• Tartalom

17/2019. (VIII. 15.) BM utasítás

17/2019. (VIII. 15.) BM utasítás

a Belügyminisztérium és a belügyminiszter által irányított szervek elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexe kiadásáról

2019.08.30.

A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában foglaltak alapján a következő utasítást adom ki:

1. § Az utasítás hatálya kiterjed a Belügyminisztérium hivatali szerveire, a belügyminiszter által irányított a Belügyminisztérium Szervezeti és Működési Szabályzatáról szóló 11/2018. (VI. 12.) BM utasítás 1. melléklet 4. függelékében meghatározott önálló belügyi szervekre és a Nemzeti Szakértői és Kutató Központra (a továbbiakban együtt: belügyi szerv).

2. § Jelen utasítás 1. mellékleteként kiadom a belügyi szerv elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexét.

3. § (1) A belügyi szerv vezetője gondoskodjon, hogy a belügyi szervnél foglalkoztatottak

a) ismerjék meg az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexet,

b) alkalmazzák a belügyi szerv vezetője által jóváhagyott elektronikus információbiztonsági eljárásrendeket,

c) a személyes információk interneten történő megosztása során a jogszabályokban és a belügyi szerv normáiban előírtak betartásával teljes mértékben kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását,

d) a munkavégzés során tapasztalt szokatlan, nem üzemszerű működést jelezzék a kijelölt informatikai üzemeltetőnek és a kijelölt információbiztonsági felelősnek.

(2) A belügyi szerv vezetője önállóan szabályozza a munkavégzéssel közvetlenül nem összefüggő tevékenységeknek a munkahelyi számítógépen vagy a munkahely által biztosított mobil eszközön (telefon, tablet, notebook) történő korlátozására, indokolt esetekben tiltására vonatkozó rendelkezéseket.

(3) A belügyi szerv vezetője gondoskodjon, hogy a belügyi szervnél foglalkoztatottak legalább évente dokumentáltan részt vegyenek elektronikus információbiztonsági tudatosító képzéseken, amelyek kidolgozásába a BM Rendészeti Vezetőkiválasztási, Vezetőképzési és Továbbképzési Főosztályát, a Nemzeti Közszolgálati Egyetemet, valamint a Nemzetbiztonsági Szakszolgálatot a belügyi szerv köteles bevonni.

4. § Az utasításban és a mellékletben meghatározottaktól a belügyminiszter engedélyével lehet eltérni.

5. § Az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexet kétévente felül kell vizsgálni.

6. § Ez az utasítás a közzétételét követő tizenötödik napon lép hatályba.

7. § Ezen utasítás alapján megalkotásra kerülő szabályokat a foglalkoztatottak részére soron kívül ismertetni és oktatni kell.

1. melléklet a 17/2019. (VIII. 15.) BM utasításhoz

Az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódex

1. A belügyi szervnél kötelező végrehajtani a belső felhasználók képzését, tudatosítását, a felhasználói jogosultságok felülvizsgálatát és az elvárt, helyes magatartás különböző biztonsági kontrollokkal történő kikényszerítését.

a) A belügyi szerv esetében jóváhagyott eljárásrendek alapján járhatnak el a felhasználók a belügyi szerv egészének informatikai biztonsága érdekében. A kódexben megfogalmazott viselkedési szabályoknál szigorúbb részletszabályok bevezetése a belügyi szerv hatáskörébe tartozik.

b) A belügyi szervnél elő kell mozdítani a biztonságtudatos magatartást, a belügyi szerv foglalkoztatottai esetében fel kell hívni a figyelmet arra, miszerint nem egyértelmű információbiztonsági kérdéseknél forduljanak a kijelölt információbiztonságért felelős személyhez vagy szervezeti egységhez.

c) Korlátozni szükséges a belügyi szerv esetében a munkavégzéssel közvetlenül nem összefüggő felhasználói informatikai tevékenységeket.

d) A belügyi szerv köteles meghatározni a belügyi szervről közzétehető információk körét. A foglalkoztatottak kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását.

e) A foglalkoztatottak kerüljék a nyilvános fórumokon, közösségi oldalakon a munkahelyi e-mail-cím megadását.


Felhasználói tudatosság

2. A foglalkoztatott köteles a munkahelyén információ-biztonságtudatos, felelős, körültekintő, valamint a belső szabályoknak megfelelő magatartást tanúsítani. Minden foglalkoztatott számára, aki hozzáfér a belügyi szerv informatikai hálózatához, megfelelő alapképzés kerüljön biztosításra, amelynek keretében kerüljön ismertetésre a vonatkozó belső biztonsági képzés, valamint az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ). Az IBSZ-t a munkaviszony során oktatni, az abban foglaltak betartását ellenőrizni szükséges.

a) A belügyi szerv köteles olyan IBSZ-t alkotni, amely alkalmas arra, hogy az informatikai hálózat tekintetében a használhatóság és a biztonság szempontjait is érvényesítve – a vonatkozó jogszabályokkal harmonizálva – megfelelő normatív hátteret nyújtsanak a foglalkoztatottak részére.

b) A belügyi szerv információbiztonsági felelőse köteles a foglalkoztatottak részére időszakos információbiztonsági képzést szervezni.


