BM OKF hatósági feladatai


Bemutatkozás

A fejlett országokban a globalizáció, a technológia ugrásszerű fejlődése a társadalom, az emberek életminőségének, alapellátásának fejlődéséhez vezetett. Ez a - változó világunkat átalakító - folyamat új biztonsági kihívásokat és megoldandó feladatokat jelent Magyarország számára is. A Magyar Kormány felismerte, hogy a társadalom alapellátásért felelős infrastruktúrák védelme kiemelt fontosságú. Az Európai Unió által a kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint ezek védelmi fejlesztéseinek szükségességéről szóló 2008/114/EK tanácsi irányelv hazai jogrendbe történő implementálásával (a létfontosságú rendszerek és létesítmények azonosításáról és kijelöléséről és védelméről szóló 2012. évi CLXVI. tv. (a továbbiakban: Lrtv.) és hozzá kapcsolódó kormányrendeletek) rendelkezett a hazai és európai létfontosságú rendszerek azonosításáról, kijelöléséről és azok fizikai, személyi és IT biztonságának a fokozásáról.

Az Lrtv. hatályba lépésével közel egy időben a Magyar Kormány elfogadta Magyarország Nemzeti Kibervédelmi Stratégiáját, amelynek célja a kibertér biztonsági környezetének az elemzése, a nemzeti érdekek alapján a nemzeti stratégiai célok, irányok és feladatok érvényesítése.

A stratégia elfogadását követően az Országgyűlés elfogadta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L törvényt (a továbbiakban: Ibtv.), amelynek értelmében a Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság (a továbbiakban: BM OKF) az Lrtv. és ahhoz kapcsolódó kormányrendeletek alapján kijelölt európai vagy nemzeti létfontosságú rendszerek és létesítmények elektronikus rendszerei esetében hatósági feladatokat és biztonsági felügyeletet lát el.

Tehát a BM OKF információbiztonsági hatósági feladatokat lát el minden kijelölt európai és nemzeti létfontosságú rendszer és létesítmény tekintetében (a továbbiakban: KI), amely nem tartozik állami és önkormányzati, polgári hírszerzési tevékenységet végző, honvédelmi és zárt célú rendszerek, szervezetek közé.

A KI információbiztonsági hatósági feladatai:

A kijelölő határozat jogerőre emelkedésétől számított 60 napon belül a szervezetnek be kell jelentkeznie az információbiztonsági hatóságnál, megadva a szervezet azonosításához szükséges adatokat, ki kell jelölnie a szervezet elektronikus információs rendszereinek biztonságáért felelős személyt, és meg kell küldenie ezen kijelölt személy jogszabályban[1] előírt adatait az illetékes hatóság részére. Következő lépésként 90 napon belül meg kell küldeni a hatóságnak a szervezet informatikai biztonsági szabályzatát. A harmadik nagy lépés megtételére a kijelölő határozat jogerőre emelkedésétől egy év áll rendelkezésre, ez alatt az idő alatt a szervezetnek fel kell mérnie az Ibtv. hatálya alá tartozó[2] elektronikus információs rendszereit és a 41/2015. BM rendelet alapján azokat biztonsági osztályba kell sorolni, valamint meg kell állapítani a szervezet biztonsági szintjét.

 

 

 

A BM OKF hatósági feladatai:

Az elektronikus információs rendszerek biztonsági felügyelete, hatósági feladatok (187/2015 Korm. rendelet szerint)

  • az osztályba sorolás és a biztonsági szint megállapításának ellenőrzése és döntés meghozatala (19. § a.),
  • az osztályba sorolásra és a biztonsági szintre vonatkozó követelmények teljesülésének ellenőrzése (19. § b.),
  • biztonsági hiányosságok elhárításának elrendelése, és ennek ellenőrzése (19. § c.),
  • kockázatelemzés elvégzése (19. § d.),
  • biztonsági eseményekkel kapcsolatos bejelentések kivizsgálására irányuló hatósági eljárás megindítása (19. § e.),
  • az információs társadalom biztonságtudatosságának elősegítése és támogatása (19. § f.),
  • hazai és nemzetközi információbiztonsági, kibervédelmi, létfontosságú információs infrastruktúra védelmével kapcsolatos gyakorlatokon való részvétel (19. § g.),
  • nyilvántartás vezetése (21. §),
  • kapcsolattartás és együttműködés a hatóságokkal és az eseménykezelő központokkal (19. § h.).
  • biztonsági követelmények és a kapcsolódó eljárási szabályok teljesülésének ellenőrzése (20. § a.)
  • a követelményeknek való megfelelőség alátámasztásához szükséges dokumentumok bekérése, felülvizsgálata (20. § b.),
  • a központi költségvetési és az európai uniós forrásból megvalósuló fejlesztési projektek tervezési szakaszában az információbiztonsági követelmények megtartása ellenőrzése, azokra ajánlások tétele (20. § c.),
  • a fejlesztési projektek tervezési szakaszában szakmai részvételt biztosítása és a biztonsági követelmények beépülésének ellenőrzésére irányuló tevékenység folytatása (20. § d.),
  • a sérülékenység megszüntetésére vonatkozó intézkedési terv készítése (20. § e.),
  • ha a rendszert működtető szervezet a biztonsági követelményeket és a kapcsolódó eljárási szabályokat nem teljesíti, vagy nem tartja be, akkor az érintettet felszólítja a biztonsági követelmények és a kapcsolódó eljárási szabályok teljesítésére (22. § 2 bek.),