Transcript A NEIH megalakulása - Nemzeti Biztonsági Felügyelet

A NEIH (Nemzeti Elektronikus
Információbiztonsági Hatóság) megalakulása
ISCD 2013 Balatonöszöd
2013.09.02-2013.09.03.
Előadó:
Nagy Zoltán Attila CISM
Kiberbiztonsági
Koordinációs
Tanács
Nemzeti Eseménykezelési
Központ Munkacsoport
Kormányzati IT és hálózatbiztonsági
információ-megosztási, incidens-kezelési
együttműködési munkacsoport
(Kormányzati IKMCS)
Kiberbiztonsági
Fórum
Nemzeti Elektronikus
Információbiztonsági Hatóság
(NEIH)
Nemzeti
Biztonsági
Felügyelet
(Szakhatóság)
Ágazati
Eseménykezelő
Központok
2013. évi L. tv.
301/2013.(VII.2
9.) Korm.
Rendelet
Kormányzati
Eseménykezelő
Központ
Létfontosságú Rendszerek és
Létesítmények Informatikai Biztonsági
Eseménykezelő Központja
2
• A nemzet érdekében kiemelten fontos – napjaink
információs társadalmát érő fenyegetések miatt – a
nemzeti vagyon részét képező nemzeti elektronikus
adatvagyon, valamint az ezt kezelő információs
rendszerek, illetve a létfontosságú információs
rendszerek és rendszerelemek biztonsága.
• Társadalmi elvárás az állam és polgárai számára
elengedhetetlen elektronikus információs rendszerekben
kezelt adatok és információk bizalmasságának,
sértetlenségének és rendelkezésre állásának,
valamint ezek rendszerelemei sértetlenségének és
rendelkezésre állásának zárt, teljes körű, folytonos
és a kockázatokkal arányos védelmének biztosítása,
ezáltal a kibertér védelme.
4
A NEIH tevékenységét közvetlenül
meghatározó jogszabályok
• 2013. évi L. törvény (Az állami és
önkormányzati
szervek
elektronikus
információbiztonságáról) (Ibtv.)
• 301/2013.(VII.29.) Korm. Rendelet (A
Nemzeti Elektronikus Információbiztonsági
Hatóság és az információbiztonsági felügyelő
feladat- és hatásköréről, valamint a Nemzeti
Biztonsági
Felügyelet
szakhatósági
eljárásáról)
5
Kiadás előtt állnak:
• …./2013. (……..) Nfm. Rendelet I. (A szervezetek
adatbejelentési kötelezettségét szabályozó rendelet)
• …./2013. (……..) Nfm. Rendelet II. (A szervezetek
elektronikus információs rendszereinek biztonsági
osztályba sorolása)
• …. /2013. (……..) KIM rendelet az állami és
önkormányzati szervek elektronikus
információbiztonságáról szóló törvényben meghatározott
vezetői és az elektronikus információs rendszer
biztonságáért felelős személyek képzésének és
továbbképzésének tartalmáról
6
A NEIH tevékenységét meghatározó
jogszabályok
1.
2.
3.
4.
5.
6.
7.
8.
9.
Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1035/2012. (II. 21.) Kormányhatározat,
Magyarország Nemzeti Katonai stratégiájának elfogadásáról szóló 1656/2012. (XII. 20.)
Kormányhatározat,
Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.)
Kormányhatározat,
2013. évi L. törvény Az állami és önkormányzati szervek elektronikus információbiztonságáról
301/2013. (VII. 29.) Korm. Rendelet A Nemzeti Elektronikus Információbiztonsági Hatóság és az
információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági
Felügyelet szakhatósági eljárásáról
A létfontosságú rendszerek és létesítmények védelmi szabályozását biztosító, a létfontosságú
rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI.
törvényhez, azon belül a létfontosságú rendszerek és létesítmények hálózatbiztonsági
környezetének kialakítása,
Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati
eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények
eseménykezelő központja feladat- és hatásköréről 233/2013.(VI.30.) Korm. Rendelet
A Magyary Zoltán Közigazgatás-fejlesztési Program,
A Digitális Megújulás Cselekvési Terv,
Az Európai Unió stratégiai törekvéseihez, úgymint a Digitális Menetrend, valamint az
Elektronikus Kormányzati Cselekvési Terv
7
A NEIH tevékenységét meghatározó
Európai Uniós kapcsolódások
1.
2.
3.
4.
5.
