15/2017. (IV. 28.) HM utasítás
a honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóság és a honvédelmi ágazati elektronikus információbiztonsági eseménykezelő központ feladatainak végrehajtásáról, valamint a sérülékenységvizsgálat lefolytatásának szabályairól
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja és a honvédelemről és a Magyar Honvédségről, valamint a különleges jogrendben bevezethető intézkedésekről szóló 2011. évi CXIII. törvény egyes rendelkezéseinek végrehajtásáról szóló 290/2011. (XII. 22.) Korm. rendelet 2. § (5) bekezdése alapján a következő utasítást adom ki:
1. Általános rendelkezések
1. § Az utasítás hatálya a Honvédelmi Minisztériumra (a továbbiakban: HM), a miniszter közvetlen alárendeltségébe tartozó szervezetekre, a Katonai Nemzetbiztonsági Szolgálatra (a továbbiakban: KNBSZ), a miniszter tulajdonosi joggyakorlása alatt álló gazdasági társaságokra, valamint a Magyar Honvédség (a továbbiakban: MH) hadrendje szerinti katonai szervezetekre (a továbbiakban együtt: honvédelmi szervezetek) terjed ki.
2. § Az utasítás alkalmazásában:
1. biztonsági események kezeléséhez szükséges műszaki vizsgálat: a honvédelmi célú elektronikus információs rendszerek biztonsági eseményeihez köthető műszaki, technikai adatok, rendszerelemek honvédelmi ágazati elektronikus információbiztonsági eseménykezelő központ (a továbbiakban: HÁEIBEK) által irányított elemzése az események megértése és az ismételt bekövetkezésük elhárítását célzó védelmi rendszabály kialakítása érdekében,
2. érintett honvédelmi szervezet: a hatósági eljárásban, a sérülékenységvizsgálatban vagy az eseménykezelésben érintett, honvédelmi célú elektronikus információs rendszert működtető honvédelmi szervezet,
3.[1] hatóság: az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet (a továbbiakban: Kr.1.) 15. § (2) bekezdésében és 24. § (1) bekezdésében meghatározott, a honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó honvédelmi ágazati elektronikus információbiztonsági hatóság,
4.[2] honvédelmi ágazati eseménykezelő központ: az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet (a továbbiakban: Kr.2.) 6. § (1) bekezdésében meghatározott központi feladatokat ellátó HÁEIBEK,
5. vészhelyzeti értesítési eljárás: a sérülékenységvizsgálat végrehajtásakor alkalmazott, a vizsgálatot végző és az érintett szervezet közötti egyedi kapcsolattartás, melynek célja a honvédelmi célú elektronikus információs rendszer üzemeltetésével vagy biztonságával kapcsolatos vizsgálat alatt bekövetkező rendellenességek megakadályozásához vagy megszüntetéséhez szükséges kommunikáció biztosítása.
2. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyelete során ellátandó hatósági feladatokra, az eseménykezelésre és a sérülékenységvizsgálatra vonatkozó közös szabályok
3. § (1)[3] A KNBSZ hatósági döntés-előkészítő feladatokat ellátó szakmai szervezeti egysége és a HÁEIBEK feladatait az érintett honvédelmi szervezetek felé közvetlenül hajtja végre. A KNBSZ hatósági döntés-előkészítő feladatokat ellátó szakmai szervezeti egysége és a HÁEIBEK az MHP elektronikus információbiztonság szakmai irányításáért felelős szervezeti egységét a szakmai alárendeltségébe tartozó érintett honvédelmi szervezettel kapcsolatos eljárásáról egyidejűleg értesíti.
(2) Hatósági ellenőrzéskor vagy sérülékenységvizsgálat végrehajtása során a honvédelmi célú elektronikus rendszer utolsó vizsgálati eredményeit és a végrehajtott intézkedéseket át kell tekinteni.
(3) A hatóság és a HÁEIBEK nyilvántartásainak vezetése során az adatok kezelése az érintett honvédelmi szervezetek és eseménykezelő központok felelősségi köréhez igazodva elkülönítve történik.
3. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyelete során ellátandó hatósági feladatok
4. § (1) A honvédelmi célú elektronikus információs rendszerek felügyeletét ellátó hatóság Kr.1. szerinti eljárásával és feladataival összefüggő döntés-előkészítő tevékenységet a KNBSZ kijelölt szakmai szervezeti egysége végzi, a hatósági döntések meghozatala kizárólag a KNBSZ főigazgatójának hatáskörébe tartozik.
(2) A honvédelmi célú elektronikus információs rendszerek éves ellenőrzési feladatainak tervezését és végrehajtását a hatóság lehetőség szerint az elektronikus információvédelmi szakmai irányításért felelős HM szerv ellenőrzéseinek figyelembevételével végzi.
(3) Az éves ellenőrzési tervben foglalt ellenőrzéseken felül a honvédelmi miniszter eseti ellenőrzést is elrendelhet.
(4)[4] A hatóság a biztonsági események kivizsgálása, ellenőrzés vagy visszaellenőrzés során feladatokat határozhat meg, ajánlásokat tehet az MHP elektronikus információbiztonság szakmai irányításáért felelős szervezeti egysége, az érintett honvédelmi szervezet biztonsági vagy üzemeltető állománya, valamint a biztonsági események kivizsgálásában részt vevő személyek részére.
(5) A hatóság nyilvántartást vezet a honvédelmi célú elektronikus információs rendszerekről, az üzemeltetésért és biztonságért felelős honvédelmi szervezetekről és személyekről, az együttműködő nemzeti hatóságokról, eseménykezelő központokról, külföldi eseménykezelő vagy kibervédelmi szakmai szervezetekről és elérhetőségi adataikról, változások esetén az érintett együttműködőket tájékoztatja.
(6)[5] A hatóság a honvédelmi célú elektronikus információs rendszerek működése során keletkezett, a biztonsági osztályhoz tartozó védelmi rendszabályok hatékonyságának vizsgálata érdekében szakmai alárendeltségébe tartozó érintett honvédelmi szervezet esetén az MHP elektronikus információbiztonság szakmai irányításáért felelős szervezeti egységétől összesített vagy az érintett honvédelmi szervezetektől rendszerenként elkülönített adatokat kérhet.
(7)[6] A hatóság a Kr.1. szerinti hatósággal, a Kr.2. 2. §-a szerinti eseménykezelő központtal, a nemzeti vagy nemzetközi eseménykezelő szervezetekkel együttműködik.
(8)[7] A hatóság a HÁEIBEK-kel és az MHP elektronikus információbiztonság szakmai irányításáért felelős szervezeti egységével együttműködve ellátja a nemzetközi, nemzeti vagy ágazati kibervédelmi gyakorlatok ágazati kapcsolattartói feladatait, tervezi, szervezi és koordinálja a honvédelmi szervezetek részvételét, meghatározza azok szakmai feladatait.
(9) A hatóság a honvédelmi célú elektronikus információs rendszerekkel kapcsolatos hatósági feladatok ellátása, a biztonsági események kezeléséhez szükséges műszaki vizsgálat vagy sérülékenységvizsgálat elrendelése során együttműködik különösen a HÁEIBEK-kel, a nemzeti hatóságokkal és eseménykezelő szervezetekkel, az érintett honvédelmi szervezet biztonsági vagy üzemeltető állományával, valamint a biztonsági események kivizsgálásával megbízott személlyel.
(10) Az európai uniós támogatásból, központi költségvetési támogatásból megvalósuló honvédelmi célú elektronikus információs rendszerek elektronikus információbiztonságával kapcsolatos fejlesztési projektek esetén a projekt vezetője a biztonsági követelmények megvalósulásának ellenőrzése érdekében a projekt tervezési szakaszának lezárulása előtt legalább 30 nappal véleménykérés céljából megkeresi a hatóságot. A hatóság észrevételeit, kifogásait a projektterv véglegesítése során figyelembe kell venni.
