📄 Jogszabály szövege
12/2015. (III. 6.) MvM rendelete az Információs Hivatal elektronikus információs rendszereinek biztonsági felügyeletéről és ellenőrzéséről.
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (3) bekezdés
e) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet
4. § 13. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § Az Információs Hivatal (a továbbiakban: Hivatal) elektronikus információs rendszerei védelmének biztosításáért
a Hivatal főigazgatója (a továbbiakban: főigazgató) felelős.
2. § (1) A Hivatal elektronikus információs rendszerei biztonságának jogszabályban meghatározott ágazati biztonsági
felügyeletét a polgári hírszerzési tevékenység irányításáért felelős miniszter e rendeletben meghatározottak szerint
a főigazgató útján látja el.
(2) Az ágazati biztonsági felügyeleti tevékenységre az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14–18. §-a helyett a 3–9. § szerinti
rendelkezéseket kell alkalmazni.
3. § (1) Az ágazati biztonsági felügyeleti feladatokat az e rendeletben meghatározottak szerint a Hivatalnak a minősített
adat védelméről szóló törvényben meghatározott biztonsági vezetője (a továbbiakban: biztonsági vezető) és
a biztonsági vezető irányításával működő, a főigazgató által kijelölt személy (a továbbiakban: felügyelő) látja el.
(2) A felügyelőnek szakirányú felsőfokú végzettséggel, továbbá
a) az Information Systems Audit and Control Association (ISACA) által kiadott Certified Information Security
Systems Security Professional (CISSP)
oklevéllel kell rendelkeznie. (3) A biztonsági vezető és a felügyelő az ágazati biztonsági felügyeleti feladatokat az e rendeletben meghatározottak
szerint, önállóan látja el. A biztonsági vezető és a felügyelő az ágazati biztonsági felügyeleti feladatok ellátásával
összefüggésben nem utasítható.
4. § (1) A felügyelő feladatai:
a) az elektronikus információs rendszerek osztályba sorolásának és a biztonsági szint megállapításának
ellenőrzése,
b) az elektronikus információs rendszerek osztályba sorolására és a biztonsági szintre vonatkozó követelmények
teljesülésének ellenőrzése,
c) a kockázatelemzések elvégzése,
d) a fejlesztési projektek tervezési szakaszában a biztonsági követelmények beépülésének ellenőrzése,
e) az ellenőrzés során feltárt vagy tudomására jutott hiányosságok elhárításának elrendelése és a végrehajtás
eredményességének ellenőrzése,
f ) a biztonsági eseményekkel kapcsolatos bejelentések kivizsgálása,
g) együttműködés a kormányzati eseménykezelő központtal, a Nemzeti Biztonsági Felügyelettel, a Nemzeti
Kiberbiztonsági és Koordinációs Tanáccsal,
h) kapcsolattartás az elektronikus információbiztonság terén a nemzetbiztonsági szolgálatokkal, a Nemzeti
Média- és Hírközlési Hatósággal, az ágazati eseménykezelő központokkal, a kormányzati incidens-kezelési
munkacsoporttal,
i) a főigazgató által jóváhagyott éves ellenőrzési terv alapján az ellenőrzések lefolytatása,
j) a biztonsági események adatai műszaki vizsgálatának végzése és
k) a Hivatal informatikai biztonsági szabályzatának felülvizsgálata.
(2) A Hivatal az Ibtv. 15. §-ában meghatározottak szerint nyilvántartja az Ibtv. 15. § (1) bekezdése szerinti adatokat.
5. § (1) A Hivatal elektronikus információs rendszereinek ellenőrzését a felügyelő éves ellenőrzési terv szerint folytatja le.
(2) Az éves ellenőrzési tervet a felügyelő állítja össze és terjeszti fel jóváhagyásra a főigazgatónak a biztonsági vezető
útján a tárgyévet megelőző év december 31-ig. A jóváhagyásra történő felterjesztés előtt az ellenőrzési tervet
tájékoztatásul meg kell küldeni a Hivatal feladat- és hatáskör szerint érintett szervezeti egység (a továbbiakban:
érintett szervezeti egység) vezetőjének.
(3) A felügyelő az ellenőrzési terv végrehajtását a tárgyévet követő év március 1-jéig értékeli, amelyről jelentést
készít. A jelentésről a biztonsági vezető útján tájékoztatja a főigazgatót. A jelentést tájékoztatásul meg kell küldeni
az érintett szervezeti egység vezetőjének.
6. § (1) A felügyelő az ellenőrzések során nem veszélyeztetheti a Hivatal elektronikus biztonsági rendszereinek biztonságos
működését, valamint a Hivatal által kezelt adatok védelmét.
(2) Az ellenőrzés lefolytatása során a felügyelő megfelelő szakképesítéssel rendelkező koordináló személy kijelölését
is kérheti a főigazgatótól a szervezeti egységek közötti együttműködés hatékonyabbá tétele, valamint a Hivatal
elektronikus információs rendszereinek biztonságos működéséhez kapcsolódó követelmény érvényesítése céljából.
(3) A koordináló személy köteles felhívni a felügyelő figyelmét a Hivatal elektronikus információs rendszereit
veszélyeztető tényezőkre az ellenőrzés során.
7. § A felügyelő eljárása során helyszíni ellenőrzés keretében – a személyes adatok és a minősített adatok védelmére
vonatkozó szabályok, valamint a biztonsági előírások betartása mellett – a Hivatal bármely helyiségébe beléphet,
bármely eszközt, dokumentumot megtekinthet, megvizsgálhat, az érintett szervezeti egység vezetőjét, az ott
dolgozó munkatársakat szóban vagy írásban adatszolgáltatásra, felvilágosítás adására kötelezheti. A felügyelő
a Hivatal különleges célokra szolgáló helyiségeibe kizárólag kísérővel léphet be.
8. § Az ellenőrzésről a felügyelő jegyzőkönyvet készít, amelyet az ellenőrzés lezárását követő nyolc napon belül
a biztonsági vezető észrevételezésre megküld az érintett szervezeti egység vezetőjének. A jegyzőkönyvvel
kapcsolatosan az érintett szervezeti egység vezetője a jegyzőkönyv megküldésétől számított 15 napon belül
írásban észrevételeket tehet. Az észrevételek tisztázása érdekében a biztonsági vezető egyeztetést kezdeményezhet
az érintett szervezeti egység vezetőjével.
9. § (1) A felügyelő az információbiztonsági követelmények teljesülése érdekében határidő tűzése mellett a biztonsági
vezető útján írásban felszólítja az érintett szervezeti egység vezetőjét az elektronikus információbiztonságot
veszélyeztető hiányosság, mulasztás, illetve a biztonsági követelménysértés megszüntetésére, jogszabályban
meghatározott kötelezettség teljesítésére, illetve az elvárt intézkedés megtételére.
(2) Ha az információbiztonságot veszélyeztető hiányosság kiküszöbölésére, a mulasztás pótlására, illetve
a követelménysértés megszüntetésére, kötelezettség teljesítésére ismételt felszólításra sem kerül sor, és az érintett
szervezeti egység vezetője az intézkedés elmaradását objektív okokra hivatkozva kimenteni nem tudja, a biztonsági
vezető a főigazgatóhoz fordulhat a biztonságos és szabályszerű állapot helyreállítása érdekében.
10. § Ez a rendelet a kihirdetését követő 8. napon lép hatályba.
Lázár János s. k.,
Miniszterelnökséget vezető miniszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.