Információbiztonság
A Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (Kiberbiztonsági tv.) és a végrehajtásáról szóló 418/2024. (XII. 23.) Korm. rendelet (Kiberbiztonsági vhr.) alapján a közigazgatási ágazathoz tartozó szervezetek közül kizárólag a települések képviselő-testületének hivatalaira vonatkozóan vállaljuk az elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátását, valamint az elektronikus információs rendszerek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtését és fenntartását.

2025 évben lejárt határidők:

A szervezet rendelkezésében lévő elektronikus információs rendszerek, általa használt központi rendszerek és igénybe vett, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek felmérése és nyilvántartásba vétele, biztonsági osztályba sorolás, adatosztályozás, információbiztonsági szabályzatát elkészítése, az előírt védelmi intézkedések meghatározása és azok teljesítéséről is adatszolgáltatás a Nemzeti Kiberbiztonsági Intézet számára.

Előzmények:

2013 év óta főtevékenységünk az informatikai biztonsági tanácsadás. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (Ibtv.) az önkormányzati szervek, a helyi önkormányzatok képviselő-testületének hivatalai számára feladatokat, kötelezettségeket határozott meg, melyekhez jellemzően humán erőforrás és kompetencia hiányában külső tanácsadó igénybevétele volt szükséges.

2016-tól az önkormányzati ASP központhoz történő csatlakozás országos pályázat keretében több száz települési önkormányzatnál készítettük a Működésfejlesztés és szabályozási keretek kialakítása feladat keretében az Informatikai biztonsági szabályzatot.

2024. december végén megjelentek és hatályosak az új kiberbiztonsági jogszabályok, hatályon kívül helyezve az Ibtv-t. A kiberbiztonsági követelmények változása valamennyi települési önkormányzatot és képviselő-testületének hivatalát érinti.

2024. december végén megjelentek és hatályosak az új kiberbiztonsági jogszabályok, hatályon kívül helyezve az Ibtv-t. A kiberbiztonsági követelmények változása valamennyi települési önkormányzatot és képviselő-testületének hivatalát érinti.

A jegyző az elektronikus információs rendszerek védelme érdekében kockázatmenedzsment keretrendszert hoz létre és működtet*, melynek keretében:

  1. gondoskodik a szervezet által használt elektronikus információs rendszerek, központi szolgáltatások felméréséről és nyilvántartásba vételéről a következők szerinti bontásban:
    1. a szervezet rendelkezésében lévő elektronikus információs rendszerek,
    2. a szervezet által használt központi rendszerek,
    3. a szervezet által igénybe vett, központi szolgáltató által biztosított szolgáltatások és támogató rendszerek,
    4. a szervezet rendelkezésében lévő vagy a szervezet által használt egyéb támogató rendszerek;
  2. meghatározza a szervezet rendelkezésében lévő, továbbá a szervezet használatában lévő elektronikus információs rendszerek védelmével kapcsolatos szerepköröket, felelősöket, feladatokat és az ehhez szükséges hatásköröket, kinevezi vagy megbízza az elektronikus információs rendszer biztonságáért felelős személyt;
  3. gondoskodik a szervezet rendelkezésében lévő elektronikus információs rendszerben kezelt adatok felméréséről és osztályozásáról;
  4. hatáselemzést és kockázatmenedzsment tevékenységet végez a szervezet rendelkezésében lévő elektronikus információs rendszerekre és azok környezetére vonatkozóan*;
  5. biztonsági osztályba sorolja a szervezet rendelkezésében lévő elektronikus információs rendszereket*;
  6. meghatározza a szervezet rendelkezésében lévő elektronikus információs rendszerek vonatkozásában a kockázatokkal arányos védelmi intézkedéseket;
  1. kiadja a felhasználókra és az elektronikus információbiztonsági követelményekre vonatkozó információbiztonsági szabályzatot, valamint gondoskodik annak legalább kétévente vagy a jogszabályban meghatározott esetekben történő felülvizsgálatáról;
  2. biztosítja az elektronikus információs rendszerek védelme vonatkozásában meghatározott védelmi intézkedések teljesülését;
  3. gondoskodik – ha releváns – az európai uniós jogi aktusban foglaltak, valamint az informatikáért felelős miniszter rendelete szerint kiválasztott védelmi intézkedések megfelelőségének első biztonsági osztályba sorolás alkalmával történő értékeléséről*,
  4. rendszeresen - legalább kétévente, az információbiztonsági szabályzat és a biztonsági osztályba sorolás felülvizsgálatával egyidejűleg - gondoskodik a védelmi intézkedések időszakos értékeléséről, ennek keretében legalább kockázatelemzések, ellenőrzések, független és a kiberbiztonsági hatóság által kiadott ajánlás szerinti belső kiberbiztonsági értékelés lefolytatása révén meggyőződik arról, hogy a jogszabályoknak és a kockázatoknak megfelelően meghatározott védelmi intézkedések megfelelően biztosítják-e a szervezet és elektronikus információs rendszerei biztonságát;
  5. gondoskodik a biztonsági osztályhoz kapcsolódó védelmi intézkedések értékelése során feltárt hiányosságok orvoslásáról;
  6. a szervezeten belül dönt az elektronikus információs rendszerek használatbavételéről vagy használatának folytatásáról és
  7. gondoskodik a kiberbiztonsági hatósági kötelezések teljesítéséről.