(11)[8] Ha nincs projektszervezet, akkor a projekt vezetőjének jogszabályban meghatározott feladatát
a) önálló rendszer esetén a fejlesztésért felelős honvédelmi szervezet vezetője,
b) több szervezetet érintő fejlesztés esetén az érintett honvédelmi szervezetek vezetőinek közös megállapodása vagy elöljárói feladatszabás alapján az egyik érintett honvédelmi szervezet vezetője vagy
c) központi üzemeltetésű rendszerelem érintettsége esetén a hálózatgazda
látja el.
(12)[9] A (11) bekezdés c) pontja esetén a hálózatgazda egyidejűleg csatolja a teljes hálózat vonatkozásában felmért biztonsági kockázatok kezelésével összefüggő helyi és központi védelmi intézkedésekre vonatkozó tervet.
(13)[10] A hatóság minimálisan elvárt biztonsági követelményeket határozhat meg, ha a honvédelmi szervezet által megállapított biztonsági osztályhoz tartozó követelmények a honvédelmi érdek érvényesítésére nem elégségesek, különösen:
a) az elektronikus információs rendszer ellenőrzését követően,
b) a biztonsági esemény kivizsgálását követően vagy
c) a hatóság által elrendelt sérülékenységvizsgálat eredményei alapján.
4. A honvédelmi ágazati eseménykezelés feladatai
5. § (1) A KNBSZ a honvédelmi célú elektronikus információs rendszerek elektronikus információbiztonságának támogatása, a rendszerek működése során bekövetkező biztonsági események ágazati szintű kezelése, a sérülékenységvizsgálatok végrehajtása és a fenyegetettségek kezelése érdekében HÁEIBEK-et működtet.
(2) A honvédelmi ágazati szintű eseménykezelés biztosításáért a védelemigazgatás elektronikus információs rendszerének működtetését felügyelő szervezeti egység az üzemeltető eseménykezeléssel kapcsolatos tevékenységéről való tájékoztatás érdekében biztonsági eseménykezelő koordinációt biztosít a HÁEIBEK felé. Az MH kijelölt központi katonai szervezete, valamint a KNBSZ az üzemelő honvédelmi célú elektronikus információs rendszerek sajátosságai szerint kialakított elektronikus eseménykezelő központokat működtetnek.
(3) A (2) bekezdés szerinti koordináció és az eseménykezelő központok működése a HÁEIBEK szakmai felügyeletével történik. A működés szakmai követelményeinek meghatározásáért, a jelentési és információáramlási rendszer kialakításáért a KNBSZ kijelölt szakmai szervezeti egysége a felelős.
(4)[11]
(5)[12]
(6)[13]
(7)[14]
(8)[15]
(9)[16]
(10)[17]
(11)[18]
(12)[19] A HÁEIBEK a hatósággal együttműködve szükség szerint az elektronikus információbiztonsággal kapcsolatos ajánlásokat, tájékoztatásokat ad ki, ezzel összefüggő képzéseket, tájékoztatókat, megbeszéléseket szervez, a tapasztalatok alapján a Kr.2. szerinti eseménykezelő központot és a Kr.1. szerinti hatóságot, az együttműködő szervezeteket a rájuk vonatkozó mértékben tájékoztatja.
(13) A nemzetközi, nemzeti és honvédelmi ágazati kibervédelmi gyakorlatok során a HÁEIBEK irányítja az eseménykezelő és kapcsolattartási folyamatokat, támogatja a honvédelmi szervezetek eseménykezelő tevékenységét. A HÁEIBEK-nél és az érintett honvédelmi szervezeteknél a kibervédelmi gyakorlatokkal kapcsolatos adatok kezelése a biztonsági eseménykezelési ügyektől elkülönítetten történik.
(14) A HÁEIBEK elkülönítve, a vizsgálati eredmények alapján meghatározott ideig tárolja az általa vizsgált rendszerek sérülékenységvizsgálati terveit, jegyzőkönyveit és a csatolt adatokat.
(15) A HÁEIBEK a vizsgálati eredményeket bizalmasan kezeli, az eljáráshoz közvetlenül nem kapcsolódó dokumentumokban csak az adatgazda engedélyével szerepeltethet a vizsgált szervezeti egység azonosítására alkalmas adatokat.
