5/2018. (II. 23.) BM rendelet
az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény végrehajtásához szükséges kapcsolódási, műszaki, technológiai, biztonsági előírásokról, követelményekről és a hitelesítési rendről szóló 53/2015. (IX. 24.) BM rendelet módosításáról
Az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény 21. § (2) bekezdés a)-c) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 21. § 5. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:
1. § Az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény végrehajtásához szükséges kapcsolódási, műszaki, technológiai, biztonsági előírásokról, követelményekről és a hitelesítési rendről szóló 53/2015. (IX. 24.) BM rendelet (a továbbiakban: BM rendelet) 62. §-a helyébe a következő rendelkezés lép:
"62. § E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént."
2. § A BM rendelet 5. melléklete helyébe az 1. melléklet lép.
3. § Hatályát veszti a BM rendelet 1., 2. és 4. melléklete.
4. § Ez a rendelet a kihirdetését követő napon lép hatályba.
5. § E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént.
Dr. Pintér Sándor s. k.,
belügyminiszter
1. melléklet az 5/2018. (II. 23.) BM rendelethez
"5. melléklet az 53/2015. (IX. 24.) BM rendelethez
A megszemélyesítés műszaki, technológiai, informatikai és biztonsági követelményei
1. A megszemélyesítést végzőnek a megszemélyesítési tevékenység vonatkozásában az alábbi tanúsítványokkal, engedélyekkel és igazolásokkal kell rendelkeznie:
a) MSZ EN ISO 9001:2015 Minőségirányítási rendszerek. Követelmények - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;
b) MSZ ISO/IEC 27001:2014 Információbiztonsági Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;
c) a minősített adat kezelése esetén a kezelt minősített adat szintjének megfelelő Telephely Biztonsági Tanúsítvány (TBT);
d) MSZ EN ISO 14001:2005 Környezetközpontú Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány.
2. A megszemélyesítést végzővel szembeni műszaki követelmények:
a) a megszemélyesítést végzőnek a NEK kártyák elsődleges megszemélyesítésére és a kibocsátással összefüggő postázási és minőség-ellenőrzési feladatok végrehajtására egymástól elkülönült, zárható helyiségekkel kell rendelkeznie;
b) a megszemélyesítő a karbantartásokat és javításokat ütemezetten hajthatja végre, köteles dokumentálni és felülvizsgálni a karbantartásokról és javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a szervezeti követelményeknek megfelelően.
3. A megszemélyesítést végzőnek rendelkeznie kell
a) a megszemélyesítendő kártyák mennyiségének, minőségének megfelelő, valamint a megszemélyesítési tevékenység folyamatos és zavartalan folytatását biztosító vizuális és elektronikus megszemélyesítő kapacitással;
b) a megszemélyesítéshez szükséges, elektronikus aláírás létrehozására alkalmas, valamint a biztonságos kulcstárolást és kulcshasználatot biztosító informatikai eszközökkel;
c) a működtetővel és a kártyakibocsátóval történő kapcsolattartásra alkalmas informatikai rendszerrel;
d) olyan biztonságos belső informatikai infrastruktúrával és hálózattal, amely biztosítja a kibocsátandó kártyára vonatkozó biztonsági előírásoknak és feltételeknek megfelelő csatlakozást;
e) a megszemélyesítéshez kártyanyilvántartó rendszerrel;
f) zárt, védett informatikai hálózattal;
g) a munkafolyamatok végrehajtásához szükséges - a munkafolyamatoknak megfelelő - hardver és szoftver eszközökkel;
h) olyan szoftverekkel és kapcsolódó dokumentációval, amelyek megfelelnek a rájuk vonatkozó szerződésbeli elvárásoknak és jogszabályoknak;
i) a kártyamegszemélyesítő folyamatban használt olyan elektronikus információs rendszerrel, amely egyedileg azonosítja és hitelesíti a szervezet felhasználóit, valamint a felhasználók által végzett tevékenységet naplózza;
j) olyan naplózási eljárásrenddel, amely a naplózásra és elszámoltathatóságra vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő.
4. A megszemélyesítő
a) a megszemélyesítést, a minőség-ellenőrzést, a postázásra előkészítést, a postázást, a selejtezést és a megsemmisítést mint munkafolyamatokat komplex logisztikai rendszerben egymástól jól elkülöníthető és ellenőrizhető módon végzi,
b) biztosítja a munkafolyamatok végrehajtásához szükséges eszközöknek (megszemélyesítő berendezés, számítógép-konfiguráció, nyomtató stb.) a megszemélyesítési szerződésben vállalt feladatok ellátásához szükséges mértékben és állapotban történő rendelkezésre állását,
c) a szolgáltatási szabályzatában meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű és rendszerszintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal,
d) köteles megvizsgálni az elektronikus információs rendszerben tervezett változtatásoknak az információbiztonságra való hatását, még a változtatások megvalósítása előtt,
e) a naplóbejegyzéseket a jogszabályban és a szolgáltatási szabályzatában meghatározott megőrzési követelményeknek megfelelő időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében,
f) azonosítja, belső eljárásrendje alapján kijavítja vagy kijavíttatja az elektronikus információs rendszere hibáit,
g) sérülékenységtesztet végez a szolgáltatási szabályzatában meghatározottak szerinti gyakorisággal vagy véletlenszerűen, valamint olyan esetben, amikor lehetséges új sérülékenység merül fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban.
5. A megszemélyesítő tevékenység végzésének biztonsági feltételei:
a) a megszemélyesítő a szolgáltatási szabályzatában köteles meghatározni az informatikai biztonságpolitikát, valamint a felülvizsgálatának és módosításának szabályait,
b) a megszemélyesítő az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg,
c) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint engedélyezi az elektronikus információs rendszerének kapcsolódását más elektronikus információs rendszerekhez,
d) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint dokumentálja az egyes kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát,
e) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az elektronikus információs rendszerek szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, az elektronikus információs rendszereknek helyt adó létesítményekbe belépésre jogosultak pontos körét,
f) a megszemélyesítő kizárólag a be- és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést, naplózza a fizikai belépéseket, valamint ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket, kíséri a létesítménybe eseti belépésre jogosultakat, és figyelemmel kíséri a tevékenységüket,
g) a megszemélyesítő a szolgáltatási szabályzatában meghatározott ideig, de legalább 5 évig megőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt látogatói belépésekről szóló információkat,
h) a megszemélyesítő nyilvántartást vezet a fizikai belépést ellenőrző eszközről,
i) a megszemélyesítő folyamatosan ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt, és reagáljon arra,
j) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az alapfeladatként biztosítandó szolgáltatásokat és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket; jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket,
k) a megszemélyesítő köteles védeni a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását a tárolási helyszíneken,
l) a megszemélyesítő gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően,
m) a megszemélyesítő az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat,
n) a megszemélyesítő a biankó-, a megszemélyesített és a selejt okmányok/kártyák tárolására külön-külön zárható, tűzbiztos tárolóegységeket vagy trezort biztosít,
o) a megszemélyesítő a megszemélyesítésben használt helyiségeket biztonsági kamerával, beléptető rendszerrel, riasztóval, tűzjelző berendezéssel és elektromos tüzek oltására alkalmas tűzoltó készülékkel köteles felszerelni."