6/2020. (IV. 10.) BM utasítás
a Belügyminisztérium Informatikai Biztonsági Szabályzatáról szóló 19/2015. (VII. 31.) BM utasítás módosításáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 7. § (1) és (3) bekezdésében foglaltak alapján a következő utasítást adom ki:
1. § A Belügyminisztérium Informatikai Biztonsági Szabályzatáról szóló 19/2015. (VII. 31.) BM utasítás Melléklete az 1. melléklet szerint módosul.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
Dr. Pintér Sándor s. k.,
belügyminiszter
1. melléklet a 6/2020. (IV. 10.) BM utasításhoz
1. A Belügyminisztérium Informatikai Biztonsági Szabályzatáról szóló 19/2015. (VII. 31.) BM utasítás Melléklete (a továbbiakban: Informatikai Biztonsági Szabályzat) 3. pontja helyébe a következő pont lép:
"3. E szabályzat alkalmazásában
3.1. adat: az információnak olyan új formában való ábrázolása, amely alkalmas közlésre, értelmezésre vagy feldolgozásra. Tények, fogalmak vagy utasítások formalizált ábrázolása, amely alkalmas az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra (MSZ ISO 2382-1). A számítástechnikában adat a számítógépes állományok meghatározott része (minden, ami nem program) és mindaz, amivel a számítógépek a kommunikációjuk során foglalkoznak (kimenő és bemenő adat);
3.2. adatállomány: az elektronikus információs rendszerben logikailag összetartozó, együtt kezelt adatok;
3.3. adatátvitel: az adatok elektronikus információs rendszerek, rendszerelemek közötti továbbítása;
3.4. adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, továbbá ahol az adat keletkezik;
3.5. adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;
3.6. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
3.7. adatvédelem: az adatkezelés során érintett természetes személyek jogainak és érdekeinek védelmére és az adatkezelés során felmerülő eljárásokra vonatkozó szabályozások és eljárások;
3.8. adminisztrátor: az alkalmazásokban meghatározott adminisztrátori funkciók (jogosultságbeállítás, alkalmazás működési paramétereinek beállítása, adatszótárak kezelése stb.) használatára jogosult személy, akit az adatgazda jelöl ki;
3.9. behatolás: védett rendszerbe jogosulatlan belépés a védelem megkerülésével vagy védelmi hiba kihasználásával;
3.10. bejelentkezés: a felhasználó által kezdeményezett olyan logikai kapcsolat, amelynek eredményeképpen az elektronikus információs rendszer funkcióinak használata lehetővé válik;
3.11. bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, rendelkezhetnek a felhasználásáról;
3.12. biztonsági esemény: az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült vagy megsérülhet;
3.13. biztonsági követelmények: a kockázatelemzés eredményeként megállapított, elfogadhatatlanul magas kockázattal rendelkező fenyegető tényezők ellen irányuló biztonsági szükségletek együttese;
3.14. biztonsági mechanizmus: valamely biztonsági követelmény(eke)t megvalósító eljárás, módszer vagy megoldási elv, amely lehet számítástechnikai műszaki tartalmú is;
3.15. elektronikus aláírás: az elektronikus információs rendszerben kezelt adathoz csatolt, kódolással előállított jelsorozat, amely az adat, illetve az eljáró személy azonosságának, hitelességének és sértetlenségének bizonyítására használható;
3.16. elektronikus információs rendszer:
a) az elektronikus hírközlésről szóló törvény szerinti elektronikus hírközlő hálózat,
b) minden olyan eszköz vagy egymással összekapcsolt vagy kapcsolatban álló eszközök csoportja, amelyek közül egy vagy több valamely program alapján digitális adatok automatizált kezelését végzi, vagy
c) az a) és b) pontban szereplő elemek által működésük, használatuk, védelmük és karbantartásuk céljából tárolt, kezelt, visszakeresett vagy továbbított digitális adatok összessége;
3.17. érzékeny adat: olyan adat, amely az információbiztonság szempontjából a sérülékenység és a fenyegetettség ténye alá esik (pl. a felhasználás folyamatainak leírása, az eljárás, az adatszerkezetek vagy az engedélyezési folyamatok);
3.18. felhasználói rendszer: olyan alkalmazás, amelyet a felhasználó saját speciális céljai elérése érdekében vezet be, és amely a hardver- és az üzemi rendszer, rendszerprogramok funkcióit használja;
3.19. fenyegetettség: olyan állapot, amelyben az erőforrások felfedésére, módosítására vagy elpusztítására kerülhet sor;
3.20. funkcionalitás: az elektronikus informatikai rendszerelem (ideértve az adatot is) azon tulajdonsága, hogy az a felhasználói céloknak megfelel és használható;
3.21. gyenge pont: az informatikai rendszerelem olyan része vagy tulajdonsága, amelyen keresztül valamely fenyegetés megvalósulhat;
3.22. hálózat: informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége;
3.23. helyreállítás: a katasztrófa következtében megsérült erőforrások eredeti állapotának eredeti helyen történő biztosítása;
3.24. hitelesség: az adat azon tulajdonsága, hogy az bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik;
3.25. hozzáférés: olyan eljárás, amely valamely elektronikus információs rendszer használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat;
3.26. illetéktelen személy: aki az adat megismerésére nem jogosult;
3.27. információbiztonság: egy olyan állapot, amelyben valaki/valami a lehetséges fenyegető hatások ellen a megkívánt mértékben védett;
3.28. információvédelem: az elektronikus információs rendszerekben kezelt adatok által hordozott információk bizalmasságának, hitelességének sérelmével és ennek veszélyével fenyegető állapotok elleni, az információbiztonság (mint megkívánt állapot) megteremtésére és fenntartására irányuló tevékenységek, rendszabályok összessége;
3.29. informatikai infrastruktúra: mindazon hardver- és szoftvereszközök, elektronikus információs rendszerek, hálózatok, alkalmazások, programok összessége, amelyek segítik és kiszolgálják a szervezet kommunikációs, adatfeldolgozó és adatátviteli tevékenységét;
3.30. internet: a TCP/IP-protokollon alapuló, nyilvános, világméretű számítógépes hálózat, amely a szolgáltatások széles skáláját nyújtja felhasználóinak (FTP, Gopher, IRC, e-mail, Telnet, http, WWW stb.);
