ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs...

7/25/2019 Ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs rendszerekre vonatkozó bi…

http://slidepdf.com/reader/full/ajanlas-a-szabalyozott-elektronikus-uegyintezesi-szolgaltatasok-elektronikus 1/22

1

Ajánlás

szabályozott elektronikus ügyintézési szolgáltatások

elektronikus információs rendszerekre vonatkozó biztonsági

követelményeknek való megfelelésének biztosításáról



2

TARTALOMJEGYZÉK

1 Bevezetés......................................................................................................................................... 4

1.1 Felhatalmazás .......................................................................................................................... 4

1.2 Az ajánlás célja ........................................................................................................................ 4

1.3 Az ajánlás hatálya .................................................................................................................... 5

2 Szerepkörök ..................................................................................................................................... 6

2.1 Érintett szervezet .................................................................................................................... 6

2.2 A szervezet vezetője ................................................................................................................ 6

2.3 A rendszer biztonságáért felelős személy ............................................................................... 6

2.4 A rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy ................... 7

2.5 Hatóság .................................................................................................................................... 7

2.6 Ágazati biztonsági felügyelet ................................................................................................... 7

2.7 Szakhatóság ............................................................................................................................. 7

2.8 Eseménykezelő központ .......................................................................................................... 8

2.9 Nemzeti Közszolgálati Egyetem ............................................................................................... 8

2.10 Képző szervek .......................................................................................................................... 8

2.11 Elektronikus ügyintézési felügyelet ......................................................................................... 8

3 A rendszerek biztonsági osztályba sorolása .................................................................................... 9

3.1 A biztonsági osztály fogalma ................................................................................................... 9

3.2 A biztonsági osztály meghatározása ........................................................................................ 9

3.3 Besorolási példák ................................................................................................................... 10

4 A szervezetek biztonsági szintje .................................................................................................... 12

4.1 A biztonsági szint fogalma ..................................................................................................... 12

4.2 A biztonsági szint meghatározásának módja ........................................................................ 12

5 A védelmi előírások teljesítése ...................................................................................................... 14

5.1 A védelmi előírás fogalma, értelmezése ............................................................................... 14

5.2 Kapcsolódó követelmények ................................................................................................... 15

6 Képzés ............................................................................................................................................ 16

6.1 Képzettségi, képzési követelmények ..................................................................................... 16

6.2 Képzés szervezése ................................................................................................................. 167 Eljárásrend ..................................................................................................................................... 17



3

7.1 A szervezetek nyilvántartásba vétele .................................................................................... 17

7.2 Biztonsági események bejelentése, kezelése ........................................................................ 18

7.3 A hatóság egyes további feladatai......................................................................................... 18

7.4 Jogkövetkezmények .............................................................................................................. 19

8 Informatikai biztonsági szabályzat ................................................................................................ 20

9 Lépésről lépésre ............................................................................................................................ 21



4

1

BEVEZETÉS

1.1 Felhatalmazás

A közigazgatási és igazságügyi miniszter

az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és

hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 2. § (1) bekezdés c) pontjában

meghatározott, e-közigazgatásért való, valamint egyes, az elektronikus ügyintézéshez

kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV. 21.) Korm. rendelet 2. §-ában

meghatározott feladatkörében, mint elektronikus ügyintézési felügyelet,

a szabályozott elektronikus ügyintézési szolgáltatások nyújtásának megkönnyítése érdekében

a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL.

törvény 161. § (6) bekezdésében meghatározott hatáskörében

a műszaki és biztonsági előírások vonatkozásában a szabályozott elektronikus ügyintézési

szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV.

21.) Korm. rendelet 14. § (1) bekezdésének megfelelően, a (2) bekezdésében meghatározott

módon, a közigazgatási informatika infrastrukturális megvalósíthatóságának biztosításáért

felelős miniszter egyetértésével

a jelen ajánlást bocsátja ki.

1.2 Az ajánlás célja

Az ajánlás - a felhatalmazásnak megfelelően - a szabályozott elektronikus ügyintézési szolgáltatóknak

kíván segítséget nyújtani az elektronikus információs rendszerekre vonatkozó biztonsági

követelményeknek való megfelelésben, az előírt dokumentáció elkészítésében, az elektronikus

ügyintézési felügyelettel és az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatósággal való kapcsolattartásban. Az ajánlás ugyanakkor alkalmazható általánosabb körben is, az

Ibtv. hatálya alá tartozó elektronikus információs rendszerekkel kapcsolatos biztonsági

követelmények teljesítéséhez kapcsolódó útmutatóként.

Az ajánlás elősegíti az alábbi jogszabályok egységes alkalmazását:

2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól

(Ket.)

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

(Ibtv.),



5

83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és

az állam által kötelezően nyújtandó szolgáltatásokról (Szeüszr.),

233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati

eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a

létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- éshatásköréről,

301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és

az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági

Felügyelet szakhatósági eljárásáról (Hatr.),

…./2013. (… …) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya

alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események

jelentésének és közzétételének rendjéről (Nyilvr.),

…../2013. (... ...) NFM rendelet az elektronikus információbiztonsággal és az egyes

elektronikus információs rendszerekkel kapcsolatos technológiai követelményekről (Kövr.) ,

……./2013. (… ...) KIM rendelet az állami és önkormányzati szervek elektronikus

információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus

információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének

tartalmáról (Képzésr.),

1.3 Az ajánlás hatálya

Az ajánlás alkalmazása a szabályozott elektronikus ügyintézési szolgáltatókra nézve nem kötelező,

ugyanakkor a Szeüszr. 19. § (3) bekezdése értelmében, amennyiben a szolgáltató az ajánlás

alkalmazásáról nyilatkozik, úgy az elektronikus ügyintézési felügyelet az ellenőrzés során az

ajánlásban rendezett kérdésekben kizárólag az ajánlásnak való megfelelést ellenőrzi. Az ajánlásban

foglalt elvárások követése így a szabályozott elektronikus ügyintézési szolgáltatók alapvető érdekeit is

szolgálja.



