Közigazgatási és Igazságügyi Miniszter Nemzeti Fejlesztési Miniszter KIM/
/ /2013. A 2011. évi CXII. törvény 27. § (5)-(7) bekezdése alapján NEM NYILVÁNOS. Készült 2013. június 17-én
ELŐTERJESZTÉS az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló miniszteri rendelet
Budapest, 2013. június
készítette: dr. Tóth Katalin
[email protected] dr. Zámbó Nóra
[email protected] dr. Bodó Attila Pál főosztályvezető-helyettes
[email protected]
látta:
jóváhagyta:
dr. Palik Edit főosztályvezető
[email protected]
dr. Biró Marcell közigazgatási államtitkár
dr. Borókainé dr. Vajdovits Éva helyettes államtitkár
dr. Navracsics Tibor miniszter
2
E G Y E Z T E T É S I
L A P
1. Az egyeztetés alapadatai honlapon való közzététel időpontja: közigazgatási egyeztetésre megküldés: közigazgatási egyeztetés lezárása: államtitkári értekezlet időpontja: kormányülés időpontja
2013. 06. 17. 2013. 06. 21. -
2. Az egyeztetésben részt vevők 2.1. A Kormány ügyrendje/jogszabály alapján egyetértésre vagy véleményezésre jogosultak intézmény
egyetért
nem ért egyet
nem adott véleményt
észrevétele maradt fenn
egyetért
nem ért egyet
nem adott véleményt
észrevétele maradt fenn
Miniszterelnökség Belügyminisztérium Honvédelmi Minisztérium Külügyminisztérium Emberi Erőforrások Minisztériuma Nemzetgazdasági Minisztérium Nemzeti Fejlesztési Minisztérium Vidékfejlesztési Minisztérium 2.2. Egyéb állami szervek egyéb állami szerv Nemzeti Adatvédelmi és Információszabadság Hatóság Nemzeti Média- és Hírközlési Hatóság Nemzeti Hírközlési és Informatikai Tanács Pénzügyi Szervezetek Állami Felügyelete Gazdasági Versenyhivatal Nemzeti Adó- és Vámhivatal Országos Bírósági Hivatal Legfőbb Ügyészség
3
Nemzeti Akkreditáló Testület 2.3. Társadalmi szervezetek társadalmi szervezet
egyetért
nem ért egyet
nem adott véleményt
észrevétele maradt fenn
nem ért egyet
nem adott véleményt
észrevétele maradt fenn
Megyei Jogú Városok Szövetsége Megyei Önkormányzatok Országos Szövetsége Magyar Önkormányzatok Szövetsége Budapesti Önkormányzatok Szövetsége Települési Önkormányzatok Országos Szövetsége Kisvárosi Önkormányzatok Országos Érdekszövetsége Községek, Kistelepülések, Kistérségek Országos Önkormányzati Szövetsége Magyar Faluszövetség 2.4. Egyéb nemzetközi szakmai szervezet nemzetközi szakmai szervezet
egyetért
4
V E Z E T Ő I
Ö S S Z E F O G L A L Ó
1. Az előterjesztés célja 1.1. A kormány-előterjesztés elfogadásával elérni kívánt közpolitikai cél Az Országgyűlés 2013. április 15-i ülésnapján fogadta el az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (a továbbiakban: Ibtv.), amely törvény egyebek mellett meghatározza az információbiztonság területén elvégezendő oktatási feladatokat. Az Ibtv. 23. §-a a Nemzeti Közszolgálati Egyetemet a képzési tevékenység ellátásával összefüggésben kijelöli a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek, valamint az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek képzési, továbbképzési követelményeinek és oktatási programjának kidolgozásáért felelős intézménynek. 1.2. A kormány-előterjesztés szükségességének okai Az Ibtv. 2013. július 1-jén lép hatályba, a 24. § (2) bekezdés b) pontjában kapott felhatalmazás alapján miniszteri rendelet kiadása szükséges. 1.3. Az előterjesztéssel érintett közfeladat változása Az előterjesztés már meglévő közfeladat ellátásának változására nem irányul. 2. Az igénybe vett eszközök 2.1. Jogalkotás Az Ibtv. 24. § (2) bekezdés b) pontjában foglalt felhatalmazás alapján miniszteri rendelet megalkotása szükséges. A rendelet rögzíti az Ibtv.-ben meghatározott vezetői, az elektronikus információs rendszer biztonságáért felelős személyek, valamint az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek képzésének és továbbképzésének tartalmát. 2.2. Egyéb intézkedés Az előterjesztés egyéb intézkedést nem igényel. 2.3. Alternatívák A szabályozás hiányában az elektronikus információbiztonság oktatásának alapvető követelményeinek egységes meghatározása nem biztosítható. A nem cselekvés nem lehet alternatíva. 3. Kormányprogramhoz való viszony Az előterjesztés a Kormányprogramot közvetlenül nem érinti. 4. Előzmények, kapcsolódások.