3.31. intranet: olyan számítógép-hálózat, amely az internetprotokollt használja, de a külvilág (az internet) felé zárt, vagy csak egy átjárón, illetve tűzfalon keresztül érhető el, amely az intranet külső kapcsolatait szabályozza;
3.32. ITIL: Information Technology Infrastructure Library, az informatikai rendszerek üzemeltetésére és fejlesztésére szolgáló módszertan, illetve ajánlásgyűjtemény, mely alapját képezi az ISO/IEC 20000 szabványnak (az első IT-szolgáltatás-menedzsmentre vonatkozó nemzetközi szabvány);
3.33. jelszó: védett karakterfüzér, amely a felhasználói névvel együtt használva szolgál a belépni szándékozó azonosítására;
3.34. katasztrófa-elhárítási terv: az elektronikus információs rendszer rendelkezésre állásának megszűnése vagy nagymértékű csökkenése utáni visszaállításra vonatkozó terv;
3.35. kiesési idő: az elektronikus információs rendszer leállásától a következő elérési lehetőségig tartó idő;
3.36. kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye;
3.37. kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése;
3.38. kormányzati elektronikus levelezési cím:
a) a gov.hu végződésű e-mail-címek,
b) a Kormány, illetve a Kormány tagja által irányított vagy felügyelt szerv által biztosított hivatalos elektronikus levelezési címek,
c) a Kormány tagja vagy kormánybiztos tulajdonosi joggyakorlása alá tartozó gazdasági társaság által biztosított hivatalos elektronikus levelezési címek,
d) a Kormány, illetve a Kormány tagja által irányított vagy felügyelt szerv vagy a Kormány tagja vagy kormánybiztos tulajdonosi joggyakorlása alatt álló gazdasági társaság tulajdonosi joggyakorlása alá tartozó gazdasági társaság által biztosított hivatalos elektronikus levelezési címek, valamint
e) a Kormány irányítása vagy felügyelete alá nem tartozó, Alaptörvényben meghatározott szerv hivatalos elektronikus levelezési címei;
3.39. kormányzati igazgatási irat:
a) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 27. § (5) bekezdésére utaló megjelöléssel ellátott,
aa) a Kormány részére készített előterjesztés,
ab) a Kormány részére készített jelentés,
ac) miniszteri rendelet tervezete,
b) az a) pont szerinti iratról készített másolat vagy kivonat
az a) pont szerinti irat előállításától az irat szerinti döntés kihirdetéséig, közzétételéig, valamint törvényjavaslatot tartalmazó irat esetében a törvényjavaslat Országgyűlés részére történő benyújtásáig;
3.40. kódolás: nyílt üzenet kódolása kriptográfiai eljárással, eszközzel vagy módszerrel, melynek eredménye a titkosított üzenet;
3.41. kriptográfia: mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak a kutatása, alkalmazása, amelyek az információ bizalmasságát, hitelességét vagy sértetlenségét hivatottak megvédeni;
3.42. kulcs: a kriptológiában a kódolás és a megfejtés műveleteihez használt szimbólumok sorozata, az adatbáziskezelésben egy rekord vagy rekordcsoport azonosítója, a mechanikai védelemben a zárak nyitásához és zárásához használt eszköz;
3.43. kulcsmenedzsment: a kriptográfiában a kódolás és a megfejtés műveleteihez használt kulcsok előállítása, tárolása, szétosztása, törlése, archiválása és alkalmazása, és ezek szabályrendszere;
3.44. megoldás: a kódolt üzenet legális címzettje által, az eljárás ismeretében az eredeti üzenet visszaállítása;
3.45. megszemélyesítés: egy entitás (személy, program, folyamat stb.) magát más entitásnak tünteti fel;
3.46. minősítés: az a döntés, melynek meghozatala során az arra felhatalmazott személy megállapítja, hogy egy adat a tartalmánál fogva a nyilvánosságát korlátozó titokkörbe tartozik;
3.47. működésfolytonosság: az elektronikus információs rendszer üzemi működése folytonosságának azon szintje, amely során a kiesési kockázati szint a szervezet számára elviselhető;
3.48. működtetés: az elektronikus információs rendszer funkcióinak rendeltetésszerű használata, az elektronikus információs rendszer adatainak kezelése (létrehozás, módosítás, törlés, lekérdezés, adattovábbítás stb.);
3.49. nyílt tárolás: a ki- és belépés nem ellenőrzött a tárolási területen;
3.50. program: a számítógépes utasítások logikailag és funkcionálisan összetartozó sorozata;
3.51. rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;
3.52. rendszerelemek: az adatokat körülvevő, az elektronikus információs rendszer részét képző elemek, amelyek a következő rendszerelem-csoportokba oszthatók:
a) az elektronikus információs rendszer környezetét alkotó infrastruktúra,
b) az elektronikus információs rendszer hardverelemei,
c) az elektronikus információs rendszer szoftverelemei,
d) az elektronikus információs rendszer kommunikációs elemei,
e) az adathordozók,
f) az input és output dokumentumok, az elektronikus információs rendszerre vonatkozó dokumentációk,
g) az elektronikus információs rendszerben részt vevő emberi erőforrások;
3.53. rendszergazda (technikai privilegizált felhasználó): az elektronikus információs rendszerek üzemeltetését végző szakember, akivel szemben alapvető feltétel, hogy az informatikai vezető által előírt képesítési követelményeknek megfeleljen;
3.54. rendszerprogram - információs rendszer: funkcionálisan összetartozó, egységes szabályozás hatálya alá tartozó, szervezett információs tevékenységek, folyamatok. Tágabb értelemben az egyes információs rendszerek részét képezik az általuk kezelt információk, az információs tevékenységeket végrehajtó szereplők és a végrehajtás során felhasznált erőforrások is;
3.55. rendszerprogram (rendszerszoftver): az operációs rendszer részeként futó vagy operációs rendszer környezetben telepített általános célú program;
3.56. sebezhetőség: a veszélyforrás képezte sikeres támadás bekövetkezése esetén az erőforrások sérülésének lehetősége;
3.57. sérülékenységi teszt: az adatkezelő által megrendelt fejlesztés idején a fejlesztő vagy erre külön szerződő szakértő végzi el. A teszt megléte nem befolyásolja a sérülékenységi vizsgálat szükségességét;
3.58. sérülékenységi vizsgálat: NKI GovCert végzi jogszabály alapján;
3.59. SSL (Secure Socket Layer): a Netscape által kifejlesztett nyílt szabvány ajánlásbiztonságos kommunikációs csatorna létrehozására a továbbított adatok védelme érdekében;
