6/2018. (III. 26.) IM utasítás

1. Bevezetés

1.1. Az informatikai biztonság az elektronikus információs rendszer olyan állapota, amelynek védelme az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. Az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) és annak vonatkozó végrehajtási rendeleteinek tartalmával összhangban biztonsági elveket, követelményeket és szabályokat tartalmaz az Igazságügyi Minisztérium (a továbbiakban: minisztérium) adatait kezelő informatikai rendszereket felhasználó személyek számára az informatikai biztonság megteremtése, fenntartása és fejlesztése érdekében.

2. Az IBSZ célja

2.1. Az IBSZ alapvető célja, hogy az informatikai rendszer alkalmazása során biztosítsa az adatvédelem elveinek, az adatbiztonság követelményeinek érvényesülését, valamint megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát. A szabályzatban meghatározott védelemnek működnie kell a rendszerek fennállásának egész időtartama alatt, a megtervezésüktől kezdve az üzembe helyezésen keresztül az üzemeltetésig terjedő életciklusukban.

2.2. Az IBSZ-ben szereplő követelményeket, rendelkezéseket a hatályos jogszabályok, elsősorban az Ibtv., valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet [a továbbiakban: 41/2015. (VII. 15.) BM rendelet] keretei között kell alkalmazni az elektronikus információs rendszerek tekintetében megkövetelt biztonsággal, sértetlenséggel és rendelkezésre állással kapcsolatos alábbi célok elérésére:

2.2.1. a jogkövető magatartás és a szervezeti jó hírnév érdekében védeni a szervezet információs vagyonát az adatvédelem és adatbiztonság feltételeinek megteremtése útján;

2.2.2. a tudatosság, a szervezettség, a hatékonyság és a technikai megoldások használata segítségével növelni az informatikai biztonságot, elősegíteni az üzemeltetett informatikai rendszerek rendeltetésszerű használatát, valamint az adatállományok tartalmi és formai épségének megőrzését;

2.2.3. a megelőzés, a tájékoztatás, az oktatás, a felderítés és az együttműködés eszközeivel segíteni az informatikai rendszerek zavartalan üzemeltetésének folyamatos biztosítását.

3. Az IBSZ tartalma

3.1. Az IBSZ a minisztérium szervezeti szintű informatikai biztonsági szabályozó rendszerének egyik alapvető eleme. Az IBSZ a hatályos jogszabályokkal, a minisztérium működési és ügyrendi előírásaival összhangban megteremti az elektronikus információ kezelésének és felhasználásának biztonságát.

3.2. Az IBSZ tartalmazza

3.2.1. a minisztérium elektronikus információbiztonsági politikáját (1. függelék);

3.2.2. a minisztérium elektronikus információbiztonsági stratégiáját (2. függelék);

3.2.3.¹ a minisztérium által használt, a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet alapján a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (a továbbiakban: kormányzati informatikai szolgáltató) mint üzemeltető és az e-közigazgatásért felelős miniszter közötti közszolgáltatási szerződés alapján üzemeltetett elektronikus információs rendszerekkel kapcsolatba kerülő személyek felé támasztott informatikai biztonsági követelmények minimumát;

3.2.4. azokat az elvárásokat, kötelezettségeket és a felelősségi kört, amelyekre az elektronikus információ kezelésének és felhasználásának biztonsága érdekében szükség van;

3.2.5. az elektronikus információk bizalmasságát, hitelességét és rendelkezésre állását biztosító tevékenységek szabályozását és az ezen feltételek biztosítását elősegítő minisztériumi védelmi intézkedéseket.

4. Az IBSZ hatálya

4.1. Az IBSZ területi hatálya kiterjed a minisztériumi szervezeti egységek elhelyezésére szolgáló épületekre, továbbá olyan épületekre és helyiségekre, amelyekben a 4.2. pontban meghatározott tárgyi hatály alá tartozó elektronikus információs rendszereket, valamint az ezek működését elősegítő eszközöket és programokat használnak, illetve ezekhez kapcsolódó adatkezelést végeznek.

4.2. Az IBSZ tárgyi hatálya kiterjed

4.2.1. a minisztériumi feladatellátás körében keletkező elektronikus adatok teljes körére, a minisztérium adataival és adatainak kezelésével összefüggésben használt bármilyen adatrögzítésre, tárolásra, feldolgozásra vagy továbbításra képes elektronikus információs eszközre és ezek működési környezetére, ideértve a kormányzati informatikai szolgáltató által biztosított és üzemeltett eszközöket, valamint a távoli munkavégzéshez használt eszközöket és ezek működési környezetét is;

4.2.2. a 4.2.1. pontban meghatározottakra vonatkozó bármely dokumentációra;

4.2.3. a 4.2.1. pontban meghatározottak működéséhez alkalmazott szoftverekre, illetve az elektronikus információs eszközökkel rögzített, tárolt, feldolgozott vagy továbbított adatokra és információkra.

4.3. Az IBSZ tárgyi hatálya nem terjed ki a külön szabályozott, minősített adatokat kezelő elektronikus információs rendszerekre és a minősített adatokra.

4.4. Az IBSZ személyi hatálya kiterjed a minisztériumnál munkavégzésre irányuló bármely jogviszonyban álló, a minisztérium elektronikus információs rendszereivel kapcsolatba kerülő, azokat telepítő, üzemeltető, javító, fejlesztő és használó természetes és jogi személyekre (a továbbiakban külön megnevezés hiányában: felhasználók), így

4.4.1.² a kormányzati igazgatásról szóló 2018. évi CXXV. törvény (a továbbiakban: Kit) 3. § (2), (3) és (5) bekezdésében foglaltak alapján a minisztérium állományába tartozó politikai szolgálati jogviszonyban és biztosi jogviszonyban álló tisztségviselőkre;

4.4.2.³ a Kit 3. § (6) bekezdésében foglaltak alapján a minisztériummal kormányzati szolgálati jogviszonyban álló tisztségviselőkre;

4.4.3.⁴ a minisztérium állományába beosztott bírókra, bírósági titkárokra és ügyészekre;

4.4.4.⁵ a rendvédelmi feladatokat ellátó szervek hivatásos állományának szolgálati jogviszonyáról szóló 2015. évi XLII. törvény 62. § (1) bekezdése, valamint 288/A. § (1) bekezdése alapján a minisztériumba vezényelt vagy kirendelt hivatásos szolgálati jogviszonyban álló személyekre;

4.4.5.⁶ a honvédek jogállásáról szóló 2012. évi CCV. törvény 51. § (1) bekezdése alapján a minisztériumba vezényelt hivatásos szolgálati jogviszonyban álló személyekre;

4.4.6.⁷ a Kit 278. és 279. §-a alapján a minisztériummal munkaviszonyban álló munkavállalókra;

4.4.7. a minisztériummal szerződéses kapcsolatban álló természetes és jogi személyekre, beleértve a kormányzati vagy más informatikai szolgáltatót is;

4.4.8. más szervezetek képviseletében vagy kirendeléssel a minisztérium munkahelyein tartózkodó személyekre;

4.4.9. a minisztériumban foglalkoztatott ösztöndíjasokra és gyakornokokra;

4.4.10. a minisztériummal bármilyen egyéb jogviszony alapján kapcsolatba lépő személyekre, akik a minisztérium titoktartási nyilatkozatát aláírták.

5. Az informatikai biztonsággal kapcsolatos feladatkörök ellátása

5.1. A minisztériumi informatikai biztonsággal kapcsolatos feladatkörök ellátásában a szervezeti elektronikus információs rendszerek és eszközök használatával kapcsolatos alábbi szereplők érintettek:

5.1.1. a minisztérium vezetőjeként, az informatikai biztonsági szerepkörök és felelősség meghatározása, és ezáltal a minisztérium elektronikus információs rendszereinek védelméről az Ibtv. 11. § b)–h) pontjában meghatározottak útján való gondoskodás tekintetében a miniszter;

5.1.2. a közigazgatási államtitkár;

5.1.3. az Ibtv. 11. § (1) bekezdés c) pontja szerinti informatikai biztonsági vezető (a továbbiakban: IBV) és a minisztériumban működő Biztonsági és Adatkezelési Főosztály (a továbbiakban: BAF) vezetője, valamint kijelölt állománya;

5.1.4. a minisztérium által üzemeltetett szakrendszerek, informatikai szolgáltatások felügyeletét, üzemeltetését ellátó szakfőosztályok, szervezeti egységek vezetői és érintett állománya (a továbbiakban egységesen: szervezeti üzemeltetők);

5.1.5. általános vezetői felelősség körében a minisztérium szervezeti egységeinek vezetői;

5.1.6. az adatgazdák;

5.1.7. az informatikai biztonsági megbízottak, az elektronikus információbiztonsági dokumentációs munkacsoport (a továbbiakban: EIBD munkacsoport) tagjai;

5.1.8. a kormányzati informatikai szolgáltató/központi üzemeltető.

5.2. A közigazgatási államtitkár

5.2.1. Az IBSZ biztonsági szabályainak betartatásáról a miniszter a közigazgatási államtitkár közreműködésével gondoskodik a kijelölt IBV útján, amelynek keretében

5.2.1.1. hatáskörébe tartozóan dönt az informatikai biztonság növelésére tett főbb kezdeményezések elbírálása, valamint a minisztérium szervezetét érintő informatikai biztonsági intézkedések bevezetése tárgyában;

5.2.1.2. jóváhagyja a minisztériumi információbiztonsági tudatosság fejlesztését célzó képzési tervet;

5.2.1.3. az IBV útján ellenőrzi az Ibtv.-ben meghatározott informatikai biztonsági követelmények és tevékenységek megfelelőségét.

5.3. Az IBV és a Biztonsági és Adatkezelési Főosztály

5.3.1. Az IBV a BAF helyettes vezetőjeként, a BAF elektronikus információbiztonsági (a továbbiakban: EIB) feladatkör ellátására kijelölt munkatársaival, az EIB feladatkörön belül megszervezi és ellátja a kormányzati informatikai szolgáltatóval, valamint a minisztériumi szervezet érintett vezetőivel, adatgazdáival, informatikai biztonsági megbízottaival, üzemeltetőivel és érintett más munkatársaival való kapcsolattartás és koordináció keretén belül az alábbiakat:

5.3.1.1. általános feladatkörében elvégzi vagy irányítja a minisztérium által üzemeltetett, illetve a minisztérium adatait feldolgozó elektronikus információs rendszerek biztonságával összefüggő tevékenységek tervezését, szervezését, koordinációját és ellenőrzését;

5.3.1.2.⁸ elvégzi az IBSZ legalább évenkénti felülvizsgálatát és szükség szerinti módosítását.

5.3.1.3. koordinálja az informatikai biztonság kialakítására, a megfelelő informatikai biztonság elérésére, illetve fenntartására vonatkozó szabályzatok, utasítások, tervek és egyéb dokumentációk kidolgozását, hogy ezeket jóváhagyása után az illetékes szervezeti egység a minisztérium vezetése felé elfogadásra felterjeszthesse;

5.3.1.4. érvényesíti az elektronikus információbiztonsági szempontokat a minisztériumot érintő új projektek bevezetési fázisában;

5.3.1.5. az informatikai biztonság szempontjából véleményezi a szervezet közjogi szervezetszabályozó eszközeinek, valamint polgári jogi szerződéseinek tervezeteit;

5.3.1.6. közreműködik a minisztérium által használt elektronikus információs rendszerek biztonsági osztályba és a minisztérium biztonsági szintbe sorolásával kapcsolatos feladatokban;

5.3.1.7. együttműködik az elektronikus információs rendszerek üzemeltetőivel és felhasználóival;

5.3.1.8. kapcsolatot tart a Nemzeti Kibervédelmi Intézettel (a Nemzeti Elektronikus Információbiztonsági Hatósággal) és a Kormányzati Eseménykezelő Központtal, illetve részükre a vonatkozó jogszabályi háttérben foglalt kötelező adatszolgáltatásokat az érintettek bevonásával előkészíti és teljesíti;

5.3.1.9. kidolgozza a minisztériumi információbiztonsági tudatosság fejlesztését célzó éves kötelező képzésekre vonatkozó tervet és a Személyügyi Főosztály közreműködésével szervezi és végrehajtja azt;

5.3.1.10. betölti az információbiztonsági felelős szerepét.

5.4. A központi és szervezeti üzemeltető

5.4.1. A minisztériummal munkavégzésére irányuló jogviszonyban lévő, illetve a minisztérium részére informatikai szolgáltatásokat nyújtó szervezet elektronikus információs rendszereit üzemeltető munkatársai felelősek az informatikai biztonság fenntartásáért a felügyeletükre bízott elektronikus információs rendszerekben, az alábbi feladat- és hatáskörmegosztásban:

5.4.1.1.⁹ a minisztérium mindenkori hatályos szervezeti és működési szabályzata alapján üzemeltetési feladatot ellátó minisztériumi szervezeti egység mint szervezeti üzemeltető a minisztériumi szakrendszerek tekintetében;

5.4.1.2. a minisztériummal szerződéses kapcsolat alapján elektronikus információs rendszerek üzemeltetését ellátó közreműködők az érintett szakrendszerek tekintetében.

5.5. Informatikai üzemeltetésért felelős szervezeti vezető

5.5.1. A minisztériumban használt elektronikus információs rendszerek informatikai üzemeltetéséért felelős szervezeti vezetőnek az informatikai biztonság megvalósításával kapcsolatos alapvető feladatai az érintett üzemeltetési személyi állomány útján és közreműködésével a következők:

5.5.1.1. az informatikai biztonsági követelmények megvalósításához szükséges informatikai eszközök specifikálása;

5.5.1.2. az üzemeltetés megszervezése és biztosítása;

5.5.1.3. rendszerfelügyelet biztosítása;

5.5.1.4. az informatikai határvédelemhez tartozó feladat- és felelősségi körök felülvizsgálata és jóváhagyása;

5.5.1.5. a katasztrófa-helyreállításra vonatkozó tervek kidolgozása;

5.5.1.6. a hozzáférési jogok rendszerének kialakítása és üzemeltetése;

5.5.1.7. a rendszerprogramokkal kapcsolatos bármely konfigurálási, hangolási, vagy az alkalmazáson végzendő, annak bármely funkcióját megváltoztató műveletet, valamint bármely alkalmazás telepítésének üzemeltetési vezetői engedélyezése, és a kijelölt üzemeltetési állomány általi elvégeztetése;

5.5.1.8. a rendszerszoftver naprakész állapotban tartása, és a segédprogramok, programkönyvtárak üzemeltetők számára történő hozzáférhetőségének biztosítása;

5.5.1.9. az elektronikus információs rendszer jelentősebb módosítását követően a módosítás végrehajtóival közösen rendszerátvételi eljárás lefolytatása a rendszer működőképességének ellenőrzése céljából;

5.5.1.10.¹⁰ a nyilvánosan hozzáférhető elektronikus információs rendszereken közzétett adatok sértetlensége és rendelkezésre állása megőrzésének biztosítása, különös tekintettel a – minisztérium tulajdonában álló rendszereken sérülékenységvizsgálat lefolytatására jogszabály által kijelölt – hatóság által feltárt sérülékenységekkel kapcsolatos szervezeti intézkedések megtételére, szükség esetén az érintett szervezeten kívüli szolgáltató bevonásával;

5.5.1.11. a rendszerhozzáférések és az elektronikus információs rendszer használatának a lehetséges veszélyek felderítése céljából történő ellenőrzése saját, az elektronikus információbiztonsági követelményeknek megfelelő, az IBV által jóváhagyott üzemeltetési dokumentáció szerint;

5.5.1.12. a számítógépek vírusok elleni védelmére rendszeresen frissített vírusvédelmi rendszer és anti-spyware programok üzemeltetése, továbbá a hálózat egyes funkcióinak vagy a teljes hálózat felhasználói szolgáltatásainak a vírusveszély elhárításáig történő felfüggesztése;

5.5.1.13. elektronikus információs eszköz felügyelet alól (pl. javításkor) történő kikerülése esetén, az eszközön lévő adatok biztonságos átmentése és ezt követően törlése;

5.5.1.14. az 5.5.1.1.–5.5.1.13. pontok tartalmának tekintetében tájékoztatási kötelezettség az IBV felé.

5.6. Üzemeltetési dokumentáció – Üzemeltetési kézikönyv

5.6.1. Az 5.5.1. pont 5.5.1.11. alpontjában előírt üzemeltetési dokumentáció egy adott rendszerelem működtetésére, karbantartására és felügyeletére vonatkozó utasításokat tartalmazza az üzemeltetési feladatokat végző munkatársak által érthető módon. Az üzemeltetési dokumentáció tartalmazza

5.6.1.1. a technikai környezet ismertetését;

5.6.1.2. a kapacitástervezési leírást;

5.6.1.3. az alkalmazott portok, szolgáltatások és protokollok részletes ismertetését;

5.6.1.4. a kommunikációs környezet ismertetését;

5.6.1.5. a szerepköröket és hozzájuk tartozó feladatok ismertetését;

5.6.1.6. a jogosultsági rendszer részletes ismertetését;

5.6.1.7. a feldolgozások részletes ismertetését üzemeltetési szempontból;

5.6.1.8. a mentés, archiválás, monitorozás ismertetését;

5.6.1.9. az időszaki teendők ismertetését;

5.6.1.10. a hibaüzenetek, hibaelhárítással kapcsolatos feladatok ismertetését;

5.6.1.11. a hiba- és eseménynaplózási rend teljes körű meghatározását.

