Jelenlegi hely

Küldetés

Napjainkban az informatika rohamléptekkel fejlődik, de a technológiához a biztonsági intézkedéseket nem sikerült felzárkóztatni: a bizalmasság, sértetlenség és rendelkezésre állás követelménye a kormányzati szerveknél és a piacvezető vállalatok körében is gyakran sérül, így napról napra újabb kibertámadásokról értesülünk.

Kiberfenyegetések

Az informatikai rendszerekben bekövetkezett biztonsági eseményeket leggyakrabban gondatlanság, tudatlanság, kártevő szándék vagy üzleti célú adathalászat okozza. A felkészülést ugyanakkor hátráltatja a hiányos költségvetés, a személyzet alulképzettsége és közönye, valamint a húzóágazatok növekvő informatikai igénye.

Főbb kockázatok

Egyes biztonsági események megrendíthetik a nemzet egységes jogrendjét, biztonságát és gazdaságát, illetve akadályozhatják a létfontosságú létesítmények folyamatos üzemét. Ezért az informatikai kockázatok kezelése a közigazgatásban elengedhetetlen.

Reagálás a biztonsági eseményekre

Nem elég utólag felderíteni, hogy a szervezet miért és milyen károkat szenvedett: a megelőzésre és azonnali reagálásra kell összpontosítani. Olyan informatikai biztonsági szabályozásra lett szükség, amely összehangolja a káresemények elkerülésére és megszüntetésére tett erőfeszítéseket. Ezzel csökkenthetjük a biztonsági események valószínűségét és gyakoriságát, ha pedig bekövetkezik egy, a kiépített védelmi rendszer segítségével valós időben azonosíthatjuk és kezelhetjük.

Az ügyfelek kötelezettségei

Ügyfélkörünket és informatikai biztonsági kötelzettségeiket a 2013. évi L. törvény (Ibtv.) és végrehajtási rendeletei jelölik ki.

Ügyfeleinknek a 41/2015 (VII. 15.) BM rendelet 1. melléklete szerint biztonsági osztályba kell sorolniuk az informatikai rendszereket a bizalmasság, sértetlenség és rendelezésre állás elve szerint lebontva, szervezeti egységeikhez pedig a 2. melléklet szerint biztonsági szintet kell rendelniük. A 8. illetve 10. § szerint a biztonsági osztályba és szintbe sorolást legalább 3 évenként, ezen kívül minden új informatikai rendszer bevezetésekor vagy jelentős változásakor el kell végezni, és annak eredményéről a hatóságot tájékoztatni kell.

Fel kell mérni továbbá az azonosított informatikai rendszerek aktuális techológiai-biztonsági jellemzőit a rendelet 4. mellékletének megfelelően; ennek eredményéről erről a hatóságot tájékoztatni kell. Ha az ügyfél az általa megállapított biztonsági osztályok és szintek követelményét pillanatnyilag nem tudja teljesíteni, akkor a besorolást követő 90 napon belül cselekvési tervet kell készíteni a hiányosságok megszüntetésére. Az egyes biztonsági osztályok és szintek teljesítésére a megállapítástól számítva 2-2 év áll rendelkezésre, ezzel a fokozatosság biztosított. Ennek alapján azon ügyfeleinknek, akik az Ibtv. hatályba lépésekor már működtettek informatikai rendszert, az 1. biztonsági osztály és szint teljesítési határideje 2016. július 1.

A fenti feladatokért elsősorban a szervezet vezetője által kijelölt "elektronikus információbiztonságért felelős személy" felel, akinek adatait a 42/2015 (VII. 15.) BM rendelet 2. §-a szerint kell hatóság felé bejelenteni. Ez a rendelet irányadó a fenti információbiztonsági adatok bejelentési módjára is. További tájékoztatás az Adatbejelentés lapon olvasható.

Ügyfélpolitika

A hatóság elsősorban nem büntető, hanem támogató koncepciót követ.

Partnereinkben és ügyfeleinkben tudatosítanunk kell, hogy a NEIH miben tud számukra segítséget nyújtani, illetve hogy miért szükséges az elektronikus információbiztonság egységes kezelése az állami és önkormányzati szervek körében.

A partnerekkel való kapcsolattartás során nagy hangsúlyt kell fektetni a kölcsönös együttműködés kialakítására, illetve arra, hogy szolgáltató hatóságként a NEIH segítséget tudjon nyújtani partnereinek. Fontos, hogy a szervezetek bizalma a hatóság felé kialakuljon: ezt adataik bizalmas kezelésével és támogatói attitűd felmutatásával erősíthetjük.

Oktatás és tudatosítás

A NEIH részt vesz az Nemzeti Kiberbiztonsági Koordinációs Tanács munkacsoportjainak munkájában, különösen a felhasználói tudatosításban, amivel többek között a közoktatás szereplőit szeretné megszólítani, összegyűjtve a kapcsolódó, korábban kidolgozott tananyagokat.