Tisztelt Ügyfelünk!
Megjelent a Szintbe sorolás és védelmi intézkedés [NBSZ-SZVI] űrlap 2.10 verziója, mely a 2.00 verzióhoz képest az alábbi módosításokat tartalmazza, mely letölthető a Hatóság menü Űrlapok menüpontjából. Ezzel egyidejűleg az NBSZ-SZVI űrlap korábbi verzióját eltávolítottuk a letöltések közül.
– Az “Összegzés” fülön javításra került a tervezési és megvalósítási dátumok megjelenítési formátuma.
– Az “Összegzés” fülön a leíró adatok megadására szolgáló fejléc kinézete és elrendezése módosításra került a NEIH-OVI űrlap 4.60 verziójával való nagyobb összhang érdekében.
– A “Szintbe sorolás” fülön módosult a 3. biztonsági szint meghatározásának részét képező állítások kiértékelésének módja (a részletes leírást lásd lejjebb).
Amennyiben az Ön szervezetében a biztonsági szintbe sorolást, vagy annak felülvizsgálatát utoljára 2016. október 29-én, vagy annál később végezték el, úgy a jogszabályban meghatározott kötelező időszakos felülvizsgálat elérkezéséig a már kitöltött 2.00 verziójú NEIH-SZVI űrlapok továbbra is használhatók adatszolgáltatásra. A következő felülvizsgálatot az NBSZ-SZVI űrlap 2.10 verzióján kell elvégezni.
Azon ügyfeleinknek, akik a biztonsági szintbe sorolás utolsó felülvizsgálatát 2016. október 29-énél korábban végezték el, 2019. október 30-ától csak az űrlap 2.10 verzióját fogadjuk el adatszolgáltatásonként.
A nem megfelelő formában történő adatszolgáltatás a megkeresés érdemi vizsgálat nélküli visszautasítását vonja maga után, mely azonban a kapcsolódó jogszabályi kötelezettségek teljesítése alól nem ad mentességet.
A továbbiakban az űrlap 2.10 verziójától alkalmazott, a 3. biztonsági szint feltételeinek kiértékelését érintő állásfoglalás-változás indokait ismertetjük.
A Szintbe sorolás és védelmi intézkedés (NEIH-SZVI) űrlap „szintbe sorolás” munkalapján az ügyfél C oszlop szerinti nyilatkozata az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM. rendelet 2. mellékletében rögzített módszertan mentén kerül kiértékelésre.
Az egyes biztonsági szintekhez tartozó meghatározások jellemzően egymásra épülnek, azaz a magasabb biztonsági szint eléréséhez általában az alacsonyabb biztonsági szintekhez tartozó állítások igaz volta is szükséges. A jogalkotó megfogalmazása azonban sem ebben, sem az egyes szintekhez tartozó meghatározások belső szerkezetében nem egységes. A 3. biztonsági szinthez tartozó meghatározásnak egyes, kizárólag vesszővel elválasztott részmondatai között „és”, illetve „vagy” kapcsolattal is értelmes összefüggést kapunk.
Az SZVI űrlap 2.00 verziójának 2016. november 21-i közzétételekor a Hatóság az „és” kapcsolattal történő értelmezést választotta annak érdekében, hogy a több lehetséges jogértelmezés közül az ügyfél számára kevésbé szigorú változat érvényesüljön. E szerint tehát a szervezet vagy szervezeti egység biztonsági szintje csak akkor lehetett 3-as, ha a 3-as biztonsági szinthez tartozó részmeghatározások mindegyike teljesült, vagy valamely, 3-asnál magasabb biztonsági szinthez tartozó definícióhoz legalább egy „igen” válasz került megadásra.
A 2.10 verzióhoz felülvizsgáltuk a fent említett jogértelmezést, mivel a 3. biztonsági szinthez tartozó részmeghatározások között van olyan (pl. B15 cella), amely megsérti a 2. biztonsági szinthez tartozó definíció második felét (B11 cella). Így tehát minden olyan szervezet vagy szervezeti egység, amely nem jogszabály alapján kijelölt szolgáltató útján tesz eleget adatkezelési céljának (és amelyre az 1-es biztonsági szinthez tartozó részmeghatározások nem maradéktalanul teljesülnek), szükségképpen legalább 3. biztonsági szintbe tartozik.
A jogértelmezés felülvizsgálatát szintén indokolja, hogy bár a C13 cella igaz értéke nem feltétlenül sérti meg a B10 cella szerinti állítás tartalmát (lásd: az Ibtv. 1. § (1) bekezdés 32a. pontja szerint a személyes adat is kritikus adat), a C13 cella értékéből nem lehet kizárni, hogy az adott szervezetnél vagy szervezeti egységnél nem személyes, de kritikus adat is kezelhető, így az elfogadás alatt álló javaslat szerint a B13 állítás tartalma csak B10 cella által lefedett adatkörön felül értelmezendő.
Egyértelműnek tartjuk, hogy a B12 és B14 cellákban foglalt részmeghatározások nem terjednek túl a 2. biztonsági szint feltételein, ugyanakkor a könnyebb és következetesebb értelmezés érdekében – a feljebb felvázolt okfejtést szem előtt tartva – új álláspontunk szerint, ha a 3. biztonsági szinthez tartozó meghatározás bármely részmondata igaz, akkor az érintett szervezet vagy szervezeti egység biztonsági szintje legalább 3-as.
2019. október 29.
Üdvözlettel:
Nemzeti Kibervédelmi Intézet