19/2015. (VII. 31.) BM utasítás
a Belügyminisztérium Informatikai Biztonsági Szabályzatáról
A Belügyminisztérium Szervezeti és Működési Szabályzatáról szóló 15/2014. (IX. 5.) BM utasítás 1. melléklet 2. függelék 2.1.5.2. pont 5. alpont d) alpontja alapján, figyelembe véve a Közigazgatási Informatikai Bizottság 25. számú ajánlását, a Magyar Informatikai Biztonsági Ajánlásokat és a Közigazgatási Informatikai Bizottság 19. számú ajánlását, alkalmazva az ITIL (Information Technology Infrastructure Library) módszereket, a Belügyminisztérium elektronikus információs rendszereinek védelmére kiadom az alábbi utasítást:
1. § A Belügyminisztérium Informatikai Biztonsági Szabályzatát a jelen utasítás mellékletében foglaltak szerint határozom meg.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
3. § Hatályát veszti a Belügyminisztérium Informatikai Biztonsági Szabályzatáról szóló 29/2010. (XII. 31.) BM utasítás.
Dr. Pintér Sándor s. k.,
belügyminiszter
Melléklet a 19/2015. (VII. 31.) BM utasításhoz
A Belügyminisztérium Informatikai Biztonsági Szabályzata
I. Általános rész
1. A szabályzat hatálya
1. A szabályzat személyi hatálya kiterjed:
a) a Belügyminisztérium (a továbbiakban: BM) hivatali szervezetének kormánytisztviselőire, ügykezelőire, munkavállalóira, vezényelt hivatásos állományú munkatársaira (a továbbiakban együtt: BM munkatárs),
b) a BM elektronikus információs rendszerével, szolgáltatásaival szerződéses vagy más módon kapcsolatba kerülő természetes és jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre (a továbbiakban együtt: külső személy) a velük kötött szerződésben rögzített mértékben, illetve a titoktartási nyilatkozat alapján.
2. A szabályzat tárgyi hatálya a BM használatában lévő vagy általa üzemeltetett valamennyi meglévő és a jövőben fejlesztendő elektronikus információs rendszerre és azok környezetét alkotó rendszerelemekre terjed ki, azok teljes életciklusában (az előkészítéstől a rendszerből történő kivonásig), kivéve a minősített adatokat kezelő rendszereket.
2. Értelmező rendelkezések és a szabályzat alapelvei
3. E szabályzat alkalmazásában[1]
3.1. adat: az információnak olyan új formában való ábrázolása, amely alkalmas közlésre, értelmezésre vagy feldolgozásra. Tények, fogalmak vagy utasítások formalizált ábrázolása, amely alkalmas az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra (MSZ ISO 2382-1). A számítástechnikában adat a számítógépes állományok meghatározott része (minden, ami nem program) és mindaz, amivel a számítógépek a kommunikációjuk során foglalkoznak (kimenő és bemenő adat);
3.2. adatállomány: az elektronikus információs rendszerben logikailag összetartozó, együtt kezelt adatok;
3.3. adatátvitel: az adatok elektronikus információs rendszerek, rendszerelemek közötti továbbítása;
3.4. adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, továbbá ahol az adat keletkezik;
3.5. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;
3.6. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
3.7. adatvédelem: az adatkezelés során érintett természetes személyek jogainak és érdekeinek védelmére és az adatkezelés során felmerülő eljárásokra vonatkozó szabályozások és eljárások;
3.8. adminisztrátor: az alkalmazásokban meghatározott adminisztrátori funkciók (jogosultságbeállítás, alkalmazás működési paramétereinek beállítása, adatszótárak kezelése stb.) használatára jogosult személy, akit az adatgazda jelöl ki;
3.9. behatolás: védett rendszerbe jogosulatlan belépés a védelem megkerülésével vagy védelmi hiba kihasználásával;
3.10. bejelentkezés: a felhasználó által kezdeményezett olyan logikai kapcsolat, amelynek eredményeképpen az elektronikus információs rendszer funkcióinak használata lehetővé válik;
3.11. bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, rendelkezhetnek a felhasználásáról;
3.12. biztonsági esemény: az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült vagy megsérülhet;
3.13. biztonsági követelmények: a kockázatelemzés eredményeként megállapított, elfogadhatatlanul magas kockázattal rendelkező fenyegető tényezők ellen irányuló biztonsági szükségletek együttese;
3.14. biztonsági mechanizmus: valamely biztonsági követelmény(eke)t megvalósító eljárás, módszer vagy megoldási elv, amely lehet számítástechnikai műszaki tartalmú is;
3.15. elektronikus aláírás: az elektronikus információs rendszerben kezelt adathoz csatolt, kódolással előállított jelsorozat, amely az adat, illetve az eljáró személy azonosságának, hitelességének és sértetlenségének bizonyítására használható;
3.16. elektronikus információs rendszer:
a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat,
b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi, vagy
c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok összessége;
3.17. érzékeny adat: olyan adat, amely az információbiztonság szempontjából a sérülékenység és a fenyegetettség ténye alá esik (pl. a felhasználás folyamatainak leírása, az eljárás, az adatszerkezetek vagy az engedélyezési folyamatok);
3.18. felhasználói rendszer: olyan alkalmazás, amelyet a felhasználó saját speciális céljai elérése érdekében vezet be, és amely a hardver- és az üzemi rendszer, rendszerprogramok funkcióit használja;
3.19. fenyegetettség: olyan állapot, amelyben az erőforrások felfedésére, módosítására vagy elpusztítására kerülhet sor;
3.20. funkcionalitás: az elektronikus informatikai rendszerelem (ideértve az adatot is) azon tulajdonsága, hogy az a felhasználói céloknak megfelel és használható;
3.21. gyenge pont: az informatikai rendszerelem olyan része vagy tulajdonsága, amelyen keresztül valamely fenyegetés megvalósulhat;
3.22. hálózat: informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége;
3.23. helyreállítás: a katasztrófa következtében megsérült erőforrások eredeti állapotának eredeti helyen történő biztosítása;
3.24. hitelesség: az adat azon tulajdonsága, hogy az bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik;
3.25. hozzáférés: olyan eljárás, amely valamely elektronikus információs rendszer használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat;
3.26. illetéktelen személy: aki az adat megismerésére nem jogosult;
3.27. információbiztonság: egy olyan állapot, amelyben valaki/valami a lehetséges fenyegető hatások ellen a megkívánt mértékben védett;
3.28. információvédelem: az elektronikus információs rendszerekben kezelt adatok által hordozott információk bizalmasságának, hitelességének sérelmével és ennek veszélyével fenyegető állapotok elleni, az információbiztonság (mint megkívánt állapot) megteremtésére és fenntartására irányuló tevékenységek, rendszabályok összessége;
3.29. informatikai infrastruktúra: mindazon hardver- és szoftvereszközök, elektronikus információs rendszerek, hálózatok, alkalmazások, programok összessége, amelyek segítik és kiszolgálják a szervezet kommunikációs, adatfeldolgozó és adatátviteli tevékenységét;
3.30. internet: a TCP/IP-protokollon alapuló, nyilvános, világméretű számítógépes hálózat, amely a szolgáltatások széles skáláját nyújtja felhasználóinak (FTP, Gopher, IRC, e-mail, Telnet, http, WWW stb.);
3.31. intranet: olyan számítógép-hálózat, amely az internetprotokollt használja, de a külvilág (az internet) felé zárt, vagy csak egy átjárón, illetve tűzfalon keresztül érhető el, amely az intranet külső kapcsolatait szabályozza;
3.32. ITIL: Information Technology Infrastructure Library, az informatikai rendszerek üzemeltetésére és fejlesztésére szolgáló módszertan, illetve ajánlásgyűjtemény, mely alapját képezi az ISO/IEC 20000 szabványnak (az első IT-szolgáltatás-menedzsmentre vonatkozó nemzetközi szabvány);
3.33. jelszó: védett karakterfüzér, amely a felhasználói névvel együtt használva szolgál a belépni szándékozó azonosítására;
3.34. katasztrófa-elhárítási terv: az elektronikus információs rendszer rendelkezésre állásának megszűnése vagy nagymértékű csökkenése utáni visszaállításra vonatkozó terv;
3.35. kiesési idő: az elektronikus információs rendszer leállásától a következő elérési lehetőségig tartó idő;
3.36. kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye;
3.37. kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése;
3.38. kormányzati elektronikus levelezési cím:
a) a gov.hu végződésű e-mail-címek,
b) a Kormány, illetve a Kormány tagja által irányított vagy felügyelt szerv által biztosított hivatalos elektronikus levelezési címek,
c) a Kormány tagja vagy kormánybiztos tulajdonosi joggyakorlása alá tartozó gazdasági társaság által biztosított hivatalos elektronikus levelezési címek,
d) a Kormány, illetve a Kormány tagja által irányított vagy felügyelt szerv vagy a Kormány tagja vagy kormánybiztos tulajdonosi joggyakorlása alatt álló gazdasági társaság tulajdonosi joggyakorlása alá tartozó gazdasági társaság által biztosított hivatalos elektronikus levelezési címek, valamint
e) a Kormány irányítása vagy felügyelete alá nem tartozó, Alaptörvényben meghatározott szerv hivatalos elektronikus levelezési címei;
3.39. kormányzati igazgatási irat:
a) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 27. § (5) bekezdésére utaló megjelöléssel ellátott,
aa) a Kormány részére készített előterjesztés,
ab) a Kormány részére készített jelentés,
ac) miniszteri rendelet tervezete,
b) az a) pont szerinti iratról készített másolat vagy kivonat
az a) pont szerinti irat előállításától az irat szerinti döntés kihirdetéséig, közzétételéig, valamint törvényjavaslatot tartalmazó irat esetében a törvényjavaslat Országgyűlés részére történő benyújtásáig;
3.40. kódolás: nyílt üzenet kódolása kriptográfiai eljárással, eszközzel vagy módszerrel, melynek eredménye a titkosított üzenet;
3.41. kriptográfia: mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak a kutatása, alkalmazása, amelyek az információ bizalmasságát, hitelességét vagy sértetlenségét hivatottak megvédeni;
3.42. kulcs: a kriptológiában a kódolás és a megfejtés műveleteihez használt szimbólumok sorozata, az adatbáziskezelésben egy rekord vagy rekordcsoport azonosítója, a mechanikai védelemben a zárak nyitásához és zárásához használt eszköz;
3.43. kulcsmenedzsment: a kriptográfiában a kódolás és a megfejtés műveleteihez használt kulcsok előállítása, tárolása, szétosztása, törlése, archiválása és alkalmazása, és ezek szabályrendszere;
3.44. megoldás: a kódolt üzenet legális címzettje által, az eljárás ismeretében az eredeti üzenet visszaállítása;
3.45. megszemélyesítés: egy entitás (személy, program, folyamat stb.) magát más entitásnak tünteti fel;
3.46. minősítés: az a döntés, melynek meghozatala során az arra felhatalmazott személy megállapítja, hogy egy adat a tartalmánál fogva a nyilvánosságát korlátozó titokkörbe tartozik;
3.47. működésfolytonosság: az elektronikus információs rendszer üzemi működése folytonosságának azon szintje, amely során a kiesési kockázati szint a szervezet számára elviselhető;
3.48. működtetés: az elektronikus információs rendszer funkcióinak rendeltetésszerű használata, az elektronikus információs rendszer adatainak kezelése (létrehozás, módosítás, törlés, lekérdezés, adattovábbítás stb.);
3.49. nyílt tárolás: a ki- és belépés nem ellenőrzött a tárolási területen;
3.50. program: a számítógépes utasítások logikailag és funkcionálisan összetartozó sorozata;
3.51. rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;
3.52. rendszerelemek: az adatokat körülvevő, az elektronikus információs rendszer részét képző elemek, amelyek a következő rendszerelem-csoportokba oszthatók:
a) az elektronikus információs rendszer környezetét alkotó infrastruktúra,
b) az elektronikus információs rendszer hardverelemei,
c) az elektronikus információs rendszer szoftverelemei,
d) az elektronikus információs rendszer kommunikációs elemei,
e) az adathordozók,
f) az input és output dokumentumok, az elektronikus információs rendszerre vonatkozó dokumentációk,
g) az elektronikus információs rendszerben részt vevő emberi erőforrások;
3.53. rendszergazda (technikai privilegizált felhasználó): az elektronikus információs rendszerek üzemeltetését végző szakember, akivel szemben alapvető feltétel, hogy az informatikai vezető által előírt képesítési követelményeknek megfeleljen;
3.54. rendszerprogram - információs rendszer: funkcionálisan összetartozó, egységes szabályozás hatálya alá tartozó, szervezett információs tevékenységek, folyamatok. Tágabb értelemben az egyes információs rendszerek részét képezik az általuk kezelt információk, az információs tevékenységeket végrehajtó szereplők és a végrehajtás során felhasznált erőforrások is;
3.55. rendszerprogram (rendszerszoftver): az operációs rendszer részeként futó vagy operációs rendszer környezetben telepített általános célú program;
3.56. sebezhetőség: a veszélyforrás képezte sikeres támadás bekövetkezése esetén az erőforrások sérülésének lehetősége;
3.57. sérülékenységi teszt: az adatkezelő által megrendelt fejlesztés idején a fejlesztő vagy erre külön szerződő szakértő végzi el. A teszt megléte nem befolyásolja a sérülékenységi vizsgálat szükségességét;
3.58. sérülékenységi vizsgálat: NKI GovCert végzi jogszabály alapján;
3.59. SSL (Secure Socket Layer): a Netscape által kifejlesztett nyílt szabvány ajánlásbiztonságos kommunikációs csatorna létrehozására a továbbított adatok védelme érdekében;
3.60. támadás: védett érték megszerzésére, megsemmisítésére, károkozásra irányuló cselekmény. Támadás alatt nem csak a személyek, szervezetek által elkövetett támadásokat, de áttételesen a gondatlanságból, nem szándékosan kiváltott veszélyeztetéseket és a környezeti, természeti fenyegetéseket is értjük, amely támadások legtöbbször nem közvetlenül érik a védett értéket, hanem a körülményektől függő támadási útvonalon zajlanak le;
3.61. távmunka: olyan munkavégzés, amely a szervezet épületén kívül történik;
3.62. teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
3.63. üzletmenetfolytonosság-tervezés: az elektronikus információs rendszer rendelkezésre állásának olyan szinten történő fenntartása, hogy a kiesésből származó károk a szervezet számára még elviselhetőek legyenek;
3.64. üzemeltetés: az elektronikus információs rendszerek működőképességét biztosító informatikai környezet létrehozása, karbantartása;
3.65. üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős;
3.66. üzemzavar: amikor az üzemeltetés tárgya működőképes, de az üzemállapot-jellemzői közül egy vagy több a tűrési értéken kívül esik;
3.67. védett (biztonsági) zóna, terület: a védett létesítmény azon területi, funkcionális egysége, amely biztonsági kockázati szempontból egy egységnek tekinthető, a bevezetésre szánt védelmi intézkedések egységes egészet alkotnak, miközben illeszkedik az egész védett létesítmény komplex, mélységi védelmi elvek alapján kialakított rendszerébe;
3.68. vírus: olyan programtörzs, amely a megfertőzött program alkalmazása során másolja, esetleg mutálja is önmagát. Valamilyen beépített feltétel bekövetkezésekor többnyire romboló, néha csak figyelmeztető vagy "tréfás" hatású kódja is elindul. Többnyire komoly károkat okoz, adatot töröl, formázza a merevlemezt, vagy adatállományokat küld szét e-mailben;
3.69. warez-oldal: illegális szoftvermásolatok (az eredeti programba épített másolásvédelmet vagy regisztrációt kijátszva/semlegesítve, és ezáltal bárki számára használhatóvá téve azt) közzétételére fenntartott internetes oldal - warez-site -, ahonnan e programok ingyenesen letölthetők;
3.70. zárt tárolás: a tárolási terület fizikailag körülhatárolt és védett. A ki- és belépés ellenőrzött.
4. A BM munkatárs az információvédelem területén az adott helyzetben általában elvárható magatartást köteles tanúsítani és tartózkodni minden károkozó tevékenységtől.
5. Az informatikai eszköz használója csak az a személy lehet, aki BM munkatárs, a munkavégzéshez szükséges mértékű informatikai ismeretekkel rendelkezik, e szabályzat rendelkezéseit megismerte, és a vezetője engedélyével hozzáférési jogosultságot kapott a BM elektronikus információs rendszereihez.
6. Az elektronikus információs rendszer vagy eszköz működtetése során a munkaköri leírásban el kell különíteni a jogköröket és a feladatköröket az egyes személyek között annak érdekében, hogy a személyes felelősség megállapítása mindenkor biztosított legyen.
7. Az elektronikus információs rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható működés, az egyes alrendszer vagy rendszerelem funkcionalitásának megfelelő zavartalan és folyamatos működése.
8. A BM objektumában a BM számára létrehozott logikai hálózathoz csatlakozó vagy a BM által engedélyezett hálózatba nem kötött eszközök (a továbbiakban: eszközök) rendeltetésszerűen, munkavégzés céljából, a BM érdekeinek szem előtt tartásával, a BM által meghatározott módon, a felhasználó felelősségére használhatóak. Az eszközöket ettől eltérő célra használni nem lehet.
9. A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és szoftverintegritását. Az integritás sérelmének minősül a rendeltetésellenes használat, hardveres vagy szoftveres módosítás.
10. A BM munkatársak a BM hálózati alkalmazásaihoz és az elektronikus információs rendszerekhez a munkájuk elvégzéséhez szükséges mértékű hozzáférést kapnak, rendelkezniük kell a munkavégzéshez szükséges mértékű informatikai ismeretekkel, továbbá nyilatkoznak e szabályzatban foglaltak tudomásul vételéről.
11. A felhasználó csak a saját azonosítójával jelentkezhet be a BM hálózatára, és másnak a saját bejelentkezési hozzáférését nem adhatja át, és nem teheti lehetővé, hogy mások hozzáférjenek.
12. A nem a BM tulajdonában álló, idegen, információs, számítástechnikai és telekommunikációs eszközt engedély nélkül a BM informatikai struktúrájához csatlakoztatni nem lehet.
13. A felhasználó köteles a biztonságot támogató programok használatára. Az általa használt munkaállomásról a programot nem törölheti le, nem kapcsolhatja ki.
14. A felhasználó csak munkavégzési célú programokat használhat.
3. Informatikai biztonság szabályzati rendszere
15. Az informatikai biztonság szabályzati rendszere az informatikai biztonságpolitikából és az informatikai biztonsági szabályzatból (a továbbiakban: biztonsági szabályzat) áll.
16. A BM vezetői hatáskörüknek megfelelően kötelesek közreműködni a szervezet által használt elektronikus információs rendszerek és az azokban kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának zárt, teljes körű és folytonos, a kockázatokkal arányos védelmének biztosításában. Ennek érdekében a vezetők közreműködnek a szükséges utasítások, rendelkezések, valamint szabályzatok kiadásában, továbbá együttműködnek az információbiztonsági felügyeleti tevékenységet ellátó Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjével a védelem adminisztratív, logikai és fizikai intézkedéseinek végrehajtásában, valamint azok időközönkénti ellenőrzésében. Ehhez biztosítják hatáskörükhöz mérten a szükséges anyagi, technikai, információs és emberi erőforrásokat.[2]
17. A BM tulajdonában és használatában levő adatvagyonról leltárt kell készíteni, az informatikai elemeket biztonsági osztályokba kell sorolni bizalmasság, sértetlenség és rendelkezésre állás szempontjából.
18. Ezt a szabályzatot évente felül kell vizsgálni és szükség esetén módosítani. Ennek során biztonsági teljesítménymérést kell végezni az elektronikus információs rendszerek besorolása alapján azzal, hogy a biztonsági teljesítmény változása/ növekedése a cselekvési tervben meghatározott feladatok végrehajtásával arányos. A teljesítménymérés eredménye a teljesítménymérés időszakában végrehajtott, a cselekvési tervben meghatározott feladatok végrehajtásának összessége a cselekvési tervben foglalt státusznak megfelelően.
4. Szervezeti biztonság
19. Az információbiztonsági felügyeleti tevékenységet a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője látja el. Ezen feladatkörében:[3]
a) tervezi, szervezi, irányítja, koordinálja és ellenőrzi a BM-nél üzemeltetetett elektronikus információs rendszerek védelmével összefüggő tevékenységeket, megteremti ezek jogszabályokkal való összhangját;
b) meghatározza a szervezet felkészültségét az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.) és az Ibtv.-ben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben (a továbbiakban: NFM rendelet) meghatározott biztonsági feladatok kezelésére, ez alapján elvégzi a szervezet biztonsági szintjének besorolását;
c) ellátja a helyi információbiztonsági felügyeleti tevékenységet, elkészíti a helyi szintű informatikai biztonsági ajánlást, naprakészen tartja a minisztérium és a központi szolgáltatások informatikai biztonsági szabályzó rendszerét, kockázatelemzéseket végez, gondoskodik a biztonsági események kezeléséről;
d) közvetlenül irányítja és felügyeli az információs rendszer biztonságáért felelős személy (a továbbiakban: információbiztonsági felelős) tevékenységét;
e) szakmai javaslattételi feladatokat lát el ágazati szinten információvédelem és információbiztonság területén, összehangolja az ágazati informatikai, telekommunikációs és biztonságtechnikai rendszereket, a rendszerek fejlesztését, javaslatot tesz a központosított megvalósításra;
f) irányítja a hivatali egységek és a minisztériumi szervek kivételével az önálló belügyi szervek informatikai, telekommunikációs és biztonságtechnikai fejlesztéseit, üzemeltetési tevékenységét;[4]
g) közreműködik a személyes és minősített adatok tárolásával, továbbításával kapcsolatos szolgáltatások működtetésében, felügyeletében; végzi a személyes és minősített adatok védelmével kapcsolatos információbiztonsági tevékenységeket, rendszertechnológiailag érvényesíti a differenciált hozzáféréssel és bizonyítékbiztosítással kapcsolatos követelményeket;
h) irányítja a hivatali egységek, a minisztériumi szervek, valamint az önálló belügyi szervek statisztikai adatgyűjtésének és adatszolgáltatásának informatikai, telekommunikációs és biztonságtechnikai támogatását, valamint javaslatot teszt az adatgyűjtő rendszerek korszerűsítésére;
i) közreműködik a hivatali egységek, a minisztériumi szervek, valamint az önálló belügyi szervek oktatási tevékenységének informatikai, telekommunikációs és biztonságtechnikai támogatásában, ágazati szintű e-learning rendszerek kialakításában;
j) az ágazati szintű informatikai infrastruktúra üzemeltetés során biztonsági esemény vagy kritikus hibajavítás esetén dönt infrastrukturális alrendszerek, szolgáltatások ideiglenes vagy időszakos szüneteltetéséről, felfüggesztéséről;
k) kidolgozza az informatikai, telekommunikációs és biztonságtechnikai szakterület tekintetében a hivatali egységek és a minisztériumi szervek kivételével az önálló belügyi szervek egészét érintő szabványokat, normatívákat, ajánlásokat, rendszertechnológiai irányelveket;[5]
l) szakértőként közreműködik az ágazatot érintő nemzetközi és kormányzati szintű fejlesztésekben az informatikai, telekommunikációs és biztonságtechnikai rendszerekre vonatkozóan, képviseli az ágazat és a hivatali egységek, a minisztériumi szervek, valamint az önálló belügyi szervek érdekeit, valamint döntés-előkészítő tevékenységet lát el;
m) képviseli az ágazatot a nemzetközi és kormányzati szintű informatikai, telekommunikációs és biztonságtechnikai kapcsolatokban;
n) ellátja a helyi rejtjel-felügyeleti tevékenységet, elkészíti a helyi szintű informatikai biztonsági ajánlást, a minisztérium és a központi szolgáltatások informatikai biztonsági és rejtjelszabályzatát, katasztrófa-elhárítási tervét, valamint a működésfolytonossági tervet;
o) javaslatot tesz a miniszter által irányított, felügyelt háttérintézményeknél az informatikai biztonsági követelmények érvényesíthetőségére vonatkozó rendszertechnológiai fejlesztésekre, szükséges normaalkotásra.
p) biztosítja, hogy az információbiztonság tudatosságot fenntartó, növelő oktatásban évente legalább egyszer a szervezeten belüli dolgozó teljes személyi állomány részt vegyen. Továbbá minden, a minisztérium állományába újonnan került személynek köteles az állományba vételt követő két hónapon belül az információbiztonsági oktatását biztosítani.[6]
5. Rendelkezés a kapcsolódó szabályozásokról
20. A Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője az illetéktelen hozzáférés, a károkozás, az adatok jogtalan elérésének megakadályozása és az elektronikai információs rendszerek rendelkezésre állásának biztosítása érdekében a lehetséges kockázatokat a szabályzatban foglalt alapelvek szerint felméri, és kockázatkezelési stratégiát dolgoz ki.[7]
21. Az információbiztonsági felelős a szabályzat alapján elkészíti az informatikai biztonságpolitikát, az informatikai biztonsági kézikönyvet és a kockázatelemzési eljárásrendet.[8]
II. Biztonsági fokozat
6. Biztonsági osztályba sorolás
22. A BM biztonsági szintje a szervezet védelemre való felkészültsége alapján 3-as.
23. Annak érdekében, hogy az elektronikus információs rendszerek, valamint az azokban kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen, az elektronikus információs rendszereket be kell sorolni egy-egy biztonsági osztályba a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából.
24. A kockázatelemzést az elektronikus információs rendszer adatgazdájának kell elvégeznie az 1. függelék alapján. Az adatgazda kérésére a kockázatelemzésbe bevonható az elektronikus információs rendszer fejlesztője, üzemeltetője, valamint közreműködőként a BM információbiztonsági felelőse.[9]
25. (1) A kockázatelemzést az adatgazda adja át az információbiztonsági felelősnek, aki megfelelőségi vizsgálat után jóváhagyásra felterjeszti az adatkezelő szervezet első számú vezetőjének az elektronikus információs rendszer osztályba sorolására tett javaslatát.[10]
(2) Miután a szervezet első számú vezetője elfogadta az elektronikus információs rendszer osztályba sorolását, az adatgazda gondoskodik róla, hogy az elektronikus információs rendszer fejlesztője, üzemeltetője a biztonsági osztályba sorolásnak megfelelően kitöltse az Osztályba sorolás és védelmi űrlapot (OVI). Az adatgazda kérésére az információbiztonsági felelős közreműködik az OVI űrlap véglegesítésében.
(3) A kitöltött OVI űrlapot átadja az adatgazda az információbiztonsági felelősnek, aki az állami és önkormányzati szervek információbiztonsági felügyelete (hatóság) felé az elektronikus információs rendszer nyilvántartásba vételét kezdeményezi. Ezt követően az információbiztonsági felelős az elektronikus információs rendszer sérülékenységi vizsgálatát elindítja, kezdeményezi az erre kijelölt szervezetnél (Nemzeti Kibervédelmi Intézet). Sérülékenységi teszt elvégzése minden fejlesztéskor szükséges, sérülékenységi vizsgálat a 3-as és az attól magasabb biztonsági osztályba sorolt elektronikus információs rendszereknél szükséges.
III. Fizikai védelmi intézkedések
7. Infrastruktúrához kapcsolódó védelmi intézkedések
26. A fizikai biztonsági zónákat elektronikus információs rendszerenként, valamint biztonsági osztályonként a biztonsági osztályba sorolásnak megfelelően rögzíti a biztonsági osztályba sorolásért felelős vezető.
27. A védett helyiségekbe és biztonsági területekre, zónákba való belépési jogosultságokat úgy kell meghatározni, hogy az egyes személyeket, a személyek csoportjait az elektronikus információs rendszerben vagy környezetében betöltött szerepük alapján kell hozzárendelni a helyiségekhez vagy helyiségcsoportokhoz.
28. Az elektronikus információs rendszerek működési környezetét megfelelő fizikai, mechanikai, elektronikai és személyi védelemmel kell biztosítani (pl. rácsos ablakok, az áttörést megnehezítő üvegezés, acél ajtók stb.). Az alkalmazott védelmi formák körét, azok kialakítását az információbiztonsági felelős határozza meg a biztonsági szabályzat előírásainak megtartása mellett, az adott létesítmény védelmi igényének és speciális feltételeinek figyelembevételével.
8. Informatikai eszközt tartalmazó helyiségekbe való belépés rendje
29. Az elektronikus információs rendszer biztonsága szempontjából azokat a helyiségeket és épületeket kell védeni, amelyekben elektronikus információs rendszer működik. A BM használatában lévő épület azon helyiségében, ahol számítástechnikai vagy információs eszközök vannak, csak azok a személyek tartozódhatnak, akik ott dolgoznak. Az ügyintézés céljából jelen levő vagy külső személyek csak kísérettel és állandó felügyelet mellett tartózkodhatnak a helyiségben.
30. A biztonsági területekre és az egyes biztonsági zónákba való belépést, beléptetést ellenőrizni és naplózni kell.
31. Ha az alap biztonsági területeken vagy az egyes biztonsági zónákban állandó belépési jogosultsággal nem rendelkező személy tartózkodik, a be- és kilépést minden esetben naplózni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt.
32. Az olyan helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, távollét esetén zárva kell tartani.
33. A környezeti veszélyek és kockázatok mérséklése érdekében:
a) a berendezéseket úgy kell elhelyezni, hogy lehetőleg megakadályozzuk az illetéktelen hozzáférést és a helyiség észrevétlen megközelítését,
b) a környezeti határok és a lehetséges veszélyforrások folyamatos vizsgálatával és elemzésével kell törekedni a szükséges működési feltételek biztosítására.
9. Központi géptermek védelmi előírásai
34. A központi géptermek a 3-5. biztonsági osztályba tartoznak. A központi géptermek védelmének az adatok feldolgozását, tárolását, a hálózat működését biztosító berendezések védelmén túl ki kell terjednie a tárolt szoftverek, adatok és dokumentációk védelmére is.
35. A védelemnek az alkalmazások rendelkezésre állásának szükséges mértékével, a hardver és a szoftver beszerzési értékével, az adatok pótlásának költségével arányosan, figyelembe véve a kiesési kockázatokat, teljes körűnek, zártnak és folytonosnak kell lennie.
36. A teljes körű védelemről a helyiségek kialakítása során gondoskodni kell. A védelem egyaránt kiterjed az élőerős, a mechanikai (építészeti) védelemre, technikai (elektronikai) védelemre és tűzvédelemre.
37. A számítógépközpontokba, a szerverszobákba és az egyéb központi jellegű informatikai helyiségekbe csak az arra jogosult személyek léphetnek be. A belépést minden esetben elektronikusan naplózni kell.
38. Külső személyek beléptetése esetében a külső személy:
a) előre időpontot egyeztet a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály képviselőjével,[11]
b) a helyiségben csak kísérettel és szoros felügyelet mellett tartózkodhat,
c) a helyiségbe idegen számítástechnikai eszközt csak az Információtechnológiai és Rejtjel Osztály vezetőjének engedélyével vihet be.[12]
10. Áramellátás szolgáltatási rendje
39. Az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelményeknek megfelelően kell kialakítani, és külön leágazás megépítésével kell a betáplálásról gondoskodni. Ha egy nem szerverszobának kijelölt hivatali helyiségben szerver üzemel, gondoskodni kell lokális szünetmentes tápáramellátásról.
40. Az elektromos hálózatnak meg kell felelnie az MSZ 1600 sorozatú szabványoknak. Az érintésvédelemnek meg kell felelnie az MSZ 172 sorozatú szabványoknak.
41. Az elektromos hálózat meghibásodása, az energiaellátás megszűnése esetén gondoskodni kell az informatikai berendezések védelméről a következők szerint:
a) az informatikai eszköz üzembentartójának meg kell felelnie az informatikai berendezés gyártója által meghatározott energiaellátási követelményeknek,
b) lehetőség szerint megszakítás nélküli áramforrást (UPS) kell használni,
c) többféle alternatív áramszolgáltatási lehetőséget kell igénybe venni (pl. aggregátor).
42. Az energiaellátó hálózat kábelezésénél:
a) védett kábeleket kell használni:
aa) a károkozás, szándékos vagy gondatlan beavatkozás elhárítására,
ab) a környezeti veszélyek (tűz, robbanás, füst, víz, por, elektromágneses sugárzás) káros hatásai következményeinek elhárítására, csökkentésére,
b) az adatátviteli (távközlési) kábelt el kell különíteni az energiaellátás kábeleitől.
43. Az elektronikus védelmi rendszert az épület teljes területén, egyedi esetben a mechanikusan is elválasztott, a szervezeti biztonsági szint besorolásnak megfelelő biztonsági osztályba sorolt területen kell kiépíteni. A riasztásoknak az épület biztonsági szolgálatánál vagy a legközelebbi illetékes rendvédelmi szervnél is meg kell jelenniük. Az elektronikus védelemnek szabotázsvédettnek kell lennie.
11. Telekommunikációs kapcsolódás feltételei
44. A telekommunikációs kapcsolódást és azok technikai feltételeinek megteremtését a BM használatában lévő épületben a mindenkori szolgáltató végzi. A szolgáltatóval a kapcsolatot a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály tartja.[13]
45. Munkavégzéssel kapcsolatos telekommunikációs igényét a felhasználó a munkáltató engedélyével a Közbeszerzési és Ellátási Főigazgatóság (KEF) felé nyújthatja be. Ilyen igénynek minősül:
a) a BM használatában lévő épületben a vezetékes vonal esetében a BM-es telefonvonal, a városi vonal, a telefonkészülék,
b) a BM munkatárs használatában lévő mobiltelefon esetében a BM munkatársi mobil előfizetés, a BM munkatársi mobiltelefon-készülék, a BM munkatársi mobil ügyintézés.
46. A BM informatikai hálózati végpontjának igénybevételét, végpont igénylését, hálózati és alkalmazás hozzáférés igénylését, jogosultságok igénylését a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály felé kell benyújtani.[14]
47. A Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője és a felhasználó közvetlen vezetője együtt, írásban, határozott időtartamra kivételesen engedélyezheti a távmunka és a távoli asztali elérés érdekében - ide nem értve az elektronikus levelezéshez (outlook) való Interneten keresztüli hozzáférést, melyre a 257-260. pontokban foglaltakat kell alkalmazni - a VPN kapcsolaton keresztüli telekommunikációs kapcsolatfelvételt a BM informatikai hálózatával és azon szolgáltatott alkalmazásokkal. A felhasználó a kapcsolódás technikai feltételeiről a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztályt tájékoztatja. Az erre a feladatkörre kiadott eszközöket a felhasználó karbantartási, ellenőrzési feladatok ellátása céljából a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztálynak rendszeresen bemutatja, sérülés, rongálódás esetén értük anyagi felelősséggel tartozik.[15]
12. Tároló helyiségekre vonatkozó előírások
48. A tároló helyiségeket a biztonsági osztályoknak megfelelően kell kialakítani, attól függően, hogy milyen adatot vagy eszközt terveznek ott tárolni.[16]
49. Nyílt tárolás esetén:
a) elektronikus és papíralapú dokumentumok esetében az iratkezelési szabályzat szerint kell eljárni,
b) informatikai eszközök munkaidőn kívül zárható helyiségben, zártan tárolandóak úgy, hogy csak az arra jogosultak férhessenek hozzá.
50. Zárt tárolás esetén a jogszabályi megfelelőség szerint kell eljárni.[17]
51. Speciális biztonsági eszközök alkalmazására a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének engedélyével van mód.[18]
13. Szállítási rend
52. A BM tulajdonában lévő informatikai eszköz a BM használatában lévő épületen kívülre a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének csomagkiviteli engedélyével szállítható.[19]
53. A BM tulajdonát képező informatikai eszköz a BM használatában lévő épületen belül a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének engedélyével szállítható.[20]
54. Minősített adatot tartalmazó rendszerelem, információs hordozóeszköz a minősített adat védelméről szóló 2009. évi CLV. törvényben és a biztonsági szabályzatban meghatározottak szerint, a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének jóváhagyásával szállítható.[21]
IV. Adminisztratív és logikai védelmi intézkedések
14. Hardverekhez kapcsolódó általános védelmi intézkedések, a felhasználói terminálokra vonatkozó előírások
55. Az informatikai eszközöket és az azokban tárolt, kezelt adatokat védeni kell a jogtalan közzététel, módosítás vagy eltulajdonítás ellen. Fokozottan kell ügyelni a megelőzésre, valamint a megfelelő védelmi intézkedések működtetésére a károk és veszteségek mérséklése érdekében.
56. A monitorokat úgy kell elhelyezni, hogy az azon megjelenő adatokat illetéktelen személy ne láthassa.
57. A képernyővédőket jelszavas védelemmel kell ellátni.
58. Minden munkaállomás csak zárolás után hagyható felügyelet nélkül.[22]
59. A BIOS-SETUP állítását jelszóhoz kell kötni úgy, hogy annak el kell térnie a felhasználói jelszótól, és azt a munkaállomást felügyelő rendszergazdának kell beállítania, biztosítva, hogy a felhasználó ne tudja az indítási konfigurációt megváltoztatni.[23]
60. Számítástechnikai eszközt, adathordozót, programot kizárólag a szervezeti egységek vezetőinek írásos engedélyével és a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének hozzájárulásával, meghatározott időtartamra lehet kivinni a munkavégzés helyéről a személyi felelősség egyértelművé tételével. Ez alól kivételt képez a munkakör ellátásához biztosított mobil eszköz, melynek dokumentált átadása egyben a munkavégzés helyén kívüli használat engedélyezését is jelenti.[24]
61. A BM területéről kivitt eszközöket a leltárfelelős tartja nyilván.
62. A kivitt eszközön tárolt adatok illetéktelenek általi elérhetetlenségére fokozottan kell ügyelni.
63. Meghibásodott eszköz cseréje esetén - garanciális esetben is - adathordozó csak úgy vihető ki, ha arról minden adat visszaállíthatatlan módon törlésre került.
64. A munkaállomásokon egyidejűleg modem és hálózati kártya csak a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének engedélyével használható.[25]
15. Számítógépes hálózati szolgáltatások és az üzemeltetés menedzselése, üzemeltetési eljárások és feladatok
65. Az adatfeldolgozó kapacitások megbízható és biztonságos működésének biztosítása érdekében meg kell határozni az összes adatfeldolgozó egység kezelésére és működtetésére vonatkozó feladatokat és eljárásokat, ideértve a szükséges működtetési és hibaelhárítási eljárások elkészítését.
66. Az üzemeltetési eljárásokat az üzemeltetést végző a 153. pontnak megfelelően dokumentálja. Kivételes esetben a dokumentálási kötelezettség az üzemeltetést megrendelőt is terhelheti. A dokumentumokat a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztályon kell tárolni.[26]
67. Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a következők szerint:
a) adatkezelés (-feldolgozás, -tárolás, -gyűjtés és -továbbítás),
b) munkaidőn kívüli munkahelyen való tartózkodás,
c) hibaesetekre és rendellenes működésre vonatkozó eljárások,
d) munkavégzés közben fellépő kivételes állapotok kezelése,
e) rendszer újraindítása és visszaállítása.
68. Az üzemeltetési eljárások dokumentációjának az üzemeltetés helyén hozzáférhetőnek kell lennie az érintettek részére.
69. A változásokat ellenőrizni és dokumentálni kell, ennek során a következő feladatokat kell elvégezni:
a) a jelentős változások azonosítása,
b) a felelős résztvevők megjelölése,
c) a változások lehetséges hatásainak felmérése (a biztonságra gyakorolt hatással együtt),
d) a tervezett változtatások jóváhagyási eljárásainak ellenőrzése,
e) az összes érintett értesítése a változások részleteiről,
f) a változtatás megszakításáért és az eredeti állapotba való visszaállításért felelős személy kijelölése.
16. A feladatkörök biztonsági szétválasztása
70. Az elektronikus információs rendszerek biztonsági beállításához fűződő tevékenységeket - a véletlen vagy szándékos visszaélések elkerülése érdekében - szét kell választani úgy, hogy azokat több személynek együttesen kelljen végrehajtania. A biztonsági ellenőrzés a végrehajtó szervezettől és a menedzsmenttől függetlenül működik.
71. Ha a szétválasztás megoldása aránytalan terhet jelentene a szervezetre, monitorozással, az eseménynaplók elemzésével és fokozott vezetői felügyelettel kell eljárni.
72. Az éles üzemben működtetett elektronikus információs rendszertől elkülönülten, külön-külön fejlesztői és tesztkörnyezetben kell a fejlesztési szabályok szerint a fejlesztéseket és a teszteléseket végezni.[27]
73. Fejlesztés alatt álló rendszerben éles üzemi tevékenységet folytatni nem lehet.
74. A fordító-, szerkesztő és egyéb segédprogram éles üzemi rendszerben csak az információbiztonsági felelős engedélyével tehető elérhetővé. Az információbiztonsági felelős ilyen engedélyt akkor adhat, ha ilyen program elérésére írásban igazolhatóan szükség van.
75. A fejlesztő rendszergazdai vagy adminisztrátori jogokkal az éles környezetben üzemeltetett elektronikus információs rendszerekbe csak a rendszergazda közreműködésével, felügyeletével naplózott módon léphet be.[28]
76. Az információbiztonsági felelős részére kiadott olvasási jogosultságok csak az munkaköri tevékenységével kapcsolatosan, jegyzőkönyvezve használhatók.
17. Kiszervezett üzemeltetési és adatfeldolgozási tevékenységek
77. A BM elektronikus információs rendszereinek üzemeltetésére, adatfeldolgozására külső személlyel, szervezettel kötött vállalkozási szerződés rögzíti a BM ellenőrzési jogosultságát, lehetőségeit, eszközeit és eljárásait. A szerződéskötés során figyelembe kell venni:
a) az alkalmazások és adatok érzékenységét, biztonsági osztályát,
b) a szükséges jóváhagyások beszerzését,
c) az üzletmenet-folytonossági (katasztrófa-elhárítási) tervekre gyakorolt hatását,
d) a vállalkozó által alkalmazandó biztonsági szabályokat és alkalmazásokat,
e) a biztonsággal, valamint az adatkezeléssel összefüggő tevékenységek hatékony nyomon követhetőségét,
f) a biztonsági eseményekre vonatkozó jelentéstételi kötelezettséget, illetve a kezelésükre vonatkozó feladatokat és eljárásokat.
18. Szoftverekhez kapcsolódó általános védelmi intézkedések, elektronikus információs rendszerek tervezése és átvétele
78. A megfelelő kapacitás és a szükséges erőforrások elérhetősége érdekében előzetes tervezést és előkészületeket kell végrehajtani. Ennek során a rendszer túlterheltségével járó kockázatok mérséklése érdekében fel kell mérni a várható kapacitásigényt, meg kell határozni az új rendszerek üzemeltetési követelményeit, a rendszer átvétele és üzembe helyezése előtt el kell végezni a követelmények dokumentálását, és le kell futtatni a szükséges teszteket.
79. A rendszer működtetéséhez, működéséhez szükséges adatfeldolgozó és adattároló kapacitásokról való gondoskodás során:
a) fel kell mérni, nyomon kell követni a várható kapacitásigényt,
b) figyelembe kell venni a környezet és a rendszer támasztotta igényeket,
c) nyomon kell követni a rendszer erőforrásainak - processzorok, központi tárolóegységek, adatállományok tárolására rendszeresített eszközök, nyomtatók és egyéb kimenetek, adatátviteli rendszerek - felhasználását, terhelését,
d) ki kell szűrni és meg kell szüntetni a rendszer biztonságát és a felhasználói szolgáltatásokat veszélyeztető szűk keresztmetszeteket, és meg kell tervezni a rendszer helyreállításához szükséges intézkedéseket.
80. Az elektronikus információs rendszerek átvétele során átadás-átvételi jegyzőkönyv készül, mely tartalmaz minden, az átvétellel kapcsolatos feladatot, kötelezettséget, dokumentációt, de legalább a következő dokumentumokat:
a) logikai rendszerterv, melynek tartalmi elemei a logikai felépítés, használati esetek és szerepkörök, szerepkörfunkció-összerendelés, folyamatok leírása, képernyőtervek, logikai adatmodell, adatfolyam ábrák, interfészek logikai specifikációja, határvédelem, mentési megoldás, adatmennyiségi és feldolgozási kapacitáskövetelmények, hibakezelés, installálás;
b) fizikai rendszerterv, melynek tartalmi elemei a szoftverkörnyezet, tervezési alapelvek, szoftverarchitektúra, szoftverkörnyezet-függőségek, a megoldás határai, folyamatok leírása, rendszerkomponensek, rendszerbiztonság, jogosultságkezelés és regisztráció, képernyőtervek, interfészek;
c) konfigurációs leírás, melynek tartalmi elemei a rendszerarchitektúra felépítése, rendszerelemek kapcsolatai, alapinfrastruktúra hardverei és szoftverei, hálózati felépítés, védelmi konfigurációs megoldások, hálózati szegmensek közötti forgalom átengedés konfigurációja, terheléselosztás, magas rendelkezésre állás, teszt és oktatási rendszer, mentési megoldás konfigurációja;
d) üzemeltetési kézikönyv, melynek tartalmi elemei a rendszer és egyes elemeinek telepítési leírása, mentési és helyreállítás, monitorozásfelügyelet-üzemeltetési feladatok, telephelyek közötti átkapcsolás, adminisztrátori funkciók, rendszerműködési követelmények, beállítások, hibajelenségek;
e) biztonsági rendszerek, alrendszerek dokumentációja, melynek tartalmi elemei a biztonsági funkciók leírása, azok installációja, aktiválása, leállítása és használata a fejlesztés, valamint az üzemeltetés során;
f) oktatási kézikönyv, melynek tartalmi elemei a felhasználói funkciók, adminisztrátori funkciók, biztonsági elvárások;
g) felhasználói kézikönyv, melynek tartalmi elemei a felhasználói funkciók, biztonsági elvárások.
81. Az elektronikus információs rendszerek átvételének feltétele az önálló jogi oltalomban részesíthető termék forráskódjának és a kapcsolódó dokumentációk rendelkezésre állása és átadása a BM számára vagy letétbe helyezése a BM számára hozzáférhetően az üzletmenet folytonosság biztosítása érdekében. A forráskód és kapcsolódó dokumentációk átadása vagy letétbehelyezése során meg kell győződni az átadott forráskód működőképességéről. Az átadott dokumentációk alapján a BM teszt környezetében a forráskódból elő kell állítani - a tesztkörnyezet korlátainak figyelembevételével - a felhasználói kézikönyvben meghatározott funkciókkal működőképes elektronikus információs rendszert.
19. Védelem a rosszindulatú programok ellen, vírus-ellenőrzési mechanizmus előírása
82. Törekedni kell arra, hogy megfelelő intézkedésekkel megakadályozzuk, illetve kiszűrjük a rosszindulatú programokat (vírusokkal fertőzött termékek, a hálózati férgek, trójai lovak, logikai bombák stb.).
83. A felhasználók számára a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője kötelező oktatást szervez a rosszindulatú és engedély nélküli programok alkalmazásával járó veszélyekről. A BM munkatársak felhasználói oktatása kitér a vírusvédelmi rendszer működésére is.[29]
84. A Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője gondoskodik a rosszindulatú programok kiszűrésére és megelőzésére alkalmas ellenőrző eszközök alkalmazásáról, beszerzéséről.[30]
85. A rosszindulatú programokkal szembeni védekezés része a szűrés és a programok bevezetése előtti ellenőrzés, a felhasználók tájékoztatása és oktatása, a hozzáférés-védelem, továbbá a változtatások felügyelete és ellenőrzése. Ennek során szükséges:
a) az olyan eszközök alkalmazása, melyek megkövetelik a jogtiszta programok használatát, és tiltják az engedély nélküli termékek alkalmazását,
b) a külső hálózatokból vagy azokon keresztül és egyéb adathordozókról telepített adatállományok és programok felhasználásával járó kockázat elhárításához szükséges intézkedések bevezetése,
c) a rosszindulatú programokat felismerő és megsemmisítő programok telepítése és rendszeres aktualizálása,
d) a kritikus folyamatokat támogató rendszerek adattartalmának és programjainak rendszeres vizsgálata,
e) a bizonytalan eredetű adatállományok ellenőrzése, vírusok kiszűrése,
f) az e-mail kiterjesztések, csatolt dokumentumok és letöltések használat előtti ellenőrzése,
g) a vírusokkal szembeni védelemre vonatkozó feladatok és eljárások meghatározása, alkalmazásuk oktatása, a vírustámadások naplózása és az eredeti állapot helyreállítása,
h) a megfelelő üzletmenet-folytonossági terv összeállítása, a szükséges adatállományok és programok back-up példányainak és a helyreállítás eljárásainak elkészítése,
i) a hamis vagy hamisított programra vonatkozó összes információ ellenőrzése, a figyelmeztető tájékoztató kiadványok folyamatos frissítése, meglétének ellenőrzése.
86. Az informatikai üzemeltetés értesíti a felhasználókat a rendszerhibát okozó lánclevelekről, illetve az illegális programok használatának veszélyeiről, továbbá folyamatosan figyelmezteti a felhasználókat a frissen megjelent fenyegetésekről. A felhasználót a gépén tárolt illegális programokért felelősségre kell vonni.
87. Központosított hálózati felhasználó adminisztrációt kell kialakítani - az egyenrangú hálózatokat fel kell számolni -a felhasználókat tartományba kell bejelentkeztetni.
20. Rendszergazdai tevékenységek
88. A rendszergazda a megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat készít, és azok betartását rendszeresen ellenőrzi.
89. A biztonsági mentéseket a háromgenerációs elv betartása mellett, lehetőség szerint külön telephelyen, de legalább a követelményeknek megfelelő külön helyiségben kell tárolni. Ennek részletes szabályait az üzletmenet-folytonossági terv határozza meg.
90. A mentések nyilvántartását a rendszergazda az előírásoknak megfelelően vezeti, és azok helyességét rendszeresen ellenőrzi.
91. Az időszakos (pl. negyedéves) mentéseket 1 évig, az archiválásokat a jogszabályokban meghatározott ideig, de legalább három évig visszakereshetően, helyreállíthatóan kell megőrizni.
92. Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy utólag megállapíthatóak legyenek az elektronikus információs rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Ellenőrizhetővé kell tenni a hozzáférések jogosultságát, megállapíthatóvá kell tenni a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.
93. Az elektronikus információs rendszer által naplózott rendszergazdai tevékenységek naplóit legalább 30 napig meg kell őrizni.
94. A BM infrastruktúrájában lévő rendszereknek képesnek kell lenniük minden egyes felhasználó vagy felhasználói csoport által végzett művelet szelektív regisztrálására, de legalább a következő események regisztrálására:
a) rendszerindítás, -leállás, -leállítás,
b) rendszerhiba és korrekciós intézkedés,
c) programindítás és -leállás, -leállítás,
d) az azonosítási és hitelesítési mechanizmus használata,
e) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,
f) az adatállományok és kimeneti adatok kezelésének visszaigazolása,
g) azonosítóval ellátott erőforrás létrehozása vagy törlése,
h) felhatalmazott személy azon művelete, amely a rendszer biztonságát érinti.
95. A BM infrastruktúrájában lévő elektronikus információs rendszer üzemeltetése során rendszergazdai naplót kell vezetni, amelyet az információbiztonsági felelős rendszeresen ellenőriz.
96. Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.
97. A rendszergazda az elektronikus információs rendszer üzemeltetéséről nyilvántartást vezet, amelyet az információbiztonsági felelős rendszeresen ellenőriz.
98. Az üzemzavarok elhárítása érdekében, a bejelentést követően a rendszergazda korrekciós intézkedést kezdeményez. A felhasználók által jelentett, az adatfeldolgozás vagy átviteli rendszerek működésében észlelt hibákat naplózni kell.
99. Az üzemzavar kezelése során a rendszergazda megvizsgálja a hibanaplót, ellenőrzi a hiba kezelését, elhárítását, megvizsgálja a korrekciós intézkedéseket, ellenőrzi ezek végrehajtásának és a kezdeményezett intézkedések engedélyezésének szabályosságát.
21. Hálózatmenedzsment
100. A hálózatmenedzsment célja a hálózatok adattartalma biztonságának és az infrastruktúra védelmének meghatározása, különös tekintettel a több szervezetet átfogó hálózatokra.
101. A BM közvetlen szervezeti és fizikai felügyeletén kívül eső kapcsolatok esetében kriptográfiai módszereket (kódolás, digitális aláírás, SSL/TSL, https stb.) kell használni. Az alkalmazandó kriptográfiai módszert az információbiztonsági felelős hagyja jóvá.
102. Gondoskodni kell olyan ellenőrző eszközökről, amelyek biztosítják a hálózatokban kezelt és továbbított adatok - a biztonsági osztálynak megfelelő - biztonságát, valamint a kapcsolt szolgáltatásokat megóvják az illetéktelen hozzáférésektől.
103. A hálózatok és a munkaállomások működtetésének feladatait szét kell választani.[31]
104. A nyilvános hálózatokon keresztül továbbított adatok és a kapcsolt rendszerek védelmére pótlólagos ellenőrző eszközöket kell alkalmazni.
105. A Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője meghatározza a hálózat határait, és gondoskodik a hálózat biztonságos szegmentálásának kialakításáról.[32]
106. Az elektronikus információs rendszerek dokumentációja biztonságilag érzékeny adatokat is tartalmazhat. Ilyen érzékeny adat lehet a felhasználás folyamatainak leírása, az eljárás, az adatszerkezetek vagy az engedélyezési folyamatok ismertetése.
107. Az illetéktelen hozzáférés megelőzése érdekében:
a) gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról;
b) minimálisra kell csökkenteni a rendszerdokumentációkhoz hozzáférők számát;
c) gondoskodni kell a nyilvános hálózaton keresztül elérhető vagy azon keresztül továbbított dokumentáció védelméről;
d) az elektronikus információs rendszer biztonságával kapcsolatos dokumentációt az elektronikus információs rendszer biztonsági osztályának megfelelő módon kell kezelni;
e) az elektronikus információs rendszer (vagy annak bármely elemének) dokumentációját változások menedzselésének keretében kell naprakészen tartani;
f) gondoskodni kell a változások menedzseléséről és a biztonságot érintő változások, változtatások naplózásáról;
g) a 2-5. biztonsági osztályba sorolt elektronikus információs rendszerekben feldolgozásra kerülő adatok és a hozzájuk kapcsolódó jogosultságok nyilvántartását elkülönítetten kell kezelni.
108. Vezeték nélküli hálózati hozzáférés jelszavát havi gyakorisággal kell módosítani a jelszavak összetettségére és kezelésére vonatkozó, e szabályzatban meghatározott szabályok figyelembevételével.
109. Vezeték nélküli hálózat és a BM vezetékes hálózata között átjárás nem lehetséges, a két hálózat között biztosítani kell a teljes szeparáltságot.
110. Vezeték nélküli hálózaton keresztül elektronikai információs rendszer elérése nem lehetséges, kivéve ha rendkívüli helyzetben az elérés szükségessége igazolható. Ilyen esetben az információbiztonsági felelős írásban engedélyezheti a hozzáférést.
22. Az elektronikus levelezés biztonsága
111. Az elektronikus levelezés biztonságának szabályozásakor a következő fenyegetettségeket kell figyelembe venni:
a) az üzenetek illetéktelen elérésének vagy módosításának vagy a szolgáltatás megtagadásának veszélye;
b) az emberi hibákból eredő veszélyeztető tényezők (pl. rossz címzés vagy irányítás);
c) az érzékeny adatok továbbításának lehetősége és ennek veszélyei;
d) a feladó- és címzetthitelesítési problémák és a levél átvételének bizonyítása;
e) a kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek;
f) a távolról bejelentkező felhasználó biztonsági problémái.
112. Az elektronikus levelezés biztonsági irányelvei:
a) a levelezőrendszer vírusvédelmét folyamatosan frissíteni kell, valamint követni kell az új mail vírusok megjelenését;
b) az elektronikus levelező eszközök, elsősorban a szerverek fizikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni az új szoftverfrissítések, service packok és security-patch fájlok megjelenését);
c) az elektronikus levelező rendszeren keresztül történő támadások esetén, ha a rendszer védelme átmenetileg nem biztosított - pl. olyan vírusfenyegetettség esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet - a belső hálózaton (intraneten) kívül eső elektronikus levélforgalom ideiglenes leállításáról az információbiztonsági felelős gondoskodik, és erről a BM munkatársakat tájékoztatja;
d) definiálni kell a felhasználók felelősségét;
e) az elektronikus üzenetek bizalmasságának és hitelességének védelme érdekében használt kriptográfiai eszköz vagy eljárás használatát az információbiztonsági felelős engedélyezheti;
f) a munkavégzésre irányuló jogviszony megszűnésekor archiválni kell, és a jogviszony megszűnésének napjától számított 30 napig meg kell őrizni minden olyan felhasználó elektronikus levelezését, akiknek munkaviszonya vagy a jogosultság alapját képező megbízása, szerződése megszűnt. Megőrizendők továbbá azok az elektronikus levelek, amelyek fegyelmi, büntető vagy polgári eljárások alapját képezhetik az eljárás befejezéséig;
g) a nem hitelesíthető, kétes forrásból származó üzeneteket ki kell vizsgálni, az elektronikus levelezés forgalmát - a technikai lehetőségek szerint - tartalmilag szűrni kell, a bizalmas adatok kiszivárgásának elkerülése érdekében, minden felhasználót fel kell világosítani arról, hogy a BM levelezőrendszerén tárolt és továbbított levelek, a BM tulajdonát képezik, ezért a BM szabályzatokban és utasításokban feljogosított ellenőrző szerveinek ezekhez az állományokhoz, a vizsgálathoz szükséges mértékig betekintési joga van;
h) a BM levelezőrendszere reklám, valamint egyéb üzleti célokra nem használható.
113. A levelezőrendszer elérése csak védett (hiteles és kódolt) csatornán (pl. https) keresztül valósítható meg. A hozzáférés csak jelszavas védelmen keresztül történhet. A felhasználó felügyeleti lehetőségein kívüli (például nyilvános, idegen tulajdonú) munkaállomások, terminálok használata esetén csak az ennek megfelelő üzemmódban szabad bejelentkezni.
114. (1) A BM elektronikus levelezési címjegyzéke nem szolgáltatható ki külső személynek.[33]
(2) A kormányzati igazgatási iratok kizárólag a @bm.gov.hu végű elektronikus levelezési címről, kizárólag a kormányzati elektronikus levelezési címekre továbbíthatóak. A kormányzati igazgatási iratok nem kormányzati elektronikus levelezési címre történő továbbítása szabályellenes, kivéve, ha azt kérelem alapján, indokolt esetben engedélyezi a szabályozási és koordinációs helyettes államtitkár, a Belbiztonsági Államtitkárság esetén a belbiztonsági államtitkár.[34]
23. Irodaautomatizálási rendszer
115. Az automatizált irodai rendszerek célja olyan komplex tevékenység elősegítése, amelyek egyaránt tartalmazzák a dokumentumok, hangok és képek elektronikus eszközökkel való előállítását, kezelését, tárolását, valamint továbbítását. Az automatizált irodai rendszerekben használt eszközök (asztali és mobil számítástechnika, hangátvitel, multimédia stb.) összekapcsolása során mérlegelni kell valamennyi, ebben az alcímben rögzített, egymással összefüggő biztonsági követelményt, ezen belül elsősorban a továbbított és felhasznált adatok sebezhetőségét, az érzékeny adatok védelmének a biztosítását (jogosultságok, hozzáférés, adatkezelés stb.).
116. Az adatgazda feladata az adatok minősítésük szerinti kezelése, a biztonsági osztályba sorolásnak megfelelő védelmi követelmények teljesítése, betartásuk ellenőrzése.
117. A biztonsági naplófájlokat a rendszer biztonsági osztályának megfelelő módon kell kezelni és kiértékelni. Az észlelt eltéréseket (hibás kezelés, jogosultság megsértése stb.) a szervezeti egység vezetője haladéktalanul kivizsgálja, és a vizsgálat eredményéről jegyzőkönyvet készít.
118. A biztonsági másolatokat, mentéseket a rendszerre előírt módon kell kezelni és tárolni.
119. Az irodaautomatizálási rendszer által kezelt adatbázisokat, használt eszközöket (szerverek, munkaállomások, adattárak, hálózatok) az illetéktelen fizikai hozzáférés ellen is védeni kell.
24. Nyilvános rendszerek használatának rendje
120. Nyilvános rendszerben (pl. egy Interneten keresztül elérhető webszerveren) a fokozott integritást igénylő számítástechnikai programok, adatok és egyéb információk védelméhez megfelelő eszközökre - pl. digitális aláírás alkalmazására - van szükség. Az elektronikus hirdető rendszereknél - különösen azoknál, amelyek lehetővé teszik a visszajelzést és az információ közvetlen beléptetését - megfelelő eszközökkel kell gondoskodni a következőkről:
a) az információ megszerzésének módja feleljen meg az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény rendelkezéseinek,
b) időben kerüljön sor a rendszerbe bekerülő információ pontos és hiánytalan feldolgozására,
c) az adatok kezelése (gyűjtés, tárolás, feldolgozás) során gondoskodni kell az adatok, valamint az elektronikus információs rendszerek védelméről,
d) a rendszerhez való külső hozzáférés ne tegye lehetővé az illetéktelen hozzáférést azokhoz a belső hálózatokhoz, amelyekhez a rendszer csatlakozik.
25. Az Internet használatának rendje
121. Az internet-szolgáltatás a felhasználói jogosultság része.
122. Az internetes hozzáférés igénybevételére csak munkaköri feladatok ellátása érdekében van lehetőség, a hozzáférést személyes célra igénybe venni nem lehet.
123. Az BM által üzemeltetett hálózaton keresztül internetes hozzáféréssel rendelkező felhasználók esetén az igénybevétel jogszerűségének ellenőrzésére a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály jogosult. Ha az ellenőrzés során nem indokolható internethasználatot észlel, erről soron kívül tájékoztatja az érintett felhasználót és az érintett felhasználó közvetlen vezetőjét.[35]
124. Ha az Informatikai Főosztály ismétlődően visszatérő és nyilvánvalóan indokolatlan internethasználatot észlel, felfüggesztheti a hozzáférési jogosultságot. A felfüggesztéssel egy időben ezen intézkedéséről soron kívül tájékoztatja az érintett felhasználót és a felhasználó közvetlen vezetőjét.
125. A 124. pontban foglalt tájékoztatás alapján a felhasználó közvetlen vezetője dönt az Internet igénybevételi lehetőségének megszüntetéséről, és erről soron kívül tájékoztatja a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjét.[36]
126. Az igénybevétel jogszerűségének vagy jogszerűtlenségének megállapítására irányuló eljárás során az érintettnek lehetőséget kell adni arra, hogy a szakmailag indokolatlannak tűnő internethasználat munkaköri feladatainak ellátásához szükséges voltát bizonyítsa.
127. A BM által biztosított e-mail cím csak a munkakör ellátásához kapcsolódó regisztrációs folyamatokhoz használható.
128. A Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály a BM hálózati infrastruktúráját és a folyamatos üzemmenetet veszélyeztető hálózati műveleteket korlátozhatja vagy letilthatja.[37]
129. Nem lehet a BM hálózati infrastruktúráját veszélyeztető oldalakat (felnőtt tartalmú, warez-, fájlcserélő weboldalak stb.) látogatni.
130. Azoknak a felhasználóknak, akiknek a munkaköréhez tartozóan indokolt a 129. pontban meghatározott oldalak látogatása, külön igény alapján a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály biztosítja a hozzáférés körülményeit.[38]
26. Új rendszerprogramok bevezetésének rendje
131. Új rendszerprogram akkor vezethető be, ha rendelkezik rendszertervvel, rendszerleírással, műszaki leírással, kapcsolódó eszközök leírásával, kezelői útmutatással és oktatói dokumentációval.
132. Az új rendszerprogram bevezetését a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője engedélyezi. Ennek érdekében az új rendszerprogram-tervezetet a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály véleményezi.[39]
133. A rendszer bevezetése és oktatása a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály közreműködésével hajtható végre.[40]
27. Adathordozókhoz kapcsolódó általános védelmi intézkedések
134. Az eszközök károsodásának megelőzése és a tevékenységben okozott fennakadás megakadályozása érdekében:
a) gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről;
b) meg kell előzni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek, kazetták stb.), az input/output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését;
c) szabályozni kell az adathordozók beszerzését, tárolását és kezelését;
d) biztosítani kell, hogy az adathordozók kezelése - a vonatkozó iratkezelési szabályok szellemében -a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos módon történjék. Az adathordozókról és azok tartalmáról nyilvántartást kell vezetni;
e) a BM-en kívüli adatforgalomban használt adathordozók előállítása, kiadása és fogadása dokumentált és ellenőrzött módon történhet. Az adathordozókat használatba venni csak az előírt ellenőrző eljárások (pl. vírusellenőrzés) elvégzése után szabad;
f) minden adathordozót újraalkalmazás előtt vagy selejtezés után az adatok megsemmisítését eredményező megfelelő eljárással törölni kell;
g) az adattípus (minősítés) felismerhető jelölését a számítástechnikai berendezéssel előállított adattároló és -megjelenítő eszközökön biztosítani kell;
h) az adatok sértetlen és hiteles állapotának megőrzését biztosítani kell;
i) az objektumot elhagyó adathordozón szereplő adatokat minden esetben titkosítási eljárással kell védeni.
135. Az iratkezelés által érintett adathordozókat biztonságos módon kell kezelni az iratkezelési szabályzat és a biztonsági szabályzat előírásainak megfelelően.
136. Az adathordozókat - azokat is, amelyek használaton kívül vannak - biztonságos helyen kell tárolni, vagy amennyiben munkaközi példányok, azokat vagy helyreállíthatatlanul törölni kell, vagy meg kell semmisítenie az adathordozó birtokosának, és arról jegyzőkönyvet kell készítenie az iratkezelési szabályzatnak megfelelően. Adathordozónak minősül:
a) a kinyomtatott dokumentum,
b) a hang- vagy egyéb adatrögzítés,
c) a kimeneti jelentés,
d) az egyszer használatos nyomtatószalag,
e) a mobil diszk és kazetta, mágnesszalag,
f) a CD, DVD vagy más tárolóeszköz (pendrive, rádiótelefon, memóriakártya stb.),
g) a programlista,
h) a tesztadat,
i) a rendszerdokumentáció.
137. Az érzékeny adatokat, mentéseket, archiválásokat tartalmazó adathordozók tárolása csak megbízhatóan zárt helyiségben, minimum 30 perces tűzállósági tároló szekrényben történhet.
138. Az adatok illetéktelen közzétételének, illetve felhasználásának megakadályozása érdekében szükségesek az adatkezelést szabályozó eljárások. Ezeknek az eljárásoknak - az adatok érzékenységének megfelelően - igazodniuk kell az előírásokhoz, szabályzatokhoz, számítástechnikai rendszerekhez, hálózatokhoz, a használt számítástechnikai eszközökhöz, távközlési, hangátviteli és multimédiás stb. rendszerekhez, levelezőrendszerhez, az informatikai szolgáltatásokhoz. Az adatkezelési eljárások előírása, meghatározása során a következőket kell figyelembe venni:
a) az összes adathordozó kezelése és címkézése,
b) az illetéktelen személyek kiszűrése, hozzáférésük megakadályozása,
c) a bemenő adatok teljeskörűségének, az adatfeldolgozás teljességének és a kimeneti adatok hitelességének és hitelesítésének ellenőrzése,
d) a be- és kimenő adatok védelme, a védettség mértékének az adatok érzékenységéhez való igazítása,
e) az adatok elosztásának szabályozása, ellenőrzése és korlátozása,
f) az adatok minősítési szintjét, kezelési jelzését kötelezően alkalmazni kell, és a változásokat automatikusan naplózni kell,
g) rendszeresen ellenőrizni kell az adatok minősítési szintjének alkalmazását,
h) a biztonsági naplófájlokat az arra feljogosított személynek a rendszer minősítésének megfelelő, meghatározott módon kell kezelnie, illetve kiértékelnie,
i) az észlelt eltéréseket (hibás kezelés, jogosultság megsértésének a kísérlete) haladéktalanul ki kell vizsgálni, és az eredményt jegyzőkönyvben kell rögzíteni. Ezért az adott szervezeti egység vezetője a felelős.
28. Adatok és programok átadása
139. A szervezetek között cserélt adatok és programok elvesztésének, módosításának és illetéktelen felhasználásának lehetőségét is meg kell akadályozni. Az adatok és a programok szervezetek közötti átadását, cseréjét ellenőrizni kell. Az adatátadásról és programátadásról való döntés előtt mérlegelni kell az elektronikus adatcsere, az elektronikus kereskedelem és az e-mail biztonsági kockázatát, annak következményeit és az ellenőrző eszközök alkalmazására vonatkozó követelményeket.
140. A BM más szervezettel adat- és programcserét kizárólag írásos nyilatkozat (szerződés, megállapodás stb.) alapján hajthat végre, amelyben utalni kell az érzékeny információk kezelésére is.
141. A csere biztonsági feltételeire vonatkozó megállapodásban meg kell határozni:
a) az adatátvitel, -feladás, -fogadás és -átvétel ellenőrzésének és bejelentésének eljárási szabályait,
b) az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait,
c) az adatvesztéssel kapcsolatos kötelezettséget és felelősséget,
d) az adatátvitel során a biztonságos (szükség esetén kódolt) környezet előírásait minden érintett félnél,
e) az érzékeny adatok védelméhez szükséges speciális eszközök igénybevételét (pl. kriptográfiai kulcsok).
142. A számítástechnikai adathordozó épületen kívüli szállítását a szervezeti egység vezetője rendelheti el. A szállítás során átadás-átvételi bizonylatot kell kitölteni. A szállítást - lehetőség szerint - több embernek kell végeznie, épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalon, lehetőség szerint nem tömegközlekedési eszközön. Épületen kívüli szállítás esetén megfelelő tárolóeszközt kell használni.
143. Elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor kerülni kell a nyilvánvalóan erős mágneses tér megközelítését (pl. nagyfeszültségű távvezetékek, transzformátorház stb.).
144. A számítástechnikai adathordozó szállítása során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni, az adathordozó nem hagyható őrizetlenül. Az adathordozót óvni kell a fizikai sérülésektől, de az adathordozón a minősítési szintet megváltoztathatatlanul kell feltüntetni.
145. Rendkívüli esemény esetén a szervezeti egység (a szállítást elrendelő) vezetőjét - szükség esetén a rendőrséget is -értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egy időben tájékoztatnia kell az információbiztonsági felelőst az eseményről és a megtett intézkedésekről.
146. Az elektronikus szolgáltatások biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére és nyilvános hálózat igénybevételére egyaránt sor kerül(het). A hatékony védelem megvalósítására integrált biztonsági rendszert kell kialakítani, melynek legfontosabb feladatai:
a) a hozzáférés egységes szabályozása és ellenőrzése,
b) az egységes azonosítás és hitelesítés (SSO),
c) az elektronikus aláírások kezelése, kódolás, kulcsmenedzsment (CA, PKI),
d) a biztonságos adattovábbítás,
e) a behatolási kísérletek figyelése (IDS),
f) a biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez,
g) az auditálhatóság.
147. Az elektronikus szolgáltató rendszerek hatékony védelmének kialakításához pontosan meg kell határozni a lehetséges fenyegetéseket, a potenciális veszélyeket és a várható támadási módszereket.
29. Az adatcsere egyéb formái
148. Megfelelő eljárásokkal és ellenőrző eszközökkel gondoskodni kell a távközlési és adatátviteli eszközökön keresztül kicserélt információk védelméről. Figyelembe kell venni azt az eshetőséget is, hogy a távközlési eszközökben bekövetkező üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a különböző információkhoz.
149. Tekintettel arra, hogy belső adatok nem hozhatók nyilvánosságra, a BM munkatárs az adatátviteli eszközök használata (különösen telefonbeszélgetések) során köteles ügyelni:
a) - különösen mobiltelefon használata során - a közvetlen környezetében tartózkodó emberekre;
b) a telefonbeszélgetések - a készülékek - lehallgatására és letapogató eszközök, vevőkészülékek alkalmazására;
c) a hívott félnél tartózkodó személyekre;
d) arra, hogy ne folytasson bizalmas telefonbeszélgetéseket nyilvános helyen vagy nyitott irodában;
e) arra, hogy ne tároljon feleslegesen üzenetet az üzenetrögzítő készülékeken, illetve nyilvános rendszereken, mert ezeket illetéktelen személyek visszajátszhatják, elolvashatják. Ezeket megismerés után le kell törölni, vagy biztonságos helyen kell tovább tárolni.
150. A faxgépek használata során a következőkre kell tekintettel lenni:
a) a dokumentumok és üzenetek - esetleges - téves számra való elküldése,
b) a gépek szándékos vagy véletlen programozása egy meghatározott címre szánt üzenetek továbbítására,
c) illetéktelen hozzáférés a beépített üzenettárolókhoz, az üzenetek visszakeresése és lehallgatása.
151. Az adathordozókkal kapcsolatos további szabályozásokat kell bevezetni a biztonsági szabályzatban az alábbi területeken:
a) biztonsági másolatok készítésének és tárolásának rendje,
b) munkamásolatok készítési és tárolási rendje,
c) titkosítási célra felhasználható adathordozók használata.
30. Elektronikus információs rendszerek dokumentációjára vonatkozó szabályok
152. Az elektronikus információs rendszerek (infrastruktúra, alkalmazások és a felhasználó által kifejlesztett alkalmazások) integrált biztonságát a biztonságpolitikai szempontok szerint kell kialakítani. A biztonság egyik feltétele az alkalmazást vagy szolgáltatást támogató folyamat megtervezése és megvalósítása. Az elektronikus információs rendszerek kifejlesztése előtt meg kell határozni és egyeztetni kell a biztonsági követelményeket az információbiztonsági felelőssel.
153. (1) Az elektronikus információs rendszer megbízható üzemeltetése érdekében a következőket kell elkészíteni:[41]
a) logikai és fizikai rendszerterv,
b) üzemeltetési kézikönyv,
c) konfigurációs leírás,
d) forráskód és kapcsolódó dokumentációk (csak az egyedileg fejlesztett elektronikai információs rendszerekre vonatkozóan),
e) üzembehelyezési jegyzőkönyv,
f) katasztrófa-elhárítási terv,
g) üzletmenet-folytonossági terv,
h) a biztonsági rendszerek, alrendszerek dokumentációja,
i) minden egyéb dokumentáció, melyet az információbiztonsági felelős egyedileg megkövetel a rendszerspecifikus információ biztonságára vonatkozóan.
(2) Az f) és a g) pontok szerinti igénymegfogalmazást az elektronikus információs rendszer tekintetében az adatkezelő az adatgazda bevonásával és az információbiztonsági felelős közreműködésével (az adatgazda igénye esetén) készíti el, melynek a végrehajtásához szükséges adaptív tervet, technológiai megoldást a fejlesztő készíti el és adja át az adatkezelőnek és az üzemeltetőnek.
154. Biztonsági rendszer, alrendszer dokumentációját csak az információbiztonsági felelős által erre feljogosított személyek kezelhetik.
155. Egy projekt követelményeinek meghatározása során meg kell határozni a biztonsági követelményeket. Ezeket a követelményeket és szükséges megoldásokat egy elektronikus információs rendszer fejlesztésének részeként kell megindokolni, egyeztetni és dokumentálni. A projektek során az informatikai biztonsági előírásokat kell érvényesíteni.
156. A BM informatikai beruházásainak előkészítésére vonatkozó utasításainak figyelembevételével - az informatikai biztonsággal kapcsolatban - legalább a következőknek kell szerepelni a dokumentum(ok)ban:
a) az elektronikus információs rendszer által kezelendő adatoknak az információvédelem és a megbízható működés szempontjából történő elemzése, a védelmi célkitűzések meghatározása,
b) az elektronikus információs rendszer érzékenysége,
c) a jogszabályokból és a belső szabályozásból eredő kötelezettségek bemutatása,
d) a fizikai és a logikai védelem rendszer szintű bemutatása,
e) a megvalósításhoz szükséges feltételrendszer meghatározása,
f) a biztonsági rendszer teljes költségének becslése, ennek összehasonlítása a lehetséges kockázatokkal, károkkal.
157. Az informatikai biztonsági fejezetnek a tervezési dokumentumban való megjelenítéséért a projektvezető, ha ilyen nincs, az előterjesztő a felelős.
158. A BM minden informatikai projekt előterjesztése tartalmazza a létrehozandó (fejlesztendő, átalakítandó) elektronikus információs rendszer fizikai, logikai és adminisztratív védelmi rendszerének - a projekt keretében történő - tervezési és megvalósítási lépéseit, költségeit, felelőseit. Az informatikai projekt költségvetésében szerepelnek a biztonsági rendszer tervezési és megvalósítási költségei. Ezen feltételek hiánya esetén informatikai projekt nem indítható el.
31. Biztonság a felhasználói rendszerekben
159. A felhasználói rendszerek integrált biztonsága kiterjed a rendszerekben tárolt felhasználói adatok illetéktelen hozzáférésének, módosításának, törlésének, nem megfelelő felhasználásának stb. megelőzésére. A rendszertervek összeállítása során mérlegelni kell a rendszerbe beépítendő automatikus ellenőrző eszközök, valamint a biztonságot támogató manuális ellenőrző eszközök szükségességét.
160. (1) A felhasználói rendszerek biztonsága érdekében a felhasználói rendszerekben - többek között a felhasználói igényeknek megfelelően kifejlesztett alkalmazásokban - meg kell tervezni a megfelelő ellenőrző eszközöket és eseménynaplókat, valamint a tevékenységek naplózását, melyeknek az alábbiakat kell tartalmazniuk:[42]
a) a bemenő adatok,
b) a belső adatfeldolgozás és
c) a kimenő adatok hitelesítését.
(2) A biztonsági intézkedéseket pontosan, minden részletre kiterjedően dokumentálni kell, az adatfeldolgozó rendszerekben bevitt adatokat hitelesíteni, ellenőrizni kell.
161. A bemenő adatok ellenőrzésének eszközei:
a) az ismételt adatbevitel és az ebből származó adat-karbantartási anomáliák elkerülésére írt eljárások,
b) időszakos adatmező- és adatállomány-vizsgálat, valamint a felvitt adatok hitelességének, valamint integritásának ellenőrzése és igazolása,
c) az adatbevitel alapját képező nyomtatott input dokumentumok ellenőrzése és ezek engedély nélküli módosításának megakadályozása, valamint az engedélyezés kikényszerítésére írt eljárások,
d) az adathitelesítési hibák kiküszöbölését elősegítő eljárások,
e) adatbevitel során, a mezőtípus-kompatibilitást biztosító és az adattartalom helyességét ellenőrző és kikényszerítő eljárások és függvények,
f) az alkalmazáshoz történő hozzáférés naplózása,
g) a feldolgozásban részt vevő BM munkatársak feladatkörének és felelősségének rögzítése a munkaköri leírásokban.
162. A pontosan és hiánytalanul bevitt adatok biztonságát, integritását a feldolgozás ideje alatt a következő intézkedésekkel kell szavatolni:
a) az adatfeldolgozás rendszerébe ellenőrzési, hitelesítési pontokat kell beépíteni, különös tekintettel az adatmódosító, adattörlő funkciók helyére,
b) az adatfeldolgozási hibák megelőzése érdekében hibadetektáló és a további rendszerfutást leállító eljárásokat kell beépíteni,
c) korrekciós programokat kell alkalmazni a feldolgozás során felmerülő hibák korrigálására,
d) a folyamatba épített ellenőrzés alkalmazása.
163. Az üzenethitelesítés, valamint az elektronikus aláírás kialakítása során:
a) az azonosítás és a hitelesítés keretében a hozzáférést jelszavakkal kell ellenőrizni,
b) a hitelesítést a felhasználó és a rendszer között egy, a felhasználó által megnyitott védett csatornán keresztül kell biztosítani.
164. Nyilvános kulcs infrastruktúra (Public Key Infrastructure: PKI) alkalmazása során a felelős vezető kialakítja a kötelezően alkalmazandó tanúsítványpolitikát (Certificate Policy, CP), és az információbiztonsági felelőssel egyezteti.
165. Az adatfeldolgozás rendszerében ellenőrizni, hitelesíteni kell a kimenő adatokat. Ennek során a kimenő adatok biztonsága érdekében a következő védelmi eljárásokat kell alkalmazni:
a) integritás-ellenőrzés,
b) az adattartalom meglétének, értékének ellenőrzése,
c) a megfelelő minősítés meglétének ellenőrzése,
d) a kimenő adatok értékelésében és hitelesítésében részt vevő BM munkatársak feladatainak és felelősségének meghatározása a munkaköri leírásokban.
166. Személyes (személynevet tartalmazó) azonosítójú e-mail cím a portálokon nem jelenhet meg.
167. Webes felületetek elérhetőségét kizárólag titkosított https csatornán szabad biztosítani.
168. A webes felületeken biztosítani kell a felhasználóazonosító adatok rejtettségét.
32. Adatokhoz kapcsolódó védelmi intézkedések, kriptográfiai eszközök
169. Olyan nyílt adatok esetében, ahol más védelmi eszközök nem nyújtanak kellő biztonságot, kriptográfiai eszközökkel és technikákkal (pl. digitális aláírás) kell gondoskodni az adatvédelemről.[43]
170. Az alkalmazható kriptográfiai eszközt vagy eljárást, valamint a kriptográfiai kulcsok hosszát az információbiztonsági felelős hagyja jóvá.
171. A kriptográfiai eszköz vagy a kódolási eljárás, algoritmus kiválasztása előtt kockázatelemzést kell végezni. Gondoskodni kell a kulcsok kezeléséről (kiadás, megszemélyesítés, visszavonás stb.), a felelősségi köröket, felelős személyeket előre meg kell meghatározni. Az oktatást és az engedélyezési eljárásokat az Információtechnológiai és Rejtjel Osztály folytatja le.[44]
172. Kriptográfiai rendszerekkel és technikákkal kell gondoskodni az adatok kódolásról, ha az adatokat illetéktelen személyek által is hozzáférhető helyen kell továbbítani vagy tárolni, valamint minden olyan esetben, ahol fennáll, hogy az adatok bizalmassága sérül.
173. Az elektronikus aláírás esetében ügyelni kell a magánkulcs bizalmas kezelésére.
174. Az elektronikus aláírás kulcsa és a kódolókulcs nem lehet azonos. Az elektronikus aláírás algoritmusát, valamint az alkalmazható kulcsok hosszát az információbiztonsági felelős hagyja jóvá.
175. A le nem tagadhatóság biztosítására automatikus, a felhasználó által nem befolyásolható rendszereket kell kialakítani.
176. A kulcsmenedzsmentet minden elektronikus aláírással, kódolással rendelkező rendszerben ki kell alakítani. Ennek során a hatályos jogszabályok mellett a PKI-ra vonatkozó nemzetközi szabályozást kell figyelembe venni.
177. A kriptográfiai kulcsok fizikai, valamint speciális vagy fokozott biztonságot igénylő esetben kódolással megvalósított logikai védelméről is gondoskodni kell. Szükség esetén a kulcs felek megosztásával kell biztosítani a kódoló kulcsok védelmét.
178. A kulcskezelési rendszer kialakításánál a következő szabványok, szempontok és módszerek egyeztetett rendszerét kell figyelembe venni:
a) kulcsgenerálási rendszer,
b) nyilvános kulcshitelesítési eljárások,
c) a felhasználói kulcsok eljuttatására, valamint az átvett kulcsok aktiválására vonatkozó módszerek,
d) kulcstárolási, illetve hozzáférési szabályok,
e) kulcsmódosítási, aktualizálási szabályok,
f) hamisított kulcsok kezelése,
g) kulcsvisszavonási szabályok (a kulcsok visszavonásának és használaton kívül helyezésének módja, többek között azokban az esetekben, amikor a kulcsokat hamisítják, vagy a kulcs tulajdonosa elhagyja a szervezetet),
h) kulcsok archiválási rendje,
i) elveszett kulcsok helyreállítási szabályai (az elveszett kulccsal kódolt állományok visszaállítása az üzletmenetfolytonossági terv része kell, hogy legyen),
j) kulcsok megsemmisítésének szabályai,
k) kulcskezelő rendszer eseménynaplózása.
179. A kulcshamisítás kockázatának csökkentése érdekében előzetesen meg kell határozni a kulcsok aktiválásának és visszavonásának dátumait. A kulcs élettartama függ a vélelmezett kockázat mértékétől.
180. A nyilvános kulcsokkal való esetleges visszaélések kockázatának csökkentése érdekében csak hitelesített nyilvános kulcsok használhatók a rendszerben.
181. A kriptográfiai szolgáltatók külső szállítóival, pl. egy hitelesítő hatósággal, csak olyan, a szolgáltatás mértékét meghatározó szerződés köthető, amely rendelkezik a felelősség kérdéséről.
182. Az e szabályzatban nem rendezett, titkosítással és rejtjelezéssel kapcsolatos feladatot, biztonsági kérdést külön szabályzatban kell rögzíteni.
33. Rendszerszintű adatállományok védelme
183. A rendszerszintű adatállományok védelme érdekében ellenőrizni és dokumentálni kell a védendő rendszeradatállományok elérését. A rendszer integritásának fenntartása annak a felhasználói funkciónak vagy fejlesztési csoportnak a feladata, amelyhez az alkalmazói rendszer vagy program tartozik.
184. Az elektronikus információs rendszerek által biztosított naplózási lehetőségeket be kell kapcsolni. A rendszergazda ezeket a naplókat rendszeresen ellenőrzi, az ellenőrzés eredményéről rendszeresen és szükség esetén időszakosan jelentést készít.
185. A fejlesztői, a teszt- és az éles rendszereket egymástól el kell választani.
186. A BM által fejlesztett, illetve alkalmazott programok forráskönyvtárát a programokba való illetéktelen beavatkozás lehetőségének korlátozása érdekében ellenőrzés alá kell vonni.
187. A program forráskönyvtárát lehetőség szerint az operációs rendszer állományaitól elkülönítve kell tárolni. Minden alkalmazás esetében ki kell jelölni egy olyan személyt, aki az alkalmazás forráskódjának biztonságáért felel. A program forráskönyvtáraihoz csak ezek a személyek férhetnek hozzá.
188. A program forráskönyvtárainak aktualizálását és a programforrások programozók számára való kibocsátását csak kijelölt személy végezheti, az alkalmazásért felelős vezető írásos engedélyével. A forráskönyvtár minden változásáról eseménynaplót kell vezetni.
189. A forrásprogramok korábbi verzióit archiválni kell. A program forráskönyvtárainak karbantartását és másolását a változtatásokra vonatkozó szigorú ellenőrzési eljárások alá kell vonni.
34. Informatikai biztonság a fejlesztési és a karbantartási folyamatokban
190. A fejlesztések csak az információbiztonsági felelős hozzájárulása után kezdhetők meg. A projekt- és a támogatási környezeteket szigorúan kell ellenőrizni.
191. Az alkalmazásokért felelős vezetők felelősek a projekt és a támogatás környezetének biztonságáért. Meg kell vizsgálniuk a rendszerben javasolt összes változtatást, és meg kell állapítaniuk, mennyiben befolyásolják ezek a rendszer vagy működési környezete biztonságát.
192. Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer fejlesztése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig teljesíteni kell.
193. Az elektronikus információs rendszer sérülékenységének minimalizálása érdekében a változtatásokat csak szigorú ellenőrzéseken keresztül lehet megvalósítani. A változtatás ellenőrzésének eljárását a Változásmenedzsment Szabályzatban kell szabályozni.
194. Az eljárással kapcsolatban a fejlesztési szabályokban:
a) szabályozni kell a változtatást végrehajtó személyek körét,
b) a szükséges módosítás érdekében az összes szoftver, információ, adatbázis és hardver azonosítását el kell végezni,
c) a munka elkezdése előtt részletes, formalizált elfogadási eljárásra van szükség,
d) biztosítani kell, hogy a megvalósítás során a belső folyamatok ne sérüljenek,
e) a rendszerdokumentációkban a változásokat át kell vezetni, és a régi dokumentációkat archiválni kell,
f) karban kell tartani a változásmenedzsment segítségével az összes szoftverfrissítést,
g) biztosítani kell minden változtatás ellenőrzését,
h) biztosítani kell, hogy - ha szükségesek - a változások az üzemi dokumentumokon is átvezetésre kerüljenek,
i) biztosítani kell, hogy a változtatások kellő időben kerüljenek megvalósításra.
195. Ha a külső vagy a belső tényezők szükségessé teszik az operációs rendszer változtatását, az operációs rendszer alapértelmezett átvizsgálása után az applikációs rendszert ellenőrizni és tesztelni kell annak biztosítása érdekében, hogy a változtatás a működőképességgel és a biztonsággal ne ütközzön. Éles rendszerbe történő beillesztés előtt a változásokat az alkalmazásokkal kell tesztelni.
196. A BM munkatárs munkavégzése során csak jogtiszta szoftvereket használhat.
197. A programfejlesztés külső személyekhez való kihelyezése esetén a BM adat- és információvédelmére vonatkozó szabályok és a Fejlesztési Szabályok figyelembevételével kell eljárni. Biztosítani kell a forrásprogramot, valamint a továbbfejlesztés lehetőségét a BM részére a fejlesztőtől függetlenül is. A fejlesztés során az üzemi rendszerekhez a külső személy részére távoli hozzáférés nem engedélyezhető. Biztosítani kell annak lehetőségét, hogy az információbiztonsági felelős a fejlesztési környezetben, az informatikai biztonsági szabályok betartását ellenőrizhesse.
35. Az adatokhoz kapcsolódó egyéb intézkedések
198. A BM elektronikus információs rendszereit használó felhasználókról adatnyilvántartást kell vezetni. A nyilvántartásnak a következő adatokat kell tartalmaznia:
a) felhasználó neve,
b) beosztási helye,
c) munkáltatója,
d) rendszerekhez való hozzáférési jogosultsága,
e) munkaállomásának műszaki paraméterei,
f) szolgálati adathordozójának nyilvántartási száma,
g) egyéb szolgálati információs eszközeinek listája és azok nyilvántartási számai,
h) ideiglenes engedélyeinek tárgya és lejárati ideje.
199. A BM elektronikus információs rendszereibe adatot csak az vihet be, dolgozhat fel, abból adatot csak az szolgáltathat, kiadványozhat, akit erre a vezetője feljogosított.
200. Adatok állandó és ideiglenes tárolásának előírásairól mentési és archiválási tervben kell rendelkezni.
36. Kommunikációhoz kapcsolódó védelmi intézkedések, azonosítás távoli kapcsolatnál, távdiagnosztikai portok védelme
201. A távoli felhasználók hozzáférését hitelesítéshez kell kötni. A kriptográfiai technikákra alapozott módszerek lehetővé teszik a felhasználók megbízható hitelesítését.
202. Kockázatelemzés alapján fel kell mérni a védelem szükséges mértékét annak érdekében, hogy kiválasztható legyen a hitelesítés megfelelő módszere.
203. A távoli felhasználók hitelesítése megoldható többek között kriptográfiai technikával, gépi jelzéssel vagy kérdés/ felelet protokollal. A csatlakozások forrásának ellenőrzése kiválasztott magánvonalakkal vagy hálózati felhasználói címek ellenőrzésére alkalmas eszközökkel is lehetséges.
204. A visszahívási eljárások és ellenőrző eszközök használata védelmet nyújthat a BM adatfeldolgozó eszközeihez való illetéktelen és nem kívánatos hozzáféréssel szemben. Az ilyen jellegű ellenőrzés hitelesíti azokat a felhasználókat, akik egy távoli helyről kívánnak kapcsolatot teremteni a BM hálózatával. A visszahívás folyamatának garanciákat kell tartalmaznia arra az esetre is, ha a BM oldalán valóban megtörténik a kapcsolat megszakítása, annak elkerülése érdekében, hogy a távoli felhasználó nyitva tartsa a vonalat, és szimulálja a visszahívás megtörténtét. Gondoskodni kell a visszahívási eljárások és ellenőrző eszközök vizsgálatáról is.
205. A felhasználói igények esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni. A felhasználókkal a szolgáltatások indítása vagy az azokkal történő kommunikáció megkezdése előtt végre kell hajtani a hitelesítési eljárást.
206. Az adott hálózati alrendszer hitelesítési mechanizmusa nem érintheti a hálózat többi alrendszerének hitelesítési rendszerét.
207. A felhasználó számára a hálózati erőforrások használatát a munkavégzéshez szükséges mértékben kell engedélyezni.
208. A megosztott erőforrások használata során gondoskodni kell róla, hogy azok csak azonosítás után legyenek elérhetők. Törekedni kell a munkaállomások megosztásának elkerülésére.
209. Biztosítani kell a fogadó oldalon a felhasználó azonosítás utáni visszahívásának (call back) lehetőségét.
210. Csak a kellően biztonságos környezetben, megfelelő módszerrel biztosított helyen lehet a távoli elérést biztosítani.
211. Távoli elérésre külön kezelt felhasználói csoportot kell kialakítani.
212. A valamely alkalmazáshoz való illetéktelen hozzáférés megakadályozása érdekében a számítástechnikai rendszerekhez való valamennyi távoli csatlakozást hitelesíteni kell.
213. Technikailag biztosítani kell, hogy csak a központilag nyilvántartott munkaállomásokról lehessen a rendszerekbe belépni. Egységes munkaállomásnév-használatot kell kialakítani a hálózatban lévő munkaállomások pontos azonosítása érdekében.
214. Az informatikai üzemeltetőnek gondoskodnia kell a diagnosztikai portok hozzáférésének biztonságos ellenőrzéséről. A megfelelő biztonsági mechanizmussal, többek között zárral vagy eljárással gondoskodni kell arról, hogy ezekhez csak az információbiztonsági felelős engedélye és a szerződés alapján lehessen hozzáférni.
215. A távdiagnosztikai szolgáltatással rendelkező eszközök esetén a menedzselést csak azonosító és jelszó együttes használatával szabad elérni.
216. Ahol távdiagnosztikai szolgáltatás nem kerülhet alkalmazásra, ott ezt a lehetőséget minden esetben le kell tiltani.
217. Távdiagnosztika és ellenőrzések során a hálózati működési funkciók ellenőrzésén túl minden egyéb ellenőrzés vagy funkció diagnosztikája, melyhez szükséges a távoli hozzáférés és ahhoz felhasználói belépés vagy helyszíni nem nevesített adminisztrátori belépés, a számítástechnikai eszköz felhasználójának engedélyével és hozzájárulásával történhet.
37. A hálózatok biztonsági szegmentálása
218. A hálózatok biztonságának ellenőrzése érdekében alkalmazott hálózatfelosztás kialakításának alkalmasnak kell lennie a két struktúrahálózat közötti forgalom szűrésére, valamint - a BM hozzáférést ellenőrző hatályos irányelveinek megfelelően - az illetéktelen hozzáférés megakadályozására.
219. A hálózatok elkülönítését a hozzáférés ellenőrzésére vonatkozó irányelvek és a hozzáférési igények alapján kell kialakítani; aminek során figyelembe kell venni a megfelelő hálózati útvonal-kiválasztási vagy kapuzási technológia tényleges és fajlagos költségeit és a teljesítményre gyakorolt hatását.
38. A hálózatra való csatlakozások és a hálózati útvonal kiválasztásának ellenőrzése
220. Az osztott hálózati munka, különösen a több szervezet által használt hálózat biztonsága érdekében a forgalomszűrő, -ellenőrző lehetőségeket, ha szükséges, a gateway és az operációs rendszeri beállításánál alkalmazni kell.
221. Korlátozó rendelkezéseket többek között a következő esetekben kell alkalmazni:
a) elektronikus levelezés,
b) egyirányú adatállomány mozgatása (pl. mentési rendszerek esetében),
c) adatállomány mozgatása mindkét irányban,
d) meghatározott időponthoz kötött hálózati hozzáférés.
222. A BM szervezetén túlterjedő hálózatoknál kötelező az útvonal-kiválasztást ellenőrző és vezérlő eszközök, módszerek alkalmazása. Ennek során
a) a rendszerdokumentációban pontosan meg kell adni az elérni kívánt eszközök címét, portszámát és egyéb, a biztonsági szűréshez szükséges adatokat,
b) az útvonalak kialakításáért az adatáviteli hálózatot biztosító szervezet (NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.) a felelős,
c) a beállításokat minden esetben tesztelni és jegyzőkönyvezni kell.
39. A hálózati szolgáltatások biztonsága
223. A rendszer telepítése során csak azokat a hálózati szolgáltatásokat lehet beépíteni a rendszerbe, melyekre az üzemeltetéshez feltétlenül szükség van. A rendszerüzemeltetőnek minden esetben fel kell mérnie, és minden részletre kiterjedően dokumentálnia kell az általa alkalmazott hálózati szolgáltatás egyedi egyedülálló, összetett biztonsági jellemzőit. Ha több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása a hálózatot üzemeltető szervezet feladata.
40. Az operációsrendszer-szintű és rendszerszoftverszintű hozzáférések ellenőrzése
224. Informatikai eszközök használata minden esetben azonosított felhasználói hozzáféréssel történhet, amelyről naplót kell vezetni.
225. A BM munkatárs kizárólag a saját nevében férhet az informatikai eszközökhöz, ami alól kivételt képeznek azok a funkciók, melyek a gyártó által dokumentáltan nem végezhetőek el, csak a beépített magas szintű adminisztrátori jogosultsággal (administrator, sys, system, root stb.) rendelkező technikai felhasználó nevében.
226. A gyártók által beépített felhasználókat telepítéskor meg kell szüntetni, azokat munkavégzés céljából használni nem lehet. A 225. pontban foglalt kivétel esetében a kiemelt technikai felhasználókhoz tartozó jelszavakat a négyszem-elv alapján kell generálni, pecséttel és aláírással lezárt borítékokban kell tárolni. A borítékokat az Információtechnológiai és Rejtjel Osztály páncélszekrényben őrzi. A borítékok felbontását az osztályvezető engedélyezi, és erről az információbiztonsági felelőst értesíti. A boríték felbontása és a jelszó felhasználása után a jelszavakat újra kell generálni négyszem-elv alkalmazásával. A borítékban tárolt jelszavakat évente legalább egyszer meg kell változtatni.[45]
227. Az informatikai eszközök illetéktelen elérésének megakadályozása érdekében az operációs rendszer szintjén rendelkezésre álló biztonsági lehetőségeket is fel kell használni a számítástechnikai erőforrásokhoz való hozzáférés korlátozásához. Ezeknek a következőket kell lehetővé tenniük:
a) az engedéllyel rendelkező felhasználó személyének azonosítása és hitelesítése, szükség esetén a terminál vagy hely azonosítása,
b) a sikeres és az eredménytelen hozzáférési kísérletek rögzítése,
c) megfelelő hitelesítési eszközök és - jelszókezelő rendszer használata esetén - minőségi jelszavak biztosítása,
d) adott esetben a felhasználók csatlakozási idejének korlátozása.
228. Ha a kockázatok alapján ez indokolt, más hozzáférést vezérlő módszerek (pl. ujjlenyomat azonosító eszközök, chipkártya, kérdés-felelet) is alkalmazhatók.
229. A terminál automatikus azonosítása kötelező, ha indokolt, hogy egy munkát vagy tranzakciót csak egy adott terminálról lehessen kezdeményezni.
230. A számítógéprendszerbe való bejelentkezési folyamatnak minimumra kell csökkentenie az illetéktelen hozzáférés lehetőségét. Ennek során csak a bejelentkezés eredményes befejezése után jelenhet meg a használni kívánt rendszerre vonatkozó adat, azonosító stb.
231. A bejelentkezés elfogadására vagy elvetésére csupán az összes szükséges adat megadása után kerülhet sor, sikertelenség esetén a rendszer nem jelölheti meg a hibás, elrontott azonosítót, jelszót.
232. Korlátozni kell az eredménytelen bejelentkezési kísérletek számát, rögzíteni kell az eredménytelen kísérleteket, időtúllépés esetén meg kell szüntetni az adatátviteli kapcsolatot.
233. Biztonságos bejelentkezési folyamatot kell kialakítani, amelynek során:
a) az azonosítás és hitelesítés keretében a hozzáférési jogosultságot jelszavakkal kell ellenőrizni. A jelszómenedzselést úgy kell biztosítani, hogy a jelszó ne juthasson illetéktelenek tudomására, ne legyen megkerülhető, illetve könnyen megfejthető;
b) a felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas kell hogy legyen;
c) a munkakör megváltozásakor a felhasználók közvetlen felettesének a felhasználók hozzáférési jogosultságait felül kell vizsgálnia, és szükség esetén intézkednie kell a jogosultságok módosítása iránt;[46]
d) biztosítani kell a felhasználói azonosítók időszakos vagy végleges letiltásának lehetőségét;
e) a rendszerhozzáférés szempontjából meghatározó erőforrásaihoz (pl. fájlok, tároló területek, berendezések stb.) olyan egyedi azonosítókat kell rendelni, amelyek a hozzáférési jogosultság meghatározásának alapjául szolgálnak.
234. Mindazon operációs rendszerelemeket, segédprogramokat, amelyek a munkavégzéshez nem szükségesek, nem kell telepíteni, vagy ha ez elkerülhetetlen, úgy el kell távolítani azokat a rendszerből. Ha ilyen rendszerelemek, segédprogramok használatára szükség van, azt jogosultságokhoz, felhasználókhoz kell kötni.
235. A 3-5. biztonsági osztályba tartozó, különösen fontos munkaállomásokat és a nagy kockázatú rendszereit kiszolgáló inaktív terminálokat az inaktivitás kezdetétől számítva legfeljebb 30 perc elteltével ki kell kapcsolni illetéktelen személyek hozzáférésének megakadályozása érdekében. Ennek a funkciónak az inaktív időkorlát elteltével automatikus mentést kell végrehajtania, le kell zárnia a képernyőn nyitott ablakokat, be kell zárnia a futó alkalmazásokat, és meg kell szüntetnie a hálózati kapcsolatokat.
236. Az alkalmazott időkorlátnak, valamint a zárolás szintjének meg kell felelnie a rendszer biztonsági osztályának.
237. Biztonsági szempontból kiemelten fontos helyeken a kapcsolatok idejére időkorlátokat kell bevezetni (pl. internetes szolgáltatások), ami az illetéktelen hozzáférés lehetőségeit és kockázatát csökkenti.
41. Alkalmazásszintű hozzáférések vezérlése
238. Munkavégzés kizárólag azonosított felhasználó nevében történhet, amit az alkalmazásoknak naplózniuk kell.
239. Az illetéktelen hozzáférés megakadályozására a felhasználói rendszereken belül biztonsági eszközöket is kell alkalmazni.
240. A programok és az adatok logikai hozzáférését minden esetben az engedéllyel rendelkező felhasználókra kell korlátozni. A felhasználói rendszernek nem szabad befolyásolnia olyan más rendszerek biztonságát, amelyekkel az adott rendszer megosztva használ különböző informatikai erőforrásokat. A felhasználói rendszerekben:
a) a mindenkori hatályos hozzáférési irányelveknek megfelelően ellenőrizni kell az adatokhoz és a felhasználói rendszer funkcióihoz való felhasználói hozzáférést;
b) védelmet kell nyújtani az illetéktelen hozzáféréssel szemben minden segédprogram és operációs rendszerprogram számára ott, ahol meg lehet kerülni a rendszer vagy az alkalmazás ellenőrző eszközeit.
241. Abban az esetben, ha azt a kialakított rendszer sajátossága szükségessé teszi, az alkalmazás szintjén is szabályozni kell az adatelérést (pl. megfelelő menük alkalmazásával, a dokumentációhoz és a rendszerfunkciókhoz való hozzáférés szelektívvé tételével stb.).
42. A biztonsági monitoringrendszer használata
242. Az illetéktelen hozzáférések, a tiltott tevékenységek kiszűrése érdekében:
a) figyelemmel kell kísérni a hozzáférési irányelvektől való eltéréseket, és naplózni kell a megfigyelhető eseményeket, hogy adott esetben bizonyítékul szolgáljanak a biztonsági események kivizsgálásához, és segítséget nyújtsanak a jelen szabályzat aktualizálásához,
b) a rendszer nyomon követése tegye lehetővé az ellenőrző eszközök hatékonyságának ellenőrzését és egy, a hozzáférési irányelveknek való megfelelés hitelesítését,
c) a biztonsági monitoringrendszert csak az arra feljogosítottak használhatják, és tevékenységüket naplózni kell.
243. A kivételes és a biztonságot fenyegető eseményeket eseménynaplóba kell bejegyezni, és azt a hozzáférés nyomon követhetősége érdekében meg kell őrizni.
244. Az elszámoltathatóság és auditálhatóság biztosítása érdekében a naplózási rendszert úgy kell kialakítani, hogy abból utólag megállapíthatóak legyenek az elektronikus információs rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Ezáltal ellenőrizni lehet a hozzáférések jogosultságát, meg lehet állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy kísérletét.
245. A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet egyedi regisztrálására, ennek érdekében a következő eseményeket naplózni kell:
a) rendszerindítás, -leállítás,
b) rendszeróra-állítás,
c) be- és kijelentkezés,
d) programleállás,
e) az azonosítási és a hitelesítési mechanizmus használata,
f) hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,
g) azonosítóval ellátott erőforrás létrehozása vagy törlése,
h) felhatalmazott személy műveletei, amelyek a rendszer biztonságát érintik.
246. A biztonsági naplóban az egyes eseményekhez kapcsolódóan a következő adatokat is rögzíteni kell:
a) a felhasználó azonosítása és hitelesítése esetén:
aa) dátum,
ab) időpont,
ac) a felhasználó azonosítója,
ad) az eszköz (pl. terminál) azonosítója, amelyről az azonosítási és hitelesítési művelet kezdeményezése történt,
ae) a hozzáférési művelet eredményessége vagy sikertelensége;
b) az olyan erőforráson kezdeményezett hozzáférési művelet esetén, amelynél a hozzáférési jogok ellenőrzése kötelező:
ba) dátum,
bb) időpont,
bc) a felhasználó azonosítója,
bd) az erőforrás azonosítója,
be) a hozzáférési kezdeményezés típusa,
bf) a hozzáférés eredményessége vagy sikertelensége;
c) az olyan erőforrás létrehozása vagy törlése esetén, amelynél az ehhez fűződő jogok ellenőrzése kötelező:
ca) dátum,
cb) időpont,
cc) a felhasználó azonosítója,
cd) az erőforrás azonosítója,
ce) a kezdeményezés típusa,
cf) a művelet eredményessége vagy sikertelensége;
d) a felhatalmazott felhasználók (pl. rendszeradminisztrátorok) olyan műveletei esetén, amelyek a rendszer biztonságát érintik:
da) dátum,
db) időpont,
dc) a műveletet végző azonosítója,
dd) az erőforrás azonosítója, amelyre a művelet vonatkozik,
de) a művelet eredményessége vagy sikertelensége.
247. A naplófájlok tartalmát megadott időintervallum alapján, képernyőn és nyomtatón is meg kell tudni jeleníteni. Archiválás előtt a naplóállományokat nem lehet megsemmisíteni, felülírni, módosítani.
248. Azoknál a rendszereknél, ahol lehetőség nyílik rá, a naplóállományoknak kódoltaknak, ellenőrző összeggel ellátottaknak kell lenniük. A hibás bejelentkezési kísérletek számát rögzíteni kell.
249. A rendszergazdának nyilvántartást kell vezetnie az egyes alkalmazásokhoz hozzáféréssel rendelkező felhasználói csoportokról és a jogosultságáról, illetve arról, hogy egy adott felhasználói csoport melyik alkalmazáshoz és milyen jogosultsággal férhet hozzá. Nyilván kell tartani a jelszócsere dátumát.
250. A biztonsági napló adatait rendszeresen, de legalább havonta egy alkalommal ellenőrizni és archiválni kell. A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegyzőkönyvezni, melyek azok az események, amelyek szankciókat vonnak maguk után, és mik ezek a szankciók. A biztonsági naplók alapján felvett jegyzőkönyveket archiválni kell, és ennek során a megőrzési határidőket meg kell határozni. A biztonsági eseménynapló (naplófájl) és a jegyzőkönyvek adatait védeni kell az illetéktelen hozzáféréstől.
251. A biztonsági eseménynapló-fájlok vizsgálatához és karbantartásához a rendszernek megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie. Ezen eszközök állapotának regisztrálhatónak és dokumentálhatónak kell lennie. A rendszerben a biztonsági eseménynapló-fájlok auditálásához szükséges eszközöknek lehetővé kell tenniük egy vagy több felhasználó tevékenységének szelektív vizsgálatát.
252. Ki kell alakítani a biztonság belső ellenőrzésének rendszerét, amely során meg kell határozni a felügyeleti és megelőzési tevékenységek eljárásrendjét.
253. A felhasználók által elvégzett tevékenységeket - az ellenőrizhetőség érdekében - rögzíteni és naplózni kell az e szabályzatban foglaltaknak megfelelően.
254. Az elektronikus információs rendszer üzemeltetéséről (a biztonsági napló mellett) üzemeltetési naplót kell vezetni, amelyet az adott elektronikus információs rendszer üzemeltetéséért felelős szervezeti egység felelős vezetőjének és az információbiztonsági felelősnek rendszeresen ellenőriznie kell.
255. Az elektronikus információs rendszer üzemeltetéséről nyilvántartást (adatkérések, adatszolgáltatások, feldolgozások stb.) kell vezetni, amelyet az elektronikus információs rendszer üzemeltetéséért felelős szervezeti egység vezetőjének rendszeresen ellenőriznie kell.
256. Kiemelt figyelmet kell fordítani az operációs rendszer és alkalmazás dokumentációjának figyelembevételével a rendszerdátum és rendszeridő beállítására.
43. Mobil informatikai tevékenység, távmunka
257. Mobil informatikai eszközökön - az elektronikus levelezéshez való hozzáférésen kívül - távoli hozzáféréssel végzett munka kizárólag a 47. pontban leírtak szerint engedélyezhető.
258. A mobil informatikai eszközön, illetve a távoli hozzáféréssel végzett munka esetén is meg kell teremteni az informatikai biztonságot. A szükséges védelemnek összhangban kell lennie a munkavégzés kockázataival. Mobil számítástechnikai eszközök használata során mérlegelni kell egyrészt a nem védett környezetben való munkavégzés kockázatait, másrészt a védekezés szükséges módját és eszközeit. A mobil számítástechnikai eszközökön gondoskodni kell a kódolt adattárolásról és adatátvitelről. Távmunka, távoli hozzáférés esetén a BM érintett szervezeti egységeinek gondoskodniuk kell a biztonságos adatkapcsolat létrehozásáról, a kapcsolatot tartó hely védelméről.
259. A mobil informatikai eszközök nem hagyhatóak felügyelet nélkül, ha nem biztosítható azok előírt védelme. Ki kell alakítani a mobil informatikai eszközök megfelelő fizikai védelmét, és a kommunikációhoz védett csatornáról kell gondoskodni. Vírus- és behatolásvédelmi eszközöket kell biztosítani a mobil eszközökre. Fokozott figyelmet kell fordítani a mobil eszközökön tárolt adatok bizalmasságának védelmére. A távoli elérésre vonatkozó szabályokat a mobil informatikai eszközökre is alkalmazni kell.
260. Kivételes esetekben a 47. pontban leírt távoli hozzáféréssel végzett munka esetén is gondoskodni kell a biztonsági követelmények és előírások betartásáról, valamint a megfelelő és rendszeres ellenőrzésről. A távmunkához használt informatikai eszközök tekintetében gondoskodni kell arról, hogy a munkavégzéshez szükséges mértékben és időben szabad adatokat tárolni, és gondoskodni kell a tárolt adatok titkosításáról. Az informatikai eszközökhöz való hozzáférést és az adatokhoz való hozzáférést korlátozni kell a munkavégző jogosultságainak megfelelően a minimálisan szükséges jogokra.
44. Személyekhez kapcsolódó védelmi intézkedések (hozzáférés-menedzsment, irányelvek és követelmények)
261. Az adatok és folyamatok elérését a biztonsági követelmények alapján kell ellenőrizni. Ennek során meghatározásra kerültek az adatok elérésére, terjesztésére és engedélyezésére vonatkozó általános irányelvek.
262. Minden elektronikus információs rendszer hozzáférési rendszerét a megvalósítási projekt során a biztonsági osztálynak megfelelő követelményszinten kell megtervezni. Ebben pontos tartalmat kapnak a munkakörök, az objektumok és a hozzáférési módok, melyek meghatározásához a következőket kell figyelembe venni:
a) az egyes alkalmazások biztonsági követelményeit,
b) az alkalmazásokra vonatkozó összes információ azonosítását,
c) az információk terjesztésére és engedélyezésére vonatkozó irányelveket, azaz a "need-to-know" elvet (a szükséges tudás elvét), a biztonsági szinteket és az adatminősítés alkalmazását,
d) különböző rendszerek és hálózatok hozzáférés-ellenőrző eszközeit és az információ minősítésére vonatkozó irányelvek közötti összhang megteremtését,
e) az adatok és szolgáltatások elérésének védelmére vonatkozó törvényi rendelkezéseket, szabályzatokat és a szerződésekben rögzített szabályokat,
f) azonos köztisztviselői csoportokra vonatkozó egységes irányelveket,
g) hozzáférési jogok kezelését a kapcsolatok összes típusát felismerő osztott és hálózatba szervezett környezetben.
45. A hozzáférés ellenőrzésének szabályai
263. A szabad belátás elve szerint kialakított hozzáférés-vezérlésnél a felhasználóknak az adatállományokhoz fűződő jogosultságai egyedi elbírálás alapján személyenként vagy csoportonként kerülnek meghatározásra.
264. Az előre meghatározott munkakörök és rendszerek szerinti szerepkörök szerinti hozzáférési jogosultság vezérlés esetében az előre meghatározott felhasználói szerepkörökhöz, valamint az elektronikus információs rendszer adatállományaihoz és erőforrásaihoz biztonsági címkéket kell hozzárendelni, amelyek tartalmát (adatcsoportok, adatvédelmi szintek, hozzáférési jogok) előre meghatározott módon kell kialakítani. Az egyes felhasználók eltérő szerepkörbe sorolhatók, és megkapják a szerepkörhöz rendelt jogokat. A hozzáférés jogosságának elbírálása az adott szerepkör és a hozzáférésre megcélzott adatállomány, erőforrás biztonsági címkéinek összehasonlításával történik. A szerepkör szerint meghatározott hozzáférés-jogosultság kiosztás használata a 2-5. biztonsági osztályokban kötelező.
265. Mindegyik elektronikus információs rendszernél a szerepköröket és azok funkciótartalmát meg kell határozni.
266. Az egyes felhasználók szerepkörökhöz rendeléséhez, annak megszüntetéséhez az információbiztonsági felelős jóváhagyása szükséges.
267. A standard munkakörök az elektronikus információs rendszerek védelmi rendszerterveiben nyernek konkrét értelmezést, és szükség esetén további részszerepkörökre bonthatók.
268. Az elektronikus információs rendszerrel dolgozó minden BM munkatárs a védelmi rendszertervben konkrétan meghatározott szerepkörbe sorolandó, és örökli a szerepkörre meghatározott hozzáférési jogokat.
269. A szerepköröktől történő eltérést a tervezés során a projekt vezetőjének, az üzemeltetés során az információbiztonsági felelősnek kell meghatároznia és jóváhagyatnia az adatgazdával.
270. Új rendszerek bevezetésekor a Single Sign-On (SSO) módszer alkalmazására kell törekedni.
46. A felhasználói hozzáférés menedzsmentje
271. Az információs rendszerek illetéktelen elérésének megakadályozása érdekében megfelelő hozzáférési rendszert kell kialakítani. Hozzáférési jogosultság csak írásban kérhető.
272. Minden szerepkör feljogosít meghatározott fizikai, illetve logikai biztonsági tartományba (pl. szerverszoba, gépterem, archiváló helyiség, illetve adott alkalmazás, hálózati szegmens, munkahelyi állomás stb.) történő belépésre és abban az engedélyezett fizikai, logikai objektumokhoz való hozzáférésre az engedélyezett hozzáférési jogokkal.
273. Eljárásokkal kell szabályozni az információs rendszerekre és szolgáltatásokra vonatkozó hozzáférési jogok kiosztásának ellenőrzését.
274. Az eljárásoknak ki kell terjedniük a felhasználói hozzáférés életciklusának minden egyes szakaszára, az új felhasználók kezdeti bejelentkezésétől az olyan felhasználók kijelentkezéséig, akik többé már nem igénylik (nem igényelhetik) az információs rendszerek és szolgáltatások elérését. Külön figyelmet érdemel az elsőbbségi hozzáférési jogok kiosztása, melyek lehetővé teszik, hogy egyes felhasználók megkerüljék a rendszer ellenőrző eszközeit.
275. Olyan be- és kijelentkezési eljárást kell működtetni, amely alapján mindegyik többfelhasználós rendszerben és szolgáltatásnál szabályozni lehet a felhasználók hozzáférését.
276. A felhasználóazonosító az elektronikus információs rendszert használó identitásának egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas megjelenítése kell, hogy legyen az elektronikus információs rendszerben, nem adható ki különböző felhasználók részére megegyező azonosító. Az egyedi felhasználói azonosítót a hozzáférés szabályozására, az adatok és az információk védelmére, valamint a hitelesítés támogatására kell felhasználni. Biztosítani kell, hogy a felhasználó azonosítója az egyes erőforrásokhoz, folyamatokhoz és az adatokhoz való hozzáférést megfelelően szabályozza (korlátozza), és követhető, ugyanakkor a biztonsági funkciók működése során ellenőrizhető legyen a biztonsági rendszer által.
277. A felhasználói azonosítók képzésére központi névkonvenciós szabályzatot kell készíteni. A felhasználói azonosítók képzését a BM-en belül egy helyen kell végrehajtani.
278. A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) naplózni kell.
279. Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör ellátásához szükséges minimális funkcióelérést biztosíthatják.
280. A BM munkatárs vagy arra jogosult külső személy - ha munkaköre, beosztása alapján az elektronikus információs rendszer szolgáltatásait igénybe veheti - munkába állása és az igénylőlap befogadása után kapja meg felhasználói azonosítóját. A BM munkatárs vezetője a munkába lépés előtt legalább 3 munkanappal megigényli a felhasználói azonosítót a hozzáférési jogosultságok megjelölésével. Más azonosítója átmenetileg sem használható. A kapott felhasználói azonosítót a BM munkatárs haladéktalanul érvényesíti.
281. A BM munkatárs felhasználói azonosítóját munkaviszonya megszűnésével, a külső személy felhasználói azonosítóját megbízatása lejárta után haladéktalanul le kell tiltani. A megszűnt munkaviszonyú felhasználó a rendszer szolgáltatásait nem veheti igénybe, és erőforrásait nem használhatja.
282. A jogviszonyát huzamos ideig szüneteltető vagy tartósan távollévő BM munkatárs felhasználói azonosítóját le kell tiltani, majd újra munkába állásával egy időben ismét engedélyezni kell. Ennek időpontjáról a BM munkatárs vezetője írásban tájékoztatja a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztályt.[47]
283. A kormánytisztviselők áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók letiltása vagy a jogosultságok törlése, illetve új azonosítók vagy jogosultságok létrehozása) az áthelyezéssel egy időben, haladéktalanul át kell vezetni.
284. A BM valamely rendszerének használatára jogosult külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. egy adott projekt keretein belül érvényes) felhasználói azonosítót kaphat, amely szerkezetileg megfelel a BM munkatársak azonosítójának, de egyértelműen és könnyen megállapítható, hogy az adott felhasználói azonosító külső személyé.
285. Azokban a rendszerekben, amelyek regisztrálják a felhasználó utolsó bejelentkezésének időpontját, ha egy felhasználói azonosító 30 napot meghaladóan inaktívnak bizonyul (azaz a felhasználó a rendszer szolgáltatásait ez idő alatt egyszer sem vette igénybe), azonosítóját le kell tiltani, és erről a BM munkatárs vezetőjét értesíteni szükséges, megjelölve az érvénytelenítés okát.
47. A felhasználói jogosultságok kezelése
286. Biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága munkakörüknek megfelelő legyen.
287. A BM elektronikus információs rendszeréhez való hozzáférési jog megadása csak jogosultság-igénylés/visszavonás lap szabályos kitöltése után lehetséges. A jogosultság-igénylés/visszavonás lapokat az informatikai üzemeltető őrzi meg és tartja karban.
288. A hozzáférés-jogosultság vezérlésére a szerepkör szerinti hozzáférés elvét kell alkalmazni, vagyis az elektronikus információs rendszereknek alkalmasnak kell lenniük a hozzáférési jogok csoportszinten való megkülönböztetésére és szabályozására. Kivételes esetekben a hozzáférési jogok egyedileg is hozzárendelhetőek felhasználókhoz.
289. Az egyes alkalmazások adatgazdája az alkalmazásokhoz tartozó felhasználóijogosultságokat rendszeres időközönként felülvizsgálja, és a felülvizsgálat eredményét dokumentálja.
290. Az információbiztonsági felelős az alkalmazásokhoz tartozó felhasználói jogok felülvizsgálatát szúrópróbaszerűen ellenőrzi, az ellenőrzés eredményét dokumentálja.
291. A kiemelt jogosultsággal rendelkező felhasználók esetében az információbiztonsági felelős rendszeresen ellenőrzi, hogy ilyen jogokkal csak egyedileg azonosítható felhasználók, csoportok és eszközök rendelkezhessenek.
292. A munkakörök változását a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály Információtechnológiai és Rejtjel Osztálya felé jelezni kell a jogosultság-igénylés/visszavonás lapon, ha a változás a hozzáférési jogosultságokat is érinti.[48]
293. Minden alkalmazásnak rendelkeznie kell jogosultság-igénylés/visszavonás lappal a rá vonatkozó szerepkörök figyelembevételével.
294. A jogosultságok beállítása alkalmazásszintű felelősség. Minden alkalmazás esetén az adatgazda határozza meg és jelöli ki a jogosultságok beállításáért felelős személyt (adminisztrátort).[49]
295. A jogosultsági igényléseket a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály Információtechnológiai és Rejtjel Osztálya tárolja és tartja nyilván a jogosultsági nyilvántartásban.[50]
296. A BM munkatárs és a külső személy jogosultságát a jogosultságot igénylő vezető, adatkezelési szempontból az adatgazda, biztonsági szempontból az információbiztonsági felelős hagyja jóvá. A jóváhagyott jogosultságigénylő lapot az adatgazda továbbítja a jogosultságbeállítást végző felelős személynek, az adminisztrátornak.[51]
297. A jogosultságokat az adminisztrátor állítja be a jogosultságigénylés/-visszavonás lap alapján. A beállítást követően a jogosultságigénylés/-visszavonás lapot az adminisztrátor aláírja, és a beállításról értesíti az adatgazdát, a lapot pedig a jogosultsági nyilvántartásba felveszi.[52]
298. Jogosultsági igény elutasítása esetén írásban jelezni kell az igénylőnek az elutasítás okát.
299. Ha egy igény a teljesítése esetén a már meglévő jogokkal együtt összeférhetetlenséget eredményezne, az igénylést el kell utasítani. Szintén el kell utasítani az igénylést, ha az információbiztonsági felelős úgy ítéli meg, hogy a kért jog megadása az elfogadható mértékű informatikai biztonsági kockázatot meghaladja.
300. Ha elektronikus információs rendszerben jogosultsággal rendelkező BM munkatárs vagy külső személy jogosultságot megalapozó, munkavégzésre vonatkozó jogviszonya megszűnik, a közvetlen vezetője jogosultságigénylés/-visszavonás lapot tölt ki, és átadja az adatgazdának, aki gondoskodik az információbiztonsági felelős és az adminisztrátor tájékoztatásáról a jogosultság visszavonása/megszüntetése érdekében.[53]
301. Ha a felhasználó a jogosultságával visszaélve kárt okoz, vagy vállalhatatlan mértékű kockázatot jelent az elektronikus információs rendszerre, az információbiztonsági felelőstől telefonon is kérhető a jogosultság megszüntetése. Ebben az esetben az információbiztonsági felelős a helyzet értékelése után dönt a jogosultság visszavonásáról vagy a kérés elutasításáról. A döntést és a megkeresést is dokumentálni kell. Ha az információbiztonsági felelős a jogok felfüggesztése mellett dönt, azonnal intézkedik a jogok visszavonásáról. Az adminisztrátor ilyen esetben feljegyzésben vagy egyéb módon írásban jelez vissza az információbiztonsági felelősnek, aki a nyilvántartásokban is átvezetteti a módosítást a nyilvántartás és a valós beállítások egyezőségének biztosítása érdekében.[54]
48. A felhasználói jelszavak kezelése
302. A felhasználó írásban felelősséget vállal személyes jelszavainak bizalmas kezeléséért.
303. A belépéskor kapott vagy - pl. ha a felhasználó elfelejtette a jelszavát - az ideiglenes jelszó átadása csak biztonságos csatornán történhet aláírással ellátott kérelme alapján, a felhasználó előzetes - pl. személyes - azonosítása után. Az ideiglenes jelszavak megváltoztatása kötelező az első belépést követően.
304. A felhasználónak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail) vagy személyesen az átadó felé.[55]
305. A jelszót a felhasználó a lejárati idő előtt megváltoztathatja.[56]
306. A felhasználói jelszavakkal kapcsolatban (ha a rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:
a) a jelszó legalább 8 karakterből álljon,
b) a jelszót a kisbetűk (a-z), a nagybetűk (A-Z), a számok (0-9) és a jelek halmazából legalább két csoport felhasználásával kell képezni, a jelszó 12 hónapig és legalább 4 jelszóváltásig nem ismételhető,
c) a jelszó maximális élettartama 3 hónap, 8 karakterváltozás kötelező az új jelszó létrehozásakor,[57]
d) a jelszó 10 sikertelen kísérlet után zárolásra kerül,
e) a központi jelszó megadása utáni első bejelentkezéskor a kötelező jelszó cseréjét,
f) a számítógépes rendszerekben a jelszavakat nem lehet nyílt formában tárolni. A jelszófájlokat megfelelő kódolási védelemmel kell ellátni.
307. Automatikus bejelentkezési eljárások (pl. batch-fájlok vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót. A felhasználói azonosítók és jelszavak csak kódolt formában tárolhatók. Felhasználói azonosítók, jelszavak, kriptográfiai kulcsok és az ezekhez tartozó jelszavak nyomtatott formában, lezárt, lepecsételt borítékban, lemezszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni a lezárás dátumának feltüntetésével. Ha BM felsővezetők felhasználói azonosítóit, jelszavait, illetve kódoló titkos kulcsait vagy az ezekhez tartozó jelszavakat tárolni kell, akkor azt a titkos ügykezelésen kell lezárt, lepecsételt borítékban kell őrizni. Különösen védendő munkaállomásokon mérlegelni kell chipkártyás, illetve biometrikus vagy más azonosítás alkalmazását.
48/A. Az adminisztrátori jelszavak kezelése[58]
307/A. Az adminisztrátor írásban felelősséget vállal személyes jelszavainak bizalmas kezeléséért.
307/B. A belépéskor kapott jelszó vagy az ideiglenes jelszó átadása csak biztonságos csatornán történhet, aláírással ellátott kérelem alapján, a felhasználó előzetes azonosítása után. Az ideiglenes jelszavak megváltoztatása kötelező az első belépést követően.
307/C. Az adminisztrátornak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail) vagy személyesen az átadó felé.
307/D. A jelszót az adminisztrátor a lejárati idő előtt megváltoztathatja.
307/E. Az adminisztrátori jelszavakkal kapcsolatban (ha a rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:
a) a jelszó legalább 12 karakterből álljon,
b) a jelszót a kisbetűk (a-z), a nagybetűk (A-Z), a számok (0-9) és a speciális karakterek legalább három csoportjának felhasználásával kell képezni, az utolsó 12 jelszó nem használható, nem ismételhető, a technikai feltételek teljesülése esetén kétfaktoros azonosítás szükséges,
c) a jelszó maximális élettartama 3 hónap, 12 karakterváltás kötelező az új jelszó létrehozatalakor,
d) a jelszó 10 sikertelen kísérlet után zárolásra kerül,
e) a központi jelszó megadása utáni első bejelentkezéskor a kötelező jelszócserét a rendszernek ki kell kényszerítenie,
f) a számítógépes rendszerekben a jelszavakat nem lehet nyílt formában tárolni. A jelszófájlokat megfelelő kódolási védelemmel kell ellátni.
307/F. Automatikus bejelentkezési eljárások (pl. batch-fájlok vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak adminisztrátori jelszót. Az adminisztrátori azonosítók és jelszavak csak kódolt formában tárolhatók. Az adminisztrátori azonosítók, jelszavak, kriptográfiai kulcsok és az ezekhez tartozó jelszavak nyomtatott formában, lezárt, lepecsételt borítékban, lemezszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni a lezárás dátumának feltüntetésével. Ha BM felsővezetők adminisztrátori azonosítóit, jelszavait, illetve kódoló titkos kulcsait vagy az ezekhez tartozó jelszavakat tárolni kell, akkor azt a titkos ügykezelés szabályainak megfelelően kell őrizni. Különösen védendő munkaállomásokon mérlegelni kell chipkártyás, illetve biometrikus vagy más azonosítás alkalmazását.
49. A felhasználó feladatai
308. A felhasználót a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály tájékoztatja a hozzáférés hatékony ellenőrzésére alkalmas eszközök használatáról, különös tekintettel a jelszavak használatára és a felhasználó kezelésében lévő berendezések biztonságára.[59]
309. A jelszavakat nem lehet papíron tárolni. Ha ez elkerülhetetlen (pl. a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban történő, biztonságos tárolásáról. Ezektől eltérően a legmagasabb jogosultságot biztosító felhasználói azonosítók esetén a jelszavak zárt borítékban, két példányban, két különböző helyen, legalább zárható lemezszekrényben tárolhatók.
310. Ha a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal köteles módosítani azt.
311. A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhasználó személyére utaló információkat (pl. neveket, telefonszámokat, születési dátumokat), összefüggő szövegként ne legyen olvasható.
312. Ha a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható (az alkalmazás nem rejti el megfelelően a jelszót), az alkalmazás üzemeltetőjének figyelmeztetése alapján a felhasználó gondoskodik arról, hogy más illetéktelen személy ne láthassa meg az általa beírt jelszót.
313. A felhasználó azonosítójával és jelszavával az elektronikus információs rendszerben végrehajtott műveletekért felel.
314. Ha a felhasználó multiplatformos környezetet vagy több hitelesítést igénylő alkalmazást használ, lehetőség van a felhasználó számára egyetlen kellő hosszúságú és bonyolultságú jelszó alkalmazására az összes rendszeren. (A multiplatformos rendszerekben használatos jelszó hossza min. 12 karakter, ezen kívül vegyesen tartalmaznia kell alfabetikus és numerikus karaktereket is.) Az ilyen jelszavaknál fokozottan ügyelni kell arra, hogy ne tartalmazzanak egymást követő azonos karaktereket.
315. A felhasználó gondoskodik a felügyelet nélkül hagyott eszközök megbízható védelméről. A felhasználó által használt helyiségben felállított és a hosszabb időre felügyelet nélkül hagyott berendezéseknél - többek között munkaállomásoknál vagy szervereknél - szükség esetén külön védelmet kell alkalmazni az illetéktelen hozzáférés megakadályozására. A felhasználónak a harmadik személlyel meg kell ismertetnie a biztonsági követelményeket és eljárásokat.
316. Az elektronikus információs rendszerekhez csak olyan kihelyezett terminál funkció használata engedélyezhető, melynek működése az elektronikus információs rendszerből menedzselhető (beleértve a jogosultságok vezérlését is), továbbá abból szükség esetén kizárható. A központi védelmi funkciók és a távoli csatlakozó berendezés védelmi funkcióinak együttes megléte alapvető feltétele a távoli hozzáférési jog engedélyezésének.
317. Azokban a rendszerekben, ahol lehetőség van rá, biztosítani kell a hosszabb ideig inaktív munkaállomások rendszer által kikényszerített kijelentkezését vagy a berendezés blokkolását (lock), pl. a PC-s munkaállomásoknál alkalmazni kell a jelszóval kombinált képernyővédő funkciót (a munkaállomáshoz történő visszatéréskor a képernyővédő funkció feloldása csak sikeres jelszó megadás után legyen lehetséges).
318. (1) PC-s terminált csak azonosított és hitelesített felhasználó használhat.[60]
(2) Megfelelő védelmi eszköz vagy beépített védelemmel nem rendelkező operációs rendszerek nem használhatók.
319. A felhasználó a kormányzati igazgatási iratoknak az elektronikus levelezési címre történő továbbítását a 114. pontban foglaltak szerint végzi el.[61]
320. A napi munkavégzés befejezését követően a felhasználó a munkaállomást kikapcsolja.
50. A hálózati szintű hozzáférések menedzsmentje
321. A hálózatba szervezett szolgáltatások védelme érdekében szabályozni és ellenőrizni kell a belső és külső hálózatba szervezett szolgáltatások elérését annak érdekében, hogy hozzáférési jogosultsággal rendelkező felhasználók ne veszélyeztethessék a hálózatba szervezett szolgáltatások biztonságát. Ellenőrizni kell a belső és külső hálózatokban működő szolgáltatások elérését.
322. Az ellenőrzés és a menedzselés eszközei a következők:
a) megfelelően biztonságos kapcsolatok létesítése a szervezet hálózata és más szervezetek tulajdonában levő hálózatok vagy nyilvános hálózatok között,
b) a felhasználók és az eszközök hitelesítésének mechanizmusa,
c) az informatikai szolgáltatások felhasználóinak menedzselése, hozzáférésük vezérlése.
323. A felhasználó közvetlenül csak azokhoz a szolgáltatásokhoz férhet hozzá, amelyekre jogosultsága kifejezetten vonatkozik.
324. A hálózatok és a hálózati szolgáltatások használata során a következő tényezőkre kell figyelni:
a) meg kell határozni az engedélyezett hálózatok, valamint az engedélyezett hálózati szolgáltatások elérési kritériumait,
b) az engedélyezési eljárás során meg kell határozni az engedélyezett hálózatokat és hálózati szolgáltatásokat, valamint azokat a személyeket, eszközöket, alkalmazásokat, melyek valamiképpen kapcsolatba kerülnek a hálózatokkal és a hálózati szolgáltatásokkal,
c) menedzselési és ellenőrzési eljárásokat kell kialakítani,
d) ezen pontoknak összhangban kell lenniük a már eddig megfogalmazott, azonosításra, hitelesítésre, hozzáférésszabályozásra, bizalmasságmegőrzésre és az ellenőrzésre vonatkozó szabályokkal. Mindegyik igény esetében vagy a formalizált hálózati elérésekkel kapcsolatos szabályok vagy pedig az adott esetre kidolgozott speciális elvárások alapján kell az irányelveket kidolgozni,
e) az elektronikus úton továbbított üzenetek, állományok tekintetében az iratkezelési szabályzatnak megfelelően kell eljárni,
f) a felhasználók számára a hálózati erőforrások használatát a munkájukat nem veszélyeztető mértékig korlátozni kell,
g) az adatvesztés és -sérülés elkerülése érdekében hibadetektáló és -javító eljárásokat kell alkalmazni,
h) a hálózat elemeit rendszeresen ellenőrizni kell annak érdekében, hogy a hálózatban az erőforrásokat ne használhassák illetéktelenül.
325. A rendszergazda feladata, hogy ellenőrizze a felhasználói terminál és a szerver közötti útvonalat. A hálózatok alapvető rendeltetése, hogy biztosítsák az erőforrások megosztását és a rugalmas útvonal-kiválasztást. Ez esetenként lehetővé teheti az alkalmazások engedély nélküli elérését vagy az informatikai eszközök engedély nélküli használatát. Egy felhasználói terminál és a felhasználó által használható számítástechnikai szolgáltatások közötti útvonalat korlátozó ellenőrző eszközök alkalmazása - azaz egy kötelező útvonal kialakítása - csökkentheti a lehetséges kockázatokat.
326. A kötelezően előírt útvonal célja, hogy a felhasználó ne választhasson a felhasználói terminál és a felhasználó számára hozzáférhető szolgáltatások közötti - az engedélyben rögzített - útvonalon kívül eső útvonalat. Ennek érdekében előre meghatározott választási lehetőségekkel kell korlátozni a hálózat minden egyes pontján a választható útvonalak számát. Ennek lehetséges eszközei:
a) a hálózat aktív eszközeivel, az operációs rendszer beállításaival és rendszerprogramokkal kell biztosítani a lehető legnagyobb fokú hálózati erőforrás-, szegmensszétválasztást, valamint a felhasználók munkájához szükséges (és csak az ahhoz szükséges) útvonalakat,
b) kiválasztott vonalak vagy telefonszámok kijelölése,
c) az egyes felhasználó által választható menü- és almenüopciók korlátozása,
d) a korlátlan hálózati böngészés megakadályozása,
e) meghatározott felhasználói rendszerek és/vagy biztonsági kapuk kötelező használatának elrendelése a külső hálózati felhasználóknál,
f) az engedélyezett forrás és a rendeltetési hely közötti kommunikációk megelőző ellenőrzése biztonsági kapukkal, pl. tűzfalakkal,
g) a hálózati hozzáférés korlátozása különálló logikai struktúrák (pl. zárt virtuális hálózatok) létrehozásával a szervezeten belül bizonyos felhasználói csoportok számára.
50/A. A rendszergazda (technikai privilegizált) felhasználói jelszavak kezelése[62]
326/A. A rendszergazda írásban felelősséget vállal személyes jelszavainak bizalmas kezeléséért.
326/B. A belépéskor kapott jelszó vagy az ideiglenes jelszó átadása csak biztonságos csatornán történhet aláírással ellátott kérelem alapján, a felhasználó előzetes azonosítása után. Az ideiglenes jelszavak megváltoztatása kötelező az első belépést követően.
326/C. A rendszergazdának minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail) vagy személyesen az átadó felé.
326/D. A jelszót a rendszergazda a lejárati idő előtt megváltoztathatja.
326/E. A rendszergazdai jelszavakkal kapcsolatban (ha a rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:
a) a jelszó legalább 16 karakterből álljon,
b) a jelszót a kisbetűk (a-z), a nagybetűk (A-Z), a számok (0-9) és a speciális karakterek legalább négy csoportjának felhasználásával kell képezni, a jelszó nem ismételhető,
c) a jelszó maximális élettartama 3 hónap, 16 karakterváltás kötelező az új jelszó létrehozatalakor,
d) a jelszó 10 sikertelen kísérlet után zárolásra kerül,
e) a központi jelszó megadása utáni első bejelentkezéskor a kötelező jelszócserét a rendszernek ki kell kényszeríteni,
f) a számítógépes rendszerekben a jelszavakat nem lehet nyílt formában tárolni. A jelszófájlokat megfelelő kódolási védelemmel kell ellátni.
326/F. Automatikus bejelentkezési eljárások (pl. batch-fájlok vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak rendszergazdai jelszót. A rendszergazdai azonosítók és jelszavak is csak kódolt formában tárolhatók. A rendszergazdai azonosítók, jelszavak, kriptográfiai kulcsok és az ezekhez tartozó jelszavak nyomtatott formában, lezárt, lepecsételt borítékban, lemezszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni a lezárás dátumának feltüntetésével. Ha BM felsővezetők rendszergazdai azonosítóit, jelszavait, illetve kódoló titkos kulcsait vagy az ezekhez tartozó jelszavakat tárolni kell, akkor azt a titkos ügykezelés szabályainak megfelelően kell őrizni. Különösen védendő munkaállomásokon mérlegelni kell chipkártyás, illetve biometrikus vagy más azonosítás alkalmazását.
51. Külső személyek hozzáférése, a hozzáférés feltételei
327. A külső személyek számára is hozzáférhető elektronikus információs rendszerek és eszközök biztonságának fenntartása érdekében a hozzáféréseket minden esetben ellenőrizni kell. Az ellenőrzésért a BM részéről felelősként, kapcsolattartóként meghatározott szervezeti egysége vezetője - ha a szerződésben nem került feltüntetésre, úgy a szerződést kötő szervezet vezetője - a felelős.
328. A biztonsági kockázatokat és az ellenőrzés, valamint a felügyelet követelményeit fel kell mérni. A felmérésért a szerződést - szakmai oldalról - előkészítő személy a felelős. A külső személlyel megkötött szerződésben egyértelműen meg kell határozni az előzőekhez kapcsolódó elvárásokat.
329. Külső személyek hozzáférésénél további résztvevők közreműködésére is szükség lehet. A hozzáféréséről rendelkező szerződésekben rendelkezni kell arról, hogy más, arra jogosult közreműködők is hozzáférhetnek a különböző eszközökhöz, és minden esetben rögzíteni kell a hozzáférés feltételeit.
330. A jelen szabályzat előírásainak betartása az ilyen szerződések létrejöttének, valamint az adatfeldolgozási vállalkozási szerződés megkötésének elengedhetetlen feltétele.
331. Külső személynek ideiglenes hozzáférési lehetőséget csak engedélyeztetési eljárás lefolytatásával lehet biztosítani. A hozzáférési engedélyt minden esetben csak a szervezeti egység (főosztály) vezetője kérheti. Az információbiztonsági felelős a biztonsági előírások figyelembevételével dönt az engedély megadásáról, a kiadott engedély másolatát átadja a hatáskörrel rendelkező osztálynak. A hozzáférést mindaddig ki kell zárni, amíg a szükséges ellenőrzést el nem végezték, illetve szerződésben nem határozták meg a hozzáférés feltételeit. A visszavonás és a lejárat időpontját minden esetben szerepeltetni kell a hozzáférési engedélyben.
332. A BM azon külső személyeknek, akik a BM számára szolgáltatásokat nyújtanak, tevékenységük végzéséhez meghatározott és engedélyezett fizikai, logikai hozzáféréseket biztosít az alábbiak szerint:
a) a hardver- és szoftvertámogató személyzet rendszerszintű vagy alacsony szintű működési felhasználással rendelkezhet,
b) a szolgáltatók vagy más partnerek, akik az információcserében részt vesznek, az elektronikus információs rendszerekhez vagy adatbázisrészekhez hozzáférhetnek. Az éles rendszerekhez való hozzáférést minden alkalommal engedélyezni és a hozzáférés során végzett tevékenységeket dokumentálni szükséges olyan részletezettséggel, mely alapján biztosítható a tevékenységet végző személy azonosítása, az adatkezelési tevékenység és az érintett adatok azonosítása.
333. Ahol a munkavégzés érdeke megkívánja a külső személyekkel való kapcsolattartást, a munka megkezdése előtt egyértelműen meg kell határozni a munkavégzés célját, helyét, idejét, módját, fel kell mérni az alkalmazás kockázatait, a szükséges hozzáférések típusait, a veszélyeztetett adatok, információk értékét, a külső személy által használt ellenőrzéseket. Az azonosítást különös figyelemmel kell elvégezni.
334. A külső személyek hordozható munkaállomásain és más informatikai eszközein tárolt - a munkavégzés során megszerzett és a BM-mel kapcsolatos - adatokat a munkavégzés befejezése után visszaállíthatatlanul törölni kell, amiről a partnernek - a szerződéses kapcsolat lezárásának feltételeként - írásos nyilatkozatot kell tennie.[63]
52. Helyszíni tevékenységet végző külső vállalkozók
335. A szerződéses vagy egyéb jogviszony alapján helyszíni tevékenységet végző külső személyek által okozott biztonsági gyengülés megelőzése érdekében:
a) a külső személlyel kötött szerződésekben ki kell kötni a BM ellenőrzési jogosultságát,
b) a külső személyek helyszíni tevékenységének informatikai biztonsági ellenőrzése során a munkahelyi vezetőnek együtt kell működnie az információbiztonsági felelőssel,
c) az információbiztonsági felelősnek - még a munka megkezdése előtt - meg kell vizsgálnia a külső személyek várható helyszíni tevékenységét,
d) a külső vállalkozó számára jelen szabályzatban foglalt biztonsági szabályok ismerete és betartása kötelező.
53. Biztonsági követelmények a külső személlyel kötött szerződésekben
336. Külső személynek a BM elektronikus információs rendszereihez való hozzáférése olyan írásbeli szerződésen alapulhat, melynek informatikai biztonsággal kapcsolatos előírásai igazodnak a jogszabályokhoz, a BM előírásaihoz és elfogadott szabványaihoz.
337. Külső személyek számára - a velük kötött szerződésben részletezettek szerint - az adathozzáférés, elektronikus, papíralapú, mágneses vagy bármely más típusú adathordozón történő átadás-átvétel csak az adat érzékenységéhez, kezeléséhez és az elektronikus információs rendszer biztonsági osztályba sorolásához rendelt engedélyezési eljáráshoz kötött szabályozott és dokumentált formában történhet, az adott szerződés elválaszthatatlan mellékletét képező adatvédelmi és titoktartási nyilatkozatok tartalmának megfelelően.
338. A 336-337. pontban felsoroltak alól kivételt képeznek az informatikai biztonsággal kapcsolatos kötelező eseti és rendszeres adatszolgáltatások, továbbá a hatósági eljárások. Ezekről minden esetben értesíteni kell az információbiztonsági felelőst.
54. Vállalkozási szerződés kötése
339. Vállalkozási szerződést csak írásban lehet kötni, és e szabályzat előírásait a szerződés megkötésénél figyelembe kell venni.
340. Vállalkozási szerződés kötése esetén az érintett elektronikus információs rendszereket, hálózatokat, környezeteket, az azokat érintő kockázatokat, valamint az alkalmazott biztonsági eszközöket és eljárásokat, felelősségeket a két fél között létrejött szerződésben rögzíteni kell.
341. Ha a vállalkozó a saját telephelyén végzi az informatikai fejlesztési tevékenységet, a BM részéről vagy részére elektronikus hálózati kapcsolaton keresztül csak kódolva továbbíthatók a fejlesztés tárgyát képező programok és adatok a fejlesztést végzők számára. Az éles üzemű rendszerekhez a vállalkozó (ideértve a vállalkozási szerződésben nem nevesített alvállalkozókat, beszállítókat is) nem férhet hozzá.
342. Programok, adatok kizárólag átadás-átvételi jegyzőkönyv alapján adhatók át. A jegyzőkönyvnek tartalmaznia kell minden esetben, hogy a forráskód és változtatásai, valamint a hozzá tartozó dokumentációk a BM tulajdonát képezik.
343. A fenti anyagokat tartalmazó adathordozókat úgy kell kezelni, hogy az adathordozók azonosíthatóak, ellenőrizhetőek legyenek, a minősítési (érzékenységi) és az azonosítási jelek vagy jelölések olvashatóan, letörölhetetlenül, levehetetlenül fel legyenek tüntetve. A vállalkozó ezekkel a jelekkel, jelölésekkel kapcsolatos kezelési szabályokat a teljes munkafolyamat során köteles betartani, ennek hiányában a teljesítést nem lehet elfogadni. Az adathordozók csak biztonsági (pl. vírus) ellenőrzések elvégzése után vehetők használatba a BM rendszerein.
344. Éles üzemi tesztek csak a BM saját fejlesztő rendszerein végezhetők.
345. A jelen fejezetben foglalt előírások betartását, a tevékenység dokumentálását a BM részéről a felelősként, kapcsolattartóként meghatározott szervezeti egység vezetője és az információbiztonsági felelős által kijelölt személyek ellenőrzik.
346. Ha a vállalkozó a saját telephelyén működő fejlesztő rendszeren dolgozik, a következő biztonsági szabályok az irányadók:
a) a tevékenységet a fogadó szervezet folyamatosan felügyelje, dokumentálja és ellenőrizze e szabályzat betartását,
b) belépési és hozzáférési jogosultságot az általános jogosultsági szinten túlmenően csak külön engedély alapján, a tevékenysége elvégzéséhez szükséges időre kapjon,
c) távoli hozzáféréssel történő fejlesztés, az információbiztonsági felelős előzetes írásbeli engedélyével történhet, az erre irányuló javaslatot a fejlesztő és megrendelője köteles megindokolni,
d) fejlesztési céllal távoli hozzáférés csak az engedélyben definiált végpontról és csak a BM ellenőrzése alatt álló védelmi rendszerrel megtámogatva történhet.
V. Biztonsági események és üzemzavarok kezelése
55. A váratlan események kezelési eljárásai
347. Mindazon biztonsági eseményeket, amelyek a folyamatos éles üzemet megzavarják, a napi feldolgozást hátráltatják, azonnal jelenteni kell a rendszer üzemeltetéséért felelős vezetőnek. A jelentést követően az üzemzavart mielőbb meg kell szüntetni.
348. Mérsékelni kell a működési zavarok következményeit. Nyomon kell követni az eseményeket, biztosítani kell a mielőbbi normális üzemre való visszaállást, és a tapasztalatokat feljegyzésben kell rögzíteni.
349. Az események biztonságos kezeléséhez szükség van arra, hogy az eseményt követően nyomban összegyűjtsék a meglévő bizonyítékokat, és felterjesszék vezetőjük felé további vizsgálatok lefolytatása céljából.
350. A váratlan eseményre való gyors, hatékony és szabályos válaszadás érdekében meg kell határozni a váratlan eseményekkel kapcsolatos felelősségeket és eljárásokat, el kell készíteni az üzletmenet-folytonossági tervet.
351. A következő események kezelésére kell egyedi eljárást kidolgozni:
a) az elektronikus információs rendszer hibái és a szolgáltatás megszakadása,
b) szolgáltatás megtagadása,
c) pontatlan és hiányos adatokból származó hibás eredmények,
d) a bizalmasság elvesztése.
352. Az üzletmenet-folytonossági tervhez kapcsolódóan a következő eljárásokat kell alkalmazni:
a) azonosítani és elemezni kell az események okait,
b) terveket kell kidolgozni a nem kívánt események ismétlődésének megakadályozására,
c) az eseményeket naplózni kell,
d) gondoskodni kell a visszaállítás megoldásáról.
353. A biztonsági események és rendszerhibák javítását a következők szerint kell végrehajtani:
a) csak az engedéllyel és a kellő szaktudással rendelkező személyek férhetnek az "éles" rendszerekhez és azok adataihoz,
b) az adott feladatra kijelölt vezetőnek ismernie és ellenőriznie kell minden, rendkívüli esemény során a Rendvédelmi Informatikai és Elektronikai Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetője által alkalmazandó/alkalmazott eljárást,[64]
c) minden rendkívüli esemény során az alkalmazandó/alkalmazott eljárást jegyzőkönyvben rögzíteni kell,
d) a rendkívüli eseményeket követően az adatok sértetlenségét haladéktalanul ellenőrizni kell.
56. Informatikai biztonsági események jelentése
354. A BM munkatárs az észlelt informatikai biztonsági eseményt a szervezeti egység vezetőjének és az információbiztonsági felelősnek jelenti, valamint mindent megtesz a szükséges bizonyítékok összegyűjtésére. A szervezeti egység vezetője jelentését és a felvett jegyzőkönyvet haladéktalanul továbbítja az információbiztonsági felelősnek, aki az eseményt a lehető legrövidebb idő alatt kivizsgálja, és ha a felelősségre vonás szükségessége fennáll, értesíti a munkáltatói jogkör gyakorlóját.
355. A BM által felügyelt informatikai rendszerrel szemben végrehajtott internetes támadás esetén vagy a BM által felügyelt internetes oldalakra vonatkozó sérülékenység felmerülése esetén az információbiztonsági felelős a helyzet értékelése után dönt az internetes oldal lezárásáról vagy az internetes támadással kapcsolatos intézkedésről. A döntést dokumentálni kell, és a döntésről értesíteni kell az érintett BM szervezeteket.
57. A rendszerek és a programok működési zavarainak kezelése
356. A BM minden szerverén és munkaállomásán folyamatosan figyelni kell a rendszerek esetleges hibaüzeneteit.
357. Rendszer- vagy alkalmazáshiba esetén:
a) figyelemmel kell kísérni a működési zavar tüneteit, a képernyőn megjelenő üzeneteket,
b) amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás vagy vírustámadás okozta, az érintett munkaállomást le kell választani a hálózat(ok)ról, szükség esetén ki kell kapcsolni. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is (pendrive, CD-ROM, mentési médiák), amelyeket a BM munkatársának vizsgálat céljára át kell adnia az információbiztonsági felelősnek,[65]
c) a BM hozzáférési és egyéb adatvédelmi rendszereinek működés zavarát, a megtett intézkedéseket, haladéktalanul írásban jelenteni kell a szervezeti egység vezetőjének és az információbiztonsági felelősnek,
d) a meghibásodott munkaállomásokban használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más munkaállomásokban.[66]
58. Az események tapasztalatainak elemzése és értékelése
358. Az eseményeket:
a) típus,
b) terjedelem,
c) általuk okozott károk, helyreállítási költségek,
d) a feljogosítási és monitorozási rendszer működési zavara alapján értékelni kell.
359. Az elemzés alapján - szükség esetén - kezdeményezni kell a biztonsági irányelvek felülvizsgálatát, a szabályzatok korszerűsítését.
360. A biztonsággal összefüggő munkavállalói kötelességek megszegésének gyanúja esetén a felelősségi vizsgálat megindítása a munkáltatói jogkört betöltő vezető feladata.
59. Üzletmenetfolytonosság-menedzsment
361. A kritikus informatikai folyamatok védelme érdekében a meghibásodások és a rendellenességek elhárítása során:
a) az üzletmenet folytonosságának fenntartását szolgáló eljárás a megelőző és helyreállítást vezérlő eljárások (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv) együttes alkalmazásával mérsékelni kell a különböző rendellenességek és a biztonsági rendszer meghibásodása által okozott fennakadásokat (ezek lehetnek többek között természeti katasztrófák, balesetek, berendezésekben keletkezett hibák vagy szándékos cselekmények következményei stb.);
b) elemezni kell a meghibásodások, fennakadások és üzemzavarok következményeit;
c) az üzletmenet folytonosságának irányítása ki kell, hogy terjedjen - többek között - a kockázatok azonosítására és csökkentésére alkalmas ellenőrző eszközökre, a kárt okozó események következményeinek korlátozására, valamint a lényeges tevékenységek időben történő újraindítására.
362. Az üzletmenet-folytonosság tervezését projektszerűen (projektmenedzser által kísérve) kell megvalósítani. Az üzletmenet-folytonosság biztosítási folyamatának kialakítása során a következőket kell figyelembe venni:
a) az informatikai biztonsági kockázatok felmérése és a bekövetkezési valószínűségek elemzése;
b) a folytonosság megszakadásából (megszakításából) következő hatások, következmények felmérése és elemzése;
c) az informatikai biztonságpolitikának megfelelő üzletmenet-folytonossági stratégia meghatározása;
d) az előzőekben megfogalmazottaknak megfelelő üzletmenet-folytonossági tervek kidolgozása;
e) az elfogadott tervek rendszeres felülvizsgálata és aktualizálása;
f) a kulcsfontosságú rendszerek kizárólag megfelelő és kipróbált katasztrófa-elhárítási terv alapján működhetnek éles üzemben.
363. A megfelelő üzletmenet-folytonosság az elektronikus információs rendszer folyamatos üzemi működésének az a szintje, amely során a kiesés kockázatának szintje a BM számára még elviselhető. Az elviselhetőség határát a támogatás szempontjából kritikus rendszerek maximált kiesési ideje határozza meg, melyet az üzletmenetfolytonossági tervben ki kell fejteni.
364. Az üzletmenet-folytonosság megfelelő szintjét a szükséges megelőző, illetve (a kiesés bekövetkezése után) visszaállító intézkedésekkel kell biztosítani, amely intézkedéseket előre meg kell tervezni (üzletmenet-folytonossági terv, katasztrófa-elhárítási terv).
365. Az üzletmenetfolytonosság-tervezés eredménye az üzletmenet-folytonossági terv, amely részletesen meghatározza a kívánt üzletmenet-folytonosság fenntartásához szükséges feltételeket, szervezeti és szervezési lépéseket, valamint szabályozza a megvalósítás módját. Alapvető célja az, hogy a BM folyamatait támogató informatikai erőforrások a rendelkezésre álló üzemidőben a lehető legjobb időkihasználással és a legmagasabb funkcionalitási szinten működjenek annak érdekében, hogy a közvetlen és közvetett károk minimálisak legyenek.
366. Az üzletmenet-folytonossági tervnek részletesen meg kell határoznia a kívánt üzletmenet-folytonosság fenntartásához szükséges megelőző, helyettesítő, illetve visszaállító intézkedések megvalósításához szükséges feltételeket, szervezeti és szervezési lépéseket és a megvalósítás módját.
367. A tervezés egyik lényeges eleme a kiesési kockázatok elemzése, amelynek során mérlegelni kell az okozott kár nagyságát és az üzemzavari események, a veszélyhelyzetek bekövetkezésének gyakoriságát.
368. Az üzletmenet-folytonossági terv fő részei: a) helyzetfelmérés és értékelés,
aa) projekt-előkészítő megbeszélés (feladatbehatárolás, humán- és eszközerőforrás, illetve az adminisztrációs feltételek tisztázása, projektterv megbeszélése, felhasználandó dokumentumok előzetes meghatározása),
ab) részletes projektterv elkészítése,
ac) projektindító megbeszélés (célok, feladatok, várható eredmények prezentációja; pontos feladatmeghatározás; projektszervezet összetétele; felhasználandó dokumentumok listája; projekt megkezdése),
ad) előzetes helyzetfelmérő interjúterv elkészítése és véglegesítése (területek, személyek),
ae) az interjúk megszervezése (személyek és időpontok egyeztetése), tematikák elkészítése,
af) interjúk elkészítése és feldolgozása dokumentumokban (kritikus folyamatok és az ezeket támogató alkalmazások; a kiesések következményei, kockázatai és rangsorolása az eredményes működés szempontjából, rendelkezésre állás követelményei, potenciális üzemzavari és katasztrófaesemények palettája, tartalékolási és visszaállítási stratégiák és megoldások),
ag) projektteam teszteli a meghatározott tartalékolási és visszaállítási megoldások megvalósíthatósági feltételeit, majd ennek alapján helyzetfelmérő és értékelő jelentést készít. A projektteam a helyzetfelmérő és értékelő jelentését a szervezet vezetőjének átadja, aki a jelentést ellenőrzi és elfogadja;
b) az üzletmenet-folytonossági terv kidolgozása;
c) oktatás, tréning és tesztelés: célja az üzletmenet-folytonosság jelentőségének tudatosítása, az üzletmenetfolytonosság-tervezés alapismereteinek átadása, a megelőzési és visszaállítási tervben foglaltak megismerése és elsajátítása.
369. Az üzletmenet-folytonossági terv kidolgozásának részei:
a) megelőzési terv és intézkedés: tartalmazza mindazon szabályzatokat, dokumentumokat és intézkedéseket, amelyek az elektronikus információs rendszer folytonos üzemét valamilyen módon veszélyeztető tényezőkkel kapcsolatosak. A megelőzési terv a következőkre terjed ki:
aa) az elektronikus információs rendszer megbízható üzemeltetésére és az üzemeltetésre vonatkozó intézkedésekre,
ab) az elektronikus információs rendszer kritikus elemeinek üzemi és katasztrófa-tartalékmegoldásaira és ezek üzemkészségét biztosító intézkedésekre,
ac) az elektronikus információs rendszer üzemét biztosító környezeti rendszerek karbantartási, illetve az ezekkel kapcsolatos biztonsági intézkedésekre,
ad) az üzemeltetési dokumentáció és dokumentumok rendszerezett és biztonságos tárolására,
ae) az adathordozók rendszerezett és biztonságos tárolására,
af) az üzemeltető, a karbantartó és a kárelhárító személyzet rendelkezésre állását és bevethetőségét biztosító intézkedésekre,
ag) a külső szervizre, a tartalékképzési megoldásokra vonatkozó, és a biztosítási szerződésekkel kapcsolatos intézkedésekre,
ah) a mentési tervre,
ai) az üzemelő rendszer konfigurációjában, az üzemelő szoftverben megvalósítandó változások szabályozott kivitelezésére, valamint a szoftverfejlesztések elkülönített kivitelezésére és a fejlesztett szoftverek rendszerbe történő integrálására vonatkozó legfontosabb intézkedésekre,
aj) a vírusvédelmi és vírusmenedzsment-intézkedésekre,
ak) a megelőzésben fontos szerepet játszik az alkalmazói rendszerek használatára történő rendszeres oktatás, illetve az informatikai biztonság olyan szintű oktatása, amely kiterjed az elektronikus információs rendszerekben kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának megőrzése érdekében betartandó szabályokra és az érvényesítendő védelmi intézkedésekre,
al) a tesztelési tervre, amely meghatározza a tesztelés formáit. Két formája javasolt: auditálás jellegű check-listás teszt, amelyet egy előre elkészített ellenőrzési lista alapján független belső vagy külső auditorok végeznek el, illetve valós üzemzavar- vagy katasztrófaesemények szimulációja;
b) visszaállítási terv: célja az, hogy az üzemzavar- vagy katasztrófaesemények bekövetkezése esetén az esemény azonosítása, a szükséges emberi és eszközerőforrások haladéktalan mozgósítása és a visszaállítás a lehető leggyorsabban és szervezetten történjen meg a tervben meghatározott utasítások szerint. A visszaállítási terv a következőket tartalmazza:
ba) a visszaállítási terv célját és használatát,
bb) az üzemzavar- és a katasztrófaesemények meghatározását,
bc) az események bekövetkezési és kezelési időszakait,
bd) az eseménykezelő team összetételét, feladatait és hatáskörét,
be) visszaállítási intézkedéseket a következő lépésekre: azonnali válasz (riadóterv), futtató környezet helyreállítása, funkcionális helyreállítás, üzemeltetési szintű helyreállítás, áttelepülés (katasztrófa esetén), normalizáció az áttelepülés után.
370. Az intézkedések átfogják a központi erőforrások, azok fizikai és személyi környezetét, a végponti munkaállomások és a kommunikációs rendszer területeit.
371. Az előzetes intézkedési tervnek tartalmaznia kell mindazon feltételek biztosítására vonatkozó intézkedéseket, amelyek megléte nélkül az üzletmenet-folytonossági terv nem működőképes és a következő projektfázisban elvégzendő üzletmenet-folytonossági terv tesztje és tréningje nem valósítható meg.
372. Az üzletmenet-folytonossági terv tesztelése és tréningje akkor válik elindíthatóvá, ha a szervezet által az üzletmenetfolytonossági terv készítési fázisa végén elfogadott intézkedési tervben foglaltak olyan szinten megvalósultak, hogy az üzletmenet-folytonossági terv tesztje és tréningje meghatározott üzemzavar- és katasztrófaeseményre kivitelezhető.
373. Az üzletmenet-folytonossági terv tesztje szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kerül megvalósításra, amelynek keretében az eseménykezelő team, az üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják a visszaállítási terv utasításainak végrehajtását.
374. A katasztrófa-elhárítási terv globális helyettesítő megoldásokat ad megelőző és elhárító intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az elektronikus információs rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható.
375. A katasztrófa-elhárítás tervezés célja a kiesési idő, a rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A vészhelyzetekből eredő károk megelőzésének, mérséklésének alapvető követelménye a részletes terv (megelőzési és visszaállítási terv) elkészítése, tesztelése és a végrehajtás rendszeres gyakorlása. Veszélyhelyzetek:
a) elemi kár,
b) áramszünet,
c) rendszerleállás,
d) szolgáltatásszünetelés,
e) adatsérülés,
f) adatvesztés.
376. A katasztrófa-elhárítási terv eljárások vagy tevékenység lépések sorozata annak biztosítására, hogy a BM információfeldolgozó képességeit - a szükséges aktuális adatokkal - a bekövetkezett katasztrófa után elfogadhatóan rövid időn belül helyre lehessen állítani. A katasztrófa-elhárítási terv meghatározza a következőket:
a) a rendelkezésre állási követelmények megadása;
b) a katasztrófa- vagy vészhelyzet események definíciója;
c) a korlátozott informatikai üzem fogalma (visszaesési fokozatok) és a hozzájuk tartozó funkcionalitási szintek;
d) javaslat a felelősségek szabályozására veszély vagy katasztrófa esetén;
e) a riadóterv vázlata;
f) kiválasztott esetekre konkrét intézkedési terv, különösen a következő területen:
fa) a szükségüzem esetére a minimális hardver- és szoftverkonfiguráció rögzítése (beleértve az adatokat is),
fb) a szükségüzem esetére - amennyiben az lehetséges - manuális póteljárás rögzítése,
fc) szükség esetén backup-rendszer (pl. saját vagy külső tartalék központ igénybevétele),
fd) adatrekonstrukciós eljárások bevezetése,
fe) az újraalkalmazhatóságot lehetővé tevő intézkedések;
g) az olyan elektronikus információs rendszerek védelme, amelyeknek állandóan elérhetőeknek kell lenniük (pl. redundanciaintézkedésekkel és a hibákat toleráló hardverekkel és szoftverekkel);
h) az adatbiztosítási intézkedések megvalósítási szabályainak összeállítása (pl. háromgenerációs elv);
i) az üzemi szempontból szükséges adatok biztonsági kópiáinak elkészítése meghatározott időszakonként;
j) a biztonsági másolatoknak más biztos helyen (a munkaterületen kívüli) raktározása;
k) az installált rendszerszoftverek és a fontosabb alkalmazói szoftverek referenciamásolatainak biztonságos raktározása;
l) a fontosabb dokumentációk megkettőzése és raktározása;
m) a megvalósított adatbiztosítás ellenőrizhető dokumentációja;
n) a visszaállítási terv, amely magában foglalja az informatikai alkalmazások prioritásainak kijelölését és a célkitűzések megállapítását (pl. az X alkalmazás újraindítása Y napon belül);
o) a beszállítói (szolgáltatói) szerződésekre vonatkozó - katasztrófaesemények bekövetkezése esetében érvényes - követelmények meghatározása (annak érdekében, hogy katasztrófahelyzetben is biztosítani lehessen a rendelkezésre állást);
p) a javasolt biztosítások katasztrófák, káresemények esetére;
q) a terv készítésének, felülvizsgálatának, tesztelésének időpontja.
377. A katasztrófa-elhárítási terv részei:
a) a katasztrófa-elhárítási terv definíciója;
b) a mentési (megelőzési) terv: azon lépések sorozata, amelyeket azért hajtanak végre (a normál üzem során), hogy lehetővé tegyék a szervezet hatékony reagálását a katasztrófára. A mentési terv elmentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz. Így például a munkaállomás, a háttértárak tükrözése és az optikai tárolók használata sokkal könnyebbé teheti adatbázisok, illetve nagytömegű elektronikus dokumentumok helyreállítását;[67]
c) a helyreállítási és újraindítási terv: a helyreállítási terv olyan eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre annak érdekében, hogy helyreállítsák az elektronikus információs rendszert a tartalék központban vagy az adatfeldolgozó központot. A helyreállítási terv szakaszai:
ca) azonnali reakció: válasz a katasztrófahelyzetre, a veszteségek számbavétele, a megfelelő emberek értesítése és a katasztrófaállapot megállapítása,
cb) környezeti helyreállítás: az adatfeldolgozó rendszer (operációs rendszer, programtermékek és a távközlési hálózat) helyreállítása,
cc) funkcionális helyreállítás: az elektronikus információs rendszer alkalmazásainak és adatainak helyreállítása, az adatok szinkronizálása a tranzakciónaplóval. Az elvesztett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltetők, a rendszeradminisztrátorok, az alkalmazók és a végfelhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet,
cd) áttelepülés: az elektronikus információs rendszer kiépítése és telepítése a hidegtartaléklétesítményben (ha a melegtartalék-létesítmények használata időben korlátozott),
ce) normalizáció: az új állandó elektronikus információs rendszer kiépítése és arra az üzemelő rendszer áttelepítése;
d) tesztelési terv: azokat a tevékenységeket tartalmazza, amelyek ellenőrzik és biztosítják a katasztrófa-elhárítási terv működőképességét;
e) a karbantartási (üzemben tartási) terv: a szervezet változása esetén a karbantartási tervet kell felhasználni a katasztrófa-elhárítási terv aktuális állapotban tartására;
f) az érintett személyek elérési adatai.
378. Intézkedni kell:
a) a kár megelőzésére és a károk minimalizálására a jelen szabályzatban foglaltak alapján (pl. belső vagy külső háttér-, illetve tartalék munkaállomás-kapacitás előkészítése szükségüzem esetére az elégséges hardver- és szoftverkonfiguráció rögzítésével),[68]
b) a katasztrófák, veszélyhelyzetek bekövetkezésekor,
c) szolgáltatás-visszaállítás,
d) a rendszer (folytonosságának) visszaállítására a katasztrófákat és a káreseményeket követően,
e) a veszélyhelyzetek és a katasztrófák esetszimulálására, begyakorlására, intézkedések modellezésére, illetőleg kipróbálására.
379. A tervek tesztelését egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kell megvalósítani. Ennek keretében az eseménykezelő szervezet, az üzemeltető személyzet és a felhasználók a valós körülményeknek megfelelően gyakorolják a visszaállítási terv utasításainak végrehajtását.
380. A teszt értékelése során az üzletmenet folytonosságát biztosító terveket módosítani, aktualizálni kell, és gondoskodni kell azok egymáshoz való illesztéséről. A terveket a folytonosan változó helyzethez, körülményekhez (személyzet, stratégia, infrastruktúra), követelményekhez (szabályok, kockázatok) is hozzá kell igazítani.
1. függelék[69]
BIZTONSÁGI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT
Kitöltési útmutató
A segédtábla célja:
Az elektronikus információs rendszerek (a továbbiakban: EIR) biztonsági osztályba sorolása a BM szakirányításában lévő rendszerek esetén a jelen segédtábla kitöltésével történik.
A segédtábla felépítése:
01 - Kitöltési útmutató (nem kitölthető)
02 - EIR alapadatok (kitöltése kötelező, az EIR-hez kapcsolódó alapadatokat kell megadni)
03 - EIR felmérés (kitöltése kötelező, az EIR biztonági osztályba sorolásához kapcsolódó adatokat kell megadni)
A segédtábla jelzései:
A szürke színnel jelölt mezők nem kitölthetőek.
A piros színnel jelölt mezők kitöltése kötelező.
A fehér színnel jelölt mezők kitöltése opcionális, de a bizalmasság, sértetlenség és rendelkezésre állás biztonsági célok tekintetében legalább egy-egy 'IGAZ' értéket meg kell adni a biztonsági osztályba sorolás elvégzéséhez.
A sárga színnel jelölt mezők jelzik, ha az EIR osztályba sorolása a 03 munkalapon még nem teljes, ezért ott további adatokat kell megadni.
A munkalap zöld színnel jelzi a megadott adatokat.
A biztonsági osztályba sorolásról általánosan:
Az EIR biztonsági osztályba sorolása alkalmával több tényezőt is kell mérlegelni:
a) a rendszerre megállapított maximálisan elviselhető kiesési időt meghaladó mértékű biztonsági esemény milyen mértékben okozhat közvetett vagy közvetlen anyagi kárt, személyi sérülést, társadalmi politikai hatást, esetleg üzlet- vagy ügymenetet érintő kárt;
b) a káreseményt kiváltó esemény bekövetkezésének valószínűsége;
c) a rendszer kezel-e minősített adatokat vagy különleges adatokat;
d) a rendszer nemzeti adatvagyon körébe tartozó állami nyilvántartás-e;
e) a rendszer létfontosságú információs rendszerelem-e.
A bizalmasság, a sértetlenség és a rendelkezésre állás egységeinek kitöltésekor a szempontban meghatározott fogalom alapján felmerülő kockázati tényezők fenyegetettségét figyelembe véve kell a kármértékszintet megbecsülni az alábbiak szerint:
a) A bizalmasság fogalma alapvetően az adathoz való jogosulatlan hozzáférést jelenti, sérülése az ebből következő, a szervezet működését és megítélését befolyásoló negatív hatás.
b) A sértetlenség biztonsági célja az adat megváltozásának, megsemmisülésének (a rendszer által szolgáltatott adatok tartalma hiányos, pontatlan vagy valótlan, illetve a rendszer helytelen információt közölt) a szervezet működését és megítélését befolyásoló hatását jelenti.
c) A rendelkezésre állás kiesése az elektronikus információs rendszer és így a rendszer által kezelt adat a jogosultak általi elérésének, felhasználásának előre nem tervezett korlátozottságát vagy hiányát jelenti.
Amíg a káresemények nagyságát, illetve a vonatkozó jogszabályokat nagyon pontosan meg lehet adni, addig a bekövetkezési valószínűségre nem lehetséges pontos adatok megadása, ezért annak becslésére van szükség. A becsléshez felhasználható minden releváns adat, úgy mint: korábbi tapasztalatok, releváns iparági sztenderdek, legjobb gyakorlatok, szabványok, ajánlások stb.
A segédtábla működése:
A 02 munkalapon ki kell tölteni az EIR-hez kapcsolódó alapadatokat.
A biztonsági osztály megállapításához a 03 munkalapon a következőket kell megadni: Az első 4 mezőben válaszolni kell az EIR jogi státuszával kapcsolatos kérdésekre. A bizalmasság, a sértetlenség és a rendelkezésre állás blokkokban legalább egy-egy esetben az 'IGAZ' választ kell megadni bekövetkező káresemény által kiváltott kár maximális mértéke mezők valamelyikében, hogy az eredmény számítható legyen. A több érték megadása pontosabbá teszi az eredményt. Meg kell adni a beállított legnagyobb káreseményt kiváltó esemény bekövetkezési valószínűségét. A táblázat a káresemény nagysága és annak bekövetkezés valószínűsége alapján határozza meg az EIR biztonsági osztályát.
A segédtábla az egymásnak ellentmondó értékeket nem értelmezni, azok közül a szigorúbb követelményeket (magasabb biztonsági osztályt eredményező) jelentő értéket veszi figyelembe.
Figyelem! Az Ibtv.-ben meghatározott és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendeletben részletezett biztonsági osztályba sorolás elvégzése a segédtáblában rögzített elvek figyelembevételével az adatgazda felelőssége. A segédtábla által szolgáltatott eredmény a döntéshez csak iránymutatást képez. Amennyiben a segédtábla által szolgáltatott eredmény az ElR-től "elvárt" eredménytől különbözik (annál magasabb, esetleg alacsonyabb) akkor az elektronikus információbiztonsági vezető (EIV) felé jelezni kell a táblázat által szolgáltatott, pontatlannak ítélt eredményt, továbbá az ezek helyett megállapított biztonsági osztályokat indoklással ellátva. Továbbá az adatgazda felelősége, hogy a kockázatelemzést évente legalább egyszer felülvizsgálja. Továbbá ha változás áll be az EIR-ben vagy annak működési környezetében (új fenyegetettségek, sebezhetőségek megjelenítése) vagy olyan körülmények esetén amik befolyásolják az EIR biztonsági állapotát ismételt kockázatelemzést kezdeményez, hajt végre az adatgazda.
A káresemény mértékének és bekövetkezési gyakoriságának, valószínűségének összerendelése:
A káresemény mértéke/hatása és a bekövetkezés valószínűsége/gyakorisága alapján a táblázat metszéspontjaiban található értékek az adott biztonsági célra megállapított biztonsági osztályok.
Káreseményt kiváltó esemény bekövetkezésének | Káresemény mértéke, hatása | ||||
gyakorisága, valószínűsége | minimális | enyhe | közepes | jelentős | súlyos |
Nagyon nagy | 1 | 2 | 3 | 4 | 5 |
Nagy | 1 | 2 | 3 | 4 | 5 |
Közepes | 1 | 2 | 3 | 4 | 5 |
Kicsi | 1 | 1 | 2 | 4 | 5 |
Elhanyagolható | 1 | 1 | 2 | 3 | 4 |
Kapcsolódó fogalmak magyarázata (Ibtv.):
adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;
adatfeldolgozó: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;
adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik;
adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;
adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról;
biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége;
biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása;
EIR: lásd elektronikus információs rendszer;
EIBF: lásd elektronikus információs rendszerek biztonságáért felelős személy;
elektronikus információs rendszer: az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese. Egy elektronikus információs rendszernek kell tekinteni adott adatgazda által, adott cél érdekében az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttesét;
elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos;
elektronikus információs rendszer biztonságáért felelős személy: az Ibtv. és a Szervezeti és Működési Szabályzatáról szóló 11/2018. (VI. 12.) BM utasítás 59. §-a alapján az elektronikus információs rendszer biztonságáért felelős személy szerepkörbe az elnök által kijelölt személy;
folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem;
kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye;
kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével;
létfontosságú információs rendszerelem: az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt létfontosságú rendszerelemek azon elektronikus információs létesítményei, eszközei vagy szolgáltatásai, amelyek működésképtelenné válása vagy megsemmisülése az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt létfontosságú rendszerelemeket vagy azok részeit elérhetetlenné tenné, vagy működőképességüket jelentősen csökkentené;
rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;
sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható;
teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem.
Az EIR-hez tartozó alapadatok | ||
EIR neve: | ||
EIR rövid kódja: | ||
EIR állapota: | ||
Adatkezelő szervezet megnevezése: | ||
Adatgazda neve: |
Adatfeldolgozó szervezet megnevezése: | ||
Osztályba sorolás dátuma: | ||
Informatikai szolgáltatásmenedzserek: | ||
Az EIR rövid leírása: | ||
Az EIR biztonsági osztályai (nem kitölthető) | ||
Az EIR bizalmasságának osztálya | ||
AZ EIR sértetlenségének osztálya | ||
Az EIR rendelkezésre állásának osztálya | ||
Az EIR "általános" biztonsági osztálya | ||
Amennyiben az adatgazda a számított besorolással nem ért egyet, javasolhatja az EIR alternatív besorolását. (Amennyiben szükséges, az EIR biztonsági osztályainak meghatározását követően töltendő ki.) | ||
Az adatgazda az alábbi indoklás szerint, a fent meghatározottaktól eltérő, alternatív biztonsági osztály(ok) meghatározását tartja indokoltnak: | Az adatgazda által az EIR bizalmasságára javasolt alternatív biztonsági osztály: | |
Az adatgazda által az EIR sértetlenségére javasolt alternatív biztonsági osztály: | ||
Az adatgazda által az EIR rendelkezésre állására javasolt alternatív biztonsági osztály: | ||
Az adatgazda által javasolt alternatív, "általános" biztonsági osztály: | ||
Az adatgazda indoklása a javasolt biztonsági osztályokhoz: (Az alternatív biztonsági osztályok megadását követően kötelező kitölteni!) |
Az EIR osztályba sorolásához kapcsolódó adatok megadása | ||||
Kategória | Kérdés, állítás | Válasz | ||
Minősített adatok kezelése | A EIR kezel a minősített adat védelméről szóló 2009. évi CLV. törvény szerint meghatározott minősített adatot (mint például nemzeti minősített adat, külföldi minősített adat). | |||
Különleges adatok kezelése | Az EIR kezel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény szerint meghatározott különleges adatot (mint például a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat). | |||
Nemzeti adatvagyon | Az EIR a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról szóló 38/2011. (III. 22.) Korm. rendelet melléklete alapján nemzeti adatvagyon körébe tartozó állami nyilvántartás. | |||
Létfontosságú rendszer | Az EIR a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról szóló 65/2013. (III. 8.) Korm. rendelet alapján létfontosságú rendszerként kijelölésre került. (Létfontosságú információs rendszer és létesítmény: a társadalom olyan hálózatszerű, fizikai vagy virtuális rendszerei, eszközei és módszerei, amelyek az információ folyamatos biztosítása és az informatikai feltételek üzemfolytonosságának szükségességéből adódóan önmagukban létfontosságú rendszerelemek, vagy más azonosított létfontosságú rendszerelemek működéséhez nélkülözhetetlenek.) | |||
Kategória | Bekövetkező káreseményekre vonatkozó kérdések, állítások | Az EIR-ben kezelt adatok bizalmasságában bekövetkező káresemény által kiváltott kár maximális mértéke | Az EIR-ben kezelt adatok vagy az EIR sértetlenségében bekövetkező káresemény által kiváltott kár maximális mértéke | Az EIR-ben kezelt adatok vagy az EIR rendelkezésre állásában bekövetkező káresemény által kiváltott kár maximális mértéke |
Közvetlen és közvetett anyagi kár | a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen | |||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át | ||||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át | ||||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át | ||||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át |
Jogszabály által védett adatok sérülése | az elektronikus információs rendszer nem kezel jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) adatot, így ilyen adatok nem sérülhetnek | |||
az elektronikus információs rendszer jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) személyes adatot kezel, ami sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
az elektronikus információs rendszer jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) személyes adatot kezel, ami nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
az elektronikus információs rendszer jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) személyes adatot kezel, ami kiemelten nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
Különleges személyes adatok sérülése | az elektronikus információs rendszer nem kezel különleges személyes adatot, így ilyen adatok nem sérülhetnek | |||
különleges személyes adat sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
különleges személyes adat nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
különleges személyes adat kiemelten nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
Jogszabály által nem védett adatok sérülése, illetve üzlet- vagy ügymenetet érintő kár | a Szervezet üzlet- vagy ügymenete szempontjából csekély értékű és/vagy csak belső szabályozóval védett adat bizalmassága, sértetlensége, rendelkezésre állása vagy az adatkezelő szerv üzlet- vagy ügymenete szempontjából csekély értékű elektronikus információs rendszer sértetlensége, rendelkezésre állása sérülhet |
a Szervezet üzlet- vagy ügymenete szempontjából érzékeny információt képező adat bizalmassága, sértetlensége vagy rendelkezésre állása vagy az adatkezelő szerv üzlet- vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer sértetlensége, rendelkezésre állása sérülhet | ||||
a Szervezet ügymenete szempontjából nagy értékű üzleti titkot vagy különösen érzékeny adatot képező adat bizalmassága, sértetlensége vagy rendelkezésre állása vagy az adatkezelő szerv üzlet- vagy ügymenete szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer tömegesen vagy jelentős mértékben sérülhet | ||||
a Szervezet ügymenete szempontjából kiemelten érzékeny adat bizalmassága, sértetlensége, rendelkezésre állása vagy tömegesen vagy az adatkezelő szerv ügymenete szempontjából kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer sértetlensége, rendelkezésre állása tömegesen vagy jelentős mértékben sérülhet | ||||
Társadalmi-politikai hatás | nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható | |||
a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető | ||||
a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek | ||||
a káresemény lehetséges társadalmi- politikai hatásaként a jogszabályok betartása vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni |
a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek | ||||
Személyi sérülés | személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket) | |||
emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be | ||||
Nemzeti adatvagyont érő kár | a nemzeti adatvagyon helyreállíthatatlanul megsérülhet | |||
Létfontosságú rendszert érintő kár | az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított | |||
Valószínűség/gyakoriság | A fenti táblázatban megadott legnagyobb kármértékű eseményt kiváltó esemény bekövetkezésének gyakorisága, valószínűsége: | Az EIR-ben kezelt adatok bizalmasságát befolyásoló káresemény gyakorisága, valószínűsége: | Az EIR-ben kezelt adatok vagy az EIR sértetlenségét befolyásoló káresemény gyakorisága, valószínűsége: | Az EIR-ben kezelt adatok vagy az EIR rendelkezésre állását befolyásoló káresemény gyakorisága, valószínűsége: |
Jóváhagyta: | Dátum: | |||
P. H. | ||||
Lábjegyzetek:
[1] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 1. pont). Hatályos 2020.04.11.
[2] Módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet a) pont). Hatályos 2022.09.02.
[3] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[4] Módosította a 38/2016. (XII. 29.) BM utasítás 27. §-a. Hatályos 2017.01.01.
[5] Módosította a 38/2016. (XII. 29.) BM utasítás 27. §-a. Hatályos 2017.01.01.
[6] Beiktatta a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 3. pont). Hatályos 2020.04.11.
[7] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet c) pont). Hatályos 2022.09.02.
[8] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 4. pont). Hatályos 2020.04.11.
[9] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 5. pont). Hatályos 2020.04.11.
[10] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 6. pont). Hatályos 2020.04.11.
[11] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[12] Módosította a 13/2018. (VII. 11.) BM utasítás 19. §-a (lásd 10. melléklet). Hatályos 2018.07.12.
[13] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[14] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[15] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b)-e) pont). Hatályos 2022.09.02.
[16] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 7. pont). Hatályos 2020.04.11.
[17] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 8. pont). Hatályos 2020.04.11.
[18] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[19] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[20] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[21] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[22] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 9. pont). Hatályos 2020.04.11.
[23] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 10. pont). Hatályos 2020.04.11.
[24] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[25] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[26] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet f) pont). Hatályos 2022.09.02.
[27] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 12. pont). Hatályos 2020.04.11.
[28] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 13. pont). Hatályos 2020.04.11.
[29] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[30] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet c) pont). Hatályos 2022.09.02.
[31] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 14. pont). Hatályos 2020.04.11.
[32] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet c) pont). Hatályos 2022.09.02.
[33] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 15. pont). Hatályos 2020.04.11.
[34] Módosította a 26/2020. (XII. 10.) BM utasítás 15. §-a. Hatályos 2020.12.11.
[35] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[36] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[37] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet c) pont). Hatályos 2022.09.02.
[38] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[39] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet g) pont). Hatályos 2022.09.02.
[40] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[41] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 16. pont). Hatályos 2020.04.11.
[42] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 17. pont). Hatályos 2020.04.11.
[43] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 18. pont). Hatályos 2020.04.11.
[44] Módosította a 13/2018. (VII. 11.) BM utasítás 19. §-a (lásd 10. melléklet). Hatályos 2018.07.12.
[45] Módosította a 13/2018. (VII. 11.) BM utasítás 19. §-a (lásd 10. melléklet). Hatályos 2018.07.12.
[46] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 19. pont). Hatályos 2020.04.11.
[47] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet h) pont). Hatályos 2022.09.02.
[48] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[49] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 20. pont). Hatályos 2020.04.11.
[50] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[51] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 21. pont). Hatályos 2020.04.11.
[52] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 22. pont). Hatályos 2020.04.11.
[53] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 23. pont). Hatályos 2020.04.11.
[54] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 24. pont). Hatályos 2020.04.11.
[55] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 25. pont). Hatályos 2020.04.11.
[56] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 26. pont). Hatályos 2020.04.11.
[57] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 27. pont). Hatályos 2020.04.11.
[58] Beiktatta a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 28. pont). Hatályos 2020.04.11.
[59] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[60] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 29. pont). Hatályos 2020.04.11.
[61] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 30. pont). Hatályos 2020.04.11.
[62] Beiktatta a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 31. pont). Hatályos 2020.04.11.
[63] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 32. pont). Hatályos 2020.04.11.
[64] A nyitó szövegrészt módosította a 15/2022. (IX. 1.) BM utasítás 67. §-a (lásd: 16. melléklet b) pont). Hatályos 2022.09.02.
[65] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 33. pont). Hatályos 2020.04.11.
[66] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 34. pont). Hatályos 2020.04.11.
[67] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 35. pont). Hatályos 2020.04.11.
[68] Megállapította a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 36. pont). Hatályos 2020.04.11.
[69] Beiktatta a 6/2020. (IV. 10.) BM utasítás 1. §-a (ld. 1. melléklet 37. pont). Hatályos 2020.04.11.