Műveletek

Akadálymentes nézet Bezárás
  • Tartalom

214/2020. (V. 18.) Korm. rendelet indokolás

214/2020. (V. 18.) Korm. rendelet indokolás

az elektronikus információbiztonsági korai figyelmeztető rendszerről szóló 214/2020. (V. 18.) Korm. rendelethez

2020.05.30.
A Nemzetbiztonsági Szakszolgálat (a továbbiakban: NBSZ) által üzemeltetett eseménykezelő központ folyamatos szakmai tevékenysége és az európai eseménykezelő központok közösségének tagjaként olyan információkhoz jut az internetről érkező támadásokról, mely egyik hazai szereplőnél sem áll rendelkezésre.
A kockázatok csökkentése érdekében – az Európai Parlament és a Tanács 2016/1148 irányelve a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről 12. cikk (3) bekezdés f) pont ii. szakaszában foglaltak alapján – szükséges egy korai figyelmeztető rendszer, amelynek kiépítése folyamatban van. A korai figyelmeztető rendszer az egyes vele egyirányúan összekapcsolt védett elektronikus információs rendszerek hálózati forgalmának ún. szenzorokkal történő passzív elemzésével, automatizált módon azonosít kockázatokat, valamint támadásra, visszaélésre vagy ezek kísérletére utaló eseményeket. Ezen a módon az eseménykezelő központ tudomására jutott Internetről érkező támadások mintázatai hatékonyan megtalálhatóak. A korai figyelmeztető rendszer jelzéseket, adatokat és ezekre épülő szolgáltatásokat nyújt az egyes védett rendszerekre vonatkozóan azok fenntartó intézményeinek kijelölt munkatársai és az NBSZ számára.
A kormányrendelet részletezi a korai figyelmeztető rendszer üzemeltetésének menetét, az adatok ellenőrzésének, megőrzésének, és további felhasználásának szabályait, valamint a rendszert üzemeltető szervezet (NBSZ) és a védett intézmények feladatkörét és jogosultságait. Előírja a korai figyelmeztető rendszer szolgáltatást kötelezően igénybe vevők körét, valamint kijelöli az önkéntes alapon történő igénybevételének körét is.
Kötelezően igénybe kell venni az alábbi szereplőknek:
a)    A kormányzati adatközpont működéséről szóló kormányrendeletben felsorolt Közigazgatás- és Közszolgáltatás Fejlesztés Operatív Program (a továbbiakban: KÖFOP) projekt gazdáinak. A korai figyelmeztető szolgáltatás ezen rendszerek esetében elősegíti a KÖFOP-os rendszerek sebezhetőségének, illetve a rendszerek által kezelt nemzeti adatvagyon elleni bűncselekményi fenyegetettség csökkenését, növeli az adott szervezet integritását.
b)    A kormányzati adatközpont működéséről szóló kormányrendeletben felsorolt egyéb, állami és önkormányzati intézmények.
A korai figyelmeztető rendszer a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről szóló, 2016. július 6-i 2016/1148 európai parlamenti és tanácsi irányelvnek történő megfelelést szolgálja, adatvédelmi koncepciója pedig illeszkedik az Európai Unió általános adatvédelmi rendelete előírásaihoz.
A kormányrendelet adatvédelmi koncepciója kapcsán elmondható, hogy a közigazgatási szervek törvényi feladata az elektronikus információs rendszereik védelme, nevezetesen gondoskodni az elektronikus információs rendszer eseményeinek nyomon követhetőségéről, amely jogalapot teremt az adatkezelő intézménynek a rendszereken tárolt és továbbított személyes adatok biztonsági eseménykezelési célú felhasználására. A korai figyelmeztető rendszer ezen célhoz kötötten támogatja a biztonsági események nyomon követését a műszaki adatok feldolgozásával, de nem az adatok kezelésével. A korai figyelmeztető rendszerben kizárt a személyes adatok felvétele, megváltoztatása, de általában nem biztosított még a személyes adatok beazonosíthatósága sem.
Az NBSZ NKI jogosult az állami és önkormányzati szerveket érintő informatikai biztonsági eseményekhez kapcsolódó, valamint a központosított informatikai és elektronikus hírközlési szolgáltatótól átvett műszaki, technikai adatok kezelésére, mely adatok tartalmazhatnak az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény szerinti személyes adatnak minősülő adatokat is. A korai figyelmeztető rendszer rendeltetésének nem része, ugyanakkor a felépítéséből adódóan elkerülhetetlen a hálózati forgalomban esetlegesen megjelenő személyes adatok feldolgozása. Az ebből adódó kockázatok minimalizálására a csatlakozás kialakításakor hálózati csomópontonként az intézmény által jelzett kockázatokkal arányos egyedi helyettesítő biztonsági intézkedések kerülnek alkalmazásra, mint pl. a feldolgozandó forgalom automatizált előszűrése, kitakarása, potenciálisan személyes adatot tartalmazó naplók megőrzési idejének csökkentése.
Ezen indokolás a Magyar Közlöny kiadásáról, valamint a jogszabály kihirdetése során történő és a közjogi szervezetszabályozó eszköz közzététele során történő megjelöléséről szóló 5/2019. (III. 13.) IM rendelet 20. § (2) bekezdés b) pontja alapján kerül közzétételre.
  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére