Jelenlegi hely

Biztonsági szintbe sorolás megfelelőségének ellenőrzése

Az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelőségének ellenőrzése az Ibtv. 14. § (2) bekezdés a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-SZVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.

Előfeltételek

A biztonsági szintbe sorolást alapértelmezés szerint az ügyfél szervezet egészére kell elvégezni. Ha azonban az Ibtv. 9. § (2) szerinti információbiztonságért felelős, üzemetletésért felelős, üzemeltetést végző vagy fejlesztést végző szervezeti egységek azonosíthatók az ügyfél szervezetnél, akkor ezekre a területekre önálló biztonsági szintbe sorolást kell készíteni, és további egy biztonsági szint vonatkozik az ügyfél szervezet fennmaradó részére.

A szervezet vagy szervezeti egységek biztonsági szintbe sorolásához a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti meghatározások elemeit végig kell venni, hogy az érintett területre érvényesek-e - ez minden egyes terület esetén külön NEIH-SZVI űrlapon rögzíthető, a Szintbe sorolás fülön, mely alapján a NEIH-SZVI űrlap Összegzés fülén automatikusan kiszámításra kerül a biztonsági szintbe sorolás eredménye. Ennek során nem kell alkalmazni a "high water mark" elvét, azaz egy szervezeti egységre érvényes állítást nem kell a szervezet egészére érvényes állításnak tekinteni.

Kérelem

Az ügyfél szervezet munkatársa a kitöltött NEIH-DOK ÁNYK-űrlapot a szervezet hivatali kapujáról feladja a NEIH hivatali kapujára (KRID: 313910359) címezve. Ha az ügyfél szervezetnek van hatósági nyilvántartásba bejegyzett elektronikus információs rendszer biztonságáért felelős személye (IBF), akkor a NEIH-DOK űrlapot az IBF is benyújthatja személyes ügyfélkapujáról a NEIH hivatali kapujára. A NEIH-DOK űrlaphoz minden egyes szervezeti egységre, illetve az ügyfél szervezet fennmaradó részére külön NEIH-SZVI űrlapot, vagy pedig - ha az Ibtv. 9. § (2) bekezdése szerinti szervezeti egységek nem azonosíthatók - az egész szervezetre egyetlen NEIH-SZVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. A NEIH-SZVI űrlap a biztonsági szintbe sorolás eredményén túl a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti meghatározásokat és követelményeket egyesíti. A követelményekre vonatkozó rész a kapcsolódó, "a biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények teljesülésének ellenőrzése" eljárásban kerülnek felhasználásra. A NEIH-DOK űrlap 1. oldala az Ibtv. 15 § (1) bekezdés a) pontja szeritnti adatokat, 2. oldala a csatolt dokumentum egyes metaadatait tartalmazza.

Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása személyes ügyfélkapuról, illetve elektronikus levélben történő benyújtás esetén a NEIH-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre tekintettel az ily módon benyújtott kérelmeket az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel visszautasítjuk. Kérjük, hogy a NEIH-nek szánt küldeményeket ne címezzék a Nemzetbiztonsági Szakszolgálat 427386978 KRID számú hivatali kapujára!

Döntéshozatal

A NEIH a biztonsági szintbe sorolás megfelelőségéről és nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.

A biztonsági szintbe sorolás akkor megfelelő, ha az az ügyfél szervezetnek a NEIH-SZVI űrlap "Szintbe sorolás" fülén rögzített nyilatkozatával összhangban van. Egy adott területhez, illetve a szervezet egészéhez tartozó biztonsági szintbe sorolás eredménye a kapcsolódó NEIH-SZVI űrlapon és az informatikai biztonsági szabályzatban nem lehet ellentétes.

Korábban megállapított biztonsági szintbe sorolás felülvizsgálata keretében megállapított, a korábbinál alacsonyabb biztonsági szint csak olyan szervezetre vagy szervezeti egységre hagyható jóvá, ahol az Lrtv. szerint azonosított létfontosságú rendszer vagy létesítmény működik.

A hatóság ügyintézési határideje sommás eljárás esetén 8 nap, egyébként 30 nap, melybe az ügyfél késedelmének időtartama nem számít bele.