195/2005. (IX. 22.) Korm. rendelet
az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról
A Kormány a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (a továbbiakban: Ket.) 174. §-a (1) bekezdésének e) pontjában kapott felhatalmazás alapján a következőket rendeli el:
I. Fejezet
ÁLTALÁNOS RENDELKEZÉSEK
1. §
E rendelet hatálya a közigazgatási hatóságra terjed ki.
2. §
E rendelet alkalmazásában
a) informatikai célrendszer: a hatóság által elektronikus ügyintézés nyújtása céljából igénybe vett informatikai eszközök (szoftver és hardver eszközök) összessége, amelyek a közigazgatási hatósági eljárásban az ügyféllel vagy más hatósággal kapcsolatot tartanak, vagy amelyek a közigazgatási hatósági üggyel kapcsolatos adatot kezelnek;
b) eljárási és biztonsági követelmények: e rendelet V. fejezetében meghatározott biztonsági követelmények, a biztonsági követelmények teljesülését alátámasztó, e rendelet IV. fejezetében meghatározott követelmények, valamint a Ket.-ben és a külön jogszabályban az informatikai célrendszerre vonatkozóan meghatározott követelmények összessége.
II. Fejezet
A MŰSZAKI EGYSÉGESÍTÉS ESZKÖZEI
3. §
(1) Az informatikai és hírközlési miniszter (a továbbiakban: miniszter) ajánlást bocsát ki az elektronikus ügyintézés biztosításához kapcsolódó műszaki előírásokról, valamint a közigazgatási nyilvános kulcsú infrastruktúra, különösen a közigazgatási gyökér-hitelesítésszolgáltató működtetésének feltételrendszeréről.
(2)[1] A közigazgatási informatikáért felelős miniszter ajánlást bocsát ki a kormányzati informatikához tartozó külön jogszabályban meghatározott szervezetekre vonatkozó különös követelményekről.
(3)[2] Ahol e rendelet a miniszter ajánlását említi, ott - a (2) bekezdés figyelembevételével - a közigazgatási informatikáért felelős miniszter ajánlását is érteni kell.
III. Fejezet
AZ INFORMATIKAI BIZTONSÁGI KÖVETELMÉNYRENDSZER ÉRVÉNYESÜLÉSE
Az informatikai célrendszer eljárási és biztonsági követelményeknek való megfelelése
4. §
(1) A hatóság az egyes eljárási cselekmények elektronikus úton történő végzését biztonságos informatikai célrendszer útján teszi lehetővé az ügyfelek számára, ennek részeként köteles a 2. § b) pontja szerinti eljárási és biztonsági követelmények teljesítéséről is gondoskodni.
(2) A hatóság felel azért, hogy az informatikai célrendszer az eljárási és biztonsági követelményeknek, valamint a más jogszabályokban meghatározott követelményeknek megfelel, függetlenül attól, hogy az üzemeltetést részben vagy egészben harmadik személy végzi.
(3) Az eljárási és biztonsági követelményeknek való megfelelés nem érinti a hatóság azon kötelezettségét, hogy teljesítse a más jogszabályokban meghatározott, informatikai biztonságra vonatkozó követelményeket.
Az informatikai biztonsági ellenőrzést gyakorló miniszter és hatásköre
5. §
(1)[3] A közigazgatási szervek informatikai biztonságának felügyeletét a közigazgatási informatikáért felelős miniszter látja el az általa kinevezett informatikai biztonsági felügyelő útján.
(2) Az informatikai biztonsági ellenőrzést gyakorló miniszter figyelemmel kíséri az egyes informatikai célrendszerek eljárási és biztonsági követelményeknek való megfelelőségét.
(3) Az informatikai biztonsági ellenőrzést gyakorló miniszter jogosult a hatóságtól az eljárási és biztonsági követelmények teljesülésével kapcsolatban tájékoztatást kérni, a követelményeknek való megfelelőség alátámasztásához szükséges, az informatikai célrendszer tervezésével, beszerzésével, előállításával, működésével vagy felülvizsgálatával kapcsolatos adatot - különösen az e rendeletben előírt dokumentációt - bekérni.
(4)[4] Az eljárási és biztonsági követelmények nem teljesülése esetén az informatikai biztonsági ellenőrzést gyakorló miniszter felhívja a hatóságot, hogy a jogszabályban foglaltaknak megfelelő működést állítsa helyre, és a felhívás eredménytelensége esetén értesíti az érintett szakmai irányítását vagy felügyeletét gyakorló minisztert, szakmai felügyelet hiányában köztestületek esetén a törvényességi felügyeletet gyakorló minisztert, helyi önkormányzat esetén a Kormány általános hatáskörű területi államigazgatási szervét.
