Az elektronikus információs rendszerek biztonsági felügyeletével kapcsolatos jogszabályi változások

Az elektronikus információs rendszerek biztonsági felügyeletével kapcsolatos jogszabályi változások

A Kormány nemrégiben módosította az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendeletet.

A pontosítások értelmében az elektronikus információs rendszert érintő hatósági ellenőrzés elrendeléséről a vizsgálat alá vont szervezet vezetőjét előzetesen írásban, az elektronikus információs rendszereinek biztonságáért felelős személyt (IBF) elektronikus úton az ellenőrzés megkezdése előtt legalább tíz nappal értesíti. Az értesítésnek tartalmaznia kell az ellenőrzés célját, tárgyát, az elrendelésre okot adó körülményeket, a jogszabályi hivatkozást, és az ellenőrzés várható időtartamát, annak módját. Éppen ezért ne feledjük, hogy az IBF-et az NBSZ-IBF ÁNYK-űrlapon keresztül kell bejelenteni, a bejelentési kötelezettség valamennyi adatváltozásra is fennáll, szervezetünk érdeke, hogy a pontos elérhetőségi adatokat ismerje a hatóság. A Kürt Zrt. készségesen nyújt segítséget az ilyen típusú adatszolgáltatásokban is.

Továbbra is érvényes az a szabályozás, mely szerint az értesítést mellőzni lehet, ha 

  1. a) súlyos fenyegetettség áll fenn,
  2. b) súlyos biztonsági esemény történt,
  3. c) az a) vagy b) pont szerinti körülmény bekövetkezése valószínűsíthető, vagy
  4. d) az érintett szervezet a rendelkezésre álló adatok alapján az ellenőrzés eredményes lefolytatását feltehetően meghiúsítaná.

Ez utóbbi ponthoz kapcsolható, illetve hangsúlyozandó, hogy ellenőrzéssel érintett szervezet vezetője, munkatársa, alkalmazottja, illetve szerződéses jogviszony alapján az elektronikus információbiztonság tekintetében érintett egyéb közreműködő és az elektronikus információs rendszer biztonságáért felelős személy köteles a hatósággal (Nemzetbiztonsági Szakszolgálat) együttműködni. A jogszabály alapján tehát egy alvállalkozó is köteles együttműködni a vizsgálatban.

Az ellenőrzés során továbbra is alapelv, hogy az az adott szerv működésének és ügyvitelének lehető legkisebb mértékű zavarása mellett – önállóan, vagy más hatósággal együttműködve – zajlik. Az ellenőrzés kiterjed, érintheti az ellenőrzés alá vont szervezet információtechnológiai tevékenységével összefüggő helyiségeit, azokba szabad belépést kell biztosítani, az ellenőrzés során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni, valamint „információtechnológiai műszaki vizsgálatokat végezni”, amihez akár egyedileg biztosított belépési jogosultság is felhasználható. 

Technikai módosítás, hogy az ellenőrzésről a hatóság feljegyzést, és nem határozatot készít, amelyet az ellenőrzés lezárását követő nyolc napon belül az érintett szervezetnek írásban észrevételezésre megküld. Az érintett szervezet azzal kapcsolatban nyolc napon belül írásban tehet – a hatóságot egyébként semmiben nem kötelező – észrevételeket. Az észrevételek tisztázása érdekében a hatóság egyeztetést kezdeményezhet az érintett szervezettel.

 

Lényeges módosulás történt ugyanakkor az elektronikus információs rendszerre vonatkozóan a biztonsági osztályba sorolás tekintetében: kikerült ugyanis az a rendelkezés a hatályos normaszövegből, hogy az érintett szervezet vezetője a biztonsági osztályba sorolás követelményeiről szóló jogszabályban meghatározott biztonsági osztály helyett alacsonyabb osztályt állapít meg, azt részletesen indokolnia kell. Ez gyakorlatilag azt jelenti, hogy a szervezet önmaga nem irányozhat elő – hiszen a besorolás elfogadásáról a hatóság döntött eddig is – alacsonyabb besorolási osztályt. Éppen ezért kiemelten fontos, hogy megfelelő szakmai felkészültéséggel kerüljön meghatározásra az elektronikus információs rendszerre vonatkozóan a biztonsági osztályba sorolás, melyhez a Kürt Zrt. szakértőivel nyújt hathatós segítséget.

 

Csehi Gábor

KÜRT Csoport

Üdvözöljük oldalainkon, azonnali kapcsolatfvétel esetén a következő elérhetőségeket ajánljuk:

KÜRT Zrt.

1118 Budapest, Rétköz u. 5.

+36 1 424 6666
+36 1 228 5414
kurt(kukac)kurt.hu

Ügyélfogadási idők
Hétfő - Péntek 08:30 - 17:00

KUERT Datenrettung Deutschland GmbH

44787 Bochum Südring 23

0234 - 962 90 390
info @ kuert-datenrettung.de

Store Hours
Mon - Sun 09:00 - 18:00