a NISZ, illetve a Magyar Államkincstár.

3-as a biztonsági szintje annak a szervezetnek, amely a szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.

Az Ibtv. alapján kritikus adat: az Infotv. szerinti személyes adat, különleges adat vagy valamely jogszabállyal védett adat.

Az Info tv. szerint különleges adat

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

Jogszabály által védett adat lehet az adótitok, az üzleti titok, a orvosi, ügyvédi, biztosítási, banktitok stb.

4-es a szervezet biztonsági szintje, ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt.

Az Ibtv. alapján zártcélú elektronikus információs rendszer a nemzetbiztonsági, honvédelmi, rendészeti, diplomáciai információs feladatok ellátását biztosító, rendeltetése szerint elkülönült elektronikus információs rendszer, amely kizárólagosan a speciális igények kielégítését, az e célra létrehozott szervezet és technika működését szolgálja.

5-ös biztonsági szintbe kell sorolni azokat a szervezeteket, amelyek a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.

Az európai létfontosságú rendszerelemekkel és a nemzeti létfontosságú rendszerelemekkel a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény foglalkozik.

Az új módszertan alapján javasolt minden szervezet részére a biztonsági szintjének felülvizsgálata, mivel más szempontrendszer alapján végzett vizsgálat vélhetően más eredményt ad.

A kapott biztonsági szint alapján kell a 41/2015. BM rendelet alapján a szervezetnek kontrollfolyamatokat kell kialakítania.

Kérésére elvégezzük a 41/2015. BM rendelet szerint a szervezete biztonsági szintbe sorolását és az elektronikus információs rendszereinek biztonsági osztályba sorolását.