Információbiztonság állami és önkormányzati szervek részére

2016. október 01. 09:57 - misec

Az önkormányzati ASP rendszerhez csatlakozás információbiztonsági követelményeiről

Az önkormányzati ASP rendszerhez csatlakozás információbiztonsági követelményeiről

 

Jelen cikkemben összefoglalást szeretnék adni a napjainkban hatályba lépő, az önkormányzati ASP központhoz történő csatlakozási határidőket előíró Korm. rendeletről, mely előírja, hogy csak az az önkormányzat csatlakozhat az ASP rendszerhez, mely teljesíti az információbiztonsági törvényben foglaltakat, valamint szeretném ismertetni a csatlakozással összefüggő, frissen megjelent pályázati lehetőségeket.

Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény 114. §-a előírja az önkormányzatok részére, hogy csatlakozniuk kell az állam által működtetett önkormányzati ASP rendszerhez.

2016. szeptember 3-án hatályba lépett a részletszabályokat tartalmazó, az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet (továbbiakban: R.).

Az R hatályon kívül helyezte az önkormányzati ASP központról és a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet módosításáról szóló 62/2015. (III. 24.) Korm. rendeletet.

Alapfogalmak

Az R elsőként megfogalmazza az önkormányzati ASP rendszer (továbbiakban: ASP) fogalmát:

önkormányzati ASP rendszer: a Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvény (a továbbiakban: Mötv.) 114. § (2) bekezdése szerinti, a helyi önkormányzatok feladatellátását támogató, számítástechnikai hálózaton keresztül távoli alkalmazásszolgáltatást (Application Service Provider, ASP) nyújtó elektronikus információs rendszer

Az R az ASP működtetőjének a Magyar Államkincstárat, a Nemzeti Infokommunikációs Szolgáltató Zrt.-t és az IdomSoft Zrt.-t jelölte ki.

Az ASP a következő szakrendszereket foglalja magába:

  1. iratkezelő rendszer,
  2. önkormányzati települési portál rendszer,
  3. az elektronikus ügyintézési portál rendszer, ideértve az elektronikus űrlap-szolgáltatást,
  4. gazdálkodási rendszer,
  5. ingatlanvagyon-kataszter rendszer,
  6. önkormányzati adórendszer,
  7. ipar- és kereskedelmi rendszer,
  8. hagyatéki leltár rendszer.

Határidők

Az R 4. számú mellékletében meghatározott önkormányzatok az ASP rendszer gazdálkodási rendszeréhez és önkormányzati adórendszeréhez csatlakoznak.

2017. október 1-ig az önkormányzati adórendszerhez csatlakozik valamennyi helyi önkormányzat.

2018. január 1-jéig az önkormányzati ASP rendszer valamennyi szakrendszeréhez csatlakozik – interfészes csatlakozás esetén a 3. melléklet szerinti adatok teljes körének átadhatóságát biztosítja – az összes helyi önkormányzat.

Informatikai és információbiztonsági követelmények

Az R előírja, hogy csak az az önkormányzat csatlakozhat az ASP rendszerhez, amely teljesíti az R-ben megfogalmazott informatikai és információbiztonsági követelményeket:

Informatikai követelmények

Az R 2. számú mellékletében megfogalmazták a kliens oldali minimum hardver- és szoftver követelményeket.

Szoftver oldalról gyártó által támogatott operációs rendszerek (pl.: Microsoft Windows XP már nem!) és irodai programcsomagok (Microsoft Office 2003 már nem!), tűzfal és vírusvédelem.

Hardver oldalról a fenti szoftverek futtatni képes munkaállomások és laptopok.

Információbiztonsági követelmények

Információbiztonsági oldalról követelményként írja elő az R, hogy meg kell felelni az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvénynek és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet előírásainak.

Csatlakozás módjai

Az ASP rendszerhez interfészes vagy rendszercsatlakozás útján csatlakozhat egy önkormányzat.

Rendszercsatlakozás:

Rendszercsatlakozás esetén a fent felsorolt szakrendszereit megszünteti az önkormányzat és az azokban kezelt adatokat migrálás (adatok előkészítése egyik rendszerből a másikba történő átemelésre) után átadja az ASP rendszer üzemeltetőjének, aki betölti az ASP rendszer egyes szakrendszereibe azokat.

Ezek után az önkormányzat ezeket a szakrendszereket távoli hozzáféréssel érheti el.

Interfészes mód:

Ebben az esetben marad helyben a szakrendszer a helyi önkormányzatnál, de saját költségen kifejlesztet – a Kincstár által megfogalmazott informatikai specifikáció alapján - egy interfészt (automata kapcsolódást) az ASP rendszer irányába, hogy az előírt adatok automatikusan átadásra kerüljenek az ASP rendszerben található önkormányzati adattárház részére.

Az átadandó adatokat az R 3. sz. melléklete határozza meg.

