26/2013. (X. 21.) KIM rendelet
az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (2) bekezdés b) pontjában kapott felhatalmazás alapján, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat-és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 12. § d) pontjában meghatározott feladatkörömben eljárva, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 84. § j) pontja szerint, a nemzeti fejlesztési miniszterrel egyetértésben a következőket rendelem el:
1. Hatály
1. § E rendelet hatálya:
a) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 11. § (1) bekezdés c) pontja szerinti, az elektronikus információs rendszerek védelméért felelős vezetőjére és az Ibtv. 13. § (11) bekezdésében meghatározott személyekre,
b) az Ibtv. 11. § (1) bekezdés g) pontja alapján, az Ibtv. 13. § (8) bekezdésében meghatározott képzés, továbbképzés követelményeire
terjed ki.
2. Értelmező rendelkezések
2. § E rendelet alkalmazásában:
1. e-learning: zárt rendszerű, elektronikus képzési forma;
2. elektronikus információs rendszer biztonságáért felelős személy: az Ibtv. 13. §-ában foglalt feladatok ellátására kijelölt (megbízott) személy;
3. elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy: állami és önkormányzati szervek esetében a szervezeti és működési szabályzat és a munkaköri leírások alapján, az Ibtv. hatálya alá tartozó egyéb szervek esetében a munkaköri leírásban vagy egyéb módon a feladatok ellátásával megbízott személy;
4. elektronikus információs rendszerek védelméért felelős vezető: az állami és önkormányzati szervek esetében a szervezeti és működési szabályzat alapján, az Ibtv. hatálya alá tartozó egyéb szervek esetében munkaköri leírásban vagy egyéb módon kijelölt vezető;
5. éves továbbképzés: az elektronikus információs rendszerek védelméért felelős vezető, az elektronikus információs rendszer biztonságáért felelős személy és az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy iskolarendszeren kívüli továbbképzése;
6. képzés: az elektronikus információs rendszerek védelméért felelős vezető, az elektronikus információs rendszerek biztonságáért felelős személy, valamint az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek szakirányú továbbképzése;
7. továbbképzés: az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és az elektronikus információs rendszerek védelméért felelős vezető iskolarendszeren kívüli képzése.
3. A képzés, a továbbképzés és az éves továbbképzés szervezése
3. § (1) A képzésről, a továbbképzésről és az éves továbbképzésről a Nemzeti Közszolgálati Egyetem (a továbbiakban: NKE) gondoskodik.
(2) Az NKE meghatározza és hivatalos honlapján közzéteszi:
a) a képzés, a továbbképzés és az éves továbbképzés formáit (tantermi és e-learning) és ezek arányát,
b) a képzés, a továbbképzés és az éves továbbképzés tananyagát,
c) a vizsga követelményrendszerét.
(3) Az NKE gondoskodik:
a) a képzéshez, továbbképzéshez, éves továbbképzéshez szükséges oktatókról,
b) a képzés, továbbképzés, éves továbbképzés és vizsgáztatás helyszíneiről,
c) a képzés, továbbképzés, éves továbbképzés elméleti oktatásához kapcsolódó segédanyagokról,
d) a képzés gyakorlati oktatásához szükséges eszközökről.
4. A képzés
4. § (1) A képzés két féléves, szakirányú továbbképzés, amelynek elvégzését követően elektronikus információbiztonsági vezető megnevezésű képesítés megszerzésére kerül sor.
(2) A képzésre az vehető fel, aki felsőfokú végzettséggel és angol nyelvből legalább alapfokú komplex nyelvvizsgával vagy ezzel egyenértékű bizonyítvánnyal, oklevéllel rendelkezik, valamint a képzés megkezdéséhez szükséges feltételeket teljesítette.
(3) A képzés megkezdéséhez szükséges, hogy:
a) a jelentkező a képzésre a meghatározott formában jelentkezzen,
b) a képzés díja befizetésre kerüljön, és
c) a befizetést igazoló bizonylat vagy annak másolata az NKE részére megküldésre kerüljön a képzés megkezdését megelőző ötödik napig.
(4) A tantermi képzésen való részvétel kötelező, a teljes óraszám 10%-ánál magasabb arányú hiányzás esetén a képzést meg kell ismételni.
5. § A képzés időtartama 300 óra, amely 80% elméleti, 20% gyakorlati részből áll.
6. § A képzés tárgykörei:
a) információbiztonsági szervezési ismeretek,
b) kockázatértékelés és menedzsment,
c) stratégia és szervezeti támogatás,
d) biztonsági események kezelése (incidenskezelés),
e) jogi, vezetéselméleti és technológiai ismeretek az információbiztonságban.
7. § (1) Az Ibtv. 13. § (10) bekezdésében meghatározott szakmai gyakorlatnak minősül:
a) az információbiztonsági irányítási rendszer
aa) tervezése,
ab) kialakítása,
ac) működtetése során,
b) az információbiztonsági ellenőrzés vagy felügyeleti tevékenység területén,
c) az információbiztonsági kockázatelemzés területén,
d) az elektronikus információs rendszerek információbiztonsági tanúsítási tevékenysége során, vagy
e) az elektronikus információs rendszerek információbiztonsági tesztelésében (etikus hacker tevékenységben)
szerzett szakmai tapasztalat.
(2) Az Ibtv. 13. § (10) bekezdése alapján nem kell a 4. § (1) bekezdése szerinti végzettséget megszereznie annak a személynek, aki rendelkezik:
a) az Information Systems Audit and Controll Association (ISACA) által kiadott:
aa) Certified Information System Auditor (CISA), vagy
ab) Certified Information Security Manager (CISM), vagy
ac) Certified in Risk and Information Systems Control (CRISC),
b) az International Information Systems Security Certification Consortium Inc. által kiadott Certified Information Systems Security Professional (CISSP)
érvényes oklevéllel.
8. § (1) A képzési idő lejártát követően a résztvevő vizsgát köteles tenni.
(2) A vizsga a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvényben meghatározott szabályok szerint kerül lebonyolításra. A vizsgát a tanulmányi és vizsgaszabályzatban részletezettek szerint kell lebonyolítani.
5. A továbbképzés
9. § (1) Az Ibtv. 13. § (11) bekezdésében előírt szakmai képzésnek megfelelő továbbképzésen az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és az elektronikus információs rendszerek védelméért felelős vezető köteles egy alkalommal részt venni.
(2) Nem kell az (1) bekezdés szerinti továbbképzésen részt vennie annak a személynek, aki rendelkezik a 4. § (1) bekezdése szerinti végzettséggel, vagy rendelkezik a 7. § (2) bekezdése szerinti érvényes oklevéllel.
(3) A továbbképzés megkezdésének feltétele, hogy:
a) a jelentkező - állami és önkormányzati szerv esetén a munkáltató hozzájárulásával - a továbbképzést végző szerv által meghatározott formában a továbbképzésre jelentkezzen, és
b) a továbbképzés díja a továbbképzés megkezdéséig befizetésre kerüljön.
(4) A tantermi továbbképzésen való részvétel kötelező, a teljes óraszám 10%-ánál magasabb arányú hiányzás esetén a továbbképzést meg kell ismételni.
10. § A továbbképzés időtartama:
a) az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy esetében 50 óra,
b) az elektronikus információs rendszerek védelméért felelős vezető esetében 8 óra.
11. § (1) Az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy továbbképzésének tárgykörei:
a) információbiztonsági technológiai ismeretek,
b) informatikai biztonságpolitikai, stratégiai és szabályozási ismeretek,
c) kockázatértékelés és biztonsági események kezelése (incidenskezelés),
d) jogi és közigazgatási ismeretek.
(2) Az elektronikus információs rendszerek védelméért felelős vezető továbbképzésének tárgykörei:
a) jogi, közigazgatási, vezetéselméleti és szervezeti ismeretek,
b) információbiztonsági technológiai ismeretek,
c) informatikai biztonságpolitikai, stratégiai és szabályozási ismeretek.
12. § Továbbképzés az év során bármikor szervezhető. A továbbképzési időpontokat a jelentkezők igényének figyelembevételével kell megállapítani.
13. § (1) A továbbképzés sikeres elvégzéséhez a továbbképzésen résztvevőnek írásbeli vizsgát kell tennie.
(2) A vizsga eredményes teljesítéséről az NKE bizonyítványt állít ki.
6. Az éves továbbképzés
14. § (1) Az Ibtv. 13. § (11) bekezdésében előírt éves továbbképzésen az elektronikus információs rendszer biztonságáért felelős személy, az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és az elektronikus információs rendszerek védelméért felelős vezető köteles részt venni.
(2) Az éves továbbképzésre jelentkezhet:
a) az elektronikus információs rendszer biztonságáért felelős személy, ha a 4. §-ban meghatározott képzést vagy a 9. § szerinti továbbképzést elvégezte, vagy a 7. § szerint mentesül a képzés elvégzése alól,
b) az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy és az elektronikus információs rendszerek védelméért felelős vezető, ha a 9. § szerinti továbbképzést elvégezte.
(3) Az éves továbbképzés megkezdésének feltétele, hogy:
a) a jelentkező - állami és önkormányzati szerv esetén a munkáltató hozzájárulásával - az éves továbbképzésre jelentkezzen,
b) az éves továbbképzés díja az éves továbbképzés megkezdéséig befizetésre kerüljön.
(4) A tantermi éves továbbképzésen való részvétel kötelező, a teljes óraszám 10%-ánál magasabb arányú hiányzás esetén az éves továbbképzést meg kell ismételni.
15. § Az éves továbbképzés időtartama:
a) az elektronikus információs rendszer biztonságáért felelős személy esetében 50 óra,
b) az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy esetében 25 óra,
c) az elektronikus információs rendszerek védelméért felelős vezető esetében 8 óra.
16. § (1) Az elektronikus információs rendszer biztonságáért felelős személy éves továbbképzésének tárgykörei:
a) információbiztonsági technológiai ismeretek,
b) kockázatértékelés és biztonsági események kezelése (incidenskezelés),
c) informatikai biztonságpolitikai, stratégiai és szabályozási ismeretek,
d) jogi és szervezetirányítási ismeretek.
(2) Az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy éves továbbképzésének tárgykörei:
a) információbiztonsági technológiai ismeretek,
b) informatikai biztonságpolitikai, stratégiai és szabályozási ismeretek,
c) jogi és szervezetirányítási ismeretek.
(3) Az elektronikus információs rendszerek védelméért felelős vezető éves továbbképzésének tárgykörei:
a) jogi, közigazgatási, vezetéselméleti és szervezetirányítási ismeretek,
b) információbiztonsági technológiai ismeretek,
c) informatikai biztonságpolitikai, stratégiai és szabályozási ismeretek.
17. § Az éves továbbképzésen való részvételről az NKE tanúsítványt állít ki.
18. § Éves továbbképzés az év során bármikor szervezhető. A továbbképzési időpontokat a jelentkezők igényének figyelembevételével kell megállapítani.
7. Záró rendelkezések
19. § Ez a rendelet a kihirdetését követő napon lép hatályba.
20. § (1) Ez a rendelet a belső piaci szolgáltatásokról szóló, 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
(2) E rendelet tervezetének a belső piaci szolgáltatásokról szóló, 2006. december 12-i 2006/123/EK európai parlamenti és tanácsi irányelv 15. cikk (7) bekezdése szerinti előzetes bejelentése megtörtént.
Dr. Navracsics Tibor s. k.,
közigazgatási és igazságügyi miniszter