Az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelőségének ellenőrzése az Ibtv. 14. § (2) bekezdés a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-OVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.
Előfeltételek
Az elektronikus információs rendszereket az Ibtv. 1. § (3) bekezdése szerint adatkezelési célok mentén kell elhatárolni egymástól. Egy elektronikus információs rendszer az adatkezelési célját kiszolgáló rendszerelemek (személyek, eszközök, módszerek és szabályozási elemek) összességéből áll. Különböző elektronikus információs rendszereknek lehetnek közös rendszerelemeik, ezeket az ily módon rájuk értelmezhető legmagasabb kockázatnak megfelelően kell védeni.
Az elektronikus információs rendszerek biztonsági osztályba sorolásához a 41/2015. (VII. 15.) BM rendelet 1. melléklete szerinti módszertannak megfelelő információbiztonsági kockázatelemzést kell végezni, ahol a kockázatgazda az ügyfél szervezet vezetője, vagy az Ibtv. 9. § (2) bekezdése szerinti szervezeti egység vezetője. Maga a módszertan lehetőséget ad más módszertan alkalmazására, ez azonban a biztonsági osztályba sorolás eredményének formátumát nem befolyásolhatja.
A 187/2015. (VII. 13.) Korm. rendelet 11. § (4) bekezdése miatt a kockázatelemzést az ügyfél szervezetnek akkor is el kell végeznie, ha az érintett elektronikus információs rendszert központosított informatikai vagy hírközlési szolgáltatótól igénybe vett szolgáltatás keretében használja.
A kockázatelemzést minden elektronikus információs rendszerre külön NEIH-OVI űrlapon, az “Osztályba sorolás” fülön kell elvégezni, mely alapján a NEIH-OVI űrlap Összegzés fülén bizalmasságra, sértetlenségre és rendelkezésre állásra lebontva automatikusan kiszámításra kerül a biztonsági osztályba sorolás eredménye. Maga a biztonsági osztály a “high water mark” elvén a bizalmasság, sértetlenség és rendelkezésre állás értékének maximuma. Az alapértelmezettől eltérő kockázatelemzési módszertan használatával kapott biztonsági osztályok rögzítéséhez lásd a kitöltési útmutatót.
Kérelem
Az ügyfélszervezet munkatársa a kitöltött NBSZ-IBD űrlapot PDF formátumban elektronikus aláírással (pl.: Ügyfélkapu Azonosításra Visszavezetett Dokumentum Hitelesítés funkció (AVDH)) vagy más módon hitelesítve, elektronikus úton megküldi az NBSZ központi hivatali kapujára (KRID: 427386978). Az NBSZ-IBD űrlaphoz minden egyes elektronikus információs rendszerre külön NEIH-OVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-OVI űrlap a biztonsági osztályba sorolás eredményén túl a 41/2015. (VII. 15.) BM rendelet 1., 3. és 4. melléklete szerinti adatokat egyesíti. A 4. melléklet szerinti adatok a kapcsolódó, “a biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények teljesülésének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap az ügyfél azonosító adatait, illetve a csatolt dokumentumok egyes metaadatait tartalmazza.
Az alapértelmezettől eltérő kockázatelemzési módszertan használata esetén a kockázatelemzés dokumentációját szintén csatolni kell az NBSZ-IBD űrlaphoz. Önálló kockázatelemzési dokumentációt kell csatolni akkor is, ha korábban megállapított biztonsági osztályba sorolás felülvizsgálata keretében az ügyfél szervezet a korábbinál alacsonyabb biztonsági osztályba sorolást állapít meg. Az NBSZ IBD űrlaphoz szintén csatolni kell a rendszerleírást tartalmazó dokumentumokat.
Beküldés módja:
Hivatali kapu / cégkapu esetében: Az ügyfélszervezet hivatali kapujáról vagy a szervezet cégkapujáról kell megküldeni az NBSZ központi hivatali kapujára (KRID: 427386978).
Általános kéreleműrlap (e-Papír) esetében: Az ügyfélszervezetnél az NBSZ által bejegyzett, az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) kitölti az általános kéreleműrlapot (e-Papírt) a https://epapir.gov.hu webhelyen. Ennek során a “Témacsoport” és az “Ügytípus” mezőbe is az “Egyéb” értéket kell beírni. Az e-Papírt az IBF, vagy ha az ügyfélszervezet bejegyzett IBF-fel még nem rendelkezik, más meghatalmazott munkatársa személyes ügyfélkapujáról megküldi az NBSZ központi hivatali kapujára (KRID: 427386978).
Felhívjuk a figyelmet, hogy az Ibtv. 22/A.§ (1) bekezdésében foglalt rendelkezések alapján ezen ügytípusban kizárólag az NBSZ hivatali kapujára elektronikusan megküldött iratok érdemi vizsgálatára van jogszerűen lehetőség, az egyéb módon, így különösen postán, vagy elektronikus levélben érkező beadványokat az NBSZ további vizsgálat nélkül visszautasítani köteles.
Döntéshozatal
A hatóság a biztonsági osztályba sorolás megfelelőségéről és nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.
A biztonsági osztályba sorolás akkor megfelelő, ha az az ügyfél szervezet saját információbiztonsági kockázatával összhangban van, illetve a kockázatelemzés önmagában következetes. Egy adott elektronikus információs rendszerre vonatkozó biztonsági osztályba sorolás eredménye a kapcsolódó NEIH-OVI űrlapon és az informatikai biztonsági szabályzatban nem lehet ellentétes.
A hatóság ügyintézési határideje 60 nap, amelybe az ügyfél késedelmének időtartama nem számít bele.
