Jogalkotási előzmények

ÁROP-2.2.21-2013

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény jogalkotási tapasztalatai és a tervezett felülvizsgálat főbb irányai Dr. Borókainé dr. Vajdovits Éva KIM Kormányirodát Irányító Helyettes Államtitkár Nemzeti Közszolgálati Egyetem

Jogalkotási előzmények

ÁROP-2.2.21-2013

• A Magyary Zoltán Közigazgatás-fejlesztési Program 2011-ben célul tűzte ki a közigazgatási stratégiaalkotás megújítását. • A kormányzati stratégiai irányításról szóló 38/2012. (III. 12.) Korm. rendelet meghatározza azokat az egységes szempontokat és elveket, amelyek szerint sor kerül a kormányzati stratégiai dokumentumok kidolgozására, nyomon követésére, értékelésére és felülvizsgálatára. • Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Korm. határozat Magyarországot érintő biztonsági kihívásként azonosítja a kiberbiztonság megteremtését és az ehhez kapcsolódó feladatokat.

Jogalkotási előzmények

ÁROP-2.2.21-2013

• Az elektronikus információbiztonság szabályozási környezete kialakításának egyik első állomásaként – párhuzamosan a kapcsolódó törvény előkészítésével – 2013 márciusában elfogadásra került Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III.21.) Korm. határozat. • Magyarország Nemzeti Kiberbiztonsági Stratégiája Nemzeti Biztonsági Stratégiában foglaltakat részletezve – összhangban a kormányzati stratégiai irányításról szóló 38/2012. (III. 12.) Korm. rendeletben foglaltakkal – elemzi Magyarország jelenlegi kiberbiztonsági helyzetét, jövőképét, továbbá megnevezi az elérendő célokat és az alkalmazandó eszközöket.

Jogalkotási előzmények

ÁROP-2.2.21-2013

• Stratégiaalkotással párhuzamosan 2011-ben kezdődött az elektronikus információbiztonság szabályozási környezetének kialakítását célzó jogalkotási munka. • A Kormány 2011. második félévétől kezdve szerepeltette munkatervében az elektronikus információbiztonság szabályozási környezetének kialakítását. • A Kormányirodát Irányító Helyettes Államtitkárság vezetésével munkacsoport jött létre a kodifikációs feladatok elvégzésére. • Első jogalkotási lépésként az Országgyűlés 2013. április 15-ei ülésnapján elfogadta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt.

Az Ibtv. alapelvei ÁROP-2.2.21-2013

• Cél: az állami és önkormányzati szervek elektronikus információs rendszereiben tárolt, kezelt információk védelme, a megelőzés és a tudatosságnövelés, a biztonsági események bekövetkezése esetén a felmerült problémák tudatos kezelése. • Alapvetés: az elektronikus információs rendszer minden elemére kiterjedő védelem. • Kockázatokkal arányos védelem: ahol a védelmi intézkedésekre fordított költségek arányosak a fenyegetések által okozható károkkal. • Védelmi feladatok: megelőzés, korai figyelmeztetés, észlelés, reagálás és eseménykezelés. • Védelmi formák: adminisztratív, fizikai, logikai védelem.

Az Ibtv. hatálya ÁROP-2.2.21-2013

• Tárgyi hatály rögzíti, hogy mit kell a törvény alkalmazása során elektronikus információs rendszernek tekinteni: – az adatok, információk kezelésére használt eszközök, eljárások, valamint az ezeket kezelő személyek együttesét, – az azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön, egymással összefüggő eljárásokkal azonos célból kezelt, kiszolgált, illetve felhasznált adatok, az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és felhasználó személyek együttesét. • Személyi hatály az államszervezet működésének fenntartása szempontjából kiemelt jelentőséggel rendelkező, valamint a nemzeti adatvagyon kezelését ellátó szervezetekre terjed ki. .

Az Ibtv. hatálya ÁROP-2.2.21-2013

• Kivételek: Kormány, kormánybizottságok, önkormányzatok képviselő testületei és annak bizottságai, önkormányzati közgyűlés. • Az Ibtv. hatálya kiterjed továbbá: - a személyi hatály alá tartozó szervek és a számukra adatkezelést végző szervek elektronikus információs rendszereinek védelmére; - a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói elektronikus információs rendszereinek védelmére; - az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemekre.

Az Ibtv. hatálya ÁROP-2.2.21-2013

• Területi hatály: - a személyi hatály alá tartozó szervek és a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói az általuk kezelt, a nemzeti adatvagyon részét képező adatokat csak Magyarország területén üzemeltetett elektronikus információs rendszerekben, valamint diplomáciai információs célokra használt zárt célú elektronikus információs rendszerben kezelhetik - kivétel a Magyar Honvédség; - nemzetközi szerződés vagy NEIH engedélyével biztosított az EU területén üzemeltetett elektronikus információs rendszerekben történő adatkezelés is - kivétel a Magyar Honvédség (EU területén kívül üzemeltetett elektronikus információs rendszerekben is).

Az Ibtv. hatálya ÁROP-2.2.21-2013

Jogok és kötelezettségek ÁROP-2.2.21-2013

• Cél a szervezetek alapállapotának rögzítése, ehhez kapcsolódóan az elektronikus információs rendszerek biztonsági osztályba sorolása és a szervezetek biztonsági szintjének meghatározása - 1-től 5-ig terjedő számozással ellátott skálán, önbesorolás útján, ahol a védelmi intézkedések a skála értékének növekedésével fokozatosan szigorodnak. • Alapelv a fokozatosság elvének érvényesítése - a megállapított biztonsági osztályt és biztonsági szintet alapul véve lépésről lépésre lehet haladni, minden egyes következő, magasabb biztonsági osztályhoz és biztonsági szinthez rendelt biztonsági intézkedések kivitelezésére 2 év áll rendelkezésre. • Folyamatos értékelés: fő szabály szerint 3 évente meg kell ismételni az önbesorolást, esetenként soron kívüli felülvizsgálatot kell elvégezni.

