NIS 2 irányelv

cropped-EURO-ONE-szines-logo.png

Főoldal

Hírek

Sajtó

Lépésről lépésre a NIS2 megfelelés felé I.

Rendszerek biztonsági osztályba sorolása

A Kibertantv. alapvető követelményei közé tartozik a rendszerek biztonsági osztályba sorolása. Ennek az a lényege, hogy az alkalmazandó védelmi intézkedések körét a rendszer biztonsági szintjétől, kritikusságától függően kell kiválasztani és alkalmazni.

Aki már olvasta vagy alkalmaznia kellett az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (Ibtv.) annak ismerős lehet az elektronikus információs rendszerek (EIR) osztályba sorolása. Ehhez a feladathoz az Osztályba sorolás és védelmi intézkedés űrlapot (ún. OVI tábla) kellett kitölteni.

20945659-[Converted]
20944299-[Converted]

Míg az Ibtv. esetén 5 osztályról beszélhetünk, a Kibertantv. esetében 3 biztonsági osztály került meghatározásra: „alap”, „jelentős” és „magas”. Az osztályba sorolás módszertana jelenleg nem ismert, de várhatóan az OVI táblához hasonló megoldásra számíthatunk. A módszertan jelenleg kidolgozás alatt áll és várhatóan decemberben kerül kihirdetésre egy polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben (az alkalmazandó védelmi intézkedésekkel együtt).

Az osztályba sorolás elvégzéséhez elengedhetetlen, hogy a szervezet rendelkezzen egy teljeskörű, naprakész IT rendszer nyilvántartással. Ha ez hiányzik a szervezetnél, akkor érdemes minél hamarabb frissíteni és kiegészíteni a nyilvántartást, mert ez az osztályba sorolás előfeltétele.

Elektronikus rendszerek biztonságáért felelős személy kijelölése

A Kibertantv. előírja a kinevezését, de mégis kevés helyen említi az elektronikus információs rendszerek biztonságáért felelős személyt, viszont a ennek a szerepkörnek kiemelt szerepe van a megfelelés elérése, fenntartása és a kockázatokkal arányos védelem biztosításában.

Az elektronikus információs rendszerek biztonságáért felelős személyek feladat- és hatásköre szervezetenként eltérő, a Kibertantv. úgy fogalmaz, hogy a szervezet vezetőjének kell meghatároznia ezeket. Az általános tevékenységek felsorolásához az Ibtv. előírásaihoz folyamodhatunk segítségért, a szervezetek vezetői ezeket vehetik alapul. 

Gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról.

Elvégzi vagy irányítja az előző pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését.

Előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot.

Előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását.

Véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit.

Kapcsolatot tart a hatósággal és az eseménykezelő központtal.

Jelenleg nincs hivatalos információ arra vonatkozóan, hogy felelősnek milyen képzettségi és szakmai tapasztalatra vonatkozó követelményeknek kell megfelelnie.

A felelőst a szervezet vezetőjének kell kijelölnie és be kell jelenteni a Szabályozott Tevékenységek Felügyeleti Hatóságának (SZTFH).

Információbiztonsági irányítás rendszere

A Kibertantv. előírja az elektronikus információs rendszerek, valamint fizikai környezetük védelmére vonatkozó információbiztonsági irányítás rendszerének kialakítását (pontosabban azt, hogy a védelemnek ki kell terjednie erre az irányítási rendszerre is).

Ez jogszabályi szinten kevés információ, várhatóan a részletes követelményeket tartalmazó polgári nemzetbiztonsági szolgálatok irányításáért felelős miniszter rendeletben lesz jobban kifejtve. Ha az információbiztonság irányítási rendszerét említjük, sokaknak az ISO 27000-es szabványcsalád szerint kialakított ISMS/IBIR juthat eszébe, de nem gondoljuk, hogy ennek a bevezetését fogják előírni a szervezeteknek. Ettől függetlenül érdemes körüljárni, hogy az ISO 27000:2018 szabvány mit tartalmaz az irányítási rendszerek leírására vonatkozóan:

Az irányítási rendszer az erőforrások keretrendszerét használja a szervezet céljainak eléréséhez.

20945823-[Converted]

Az irányítási rendszer magában foglalja a(z):

  • szervezeti struktúrát,
  • politikákat (szabályzatokat),
  • tervezési tevékenységeket,
  • felelősségi köröket,
  • gyakorlatokat, eljárásokat, folyamatokat,
  • erőforrásokat.
20945822-[Converted]

Az információbiztonság szempontjából az irányítási rendszer lehetővé teszi a szervezet számára, hogy:

  • kielégítse az ügyfelek és más érdekelt felek információbiztonsági követelményeit;
  • javítsa a szervezet terveit és tevékenységeit;
  • teljesítse a szervezet információbiztonsági célkitűzéseit;
  • megfeleljen a szabályozásoknak, jogszabályoknak és az iparági megbízásoknak; és
  • az információs eszközök szervezett módon történő kezelése, amely megkönnyíti a folyamatos fejlesztést és az aktuális szervezeti célokhoz való igazodást.

Érdekli hogyan zajlott az ICT Global és EURO ONE közös üzleti reggelije?

Iratkozzon fel és visszanézheti exkluzív videóinkat valamint hírlevelünkből értesülhet a NIS2 felkészülés mérföldköveiről.

We respect your privacy.