Fontos jogszabályok

41/2015. BM rendelet – új technológiai vhr

150 150 facsa_Csabagorog

41/2015. BM rendeletAz információbiztonsági törvény módosításával együtt hatályon kívül helyezték a korábbi technológiai végrehajtási rendeletet hatályba lépett a 41/2015. BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről.

Szervezetek biztonsági szintbe sorolása

Fontos megemlíteni, hogy megváltozott a szervezetek biztonsági szintbe sorolásának a módja.

A törvény alapján valamennyi hatálya alá tartozó szervezetnek biztonsági szintbe kell sorolnia szervezetét és a megállapított biztonsági szinttől függően kontrollfolyamatokat kell kialakítania.

A korábbiakban az Ibtv. definiálta az egyes szervezetek minimális biztonsági szintjét, valamint azt, hogy legalább a legmagasabb biztonsági osztályba sorolt elektronikus információs rendszerével azonos biztonsági szinttel kellett, hogy megegyezzen.

A módosítást követően a fenti módszertant megszüntették, mostantól az elektronikus információs rendszerek felhasználásának a módja határozza meg egy szervezet biztonsági szintjét.

Változás továbbá, hogy a 41/2015. BM rendelet szerint nem csak a szervezetet, hanem a következő szervezeti egységeket is biztonsági szintbe kell sorolni:

Az elektronikus információs rendszer

a) fejlesztését végző,

b) üzemeltetését végző,

c) üzemeltetéséért felelős vagy

d) információbiztonságáért felelős szervezeti egységek.

A besorolási útmutatót a 41/2015. BM rendelt 2. sz. melléklete tartalmazza.

Ennek alapján 2-es a biztonsági szintje a szervezetnek, amely személyes adatokat kezel, és a szervezet jogszabály alapján kijelölt szolgáltatót vesz igénybe.

Jogszabály alapján kijelölt szolgáltató lehet a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet alapján a Nemzeti Infokommunikációs Szolgáltató Zrt. (továbbiakban: NISZ) vagy az önkormányzati ASP központról és a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet módosításáról szóló 62/2015. (III. 24.) Korm. rendelet alapján szintén a NISZ, illetve a Magyar Államkincstár.

3-as a biztonsági szintje annak a szervezetnek, amely a szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt. A szervezet kritikus adatot, nem minősített, de nem közérdekű, vagy közérdekből nyilvános adatot kezel, központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek vagy zárt célú elektronikus információs rendszer felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.

Az Ibtv. alapján kritikus adat: az Infotv. szerinti személyes adat, különleges adat vagy valamely jogszabállyal védett adat.

Az Info tv. szerint különleges adat

a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat,

b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;

Jogszabály által védett adat lehet az adótitok, az üzleti titok, a orvosi, ügyvédi, biztosítási, banktitok stb.

4-es a szervezet biztonsági szintje, ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet, vagy fejleszt.

Az Ibtv. alapján zártcélú elektronikus információs rendszer a nemzetbiztonsági, honvédelmi, rendészeti, diplomáciai információs feladatok ellátását biztosító, rendeltetése szerint elkülönült elektronikus információs rendszer, amely kizárólagosan a speciális igények kielégítését, az e célra létrehozott szervezet és technika működését szolgálja.

5-ös biztonsági szintbe kell sorolni azokat a szervezeteket, amelyek a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.

Az európai létfontosságú rendszerelemekkel és a nemzeti létfontosságú rendszerelemekkel a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény foglalkozik.

Az új módszertan alapján javasolt minden szervezet részére a biztonsági szintjének felülvizsgálata, mivel más szempontrendszer alapján végzett vizsgálat vélhetően más eredményt ad.

A kapott biztonsági szint alapján kell a 41/2015. BM rendelet alapján a szervezetnek kontrollfolyamatokat kell kialakítania.

Kérésére elvégezzük a 41/2015. BM rendelet szerint a szervezete biztonsági szintbe sorolását és az elektronikus információs rendszereinek biztonsági osztályba sorolását.

Kérje ajánlatunkat online…

jegyzők kötelezettségei

150 150 facsa_Csabagorog

Az információbiztonsági törvény alapján a jegyzők kötelezettségei a következők:

(1) A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről a következők szerint:

a) biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály tekintetében a jogszabályban

meghatározott követelmények teljesülését,

b) biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban meghatározott

követelmények teljesülését,

c) az elektronikus információs rendszer biztonsági osztálya és a szervezet biztonsági szintje alapján előírt

követelményeknek megfelelően az elektronikus információs rendszer biztonságáért felelős személyt nevez ki

vagy bíz meg, aki azonos lehet a minősített adat védelméről szóló 2009. évi CLV. törvény szerinti biztonsági

vezetővel,

d) kiadja a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonságpolitikáját,

e) meghatározza a szervezet elektronikus információs rendszereinek informatikai biztonsági stratégiáját,

f ) meghatározza a szervezet elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez

szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,

g) gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról,

h) rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén meggyőződik arról, hogy a szervezet elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak,

i) gondoskodik az elektronikus információs rendszer eseményeinek nyomon követhetőségéről,

j) biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról, és ezt követően a biztonsági események kezeléséről,

k) ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek,  ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként teljesüljenek,

m) felelős az érintetteknek a biztonsági eseményekről és a lehetséges fenyegetésekről történő haladéktalan

tájékoztatásáért,

n) megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.

Vonatkozó jogszabályok

150 150 facsa_Csabagorog
  •  A 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
  • 2001. évi XXXV. törvény az elektronikus aláírásról
  • 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól
  • 83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról
  • 84/2012. (IV. 21.) Korm. rendelet egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről
  • 85/2012. (IV. 21.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól
  •  77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről (továbbiakban: technológiai vhr)
  • 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről
  • 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
  • 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról

Fizikai védelmi intézkedések

150 150 facsa_Csabagorog

A Kormány honlapján megjelent a részletes adminisztratív, fizikai és logikai védelmi intézkedéseket tartalmazó végrehajtási rendelet tervezete.

Ennek alapján az önkormányzatoknak – a 2-es biztonsági szintet feltételezve – szervezeti szinten a következő fizikai védelmi intézkedéseket kell végrehajtaniuk:

III. 2. FIZIKAI VÉDELMI INTÉZKEDÉSEK

FIZIKAI ÉS KÖRNYEZETI VÉDELEM (FK)

Jelen fejezet alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz-, és személyvédelmi rendelkezésekre.

Jelen rendelkezések az adott létesítmény szabadon látogatható, vagy igénybe vehető területeire nem vonatkoznak.

FK 1. Fizikai védelmi eljárásrend

Az érintett szervezet:

a) megfogalmazza, a szervezetre érvényes követelmények szerint dokumentálja, és a szervezeten belül kihirdeti az elektronikus információs rendszerek szempontjából érintett létesítményekre és/vagy helyiségekre érvényes fizikai védelmi eljárásrendet, amely szervezet informatikai biztonsági, vagy egyéb szabályzatának részét képező fizikai védelmi szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő;

b) a fizikai védelmi eljárásrendben, vagy más belső szabályzóban meghatározott gyakorisággal felülvizsgálja és frissíti a fizikai védelmi eljárásrendet.

FK 2. Fizikai belépési engedélyek

Az érintett szervezet:

a) összeállítja, jóváhagyja és kezeli azon személyek listáját, akik jogosultak belépni az elektronikus információs rendszereket tartalmazó létesítményekbe;

b) belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens kártyák) bocsát ki a belépéshez a belépni szándékozó részére;

c) rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;

d) eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése már nem indokolt;

e) intézkedik a b) pont szerinti dokumentum visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.

FK 3. A fizikai belépés ellenőrzése

Az érintett szervezet:

a) biztosítja az engedélyesek számára a fizikai belépést, kizárólag a szervezet által meghatározott be-, illetve kilépési pontokon;

b) naplózza a fizikai belépéseket;

c) ellenőrzés alatt tartja a létesítményen belüli, nyilvánosan elérhető helyiségeket;

d) kíséri a látogatókat és figyelemmel követi a tevékenységüket;

e) megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;

f) nyilvántartást vezet a fizikai belépést ellenőrző eszközről;

g) szervezet által meghatározott gyakorisággal változtatja meg a hozzáférési kódokat és kulcsokat, illetve azonnal, ha a kulcs elveszik, a hozzáférési kód kompromittálódik, vagy az adott személyt elveszti a belépési jogosultságát.

Elvárás:

1. az egyéni belépési engedélyeket a belépési pontokon ellenőrizni kell,

2. a kijelölt pontokon való átjutást felügyelni kell a szervezet által meghatározott fizikai belépést ellenőrző rendszerrel, vagy eszközzel,

3. fel kell hívni a szervezet tagjainak figyelmét a rendellenességek jelentésére.

Info tv. (2011. évi CXII.)

150 150 facsa_Csabagorog

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

A tv. 7. §-a foglalkozik a személyes adatokat kezelő informatikai rendszerek informatikai biztonsági követelményeivel. Ez szerint

7. § (1) Az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az e törvény és az adatkezelésre vonatkozó más szabályok alkalmazása során biztosítsa az érintettek magánszférájának védelmét.

(2) Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(3) Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

(4) A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében megfelelő technikai megoldással biztosítani kell, hogy a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

(5) A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja

a) a jogosulatlan adatbevitel megakadályozását;

b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;

c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy továbbíthatják;

d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;

e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és

f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.

(6) Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

Végrehajtási rendeletek

150 150 facsa_Csabagorog

Az információbiztonsági törvény felhatalmazta a Kormányt, hogy rendeletben meghatározza

a) a hatóság feladatának részletes szabályait, a hatósági ellenőrzés lefolytatásának részletes eljárási szabályait,
b) a hatóság által kiszabható bírság mértékét, a bírság kiszabásának és befizetésének részletes eljárási szabályait,
c) az információbiztonsági felügyelő kirendelésének szabályait, feladatkörét és eljárásának rendjét,
d) a Nemzeti Biztonsági Felügyelet szakhatósági feladat- és hatáskörét,
e) a kormányzati eseménykezelő központ és az ágazati eseménykezelő központok feladat- és hatáskörét, és
f ) a 21. § szerinti Tanács, Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével
kapcsolatos szabályokat, feladat- és hatáskörüket.

Felhatalmazást kapott továbbá

az informatikáért felelős miniszter, hogy az e-közigazgatásért felelős miniszterrel és a minősített adatok
védelmének szakmai felügyeletéért felelős miniszterrel egyetértésben meghatározza az 5. § és 6. §-ban
előírt technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre vonatkozó
követelményeket, továbbá a 7–8. § szerinti biztonsági osztályba sorolás és a szervezetek 9–10. § szerinti
biztonsági szintbe sorolásának követelményeit,
b) a közigazgatás-fejlesztésért felelős miniszter, hogy az informatikáért felelős miniszterrel egyetértésben
az e törvényben meghatározott vezetői, az elektronikus információs rendszer biztonságáért felelős személyek
képzésének és továbbképzésének tartalmát,
c) az informatikáért felelős miniszter, hogy a szervezetek hatósági nyilvántartásba vételének, a biztonsági
események jelentésének és közzétételének rendjét rendeletben határozza meg.