5.7. Az IBV szervezeti üzemeltetői ellenőrzési jogköre

5.7.1. Az IBV az 5.5.1. pontban foglaltak betartásával kapcsolatban informatikai biztonsági felülvizsgálatot kezdeményezhet a szervezeti üzemeltetői feladatkör végrehajtásának vonatkozásában, a közigazgatási államtitkár jóváhagyásával az alábbiak szerint:

5.7.1.1. A vizsgálat során az IBV és a BAF kijelölt munkatársai a szervezeti üzemeltetői helyiségekbe beléphetnek, a szervezeti üzemeltetési munkatársak pedig minden, a vizsgálattal összefüggésben általuk kért információ átadására kötelesek a kért formában és határidőre.

5.7.1.2. A vizsgálat megállapításairól az IBV jelentésben tájékoztatja a közigazgatási államtitkárt. A vizsgálat által feltárt esetleges hiányosságok megszüntetésére az informatikai biztonsági vezető tesz javaslatot.

5.7.1.3. A jelentésben szereplő javaslatok megvalósítását az illetékes informatikai üzemeltetői vezetők és kijelölt munkatársaik végzik.

5.7.1.4. Az intézkedések megvalósításának ellenőrzését a BAF kijelölt állományának közreműködésével az informatikai biztonsági vezető végzi el, szükség esetén bevonva a Nemzeti Elektronikus Információbiztonsági Hatóság, illetve a Kormányzati Eseménykezelő Központ munkatársait is. Az ellenőrzések végrehajtásáról az IBV jelentést készít a közigazgatási államtitkár részére.

5.8. Az adatgazda

5.8.1. Az adatgazda annak az önálló szervezeti egységnek a vezetője, ahol az elektronikus információs rendszer alkalmazásával az adat keletkezik, illetve amely szervezeti egységhez jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését vagy nyilvántartás vezetését elrendeli.

5.8.2. Az adatgazda informatikai biztonsággal kapcsolatos felelősségi köre az alábbiakra terjed ki:

5.8.2.1. a 10. pontban és a 6. függelékben foglaltak alapján biztonsági osztályba sorolja az általa kezelt adatokat, illetve elektronikus információs rendszereket;

5.8.2.2. az adatokhoz/tevékenységekhez hozzáférők meghatározása úgy, hogy mindenki csak annyi jogot kapjon, amennyi a munkája elvégzéséhez feltétlenül szükséges;

5.8.2.3. az adatokhoz/tevékenységekhez történő hozzáférés elvi engedélyezése;

5.8.2.4. az informatikai biztonsági megbízott kijelölése;

5.8.2.5.¹¹ az Igazságügyi Minisztérium információs rendszereire vonatkozó vizsgálati és audit eljárások lefolytatásában való együttműködés, kivéve, ha a vizsgálat a vizsgált rendszer tartós üzemképtelenségét eredményezné, vagy tartós fennakadást okozna a rendszer rendelkezésre állásában;

5.8.2.6.¹² az IBV tevékenységének támogatása az Igazságügyi Minisztérium Szervezeti és Működési Szabályzatáról szóló 4/2022. (VI. 11.) IM utasítás 1. melléklet 1.1.0.3. rész 2. pont b)–h) alpontjában foglaltakra figyelemmel.

5.9. Az EIBD munkacsoport

5.9.1. Annak érdekében, hogy a minisztérium elektronikus információbiztonsági stratégiai céljai a külső követelményekkel összhangban legyenek, EIBD munkacsoportot kell működtetni.

5.9.1.1. Az EIBD munkacsoport tagjai

5.9.1.1.1. az IBV és az informatikai biztonsági feladatkört ellátó munkatársak,

5.9.1.1.2. a minisztérium ágazati szakrendszereinek üzemeltetéséért felelős kijelölt szakemberek,

5.9.1.1.3.¹³ az Igazságügyi Minisztérium szervezeti és működési szabályzatáról szóló 4/2022. (VI. 11.) IM utasítás 1. melléklet 1.1.0.3. rész 2. pont f) alpontjában foglaltak alapján államtitkári kabinetenként és helyettes államtitkárságonként meghatározott informatikai biztonsági megbízottak.

5.9.2. Az EIBD munkacsoport tevékenysége

5.9.2.1. a minisztérium EIB dokumentációs feladatellátásának biztosítása, amelynek keretén belül folyamatos működése mellett kidolgozza, jóváhagyja és évente felülvizsgálja az Informatikai Biztonsági Irányítási Rendszer (a továbbiakban: IBIR) adminisztratív védelmét alkotó dokumentumokat, valamint meghatározza az informatikai biztonságot érintő szervezeti felelősségi köröket,

5.9.2.2. a minisztériumi IBIR működésének évenkénti felülvizsgálata, amely az elektronikus információbiztonsági stratégia végrehajtása, valamint az informatikai környezetben bekövetkezett, az adminisztratív, a fizikai és a logikai védelmi intézkedési kört érintő változások feltárását és kezelését célozza.

5.10. A kormányzati informatikai szolgáltató

5.10.1. A minisztériumi elektronikus információs rendszerek működtetéséhez szükséges informatikai alapinfrastruktúra feltételeit biztosító kormányzati informatikai szolgáltató az Ibtv. és annak végrehajtási rendeletei figyelembevételével, a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet 5. § (1) bekezdése szerinti munkacsoport működése során hangolja össze a kormányzati informatikai üzemeltetés és a minisztériumi informatikai követelmények megvalósítását.

6. A minisztérium elektronikus információs rendszereivel kapcsolatos hozzáférés szabályozásának alapelvei

6.1. Az elektronikus információs rendszer minden meghatározó elemét olyan védelmi mechanizmusnak (fizikai, logikai, adminisztratív) kell védenie, amely megakadályozza az illetéktelen személyek hozzáférését a védett elektronikus információs rendszerhez.

6.2. A biztonsági osztályba sorolt elektronikus információs rendszerek esetében – a kormányzati informatikai szolgáltatóval kötött közszolgáltatási szerződés tárgyi hatályára vonatkozóan is – hozzáférés-védelmi rendeket kell kidolgozni, amelyek részletesen tartalmazzák az elektronikus információs rendszerre vonatkozó jogosultsági szinteket, a jogosultságigénylés és -kiadás folyamatait.

6.3. A minisztérium elektronikus információs rendszereivel kapcsolatos szervezeti hozzáférés szabályozásának eljárásrendjét a 8. függelék tartalmazza.

7. Harmadik fél hozzáférésének alapkövetelményei

7.1. Harmadik fél csak egyedi esetben, meghatározott időre és meghatározott feladat megoldásához látható el a minisztériumi elektronikus információs rendszerekhez kapcsolódó jogosultsággal, amelyet szerződésben kell dokumentálni. A szerződéstervezet EIB szempontú véleményeztetését az elektronikus információs rendszer adatgazdájának kell kezdeményeznie a BAF felé.

7.2. A minisztérium és szerződéses partnerei megfelelő biztonsági intézkedéseket kötelesek foganatosítani annak érdekében, hogy a kicserélt (átadott/átvett) adatok és dokumentumok véletlen vagy szándékos kompromittálódását megakadályozzák.

7.3. A harmadik félnek a minisztérium információs vagyonához történő hozzáférése esetében – figyelembe véve a szükséges hozzáférési típusokat, az információ értékét, a harmadik fél által alkalmazott biztosítékokat, valamint a hozzáférés mélységét – törekedni kell a kockázatok minimalizálására.

7.4. Azokban az esetekben, amelyekben az információ feldolgozása vagy kezelése kiszervezéssel történik, a harmadik féllel kötött szerződésnek a betartandó biztonsági követelményeket is tartalmaznia kell.

7.5. Harmadik fél hozzáférése a minisztérium adataihoz és információihoz, a munkájához elengedhetetlenül szükséges minimum szintre kell korlátozni. A hozzáférések feltételeit szerződésben kell részletezni. A szerződés csak az Ibtv.-vel, a minisztérium IBSZ-ével, illetve rendszerszintű informatikai biztonsági szabályzataival összhangban lévő követelményeket tartalmazhat.

7.6. A szerződésnek tartalmaznia kell továbbá a bizalmasságra, a szellemi tulajdonjogokra, a szerzői jogok átruházására és minden közösen végzett munkálat védelmére vonatkozó garanciákat is.

7.7. A szerződésben elő kell írni, hogy a minisztérium információs vagyonelemei a szerződés lejártát követően kerüljenek vissza a minisztérium birtokába, a szerződött félnél – valamint annak partnereinél, alvállalkozóinál – pedig kerüljenek véglegesen törlésre.

7.8. Harmadik fél az anyagokat és információkat a hozzáférést rögzítő szerződés vagy titoktartási nyilatkozat aláírása előtt nem ismerheti meg.

7.9. A szerződéses partnereknek vállalniuk kell, hogy rendszereik a vállalt feladat ellátására alkalmasak. A szerződésben szerepeltetniük kell vészhelyzeti eljárásra vonatkozó pontokat is. Ebben rögzíteni kell a rendelkezésre állás idejét, a reagálási időt, annak módját és az értesítendők adatait. Rögzíteni kell továbbá a megoldás folyamatát, az elhárítás várható időtartamát, és hatékony jelentési rendszert kell megkövetelni.

7.10. A harmadik féllel kötött szerződés biztonsági követelményei

7.10.1. A minisztériumnak az általa használt elektronikus információs rendszereket érintő polgári jogi szerződései az IBSZ hatálya alá tartoznak, ezért azok tartamát az IBSZ rendelkezéseivel összhangban kell meghatározni. A polgári jogi szerződések előkészítése során az alábbiakat kell alkalmazni, illetve figyelembe venni:

7.10.1.1. az Ibtv. és a 41/2015. (VII. 15.) BM rendelet rendelkezéseit,

7.10.1.2. a minisztériumi IBSZ rendelkezéseit,

7.10.1.3. az elektronikus információs rendszer bizalmasságának, sértetlenségének és rendelkezésre állásának biztonsági osztályba sorolását,

7.10.1.4. a sérülékenység-vizsgálatra vonatkozó kikötést,

7.10.1.5. az információk másolásának és nyilvánosságra hozatalának feltételeit,

7.10.1.6. a szolgáltatás elvárt szintjének és a szolgáltatási időszaknak a meghatározását,

7.10.1.7. a felek felelősségének meghatározását,

7.10.1.8. a szellemi tulajdon védelmére és másolására vonatkozó jogokat és kötelezettségeket,

7.10.1.9. a teljesítések ellenőrizhetőségét, monitorozását és jelentések készítését,

7.10.1.10. a felmerülő problémák kezelését,

7.10.1.11. a hardver- és szoftvertelepítésből és karbantartásokból eredő felelősséget,

7.10.1.12. világos és egyértelmű jelentéskészítési struktúrát és rendszert,

7.10.1.13. a változáskezelések egyértelmű és meghatározott folyamatát,

7.10.1.14. óvintézkedések meghatározását a kártékony kódok ellen, és a védelmi intézkedések meghatározását a biztonsági események kezelésére,

7.10.1.15. biztonsági események kivizsgálására és jelentésére vonatkozó intézkedések meghatározását,

7.10.1.16. az alvállalkozók bevonására vonatkozó szabályokat,

7.10.1.17. ha a feladat elvégzésére a szerződő fél alvállalkozót is igénybe vesz, a szerződésben pontosan meg kell nevezni az alvállalkozót, és meg kell határozni a rá vonatkozó hozzáférési jogosultságokat. A titoktartási kötelezettség a harmadik fél alvállalkozójára is vonatkozik, és a szerződésnek titoktartási nyilatkozati részt is kell tartalmaznia.

7.10.1.18.¹⁴ a 41/2015. (VII. 15.) BM rendeletben meghatározott, a szerződés teljesítésével érintett adminisztratív, fizikai és logikai védelmi intézkedésekkel összefüggően a szerződő fél feladatkörébe tartozó kötelezően biztosítandó dokumentumok elkészítésének előírását, különös tekintettel az Ibtv. által az elektronikus információs rendszerek biztonságának felügyeletére meghatározott hatóságnak az elektronikus információs rendszerek biztonsági osztályba sorolásával kapcsolatban előírt adatszolgáltatási követelményeinek – a vonatkozó, elsősorban logikai védelmi követelmények teljesítettségét felmérő összefoglaló adattábla elkészítése útján történő – végrehajtására.

7.10.1.19.¹⁵ a 41/2015. (VII. 15.) BM rendeletben meghatározott, a szerződés teljesítésével érintett adminisztratív, fizikai és logikai védelmi intézkedésekkel összefüggően az adott elektronikus információs rendszer vagy ilyennel összefüggő projekt költségvetésének tervezésekor az EIB feladatok számára önálló tétel (biztonsági intézkedések pénzügyi forrása) elkülönítését – vagy az EIB feladatok ellátását lehetővé tevő terméktámogatási szerződés vagy a szerződésen belüli külön ilyen irányú pénzügyi forrás hozzárendelése útján – biztosítani kell. A biztonsági intézkedések pénzügyi forrásának tervezésekor a 11. függelékben meghatározott szabályzat szerinti minisztériumi belső kezdeményezésű, valamint az Automatizált Sérülékenységvizsgálati Rendszer (a továbbiakban: ASR) útján lefolytatott sérülékenységvizsgálat során feltárt esetleges sérülékenységek javítási költségeit is figyelembe kell venni. Új minisztériumi elektronikus információs rendszer átvétele esetén a sérülékenység javítására alkalmas fejlesztői támogatásnak a szerződésben történő megjelenítése kötelező, fejlesztése, továbbfejlesztése érdekében kötött szerződés szerződésszerű teljesítésének pedig kötelező feltétele a sérülékenységvizsgálat során feltárt hibák javítása.

7.10.2.¹⁶ Akkor tekinthető teljesítettnek a szerződő fél feladatkörébe tartozó kötelezően biztosítandó dokumentumoknak való megfelelés, amennyiben a 41/2015. (VII. 15.) BM rendelet 3. melléklet 3. pont 3.1. alpont 3.1.3. pontjában felsorolt adminisztratív kötelezettségek hiánytalanul teljesülnek.

7.10.3.¹⁷ A minisztérium és a szerződő fél vagy felek által a 7.10.1. pontban foglaltak tárgyában megkötött szerződések elektronikus úton hitelesített példányát a polgári jogi szerződések nyilvántartásáért felelős minisztériumi szervezeti egység az aláírást követően 8 napon belül megküldi az IBV részére.

8. A munkaköri felelősség és az alkalmazás feltételei

8.1. A 4.4. pontban foglalt felhasználókat a minisztériummal kapcsolatos jogviszonyuk szerint az IBSZ tartalmával meg kell ismertetni, a megismerésről szóló írásbeli nyilatkozat tételével, legkésőbb a jogviszonyt létesítő okirat átadásával egyidejűleg.

8.2. A minisztériummal munkavégzésre irányuló jogviszonyban álló felhasználók munkaköri leírásaiban meg kell határozni az általános és az adott munkakörhöz tartozó informatikai biztonsági feladatokat és felelősségeket.

8.3. A felhasználók kötelezettségeit, felelősségeit a 3. függelékben meghatározott Felhasználói Informatikai Biztonsági Házirend (a továbbiakban: FIBH) tartalmazza.

8.4.¹⁸ A minisztériumnak a munkakörbe való belépéskor a minisztériumi Közszolgálati Szabályzat és az IBSZ elérhetőségének biztosításával, valamint az évente rendszeresen megtartott elektronikus információbiztonsági képzések útján tájékoztatnia kell a munkatársakat arról, hogy milyen jogi felelősségük és kötelezettségük van az informatikai biztonsági előírások betartására vonatkozóan, továbbá a munkáltatónak az általa biztosított munkaeszközökre és informatikai infrastruktúrára vonatkozó ellenőrzési jogosultságairól. A minisztériumi munkatársak informatikai biztonsági felelőssége arra az esetre is vonatkozik, ha nem a minisztériumban (pl. távoli hozzáférés, otthoni munka, távmunka), illetve munkaidőn kívüli, EIB érintettséggel rendelkező munkavégzés történik.

8.5. A titoktartási nyilatkozat

8.5.1. A minisztériumi elektronikus információs rendszerekkel kapcsolatos tevékenység tekintetében, a külön megállapodásban rögzített ilyen irányú jogviszony által meghatározott kereteken belül az igazságügyi miniszter feladat- és hatáskörét érintően a nemzetbiztonsági ellenőrzés alá eső személyek meghatározásáról szóló 7/2015. (IV. 10.) IM rendelet 3. §-ában, 4. §-ában és 1. mellékletében meghatározott, a minisztérium informatikai hálózatán, illetve elektronikus információs eszközein és rendszerein munkát végző érintett munkatársakon túl, az ilyen tevékenységre jogosult harmadik fél eljáró képviselői is titoktartási nyilatkozat tételére kötelezettek.

8.6. Az informatikai biztonság szervezeti oktatása és képzése

8.6.1. A BAF a közigazgatási államtitkár által jóváhagyott oktatási és képzési terv szerint évenkénti rendszeres belső oktatásokkal gondoskodik arról, hogy a felhasználókban tudatosodjanak az alapvető informatikai biztonsági fogalmak, illetve ismerjék meg a munkájuk során felmerülő informatikai biztonsági fenyegetettségeket, és ezzel felkészültek legyenek az FIBH-ban foglaltak betartására.

8.6.2. Az oktatási és képzési tervben kiemelt jogosultságokkal megjelölt munkatársak részére külön oktatást kell biztosítani a minisztériumi elektronikus információs rendszerekkel kapcsolatos szerepük függvényében.

8.6.3. Az oktatáson, illetve továbbképzésen való részvétel az elektronikus információs rendszer minden szintű felhasználója számára kötelező, a megjelenést a résztvevők aláírásukkal igazolják a Személyügyi Főosztály felé a jelenléti íven.

8.7.¹⁹

9. Az irodák, a helyiségek és az eszközök biztonsága

9.1. A 4.1. pontban foglalt védett minisztériumi helyiségek védelmét az alábbiak szerint kell elősegíteni:

9.1.1. a kulcsokat nem szabad nyilvános, idegenek számára is könnyen hozzáférhető helyen tárolni;

9.1.2. azokban az időszakokban, amikor a helyiségek felügyelet nélkül maradnak, az ajtókat és ablakokat zárva kell tartani.

9.2. Harmadik fél munkavégzése biztonságos környezetben: A védett területeken dolgozó és az ideiglenes jellegű munkát végző harmadik félre vonatkozóan, a 7.10. pontban foglaltaknak megfelelően elő kell írni, hogy számukra a hozzáféréseket csak korlátozott mértékben és ellenőrzés mellett szabad biztosítani.

9.3. Az elektronikus információs eszközök biztonsága és karbantartása

9.3.1. Az információs vagyon – lopás, veszélyeztetés, egyéb károsodás elleni – védelmének és a működési folyamatok folytonosságának biztosítása érdekében a minisztérium elektronikus információs eszközeit, azok megfelelő, illetéktelenek hozzáférését kizáró megoldású fizikai elhelyezésével és kezelésével is biztosítani kell.

9.3.2. Az elektronikus információs eszközök elhelyezése és védelme

9.3.2.1. Az elektronikus információs eszközöket úgy kell elhelyezni, és védelmüket úgy kell kialakítani, hogy minimálisra csökkenjenek a környezeti hatások következtében megjelenő kockázatok, és minimálisra csökkenjen az illetéktelen hozzáférések lehetősége, de a munkavégzés hatékonysága ne romoljon.

9.3.2.2. A védelmi intézkedéseknek biztosítaniuk kell, hogy a különböző környezeti hatások miatt keletkező meghibásodások rendszerekre gyakorolt hatásának súlyossága csökkenjen. Ezért

9.3.2.2.1. be kell tartani a tűzvédelmi előírásokat;

9.3.2.2.2. a monitorokat úgy kell elhelyezni, hogy ki lehessen zárni azok illetéktelen személy általi leolvasását.

9.3.3. Az elektronikus információs eszközök minisztériumon kívüli biztonsága: A minisztérium területén kívüli elektronikus információs eszközök használatát a legszükségesebb mértékűre kell korlátozni. Hivatali munkavégzésre elsődlegesen a minisztérium vagy a kormányzati informatikai szolgáltató tulajdonát képező hordozható elektronikus információs eszköz használata engedélyezhető. A hordozható elektronikus információs eszköz felhasználókra vonatkozó részletesebb biztonsági előírásait az FIBH tartalmazza.

9.3.4. „Üres asztal – üres képernyő” szabály: Az elektronikus formában tárolt adatokhoz, információkhoz való illetéktelen hozzáférés megakadályozása és azok jogosulatlan eltulajdonításának elkerülése érdekében minden dolgozónak ismernie és alkalmaznia kell az FIBH 9.2. „Üres asztal – üres képernyő” pontjában leírtakat.

9.3.5. Az infokommunikációs eszközök karbantartása: A folyamatos működés érdekében a minisztérium elektronikus információs eszközeinek karbantartása és ellenőrzése a minisztériumi szakrendszer üzemeltetéséért felelős szervezeti egység, illetve a kormányzati informatikai szolgáltató saját, az IBSZ rendelkezéseivel összhangban lévő eljárása szerint történik.

9.4. Az elektronikus információs eszközök biztonságos újrahasznosítása vagy mások rendelkezésére bocsátása előtt a szolgáltatónak vagy az eszközt biztosító szervezetnek saját eljárása szerint minden esetben gondoskodnia kell arról, hogy az elektronikus információs eszközökön tárolt információk visszaállíthatatlanul eltávolításra kerüljenek.

10. Informatikai vagyonleltár

10.1. A minisztériumnak a feladatköre ellátásához használt elektronikus információs rendszerekről, azok működését biztosító műszaki eszközökről és a bennük tárolt adatokról nyilvántartást, vagyonleltárt kell készítenie, és az ahhoz való hozzáférést az IBV számára biztosítania.

10.1.1. Szerepkörök

10.1.1.1. Az információs vagyonnyilvántartás vezetése, folyamatos karbantartása az adatgazda és az illetékes üzemeltető, az osztályozás minisztériumi összehangolása pedig az IBV feladata, szoros együttműködésben az adatgazdákkal és az illetékes üzemeltetővel. Az információs vagyon osztályba sorolását a közigazgatási államtitkár hagyja jóvá.

10.2. Az elektronikus információs rendszerek osztályozása

10.2.1. A minisztérium részére infokommunikációs szolgáltatásokat nyújtó elektronikus információs rendszerekben, illetve a minisztérium elektronikus információs rendszereiben kezelt információkat a megfelelő védelem biztosítása érdekében a 41/2015. (VII. 15.) BM rendelet előírásai alapján úgy kell osztályba sorolni, illetve az osztályba sorolást felülvizsgálni, hogy az osztályozás tükrözze annak értékét, fontosságát és a szükséges védelem mértékét, valamint figyelemmel legyen a minisztérium szervezete tekintetében megállapított biztonsági szintre.

10.2.2. A biztonsági osztályba sorolást mindig informatikai biztonsági kockázatok (9. függelék) előzetes felmérésével együtt kell végezni. Ha új szempontok merülnek fel a legutóbbi értékelés óta, akkor a felmérést újból el kell végezni.

10.2.3. Ha nem történik lényegi változás, az osztályozás eredményét az adatgazdák, szükség esetén az illetékes üzemeltetők és az EIBD munkacsoport közreműködésével évente legalább egyszer felül kell vizsgálni az IBV szakmai irányítása mellett, a besorolási kategóriák tényleges igényeknek való megfelelése érdekében.

10.2.4. A felhasználónak az információ kezelése során tisztában kell lennie az adott információ védelmi igényével, azaz bizalmassági fokával, és ennek megfelelően kell kezelnie azt.

10.2.5. A minisztérium információs vagyonának csoportosítását, valamint a biztonsági osztályba sorolás tartalmát a 6. függelék, a minisztériumi szakrendszerek felsorolását pedig a 7. függelék tartalmazza.

11. A minisztérium biztonsági szintbe sorolása

11.1. A minisztérium biztonsági szintje a 41/2015. (VII. 15.) BM rendelet 2. melléklet 4. pontjában foglalt előírások alapján 4-es szintnek megfelelően került megállapításra.

1. Célok

1.1. Az Igazságügyi Minisztérium (a továbbiakban: IM) az elektronikus információbiztonsági követelmények tekintetében kiemelten kezeli az általa üzemeltetett és alkalmazott elektronikus információs architektúrát alkotó eszközök és programok (a továbbiakban együttesen: információs rendszerek) bizalmasságának, sértetlenségének és rendelkezésre állásának azok teljes életciklusukban való folyamatos fenntartását.

1.2. Az információs rendszerek és elemeik által kezelt információk biztonságos felhasználása, valamint a meghatározott szervezeti feladatkörök biztonságos informatikai szakrendszerekkel való támogatása a szervezet ügyfeleinek nyújtott szolgáltatások minőségének folyamatos javítása mellett, a célok megvalósítására jelen dokumentumban meghatározásra és kiadásra került a szervezet elektronikus információs rendszereire vonatkozóan az elektronikus információbiztonsági politika (a továbbiakban: EIP).

2. A minisztériumi vezetés elkötelezettsége

2.1. Az IM vezetése az elektronikus információbiztonság szempontjából fennálló kockázatok ismeretében, az EIP céljainak megvalósítása érdekében az alábbi cselekvési irányokat határozza meg:

2.1.1. az elektronikus információs rendszerek biztonságos működtetéséhez szükséges erőforrások biztosítása;

2.1.2. a vonatkozó jogszabályokban meghatározott követelmények teljesítésének biztosítása;

2.1.3. az Informatikai Biztonsági Irányítási Rendszer (a továbbiakban: IBIR) megalkotása és működtetése;

2.1.4. az elektronikus információs rendszerek biztonságának kialakítása és fenntartása;

2.1.5. biztonsági eseményekre történő megfelelő intézkedések megtétele;

2.1.6. az információbiztonsági tudatosság növelése és annak a hivatali munkakultúrába történő sikeres bevonása érdekében a minisztériumi állomány képzésének folyamatos szervezése és lebonyolítása;

2.1.7. az elektronikus információbiztonságra vonatkozó követelmény- és szempontrendszer maradéktalan érvényesítése az IM által igénybe vett külső szolgáltató tekintetében.

3. Szabályrendszer

3.1. Az IM az EIP céljainak megvalósítása érdekében az IBIR tartalmát képező szervezeti biztonságpolitikát, stratégiát, biztonsági szabályzatokat, eljárásokat és ellenőrzési nyomvonalakat az irányadó hatályos jogszabályi háttérben foglaltak betartásával, valamint a vonatkozó szakmai iránymutatásokban foglaltak figyelembevételével kell meghatározni.

1. Bevezetés

1.1. Az Igazságügyi Minisztérium (a továbbiakban: IM) a vonatkozó jogszabályi háttérben részére meghatározott elektronikus információbiztonsági követelmények teljesítését az elektronikus információs architektúrát alkotó eszközök és programok (a továbbiakban együttesen: információs rendszerek) felhasználásával végzi, amelyek kialakítása során a Common Criteria, illetve a Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma figyelembevételére kell törekedni. Az IM-re szabott kormányzati feladatok végrehajtásához nélkülözhetetlen a korszerű információs és kommunikációs technológia felhasználása. Ez a technológia azonban veszélyeket is rejt magában mind az adatok védelme, mind a működőképesség fenntartása szempontjából.

1.2. Az IM elektronikus információbiztonsági stratégiájának (a továbbiakban: EIS) megvalósítása során figyelemmel kell lenni az IM ilyen irányú feladatkörére, amely kapcsán

1.2.1. támogatja az Európai Uniónak az elektronikus információbiztonsággal kapcsolatos törekvéseit, részt vesz ennek kialakításában;

1.2.2. az állami és önkormányzati szervek elektronikus információs rendszereinek biztonságáról szóló 2013. évi L. törvény címzettjeként köteles a törvény és a végrehajtásáról szóló jogszabályokban foglaltak betartására és betartatására;

1.2.3. felelős a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendeletben számára megállapított informatikai jellegű feladatokkal kapcsolatos elektronikus információbiztonsági feladatok végrehajtásáért;

1.2.4. felelős saját szervezetének elektronikus információbiztonságáért.

1.3. Az EIS megvalósítása

1.3.1. az IM informatikai biztonsági szervezetrendszerén,

1.3.2. a hatályos jogszabályok betartásán,

1.3.3. a belső szabályozók megalkotásán és betartásán,

1.3.4. az informatikai fejlesztésekre vonatkozó, illetve szolgáltatói szerződésekbe épített biztonsági követelményrendszeren,

1.3.5. az IM személyi állományának biztonságtudatossági képzésén

keresztül történik.

2. Szabályozási háttér

2.1.²⁰ Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1163/2020. (IV. 21.) Korm. határozat;

2.2. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Korm. határozat;

2.3. az állami és önkormányzati szervek elektronikus információs rendszereinek biztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.);

2.4. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet;

2.5.²¹ az Igazságügyi Minisztérium Szervezeti és Működési Szabályzatáról szóló 4/2022. (VI. 11.) IM utasítás.

3. Az EIS célja

3.1. Az IM elektronikus információs rendszerei, illetve az azokban kezelt adatok és információk bizalmasságának, sértetlenségének vagy rendelkezésre állásának részleges vagy teljes elvesztése jelentős gazdasági, politikai, társadalmi kárt okozhat, ezért az EIS alapvető célkitűzése

3.1.1. az elektronikus információs rendszerek teljes életciklusában meg kell valósítani ezen rendszereknek, valamint a bennük kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer és elemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és kockázatokkal arányos védelmének biztosítását;

3.1.2. az elektronikus információs rendszerek teljes életciklusában megvalósítandó védelem biztosítása érdekében a jogszabályokban, szabványokban és a legjobb gyakorlatok szerint előírt vagy javasolt logikai, fizikai és adminisztratív védelmi intézkedések meghatározása, amelyek támogatják a megelőzést és a korai figyelmeztetést, valamint az észlelést, a reagálást és a biztonsági események kezelését.

3.2. Az EIS hatékony és szakszerű megvalósítása érdekében az IM részéről a kialakítandó informatikai biztonsági szabályozásokban az irányadó hatályos jogszabályi háttérben foglaltak betartásával a vonatkozó szakmai iránymutatásokban foglaltak figyelembevételére kell törekedni.

3.3. Az EIS célja összefoglalva tehát meghatározni azon a rövid, közép- és hosszú távra mutató feladatokat, amelyek az elektronikus információbiztonság és az informatikai biztonság IM szervezeti megteremtését és fenntartását célozzák, és így a továbbiakban az IM szakágazati feladatainak ellátását segítik elő. Az EIS ennek megfelelően tartalmazza az informatikai célkitűzéseit és az ezek eléréséhez megvalósítandó feladatok összegzését.

4. Az EIS hatálya

4.1. Az EIS hatálya kiterjed

4.1.1. az IM adatait feldolgozó, tároló vagy továbbító elektronikus információs rendszerre vagy eszközre és az ezekre vonatkozó minden dokumentációra,

4.1.2. azon elektronikus információs eszközökre és berendezésekre, amelyek az IM informatikai eszközeivel kapcsolatot létesítenek,

4.1.3. az IM informatikai eszközein és a szerződéses partnerei által üzemeltetett eszközökön tárolt és kezelt adatok teljes körére, felmerülésüktől, feldolgozási és tárolási helyüktől függetlenül,

4.1.4. mindazon közszolgálati tisztviselőkre és munkatársakra, akik munkájuk végzése során vagy egyéb céllal, jogosultsággal vagy annak hiányában az IM rendelkezésére álló eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak,

4.1.5. azon személyekre, akik az IM-mel munkavállalói jogviszonyban, szerződéses jogviszonyban állnak, és feladataik teljesítése során vagy egyéb céllal, jogosultsággal vagy annak hiányában az EIS hatálya alá tartozó eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak,

4.1.6. azon külső piaci szereplőkre, amelyek az IM számára elektronikus információs szolgáltatásokat nyújtanak.

5. Az EIS elemei

5.1. A vezetés elkötelezettsége

5.1.1. Az IM vezetősége ismeri és felmérte azt a kockázatot, melyet az elektronikus információfeldolgozás önmagában hordoz, és teljes mértékben elkötelezett az információ és az elektronikus információs rendszerek kockázatarányos védelmében.

5.1.1.1. Ennek érdekében

5.1.1.1.1. biztosítja a jogszabályokban meghatározott követelmények teljesülését;

5.1.1.1.2. biztosítja az elektronikus információs rendszerek biztonságos működtetéséhez szükséges humán és technikai erőforrásokat;

5.1.1.1.3. kialakítja és működteti az Informatikai Biztonsági Irányítási Rendszert (a továbbiakban: IBIR);

5.1.1.1.4. gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról, szervezeti kultúrájába integrálja az elektronikus információbiztonsággal kapcsolatos elvárási rendszert;

5.1.1.1.5. gondoskodik az elektronikus információs rendszer eseményeinek nyomonkövethetőségéről, biztonságának folyamatos ellenőrzéséről;

5.1.1.1.6. biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról, és a biztonsági események kezeléséről;

5.1.1.1.7. amennyiben más szervezet, szerv, külső vállalkozó vagy személy szolgáltatásait veszi igénybe, gondoskodik arról, hogy az elektronikus információbiztonsági követelmények szerződéses kötelemként teljesüljenek.

6. Az elektronikus információ és rendszerbiztonság szervezete

6.1. Az informatikai biztonsági vezető

6.1.1. Az elektronikus információs rendszerek biztonságáért felelős személy a miniszter kijelölése alapján kerül meghatározásra.

6.1.2. Az informatikai biztonsági vezető feladatai ellátása során közvetlenül adhat tájékoztatást, jelentést a miniszternek és az állami vezetőknek.

6.1.3. Az informatikai biztonsági vezető elektronikus információs rendszerekkel kapcsolatos alapfeladatai ellátása során

6.1.3.1. gondoskodik az elektronikus rendszer- és információbiztonsággal összefüggő tevékenységek jogszabályoknak való megfelelőségéről;

6.1.3.2. elvégzi vagy irányítja az elektronikus rendszer- és információbiztonsággal összefüggő tevékenységek tervezését, szervezését, irányítását, koordinálását és ellenőrzését;

6.1.3.3. előkészíti és hatályosítja a szervezet elektronikus információs rendszereire vonatkozó dokumentációkat és szabályzatokat;

6.1.3.4. elvégzi az IM által használt elektronikus információs rendszerek biztonsági osztályba és az IM biztonsági szintbe sorolásával kapcsolatos feladatokat;

6.1.3.5. együttműködik az elektronikus információs rendszerek üzemeltetőivel, használóival;

6.1.3.6. kapcsolatot tart a Nemzeti Kibervédelmi Intézettel (a Nemzeti Elektronikus Információbiztonsági Hatósággal) és a Kormányzati Eseménykezelő Központtal.

6.2. Elektronikus információbiztonsági dokumentációs munkacsoport

6.2.1. Annak érdekében, hogy az IM elektronikus információbiztonsági stratégiai céljai a külső követelményekkel szinkronban legyenek, a minisztérium önálló szervezeti egységei által delegált informatikai biztonsági megbízottak részvételével elektronikus információbiztonsági dokumentációs (EIBD) munkacsoportot kell működtetni, melynek szervezeti felépítését és eljárási szabályait az informatikai biztonsági szabályzatban kell meghatározni.

6.2.2. Az EIBD munkacsoport legfőbb feladata az IM szervezete elektronikus információbiztonsági dokumentációs feladatellátásának biztosítása, amelynek keretén belül folyamatos működése mellett felülvizsgálja és jóváhagyja az IBIR adminisztratív védelmét alkotó dokumentumokat, valamint meghatározza az informatikai biztonságot érintő szervezeti felelősségi köröket.

6.2.3. Az EIBD munkacsoport – szükség esetén külső szakértő igénybevételével – az IBIR megfelelő és eredményes működésének és folyamatos fejlesztésének érdekében évente felülvizsgálja az IM informatikai biztonsági helyzetét, amely felülvizsgálat az alábbi területekre terjed ki:

6.2.3.1. az IM szervezeti elektronikus információbiztonsági stratégia végrehajtása,

6.2.3.2. az informatikai környezetben bekövetkezett, az adminisztratív, a fizikai és a logikai védelmi intézkedési kört érintő változások feltárása és kezelése.

6.3. Informatikai Biztonsági Irányítási Rendszer

6.3.1. Az IM szervezetére vonatkozó elektronikus információbiztonság megvalósítása és fenntartása érdekében IBIR-t kell kialakítani.

6.3.2. Az IBIR tartalma

6.3.2.1. elektronikus információbiztonsági politika;

6.3.2.2. elektronikus információbiztonsági stratégia;

6.3.2.3. informatikai biztonsági szabályzat (IBSZ);

6.3.2.4. elektronikus rendszer- és adatvagyonleltár;

6.3.2.5. az egyesített katasztrófa utáni helyreállítási terv (Disaster Recovery Plan – DRP) és üzletmenet folytonossági terv (Business Continuity Plan – BCP);

6.3.2.6. dokumentált biztonsági eljárások és ellenőrzött biztonsági kontrollok.

6.3.3. Az Informatikai Biztonsági Szabályzat

6.3.3.1. Az IBIR körébe tartozó Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ) az IM elektronikus információbiztonsággal összefüggő feladatait és felelősségeit határozza meg azért, hogy az IM elektronikus információs rendszerek használatán alapuló biztonságos működése az EIS alapján kitűzött célok szerint biztosított legyen.

6.3.3.2. Az IBSZ tartalmazza az információvédelemmel kapcsolatos felelősségeket, az informatikai erőforrások védelmét, az információ biztonságos kezelésének eljárásrendjét, a biztonsági események kezelésének eljárásrendjét, valamint a számonkérés formáját és módját.

6.3.4. Az elektronikus rendszer- és adatvagyonleltár

6.3.4.1. Az IM-ben használt és kezelt információs rendszerhez és adatkörhöz meghatározza annak adatgazdáját, kezelőjét és értékét a bizalmasság, sértetlenség és rendelkezésre állás szempontjából, továbbá a leltár kezelésére vonatkozó előírásokat.

6.4. Kockázatelemzési rendszer

6.4.1. A kockázatok megfelelő kezelése elengedhetetlen ahhoz, hogy az IM vezetése átfogó képet kapjon az elektronikus információbiztonsági veszélyekről, és a biztonságfejlesztéssel kapcsolatos döntéseit körültekintően hozza meg. Ennek érdekében az IBIR kialakítása és fejlesztése során ki kell választani és be kell vezetni egy kockázatkezelési módszertant, amely az IBSZ-ben kerül rögzítésre.

7. Elektronikus információbiztonsági tudatossági képzés

7.1. A tudatosságnövelés és az oktatás kiemelten fontos terület az informatikai és az információbiztonság területén. Az információs rendszerek felhasználói, azaz a felhasználók megfelelő tudatosítása és oktatása nélkül a rendszerek tisztán logikai és fizikai védelemmel történő ellátása semmiképpen sem elegendő, tekintettel arra, hogy napjainkban az informatikai biztonsági fenyegetések túlnyomó többsége a felhasználókat célozza.

7.2. Az IM szervezete részére tehát rendelkezésre kell, hogy álljon a középtávú elektronikus információbiztonsági tudatossági képzési terv, amely elméleti felépítése egy, a minisztérium felhasználóinak teljes körét érintő, a felhasználókon túl a teljes rendszert lefedő komplex, úgynevezett többszintű tudatosságnövelési program típusú megközelítésre épül.

7.3. A többszintű információbiztonság-tudatosságnövelési program alapvető célja, hogy a biztonsági tudatosságot beemelje a szervezeti kultúrába, és támaszkodva a különféle információbiztonsági/informatikai biztonsági alapdokumentumokban rögzítettekre (EIP, EIS, IBSZ) a szervezet minden tagjánál elérje a belső meggyőződésből fakadó (helyes irányú) magatartásváltozást, a betöltött pozíciónak és a felhasználó saját informatikai tudásszintjének megfelelően.

8. Stratégiai tervezés

8.1. Aktuális állapot, az EIS elfogadásakor az IM

8.1.1. rendelkezik informatikai biztonsági vezetővel és felelős szervezeti egységgel;

8.1.2. rendelkezik hatályos IBSZ-szel;

8.1.3.²² feladatait a 346/2010. (XII. 28.) Korm. rendeletben foglaltak szerint a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. által üzemeltetett Egységes Infrastruktúra szolgáltatás igénybevételével végzi;

8.1.4. egyes speciális szakfeladatait az ezen célokra fejlesztett, részben önállóan, részben külső szereplő által üzemeltetett szakrendszerek útján látja el;

8.1.5. valamennyi informatikai rendszere tekintetében kötött és szabályozott jogosultságkezelést hajt végre.

8.2. Tervezés

8.2.1. Rövid távú tervezési mérföldkövek

8.2.1.1. az IM elektronikus információs rendszerek biztonsági osztályba sorolása, szükség szerint cselekvési tervek készítése;

8.2.1.2. az IM szervezeti IBSZ aktualizálása a bekövetkezett szervezeti változások és a biztonsági osztályba sorolás okán;

8.2.1.3. az IM ágazati szakrendszereknek a kormányzati adatközpont keretén belül történő felhőalapú működtetésére vonatkozó technológiai biztonsági követelmények figyelemmel kísérése;

8.2.1.4. az IM szervezeti egyesített katasztrófa utáni helyreállítási terv és üzletmenet folytonossági terv véglegesítése;

8.2.1.5. fizikai és logikai védelmi intézkedésekben más szervezetekkel történő együttműködés áttekintése;

8.2.1.6. az elektronikus információbiztonsági szempontból hiányos informatikai tárgyú szerződések újratárgyalása, az esetlegesen szükséges biztonsági kiegészítésekre vonatkozó költségvetési forrás tervezésével és biztosításával;

8.2.1.7. IM szervezeti elektronikus információbiztonsági tudatossági képzés folytatása.

8.2.2. Középtávú tervezési mérföldkövek

8.2.2.1. a szükséges biztonsági osztály eléréséhez kidolgozott cselekvési terv végrehajtása a szükséges költségvetési forrás tervezésével és biztosításával, valamint a rendszerek biztonsági osztályba sorolásának felülvizsgálata;

8.2.2.2. a fizikai és logikai védelmi intézkedésekben más szervezetekkel történő együttműködés során a cselekvési tervekben foglaltak végrehajtása a szükséges költségvetési forrás tervezésével és biztosításával;

8.2.2.3. IM szervezeti elektronikus információbiztonsági tudatossági képzés folytatása.

8.2.3. Hosszú távú tervezési mérföldkövek

8.2.3.1. a rendszerek biztonsági osztályba sorolásának és a belső szabályozók felülvizsgálata;

8.2.3.2. IM szervezeti elektronikus információbiztonsági tudatossági képzés folytatása.

8.2.4. Monitoring

8.2.4.1. A stratégia megvalósulását folyamatosan monitorozni és évente értékelni, annak tartalmát befolyásoló esemény bekövetkezte esetén pedig módosítani kell.

1. A Felhasználói Informatikai Biztonsági Házirend célja

1.1. A Felhasználói Informatikai Biztonsági Házirend (a továbbiakban: FIBH) célja, hogy az Igazságügyi Minisztérium (a továbbiakban: minisztérium) elektronikus információs rendszereinek és a minisztérium részére informatikai szolgáltatásokat nyújtó szervezetek elektronikus információs rendszereinek felhasználói megismerjék a velük szemben támasztott elvárásokat és a biztonsági előírások rájuk vonatkozó részét.

2. Az FIBH hatálya

2.1. Az FIBH területi, tárgyi és személyi hatálya az IBSZ 4. pontjában foglaltakra terjed ki.

3. Informatikai biztonsággal kapcsolatos szerepkörök

3.1. Az informatikai biztonság folyamatos, a vonatkozó jogszabályokban előírt és a minisztérium vezetése által elvárt szinten tartása érdekében, az informatikai biztonsággal kapcsolatos minisztériumi, illetve a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (a továbbiakban: kormányzati informatikai szolgáltató) felőli szerepkörök az alábbiak szerint kerülnek meghatározásra:

3.1.1. Felhasználó: az IBSZ 4.4. pontjában meghatározott személyi kör.

3.1.2. Üzemeltető: az IBSZ 5.4. pontjában meghatározott személyi kör.

3.1.3. Ügyfélszolgálat, hibaelhárítás.

3.1.4. A felhasználók általános informatikai támogatását és a biztonsági eseménynek nem minősülő informatikai hibák kezelését a kormányzati informatikai szolgáltató Ügyfélszolgálata, a minisztériumi szakrendszerek vonatkozásában pedig az adott szakrendszer szervezeti üzemetetéséért felelős szervezeti egysége végzi, szükség esetén a kormányzati informatikai szolgáltatóval együttműködésben.

3.1.5. Informatikai biztonsági vezető.

3.1.6. A minisztérium informatikai biztonsági vezetője az IBSZ 5.3. pontjában foglaltak szerint látja el a minisztérium informatikai biztonságával kapcsolatos feladatok koordinálását, és felügyeli a minisztérium informatikai biztonsági szabályozóinak betartását.

4. Az FIBH-ben foglaltak betartása

4.1. A felhasználó az informatikai biztonsági előírások betartásával, az üzemeltető az informatikai biztonsági előírások betartásával és betartatásával megvédi a minisztériumot, rendszereinek felhasználóit, partnerei adatait, információik jogosulatlan vagy véletlenszerű nyilvánosságra jutásától, módosításától, megrongálódásától, megsemmisülésétől, illetve csökkenti az esetlegesen bekövetkező kármértéket.

4.2. A minisztérium elektronikus információs rendszerei minden használójának folyamatosan be kell tartania jelen FIBH-ban előírtakat és azokat a biztonsági előírásokat, amelyek a kapcsolódó szabályzatokban, utasításokban és eljárási leírásokban jelennek meg, különös tekintettel a kormányzati informatikai szolgáltató ilyen irányú előírásaira. A szabályok be nem tartása jogi, illetve munkaügyi következményeket vonhat maga után. Az FIBH ismeretének hiánya nem mentesít a felelősség alól.

4.3. A szervezeti egység vezetője közvetlenül felelős azért, hogy az irányítása alá tartozó munkatársak betartsák az informatikai biztonsági előírásokat. Amennyiben alapos gyanú merül fel arra, hogy a felhasználó a minisztérium elektronikus információs rendszerének felhasználásával foglalkoztatásra irányuló jogviszonyából eredő kötelezettségét megszegte, a munkáltatói jogkör gyakorlója jogosult az ezzel kapcsolatos ellenőrzést elrendelni, és az IBV útján és közreműködésével lefolytatni.

4.4.²³ Az ellenőrzés célja a minisztériumi elektronikus információbiztonsági követelmények megvalósítása céljából az FIBH-ban foglaltak betartásának vizsgálata. Az ellenőrzés során az IBV a kormányzati informatikai szolgáltató és az alkalmazott informatikai rendszer üzemeltetője közreműködését veszi igénybe, amelynek keretében az ellenőrzés tárgyát képezi különösen a felhasználó részére használatba adott informatikai eszköz és a felhasználó tevékenységével összefüggő naplófájlok és elektronikus állományok vizsgálata, valamint a felhasználó hivatali elektronikus levelezésének áttekintése.

5. A felhasználóra vonatkozó szabályok

5.1. A felhasználó kötelezettségei

5.1.1.²⁴ A felhasználó a minisztérium elektronikus információs rendszereit csak és kizárólag munkavégzés céljára használhatja. Az információk védelmét azok keletkezésének, feldolgozásának, szétosztásának, tárolásának és selejtezésének teljes folyamata, életciklusa során biztosítania kell, függetlenül a munkavégzés helyétől és idejétől.

5.1.2. Amennyiben a felhasználó olyan adatokhoz fér hozzá, amelyek kezelésére nem jogosult, a hibát a szolgálati út betartásával jeleznie kell az informatikai biztonsági vezetőnek.

5.1.3. Valamennyi felhasználó köteles azonnal értesíteni közvetlen felettesét minden olyan körülményről, amely információbiztonsági incidens bekövetkezésének gyanújára utal. A vezető ilyen esetben a szolgálati út betartásával értesíti az informatikai biztonsági vezetőt, a minisztériumi vagy szervezeti üzemeltetési egységet, illetve a kormányzati informatikai szolgáltató Ügyfélszolgálatát.

5.1.4. Minden felhasználónak bizalmasan kell kezelnie valamennyi felhasználói azonosító, jelszó, eToken, kulcs, biometrikus azonosító vagy bárminemű egyéb, a minisztérium erőforrásaihoz hozzáférést biztosító eszközt.

5.1.5. A személyi azonosító kódokat, jelszavakat szigorúan titokban kell tartani. Még a közeli munkakapcsolatban álló munkatársak sem közölhetik ezeket egymással, ezek az üzemeltetőnek sem adhatók ki. Azok kompromittálódásának gyanúja esetén azonnali megváltoztatásuk szükséges.

5.1.6. Az informatikai biztonságot veszélyeztető események kivizsgálására irányuló felülvizsgálatokban az érintett felhasználó köteles együttműködni a vizsgálatot lefolytató IBV-vel, illetve a BAF kijelölt munkatársaival. Amennyiben a kormányzati informatikai szolgáltató kezdeményez vizsgálatot, úgy a felhasználó azt az IBV felé haladéktalanul jelezni köteles.

5.1.7. A minisztérium elektronikus információs eszközeinek személyes haszonszerzésre irányuló felhasználása, valamint a szakmai elvárások és magatartás szabályaival ellenkező módon történő felhasználása szigorúan tilos.

5.1.8. A felhasználó számára büntetőjogi, illetve munkajogi felelősségre vonás terhe mellett tilos illetéktelenül más felhasználó jogosultságainak használata, a hálózat monitorozása, felderítése, más felhasználói jelszavak kipróbálása, illetve ezek kísérlete is.

5.1.9.²⁵ A minisztériumi munkavégzési tevékenység során az alkalmazottak csak a minisztérium tulajdonát képező, illetve a minisztérium részére informatikai szolgáltatásokat nyújtó szervezet által biztosított informatikai eszközöket és engedélyezett szoftvereket használhatják munkavégzésre. Ettől eltérni csak az érintett szervezeti egység vezetőjének kezdeményezésére, az informatikai biztonsági vezető előzetes jóváhagyásával, valamint a kormányzati informatikai szolgáltatóval történő egyeztetést követően lehet. A minisztérium tulajdonát képező, illetve a minisztérium részére informatikai szolgáltatásokat nyújtó szervezet által biztosított informatikai eszközökön, hálózati meghajtókon és hivatali elektronikus levelezőprogramokban keletkezett és tárolt adatok a minisztériumi adatvagyon részét képezik, így a felhasználó részéről a minisztériumi foglalkoztatásra irányuló jogviszony fennállása alatt és megszűnése után az azokon tárolt személyes adatra történő hivatkozás nem akadályozhatja a minisztériumot, hogy hozzáférjen a szervezeti adatvagyonához.

5.1.10.²⁶ A 3.1.2. pontban hivatkozott informatikai üzemeltetés munkatársait kivéve a felhasználó, a részére a minisztérium vagy a kormányzati informatikai szolgáltató által a hivatali munkavégzéséhez biztosítottak kivételével, semmilyen elektronikus információs eszközt vagy szoftvert nem telepíthet, nem futtathat és nem törölhet a minisztérium elektronikus információs rendszerében, azok elhelyezését, telepítési módját nem változtathatja meg.

5.1.11. A nyomtatásra, lapolvasásra, fénymásolásra, faxolásra alkalmas készülékek, multifunkcionális eszközök használatánál ügyelni kell arra, hogy

5.1.11.1. az érzékeny információt tartalmazó nyomtatványok ne maradjanak a készülékben;

5.1.11.2. illetéktelenek ne férhessenek hozzá;

5.1.11.3. véletlen vagy szándékos átprogramozás során az üzenetek nehogy egy nem megfelelő számra kerüljenek;

5.1.11.4. félretárcsázás vagy hibásan tárolt szám miatt az üzenetek nehogy illetéktelen személyhez kerüljenek.

5.1.11.5. A felhasználó felelősséggel tartozik:

5.1.11.6. a szabályok betartásáért;

5.1.11.7. a birtokában lévő vagy tudomására jutott információk bizalmasságának megfelelő kezeléséért;

5.1.11.8. az elektronikus információs rendszerben az általa vagy a digitális identitása nevében végzett műveletekért;

5.1.11.9. a minisztérium elektronikus információs eszközeinek (számítógép, nyomtató, scanner stb.) szakszerű, szabályszerű kezeléséért;

5.1.11.10. a személyi használatra átvett eszközök megfelelő fizikai védelméért.

5.2. A felhasználó jogosultságai

5.2.1. A felhasználó jogosult

5.2.1.1. a számára biztosított elektronikus információs eszközök, szoftverek üzemszerű használatára munkája elvégzése céljából;

5.2.1.2. a beállított jogosultságának megfelelően, a munkájához szükséges adatállományok elérésére;

5.2.1.3. rendszeres szervezeti informatikai biztonságtudatossági képzésre;

5.2.1.4.²⁷ a munkavégzéséhez biztosított informatikai eszközök működtetéséhez szükséges támogatás igénylésére, a munkavégzéshez szükséges, általa nem ismert szoftver eszközökhöz támogatás igénylésére a kormányzati informatikai szolgáltató útján;

5.2.1.5. meghibásodás, üzemzavar esetén annak elhárításának az igénylésére.

6. Az információ kezelésének szabályai

6.1. Munkaállomások hozzáférés védelme

6.1.1. A felhasználó munkaállomást csak saját nevével és jelszavával belépve használhat. Harmadik fél csak a munkaállomás nevesített felhasználója vezetőjének előzetes írásbeli engedélyével használhatja a munkaállomást, ebben az esetben is a saját azonosító használatával. Hibaelhárítás vagy támogatás esetén a kormányzati informatikai szolgáltató támogató munkatársa adminisztrátori azonosítójával és jogosultságával a felhasználó jelenlétében a felhasználó munkaállomására beléphet.

6.2. A hozzáférés-kiosztás folyamata

6.2.1.²⁸ A kormányzati informatikai szolgáltató által üzemeltetett informatikai rendszerbe belépést lehetővé tevő azonosítót az önálló szervezeti egység vezetője (főosztályvezető) igényli a felhasználóknak, a Szolgáltató erre a célra rendszeresített elektronikus űrlapján.

6.2.2. Az önálló szervezeti egység vezetője (főosztályvezető) által aláírt nyomtatvány Ügyfélszolgálatnak történő átadását követően a tartományi (NISZ tartományába történő) belépést lehetővé tevő azonosítót és a kezdeti jelszót a kormányzati informatikai szolgáltató kirendelt munkatársa személyesen adja át az új felhasználónak, és az átadás során a kezdeti jelszó megváltoztatásáról és az egyéb testreszabási lépésekről oktatásban részesíti a felhasználót.

6.2.3. A kormányzati informatikai szolgáltató átadja a nyomtatványon a vezető által igényelt levelezéssel és a napi munkával kapcsolatos egyéb speciális alkalmazásokkal kapcsolatos belépési és a programok elindításával kapcsolatos alapinformációkat.

6.3. Hozzáférés hálózati erőforrásokhoz és az egyes alkalmazói programokhoz

6.3.1. Az információs rendszerek üzemeltetői felügyelik és ellenőrzik az elektronikus információs rendszerek használatát a rendszerek biztonságos üzemeltetési környezetének fenntarthatósága érdekében.

6.3.2. A minisztérium elektronikus információs eszközein működtetett szoftvereket és alkalmazói rendszereket a felhasználó a számára beállított jogosultságnak megfelelően használhatja. A felhasználó a számítógépe és a hálózati szolgáltatások eléréséhez személyre szóló azonosítót és jelszót kap. Az azonosító és a megfelelő erősségű és titokban tartott jelszó használatával a belépő védelemmel rendelkezik a nevében történő visszaélések ellen, ezért a személyre szóló azonosítót és jelszavát szigorúan védeni kell, és a kezdeti jelszót első bejelentkezéskor meg kell változtatni.

6.3.3.²⁹ A felhasználói jelszavak képzésének meg kell felelnie az üzemeltető által meghatározott minimum követelményeknek.

6.3.3.1. a jelszó képzésének meg kell felelnie az üzemeletető szervezet által meghatározott minimum követelményeknek. Javasolt, hogy legalább tíz karakter hosszú legyen, és – ahol az műszakilag megvalósítható – törekedni kell arra, hogy tartalmazzon a kisbetűkön kívül nagybetűt és számot vagy speciális karaktert is;

6.3.3.2. a jelszó könnyen megjegyezhető és nehezen kitalálható legyen;

6.3.3.3. a jelszó nem utalhat a felhasználói névre, e-mail-címre, telefonszámra vagy a gépnévre, továbbá olyan személynévre, személyes adatra, amely a megfejtését megkönnyíti;

6.3.3.4. a jelszó nem lehet egyforma betűből vagy számból álló sorozat, és nem tartalmazhatja egymást követő karakterek sorozatát (pl. 111111; aaaaaa; 123456; abcdefg).

6.3.4. A felhasználói jelszavak alkalmazása

6.3.4.1. a felhasználó a jelszavát köteles titokban tartani;

6.3.4.2. a felhasználó felelőssége, ha jelszavának megismerése révén valaki a nevében visszaélést követ el az informatikai rendszerben;

6.3.4.3. a felhasználói jelszót tilos leírni és a felhasználói munkaállomás környezetében elhelyezni;

6.3.4.4. ha a jelszó kompromittálódásának gyanúja merülne fel, akkor azt azonnal meg kell változtatni, és értesíteni kell az informatikai biztonsági vezetőt;

6.3.4.5. nem tehető a jelszó egy automatikus bejelentkezési folyamat részévé (pl. makróra vagy funkció billentyűre);

6.3.4.6. a jelszavakat a kormányzati informatikai szolgáltató vonatkozó és automatizált csoportházirendi intézkedése alapján meghatározott időközönként meg kell változtatni, az egyéb információs rendszerekben az üzemeltető előírásainak megfelelően kell eljárni;

6.3.4.7. korábbi jelszavak újra használatát kerülni kell.

6.4. Hozzáférés-védelem mobil elektronikus információs eszköz esetén

6.4.1.³⁰ A mobilitás miatt sokkal nagyobb veszélynek kitett mobil elektronikus információs eszközök esetében a rendszerbe történő belépéshez a kormányzati informatikai szolgáltató által meghatározott azonosítási megoldást kell használni.

6.4.2. Szervezeti információk mobil elektronikus információs eszközön hozzáférési védelem nélkül nem kezelhetőek, tárolhatóak.

6.4.3. A munkavégzéssel kapcsolatos feladat elvégzése után a keletkezett adatokat a hálózati meghajtóra kell menteni.

6.4.4. A mobil elektronikus információs eszközökről a feleslegessé vált adatokat haladéktalanul le kell törölni.

6.4.5. Nyilvános helyeken történő használatnál történő munkavégzés során kerülni kell a nem megbízható, jelszóval nem védett vezeték nélküli hálózatok (free wifi) használatát.

6.4.6. Nyilvános helyeken történő használatnál ügyelni kell arra, hogy illetéktelenek ne olvashassák el a képernyő tartalmát, az eszközhöz illetéktelenek ne férhessenek hozzá.

6.5. Adatmentések, az adathordozók nyilvántartása és tárolása

6.5.1. Az adatokat nem az elektronikus információs eszköz saját tárhelyén, hanem a kiszolgálók vagy hálózati tárterületek (kormányzati felhő- vagy hálózati adattároló) megfelelő könyvtáraiban kell tárolni, ahol biztosítható azok rendszeres mentése és biztonságos tárolása.

6.5.2. A megfelelő könyvtárba mentés a felhasználó felelőssége. A helyi gépen tárolt adatokért az üzemeltetők nem vállalnak felelősséget.

6.5.3. A hálózati adattárolón tárolható minden, a munkához szükséges, ahhoz kapcsolódó dokumentum. Minden felhasználó számára rendelkezésre áll a saját belépési azonosítójához rendelt „Dokumentumok” könyvtár a saját adatok tárolására és a „főosztályi” könyvtár a főosztályi közös anyagok tárolására.

6.5.4. A kormányzati informatikai szolgáltató vállalja a felelősséget az általa biztosított hálózati tárhelyeken tárolt adatok rendelkezésre állására, mentésére és biztonságos tárolására.

6.5.5. Szigorúan tilos bármely munkához köthető adatnak vagy munkaanyagnak a nem kormányzati online tárhelyek vagy közösségi média (pl. Facebook, LinkedIn, Dropbox, ToldACuccot, Mammutmail, Mammutshare stb.) igénybevételével való mozgatása vagy tárolása.

6.5.6. Az üzemeltetők a kiszolgáló megadott könyvtárában tárolt ügyviteli adatokról belső eljárásrendjükben előírt módon és gyakorisággal mentést készítenek. Speciális mentési igényekről az illetékes üzemeltetőt írásban értesíteni kell, és egyeztetni kell a kivitelezés lehetőségéről.

6.5.7. Az adat-visszaállítást az adatgazda írásbeli (e-mail) igénye alapján a feladat végrehajtásában illetékes üzemeltető végzi el.

6.5.8. A feljegyzésnek tartalmaznia kell a visszaállítani kívánt adat utoljára ismert pontos helyét, megnevezését.

6.5.9. A szervezeti információkat tartalmazó eszközöket védett területeken kívül olyan módon kell tárolni és szállítani, hogy egy esetleges illetéktelen hozzáférési kísérlet észlelhető és kivédhető legyen.

6.6. A minisztérium munkatársainak a közösségi médiában való részvételének általános keretei

6.6.1. A nem kormányzati online szolgáltatások (webáruház, társkereső szolgáltatás, pénzügyi szolgáltatások stb.) igénybevételéhez a hivatalitól eltérő azonosítók (pl. felhasználónév, e-mail-cím, jelszó) használata kötelező, figyelemmel a kapcsolódó informatikai biztonsági kockázatok fennállására.

6.6.2. A minisztériumi munkatársaknak az online térben, a közösségi média különböző területein a hivatali munkaidőn túl is figyelemmel kell lenniük arra, hogy közszolgálati hivatásukkal összefüggésben személyük és adataik ne kompromittálódjanak, támadási felület adta szervezeti biztonsági kockázat kialakulására ne legyen lehetőség.

6.6.3. Tilos a munkaeszközként kiadott mobil elektronikus információs eszközt vagy hozzáférést nem kormányzati online szolgáltatások és közösségi médiatartalmak kezelésére használni, a 6.6.1. pontban foglaltak okán.

6.6.4. Tilos az egyéb munkához köthető események részleteinek (találkozó és rendezvény időpontok és helyszínek), a nem kormányzati online szolgáltatáson keresztüli küldése, tárolása vagy publikálása, ha az biztonsági kockázatot hordoz magában. A munkavégzéshez vagy a minisztériumhoz köthető eseményeknek a publikálása a sajtóügyekben eljárásra felhatalmazottak feladata a minisztériumi szervezeti és működési szabályzatban foglaltak szerint.

6.6.5. A 6.6.1.–6.6.4. pontokban foglaltak figyelmen kívül hagyásából eredő személyes, szervezeti vagy egyéb károkért, hátrányokért az adott felhasználó felelőssége áll fent.

6.6.6. A kormányzat informatikai ellátásért felelős szolgáltató szabályozott kereteken belül a 6.6.1.–6.6.3. pontokban foglalt szolgáltatások biztonságos és engedélyezett kiváltására lehetőséget nyújt az általa biztosított kormányzaton belüli, azok szereplői között használható rendszereken keresztül

6.6.6.1. a kommunikációra, azonnali üzenetváltásra (chat funkciót támogató platformon);

6.6.6.2. az események szervezésére, menedzselésére (irodai szoftver használatával);

6.6.6.3. a feladatok kezelésére és ütemezésére (irodai szoftver használatával);

6.6.6.4. a kormányzaton belül publikált felületen (intranet) a kormányzat munkatársai közötti adásvétel, illetve hirdetési felület használatára.

7. Felhasználók számítógépes környezete

7.1. A felhasználói informatikai környezet kezelési előírásai

7.1.1. A felhasználó felelős az elektronikus információs eszközön általa végzett szakszerűtlen beavatkozásának következményeiért.

7.1.2. A felhasználónak elektronikus információs eszköz, illetve szoftver telepítési igényével a kormányzati informatikai szolgáltató Ügyfélszolgálatát kell megkeresnie. Az igénylést az önálló szervezeti egység vezetője (főosztályvezető) küldi meg az Ügyfélszolgálat számára a minisztérium informatikai biztonsági vezetője jóváhagyását követően.

7.1.3. Az üzemeltető bizonyos szoftverelemek telepítését központi szétosztással, automatikusan végzi, előzetes tájékoztatást követően. Indokolt esetben a felhasználó szervezeti egységének vezetője az informatikai biztonsági vezető jóváhagyásával kérheti a frissítés telepítésének egy későbbi időpontban történő elvégzését. A kormányzati informatikai szolgáltató által távolról történő frissítéskor meg kell várni a frissítés befejeződését, a folyamatot leállítani tilos. El kell fogadni, hogy ez alatt az idő alatt a számítógép valamivel lassabban működik, illetve előfordulhat, hogy a számítógép leállása vagy elindulása a javítás telepítését követő első alkalommal hosszabb ideig tart a korábban megszokottnál.

7.1.4. A minisztérium belső hálózatához idegen számítógép nem csatlakoztatható.

7.2. Internet-, e-mail-használat

7.2.1. Az internet és az elektronikus levelezés használatának főbb szabályai

7.2.1.1. Tilos az elektronikus információs rendszerek biztonsági beállításainak megváltoztatása, kiiktatása. Ebbe a körbe tartoznak a vírusellenőrző és internet böngésző biztonsági beállításai is.

7.2.1.2. Tilos a szervezeti egység vezetője, az Üzemeltetés, valamint az informatikai biztonsági vezető jóváhagyása nélkül a minisztériumi munkához szorosan nem kapcsolódó internetes szolgáltatást nyújtó külső féllel hálózati kapcsolat kialakítása.

7.2.1.3. Tilos a minisztériumi elektronikus információs rendszerek használata a minisztériumi értékekkel összhangban nem álló célokra (pl. fenyegetésre vagy megfélemlítésre, megkülönböztetésre, gyűlölködésre, illegális kereskedelmi tevékenységre, internetes, illetve szerencsejátékokra, illetve bármilyen jogellenes tevékenységre).

7.2.1.4. Az internetről csak hivatali célból lehet fájlokat letölteni. Tilos fájlletöltő szolgáltatások használata. Különösen tilos jogvédett, illetve illegális tartalmak, fájlok letöltése, tárolása.

7.2.1.5. Tilos a felhasználóknak a hivatali e-mail-címüket nem hivatalos minőségben használni (pl. regisztráció letöltési weboldalakra, online játék oldalakra, közösségi oldalakra, nem munkához köthető szolgáltatások igénybevételére stb.).

7.2.1.6. Az internetes oldalak elérése monitorozásra és naplózásra kerül, a munkával összefüggésbe nem hozható oldalak elérhetőségét a munkáltató jogosult korlátozni a kormányzati informatikai szolgáltató útján.

7.2.1.7. A hivatali e-mail a munkavégzéssel kapcsolatos levelezést szolgálja, ahol az egy felhasználóra eső tárterület korlátozott, és ennek túllépése esetén a rendszer egy figyelmeztetést küld, további figyelmeztetési határok átlépése esetén pedig megszűnhet a levelezési lehetőség.

7.2.1.8. Az elektronikus levelek és csatolmányok védelmi előírásai megegyeznek az egyéb dokumentumok védelmének előírásaival.

7.2.1.9. A felhasználók alapértelmezésben a levelezés során csak a saját postafiókjukat tudják kezelni, másokét nem látják, közös postafiókok elérése a szervezeti egység vezetője írásos indoklása mellett állítható be a kormányzati informatikai szolgáltató által.

7.2.1.10. Zavaró, félreinformáló levelek, spamek küldése, jogtalan megrendelések elindítása tilos.

7.2.1.11. Ismeretlen helyről származó e-mailt megnyitni nem szabad, mert maga a levél vagy annak csatolmánya kártékony kóddal, vírussal, illetve visszaélésre alkalmas tartalommal rendelkezhet, ezért az ilyen elektronikus leveleket csatolmányként a cert@im.gov.hu e-mail-címre történő küldést követően törölni kell.

7.2.1.12.³¹ Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 27. § (5) bekezdésére utaló megjelöléssel ellátott, a Kormány részére készült előterjesztés vagy jelentés, miniszteri rendelet tervezet, illetve az ezen iratokról készült másolat vagy kivonat (a továbbiakban együtt: kormányzati igazgatási irat) elektronikus levél útján – a minisztérium szervezetén belül a közigazgatási államtitkár, illetve egyedi döntése alapján, vagy akadályoztatása esetén helyettesítésében eljárva a jogszabály-előkészítés összehangolásáért és közjogi jogalkotásért felelős helyettes államtitkár, a miniszter irányítása vagy felügyelete alá tartozó hivatalos szervek és tulajdonosi joggyakorlása alá tartozó gazdasági társaságok esetében a miniszter által átruházott hatáskörben eljáró politikai vagy szakmai felsővezető által a hivatalos szervnél, illetve gazdasági társaságnál kijelölt vezető ellenkező írásbeli rendelkezésének hiányában – kizárólag kormányzati e-mail-címre továbbítható. Az IBSZ alkalmazásában kormányzati e-mail-cím alatt a „gov.hu” végződésű, valamint a Kormány, illetve a Kormány tagja által irányított vagy felügyelt szerv, illetve a Kormány tagja tulajdonosi joggyakorlása alá tartozó gazdasági társaság által biztosított hivatalos elektronikus levelezési cím értendő.

8. Vírusvédelem

8.1. A vírusvédelem alkalmazásának előírásai

8.1.1. Az illetékes üzemeltető a számítógépek vírusok elleni védelmére rendszeresen frissített vírusvédelmi rendszert és anti-spyware programot üzemeltet. Ez a védelem kiterjed a kiszolgálók, munkaállomások, valamint a teljes internet és elektronikus levélforgalom folyamatos ellenőrzésére. A felhasználó számára a védelmi rendszer bárminemű megkerülése szigorúan tiltott. Vírusvédelem nélkül sem hálózati, sem önálló munkaállomás, sem hordozható számítógép nem használható.

8.1.2. Dokumentumok esetében lehetőség szerint kerülni kell a makrók megnyitását, külső forrásból érkező dokumentumok esetében pedig nem szabad engedélyezni.

8.1.2.1.³² Makró használata csak vezetői jóváhagyással és legfeljebb csak az ezt igénylő aktuális munkafolyamat, projekt lezárásáig engedélyezhető, amelyet követően a makróhasználati jogosultság visszavonását haladéktalanul kezdeményezni kell az illetékes üzemeltető felé.

8.1.3. Ha a vírus helye nem lokalizálható, az illetékes üzemeltető jogosult a hálózat egyes funkcióit vagy a teljes hálózat felhasználói szolgáltatásait a vírusveszély elhárításáig felfüggeszteni.

8.2. Teendők vírusgyanú esetén

8.2.1. Vírusgyanú esetén a felhasználó az informatikai biztonsági vezető egyidejű tájékoztatása mellett köteles azonnal jelezni azt kormányzati informatikai szolgáltató Ügyfélszolgálata felé, aki ellátja utasítással.

8.3.³³ A mobil munkaállomások vírusvédelmi frissítésének gyakoriságát a kormányzati informatikai szolgáltató határozza meg.

9. Az informatikai eszközök fizikai védelme

9.1. Számítógép használatának előírásai

9.1.1. A munkaállomást és a perifériákat a napi munkavégzés befejezésekor ki kell kapcsolni. Ez alól kivételek azok az eszközök, amelyek automatikusan kikapcsolnak (pl. hálózati nyomtatók, monitorok). Az elektronikus információs eszközöket üzem közben letakarni, a szellőző nyílásokat eltakarni tilos!

9.2. „Üres asztal – üres képernyő” politika

9.2.1. Az „üres asztal – üres képernyő” politika megvalósítása az alábbiakat jelenti:

9.2.1.1. a monitorok elhelyezésekor törekedni kell az azokra való minél kisebb rálátás biztosítására, hogy a képernyők tartalma ne legyen olvasható az alkalmilag arra haladó személyek számára, és semmiképpen se legyen látható az épületen kívülről (ha monitor elhelyezéssel ez nem biztosítható, akkor sötétítő függöny használatával);

9.2.1.2. a felhasználó a munkaállomását zárolni köteles (a Ctrl+Alt+Del billentyűk, majd Zárolás), ha azt őrizetlenül hagyja;

9.2.1.3. 2 órát meghaladó eltávozás esetén a munkaállomását ki kell kapcsolni;

9.2.1.4. bekapcsolva felejtett számítógép esetén a bejelentkezett felhasználó profiljának védelme érdekében jelszóvédett, automatikus zárolás kerül beállításra, úgy, hogy az maximum 10 perc várakozást követően zárolja a számítógépet;

9.2.1.5. a munkafázis végeztével ki kell jelentkezni az alkalmazásokból;

9.2.1.6. a felhasználóknak az elektronikus információs eszközök elhelyezésére szolgáló helyiséget be kell zárniuk, ha a helyiségben senki nem tartózkodik.

9.3. Mobil elektronikus információs eszközök védelme

9.3.1. Az asztali munkaállomásokra vonatkozó előírásokon kívül a mobil elektronikus információs eszközök védelme érdekében az alábbi szabályokat kell betartani:

9.3.1.1. a mechanikai és használati sérülések elkerülése érdekében követni kell az eszköz használatához kapott útmutatót;

9.3.1.2. a cserélhető kártyák behelyezésénél és eltávolításánál szintén a használati utasítást kell követni;

9.3.1.3. a mobilitás és a kis méret miatt a mobil elektronikus információs eszközöket védeni kell a lopás ellen, azokat nem szabad őrizetlenül hagyni közösségi járműben, gépjárműben vagy olyan helyen, illetve helyiségben, ahol idegen személy hozzáférhet;

9.3.1.4. a mobil elektronikus információs eszközök eltűnése esetén

9.3.1.4.1. az eszköz eltűnését a lehető leggyorsabban – előzetesen szóban, majd ahogyan lehetőség adódik erre, írásban – jelenteni kell a közvetlen munkahelyi vezetőnek és a szolgálati út betartásával az informatikai biztonsági vezetőnek a további szervezeti intézkedések megtétele céljából, valamint tájékoztatni kell őket arról, hogy a berendezés tartalmaz-e bárminemű érzékeny információt;

9.3.1.4.2. értesíteni kell a kormányzati informatikai szolgáltató Ügyfélszolgálatát a levelezésre is használt, munkaeszközként kiadott mobil elektronikus információs eszköz esetén a levelező rendszer online felületén az adott eszközre történő szinkronizálásnak a lehető leghamarabb történő tiltása érdekében;

9.3.1.4.3. amennyiben a körülmények más eljárást nem tesznek lehetővé, értesíteni kell a rendőrséget, és az üggyel kapcsolatban keletkezett valamennyi rendőrségi iratot meg kell őrizni, és a minisztérium részére a lehető leghamarabb át kell adni.

10.³⁴ Elektronikus iratkezelés

10.1. Jelszókezelés az elektronikus iratkezelő rendszerben

10.1.1. Az elektronikus iratkezelő rendszerben (a továbbiakban: rendszer) minden felhasználó azonosítása egyedi felhasználónév alapján történik.

10.1.2. A felhasználó által megadott felhasználónévvel és jelszóval érhetőek el a jogosultságai által körülhatárolt információk.

10.1.3. A felhasználói jelszavakra a 6. pont 6.3.4. alpontja alkalmazandó.

10.1.4. A jelszó megváltoztatására lehetőség van a rendszeren belül.

10.2. Jogosultságok az elektronikus iratkezelő rendszerben

10.2.1. A rendszerben a felhasználó alapvető jogosultságait a hozzá rendelt iktatórendszerbeli szerepkörök határozzák meg (csak a szerepkörhöz rendelt funkciók válnak elérhetővé a felhasználó számára).

10.2.2. Amennyiben a felhasználó több szerepkörrel is rendelkezik, az elvégzendő feladathoz szükséges és elégséges szerepkört kell használni.

10.2.3. A rendszerben alapértelmezésként minden felhasználó csak a saját szervezeti egysége részére létrehozott iktatókönyvbe tud iktatni.

10.2.4. A rendszerben alapértelmezettként minden felhasználó csak a saját szervezeti egysége részére létrehozott hivatali kaput tudja használni elektronikus irat küldésére, ez alól kivételt képez az IM központi hivatali kapuja, amelyet minden felhasználó igénybe vehet.

10.3. Kezelési előírások az elektronikus iratkezelő rendszerben

10.3.1. A rendszerben tárolt elektronikus iratokat tilos az ügyben illetékességgel nem rendelkező szerv részére továbbítani.

10.3.2. A rendszer tesztkörnyezetében tilos éles adatokkal dolgozni.

11.³⁵ Távmunkával kapcsolatos szabályok

11.1. A távmunka (amely során a mobil elektronikus információs eszközzel történő munkavégzés helyben elválik a minisztériumtól, de az 1. melléklet 4.1. pontja alapján az IBSZ hatálya alá tartozik) alkalmával az IBSZ-ben foglaltak betartásán felül a felhasználó az alábbiakat köteles betartani:

11.1.1. A távmunkához használt mobil elektronikus információs eszközt csak az eszközhöz belépési hozzáféréssel rendelkezők használhatják, és kizárólag munkavégzés céljából.

11.1.2. A távmunka feltételeit a központi informatikai szolgáltató akkor tudja biztosítani, ha a távmunkához használt mobil elektronikus információs eszköz a központi informatikai szolgáltató által meghatározott rendszerességgel csatlakozik a munkahelyi hálózathoz.

11.1.3. A minisztériumon kívül tartózkodás során a távmunkához használt mobil elektronikus információs eszközzel történtekért a felhasználó felel.

11.1.4. A távmunka során a felhasználó nevében végzett tevékenységekért a felhasználó felel.

1. Az információs vagyonelemek

1.1. Az információs vagyonleltárban szereplő vagyonelemek (csoportokba rendezve) az alábbiak:

1.1.1. Számítógépek: kiszolgálók, munkaállomások, egyéb hordozható számítógépes eszközök;

1.1.2. Számítástechnikai kiegészítők: merevlemezek, memóriakártyák, illesztőkártyák, adathordozók (CD, DVD, USB-kulcs, memórialapka, mint pl. SD-kártya);

1.1.3. Számítógép periféria eszközök: monitor, nyomtató, szkenner, digitalizáló, mentő/archiváló tároló egységek (pl. szalagkönyvtárak);

1.1.4. Elektronikus információs eszközök és berendezések: aktív hálózati eszközök (router, switch, hub, modem); passzív hálózati eszközök és berendezések (rack, hálózati kábelezés, eszközök speciális kábelei; kommunikációs eszközök, mint a telefonkészülék, video-eszközök);

1.1.5. Alkalmazások: operációs rendszer, felhasználói alkalmazások, adatbázis-kezelők, hálózati szoftverek, IT-biztonsági szoftverek: tűzfal, kártékony kód elleni alkalmazások, mentőszoftverek, egyéb (egyedi fejlesztésű) szoftverek, javítócsomagok;

1.1.6. Adatok: elektronikus dokumentumok, rendszeradatok (naplóadatok), adatbázis-adatok, egyéb adatok;

1.1.7. Fizikai környezet: ingatlanok (telephely, közlekedési utak, irodaépület, raktár, értékmegőrző); ellátóberendezések (szünetmentes áramforrások, áramfejlesztők, klímaberendezések);

1.1.8. Tartalékok (az információs rendszerhez): pótalkatrészek, ellátóberendezések tartalékai (áramforrás, klíma stb.), felhasználatlan adathordozók (CD, DVD);

1.1.9. Dokumentációk (az elektronikus információs rendszerre vonatkozóan): fejlesztési dokumentáció, üzemeltetési dokumentáció, felhasználói dokumentáció, biztonsági dokumentáció.

2. Az információs vagyonleltár dokumentálása

2.1. Az információs vagyonleltárt a biztonsági szabályozórendszer részeként, azzal összhangban, egységes követelmények alapján kell kezelni (előállítani, módosítani, karbantartani).

2.2. Az információs vagyonleltárt különálló dokumentumokban kell összeállítani, tekintettel az alábbiakra:

2.2.1. a vagyonleltár összetétele a feladatok, fizikai elhelyezés és szervezet szerint (pl. telephelyenként, főosztályonként) változó lehet;

2.2.2. a vagyonleltár összetétele évente (vagy gyakrabban) megváltozhat;

2.2.3. a vagyonelemek biztonsági besorolása szerint meghatározott biztonsági intézkedések a feladatok és a fizikai/szervezeti elhelyezés szerint (pl. telephelyenként, főosztályonként) változó lehet;

2.2.4. a vagyonelemekre vonatkozó felelősségek címzettei (a felelős személyek) a feladatok és a fizikai/szervezeti elhelyezés szerint (pl. telephelyenként, főosztályonként) eltérőek lehetnek.

3. Osztályozási irányelvek

3.1. A minisztérium a biztonsági szempontok és a jogszabályi követelmények alapján határozza meg az elektronikus információs rendszerek osztályozását.

4. Az információk besorolási elvei

4.1. Az információkat a következők figyelembevételével kell besorolni:

4.1.1. a minisztérium megállapított biztonsági szintje;

4.1.2. a védelmi igényt az adat, az elektronikus információs rendszer vagy a szolgáltatás tulajdonos szervezet határozza meg. A munkavégzés során létrehozott adatok gazdája az adatok létrehozója;

4.1.3. a különböző besorolású információkból készült kivonatot vagy összefoglalót a felhasznált legmagasabb besorolású információ minősítésével kell ellátni;

4.1.4. az információk besorolását az alábbi szinteken kell elvégezni:

4.1.4.1. a kiszolgáló alapú elektronikus információs rendszerek esetében fájl vagy adatcsoport szinten,

4.1.4.2. adatbázisokban tárolt adatok esetében a teljes adatbázis szintjén,

4.1.4.3. osztott elektronikus információs rendszerek esetében az elektronikus információs rendszer által felhasznált valamennyi adatra vonatkozóan. A besorolást a legmagasabb besorolási kategóriával rendelkező adat határozza meg.

5. Általános alapelvek

5.1. Az alkalmazott módszertan szerint az elektronikus információs rendszerekben előállított, feldolgozott és tárolt adatok, illetve a futtatott alkalmazások védelmi igényének meghatározása két lépésben történik:

5.1.1. Az első lépésben az informatikai alkalmazások és szolgáltatások feltérképezése, és a vizsgálandó alkalmazások, szolgáltatások kiválasztása történik.

5.1.2. A második lépésben meghatározásra kerül, hogy az első lépésben kijelölt alkalmazásokat, szolgáltatásokat melyik alapfenyegetettséggel szemben, milyen mértékben szükséges védeni, annak figyelembevételével, hogy a fenyegetettség bekövetkezése esetén mekkora kár keletkezik.

6. Osztályozási eljárás

6.1. Az elektronikus információs rendszerek biztonsági szempontú osztályozása, azaz a védelmi igények meghatározása az Ibtv. és a 41/2015. (VII. 15.) BM rendelet iránymutatásain és követelményein alapuló előírások szerint történik a három alapfenyegetettség (bizalmasság, sértetlenség, rendelkezésre állás) figyelembevételével, 1-től 5-ig terjedő számozással ellátott skálán elvégezve.

1. A szervezeti hozzáférés-ellenőrzés követelményei

1.1. Az információkhoz és a folyamatokhoz történő hozzáférést a működési és biztonsági követelményeknek megfelelően kell szabályozni, a minisztérium elektronikus információs rendszereire irányadó biztonsági besorolás alapján.

2. A hozzáférés-ellenőrzés alapszabályai

2.1. Csak jóváhagyott hozzáférés-védelmi megoldások alkalmazhatóak. A jogosultságok és a hozzáférés menedzselésekor az alábbi alapelveket kell figyelembe venni:

2.1.1. A meghatározott jogosultságok alkalmazásával minimalizálható legyen a rosszindulatú vagy egyéb jogosulatlan hozzáférés kockázata.

2.1.2. Az elektronikus információs rendszerrel kapcsolatba kerülő személyeknek a munkájuk ellátásához szükséges minimális jogosultságokat kell biztosítani, a munkavégzésük időtartamára.

2.1.3. Az azonos tevékenységet ellátó felhasználók jogosultságai szerepkörök szintjén legyenek kialakítva, és a felhasználók a kialakított szerepkörökbe kerüljenek besorolásra.

2.1.4. Az összeférhetetlenségi szabályokat figyelembe kell venni.

2.1.5. Az elektronikus információs rendszerben alkalmazott hozzáférési jogosultságokat adminisztrálni kell.

2.1.6. Az elektronikus információs rendszerben alkalmazott hozzáférési jogosultságok adminisztrációját az elérhető legteljesebb módon, a felmerülő kockázatok figyelembevételével automatizálni kell.

2.1.7. A papíralapú jogosultság nyilvántartás csak és kizárólag azon esetekben alkalmazható, amelyekben informatikailag támogatott megoldás költséghatékonyan nem valósítható meg.

2.1.8. Minden egyes elektronikus információs rendszerhez csak a megfelelő adminisztrálást követően lehet felhasználói jogosultságot adni, módosítani és felfüggeszteni, illetve visszavonni.

2.1.9. Az éles üzemű elektronikus információs rendszerekben a fejlesztők hozzáférési jogosultságokkal csak fennálló feladataikkal arányosan, a megrendelő szakterület és az IBV által megadott keretek között rendelkezhetnek.

3. A felhasználói hozzáférések kezelése

3.1. Meg kell akadályozni az elektronikus információs rendszerekhez történő illetéktelen hozzáféréseket. Szabályozott eljárással ellenőrizni kell a hozzáférési jogok kiadását az elektronikus információs rendszerekhez és a szolgáltatásokhoz.

3.2. A felhasználói hozzáférések kialakítása

3.2.1. A felhasználók nyilvántartásba vételi szabályainak és a követendő eljárásrend kidolgozásakor az illetékes üzemeltetőnek a következőket kell figyelembe venni:

3.2.1.1. A felhasználói tevékenység ellenőrizhetősége és nyomonkövethetősége érdekében a felhasználók elektronikus információs rendszerekben történő azonosítására egyedi felhasználó azonosítókat kell alkalmazni.

3.2.1.2. A csoportos felhasználó azonosítók használatát tiltani kell.

3.2.1.3. A felhasználói hozzáférési jogosultságokat a szervezeti egység legalább főosztályvezető szintű vezetője határozza meg. A jogosultság meghatározása során figyelembe kell venni

3.2.1.3.1. a felhasználó munkakörét és az azzal kapcsolatos feladatait,

3.2.1.3.2. a munkaköri feladatok végrehajtásához minimálisan szükséges jogosultságengedélyezés elvét,

3.2.1.3.3. a felhasználó jogviszonyát,

3.2.1.3.4. a felhasználó munkahelyét.

3.2.2. A jogosultság igénylését tartalmazó dokumentumnak tartalmaznia kell

3.2.2.1. a felhasználó nevét, munkakörét, szervezeti egységét és munkahelyét,

3.2.2.2. annak megjelölését, hogy milyen szolgáltatásokhoz történik a jogosultságigénylés,

3.2.2.3. azt, hogy az érintett szolgáltatások tekintetében milyen szerepkör vagy hozzáférési jogok (olvasás, bevitel/bővítés, törlés, módosítás, teljes) igénylése történik,

3.2.2.4. annak megjelölését, hogy az érintett szolgáltatások és jogosultságok igénylése milyen adatkörre vonatkozóan történik,

3.2.2.5. az érintett önálló szervezeti egység vezetőjének (főosztályvezető) aláírását.

3.2.3. A jogosultságigénylés dokumentációját az igényelt és a beállított jogosultságok egyeztetése céljából az üzemeltető tárolja.

3.2.4. A kiosztott felhasználói jogosultságokat az informatikai biztonsági vezető szükség esetén ellenőrizheti.

3.3. Privilegizált felhasználó-kezelés

3.3.1. A felhasználói jogosultságok kiadási folyamatánál szigorúbban kell kezelni a privilegizált jogokat biztosító adminisztrátori jogok megadását. Az elektronikus információs rendszereknél a jogosultságok kiadásának engedélyezési eljárása során az alábbiakat kell figyelembe venni:

3.3.1.1. pontosan meg kell határozni azokat a rendszerelemeket – pl. operációs rendszereket, adatbázis-kezelő rendszert, valamint az alkalmazásokat – és az alkalmazotti kategóriát, amelyhez az adminisztrátori jogosultságokat kell hozzá rendelni;

3.3.1.2. az adminisztrátori jogosultságokat a „feltétlenül szükséges” és az „eseményenkénti” használat elve alapján kell kiadni;

3.3.1.3. az IM elektronikus információs szakrendszerek tekintetében a rendszeradminisztrátori jogosultságot (privilegizált felhasználó) kizárólag az illetékes üzemeltetési terület informatikai üzemeltetésért felelős vezetője engedélyezhet írásban, az IBV egyidejű tájékoztatása mellett;

3.3.1.4. felhasználói munkaállomás üzemeltetés esetén az üzemeltetők csak az elektronikus információs rendszer, illetve alkalmazás üzemeltetéséhez szükséges információkhoz férhetnek hozzá, a részükre biztosított adminisztrátori jogosultság birtokában csak a felhasználó külön engedélyével és jelenlétében, kifejezetten a hiba elhárítása érdekében vagy a felhasználói igény kielégítése érdekében férhetnek hozzá a felhasználók által kezelt információkhoz.

3.4. Jelszókezelő rendszer

3.4.1. A jelszavak a felhasználó számítógépes szolgáltatásokhoz való hozzáférési jogosultságának hitelesítésére szolgálnak. A jelszókezelő rendszerrel szembeni alapvető elvárás, hogy hatékonyan és interaktívan biztosítsa a megfelelő színvonalú jelszavak használatát.

3.4.2. A minisztérium elektronikus információs rendszerei elérésére szolgáló jelszókezelő rendszer

3.4.2.1. tegye lehetővé a felhasználók számára jelszavuk megváltoztatását, és kényszerítse ki az ideiglenes jelszavak megváltoztatását az első bejelentkezéskor,

3.4.2.2. beíráskor vizuálisan értelmezhető módon ne jelenítse meg a jelszavakat a képernyőn,

3.4.2.3. a jelszó állományokat titkosítva tárolja,

3.4.2.4. kényszerítse ki a megfelelő minőségű jelszavak használatát,

3.4.2.5. ahol a felhasználók maguk adják meg jelszavukat, kényszerítse ki meghatározott időközönként a jelszóváltoztatást,

3.4.2.6. tiltsa meg a korábban használt jelszavak ismételt felhasználását,

3.4.2.7. korlátozott számú sikertelen próbálkozás után a bejelentkezés lehetőségét tiltsa le, amelyet követően a bejelentkezés ezt követően rendszer/szervezeti adminisztrátori beavatkozás segítségével valósulhat meg újra,

3.4.2.8. változtassa meg a szállító alapértelmezett jelszavát a szoftver telepítését, illetve éles üzembe helyezését követően.

1. A szabályzat célja, hatálya, alapelvek

1.1. A szabályzat célja a minisztériumon belül az elektronikus információbiztonsági kockázatkezelési eljárás szabályozása, mely a kockázati tényezők meghatározására, azok értékelésére, a kockázatokra adott válaszreakciókra, a kockázatok felülvizsgálatára, a kockázatkezeléssel összefüggő munkafolyamatokra, az ezzel összefüggő feladatokat ellátók hatáskörére, felelősségére és a dokumentálás rendjére terjed ki. A szabályzat rendelkezései arra irányulnak, hogy a 41/2015. (VII. 15.) BM rendelet 4. mellékletében foglalt vonatkozó követelmények – a minisztériumi szervezet sajátosságainak figyelembevételével – teljesüljenek.

2. Értelmező rendelkezések, a kockázat

2.1. Értelmező rendelkezések:

2.1.1. Elektronikus információbiztonsági kockázatkezelési rendszer: olyan folyamatalapú kockázatkezelési rendszer, amely a szervezet minden ilyen irányú tevékenységére kiterjed, egységes módszertan és eljárások alkalmazásával, a szervezet célkitűzéseinek és értékeinek figyelembevételével biztosítja a szervezet elektronikus információbiztonsági kockázatainak teljes körű azonosítását, azok meghatározott kritériumok szerinti értékelését, valamint a kockázatok kezelésére vonatkozó intézkedési terv elkészítését és az abban foglaltak nyomon követését;

2.1.2. Korrupció: a Büntető Törvénykönyvről szóló 2012. évi C. törvény XXVII. Fejezetén belüli tényállások.

2.2. A elektronikus információbiztonsági kockázat fogalma, típusai:

2.2.1. A kockázat szűkebb értelemben a minisztérium elektronikus információbiztonsági céljait veszélyeztető tényező.

2.2.2. A kockázat tágabb értelemben egy a jövőben valamilyen valószínűséggel bekövetkező esemény, tevékenység vagy annak elmulasztása, amelyek bekövetkezése negatív hatással lehet a minisztérium által kitűzött elektronikus információbiztonsági célok elérésére.

2.2.3. A kockázat lehet

2.2.3.1.³⁸ véletlenszerű vagy szándékosan előidézett esemény,

2.2.3.2. hiányos ismeret vagy információ,

2.2.3.3. az ellenőrzés hiánya, illetve gyengesége.

2.2.4. Külső környezeti (stratégiára ható) kockázat az, amely hosszabb távon és esetleg időközönként módosuló formában, valamint tartalommal hat, és független a minisztérium működésétől. A külső környezeti kockázatot a minisztérium befolyásolni nem képes, de bekövetkezésére a vezetés megfelelő stratégiával képes felkészülni, hatását mérsékelni, kivételes esetekben kiküszöbölni.

2.2.5. Belső (működési) kockázat az, amely a minisztérium működésének, tevékenységének, folyamatainak rövidtávon ható hozadéka, melynek kiküszöbölése vagy mérséklése a vezetéssel szemben támasztott követelmény.

2.2.6. Eredendő kockázat a minisztérium feladatkörével és működésével kapcsolatos olyan belső sajátosság, ami a környezeti hatások vagy az erőforrások elégtelensége miatt hibák előfordulásához vezethet, és ami önmagában a Minisztérium által nem befolyásolható.

2.2.7. Kontrollkockázat az, amikor a minisztérium belső kontrollrendszere a nem megfelelő kialakítás, illetve működtetés miatt nem képes feltárni vagy megelőzni a hibákat, szabálytalanságokat.

2.2.8. Maradványkockázat a kockázatokra adott válaszintézkedés után fennmaradó kockázat.

2.2.9. Korrupciós kockázat a korrupció bekövetkezésének veszélye.

3. Kockázatelemzési módszertan

3.1. A kockázatelemzés alapelvei:

3.1.1. A minisztérium infokommunikációs rendszereiben előállított, feldolgozott és tárolt adatok, illetve a futtatott alkalmazások, valamint az ezeket fenyegető veszélyek együttes fenyegetettség és kockázatelemzését három szempont összevetésével kell elvégezni:

3.1.1.1. Az elektronikus információs rendszerek védelmi igényét a három alapfenyegetettség: a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából kell osztályozni. Az osztályozási szempontok az IBSZ 6. függelékében találhatók.

3.1.1.2. A tényleges fenyegetések számba vétele érdekében fel kell deríteni és értékelni kell az elektronikus információs rendszereket fenyegető veszélyeket és károkozó hatásukat.

3.1.1.3. Veszélyt csökkentő tényezőnek kell tekinteni azokat az eszközöket, intézkedéseket, amelyeket a minisztérium alkalmaz a fenyegető veszélyek kivédésére. Vizsgálni kell a védelmi intézkedések létezését, illetve a létező intézkedések megfelelőségét, erősségét.

3.1.1.4. A 3.1.1.1–3.1.1.3. alpontokban foglaltak együttes figyelembevételével meg kell határozni a bekövetkezés valószínűségét, és ezekből következően az minisztérium vizsgált elektronikus információs rendszerei informatikai biztonsági kockázatának mértékét, majd ezek alapján elvégezni a biztonsági osztályba sorolást.

3.2. A kockázatelemzés módszertan lépései:

3.2.1. Kockázatok meghatározása;

3.2.2. A felmérés hatályába eső vagyonelemek és tulajdonosaik meghatározása;

3.2.3. Vagyonelemeket veszélyeztető fenyegetések meghatározása;

3.2.4. Fenyegetések által kihasználható sérülékenységek meghatározása;

3.2.5. A bizalmasság, sértetlenség, rendelkezésre állás elvesztéséből származtatható vagyonelemekre vonatkozó hatások meghatározása.

3.3. A kockázat felmérése:

3.3.1. A vagyonelemek bizalmasságának, sértetlenségének, rendelkezésre állásának elvesztéséből származtatható károk meghatározása.

3.3.2. A folyamatok és az adatok érzékenységét – védelmi igényét – meg kell határozni.

3.3.3. A vagyonelemek bizalmasságának, sértetlenségének, rendelkezésre állásának, elvesztési lehetőségének meghatározása.

3.3.4. Kockázatok kezelési lehetőségeinek meghatározása és elemzése.

3.3.5. A megfelelő kontrollok meghatározása.

4. Az elektronikus információbiztonsági kockázatkezelés végrehajtásának szabályai

4.1. Kockázatkezelési hatókör:

4.1.1. A szervezeti üzemeltető, az adatgazda a munkavégzése során észlelt kockázatokat, az azokra vonatkozó megoldási javaslatokkal együtt haladéktalanul jelzi az IBV felé.

4.1.2. Amennyiben a kockázat kezelése meghaladja a kockázatot észlelő szervezeti üzemeltető vagy adatgazda hatáskörét, a kockázat kezelésének szükségességét a folyamatgazda az IBV 4.1.1. alpontban foglaltak szerinti egyidejű tájékoztatása mellett szolgálati úton jelzi az intézkedésre jogosult vezetőnek.

4.1.3. A szervezeti egység vezetője az IBV 4.1.1. alpontban foglaltak szerinti egyidejű tájékoztatása mellett saját hatáskörben kezeli a kockázatot, vagy ha a kockázat kezelése meghaladja a hatáskörét, – a kockázat hatásának jelentőségétől függően – azonnal tájékoztatja az IBV-t a feltárt kockázat kezelésére vonatkozóan javasolt intézkedési tervről.

4.1.4. Az IBV a 4.1.3. alpontban foglaltak szerint javasolt intézkedési tervről szükség szerint egyeztetést folytat az érintett szervezeti egység eljáró vezetőjével, majd azt előterjeszti a közigazgatási államtitkárnak.

4.1.5. A kockázatokra adott válaszlépések kidolgozásáért és végrehajtásáért felelős személyek részére a közigazgatási államtitkár biztosítja az elektronikus információbiztonsági kockázatkezeléssel összefüggő feladatok ellátásához szükséges feltételeket.

4.1.6. Az elektronikus információbiztonsági kockázatkezelési rendszer koordinálása az IBV feladata.

4.1.7. A szervezeti üzemeltető, az adatgazda a munkavégzése során az IBV-vel együttműködni köteles.

4.2. Az elektronikus információbiztonsági kockázatkezelés folyamata:

4.2.1. Az elektronikus információbiztonsági kockázatkezelés során az az adatgazdák a szervezeti üzemeltetővel együttműködésben felmérik és megállapítják a minisztérium elektronikus információbiztonsági tevékenységében rejlő kockázatokat, mely felmérés eredményeként az adatgazdák a szervezeti üzemeltetővel együttműködésben évente egységes elektronikus információbiztonsági kockázati leltárt készítenek, amely a szervezet vonatkozó céljait fenyegető valamennyi feltárt kockázatot tartalmazza. Ezen a leltáron belül szükséges azonosítani a különféle speciális kockázattípusokat, majd meg kell határozni az egyes kockázatokkal kapcsolatban szükséges intézkedéseket, valamint azok teljesítésének folyamatos monitoringját.

4.2.2. A kockázatok kezelését éves ciklusban kell megvalósítani. Az ütemezést úgy kell kialakítani, hogy a kockázatok értékelése legkésőbb tárgyév október 31-ig, az elektronikus információbiztonsági kockázatkezelési intézkedési tárgyév november 30-ig elkészüljön.

4.2.3. Az elektronikus információbiztonsági kockázatkezelési intézkedési tervet az adatgazdák a szervezeti üzemeltetővel együttműködésben készítik el, és az IBV hagyja jóvá.

4.3. A kockázatkezelés elemei:

4.3.1. A kockázatok feltárása, azonosítása a minisztérium céljainak elérését veszélyeztető kockázatok számbavételével történik.

4.3.1.1. A működési folyamatokra ható, korábban még nem tapasztalt kockázatokat a végrehajtási szinten feladatot teljesítő adatgazdák, illetve a szervezeti üzemeltető kötelesek feltárni, és haladéktalanul jelenteni az IBV felé a 4.1.1. alpontban foglaltak szerint.

4.3.1.2. A kockázatot feltáró adatgazdák, illetve a szervezeti üzemeltető jelzései alapján a minisztérium valamennyi érintett szervezeti egysége vezetőjének fel kell mérni azt, hogy mi jelenthet kockázatot az általa irányított, felügyelt területen. A feltárt kockázatot a 4.1.1. alpontban foglaltak szerint kell az IBV elé beterjeszteni.

4.3.1.3. A beazonosított kockázatokról és az azokkal kapcsolatban előírt intézkedésekről az IBV nyilvántartást vezet.

4.3.1.4. A kockázatelemzés és értékelés során a kockázatokat feltáró adatgazdák, illetve a szervezeti üzemeltető, a szervezeti elektronikus információbiztonsági célok elérését veszélyeztető kockázatokat azonosítják és értékelik a válaszlépések (intézkedések) meghatározása érdekében. A kockázatok elemzése az egyes kockázatok előfordulási valószínűségének és lehetséges hatásának becslését jelenti. A kockázatok minősítése a 4.3.1.4.1. alpontban szereplő értékelés útján, a vonatkozó célokra gyakorolt hatás és a bekövetkezési valószínűség becsült nagyságának egy háromfokozatú – alacsony, közepes, magas – skálán történő besorolásával valósul meg.

4.3.1.4.1. Az egyszerű, kvalitatív (minőségi) értékeléssel történő kockázatelemzés során az adatgazdák, illetve a szervezeti üzemeltető háromfokozatú mátrixban – magas, közepes vagy alacsony – határozza meg az egyes kockázatok minősítését annak hatása és bekövetkezési valószínűsége alapján.

Kockázati kritérium mátrix

5. A kockázatkezelés módjai és főbb lehetséges eszközei

5.1. A kockázatkezelés módjai

5.1.1. A kockázatos tevékenység megszüntetése

A minisztérium ezt a módszert csak korlátozottan, alaptevékenységének ellátásánál nem, csak kiegészítő tevékenységeinek ellátásához alkalmazhatja.

5.1.2. A kockázat elviselése, elfogadása

A minisztérium vezetése akkor dönthet ezen kockázatkezelési mód választása mellett, ha a kockázat hatásának kivédése, illetve mérséklése több erőforrást vesz igénybe, mint a kockázatos tevékenységből származó kár.

5.1.3. A kockázat megosztása

Kiemelt és releváns kockázat megosztási technika a kiszervezés: a különleges szakértelmet kívánó feladatot arra specializálódott személlyel vagy szervezettel végeztetik (pl. külső szoftverfejlesztő vagy üzemeltető igénybevétele) a megfelelő garanciális feltételek beépítésével.

5.1.4. A kockázati kitettség csökkentése

5.1.4.1. a nem kívánt következménnyel járó kockázat realizálódása lehetőségének korlátozásával, így különösen a belső szabályzatok, ügyrendek kialakítása, ezek jogszabály, illetve közjogi szervezetszabályozó eszköz megfelelő módosítása, a pontos feladatmeghatározás, a hatáskörök és feladatkörök szétválasztása, a belső kontrollok kialakítása, működtetése, valamint az információhoz és az informatikai rendszerekhez való hozzáférés rendszeres felülvizsgálata;

5.1.4.2. a már realizálódott kockázat következményeinek és hatásának mérséklésével, így különösen szervezeti átalakítások, tartós vagy átmeneti munkaerő átcsoportosítás, jogszabály-, illetve közjogi szervezetszabályozó eszköz módosítás kezdeményezése;

5.1.4.3. meghatározott elektronikus információbiztonsági szakmai követelmény elérésével, így különösen oktatási és képzési feladatok teljesítése;

5.1.4.4. a nem kívánt esemény bekövetkezése okainak feltárását célzó – jövőbeni hasonló hiányosságok ismétlődésének megakadályozását szolgáló – utólagos vezetői ellenőrzések vagy belső ellenőri vizsgálatok útján valósítható meg.

5.1.4.5. Az adott kockázat kezelési módjának meghatározására, valamint az annak végrehajtásával kapcsolatos kezdeményező intézkedés megtételére az érintett adatgazda, illetve szervezeti üzemeltető köteles.

5.2. A monitoring (nyomon követés) során kell elvégezni:

5.2.1. a helyi körülményekre és sajátosságokra kialakított elektronikus információbiztonsági kockázatkezelési rendszer időközönkénti felülvizsgálatát abból a célból, hogy az alkalmazott kockázatkezelési módszerek megfelelően segítik-e a minisztérium működését és vonatkozó feladatának ellátását, amelynek keretében minden egyes kockázat minősítését az érintett adatgazdának, illetve a szervezeti üzemeltetőnek – szükség szerint egymással történő együttműködésben – évente legalább egyszer felül kell vizsgálnia, annak időpontját lehetőleg az adott kockázat válaszlépéseinek határidejéhez igazítva;

5.2.2. a nyomon követés – a kockázatkezelés során választott módtól és eszköztől függően – az intézkedési tervben foglalt, az elektronikus információbiztonsági kockázatkezelés végrehajtásához szükséges feladat felelős általi, határidőben történő végrehajtásának ellenőrzését az IBV által.

5.3. A korrupció és csalás mint kiemelt kockázati tényezők kezelése:

5.3.1. A minisztériumon belül kiemelt figyelmet kell fordítani a súlyosabb szervezeti integritást sértő események (csalás, korrupció) mint kiemelt kockázatok kezelésére. Az elektronikus információbiztonsági kockázatkezelés során a szándékosan elkövethető szervezeti integritást sértő események megelőzésére kell a fő hangsúlyt helyezni.

5.3.2. A szándékos szervezeti integritást sértő események körébe tartozik különösen a csalás, a sikkasztás, a partnerrel, ügyféllel való összejátszás, a hivatali visszaélés, a nyilvántartások tudatosan meghamisított vezetése.

1. A biztonsági eseménykezelés strukturális szervezeti rendje

A szervezeti biztonsági eseménykezelésről a miniszter a közigazgatási államtitkár közreműködésével gondoskodik az IBV útján, a BAF EIB feladatkör ellátására kijelölt munkatársai közreműködésével.

2. A biztonsági eseménykezelés feladatköre

Az IBV a BAF helyettes vezetőjeként, a BAF EIB feladatkör ellátására kijelölt munkatársaival, az EIB feladatkörön belül megszervezi és ellátja a kormányzati informatikai szolgáltatóval, valamint a minisztérium szervezetének érintett vezetőivel, adatgazdáival, informatikai biztonsági megbízottaival, üzemeltetőjével és érintett más munkatársaival való kapcsolattartás és koordináció keretén belül a 2.1. pontban hivatkozott jelentésköteles biztonsági események vonatkozásában az alábbiakat:

2.1. elvégzi a minisztériumot érintő, a 3.2.3. alpontban meghatározott szempontrendszer alapján jelentésköteles elektronikus információbiztonsági események kivizsgálását,

2.2. nyilvántartást vezet a minisztériumot érintő elektronikus információbiztonsági eseményekről,

2.3. eleget tesz az Ibtv. és végrehajtási rendeleteiben megfogalmazott, az elektronikus információbiztonsági eseménykezeléssel kapcsolatos együttműködési és adatszolgáltatási kötelezettségének,

2.4. az elektronikus információbiztonsági eseménykezelés folyamatában együttműködik a külön jogszabályban meghatározott központi informatikai szolgáltatóval,

2.5. adatvédelmi érintettség esetén együttműködik a minisztérium adatvédelmi felelősével, melynek keretén belül megosztja az adatvédelmi vonatkozással bíró elektronikus információbiztonsági eseményeket.

3. A biztonsági eseménykezelés eljárásrendje

3.1. Jelentés a biztonsági eseményekről

3.1.2. Jelentés a biztonsági eseményekről a felhasználók felől

3.1.2.1. Az informatikai biztonságot érintő eseményekről, azok észlelését követően az észlelőnek haladéktalanul, lehetőség szerint a 3.2.3. pontban foglalt értékelési szempontrendszer alkalmazásával elektronikus úton írásban tájékoztatnia kell az érintett szervezeti egység vezetőjét és az IBV-t.

3.1.2.2. Az informatikai biztonságot érintő események bejelentésének rögzítésére a BAF kijelölt munkatársai meghatározott belső eljárásrend alapján a 4. függelékben foglalt formanyomtatványt használják.

3.1.2.3. Az IBV a beérkezett és rögzített bejelentés alapján vizsgálatot kezdeményez, és a BAF szervezetén belül kialakított eljárási rend szerint intézkedik a biztonsági eseményekről szóló jelentések elkészítésére és a visszajelzések kezelésére az érintett munkatársak bevonásával. A vizsgálat eredményét a bejelentővel és az érintett szervezeti egység vezetőjével a 4. függelékben foglalt formanyomtatvány felhasználásával közli.

3.1.2.4. A vizsgálati jelentést általános szervezeti érintettség esetén a közigazgatási államtitkár részére is meg kell küldeni.

3.2.2. Jelentés a biztonsági eseményekről a szervezeti üzemeltetők felől

3.2.2.1. A minisztériumi informatikai üzemeltetést végző szervezeti egységek az 5. függelékben foglalt bejelentési formanyomtatvány felhasználásával elektronikus úton kötelesek a 3.2.3. pontban foglalt értékelési szempontrendszer alkalmazásával azonnal jelenteni az IBV-nek, amennyiben munkájuk során jelentésköteles informatikai biztonsági eseményeket, veszélyeket fedeztek fel.

3.2.2.2. Az IBV a beérkezett jelentés alapján vizsgálatot kezdeményez. A vizsgálat eredményét az érintett elektronikus információs rendszer üzemeltetéséért felelős szervezeti egység vezetőjével és illetékes munkatársaival az 5. függelékben foglalt intézkedési formanyomtatvány felhasználásával közli.

3.2.2.3. A vizsgálati jelentést általános szervezeti érintettség esetén a minisztériumban működő közigazgatási államtitkárság részére is meg kell küldeni.

3.2.3. Az értékelési szempontrendszer

3.2.3.1.⁴⁰ Az értékelési szempontrendszer alkalmazása

1. Általános rendelkezések

1.1. E szabályzat célja

E szabályzat célja, hogy meghatározza és egységesítse a minisztérium elektronikus információs rendszereinek tekintetében történő sérülékenységvizsgálati kezdeményezés, valamint az ezzel összefüggő minisztériumi belső ügyintézés kötelező előírásait.

1.2. E szabályzat hatálya

E szabályzat hatálya az IBSZ 7. függelékében foglalt minisztériumi elektronikus információs rendszerre, valamint a még be nem vezetett (tesztfázisban lévő vagy a minisztériumi elektronikus információs rendszerek nyilvántartásában éles rendszerként még nem megjeleníthető) minisztériumi elektronikus információs rendszerre, valamint az ezekkel összefüggő erőforrásokra terjed ki.

1.3. Értelmező rendelkezések

1.3.1. E szabályzat alkalmazásában

1.3.1.1. ASR típusú sérülékenységvizsgálat: egy folyamatos távoli elérhetőségi monitorozást és havonta egy alkalommal regisztrált, felhasználói jogosultság nélküli vizsgálatot jelent, melyet a hatóság az eseménykezelő központok feladat- és hatásköréről, valamint a biztonsági események kezelésének és műszaki vizsgálatának, továbbá a sérülékenységvizsgálat lefolytatásának szabályairól szóló 271/2018. (XII. 20.) Korm. rendelet [a továbbiakban: 271/2018. (XII. 20.) Korm. rendelet] 27. §-a alapján végez;

1.3.1.2. rendszer: a minisztérium és háttérintézményei tulajdonába, valamint szervezeti üzemeltetési feladatkörébe tartozó, a 7. függelékben felsorolt elektronikus információs rendszer.

2. A sérülékenységvizsgálat előfeltételei

2.1. A vizsgálandó rendszer a vizsgálat kezdetéig a funkcionális tesztelés szakaszán túllépjen.

2.2. A vizsgálandó rendszer már legalább az éles környezettel megegyező tesztkörnyezetben működjön.

2.3. A vizsgálandó rendszert, valamint a rendszer működtetését érintő, a sérülékenységvizsgálat lefolytatásához szükséges dokumentumok rendelkezésre állása.

3. A sérülékenységvizsgálat kezdeményezése és igénylési folyamata

3.1. Adatgazda vagy szervezeti üzemeltető (belső kezdeményező) általi kezdeményezés

3.1.1. A belső kezdeményező csak annak a rendszernek a sérülékenységvizsgálatát kezdeményezheti, amely feladat- és hatáskörével összefügg.

3.1.2. Új elektronikus információs rendszer bevezetése esetében az adatgazda kötelezettsége a sérülékenységvizsgálat kezdeményezése.

3.1.3. Meglévő elektronikus információs rendszer esetében a szervezeti üzemeltető kötelezettsége a sérülékenységvizsgálat kezdeményezése.

3.1.4. A 3.1.2. és a 3.1.3. pont tartalmától az abban érintettek az IBV koordinációjával lefolytatott egyeztetések alapján eltérhetnek.

3.1.5. A belső kezdeményező a sérülékenységvizsgálatot minden új rendszer bevezetését megelőzően, az éles üzembe állítás előtt kezdeményezi, figyelemmel a sérülékenységvizsgálat kezdeményezéséhez és lefolytatásához a 271/2018. (XII. 20.) Korm. rendeletben meghatározott időtartamra.

3.1.6. A belső kezdeményezést követő igénylés után a sérülékenységvizsgálat menete nem automatizált úton, a 4. pontban foglaltak szerint zajlik.

3.2. IBV általi kezdeményezés

3.2.1. Az IBV kezdeményezheti sérülékenységvizsgálat lefolytatását, amennyiben tudomására jut olyan körülmény vagy információ, amely indokolttá teszi valamely minisztériumi rendszer kapcsán a sérülékenységvizsgálat lefolytatását.

3.2.2. Az IBV indoklással kiegészített módon tájékoztatja az adott rendszer adatgazdáját és szervezeti üzemeltetőjét a sérülékenységvizsgálat indokoltságáról.

3.2.3. Az IBV általi kezdeményezést követő igénylés után a sérülékenységvizsgálat folyamata nem automatizált úton, a 4. pontban foglaltak szerint zajlik.

3.3. Hatóság általi kezdeményezés

3.3.1. A 271/2018. (XII. 20.) Korm. rendelet 25. és 27. §-a alapján a hatóság hivatalból, illetve az Automatizált Sérülékenységvizsgálati Rendszer (a továbbiakban: ASR) keretein belül kezdeményez sérülékenységvizsgálatot a minisztériumi rendszerek tekintetében.

3.3.2. A hatóság általi kezdeményezést követő adategyeztetés után a sérülékenységvizsgálat folyamata nem automatizált úton a 4. pontban, automatizált úton pedig az 5. pontban foglaltak szerint zajlik.

3.4. Az igénylés folyamata

3.4.1. Az IBV a minisztériumi rendszer adatgazdájával és szervezeti üzemeltetőjével egyeztetett adatokkal jelzi a sérülékenységvizsgálat igényét a sérülékenységvizsgálat lefolytatásában illetékes hatóság felé.

3.4.2. A sérülékenységvizsgálatot minden esetben utóvizsgálattal együtt kell megigényelni, amelynél a feltárt sérülékenységek megfelelő kezelése egy ismételt vizsgálattal ellenőrzésre kerül.

3.4.3. A sérülékenységvizsgálat igénylése a hatóság által elkészített sérülékenységvizsgálati projektalapító dokumentum tervezetével zárul.

4. A sérülékenységvizsgálat folyamata nem automatizált úton

4.1. A sérülékenységvizsgálat a 271/2018. (XII. 20.) Korm. rendelet 22–29. §-ában foglaltak szerint zajlik.

4.2. Az IBV koordinálja és felügyeli a minisztérium belső feladatait a sérülékenységvizsgálat teljes folyamata során az igény keletkezésétől a sérülékenységvizsgálat lezárásáig, és az általa a sérülékenységvizsgálat vonatkozásában kijelölt személyek biztosítják a technikai és operatív feladatok teljesíthetőségét.

4.3. Az IBV, a vizsgálandó rendszer adatgazdája és szervezeti üzemeltetője köteles együttműködni a sérülékenységvizsgálatot végző szervvel a sérülékenységvizsgálat mielőbbi problémamentes lefolytatása érdekében.

5. A sérülékenységvizsgálat folyamata automatizált úton

5.1. Az ASR típusú sérülékenységvizsgálat egy folyamatos távoli elérhetőségi monitorozást és havonta egy alkalommal történő regisztrált felhasználói jogosultság nélküli vizsgálatot jelent, melyet a hatóság a 271/2018. (XII. 20.) Korm. rendelet 27. §-a alapján végez.

5.2. Az ASR típusú sérülékenységvizsgálat megfelelő lefolytathatósága érdekében bármely minisztériumi rendszerben történő olyan változást, amely a sérülékenységvizsgálatot is érinti (technikai körülmények változásai, új rendszer bevezetése, rendszer megszűnése stb.), a hatóság felé jelenteni kell. Az IBV felelős a minisztériumi rendszerek vonatkozásában az adatváltozások jelentéséért a hatóság részére.

5.3. Az IBV koordinálja és felügyeli a minisztérium belső feladatait az ASR kapcsán.

5.4. Az IBV, a vizsgálandó rendszer adatgazdája és üzemeltetője köteles együttműködni a sérülékenységvizsgálatot végző szervvel a sérülékenységvizsgálat és a távoli elérhetőségi monitorozás elvégezhetősége érdekében.

6. A sérülékenységvizsgálat eredménye és az ezzel kapcsolatos feladatok

6.1. A sérülékenységvizsgálat eredménye a 271/2018. (XII. 20.) Korm. rendelet 29. §-ában leírt hivatalos hatósági állásfoglalás.

6.2. Az állásfoglalásban szereplő feltárt sérülékenységek kezelésére intézkedési tervet kell készíteni, amelyet a sérülékenységet kezdeményező szervezeti egység állít össze, az adatgazda, a szervezeti üzemeltetést végző szervezeti egység, a fejlesztő, valamint a külső üzemeltető szervezet szükség szerinti közreműködésével, az IBV koordinációja mellett.

6.3. Az intézkedési tervben szerepeltetni kell minden feltárt sérülékenységet és minden sérülékenység esetében a kezelés módját, valamint megvalósulásának határidejét. Az intézkedési tervet a sérülékenységi vizsgálatot kezdeményező szervezeti egységet irányító politikai vagy szakmai felsővezetőnek kell jóváhagynia.

6.4. A jóváhagyott intézkedési tervet az IBV az Ibtv. 18. § (7) bekezdése alapján a sérülékenységvizsgálat lefolytatásában illetékes hatóság részére megküldi.