IV. Fejezet
A BIZTONSÁGI KÖVETELMÉNYEK TELJESÜLÉSÉT ALÁTÁMASZTÓ KÖVETELMÉNYEK
Az informatikai célrendszerre vonatkozó minőségirányítási követelmények
6. §
(1) A hatóságnak az informatikai célrendszer tervezésére, a célrendszer elemeinek beszerzésére, valamint a célrendszer előállítására (különösen fejlesztésére, testreszabására, paraméterezésére, telepítésére) és felülvizsgálatára kiterjedő, az e §-ban meghatározott feltételeknek megfelelő minőségirányítással kell alátámasztania az eljárási és biztonsági követelmények teljesülését. A minőségirányítás a jelen fejezetben meghatározott, a biztonsági követelmények teljesülését alátámasztó követelményekre nem vonatkozik.
(2) A minőségirányítás alapjául szolgáló dokumentációnak alkalmasnak kell lennie arra, hogy - az (1) bekezdés szerinti kivétellel - az eljárási és biztonsági követelményeknek való megfelelőséget bemutassa.
(3) Ha a hatóság az informatikai célrendszer vagy annak egyes elemei kapcsán nem végez tervezési, beszerzési vagy - a végellenőrzés kivételével - előállítási tevékenységet, a minőségirányítás alapjául szolgáló dokumentációban elegendő ezt a tényt rögzíteni.
(4) Ha az informatikai célrendszer üzemeltetését részben vagy egészben harmadik személy végzi, és a minőségirányítás alapjául szolgáló dokumentáció részeit e harmadik személy az e rendeletben foglalt feltételekkel létrehozza, illetve szükség esetén azt az informatikai biztonsági ellenőrzést gyakorló miniszter rendelkezésére bocsátja, elegendő, ha a hatóság a saját dokumentációjában erre a tényre hivatkozik.
(5) A hatóság a minőségirányítás alapjául szolgáló dokumentáció részeként az informatikai célrendszer tervezésével összefüggésben
a) meghatározza az előállítandó informatikai célrendszer terveivel kapcsolatos, az eljárási és biztonsági követelmények teljesítését biztosító funkcionális és alkalmassági követelményeket, valamint a tervezés folyamata során és annak befejezésekor elvégzendő ellenőrzéseket és vizsgálatokat;
b) feljegyzésben összefoglaló jelleggel rögzíti az a) pont szerint meghatározott egyes ellenőrzések és vizsgálatok eredményét.
(6) A hatóság a minőségirányítás alapjául szolgáló dokumentáció részeként az informatikai célrendszer egyes elemeinek beszerzésével összefüggésben
a) a beszerzést megelőzően rögzíti az eljárási és biztonsági követelmények teljesítését biztosító beszerzési követelményeket, meghatározza a kiválasztás és kiértékelés feltételeit;
b) kialakítja és bevezeti azokat az ellenőrzési tevékenységeket, amelyek biztosítják, hogy a beszerzés tárgya megfeleljen az előírt követelményeknek.
(7) A hatóság a minőségirányítás alapjául szolgáló dokumentáció részeként az informatikai célrendszer előállításával összefüggésben
a) meghatározza az előállított informatikai célrendszernek az előállítás és a végellenőrzés során ellenőrizendő és vizsgálandó, az eljárási és biztonsági követelmények teljesítését biztosító követelményeit, valamint a végellenőrzés kapcsán a célrendszer hatóság általi elfogadásának feltételeit,
b) feljegyzésben rögzíti az egyes ellenőrzések és vizsgálatok eredményét úgy, hogy az alkalmas legyen az előírt - különösen az eljárási és biztonsági - követelmények teljesítésének megítélésére.
(8) A hatóságnak a minőségirányítás alapjául szolgáló dokumentációban szabályoznia kell az informatikai célrendszer rendszeres időközönkénti felülvizsgálatát, ennek során ellenőrizni kell az eljárási és biztonsági követelményeknek való megfelelőséget, a minőségirányítási rendszer alkalmasságát, teljeskörűségét.
(9) A külön jogszabály hatálya alá tartozó szervek a tervezésre, beszerzésre és felülvizsgálatra vonatkozóan az e §-ban meghatározott követelményeket az ott meghatározott módon teljesítik.
(10) Ha a hatóság a vonatkozó ISO szabványok szerinti, tanúsított minőségirányítási rendszert működtet, amely az (1) bekezdésben meghatározott területekre, valamint az eljárási és alapvető biztonsági követelmények teljesítésére is kiterjed, vélelmezni kell, hogy a hatóság az (1)-(8) bekezdésben meghatározott követelményeket a minőségirányítási rendszere útján teljesíti.
(1) A hatóságnak be kell tartania a 6. § szerinti minőségirányítási dokumentációban foglaltakat.
(2) Ha az informatikai célrendszerre vonatkozó követelmények megváltoznak, a hatóságnak gondoskodnia kell a minőségirányítási dokumentáció módosításáról.
(3) Az informatikai biztonsági ellenőrzést gyakorló miniszter kérésére a hatóság az előállítás befejezésekor (végellenőrzéskor) megküldi a minőségirányítási dokumentáció végellenőrzéssel kapcsolatos részét.
Az informatikai célrendszer dokumentáltsága
8. §
(1) A hatóságnak rendelkeznie kell
a) az informatikai célrendszer felépítésére vonatkozó rendszerleírásokkal és modellekkel,
b) az informatikai célrendszerben tárolt és feldolgozott adatok tárolási szerkezetének és szintaktikai feldolgozási szabályainak leírásával,
c) az adatokhoz történő hozzáférési rend meghatározásával, valamint
d) az informatikai célrendszer működtetésére vonatkozó utasításokkal és előírásokkal.
(2) A hatóság a saját maga által üzemeltetett informatikai célrendszer vonatkozásában belső szabályzatában meghatározza az informatikai célrendszer üzemeltetésével és ellenőrzésével kapcsolatos egyes munkakörök betöltéséhez szükséges informatikai ismereteket.
(3) A hatóság köteles az informatikai célrendszer informatikai biztonsági követelményeiért általánosan felelős személyt és az informatikai célrendszer üzemeltetéséért önállóan felelős személyt kinevezni, valamint a saját maga által üzemeltetett informatikai célrendszer vonatkozásában kijelölni azt a szervezeti egységet, amely a hatóságon belül gondoskodik a 21. § szerinti követelmények teljesítéséről és az e rendeletben foglaltak szerinti rejtjelezés alkalmazásának felügyeletéről.
Informatikai biztonsági irányítás és kockázatfelmérés
9. §
(1) A hatóság az informatikai célrendszer informatikai biztonsági kockázatait legalább kétévenként felméri, és gondoskodik az informatikai célrendszer kockázatokkal arányos védelméről a tervezés, a beszerzés, az előállítás, az üzemeltetés és a felülvizsgálat területén.
(2) A hatóság az V. fejezetben megfogalmazott informatikai biztonsági követelmények kockázatokkal arányos teljesítésének, valamint ennek ellenőrzése elősegítése céljából gondoskodik az informatikai biztonsági irányítási rendszer kialakításáról, amelynek részeként informatikai biztonsági tervet dolgoz ki a következő tartalommal:
a) az informatikai célrendszer rendszerszintű biztonsági problémáinak meghatározása;
b) biztonsági célok;
c) a fejlesztésre vonatkozó funkcionális és garanciális biztonsági követelmények;
d) az üzemeltetésre vonatkozó funkcionális és garanciális biztonsági követelmények;
e) az informatikai célrendszer segítségével elektronikus úton végezhető egyes eljárási cselekmények biztonsági osztályba sorolása és az egyes biztonsági osztályokhoz tartozó biztonsági követelmények.
(3) A hatóság kidolgozza és működteti a saját maga által üzemeltetett informatikai célrendszer biztonságos működtetését felügyelő informatikai ellenőrző rendszert.
(4) A miniszter ajánlást bocsát ki az (1)-(3) bekezdésben meghatározott követelmények teljesítésének módjáról.
Az informatikai célrendszer segítségével elektronikus úton végezhető eljárási cselekmények biztonsági osztályai
10. §
(1) A hatóság az informatikai célrendszer segítségével elektronikus úton végezhető egyes eljárási cselekményeket biztonsági osztályokba sorolja annak alapján, hogy az érintett eljárási cselekmény a 9. § szerinti kockázatfelmérés szerint a hatóság és az ügyfelek részére milyen informatikai biztonsági kockázatokkal jár.
(2) Az eljárási cselekmény biztonsági osztályba sorolását figyelembe kell venni a 16. §-ban rögzített informatikai biztonsági követelményeknek való megfelelés módjának meghatározása során.
(3) A hatóság a biztonsági osztályba sorolást és annak az informatikai célrendszerben a (2) bekezdésben meghatározott egyes követelményekkel összefüggő megvalósítását az informatikai biztonsági tervében megjeleníti.
(4) Az eltérő biztonsági osztályba sorolás nem járhat az ügyfél számára a jogszabályban meghatározott kötelezettségekhez képest többletkötelezettséggel.
11. §
(1) A biztonsági osztályokba történő besorolás és az informatikai biztonsági követelményeknek az egyes biztonsági osztályokhoz illeszkedő megvalósításának egységesítése céljából a miniszter ajánlást bocsát ki.
(2) A miniszter egyes, nagyszámú ügyfelet érintő eljárási cselekmények esetén vagy nemzetbiztonsági érdekből ajánlást bocsáthat ki az egyes eljárási cselekmények besorolásáról és azok fokozottabb biztonsági szintű megvalósításáról.
(3) A hatóság kérésére a miniszter véleményezi az eljárási cselekmények biztonsági osztályba sorolását, valamint a biztonsági osztályba sorolás szerint az egyes informatikai biztonsági követelményeknek az adott informatikai célrendszerben történő megvalósítását.
Az informatikai célrendszer üzemeltetésének kiszervezésével kapcsolatos követelmények
12. §
(1) Ha a hatóság az informatikai célrendszer üzemeltetésével kizárólagosan harmadik személyt kíván megbízni, ideértve az informatikai célrendszer által ellátandó egyes feladatok kiszervezését is (a továbbiakban: üzemeltetés ki-szervezése), e harmadik személlyel kötött szerződésben (a továbbiakban: üzemeltetés kiszervezési szerződés) biztosítani kell, hogy mindazon szerv, amely a hatóságnál üzemelő informatikai célrendszer ellenőrzésére vagy felügyeletére jogosult, változatlan feltétellel gyakorolhassa ezen ellenőrzési és felügyeleti jogait az üzemeltető harmadik személynél.
(2) Az üzemeltetés kiszervezési szerződés alapján a hatóság bármikor jogosult kérni a kiszervezett informatikai célrendszerben foglalt, az ügyfélre, a hatóságra, közigazgatási ügyre vonatkozó adat akár részbeni, akár teljes körű 15 napon belüli átadását a szerződésben meghatározott formátumban.
(3) A (2) bekezdésben foglalt kötelezettség teljesítése nem köthető olyan díj fizetéséhez, amely meghaladja az átadással összefüggésben felmerült közvetlen költségeket.
(4) Az üzemeltetés kiszervezési szerződésben rendelkezni kell az üzemeltetés kiszervezésének megszűnésekor esedékes visszavételi eljárásról.
(5) Az üzemeltetés kiszervezési szerződésnek biztosítania kell, hogy minden, a hatósággal mint az informatikai célrendszer üzemeltetőjével szemben jogszabályban megfogalmazott követelmény az üzemeltető harmadik személlyel szemben is azonos módon teljesüljön.
13. §
(1) Ha az üzemeltetés kiszervezése esetén a hatóság az informatikai célrendszer által ellátandó valamely feladatot olyan harmadik személy által nyújtott szolgáltatás igénybevételével látja el, amelyet a harmadik személy más hatóság számára is nyújt, az üzemeltetés kiszervezési szerződésben biztosítani kell, hogy megfelelő műszaki és személyi feltételek megakadályozzák az egyes hatóságok által kezelt adatok jogosulatlan összekapcsolását.
(2) Ilyen, az (1) bekezdésben meghatározott szolgáltatás különösen, ha egy harmadik személy több hatóság számára
a) az ügyfél által beküldött vagy az ügyfél részére ki-küldendő elektronikus dokumentum összeállításában vagy megjelenítésében nyújt olyan segítséget, amely során az elektronikus dokumentum tartalmához hozzáfér, vagy
b) lehetővé teszi, hogy a külön jogszabályban meghatározott párbeszédre épülő elektronikus ügyintézés esetén felhasználják az általa végzett azonosítási eljárás eredményét (azonosítási szolgáltatás).
(3) Az azonosítási szolgáltatás esetén biztosítani kell, hogy
a) az azonosítási szolgáltatást igénybe vevő hatóság saját céljára az ügyfél azonosítására olyan azonosítót használjon, amely nem azonos az azonosítási szolgáltató általi hitelesítésre használt önálló azonosítóval, és
b) az azonosító szolgáltató ne tudja a hatóság saját céljára használt ügyfél azonosítót az azonosítási szolgáltató általi hitelesítésre használt önálló azonosítóval összekapcsolni.
V. Fejezet
A BIZTONSÁGI KÖVETELMÉNYEK
A biztonsági követelmények alkalmazásának általános szabálya
14. §
Az e fejezetben foglalt biztonsági követelményeket olyan informatikai célrendszerre kell alkalmazni,
a) amelyben a hatóság olyan hatósági ügyre vonatkozó elektronikus dokumentumokat tárol, amelyek egyidejűleg papír alapon nem állnak teljeskörűen a hatóság rendelkezésére, vagy
b) amely informatikai célrendszerben bekövetkező tartós üzemzavar esetén a hatóság nem tudja a folyamatban lévő közigazgatási hatósági ügyet további öt napon belül papír alapon folytatni.
Az ügyfél azonosításával kapcsolatos biztonsági követelmények
15. §
(1) A külön jogszabályban meghatározott párbeszédre épülő elektronikus ügyintézés során az ügyféllel létesített kapcsolat fennállása alatt a műszaki lehetőségek szerint biztosítani kell, hogy az egyszer már azonosított ügyfél vagy hatóság helyébe jogosulatlan harmadik személy ne léphessen.
(2)[5]
Az informatikai célrendszer folyamatainak naplózása
16. §
(1) Az egyes eljárási cselekmények 10. § szerinti biztonsági osztályától függően a hatóság az informatikai célrendszerben és annak környezetében gondoskodik az informatikai célrendszer működése szempontjából meghatározó folyamat valamennyi eseménye naplózásáról.
(2) A naplózott adatállomány bejegyzését védeni kell az arra jogosulatlan személy általi hozzáféréstől, módosítástól, törléstől, illetve biztosítani kell, hogy a napló tartalma a megőrzési időn belül a jogosult számára megismerhető és értelmezhető maradjon.
(3) Az egyes eljárási cselekmények biztonsági osztályától függően a naplózott adatállománynak az adott eljárási cselekménnyel kapcsolatos ügyintézés teljes folyamatát át kell fognia, és lehetővé kell tennie, hogy a megbízhatóság megítéléséhez szükséges mértékben valamennyi, az eljárási cselekménnyel kapcsolatos eseményt rekonstruálni lehessen. Naplózni kell különösen az ügyirathoz való minden hozzáférést (betekintést, módosítást, törlést), valamint az ügyirat egyes ügyintézőkhöz kötött teljes iratkezelési útját.
(4) A naplózandó események körének meghatározása során a hatóság az adott eljárási cselekmény biztonsági osztálybeli besorolására tekintettel, az informatikai biztonsági rendszertervében foglaltak szerint jár el.
Az informatikai célrendszer megbízható üzemeltetése
17. §
(1) Az elektronikus úton végezhető eljárási cselekmény biztonsági osztályba sorolásától függően biztosítani kell az informatikai célrendszer megbízható üzemeltetését, ennek keretében a hatóságnak rendelkeznie kell
a) a rendkívüli üzemeltetési helyzetekre kidolgozott eljárással, amely lehetővé teszi a megbízható üzemmenetnek az eljárási cselekmény biztonsági osztályba sorolásától függő időn belüli helyreállítását;
b) az elektronikus ügyintézés biztosításához szükséges informatikai célrendszerrel, és az érintett eljárási cselekmény biztonsági osztályba sorolásától függő időtartamú megszakítások melletti üzemelést biztosító tartalék berendezésekkel, vagy e berendezések hiányában az ezeket helyettesítő más megoldásokkal.
(2) Az üzemeltetés során fellépő, az üzemeltetés megbízhatóságát csökkentő kiesések, megszakítások és más üzemzavarok esetén a hatóság a Ket. üzemzavarra vonatkozó rendelkezései szerint jár el.
Az informatikai célrendszer mentési és archiválási rendje
18. §
(1) A hatóságnak az informatikai célrendszer szoftver elemeiről (alkalmazások, adatok, operációs rendszer és környezetük) olyan mentési renddel és biztonsági mentésekkel kell rendelkeznie, amelyek biztosítják, hogy az érintett eljárási cselekmény biztonsági osztályba sorolásától függő helyreállítási időn belül az informatikai célrendszer helyreállítható legyen.
(2) Az (1) bekezdés szerinti mentési rend meghatározza a mentések típusát, módját, a visszatöltési és helyreállítási teszteket, valamint eljárásokat.
(3) A mentéseket azok tartalmától függően kockázati szempontból elkülönítetten, és biztonsági osztályba sorolástól függően indokolt esetben tűzbiztos módon kell tárolni.
(4) Az elektronikus aláírásról szóló 2001. évi XXXV. törvény (a továbbiakban: Eat.) 9. § (7) bekezdésében meghatározott időtartamot meghaladó megőrzési idejű ügyiratok esetén a hatóság az informatikai célrendszerben, vagy az Eat, szerinti archiválási szolgáltató igénybevétele útján a megőrzési időtartamig tárolja
a) az ügyfél által beküldött elektronikus dokumentum elektronikus aláírásához tartozó tanúsítványt, és
b) a hatóság részéről az elektronikus dokumentumon elhelyezett azon időbélyegzőt, amely igazolja, hogy a beküldött elektronikus dokumentum elektronikus aláírása az ellenőrzéskor érvényes volt.
(5) Az informatikai célrendszerben vagy az Eat. szerinti archiválási szolgáltató igénybevétele útján a megőrzési időtartamig tárolni kell az ügyfél által a 22. § (2) bekezdése szerinti rejtjelezési célú nyilvános kulcsot, vagy, ha a rejtjelezési célú kulcspárra vonatkozóan ez értelmezhető, a rejtjelezési célú nyilvános kulcs tanúsítványának az ellenőrzéskori érvényességét igazoló, a hatóság részéről a tanúsítványon elhelyezett időbélyegzőt.