Az Európai Parlament által 2012. november 22-én elfogadott, a kiberbiztonságról és
védelemről szóló, 2012/2096 (INI) számú határozata
Az Európai Bizottság és az Európai Unió közös kül- és biztonságpolitikájának
főképviselője által 2013. február 7-én "Az Európai Unió Kiberbiztonsági Stratégiája: egy
nyílt, biztonságos és megbízható kibertér" címmel közzétett közös közleménye
Az Európa Tanács számítástechnikai bűnözéssel szembeni, 2001. november 23-i
budapesti egyezménye (CyberCrime Convention – Budapesti Konvenció),
A kritikus információs infrastruktúrák védelméről szóló, 2011. május 27-i tanácsi
következtetésekre és a kiberbiztonságról szóló korábbi tanácsi következtetése,
A Bizottság Közleményéhez az Európai Parlamentnek, a Tanácsnak, az Európai
gazdasági és Szociális bizottságnak és a Régiók Bizottságának a kritikus informatikai
infrastruktúrák védelméről - „Európa védelme a nagyszabású számítógépes támadások
és hálózati zavarok ellen: a felkészültség, a védelem és az ellenálló képesség fokozása”
(COM(2009)0149).
8
Az Ibtv. rendelkezéseit kell alkalmazni:
a) a központi államigazgatási szervekre, a
Kormány és a kormánybizottságok
kivételével,
b) a Köztársasági Elnöki Hivatalra,
c) az Országgyűlés Hivatalára,
d) az Alkotmánybíróság Hivatalára,
e) az Országos Bírósági Hivatalra és a
bíróságokra,
f ) az ügyészségekre,
g) az Alapvető Jogok Biztosának Hivatalára,
h) az Állami Számvevőszékre,
i) a Magyar Nemzeti Bankra,
j) a fővárosi és megyei kormányhivatalokra,
k) a helyi és a nemzetiségi önkormányzatok
képviselő-testületének hivatalaira, a
hatósági igazgatási társulásokra,
l) a Magyar Honvédségre.
a) Az Ibtv 2.§ (1) bekezdésben meghatározott
szervek és ezen szervek számára
adatkezelést végzők,
b) a jogszabályban meghatározott, a nemzeti
adatvagyon körébe tartozó állami
nyilvántartások adatfeldolgozói,
c) az európai létfontosságú rendszerelemmé és
a nemzeti létfontosságú rendszerelemmé
törvény alapján kijelölt rendszerelemek
elektronikus információs rendszereinek
védelmére.
9
Az Ibtv. rendelkezéseit kell alkalmazni:
2.§ (3)
A minősített adatokat kezelő elektronikus
információs rendszereket érintően
a) e törvény rendelkezéseit a minősített adat
védelmére vonatkozó jogszabályokban
meghatározott eltérésekkel kell
alkalmazni,
b) a 14–18. §-ban meghatározott feladatok
ellátásáról a minősített adatok
védelmének szakmai felügyeletéért
felelős miniszter gondoskodik.
A 2.§ (4) alá tartozó szervek ágazati
eseménykezelő központokat hozhatnak
létre, melyek biztonsági eseményeit a
Kormányzati Eseménykezelő Központ kezeli
2.§ (4)
(4) A 14–18. §-ban meghatározott feladatok ellátásáról:
a) a Magyar Honvédség és a Katonai Nemzetbiztonsági
Szolgálat zárt célú elektronikus információs
rendszerei, továbbá a
Honvédelmi Tanács és
a
Kormány speciális működését biztosító
infokommunikációs támogató rendszerei esetében
a honvédelemért felelős miniszter,
b) a rendvédelmi szervek és a rendvédelmi szervet irányító
miniszter által irányított szervek zárt célú elektronikus
információs rendszerei esetében a rendvédelmi
szervet irányító miniszter,
c) a diplomáciai információs célokra használt zárt célú
elektronikus információs rendszerei esetében
a külpolitikáért felelős miniszter,
d) a Nemzeti Adó- és Vámhivatalnak az állami költségvetési
bevételek biztosítását támogató elektronikus
információs rendszerei esetében az adópolitikáért
felelős miniszter,
e) az Információs Hivatal esetében a Kormány polgári
hírszerzési tevékenység irányításáért felelős tagja,
f) a Nemzeti Média- és Hírközlési Hatóság esetében
a Nemzeti Média- és Hírközlési Hatóság elnöke
jogszabályban meghatározottak szerint gondoskodik.
