hotline

Információ biztonsági felelős – tények, jogszabályok, összefoglaló

Az elmúlt néhány év eléggé felkapott témája lett az információbiztonság, az adatvédelem és a vele kapcsolatos kérdések. Ehhez nyilván hozzájárultak a sajtóban megjelenő hírek is különböző kiszivárogtatásokról és lehallgatásokról, mert az ilyen cikkek elérik azokat is, akik különben nemigen foglalkoznának a kérdéssel. A lentiekben ugyanakkor megpróbálunk a hazai helyzetre, a tényekre és az előttünk álló feladatokra összpontosítani.

Két fontos dolgot kell rögtön az elején tisztázni:

  • 1. A személyes adatok védelme (privacy) JOGI kategória, nem műszaki!
  • 2. Az információbiztonsági megoldásokból NEM következik automatikusan a személyes adatok védelme!

Az informácíóbiztonságot specifikálni, tervezni, bevezetni és igazolni-bizonyítani kell!

Az adatvédelem:
Specifikál

Tervez

Bevezet

Igazol

Először is válasszuk ketté: mi a kötelező és mi az ésszerű?

Az ésszerű megoldás megtalálása általában nehezebb, mert mint láttuk nagyon komoly gazdasági hatalmak nagyon jól képzett és fizetett titkosszolgálatai sem tudják megakadályozni a kémkedést, ha valaki még tőlük is ügyesebb vagy gazdagabb próbálkozik. Ezzel tehát a száz százalékos biztonság kérdését talán le is zárhatjuk. Ugyanakkor nem vehetjük félvállról sem, hiszen a való életben nem feltétlenül csak külföldi nagyhatalmak fognak „érdeklődni” az adataink után, azaz az ésszerű védelem kialakítása igenis saját jól felfogott érdekünk!

Mi a kötelező? A vonatkozó legfontosabb jogszabályok:

-2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
-1995. évi CXIX. törvény a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről
-1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során
-2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól
-Az Európai Parlament és a Tanács 2016/679 (GDPR) rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról.

Egyéb jogszabályok:

– 2012. évi C. törvény a Büntető Törvénykönyvről (Magántitok, levéltitok, Személyes adattal visszaélés, Közérdekű adattal visszaélés)
– 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról

  • 41/2015. (VII. 15.) BM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről
  • 187/2015. (VII. 13.) Korm. rendelet az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról
  • 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról

– 2015. évi CCXXII. törvény az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól
– 2001. évi XXXV. törvény az elektronikus aláírásról (Eatv.)
– 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.)
– 83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról
– 84/2012. (IV. 21.) Korm. rendelet egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről
– 2009. évi CLV. törvény a minősített adat védelméről

A 2013. évi L. törvény legfontosabb jellemzői:
  2013. évi L. törvény
Mi a követelmény? “A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek védelméről” 12 pont betartásával!

az elektronikus információs rendszereket, valamint az azokban kezelt adatokat be kell sorolni egy-egy biztonsági osztályba

a szervezetet az elektronikus információs rendszerek védelmére való felkészültsége alapján …biztonsági szintekbe kell sorolni

Kire vonatkozik? többek között:
– a fővárosi és megyei kormányhivatalokra,
a helyi … önkormányzatok képviselő-testületének hivatalaira, …
– a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozóira,
– az európai vagy nemzeti létfontosságú rendszerelemek kezelőire
Mióta hatályos? A törvényt az Országgyűlés a 2013. április 15-i ülésnapján fogadta el. A kihirdetés napja: 2013. április 25.
Mik a legfontosabb kezdeti feladatok? – kijelölt információbiztonsági felelős személy adatainak és az informatikai biztonsági szabályzatnak beküldése a Nemzeti Elektronikus Információbiztonsági Hatóság felé
– a már működő elektronikus információs rendszerei … biztonsági osztályba sorolását első alkalommal az e törvény hatálybalépését követő egy éven belül el kell végezni.
…biztonsági szintbe sorolását első alkalommal az e törvény hatálybalépését követő egy éven belül el kell végezni.
Operatív felelős Az elektronikus információs rendszer biztonságáért felelős személy
– felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért
– A szervezetnél csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy feladatait, aki büntetlen előéletű, rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel.

A 2013. L. törvény alapján az elektronikus információs rendszerek biztonságáért felelős személy feladatainak ellátása is kötelezővé vált.

Ez megvalósulhat határozatlan időre, főállásban is, de akár vállalkozási, szolgáltatási szerződés alapján is. Ez utóbbiban tud a TMSI Kft. rendelkezésre állni, hiszen rendelkezünk azon típusú végzettséggel rendelkező és megfelelő tapasztalattal rendelkező szakemberekkel, aki erre jogosultak.

Keresse kollégáinkat, még ma!