NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG

A Nemzeti Elektronikus Információbiztonsági Hatóság


A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH)

A 2013. évi L. törvény hatálya alá tartozó elektronikus információs rendszerek biztonságának felügyeletét – a 2. § (3) és (4) bekezdésben meghatározott kivétellel – az e-közigazgatásért felelős miniszter látja el a Kormány által kijelölt hatóság útján, amely az e-közigazgatásért felelős miniszter által vezetett minisztérium (BM) szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység.

2


A NEIH tevékenységét közvetlenül meghatározó jogszabályok  Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.);  A Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról szóló 301/2013.(VII.29.) Korm. rendelet;  Az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, valamint a biztonsági események jelentésének és közzétételének rendjéről szóló 73/2013. (XII. 4.) NFM rendelet;


A NEIH tevékenységét közvetlenül meghatározó jogszabályok  Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet;  Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet;  az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről szóló 233/2013. (VI.30.) Korm. rendelet.


Mit védünk? RENDSZER – RENDSZERELEM – ADAT – INFORMÁCIÓ  elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása;  elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása;  zárt, teljes körű, folytonos és kockázatokkal arányos védelmének megvalósítása és biztosítása.

Mi a célunk? MEGELŐZÉS – KORAI FIGYELMEZTETÉS – ÉSZLELÉS – KEZELÉS  logikai, fizikai és adminisztratív védelmi intézkedések. NEIH: fizikai és adminisztratív intézkedések felügyelete NBF (szakhatóság): logikai intézkedések felügyelete 5


A NEIH feladatai – hatósági feladatok  Ellenőrzi az osztályba sorolás és a biztonsági szint megállapítását, ez alapján döntést hoz  Ellenőrzi az osztályba sorolásra és biztonsági szintre vonatkozó követelmények teljesülését  Elrendeli a feltárt, vagy megismert biztonsági hiányosságok elhárítását és ezt ellenőrzi  Kockázatelemzést végez az információs rendszerrel, szervezettel kapcsolatban  Kivizsgálja a biztonsági eseményekkel kapcsolatos bejelentéseket  Javaslatot tesz az ágazati kijelölő hatóság részére a nemzeti létfontosságú rendszerelem kijelölésére A hatóság az Ibtv-ben meghatározott egyes feladatainak ellátása során a Nemzeti Biztonsági Felügyelet szakhatóságként jár el. 6


A NEIH feladatai – nyilvántartás, adatkezelés A Hatóság nyilvántartja és kezeli:  a szervezet azonosításához szükséges adatokat,  a szervezet elektronikus információs rendszereinek megnevezését, az elektronikus információs rendszerek biztonsági osztályának és a szervezet biztonsági szintjének besorolását, az elektronikus információs rendszerek külön jogszabályban meghatározott technikai adatait,  a szervezetnek az elektronikus információs rendszer biztonságáért felelős személye természetes személyazonosító adatait, telefon- és telefaxszámát, e-mail címét, végzettségét,  a szervezet informatikai biztonsági szabályzatát,  a biztonsági eseményekkel kapcsolatos bejelentéseket.


Adatszolgáltatás A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) számára adatszolgáltatás a következő módon nyújtható be:  hivatali kapun keresztül, űrlapon, amely elérhető a https://ugyintezes.magyarorszag.hu/szolgaltatasok/NEIH_nyomtatvanyok. html címen;  [email protected] címre elektronikus aláírással ellátva (elektronikus aláírás hiányában – hivatalosan aláírva – egyben postai úton is meg kell küldeni);

 postai úton, hivatalosan aláírva.


Az elektronikus információs rendszerek biztonsági osztályba sorolása

 Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége.  Biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása.  2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kellett végezniük a biztonsági osztályba sorolást, a már működő rendszereikre tekintettel.