Elektronikus információs rendszerek hozzáférése és a levelezés

3. A belügyi szerv a foglalkoztatottak elektronikus levelezése tekintetében megfelelő információbiztonsági szabályokat köteles alkotni:

a) A belső elektronikus információs rendszerek tekintetében tiltani szükséges a rendszerhozzáférésekhez használt jelszavak átadását.

b) A belügyi szervnél kötelező a felhasználói jelszavak meghatározott időközönkénti megváltoztatásának kikényszerítése. A jelszavak tekintetében irányadónak tekintendők az „erős”, legalább 10 karakter hosszú, számot, kis- és nagybetűt tartalmazó jelszavak.

c) A belügyi szervnél a biztonsági képzésen kiemelt hangsúlyt kell helyezni a beérkező e-mailekkel és csatolmányokkal összefüggő elvárt felhasználói magatartásra.

d) Amennyiben a levél feladója, tartalma vagy csatolmánya gyanús, a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.


Belső hálózati infrastruktúra védelme

4. A nagy kiterjedésű, belső, komplex hálózatokkal összefüggésben az alábbi iránymutatásokat kell figyelembe vennie a belügyi szervnek:

a) Minden foglalkoztatott esetében úgy kell kialakítani a hozzáférési jogosultságokat, hogy csak azok a hálózati erőforrások kerüljenek használatra, amelyek az adott foglalkoztatott feladataihoz feltétlenül szükségesek.

b) A munkáltató által biztosított eszközökkel, beleértve a mobil eszközöket is, tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni.

c) Magánhasználatú mobilinformatikai eszköznek az intézmény hálózatára való csatlakoztatása kizárólag engedéllyel, a megadott módon és helyen lehetséges.


Káros kódok elleni védelem

5. A káros kódokkal kapcsolatosan az alábbi normatív rendelkezéseket szükséges betartani:

a) Tilos megnyitni gyanúsnak tűnő hivatkozásokat és fájlokat. Ha a foglalkoztatott ilyet észlel, köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.

b) Munkahelyi számítógépbe magántulajdonú vagy ismeretlen forrásból származó eszközöket csak engedély birtokában, előzetes ellenőrzést követően helyezhet be a foglalkoztatott.

c) Tilos ismeretlen, gyanús alkalmazásokra vagy felugró ablakokra kattintani. Kérdéses esetben a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.

d) Munkahelyi informatikai eszközön tilos használni más forrásból vagy letöltésből származó szoftvert. A munkahelyi számítógépekre és mobil informatikai eszközökre kizárólag a belügyi szerv által biztosított vagy engedélyezett szoftverek az arra jogosított személy által kerülhetnek telepítésre.


Vagyontárgyak

6. Az informatikai vagyontárgyak kezelését a belügyi szervnek az IBSZ-ben kötelező szabályoznia. Ezzel összefüggésben a következőket szükséges figyelembe venni:

a) A foglalkoztatottak nem használhatják magáncélra a belügyi szerv által biztosított informatikai eszközöket.

b) A foglalkoztatottak kötelesek a rájuk bízott informatikai eszközöket a belső szabályoknak megfelelően használni, kezelni, megóvni.

c) A belügyi szerv a hatályos információbiztonsági, illetve adatvédelmi jogszabályokkal összhangban jogosult az elektronikus információs rendszereiben titkosítási eljárásokat alkalmazni.


Elavult eszközpark

7. A belügyi szerv köteles az informatikai rendszereik hardveres és szoftveres frissítéséről gondoskodni.


Vezeték nélküli hálózatok biztonsága

8. A belügyi szerv által biztosított mobil informatikai eszközökkel tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni.


Távoli munkavégzés

9. A távoli munkavégzéssel összefüggésben a következő rendelkezéseket szükséges betartani:

a) Publikus vezeték nélküli hálózatot tilos munkavégzésre használni.

b) Tilos hozzáférést adni a belügyi szervi adatokhoz a foglalkoztatottak családtagjai számára.

c) Az otthoni munkavégzéshez biztosított eszközöket a munkavégzés szüneteltetésekor jelszóval védetten kell zárolni.

d) A belügyi szerv által biztosított eszközökre nem tölthetők le és nem telepíthetők a munkafeladattal össze nem függő tartalmak, alkalmazások.

e) Otthoni munkavégzés esetén meg kell akadályozni, hogy betekintést nyerhessen a hivatali adatokba illetéktelen személy.

f) A belügyi szerv által rendelkezésre bocsátott informatikai eszközök esetén a hibaelhárítás csak a belügyi szerv által kijelölt, műszaki szervezeti egységével történhet.

g) A belügyi szerv a külföldi munkavégzéshez külön eszközt biztosít, ami kizárólag a levelezőrendszerhez való hozzáférésre alkalmas.


Magántulajdonú eszközök

10. A magántulajdonú informatikai eszközök használatának lehetőségét a belügyi szerv saját hatáskörben szabályozhatja. Ha a belügyi szerv lehetővé teszi ilyen eszközök használatát, úgy annak minden részletét köteles szabályozni.


Fizikai biztonság

11. A belügyi szerv köteles az információbiztonság lehető legmagasabb szintjének eléréséhez a fizikai biztonsági kérdéseket részletekbe menően szabályozni.

  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére