Nagy Zoltán Attila CISM A NEIH (Nemzeti Elektronikus Információbiztonsági Hatóság) megalakulása ISCD 2013 Balatonöszöd 2013.09.02-2013.09.03. Előadó: Nagy Zoltán Attila CISM
Kiberbiztonsági Koordinációs Tanács Kiberbiztonsági Fórum Nemzeti Eseménykezelési Központ Munkacsoport 2013. évi L. tv. 301/2013.(VII.29.) Korm. Rendelet Kormányzati IT és hálózatbiztonsági információ-megosztási, incidens-kezelési együttműködési munkacsoport (Kormányzati IKMCS) Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) Nemzeti Biztonsági Felügyelet (Szakhatóság) Kormányzati Eseménykezelő Központ Ágazati Eseménykezelő Központok Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja
Az elektronikus információs rendszerek biztonsági osztályba sorolása Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje Közreműködők a szervezetek elektronikus információs rendszereinek védelmében Az elektronikus információs rendszereket felügyelő hatóság (NEIH) Információbiztonsági felügyelő A Nemzeti Biztonsági Felügyelet, mint szakhatóság Kormányzati eseménykezelő központ (GovCERT) Gyakorlatok, oktatás
A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme.
A NEIH tevékenységét közvetlenül meghatározó jogszabályok 2013. évi L. törvény (Az állami és önkormányzati szervek elektronikus információbiztonságáról) (Ibtv.) 301/2013.(VII.29.) Korm. Rendelet (A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról)
Kiadás előtt állnak: …./2013. (……..) Nfm. Rendelet I. (A szervezetek adatbejelentési kötelezettségét szabályozó rendelet) …./2013. (……..) Nfm. Rendelet II. (A szervezetek elektronikus információs rendszereinek biztonsági osztályba sorolása) …. /2013. (……..) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról
A NEIH tevékenységét meghatározó jogszabályok Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Kormányhatározat, Magyarország Nemzeti Katonai stratégiájának elfogadásáról szóló 1656/2012. (XII. 20.) Kormányhatározat, Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Kormányhatározat, 2013. évi L. törvény Az állami és önkormányzati szervek elektronikus információbiztonságáról 301/2013. (VII. 29.) Korm. Rendelet A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról A létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvényhez, azon belül a létfontosságú rendszerek és létesítmények hálózatbiztonsági környezetének kialakítása, Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről 233/2013.(VI.30.) Korm. Rendelet 7. A Magyary Zoltán Közigazgatás-fejlesztési Program, 8. A Digitális Megújulás Cselekvési Terv, 9. Az Európai Unió stratégiai törekvéseihez, úgymint a Digitális Menetrend, valamint az Elektronikus Kormányzati Cselekvési Terv
A NEIH tevékenységét meghatározó Európai Uniós kapcsolódások Az Európai Parlament által 2012. november 22-én elfogadott, a kiberbiztonságról és védelemről szóló, 2012/2096 (INI) számú határozata Az Európai Bizottság és az Európai Unió közös kül- és biztonságpolitikájának főképviselője által 2013. február 7-én "Az Európai Unió Kiberbiztonsági Stratégiája: egy nyílt, biztonságos és megbízható kibertér" címmel közzétett közös közleménye Az Európa Tanács számítástechnikai bűnözéssel szembeni, 2001. november 23-i budapesti egyezménye (CyberCrime Convention – Budapesti Konvenció), A kritikus információs infrastruktúrák védelméről szóló, 2011. május 27-i tanácsi következtetésekre és a kiberbiztonságról szóló korábbi tanácsi következtetése, A Bizottság Közleményéhez az Európai Parlamentnek, a Tanácsnak, az Európai gazdasági és Szociális bizottságnak és a Régiók Bizottságának a kritikus informatikai infrastruktúrák védelméről - „Európa védelme a nagyszabású számítógépes támadások és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása” (COM(2009)0149).
Az Ibtv. rendelkezéseit kell alkalmazni: a) a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével, b) a Köztársasági Elnöki Hivatalra, c) az Országgyűlés Hivatalára, d) az Alkotmánybíróság Hivatalára, e) az Országos Bírósági Hivatalra és a bíróságokra, f ) az ügyészségekre, g) az Alapvető Jogok Biztosának Hivatalára, h) az Állami Számvevőszékre, i) a Magyar Nemzeti Bankra, j) a fővárosi és megyei kormányhivatalokra, k) a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra, l) a Magyar Honvédségre. a) Az Ibtv 2.§ (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők, b) a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, c) az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.
Az Ibtv. rendelkezéseit kell alkalmazni: 2.§ (3) A minősített adatokat kezelő elektronikus információs rendszereket érintően a) e törvény rendelkezéseit a minősített adat védelmére vonatkozó jogszabályokban meghatározott eltérésekkel kell alkalmazni, b) a 14–18. §-ban meghatározott feladatok ellátásáról a minősített adatok védelmének szakmai felügyeletéért felelős miniszter gondoskodik. 2.§ (4) (4) A 14–18. §-ban meghatározott feladatok ellátásáról: a) a Magyar Honvédség és a Katonai Nemzetbiztonsági Szolgálat zárt célú elektronikus információs rendszerei, továbbá a Honvédelmi Tanács és a Kormány speciális működését biztosító infokommunikációs támogató rendszerei esetében a honvédelemért felelős miniszter, b) a rendvédelmi szervek és a rendvédelmi szervet irányító miniszter által irányított szervek zárt célú elektronikus információs rendszerei esetében a rendvédelmi szervet irányító miniszter, c) a diplomáciai információs célokra használt zárt célú elektronikus információs rendszerei esetében a külpolitikáért felelős miniszter, d) a Nemzeti Adó- és Vámhivatalnak az állami költségvetési bevételek biztosítását támogató elektronikus információs rendszerei esetében az adópolitikáért felelős miniszter, e) az Információs Hivatal esetében a Kormány polgári hírszerzési tevékenység irányításáért felelős tagja, f) a Nemzeti Média- és Hírközlési Hatóság esetében a Nemzeti Média- és Hírközlési Hatóság elnöke jogszabályban meghatározottak szerint gondoskodik. A 2.§ (4) alá tartozó szervek ágazati eseménykezelő központokat hozhatnak létre, melyek biztonsági eseményeit a Kormányzati Eseménykezelő Központ kezeli
Az elektronikus információs rendszerek biztonsági osztályba sorolása biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a biztonsági osztályba sorolást, a már működő rendszereikre tekintettel.
Alapvető elektronikus információbiztonsági követelmények A rendszerek teljes életciklusában biztosítani kell: a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét. A szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják: a megelőzést és a korai figyelmeztetést, az észlelést, a reagálást, a biztonsági események kezelését.
A biztonsági osztályba sorolás alkalmával 1-től 5-ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi előírásokkal együtt. A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá, amit a szervezet informatikai biztonsági szabályzatában rögzíteni kell. A szervezet vezetője az elektronikus információs rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat. A biztonsági osztályba sorolást legalább 3 évente vagy szükség esetén soron kívül (jogszabályban meghatározott változás vagy új elektronikus információs rendszer esetén, a szervezet státuszában v. a kezelt ill. feldolgozott adatok vonatkozásában következik be változás) felül kell vizsgálni. A Hatóság (NEIH) a szervezet által megállapított biztonsági osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is megállapíthat.
Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kell végezniük a szervezet biztonsági szintbe sorolását.
A szervezet biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos besorolású, de legalább: 2-es szintű: - Köztársasági Elnöki Hivatal, - Országgyűlés Hivatala, - Alkotmánybíróság Hivatala, - Alapvető Jogok Biztosának Hivatala, - A helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra 3-as szintű: - A központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével), - Országos Bírósági Hivatalra és a bíróságokra, - Ügyészségek, - Állami Számvevőszék, - Magyar Nemzeti Bank, - Fővárosi és megyei kormányhivatalok
A szervezet biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos besorolású, de legalább: 4-es szintű: - Magyar Honvédség 5-ös szintű: - A jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói, - Az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.
A szervezet az e törvényben meghatározott feltételeknek megfelelő, az adott szervezetre irányadó besorolási szintnél magasabb szintű besorolást is megállapíthat. A Hatóság a szervezet által megállapított biztonsági szintet felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű besorolást is megállapíthat. A szervezetnek magának kell meghatároznia a jogszabály alapján, hogy mely biztonsági szintnek felel meg. Ha nem éri el a kívánt biztonsági szintet -> 90 napon belül cselekvési tervet kell készítenie. Ha az 1. szintet sem éri el -> egy éve van az 1. szint eléréséhez szükséges intézkedések megvalósításához. Lehetőség van az előírt biztonsági szint fokozatos elérésére -> 2 évente minimum egy biztonsági szinttel feljebb kell lépnie. A biztonsági szintet minimum 3 évente, szükség esetén soron kívül felül kell vizsgálni. A szervezet biztonsági szintbe sorolását a szervezet vezetője hagyja jóvá, továbbá a biztonsági szintbe sorolás eredményét a szervezet informatikai biztonsági szabályzatában kell rögzíteni.
Közreműködők a szervezetek elektronikus információs rendszereinek védelmében A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről (a közreműködőkre vonatkozóan) az alábbiak szerint: Ha az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik arról (a szervezet vezetője), hogy a 2013. évi L. törvényben foglaltak szerződéses kötelemként teljesüljenek. Ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, gondoskodik arról (a szervezet vezetője), hogy a 2013. évi L. törvényben foglaltak szerződéses kötelemként teljesüljenek.
Az elektronikus információs rendszer biztonságáért felelős személy biztosítja az Ibtv-ben meghatározott követelmények teljesülését: a szervezet valamennyi elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatkezelésében, karbantartásában vagy javításában közreműködők, ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, a közreműködők, a törvény hatálya alá tartozó elektronikus információs rendszereit érintő, biztonsággal összefüggő tevékenysége esetén. E tekintetben a feladatok és felelősségek más személyre át nem ruházhatók. A biztonságért felelős személy a közreműködőktől a biztonsági követelmények teljesülésével kapcsolatban jogosult tájékoztatást kérni. Ennek keretében a követelményeknek való megfelelőség alátámasztásához szükséges bekérni a közreműködői tevékenységgel kapcsolatos adatot, illetve az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi dokumentumot.
(301/2013. (VII. 29.) Korm. Rendelet) Ha a szervezet adatkezelési, vagy adatfeldolgozási tevékenységéhez, vagy az elektronikus információs rendszere üzemeltetéséhez az Ibtv. hatálybalépése előtt megkötött szerződés alapján közreműködőt vesz igénybe, a biztonsági követelmények teljesítéséről azt nyilatkoztatni, a nyilatkozatot a Hatóság részére másolatban e rendelet hatályba lépését követő 90 napon belül megküldeni köteles.
Az elektronikus információs rendszereket felügyelő hatóság (NEIH) A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának felügyeletét – a 2. § (3) és (4) bekezdésben meghatározott kivétellel – az informatikáért felelős miniszter látja el a hatóság útján, amely az informatikáért felelős miniszter által vezetett minisztérium szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység.
A Hatóság feladatai (Ibtv.) - az osztályba sorolás és a biztonsági szint megállapításának ellenőrzése és az ellenőrzés eredménye alapján döntés meghozatala, - az elektronikus információs rendszerek osztályba sorolására és a szervezetek biztonsági szintjeire vonatkozó, jogszabályban meghatározott követelmények teljesülésének ellenőrzése, - az ellenőrzés során a feltárt vagy tudomására jutott biztonsági hiányosságok elhárításának elrendelése, és eredményességének ellenőrzése, - a rendelkezésre álló információk alapján kockázatelemzés elvégzése, - a hozzá érkező biztonsági eseményekkel kapcsolatos bejelentések kivizsgálása, - a kormányzati incidens-kezelő munkacsoport irányítása, - javaslattétel a létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére, - az információs társadalom biztonságtudatosságának elősegítése és támogatása, - véleményezési jog: a GovCERT-nek az ágazatok közti, a biztonsági események esetén követendő szabályokról és felelősségi körökről szóló tervezetével kapcsolatban, - éves és egyedi jelentések készítése a Kormány részére az elektronikus információs rendszerek biztonságával, a létfontosságú információs rendszerelemek védelmével, és a kibervédelem helyzetével kapcsolatban
A Hatóság feladatai (Ibtv.) Együttműködés - a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló törvényben meghatározott elektronikus ügyintézési felügyelettel a szabályozott elektronikus ügyintézési szolgáltatás szolgáltatókra vonatkozó biztonsági követelmények teljesülésének ellenőrzésében, - a kormányzati eseménykezelő központtal, - a Nemzeti Kiberbiztonsági Koordinációs Tanáccsal, - a Nemzeti Média- és Hírközlési Hatósággal, - a Nemzeti Biztonsági Felügyelettel Kapcsolattartás - a nemzetbiztonsági szolgálatokkal, - a Nemzeti Média- és Hírközlési Hatósággal, - a kormányzati eseménykezelő központtal, - az ágazati eseménykezelő központokkal
A Hatóság feladatai (301/2013. (VII. 29.) Korm. Rendelet) Engedélyezi az érintett szervezetek által az Európai Unió tagállamaiban történő elektronikus információs rendszer üzemeltetését, Ellenőrzi az érintett szervezetek által az Európai Unió tagállamain kívül történő elektronikus információs rendszer üzemeltetést, Ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági követelmények teljesülését.
A Hatóság feladatai - IKMCS A Hatóság az elektronikus információbiztonság növelése, a legjobb gyakorlatok elterjesztése, az információbiztonsági tudatosság növelése és az azonnali reagálás érdekében kormányzati információtechnológiai és hálózatbiztonsági információ-megosztási, incidens-kezelési munkacsoportot működtet, amelynek tagjait a Hatóság által felkért szervezetek, a szakhatóság és a kormányzati eseménykezelő központ delegálják.
A Hatóság nyilvántartja és kezeli (Ibtv.) a) a szervezet azonosításához szükséges adatokat, b) a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályának és a szervezet biztonsági szintjének besorolását, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatait, c) a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, a 13. § (8) bekezdésében meghatározott végzettségét, d) a szervezet informatikai biztonsági szabályzatát, e) a biztonsági eseményekkel kapcsolatos bejelentéseket.
A Hatóság jogköre (Ibtv.) a) az érintett szervezeteknél a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályok teljesülését ellenőrizni, b) a követelményeknek való megfelelőség alátámasztásához szükséges dokumentumokat bekérni, illetve a 12. § b) pontja alapján megküldött dokumentációt felülvizsgálni, c) a 7–8. § szerinti biztonsági osztályba sorolást, a 9–10. § szerinti biztonsági szint megállapítását, vagy a védelmi intézkedéseket ellenőrizni, az ott feltárt hiányosságok felszámolásához szükséges intézkedéseket elrendelni, ezek teljesülését ellenőrizni, d) a központi és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában ellenőrizni az információbiztonsági követelmények megtartását, e) hazai információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokat szervezni, f ) a nemzetközi információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokon felkérésre képviselni Magyarországot, g) véleményezési jogot gyakorolni a kormányzati eseménykezelő központnak az ágazatok közötti, a biztonsági események esetén követendő szabályokról és felelősségi körökről szóló tervezetével kapcsolatban.
