36/2013. (VII. 17.) BM rendelet
a zárt célú elektronikus információs rendszerek biztonságának felügyeletével és ellenőrzésével kapcsolatos ágazati szabályokról
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (3) bekezdés b) pontjában kapott felhatalmazás alapján, az egyes miniszterek, valamint a Miniszterelnökséget vezető államtitkár feladat- és hatásköréről szóló 212/2010. (VII. 1.) Korm. rendelet 37. § b)-k), valamint n) és q) pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. Általános rendelkezések
1. § E rendelet alkalmazásában belügyi szerv:
a) a Belügyminisztérium hivatali szervezete,
b) az általános rendőrségi feladatok ellátására létrehozott szerv,
c) a Nemzetbiztonsági Szakszolgálat,
d) az Alkotmányvédelmi Hivatal,
e) a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság és a katasztrófavédelmi igazgatóságok,
f) a Büntetés-végrehajtás Országos Parancsnoksága és az irányítása alá tartozó szervek,
g) a Szervezett Bűnözés Elleni Koordinációs Központ,
h) a Nemzeti Védelmi Szolgálat,
i) a Terrorelhárítási Központ,
j) a Bevándorlási és Állampolgársági Hivatal központi és területi szervei, valamint a befogadó állomások, a menekültügyi őrzött befogadó központ,
k) a Belügyminisztérium Nemzetközi Oktatási Központ,
l)[1] a Közszolgálati Személyzetfejlesztési Főigazgatóság, valamint
m) a rendészeti szakközépiskolák.
2. A helyi és a központi felügyelet
2. § (1) A belügyi szerv zárt célú elektronikus információs rendszerei biztonságának biztosításáért a belügyi szerv vezetője a felelős.
(2) A belügyi szerv vezetője a belügyi szerv zárt célú elektronikus információs rendszerei védelmének biztosítása érdekében helyi felügyelet létrehozásáról gondoskodik a (3) bekezdésben meghatározott kivétellel.
(3)[2] Az országos rendőrfőkapitány látja el a zárt célú elektronikus információs rendszerek védelmének biztosítása érdekében a helyi felügyeleti feladatokat a Belügyminisztérium Nemzetközi Oktatási Központ, a Közszolgálati Személyzetfejlesztési Főigazgatóság, valamint a rendészeti szakközépiskolák vonatkozásában.
(4) A helyi felügyelet feladata:
a) az adatvagyon felmérése, karbantartása,
b) az osztályba sorolás és a biztonsági szint megállapításának ellenőrzése,
c) a rendelkezésre álló információk alapján kockázatelemzés elvégzése,
d) a zárt célú elektronikus információs rendszerre vonatkozó védelmi intézkedések ellenőrzése, a feltárt hiányosságok felszámolásához szükséges intézkedésekre javaslat megtétele, ezek teljesülésének ellenőrzése,
e) a biztonsági események kivizsgálása,
f) a sérülékenységek megszüntetésére vonatkozó javaslatok megtétele,
g) a belügyi szerv informatikai biztonsági szabályzata felülvizsgálatának kezdeményezése,
h) együttműködés a központi felügyelettel, javaslattétel az annak hatáskörébe tartozó intézkedések megtételére.
(5) A helyi felügyelet nyilvántartja:
a) a belügyi szerv zárt célú elektronikus információs rendszerei megnevezését, a zárt célú elektronikus információs rendszerek biztonsági osztályának és a belügyi szerv biztonsági szintjének besorolását, a zárt célú elektronikus információs rendszerek műszaki adatait,
b) a belügyi szerv informatikai biztonsági szabályzatát.
3. § (1) A belügyi szervek zárt célú elektronikus információs rendszerei biztonságának központi felügyeletéről a belügyminiszter a Belügyminisztérium Miniszteri Kabinet (a továbbiakban: központi felügyelet) útján gondoskodik.
(2) A központi felügyeletre az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 14-18. §-a helyett a 4-7. § szerinti rendelkezéseket kell alkalmazni.
4. § (1) A központi felügyelet feladata:
a) a zárt célú elektronikus információs rendszerek osztályba sorolására és a belügyi szervek biztonsági szintjeire vonatkozó, jogszabályban meghatározott követelmények teljesülésének ellenőrzése,
b) a hozzá érkező, biztonsági eseményekkel kapcsolatos bejelentések kivizsgálása,
c) javaslattétel a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény szerinti ágazati kijelölő hatóság részére nemzeti létfontosságú rendszerelem kijelölésére,
d) együttműködés a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló törvényben meghatározott elektronikus ügyintézési felügyelettel a szabályozott elektronikus ügyintézési szolgáltatás szolgáltatókra vonatkozó biztonsági követelmények teljesülésének ellenőrzésében,
e) kapcsolattartás és együttműködés az Ibtv. szerinti hatósággal és a Nemzeti Biztonsági Felügyelettel,
f) kapcsolattartás és együttműködés a Nemzeti Média- és Hírközlési Hatósággal, az ágazati eseménykezelő központokkal és a Nemzeti Kiberbiztonsági Koordinációs Tanáccsal.
(2) A központi felügyelet a zárt célú elektronikus információs rendszerek, és az azokban kezelt adatok biztonsága érdekében a belügyi szerveknél jogosult megtenni, elrendelni, ellenőrizni minden olyan, a zárt célú elektronikus információs rendszer védelmére vonatkozó intézkedést, amellyel az érintett zárt célú elektronikus információs rendszert veszélyeztető fenyegetések kezelhetőek. Ennek érdekében a belügyi szerveknél jogosult:
a) a jogszabályokban foglalt biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályok teljesülését ellenőrizni,
b) a követelményeknek való megfelelőség alátámasztásához szükséges dokumentumokat bekérni,
c) a központi és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában az információbiztonsági követelmények megtartását ellenőrizni, azokra ajánlásokat tenni,
d) információbiztonsági, kibervédelmi gyakorlatokat szervezni,
e) fejlesztési projektek tervezési szakaszában szakmai részvételt biztosítani és a biztonsági követelmények beépülésének ellenőrzésére irányuló tevékenységet folytatni,
f) a sérülékenység megszüntetésére vonatkozó intézkedési tervet készíteni.
5. § (1) A központi felügyelet az Ibtv. 15. §-ában meghatározottak szerint nyilvántartja az Ibtv. 15. § (1) bekezdése szerinti adatokat.
(2) A belügyi szerv az (1) bekezdés szerinti adatokat, valamint ezek változásait a változást követő 8 napon belül megküldi a központi felügyeletnek.
6. § (1) A központi felügyelet a belügyminiszter által jóváhagyott éves ellenőrzési terv vagy egyedi utasítás alapján végez ellenőrzést.
(2) Ha a központi felügyelet azt állapítja meg, hogy a belügyi szerv a biztonsági követelményeket és az ehhez kapcsolódó eljárási szabályokat nem teljesíti, vagy nem tartja be, akkor az érintettet felszólítja a jogszabályokban foglalt biztonsági követelmények és az ehhez kapcsolódó eljárási szabályok teljesítésére.
3. A sérülékenységvizsgálat
7. § (1) A belügyi szervek vonatkozásában a sérülékenységvizsgálattal összefüggő feladatokat a Nemzetbiztonsági Szakszolgálat (a továbbiakban: NBSZ) látja el.
(2) Az (1) bekezdésben meghatározott feladatot az NBSZ a központi felügyeletnek a - kormányzati eseménykezelő központtal egyeztetett - megkeresése alapján végzi.
(3) A sérülékenységvizsgálat eredményéről, a sérülékenységvizsgálat során feltárt hiányosságokról, a sérülékenységek megszüntetésére vonatkozó javasolt intézkedésekről a vizsgálat lezárását követően az NBSZ haladéktalanul tájékoztatja a központi felügyeletet, amely tájékoztatja a vizsgált belügyi szerv vezetőjét és a kormányzati eseménykezelő központot.
4. Záró rendelkezések
8. § Ez a rendelet a kihirdetését követő 8. napon lép hatályba.
Dr. Pintér Sándor s. k.,
belügyminiszter
Lábjegyzetek:
[1] Módosította a 16/2015. (IV. 17.) BM rendelet 14. §-a. Hatályos 2015.04.18.
[2] Módosította a 16/2015. (IV. 17.) BM rendelet 14. §-a. Hatályos 2015.04.18.