← Magyarország

12/2015. (III. 6.) MvM rendelete az Információs Hivatal elektronikus információs rendszereinek biztonsági felügyeletéről és ellenőrzéséről.

Röviden

Ez a rendelet az Információs Hivatal elektronikus információs rendszereinek biztonsági felügyeletét és ellenőrzését szabályozza. Célja az információbiztonság biztosítása és a kapcsolódó feladatok meghatározása.

Mit szabályoz

Kit érint

Kulcspontok

📄 Jogszabály szövege
12/2015. (III. 6.) MvM rendelete az Információs Hivatal elektronikus információs rendszereinek biztonsági felügyeletéről és ellenőrzéséről. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24.  § (3)  bekezdés e) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 4. § 13. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el: 1. § Az Információs Hivatal (a  továbbiakban: Hivatal) elektronikus információs rendszerei védelmének biztosításáért a Hivatal főigazgatója (a továbbiakban: főigazgató) felelős. 2. § (1) A  Hivatal elektronikus információs rendszerei biztonságának jogszabályban meghatározott ágazati biztonsági felügyeletét a polgári hírszerzési tevékenység irányításáért felelős miniszter e rendeletben meghatározottak szerint a főigazgató útján látja el. (2) Az  ágazati biztonsági felügyeleti tevékenységre az  állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a  továbbiakban: Ibtv.) 14–18.  §-a helyett a  3–9.  § szerinti rendelkezéseket kell alkalmazni. 3. § (1) Az  ágazati biztonsági felügyeleti feladatokat az  e  rendeletben meghatározottak szerint a  Hivatalnak a  minősített adat védelméről szóló törvényben meghatározott biztonsági vezetője (a  továbbiakban: biztonsági vezető) és a biztonsági vezető irányításával működő, a főigazgató által kijelölt személy (a továbbiakban: felügyelő) látja el. (2) A felügyelőnek szakirányú felsőfokú végzettséggel, továbbá a) az  Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security Systems Security Professional (CISSP) oklevéllel kell rendelkeznie. (3) A biztonsági vezető és a felügyelő az ágazati biztonsági felügyeleti feladatokat az e rendeletben meghatározottak szerint, önállóan látja el. A  biztonsági vezető és a  felügyelő az  ágazati biztonsági felügyeleti feladatok ellátásával összefüggésben nem utasítható. 4. § (1) A felügyelő feladatai: a) az elektronikus információs rendszerek osztályba sorolásának és a  biztonsági szint megállapításának ellenőrzése, b) az elektronikus információs rendszerek osztályba sorolására és a biztonsági szintre vonatkozó követelmények teljesülésének ellenőrzése, c) a kockázatelemzések elvégzése, d) a fejlesztési projektek tervezési szakaszában a biztonsági követelmények beépülésének ellenőrzése, e) az ellenőrzés során feltárt vagy tudomására jutott hiányosságok elhárításának elrendelése és a  végrehajtás eredményességének ellenőrzése, f ) a biztonsági eseményekkel kapcsolatos bejelentések kivizsgálása, g) együttműködés a  kormányzati eseménykezelő központtal, a  Nemzeti Biztonsági Felügyelettel, a  Nemzeti Kiberbiztonsági és Koordinációs Tanáccsal, h) kapcsolattartás az  elektronikus információbiztonság terén a  nemzetbiztonsági szolgálatokkal, a  Nemzeti Média- és Hírközlési Hatósággal, az  ágazati eseménykezelő központokkal, a  kormányzati incidens-kezelési munkacsoporttal, i) a főigazgató által jóváhagyott éves ellenőrzési terv alapján az ellenőrzések lefolytatása, j) a biztonsági események adatai műszaki vizsgálatának végzése és k) a Hivatal informatikai biztonsági szabályzatának felülvizsgálata. (2) A Hivatal az Ibtv. 15. §-ában meghatározottak szerint nyilvántartja az Ibtv. 15. § (1) bekezdése szerinti adatokat. 5. § (1) A Hivatal elektronikus információs rendszereinek ellenőrzését a felügyelő éves ellenőrzési terv szerint folytatja le. (2) Az éves ellenőrzési tervet a felügyelő állítja össze és terjeszti fel jóváhagyásra a főigazgatónak a biztonsági vezető útján a  tárgyévet megelőző év december 31-ig. A  jóváhagyásra történő felterjesztés előtt az  ellenőrzési tervet tájékoztatásul meg kell küldeni a  Hivatal feladat- és hatáskör szerint érintett szervezeti egység (a  továbbiakban: érintett szervezeti egység) vezetőjének. (3) A  felügyelő az  ellenőrzési terv végrehajtását a  tárgyévet követő év március 1-jéig értékeli, amelyről jelentést készít. A jelentésről a biztonsági vezető útján tájékoztatja a főigazgatót. A jelentést tájékoztatásul meg kell küldeni az érintett szervezeti egység vezetőjének. 6. § (1) A felügyelő az ellenőrzések során nem veszélyeztetheti a Hivatal elektronikus biztonsági rendszereinek biztonságos működését, valamint a Hivatal által kezelt adatok védelmét. (2) Az  ellenőrzés lefolytatása során a  felügyelő megfelelő szakképesítéssel rendelkező koordináló személy kijelölését is kérheti a  főigazgatótól a  szervezeti egységek közötti együttműködés hatékonyabbá tétele, valamint a  Hivatal elektronikus információs rendszereinek biztonságos működéséhez kapcsolódó követelmény érvényesítése céljából. (3) A  koordináló személy köteles felhívni a  felügyelő figyelmét a  Hivatal elektronikus információs rendszereit veszélyeztető tényezőkre az ellenőrzés során. 7. § A felügyelő eljárása során helyszíni ellenőrzés keretében – a  személyes adatok és a  minősített adatok védelmére vonatkozó szabályok, valamint a  biztonsági előírások betartása mellett – a  Hivatal bármely helyiségébe beléphet, bármely eszközt, dokumentumot megtekinthet, megvizsgálhat, az  érintett szervezeti egység vezetőjét, az  ott dolgozó munkatársakat szóban vagy írásban adatszolgáltatásra, felvilágosítás adására kötelezheti. A  felügyelő a Hivatal különleges célokra szolgáló helyiségeibe kizárólag kísérővel léphet be. 8. § Az ellenőrzésről a  felügyelő jegyzőkönyvet készít, amelyet az  ellenőrzés lezárását követő nyolc napon belül a  biztonsági vezető észrevételezésre megküld az  érintett szervezeti egység vezetőjének. A  jegyzőkönyvvel kapcsolatosan az  érintett szervezeti egység vezetője a  jegyzőkönyv megküldésétől számított 15 napon belül írásban észrevételeket tehet. Az észrevételek tisztázása érdekében a biztonsági vezető egyeztetést kezdeményezhet az érintett szervezeti egység vezetőjével. 9. § (1) A  felügyelő az  információbiztonsági követelmények teljesülése érdekében határidő tűzése mellett a  biztonsági vezető útján írásban felszólítja az  érintett szervezeti egység vezetőjét az  elektronikus információbiztonságot veszélyeztető hiányosság, mulasztás, illetve a  biztonsági követelménysértés megszüntetésére, jogszabályban meghatározott kötelezettség teljesítésére, illetve az elvárt intézkedés megtételére. (2) Ha az  információbiztonságot veszélyeztető hiányosság kiküszöbölésére, a  mulasztás pótlására, illetve a követelménysértés megszüntetésére, kötelezettség teljesítésére ismételt felszólításra sem kerül sor, és az érintett szervezeti egység vezetője az intézkedés elmaradását objektív okokra hivatkozva kimenteni nem tudja, a biztonsági vezető a főigazgatóhoz fordulhat a biztonságos és szabályszerű állapot helyreállítása érdekében. 10. § Ez a rendelet a kihirdetését követő 8. napon lép hatályba. Lázár János s. k., Miniszterelnökséget vezető miniszter

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.