Jelenlegi hely

Biztonsági osztályba sorolás megfelelőségének ellenőrzése

Az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelőségének ellenőrzése az Ibtv. 14. § (2) bekezdés a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-OVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.

Előfeltételek

Az elektronikus információs rendszereket az Ibtv. 1. § (3) bekezdése szerint adatkezelési célok mentén kell elhatárolni egymástól. Egy elektronikus információs rendszer az adatkezelési célját kiszolgáló rendszerelemek (személyek, eszközök, módszerek és szabályozási elemek) összességéből áll. Különböző elektronikus információs rendszereknek lehetnek közös rendszerelemeik, ezeket az ily módon rájuk értelmezhető legmagasabb kockázatnak megfelelően kell védeni.

Az elektronikus információs rendszerek biztonsági osztályba sorolásához a 41/2015. (VII. 15.) BM rendelet 1. melléklete szerinti módszertannak megfelelő információbiztonsági kockázatelemzést kell végezni, ahol a kockázatgazda az ügyfél szervezet vezetője, vagy az Ibtv. 9. § (2) bekezdése szerinti szervezeti egység vezetője. Maga a módszertan lehetőséget ad más módszertan alkalmazására, ez azonban a biztonsági osztályba sorolás eredményének formátumát nem befolyásolhatja.

A 187/2015. (VII. 13.) Korm. rendelet 11. § (4) bekezdése miatt a kockázatelemzést az ügyfél szervezetnek akkor is el kell végeznie, ha az érintett elektronikus információs rendszert központosított informatikai vagy hírközlési szolgáltatótól igénybe vett szolgáltatás keretében használja.

A kockázatelemzést minden elektronikus információs rendszerre külön NEIH-OVI űrlapon, az "Osztályba sorolás" fülön kell elvégezni, mely alapján a NEIH-OVI űrlap Összegzés fülén bizalmasságra, sértetlenségre és rendelkezésre állásra lebontva automatikusan kiszámításra kerül a biztonsági osztályba sorolás eredménye. Maga a biztonsági osztály a "high water mark" elvén a bizalmasság, sértetlenség és rendelkezésre állás értékének maximuma. Az alapértelmezettől eltérő kockázatelemzési módszertan használatával kapott biztonsági osztályok rögzítéséhez lásd a kitöltési útmutatót.

Kérelem

Az ügyfél szervezet munkatársa a kitöltött NEIH-DOK ÁNYK-űrlapot a szervezet hivatali kapujáról feladja a NEIH hivatali kapujára (KRID: 313910359) címezve. Ha az ügyfél szervezetnek van hatósági nyilvántartásba bejegyzett elektronikus információs rendszer biztonságáért felelős személye (IBF), akkor a NEIH-DOK űrlapot az IBF is benyújthatja személyes ügyfélkapujáról a NEIH hivatali kapujára. A NEIH-DOK űrlaphoz minden egyes elektronikus információs rendszerre külön NEIH-OVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. A NEIH-OVI űrlap a biztonsági osztályba sorolás eredményén túl a 41/2015. (VII. 15.) BM rendelet 1., 3. és 4. melléklete szerinti adatokat egyesíti. A 4. melléklet szerinti adatok a kapcsolódó, "a biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények teljesülésének ellenőrzése" eljárásban kerülnek felhasználásra. A NEIH-DOK űrlap 1. oldala az Ibtv. 15 § (1) bekezdés a) pontja szeritnti adatokat, 2. oldala a csatolt dokumentum egyes metaadatait tartalmazza.

Az alapértelmezettől eltérő kockázatelemzési módszertan használata esetén a kockázatelemzés dokumentációját szintén csatolni kell a NEIH-DOK űrlaphoz. Önálló kockázatelemzési dokumentációt kell csatolni akkor is, ha korábban megállapított biztonsági osztályba sorolás felülvizsgálata keretében az ügyfél szervezet a korábbinál alacsonyabb biztonsági osztályba sorolást állapít meg.

Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása személyes ügyfélkapuról, illetve elektronikus levélben történő benyújtás esetén a NEIH-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre tekintettel az ily módon benyújtott kérelmeket az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel visszautasítjuk. Kérjük, hogy a NEIH-nek szánt küldeményeket ne címezzék a Nemzetbiztonsági Szakszolgálat 427386978 KRID számú hivatali kapujára!

Döntéshozatal

A NEIH a biztonsági osztályba sorolás megfelelőségéről és nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.

A biztonsági osztályba sorolás akkor megfelelő, ha az az ügyfél szervezet saját információbiztonsági kockázatával összhangban van, illetve a kockázatelemzés önmagában következetes. Egy adott elektronikus információs rendszerre vonatkozó biztonsági osztályba sorolás eredménye a kapcsolódó NEIH-OVI űrlapon és az informatikai biztonsági szabályzatban nem lehet ellentétes.

A hatóság ügyintézési határideje sommás eljárás esetén 8 nap, egyébként 30 nap, melybe az ügyfél késedelmének időtartama nem számít bele.