A szervezet vezetője az elektronikus információs rendszer védelmének biztosítása érdekében:

  1. gondoskodik az elektronikus információs rendszerek védelmi feladatainak és az azokhoz kapcsolódó felelősségi köröknek az oktatásáról, saját maga és a szervezet munkatársainak – az informatikáért felelős miniszter rendeletében meghatározott – kiberbiztonsági képzéséről, továbbképzéséről;
  2. biztosítja a kötelezően előírt hazai kiberbiztonsági gyakorlatokon történő részvételt, illetve kiberbiztonsági gyakorlat önálló megtartását;
  3. gondoskodik az elektronikus információs rendszer eseményeinek nyomonkövethetőségéről;
  4. ha a szervezet közreműködőt vesz igénybe az elektronikus információs rendszer létrehozása, üzemeltetése, auditálása, karbantartása, javítása, illetve a kiberbiztonsági incidensek kezelése során, vagy a szervezet elektronikus információs rendszerével kapcsolatos adatkezelési, adatfeldolgozási tevékenység ellátásához, gondoskodik arról, hogy a közreműködő által az elektronikus információs rendszerrel kapcsolatosan ellátott tevékenységgel összefüggésben szükséges kiberbiztonsági követelmények az e törvényben foglaltaknak megfelelően szerződéses kötelemként teljesüljenek;
  1. az elektronikus információs rendszert érintő kiberfenyegetés, kiberbiztonsági incidensközeli helyzet vagy kiberbiztonsági incidens bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a gyors és hatékony reagálásról, az illetékes kiberbiztonsági incidenskezelő központnak való bejelentésről, a kiberbiztonsági incidensek kezeléséről, valamint a helyreállításról;
  2. gondoskodik az érintetteknek a kiberbiztonsági incidensekről és a lehetséges fenyegetésekről történő haladéktalan tájékoztatásáról;
  3. gondoskodik a kiberbiztonsági hatóság és az illetékes kiberbiztonsági incidenskezelő központ ajánlásainak, iránymutatásainak az elektronikus információs rendszer védelmének biztosítása érdekében történő figyelembevételéről;
  4. köteles törekedni arra, hogy a jelen jogszabályban meghatározott feladatokat a lehető legrövidebb időn belül hajtsa végre;
  5. gondoskodik arról, hogy a szervezet által az adott évben informatikai fejlesztésre fordított költségek legalább 5%-ának megfelelő összeget a szervezet a tárgyév során kiberbiztonsági fejlesztésekre fordítson és
  6. megteszi az elektronikus információs rendszer védelme érdekében felmerülő egyéb szükséges intézkedéseket.

A jegyző az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.

A jegyző az elektronikus információs rendszer védelméhez kapcsolódó feladatok ellátása, a kockázatmenedzsment keretrendszer működtetése, a kiberbiztonsági incidensek bejelentése és a kiberbiztonsági incidenskezelő központtal való kapcsolattartás érdekében a szervezeten belül kijelöli az elektronikus információs rendszer biztonságáért felelős személyt vagy a szervezeten kívüli személlyel megállapodást köt.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kiberbiztonsági Intézet által hivatalból indított hatósági ellenőrzések során 2017–2026 között 7 polgármesteri vagy közös önkormányzati hivatal esetében működtünk közre a megfelelés biztosításában.

Új megbízást korlátozottan tudunk vállalni, jelenleg két fő rendelkezik elektronikus információs rendszer biztonságáért felelős jogosultsággal, amely a feladatellátáshoz szükséges, az informatikáért felelős miniszter rendeletében előírt végzettségen, szakképzettségen, akkreditált nemzetközi képzettségen vagy szakmai tapasztalaton alapul.

Érdeklődés esetén tájékoztatást az ügyvezető ad.

Elektronikus információs rendszer biztonságáért felelős szakértőink:

Szűcsné Tóth Éva Zsuzsanna

ügyvezető,
elektronikus információs rendszerek biztonságáért felelős

+36 30 205 23 84
szucsne.toth.eva@ipmonitoring.hu

Lapos Bence

szoftverfejlesztő,
elektronikus információs rendszerek biztonságáért felelős

+36 20 500 78 91
lapos.bence@ipmonitoring.hu