10
Az elektronikus információs rendszerek
biztonsági osztályba sorolása
• biztonsági osztály: az elektronikus információs rendszer védelmének
elvárt erőssége
• biztonsági osztályba sorolás: a kockázatok alapján az elektronikus
információs rendszer védelme elvárt erősségének meghatározása
• 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó
szervezeteknek el kell végezniük a biztonsági osztályba sorolást, a
már működő rendszereikre tekintettel.
11
Alapvető elektronikus információbiztonsági követelmények
A rendszerek teljes életciklusában
biztosítani kell:
a) az elektronikus információs rendszerben
kezelt adatok és információk
bizalmassága, sértetlensége és
rendelkezésre állása, valamint
b) az elektronikus információs rendszer és
elemeinek sértetlensége és rendelkezésre
állása zárt, teljes körű, folytonos és
kockázatokkal arányos védelmét.
A szervezetnek külön jogszabályban előírt
logikai, fizikai és adminisztratív védelmi
intézkedéseket kell meghatároznia,
amelyek támogatják:
–
–
–
–
a megelőzést és a korai
figyelmeztetést,
az észlelést,
a reagálást,
a biztonsági események kezelését.
12
• A biztonsági osztályba sorolás alkalmával 1-től 5-ig számozott
fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan
szigorodó védelmi előírásokkal együtt.
• A biztonsági osztályba sorolást a szervezet vezetője hagyja jóvá,
amit a szervezet informatikai biztonsági szabályzatában rögzíteni kell.
• A szervezet vezetője az elektronikus információs rendszerre irányadó
biztonsági osztálynál magasabb, kivételes esetben indoklással ellátva
alacsonyabb biztonsági osztályt is megállapíthat.
• A biztonsági osztályba sorolást legalább 3 évente vagy szükség
esetén soron kívül (jogszabályban meghatározott változás vagy új
elektronikus információs rendszer esetén, a szervezet státuszában v.
a kezelt ill. feldolgozott adatok vonatkozásában következik be
változás) felül kell vizsgálni.
• A Hatóság (NEIH) a szervezet által megállapított biztonsági osztályt
felülbírálhatja és magasabb, indokolt esetben alacsonyabb szintű
osztályba sorolást is megállapíthat.
13
Az elektronikus információs rendszerrel
rendelkező szervezetek biztonsági szintje
• biztonsági szint: a szervezet felkészültsége az e törvényben és a
végrehajtására kiadott jogszabályokban meghatározott biztonsági
feladatok kezelésére.
• biztonsági szintbe sorolás: a szervezet felkészültségének
meghatározása az e törvényben és a végrehajtására kiadott
jogszabályokban meghatározott biztonsági feladatok kezelésére.
• 2014. július 1-ig a 2013. L. törvény hatálya alá tartozó
szervezeteknek el kell végezniük a szervezet biztonsági szintbe
sorolását.
14
A szervezet biztonsági szintje a szervezet elektronikus
információs rendszereinek legmagasabb biztonsági
osztályával azonos besorolású, de legalább:
- Köztársasági Elnöki Hivatal,
- Országgyűlés Hivatala,
- Alkotmánybíróság Hivatala,
- Alapvető Jogok Biztosának
Hivatala,
- A helyi és a nemzetiségi
önkormányzatok képviselőtestületének hivatalaira, a
hatósági igazgatási társulásokra
- A központi államigazgatási
szervekre (a Kormány és a
kormánybizottságok kivételével),
- Országos Bírósági Hivatalra és a
bíróságokra,
- Ügyészségek,
- Állami Számvevőszék,
- Magyar Nemzeti Bank,
- Fővárosi és megyei
kormányhivatalok
15
A szervezet biztonsági szintje a szervezet elektronikus
információs rendszereinek legmagasabb biztonsági
osztályával azonos besorolású, de legalább:
- Magyar Honvédség
- A jogszabályban meghatározott, a
nemzeti adatvagyon körébe tartozó
állami nyilvántartások
adatfeldolgozói,
- Az európai létfontosságú
rendszerelemmé és a nemzeti
létfontosságú rendszerelemmé
törvény alapján kijelölt
rendszerelemek elektronikus
információs rendszereinek
védelmére.
16
•
•
•
•
•
•
•
•
A szervezet az e törvényben meghatározott feltételeknek megfelelő, az adott
szervezetre irányadó besorolási szintnél magasabb szintű besorolást is
megállapíthat.
A Hatóság a szervezet által megállapított biztonsági szintet felülbírálhatja és
magasabb, indokolt esetben alacsonyabb szintű besorolást is megállapíthat.
A szervezetnek magának kell meghatároznia a jogszabály alapján, hogy mely
biztonsági szintnek felel meg.
Ha nem éri el a kívánt biztonsági szintet -> 90 napon belül cselekvési tervet kell
készítenie.
Ha az 1. szintet sem éri el -> egy éve van az 1. szint eléréséhez szükséges
intézkedések megvalósításához.
Lehetőség van az előírt biztonsági szint fokozatos elérésére -> 2 évente
minimum egy biztonsági szinttel feljebb kell lépnie.
A biztonsági szintet minimum 3 évente, szükség esetén soron kívül felül kell
vizsgálni.
A szervezet biztonsági szintbe sorolását a szervezet vezetője hagyja jóvá,
továbbá a biztonsági szintbe sorolás eredményét a szervezet informatikai
biztonsági szabályzatában kell rögzíteni.
17
Közreműködők a szervezetek elektronikus információs
rendszereinek védelmében
A szervezet vezetője köteles gondoskodni az elektronikus információs rendszerek
védelméről (a közreműködőkre vonatkozóan) az alábbiak szerint:
Ha az elektronikus információs
rendszer
létrehozásában,
üzemeltetésében,
auditálásában,
karbantartásában
vagy
javításában közreműködőt vesz
igénybe, gondoskodik arról (a
szervezet vezetője), hogy a 2013.
évi L. törvényben foglaltak
szerződéses
kötelemként
teljesüljenek.
Ha a szervezet az adatkezelési
vagy az adatfeldolgozási
tevékenységhez közreműködőt
vesz igénybe, gondoskodik arról
(a szervezet vezetője), hogy a
2013. évi L. törvényben foglaltak
szerződéses kötelemként
teljesüljenek.
18
Az elektronikus információs rendszer biztonságáért felelős személy biztosítja az
Ibtv-ben meghatározott követelmények teljesülését:
1.
a szervezet valamennyi elektronikus információs rendszerének a tervezésében,
fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában,
kockázatelemzésében és kockázatkezelésében, karbantartásában vagy javításában
közreműködők,
2.
ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz
igénybe, a közreműködők,
a törvény hatálya alá tartozó elektronikus információs rendszereit érintő, biztonsággal összefüggő
tevékenysége esetén.
E tekintetben a feladatok és felelősségek más személyre át nem ruházhatók.
A biztonságért felelős személy a közreműködőktől a biztonsági követelmények teljesülésével
kapcsolatban jogosult tájékoztatást kérni. Ennek keretében a követelményeknek való
megfelelőség alátámasztásához szükséges bekérni a közreműködői tevékenységgel kapcsolatos
adatot, illetve az elektronikus információs rendszerek biztonsága tárgyában keletkezett valamennyi
dokumentumot.
19
(301/2013. (VII. 29.) Korm. Rendelet)
Ha a szervezet adatkezelési, vagy adatfeldolgozási
tevékenységéhez, vagy az elektronikus információs
rendszere üzemeltetéséhez az Ibtv. hatálybalépése előtt
megkötött szerződés alapján közreműködőt vesz igénybe,
a biztonsági követelmények teljesítéséről azt
nyilatkoztatni, a nyilatkozatot a Hatóság részére
másolatban e rendelet hatályba lépését követő 90 napon
belül megküldeni köteles.
20
Az elektronikus információs rendszereket felügyelő
hatóság (NEIH)
A 2013. évi L. törvény hatálya alá tartozó elektronikus
információs rendszerek biztonságának felügyeletét – a 2.
§ (3) és (4) bekezdésben meghatározott kivétellel – az
informatikáért felelős miniszter látja el a hatóság útján,
amely az informatikáért felelős miniszter által vezetett
minisztérium szervezeti keretében önálló feladatkörrel
és hatósági jogkörrel rendelkező szervezeti egység.
21
A Hatóság feladatai (Ibtv.)
- az osztályba sorolás és a biztonsági szint
megállapításának ellenőrzése és az ellenőrzés
eredménye alapján döntés meghozatala,
- az elektronikus információs rendszerek
osztályba sorolására és a szervezetek
biztonsági szintjeire vonatkozó, jogszabályban
meghatározott követelmények teljesülésének
ellenőrzése,
- az ellenőrzés során a feltárt vagy tudomására
jutott biztonsági hiányosságok elhárításának
elrendelése, és eredményességének
ellenőrzése,
- a rendelkezésre álló információk alapján
kockázatelemzés elvégzése,
- a hozzá érkező biztonsági eseményekkel
kapcsolatos bejelentések kivizsgálása,
- a kormányzati incidens-kezelő munkacsoport
irányítása,
- javaslattétel a létfontosságú rendszerek és
létesítmények védelmi szabályozását biztosító,
a létfontosságú rendszerek és létesítmények
azonosításáról, kijelöléséről és védelméről
szóló törvény szerinti ágazati kijelölő hatóság
részére a nemzeti létfontosságú rendszerelem
kijelölésére,
- az információs társadalom
biztonságtudatosságának elősegítése és
támogatása,
- véleményezési jog: a GovCERT-nek az
ágazatok közti, a biztonsági események esetén
követendő szabályokról és felelősségi körökről
szóló tervezetével kapcsolatban,
- éves és egyedi jelentések készítése a Kormány
részére az elektronikus információs rendszerek
biztonságával, a létfontosságú információs
rendszerelemek védelmével, és a kibervédelem
helyzetével kapcsolatban
22
A Hatóság feladatai (Ibtv.)
Együttműködés
Kapcsolattartás
- a közigazgatási hatósági eljárás és
szolgáltatás általános szabályairól szóló
törvényben meghatározott
elektronikus ügyintézési felügyelettel a
szabályozott elektronikus ügyintézési
szolgáltatás szolgáltatókra vonatkozó
biztonsági követelmények
teljesülésének ellenőrzésében,
- a kormányzati eseménykezelő
központtal,
- a Nemzeti Kiberbiztonsági
Koordinációs Tanáccsal,
- a Nemzeti Média- és Hírközlési
Hatósággal,
- a Nemzeti Biztonsági Felügyelettel
- a nemzetbiztonsági szolgálatokkal,
- a Nemzeti Média- és Hírközlési
Hatósággal,
- a kormányzati eseménykezelő
központtal,
- az ágazati eseménykezelő
központokkal
23
A Hatóság feladatai
(301/2013. (VII. 29.) Korm. Rendelet)
• Engedélyezi az érintett szervezetek által az Európai Unió
tagállamaiban történő elektronikus információs rendszer
üzemeltetését,
• Ellenőrzi az érintett szervezetek által az Európai Unió tagállamain
kívül történő elektronikus információs rendszer üzemeltetést,
• Ellenőrzi az információtechnológiai fejlesztési projektekben az
információbiztonsági követelmények teljesülését.
24
A Hatóság feladatai - IKMCS
A Hatóság az elektronikus információbiztonság növelése,
a
legjobb
gyakorlatok
elterjesztése,
az
információbiztonsági tudatosság növelése és az azonnali
reagálás érdekében kormányzati információtechnológiai
és hálózatbiztonsági információ-megosztási, incidenskezelési munkacsoportot működtet, amelynek tagjait a
Hatóság által felkért szervezetek, a szakhatóság és a
kormányzati eseménykezelő központ delegálják.
25
A Hatóság nyilvántartja és kezeli (Ibtv.)
a) a szervezet azonosításához szükséges adatokat,
b) a szervezet elektronikus információs rendszereinek
megnevezését, az elektronikus információs rendszerek biztonsági
osztályának és a szervezet biztonsági szintjének besorolását, az
elektronikus információs rendszerek külön jogszabályban
meghatározott technikai adatait,
c) a szervezetnek az elektronikus információs rendszer biztonságáért
felelős személye természetes személyazonosító adatait, telefon- és
telefaxszámát, e-mail címét, a 13. § (8) bekezdésében
meghatározott végzettségét,
d) a szervezet informatikai biztonsági szabályzatát,
e) a biztonsági eseményekkel kapcsolatos bejelentéseket.
26
A Hatóság jogosult
Nem költségvetési szerv esetén
Ha a szervezet a jogszabályokban foglalt biztonsági követelményeket
és az ehhez kapcsolódó eljárási szabályokat nem teljesíti vagy nem
tartja be, a Hatóság
a) köteles felszólítani a szervezetet a jogszabályokban foglalt
biztonsági követelmények és az ehhez kapcsolódó
eljárási szabályok teljesítésére,
b) ha az a) pontban meghatározottak ellenére a szervezet a
jogszabályokban foglalt biztonsági követelményeket és az ehhez
kapcsolódó eljárási szabályokat nem teljesíti, az eset összes
körülményeinek mérlegelésével bírságot szabhat ki, amely további
nem teljesülés esetén megismételhető.