3.60. támadás: védett érték megszerzésére, megsemmisítésére, károkozásra irányuló cselekmény. Támadás alatt nem csak a személyek, szervezetek által elkövetett támadásokat, de áttételesen a gondatlanságból, nem szándékosan kiváltott veszélyeztetéseket és a környezeti, természeti fenyegetéseket is értjük, amely támadások legtöbbször nem közvetlenül érik a védett értéket, hanem a körülményektől függő támadási útvonalon zajlanak le;
3.61. távmunka: olyan munkavégzés, amely a szervezet épületén kívül történik;
3.62. teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
3.63. üzletmenetfolytonosság-tervezés: az elektronikus információs rendszer rendelkezésre állásának olyan szinten történő fenntartása, hogy a kiesésből származó károk a szervezet számára még elviselhetőek legyenek;
3.64. üzemeltetés: az elektronikus információs rendszerek működőképességét biztosító informatikai környezet létrehozása, karbantartása;
3.65. üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős;
3.66. üzemzavar: amikor az üzemeltetés tárgya működőképes, de az üzemállapot-jellemzői közül egy vagy több a tűrési értéken kívül esik;
3.67. védett (biztonsági) zóna, terület: a védett létesítmény azon területi, funkcionális egysége, amely biztonsági kockázati szempontból egy egységnek tekinthető, a bevezetésre szánt védelmi intézkedések egységes egészet alkotnak, miközben illeszkedik az egész védett létesítmény komplex, mélységi védelmi elvek alapján kialakított rendszerébe;
3.68. vírus: olyan programtörzs, amely a megfertőzött program alkalmazása során másolja, esetleg mutálja is önmagát. Valamilyen beépített feltétel bekövetkezésekor többnyire romboló, néha csak figyelmeztető vagy "tréfás" hatású kódja is elindul. Többnyire komoly károkat okoz, adatot töröl, formázza a merevlemezt, vagy adatállományokat küld szét e-mailben;
3.69. warez-oldal: illegális szoftvermásolatok (az eredeti programba épített másolásvédelmet vagy regisztrációt kijátszva/semlegesítve, és ezáltal bárki számára használhatóvá téve azt) közzétételére fenntartott internetes oldal - warez-site -, ahonnan e programok ingyenesen letölthetők;
3.70. zárt tárolás: a tárolási terület fizikailag körülhatárolt és védett. A ki- és belépés ellenőrzött."
2. Az Informatikai Biztonsági Szabályzat 16. pontja helyébe a következő pont lép:
"16. A BM vezetői hatáskörüknek megfelelően kötelesek közreműködni a szervezet által használt elektronikus információs rendszerek és az azokban kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának zárt, teljes körű és folytonos, a kockázatokkal arányos védelmének biztosításában. Ennek érdekében a vezetők közreműködnek a szükséges utasítások, rendelkezések, valamint szabályzatok kiadásában, továbbá együttműködnek az információbiztonsági felügyeleti tevékenységet ellátó Informatikai Főosztály vezetőjével a védelem adminisztratív, logikai és fizikai intézkedéseinek végrehajtásában, valamint azok időközönkénti ellenőrzésében. Ehhez biztosítják hatáskörükhöz mérten a szükséges anyagi, technikai, információs és emberi erőforrásokat."
3. Az Informatikai Biztonsági Szabályzat 19. pontja a következő p) alponttal egészül ki:
(Az információbiztonsági felügyeleti tevékenységet az Informatikai Főosztály vezetője látja el. Ezen feladatkörében:)
"p) biztosítja, hogy az információbiztonság tudatosságot fenntartó, növelő oktatásban évente legalább egyszer a szervezeten belüli dolgozó teljes személyi állomány részt vegyen. Továbbá minden, a minisztérium állományába újonnan került személynek köteles az állományba vételt követő két hónapon belül az információbiztonsági oktatását biztosítani."
4. Az Informatikai Biztonsági Szabályzat 21. pontja helyébe a következő pont lép:
"21. Az információbiztonsági felelős a szabályzat alapján elkészíti az informatikai biztonságpolitikát, az informatikai biztonsági kézikönyvet és a kockázatelemzési eljárásrendet."
5. Az Informatikai Biztonsági Szabályzat 24. pontja helyébe a következő pont lép:
"24. A kockázatelemzést az elektronikus információs rendszer adatgazdájának kell elvégeznie az 1. függelék alapján. Az adatgazda kérésére a kockázatelemzésbe bevonható az elektronikus információs rendszer fejlesztője, üzemeltetője, valamint közreműködőként a BM információbiztonsági felelőse."
6. Az Informatikai Biztonsági Szabályzat 25. pontja helyébe a következő pont lép:
"25. (1) A kockázatelemzést az adatgazda adja át az információbiztonsági felelősnek, aki megfelelőségi vizsgálat után jóváhagyásra felterjeszti az adatkezelő szervezet első számú vezetőjének az elektronikus információs rendszer osztályba sorolására tett javaslatát.
(2) Miután a szervezet első számú vezetője elfogadta az elektronikus információs rendszer osztályba sorolását, az adatgazda gondoskodik róla, hogy az elektronikus információs rendszer fejlesztője, üzemeltetője a biztonsági osztályba sorolásnak megfelelően kitöltse az Osztályba sorolás és védelmi űrlapot (OVI). Az adatgazda kérésére az információbiztonsági felelős közreműködik az OVI űrlap véglegesítésében.
(3) A kitöltött OVI űrlapot átadja az adatgazda az információbiztonsági felelősnek, aki az állami és önkormányzati szervek információbiztonsági felügyelete (hatóság) felé az elektronikus információs rendszer nyilvántartásba vételét kezdeményezi. Ezt követően az információbiztonsági felelős az elektronikus információs rendszer sérülékenységi vizsgálatát elindítja, kezdeményezi az erre kijelölt szervezetnél (Nemzeti Kibervédelmi Intézet). Sérülékenységi teszt elvégzése minden fejlesztéskor szükséges, sérülékenységi vizsgálat a 3-as és az attól magasabb biztonsági osztályba sorolt elektronikus információs rendszereknél szükséges."
7. Az Informatikai Biztonsági Szabályzat 48. pontja helyébe a következő pont lép:
"48. A tároló helyiségeket a biztonsági osztályoknak megfelelően kell kialakítani, attól függően, hogy milyen adatot vagy eszközt terveznek ott tárolni."
8. Az Informatikai Biztonsági Szabályzat 50. pontja helyébe a következő pont lép:
"50. Zárt tárolás esetén a jogszabályi megfelelőség szerint kell eljárni."
9. Az Informatikai Biztonsági Szabályzat 58. pontja helyébe a következő pont lép:
"58. Minden munkaállomás csak zárolás után hagyható felügyelet nélkül."
10. Az Informatikai Biztonsági Szabályzat 59. pontja helyébe a következő pont lép:
"59. A BIOS-SETUP állítását jelszóhoz kell kötni úgy, hogy annak el kell térnie a felhasználói jelszótól, és azt a munkaállomást felügyelő rendszergazdának kell beállítania, biztosítva, hogy a felhasználó ne tudja az indítási konfigurációt megváltoztatni."
11. Az Informatikai Biztonsági Szabályzat 66. pontja helyébe a következő pont lép:
"66. Az üzemeltetési eljárásokat az üzemeltetést végző a 153. pontnak megfelelően dokumentálja. Kivételes esetben a dokumentálási kötelezettség az üzemeltetést megrendelőt is terhelheti. A dokumentumokat az Informatikai Főosztályon kell tárolni."
12. Az Informatikai Biztonsági Szabályzat 72. pontja helyébe a következő pont lép:
"72. Az éles üzemben működtetett elektronikus információs rendszertől elkülönülten, külön-külön fejlesztői és tesztkörnyezetben kell a fejlesztési szabályok szerint a fejlesztéseket és a teszteléseket végezni."
13. Az Informatikai Biztonsági Szabályzat 75. pontja helyébe a következő pont lép:
"75. A fejlesztő rendszergazdai vagy adminisztrátori jogokkal az éles környezetben üzemeltetett elektronikus információs rendszerekbe csak a rendszergazda közreműködésével, felügyeletével naplózott módon léphet be."
14. Az Informatikai Biztonsági Szabályzat 103. pontja helyébe a következő pont lép:
"103. A hálózatok és a munkaállomások működtetésének feladatait szét kell választani."
15. Az Informatikai Biztonsági Szabályzat 114. pontja helyébe a következő pont lép:
"114. (1) A BM elektronikus levelezési címjegyzéke nem szolgáltatható ki külső személynek.
(2) A kormányzati igazgatási iratok kizárólag a @bm.gov.hu végű elektronikus levelezési címről, kizárólag a kormányzati elektronikus levelezési címekre továbbíthatóak. A kormányzati igazgatási iratok nem kormányzati elektronikus levelezési címre történő továbbítása szabályellenes, kivéve, ha azt kérelem alapján, indokolt esetben engedélyezi a szabályozási és koordinációs helyettes államtitkár, a Közbiztonsági Főigazgatóság esetében a közbiztonsági főigazgató."
16. Az Informatikai Biztonsági Szabályzat 153. pontja helyébe a következő pont lép:
"153. (1) Az elektronikus információs rendszer megbízható üzemeltetése érdekében a következőket kell elkészíteni:
a) logikai és fizikai rendszerterv,
b) üzemeltetési kézikönyv,
c) konfigurációs leírás,
d) forráskód és kapcsolódó dokumentációk (csak az egyedileg fejlesztett elektronikai információs rendszerekre vonatkozóan),
e) üzembehelyezési jegyzőkönyv,
f) katasztrófa-elhárítási terv,
g) üzletmenet-folytonossági terv,
h) a biztonsági rendszerek, alrendszerek dokumentációja,
i) minden egyéb dokumentáció, melyet az információbiztonsági felelős egyedileg megkövetel a rendszerspecifikus információ biztonságára vonatkozóan.
(2) Az f) és a g) pontok szerinti igénymegfogalmazást az elektronikus információs rendszer tekintetében az adatkezelő az adatgazda bevonásával és az információbiztonsági felelős közreműködésével (az adatgazda igénye esetén) készíti el, melynek a végrehajtásához szükséges adaptív tervet, technológiai megoldást a fejlesztő készíti el és adja át az adatkezelőnek és az üzemeltetőnek."
17. Az Informatikai Biztonsági Szabályzat 160. pontja helyébe a következő pont lép:
"160. (1) A felhasználói rendszerek biztonsága érdekében a felhasználói rendszerekben - többek között a felhasználói igényeknek megfelelően kifejlesztett alkalmazásokban - meg kell tervezni a megfelelő ellenőrző eszközöket és eseménynaplókat, valamint a tevékenységek naplózását, melyeknek az alábbiakat kell tartalmazniuk:
a) a bemenő adatok,
b) a belső adatfeldolgozás és
c) a kimenő adatok hitelesítését.
(2) A biztonsági intézkedéseket pontosan, minden részletre kiterjedően dokumentálni kell, az adatfeldolgozó rendszerekben bevitt adatokat hitelesíteni, ellenőrizni kell."
18. Az Informatikai Biztonsági Szabályzat 169. pontja helyébe a következő pont lép:
"169. Olyan nyílt adatok esetében, ahol más védelmi eszközök nem nyújtanak kellő biztonságot, kriptográfiai eszközökkel és technikákkal (pl. digitális aláírás) kell gondoskodni az adatvédelemről."
19. Az Informatikai Biztonsági Szabályzat 233. pont c) alpontja helyébe a következő alpont lép:
(Biztonságos bejelentkezési folyamatot kell kialakítani, amelynek során:)
"c) a munkakör megváltozásakor a felhasználók közvetlen felettesének a felhasználók hozzáférési jogosultságait felül kell vizsgálnia, és szükség esetén intézkednie kell a jogosultságok módosítása iránt;"
20. Az Informatikai Biztonsági Szabályzat 294. pontja helyébe a következő pont lép:
"294. A jogosultságok beállítása alkalmazásszintű felelősség. Minden alkalmazás esetén az adatgazda határozza meg és jelöli ki a jogosultságok beállításáért felelős személyt (adminisztrátort)."
21. Az Informatikai Biztonsági Szabályzat 296. pontja helyébe a következő pont lép:
"296. A BM munkatárs és a külső személy jogosultságát a jogosultságot igénylő vezető, adatkezelési szempontból az adatgazda, biztonsági szempontból az információbiztonsági felelős hagyja jóvá. A jóváhagyott jogosultságigénylő lapot az adatgazda továbbítja a jogosultságbeállítást végző felelős személynek, az adminisztrátornak."
22. Az Informatikai Biztonsági Szabályzat 297. pontja helyébe a következő pont lép:
"297. A jogosultságokat az adminisztrátor állítja be a jogosultságigénylés/-visszavonás lap alapján. A beállítást követően a jogosultságigénylés/-visszavonás lapot az adminisztrátor aláírja, és a beállításról értesíti az adatgazdát, a lapot pedig a jogosultsági nyilvántartásba felveszi."
23. Az Informatikai Biztonsági Szabályzat 300. pontja helyébe a következő pont lép:
"300. Ha elektronikus információs rendszerben jogosultsággal rendelkező BM munkatárs vagy külső személy jogosultságot megalapozó, munkavégzésre vonatkozó jogviszonya megszűnik, a közvetlen vezetője jogosultságigénylés/-visszavonás lapot tölt ki, és átadja az adatgazdának, aki gondoskodik az információbiztonsági felelős és az adminisztrátor tájékoztatásáról a jogosultság visszavonása/megszüntetése érdekében."
24. Az Informatikai Biztonsági Szabályzat 301. pontja helyébe a következő pont lép:
"301. Ha a felhasználó a jogosultságával visszaélve kárt okoz, vagy vállalhatatlan mértékű kockázatot jelent az elektronikus információs rendszerre, az információbiztonsági felelőstől telefonon is kérhető a jogosultság megszüntetése. Ebben az esetben az információbiztonsági felelős a helyzet értékelése után dönt a jogosultság visszavonásáról vagy a kérés elutasításáról. A döntést és a megkeresést is dokumentálni kell. Ha az információbiztonsági felelős a jogok felfüggesztése mellett dönt, azonnal intézkedik a jogok visszavonásáról. Az adminisztrátor ilyen esetben feljegyzésben vagy egyéb módon írásban jelez vissza az információbiztonsági felelősnek, aki a nyilvántartásokban is átvezetteti a módosítást a nyilvántartás és a valós beállítások egyezőségének biztosítása érdekében."
25. Az Informatikai Biztonsági Szabályzat 304. pontja helyébe a következő pont lép:
"304. A felhasználónak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail) vagy személyesen az átadó felé."
26. Az Informatikai Biztonsági Szabályzat 305. pontja helyébe a következő pont lép: "305. A jelszót a felhasználó a lejárati idő előtt megváltoztathatja."
27. Az Informatikai Biztonsági Szabályzat 306. pont c) alpontja helyébe a következő alpont lép:
[A felhasználói jelszavakkal kapcsolatban (ha a rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:]
"c) a jelszó maximális élettartama 3 hónap, 8 karakterváltozás kötelező az új jelszó létrehozásakor,"
28. Az Informatikai Biztonsági Szabályzat a következő 48/A. alcímmel egészül ki:
"48/A. Az adminisztrátori jelszavak kezelése
307/A. Az adminisztrátor írásban felelősséget vállal személyes jelszavainak bizalmas kezeléséért.
307/B. A belépéskor kapott jelszó vagy az ideiglenes jelszó átadása csak biztonságos csatornán történhet, aláírással ellátott kérelem alapján, a felhasználó előzetes azonosítása után. Az ideiglenes jelszavak megváltoztatása kötelező az első belépést követően.
307/C. Az adminisztrátornak minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail) vagy személyesen az átadó felé.
307/D. A jelszót az adminisztrátor a lejárati idő előtt megváltoztathatja.
307/E. Az adminisztrátori jelszavakkal kapcsolatban (ha a rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:
a) a jelszó legalább 12 karakterből álljon,
b) a jelszót a kisbetűk (a-z), a nagybetűk (A-Z), a számok (0-9) és a speciális karakterek legalább három csoportjának felhasználásával kell képezni, az utolsó 12 jelszó nem használható, nem ismételhető, a technikai feltételek teljesülése esetén kétfaktoros azonosítás szükséges,
c) a jelszó maximális élettartama 3 hónap, 12 karakterváltás kötelező az új jelszó létrehozatalakor,
d) a jelszó 10 sikertelen kísérlet után zárolásra kerül,
e) a központi jelszó megadása utáni első bejelentkezéskor a kötelező jelszócserét a rendszernek ki kell kényszerítenie,
f) a számítógépes rendszerekben a jelszavakat nem lehet nyílt formában tárolni. A jelszófájlokat megfelelő kódolási védelemmel kell ellátni.
307/F. Automatikus bejelentkezési eljárások (pl. batch-fájlok vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak adminisztrátori jelszót. Az adminisztrátori azonosítók és jelszavak csak kódolt formában tárolhatók. Az adminisztrátori azonosítók, jelszavak, kriptográfiai kulcsok és az ezekhez tartozó jelszavak nyomtatott formában, lezárt, lepecsételt borítékban, lemezszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni a lezárás dátumának feltüntetésével. Ha BM felsővezetők adminisztrátori azonosítóit, jelszavait, illetve kódoló titkos kulcsait vagy az ezekhez tartozó jelszavakat tárolni kell, akkor azt a titkos ügykezelés szabályainak megfelelően kell őrizni. Különösen védendő munkaállomásokon mérlegelni kell chipkártyás, illetve biometrikus vagy más azonosítás alkalmazását."
29. Az Informatikai Biztonsági Szabályzat 318. pontja helyébe a következő pont lép:
"318. (1) PC-s terminált csak azonosított és hitelesített felhasználó használhat.
(2) Megfelelő védelmi eszköz vagy beépített védelemmel nem rendelkező operációs rendszerek nem használhatók."
30. Az Informatikai Biztonsági Szabályzat 319. pontja helyébe a következő rendelkezés lép:
"319. A felhasználó a kormányzati igazgatási iratoknak az elektronikus levelezési címre történő továbbítását a 114. pontban foglaltak szerint végzi el."
31. Az Informatikai Biztonsági Szabályzat a következő 50/A. alcímmel egészül ki:
"50/A. A rendszergazda (technikai privilegizált) felhasználói jelszavak kezelése
326/A. A rendszergazda írásban felelősséget vállal személyes jelszavainak bizalmas kezeléséért.
326/B. A belépéskor kapott jelszó vagy az ideiglenes jelszó átadása csak biztonságos csatornán történhet aláírással ellátott kérelem alapján, a felhasználó előzetes azonosítása után. Az ideiglenes jelszavak megváltoztatása kötelező az első belépést követően.
326/C. A rendszergazdának minden esetben vissza kell igazolnia új jelszavának az átvételét ellenőrizhető úton (pl. e-mail) vagy személyesen az átadó felé.
326/D. A jelszót a rendszergazda a lejárati idő előtt megváltoztathatja.
326/E. A rendszergazdai jelszavakkal kapcsolatban (ha a rendszerben erre lehetőség van) biztosítani kell a következő követelmények teljesülését:
a) a jelszó legalább 16 karakterből álljon,
b) a jelszót a kisbetűk (a-z), a nagybetűk (A-Z), a számok (0-9) és a speciális karakterek legalább négy csoportjának felhasználásával kell képezni, a jelszó nem ismételhető,
c) a jelszó maximális élettartama 3 hónap, 16 karakterváltás kötelező az új jelszó létrehozatalakor,
d) a jelszó 10 sikertelen kísérlet után zárolásra kerül,
e) a központi jelszó megadása utáni első bejelentkezéskor a kötelező jelszócserét a rendszernek ki kell kényszeríteni,
f) a számítógépes rendszerekben a jelszavakat nem lehet nyílt formában tárolni. A jelszófájlokat megfelelő kódolási védelemmel kell ellátni.
326/F. Automatikus bejelentkezési eljárások (pl. batch-fájlok vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak rendszergazdai jelszót. A rendszergazdai azonosítók és jelszavak is csak kódolt formában tárolhatók. A rendszergazdai azonosítók, jelszavak, kriptográfiai kulcsok és az ezekhez tartozó jelszavak nyomtatott formában, lezárt, lepecsételt borítékban, lemezszekrényben tárolhatók. A lezárt borítékot a lezárónak alá kell írni a lezárás dátumának feltüntetésével. Ha BM felsővezetők rendszergazdai azonosítóit, jelszavait, illetve kódoló titkos kulcsait vagy az ezekhez tartozó jelszavakat tárolni kell, akkor azt a titkos ügykezelés szabályainak megfelelően kell őrizni. Különösen védendő munkaállomásokon mérlegelni kell chipkártyás, illetve biometrikus vagy más azonosítás alkalmazását."
32. Az Informatikai Biztonsági Szabályzat 334. pontja helyébe a következő pont lép:
"334. A külső személyek hordozható munkaállomásain és más informatikai eszközein tárolt - a munkavégzés során megszerzett és a BM-mel kapcsolatos - adatokat a munkavégzés befejezése után visszaállíthatatlanul törölni kell, amiről a partnernek - a szerződéses kapcsolat lezárásának feltételeként - írásos nyilatkozatot kell tennie."
33. Az Informatikai Biztonsági Szabályzat 357. pont b) alpontja helyébe a következő alpont lép:
(Rendszer- vagy alkalmazáshiba esetén:)
"b) amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás vagy vírustámadás okozta, az érintett munkaállomást le kell választani a hálózat(ok)ról, szükség esetén ki kell kapcsolni. Ilyen esetekben fokozottan figyelni kell a hordozható adathordozókra is (pendrive, CD-ROM, mentési médiák), amelyeket a BM munkatársának vizsgálat céljára át kell adnia az információbiztonsági felelősnek,"
34. Az Informatikai Biztonsági Szabályzat 357. pont d) alpontja helyébe a következő alpont lép:
(Rendszer- vagy alkalmazáshiba esetén:)
"d) a meghibásodott munkaállomásokban használt adathordozók kizárólag a biztonsági ellenőrzést követően használhatók más munkaállomásokban."
35. Az Informatikai Biztonsági Szabályzat 377. pont b) alpontja helyébe a következő alpont lép:
(A katasztrófa-elhárítási terv részei:)
"b) a mentési (megelőzési) terv: azon lépések sorozata, amelyeket azért hajtanak végre (a normál üzem során), hogy lehetővé tegyék a szervezet hatékony reagálását a katasztrófára. A mentési terv elmentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz. Így például a munkaállomás, a háttértárak tükrözése és az optikai tárolók használata sokkal könnyebbé teheti adatbázisok, illetve nagytömegű elektronikus dokumentumok helyreállítását;"
36. Az Informatikai Biztonsági Szabályzat 378. pont a) alpontja helyébe a következő alpont lép:
(Intézkedni kell:)
"a) a kár megelőzésére és a károk minimalizálására a jelen szabályzatban foglaltak alapján (pl. belső vagy külső háttér-, illetve tartalék munkaállomás-kapacitás előkészítése szükségüzem esetére az elégséges hardver- és szoftverkonfiguráció rögzítésével),"
37. Az Informatikai Biztonsági Szabályzat az 1. függelék szerinti 1. függelékkel egészül ki.
1. függelék a 6/2020. (IV. 10.) BM utasításhoz
"1. függelék
BIZTONSÁGI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT
Kitöltési útmutató
A segédtábla célja:
Az elektronikus információs rendszerek (a továbbiakban: EIR) biztonsági osztályba sorolása a BM szakirányításában lévő rendszerek esetén a jelen segédtábla kitöltésével történik.
A segédtábla felépítése:
01 - Kitöltési útmutató (nem kitölthető)
02 - EIR alapadatok (kitöltése kötelező, az EIR-hez kapcsolódó alapadatokat kell megadni)
03 - EIR felmérés (kitöltése kötelező, az EIR biztonági osztályba sorolásához kapcsolódó adatokat kell megadni)
A segédtábla jelzései:
A szürke színnel jelölt mezők nem kitölthetőek.
A piros színnel jelölt mezők kitöltése kötelező.
A fehér színnel jelölt mezők kitöltése opcionális, de a bizalmasság, sértetlenség és rendelkezésre állás biztonsági célok tekintetében legalább egy-egy 'IGAZ' értéket meg kell adni a biztonsági osztályba sorolás elvégzéséhez.
A sárga színnel jelölt mezők jelzik, ha az EIR osztályba sorolása a 03 munkalapon még nem teljes, ezért ott további adatokat kell megadni.
A munkalap zöld színnel jelzi a megadott adatokat.
A biztonsági osztályba sorolásról általánosan:
Az EIR biztonsági osztályba sorolása alkalmával több tényezőt is kell mérlegelni:
a) a rendszerre megállapított maximálisan elviselhető kiesési időt meghaladó mértékű biztonsági esemény milyen mértékben okozhat közvetett vagy közvetlen anyagi kárt, személyi sérülést, társadalmi politikai hatást, esetleg üzlet- vagy ügymenetet érintő kárt;
b) a káreseményt kiváltó esemény bekövetkezésének valószínűsége;
c) a rendszer kezel-e minősített adatokat vagy különleges adatokat;
d) a rendszer nemzeti adatvagyon körébe tartozó állami nyilvántartás-e;
e) a rendszer létfontosságú információs rendszerelem-e.
A bizalmasság, a sértetlenség és a rendelkezésre állás egységeinek kitöltésekor a szempontban meghatározott fogalom alapján felmerülő kockázati tényezők fenyegetettségét figyelembe véve kell a kármértékszintet megbecsülni az alábbiak szerint:
a) A bizalmasság fogalma alapvetően az adathoz való jogosulatlan hozzáférést jelenti, sérülése az ebből következő, a szervezet működését és megítélését befolyásoló negatív hatás.
b) A sértetlenség biztonsági célja az adat megváltozásának, megsemmisülésének (a rendszer által szolgáltatott adatok tartalma hiányos, pontatlan vagy valótlan, illetve a rendszer helytelen információt közölt) a szervezet működését és megítélését befolyásoló hatását jelenti.
c) A rendelkezésre állás kiesése az elektronikus információs rendszer és így a rendszer által kezelt adat a jogosultak általi elérésének, felhasználásának előre nem tervezett korlátozottságát vagy hiányát jelenti.
Amíg a káresemények nagyságát, illetve a vonatkozó jogszabályokat nagyon pontosan meg lehet adni, addig a bekövetkezési valószínűségre nem lehetséges pontos adatok megadása, ezért annak becslésére van szükség. A becsléshez felhasználható minden releváns adat, úgy mint: korábbi tapasztalatok, releváns iparági sztenderdek, legjobb gyakorlatok, szabványok, ajánlások stb.
A segédtábla működése:
A 02 munkalapon ki kell tölteni az EIR-hez kapcsolódó alapadatokat.
A biztonsági osztály megállapításához a 03 munkalapon a következőket kell megadni: Az első 4 mezőben válaszolni kell az EIR jogi státuszával kapcsolatos kérdésekre. A bizalmasság, a sértetlenség és a rendelkezésre állás blokkokban legalább egy-egy esetben az 'IGAZ' választ kell megadni bekövetkező káresemény által kiváltott kár maximális mértéke mezők valamelyikében, hogy az eredmény számítható legyen. A több érték megadása pontosabbá teszi az eredményt. Meg kell adni a beállított legnagyobb káreseményt kiváltó esemény bekövetkezési valószínűségét. A táblázat a káresemény nagysága és annak bekövetkezés valószínűsége alapján határozza meg az EIR biztonsági osztályát.
A segédtábla az egymásnak ellentmondó értékeket nem értelmezni, azok közül a szigorúbb követelményeket (magasabb biztonsági osztályt eredményező) jelentő értéket veszi figyelembe.
Figyelem! Az Ibtv.-ben meghatározott és az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendeletben részletezett biztonsági osztályba sorolás elvégzése a segédtáblában rögzített elvek figyelembevételével az adatgazda felelőssége. A segédtábla által szolgáltatott eredmény a döntéshez csak iránymutatást képez. Amennyiben a segédtábla által szolgáltatott eredmény az ElR-től "elvárt" eredménytől különbözik (annál magasabb, esetleg alacsonyabb) akkor az elektronikus információbiztonsági vezető (EIV) felé jelezni kell a táblázat által szolgáltatott, pontatlannak ítélt eredményt, továbbá az ezek helyett megállapított biztonsági osztályokat indoklással ellátva. Továbbá az adatgazda felelősége, hogy a kockázatelemzést évente legalább egyszer felülvizsgálja. Továbbá ha változás áll be az EIR-ben vagy annak működési környezetében (új fenyegetettségek, sebezhetőségek megjelenítése) vagy olyan körülmények esetén amik befolyásolják az EIR biztonsági állapotát ismételt kockázatelemzést kezdeményez, hajt végre az adatgazda.
A káresemény mértékének és bekövetkezési gyakoriságának, valószínűségének összerendelése:
A káresemény mértéke/hatása és a bekövetkezés valószínűsége/gyakorisága alapján a táblázat metszéspontjaiban található értékek az adott biztonsági célra megállapított biztonsági osztályok.
Káreseményt kiváltó esemény bekövetkezésének | Káresemény mértéke, hatása | ||||
gyakorisága, valószínűsége | minimális | enyhe | közepes | jelentős | súlyos |
Nagyon nagy | 1 | 2 | 3 | 4 | 5 |
Nagy | 1 | 2 | 3 | 4 | 5 |
Közepes | 1 | 2 | 3 | 4 | 5 |
Kicsi | 1 | 1 | 2 | 4 | 5 |
Elhanyagolható | 1 | 1 | 2 | 3 | 4 |
Kapcsolódó fogalmak magyarázata (Ibtv.):
adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;
adatfeldolgozó: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;
adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik;
adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;
adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;
bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról;
biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége;
biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt erősségének meghatározása;
EIR: lásd elektronikus információs rendszer;
EIBF: lásd elektronikus információs rendszerek biztonságáért felelős személy;
elektronikus információs rendszer: az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese. Egy elektronikus információs rendszernek kell tekinteni adott adatgazda által, adott cél érdekében az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttesét;
elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota, amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos;
elektronikus információs rendszer biztonságáért felelős személy: az Ibtv. és a Szervezeti és Működési Szabályzatáról szóló 11/2018. (VI. 12.) BM utasítás 59. §-a alapján az elektronikus információs rendszer biztonságáért felelős személy szerepkörbe az elnök által kijelölt személy;
folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem;
kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye;
kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével;
létfontosságú információs rendszerelem: az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt létfontosságú rendszerelemek azon elektronikus információs létesítményei, eszközei vagy szolgáltatásai, amelyek működésképtelenné válása vagy megsemmisülése az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt létfontosságú rendszerelemeket vagy azok részeit elérhetetlenné tenné, vagy működőképességüket jelentősen csökkentené;
rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;
sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható;
teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem.
Az EIR-hez tartozó alapadatok | ||
EIR neve: | ||
EIR rövid kódja: | ||
EIR állapota: | ||
Adatkezelő szervezet megnevezése: | ||
Adatgazda neve: |
Adatfeldolgozó szervezet megnevezése: | ||
Osztályba sorolás dátuma: | ||
Informatikai szolgáltatásmenedzserek: | ||
Az EIR rövid leírása: | ||
Az EIR biztonsági osztályai (nem kitölthető) | ||
Az EIR bizalmasságának osztálya | ||
AZ EIR sértetlenségének osztálya | ||
Az EIR rendelkezésre állásának osztálya | ||
Az EIR "általános" biztonsági osztálya | ||
Amennyiben az adatgazda a számított besorolással nem ért egyet, javasolhatja az EIR alternatív besorolását. (Amennyiben szükséges, az EIR biztonsági osztályainak meghatározását követően töltendő ki.) | ||
Az adatgazda az alábbi indoklás szerint, a fent meghatározottaktól eltérő, alternatív biztonsági osztály(ok) meghatározását tartja indokoltnak: | Az adatgazda által az EIR bizalmasságára javasolt alternatív biztonsági osztály: | |
Az adatgazda által az EIR sértetlenségére javasolt alternatív biztonsági osztály: | ||
Az adatgazda által az EIR rendelkezésre állására javasolt alternatív biztonsági osztály: | ||
Az adatgazda által javasolt alternatív, "általános" biztonsági osztály: | ||
Az adatgazda indoklása a javasolt biztonsági osztályokhoz: (Az alternatív biztonsági osztályok megadását követően kötelező kitölteni!) |
Az EIR osztályba sorolásához kapcsolódó adatok megadása | ||||
Kategória | Kérdés, állítás | Válasz | ||
Minősített adatok kezelése | A EIR kezel a minősített adat védelméről szóló 2009. évi CLV. törvény szerint meghatározott minősített adatot (mint például nemzeti minősített adat, külföldi minősített adat). | |||
Különleges adatok kezelése | Az EIR kezel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény szerint meghatározott különleges adatot (mint például a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat). | |||
Nemzeti adatvagyon | Az EIR a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról szóló 38/2011. (III. 22.) Korm. rendelet melléklete alapján nemzeti adatvagyon körébe tartozó állami nyilvántartás. | |||
Létfontosságú rendszer | Az EIR a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról szóló 65/2013. (III. 8.) Korm. rendelet alapján létfontosságú rendszerként kijelölésre került. (Létfontosságú információs rendszer és létesítmény: a társadalom olyan hálózatszerű, fizikai vagy virtuális rendszerei, eszközei és módszerei, amelyek az információ folyamatos biztosítása és az informatikai feltételek üzemfolytonosságának szükségességéből adódóan önmagukban létfontosságú rendszerelemek, vagy más azonosított létfontosságú rendszerelemek működéséhez nélkülözhetetlenek.) | |||
Kategória | Bekövetkező káreseményekre vonatkozó kérdések, állítások | Az EIR-ben kezelt adatok bizalmasságában bekövetkező káresemény által kiváltott kár maximális mértéke | Az EIR-ben kezelt adatok vagy az EIR sértetlenségében bekövetkező káresemény által kiváltott kár maximális mértéke | Az EIR-ben kezelt adatok vagy az EIR rendelkezésre állásában bekövetkező káresemény által kiváltott kár maximális mértéke |
Közvetlen és közvetett anyagi kár | a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez képest jelentéktelen | |||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 1%-át | ||||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 5%-át | ||||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 10%-át | ||||
a közvetlen és közvetett anyagi kár eléri az érintett szervezet költségvetésének 15%-át |
Jogszabály által védett adatok sérülése | az elektronikus információs rendszer nem kezel jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) adatot, így ilyen adatok nem sérülhetnek | |||
az elektronikus információs rendszer jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) személyes adatot kezel, ami sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
az elektronikus információs rendszer jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) személyes adatot kezel, ami nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
az elektronikus információs rendszer jogszabályok által védett (pl. személyes, orvosi, ügyvédi, biztosítási, banktitok stb.) személyes adatot kezel, ami kiemelten nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
Különleges személyes adatok sérülése | az elektronikus információs rendszer nem kezel különleges személyes adatot, így ilyen adatok nem sérülhetnek | |||
különleges személyes adat sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
különleges személyes adat nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
különleges személyes adat kiemelten nagy mennyiségben sérülhet (bizalmasság, sértetlenség vagy rendelkezésre állást tekintve) | ||||
Jogszabály által nem védett adatok sérülése, illetve üzlet- vagy ügymenetet érintő kár | a Szervezet üzlet- vagy ügymenete szempontjából csekély értékű és/vagy csak belső szabályozóval védett adat bizalmassága, sértetlensége, rendelkezésre állása vagy az adatkezelő szerv üzlet- vagy ügymenete szempontjából csekély értékű elektronikus információs rendszer sértetlensége, rendelkezésre állása sérülhet |
a Szervezet üzlet- vagy ügymenete szempontjából érzékeny információt képező adat bizalmassága, sértetlensége vagy rendelkezésre állása vagy az adatkezelő szerv üzlet- vagy ügymenete szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer sértetlensége, rendelkezésre állása sérülhet | ||||
a Szervezet ügymenete szempontjából nagy értékű üzleti titkot vagy különösen érzékeny adatot képező adat bizalmassága, sértetlensége vagy rendelkezésre állása vagy az adatkezelő szerv üzlet- vagy ügymenete szempontjából különösen érzékeny folyamatokat kezelő elektronikus információs rendszer tömegesen vagy jelentős mértékben sérülhet | ||||
a Szervezet ügymenete szempontjából kiemelten érzékeny adat bizalmassága, sértetlensége, rendelkezésre állása vagy tömegesen vagy az adatkezelő szerv ügymenete szempontjából kiemelten érzékeny folyamatokat kezelő elektronikus információs rendszer sértetlensége, rendelkezésre állása tömegesen vagy jelentős mértékben sérülhet | ||||
Társadalmi-politikai hatás | nincs bizalomvesztés, a probléma az érintett szervezeten belül marad, és azon belül meg is oldható | |||
a lehetséges társadalmi-politikai hatás az érintett szervezeten belül kezelhető | ||||
a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek | ||||
a káresemény lehetséges társadalmi- politikai hatásaként a jogszabályok betartása vagy végrehajtása elmaradhat, bekövetkezhet a bizalomvesztés a szervezeten belül, az érintett szervezet felső vezetésében, vagy vezetésében személyi felelősségre vonást kell alkalmazni |
a lehetséges társadalmi-politikai hatás: súlyos bizalomvesztés az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek | ||||
Személyi sérülés | személyi sérülések esélye megnőhet (ideértve például a káresemény miatti ellátás elmaradását, a rendszer irányítatlansága miatti veszélyeket) | |||
emberi életek kerülnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be | ||||
Nemzeti adatvagyont érő kár | a nemzeti adatvagyon helyreállíthatatlanul megsérülhet | |||
Létfontosságú rendszert érintő kár | az ország, a társadalom működőképességének fenntartását biztosító létfontosságú információs rendszer rendelkezésre állása nem biztosított | |||
Valószínűség/gyakoriság | A fenti táblázatban megadott legnagyobb kármértékű eseményt kiváltó esemény bekövetkezésének gyakorisága, valószínűsége: | Az EIR-ben kezelt adatok bizalmasságát befolyásoló káresemény gyakorisága, valószínűsége: | Az EIR-ben kezelt adatok vagy az EIR sértetlenségét befolyásoló káresemény gyakorisága, valószínűsége: | Az EIR-ben kezelt adatok vagy az EIR rendelkezésre állását befolyásoló káresemény gyakorisága, valószínűsége: |
Jóváhagyta: | Dátum: | |||
P. H. | ||||
"