5
A magyar kibertér biztonságának szabályozása több lépésben történik meg. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Korm. határozat (a továbbiakban: Kiberstratégia) az az alapdokumentum, amely biztosítja azt, hogy sor kerüljön azon jogalkotási feladatok és egyéb kormányzati intézkedések végrehajtására, amely következtében Magyarország képes megfelelni a XXI. század információbiztonsági kihívásainak. A Kiberstratégiához kapcsolódó első jogalkotási lépés az Ibtv. elfogadása volt, amely felhatalmazást ad a kapcsolódó végrehajtási szabályok, kormányrendeletek és miniszteri rendeletek megalkotására. 5. Európai uniós kapcsolódások Az előterjesztés nem európai uniós jogi aktus átültetését vagy végrehajtását szolgálja. Előzetes véleményezési kötelezettség nem áll fenn az Európai Unió joga alapján. 6. Országgyűlési tárgyalásra vonatkozó információk Az előterjesztést az Országgyűlés nem tárgyalja. 7. Társadalmi egyeztetés A jogszabályok előkészítésében való társadalmi részvételről szóló 2010. évi CXXXI. törvény szerinti általános egyeztetés. 8. Vitás kérdések 9. Az előterjesztés kommunikációja 1. Milyen kommunikáció javasolt az előterjesztés elfogadása esetén? követő vagy kezdeményező* *a kívánt kommunikációs forma aláhúzandó! 2. A tájékoztatás módja: Kormányülést követő szóvivői tájékoztató
igen/nem
Tárcaközlemény
igen/nem
Tárca által szervezett sajtótájékoztató
igen/nem
3. Fő üzenet (4-5 mondat) (a kormányzati kommunikáció tartalma, az előterjesztő kommunikációs szándéka): Az előterjesztő részéről nyilatkozó: 4. Részletes kommunikációs terv: Az előterjesztés kommunikációját a Miniszterelnökség végzi. Dr. Navracsics Tibor közigazgatási és igazságügyi miniszter
6
1. melléklet az előterjesztéshez ……. /2013. (……..) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés b) pontjában kapott felhatalmazás alapján, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 12. § d) pontjában meghatározott feladatkörömben eljárva, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 84. § j) pontja szerint, az informatikáért felelős miniszterrel egyetértésben a következőket rendelem el: 1. Hatály 1. § E rendelet hatálya: a) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 13. § (11) bekezdésében meghatározott személyekre, b) az Ibtv. 11. § (1) bekezdés g) pontjában, a 13. § (8) bekezdésében meghatározott képzés, továbbképzés követelményeire terjed ki. 2. Értelmező rendelkezések 2. § E rendelet alkalmazásában: 1. elektronikus információs rendszer biztonságáért felelős személy: az Ibtv. 13. §-ban foglalt feladatok ellátására kijelölt (megbízott) személy; 2. képzés: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek felsőfokú oktatási intézményben történő szakirányú továbbképzése; 3. képző szerv: a nemzeti felsőoktatásról szóló törvény szerinti felsőoktatási intézmény; 4. szervezet: a továbbképzést folytató jogi