6

2 SZEREPKÖRÖK

2.1 Érintett szervezet

Az Ibtv. hatálya alá tartozó szervek és ezen szervek számára adatkezelést végzők, valamint a nemzeti

adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói. A rendszerre előírt feltételeket a

szervezetnek olyan mértékig kell teljesíteni, amely mértékig az adott rendszer tekintetében kapott

jogosultságai birtokában arra képes.

2.2

A szervezet vezetője

A szervezet vezetőjének fogalmát az Ibtv. nem határozza meg, viszont a Képzésr. értelmezésében

nem feltétlenül a szervezet egyszemélyi vezetője értendő alatta, hanem az a vezető, akit a szervezeti

és működési szabályzat vagy munkaköri leírás az elektronikus információs rendszerek védelmére

kijelöl. A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről

a jogszabályokban meghatározott szabályozási, személyi és technikai feltételek biztosításával, a

rendszeres elemzések, ellenőrzések, auditok végrehajtásával. Gondoskodik az események

nyomonkövethetőségének biztosításáról, a biztonsági események hatékony kezeléséről, az igénybevett közreműködőkre vonatkozó feltételek szerződéses teljesüléséről (kivéve abban az esetben, ha a

közreműködő igénybevételét jogszabály írja elő). A szervezet vezetője együttműködik a hatósággal a

hatóság feladatainak elvégzésében.

2.3 A rendszer biztonságáért felelős személy

A rendszer biztonságáért felelős személy felel a rendszerek védelméhez kapcsolódó feladatok

ellátásáért a jogszabályi előírásokkal összhangban. Elvégzi vagy irányítja a kapcsolódó feladatokat, a

biztonsági szabályzatok elkészítését, véleményezi a szerződéseket, egyéb szabályzatokat biztonsági

szempontból, a biztonsági eseményekről bejelentést tesz, kapcsolatot tart a hatósággal és a

kormányzati eseménykezelő központtal, tájékoztatást ad a szervezet vezetőjének. Felelőssége

kiterjed a rendszer teljes életciklusára a tervezéstől a karbantartásig, és nem átruházható

közreműködők bevonása esetén sem. Az Ibtv. a rendszer biztonságáért felelős személy esetében

büntetlen előéletet és később részletezendő képzetségi, képzési követelményeket ír elő. A Hatr.

értelmezésében a rendszer biztonságáért felelős személy lehet külsős, részmunkaidős és a feladatot

több szervezetnél is végezheti párhuzamosan.



7

2.4 A rendszer biztonságával összefüggő feladatok ellátásában részt vevőszemély

A jogszabályok a biztonsággal összefüggő feladatok ellátásának a felelősségét nem osztják tovább, így

az abban részt vevő személyek részére csak tanfolyami képzést, illetve továbbképzést írnak elő.

2.5 Hatóság

A Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH), az NFM önálló feladatkörrel és hatósági

jogkörrel rendelkező szervezeti egysége, a mely a törvényben meghatározott kivételektől (minősített

adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és

NMHH rendszerei) eltekintve az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét látja

el.

A hatóság feladatainak ellátása során:

ellenőrzi az információtechnológiai fejlesztési projektekben az információbiztonsági

követelmények teljesülését,

ellenőrzi az elektronikus információs rendszerek osztályba sorolását és a szervezet biztonsági

szintje megállapítását,

ellenőrzi a besorolásra vonatkozó, jogszabályban meghatározott követelmények teljesülését.

2.6 Ágazati biztonsági felügyelet

Az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét minősített adatot kezelő

rendszerek, a honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és az NMHH

rendszerei esetében az illetékes miniszter látja el a rendszerek biztonságának felügyeletével és

ellenőrzésével kapcsolatos ágazati szabályokat tartalmazó rendeletben meghatározott módon (lásd

pl. 16/2013. (VIII. 30.) HM rendelet, 36/2013. (VII. 17.) BM rendelet, 34/2013. (VIII. 30.) NGM

rendelet).

2.7

Szakhatóság

A hatóság feladatainak ellátása során a Nemzeti Biztonsági Felügyelet szakhatóságként vagy a

hatóság egyedi felkérése alapján jár el különösen az alábbi területeken:

sérülékenység-vizsgálatokat végez,

a bejelentett biztonsági eseményekre műszaki vizsgálatot végez.



8

2.8

Eseménykezelő központ

Az Ibtv-ben foglalt biztonsági események kezelését végzi a kormányzati eseménykezelő központ a

katasztrófák elleni védekezésért felelős miniszter (BM) irányítása alatt. A kormányzati eseménykezelő

központhoz tartozik az összes rendszer a minősített adatot kezelő rendszerek, honvédségi,rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei kivételével, melyek

vonatkozásában ágazati eseménykezelő központok hozhatók létre.

2.9 Nemzeti Közszolgálati Egyetem

Az NKE a képzési tevékenység ellátásával összefüggésben kidolgozza a vezetők, az elektronikus

információs rendszer biztonságáért felelős személyek képzési, továbbképzési követelményeit,

oktatási programját, illetve gondoskodik a vezetők, az elektronikus információs rendszer

biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai képzéséről

és éves továbbképzéséről.

2.10 K épző szervek

Képző, ill. továbbképzést végző szerv bármely felsőoktatási intézmény lehet (továbbképzést végző

szerv esetén egyéb, képzési engedéllyel rendelkező szervezet is), mely biztosítja az oktatókat,helyszínt, vizsgáztatás lehetőségét, segédanyagokat és egyéb eszközöket.

2.11 Elektronikus ügyintézési felügyelet

A Ket-ben definiált szabályozott elektronikus ügyintézési szolgáltatás az elektronikus ügyintézési

felügyeletnek tett bejelentés, esetenként a felügyelet engedélye alapján nyújtható. A felügyelet a

szabályozott elektronikus ügyintézési szolgáltatások nyújtásának megkönnyítése érdekében

ajánlásokat bocsát ki.

A hatóság együttműködik a Ket-ben meghatározott elektronikus ügyintézési felügyelettel a

szabályozott elektronikus ügyintézési szolgáltatás szolgáltatókra vonatkozó biztonsági követelmények

teljesülésének ellenőrzésében.



9

3 A RENDSZEREK BIZTONSÁGI OSZTÁLYBA SOROLÁSA

3.1 A biztonsági osztály fogalma

Az Ibtv. hatálya alá tartozó rendszereket a jogszabályi rendelkezések, illetve kockázatelemzés alapján

öt fokozatú (1-től 5-ig szigorodó) skálán biztonsági osztályba kell sorolni külön-külön a bizalmasság,

sértetlenség és rendelkezésre állás szempontjából.

3.2

Abiztonsági osztály meghatározás

a

A biztonsági osztályba sorolást:

már működő rendszer esetén 2014. július 1-ig el kell végezni

legalább háromévenként el kell végezni minden rendszer esetében;

soron kívül el kell végezni az alábbi esetekben:

o a rendszer biztonságát érintő jogszabályváltozás,

o új rendszer bevezetése,

o

a szervezet státuszában, illetve az általa kezelt vagy feldolgozott adatokvonatkozásában bekövetkező változás.

A biztonsági osztályba sorolást dokumentált módon kell végezni. A besorolást a szervezet vezetője

hagyja jóvá, és a szervezet informatikai biztonsági szabályzatában kell rögzíteni.

A rendszerek biztonsági osztályba sorolásához elvégzendő kockázatelemzésre a Kövr. 3. melléklete

nem határoz meg alkalmazandó szabványokat vagy módszertanokat, de meghatározza a vizsgálandó

kártípusokat és javaslatot tesz a biztonsági osztályba sorolásra a kapcsolódó lehetséges kármértékek

alapján. Fontos, hogy a Kövr. szerint javasolt besorolás csak tájékoztató jellegű, a tényleges besorolás

az érintett szervezet felelőssége. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb

kárérték, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható

kárnagyságot kell, vagy lehet figyelembe venni, a szervezet döntésétől függően.

A szervezet vezetője az Ibtv-ben meghatározott feltételeknek megfelelő, az elektronikus információs

rendszerre irányadó biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva

alacsonyabb biztonsági osztályt is megállapíthat az elektronikus információs rendszerre vonatkozóan.

A hatóság (a minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek,

NAV, Információs Hivatal és NMHH rendszerei kivételével) a szervezet által megállapított biztonsági

osztályt felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű osztályba sorolást is

megállapíthat.



10

A következő alfejezetben néhány szabályozott elektronikus ügyintézési szolgáltatás példáján

keresztül mutatjuk be a Kövr. 3. mellékletének alkalmazását.

3.3

Besorolási példák

Az elektronikus iratok kezelése SZEÜSZ igénybevétele egy szervezet részéről egy tipikus kiszervezési

konstrukció, ugyanakkor világosan kell látni, hogy a besorolás az adatok biztonságáért felelős vezető

feladata, azaz a SZEÜSZ szolgáltatást igénybe vevő szervezet vezetőjének a felelőssége.

A SZEÜSZ általános jellemzői alapján a biztonsági osztályba sorolásra az alábbi javaslat adható:

Szempont Biztonsági osztály Megjegyzés

Bizalmasság 2-5 Az iratkezelő rendszerben kezelt legérzékenyebb irattólfüggően.

Sértetlenség 4-5 Mivel a rendszerben való illetéktelen módosítással

elérhető lenne, hogy nem az átvett és iktatott

elektronikus irat kerül megőrzésre, kezelésre.

Rendelkezésre állás 4-5

3-4

Az irattárazás funkciót végző alrendszer (ami vagy egy

külső elektronikus dokumentumtárolási szolgáltatás

SZEÜSZ vagy egy saját zárt rendszer) esetében, mivel az

irattárban kezelt elektronikus iratok elvesztése vagy el

nem érhetősége komoly anyagi és erkölcsi károkat

okozna a hatóságnak.

A többi (átvétel, felbontás, stb.) funkciót végző

alrendszer esetében, mivel ezek átmeneti el nem

érhetősége kisebb károkat okozna.

A kiszervezéses modellben ezt úgy kell értelmezni, hogy a (külső) SZEÜSZ szolgáltató által

ténylegesen megvalósított biztonsági szintnél magasabb biztonsági fokozatú iratok kezelésének

kiszervezése az adott szolgáltató irányába nem lehetséges.

Nyilvánvalóan az elektronikus iratokat kezelő rendszereknek meg kell felelniük azoknak a biztonsági

elvárásoknak is, melyeket a 24/2006 BM –IHM –NKÖM együttes rendelet 1. sz. mellékletének 7.

pontja (Jogosultság, adatbiztonság, adatvédelem) fogalmaz meg.

Egy másik, a felhő alapú kiszervezés lehetőségét (is) biztosító SZEÜSZ az informatikai háttér

szolgáltatása. Ebben az esetben az Ibtv. rendelkezéseinek való megfelelésből olyan jellegű

követelmények vezethetők le, hogy például milyen biztonsági osztályokba sorolt alkalmazás

rendszerek számára szolgáltathat felhő alapú infrastruktúra háttérszolgáltatást a SZEÜSZ szolgáltató .

Ennek vizsgálatakor figyelembe kell venni a SZEÜSZ szolgáltató által nyújtott felhő szolgáltatásokmegvalósulási módozatait (privát vagy publikus, illetve helyi vagy kiszervezett) Egyes modellek



11

alkalmazása érzékeny adatok és rendszerek esetén egyáltalán nem javasolt, vagy csak bizonyos

biztonsági fokozatba sorolt rendszerek esetén, megfelelő biztonsági határvédelmi megoldások

alkalmazása mellett.

Egy egyszerűbb SZEÜSZ, az elektronikus aláírás ellenőrzése szolgáltatás általános jellemzői alapján a

biztonsági osztályba sorolásra az alábbi táblázat szerinti javaslat adható:

Szempont Biztonsági osztály Megjegyzés

Bizalmasság 2 Mivel nem kezel bizalmasság szempontjából kiemelten

védendő adatokat.

Sértetlenség 4-5 Mivel a rendszerben való illetéktelen módosítással

elérhető lenne, hogy a szolgáltatás ellenőrzési

eredménye (az aláírás érvényessége, a dokumentum

sértetlensége vagy egyéb szempontokat illetően) nem ahelyes eredményt mutatja.

Rendelkezésre állás 4-5 Mivel az egyes hatósági eljárásokban előírás lehet a

gyors reakció a hatóság részéről, mely nem

rendelkezésre álló szolgáltatás esetén komoly

fennakadásokat okozhat.

Érdemes arra is gondolni, hogy ugyanaz a SZEÜSZ más megítélés alá esik, ha a szervezeten belüli

infrastruktúrán működik, mint kiszervezett szolgáltatásként. Így például a rendelkezésre állás

követelményének teljesítésével összefüggésben - mivel az elektronikus aláírás ellenőrzése nagy

számítási kapacitást igényelhet a SZEÜSZ oldalán - egy kiszervezett modellben a SZEÜSZ

szolgáltatónak megelőző intézkedéseket kell tenni az elárasztásos (DoS) támadások kivédésére.

Ugyanez a belső infrastruktúrán általában nem merül fel.



12

4 A SZERVEZETEK BIZTONSÁGI SZINTJE

4.1 A biztonsági szint fogalma

A szervezet biztonsági szintje a szervezet felkészültségének, védelmi képességének fokmérője. A

szervezetek biztonsági szintje a rendszerek biztonsági osztályozásához hasonlóan öt fokozatú skálán

értelmezett az Ibtv. alapján. A Kövr. 4. melléklete jellemzi az egyes szinteket a szervezet védelmi

képességeinek rövid összefoglalásával. Ezt itt nem ismételjük meg, csak kiemeljük az öt szint

megkülönböztetésére leginkább alkalmas kulcsszavakat.

A szervezet biztonsági szintje:

1. ha az információbiztonság folyamatai ad hoc jellegűek

2. ha az információbiztonság folyamatai részben szabályozottak

3.

ha az információbiztonság folyamatai jól szabályozottak, dokumentáltak és az adminisztratív

védelmi intézkedéseket hatékony logikai védelmi intézkedések támogatják

4. ha az információbiztonság folyamatai irányítottak és mérhetőek

5. ha az információbiztonság folyamatai optimalizáltak, automatizáltak, követik a legjobb

gyakorlatot

4.2 A biztonsági szint meghatározásának módja

A biztonsági szint meghatározását:

első alkalommal 2014. július 1-ig el kell végezni

legalább háromévenként el kell végezni az elvárt minimális biztonsági szint elérését

követően;

soron kívül el kell végezni az alábbi esetekben:

o

a rendszer biztonságát érintő változás,

o új rendszer bevezetése.

A szervezet biztonsági szintbe sorolását dokumentált módon kell végezni. A besorolást a szervezet

vezetője hagyja jóvá, és a szervezet informatikai biztonsági szabályzatában kell rögzíteni.

Minimális elvárás, hogy a védelmi képesség szintje feleljen meg a legmagasabb biztonsági osztályba

tartozó rendszerei biztonsági besorolásának. Egyes szervezetek estén a rendszerek biztonsági

osztályának besorolásától függetlenül az Ibtv. előírja a minimális védelmi képesség szintjét. Ezt az

alábbi táblázat foglalja össze.



13

Szervezet Elvárt minimális biztonsági szint

Köztársasági Elnöki Hivatal

Országgyűlés Hivatala

Alkotmánybíróság Hivatala

Alapvető Jogok Biztosának Hivatala

2

központi államigazgatási szervek (a Kormány és a

kormánybizottságok kivételével)

Országos Bírósági Hivatal és a bíróságok

ügyészségek

Állami Számvevőszék

Magyar Nemzeti Bank

fővárosi és megyei kormányhivatalok helyi és nemzetiségi önkormányzatok képviselő-

testületének hivatalai, hatósági igazgatási

társulások

3

Magyar Honvédség 4

a jogszabályban meghatározott, a nemzeti

adatvagyon körébe tartozó állami

nyilvántartások adatfeldolgozói

az európai létfontosságú rendszerelemmé és anemzeti létfontosságú rendszerelemmé törvény

alapján kijelölt rendszerelemek

5

Egyéb Legmagasabb fokú védelmet igénylő rendszere

legmagasabb biztonsági osztályának szintje

A szervezet a minimális besorolási szintnél magasabb szintű besorolást is megállapíthat.

A hatóság – ill. az Ibtv. által meghatározott esetekben az elektronikus információs rendszerek

biztonságának felügyeletét és ellenőrzését ellátó ágazati szerv – a szervezet által megállapított

biztonsági szintet felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű besorolást is

megállapíthat.



14

5 A VÉDELMI ELŐÍRÁSOK TELJESÍTÉSE

5.1 A védelmi előírás fogalma, értelmezése

A Kövr. határozza meg a rendszerek biztonsági osztály és a szervezet biztonsági szint szerinti

besorolása fokozatának emelkedésével párhuzamosan szigorodó védelmi előírásokat. Az előírások

védelmi intézkedéseket határoznak meg egy katalógusból adminisztratív, fizikai és logikai intézkedési

területeken. Az adminisztratív és fizikai védelmi intézkedések kizárólag a szervezet biztonsági

szintjétől, míg a logikai védelmi intézkedések rendszerenként és külön-külön a bizalmasság,

sértetlenség és rendelkezésre állás szempontja szerinti biztonsági osztálynak megfelelően kerültek

meghatározásra.

Képzeljünk el egy rendszert mely bizalmasság és sértetlenség szempontjából 5. biztonsági osztályba

tartozik, de rendelkezésre állás szempontjából 2. biztonsági osztályba. Ilyen lehet például egy

bizalmas adatokat tartalmazó adatbázis melynek a napi munkavégzés során nem kell elérhetőnek

lennie. A Kövr. 2. mellékletének logikai védelmi intézkedések c. táblázata alapján az alábbi

intézkedéseket kell tenni.

Ebben a példában - hiába magas a bizalmasság és sértetlenség szerinti biztonsági osztály - az

üzletmenet folytonosság tervezéséhez kapcsolódó dokumentálás területén csak az alábbiaknak kell

megfelelni:

3.3.2.1.: meg kell fogalmazni az üzletmenet folytonosságra vonatkozó eljárásrendet és

3.3.2.2.: el kell készíteni a vonatkozó üzletmenet folytonossági tervet informatikai erőforrás

kiesésekre (3.3.2.2.1.), de nem kell biztosítani a magasabb rendelkezésre állási igényű

biztonsági osztályoknál előírt bővítményeket (3.3.2.2.2.-3.3.2.2.7.).

Ugyanakkor - hiába alacsony a rendelkezésre állási igény - a magas szintű sértetlenségi besorolásból

következően az alábbiaknak kell megfelelni:

3.3.2.8.: mentéseket kell végezni a rendszer adatairól (3.3.2.8.1.), sőt azokat rendszeresen

megbízhatósági és sértetlenségi tesztnek kell alávetni (3.3.2.8.2.), de a 3.3.2.8.3.- 3.3.2.8.5.kiegészítéseket már nem kell biztosítani.

3.3.2.9.: biztosítani kell a rendszer korábbi állapotba történő helyreállításának és

újraindításának lehetőségét (3.3.2.9.1.), sőt a félbeszakadt tranzakciókat is helyre kell tudni

állítani (3.3.2.9.2.), de a 3.3.2.9.3. kiegészítést már nem kell biztosítani.

Az adminisztratív és fizikai védelmi intézkedéseknél mindenhol a legmagasabb elvárásoknak kell

megfelelni, mert a szervezet biztonsági szintje 5. fokozatú lesz automatikusan.

Meghatározott feltételekkel és körültekintő indoklással a szervezet a reá irányadó biztonsági szinthez

tartozó egyes biztonsági intézkedések helyett alkalmazhat egyenértékű vagy összemérhető védelmet

nyújtó helyettesítő intézkedéseket is.



15

5.2

Kapcsolódó követelmények

Az Ibtv. alapján a rendszerekre vonatkozó védelem elvárt erősségének eléréséhez a szervezetnek

lehetősége van a biztonsági intézkedések fokozatos kivitelezésére. Ennek keretében az első

vizsgálatkor megállapított biztonsági osztályt, illetve szintet alapul véve, minden egyes következő,magasabb biztonsági osztályhoz, illetve szinthez rendelt biztonsági intézkedések kivitelezésére két év

áll rendelkezésére.

Ha a szervezet egy rendszer vizsgálata során a vonatkozó biztonsági osztály meghatározásából

következően hiányosságot állapít meg a létező védelmi intézkedések területén, akkor a vizsgálatot

követő 90 napon belül cselekvési tervet készít a hiányosság megszüntetésére. Ugyanez történik, ha a

vizsgálat alapján a szervezet a rá előírt minimális biztonsági szintnek nem felel meg. Ha a biztonsági

szint a vizsgálat alapján az 1. szintet nem éri el, akkor az 1. szint eléréséhez szükséges intézkedéseket

a vizsgálatot követő egy éven belül meg kell valósítani. Mivel az első vizsgálat lehetséges legkésőbbi

időpontja 2014. július 1., az 1. szintet minden szervezetnek legkésőbb 2015. június 1-ig kell elérnie.



16

6 KÉPZÉS

6.1 Képzettségi, képzési követelmények

Képzettségi követelményt az Ibtv. csak a rendszer biztonságáért felelős személy esetében ír elő: csak

olyan személy végezheti, aki rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és

szakképzettséggel. A törvény hatálybalépésekor már a feladatot ellátó személy estében a

képzettséget a hatálybalépést követő öt éven belül (2018. július 1 -ig) kell megszerezni. Nem kell

képzettséget szereznie annak a személynek, aki rendelkezik érvényes CISA vagy CISSP oklevéllel vagy

e szakterületen szerzett 5 év szakmai gyakorlattal.

Az előírt szakképzettség megnevezése: elektronikus információbiztonsági vezető, mely két féléves,

iskolarendszerű szakirányú továbbképzés keretében szerezhető meg. A képzésre az vehető fel, aki

felsőfokú végzettséggel és angol nyelvű alapfokú komplex nyelvvizsgával rendelkezik.

A Képzésr. rendelet meghatározza az Ibtv. rendelkezéseivel összhangban az elektronikus információs

rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője

kötelező, egyszeri képzésének tárgyköreit és időtartamát. A jogszabályok nem írnak elő határidőt a

képzés elvégzésére.

A Képzésr. (az Ibtv-vel összhangban) éves továbbképzést ír elő

a szervezet vezetője,

a rendszer biztonságáért felelős személy és

a rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek

részére a rendeletben meghatározott tárgykörben és időtartamban.

Az előírt oktatásokról a szervezet vezetője köteles gondoskodni.

6.2 Képzés szervezése

A Ibtv értelmében a vezetők és az elektronikus információs rendszer biztonságáért felelős személyek

képzési, továbbképzési követelményeit, oktatási programját, illetve az elektronikus információs

rendszer biztonságáért felelős személyek képzettségi követelményeit a Nemzeti Közszolgálati

Egyetem (NKE) dolgozza ki. A képzés, továbbképzés formáit, tartalmát a Képzésr. határozza meg.

Az Ibtv. és a Képzésr. értelmében az NKE gondoskodik a vezetők, az elektronikus információs

rendszer biztonságáért felelős személyek és az általuk irányított szervezeti egységek munkatársai

képzéséről, tanfolyami képzéséről és éves továbbképzéséről.



