Jelenlegi hely

Gyakran ismételt kérdések

Mi a feladata az elektronikus információs rendszerek biztonságáért felelős személynek?

  1. Elkészíti és naprakészen tartja a szervezet informatikai biztonsági szabályzatát.

  2. A szervezet elektronikus információs rendszereit - adatszintű megközelítéssel - a bizalmasság, sértetlenség és rendelkezésre állás elve szerint 1-től 5-ig terjedő skálán biztonsági osztályba sorolja.

  3. A fejlesztést végző, üzemeltetést végző, üzemeltetésért felelős és információbiztonságért felelős szervezeti egységeket - ha ezek az érintett szervezetnél léteznek - 1-től 5-ig terjedő skálán külön biztonsági szintbe sorolja.

  4. Feltárja az azonosított elektronikus információs rendszerek adminisztratív, fizikai és logikai védelmi helyzetét, illetve az önálló biztonsági szintbe sorolt szervezeti egységek védelmi helyzetét.

  5. Ha az aktuális védelmi helyzet a biztonsági osztályokhoz vagy szintekhez jogszabályban megkövetelt védelmi helyzetnek pillanatnyilag nem felel meg, cselekvési tervet készít a hiányosságok megszüntetése.

  6. Gondoskodik az informatikai biztonsági szabályzat folyamatos betartásáról és a cselekvési terv végrehajtásáról.

Kit lehet kijelölni elektronikus információs rendszer biztonságáért felelős személynek?

Elektronikus információs rendszer biztonságáért felelős személy az lehet, aki felsőfokú végzettséggel, és az alábbi 5 képzettség közül legalább 1-gyel vagy a lejjebb felsorolt 5 releváns szakterület közül legalább 5 év tapasztalattal rendelkezik:

  • Nemzeti Közszolgálati Egyetem elfogadható képesítése:

    • elektronikus információbiztonsági vezető
  • ISACA elfogadható képesítései:

    • Certified Information Systems Auditor (CISA)
    • Certified Information Security Manager (CISM)
    • Certified in RIsk and Information Systems Control (CRISC)
  • (ISC)2 elfogadható képesítése:

    • Certified Information Systems Security Professional (CISSP)
  • Releváns szakterületnek minősül:

    • információbiztonsági irányítási rendszer tervezése, kialakítása, működtetése
    • információbiztonsági ellenőrzés vagy felügyelet
    • információbiztonsági kockázatelemzés
    • információbiztonsági tanúsítás
    • információbiztonsági tesztelés (etikus hacker tevékenység)

Hogyan kell regisztrálni az elektronikus információs rendszer biztonságáért felelős személyt?

A NEIH-REG űrlap első oldalán a bejelentő szervezet adatait, második oldalán a kijelölt elektronikus információs rendszer biztonságáért felelős személy adatait kell megadni. Amennyiben a felelős más szervezet munkavállalója, úgy a harmadik oldalon a munkáltató adatait is meg kell adni.

Az űrlaphoz csatolni kell:

  • a felelős személy feladatához szükséges végzettséget, szakképzettséget és büntetlen előéletet igazoló okiratok másolatát
  • a felelős személyt kijelölő dokumentum (kinevezési okirat, munkaköri leírás, megbízólevél vagy szerződés) kivonatát

A NEIH-REG űrlapot az ÁNYK alkalmazáshoz való telepítés után lehet megnyitni és kitölteni.

A NEIH-REG űrlap beküldésének módját a Regisztráció menüpont részletezi.

Hogyan kell beküldeni az informatikai biztonsági szabályzatot?

A NEIH-DOK űrlapon meg kell adni a bejelentő szervezet adatait, illetve a csatolt szabályzat metaadatait.

A NEIH-DOK űrlapot az ÁNYK alkalmazáshoz való telepítés után lehet megnyitni és kitölteni.

A NEIH-DOK űrlap beküldésének módját az Adatbejelentés menüpont részletezi.

Hogyan kérhetek engedélyt elektronikus információs rendszer külföldön történő üzemeltetéséhez?

A NEIH-002 űrlapot az ÁNYK alkalmazáshoz való telepítés után lehet megnyitni és kitölteni.

A NEIH-002 űrlap belüldésének módját a Külföldi adatkezelés engedélyezése menüpont részletezi.

Mi számít egy elektronikus információs rendszernek?

Egy elektronikus információs rendszernek kell tekinteni az azonos célból kezelt adatok kezelésében, feldolgozásában résztvevő erőforrások (technikai eszközök, személyek, eljárási szabályok) együttesét.

Ennek alapján:

  • Több elektronikus információs rendszernek lehetnek közös rendszerelemei.
  • Egy elektronikus információs rendszernek lehetnek külső közreműködő tulajdonában álló rendszerelemei.

Mi alapján kell megállapítani egy elektronikus információs rendszer biztonsági osztályát?

Kockázatelemzést kell végezni annak a meghatározott adatkörnek a bizalmasságát, sértetlenségét, rendelkezésre állását befolyásoló tényezőkre, amely adatkör alapján az adott rendszer lehatárolásra került.

Ha az elektronikus információs rendszer külső közreműködőt is érint, akkor ki felel a biztonsági osztályba sorolásért?

A biztonsági osztályba sorolás minden esetben az adatgazda feladata.

A biztonsági osztályhoz kapcsolódó védelmi intézkedések megvalósításával kapcsolatos felelősségi köröket - ha azokat jogszabály nem állapítja meg - szerződésben kell rögzíteni a közreműködő felek számára.

Mikor kell felülvizsgálni a biztonsági osztályba, illetve szintbe sorolás eredményét?

A biztonsági osztályba sorolás eredményét új elektronikus információs rendszer be- és kivezetésekor vagy az azzal összefüggő adatkezelési célok jelentős változása esetén, de legalább 3 évente mindenképpen felül kell vizsgálni.

A biztonsági szintbe sorolás eredményét minden alkalommal, amikor új információbiztonságért felelős, üzemeltetésért felelős, üzemeltetést végző vagy fejlesztésért felelős szervezeti egység alakul, illetve megszűnik, felül kell vizsgálni.

Hogyan kell dokumentálni a biztonsági osztályba, illetve szintbe soroláshoz tartozó védelmi intézkedéseket?

A biztonsági osztályba sorolást és a hozzá kapcsolódó védelmi intézkedéseket a NEIH-OVI űrlapon kell rögzíteni: minden azonosított elektronikus információs rendszerhez külön űrlapot kell kitölteni. Kitöltés után egy-egy XML fájl előállítható mindegyikből, melyeket az Adatbejelentés menüpont szerint kell a hatósághoz eljuttatni.

Az XML fájlokat egy közös tömörített archívumban, a NEIH nyilvános PGP kulcsával kell titkosítani. Ha a bejelentő szervezetnél az ehhez szükséges alkalmazás nem áll rendelkezésre, akkor az archívumot jelszóval kell védeni, és a jelszót az adatbejelentéshez használt csatornától eltérő csatornán kell eljuttatni a hatósághoz. Ezzel kapcsolatos részletekről telefonon adunk tájékoztatást, lásd: Kapcsolat.

Mi a különbség a NEIH-OVI űrlap 3. és 4. nagyverziója között?

A 3.xx verzió csak a biztonsági osztályba sorolás eredményének és az ahhoz kapcsolódó védelmi intézkedések dokumentálására szolgál. A 4.xx verzió lehetőséget ad a cselekvési terv kivonatolt rögzítésére is.

Részletes leírás a NEIH-OVI űrlap mindkét verziójához megtalálható az Űrlapok menüpontban.

Mit kell tartalmaznia egy cselekvési tervnek?

A cselekvési terv a megállapított biztonsági osztályokhoz illetve szintekhez kötelezően tartozó védelmi intézkedések megvalósításának nyomon-követhetőségét szolgálja.

Tartalmaznia kell legalább az elvárt intézkedések megvalósításának határidejét a jogszabályi határidővel összhangban. Ajánlott, hogy tartalmazza a felelősségi köröket, illetve az olyan külső tényezőket, melyek az időben történő megvalósítást várhatóan befolyásolják.

A cselekvési terv elkészítésére az annak alapjául szolgáló biztonsági osztályba vagy szintbe sorolás vezetői jóváhagyásától számítva 90 nap áll rendelkezésre.

A cselekvési tervet - kivéve, ha azt a hatóság az Ibtv. 16. § (1) bekezdésére hivatkozva kéri - nem kötelező eljuttatni a hatósághoz.

Meddig kell megvalósítani a biztonsági osztályok és szintek által indokolt védelmi intézkedéseket?

A besoroláskor meghatározott biztonsági osztályokhoz és szintekhez tartozó követelményeknek fokozatosan kell eleget tenni: az első besorolástól számítva minden újabb biztonsági osztály vagy szint eléréshez 2-2 év áll rendelkezésre. Működő, már besorolt elektronikus információs rendszerek biztonsági osztályának felülvizsgálata, illetve működő, már besorolt szervezeti egységek biztonsági szintjének felülvizsgálata nincs hatással a megvalósítás jogszabály szerinti határidejére: azt mindig az első besorolástól kell számítani.

Minden egyes elektronikus információs rendszerhez, illetve szervezeti egységhez kapcsolódó határidők önállóan (az életciklus egyenkénti követésével), az adott rendszer vagy szervezeti egység első besorolásától számítandók.