21/2021. (IX. 30.) ORFK utasítás
az Informatikai Biztonsági Szabályzatról szóló 18/2018. (V. 31.) ORFK utasítás módosításáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény 6. § (1) bekezdés b) pontjában foglaltak alapján, az Informatikai Biztonsági Szabályzatról szóló 18/2018. (V. 31.) ORFK utasítás módosítására kiadom az alábbi utasítást:
1. Az Informatikai Biztonsági Szabályzatról szóló 18/2018. (V. 31.) ORFK utasítás (a továbbiakban: Utasítás) 3. pontja a következő kk) alponttal egészül ki:
(Az utasítás alkalmazásában:)
"kk) eseménykezelő központ: az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet 2. §-ában kijelölt eseménykezelő központ."
2. Az Utasítás a következő 18/A. ponttal egészül ki:
"18/A. A központi rendszerek biztonsági osztályba sorolási eredményeinek összesítéséről és naprakészen tartásáról az EBFO vezetője gondoskodik. Az erről szóló dokumentumot a gazdasági országos rendőrfőkapitány-helyettes terjeszti fel jóváhagyás céljából az országos rendőrfőkapitány részére."
3. Az Utasítás a következő 23/A. ponttal egészül ki:
"23/A. Ha a rendszer alkalmazásüzemeltetési és szerverüzemeltetési szolgáltatásait más rendőri szerv biztosítja, a Rendszerbiztonsági Terv elkészítéséért a rendszerüzemeltetők egyetemlegesen felelnek."
4. Az Utasítás 40. pontja helyébe a következő rendelkezés lép:
"40. Az informatikai biztonsági szabályok betartásáról az ORFK vonatkozásában az országos rendőrfőkapitány, területi szerv vonatkozásában a területi szerv vezetője által kinevezett vagy megbízott e-biztonságért felelős személy gondoskodik."
5. Az Utasítás 42-43. pontja helyébe a következő rendelkezés lép:
"42. Az EBFO vezetője informatikai biztonsági kérdésekben irányítja, felügyeli és ellenőrzi az informatikai biztonsági előírások teljesítésével összefüggő tevékenységet, az ORFK és a központi rendszerek vonatkozásában ellátja az Ibtv. 13. §-ában az e-biztonságért felelős számára meghatározott feladatokat, így különösen
a) a központi rendszerek vonatkozásában gondoskodik a cselekvési terv elkészítéséről;
b) az ORFK munkaállomásainak informatikai biztonsági felügyeletével összefüggésben működtetési korlátozásokat írhat elő és ellenőrizheti azok betartását;
c) informatikai biztonsági ellenőrzéseket hajt végre;
d) gondoskodik az ORFK felhasználóinak biztonságtudatossági képzéséről;
e) jóváhagyja a Rendszerbiztonsági Tervet és a Hálózatbiztonsági Tervet.
43. Az e-biztonságért felelős tevékenysége során szükség szerint együttműködik az adatvédelmi tisztviselővel, a biztonsági vezetővel, a védelmi tiszttel, a biztonsági összekötővel, az informatikai üzemeltetésért felelős vezetővel, a rendszerüzemeltetővel, valamint az Ibtv.-ben és végrehajtási rendeleteiben meghatározott szervekkel."
6. Az Utasítás a következő 50/A. ponttal egészül ki:
"50/A. Az ORFK informatikai üzemeltetésért felelős vezető az INFO vezetője."
7. Az Utasítás a következő 55/A. ponttal egészül ki:
"55/A. Az ORFK munkaállomásainak üzemeltetéséről külön megállapodás alapján a Készenléti Rendőrség informatikai üzemeltetéstámogatással foglalkozó szervezeti eleme gondoskodik."
8. Az Utasítás 59-60. pontja helyébe a következő rendelkezés lép:
"59. A kibertérből származó kockázatokra vonatkozó figyelmeztetéseket az e-biztonságért felelős fogadja az eseménykezelő központtól, azokat elemzi, és ha intézkedés szükséges, azok végrehajtásáról tájékoztatja az EBFO-t.
60. Az e-biztonságért felelős a biztonsági események felderítése, elhárítása és megelőzése érdekében kapcsolatot tart az eseménykezelő központtal."
9. Az Utasítás a következő 68/A. ponttal egészül ki:
"68/A. A védelmi intézkedések értékelése céljából az ORFK és a területi szerv vezetője által meghatározott gyakorisággal a külső audit lefolytatására független értékelőket kell felkérni."
10. Az Utasítás a következő 219/A. ponttal egészül ki:
"219/A. A rendszer információbiztonságát érintő szerződéskötés esetén az e-biztonságért felelős bevonásával meg kell határozni a funkcionális és garanciális biztonsági követelményeket, a dokumentációs követelményeket és a dokumentumok védelmére vonatkozó követelményeket, továbbá meg kell határozni a fejlesztési környezetre és tervezett üzemeltetési környezetre vonatkozó előírásokat."
11. Az Utasítás a következő 223/A. ponttal egészül ki:
"223/A. A Nemzeti Hírközlési és Informatikai Tanácsról, valamint a Digitális Kormányzati Ügynökség Zártkörűen Működő Részvénytársaság és a kormányzati informatikai beszerzések központosított közbeszerzési rendszeréről szóló 301/2018. (XII. 27.) Korm. rendelet 7. §-ában foglalt éves informatikai beszerzési és éves informatikai fejlesztési terv elkészítése az INFO vezetőjének feladata. A tervekben az információbiztonsággal kapcsolatos beszerzéseket, fejlesztéseket el kell különíteni."
12. Az Utasítás 233. pontja helyébe a következő rendelkezés lép:
"233. Az e-biztonságért felelős személy a biztonsági eseménnyel kapcsolatos információkat begyűjti, biztonsági esemény esetén tájékoztatja az eseménykezelő központot, és intézkedik a biztonsági esemény elhárítására."
13. Az Utasítás
a) 10. alcím címében a "felépítése, feladat- és hatáskörök" szövegrész helyébe a "felépítése, szerepkörök, feladat-és hatáskörök" szöveg;
b) 53. pontjában az "a fejlesztésért felelős, az e-biztonságért felelős, továbbá a biztonságiesemény-kezelési megbízott" szövegrész helyébe az "a fejlesztésért felelős, továbbá az e-biztonságért felelős" szöveg;
c) 231. pontjában az "A területi szerv felelős személye" szövegrész helyébe az "Az e-biztonságért felelős" szöveg;
d) 232. és 236. pontjában az "a felelős személy" szövegrész helyébe az "az e-biztonságért felelős" szöveg;
e) 235. pontjában az "A felelős személy" szövegrész helyébe az "Az e-biztonságért felelős" szöveg;
f) 3. melléklet 25. pont c) alpontjában, 26. pont d) alpontjában és 27. pont c) alpontjában az "a kormányzati eseménykezelő központ" szövegrész helyébe az "az eseménykezelő központ" szöveg
lép.
14. Ez az utasítás a közzétételét követő napon lép hatályba.
15. Hatályát veszti az Utasítás
a) 39. pont c) alpontja;
b) 47. pontja;
c) 48. pontjában az "és a biztonságiesemény-kezelési megbízott" szövegrész;
d) 49. pontja;
e) 230. pontjában az "illetőleg a biztonságiesemény-kezelési megbízottat (továbbiakban együtt: felelős személyek)" szövegrész;
f) 243-248. pontja;
g) 4. melléklete.
16. Ez az utasítás a hatálybalépését követő napon hatályát veszti.
Dr. Töreki Sándor r. vezérőrnagy s. k.,
bűnügyi országos rendőrfőkapitány-helyettes