A biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények ellenőrzése az Ibtv. 14. § (2) bekezdés b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-OVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.
Előfeltételek
Minden olyan elektronikus információs rendszerre, melyet ebben az eljárásban vizsgálunk, előfeltétel, hogy a biztonsági osztályba sorolás megfelelőségének ellenőrzése című eljárásban jóváhagyó döntés szülessen.
Az ügyfél szervezetnek a 41/2015. (VII. 13.) BM rendelet 3. melléklete alapján fel kell térképeznie, hogy a biztonsági osztályba sorolás eredménye alapján egy adott elektronikus információs rendszerben milyen védelmi intézkedéseket kell megvalósítania e rendelet 4. mellékletében, a 3. pontban található védelmi intézkedés katalógusból. Amint a NEIH-OVI űrlapokon kiszámításra került a biztonsági osztályba sorolás eredménye, a NEIH-OVI űrlap a 3.1.1. fültől kezdődően minden lapfülön automatikusan színnel jelzi a kötelező intézkedéseket, a kitöltési útmutatóban leírtak szerint.
Az ügyfél szervezetnek a 3.1.1.-3.3.13. lapfüleken a “Megvalósult-e” oszlopban “Igen” és “Nem” válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Üres mező azt jelenti, hogy az ügyfél szervezettől az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő adatkezelői minőségben, az Ibtv. 11. § (3) bekezdése szerint átvállalta.
A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-OVI űrlapjára felvezeti (ilyenkor nem lehetnek üres mezők a “Megvalósult-e” oszlopban).
A fenti adatokat minden egyes, a biztonsági osztályba sorolás kapcsán azonosított elektronikus információs rendszerre létrehozott NEIH-OVI űrlapon ki kell tölteni.
Kérelem
Az ügyfélszervezet munkatársa a kitöltött NBSZ-IBD űrlapot PDF formátumban elektronikus aláírással (pl.: Ügyfélkapu Azonosításra Visszavezetett Dokumentum Hitelesítés funkció (AVDH)) vagy más módon hitelesítve, elektronikus úton megküldi az NBSZ központi hivatali kapujára (KRID: 427386978). Az NBSZ-IBD űrlaphoz minden egyes elektronikus információs rendszerre külön NEIH-OVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-OVI űrlap a védelmi intézkedés katalógus mellett a biztonsági osztályba sorolás eredményét, illetve a 41/2015. (VII. 15.) BM rendelet 1. és 3. melléklete szerinti adatokat egyesíti. Az 1. melléklet szerinti adatok a “biztonsági osztályba sorolás megfelelőségének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap 1. oldala az Ibtv. 15 § (1) bekezdés a) pontja szeritnti adatokat, 2. oldala a csatolt dokumentum egyes metaadatait tartalmazza.
Beküldés módja:
Hivatali kapu / cégkapu esetében: Az ügyfélszervezet hivatali kapujáról vagy a szervezet cégkapujáról szükséges megküldeni az NBSZ központi hivatali kapujára (KRID: 427386978).
Általános kéreleműrlap (e-Papír) esetében: Az ügyfélszervezetnél az NBSZ által bejegyzett, az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) kitölti az általános kéreleműrlapot (e-Papírt) a https://epapir.gov.hu webhelyen. Ennek során a “Témacsoport” és az “Ügytípus” mezőbe is az “Egyéb” értéket kell beírni. Az e-Papírt az IBF, vagy ha az ügyfélszervezet bejegyzett IBF-fel még nem rendelkezik, más meghatalmazott munkatársa személyes ügyfélkapujáról megküldi az NBSZ központi hivatali kapujára (KRID: 427386978).
Felhívjuk a figyelmet, hogy az Ibtv. 22/A.§ (1) bekezdésében foglalt rendelkezések alapján ezen ügytípusban kizárólag az NBSZ hivatali kapujára elektronikusan megküldött iratok érdemi vizsgálatára van jogszerűen lehetőség, az egyéb módon, így különösen postán, vagy elektronikus levélben érkező beadványokat az NBSZ további vizsgálat nélkül visszautasítani köteles.
Döntéshozatal
A hatóság a biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények teljesüléséről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A biztonsági osztályba sorolás alapján kötelező védelmi intézkedések akkor teljesülnek, ha az ügyfél szervezet (és adatkezelő közreműködői) biztonsági osztályba sorolásával az érintettek információbiztonsági intézkedései együttesen kiadják a legmagasabb besorolást megállapított adatkezelő biztonsági osztályához a 41/2015. (VII. 15.) BM rendelet 3. mellékletében rendelt intézkedéscsomagot.
A hatóság ügyintézési határideje 60 nap, amelybe az ügyfél késedelmének időtartama nem számít bele.
Megjegyzés
Az Ibtv. hatályba lépésénél később indult informatikai fejlesztési projektekben újonnan fejlesztett vagy továbbfejlesztett elektronikus információs rendszer használatba vételéig minden, a biztonsági osztályba sorolás alapján elvárható védelmi intézkedést teljesíteni kell [Ibtv. 8. § (7) bekezdés.] Ezt a fejlesztési projekt lezárultát követően a hatóság bármikor ellenőrizheti, melynek során az adatkezelő az Ibtv. 2. § (2) bekezdésének a) pontja alapján önálló érintettként eljárás alá vonható.