neih.gov.hu/osztalyba-sorolas oldalon tekintheti meg.

A biztonsági osztályba sorolás nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének b) pontja által együttesen kijelölt eljárásban történik.

">

Biztonsági osztályba sorolás nyilvántartásba vétele (NEIH)

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/osztalyba-sorolas oldalon tekintheti meg.

A biztonsági osztályba sorolás nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének b) pontja által együttesen kijelölt eljárásban történik.

Kulcsszavak: biztonsági osztály

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/osztalyba-sorolas oldalon tekintheti meg.

A biztonsági osztályba sorolás nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének b) pontja által együttesen kijelölt eljárásban történik.

Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.

Az elektronikus információs rendszereket (a továbbiakban: EIR) az Ibtv. 1. § (3) bekezdése szerint adatkezelési célok mentén kell elhatárolni egymástól. Egy EIR az adatkezelési célját kiszolgáló rendszerelemek (személyek, eszközök, módszerek és szabályozási elemek) összességéből áll. Különböző EIR-eknek lehetnek közös rendszerelemeik, ezeket az ily módon rájuk értelmezhető legmagasabb kockázatnak megfelelően kell védeni.

Az EIR-ek biztonsági osztályba sorolásához a 41/2015. (VII. 15.) BM rendelet 1. melléklete szerinti módszertannak megfelelő információbiztonsági kockázatelemzést kell végezni, ahol a kockázatgazda az ügyfél szervezet vezetője, vagy az Ibtv. 9. § (2) bekezdése szerinti szervezeti egység vezetője. Az 1. melléklet lehetőséget ad más módszertan alkalmazására, ez azonban a biztonsági osztályba sorolás eredményének formátumát nem befolyásolhatja.

A kockázatelemzést alapján meghatározásra kerül az EIR bizalmassága, sértetlensége és rendelkezésre állása. Maga a biztonsági osztály a "high water mark" elvén a bizalmasság, sértetlenség és rendelkezésre állás értékének maximuma.

A 187/2015. (VII. 13.) Korm. rendelet 11. § (4) bekezdése miatt a kockázatelemzést az ügyfél szervezetnek akkor is el kell végeznie, ha az érintett EIR-t központosított informatikai vagy hírközlési szolgáltatótól igénybe vett szolgáltatás keretében használja.

A szervezet minden EIR-re külön NEIH-BOS űrlapot tölt ki az alábbi adatokkal, majd az űrlapot a Személyre Szabott Ügyintézési Felületen benyújtja.

Az alapértelmezett kockázatelemzési módszertan használata esetén a NEIH-BOS űrlapon automatikusan kiszámításra kerül a biztonsági osztály három tényezője. Az alapértelmezettől eltérő kockázatelemzési módszertant önálló dokumentumként csatolni kell a NEIH-BOS űrlaphoz: ilyenkor az eredményül kapott biztonsági osztály három tényezője kézzel rögzíthető a NEIH-BOS űrlapon.

A NEIH-BOS űrlapon a fentieken túl az alábbi adatokat kell megadni:

Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.

Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.

Határozatban elrendelt sérülékenység-vizsgálat elmulasztása esetén költségvetési szerv is bírságolható.

Ügyfél adatszolgáltatásának határideje:

2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági osztályba sorolás bejelentési határideje: 2014. július 1.

Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági osztályba sorolás eredményét.

Az EIR-ek biztonsági osztályait az első megállapítást követően 3 évenként felül kell vizsgálni.

Ha valamely EIR biztonsági osztálya megváltozik, vagy felülvizsgálat helybenhagyja, az így kapott NEIH-BOS űrlapokat a változást követő 8 napon belül kell bejelenteni.

Hatóság ügyintézési határideje:

Sommás eljárás esetén: az eljárás megindulását követő 8. nap.

Teljes eljárás esetén: az eljárás megindulását követő 30. nap.

Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.

Kockázatelemzési dokumentáció (ha a szervezet az alapértelmezettől eltérő kockázatelemzési módszertant használt).

Az eljárás illetékmentes.

Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információbiztonsági Hatóság

Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)

 

Felülvizsgálat keretében az adott EIR-re korábban megállapítottnál alacsonyabb biztonsági osztály nyilvántartásba vételét a hatóság csak akkor végzi el, ha az alapértelmezettől eltérő kockázatelemzésre épül, valamint a kapcsolódó információbiztonsági fenyegetések csökkenését az érintett szervezet hitelt érdemlően alátámasztja.

NEIH-BOS űrlap

A tájékoztatóban hivatkozott űrlap jelenleg nem elérhető, kialakítás alatt van.

 

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről

2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

2016. évi L. törvény az általános közigazgatási rendtartásról

2017. évi I. törvény a közigazgatási perrendtartásról

1990. évi XCIII. törvény az illetékekről

személyes adat: az érintettre vonatkozó bármely információ

különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok

elektronikus információs rendszer: az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese

kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye

kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése

bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról

rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek

sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható

biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége

biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása

adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik

Array

NEIH