Biztonsági osztályba sorolás megfelelőségének ellenőrzése (Ibtv.)

Az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelőségének ellenőrzése az Ibtv. 14. § (2) bekezdés a) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/C. § (1) bekezdése által együettesen kijelölt eljárásban történik. Az ügyfél szervezet önkéntes adatszolgáltatása kérelemre induló hatósági eljárásnak minősül. Ha a NEIH-OVI űrlapokat az ügyfél szervezet a hatóság felszólítására nyújtja be, akkor arra a hivatalból induló eljárás szabályait kell alkalmazni.

 

Előfeltételek

Az elektronikus információs rendszereket az Ibtv. 1. § (3) bekezdése szerint adatkezelési célok mentén kell elhatárolni egymástól. Egy elektronikus információs rendszer az adatkezelési célját kiszolgáló rendszerelemek (személyek, eszközök, módszerek és szabályozási elemek) összességéből áll. Különböző elektronikus információs rendszereknek lehetnek közös rendszerelemeik, ezeket az ily módon rájuk értelmezhető legmagasabb kockázatnak megfelelően kell védeni.

Az elektronikus információs rendszerek biztonsági osztályba sorolásához a 41/2015. (VII. 15.) BM rendelet 1. melléklete szerinti módszertannak megfelelő információbiztonsági kockázatelemzést kell végezni, ahol a kockázatgazda az ügyfél szervezet vezetője, vagy az Ibtv. 9. § (2) bekezdése szerinti szervezeti egység vezetője. Maga a módszertan lehetőséget ad más módszertan alkalmazására, ez azonban a biztonsági osztályba sorolás eredményének formátumát nem befolyásolhatja.

A 187/2015. (VII. 13.) Korm. rendelet 11. § (4) bekezdése miatt a kockázatelemzést az ügyfél szervezetnek akkor is el kell végeznie, ha az érintett elektronikus információs rendszert központosított informatikai vagy hírközlési szolgáltatótól igénybe vett szolgáltatás keretében használja.

A kockázatelemzést minden elektronikus információs rendszerre külön NEIH-OVI űrlapon, az “Osztályba sorolás” fülön kell elvégezni, mely alapján a NEIH-OVI űrlap Összegzés fülén bizalmasságra, sértetlenségre és rendelkezésre állásra lebontva automatikusan kiszámításra kerül a biztonsági osztályba sorolás eredménye. Maga a biztonsági osztály a “high water mark” elvén a bizalmasság, sértetlenség és rendelkezésre állás értékének maximuma. Az alapértelmezettől eltérő kockázatelemzési módszertan használatával kapott biztonsági osztályok rögzítéséhez lásd a kitöltési útmutatót.

 

Kérelem

Az ügyfél szervezet munkatársa a kitöltött NBSZ-IBD ÁNYK-űrlapot a szervezet hivatali kapujáról feladja az NBSZ hivatali kapujára (KRID: 427386978) címezve. Ha az ügyfél szervezetnek van hatósági nyilvántartásba bejegyzett elektronikus információs rendszer biztonságáért felelős személye (IBF), akkor az NBSZ-IBD űrlapot az IBF is benyújthatja személyes ügyfélkapujáról az NBSZ hivatali kapujára. Az NBSZ-IBD űrlaphoz minden egyes elektronikus információs rendszerre külön NEIH-OVI űrlapot kell csatolni, a kitöltési útmutatónak megfelelően elkészített XML formátumban. Több csatolmány esetén egyetlen ZIP vagy RAR archívumot szükséges készíteni, és ezt kérjük az űrlaphoz csatolni. A NEIH-OVI űrlap a biztonsági osztályba sorolás eredményén túl a 41/2015. (VII. 15.) BM rendelet 1., 3. és 4. melléklete szerinti adatokat egyesíti. A 4. melléklet szerinti adatok a kapcsolódó, “a biztonsági osztályba sorolás alapján kötelező információbiztonsági követelmények teljesülésének ellenőrzése” eljárásban kerülnek felhasználásra. Az NBSZ-IBD űrlap az ügyfél azonosító adatait, illetve a csatolt dokumentumok egyes metaadatait tartalmazza.

Az alapértelmezettől eltérő kockázatelemzési módszertan használata esetén a kockázatelemzés dokumentációját szintén csatolni kell az NBSZ-IBD űrlaphoz. Önálló kockázatelemzési dokumentációt kell csatolni akkor is, ha korábban megállapított biztonsági osztályba sorolás felülvizsgálata keretében az ügyfél szervezet a korábbinál alacsonyabb biztonsági osztályba sorolást állapít meg.

Az ügyfél szervezetnek az Eüsztv. 18. § (1) bekezdésében elvárt, hitelt érdemlő azonosítása személyes ügyfélkapuról, illetve elektronikus levélben történő benyújtás esetén az NBSZ-nél nem oldható meg. A postai úton történő benyújtást az Ibtv. 22/A. § (1) bekezdése zárja ki. Mindezekre és az Ákr. 46. § (1) bekezdés a) pontjára, illetve a (2) bekezdésre tekintettel az ily módon benyújtott kérelmeket visszautasítjuk.

 

Döntéshozatal

A hatóság a biztonsági osztályba sorolás megfelelőségéről és nyilvántartásba vételéről határozatot hoz, melyet kizárólag az ügyfél szervezettel közöl.

A biztonsági osztályba sorolás akkor megfelelő, ha az az ügyfél szervezet saját információbiztonsági kockázatával összhangban van, illetve a kockázatelemzés önmagában következetes. Egy adott elektronikus információs rendszerre vonatkozó biztonsági osztályba sorolás eredménye a kapcsolódó NEIH-OVI űrlapon és az informatikai biztonsági szabályzatban nem lehet ellentétes.

A hatóság ügyintézési határideje sommás eljárás esetén 8 nap, egyébként 30 nap, melybe az ügyfél késedelmének időtartama nem számít bele.