személy, valamint jogi személyiséggel nem rendelkező gazdasági társaság, egyéni vállalkozó; 5. szervezet vezetője: az állami és önkormányzati szervek esetében a szervezeti és működési szabályzat alapján, a törvény hatálya alá tartozó egyéb szervek esetében munkaköri leírásban vagy egyéb módon kijelölt, az elektronikus információs rendszerek védelméért felelős vezető; 6. továbbképzés: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek tanfolyamon történő továbbképzése;
7
7. továbbképzést végző szerv: a képzési engedéllyel rendelkező szervezet, vagy a nemzeti felsőoktatásról szóló törvény szerinti felsőoktatási intézmény; 8. vizsgaszervező: a képző szerv és a továbbképzést végző szerv. 3. A képzés, a tanfolyami képzés és a továbbképzés szervezése 3. § (1) A képzésről a képző szerv, a tanfolyami képzésről és a továbbképzésről a továbbképzést végző szerv, a vizsgáztatásról a vizsgaszervező gondoskodik. (2) A Nemzeti Közszolgálati Egyetem (a továbbiakban: NKE) meghatározza és hivatalos honlapján közzéteszi a) a képzés, tanfolyami képzés és a továbbképzés tananyagát, b) a vizsga követelményrendszerét. (3) A képző szerv és a továbbképzést végző szerv gondoskodik: a) a képzéshez, tanfolyami képzéshez, továbbképzéshez szükséges oktatókról, b) a képzés, tanfolyami képzés, továbbképzés és vizsgáztatás helyszíneiről, c) a képzés, tanfolyami képzés, továbbképzés elméleti oktatáshoz kapcsolódó segédanyagokról, d) a képzés gyakorlati oktatásához szükséges eszközökről. (4) A képző szerv és a továbbképzést végző szerv meghatározza vizsgaszabályzatát és gondoskodik a hivatalos honlapján történő megjelentetéséről. 4. A képzés 4. § (1) A képzés során az elektronikus információbiztonsági vezető képesítés megszerzésére két féléves, iskolarendszerű szakirányú továbbképzés keretében kerül sor. (2) A képzésre az vehető fel, aki felsőfokú végzettséggel és angol nyelvű alapfokú komplex nyelvvizsgával vagy ezzel egyenértékű bizonyítvánnyal, oklevéllel rendelkezik, valamint a képzés megkezdéséhez szükséges feltételeket teljesítette. (3) A képzés megkezdésének feltétele, hogy a jelentkező: a) a képző szerv által meghatározott formában a képzésre jelentkezzen, b) a képzés díját a képző szerv megadott számlaszámára megfizesse, és c) a befizetést igazoló bizonylatot vagy annak másolatát megküldje a képző szervnek a képzés megkezdését megelőző ötödik napig. (4) A képzésen való részvétel kötelező, a megengedett hiányzás a teljes óraszám 10%-a. Ennél magasabb hiányzás esetén a képzést meg kell ismételni. 5. § A képzés időtartama 320 óra, amely 80% elméleti, 20% gyakorlati részből áll. 6. § A képzés tárgykörei: a) információbiztonsági ismeretek, b) rendszerirányítási ismeretek, c) módszertan és kockázatkezelés, d) minőségügyi ismeretek,
8
e) f) g)
biztonságtechnikai és biztonságpolitikai ismeretek, jogi és közigazgatási ismeretek, vezetéselmélet.
7. § Nem kell az (1) bekezdés szerinti végzettséget megszereznie annak a személynek, aki rendelkezik: a) Information Systems Audit and Controll Association (ISACA) által kiadott Certified Information Security Manager (CISM), vagy b) International Information Systems Security Certification Consortium, Inc. által kiadott Certified Information Systems Security Professional (CISSP) érvényes oklevéllel. 8. § (1) A képzési idő lejártát követően a résztvevő vizsgát köteles tenni. (2) A vizsga a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvényben meghatározott szabályok szerint kerül lebonyolításra. 6. A tanfolyami képzés 9. § (1) Az Ibtv. 13. § (11) bekezdésében előírt tanfolyami képzésen az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője köteles részt venni. (2) A tanfolyami képzés megkezdésének feltétele, hogy: a) a jelentkező – a munkáltató hozzájárulásával – a továbbképzést végző szerv által meghatározott formában a képzésre jelentkezzen, b) a tanfolyami képzés díja a továbbképzést végző szerv megadott számlaszámára a tanfolyami képzés megkezdéséig befizetésre kerüljön. (3) A tanfolyami képzésen való részvétel kötelező, a megengedett hiányzás a teljes óraszám 10%-a. Ennél magasabb hiányzás esetén a tanfolyami képzést meg kell ismételni. 10. § A tanfolyami képzés időtartama: a) az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy esetében 50 óra, b) az elektronikus információs rendszerek védelméért felelős vezető esetében 8 óra. 11. § (1) Az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy tanfolyami képzésének tárgykörei: a) információbiztonsági ismeretek, b) biztonságtechnikai ismeretek, c) kockázatelemzés, d) jogi és közigazgatási ismeretek. (2) A szervezet vezetője tanfolyami képzésének tárgykörei: a) információbiztonsági alapismeretek, b) kockázatkezelési alapismeretek.
9
12. § Tanfolyami képzés az év során bármikor szervezhető. A tanfolyami képzési időpontokat a jelentkezők igényének figyelembe vételével a továbbképzést végző szerv állapítja meg. 13. § (1) A tanfolyam sikeres elvégzéséhez a tanfolyami képzésen résztvevőnek írásbeli vizsgát kell tennie. (2) A vizsga a vizsgaszervező által kiadott vizsgaszabályzatban foglaltak szerint kerül lebonyolításra, a vizsgaszervező a vizsga során a) ellátja a vizsga szervezésével és lebonyolításával kapcsolatos feladatokat, b) meghirdeti a vizsgaidőpontokat, c) biztosítja a vizsgákhoz szükséges technikai feltételeket. (3) A vizsga eredményes teljesítéséről a vizsgaszervező bizonyítványt állít ki. 5. A továbbképzés 14. § (1) Az Ibtv. 13. § (11) bekezdésében előírt éves továbbképzésen az elektronikus információs rendszer biztonságáért felelős személy, az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője köteles részt venni. (2) A továbbképzésre jelentkezhet: a) az elektronikus információs rendszer biztonságáért felelős személy, ha a 4. §-ban meghatározott képzést elvégezte, vagy a 7. § szerint mentesül a végzettség megszerzése alól, b) az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője, ha a 9. § szerinti tanfolyami képzést elvégezte. (3) A továbbképzés megkezdésének feltétele, hogy: a) a jelentkező – a munkáltató hozzájárulásával – a továbbképzést végző szerv által meghatározott formában a továbbképzésre jelentkezzen, b) a továbbképzés díja a továbbképzést végző szerv megadott számlaszámára a továbbképzés megkezdéséig befizetésre kerüljön. (4) A továbbképzésen való részvétel kötelező, a megengedett hiányzás a teljes óraszám 10%-a. Ennél magasabb hiányzás esetén a továbbképzést meg kell ismételni. 15. § A továbbképzés időtartama: a) az elektronikus információs rendszer biztonságáért felelős személy esetében 50 óra, b) az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy esetében 25 óra, c) az elektronikus információs rendszerek védelméért felelős vezető esetében 8 óra. 16. § (1) Az elektronikus információs rendszer biztonságáért felelős személy továbbképzésének tárgykörei: a) információbiztonsági ismeretek, b) kockázatkezelés, c) biztonságtechnikai és biztonságpolitikai ismeretek, d) jogi és közigazgatási ismeretek.
10
(2) Az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy továbbképzésének tárgykörei: a) információbiztonsági ismeretek, b) biztonságtechnikai ismeretek, c) jogi és közigazgatási ismeretek. (3) A szervezet vezetője továbbképzésének tárgykörei: a) információbiztonsági és biztonságtechnikai ismeretek, b) vezetéselmélet és jogi ismeretek. 17. § A továbbképzésen való részvételről a továbbképzést végző szerv tanúsítványt állít ki. 18. § Továbbképzés az év során bármikor szervezhető. A továbbképzési időpontokat a jelentkezők igényének figyelembe vételével a továbbképzést végző szerv állapítja meg. 7. Záró rendelkezések 19. § Ez a rendelet 2013. július 1-jén lép hatályba.
11
INDOKOLÁS Az Országgyűlés 2013. április 15-i ülésnapján fogadta el az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (a továbbiakban: Ibtv.), amely törvény egyebek mellett meghatározza az információbiztonság területén elvégezendő oktatási feladatokat. Az Ibtv. 23. §-a a Nemzeti Közszolgálati Egyetemet (a továbbiakban: NKE) a képzési tevékenység ellátásával összefüggésben kijelöli a vezetők, az elektronikus információs rendszer biztonságáért felelős személyek, valamint az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek képzési, továbbképzési követelményeinek és oktatási programjának kidolgozásáért felelős intézménynek. Az oktatás lebonyolításában az NKE mellett képző szervként valamennyi, a nemzeti felsőoktatásról szóló törvény szerinti felsőoktatási intézmény is részt vehet. A miniszteri rendelet az Ibtv. rendelkezéseivel összhangban három képzési formát nevesít: a) Az elektronikus információbiztonsági vezető képesítés megszerzésére felsőfokú oktatási intézményben történő szakirányú továbbképzést, amelyet: - nem kell megszereznie annak a személynek, aki rendelkezik a külön jogszabályban meghatározott, akkreditált nemzetközi képzettséggel vagy e szakterületen szerzett 5 év szakmai gyakorlattal, illetve - az Ibtv. hatálybalépését követő öt éven belül (2018. július 1-ig) kell megszerezniük az elektronikus információs rendszer biztonságáért felelős személyeknek. b) A tanfolyami képzést, amelyen az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője köteles részt venni. c) Az Ibtv. által előírt éves továbbképzést, amelyen: - az elektronikus információs rendszer biztonságáért felelős személy, - az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy, és - a szervezet vezetője köteles részt venni. Az Ibtv. 2013. július 1-jén lép hatályba, a 24. § (2) bekezdés b) pontjában kapott felhatalmazás alapján az előterjesztés mellékletében szereplő miniszteri rendelet kiadása szükséges. A miniszteri rendelet rögzíti az Ibtv.-ben meghatározott vezetői, az elektronikus információs rendszer biztonságáért felelős személyek, valamint az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek képzésének és továbbképzésének tartalmát. A miniszteri rendelet hatálya kiterjed az Ibtv. 13. § (11) bekezdésében meghatározott személyekre, valamint az Ibtv. 11. § (1) bekezdés g) pontjában és a 13. § (8) bekezdésében meghatározott képzés, továbbképzés követelményeire. A miniszteri rendelet hatálybalépésének időpontja megegyezik az Ibtv. hatálybalépésével, amely 2013. július 1-je.
12
Az értelmező rendelkezések mellett a miniszteri rendelet meghatározza a képzés, a tanfolyami képzés és a továbbképzés szervezésével kapcsolatos főbb szabályokat, ezen belül a képző szerv és a továbbképzést végző szerv kötelezettségeit. Rögzíti továbbá az elektronikus információbiztonsági vezető képesítés megszerzésére vonatkozó szabályokat (részvétel és jelentkezés feltételei, a képzés időtartama és tárgykörei, mentességi szabályok), a tanfolyami képzés és a továbbképzés követelményeit (részvétel és jelentkezés feltételei, a tanfolyami képzés időtartama és tárgykörei, a tanfolyami képzés vizsgakövetelményei).