Az elektronikus információs rendszerek biztonsági osztályba sorolása 1

2

3

4

5

VÉGREHAJTÁS Általános irányelvek Az érintett szervezet az elektronikus információs rendszere biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti Biztonsági osztályok A 77/2013. (XII. 19.) NFM rendelet szempontokat határoz meg a lehetséges káresemény mértéke alapján ( jelentéktelen/csekély/közepes/nagy/kiemelkedő). 10



2

3

4

5

VÉGREHAJTÁS     

2014. július 1-ig; 3 évente / soron kívül; 1-től 5-ig számozott fokozat; a szervezet vezetője hagyja jóvá (IBSZ-ben rögzíteni kell); az irányadónál magasabbat igen, alacsonyabbat indokolással, kivételes esetben állapíthat meg;  a kívánt/irányadó szint elérése fokozatosan is megvalósítható (2 év/szint);  cselekvési/intézkedési terv elkészítése (90 nap). 11



2

3

4

5

A NEIH segítséget nyújt: 1. Kérdőívet készítettünk, amely a kitöltést követően  megmutatja a jelenlegi biztonsági osztályt;  beazonosíthatóvá teszi az irányadó osztály eléréséhez szükséges intézkedéseket. http://neih.gov.hu/?q=node/22 2. A biztonsági osztályba sorolás folyamatában is! 12


Alapvető elektronikus információbiztonsági követelmények

A rendszerek teljes életciklusában biztosítani kell:  az elektronikus információs rendszerben kezelt adatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását, valamint  az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.

 A szervezetnek külön jogszabályban előírt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják:  a megelőzést és a korai figyelmeztetést,  az észlelést,  a reagálást,  a biztonsági események kezelését.


Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 1. 2

3

4

5

 Biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére.  Biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére.  2014. július 1-ig a 2013. L. törvény hatálya alá tartozó szervezeteknek el kellett végezniük a szervezet biztonsági szintbe sorolását.



3

2-es szintű:  Köztársasági Elnöki Hivatal,  Országgyűlés Hivatala,  Alkotmánybíróság Hivatala,  Alapvető Jogok Biztosának Hivatala,  A helyi és a nemzetiségi önkormányzatok képviselőtestületének hivatalaira, a hatósági igazgatási társulásokra

4

5

3-as szintű:  A központi államigazgatási szervekre (a Kormány és a kormánybizottságok kivételével),  Országos Bírósági Hivatalra és a bíróságokra,  Ügyészségek,  Állami Számvevőszék,  Magyar Nemzeti Bank,  Fővárosi és megyei kormányhivatalok


Az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintje 3. 2 4-es szintű:  Magyar Honvédség

3

4

5

5-ös szintű:  A jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,  Az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek védelmére.



2

3

4

5

VÉGREHAJTÁS     

2014. július 1-ig; 3 évente / soron kívül; 1-től 5-ig számozott fokozat (de! létfontosságú: 5.); a szervezet vezetője hagyja jóvá (IBSZ-ben rögzíteni kell); az irányadónál magasabbat igen, alacsonyabbat indokolással, kivételes esetben állapíthat meg;  a kívánt/irányadó szint elérése fokozatosan is megvalósítható (2 év/szint);  cselekvési/intézkedési terv elkészítése (90 nap);  ha az 1. szintet sem éri el, a szervezetnek egy éve van az 1. szint eléréséhez szükséges intézkedések megvalósításához. 17


Infobiztonsági oktatás – célok • •

Közigazgatási alap- és szakképzés IT biztonsági és elektronikus közigazgatási önálló modullal történő kiegészítése. Célcsoportok szerinti IT biztonsági képzési, visszamérési és folyamatos tudásfenntartási oktatások megteremtése  Vezetők  IT szakemberek  IT biztonsági felelősök  Felhasználók Iskolai tudatosítás, pl. Safe internet program

Képzés beépítése a Nemzeti Alaptantervbe

Szülők, családok

E-learning, NKE képzések, egyéb képzések

Belépők képzése, folyamatos tudásfenntartás

Biztonság tudatosság szervezeti kultúrába illesztése

Társadalom biztonság tudatossága


Köszönöm a figyelmüket! Kodaj Katalin elnökhelyettes Nemzeti Elektronikus Információbiztonsági Hatóság Informatikáért Felelős Helyettes Államtitkárság Belügyminisztérium Telefon: +36-1-443-5982 E-mail: [email protected]

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Recommend Documents