17

7 ELJÁRÁSREND

Az Ibtv. hatálya alá tartozó rendszerek biztonságának felügyeletét a törvényben meghatározott

kivételektől (minősített adatot kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek,

NAV, Információs Hivatal és NMHH rendszerei) eltekintve az NFM szervezeti egysége, a Nemzeti

Elektronikus Információbiztonsági Hatóság (NEIH, jelen fejezetben a továbbiakban: hatóság) látja el.

A hatóság eljárásainak ügyintézési határideje hatvan nap, amelyet a hatóság vezetője indokolt

esetben egy alkalommal, legfeljebb harminc nappal meghosszabbíthat.

A hatóság eljárása során (előzetes értesítéssel vagy indokolt esetben anélkül) helyszíni ellenőrzés

keretében jogosult önállóan, a szakhatósággal vagy más hatósággal együtt is a helyiségekbe belépni,

okiratokat, egyéb dokumentumokat, eszközöket, rendszereket, biztonsági intézkedéseket

megismerni, másolatot készíteni, belépési jogosultságot kapni. A szervezet vezetője köteles

együttműködni a hatósággal az ellenőrzés lefolytatásához szükséges feltételek biztosításával.

7.1 A szervezetek nyilvántartásba vétele

Az Ibtv. értelmében a szervezet 2013. szeptember 1-ig köteles bejelenteni a hatóság részére az alábbi

adatokat:

szervezet azonosító adatai,

a rendszer biztonságáért felelős személy természetes személyazonosító adatai, telefon- és

telefaxszáma, e-mail címe, a 13. § (8) bekezdésében meghatározott végzettsége.

A szervezetnél csak olyan személy végezheti a rendszer biztonságáért felelős személy feladatait, aki

büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és

szakképzettséggel. A hatóságnak meg kell küldeni a vonatkozó munka-, megbízási vagy más

szerződés másolatát, amelyhez csatolni kell az adott személy végzettségét, képzettségét igazoló

okirat, vagy a szakterületi gyakorlatot igazoló okirat vagy nyilatkozat másolatát. 2013. október 1-ig kell megküldeni a hatóság részére a szervezet informatikai biztonsági szabályzatát

Ha a rendszer biztonságért felelős személy, szervezet kijelölése vagy az informatikai biztonsági

szabályzat elkészítése a határidőn belül a szervezetnek fel nem róható okból nem teljesül, ugyanazon

határidővel a hatóságot erről tájékoztatni kell a teljesítést akadályozó ok és a teljesítés határidejének

megjelölésével.

Ha a szervezet az Ibtv. hatálya alá tartozó tevékenységét a rendelet hatálybalépését követően kezdi

meg, az adatközlést a tevékenység megkezdését megelőző 8 napon belül kell elvégezni. A korábban

megküldött adatokban történt változást a változást követő 8 napon belül kell megküldeni a hatóság

részére.



18

Az adatok megküldésére a hatóság elektronikus űrlapot biztosít, mely az ÁNYK alkalmazással tölthető

ki és a Ket. szerint alkalmazható módokon küldhető be.

7.2

Biztonsági események bejelentése, kezelése

Az Ibtv. értelmében a rendszer biztonságáért felelős személy a törvény hatálya alá tartozó bármely

rendszerét érintő biztonsági eseményről tájékoztatni köteles a hatóságot a biztonsági eseményre

vonatkozó összes információ megadásával, a kapcsolódó dokumentumok csatolásával. A

bejelentések megküldésére a hatóság elektronikus űrlapot biztosít, mely az ÁNYK alkalmazással

tölthető ki és elektronikus úton küldhető be.

Az érintett szervezet a biztonsági eseményekről technológiai naplót köteles vezetni, amely

tartalmazza az esemény kapcsán tett intézkedéseket, és azok eredményét is. Nem kel l bejelenteni a

hatóság felé azokat a biztonsági eseményeket, amelyeket az érintett szervezet el tudott hárítani, és

amelyek kárt vagy működésbeli kiesést nem okoztak (naplót azonban ezekről is vezetni kell).

A hatóság a biztonsági eseményeket haladéktalanul megvizsgálja, és annak alapján szükség esetén

megteszi a biztonsági esemény elhárítására irányuló intézkedéseket . Ennek során a bejelentés

tartalmáról értesíti az illetékes eseménykezelő központot vagy az esetleg érintett más hatóságot.

Szükség esetén a Nemzeti Biztonsági Felügyelet (a továbbiakban: szakhatóság) végzi a biztonsági

események adatainak műszaki vizsgálatát, és tesz ez alapján javaslatot a biztonsági esemény által

okozott kár elhárítására.

A kormányzati eseménykezelő központ (Nemzetbiztonsági Szakszolgálat), valamint - a honvédségi,rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal és NMHH rendszerei esetében - az

ágazati eseménykezelő központok is részt vesznek a biztonsági események kezelésében.

7.3 A hatóság egyes további feladatai

A hatóság (engedélyezési eljárás keretében) ellenőrzi és az előírásoknak való megfelelés esetén

engedélyezi az Európai Unió tagállamaiban történő rendszerüzemeltetést. Ha a külföldön végzett

adatkezelésre vagy rendszerüzemeltetésre nemzetközi szerződés alapján kerül sor, a hatóságot

tájékoztatni kell az érintett adatokról, az adatfeldolgozó, vagy üzemeltető személyéről, és a

szerződéses jogviszony tartalmáról. A hatóság a tájékoztatást további eljárás lefolytatása nélkül

tudomásul veszi. Az Ibtv. hatálya alá tartozó rendszerek Európai Unió tagállamain kívül történő

üzemeltetését a törvény nem teszi lehetővé (a honvédségi és zárt célú diplomáciai rendszerek

kivételével), ennek ellenőrzése is a hatóság feladata.

A hatóság jogosult a központi és az európai uniós forrásból megvalósuló fejlesztési projektek

tervezési szakaszában ellenőrizni az információbiztonsági követelmények megtartását. Ennek

érdekében a projekt tervezési szakában a hatóság részére véleményezésre meg kell küldeni avonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá mindazon



19

dokumentációkat, amelyek alapján a biztonsági és termékminősítési követelmények megvalósulása

ellenőrizhető. A projekt folyamatában, az egyes projekt szakaszok zárását legkevesebb harminc

nappal megelőzően kell a hatóság rendelkezésére bocsátani a kapcsolódó elektronikus

információbiztonsági dokumentációt, hogy annak észrevételei, vagy kifogásai a projekt terveken,

vagy a projekt tárgyán átvezethető és alkalmazható legyen. A hatvan napnál rövidebb időtartamúprojektek esetén a dokumentációt legkésőbb a projekt befejezésekor kell a hatóság rendelkezésére

bocsátani. A hatóság a dokumentumok tekintetében a szakhatóság véleményét kikéri.

A rendszerek biztonsági osztályba sorolásának és a szervezet biztonsági szintbe sorolásának

ellenőrzése és az ellenőrzés eredménye alapján döntés meghozatala a hatóságnak megküldött

információk alapján történik. A besorolás elfogadása nem zárja ki a döntés későbbi felülvizsgálatát. A

hatóság az eljárása során döntésében meghatározhat a bejelentettnél magasabb biztonsági

besorolást, illetve javaslatot tehet alacsonyabb besorolásra. A hatóság (ellenőrzési terv alapján)

ellenőrzi a rendszerek osztályba sorolását és a szervezetek biztonsági szintjeire vonatkozó,

jogszabályban meghatározott követelmények teljesülését. Ez alapján szükség esetén elrendeli a

feltárt vagy tudomására jutott biztonsági hiányosságok elhárítását, és ellenőrzi az elhárítás

eredményességét. A hatóság ezen feladatának ellátása során a Nemzeti Biztonsági Felügyelet

szakhatóságként jár el.

7.4 Jogkövetkezmények

A hatóság a rendszerek, és az azokban kezelt adatok biztonsága érdekében jogosult megtenni,

elrendelni, ellenőrizni minden olyan, a rendszer védelmére vonatkozó intézkedést, amellyel az

érintett rendszert veszélyeztető fenyegetések kezelhetőek. Ha a szervezet a jogszabályokban foglalt

biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat a hatóság felszólítása

ellenére sem teljesíti, vagy nem tartja be, a hatóság (nem költségvetési szerv esetében) bírságot

szabhat ki, illetve (költségvetési szerv esetében) információbiztonsági felügyelő kirendelését

kezdeményezheti.



20

8 INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

Az Ibtv. előírja, hogy biztonsági osztályba sorolást és a biztonsági szintbe sorolás eredményét a

szervezet informatikai biztonsági szabályzatában (IBSZ) kell rögzíteni, melyet a szervezet vezetője ad

ki és a hatóság részére tájékoztatás céljából megküld legkésőbb 2013. október 1-ig. A szervezetek

IBSZ-ének kialakítására vonatkozóan eddig három útmutató készült a hazai közigazgatás számára:

Az Informatikai Tárcaközi Bizottság (ITB) 8. sz. ajánlásának (Informatikai biztonsági

módszertani kézikönyv) 4. fejezete: Útmutató az informatikai biztonsági szabályzat (IBSZ)

elkészítéséhez. (1994., http://www.itb.hu/ajanlasok/a8/html/a8_4.htm)

A Közigazgatási Informatikai Bizottság (KIB) 25. számú ajánlásaként kiadott Magyar

Informatikai Biztonsági Ajánlások (MIBA) című ajánlássorozat részét képező 25/1-2. kötet:

Informatikai Biztonság Irányítási Követelmények (IBIK). (2008. június,

http://www.ekk.gov.hu/hu/kib/ajanlasok)

A KIB 28. számú ajánlásaként kiadott, az E-Közigazgatási Keretrendszer projekt

eredményeként létrehozott Követelménytár részét képező „Közigazgatási Operatív

Programok IT Biztonsági környezete - Az IT biztonsági szabályzat követelményei” c.

dokumentum. (2008. szeptember, http://kovetelmenytar.complex.hu/)

A KIB 25. számú ajánlássorozata tartalmilag úgy lett összeállítva, hogy az akkor hatályos jogszabályok

(195/2005. (IX. 22.) és a 84/2007 (IV. 25.) Korm. rendeletek) által előírt rendelkezéseknek aközigazgatási szervezetek meg tudjanak felelni. A MIBA az ITB 8., 12., és 16. számú ajánlásait váltotta

fel, azok kibővítése és jelentős kiegészítése révén.

Az ajánlás 1. kötete Magyar Informatikai Biztonsági Irányítási Keretrendszer (MIBIK) címmel az

ISO/IEC MSZ 27701:2005, az ISO/IEC 27002:2005 és az ISO/IEC TR 13335 nemzetközi szabványokon,

valamint az irányadó EU és NATO szabályozáson alapul. A MIBIK ajánlásokat tartalmaz az Informatikai

Biztonsági Irányítási Rendszer (IBIR) felépítéséhez, irányításához (Informatikai Biztonság Irányítási

Követelmények - IBIK) és vizsgálatához (Informatikai Biztonság Irányításának Vizsgálata - IBIV). Az

ajánlások értelemszerűen kiterjednek az irányítási rendszert alkotó folyamatokra, a gyakorlatban

működtetett biztonsági intézkedésekre, a végrehajtásukat támogató szervezetre, erőforrásokra,

eljárásokra. A biztonsági folyamatok működtetéséhez és ellenőrzéséhez megfelelő szabályozási

környezetet kell kialakítani. Az ajánlások által előírt biztonsági alapdokumentumok egyike az

informatikai biztonsági szabályzat, amely az ajánlás szerint technológia független kell legyen. Az IBSZ

a biztonsági szabályozás keretdokumentuma, amely összefoglalja az IT biztonsággal kapcsolatos

feladatokat és felelősségeket. A technológia, a helyszín, a tevékenység spec ifikus biztonsági

intézkedések szabályozása alsóbb szintű szabályozásokban, eljárásrendekben történik, amelyek

készítését, karbantartását delegálni lehet, a központi irányítás és felügyelet megtartása mellett.



21

9 LÉPÉSRŐL LÉPÉSRE

Az alábbiakban összefoglalóan kiemeljük a szabályozással érintett szervezetek jogszabályban előírt

feladatait a végrehajtás sorrendjében:

1. Érintettség meghatározása

A szabályozással érintettek az Ibtv. 2.§ (1) bekezdésében meghatározott szervek, a számukra

adatkezelést végzők, valamint a nemzeti adatvagyon körébe tartozó állami nyilvántartások és

európai létfontosságú rendszerelemmé vagy nemzeti létfontosságú rendszerelemmé törvény

alapján kijelölt rendszerelemek adatkezelői, adatfeldolgozói.

2.

Rendszerek elhatárolása

Az Ibtv. definíciója értelmében egy elektronikus információs rendszernek kell tekinteni az

azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön

(környezeti infrastruktúra, hardver, hálózat), egymással összefüggő eljárásokkal (szabályozás,

szoftver és kapcsolódó folyamatok) azonos célból kezelt, kiszolgált, illetve felhasznált adatok,

az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és

felhasználó személyek együttesét.

3. Felelős vezetők kijelölése

Kijelölt felelős vezető (a szervezetre egységesen): Az egyes jogszabályokban a szervezet

vezetőjeként hivatkozott személy lehet az egyszemélyi vezető vagy az információs rendszerek

védelmére kijelölt vezető.

A rendszer biztonságáért felelős személy (az egyes rendszerekre külön): A rendszer

védelméhez kapcsolódó feladatok ellátásáért felelős személy. A szervezetnél csak olyan

személy végezheti az elektronikus információs rendszer biztonságáért felelős személy

feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú

végzettséggel és szakképzettséggel.

4. Felügyeletet ellátó szervezet meghatározása

Az elektronikus információs rendszerek biztonságának felügyeletét az NFM szervezeti

egysége, a Nemzeti Elektronikus Információbiztonsági Hatóság látja el a minősített adatot

kezelő rendszerek, honvédségi, rendvédelmi, diplomáciai szervek, NAV, Információs Hivatal

és NMHH rendszerei kivételével. A felügyeletet ellátó szervezet az Ibtv. 2.§ (3)-(4) bekezdései

alapján határozható meg (a továbbiakban egységesen hatóságként szerepel).

5. A szervezet bejelentése

2013. szeptember 1-ig be kell jelenteni a hatóság részére a szervezet azonosító adatait,

valamint a rendszer biztonságáért felelős személy adatait az Ibtv. 15.§ (1) c) pontjának

megfelelően, vagy ugyanazon határidővel a hatóságot tájékoztatni kell a bejelentés

teljesítését akadályozó ok és a teljesítés határidejének megjelölésével.



22

A szervezetnél csak olyan személy végezheti a rendszer biztonságáért felelős személy

feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú

végzettséggel és szakképzettséggel. A hatóságnak meg kell küldeni a vonatkozó munka -,

megbízási vagy más szerződés másolatát, amelyhez csatolni kell az adott személy

végzettségét, képzettségét igazoló okirat, vagy a szakterületi gyakorlatot igazoló okirat vagynyilatkozat másolatát.

6. Biztonsági szabályzat bejelentése

2013. október 1-ig meg kell küldeni a hatóság részére a szervezet informatikai biztonsági

szabályzatát, vagy ugyanazon határidővel a hatóságot tájékoztatni kell a bejelentés

teljesítését akadályozó ok és a teljesítés határidejének megjelölésével.

7. A rendszerek biztonsági osztályba sorolása

A rendszereket biztonsági osztályba kell sorolni a bizalmasság, sértetlenség és rendelkezésre

állás szempontjából (külön-külön) 2014. július 1-ig, továbbá az Ibtv. 8.§ (1)-(2) bekezdéseiben

meghatározott esetekben.

8. A szervezet biztonsági szintjének meghatározása

Az érintett szervezet biztonsági szintjét meg kell határozni 2014. július 1 -ig, továbbá az Ibtv.

10.§ (5)-(6) bekezdéseiben meghatározott esetekben.

9.

A biztonsági intézkedések fokozatos kivitelezése

Amennyiben valamely vizsgálat során hiányosság állapítható meg akár az egyes informatikai

rendszerekhez kapcsolódó védelmi intézkedések, akár a szervezet biztonsági szintjének

tekintetében, a szervezetnek 90 napon belül cselekvési tervet kell készítenie a hiányosság

megszüntetésére. Az első biztonsági szint elérésére az első vizsgálatot követően 1 év áll

rendelkezésre. Amennyiben az első vizsgálat 2014. június 1-i, az első biztonsági szint

elérésének határideje 2015. június 1. A rendszerek megállapított biztonsági osztályaihoz

tartozó védelmi intézkedések megvalósítása esetében két évente kell egy-egy biztonsági

osztállyal előrelépni, ugyanez igaz a szervezetre előírt biztonsági szint elérésére.

10. Képzés

Az informatikai rendszer biztonságáért felelős személynek 2018. július 1-ig kell megszereznie

az elektronikus információbiztonsági vezető megnevezésű szakképzettséget, amennyiben

nem rendelkezik 5 év szakmai gyakorlattal vagy jogszabályban meghatározott (CISA, CISM,CRISC, CISSP) oklevelek valamelyikével.

A szervezet vezetőjének (kijelölt felelős vezetőjének) és az elektronikus információs rendszer

biztonságával összefüggő feladatok ellátásában részt vevő személyeknek kötelező részt

venniük az NKE által biztosítandó egyszeri képzésben. A jogszabályok nem írnak elő határidőt

a képzés elvégzésére.

Szintén az NKE biztosítja az előírt éves továbbképzést, melyen az elektronikus információs

rendszer biztonságáért felelős személy, az elektronikus információs rendszer biztonságával

összefüggő feladatok ellátásában részt vevő személy és a szervezet vezetője köteles részt

venni.

ajánlás a szabályozott elektronikus ügyintézési szolgáltatások elektronikus információs...

Documents