NIS 2 irányelv

menu

Lépésről lépésre a NIS2 megfelelés felé I.

Rendszerek biztonsági osztályba sorolása

A Kibertantv. alapvető követelményei közé tartozik a rendszerek biztonsági osztályba sorolása. Ennek az a lényege, hogy az alkalmazandó védelmi intézkedések körét a rendszer biztonsági szintjétől, kritikusságától függően kell kiválasztani és alkalmazni.

Aki már olvasta vagy alkalmaznia kellett az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (Ibtv.) annak ismerős lehet az elektronikus információs rendszerek (EIR) osztályba sorolása. Ehhez a feladathoz az Osztályba sorolás és védelmi intézkedés űrlapot (ún. OVI tábla) kellett kitölteni.

20945659-[Converted]
20944299-[Converted]

Míg az Ibtv. esetén 5 osztályról beszélhetünk, a Kibertantv. esetében 3 biztonsági osztály került meghatározásra: „alap”, „jelentős” és „magas”. Az osztályba sorolás módszertana jelenleg nem ismert, de várhatóan az OVI táblához hasonló megoldásra számíthatunk. A módszertan jelenleg kidolgozás alatt áll és várhatóan decemberben kerül kihirdetésre egy polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben (az alkalmazandó védelmi intézkedésekkel együtt).

Az osztályba sorolás elvégzéséhez elengedhetetlen, hogy a szervezet rendelkezzen egy teljeskörű, naprakész IT rendszer nyilvántartással. Ha ez hiányzik a szervezetnél, akkor érdemes minél hamarabb frissíteni és kiegészíteni a nyilvántartást, mert ez az osztályba sorolás előfeltétele.

Elektronikus rendszerek biztonságáért felelős személy kijelölése

A Kibertantv. előírja a kinevezését, de mégis kevés helyen említi az elektronikus információs rendszerek biztonságáért felelős személyt, viszont ennek a szerepkörnek kiemelt szerepe van a megfelelés elérése, fenntartása és a kockázatokkal arányos védelem biztosításában.

Az elektronikus információs rendszerek biztonságáért felelős személyek feladat- és hatásköre szervezetenként eltérő, a Kibertantv. úgy fogalmaz, hogy a szervezet vezetőjének kell meghatároznia ezeket. Az általános tevékenységek felsorolásához az Ibtv. előírásaihoz folyamodhatunk segítségért, a szervezetek vezetői ezeket vehetik alapul. 

Gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról.

Elvégzi vagy irányítja az előző pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését.

Előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot.

Előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását.

Véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit.

Kapcsolatot tart a hatósággal és az eseménykezelő központtal.

Jelenleg nincs hivatalos információ arra vonatkozóan, hogy felelősnek milyen képzettségi és szakmai tapasztalatra vonatkozó követelményeknek kell megfelelnie.

A felelőst a szervezet vezetőjének kell kijelölnie és be kell jelenteni a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH).

Információbiztonsági irányítás rendszere

A Kibertantv. előírja az elektronikus információs rendszerek, valamint fizikai környezetük védelmére vonatkozó információbiztonsági irányítás rendszerének kialakítását (pontosabban azt, hogy a védelemnek ki kell terjednie erre az irányítási rendszerre is).

Ez jogszabályi szinten kevés információ, várhatóan a részletes követelményeket tartalmazó polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben lesz jobban kifejtve. Ha az információbiztonság irányítási rendszerét említjük, sokaknak az ISO 27000-es szabványcsalád szerint kialakított ISMS/IBIR juthat eszébe, de nem gondoljuk, hogy ennek a bevezetését fogják előírni a szervezeteknek. Ettől függetlenül érdemes körüljárni, hogy az ISO 27000:2018 szabvány mit tartalmaz az irányítási rendszerek leírására vonatkozóan:

Az irányítási rendszer az erőforrások keretrendszerét használja a szervezet céljainak eléréséhez.

20945823-[Converted]

Az irányítási rendszer magában foglalja a(z):

      • szervezeti struktúrát,

      • politikákat (szabályzatokat),

      • tervezési tevékenységeket,

      • felelősségi köröket,

      • gyakorlatokat, eljárásokat, folyamatokat,

      • erőforrásokat.

Az irányítási rendszer magában foglalja a(z):

  • szervezeti struktúrát,

  • politikákat (szabályzatokat),

  • tervezési tevékenységeket,

  • felelősségi köröket,

  • gyakorlatokat, eljárásokat,

     folyamatokat,

  • erőforrásokat.

20945822-[Converted]

Az információbiztonság szempontjából az irányítási rendszer lehetővé teszi a szervezet számára, hogy:

      • kielégítse az ügyfelek és más érdekelt felek
         információbiztonsági követelményeit;

      • javítsa a szervezet terveit és tevékenységeit;

      • teljesítse a szervezet információbiztonsági célkitűzéseit;

      • megfeleljen a szabályozásoknak, jogszabályoknak és az iparági
         megbízásoknak; és

      • az információs eszközök szervezett módon történő kezelése,
         amely megkönnyíti a folyamatos fejlesztést és az aktuális
         szervezeti célokhoz való igazodást.

Az információbiztonság szempontjából az irányítási rendszer lehetővé teszi a szervezet számára, hogy:

  • kielégítse az ügyfelek és más

     érdekelt felek információbiztonsági

     követelményeit;

  • javítsa a szervezet terveit és

     tevékenységeit;

  • teljesítse a szervezet

     információbiztonsági célkitűzéseit;

  • megfeleljen a szabályozásoknak,

     jogszabályoknak és az iparági

     megbízásoknak; és

  • az információs eszközök szervezett

     módon történő kezelése, amely

     megkönnyíti a folyamatos

     fejlesztést és az aktuális szervezeti

     célokhoz való igazodást.

cropped-EURO-ONE-szines-logo.png
LinkedIn logo
YouTube logo
Facebook logo

Küldjön nekünk üzenetet

Az ‘Üzenet küldése’ gombra kattintva elfogadja az Adatkezelési és cookie tájékoztatónkat.

Megkeresését köszönjük! Kollégáink visszajelzéséig türelmét kérjük.

Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal cookie-kat használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k adatait a böngésző tárolja, és olyan funkciókat lát el, mint például felismeri Önt, amikor visszatér weboldalunkra, és segít csapatunknak megérteni, hogy a webhely mely részeit találja a legérdekesebbnek és leghasznosabbnak.