neih.gov.hu/biztonsagi-osztaly-kovetelmenyei oldalon tekintheti meg.

 

A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.

">

Biztonsági osztályba sorolás alapján kötelező védelmi intézkedések nyilvántartásba vétele (NEIH)

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-osztaly-kovetelmenyei oldalon tekintheti meg.

 

A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.

Kulcsszavak: biztonsági osztály, védelmi intézkedés

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-osztaly-kovetelmenyei oldalon tekintheti meg.

 

A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének c) pontja által együttesen kijelölt eljárásban történik.

Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.

A szervezetnek a 41/2015. (VII. 13.) BM rendelet 3. melléklete alapján fel kell térképeznie, hogy a biztonsági osztályba sorolás eredménye alapján egy adott EIR-ben milyen védelmi intézkedéseket kell megvalósítania e rendelet 4. mellékletében, a 3. pontban található védelmi intézkedés katalógusból. Amint a NEIH-BOS űrlapon kiszámításra került az EIR biztonsági osztályának három tényezője, az átvezethető a NEIH-BOÁF űrlapra, mely ezután a 3.1.1. fültől kezdődően minden lapfülön automatikusan színnel jelzi a kötelező intézkedéseket.

A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-BOÁF űrlapjára felvezeti.

Ha a szervezet az EIR védelmének biztosításához külső adatkezelőt vesz igénybe, az Ibtv. 11. § (3) bekezdése szerinti szerződésben mindkét fél által vállalt intézkedéseket rögzíteni kell. Az adatkezelők önállóan is eljárás alá vonhatók!

A szervezetnek a 3.1.1.-3.3.13. lapfüleken a "Megvalósult-e" oszlopban "Igen" és "Nem" válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Ha az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő az Ibtv. 11. § (1) bekezdés k)-l) pontja vagy a (3) bekezdés szerint átvállalta, az adott sor „Közreműködő” oszlopában az intézkedés megvalósításáért felelős jogalanyt azonosítani kell.

A fenti adatokat minden EIR-re külön NEIH-BOÁF űrlapon kell kitölteni.

A NEIH-BOÁF űrlapon a fentieken túl az alábbi adatokat kell megadni:

A küldemény a Nemzeti Elektronikus Információbiztonsági Hatóság 313910359 KRID számú hivatali kapujára érkezik.

Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.

Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.

Határozatban elrendelt sérülékenység-vizsgálat elmulasztása esetén költségvetési szerv is bírságolható.

Ügyfél adatszolgáltatásának határideje:

2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági osztályba soroláshoz kötődően megtett védelmi intézkedések bejelentési határideje: 2014. július 1.

2013. július 1-jén működő EIR-ben az 1. biztonsági osztálynak megfelelő védelmet 2016. július 1-ig kell megvalósítani. Minden további biztonsági osztályhoz tartozó követelmények teljesítésére (ha azt a biztonsági osztály indokolja) további 2-2 év áll rendelkezésre.

Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági osztályba soroláshoz kötődően megtett védelmi intézkedéseket. Innentől számítva az 1. biztonsági osztály, és minden további biztonsági osztály követelményeinek teljesítésére 2-2 év áll rendelkezésre

Ha valamely EIR védelme a korábban benyújtott állapotfelméréshez képest egy újabb biztonsági osztálynak megfelelt, az így kapott NEIH-BOÁF űrlapokat a változást követő 8 napon belül kell bejelenteni.

2013. július 1-jét követően indult informatikai fejlesztési projekt során az újonnan fejlesztendő / továbbfejlesztendő elektronikus információs rendszer biztonsági osztályba sorolását még a tervezési szakaszban el kell végezni / felül kell vizsgálni, és a biztonsági osztály alapján kötelező információbiztonsági követelményeket az üzemeltetés megkezdése előtt maradéktalanul teljesíteni kell.

Hatóság ügyintézési határideje:

Sommás eljárás esetén: az eljárás megindulását követő 8. nap.

Teljes eljárás esetén: az eljárás megindulását követő 30. nap.

Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.

NEIH-BOÁF űrlap

NEIH-BOS űrlap

A tájékoztatóban hivatkozott űrlapok jelenleg nem elérhetők, kialakítás alatt vannak.

Az eljárás illetékmentes.

Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információvédelmi Hatóság

Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)

A hatóság lefolytatja az alábbi kapcsolódó eljárást: biztonsági osztályba sorolás nyilvántartásba vétele.

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről

38/2011. (III. 22.) Korm. rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

2016. évi L. törvény az általános közigazgatási rendtartásról

2017. évi I. törvény a közigazgatási perrendtartásról

1990. évi XCIII. törvény az illetékekről

elektronikus információs rendszer: az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese

elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos;

adminisztratív védelem: a védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések, továbbá a védelemre vonatkozó oktatás

fizikai védelem: a fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett zavarvédelem, klimatizálás és a tűzvédelem

logikai védelem: az elektronikus információs rendszerben információtechnológiai eszközökkel és eljárásokkal (programokkal, protokollokkal) kialakított védelem

folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem

kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével

teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem

zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem

adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja

adatfeldolgozó: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi

üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi és a működésért felelős

Array

NEIH