Jogok és kötelezettségek ÁROP-2.2.21-2013

A szervezet biztonság szintjének azt a biztonsági szintet kell elérnie, amely megegyezik az általa kezelt elektronikus információs rendszerek közül a legmagasabb biztonsági osztállyal, de minimum az előírt alap biztonsági szinttel. A biztonsági osztályba sorolás és a biztonsági szint meghatározását: •dokumentált módon kell végrehajtani; •eredményét az IBSZ-ben kell rögzíteni; •elvégzése és jóváhagyása a szervezet vezetőjének felelőssége; •hiányosság esetén a vizsgálatot követő 90 napon belül cselekvési tervet kell készíteni. A szervezet a feladatellátáshoz igénybe vett közreműködő esetén (elektronikus információs rendszer létrehozása, üzemeltetése, auditálása, karbantartása, javítása vagy az adatkezelési/adatfeldolgozási tevékenység során) köteles gondoskodni arról, hogy az Ibtv.-ben foglaltak a közreműködővel kötött szerződésben kötelemként teljesüljenek.

Jogok és kötelezettségek ÁROP-2.2.21-2013

A szervezet vezetője: •az elektronikus információs rendszer biztonságáért felelős személy kinevezése; •az oktatás és az információbiztonsági ismeretek szinten tartásának biztosítása; •a biztonsági események hatékony kezelése; •szabályozási környezet kialakítása (informatikai biztonságpolitika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat). Az elektronikus információs rendszer biztonságáért felelős személy: •irányítja a biztonsági tevékenységek tervezését, szervezését, koordinálását és ellenőrzését; •előkészíti a biztonsági osztályba és a biztonsági szintbe sorolást.

Végrehajtási szabályok ÁROP-2.2.21-2013

Rendeleti szinten került meghatározásra: •a Nemzeti Kiberbiztonsági Koordinációs Tanács és szervezetrendszerének szabályai; •a NEIH feladatának, hatósági ellenőrzésének, bírságolási jogkörének és az információbiztonsági felügyelő kirendelésének eljárási rendje és szabályai; •az NBF, mint szakhatóság feladat- és hatásköre; •a CERT és az ágazati eseménykezelő központok feladat- és hatásköre; •a képzés és továbbképzés rendje; •a hatósági nyilvántartásba vétel és a biztonsági események jelentésének és közzétételének rendje; •a biztonsági osztályba és a biztonsági szintbe sorolás követelményrendszere.

Végrehajtási szabályok ÁROP-2.2.21-2013

Szervezetrendszer ÁROP-2.2.21-2013

Képzés, továbbképzés ÁROP-2.2.21-2013

Képzésre kötelezett személyi kör: •az elektronikus információs rendszerek védelméért felelős vezető: akit az Ibtv. hatálya alá tartozó szervezet a szervezeti és működési szabályzat vagy munkaköri leírás alapján, illetve egyéb módon, mint felelős vezetőt kijelölt a védelmi feladatok ellátásával összefüggésben; •az elektronikus információs rendszer biztonságáért felelős személy: akit az Ibtv. hatálya alá tartozó szervezet az elektronikus információs rendszerek biztonságával összefüggő feladatok ellátására kijelölt, gyakorlatban általában ez a személy azonos az informatikai biztonsági felelőssel; •az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy: akit az Ibtv. hatálya alá tartozó szervezet a szervezeti és működési szabályzat vagy munkaköri leírás alapján, illetve egyéb módon a feladatellátással megbízott.

Jogalkotói tapasztalatok ÁROP-2.2.21-2013

• A törvény előkészítése nem csak nemzeti, hanem nemzetközi szinten is hiánypótló jellegű. • Értelmezési problémát jelentett, hogy az önbesoroláson alapuló alapállapot rögzítése nem forrásigényes. • A határidőre történő végrehajtás széles körű jogszabály-értelmezést és információt igényel, várhatóan minden érintett az önbesorolást határidőre nem tudja elvégezni. • Szükséges a jogalkalmazók szakmai támogatása és a folyamatos nyomon követés. • Az eredményes végrehajtás záloga a jogalkotó, a hatóság és a jogalkalmazó közötti interaktív szakmai kapcsolat.

Felülvizsgálat iránya ÁROP-2.2.21-2013

• A kormányzati átalakítást követően az elektronikus információbiztonság szervezetrendszerét szabályozó rendelkezések 1 éves működést követő felülvizsgálata. • Az elektronikus információs rendszerek biztonsági osztályba sorolására és a szervezet biztonsági szintbe sorolására vonatkozó alaphatáridő felülvizsgálata. • A biztonsági események egycsatornássá tétele.

bejelentési

és

kezelési

rendjének

Tájékoztatás ÁROP-2.2.21-2013

• Nemzeti Elektronikus Információbiztonsági Hatóság www.neih.gov.hu; telefonszám: 06-1-795-7545 és 06-1-795-2701 Email cím: [email protected] • Közigazgatási és Igazságügyi Minisztérium Kormányirodát Irányító Helyettes Államtitkárság telefonszám: 06-1-795-6296; e-mail cím: [email protected] • Nemzeti Biztonsági Felügyelet: www.nbf.hu telefonszám: 06-1-7952303; e-mail cím: [email protected]

ÁROP-2.2.21-2013

KÖSZÖNÖM A FIGYELMET!