16/2013. (VIII. 30.) HM rendelet
16/2013. (VIII. 30.) HM rendelet
a Magyar Honvédség, a Katonai Nemzetbiztonsági Szolgálat, a Honvédelmi Tanács és a Kormány speciális működését támogató elektronikus infokommunikációs rendszerek biztonságának felügyeletéről és ellenőrzéséről1
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (3) bekezdés a) pontjában kapott felhatalmazás alapján a honvédelemről és a Magyar Honvédségről, valamint a különleges jogrendben bevezethető intézkedésekről szóló 2011. évi CXIII. törvény egyes rendelkezéseinek végrehajtásáról szóló 290/2011. (XII. 22.) Korm. rendelet 2. § (1) bekezdésében meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § E rendelet alkalmazásában:
1. átfogó ellenőrzés: a meghatározott követelmények teljesülésének, illetve az alaprendeltetésnek való megfelelés érdekében végzett összes tevékenység vizsgálata,
2. biztonsági vezető: a minősített adat védelméről szóló törvény szerinti biztonsági vezető,
3. célellenőrzés: az előírások betartásának, a részfeladatok gyakorlati végrehajtásának felmérésére, vagy egy biztonsági esemény körülményeinek vizsgálata,
4. elektronikus információs rendszer biztonságáért felelős személy: az üzemeltetett elektronikus információs rendszer vonatkozásában a honvédelmi szervezet vezetője által kijelölt személy, aki az elektronikus információbiztonsági követelmények meghatározásáért és az elektronikus információvédelmi rendszabályok kialakításáért, alkalmazásáért és azok betartásáért felel,
5. hatóság: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.) meghatározott, az informatikáért felelős miniszter által vezetett minisztérium szervezeti keretében önálló feladatkörrel és hatósági jogkörrel rendelkező szervezeti egység,
6. hálózatgazda: a Honvéd Vezérkar híradó, informatikai és információvédelmi csoportfőnök,
7. honvédelmi szervezet: a honvédek jogállásáról szóló 2012. évi CCV. törvény 2. § 13. pontja szerinti honvédségi szervezet és a Katonai Nemzetbiztonsági Szolgálat,
8. elektronikus információbiztonsági szabályzat: az Ibtv. 13. § (2) bekezdés c) pontja szerint meghatározott informatikai biztonsági szabályzat,
9. utóellenőrzés: a korábbi ellenőrzés során feltárt hiányosságok felszámolására megszabott feladatok teljesítésének felmérése,
10. szakhatóság: az Ibtv.-ben meghatározott Nemzeti Biztonsági Felügyelet,
11. témavizsgálat: meghatározott követelmények teljesülésének, illetve az alaprendeltetésnek való megfelelés érdekében végzett összes tevékenység egyidejű vizsgálata több szervezetnél.
2. § (1) Az elektronikus információs rendszerek védelmének biztosításáért a honvédelmi szervezet vezetője a felelős.
(2) Az elektronikus információs rendszerek biztonságának a jogszabályban meghatározott felügyeletét a honvédelemért felelős miniszter
a) a Magyar Honvédség kormányzati célú elkülönült hírközlő hálózata esetében a hálózatgazda,
b) a Katonai Nemzetbiztonsági Szolgálat (a továbbiakban: KNBSZ) zárt hálózata esetében a KNBSZ főigazgatója,
c) a Honvédelmi Tanács és a Kormány speciális működését biztosító infokommunikációs támogató rendszer esetében a HM Védelmi Hivatal főigazgatója
útján látja el.
(3) A (2) bekezdésben meghatározott rendszerek esetében felügyeletet kell kijelölni.
(4) Az elektronikus információs rendszerek biztonságára vonatkozó kapcsolattartási feladatokat a (2) bekezdés a) pontjában meghatározott rendszerhez kijelölt felügyelet (a továbbiakban: központi felügyelet) látja el.
