Korábbi cikkeimben már ismertettem az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) által előírt feladatokat. Jelenlegi cikkemben ismételten fel szeretném hívni a Kedves Olvasó figyelmét a még ez évi határidős feladatokra, illetve a közeljövőben teljesítendő előírásokra, melyek közül néhányat részletesen be is mutatok.
Az Ibtv. 7. §-ának (1) bekezdése alapján - legkésőbb 2014. július 1-jéig - valamennyi érintett szervezetnek el kellett végeznie az elektronikus információs rendszereinek biztonsági osztályba sorolását.
Az Ibtv. 8. §-ának (4) bekezdése előírja, hogy meg kell vizsgálni a biztonsági osztályba sorolt elektronikus információs rendszereket, hogy jelenleg mely biztonsági osztály előírásainak felelnek meg, majd az (5) bekezdés alapján 90 napon belül cselekvési tervet kell készíteni a hiányosságok pótlására.
A vizsgálatot és a cselekvési tervet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben (továbbiakban: technológiai vhr.) foglalt követelmények alapján kell elvégezni, illetve elkészíteni.
Az elektronikus információs rendszerekre logikai védelmi intézkedések vonatkoznak, tehát a vizsgálat, a hiányosságok kimutatása és a cselekvési terv elkészítése az adott elektronikus információs rendszer meglévő logikai védelmi intézkedéseinek az értékelését jelenti, összevetve az elvárt (a biztonsági osztályba sorolás során meghatározott) biztonsági osztályra előírt technológiai vhr.-ben rögzített követelményekkel.
Hasonlóképpen kell eljárni a szervezet biztonsági szintbe sorolásánál is, azzal a különbséggel, hogy ebben az esetben nem logikai, hanem adminisztratív és fizikai védelmi intézkedéseket kell értékelni.
A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet 9. §-ának (2) bekezdése alapján a cselekvési terveket meg kell küldeni a Nemzeti Elektronikus Információbiztonsági Hatóság részére.
Ebben a fejezetben az Ibtv. által nyújtott felkészülési időket szeretném megismertetni a Kedves Olvasóval.
A szervezet elvárt biztonsági szintjének elérésére biztosított felkészülési idő:
Az Ibtv. 10. §-ának (3) bekezdése előírja, hogy amennyiben a szervezet jelenlegi biztonsági szintje nem éri el az 1-es biztonsági szintet, akkor 1 éven belül fel kell készülni az 1-es biztonsági szintre előírt követelményekre.
A további (2, 3, 4, 5) biztonsági szintek elérésére 2-2 év áll a rendelkezésre.
Tehát, hogyha egy önkormányzati hivatal 3-as biztonsági szintbe sorolta magát, akkor a 3-as biztonsági szintre előírt adminisztratív és fizikai védelmi intézkedéseket legkésőbb 2019. július 1-jéig kell megvalósítani úgy, hogy közben 2015. július 1-jéig teljesíti az 1-es, 2017. július 1-jéig pedig teljesíti a 2-es biztonsági szintre előírt adminisztratív és fizikai védelmi intézkedéseket.
Az elektronikus információs rendszerek elvárt biztonsági osztályainak elérésére rendelkezésre álló felkészülési idő:
Az Ibtv. 8. §-ának (3) bekezdése alapján amennyiben az adott elektronikus információs rendszer nem éri el az elvárt biztonsági osztályát, akkor biztonsági osztályonként 2-2 év áll a rendelkezésre a reá irányadó logikai védelmi intézkedések megvalósítására.
Az elektronikus információs rendszerekre 2-es biztonsági osztálytól kezdve vonatkoznak követelmények, tehát egy 2-es biztonsági osztályba sorolt elektronikus információs rendszert 2016. július 1-jéig kell felkészíteni a reá irányadó logikai védelmi intézkedésekre.
A szervezetek biztonsági szintjére vonatkozóan elmondható, hogy amíg az adminisztratív védelmi intézkedések a technológiai vhr.-ben már 1-es biztonsági szinttől megjelennek, a fizikai védelmi intézkedések csak 2-es biztonsági szinttől kezdve kötelezők.
Ennek alapján 2015-ben - a szervezetre előírt fizikai és a logikai védelmi intézkedésekre történő folyamatos felkészülés mellett - elsősorban az 1-es szintre előírt adminisztratív védelmi intézésekre célszerű fókuszálni (amennyiben azt a korábbi vizsgálat alapján nem éri el).
A következő táblázatban összefoglaltam a technológiai vhr. által az 1-es biztonsági szintre előírt adminisztratív védelmi intézkedéseket:
- 25/26 -
| Technológiai vhr. sorszám | Követelmény megnevezése | Határidő |
| 3.1.1. | Szervezeti szintű alapfeladatok | 2015. július 1. |
| 3.1.1.1. | Informatikai biztonságpolitika | 2015. július 1. |
| 3.1.1.2. | Informatikai biztonsági stratégia | 2015. július 1. |
| 3.1.1.3. | Informatikai biztonsági szabályzat | 2014. január 3. |
| 3.1.1.4. | Az elektronikus információs rendszerek biztonságáért felelős személy | 2014. január 3. |
| 3.1.1.7. | Az elektronikus információs rendszerek nyilvántartása | 2015. július 1. |
| 3.1.1.11. | Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás | 2015. július 1. |
| 3.1.2. | Kockázatelemzés | 2015. július 1. |
| 3.1.2.1. | Kockázatelemzési eljárásrend | 2015. július 1. |
| 3.1.2.2. | Biztonsági osztályba sorolás | 2014. július 1. |
| 3.1.2.3. | Kockázatelemzés | 2015. július 1. |
| 3.1.6. | Emberi tényezőket figyelembe vevő - személy - biztonság | 2015. július 1. |
| 3.1.6.5. | Eljárás a jogviszony megszűnésekor | 2015. július 1. |
| 3.1.6.8. | Fegyelmi intézkedések | 2015. július 1. |
| 3.1.7. | Tudatosság és képzés | 2015. július 1. |
| 3.1.7.1. | Képzési eljárásrend | 2015. július 1. |
| 3.1.7.2. | Biztonság tudatosság képzés | 2015. július 1. |
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
