186/2015. (VII. 13.) Korm. rendelet
a központosított informatikai és elektronikus hírközlési szolgáltató információbiztonsággal kapcsolatos feladatköréről
A Kormány az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 24. § (1) bekezdés g) pontjában kapott felhatalmazás alapján,
az Alaptörvény 15. cikk (1) bekezdésében meghatározott feladatkörében eljárva a következőket rendeli el:
1. Értelmező rendelkezések
1. § E rendelet alkalmazásában
a) központi szolgáltató: a jogszabály által kijelölt központosított informatikai és elektronikus hírközlési szolgáltató;
b) szolgáltatások: jogszabályban meghatározott, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) hatálya alá tartozó elektronikus információs rendszerek felhasználói számára a központi szolgáltató által kötelezően vagy egyedi igény alapján biztosítandó központosított informatikai és elektronikus hírközlési szolgáltatások.
2. A központi szolgáltató feladatai
2. § Az Ibtv. 11. § (2) és (3) bekezdése szerinti szolgáltatási tevékenysége keretében a központi szolgáltató
a) kialakítja a szolgáltatások esetében az informatikai biztonsági irányítási rendszerét, aminek keretében
aa) kidolgozza a vonatkozó szabályzatokat az informatikai biztonsági irányítási rendszer működési követelményeinek megfelelően,
ab) megismerteti az aa) alpont szerinti szabályzatokat a központi szolgáltató szolgáltatását igénybevevő szervezettel, amely az Ibtv. 11. § (3) bekezdése szerinti szervezeti szintű informatikai biztonsági szabályokat az aa) alpont szerinti szabályzatokra figyelemmel dolgozza ki,
ac) rendszeresen felülvizsgálja az aa) alpont szerinti szabályzatokat,
ad) kidolgozza az aa) alpont szerinti szabályzatok módosításait, valamint
ae) ellenőrzi az aa) alpont szerinti szabályzatok megfelelő alkalmazását;
b) azonosítja és nyilvántartja
ba) a szolgáltatásokat,
bb) a szolgáltatások végfelhasználóit, az üzemeltető felhasználókat, valamint a szolgáltatás biztosításához igénybevett támogatókat és fejlesztőket (a továbbiakban együtt: felhasználók), továbbá a hozzáférési jogosultságaikat,
bc) a szolgáltatások biztosításához szükséges vagyonelemeket (hardver és szoftver elemek),
bd) a szolgáltatásokhoz kapcsolódó távoli hozzáféréseket,
be) az általa a szolgáltatások biztosításához igénybevett külső szolgáltatásokat, valamint
bf) a szolgáltatások c) pont ca) alpontjában meghatározott kritikusságát;
c) folyamatos kockázatkezelés keretében
ca) meghatározza és elemzi a szolgáltatások és az azokat biztosító vagyonelemek, valamint az igénybe vett külső szolgáltatások kritikusságát és fenyegetettségének mértékét,
cb) elvégzi a szolgáltatások kockázatértékelését,
cc) az egyes kockázati értékek alapján meghatározza a szolgáltatások biztosításához szükséges és a kockázatokkal arányos védelmi intézkedéseket,
cd) kidolgozza az alkalmazott védelmi intézkedések hatékonyságának mérési módszereit, valamint
ce) folyamatos felülvizsgálat keretében meggyőződik az alkalmazott védelmi intézkedések megfelelőségéről és szükség esetén új védelmi intézkedéseket vezet be;
d) az azonosítási és hozzáférés-kezelési tevékenysége körében
da) biztosítja a szolgáltatások igénybevételét az általa azonosított és nyilvántartott felhasználók, informatikai eszközök és kapcsolódó szolgáltatások számára,
db) a da) alpont szerinti felhasználói kör részére biztosítja a szolgáltatásokhoz való hozzáférési jogosultságot, valamint
dc) biztosítja a db) alpontban meghatározott jogosultságok szükség szerinti kiosztását, módosítását és visszavonását;
e) folyamatosan ellenőrzi a szolgáltatások biztonsági állapotát, amelynek keretében
ea) biztosítja a szolgáltatások nyújtásában használt vagyonelemek által létrehozott üzemi és biztonsági információk folyamatos gyűjtését,
eb) biztosítja az ea) alpontban meghatározott információk biztonsági szempontú elemzését, valamint
ec) azonosítja a biztonsági eseményeket és összegyűjti az azokkal kapcsolatos információkat;
f) folyamatosan biztosítja a szolgáltatások nyújtásában használt vagyonelemek biztonsági állapotának megfelelőségét, aminek keretében
fa) intézkedik a biztonsági események megelőzéséről, a bekövetkezett biztonsági események által okozott kár csökkentéséről, valamint
fb) az e) pont eb) alpontja szerinti elemzések alapján biztonságnövelő megelőző intézkedéseket vezet be;
g)[1] az elektronikus információs rendszereket érintő biztonsági események kezelése során
ga) tájékoztatja az Ibtv. 19. § (1)-(3) bekezdése szerinti, feladat- és hatáskörrel rendelkező eseménykezelő központot az azonosított biztonsági eseményekről és fenyegetettségekről,
gb) biztosítja a biztonsági események azonosításához, elemzéséhez és kezeléséhez szükséges, bizonyító erejű információkat az Ibtv. 19. § (1)-(3) bekezdése szerinti, feladat- és hatáskörrel rendelkező eseménykezelő központ részére, valamint
gc) közreműködik az Ibtv. 19. § (1)-(3) bekezdése szerinti eseménykezelő központok által végzett informatikai biztonsági eseménykezelésben a biztonsági eseményről szóló adatszolgáltatással, vizsgálat elvégzésével, illetve az Ibtv. 19. § (1)-(3) bekezdése szerinti eseménykezelő központok által elrendelt biztonságnövelő intézkedések végrehajtásával.
2/A. §[2] A központi szolgáltató köteles az általa nyújtott szolgáltatások körében az azt igénylő ügyfelei számára biztosítani a korai figyelmeztető rendszerhez való kapcsolódást az ahhoz szükséges, a következő műszaki feltételek megteremtésével és fenntartásával:
a) a hálózati forgalom másolatának átadásával,
b) az internet felé menő, illetve onnan érkező hálózati forgalom SSL/TLS csatornáinak feloldása az SSL/TLS csatornák terminálásával vagy SSL/TLS átjáró megvalósításával,
c) a korai figyelmeztető rendszer működtetőjével az ügyfelek kapcsolódásának kialakítása érdekében.
3. A központi szolgáltató együttműködési kötelezettsége
3. §[3] A központi szolgáltató a szolgáltatások tekintetében, különösen a 2. § g) pontja szerinti tevékenysége keretében együttműködik
a) az Ibtv. 14. § (1) bekezdése szerinti hatósággal,
b) az Ibtv. 19. § (1)-(3) bekezdése szerinti eseménykezelő központokkal,
c) az Ibtv. felhatalmazása alapján az elektronikus információbiztonsággal kapcsolatban hatósági feladatok ellátására kijelölt szervezetekkel, valamint
d) a korai figyelmeztető rendszer működtetőjével.
4. § (1)[4] A központi szolgáltató - a Nemzeti Elektronikus Információbiztonsági Hatósággal, valamint az Ibtv. 19. § (1) bekezdése szerinti eseménykezelő központtal együttműködve - kidolgozza és szolgáltatási szerződésbe vagy általános szerződési feltételekbe foglalja a közszolgáltatási szerződésekben meghatározott információbiztonsági eseménykezelési feladatain kívül vállalt többlet-információbiztonsági és eseménykezelési szolgáltatásokat, továbbá meghatározza azok díjazását.
(2) A központi szolgáltató az (1) bekezdés szerinti szolgáltatási szerződésben vagy általános szerződési feltételekben szabályozza különösen
a) a szolgáltatásoknak az elektronikus információs rendszer biztonsági osztálya szerint előírt információbiztonsági védelme biztosításának feltételeit,
b) a szolgáltatások igénybevételének feltételeit,
c) a szolgáltatásokhoz kapcsolódó felelősségi rendet,
d) az információbiztonsági esemény bejelentésének rendjét, a bejelentés módját, az eseménykezeléshez kapcsolódó felelősséget, valamint
e) az elektronikus információs rendszer létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőre jogszabályban meghatározott egyéb feltételeket, szerződési kötelemként.
4. Záró rendelkezések
5. § (1) Ez a rendelet - a (2) bekezdésben meghatározott kivétellel - a kihirdetését követő harmadik napon lép hatályba.
(2) A 2. § a)-d) pontja és a 4. § 2016. március 1-jén lép hatályba.
Orbán Viktor s. k.,
miniszterelnök
Lábjegyzetek:
[1] Megállapította a 323/2018. (XII. 28.) Korm. rendelet 40. §-a. Hatályos 2019.01.01.
[2] Megállapította a 323/2018. (XII. 28.) Korm. rendelet 41. §-a. Hatályos 2019.01.01.
[3] Megállapította a 323/2018. (XII. 28.) Korm. rendelet 42. §-a. Hatályos 2019.01.01.
[4] Módosította a 323/2018. (XII. 28.) Korm. rendelet 43. §-a. Hatályos 2019.01.01.