(6) A hatóság az illetékes közlevéltárba adással gondoskodik a következő elektronikus dokumentumok - mint maradandó értékű iratok - megőrzéséről:
a) a hatóság képviseletére jogosító elektronikus aláírások érvényességének megítéléséhez szükséges, a (4) bekezdésben meghatározott információk;
b) a hatóság által - nem elektronikus aláírásra - használt azonosítási célú kulcspár szerinti azonosítás érvényességének megítéléséhez szükséges információkat;
c) a hatóság által a 22. § (3) bekezdésében foglaltak szerint használt rejtjelezési célú magánkulcsokat.
19. §
(1) Az elektronikus úton végezhető eljárási cselekmény biztonsági osztályba sorolásától függően a hatóság az informatikai célrendszerétől műszakilag független, területileg elkülönült, az e rendeletben foglalt biztonsági követelményeknek megfelelő szervezetnél köteles biztonsági másolatot elhelyezni az egyes eljárási cselekményekkel kapcsolatos olyan nyilvántartásairól, amelyeket papír alapú formában (eredetiben vagy másolatban) nem őriz meg (a továbbiakban: biztonsági őrzés).
(2) A biztonsági őrzés során az adatok elhelyezését és tárolását olyan rendszerességgel, módon és dokumentáltsággal kell végezni, amely a nyilvántartást vezető informatikai célrendszer teljes megsemmisülése esetén is lehetővé teszi a nyilvántartás azonos funkcionalitású, és lehetőség szerinti legteljesebb adattartalmú újbóli kialakítását.
(3) A biztonsági őrzés során gondoskodni kell arról, hogy az adatokat az arra jogosult személyen (adatkezelőn és adatfeldolgozón) kívül más ne ismerhesse meg, valamint biztosítani kell az adatok jogosulatlan személy általi megsemmisítése, megváltoztatása vagy hozzáférhetetlenné tétele elleni védelmét mind a szervezeten belülről, mind a szervezeten kívülről jövő informatikai támadások esetén.
Az informatikai célrendszer védelme az informatikai biztonsági kockázatokat jelentő adatoktól
20. §
(1) A hatóságnak biztosítania kell az informatikai célrendszer arányos védelmét a vírusokkal és más rosszindulatú programokkal szemben, valamint gondoskodik arról, hogy az informatikai célrendszer által küldött üzenetek ne tartalmazzanak ilyen programokat.
(2) Az informatikai célrendszer kialakításakor megfelelő védelmet kell kialakítani az olyan, nem elektronikus ügyintézéssel kapcsolatos elektronikus dokumentumokkal szemben is, amelyek azért jelentenek biztonsági kockázatot, mert tömeges küldésük révén az informatikai célrendszer üzemelését vagy annak egyes felhasználóinak hozzáférését jogosulatlanul akadályozhatják (kéretlen tömeges üzenetek elleni védelem.)
Az adattárolás biztonságával kapcsolatos követelmény
21. §
(1) Az informatikai célrendszer az ügyfél személyes adatait olyan módon köteles tárolni, hogy az biztonságos módon megakadályozza a személyes adatokhoz való jogosulatlan hozzáférést, különösen a személyes adatok jogosulatlan összekapcsolását más hatóság által vezetett nyilvántartásokkal.
(2) A miniszter ajánlásában közzétett, nyilvános kulcsú infrastruktúrára épülő eljárások szerint rejtjelezett tárolást az (1) bekezdésben foglalt követelményeknek megfelelő tárolásnak kell tekinteni.
Az adattovábbítás bizalmasságával kapcsolatos követelmények
22. §
(1) A külön jogszabályban meghatározott párbeszédre épülő elektronikus ügyintézés során a hatóság a kapcsolat fennállása alatt nyilvános csomagkapcsolt adathálózaton csak úgy továbbíthatja az ügyfél részére az elektronikus dokumentumot, valamint csak úgy fogadhatja azt az ügyféltől, ha megfelelő rejtjelezési eljárást használva megakadályozza az elektronikus dokumentum illetéktelenek általi megismerését.
(2) A hatóság az ügyfél kérésére biztosíthatja, hogy a külön jogszabályban meghatározott nem párbeszédre épülő elektronikus ügyintézés esetén megfelelő rejtjelezési eljárással továbbítsa nyilvános csomagkapcsolt adathálózaton az ügyfélnek az elektronikus dokumentumot. Ha a használni kívánt rejtjelezési eljárás nyilvános kulcsú infrastruktúrára épül, ennek feltétele, hogy az ügyfél előzetesen a hatóság rendelkezésére bocsássa a hitelesítés-szolgáltató által kibocsátott rejtjelezési célú nyilvános kulcsát.
(3) A hatóság elektronikus tájékoztató szolgáltatása keretében, internetes honlapján vagy a kormányzati portálon - ha azzal rendelkezik, illetve azt használja - közzétehet olyan nyilvános kulcsú infrastruktúrára épülő nyilvános kulcsot vagy az ilyen kulcsot tartalmazó tanúsítványa nyilvántartására (kibocsátói nyilvántartásra) történő hivatkozást, amely lehetővé teszi, hogy az ügyfél az informatikai célrendszer részére küldendő beadványait a külön jogszabályban meghatározott formátumban rejtjelezve be-küldje.
(4) A rejtjelezési célú nyilvános kulcs használatának feltétele, hogy arról hitelesítés-szolgáltató folyamatosan elérhető módon közzétett nyilvántartásban szereplő tanúsítványt bocsátott ki.
(5) A hatóság szükség szerint olyan külön rejtjelezési célú nyilvános kulcsokat is közzétehet, amellyel biztosítja, hogy az így rejtjelezett elektronikus dokumentumokat csak a szerven belül valamely szervezeti egysége vagy egyes ügyintézője állíthassa vissza.
(6) A (3)-(5) bekezdésben foglaltak szerinti esetekben az informatikai célrendszerben rejtjelezetten kell tárolni az ügyfél által küldött elektronikus dokumentumot.
(7) Az informatikai célrendszer által - az e rendeletben foglalt követelmények teljesítése céljából - használt rejtjelezési célú magánkulcsokról a hatóság köteles a biztonsági hitelesítés-szolgáltatónál üzemeltetett kulcsletéti tárban másolatot elhelyezni.
(8) Az e §-ban meghatározott követelmények nem érintik a minősített adatok védelmével kapcsolatos, külön jogszabályban meghatározott kötelezettségek teljesítését.
Az informatikai célrendszer hozzáférési és fizikai biztonsága
23. §
(1) Az informatikai célrendszer minden felhasználójának személy szerint azonosítottnak kell lennie, kivéve azt az ügyfélnek minősülő felhasználót, aki kizárólag nyilvánosságra hozott információhoz olvasási jogosultsággal névtelenül fér hozzá.
(2) Az informatikai rendszernek az azonosított hozzáférést és a hozzáférési jogosultság változtatását a 16. § szerint naplóznia kell.
(3) Az elektronikus ügyintézésre használt informatikai célrendszerben az egyes ügyintézők minden esetben - más ügyintéző helyettesítésekor is - saját nevükben azonosítottként járnak el, és nem férhetnek hozzá más ügyintéző azonosításához vagy /elektronikus aláírásához használt adathoz vagy eszközhöz.
(4) Ha az informatikai célrendszer az ügyfeleket az elektronikus ügyintézéssel kapcsolatos elektronikus dokumentum összeállításában támogatja olyan módon, hogy korábbi adataik tárolását lehetővé teszi, az így tárolt adatokhoz való hozzáférést csak az azonosított ügyfél részére teheti elérhetővé.
24. §
(1) A jogosulatlan hozzáféréstől fizikailag is védeni kell az informatikai célrendszernek az elektronikus ügyintézés nyújtásával összefüggésben használt alapvető informatikai biztonsági célokat szolgáló rendszerelemeit és a 18. § szerinti mentéseket, valamint azokat a helyiségeket, amelyekben a hatóság ilyen termékeket helyez el.
(2) Az (1) bekezdésben említett helyiségekbe arra jogosulatlan személyek nem léphetnek be.
(3) A belépésre jogosultak belépésének időpontját, tartózkodásának célját, időtartamát, kilépésének időpontját naplóban kell rögzíteni.
Az informatikai célrendszer elemeinek kezelési biztonsága
25. §
(1) Az informatikai célrendszerben az elektronikus ügyintézés nyújtását biztosító szoftver és hardver rendszerelemek csak egyértelmű azonosítást követően vehetők használatba,
(2) A hatóságnak az elektronikus ügyintézés nyújtásához alkalmazási (éles) környezetben használt alapvető rendszerelemeket elkülönítetten kell kezelnie és működtetnie
a) az elektronikus ügyintézéssel össze nem függő tevékenységeihez használt eszközöktől, és
b) a fejlesztési és tesztelési környezetben használt rendszerelemektől.
(3) Az elkülönítés révén az elkülönített elemek nem befolyásolhatják az elektronikus ügyintézés nyújtásának megbízható üzemeltetését.
26. §
(1) A hatóságnak gondoskodnia kell az elektronikus adathordozó szabályozott és biztonságos kezeléséről.
(2) Az elektronikus ügyintézés nyújtásához használt informatikai célrendszer elemének más célra történő felhasználását megelőzően ellenőrizni kell, hogy a rendszerelemek nem tartalmaznak olyan adatokat, amelyek az elektronikus ügyintézés nyújtásával összefüggenek, ellenőrizni kell továbbá, hogy az ilyen adatok visszaállítására nincs lehetőség.
(3) A (2) bekezdés szerinti ellenőrzéseket, illetve az ellenőrzés eredménye alapján végrehajtott intézkedéseket naplózni kell.
