21/2010. (V. 6.) IRM–MeHVM együttes rendelet
21/2010. (V. 6.) IRM–MeHVM együttes rendelet
a fizetési meghagyásos eljárás lefolytatásának támogatására szolgáló informatikai rendszer informatikai biztonsági követelményeiről
A fizetési meghagyásos eljárásról szóló 2009. évi L. törvény 60. § h) pontjában kapott felhatalmazás alapján, az igazságügyi és rendészeti miniszter feladat- és hatásköréről szóló 164/2006. (VII. 28.) Korm. rendelet 1. § h) pontjában, valamint a Miniszterelnöki Hivatalt vezető miniszter feladat- és hatásköréről szóló 29/2008. (II. 19.) Korm. rendelet 1. § (1) bekezdés i) pontjában meghatározott feladatkörökben eljárva a következőket rendeljük el:
1. Általános rendelkezések
1. § (1) E rendelet alkalmazásában MOKK rendszere: a Magyar Országos Közjegyzői Kamarának (a továbbiakban: közjegyzői kamara) a fizetési meghagyásos eljárásról szóló 2009. évi L. törvényben (a továbbiakban: Fmhtv.) szabályozott eljárások technikai támogatására szolgáló, a közjegyzők, a felek és az eljárásban részt vevő egyéb személyek, valamint egyéb felhasználók részére rendelkezésre álló, az interneten elérhető országosan egységes számítástechnikai rendszere.
(2) A MOKK rendszerének alkalmasnak kell lennie
a) a fizetési meghagyásos eljárásban keletkezett papír alapú vagy elektronikus úton továbbított iratok adattartamának hiteles befogadására, rögzítésére,
b) a kifejezetten emberi közreműködést nem igénylő eljárási cselekmények automatizált, gépi adatfeldolgozással történő elvégzésére,
c) a közjegyzők és alkalmazottaik (a továbbiakban együtt: közjegyző) és az azonosított egyéb felhasználók számára fenntartott műveletek elvégzésének, a felhasználó azonosítását követően történő bizonyító erejű naplózására,
d) olyan nyomdatechnikai funkciók ellátására, mellyel a fizetési meghagyásos eljárás során a papír alapú iratok központilag állíthatók elő és készíthetőek elő postázásra vagy kézbesítésre.
2. §1 A MOKK rendszerét a közjegyzői kamara az elektronikus ügyintézés részletszabályairól szóló kormányrendeletben (a továbbiakban: Korm. rendelet) és az e rendeletben meghatározott informatikai biztonsági technológiai, szervezet-szervezési és módszertani követelmények teljesítésével, vagy az informatikai rendszer értékelésére jogosult szervezet által kiadott megfelelőségértékelési tanúsítvány birtokában működteti.
3. § (1) A MOKK rendszere működtetője a közjegyzői kamara.
(2) A MOKK rendszere alkalmazásgazdája és adatgazdája a közjegyzői kamara elnöke.
(3) A közjegyzői kamara a MOKK rendszere üzemeltetésével vagy fejlesztésével akkor bízhat meg más személyt (a továbbiakban: külső szolgáltató), ha az vállalta az e rendeletben előírt követelmények betartását is.
(4) A (3) bekezdésben foglaltak érvényesítését a közjegyzői kamarának a külső szolgáltatóval megkötött szerződésben kell biztosítania.
(5) A közjegyzői kamarának folyamatosan ellenőriznie kell, hogy a külső szolgáltató teljesíti-e a szerződéses kikötéseket.
2. Biztonságirányítási rendszer
4. § (1) A közjegyzői kamara felelős a megfelelő biztonságirányítási rendszer kialakításáért.
(2) A közjegyzői kamara az adatvagyon-leltár elemeit biztonsági osztályokba sorolja a szerint, hogy az adatvagyon-leltár elemeit érintő informatikai biztonsági incidens milyen következménnyel járhat. A biztonsági osztályokba történő sorolást legalább a következők szerint kell elvégezni:
a) 0. osztály (jelentéktelen kár):
aa) a közvetlen anyagi kár 10 ezer forint alatt van,
ab) a MOKK rendszerének működőképessége legfeljebb 1 embernapnyi munkával állítható helyre,
ac) az informatikai biztonsági incidens nyilvánosságra hozatala nem szükséges, nem jár bizalomvesztéssel,
ad) kizárólag nem védett adat bizalmassága, sértetlensége vagy rendelkezésre állása sérül;
b) 1. osztály (csekély kár):
ba) a közvetlen anyagi kár 100 ezer forint alatt van,
bb) a MOKK rendszerének működőképessége 20 embernapnyi munkával állítható helyre,
bc) személyes adatok bizalmassága vagy hitelessége sérül,
bd) belső (intézményi) szabályzóval védett adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül;
c) 2. osztály (közepes kár):
ca) a közvetlen anyagi kár 1 millió forint alatt van,
cb) a MOKK rendszerének működőképessége 3 emberhónapnyi munkával állítható helyre,
cc) az informatikai biztonsági incidens nyilvánosságra hozatala szükséges, bizalomvesztést eredményez a MOKK rendszere vonatkozásában,
cd) személyes adatok bizalmassága, hitelessége vagy rendelkezésre állása sérül;
d) 3. osztály (nagy kár):
da) a közvetlen anyagi kár 10 millió forint alatt van,
db) a MOKK rendszerének működőképessége 3–12 emberhónapnyi munkával állítható helyre,
dc) az informatikai biztonsági incidens nyilvánosságra hozatala szükséges, bizalomvesztést eredményez a közjegyzői tevékenység egésze vonatkozásában,
dd) szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül;
e) 4. osztály (kiemelkedően nagy kár):
ea) a közvetlen anyagi kár 10 millió forint felett van,
eb) a MOKK rendszerének működőképessége több mint 12 emberhónapnyi munkával állítható helyre,
ec) nagy tömegű szenzitív személyes adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül,
ed) nagy értékű, a MOKK rendszerével összefüggő üzleti titok bizalmassága, sértetlensége vagy rendelkezésre állása sérül.
(3) E § alkalmazásában:
a) embernap: 8 munkaóra,
b) emberhónap: 20 embernap.
5. § A közjegyzői kamarának a szervezeti és működési szabályzatában kell meghatároznia
a) az egyes informatikai biztonsági követelmények teljesítése érdekében ellátandó feladatokat és azok felelőseit,
b) az egyes informatikai biztonsági döntési jogköröket, és azokat, melyek gyakorlásához előzetes döntés szükséges,
c) a MOKK rendszerének biztonságos működtetéséhez szükséges eszközök rendelkezésre állásáért, folyamatok megvalósulásért felelős vezető személyét,
d) a MOKK rendszerének használatával kapcsolatos hatásköröket (jogosultsági szinteket),
e) az informatikai biztonsági vezető kiválasztásának módját, az összeférhetetlenség részletszabályait.
3. Üzemeltetési biztonsági intézkedések
6. § A közjegyzői kamarának
a) biztosítania kell a MOKK rendszere működtetéséhez szükséges infrastruktúrát, továbbá háttér- és kiegészítő szolgáltatásokat,
b) a jogosult felhasználókra kell korlátoznia a MOKK rendszeréhez, a MOKK rendszerének működtetéséhez szükséges eszközökhöz és a kapcsolódó üzemeltetési környezethez való fizikai hozzáférést, minden biztonsági osztályhoz meg kell határoznia a feladatkör szerint differenciált hozzáférési jogokat,
c) a kockázati besorolásnak megfelelően kell védenie a MOKK rendszere működtetéséhez szükséges eszközöknek helyt adó fizikai létesítményt, a fizikai biztonsági zónákat a 4. § (2) bekezdése szerinti zónának megfelelően kell meghatároznia,
d) megfelelő környezeti intézkedésekről kell gondoskodnia a MOKK rendszerének helyt adó létesítményekben,
e) védenie kell a MOKK rendszerét a környezeti veszélyektől.
4. Műszaki biztonsági intézkedések
7. § (1) A közjegyzői kamarának – a (3) bekezdésben foglalt kivétellel – azonosítania kell a MOKK rendszerének felhasználóit, és – jogosultsági szinthez kötötten – a felhasználók nevében működő folyamatokat és eszközöket, valamint hitelesítenie (vagy ellenőriznie) kell ezen felhasználók, folyamatok vagy eszközök azonosságát, mielőtt ezek hozzáférést kapnának a MOKK rendszeréhez.
(2) Ha az szükséges, a közjegyzői kamarának a központi elektronikus szolgáltató rendszer igénybevételével kell biztosítania a felhasználók azonosítását.
(3) A közjegyzői kamarának a felhasználó azonosítását nem kell elvégeznie, ha a felhasználó
a) az Fmhtv. 11. § (1) bekezdés b) pontja alkalmazásával lép kapcsolatba a MOKK rendszerével,
b) kizárólag a MOKK rendszerének azonosítást nem igénylő szolgáltatásait veszi igénybe.
(4) A közjegyzői kamarának a jogosult felhasználókra, valamint a jogosult felhasználók nevében működő folyamatokra és eszközökre kell korlátoznia a MOKK rendszerének azonosítást igénylő részéhez való hozzáférést.
8. § (1) A közjegyzői kamarának a MOKK rendszerében naplórekordokat kell létrehoznia, ezeket pedig olyan szinten kell megvédenie és megőriznie, amely lehetővé teszi a jogosulatlan, jogszabályba ütköző vagy nem megfelelő rendszertevékenységek monitorozását, elemzését és jelentések készítését a naplók alapján. Biztosítani kell továbbá, hogy a felhasználók által végzett műveletek nyomon követhetők legyenek, egészen az egyes – azonosítást nem igénylő – műveletek elvégzéséig.
(2) A beadvány akkor tekinthető a MOKK rendszerébe érkezettnek – a központi elektronikus szolgáltató rendszeren keresztül küldött beadványok kivételével – ha az érkezés tényéről és időpontjáról a felhasználó részére a MOKK rendszere útján visszaigazolás került kiállításra és megküldésre.
(3) A közjegyzői kamarának monitoroznia, ellenőriznie és védenie kell a MOKK rendszerének külső informatikai határain átmenő és a kulcsfontosságú belső informatikai határok közötti kommunikáció jellemzőit, a MOKK rendszere által továbbított és fogadott, azonosításhoz kötötten megismerhető információkat.
(4) A (3) bekezdés alapján elvégzett ellenőrzéseket a közjegyzői kamarának dokumentálnia kell, s azokat az (1) bekezdés szerinti naplórekordok védelmére és megőrzésére vonatkozó rendelkezések szerint kell kezelnie.
5. Szervezet-szervezési követelmények
9. § (1) Az informatikai biztonsági követelményrendszert – a kockázatelemzést követően – a Korm. rendeletben meghatározott dokumentum-típusokban kell meghatározni.
(2) A kockázatarányos védelem követelményrendszerének megfelelő – a felhasználók jogszabályban foglalt jogait nem korlátozó – szabályzatokat a közjegyzői kamara határozattal fogadja el. A szabályzatok elfogadására azt követően kerülhet sor, hogy azokat az informatikai biztonsági felelős jóváhagyta.
(3) Az informatikai biztonsági követelményrendszert megvalósító szabályzatok a közjegyzőkre kötelezőek; alkalmazottjaikkal kötött szerződéseikben pedig kötelesek kikötni a szabályzatok betartására vonatkozó kötelezettségvállalást.
10. § (1) A szabályzatban foglaltaktól akkor lehet eltérni, ha az adott követelmény egy előre nem látott vagy tervezett helyzetben nem értelmezhető, vagy a követelmény alkalmazásával a MOKK rendszere egészének vagy valamelyik funkciójának biztonságos működése nem biztosítható. Az eltérést indokolni és a dokumentumokban rögzítenie kell.
(2) A szabályzatokban meghatározott követelményeknél akkor lehet – kockázatarányosan – magasabb követelményszintet érvényesíteni, ha a kezelt adatok érzékenysége vagy a felhasználók bizalmának megerősítése ezt szükségessé teszi.
(3) A szabályzatoktól történő, az (1) és (2) bekezdés szerinti eltérés esetén olyan többletkövetelményeket lehet érvényesíteni, melynek alkalmazásával a MOKK rendszere egészének vagy biztonsági fenyegetettséggel érintett funkciójának biztonságos működése biztosítható. Ezzel egyidejűleg haladéktalanul intézkedni kell a szabályzatok módosítása iránt.
(4) A szabályzatoktól e § szerinti eltéréshez az adatgazda vagy az informatikai biztonsági felelős hozzájárulása szükséges.
11. § (1) A MOKK rendszere informatikai biztonsági felelősét a közjegyzői kamara elnöke jelöli ki vagy a közjegyzői kamara elnökének hozzájárulásával a közjegyzői kamara alkalmazza.
(2) Az informatikai biztonsági felelős személyesen felel a biztonsági követelmények megvalósulásáért, e feladatának ellátása körében nem utasítható. Az informatikai biztonsági felelős a közjegyzői kamara elnökének közvetlen felügyelete alatt végzi tevékenységét.
(3) Az informatikai biztonsági felelős e rendeletben meghatározott biztonsági követelmények érvényesítése érdekében
a) folyamatosan figyelemmel kíséri a közjegyzői kamarának a külső szolgáltatókkal és azokkal az egyéb szervezetekkel kötött megállapodásait, amelyek tevékenysége a MOKK rendszerének működésére kihatással lehet,
b) előzetesen jóváhagyja a szabályzatokat,
c) ellenőrzi a biztonságirányítási rendszer működtetésének megvalósulását,
d) biztonsági kockázat vagy a b) pont szerinti előzetes jóváhagyás megtagadása esetén kezdeményezheti a MOKK rendszere szolgáltatásának felfüggesztését a kockázat elhárításáig,
e) folyamatosan felügyeli, ellenőrizi a biztonsági intézkedéseket a hatékonyság folytonosságának biztosítása érdekében,
f) felméri és elemzi a közjegyzői kamara, valamint a MOKK rendszere működéséből eredő, az informatikai biztonsággal összefüggő veszélyforrásokat, javaslatot tesz a kockázatkezelés módszerére.
(4) Az informatikai biztonsági felelős külön felhatalmazás nélkül jogosult
a) az ellenőrzési, vizsgálati tevékenysége során a közjegyzői kamaránál, a közjegyzőnél, és külső szolgáltatónál rendelkezésre álló, a MOKK rendszere működését érintő bármilyen (a minősített adat védelméről szóló törvény hatálya alá nem tartozó) iratba, dokumentumba, okmányba, adatbázisba, számítógépes vagy más adathordozó tartalmába a feladatának ellátásához szükséges mértékben, célhoz kötötten való betekintésre,
b) a közjegyzői kamara, a közjegyző és külső szolgáltató használatában lévő épületben, helyiségben, ingatlanban található, a MOKK rendszere működtetéséhez szükséges eszközök, különösen az informatikai és távközlési eszközök vizsgálatára.
12. § (1) A közjegyzői kamarának biztosítania kell, hogy a szervezetén belül (ideértve a külső szolgáltatókat is) a MOKK rendszere működtetésével összefüggő felelősségi körrel, feladattal rendelkező személyek megfeleljenek az adott pozícióra vonatkozó, e rendelettel és a közjegyzői kamara által meghatározott biztonsági kritériumoknak.
(2) A közjegyzői kamaránál a MOKK rendszeréhez való hozzáférést, vagy a MOKK rendszerének fejlesztésében, működtetésében való részvételt biztosító bizalmi munkakört csak olyan személyek tölthetnek be, akinek a bizalmi munkakör betöltéséhez szükséges befolyásmentességét és – a (3) bekezdésben foglalt kivétellel – szakértelmét megfelelő végzettség, szakmai gyakorlat biztosítja, és aki büntetlen előéletű.
(3) A közjegyzői kamara elnöke – döntése szerint – informatikai biztonsági felelősnek
a) közjegyzőt jelölhet ki, vagy
b) informatikai képzettséggel rendelkező személy alkalmazásához járulhat hozzá.
(4) A (3) bekezdés a) pontjának alkalmazása esetén az informatikai biztonsági felelős munkáját informatikai szakértelemmel rendelkező, az informatikai biztonsági felelőssel vagy a közjegyzői kamarával munkaviszonyban, munkavégzésre irányuló egyéb szerződéses jogviszonyban álló személyek segítik.
(5) A (4) bekezdésben foglalt esetben a közjegyzői kamarával munkaviszonyban állók esetében a közjegyzői kamara elnöke gyakorolja a munkáltatói jogokat, illetőleg előzetes hozzájárulása szükséges az egyéb szerződéses jogviszony módosításához, megszüntetéséhez.
6. Naplózás
13. § A naplózási rendszernek alkalmasnak kell lennie mindegyik felhasználó vagy felhasználói csoport által végzett művelet szelektív leválogatására is.
14. § (1) Az Fmthv.-ben foglaltakon túl a következő – sikeres, sikertelen – eseményeket is maradéktalanul naplózni kell:
a) rendszerindítások és -leállítások,
b) rendszeróra-állítások,
c) programleállások,
d) az azonosítási és a hitelesítési mechanizmus használata,
e) hozzáférési jog érvényesítése azonosítást szükségessé tevő erőforráshoz,
f) azonosítóval ellátott erőforrás létrehozása vagy törlése, és
g) felhatalmazott személy műveletei, amelyek a MOKK rendszerének biztonságát érintik.
(2) Az alapvető naplózási követelmények a következők:
a) naplózni kell a biztonságot érintő összes tevékenységet,
b) biztosítani kell, hogy a naplófájlok tartalmát megadott időintervallum alapján képernyőn és nyomtatón is meg lehessen rendezetten jeleníteni,
c) a naplóállományokat tilos megsemmisíteni, felülírni, módosítani, azokat – a közjegyzői kamara iratkezelési szabályzatában meghatározott ideig – archiválni kell,
d) a naplóállományok kódoltak, hibajavítást lehetővé tevő ellenőrző összeggel ellátottak kell hogy legyenek, a kódkulcsokat a MOKK rendszerétől független adathordozón kell tárolni,
e) a MOKK rendszere adatbázisának biztonsági naplóit, és a MOKK rendszere adatbázisának biztonsági másolatát, a MOKK rendszeréhez nem kapcsolódó, földrajzilag elkülönített helyen őrzött adathordozón is tárolni kell annak érdekében, hogy védve legyenek a törlés és illetéktelen hozzáférés ellen, ennek megvalósításáért az informatikai felelős felel.
15. § (1) A biztonsági napló adatait rendszeresen, de legalább havonta egy alkalommal ellenőrizni kell, és biztonságos módon kell megőrizni.
(2) A biztonsági napló értékelése során meg kell határozni, hogy mely eseményeket kell jegyzőkönyvezni, melyek azok az események, amelyek szankciókat vonnak maguk után, és melyek ezek a szankciók.
(3) A biztonsági naplók alapján felvett jegyzőkönyveket – a közjegyzői kamara iratkezelési szabályzatában meghatározott módon – archiválni kell, és ennek során a megőrzési határidőket meg kell határozni.
(4) A biztonsági eseménynapló (naplófájl) vizsgálatához és karbantartásához a MOKK rendszere működtetőjének megfelelő eszközökkel és ezek dokumentációjával kell rendelkeznie.
(5) A MOKK rendszerének a biztonsági eseménynapló (naplófájl) tekintetében is lehetővé kell tennie egy vagy több felhasználó tevékenységének szelektív vizsgálatát is.
(6) Az (5) bekezdésben meghatározott vizsgálat elvégzéséhez a közjegyzői kamara elnökének előzetes engedélye szükséges.
16. § Az informatikai rendszer üzemeltetéséről – a biztonsági napló mellett – üzemeltetési naplót kell vezetni, amelyet a MOKK rendszerének működtetését végző informatikai szervezeti egység felelős vezetőjének és az informatikai biztonsági felelősnek rendszeresen ellenőriznie kell.
17. § Az üzemeltetési naplót úgy kell kialakítani, hogy a felhasználók által jelentett, az adatfeldolgozási és átviteli rendszerek működésében észlelt hibákat dokumentálja.
18. § A közjegyzői kamarának a naplózó eszközöket a MOKK rendszere adatbázisával azonos biztonsági osztályba kell sorolnia.
7. Rendszerdátum és -idő beállítás
19. § (1) A közjegyzői kamarának gondoskodnia kell a rendszerdátum és -idő beállításainak kontrolljáról, és annak jegyzőkönyvezéséről.
(2) Ha a rendszerdátum és -idő szinkronizálására van szükség, arra kizárólag az informatikai vezető által kijelölt munkatársak jogosultak; az időpont beállítását jegyzőkönyvezni kell.
8. A MOKK rendszerébe kerülő adatok védelme
20. § (1) A MOKK rendszerét úgy kell kialakítani, hogy az garantálja a MOKK rendszerébe kerülő adatok változatlan rögzítését.
(2) Az adatbázist hozzáférhetőség és sérülésmentesség szempontjából folyamatosan ellenőrizni kell.
9. Az adatfeldolgozás ellenőrzése
21. § A MOKK rendszerét úgy kell kialakítani, hogy a MOKK rendszerébe bevitt adatok sértetlensége, hiánytalansága, és integritása a feldolgozás alatt is biztosított legyen.
10. Az operációs rendszerszintű hozzáférések ellenőrzése
22. § A közjegyzői kamarának az operációs rendszer szintjén rendelkezésre álló biztonsági intézkedésekkel kell korlátoznia a számítástechnikai erőforrásokhoz való hozzáférést, melyeknek a következőket kell magukban foglalniuk:
a) az engedéllyel rendelkező felhasználó személyének azonosítása és hitelesítése, szükség esetén a terminál vagy hely azonosítása,
b) a sikeres és az eredménytelen hozzáférési kísérletek rögzítése,
c) megfelelő hitelesítési eszközök és – jelszókezelő rendszer használata esetén – minőségi jelszavak biztosítása,
d) a különleges rendszer-előjogok használatának naplózása (pl. rendszergazda jogosultsággal rendelkező felhasználók esetében),
e) amennyiben az szükséges, a felhasználók csatlakozási idejének korlátozása.
11. Változás-kezelés
23. § (1) A közjegyzői kamara a MOKK rendszere sérülékenységének minimálisra csökkentése érdekében a rendszer-változtatásokat csak szigorú ellenőrzéseken keresztül valósíthatja meg.
(2) A MOKK rendszere tesztrendszeréhez szoftver-verziókövetési és -támogatási rendszernek kell kapcsolódnia.
(3) A közjegyzői kamarának a változtatás ellenőrzésének eljárását – a folyamatos kockázat-kezelési módszereket is beleértve – a változás-kezelési szabályzatban kell szabályoznia.
(4) A változtatási eljárással kapcsolatban
a) szabályozni kell a változtatást végrehajtó személyek körét,
b) a szükséges módosítás érdekében az összes szoftver, információ, adatbázis és hardver azonosítását el kell végezni,
c) a változtatás üzembe helyezése előtt részletes, kockázatkezelésen alapuló, formalizált elfogadási eljárást kell rendszeresíteni,
d) biztosítani kell, hogy az üzembe helyezés során a MOKK rendszerének üzemeltetési folyamatai ne sérüljenek,
e) a rendszer-dokumentációkban a változásokat át kell vezetni, és a régi dokumentációkat archiválni kell,
f) karban kell tartani a változás-kezelés segítségével az összes szoftver-frissítést,
g) biztosítani kell minden változtatás ellenőrzését,
h) biztosítani kell, hogy az érintett üzemi dokumentumokon is átvezetésre kerüljenek – amennyiben szükségesek – a változások.
12. Adatvagyon-leltár
24. § (1) A közjegyzői kamarának a MOKK rendszere vonatkozásában adatvagyon-leltárt kell készítenie a védendő információs, szoftver és fizikai vagyonról, azok tulajdonosáról (adatgazdájáról) – amennyiben azok nem a közjegyzői kamara tulajdonában állnak –, továbbá az egyes vagyonelemek értékéről.
(2) Az adatvagyon-leltár a következő részekből áll:
a) információ-vagyon: adatok (az adatok biztonsági osztályozása szerint), adatbázisok, szoftver-kezelési kézikönyvek, oktatási, üzemviteli, üzemeltetési, biztonsági segédletek és nyilvántartások,
b) szoftver-vagyon: rendszer-szoftverek, alkalmazói szoftverek, fejlesztő-eszközök,
c) fizikai-vagyon: hardver (számítógépek, perifériák, mobil számítástechnikai eszközök), kommunikációs eszközök (telefonok, faxok, modemek, hálózati csatoló eszközök, telefon-alközpontok), adathordozók és egyéb műszaki berendezések (szünetmentes tápegység, légkondicionáló berendezés, villámhárító stb.).
13. A MOKK rendszerének biztonságos üzemeltetéséhez szükséges egyéb szabályzatok
25. § A közjegyzői kamarának olyan informatikai felhasználói szabályzatot kell készítenie, amely rögzíti – a jogosultsági szintek szerint – a felhasználók kötelezettségeit a MOKK rendszere biztonságos üzemeltetése érdekében. Az informatikai felhasználói szabályzatban a felhasználók kötelezettségeit a jogosultsági szintek szerint kell megállapítani.
26. § A közjegyzői kamarának a biztonságos rendszerüzemeltetés érdekében hozzáférés ellenőrzési és szerep alapú jogosultságkezelési szabályzatot kell készítenie.
27. § (1) A közjegyzői kamara az üzemszerű karbantartások gyakoriságát, tervezett időpontját, valamint időtartamát a karbantartási tervben kell rögzítse.
(2) A közjegyzői kamarának a tervezett karbantartások időpontját, és időtartamát 3 nappal a karbantartást megelőzően kell közzétennie.
14. Rendszer-dokumentációkkal kapcsolatos előírások
28. § (1) Minimálisra kell csökkenteni azoknak a személyeknek a számát, akik hozzáférhetnek a rendszer-dokumentációkhoz.
(2) A MOKK rendszerét úgy kell kialakítani, hogy biztosított legyen a nyilvános hálózaton keresztül elérhető, vagy azon keresztül továbbított rendszer-dokumentáció védelme.
