Tájékoztató a KÖFOP-VEKOP projektek lezárásához szükséges elektronikus információbiztonságra vonatkozó követelményekről
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) 8. § (7) bekezdése alapján az új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer fejlesztése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell. Fenti előírás alapján a projektgazda által előzetesen, a kockázatelemzés által megállapított és a hatóság által jóváhagyott, az elektronikus információs rendszerre vonatkozó biztonsági osztályhoz tartozó védelmi intézkedéseket (41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről) a projekt keretében szükséges megvalósítani.
A projekt keretében létrehozott rendszer biztonsági megfelelősége, az NKI által megállapított hiányosságok pótlása, valamint a kockázatkezelési intézkedés meghozatala kapcsán készített szakmai beszámoló NKI általi elfogadása – a pályázati kiírás alapján – a projekt fejlesztési fázisai lezárásának és az üzembe helyezésnek a feltétele.
A szakmai beszámoló tartalmi elemei:
- a projekt rövid bemutatása
- a projekt által létrehozott/fejlesztett elektronikus információs rendszerek rövid bemutatása
- az elektronikus információs rendszerek tervezés során meghatározott biztonsági osztályának bemutatása, kockázatelemzés, indokolás
- a fejlesztett rendszer(-ek) olyan kapcsolódásainak biztonsági megoldásainak bemutatása, ahol azok eltérő biztonsági osztályba tartozó rendszerekhez kapcsolódnak
- a biztonsági osztályhoz tartozó védelmi intézkedések bemutatása:
- OVI űrlap hiánytalan kitöltése
- ha eltérés van a tervezés során meghatározott biztonsági osztály és a bevezetés előtti elvárt biztonsági osztály között, annak indoklása
- a védelmi/helyettesítő védelmi intézkedéseknek a projekt-dokumentumokban történő megjelölése
- a feltárt hibák, sérülékenységek kijavítására, a megállapított kockázatok kezelésére vonatkozó intézkedésekről készített kimutatás indokolással (megszüntetés; csökkentés; áthárítás; felvállalás)
A szakmai beszámolót a projekt elektronikus információbiztonságához kapcsolódó végleges dokumentumokkal együtt a projekt zárást megelőző legalább 30 nappal szükséges beküldeni.
A hatóság a szakmai beszámoló által alátámasztott információbiztonsági követelmények teljesülése esetén a szakmai beszámolóban érintett rendszer információbiztonsági szempontú megfelelőségéről állásfoglalást bocsát ki.
Kérem továbbá, hogy amennyiben a projekt által finanszírozott elektronikus információs rendszerek valamelyikének elhelyezésére a Kormányzati Adatközpontban kerül sor, továbbá ezek korai jelzőrendszerhez (EWS-hez) történő illesztéssel kapcsolatos egyeztetések még nem kezdődtek meg, a hivatalos elérhetőségeink valamelyikén vegyék fel a kapcsolatot az NBSZ NKI illetékeseivel abból a célból, hogy a csatlakozással kapcsolatban egyeztetést kezdeményezhessünk.