17/2019. (VIII. 15.) BM utasítás
17/2019. (VIII. 15.) BM utasítás
a Belügyminisztérium és a belügyminiszter által irányított szervek elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexe kiadásáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában foglaltak alapján a következő utasítást adom ki:
1. § Az utasítás hatálya kiterjed a Belügyminisztérium hivatali szerveire, a belügyminiszter által irányított a Belügyminisztérium Szervezeti és Működési Szabályzatáról szóló 11/2018. (VI. 12.) BM utasítás 1. melléklet 4. függelékében meghatározott önálló belügyi szervekre és a Nemzeti Szakértői és Kutató Központra (a továbbiakban együtt: belügyi szerv).
2. § Jelen utasítás 1. mellékleteként kiadom a belügyi szerv elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexét.
3. § (1) A belügyi szerv vezetője gondoskodjon, hogy a belügyi szervnél foglalkoztatottak
a) ismerjék meg az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexet,
b) alkalmazzák a belügyi szerv vezetője által jóváhagyott elektronikus információbiztonsági eljárásrendeket,
c) a személyes információk interneten történő megosztása során a jogszabályokban és a belügyi szerv normáiban előírtak betartásával teljes mértékben kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását,
d) a munkavégzés során tapasztalt szokatlan, nem üzemszerű működést jelezzék a kijelölt informatikai üzemeltetőnek és a kijelölt információbiztonsági felelősnek.
(2) A belügyi szerv vezetője önállóan szabályozza a munkavégzéssel közvetlenül nem összefüggő tevékenységeknek a munkahelyi számítógépen vagy a munkahely által biztosított mobil eszközön (telefon, tablet, notebook) történő korlátozására, indokolt esetekben tiltására vonatkozó rendelkezéseket.
(3) A belügyi szerv vezetője gondoskodjon, hogy a belügyi szervnél foglalkoztatottak legalább évente dokumentáltan részt vegyenek elektronikus információbiztonsági tudatosító képzéseken, amelyek kidolgozásába a BM Rendészeti Vezetőkiválasztási, Vezetőképzési és Továbbképzési Főosztályát, a Nemzeti Közszolgálati Egyetemet, valamint a Nemzetbiztonsági Szakszolgálatot a belügyi szerv köteles bevonni.
4. § Az utasításban és a mellékletben meghatározottaktól a belügyminiszter engedélyével lehet eltérni.
5. § Az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexet kétévente felül kell vizsgálni.
6. § Ez az utasítás a közzétételét követő tizenötödik napon lép hatályba.
7. § Ezen utasítás alapján megalkotásra kerülő szabályokat a foglalkoztatottak részére soron kívül ismertetni és oktatni kell.
1. melléklet a 17/2019. (VIII. 15.) BM utasításhoz
1. A belügyi szervnél kötelező végrehajtani a belső felhasználók képzését, tudatosítását, a felhasználói jogosultságok felülvizsgálatát és az elvárt, helyes magatartás különböző biztonsági kontrollokkal történő kikényszerítését.
a) A belügyi szerv esetében jóváhagyott eljárásrendek alapján járhatnak el a felhasználók a belügyi szerv egészének informatikai biztonsága érdekében. A kódexben megfogalmazott viselkedési szabályoknál szigorúbb részletszabályok bevezetése a belügyi szerv hatáskörébe tartozik.
b) A belügyi szervnél elő kell mozdítani a biztonságtudatos magatartást, a belügyi szerv foglalkoztatottai esetében fel kell hívni a figyelmet arra, miszerint nem egyértelmű információbiztonsági kérdéseknél forduljanak a kijelölt információbiztonságért felelős személyhez vagy szervezeti egységhez.
c) Korlátozni szükséges a belügyi szerv esetében a munkavégzéssel közvetlenül nem összefüggő felhasználói informatikai tevékenységeket.
d) A belügyi szerv köteles meghatározni a belügyi szervről közzétehető információk körét. A foglalkoztatottak kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását.
e) A foglalkoztatottak kerüljék a nyilvános fórumokon, közösségi oldalakon a munkahelyi e-mail-cím megadását.
Felhasználói tudatosság
2. A foglalkoztatott köteles a munkahelyén információ-biztonságtudatos, felelős, körültekintő, valamint a belső szabályoknak megfelelő magatartást tanúsítani. Minden foglalkoztatott számára, aki hozzáfér a belügyi szerv informatikai hálózatához, megfelelő alapképzés kerüljön biztosításra, amelynek keretében kerüljön ismertetésre a vonatkozó belső biztonsági képzés, valamint az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ). Az IBSZ-t a munkaviszony során oktatni, az abban foglaltak betartását ellenőrizni szükséges.
a) A belügyi szerv köteles olyan IBSZ-t alkotni, amely alkalmas arra, hogy az informatikai hálózat tekintetében a használhatóság és a biztonság szempontjait is érvényesítve – a vonatkozó jogszabályokkal harmonizálva – megfelelő normatív hátteret nyújtsanak a foglalkoztatottak részére.
b) A belügyi szerv információbiztonsági felelőse köteles a foglalkoztatottak részére időszakos információbiztonsági képzést szervezni.
Elektronikus információs rendszerek hozzáférése és a levelezés
3. A belügyi szerv a foglalkoztatottak elektronikus levelezése tekintetében megfelelő információbiztonsági szabályokat köteles alkotni:
a) A belső elektronikus információs rendszerek tekintetében tiltani szükséges a rendszerhozzáférésekhez használt jelszavak átadását.
b) A belügyi szervnél kötelező a felhasználói jelszavak meghatározott időközönkénti megváltoztatásának kikényszerítése. A jelszavak tekintetében irányadónak tekintendők az „erős”, legalább 10 karakter hosszú, számot, kis- és nagybetűt tartalmazó jelszavak.
c) A belügyi szervnél a biztonsági képzésen kiemelt hangsúlyt kell helyezni a beérkező e-mailekkel és csatolmányokkal összefüggő elvárt felhasználói magatartásra.
d) Amennyiben a levél feladója, tartalma vagy csatolmánya gyanús, a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.
Belső hálózati infrastruktúra védelme
4. A nagy kiterjedésű, belső, komplex hálózatokkal összefüggésben az alábbi iránymutatásokat kell figyelembe vennie a belügyi szervnek:
a) Minden foglalkoztatott esetében úgy kell kialakítani a hozzáférési jogosultságokat, hogy csak azok a hálózati erőforrások kerüljenek használatra, amelyek az adott foglalkoztatott feladataihoz feltétlenül szükségesek.
b) A munkáltató által biztosított eszközökkel, beleértve a mobil eszközöket is, tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni.
c) Magánhasználatú mobilinformatikai eszköznek az intézmény hálózatára való csatlakoztatása kizárólag engedéllyel, a megadott módon és helyen lehetséges.
Káros kódok elleni védelem
5. A káros kódokkal kapcsolatosan az alábbi normatív rendelkezéseket szükséges betartani:
a) Tilos megnyitni gyanúsnak tűnő hivatkozásokat és fájlokat. Ha a foglalkoztatott ilyet észlel, köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.
b) Munkahelyi számítógépbe magántulajdonú vagy ismeretlen forrásból származó eszközöket csak engedély birtokában, előzetes ellenőrzést követően helyezhet be a foglalkoztatott.
c) Tilos ismeretlen, gyanús alkalmazásokra vagy felugró ablakokra kattintani. Kérdéses esetben a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.
d) Munkahelyi informatikai eszközön tilos használni más forrásból vagy letöltésből származó szoftvert. A munkahelyi számítógépekre és mobil informatikai eszközökre kizárólag a belügyi szerv által biztosított vagy engedélyezett szoftverek az arra jogosított személy által kerülhetnek telepítésre.
Vagyontárgyak
6. Az informatikai vagyontárgyak kezelését a belügyi szervnek az IBSZ-ben kötelező szabályoznia. Ezzel összefüggésben a következőket szükséges figyelembe venni:
a) A foglalkoztatottak nem használhatják magáncélra a belügyi szerv által biztosított informatikai eszközöket.
b) A foglalkoztatottak kötelesek a rájuk bízott informatikai eszközöket a belső szabályoknak megfelelően használni, kezelni, megóvni.
c) A belügyi szerv a hatályos információbiztonsági, illetve adatvédelmi jogszabályokkal összhangban jogosult az elektronikus információs rendszereiben titkosítási eljárásokat alkalmazni.
Elavult eszközpark
7. A belügyi szerv köteles az informatikai rendszereik hardveres és szoftveres frissítéséről gondoskodni.
Vezeték nélküli hálózatok biztonsága
8. A belügyi szerv által biztosított mobil informatikai eszközökkel tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni.
Távoli munkavégzés
9. A távoli munkavégzéssel összefüggésben a következő rendelkezéseket szükséges betartani:
a) Publikus vezeték nélküli hálózatot tilos munkavégzésre használni.
b) Tilos hozzáférést adni a belügyi szervi adatokhoz a foglalkoztatottak családtagjai számára.
c) Az otthoni munkavégzéshez biztosított eszközöket a munkavégzés szüneteltetésekor jelszóval védetten kell zárolni.
d) A belügyi szerv által biztosított eszközökre nem tölthetők le és nem telepíthetők a munkafeladattal össze nem függő tartalmak, alkalmazások.
e) Otthoni munkavégzés esetén meg kell akadályozni, hogy betekintést nyerhessen a hivatali adatokba illetéktelen személy.
f) A belügyi szerv által rendelkezésre bocsátott informatikai eszközök esetén a hibaelhárítás csak a belügyi szerv által kijelölt, műszaki szervezeti egységével történhet.
g) A belügyi szerv a külföldi munkavégzéshez külön eszközt biztosít, ami kizárólag a levelezőrendszerhez való hozzáférésre alkalmas.
Magántulajdonú eszközök
10. A magántulajdonú informatikai eszközök használatának lehetőségét a belügyi szerv saját hatáskörben szabályozhatja. Ha a belügyi szerv lehetővé teszi ilyen eszközök használatát, úgy annak minden részletét köteles szabályozni.
Fizikai biztonság
11. A belügyi szerv köteles az információbiztonság lehető legmagasabb szintjének eléréséhez a fizikai biztonsági kérdéseket részletekbe menően szabályozni.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás