37/2019. (X. 14.) ORFK utasítás

az Informatikai Biztonsági Szabályzatról szóló 18/2018. (V. 31.) ORFK utasítás módosításáról

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény 6. § (1) bekezdés b) pontjában foglaltak alapján, az Informatikai Biztonsági Szabályzatról szóló 18/2018. (V. 31.) ORFK utasítás módosítására kiadom az alábbi utasítást:

1. Az Informatikai Biztonsági Szabályzatról szóló 18/2018. (V. 31.) ORFK utasítás (a továbbiakban: Utasítás) 3. pont dd) alpontja helyébe a következő rendelkezés lép:

(Az utasítás alkalmazásában:)

"dd) szakmai adatgazda: annak a szervezeti egységnek vagy elemnek a vezetője, ahová jogszabály, közjogi szervezetszabályozó eszköz vagy belső norma az adat kezelését rendeli, aki az adathoz a hozzáférési jogosultságot engedélyezi, illetve ahol az adat keletkezik, támogató rendszer esetén a rendszer üzemeltetője;"

2. Az Utasítás 3. pontja a következő ii)-jj) alponttal egészül ki:

(Az utasítás alkalmazásában:)

"ii) adatosztályozás: az a tevékenység, amely során a szervezet az adatairól, az információs vagyontárgyairól meghatározza, hogy melyek a védendőek és milyen mértékben;

jj) támogató rendszer: minden olyan rendszer, ami nem szakrendszer."

3. Az Utasítás 54. pontja a következő f)-h) alponttal egészül ki:

(A szakmai adatgazda feladatai:)

"f) az érintett szakmai folyamatok kidolgozása;

g) az adatszivárgás elleni védelem érdekében az adatosztályozás elvégzése;

h) a kivezetés előtt álló, már a napi üzem során nem használt rendszerek szakmai gondozása, a kivezetés végrehajtása, annak koordinációja."

4. Az Utasítás a következő 54/A. ponttal egészül ki:

"54/A. A szakmai adatgazda évente jelentésben összesíti az általa aktualizált és felügyelt szakmai folyamatokat, a szakmai kockázatok megjelölésével, státuszjelentést ad az adatosztályozásról. A jelentést a tárgyévet követő év május 31-ig az e-biztonságért felelősön keresztül a szervezet vezetője részére kell felterjeszteni."

5. Az Utasítás 100. pontja helyébe a következő rendelkezés lép:

"100. A Konfiguráció nyilvántartásnak pontosan tükröznie kell az utasítás hatálya alá tartozó elektronikus információs rendszerek aktuális állapotát és a hatókörébe eső valamennyi hardver- és szoftverelemet, továbbá tartalmaznia kell a szükséges és elégséges licenc-, valamint tanúsítványállományt."

6. Az Utasítás 118. pontja helyébe a következő rendelkezés lép:

"118. A mobil eszközöket biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra, ezért a rajta tárolt információkat, alkalmazás hozzáféréseket központi management eszközzel védeni kell."

7. Az Utasítás 131. pontja a következő i) alponttal egészül ki:

(A felhasználók számára tiltani kell a következő tevékenységeket:)

"i) szoftverterjesztés."

8. Az Utasítás 147. pontja helyébe a következő rendelkezés lép:

"147. Dokumentált és engedélyezett módon kell kezelni minden olyan szervezeti, folyamatbeli, az információ feldolgozó rendszerelemet és rendszerkonfigurációt, valamint a rendszert és a hálózatot érintő változtatást vagy hibát, amelyeknek hatása van vagy lehet az információbiztonságra."

9. Az Utasítás 161. pontja helyébe a következő rendelkezés lép:

"161. A munkaállomások és szerverek karbantartási feladatai között ellenőrizni kell a telepített szoftverek listáját és verzióját, valamint a kritikus és biztonsági frissítések, tanúsítványok állapotát, összevetve az ORFK által elfogadott, és erre a célra rendszeresített, licenc- és tanúsítványgazdálkodást támogató egységes rendszer alkalmazásával."

10. Az Utasítás 169. pontja helyébe a következő rendelkezés lép:

"169. A rendszeren telepített szoftverekről, tanúsítványokról a rendszerüzemeltető naprakész nyilvántartást vezet az ORFK által elfogadott, és erre a célra rendszeresített, licenc- és tanúsítványgazdálkodást támogató egységes rendszer alkalmazásával. A nyilvántartásnak tartalmaznia kell a szoftver megnevezését, verziószámát és a rendszer azon elemeinek listáját, ahol beüzemelésre került."

11. Az Utasítás 171. pontja helyébe a következő rendelkezés lép:

"171. Az operációs rendszer, az alkalmazás és a hálózati aktív eszköz szoftver verzióját, valamint biztonsági patch szintjét tesztelést követően lehetőség szerint a gyártói támogatással rendelkező, legmagasabb szintre kell hozni."

12. Az Utasítás 184. pontja helyébe a következő rendelkezés lép:

"184. Az adatokról, szoftverekről és rendszerképekről a jóváhagyott mentési és archiválási szabályozásnak megfelelően a rendszerüzemeltetőnek dokumentáltan kell mentéseket készíteni, és visszaállítási teszteket kell végrehajtani, a Rendszerbiztonsági Tervben meghatározottak szerint."

13. Az Utasítás 186. pontja helyébe a következő rendelkezés lép:

"186. A naplóbejegyzések vizsgálatát, így különösen a lokális és központi naplóbejegyzések gyűjtését, összefüggéseinek elemzését és jelentését integrált folyamattá kell alakítani, amely a veszélyes vagy tiltott tevékenységekre és történésekre megfelelően képes reagálni."

14. Az Utasítás a következő 195/A. ponttal egészül ki:

"195/A. A Rendőrség tulajdonában vagy használatában álló eszközön a vezeték nélküli (WiFi) internet- és belső hálózati hozzáférési pont (Hotspot) kialakítása kizárólag az INFO vezetőjének engedélyével történhet."

15. Az Utasítás 205. pontja helyébe a következő rendelkezés lép:

"205. A hálózat külső határán aktív hálózati forgalom vizsgálatára és hálózati támadás felismerésére alkalmas, továbbá az alkalmazások és adatbázisok ellenőrzött hozzáférését biztosító tűzfalat kell üzemeltetni."

16. Az Utasítás 220. pontja helyébe a következő rendelkezés lép:

"220. A rendszer fejlesztése során a jogszabályi követelmények és az információbiztonsági szakmai oldal elvárásai alapján a rendszerüzemeltetőnek előzetesen el kell készíteni vagy aktualizálnia kell a rendszerspecifikációra vonatkozó biztonsági követelményrendszert és a Rendszerbiztonsági Tervet."

17. Az Utasítás 2. melléklet 15. pontja a következő nnn)-ooo) alponttal egészül ki:

[Hozzáférés az információs rendszerhez (Alkalmazáshoz, adatbázishoz), jogosultságok:]

"nnn) alkalmazásprogramozási interfész (a továbbiakban: API) security checklist,

ooo) API kulcsok tárolása."

18. Az Utasítás 3. melléklet 1. pont e) alpontja helyébe a következő rendelkezés lép:

(Az informatikai hálózat és telefonközpontok:)

"e) aktív hálózati elemei (switch, router, proxy, tűzfal, WiFi AP, IPS, IDS, DNS, Honeypot, Adatdióda),"

19. Az Utasítás 3. melléklet 1. pontja a következő m) alponttal egészül ki:

(Az informatikai hálózat és telefonközpontok:)

"m) security policy management eszköz."

20. Az Utasítás 3. melléklet 5. pont d) alpontja helyébe a következő rendelkezés lép:

[A WiFi hálózat aktív elemeinek (AP) és management eszközeinek licenc követelményei:]

"d) a szükséges/vásárolt licencek/tanúsítványok ellenőrzésének, nyilvántartásának eszköze, felülete, a tanúsítványalapú hitelesítés leírása,"

21. Az Utasítás 3. melléklet 14. pontja a következő y) alponttal egészül ki:

(Az informatikai hálózat karbantartása, hibajelzés, hibajavítás:)

"y) az aktív eszközök frissítéséhez szükséges internetkapcsolat adatdiódán keresztül történő egyirányú biztosítása."

22. Az Utasítás 3. melléklet 15. pontja a következő z) alponttal egészül ki:

(WiFi hálózat karbantartása, hibajelzés, hibajavítás:)

"z) WiFi bejelentkezési portál dokumentációja (pl. forráskód letölthetősége)."

23. Az Utasítás 3. melléklet 17. pontja a következő y) alponttal egészül ki:

(Az informatikai hálózat aktív elemei konfigurációjának mentése, visszaállítása:)

"y) a gyári beállítások (default értékek) kötelező megváltoztatásának dokumentálása."

24. Az Utasítás 3. melléklet 18. pontja a következő x) alponttal egészül ki:

(A WiFi hálózat aktív elemei konfigurációjának mentése, visszaállítása:)

"x) a gyári beállítások (default értékek) kötelező megváltoztatásának dokumentálása."

25. Az Utasítás 3. melléklet 25. pontja a következő oo) alponttal egészül ki:

[Biztonsággal kapcsolatos védelmek (informatikai hálózat aktív és management eszközei):]

"oo) az eseti vizsgálatokra fenntartott szabad fizikai portok listája."

26. Az Utasítás

a) 3. pont y) alpontjában az "és" szövegrész helyébe a "vagy" szöveg;

b) 9. pontjában a "program telepítése," szövegrész helyébe a "program telepítése, terjesztése," szöveg;

c) 14. pontjában az "általa felismert" szövegrész helyébe az "általa tapasztalt hibát, felismert" szöveg;

d) 16. pontjában az "Informatikai Üzemeltetési Főosztály" szövegrész helyébe az "Informatikai Főosztály (a továbbiakban: INFO)" szöveg;

e) 47. pontjában az "a kormányzati eseménykezelő központ és az eseménykezelő központok feladat-és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendeletben" szövegrész helyébe az "az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendeletben" szöveg;

f) 51. pontjában az "ORFK Gazdasági Főigazgatóság Informatikai Üzemeltetési Főosztály (a továbbiakban: IÜF)" szövegrész helyébe az "INFO" szöveg;

g) 52., 148., 155. és 194. pontjában az "IÜF" szövegrész helyébe az "INFO" szöveg;

h) 74. pontjában a "meghatározott időközönként" szövegrész helyébe a "meghatározott módon és időközönként" szöveg;

i) 179. pontjában a "jóváhagyott vírusellenőrző" szövegrész helyébe a "jóváhagyott, központilag rendszeresített vírusellenőrző" szöveg;

j) 195. pontjában az "engedélyezett módon" szövegrész helyébe az "engedélyezett eszközzel és módon" szöveg;

k) 222. pontjában a "rendszer biztonsági követelményeinek" szövegrész helyébe a "rendszer és a kapcsolódó rendszerek biztonsági követelményeinek" szöveg;

l) 2. melléklet 5. pont f) alpontjában a "licencek" szövegrész helyébe a "licencek/tanúsítványok" szöveg;

m) 2. melléklet 16. pont j) alpontjában a "sértetlenég" szövegrész helyébe a "sértetlenség" szöveg;

n) 3. melléklet 4. pont d)-e) alpontjában, 5. pont d)-e) alpontjában és 6. pont d) és f) alpontjában a "licencek" szövegrész helyébe a "licencek/tanúsítványok" szöveg;

o) 3. melléklet 25. pont c) alpontjában, 26. pont d) alpontjában és 27. pont c) alpontjában a "GovCERT" szövegrész helyébe a "kormányzati eseménykezelő központ" szöveg;

p) 3. melléklet 25. pont l) alpontjában, 26. pont n) alpontjában és 27. pont j) alpontjában a "sértetlenég" szövegrész helyébe a "sértetlenség" szöveg

lép.

27. Ez az utasítás - a 28. pont kivételével - a közzétételét követő napon lép hatályba.

28. A 14. pont az utasítás hatálybalépését követő 30. napon lép hatályba.

29. Ez az utasítás a hatálybalépését követő 31. napon hatályát veszti.

Dr. Balogh János r. vezérőrnagy s. k.,

országos rendőrfőkapitány