(3) A közjegyzői kamarának a MOKK rendszerében feldolgozásra kerülő, a 4. § (2) bekezdésben meghatározott biztonsági osztályba sorolt adatok pontos megállapítására alkalmas dokumentációt és a hozzájuk kapcsolódó jogosultságok nyilvántartására vonatkozó dokumentációt egymástól elkülönítetten kell kezelnie.
(4) A rendszer-dokumentációkkal kapcsolatos előírások érvényesítése során a 23. §-ban foglaltakat alkalmazni kell.
15. Tevékenységek a változás-kezelés szabályainak alkalmazásával
29. § A közjegyzői kamara a következő tevékenységek végzésekor a változás-kezelés szabályai szerint köteles eljárni:
a) a közjegyzői kamara által végzett változtatások implementációja,
b) minden új alkalmazás fejlesztése,
c) a közjegyzői kamara szabályzatainak és eljárásainak módosítása vagy frissítése,
d) az informatikai biztonsági incidensek megoldására és a biztonság fejlesztésére meghozott intézkedések,
e) az új technológiák alkalmazása, és
f) a hálózatok bővítése, módosítása
során.
16. A MOKK rendszerének megfelelő működéséhez szükséges kapacitásigény
30. § A közjegyzői kamarának a MOKK rendszere kapacitásigényét folyamatosan biztosítania kell; ennek érdekében a MOKK rendszere kapacitásigényét folyamatosan figyelemmel kell kísérnie, és a mért értékek alapján meg kell becsülnie a jövőre nézve.
17. Az informatikai biztonsági incidensek kezelése
31. § (1) A közjegyzői kamarának a MOKK rendszerét érintő informatikai biztonsági incidenseket (a továbbiakban e §-ban: események) megfelelő elemzési sémát igénybe véve kell elemeznie.
(2) A közjegyzői kamarának fel kell készülnie az események bekövetkezésére, ennek érdekében a következő intézkedéseket kell megtennie:
a) felkészülés: előre dokumentált megelőző intézkedések, esemény-kezelési útmutatások és eljárások létrehozása (az eseményre vonatkozó adatok védelmét, az esemény-naplók karbantartását és a nyilvánosság tájékoztatását is ideértve), a szükséges dokumentumok védelme, valamint üzletmenet-folytonossági tervek készítése,
b) bejelentés: eljárások, módok és felelősségek meghatározása azzal kapcsolatban, hogy milyen módon és kinek kell jelenteni az eseményeket,
c) irányítás: eljárások és felelősségek meghatározása az események kezelésével összefüggő tevékenység végzése során (a károk csökkentésekor, az esemény felszámolásának alkalmával és a közjegyzői kamara vezetésének, a nyilvánosság tájékoztatásakor),
d) helyreállítás: eljárások és felelősségek meghatározása a normál működés helyreállítására,
e) áttekintő vizsgálat: eljárások és felelősségek meghatározása az eseményt követő tevékenységek során, ideértve a jogi következmények kivizsgálását és a trendek elemzését (felkészülés további informatikai biztonsági incidensek kezelésére).
18. A biztonságos működéshez szükséges műszaki paraméterek közzététele
32. § A közjegyzői kamara – a központi szolgáltató rendszeren keresztül nyújtott szolgáltatások kivételével – a honlapján közzéteszi a MOKK rendszere által a felhasználó részére nyújtott szolgáltatások rendeltetésszerű eléréséhez és igénybevételéhez minimálisan szükséges műszaki paramétereket.
19. Záró rendelkezések
33. § Ez a rendelet a kihirdetését követő 15. napon lép hatályba.
34. §2
35. §3
36. §4
A 2. § a 29/2016. (XII. 27.) IM rendelet 13. §-ával megállapított szöveg.
A 34. §-t a 36. § (1) bekezdése hatályon kívül helyezte.
A 35. §-t a 36. § (1) bekezdése hatályon kívül helyezte.
A 36. § a (2) bekezdés alapján hatályát vesztette 2012. január 2. napjával.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás