Főoldal  
 
Hírek
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
2018
2019
2020
2021
2022
2023
2024
Önkormányzatok
Önk. szövetségek
Jogszabályok

 mevakomi

 

vcr

m

civertan_logo_120px.jpg

vkf

blockcity

agrosol

 
glansya

 prosperty

elmuemasz

 mosz

mosz

s tér


europa a polgarokert

solarway

safecross

 
meva


s tér

nrgcar

csfa

eurest

leblanc

 okow

  

 mosz

mosz

mosz  

 /files/stihl.jpg

  /files/viking.jpg

 kas
/files/viking.jpg

/files/pma.jpg

 fsd

fsd

 
/files/nei.jpg
infraset
 
m

flaga
 
 
 
 
 
 
 







































eXTReMe Tracker
  Impresszum   Médiaajánlat    2024. november 21.
Újságcikkekben Weboldalon  
Keresés
Aktuális Hírek

Az információbiztonsági törvény és az önkormányzat
Fontos tudnivalók az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény végrehajtásáról

2013. július 1-jén hatályba lépett az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: az információbiztonsági törvény vagy törvény). A Magyar Közlöny 69. számában megjelent törvény 2. § (1) bekezdés k) pontja alapján annak hatálya kiterjed a helyi és nemzetiségi önkormányzatok képviselő-testületének hivatalaira is. Az alábbiakban a törvény legfontosabb előírásait szeretnénk megosztani olvasóinkkal.


Azonnali feladatok:

A törvény 26. § (3) bekezdése szerint a Nemzeti Fejlesztési Minisztérium irányítása alá tartozó Nemzeti Elektronikus Információbiztonsági Hatóság (továbbiakban: a Hatóság) részére meg kell küldeni

  • a hatályba lépést követő 60 napon belül:
    • a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, a 13. § (8) bekezdésében meghatározott végzettségét;
    • és a szervezet azonosításához szükséges adatokat;
  • a hatályba lépést követő 90 napon belül:
    • nyilvántartásba vétel céljából a szervezet Informatikai Biztonsági Szabályzatát.

2013. december 4-én megjelent az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről szóló 73/2013. (XII. 4.) NFM rendelet, melynek 11. §-a alapján a fenti feladatok határideje 2014. február 5-ére módosult.


Az elektronikus információs rendszerek biztonságáért felelős személy kijelölése körüli bizonytalanságok

Az elmúlt időszakban azt tapasztaltam, hogy a szervek vezetői részéről némi bizonytalanságot érzek az informatikai biztonsági felelős személyének kijelölésével kapcsolatban.

Nem egyértelmű a szervek vezetői részére, hogy ki láthatja el ezt a feladatot (elláthatja-e külsős is), milyen végzettséggel és milyen tapasztalatokkal kell rendelkeznie az illetőnek.

A tapasztalataim szerint az egyik legjellemzőbb megoldás - megjegyzem, hogy a hatályos jogszabályok jelenleg nem tiltják - hogy az adott szervezet jelenleg is alkalmazott rendszergazdáját jelölik ki a feladat ellátására, mondván ez is csak egy plusz feladat és hát mégiscsak informatikai feladat, tehát legyen a rendszergazda.


Elemezzük egy kicsit információbiztonsági szempontból:

  • 1. Az informatikai biztonsági felelős egyik legfontosabb feladata, hogy a szervezeten elül kialakítsa és ellenőrizze azokat az információbiztonsági szabályokat, amelyek az informatikai rendszerekkel kapcsolatba lépőkre vonatkoznak.

A rendszergazda üzemelteti az informatikai rendszereket, tehát ő is kapcsolatba lép az informatikai rendszerekkel, tehát ebben az esetben neki kellene saját maga részére szabályokat hoznia és saját magát kellene ellenőriznie. Nem kell ehhez információbiztonsági gyakorlat, hogy belássuk ez összeférhetetlen. Érdemes itt a kötelezettségvállalás, érvényesítés, utalványozás és ellenjegyzés területén az összeférhetetlenségi szabályokra gondolni.

  • 2. A másik problémát az szokta okozni, amikor a tényleges munkavégzésre kerül a sor, tehát meg kell írni egy Informatikai Biztonsági Stratégiát vagy egy Informatikai Biztonsági Szabályzatot, vagy kockázatelemzést kell készíteni, melynek előtte ki kell dolgozni a módszertanát.

Valljuk be, hogy nem biztos, hogy ezt a fajta szaktudást el lehet várni a kedves rendszergazdánktól, aki egyébként magabiztosan üzemelteti a szervereket és a felhasználók legnagyobb megelégedésére elhárítja a napi problémájukat.


Most pedig nézzük meg, hogy mit írnak a jogszabályok:

Az Ibtv. 13. § (8) és (10) bekezdései alapján

(8) A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.

(10) Nem kell a (8) bekezdés szerinti képzettséget megszereznie annak a személynek, aki rendelkezik a külön jogszabályban meghatározott, akkreditált nemzetközi képzettséggel vagy e szakterületen szerzett 5 év szakmai gyakorlattal.

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet 7. § (1) bekezdése alapján szakmai gyakorlatnak minősül

a) az információbiztonsági irányítási rendszer

aa) tervezése,

ab) kialakítása,

ac) működtetése során,

b) az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,

c) az információbiztonsági kockázatelemzés területén,

d) az elektronikus információs rendszerek információbiztonsági tanúsítási tevékenysége során, vagy

e) az elektronikus információs rendszerek információbiztonsági tesztelésében (etikus hacker tevékenységben)szerzett szakmai tapasztalat.

