1/1981. (I. 27.) BM rendelet

a számítástechnikai rendszerek titok-, vagyon- és tűzvédelméről

A Minisztertanács felhatalmazása alapján - a Központi Statisztikai Hivatal elnökével, valamint az érdekelt miniszterekkel és országos hatáskörű szervek vezetőivel egyetértésben - a következőket rendelem:

Általános rendelkezések

1. §

(1) E rendelet hatálya kiterjed:

a) a számítógépet és egyéb számítástechnikai berendezést birtokban tartó, üzemeltető vagy számítógépes adatfeldolgozást végző (a továbbiakban: üzemeltető), annak működését megrendelő vagy igénybe vevő (a továbbiakban: felhasználó) valamennyi állami szervre, szövetkezetre, állami feladatot ellátó társadalmi szervezetre, valamint egyesületre (a továbbiakban: szerv);

b) a számítástechnikai rendszerben feldolgozás alatt levő és ott tárolt, illetve a feldolgozás eredményeképpen létrejött, az a) pontban meghatározott szerv ügykörébe tartozó minden, valamint a személyhez fűződő jogokkal kapcsolatban meghatározott iratra vagy adatra (a továbbiakban: adat) illetve adathordozóra, függetlenül annak feldolgozási vagy előállítási módjától és megjelenési formájától;

c) a számítástechnika-alkalmazás teljes folyamatára.

(2) E rendelet alkalmazásában:

a) számítógép és egyéb számítástechnikai berendezés (a továbbiakban: számítástechnikai berendezés) minden olyan gépi berendezés és eszköz, amely az (1) bekezdés b) pontjában meghatározott adat előállításában, feldolgozásában, tárolásában, továbbításában és megjelenítésében részt vesz;

b) számítástechnika-alkalmazás folyamatán a számítástechnikai berendezések üzemeltetése, az alap- és rendszerprogramok, alkalmazási programok és azok dokumentációinak előkészítési, tervezési, megvalósítási, működési és fejlesztési szakaszai, illetve az ezek alapját képező megrendelések (szerződések), valamint az adathordozók tárolása és felhasználása értendők.

2. §

(1) A fegyveres erők és a fegyveres testületek, illetve az e szerveket érintő adatok feldolgozása vonatkozásában az illetékes miniszter, valamint a Munkásőrség országos parancsnoka - a belügyminiszterrel egyetértésben - az e rendeletben foglaltaktól eltérő szabályokat is, megállapíthat.

(2) E rendelet nem érinti az állami népességnyilvántartás rendszerében történő adatszolgáltatásról szóló 6/1979. (X. 24.) BM-HM-IM számú együttes rendelet, valamint a statisztikai adatok elektronikus gépi úton történő feldolgozásáról és tárolásáról szóló 2/1977. (VII. 30.) KSH rendelkezés hatályát.

A védelem tárgya és eszközei

3. §

(1) A számítástechnika-alkalmazás folyamatában és annak szakaszaiban a védelem tárgya:

a) az adatok és azok hordozói végleges megsemmisítésükig, a közlésre szánt adatok a felhasználásukig;

b) a személyhez fűződő és a vagyoni jogok;

c) a számítástechnikai berendezések, azok környezete, működésük biztonsága és a dokumentációik;

d) a számítástechnikai berendezésekhez tartozó okmányok, programok és azok dokumentációi;

e) az alkalmazott biztonsági intézkedések, azok tervei, tartalmi előírásai és eljárási szabályai.

(2) Védelmi eszköznek minősül mindaz a műszaki, technológiai, programozási, szervezési és jogi intézkedés és eszköz, amely a védelem tárgyát a veszélyforrás ellen biztosítja.

(3) Kiegészítő biztonsági intézkedés a titkot képező adatok megőrzését szolgáló szigorító vagy különleges védelmi eszköz.

A védelmi eszközök alkalmazása

4. §

(1) A számítástechnika-alkalmazás folyamatában részt vevő szervek vezetői felelősek a hatáskörükbe tartozó - a számítástechnikai biztonság megteremtéséhez szükséges - intézkedések, illetve védelmi eszközök meghatározásáért és alkalmazásuk feltételeinek biztosításáért.

(2) A számítástechnika-alkalmazás folyamatának bármely szakaszában szükséges kiegészítő biztonsági intézkedést, valamint az ezzel kapcsolatos jogokat és kötelességeket - eltérő rendelkezés hiányában - az e tevékenységben részt vevő szervek vezetői közösen állapítják meg és a szerződésben rögzítik. Ez nem érinti a titkok védelmével kapcsolatos személyi felelősséget.

(3) A (2) bekezdés szerinti kiegészítő biztonsági intézkedést az a szerv köteles alkalmazni, amelynek érdekkörében az felmerül. Ez az irányadó a kiegészítő biztonsági intézkedés alkalmazása költségfedezetének viselésére is.

5. §

(1) A számítástechnika-alkalmazás folyamatában érdekelt üzemeltető szervek felügyeletét ellátó, ennek hiányában az ágazatilag illetékes miniszter, illetőleg országos hatáskörű szerv vezetője (a továbbiakban: felügyeletet ellátó miniszter) e rendelet végrehajtására - a belügyminiszterrel és a Központi Statisztikai Hivatal elnökével egyetértésben - területe sajátosságainak megfelelő utasítást ad ki.

(2) Az utasítás kiterjed:

a) a számítástechnikai berendezések biztonsági követelményeknek megfelelő üzemeltetésére és az általános adatvédelmi előírásokra;

b) a titokvédelmet szolgáló kiegészítő biztonsági intézkedések alkalmazásának szükségességére, módjára és mértékére;

c) a különleges tűz- és vagyonvédelmi feladatokra;

d) a kötelező biztonsági-, jelző- és riasztóberendezések alkalmazására;

e) a távadatfeldolgozás alkalmazásának biztonsági feltételeire és a nemzetközi adatátvitel eljárási rendjére;

f) a tárgyi feltételekre és a személyi felelősségre;

g) a számítástechnikai védelmi szabályzat kiadásának rendjére.

6. §

A számítástechnikai rendszer részletes titok-, vagyon- és tűzvédelmi feladatait az üzemeltető szerv vezetője számítástechnikai védelmi szabályzatban határozza meg.

Titkot képező adatok védelme

7. §

(1) Államtitoknak, illetőleg szolgálati titoknak minősülő adatot csak a védelméhez szükséges kiegészítő biztonsági intézkedések megléte, illetve megtétele esetén lehet számítástechnikai rendszerben feldolgozni. Ez vonatkozik a feldolgozás folyamatában titokká váló adatokra is.

(2) Államtitoknak minősülő adat számítógépes feldolgozásához - eltérő rendelkezés hiányában - a felhasználó szerv vezetője adhat engedélyt. Az engedélyt - a feldolgozás feltételeinek egyidejű meghatározásával - írásban kell megadni.

(3) Szolgálati titoknak minősülő adat számítógépes feldolgozásához az (1) bekezdésben írt feltételek megléte esetén a felhasználó szerv illetékes minősítője adhat meghatározatlan időre szóló engedélyt. Az engedélyt - a feldolgozás feltételeinek egyidejű meghatározásával - írásban kell megadni.

8. §

(1) A számítástechnikai védelmi szabályzatban az államtitoknak és a szolgálati titoknak minősülő adatok számítógépes rendszerben történő feldolgozása teljes technológiai folyamatát szabályozni kell. Meg kell határozni:

a) a nyilvántartási tevékenység szabályait és eszközeit;

b) az adatok bizonylatait és azok áramlásának útját;

c) az adatok feldolgozási folyamatát és védelmük módját;

d) az adattárolás és az adatkibocsátás (továbbítás) rendjét;

e) a feleslegessé vált vagy hibás adatok (adathordozók) selejtezési és megsemmisítési rendjét;

f) a betekintési jogosultságot;

g) az ellenőrzési jogokat és kötelezettségeket.

(2) A bizonylatok kódolására szolgáló kódjegyzék, a szervezési - indokolt esetben - a programozási és üzemeltetési dokumentáció az adatok jellegének megfelelően minősül

9. §

(1) Titoknak minősülő és titkot nem képező adatokat a gépegységeken egyidejűleg feldolgozni csak az operációs és az adatbázis kezelő rendszerben kialakított biztonságos technikai megoldások alkalmazásával lehet.

(2) A különböző minősítésű programok egyidejű futtatásának biztonságos megszervezéséért és az illetéktelen hozzáférés megakadályozásáért az üzemeltető szerv vezetője felelős.

(3) Ha a számítógépes feldolgozás során a titkot nem képező alap- (elsődleges) adatok összesítésük, összefüggéseik révén államtitokká vagy szolgálati titokká válnak vagy eltérő minősítésű és nyílt adatok együttes feldolgozása történik, azokat a jellegüknek megfelelően minősíteni kell. Ez értelemszerűen vonatkozik a feldolgozás dokumentációjára is.

10. §

(1) Az államtitkot vagy szolgálati titkot tartalmazó adathordozót megfelelő minősítési jelöléssel kell ellátni oly módon, hogy az a feldolgozás egész folyamatában azonosítható és értelmezhető legyen. Ezt az eljárást kell alkalmazni a másolások során újraelőállított valamennyi minősített adathordozóra is.

(2) Annak érdekében, hogy az adathordozó nyilvántartása és kezelése során a titok jellege egyértelműen kitűnjön, az azonosításhoz szükséges adatot és más kezelési előírást, az adathordozóval azonos minősítésű kísérőlapon kell feltüntetni.

(3) A programozási dokumentációval együtt átadott másodlagos, kódolt bizonylaton a minősítési jelölést a bizonylatot kiállító szerv tünteti fel.

(4) Az államtitoknak minősülő adatok kódolására, rejtjelzésére használt eszközök, konzolpapírok és az alkalmazott bizonylatok kezelésénél és őrzésénél a titkos ügykezelés (a továbbiakban: TÜK) előírásainak megfelelően kell eljárni.

11. §

A titkot képező adatok védelmét - a feldolgozás, az adattovábbítás és a tárolás során - az operációs rendszerben és a programrendszerekben alkalmazott logikai-matematikai, illetve a berendezésekben alkalmazott megfelelő technikai megoldásokkal is biztosítani kell (software, illetve hardware adatvédelem).

12. §

(1) A minősített adatokat feldolgozó, létrehozó számítógépes adatfeldolgozó rendszer rendszerdokumentációjának tartalmaznia kell az adatállomány megőrzésének és felülírásának szabályait, technológiáját, valamint az adatállomány megsemmisítésére szolgáló fizikai törlő program leírását.

(2) Megőrzés vagy felülírás esetén a rendszerdokumentációban foglaltak szerint kell eljárni.

(3) A titkot képező mágneses adathordozón tárolt adatok fizikai törlése megsemmisítésnek minősül.

(4) Minősített adatokat tartalmazó adathordozó meghibásodása vagy megrongálódása esetén az adathordozót

- a fizikai törlő program alkalmazásával törölni kell vagy

- az indokolt terjedelemben fizikailag meg kell semmisíteni.

(5) A törlő program alkalmazásáról jegyzőkönyvet kell felvenni.

(6) Vizuálisan olvasható adathordozón tárolt, a számítástechnikai eszköz vagy a számítógépes adatfeldolgozó rendszer téves működése miatt hibássá vált titkot képező adatot a minősített adathordozókkal együtt kell tárolni, majd selejtezni kell és meg kell semmisíteni.

13. §

(1) A betekintési jogosultságot és az annak gyakorlását biztosító jelszavak, kulcsok és más eszközök körét az adatfeldolgozásban részt vevő személyekre munkakörönként és a mindenkori feldolgozási üzemmód figyelembevételével - írásban -kell meghatározni.

(2) A betekintési jogosultság meghatározásának arra is ki kell terjednie, hogy a titoknak minősülő adatokhoz ki és milyen feltételek mellett illetékes hozzáférni.

(3) A kijelölt dolgozók előtt a titokvédelmi és egyéb rendszabályokat, valamint a betekintési jogosultság terjedelmét, gyakorlási módját és időtartamát ismertetni kell. Ennek tudomásulvételét írásbeli nyilatkozatba kell foglalni, és erről nyilvántartást kell vezetni.

(4) A titkot képező tárolt adatok jegyzékét, a mindenkori jelszavak és kulcsszavak jegyzékét, valamint az azokat igénybe vevők és a betekintők névsorát a TÜK szabályai szerint kell kezelni.

14. §

(1) Az államtitkot tartalmazó adathordozók tárolásánál a TÜK előírásainak megfelelően kell eljárni.

(2) A titkot tartalmazó adatok biztonsági okokból előállított másolati adathordozóit (másodpéldányokat) más épületben és lehetőleg területileg is távol, biztonságos körülmények között kell tárolni.

15. §

(1) A titkot tartalmazó adathordozó szállítását úgy kell előkészíteni, hogy azt a szállítás közben károsodás ne érje, illetéktelenek hozzá ne férjenek.

(2) A titkot tartalmazó mágneses adathordozót az elektromágneses zavaró hatás ellen védeni kell.

16. §

(1) A távadatfeldolgozás során az államtitok és a szolgálati titok megőrzését kiegészítő biztonsági intézkedésekkel kell biztosítani.

a) Államtitkot mind belföldön, mind külföldre, illetőleg szolgálati titkot külföldre hírközlő eszközön csak rejtjelezve lehet továbbítani:

- a rejtjelző eszközök és módszerek rendszerbe állításához a Belügyminisztérium illetékes szervének előzetes engedélye szükséges;

- a rejtjelző eszközök, módszerek meglétéről, szakszerű használatáról a számítástechnikai berendezést üzemeltető szerv köteles gondoskodni.

b) Az államtitok feldolgozására alkalmazott terminálokat (adatállomásokat) - titokvédelmi szempontból - a számítógépre vonatkozó biztonsági előírásoknak megfelelően kell telepíteni és üzemeltetni, függetlenül azok telepítési helyétől, illetve üzemeltetési módjától.

c) A szolgálati titokhoz való illetéktelen hozzáférést a távadatfeldolgozási környezetben különböző azonosító tárgyak, jelszó-listák felhasználásával, zavaró jelek közbeiktatásával, illetve szigorító biztonsági intézkedések alkalmazásával kell megakadályozni.

d) Az azonosító tárgyak, eszközök, valamint a terminál biztonságos őrzéséről - eltérő megállapodás hiányában - az üzemeltető köteles gondoskodni.

(2) A nemzetközi adatátvitel esetén:

a) államtitok, illetve szolgálati titok tekintetében a 14/1971. (IV. 15.) Korm. sz. rendelet 7. §-ában meghatározott engedély, egyéb adatok tekintetében a felhasználó szerv vezetőjének engedélye szükséges;

b) az adatátvitelről a Belügyminisztérium Titkárságát - államtitok, illetve szolgálati titok esetén előzetesen - tájékoztatni kell.

17. §

(1) A fontos államtitkok feldolgozásával rendszeresen foglalkozó számítástechnikai berendezések telepítésénél és üzemeltetésénél:

a) meg kell akadályozni az államtitkot képező adatoknak a telepítés helyéről elektromágneses kisugárzás útján, illetve vezetékeken történő kijutását;

b) el kell kerülni a nagy teljesítmény-szintű elektromágneses térerő jelenlétét.

(2) A zavaró szintű külső és a számítógép egyes elemei által kisugárzott elektromágneses jelek jelenlétét, valamint a telepítési helyhez csatlakozó valamennyi vezetéket rendszeresen ellenőrizni kell.

(3) A felügyeletet ellátó miniszter által kijelölt számítóközpontot, illetve ennek számítástechnikai berendezéseit az egyedi vizsgálatoknak megfelelő indokoltság szerint védeni kell:

a) az adatokat kisugárzó vagy az elektromágneses térerőre érzékeny berendezéseket rádiófrekvenciás védő árnyékolással ellátott helyiségben kell elhelyezni;

b) a zavaró szintű külső környezeti hatások elkerülésére zaj- és rezgésszigetelést;

c) az adatok elektromos vezetés útján történő kijutásának megakadályozása érdekében megfelelő szűrést, illetve árnyékolást kell alkalmazni;

d) biztosítani kell a titkot képező adatok vizuális, illetve akusztikus kijutása elleni védelmet.

18. §

A számítástechnikai rendszerekben feldolgozott államtitok és szolgálati titok védelmére egyebekben a 3/1971. (IX. 23.) BM rendelet mellékleteként kiadott "Az államtitok és a szolgálati titok védelmének eljárási szabályzata" rendelkezéseit kell alkalmazni.

Vagyon- és tűzvédelem

19. §

(1) A számítástechnikai rendszerek általános vagyon- és tűzvédelmére

a) az Országos Építésügyi Szabályzat és

b) az Országos Tűzvédelmi Szabályzat előírásai, valamint

c) a BM Tűzoltóság Országos Parancsnokságának a számítóközpontok tűzvédelmére vonatkozó - MI-02102. számú - Műszaki Irányelvei érvényesek.

(2) A felügyeletet ellátó miniszter által megállapított nagyértékű, nagyteljesítményű vagy a különösen fontos államtitkok esetenkénti, illetve államtitkok rendszeres feldolgozására kijelölt számítóközpontot, illetve ennek számítástechnikai berendezéseit a káros külső környezeti hatásoktól - értéküknek és fontosságuknak megfelelően - fokozottabb védelemben kell részesíteni. Ennek során:

a) az esetleges veszély időbeni felismeréséhez megfelelő jelzőkészülékeket kell használni (tűz-, füst-, behatolás-, víz-, betörés-, hőmérséklet- és páratartalomjelző);

- A veszélyt jelző készülékeknek riasztórendszerbe való bekapcsolásáról gondoskodni kell. Törekedni kell a jelzés-átviteli vezetékek védelmére, illetve nagy biztonságot nyújtó jelzésátviteli megoldások alkalmazására.

