neih.gov.hu/biztonsagi-szint-kovetelmenyei oldalon tekintheti meg.

A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének d) pontja által együttesen kijelölt eljárásban történik.

">

Biztonsági szintbe sorolás alapján kötelező védelmi intézkedések nyilvántartásba vétele (NEIH)

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-szint-kovetelmenyei oldalon tekintheti meg.

A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének d) pontja által együttesen kijelölt eljárásban történik.

Kulcsszavak: biztonsági szint

Az eljárás alább ismertetett rendje előreláthatólag 2019. január 1-től kerül bevezetésre. Az eljárás aktuális menetét a neih.gov.hu/biztonsagi-szint-kovetelmenyei oldalon tekintheti meg.

A biztonsági szintbe sorolás alapján kötelező információbiztonsági követelmények nyilvántartásba vétele az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14. § (2) bekezdésének b) pontja, a 15. § (1) bekezdésének b) pontja és a 187/2015. (VII. 13.) Korm. rendelet 10/D. § (1) bekezdésének d) pontja által együttesen kijelölt eljárásban történik.

Az Ibtv. 2. § (1)-(2) bekezdésével érintett jogalanyok, a (3)-(7) bekezdéssel érintett szervezetek kivételével.

A szervezetnek a 41/2015. (VII. 13.) BM rendelet 2. melléklete alapján fel kell térképeznie, hogy a biztonsági szintbe sorolás eredménye alapján egy adott területen milyen védelmi intézkedéseket kell megvalósítania az e mellékletben, egyes szintmeghatározások alatt felsorolt védelmi intézkedések közül. Amint a NEIH-BSZS űrlapon kiszámításra került szervezet vagy szervezeti egység biztonsági szintje, az átvezethető a NEIH-BSZÁF űrlapra, mely ezután a "Követelmények" lapfülön automatikusan színnel jelzi a kötelező intézkedéseket.

A nem adatkezelői minőségben felmerülő közreműködők (adatfeldolgozók, üzemeltetők stb.) által vállalt intézkedéseket az ügyfél szervezet az Ibtv. 11. § (1) bekezdés k)-l) pontjának megfelelő szerződésben állapítja meg a közreműködő számára. Az áthárított intézkedésekről a közreműködőt az ügyfél szervezet nyilatkoztatja, és saját NEIH-BSZÁF űrlapjára felvezeti.

Ha a szervezet a szervezeti egység vagy terület védelmének biztosításához külső adatkezelőt vesz igénybe, az Ibtv. 11. § (3) bekezdése szerinti szerződésben mindkét fél által vállalt intézkedéseket rögzíteni kell. Az adatkezelők önállóan is eljárás alá vonhatók!

A szervezetnek a "Követelmények" lapfülön a "Megvalósult-e" oszlopban "Igen" és "Nem" válaszokkal nyilatkoznia kell arról, hogy az egyes intézkedéseket bevezette-e a szervezetnél (ezt a nem kötelező sorokban is valós adatokkal kell kitölteni). Ha az adott sorban szereplő intézkedést valamely szerződéses vagy jogszabály alapján kijelölt közreműködő az Ibtv. 11. § (1) bekezdés k)-l) pontja vagy a (3) bekezdés szerint átvállalta, az adott sor „Közreműködő” oszlopában az intézkedés megvalósításáért felelős jogalanyt azonosítani kell.

A fenti adatokat a szervezet egészére, illetve minden vizsgált szervezeti egységre (és utóbbi esetben a szervezet fennmaradó részére) külön NEIH-BSZÁF űrlapon kell kitölteni.

A NEIH-BSZÁF űrlapon a fentieken túl az alábbi adatokat kell megadni:

Költségvetési szerv mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, felügyeleti szerv intézkedését kérheti, illetve információbiztonsági felügyelő miniszter általi kirendelését kezdeményezheti.

Egyéb jogalany mulasztása esetén a hatóság felszólítja a szervezetet kötelezettségének teljesítésére, illetve 50 ezer Ft-tól 5 millió Ft-terjedő eljárási bírságot szabhat ki, szükség esetén az eljárás során több ízben is.

Ügyfél adatszolgáltatásának határideje:

2013. július 1-jén a kötelezett szervezetnél fennálló adatkezelés esetén a biztonsági szintbe soroláshoz kötődően megtett védelmi intézkedések bejelentési határideje: 2014. július 1.

2013. július 1-jén működő szervezetnél az 1. biztonsági szintnek megfelelő védelmet 2020. július 1-ig kell megvalósítani. Minden további biztonsági szinthez tartozó követelmények teljesítésére (ha azt a biztonsági szint indokolja) további 2-2 év áll rendelkezésre.

Azon szervezetek, amelyek 2013. július 1-jét követően kezdik meg adatkezelési tevékenységüket (e tekintetben jogelőd nélkül), az adatkezelés megkezdését követő 1 éven belül kötelesek bejelenteni a biztonsági szintbe soroláshoz kötődően megtett védelmi intézkedéseket. Ezt követő további 6 éven belül kell az 1. biztonsági szinthez tartozó követelményeket teljesíteni, a további biztonsági szintek elérésére 2-2 év áll rendelkezésre.

Ha valamely terület védelme a korábban benyújtott állapotfelméréshez képest egy újabb biztonsági szintnek megfelelt, az így kapott NEIH-BSZÁF űrlapokat a változást követő 8 napon belül kell bejelenteni.

Hatóság ügyintézési határideje:

Sommás eljárás esetén: az eljárás megindulását követő 8. nap.

Teljes eljárás esetén: az eljárás megindulását követő 30. nap.

Az ügyintézési határidőbe az ügyfél késedelmének, mulasztásának időtartama nem számít bele.

Az eljárás illetékmentes.

Nemzetbiztonsági Szakszolgálat Nemzeti Elektronikus Információbiztonsági Hatóság

Fővárosi Közigazgatási és Munkaügyi Bíróság (közigazgatási per)

A hatóság lefolytatja az alábbi kapcsolódó eljárást: biztonsági szintbe sorolás nyilvántartásba vétele.

NEIH-BSZÁF űrlap

NEIH-BSZS űrlap

A tájékoztatóban hivatkozott űrlapok jelenleg nem elérhetők, kialakítás alatt vannak.

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról

41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről

38/2011. (III. 22.) Korm. rendelet a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról

2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól

2016. évi L. törvény az általános közigazgatási rendtartásról

2017. évi I. törvény a közigazgatási perrendtartásról

1990. évi XCIII. törvény az illetékekről

biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére

biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére

auditálás: előírások teljesítésére vonatkozó megfelelőségi vizsgálat, ellenőrzés

megelőzés: a fenyegetés hatása bekövetkezésének elkerülése

biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül

súlyos biztonsági esemény: olyan informatikai esemény, amely bekövetkezése esetén az állami működés szempontjából kritikus adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, emberi életek kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be, súlyos bizalomvesztés következhet be az állammal vagy az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek

észlelés: a biztonsági esemény bekövetkezésének felismerése

reagálás: a bekövetkezett biztonsági esemény terjedésének megakadályozására vagy késleltetésére, a további károk mérséklésére tett intézkedés

biztonsági esemény kezelése: az elektronikus információs rendszerben bekövetkezett biztonsági esemény dokumentálása, következményeinek felszámolása, a bekövetkezés okainak és felelőseinek megállapítása, és a hasonló biztonsági események jövőbeni előfordulásának megakadályozása érdekében végzett tervszerű tevékenység

védelmi feladatok: megelőzés és korai figyelmeztetés, észlelés, reagálás, eseménykezelés

adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja

adatfeldolgozó: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi

üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi és a működésért felelős

Array

NEIH