3. § (1) A felügyelet feladatai:
a) az osztályba sorolás és biztonsági szint megállapításának ellenőrzése,
b) az elektronikus információs rendszerek osztályba sorolására és a szervezetek biztonsági szintjére vonatkozó követelmények teljesülésének ellenőrzése,
c) a honvédelmi szervezet által végrehajtott kockázatelemzések ellenőrzése,
d) a jogszabályban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok érvényesülésének ellenőrzése,
e) a fejlesztési projektek tervezési szakaszában a biztonsági követelmények beépülésének ellenőrzése,
f) az ellenőrzés során feltárt, vagy tudomására jutott hiányosságok elhárításának elrendelése és a végrehajtás eredményességének ellenőrzése,
g) a biztonsági incidensekkel, eseményekkel kapcsolatos bejelentések kivizsgálása,
h) együttműködés a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló törvényben meghatározott elektronikus ügyintézési felügyelettel a szabályozott elektronikus ügyintézési szolgáltatás szolgáltatókra vonatkozó biztonsági követelmények teljesülésének ellenőrzésében,
i) kapcsolattartás a polgári nemzetbiztonsági szolgálatokkal, és
j) együttműködés és kapcsolattartás a központi felügyelettel.
(2) A központi felügyelet feladatai:
a) együttműködés és kapcsolattartás a kormányzati eseménykezelő központtal, az ágazati eseménykezelési központokkal, a kormányzati incidens-kezelési munkacsoporttal, a hatósággal, a szakhatósággal és a felügyelettel, és
b) a szakhatóság megkeresése sérülékenységvizsgálat és biztonsági esemény adatainak műszaki vizsgálata céljából.
4. § (1) A felügyelet éves ellenőrzési tervet készít, amelyet a 2. § (2) bekezdésében meghatározott, az adott rendszer felügyeletét ellátó vezető hagy jóvá.
(2) A felügyelet az üzemeltetett elektronikus információs rendszerekre vonatkozó központi biztonsági politikát és stratégiát készít, amelyet a honvédelemért felelős miniszter hagy jóvá.
(3) A honvédelmi szervezetnél az elektronikus információs rendszer biztonságáért felelős személy az üzemeltetett rendszerekre vonatkozó elektronikus információs rendszer biztonsági szabályzatot készít, amelyet a rendszer felügyeletét ellátó vezető hagy jóvá.
5. § (1) A 3. § (1) bekezdés a)–f) és h) pontjaiban foglalt ellenőrzéseket a felügyelet átfogó ellenőrzés, témavizsgálat, célellenőrzés és utóellenőrzés keretein belül hajtja végre a honvédelmi szervezetek operatív belső kontrolljai rendszerének kialakítását, működtetését és fejlesztését meghatározó rendelkezések szerint.
(2) A felügyelet helyszíni ellenőrzés keretében jogosult önállóan, a szakhatósággal, illetve a hatósággal együtt:
a) az érintett honvédelmi szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni,
b) az érintett honvédelmi szervezet számára adatfeldolgozást, adatkezelést biztosító, illetve információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során bármely, az elektronikus információbiztonsággal kapcsolatos iratot, dokumentumot, szerződést, aktív, vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni, és
c) információtechnológiai műszaki vizsgálatokat végezni vagy végeztetni.
(3) A helyszíni ellenőrzés elrendeléséről az érintett honvédelmi szervezet vezetőjét előzetesen, a helyszíni vizsgálat megkezdése előtt legalább 5 nappal korábban, írásban értesíteni kell. Az értesítés mellőzhető, ha
a) súlyos fenyegetettség áll fenn,
b) súlyos biztonsági esemény történt,
c) az a)–b) pontok bekövetkezése valószínűsíthető, vagy
d) az a helyszíni ellenőrzés eredményes lefolytatását a rendelkezésre álló adatok alapján várhatóan meghiúsítaná.
6. § A 2. § (2) bekezdése szerinti rendszerekkel összefüggésben
a) az Ibtv. 15. §-a szerinti, a hatóság részére meghatározott feladatokat a felügyelet látja el,
b) a honvédelmi szervezet köteles az Ibtv. 15. §-a szerinti adatokat és az ezekben bekövetkező változásokat a felügyelet részére megküldeni,
c) az Ibtv. 15. §-a alkalmazásában a szervezet alatt a honvédelmi szervezet értendő.
7. § Ez a rendelet a kihirdetését követő napon lép hatályba.
A rendeletet a 187/2015. (VII. 13.) Korm. rendelet 32. § c) pontja hatályon kívül helyezte 2015. július 16. napjával. Alkalmazására lásd e hatályon kívül helyező rendelet 31. §-át.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás