5/2018. (II. 23.) BM rendelet

az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény végrehajtásához szükséges kapcsolódási, műszaki, technológiai, biztonsági előírásokról, követelményekről és a hitelesítési rendről szóló 53/2015. (IX. 24.) BM rendelet módosításáról

Az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény 21. § (2) bekezdés a)-c) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 21. § 5. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

1. § Az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény végrehajtásához szükséges kapcsolódási, műszaki, technológiai, biztonsági előírásokról, követelményekről és a hitelesítési rendről szóló 53/2015. (IX. 24.) BM rendelet (a továbbiakban: BM rendelet) 62. §-a helyébe a következő rendelkezés lép:

"62. § E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént."

2. § A BM rendelet 5. melléklete helyébe az 1. melléklet lép.

3. § Hatályát veszti a BM rendelet 1., 2. és 4. melléklete.

4. § Ez a rendelet a kihirdetését követő napon lép hatályba.

5. § E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént.

Dr. Pintér Sándor s. k.,

belügyminiszter

1. melléklet az 5/2018. (II. 23.) BM rendelethez

"5. melléklet az 53/2015. (IX. 24.) BM rendelethez

A megszemélyesítés műszaki, technológiai, informatikai és biztonsági követelményei

1. A megszemélyesítést végzőnek a megszemélyesítési tevékenység vonatkozásában az alábbi tanúsítványokkal, engedélyekkel és igazolásokkal kell rendelkeznie:

a) MSZ EN ISO 9001:2015 Minőségirányítási rendszerek. Követelmények - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;

b) MSZ ISO/IEC 27001:2014 Információbiztonsági Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;

c) a minősített adat kezelése esetén a kezelt minősített adat szintjének megfelelő Telephely Biztonsági Tanúsítvány (TBT);

d) MSZ EN ISO 14001:2005 Környezetközpontú Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány.

2. A megszemélyesítést végzővel szembeni műszaki követelmények:

a) a megszemélyesítést végzőnek a NEK kártyák elsődleges megszemélyesítésére és a kibocsátással összefüggő postázási és minőség-ellenőrzési feladatok végrehajtására egymástól elkülönült, zárható helyiségekkel kell rendelkeznie;

b) a megszemélyesítő a karbantartásokat és javításokat ütemezetten hajthatja végre, köteles dokumentálni és felülvizsgálni a karbantartásokról és javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a szervezeti követelményeknek megfelelően.

3. A megszemélyesítést végzőnek rendelkeznie kell

a) a megszemélyesítendő kártyák mennyiségének, minőségének megfelelő, valamint a megszemélyesítési tevékenység folyamatos és zavartalan folytatását biztosító vizuális és elektronikus megszemélyesítő kapacitással;

b) a megszemélyesítéshez szükséges, elektronikus aláírás létrehozására alkalmas, valamint a biztonságos kulcstárolást és kulcshasználatot biztosító informatikai eszközökkel;

c) a működtetővel és a kártyakibocsátóval történő kapcsolattartásra alkalmas informatikai rendszerrel;

d) olyan biztonságos belső informatikai infrastruktúrával és hálózattal, amely biztosítja a kibocsátandó kártyára vonatkozó biztonsági előírásoknak és feltételeknek megfelelő csatlakozást;

e) a megszemélyesítéshez kártyanyilvántartó rendszerrel;

f) zárt, védett informatikai hálózattal;

g) a munkafolyamatok végrehajtásához szükséges - a munkafolyamatoknak megfelelő - hardver és szoftver eszközökkel;

h) olyan szoftverekkel és kapcsolódó dokumentációval, amelyek megfelelnek a rájuk vonatkozó szerződésbeli elvárásoknak és jogszabályoknak;

i) a kártyamegszemélyesítő folyamatban használt olyan elektronikus információs rendszerrel, amely egyedileg azonosítja és hitelesíti a szervezet felhasználóit, valamint a felhasználók által végzett tevékenységet naplózza;

j) olyan naplózási eljárásrenddel, amely a naplózásra és elszámoltathatóságra vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő.

4. A megszemélyesítő

a) a megszemélyesítést, a minőség-ellenőrzést, a postázásra előkészítést, a postázást, a selejtezést és a megsemmisítést mint munkafolyamatokat komplex logisztikai rendszerben egymástól jól elkülöníthető és ellenőrizhető módon végzi,

b) biztosítja a munkafolyamatok végrehajtásához szükséges eszközöknek (megszemélyesítő berendezés, számítógép-konfiguráció, nyomtató stb.) a megszemélyesítési szerződésben vállalt feladatok ellátásához szükséges mértékben és állapotban történő rendelkezésre állását,

c) a szolgáltatási szabályzatában meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű és rendszerszintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal,

d) köteles megvizsgálni az elektronikus információs rendszerben tervezett változtatásoknak az információbiztonságra való hatását, még a változtatások megvalósítása előtt,

e) a naplóbejegyzéseket a jogszabályban és a szolgáltatási szabályzatában meghatározott megőrzési követelményeknek megfelelő időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében,

f) azonosítja, belső eljárásrendje alapján kijavítja vagy kijavíttatja az elektronikus információs rendszere hibáit,

g) sérülékenységtesztet végez a szolgáltatási szabályzatában meghatározottak szerinti gyakorisággal vagy véletlenszerűen, valamint olyan esetben, amikor lehetséges új sérülékenység merül fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban.

5. A megszemélyesítő tevékenység végzésének biztonsági feltételei:

a) a megszemélyesítő a szolgáltatási szabályzatában köteles meghatározni az informatikai biztonságpolitikát, valamint a felülvizsgálatának és módosításának szabályait,

b) a megszemélyesítő az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg,

c) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint engedélyezi az elektronikus információs rendszerének kapcsolódását más elektronikus információs rendszerekhez,

d) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint dokumentálja az egyes kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát,

e) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az elektronikus információs rendszerek szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, az elektronikus információs rendszereknek helyt adó létesítményekbe belépésre jogosultak pontos körét,

f) a megszemélyesítő kizárólag a be- és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést, naplózza a fizikai belépéseket, valamint ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket, kíséri a létesítménybe eseti belépésre jogosultakat, és figyelemmel kíséri a tevékenységüket,

g) a megszemélyesítő a szolgáltatási szabályzatában meghatározott ideig, de legalább 5 évig megőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt látogatói belépésekről szóló információkat,

h) a megszemélyesítő nyilvántartást vezet a fizikai belépést ellenőrző eszközről,

i) a megszemélyesítő folyamatosan ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt, és reagáljon arra,

j) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az alapfeladatként biztosítandó szolgáltatásokat és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket; jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket,

k) a megszemélyesítő köteles védeni a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását a tárolási helyszíneken,

l) a megszemélyesítő gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően,

m) a megszemélyesítő az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat,

n) a megszemélyesítő a biankó-, a megszemélyesített és a selejt okmányok/kártyák tárolására külön-külön zárható, tűzbiztos tárolóegységeket vagy trezort biztosít,

o) a megszemélyesítő a megszemélyesítésben használt helyiségeket biztonsági kamerával, beléptető rendszerrel, riasztóval, tűzjelző berendezéssel és elektromos tüzek oltására alkalmas tűzoltó készülékkel köteles felszerelni."