Biztonsági szintbe sorolás megfelelőségének ellenőrzése (Ibtv.)

Az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelőségének ellenőrzése az Ibtv. 14. § (2) bekezdés a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-SZVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.

Előfeltételek

A biztonsági szintbe sorolást alapértelmezés szerint az ügyfél szervezet egészére kell elvégezni. Ha azonban az Ibtv. 9. § (2) szerinti információbiztonságért felelős, üzemeltetésért felelős, üzemeltetést végző vagy fejlesztést végző szervezeti egységek azonosíthatók az ügyfél szervezetnél, akkor ezekre a területekre önálló biztonsági szintbe sorolást kell készíteni, és további egy biztonsági szint vonatkozik az ügyfél szervezet fennmaradó részére.

A szervezet vagy szervezeti egységek biztonsági szintbe sorolásához a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti meghatározások elemeit végig kell venni, hogy az érintett területre érvényesek-e – ez minden egyes terület esetén külön NEIH-SZVI űrlapon rögzíthető, a Szintbe sorolás fülön, mely alapján a NEIH-SZVI űrlap Összegzés fülén automatikusan kiszámításra kerül a biztonsági szintbe sorolás eredménye. Ennek során nem kell alkalmazni a “high water mark” elvét, azaz egy szervezeti egységre érvényes állítást nem kell a szervezet egészére érvényes állításnak tekinteni.

Kérelem

Az ügyfélszervezet munkatársa a kitöltött NBSZ-IBD űrlapot PDF formátumban elektronikus aláírással (pl.: Ügyfélkapu Azonosításra Visszavezetett Dokumentum Hitelesítés funkció (AVDH)) vagy más módon hitelesítve, elektronikus úton megküldi az NBSZ központi hivatali kapujára (KRID: 427386978). Az NBSZ-IBD űrlaphoz minden egyes szervezeti egységre, illetve az ügyfél szervezet fennmaradó részére külön NEIH-SZVI űrlapot, vagy pedig – ha az Ibtv. 9. § (2) bekezdése szerinti szervezeti egységek nem azonosíthatók – az egész szervezetre egyetlen NEIH-SZVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-SZVI űrlap a biztonsági szintbe sorolás eredményén túl a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerinti meghatározásokat és követelményeket egyesíti. A követelményekre vonatkozó rész a kapcsolódó, “a biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények teljesülésének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap az ügyfél azonosító adatait, illetve a csatolt dokumentumok egyes metaadatait tartalmazza.

Beküldés módja:

Hivatali kapu / cégkapu esetében: Az ügyfélszervezet hivatali kapujáról vagy a szervezet cégkapujáról szükséges megküldeni az NBSZ központi hivatali kapujára (KRID: 427386978).

Általános kéreleműrlap (e-Papír) esetében: Az ügyfélszervezetnél az NBSZ által bejegyzett, az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) kitölti az általános kéreleműrlapot (e-Papírt) a https://epapir.gov.hu webhelyen. Ennek során a “Témacsoport” és az “Ügytípus” mezőbe is az “Egyéb” értéket kell beírni. Az e-Papírt az IBF, vagy ha az ügyfélszervezet bejegyzett IBF-fel még nem rendelkezik, más meghatalmazott munkatársa személyes ügyfélkapujáról megküldi az NBSZ központi hivatali kapujára (KRID: 427386978).

Felhívjuk a figyelmet, hogy az Ibtv. 22/A.§ (1) bekezdésében foglalt rendelkezések alapján ezen ügytípusban kizárólag az NBSZ hivatali kapujára elektronikusan megküldött iratok érdemi vizsgálatára van jogszerűen lehetőség, az egyéb módon, így különösen postán vagy elektronikus levélben érkező beadványokat az NBSZ további vizsgálat nélkül visszautasítani köteles.

Döntéshozatal

A hatóság a biztonsági szintbe sorolás megfelelőségéről és nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.

A biztonsági szintbe sorolás akkor megfelelő, ha az az ügyfél szervezetnek a NEIH-SZVI űrlap “Szintbe sorolás” fülén rögzített nyilatkozatával összhangban van. Egy adott területhez, illetve a szervezet egészéhez tartozó biztonsági szintbe sorolás eredménye a kapcsolódó NEIH-SZVI űrlapon és az informatikai biztonsági szabályzatban nem lehet ellentétes.

Korábban megállapított biztonsági szintbe sorolás felülvizsgálata keretében megállapított, a korábbinál alacsonyabb biztonsági szint csak olyan szervezetre vagy szervezeti egységre hagyható jóvá, ahol az Lrtv. szerint azonosított létfontosságú rendszer vagy létesítmény működik.

A hatóság ügyintézési határideje 60 nap, amelybe az ügyfél késedelmének időtartama nem számít bele.