A Hatóság jogosult Nem költségvetési szerv esetén Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a Hatóság a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére, b) ha az a) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, az eset összes körülményeinek mérlegelésével bírságot szabhat ki, amely további nem teljesülés esetén megismételhető.
A Hatóság jogosult Költségvetési szerv esetén Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem tartja be, a Hatóság a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére, b) ha a felszólítás ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a (Hatóság) szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik – fordulhat és kérheti a közreműködését, c) ha az a) és b) pontban meghatározottak ellenére a szervezet a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, (a Hatóság) információbiztonsági felügyelő kirendelését kezdeményezheti.
A Hatóság eljárása (301/2013. (VII. 29.) Korm. Rendelet) Ügyintézési határidő: 60 nap (a Hatóság vezetője egy alkalommal 30 nappal meghosszabbíthatja) Az eljárást lezáró döntés meghozatala előtt az érintett szervezet vezetőjével egyeztetést folytat le. Helyszíni ellenőrzés keretében jogosult: - Az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni - Az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést, aktív, vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről másolatot készíteni. - Információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai rendszerhez egyedileg biztosított belépési jogosultsággal. - A Hatóság jogosult bármely, jogszabályban meghatározott hatáskörébe tartozó eljárási cselekményt haladéktalanul lefolytatni, ha az a magyar kiberteret, a nemzeti elektronikus adatvagyont, az állam és polgárai számára kiemelten fontos információs rendszereket súlyosan veszélyeztető fenyegetés elhárítását szolgálja.
A Hatóság által alkalmazható jogkövetkezmények (301/2013. (VII. 29 A Hatóság által alkalmazható jogkövetkezmények (301/2013. (VII. 29.) Korm. Rendelet) Írásban felszólítja az érintett szervezet vezetőjét az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a biztonsági követelmény sértés megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, az elvárt intézkedés megtételére. Azonnali intézkedések megtételére kötelezi a szervezetet, ha az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelmény súlyos biztonsági esemény bekövetkeztével fenyeget. Bírságot szab ki, minek mértéke ötvenezer forinttól ötmillió forintig terjedhet, amelyet 8 napon belül kell megfizetnie az érintett szervezetnek. A Hatóság a jogkövetkezmények alkalmazása során az alábbi szempontokat veszi figyelembe: az elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, a megsértett biztonsági követelménynek a biztonsági osztályba sorolás és biztonsági szint szerinti súlyát történt-e súlyos biztonsági esemény, vagy fennállt-e ilyen esemény bekövetkeztének veszélye a biztonsági esemény hatását, vagy lehetséges hatását az érintett szervezetre, vagy más szervezetekre az érintett szervezet magatartását, Hatósággal való együttműködését az esemény egyedi, vagy ismételt jellegét
Jogorvoslat A Hatóság határozatai ellen újrafelvételi eljárásnak nincs helye. A Hatóság határozatainak felügyeleti jogkörben való visszavonására, módosítására nincs lehetőség.
Információbiztonsági felügyelő (Ibtv.) Az információbiztonsági felügyelőt a Hatóság javaslatára az informatikáért felelős miniszter a 16. § (3) bekezdése (az első felszólítás eredménytelenségét követő felügyeleti szerv közreműködésének eredménytelensége esetén rendeli ki a Hatóság) szerinti esetben rendelheti ki. Az információbiztonsági felügyelő a fenyegetés elhárításához szükséges védelmi intézkedések eredményes megtétele érdekében a Kormány által rendeletben meghatározott intézkedéseket, eljárásokat javasolhat, a szervezet intézkedései tekintetében kifogással élhet. Az információbiztonsági felügyelő pénzügyi kötelezettségvállalásra nem jogosult. Határozott időtartamra rendeli ki, és vonja vissza a kirendelést ill. biztosítja a felügyelő szakmai irányítását az informatikáért felelős miniszter. Jogállására tekintettel minisztériumi kormánytisztviselőnek minősül, akire főosztályvezető-helyettesi munkakörben alkalmazott kormánytisztviselőre vonatkozó szabályokat kell alkalmazni. Legalább 3 éves vezetői gyakorlat és felsőfokú végzettség és szakképzettség szükséges.
Összeférhetetlenség Felügyelőnek nem rendelhető ki az a személy, aki: - az érintett szervezettel munkavégzésre irányuló jogviszonyban áll, vagy a kirendelést megelőző három évben állt - a kirendeléskor, vagy a kirendelést megelőző három évben az adott szervezetnél rendszeres és tartós megbízási vagy vállalkozási jogviszonyban áll, vagy állt - az adott szerv vezetőjének, gazdasági vezetőjének vagy alkalmazottjának hozzátartozója, e minőségének fennállása alatt, - az adott szervezet képviselője, e minőségének fennállása alatt, és annak megszűnésétől számított három évig, továbbá - az, akitől az adott helyzet tárgyilagos megítélése üzleti érdekeltségből vagy egyéb okból nem elvárható (elfogultság).
Az információbiztonsági felügyelő eljárása Jogosult - A szerv vezetőitől és bármely dolgozójától írásbeli és szóbeli tájékoztatást, adatszolgáltatást kérni, és a szervezet információtechnológiával kapcsolatos valamennyi dokumentumába, okiratába betekinteni, arról másolatot, kivonatot készíttetni. - A szerv valamennyi információtechnológiával kapcsolatos helyiségébe belépni. - Azonnali intézkedést javasolni a szerv vezetőjének a közvetlen fenyegetés elhárításához (működés korlátozása, leállítása). - Intézkedést javasolni a jogszabályszerű működés kialakításához vagy helyreállításához, ennek keretében különösen az érintett szabályzatok felülvizsgálatát kezdeményezni. - Előzetesen véleményezni a működéssel kapcsolatos elektronikus információbiztonságot is érintő intézkedéseket. - Kifogással élni az érintett szervezet által az Ibtv. alapján megtett vagy elmulasztott intézkedései, döntései tekintetében. Köteles - Megbízólevelét bemutatni. - Figyelemmel kísérni megbízatásának időpontjától kezdve az adott szervnél a jogszabályokban foglalt biztonsági követelmények és eljárások megvalósulását, a jogszabályokban előírt feladatok ellátását. - Feltárni azokat az okokat, amelyek a kötelezettség nem teljesítéséhez vagy esetleg a fenyegetés kialakulásához vezettek. - A szükséges intézkedések végrehajtására irányuló intézkedési tervet készíteni a szerv részére. - Azonnali intézkedéseket kezdeményezni úgy, hogy azok bevezetése nem lehetetleníti el az alaptevékenység ellátását, valamint azokról haladéktalanul értesíti a Hatóságot. - Betartani a titoktartási kötelezettségre vonatkozó szabályokat. - A megtett intézkedésekről a Hatóságnak folyamatosan beszámolni. - A megbízatásának megszűnésekor összefoglaló beszámolót készíteni a működéséről.
VI. A Nemzeti Biztonsági Felügyelet, mint szakhatóság 1,Éves ellenőrzési terv alapján a biztonsági osztályba sorolás és a biztonsági szint ellenőrzése, továbbá az ezekből fakadó követelmények teljesülése tekintetében és a hozzájuk érkező biztonsági eseményekkel kapcsolatos bejelentések ügyében a Hatóság megkeresésére szakhatóságként ill. egyedi esetekben felkérésére az érintett szervezeteknél sérülékenységvizsgálatot végez, valamint biztonsági események adatainak műszaki vizsgálatát végzi. Ezek eredményéről tájékoztatja a Hatóság vezetőjét. 2, A szervezetek felkérésére sérülékenységvizsgálatot valamint biztonsági események adatainak műszaki vizsgálatát végzi, melynek eredményéről tájékoztatja az érintett szervezet vezetőjét. Ezek eredményéről tájékoztatja a Hatóság vezetőjét. 3, Hazai információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokat szervez. 4, A nemzetközi információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokon felkérésre képviseli Magyarországot. 5, Véleményezi a GovCERT-nek az ágazatok közti, a biztonsági események esetén követendő szabályokról és felelősségi körökről szóló tervezetét. 6, Együttműködik a GovCERT-tel.
VII. Kormányzati eseménykezelő központ (GovCERT) a) az ágazati eseménykezelő központok szakmai támogatása, b) a nemzetközi eseménykezelési együttműködésekben Magyarország képviselete és az ágazati eseménykezelő központok tájékoztatása a nemzetközi szervezetektől tudomására jutott információbiztonságot érintő eseményekről, fenyegetésekről, c) a szervezetekkel való kapcsolattartás a bejelentett biztonsági események fogadására, valamint az azok kezeléséhez szükséges operatív intézkedések megtétele és koordinálása, d) napi rendszerességű hálózatbiztonsági helyzetértékelések elvégzése, e) folyamatosan elérhető 24 órás ügyelet működtetése, f ) a biztonsági események kivizsgálása során a jogszabályban meghatározottak szerint a biztonsági események adatai műszaki vizsgálatának elvégzése, g) a szervezeteknél előforduló biztonsági események adatainak gyűjtése, ezekről negyedévente jelentés készítése a Nemzeti Kiberbiztonsági Koordinációs Tanács részére, h) elemzések, jelentések készítése a Nemzeti Kiberbiztonsági Koordinációs Tanács részére a hazai és nemzetközi információbiztonsági irányokról, i) azonnali figyelmeztetések közzététele a kritikus hálózatbiztonsági eseményekről, ezek magyar nyelvű megjelenítése, j) a nemzetközileg publikált sérülékenységek közzététele a honlapján, k) hazai információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatok szervezése, l) felkérésre részvétel a nemzetközi információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokon, m) együttműködés a Hatósággal és a Nemzeti Biztonsági Felügyelettel.
Gyakorlatok, oktatás Gyakorlatok Oktatás A NEIH, az NBF, a GovCERT hazai információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokat szervez. Továbbá a NEIH, az NBF és a GovCERT nemzetközi információbiztonsági, létfontosságú információs infrastruktúra védelmi, kibervédelmi gyakorlatokon felkérésre képviseli Magyarországot. A NEIH az információs társadalom biztonságtudatosságának elősegítését és támogatását is szem előtt kell, hogy tartsa. Oktatás A Nemzeti Közszolgálati Egyetem kidolgozza és a közigazgatás-fejlesztésért felelős miniszter elé terjeszti a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek képzési, továbbképzési követelményeit, oktatási programját, Kidolgozza a biztonságért felelős személy meghatározott képzettségi követelményeit, Gondoskodik az érintett személyek éves továbbképzéséről, Közreműködik az információbiztonsági, kibervédelmi, létfontosságú információs rendszer védelmi gyakorlatokon.
A biztonságtudatosság elősegítése és támogatása A NEIH (Ibtv.14.§.g) alapján) egyik alapfeladata és a technikai biztonsági szint növelésén túl kiemelt célja az információs társadalom biztonságtudatosságának elősegítése és támogatása.
Köszönöm a figyelmüket! „Amikor a változás szelei fújnak, a kétkedők falakat húznak föl, az optimisták pedig vitorlákat” (ismeretlen szerző) Köszönöm a figyelmüket! Nagy Zoltán Attila, CISM Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) Kormányzati Informatikáért Felelős Helyettes Államtitkárság Nemzeti Fejlesztési Minisztérium 1011 Budapest, Iskola utca 13. Telefon: +36-1-795-7653 E-mail: attila.zoltan.nagy@nfm.gov.hu Szerkesztette: Szilárd Zoltán Telefon: +36-1-795-2701 E-mail: zoltan.szilard@nfm.gov.hu