IBtv. kapcsán felmerülő kérdések
Mi a feladata az elektronikus információs rendszer biztonságáért felelős személynek?
a) gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,
b) elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését,
c) előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot,
d) előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,
e) véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit,
f) kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal.
Kit lehet kijelölni elektronikus információs rendszer biztonságáért felelős személynek?
Elektronikus információs rendszer biztonságáért felelős személy az lehet, aki büntetlen előéletű, továbbá rendelkezik felsőfokú végzettséggel, és az alábbi 5 képzettség közül legalább 1-gyel vagy a lejjebb felsorolt 5 releváns szakterület közül legalább 5 év tapasztalattal.
- A Nemzeti Közszolgálati Egyetem elfogadható képesítése:
-
elektronikus információbiztonsági vezető
-
- Az Information Systems Audit and Control Association (ISACA) elfogadható képesítései:
-
Certified Information Systems Auditor (CISA)
-
Certified Information Security Manager (CISM)
- Certified in RIsk and Information Systems Control (CRISC)
-
- Az International Information System Security Certification Consortium (ISC2) elfogadható képesítése:
- Certified Information Systems Security Professional (CISSP)
- Releváns szakterületnek minősül:
-
információbiztonsági irányítási rendszer tervezése, kialakítása, működtetése
-
információbiztonsági ellenőrzés vagy felügyelet
-
információbiztonsági kockázatelemzés
-
információbiztonsági tanúsítás
-
információbiztonsági tesztelés (etikus hacker tevékenység)
-
Mennyi időn belül kell egy, a hatósági nyilvántartást érintő adatváltozást bejelenteni?
A változást követő 8 napon belül, tekintet nélkül arra, hogy a változás jogszabály szerinti határidőn belül, vagy azon túl következett be.
A változás napjának azt tekintjük, amikor:
- amilyen hatállyal a névváltozást, a székhely változását, a jogutódlást vagy a jogutód nélküli megszűnést az alapító vagy megszüntető okirat – ennek hiányában jogszabály – kimondja.
- az elektronikus információs rendszer biztonságéét felelős személy feladatát keletkeztető megbízólevelet a szervezet vezetője aláírta – ennek hiányában amikor a felelős jogviszonyát keletkezető szerződés vagy kinevezési okiratot a második fél is aláírta
- a megváltozott szabályzót (vagy ahhoz külön készült utasítást) kiadmányozták
- amilyen kitöltési dátum a NEIH-OVI vagy NEIH-SZVI űrlapon szerepel, kivéve a számítási eljárással (függvénnyel) megadott dátumot (ezt kitöltetlen mezőnek vesszük)
Hogyan kell bejelenteni az elektronikus információs rendszer biztonságáért felelős személy adataiban bekövetkezett változást?
Ha az IBF személye nem változik, de egyes kapcsolattartási adatai, illetve végzettségére, szakképzettségére vagy szakmai tapasztalatára vonatkozó adatai változnak, akkor az elektronikus információs rendszer biztonságáért felelős személy nyilvántartásba vétele című ügyleírást azzal az eltéréssel kell alkalmazni, hogy az NBSZ-IBF űrlap 1. pontjában a “Jelenlegi IBF adatainak módosítása” felirat melletti téglalapot kell bejelölni. Ilyenkor az NBSZ-IBF űrlap 2. oldalán a személyazonosító adatok – a viselt nevet kivéve – nem módosíthatók.
Mi számít egy elektronikus információs rendszernek?
Egy elektronikus információs rendszernek kell tekinteni az azonos célból kezelt adatok kezelésében, feldolgozásában résztvevő erőforrások (technikai eszközök, személyek, eljárási szabályok) együttesét.
Ennek alapján:
- Több elektronikus információs rendszernek lehetnek közös rendszerelemei.
- Egy elektronikus információs rendszernek lehetnek külső közreműködő tulajdonában álló rendszerelemei.
Kinek kell elvégeznie a biztonsági osztályba sorolást, ha az elektronikus információs rendszert az érintett szervezet központosított hírközlési vagy informatikai szolgáltatón szolgáltatásán keresztül veszi igénybe?
Az igénybe vevő adatgazda szervezetnek és az adatkezelő minőségben közreműködő szolgáltatónak (együtt érintettek) külön-külön a saját információbiztonsági kockázata alapján el kell végeznie a biztonsági osztályba sorolást. [187/2015. (VII. 13.) Korm. rendelet 11. § (4) bekezdés]
Az érintetteknek kétoldalú szolgáltatási megállapodásban kell rögzíteniük, hogy egymás kockázatának kezelésében milyen feladatmegosztás szerint vesznek részt. [Ibtv. 11. § (3) bekezdés]
Mikor kell felülvizsgálni a biztonsági osztályba, illetve szintbe sorolás eredményét?
A biztonsági osztályba sorolás eredményét új elektronikus információs rendszer be- és kivezetésekor vagy az azzal összefüggő adatkezelési célok jelentős változása esetén, de legalább 3 évente mindenképpen felül kell vizsgálni.
A biztonsági szintbe sorolás eredményét minden alkalommal, amikor új információbiztonságért felelős, üzemeltetésért felelős, üzemeltetést végző vagy fejlesztésért felelős szervezeti egység alakul, illetve megszűnik, vagy az adott területen működő eleketronikus információs rendszer biztonságát érintő változáskor, de legalább 3 évente mindenképpen felül kell vizsgálni.
Mikorra kell a biztonsági osztálynak, illetve biztonsági szintnek megfelelő védelmet teljesíteni?
A besoroláskor meghatározott biztonsági osztályokhoz és szintekhez tartozó követelményeknek fokozatosan kell eleget tenni: az első besorolástól számítva minden újabb biztonsági osztály vagy szint eléréshez 2-2 év áll rendelkezésre. Működő, már besorolt elektronikus információs rendszerek biztonsági osztályának felülvizsgálata, illetve működő, már besorolt szervezeti egységek biztonsági szintjének felülvizsgálata nincs hatással a megvalósítás jogszabály szerinti határidejére: azt mindig az első besorolástól kell számítani.
Minden egyes elektronikus információs rendszerhez, illetve szervezeti egységhez kapcsolódó határidők önállóan (az életciklus egyenkénti követésével), az adott rendszer vagy szervezeti egység első besorolásától számítandók.
Mit kell tartalmaznia egy cselekvési tervnek?
A cselekvési terv a megállapított biztonsági osztályba illetve szintbe soroláshoz tartozó védelem fokozatos elérésének módját jelöli ki. Tartalmaznia kell legalább az elvárt intézkedések megvalósításának határidejét a jogszabályi határidővel összhangban. Ez a NEIH-OVI űrlapok 3.3.1.-3.3.13. lapfülén, illetve a NEIH-SZVI űrlapok “Követelmény” lapfülén a Tervezés oszlopcsoportokban rögzíthető, a kapcsolódó kitöltési útmutatók szerint.
Szabad szöveges cselekvési tervnél ajánlott, hogy a cselekvési terv tartalmazza a felelősségi köröket, illetve az olyan külső tényezőket, melyek az megvalósítás időpontját várhatóan befolyásolják.
A cselekvési terv elkészítésére a védelmi intézkedések feltárásától számítva 90 nap áll rendelkezésre.
A cselekvési tervet elegendő akkor benyújtani, ha azt a hatóság ellenőrzés vagy hivatalból induló eljárásban az Ibtv. 16. § (1) bekezdésének b) pontjára hivatkozva kéri.