A rendelet 7. § (2) bekezdése szerint nem kell a szükséges szakképzettséget megszereznie annak, aki rendelkezik

a) az Information Systems Audit and Controll Association (ISACA) által kiadott:

aa) Certified Information System Auditor (CISA), vagy

ab) Certified Information Security Manager (CISM), vagy

ac) Certified in Risk and Information Systems Control (CRISC),

b) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP) érvényes oklevéllel.

Összefoglalva:

Az lehet elektronikus információs rendszerek biztonságáért felelős személy aki

  • 1. felsőfokú végzettséggel rendelkezik és elvégezte a Nemzeti Közszolgálati Egyetem által szervezett 2 féléves elektronikus információbiztonsági vezető képzést és megkapta az oklevelét,
  • 2. vagy felsőfokú végzettséggel és információbiztonság területén szerzett 5 év igazolt szakmai gyakorlattal rendelkezik,
  • 3. vagy felsőfokú végzettséggel rendelkezik és van legalább egy a fentiekben felsorolt nemzetközi képesítése.

Az az elektronikus információbiztonsági vezető szakirányú továbbképzési szakról bővebben az NKE honlapján olvashatnak:

http://vtki.uni-nke.hu/szakiranyu-tovabbkepzes/projektbol-fejlesztett-szakiranyu-tovabbkepzesi-szakok/elektronikus-informaciobiztonsagi-vezeto-szakiranyu-tovabbkepzesi-szak


További feladatok:

A törvényben előírt adminisztratív, fizikai és logikai védelmi intézkedéseket az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben található védelmi intézkedés katalógus szerint kell végrehajtani.


1. A szervezet biztonsági szintbe sorolása

Határidő: A törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.


2. A szervezet biztonsági szintjének megfelelő informatikai biztonsági irányítási rendszer kialakítására cselekvési terv készítése.

Határidő: Az 1-es pontban leírt feladat elvégzése után 90 nap.

Magyarázat: A törvény által előírt szervezeti szintű biztonsági besorolást követően, ha a szervezet - a rendeletben részletezett - a törvényben meghatározott biztonsági szintet nem éri el, akkor 90 napon belül cselekvési tervet kell készítenie az előírt biztonsági szint elérésére.

Önkormányzatok esetében a biztonsági szint: 2.

A törvény alapján a szervezetnek lehetősége van az előírt biztonsági szint fokozatos elérésére. Ennek keretében a magasabb biztonsági szint elérésére - minden egyes szintet érintően, a következő magasabb szintre lépéshez - két év áll rendelkezésére.

Ha a biztonsági szint a vizsgálat alapján az 1. szintet nem éri el, akkor az 1. szint eléréséhez szükséges intézkedéseket a lefolytatott vizsgálatot követő egy éven belül meg kell valósítani.


3. El kell végezni a szervezet elektronikus információs rendszereiben kezelt adatok biztonsági osztályba sorolását.

Határidő: A törvény hatályba lépést követő 1 éven belül, azaz legkésőbb 2014. július 1.


4. Cselekvési terv készítése az elektronikus információs rendszerek biztonsági osztályba sorolásának megfelelően az adott biztonsági szint eléréséhez.

Határidő: A 3-as pontban leírt feladat elvégzése után 90 nap.

Magyarázat: A szervezet az adott elektronikus információs rendszere biztonsági osztályba sorolását követően megvizsgálja, hogy a rendszer melyik biztonsági szintet éri el és ha hiányosságokat tapasztal, akkor 90 napon belül cselekvési tervet készít.

A védelem elvárt erősségének eléréséhez a szervezetnek lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első vizsgálatkor megállapított biztonsági osztályt alapul véve, minden egyes következő, magasabb biztonsági osztályhoz rendelt biztonsági intézkedések kivitelezésére két év áll rendelkezésére.


Hatósági ellenőrzés:

A fenti feladatok végrehajtását a Nemzeti Elektronikus Információbiztonsági Hatóság ellenőrzi, melynek feladat- és hatáskörét a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013. (VII. 29.) Korm. rendelet állapítja meg.

Az előírások be nem tartása esetén a Hatóság - a törvény 16.§ (3) bekezdése alapján - állami szervek esetében a következő szankciókkal élhet:

  • hatósági felszólítás,
  • a szervezetet felügyelő szerv bevonása a követelmények teljesítése érdekében,
  • Információbiztonsági felügyelő kirendelése.


A törvény szövege a Magyar Közlöny 69. számában a következő linken keresztül olvasható:
http://www.magyarkozlony.hu/dokumentumok/b64f8cfb288db9a0ee40ebfe995550a2f4baa406/megtekintes


Misák István
információbiztonsági tanácsadó
http://misec.hu/

Hírlevél

Amennyiben szeretné, hogy hírlevelet küldjünk Önnek, iratkozzon fel levelezőlistánkra!
Település:

 
Polgármester:

 
E-mail:



KIEMELT HÍREINK



Archívum

VIDEÓK
 
HÍRLISTA
 


 

  


 



Magyar Polgármester © 2004-2024 Minden jog fenntartva. Honlapkészítés www.webdesignstudio.hu
http://www.aka.hu