28
A Hatóság jogosult
Költségvetési szerv esetén
Ha a szervezet költségvetési szerv, és a jogszabályokban foglalt biztonsági
követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti
vagy nem tartja be, a Hatóság
a) köteles felszólítani a szervezetet a jogszabályokban foglalt biztonsági
követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére,
b) ha a felszólítás ellenére a szervezet a jogszabályokban foglalt biztonsági
követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, a
(Hatóság) szervezetet felügyelő szervhez – ha a szervezet azzal rendelkezik –
fordulhat és kérheti a közreműködését,
c) ha az a) és b) pontban meghatározottak ellenére a szervezet a
jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó
eljárási szabályokat nem teljesíti, (a Hatóság) információbiztonsági felügyelő
kirendelését kezdeményezheti.
29
A Hatóság eljárása
(301/2013. (VII. 29.) Korm. Rendelet)
Ügyintézési határidő: 60 nap (a Hatóság vezetője egy alkalommal 30 nappal meghosszabbíthatja)
Az eljárást lezáró döntés meghozatala előtt az érintett szervezet vezetőjével egyeztetést folytat le.
Helyszíni ellenőrzés keretében jogosult:
- Az érintett szervezet információtechnológiai tevékenységével összefüggő helyiségeibe belépni
- Az érintett szervezet számára adatkezelést biztosító, adatfeldolgozást végző, vagy
információtechnológiai szempontból érintett helyszínein ellenőrzést tartani, és ennek során
bármely, az elektronikus információbiztonsággal kapcsolatos okiratot, dokumentumot, szerződést,
aktív, vagy passzív eszközt, információs rendszert, biztonsági intézkedést megismerni, ellenőrizni,
az elektronikus információbiztonsággal kapcsolatos okiratokról, dokumentumokról, szerződésekről
másolatot készíteni.
- Információtechnológiai műszaki vizsgálatokat végezni, szükség esetén az információtechnológiai
rendszerhez egyedileg biztosított belépési jogosultsággal.
- A Hatóság jogosult bármely, jogszabályban meghatározott hatáskörébe tartozó eljárási
cselekményt haladéktalanul lefolytatni, ha az a magyar kiberteret, a nemzeti elektronikus
adatvagyont, az állam és polgárai számára kiemelten fontos információs rendszereket súlyosan
veszélyeztető fenyegetés elhárítását szolgálja.
30
Jogorvoslat
A Hatóság határozatai ellen újrafelvételi eljárásnak nincs helye.
A
Hatóság
határozatainak
felügyeleti
visszavonására, módosítására nincs lehetőség.
jogkörben
való
32
Gyakorlatok, oktatás
Gyakorlatok
Oktatás
A NEIH, az NBF, a GovCERT hazai
információbiztonsági, létfontosságú
információs infrastruktúra védelmi,
kibervédelmi gyakorlatokat szervez.
Továbbá a NEIH, az NBF és a GovCERT
nemzetközi információbiztonsági,
létfontosságú információs infrastruktúra
védelmi, kibervédelmi gyakorlatokon
felkérésre képviseli Magyarországot.
A NEIH az információs társadalom
biztonságtudatosságának elősegítését és
támogatását is szem előtt kell, hogy
tartsa.
A Nemzeti Közszolgálati Egyetem
kidolgozza és a közigazgatás-fejlesztésért
felelős miniszter elé terjeszti a vezetők,
az elektronikus információs rendszer
biztonságáért felelős személyek képzési,
továbbképzési követelményeit, oktatási
programját,
Kidolgozza a biztonságért felelős
személy meghatározott képzettségi
követelményeit,
Gondoskodik az érintett személyek éves
továbbképzéséről,
Közreműködik az információbiztonsági,
kibervédelmi, létfontosságú információs
rendszer védelmi gyakorlatokon.
38
A biztonságtudatosság elősegítése és támogatása
A NEIH (Ibtv.14.§.g) alapján) egyik alapfeladata és a technikai
biztonsági szint növelésén túl kiemelt célja az információs
társadalom biztonságtudatosságának elősegítése és
támogatása.
39
„Amikor a változás szelei fújnak, a kétkedők
falakat húznak föl, az optimisták pedig
vitorlákat”
(ismeretlen szerző)
Köszönöm a figyelmüket!
Nagy Zoltán Attila, CISM
Szerkesztette:
Szilárd Zoltán
Telefon: +36-1-795-2701
E-mail: [email protected]
Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH)
Kormányzati Informatikáért Felelős Helyettes Államtitkárság
Nemzeti Fejlesztési Minisztérium
1011 Budapest, Iskola utca 13.
Telefon: +36-1-795-7653
E-mail: [email protected]
40