Pályázati lehetőségek

Az R hatályba lépésével párhuzamosan meghirdették a „KÖFOP-1.2.1-VEKOP-16 Csatlakoztatási konstrukció az önkormányzati ASP rendszer országos kiterjesztéséhez” elnevezésű pályázatot, mely lehetőséget biztosít az önkormányzatok számára, hogy az R-ben megfogalmazott informatikai és információbiztonsági követelményeknek való megfelelés költségeit a pályázat forrásaiból valósítsák meg.

A projekt során a következő szakmai tevékenységek számolhatók el:

  1. Eszközök (szoftverrel együtt) beszerzése
  2. Működésfejlesztés és szabályozási keretek kialakítása
  3. Önkormányzatok elektronikus ügyintézéséhez kapcsolódó feltételek kialakítása
  4. Önkormányzati szakrendszerek adatminőségének javítása, migrációja
  5. Oktatásokon történő részvételhez kapcsolódó utazás
  6. Tesztelés, élesítés

A pályázatra mindösszesen 8,5 milliárd forint áll a rendelkezésre, a következő megoszlás szerint:

 

A költségek 100%-a számolható el, a pályázat benyújtási határideje a 2017. január 1-ig csatlakozásra kötelezett önkormányzatok részére 2016. szeptember 30., a többi önkormányzat részére 2017. február 28.

A pályázat részletei a következő honlapon olvashatóak:

https://www.palyazat.gov.hu/kfop-121-vekop-16-csatlakoztatsi-konstrukci-az-nkormnyzati-asp-rendszer-orszgos-kiterjesztshez

Információbiztonsági követelmények részletesen

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény lehetővé teszi a hatálya alá tarozó szervezetek részére a fokozatos felkészülést, azaz nem kell rögtön valamennyi előírásnak megfelelni, hanem lehetőség nyílik az elérendő biztonsági osztályokhoz és biztonsági szintekhez előírt védelmi intézkedéseket fokozatosan, 2-évente egy-egy osztályt, illetve szintet lépve teljesíteni.

Az Ibtv. hatályba lépésétől - 2013. július 1-jétől - számítva 1 év állt a rendelkezésre az elektronikus információs rendszerek biztonsági osztályba sorolására, majd ettől számítva kell egy-egy osztályt lépve elérni a kívánt biztonsági osztályokhoz előírt védelmi előírásokat.

A fentiek alapján 2016. július 1-jéig az 1-es biztonsági osztályhoz előírt követelmények teljesítésére volt szükség.

Az 1-es biztonsági osztályhoz csak adminisztratív védelmi intézkedések tartoznak, mivel a fizikai és a logikai védelmi követelmények csak a 2-es biztonsági osztálytól kezdve jelennek meg.

Az 1-es biztonsági osztály adminisztratív követelményei a következők:

Adminisztratív védelmi intézkedések

Sorszám

Intézkedés típusa

3.1.1.

Szervezeti szintű alapfeladatok

3.1.1.1.

Informatikai biztonsági szabályzat

3.1.1.2.

Az elektronikus információs rendszerek biztonságáért felelős személy

3.1.1.4.

Az elektronikus információs rendszerek nyilvántartása

3.1.1.5.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás

3.1.2.

Kockázatelemzés

3.1.2.1.

Kockázatelemzési és kockázatkezelési eljárásrend

3.1.2.2.

Biztonsági osztályba sorolás

3.1.2.3.

Kockázatelemzés

3.1.6.

Emberi tényezőket figyelembe vevő - személy - biztonság

3.1.6.4.

Eljárás a jogviszony megszűnésekor

3.1.6.7.

Fegyelmi intézkedések

3.1.6.9.

Viselkedési szabályok az interneten

3.1.7.

Tudatosság és képzés

3.1.7.2.

Képzési eljárásrend

3.1.7.3.

Biztonság tudatosság képzés

 

Az 1-es biztonsági osztályhoz tartozó adminisztratív védelmi intézkedéseket röviden összefoglalva:

  • a csatlakozandó hivatalnak rendelkeznie kell egy a jogszabályoknak megfelelő Informatikai Biztonsági Szabályzattal,
  • ki kellett jelölnie az elektronikus információs rendszerek biztonságáért felelős személyt,
  • el kellett végeznie az elektronikus információs rendszerek biztonsági osztályba sorolását és kockázatelemzését,
  • szabályoznia kellett a személyi biztonságát és
  • oktatnia kellett a felhasználóit biztonságtudatosság szempontjából.

A fenti követelményeknek való megfelelést vélhetően a jogszabályban kijelölt Nemzeti Elektronikus Információbiztonsági Hatóság fogja ellenőrizni a pályázni kívánó hivataloknál.

Összefoglalásul bízzunk abban, hogy – köszönhetően a pályázatnak - végre lehetősége nyílik azoknak az önkormányzatoknak is az információbiztonsági rendszerük kialakítására és fejlesztésére, melyeknek ezidáig forráshiány miatt az nem állt módukban.

  

Misák István

információbiztonsági tanácsadó

http://misec.hu

Szólj hozzá!

A bejegyzés trackback címe:

http://informaciobiztonsagitv.blog.hu/api/trackback/id/tr8711756759

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.
Információbiztonság állami és önkormányzati szervek részére