(16)[20]
5. A honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálata
6. § (1)[21] A hatóság által elrendelt honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálatát a HÁEIBEK végzi, együttműködésben a honvédelmi szervezeteknél működő eseménykezelő központokkal, valamint illetékességi körén belül az MHP elektronikus információbiztonság szakmai irányításáért felelős szervezeti egységével.
(2) A sérülékenységvizsgálat elrendelése történhet különösen:
a) biztonsági eseményt követő vizsgálat után,
b) a hatóság éves terve alapján,
c) jelentős biztonsági kockázattal járó teszt, javítás vagy karbantartás hatékonyságának ellenőrzése érdekében,
d) a rendszer biztonsági osztályának változása esetén,
e) a biztonsági módszerek, eljárások változása esetén vagy
f) az elektronikus információbiztonságért felelős szervezet vagy személy igénye alapján.
(2a)[22] A honvédelmi szervezet által kezdeményezett, vagy a HÁEIBEK saját hatáskörében indított sérülékenységvizsgálatot a HÁEIBEK a hatósági elrendelés nélkül folytatja le.
(3)[23] A HÁEIBEK az egységes eljárás érdekében általános sérülékenységvizsgálati módszertant alakít ki. A sérülékenységvizsgálat végrehajtása a módszertan alapján készített egyedi sérülékenységvizsgálati terv alapján történik. A sérülékenységvizsgálati terv kialakítása és a vizsgálatra történő felkészülés érdekében a HÁEIBEK az érintett honvédelmi szervezet vezetőjétől a Kr.2. által meghatározottakon túl további adatokat kérhet be, különösen:
a) az elektronikus információs rendszer az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény szerinti biztonsági osztályba sorolásáról készült dokumentumot,
b) a vizsgálatra kijelölt rendszer valamennyi rendszerelemére kiterjedő részletes topológiát, valamint
c) a sérülékenységvizsgálat végrehajtásához szükséges egyéb dokumentumokat.
(4)[24] A sérülékenységvizsgálat szempontjából érintett honvédelmi szervezet vezetője a vizsgálat elrendelése után megkapja a sérülékenységvizsgálati tervet.
(5) A sérülékenységvizsgálat végrehajtása során a vizsgálatot végző állomány a tevékenységet dokumentálja, figyeli a jogszabály által védett adat biztonságának sérülésére utaló jeleket, szükség esetén vészhelyzeti értesítési eljárást alkalmaz. A vizsgálat befejezését követően a HÁEIBEK a vizsgálati tapasztalatokról tájékoztatja az érintett honvédelmi szervezet vezetőjét.
(6) A sérülékenységvizsgálat nem kezdhető meg, vagy az azonnal leállítható vagy szüneteltethető, ha[25]
a) az érintett honvédelmi szervezet olyan feladat végrehajtását kezdi meg, melynek eredményességét kritikusan befolyásolhatja a vizsgált elektronikus információs rendszer kiesése,
b) a HÁEIBEK más kiemelt fontosságú feladatot kap,
c)[26] készenlétfokozás, válságkezelés, különleges jogrend vagy honvédelmi, egészségügyi veszélyhelyzet kihirdetése történt, vagy
d) a vizsgálat minősített adat vagy más, jogszabály által védett adat biztonságának sérülésére utaló jelet talált.
(7) A (6) bekezdés d) pontja esetén a vészhelyzeti értesítési eljárásnak megfelelően az érintett honvédelmi szervezet biztonsági vezetője vagy az adat védelméért felelős személy értesítést kap a biztonsági eseményről. A biztonsági vezető vagy az adat védelméért felelős személy tájékoztatja a hatáskörrel rendelkező hatóságot, rendszerspecifikus védelmi rendszabályok meghatározásával elrendeli a működési rend helyreállítását, a károk csökkentéséhez szükséges lépések megtételét.
(8)[27] A (6) bekezdés szerinti esetben a vizsgálati dokumentumokban rögzíteni kell a vizsgálat leállításának vagy szüneteltetésének tényét. A HÁEIBEK az érintett honvédelmi szervezet felé tájékoztatást ad a vizsgálat folytatásának rendjéről.
(9)[28] A sérülékenységvizsgálat során keletkezett elektronikus adatokat, dokumentumokat a HÁEIBEK a vizsgálatokhoz rendelve, elkülönítetten tárolja. Az adatok a feltárt hiányosságok megszüntetéséig, illetve a sérülékenységvizsgálat végrehajtásáról készült jegyzőkönyvre meghatározott megőrzési idő leteltéig nem törölhetők.
(10) A sérülékenységvizsgálat végrehajtásáról jegyzőkönyv készül, amelynek kivonatát az érintett szervezet megkapja. A HÁEIBEK által megküldött kivonatnak a tapasztalt biztonsági helyzet értékelése mellett tartalmaznia kell:
a) a hiányosságok helyreállítását célzó feladatokat, javaslatokat, végrehajtási határidőket,
b) a biztonsági szint növelését célzó javaslatokat, lehetőségeket és
c) szükség esetén a visszaellenőrzésre vonatkozó információkat.
(11)[29] Az érintett honvédelmi szervezet intézkedési tervet készít a feltárt hiányosságok felszámolása érdekében. Az érintett honvédelmi szervezet a hiányosságok felszámolásáról tájékoztatja a HÁEIBEK-et és a hatóságot.
(12) A feltárt hiányosságok felszámolásáról, valamint a visszaellenőrzésről szóló dokumentumokat a HÁEIBEK-nél a vizsgálati anyagokhoz csatolva kell tárolni. Visszaellenőrzés során csak az érintett honvédelmi szervezet kérése alapján vagy az időközben bekövetkezett biztonsági esemény észlelése esetén tűzhető ki új vizsgálati cél.
6. Záró rendelkezések
7. § Ez az utasítás a közzétételét követő napon lép hatályba.
Dr. Simicskó István s. k.,
honvédelmi miniszter
Lábjegyzetek:
[1] Megállapította a 65/2020. (XI. 13.) HM utasítás 12. §-a. Hatályos 2020.11.14.
[2] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § a) pontja. Hatályos 2020.11.14.
[3] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § b) pontja. Hatályos 2020.11.14.
[4] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § c) pontja. Hatályos 2020.11.14.
[5] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § d) pontja. Hatályos 2020.11.14.
[6] Megállapította a 65/2020. (XI. 13.) HM utasítás 13. § (1) bekezdése. Hatályos 2020.11.14.
[7] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § e) pontja. Hatályos 2020.11.14.
[8] Beiktatta a 65/2020. (XI. 13.) HM utasítás 13. § (2) bekezdése. Hatályos 2020.11.14.
[9] Beiktatta a 65/2020. (XI. 13.) HM utasítás 13. § (2) bekezdése. Hatályos 2020.11.14.
[10] Beiktatta a 65/2020. (XI. 13.) HM utasítás 13. § (2) bekezdése. Hatályos 2020.11.14.
[11] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[12] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[13] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[14] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[15] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[16] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[17] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[18] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[19] Módosította a 65/2020. (XI. 13.) HM utasítás 16. §-a. Hatályos 2020.11.14.
[20] Hatályon kívül helyezte a 3/2023. (II. 24.) HM utasítás 29. § a) pontja. Hatálytalan 2023.02.25.
[21] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § e) pontja. Hatályos 2020.11.14.
[22] Beiktatta a 65/2020. (XI. 13.) HM utasítás 14. § (1) bekezdése. Hatályos 2020.11.14.
[23] Megállapította a 65/2020. (XI. 13.) HM utasítás 14. § (2) bekezdése. Hatályos 2020.11.14.
[24] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § f) pontja. Hatályos 2020.11.14.
[25] A nyitó szövegrészt módosította a 65/2020. (XI. 13.) HM utasítás 15. § g) pontja. Hatályos 2020.11.14.
[26] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § h) pontja. Hatályos 2020.11.14.
[27] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § i) pontja. Hatályos 2020.11.14.
[28] Megállapította a 65/2020. (XI. 13.) HM utasítás 14. § (3) bekezdése. Hatályos 2020.11.14.
[29] Módosította a 65/2020. (XI. 13.) HM utasítás 15. § j) pontja. Hatályos 2020.11.14.