Blog

Információbiztonsági törvény módosítása – bírságok

150 150 facsa_Csabagorog

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 2019. január 1-jei módosításával a Hatóságnak lehetősége nyílik költségvetési szervek esetében is bírság kiszabására.

Az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló 2018. évi CXXI. törvény módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.) megfogalmazott, a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok nem teljesítéséből fakadó jogkövetkezményeket. Az Ibtv. módosítása 2019. január 1-jén lépett hatályba.

Ennek értelmében az Ibtv. 16. § (4) bekezdése alapján

Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a hatóság

a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,

b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését,

c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, információbiztonsági felügyelő kirendelését kezdeményezheti,

d) jogosult bírságot kiszabni külön kormányrendeletben meghatározottak szerint.

A fentiek alapján változás, hogy 2019. január 1-jével már költségvetési szervek esetében is bírságolhat a Hatóság (korábban erre csak gazdasági társaságok esetében volt mód).

A bírságok mértékét az egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló törvény végrehajtásához kapcsolódó miniszteri rendeletek módosításáról szóló 37/2018. (XII. 28.) BM rendelettel módosított, az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet 13. §-a, valamint a Korm. rendelet 1. sz. melléklete tartalmazza. Ezek alapján

13. § (1) A hatóság az információbiztonsági követelmények teljesülése érdekében – határidő kitűzése mellett – felhívja az érintett szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény megsértése megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, valamint az elvárt intézkedés megtételére.

(2) A hatóság azonnali intézkedések megtételére kötelezi az érintett szervezetet, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget. Ezzel összefüggésben fegyelmi felelősség megállapítására tehet javaslatot a munkáltatói jogkör gyakorlója felé.

(3) A hatóság az Ibtv. 19. § (1) bekezdése szerinti eseménykezelő központ értesítése esetén megfelelő határidő tűzése mellett felszólítja az érintett szervezetet a jogszabály sértő tevékenység, vagy a jogsértő állapot megszüntetésére, ennek keretében különösen bejelentési, adatszolgáltatási, együttműködési kötelezettségének teljesítésére.

(4) A 23. § (1) bekezdése és 24. § (1) bekezdése szerinti hatóság, az Ibtv. 19. § (2) és (3) bekezdése szerinti eseménykezelő központ értesítése esetén, megfelelő határidő tűzése mellett felszólítja az érintett szervezetet a jogszabálysértő tevékenység, vagy a jogsértő állapot megszüntetésére, ennek keretében különösen bejelentési, adatszolgáltatási, együttműködési kötelezettségének teljesítésére.

(5) A hatóság az Ibtv. 16. § (2) bekezdés b) pontja, valamint az Ibtv. 16. § (3) bekezdés d) pontja alapján az 1. mellékletben megjelölt jogszabálysértés esetén az 1. mellékletben rögzített mértékben bírságot szabhat ki.

A kiszabható bírság ötvenezer forinttól ötmillió forintig terjedhet, amelyet a hatóság határozatának véglegessé válását követő nyolc napon belül kell befizetni a hatóság Magyar Államkincstárnál vezetett számlájára.

(6) Az (1)–(4) bekezdésben foglaltakon túlmenően az eljárás akadályozása, illetve az adatszolgáltatás nem vagy nem megfelelő teljesítése esetén a hatóság hárommillió forintig terjedő bírsággal sújthatja – ismételt jogsértés esetén sújtani köteles – a jogsértő vezető tisztségviselőjét is.

(7) A hatóság a jogkövetkezmények alkalmazása során jogszabályban meghatározottakon túl az alábbi szempontokat veszi figyelembe:

a) az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelménynek a biztonsági osztályba sorolás és biztonsági szint szerinti súlyát,

b) történt-e súlyos biztonsági esemény, vagy fennállt-e ilyen esemény bekövetkeztének veszélye,

c) a biztonsági esemény hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre,

d) az érintett szervezet magatartását, hatósággal való együttműködését és

e) az esemény egyedi, vagy ismételt jellegét.”

Fontos kiemelni a (6) bekezdést, mely alapján a szervezet vezetőjét (vezető tisztségviselőjét) is bírsággal sújthatja a Hatóság.

Bírságok mértéke

A fentiek a rendelet kihirdetését követő 16. napon lépnek hatályba (2019. január 13.).

Kérje ajánlatunkat információbiztonsági felelős feladatainak ellátására a bírság elkerülése érdekében!

Hatósági szankciók

150 150 facsa_Csabagorog

Az Ibtv. 16.§ (3) bekezdése alapján a Hatóságnak lehetősége van szankciók alkalmazására, abban az esetben, hogy ha az Ibtv. hatálya alá tartozó szervezetek nem teljesítik a jogszabályban megfogalmazott követelményeket vagy ha nem működnek együtt a Hatósággal.

A szankciók a következők lehetnek:

  • Hatósági felszólítás
  • A szervezetet felügyelő szerv bevonása a követelmények teljesítése érdekében
  • Információbiztonsági felügyelő kirendelése

Adminisztratív védelmi intézkedések

150 150 facsa_Csabagorog

A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete.

Ennek alapján az önkormányzatoknak – a 2-es biztonsági szintet feltételezve – a következő adminisztratív védelmi intézkedéseket kell végrehajtaniuk:

III. 1. ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK

 SZERVEZETI SZINTŰ ALAP FELADATOK (AL)

AL 1. Informatikai biztonságpolitika

Az érintett szervezet:

a) megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonságpolitikát;

b) belső szabályzóban, vagy magában az informatikai biztonságpolitikáról szóló dokumentumban meghatározza a biztonságpolitika felülvizsgálatának és frissítésének gyakorisággát.

Elvárás:

1. meg kell határozni azokat az okokat, melyeknél fogva a kiberbiztonság fontos a szervezet számára, így különösen a biztonsági célok meghatározása, az informatikai biztonságpolitikai szervezeti szempontú alapelveinek bemutatása;

2. be kell mutatni az érintett szervezet vezetői beosztású tagjainak elkötelezettségét a biztonsági feladatok irányítására és támogatására;

3. ki kell fejteni az érintett szervezetben alkalmazott biztonsági alapelveket és megfelelőségi követelményeket;

AL 2. Informatikai biztonsági stratégia

Az érintett szervezet:

a) megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági stratégiát, amely kifejti az informatikai biztonságpolitikában biztonsági célok megvalósításának módszerét, eszközrendszerét, ütemezését;

b) belső szabályzóban, vagy magában az informatikai biztonsági stratégiáról szóló dokumentumban meghatározza a biztonsági stratégia felülvizsgálatának és frissítésének gyakoriságát;

c) gondoskodik arról, hogy az informatikai biztonsági stratégia jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

Elvárás:

1. A stratégia rövid, közép és hosszú távú célokat tűz ki.

2. A stratégia illeszkedik az érintett szervezet más stratégiáihoz (így különösen a költségvetési és humánerőforrás tervezéshez, tevékenységi kör változáshoz, fejlesztéshez), jövőképéhez.

 AL 3 Informatikai biztonsági szabályzat

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az informatikai biztonsági szabályzatot;

b) belső szabályzóban, vagy magában az informatikai biztonsági szabályzatról szóló dokumentumban meghatározza az informatikai biztonsági szabályzat felülvizsgálatának és frissítésének gyakoriságát;

c) gondoskodik arról, hogy az informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

Elvárás:

1. az informatikai biztonsági szabályzatban meg kell határozni a

– célokat, a szabályzat tárgyi és személyi (a szervezet jellegétől függően esetleg területi) hatályát,

– az elektronikus információbiztonsággal kapcsolatos szerepköröket,

– a szerepkörhöz rendelt tevékenységet,

– a tevékenységhez kapcsolódó felelősséget,

– az információbiztonság szervezetrendszerének belső, illetve szervezet egészének együttműködését;

