Útmutató projektzáráshoz

Tájékoztató a KÖFOP-VEKOP projektek lezárásához szükséges elektronikus információbiztonságra vonatkozó követelményekről

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: Ibtv.) 8. § (7) bekezdése alapján az új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer fejlesztése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell. Fenti előírás alapján a projektgazda által előzetesen, a kockázatelemzés által megállapított és a hatóság által jóváhagyott, az elektronikus információs rendszerre vonatkozó biztonsági osztályhoz tartozó védelmi intézkedéseket (41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről) a projekt keretében szükséges megvalósítani.

A projekt keretében létrehozott rendszer biztonsági megfelelősége, az NKI által megállapított hiányosságok pótlása, valamint a kockázatkezelési intézkedés meghozatala kapcsán készített szakmai beszámoló NKI általi elfogadása – a pályázati kiírás alapján – a projekt fejlesztési fázisai lezárásának és az üzembe helyezésnek a feltétele.

A szakmai beszámoló tartalmi elemei:

  • a projekt rövid bemutatása
  • a projekt által létrehozott/fejlesztett elektronikus információs rendszerek rövid bemutatása
  • az elektronikus információs rendszerek tervezés során meghatározott biztonsági osztályának bemutatása, kockázatelemzés, indokolás
  • a fejlesztett rendszer(-ek) olyan kapcsolódásainak biztonsági megoldásainak bemutatása, ahol azok eltérő biztonsági osztályba tartozó rendszerekhez kapcsolódnak
  • a biztonsági osztályhoz tartozó védelmi intézkedések bemutatása:
    • OVI űrlap hiánytalan kitöltése
    • ha eltérés van a tervezés során meghatározott biztonsági osztály és a bevezetés előtti elvárt biztonsági osztály között, annak indoklása
    • a védelmi/helyettesítő védelmi intézkedéseknek a projekt-dokumentumokban történő megjelölése
  • a feltárt hibák, sérülékenységek kijavítására, a megállapított kockázatok kezelésére vonatkozó intézkedésekről készített kimutatás indokolással (megszüntetés; csökkentés; áthárítás; felvállalás)

A szakmai beszámolót a projekt elektronikus információbiztonságához kapcsolódó végleges dokumentumokkal együtt a projekt zárást megelőző legalább 30 nappal szükséges beküldeni.

A hatóság a szakmai beszámoló által alátámasztott információbiztonsági követelmények teljesülése esetén a szakmai beszámolóban érintett rendszer információbiztonsági szempontú megfelelőségéről állásfoglalást bocsát ki.

Kérem továbbá, hogy amennyiben a projekt által finanszírozott elektronikus információs rendszerek valamelyikének elhelyezésére a Kormányzati Adatközpontban kerül sor, továbbá ezek korai jelzőrendszerhez (EWS-hez) történő illesztéssel kapcsolatos egyeztetések még nem kezdődtek meg, a hivatalos elérhetőségeink valamelyikén vegyék fel a kapcsolatot az NBSZ NKI illetékeseivel abból a célból, hogy a csatlakozással kapcsolatban egyeztetést kezdeményezhessünk.