- A behatolást jelző készülékek riasztórendszerbe állítását a területileg illetékes rendőri szervvel előzetesen egyeztetni kell.

b) az őrzés megszervezése érdekében meg kell határozni:

- a megközelítés,

- a ki- és belépés,

- az ott tartózkodás,

- az őrzés és a riasztás rendjét.

20. §

(1) Az elemi csapás okozta károk mérséklése, valamint a gyors helyreállítás érdekében - a 19. § (2) bekezdésében meghatározott számítóközpont esetén - áttelepítési, illetve a számítástechnikai védelmi szabályzat részeként katasztrófa-tervet kell készíteni-

(2) A katasztrófa-tervben kell meghatározni:

- a rendkívüli esemény bekövetkezése utáni teendőket;

- a mentési és a helyreállítási feladatokat;

- a folyamatos üzem biztosításához szükséges háttéreszközöket.

Személyhez fűződő jogok védelme

21. §

(1) Ha nem minősül államtitoknak, e rendelet alkalmazásában szolgálati titokként kell kezelni a természetes személyekre vonatkozó számítógépes nyilvántartást, feldolgozást és az ezek során keletkező adatot, kivéve azt, amelyet nyilvánosságra szántak, továbbá ha abból a természetes személyre nem lehet következtetni.

(2) A szervvel munkaviszonyban vagy munka végzésére irányuló egyéb jogviszonyban álló természetes személyekről számítógépes nyilvántartást, feldolgozást, adatelőállítást, adatközlést elrendelni csak a szerv rendeltetésszerű céljával összefüggésben és csak a szerv vezetőjének engedélyével lehet.

(3) A (2) bekezdés alá nem tartozó természetes személyre vonatkozó számítógépes nyilvántartást, feldolgozást, adatelőállítást, adatközlést elrendelni csak törvény, törvényerejű rendelet, minisztertanácsi rendelet és határozat alapján, a felhasználó szerv felügyeletét ellátó miniszter engedélyével lehet. Az engedélynek tartalmaznia kell az adatfelhasználás célját és a felhasználásra jogosultak körét.

Egyéb adatok védelme

22. §

Az államtitoknak vagy a szolgálati titoknak nem minősülő minden más adat védelmére - ideértve az üzemi titkot is - e rendeletet kell értelemszerűen alkalmazni, ha annak illetéktelen személy tudomására jutása valamely természetes vagy jogi személyre hátrányos következménnyel járhat.

23. §

A 22. §-ban meghatározott adatok védelmére vonatkozó eljárást, a védelem eszközeit, a biztonságos működés követelményeinek megfelelően kell meghatározni.

Záró rendelkezések

24. §

(1) E rendelet következetes és szakszerű végrehajtása érdekében az üzemeltető, indokolt esetben a felügyeleti szervnél is megfelelő személyt kell megbízni (a továbbiakban: adatvédelmi felelős).

(2) Az adatvédelmi felelős a szerv vezetőjének megbízásából:

a) ellátja az adatfeldolgozás, valamint a számítástechnikai beruházások és új adatfeldolgozások szervezésének folyamatában a szakfelügyeletet;

b) gondoskodik a védelmi előírások megtartásának ellenőrzéséről, a szükséges intézkedések kezdeményezéséről:

c) ellátja a titokvédelmi munka felügyeletét.

(3) Az adatvédelmi felelős jogait és kötelességeit az 5. §-ban meghatározott utasításban kell rögzíteni.

25. §

(1) A felügyeleti szerv ellenőrzi az e rendeletben foglaltak végrehajtását.

(2) Az üzemeltető, illetve a felhasználó szerv gondoskodik arról, hogy a számítástechnika-alkalmazás folyamatában államtitoknak minősülő adatok feldolgozásával csak politikailag és erkölcsileg megbízható személyek foglalkozzanak.

26. §

A Központi Statisztikai Hivatal:

a) e rendelet végrehajtását - a Belügyminisztériummal egyetértésben - számítástechnikai (szakmai) irányelvek kiadásával segíti elő;

b) lehetőséget biztosít a számítástechnikai adatvédelmi ismeretek egységes elvek és értelmezés szerinti elsajátításához.

27. §

(1) Ez a rendelet 1981. július 1-én lép hatályba

(2) A felügyeletet ellátó miniszter a 16. § (1) bekezdésének a) pontjában, a 17. §-ában, valamint a 19. § (2) bekezdésének a) pontjában foglaltak végrehajtásának elhalasztását - az anyagi és technikai feltételekkel összhangban - a 7. § (1) és (2) bekezdésének figyelembevételével engedélyezheti.

Dr. Horváth István s. k.,

belügyminiszter