VI. Fejezet
AZ INFORMATIKAI CÉLRENDSZEREK EGYÜTTMŰKÖDÉSÉRŐL ÉS A SZOLGÁLTATÁSAIK EGYSÉGES HASZNÁLATÁT BIZTOSÍTÓ FELTÉTELEKRŐL
Az informatikai célrendszerek együttműködéséről
27. §
(1) Az informatikai célrendszerek tervezése és megvalósítása során törekedni kell
a) az informatikai célrendszerek egymás közötti műszaki együttműködésére az informatikai célrendszerek közötti kommunikáció, adatcsere, adatelérés, alkalmazás integráció és azok biztonsága terén,
b) az informatikai célrendszerek egymás közötti adatjelentéstani (szemantikai) együttműködésre a kicserélt adatok feldolgozása terén, metaadat, fogalmi modellezés, adatelem, valamint tranzakció- és eseménykezelés vonatkozásokban, valamint
c) az informatikai célrendszerek és az ügyfél oldali informatikai eszközök együttműködésének olyan megvalósítására, amely a közigazgatáson belül lehetőleg egységes feltételek szerint biztosítja az ügyfél oldali informatikai eszközök legszélesebb körű felhasználhatóságát.
(2) Az együttműködésre megfogalmazott követelmények teljesítése érdekében az informatikai célrendszerekben az (1) bekezdés szerinti területeken a közzétett mértékadó szabványokat és más műszaki előírásokat (e § alkalmazásában a továbbiakban együttesen: szabványokat) célszerű alkalmazniuk.
(3) A szabványok közül előnyben kell részesíteni a nyílt és a nemzetközi szabványokat, valamint a piaci támogatással bíró, széles körben elterjedt alkalmazású szabványokat.
(4) Az (1)-(3) bekezdésben meghatározottak alapján a miniszter összegyűjti, közzéteszi és frissíti azoknak a szabványoknak a listáját, amelyeket az informatikai célrendszerek közötti együttműködés egységes rendszer szerinti megvalósítása céljából figyelembevételre javasol. A miniszter az egyes szabványok egységes alkalmazásának biztosítására, valamint megfelelő szabványok hiányában ajánlást bocsát ki az (1) bekezdésben meghatározott tárgykörben.
28. §[6]
29. §[7]
Az informatikai célrendszerek egységes használatának feltételei
30. §
(1) Az elektronikus ügyintézés használatának könnyítése céljából az informatikai célrendszerek kialakítása során törekedni kell az egységes arculati és felhasználói felületi elemek használatára.
(2) Az (1) bekezdésben foglaltak érdekében a miniszter ajánlást bocsát ki azokra az egységes arculati elvekre és felhasználói felületi elemekre, amelyeket az informatikai célrendszerek kialakítása, az elektronikus ügyintézés biztosítása során célszerű figyelembe venni.
(3) A hatóság az informatikai célrendszer és az elektronikus ügyintézés tervezése és kialakítása során:
a) azonos gazdasági, műszaki, biztonsági és igénybevételi feltételek esetén elsőbbséget biztosít azoknak a megoldásoknak, amelyek a központi elektronikus szolgáltató rendszert és a kormányzati portált használják;
b) törekednie kell a (2) bekezdésben meghatározottak szerint közzétett, az egységes arculati elvekre és felhasználói felület elemekre vonatkozó ajánlások lehetőség szerinti figyelembevételére.
VII. Fejezet
ZÁRÓ RENDELKEZÉSEK
31. §
(1) Ez a rendelet 2005. november 1-jén hatályba.
(2)[8]
Gyurcsány Ferenc s. k.,
miniszterelnök
Lábjegyzetek:
[1] Módosította a 176/2007. (VII. 1.) Korm. rendelet 16. § (2) bekezdése. Hatályos 2007.07.01.
[2] Módosította a 176/2007. (VII. 1.) Korm. rendelet 16. § (2) bekezdése. Hatályos 2007.07.01.
[3] Megállapította a 84/2007. (IV. 25.) Korm. rendelet 10. § - a. Hatályos 2007.07.01.
[4] Módosította a 318/2008. (XII. 23.) Korm. rendelet 17. § (1) bekezdése 26. pontja. Hatályos 2009.01.01.
[5] Hatályon kívül helyezte a 182/2007. (VII. 10.) Korm. rendelet 46. § c) pontja. Hatálytalan 2007.07.18.
[6] A §-t és a megelőző alcímet hatályon kívül helyezte a 182/2007. (VII. 10.) Korm. rendelet 46. § c) pontja. Hatálytalan 2007.07.18.
[7] Hatályon kívül helyezte a 182/2007. (VII. 10.) Korm. rendelet 46. § c) pontja. Hatálytalan 2007.07.18.
[8] Hatályon kívül helyezte a 118/2008. (V. 8.) Korm. rendelet 1. § 475. pontja. Hatálytalan 2008.05.16.