2. az informatikai biztonsági szabályzat a következő elektronikus információs rendszerbiztonsággal kapcsolatos területeket szabályozza akár külön függelékekben, akár egységes szerkezetben:

– kockázatelemzést (amely szorosan kapcsolódik a biztonsági osztályba és biztonsági szintbe soroláshoz),

– biztonsági helyzet-, és eseményértékelés eljárási rendjét,

– rendszer (ideértve ezek elemeit is) és információtechnológiai szolgáltatás beszerzést (amennyiben Az érintett szervezet ilyet végez, vagy végezhet),

– biztonsággal kapcsolatos tervezést (például: beszerzés, fejlesztés, eljárásrendek kialakítását),

– fizikai és környezeti védelem szabályait, jellemzőit,

– az emberi erőforrásokban rejlő veszélyek megakadályozását (pl.: személyzeti felvételi- és kilépési eljárás során követendő szabályok, munkavégzésre irányuló szerződésben a személyes kötelmek rögzítése, a felelősség érvényesítése, stb.)

– az informatikai biztonság tudatosítására irányuló tevékenységet és képzést, szervezet összes érintett tagja tekintetében,

– az érintett szervezetnél alkalmazott elektronikus információs rendszerek biztonsági beállításával kapcsolatos feladatokat, elvárásokat, jogokat (amennyiben a szervezetnél ez értelmezhető),

– üzlet, vagy üzemmenet folytonosság tervezését (így különösen a rendszerleállás során a kézi eljárásokra történő átállás, visszaállás az elektronikus rendszerre, adatok pótlása, stb.),

– az elektronikus információs rendszerek karbantartásának rendjét,

– az adathordozók fizikai és logikai védelmének szabályozását,

– az elektronikus információs rendszerhez való hozzáférés során követendő azonosítási és hitelesítési eljárást, illetve a hozzáférés szabályok betartásának ellenőrzését,

– amennyiben a szervezetnek erre lehetősége van, a rendszerek használatáról szóló rendszerbejegyzések értékelését, az értékelés eredményétől függő eljárások meghatározását,

– az adatok mentésének, archiválásának rendjét,

– a biztonsági események – ideértve az adatok sérülését is – bekövetkeztekor követendő eljárást, ideértve a helyreállítást is,

– az elektronikus információs rendszerhez jogosultsággal (vagy jogosultság nélkül fizikailag) hozzáférő, nem az érintett szervezet tagjainak tevékenységét (karbantartók, magán-, vagy polgári jogi szerződés alapján az érintett szervezet számára feladatokat végrehajtók), az informatikai biztonságot érintő, szerződéskötés során érvényesítendő követelményeket;

3. meghatározza a biztonsági szintjét, valamint a szervezet összes elektronikus információs rendszerének biztonsági osztályát.

AL 4. Az elektronikus információs rendszerek biztonságáért felelős személy

Az érintett szervezet vezetője az elektronikus információs rendszer biztonsági osztálya és a szervezet biztonsági szintje alapján előírt követelményeknek megfelelően az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg, aki:

a) azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági vezetővel;

b) ellátja a törvény Ibtv. 13 §-ban meghatározott feladatokat.

AL 5. Pénzügyi erőforrások biztosítása

Az érintett szervezet:

a) a költségvetés tervezés, és a beruházások, beszerzések során biztosítja az informatikai biztonsági stratégia megvalósításához szükséges forrásokat, illetve dokumentálja ezen követelmény alá eső kivételeket;

b) biztosítja a terveknek megfelelő kiadásokhoz szükséges erőforrások rendelkezésre állását.

Elvárás:

A pénzügyi erőforrások tervezése illeszkedik AL 2-höz.

AL 6. Cselekvési terv és mérföldkövei

Az érintett szervezet:

a) cselekvési tervet készít az informatikai biztonsági stratégia megvalósításához, ebben mérföldköveket határoz meg;

b) karbantartja a cselekvési tervet

Elvárás:

Felülvizsgálja és karbantartja a cselekvési tervet és mérföldköveit

1 a szervezet kockázatkezelési stratégiájának és a kockázatokra adott válasz tevékenységeknek az érintett szervezet belső prioritása alapján;

2. ha a szervezet az adott elektronikus információs rendszerére vonatkozó biztonsági osztály Ibtv. 8. § szerinti meghatározásánál hiányosságot állapít meg (ebben az esetben a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a hiányosság megszüntetésére koncentrálva);

3. ha a szervezet által meghatározott biztonsági szint alacsonyabb, mint az adott szervezetre az Ibtv. 9. § (2) bekezdésében előírt biztonsági szint (ebben az esetben a vizsgálatot követő 90 napon belül kell a felülvizsgálatot elkészíteni, a szervezet számára előírt biztonsági szint elérésére koncentrálva).

AL 7. Az elektronikus információs rendszerek nyilvántartása

Az érintett szervezet:

a) elektronikus információs rendszereiről nyilvántartást készít;

b) folyamatosan aktualizálja a nyilvántartást.

Elvárás:

1. a nyilvántartás minden rendszerre tartalmazza annak alap feladatait,

2. a rendszerek által biztosítandó szolgáltatásokat,

3. tartalmazza az érintett rendszerekhez tartozó licenc számot (amennyiben azok az érintett szerv kezelésében vannak),

4. a rendszer felett felügyeletet gyakorló személyazonosító és elérhetőségi adatait,

5. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek azonosító és elérhetőségi adatait.

AL 10. Kockázatkezelési stratégia

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a kockázatkezelési stratégiát;

b) következetesen alkalmazza a kockázatkezelési stratégiát Az érintett szervezet egészére;

c) belső szabályzóban, vagy magában a kockázatkezelési stratégiában szóló dokumentumban meghatározza a kockázatkezelési stratégia felülvizsgálatának és frissítésének gyakoriságát.

Elvárás:

1. a stratégia terjedjen ki Az érintett szervezetnél lehetséges kockázatok felmérésére,

2. a stratégia terjedjen ki a kockázatok kezelésének felelősségére,

3. a stratégia terjedjen ki a kockázatok kezelésének elvárt minőségére.

AL 11. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információbiztonsággal kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási folyamatokat;

b) irányítja és kezeli az elektronikus információs rendszer és környezet biztonsági állapotát;

c) egyértelműen meghatározza az információbiztonsággal összefüggő szerep- és felelősség köröket, kijelöli az ezeket betöltő személyeket;

d) integrálja az elektronikus információbiztonsággal engedélyezési folyamatokat Az érintett szervezeti szintű kockázatkezelési eljárásba, kapcsolatban az információbiztonsági szabályzattal.

Elvárás:

1. az elektronikus információbiztonsággal kapcsolatos engedélyezés terjedjen ki minden az érintett szerv hatókörébe tartozó emberi, fizikai és logikai erőforrásra,

2. terjedjen ki minden, a szervezet hatókörébe tartozó szintre és folyamatra.

KOCKÁZATELEMZÉS (KE)

KE 1.  Kockázatelemzési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és Az érintett szervezeten belül kihirdeti a kockázatelemzési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező kockázatelemzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) belső szabályzóban, vagy magában a kockázatelemzési eljárásrendről szóló dokumentumban meghatározza a kockázatelemzési eljárásrend felülvizsgálatának és frissítésének gyakoriságát.

KE 2. Biztonsági osztályba sorolás

Az érintett szervezet:

a) a jogszabályban meghatározott szempontok alapján megvizsgálja elektronikus információs rendszereit az azokról szóló AL 7. nyilvántartás alapján, és meghatározza, hogy azok a vizsgálat elvégzésekor melyik biztonsági osztálynak felelnek meg;

b) rögzíti a biztonsági osztályba sorolás eredményét a szervezet informatikai biztonsági szabályzatában;

c) vezetője jóváhagyja a biztonsági osztályba sorolást.

Elvárás:

1. a biztonsági osztályba sorolást az elektronikus információs rendszereket érintő változások után ismételten el kell végezni,

2. kapcsolódást kell biztosítani AL 6-hoz.

KE 3. Kockázatelemzés

Az érintett szervezet:

a) végrehajtja a biztonsági kockázatelemzéseket;

b) megállapítja a kockázatelemzések eredményét az informatikai biztonsági szabályzatban, kockázatelemzési jelentésben, vagy más a KE 1. szerint előírt dokumentumban;

c) a KE 1. szerinti felülvizsgálja a kockázatelemzések eredményét;

d) a KE 1., vagy AL 3. szerint megismerteti a kockázatelemzés eredményét az érintettekkel;

e) amikor jelentős változás áll be az elektronikus információs rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést hajt végre;

f) gondoskodik arról, hogy a kockázatelemzési eredmények jogosulatlanok számára ne legyenek megismerhetők.

TERVEZÉS (TE)

TE 1. Biztonságtervezési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül a munka- és feladatkörük miatt érintettek számára kihirdeti a biztonságtervezési eljárásrendet, mely a szervezet informatikai biztonsági szabályzatának részét képező biztonságtervezési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a biztonságtervezési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságtervezési eljárásrendet.

TE 2. Rendszerbiztonsági terv

Az érintett szervezet, amennyiben az elektronikus információs rendszer tervezése hatókörébe tartozik:

a) az elektronikus információs rendszerhez rendszerbiztonsági tervet készít, amely:

1. összhangban áll a szervezeti felépítésével/szervezeti szintű architektúrájával (AL 9.),

2. meghatározza az elektronikus információs rendszer hatókörét, alap feladatait (biztosítandó szolgáltatásait), biztonságkritikus elemeit és alap funkcióit,

3. meghatározza elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztályát,

4. meghatározza az elektronikus információs rendszer működési körülményeit és más elektronikus információs rendszerrel való kapcsolatait,

5. a vonatkozó rendszerdokumentáció keretébe foglalja az elektronikus információs rendszer biztonsági követelményeit,

6. meghatározza a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket és intézkedésbővítéseket, végrehajtja a jogszabály szerinti biztonsági feladatokat.

Elvárás:

b) gondoskodik arról, hogy a rendszerbiztonsági tervet az érintett szervezet által meghatározott személyi- és szerepkörök megismerje (ideértve annak változásait is);

c) belső szabályzóban, vagy a rendszerbiztonsági tervben meghatározott gyakorisággal felül kell vizsgálni az elektronikus információs rendszer rendszerbiztonsági tervét;

d) frissíteni kell a rendszerbiztonsági tervet az elektronikus információs rendszerben vagy annak üzemeltetési környezetében történt változások, illetve a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt problémák esetén;

e) elvégzi a TE 2. 1. pont szerintieket;

e) gondoskodik arról, hogy a rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, illetve módosítható.

TE 3. Személyi biztonság

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet (kapcsolat AL 3-al, és AL 11-el);

b) az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozat megtételére szólítja fel a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismert, saját felelősségére betartja;

c) meghatározott gyakorisággal felülvizsgálja és frissíti az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet a viselkedési szabályokat;

d) gondoskodik arról, hogy a c) pont szerinti változás esetén a hozzáféréssel rendelkezők tekintetében a b) pont szerinti eljárás megtörténjen;

e) meghatározza a szervezeten kívüli irányban megvalósuló követelményeket

RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS (RB)

Jelen címben meghatározott eljárásokat abban az esetben kell bevezetni az érintett szervezetnél, amennyiben saját hatókörében informatikai szolgáltatást, vagy eszközöket (ide nem értve a jellemzően kisebb egyedi értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, illetve azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, illetve az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket) nem szerez be, illetve nem végez, vagy végeztet rendszerfejlesztési tevékenységet. Nem kell a fejlesztések tekintetében előírt követelményeket alkalmazni, amennyiben azok a kereskedelmi forgalomban kapható szoftverek szolgáltatásainak kihasználásával jönnek létre.

RB 1. Beszerzési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a beszerzési eljárásrendet, mely a szervezet elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg (akár az általános beszerzési szabályzat részeként), és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a beszerzési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a beszerzési eljárásrendet.

RB 3.  A rendszer fejlesztési életciklusa

Az érintett szervezet:

a) elektronikus információs rendszereit a rendszer teljes életútjára tekintettel kezeli, amelynek minden életciklusában figyelemmel van az informatikai biztonságra;

b) a fejlesztési életciklus egészére meghatározza és dokumentálja az információ biztonsági szerepköröket és felelősségeket;

c) meghatározza, és a szervezetre érvényes szabályok szerint kijelöli az információ biztonsági szerepköröket betöltő, felelős személyeket.

Elvárás:

Egy rendszer életciklus szakaszait a következők szerint kell meghatározni:

1. követelmény meghatározás,

2. fejlesztés/beszerzés,

3. megvalósítás/értékelés,

4. üzemeltetés és fenntartás,

4. kivonás (archiválás, megsemmisítés).

RB 7. Külső elektronikus információs rendszerek szolgáltatásai

Az érintett szervezet:

a) szerződéses kötelezettségként követeli meg, hogy a külső – nem az érintett szervezet által üzemeltetett, hanem annak szolgáltatásait szerződés alapján igénybe vett – elektronikus információs rendszerek szolgáltatásai megfeleljenek a szervezet elektronikus információbiztonsági követelményeinek;

b) meghatározza és dokumentálja a szervezet felhasználóinak feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban;

c) folyamatosan ellenőrzi, hogy a külső elektronikus információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.

EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ – SZEMÉLY – BIZTONSÁG (SZ)

Minden, a személybiztonsággal kapcsolatos eljárás, vagy elvárás kiterjed az érintett szervezet teljes személyi állományára, valamint minden olyan természetes személyre, aki a szervezet elektronikus információs rendszereivel kapcsolatba kerül, vagy kerülhet.

Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az érintett szervezet tagja, a jelen fejezet felé irányuló elvárásait a tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell, mint kötelezettséget érvényesíteni (ideértve szabályzatok, eljárásrendek megismerése és betartására irányuló kötelezettségvállalást, titoktartási nyilatkozatot)

SZ 4. Eljárás jogviszony megszűnésekor

Az érintett szervezet:

a) belső szabályozásban meghatározott időpontban megszünteti a hozzáférési jogosultságot az elektronikus információs rendszerhez;

b) megszünteti, illetve visszaveszi a személy egyéni hitelesítő eszközeit;

c) tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről;

d) visszaveszi a szervezet elektronikus információs rendszerével kapcsolatos, tulajdonát képező összes eszközt;

e) megtartja a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti információkhoz;

f) a szervezet által meghatározott módon a jogviszony megszűnéséről értesíti a szervezet által meghatározott szerepköröket betöltő, feladatokat ellátó személyeket.

Elvárás:

1. a szervezet a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését megelőzően gondoskodik,

2. a jogviszony megszűnésekor fokozott figyelmet kell fordítani arra, hogy a jogviszonyt megszüntető személy esetleges káros tevékenysége megelőzhető legyen.

SZ 7. Fegyelmi intézkedések

Az érintett szervezet:

a) belső eljárási rendje szerint fegyelmi intézkedést kezdeményez az elektronikus információ biztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel szemben;

b) amennyiben az elektronikus információ biztonsági szabályokat nem a szervezet személyi állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott következményeket, megvizsgálja az egyéb jogi lépések fennállásának lehetőségét, szükség szerint bevezeti ezeket az eljárásokat.

TUDATOSSÁG ÉS KÉPZÉS (TK)

TK 1. Képzési eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti a képzési eljárásrendet, mely szervezet informatikai biztonsági szabályzatának részét képező képzési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a képzési eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a képzési eljárásrendet.

TK 2. Biztonság tudatosság képzés

Az érintett szervezet az alapvető biztonsági követelményekről tudatossági képzést nyújt az elektronikus információs rendszer felhasználói számára:

a) az új felhasználók kezdeti képzésének részeként;

b) amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;

c) ezen túlmenően a szervezet által meghatározott gyakorisággal.

Elvárás

A biztonság tudatossági képzés az érintett személyeket készítse fel a lehetséges belső fenyegetések felismerésére.

Módszertan

150 150 facsa_Csabagorog

Ezen az oldalon az általam alkalmazott módszertanról olvashat, mellyel felkészítem a szervezetét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény előírásaira.

  1. Helyzetfelmérés

Az adatok biztonsági osztályba sorolásához és a kockázatelemzéshez fel kell mérni a Hivatal informatikai és informatikai biztonsági rendszerét, valamint meg kell határozni az alkalmazott szakrendszereket.

Elkészülő dokumentum: A Hivatal informatikai biztonsági helyzetfelmérése

  1. Vagyonleltár

Annak érdekében, hogy valamennyi eszközhöz felelőst tudjuk rendelni, illetve meg tudjuk határozni a kockázatelemzéskor a rájuk ható fenyegetettségeket és gyenge pontokat a Hivatal informatikai erőforrásait kell foglalni a következő szempontok szerint:

  •  Környezeti infrastruktúra
  • Hardver
  • Szoftver
  • Adatok
  • Kommunikáció
  • Dokumentumok
  • Adathordozók
  • Humán erőforrások

Elkészülő dokumentum: A Hivatal vagyonleltára

  1. Adatok biztonsági osztályba sorolása

A Hivatal egyik legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, mely tartalmazza az informatikai rendszerekkel szemben támasztott védelmi igényt.

Valamennyi adatot egy előre felállított 5 fokozatú skálán biztonsági osztályba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás elvesztése vonatkozásában a Hivatalt ért kár szerint.

Elkészülő dokumentum: A Hivatal védelmi igénye

  1. Kockázatelemzés

Az egyes vagyonelemekre a biztonsági osztályba sorolás során megállapított biztonsági szinteket (kárértékeket) rá kell vetíteni. Ezután vagyonelem csoportonként meg kell vizsgálni, hogy azokat milyen fenyegetettségek érhetik, majd a helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait, azaz a sérülékenységeit.

Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét egy előre felállított skála szerint. Az informatikai biztonsági kockázatokat a kárérték és a bekövetkezés valószínűségének a szorzata fogja megadni.

A kockázatok minősítéséhez kockázati mátrixot kell definiálni, majd a kockázatok kezeléséhez egy tolerancia mátrixot, amely megmutatja, hogy melyek azok a kockázatok, amelyeket a Hivatal még elvisel és melyek azok, amelyeket mindenképpen kezelni kell.

Elkészülő dokumentum: A Hivatal kockázatelemzési dokumentuma táblázatos és szöveges formában is.

  1. Kockázatkezelő intézkedések elkészítése

Az el nem viselhető kockázatok kezelésére kockázatkezelési javaslatok készülnek, mely alapján a Hivatal intézkedési tervet tud készíteni az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével.

Elkészülő dokumentum: A Hivatal kockázatkezelési javaslatok dokumentuma táblázatos és szöveges formában is.

  1. Szabályozási környezet kialakítása

A tv. előírja, hogy minden szervezetnek rendelkeznie kell a következő dokumentumokkal:

  •  Informatikai Biztonsági Politika (IBP)

Az IBP célja, hogy egyrészt a Hivatal vezetése egyértelműen kifejezze szándékát az informatikai biztonság folyamatos szinten tartása érdekében, másrészt, hogy magas szinten meghatározza az informatikai biztonsággal szembeni elvárásait.

  • Informatikai Biztonsági Stratégia (IBS)

Az IBS az Informatikai Biztonsági Politikában megfogalmazott célok közép és hosszútávú megvalósítását írja le.

  •  Informatikai Biztonsági Szabályzat

A Hivatal legfontosabb informatikai biztonsággal kapcsolatos dokumentuma, amely a konkrét megvalósítást, szabályozást tartalmazza.

Azonnali feladat

150 150 facsa_Csabagorog

Az Ibtv. 11. § (1) bekezdésének c) pontja értelmében a szervezet vezetőjének

2013. augusztus 31-ig

ki kell jelölnie egy az

elektronikus információs rendszerek biztonságáért felelős személyt,

aki rendelkezik az Ibtv. 13. § (8)-(10) bekezdésében meghatározott felsőfokú végzettséggel, szakképzettséggel és 5 év szakmai gyakorlattal.

Tekintettel arra, hogy nem minden önkormányzat engedheti meg magának, hogy főállásban egy ilyen szakembert alkalmazzon (kisebb önkormányzatoknál nem is érdemes),

jutányos áron vállalom, hogy ellátom önkormányzatánál az elektronikus információs rendszerek biztonságáért felelős személy feladatait.

Misák István

egyéni vállalkozó

Ibtv. végrehajtási rendeletei

150 150 facsa_Csabagorog

Ibtv. végrehajtási rendeletei

  1. Az Ibtv. előírásainak betartását a Nemzeti Elektronikus Információbiztonsági Hatóság fogja ellenőrizni, melynek feladat-és hatáskörét a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló a 301/2013. (VII. 29.) Korm. rendelet határozza meg.
  2.  Az informatikai rendszerekben bekövetkezett informatikai biztonsági események kezelését az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló a 233/2013. (VI. 30.) Korm. rendelet alapján a Nemzetbiztonsági Szakszolgálat végzi.
  3.  Az elektronikus információs rendszerek biztonsági osztályba sorolásának és a szervezet biztonsági szintbe sorolásának módszertanát, illetve a biztonsági szinteknek és biztonsági osztályoknak megfelelő adminisztratív, fizikai és logikai védelmi intézkedések katalógusát az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet tartalmazza.
  4.  Az elektronikus információs rendszerek biztonságáért felelős személyeknek, a szervezet vezetőinek és az elektronikus információs rendszerek biztonságával összefüggő feladatok ellátásában részt vevő személyek képzési és továbbképzési követelményeit az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet szabályozza.
  5.  A Nemzeti Elektronikus Információbiztonsági Hatóság részére történő adatszolgáltatás módjait az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről szóló 73/2013. (XII. 4.) NFM rendelet írja le.

Cikkek

150 150 facsa_Csabagorog

Az elmúlt időszakban írtam néhány cikket több közigazgatási portál részére. Jó olvasást kívánok!

Jogiforum.hu

Magyarpolgarmester.hu

Jegyzo.hu

Javaslatok az azonnali feladatok kezelésére!!!

150 150 facsa_Csabagorog

A tapasztalataim alapján nem minden önkormányzat tud főállásban a törvényben előírt felsőfokú szakképzettséggel és szakirányú végzettséggel rendelkező elektronikus információs rendszerek biztonságáért felelős személy alkalmazni, ezért egy előre megállapodott óraszámban vállalom ezen feladatok elvégzését (A jogszabályok lehetőséget adnak a feladatok kiszervezésére).

Vállalom továbbá, hogy a törvény adta 90 napon belül aktualizálom az önkormányzata Informatikai Biztonsági Szabályzatát a törvénynek és a vonatkozó szabványoknak megfelelően, így már olyan IBSZ küldhető meg a hatóságnak, amely megfelel a törvényi előírásoknak.

Kockázatelemzés

150 150 facsa_Csabagorog

A kockázatelemzés törvény szerinti fogalma a következő: az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak),
fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése.

  • 1
  • 2