23/2011. (IX. 2.) BM utasítás
23/2011. (IX. 2.) BM utasítás
a Belügyminisztérium Informatikai Biztonsági Stratégiájáról1
2022.09.02.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (2) bekezdésében foglalt feladatkörömben eljárva, valamint a kormányzati informatika konszolidációjához szükséges intézkedésekről szóló 1277/2010. (XII. 9.) Korm. határozatban meghatározottakra figyelemmel a következő utasítást adom ki:
1. § A Belügyminisztérium Informatikai Biztonsági Stratégiáját ezen utasítás mellékletében foglaltak szerint határozom meg.
2. § (1) Az utasítás hatálya a Belügyminisztérium hivatali szervezetére, a minisztériumi és önálló belügyi szervekre (a továbbiakban együtt: BM), és ezek kormánytisztviselőire, köztisztviselőire, közalkalmazottaira, hivatásos állományú, és az egyéb, munkajogviszonyban foglalkoztatott munkatársaira (a továbbiakban együtt: BM munkatárs) terjed ki.
(2) A BM informatikai rendszerével, szolgáltatásaival szerződéses vagy más módon kapcsolatba kerülő természetes és jogi személyek, jogi személyiséggel nem rendelkező szervezetek tekintetében az utasításban foglaltakat érvényesíteni kell a velük kötött szerződés szerint és a titoktartási nyilatkozat alapján.
3. § Az utasítás tárgyi hatálya a BM használatában lévő vagy az általa üzemeltetett valamennyi meglévő és a jövőben fejlesztendő informatikai rendszerre és azok környezetét alkotó rendszerelemekre terjed ki, azok teljes életciklusában – az előkészítéstől a rendszerből történő kivonásig –, kivéve a minősített adatokat kezelő rendszereket.
4. § Az utasítás területi hatálya kiterjed a BM használatában álló épületeiben lévő mindazon objektumokra és helyiségekre, amelyekben a 3. §-ban meghatározott eszközöket, szoftvereket, adatokat vagy dokumentumokat hoznak létre, tárolnak, felhasználnak, vagy továbbítanak.
5. § Ez az utasítás a közzétételét követő ötödik napon lép hatályba.
Melléklet a 23/2011. (IX. 2.) BM utasításhoz
A Belügyminisztérium Informatikai Biztonsági Stratégiája
I. Fejezet
Általános rendelkezések
1. A szabályozás tárgya, alkalmazási területe
1. Az Informatikai Biztonsági Stratégia (a továbbiakban: IBS) meghatározza a BM informatikai rendszereiben előállított, tárolt, használt és továbbított információk elégséges biztonságának stratégiai céljait, és megteremtéséhez szükséges intézkedéseket.
2. Az IBS célja
2. A Belügyminisztérium Informatikai Biztonság Politikájában meghatározott irányelvek és definíciók alapján az informatikai biztonság területén az alábbi alapelveket és védelmi célkitűzéseket kell következetesen érvényesíteni:
a) Bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról. Továbbá biztosítani kell a megfelelő védelmet a BM kezelésében és használatában lévő adatok, információk tekintetében mind a központi, mind a helyi feldolgozások, valamint az adat- és információcsere során. A BM által kezelt, felhasznált adatokhoz való hozzáférés tekintetében, elsősorban a szervereken és a felhasználói munkaállomásokon történő adathozzáférések és az adatkezeléseknél felhasznált adathordozók kezelése, valamint a kommunikáció során.
b) Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik, és a származás megtörténtének bizonyosságát (letagadhatatlanság) is, illetve a rendszerelem tulajdonsága, amely arra vonatkozik, hogy a rendszerelem rendeltetésének megfelelően használható. Továbbá biztosítani kell a BM teljes adatvagyonára vonatkozóan, az adatkezelés, adattárolás, feldolgozott és közzétett adatok, a kommunikáció folyamatos pontosságát és teljességét mind a feldolgozás, mind pedig az adat- és információcsere során.
c) Rendelkezésre állás: az adat, illetve az informatikai rendszer elemeinek tulajdonsága, amely arra vonatkozik, hogy az arra jogosultak által a szükséges időben és időtartamra használható. Továbbá biztosítani kell a külső és belső adatkérések során a jogosultak számára a folyamatos hozzáférhetőséget. A rendelkezésre állás fenntartása elsősorban a BM adatvagyonára vonatkozik, amelyet biztosítani kell mind a külső, mind pedig a belső adatkérések során.
d) Hitelesség biztosítása, annak érdekében, hogy a BM belső, vagy egymás közötti kapcsolataiban a partnerek kölcsönösen és kétségtelenül felismerjék egymást és ezt az állapotot a kapcsolat egész idejére változatlanul fenntartsák.
e) Az adatok, információk biztonsági osztályba sorolási modellje szerint a rendelkezésre állás szempontjából legalább 2-es, fokozott biztonsági osztályba sorolt rendszerekre 99,5%-os rendelkezésre állási követelményt kell biztosítani.
f) Működőképesség fenntartása a BM informatikai rendszereire és rendszerelemeire vonatkozóan, amely az adott informatikai eszköz vagy rendszer elvárt és igényelt üzemelési állapotban való fennmaradását jelenti. Ennek elérése céljából biztosítani kell a megfelelően képzett személyzetet és technikai feltételeket.
g) Az információs infrastruktúrák elleni támadások hatékony megelőzése, kivédése és kezelése.
II. Fejezet
A kialakult informatikai helyzet
3. Az informatikai biztonság helye és szerepe a BM tevékenységi rendszerében
3. A BM-ben az informatikai biztonság megteremtése kiemelt feladat, mivel a BM olyan szenzitív adatvagyonnal rendelkezik, amely illetéktelen személy általi megismerése hátrányosan érintheti az állam érdekeit.
4. A BM minden szervezetében az informatikai szervezet alá integráltan látja el az informatikai biztonsággal kapcsolatos feladatait. Az informatikai biztonság mindenkor előbbre való a költséghatékonyságnál mind az üzemeltetés, mind a fejlesztések területén.
4. Finanszírozási környezet
5.2 Az informatikai biztonsági rendszerek üzemeltetési és fejlesztési igényeinek költségvetési tervezése évente történik. Az informatikai gazdálkodás tekintetében a Belügyminisztérium két belső pénzügyi forrásból gazdálkodik: a Belügyminisztérium igazgatási költségvetésében tervezett költségvetési forrásból, valamint a fejezeti kezelésű előirányzatként az informatikai biztonsági rendszerekkel összefüggő kiadásokra tervezett előirányzatból. A tervezés során a Belügyminisztérium Rendvédelmi Informatikai és Elektronikus Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály az igénylő szakterületekkel egyeztetve kidolgozza az informatikai biztonsági feladatok költségvetési forrásigényét, melyről – feladatonként és kiemelt előirányzatonként – tájékoztatja a Pénzügyi Erőforrás-gazdálkodási Főosztályt. A költségvetési előirányzatok véglegezése a költségvetési tervezés folyamatában valósul meg. A fejezeti kezelésű előirányzatok felhasználási rendjét a BM külön utasítással és rendellettel szabályozza.
6. Az ágazati szervek éves informatikai költségvetésükbe tervezik az informatikai biztonsági rendszerek üzemeltetési és fejlesztési igényeit, amit az adott szerv vezetője hagy jóvá.
7. Azokon az informatikai biztonsági területeken, melyeken egységes védelmi eljárás kerül alkalmazásra, törekedni kell a központosított finanszírozás megvalósítására.
5. Szabályozási környezet
8.3 A Belügyminisztérium Szervezeti és Működési Szabályzata a Rendvédelmi Informatikai és Elektronikus Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály vezetőjének feladat- és felelősségi körébe utalja a belügyminisztériumi és ágazati feladatok informatikai biztonsághoz kapcsolódó támogatásának központi szervezését, irányítását, az informatikai biztonság feladatellátás szabályozását és felügyeletét. Az informatikai biztonsági szakterület tevékenységének részletes szabályairól a Belügyminisztérium Közigazgatási Államtitkárság, az Informatikai Helyettes Államtitkárság és a Rendvédelmi Informatikai és Elektronikus Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály ügyrendje rendelkezik.
9. Az ágazati informatikai biztonság szakterület tekintetében rendelkezést tartalmaznak a belügyminiszter által kiadott egyes rendeletek és utasítások is, így különösen a BM Egyedi Iratkezelési Szabályzatának kiadásáról szóló 1/2011. (I. 20.) BM utasítás, a BM Informatikai Biztonsági Szabályzatáról szóló 29/2010. (XII. 31.) BM utasítás (a továbbiakban: IBSZ), a BM Adatvédelmi és Adatbiztonsági Szabályzatának kiadásáról szóló 15/2010. (XI. 16.) BM utasítás, a BM Biztonsági Szabályzatának kiadásáról szóló 14/2010. (XI. 12.) BM utasítás, a Polgári Veszélyhelyzeti Információs Rendszer létrehozásáról, üzemeltetéséről szóló 10/2010. (X. 4.) BM utasítás.
10. A fentieken túl, az ágazati informatikai biztonság szakterületén az adott szervezet Szervezeti és Működési Szabályzatában meghatározott feladatok és hatáskörök alapján, továbbá az informatikai biztonsághoz kapcsolódó belső normatívákban meghatározottak szerint kell eljárni.
III. Fejezet
Általános informatikai biztonsági célkitűzések
6. Általános célkitűzések
11. A Belügyminisztérium Informatikai Biztonságpolitika filozófiáját szem előtt tartva az informatikai biztonság területén ágazati szintű, központosított célokat kell követni. A BM informatikai biztonsági szintjeinek harmonizálásához az alábbi célkitűzéseket kell teljesíteni:
a) Minden ágazati szervnek intézkedéseket kell tennie a tulajdonát képező adatvagyon tulajdonviszonyainak rendezésére, kezelésére, karbantartására, ha szükséges szolgáltatási megállapodásokat kell kötni.
b) A Belügyminisztérium adatvagyonának stratégiailag fontos mentését az adat forrásától fizikailag és területileg elkülönítetten kell tárolni.
c) A Belügyminisztériumban egy olyan Központi Adatmentő Rendszert kell létrehozni, amely minden egyes ágazati szerv kijelölt adatvagyonának mentését elektronikusan tárolja. Ennek olyan rendszernek kell lennie, mely a stratégiailag fontos adatok biztonsági másolatának az adatforrás eredeti helyszínétől fizikailag elkülönítve, kiemelt fokozatú biztonsági közegben, elektronikus adathordozón való tárolására hivatott.
d) A jogszabályokban meghatározottak szerint az elektronikusan archivált adatok tárolására a Belügyminisztériumnak egy fizikai Központi Archív Adatvagyon Tárolót kell létrehozni kiemelt fokozatú biztonsági közegben.
e) A BM-nél az informatika szakterületén olyan azonos szintű és mélységű normatív szabályozást kell bevezetni, melyet minden ágazati szerv azonosan értelmez.
f) A BM-nél egységes vírusvédelmi rendszer alkalmazását kell megvalósítani.
g) A BM szervei közötti szermélyes, nem nyilvános és különleges adatok kommunikációját IPSec-es titkosítási eljárással kell védeni.
h) A BM minimális követelményszint eléréséhez a hálózati kábelezési technológiát CAT5E szintre kell növelni.
i) A BM informatikai hálózatán határtűzfalakat kell létesíteni. Ki kell jelölni a szervezet informatikai hálózatának határát, azon belül minden informatikai védelmet a BM-nek kell ellátnia. Olyan egyenszilárdságú hálózatvédelmi eszközöket és saját tulajdonú védelmi eljárásokat kell alkalmazni, amelyek garantálják a szervezet informatikai hálózatán forgalmazott, tárolt adatok biztonságát.
j) A BM minden szervertermét és a hozzá kapcsolódó rendszerelemét, az ott tárolt adatok, rendszerek minősítési szintjének megfelelő biztonsági fokozatba kell sorolni, és a vonatkozó szabályok szerinti fizikai védelmet kell biztosítani.
k) A biztonsági rés csökkentése, és az üzembiztonság növelése érdekében az amortizációs cserék segítségével el kell érni, hogy az informatikai eszközpark egyetlen eleme se legyen 6 évesnél idősebb.
l) A jelenleg használatos BM nagyvállalati licenc keretében beszerzett operációs rendszert szállító cég 2014-ig ad ki biztonsági frissítést, eddig az időpontig meg kell vizsgálni az operációs rendszer cseréjének szükségességét.
7. Fő fejlesztési irányok
12. A BM informatikai hálózatának védelme érdekében az informatikai szakterületre kell koncentrálni az elektronikus adatok archiválását, szervezetenként központilag rendezett címtárak létrehozatalát, kezelését, az informatikai rendszerekhez való hozzáférés nyilvántartás vezetését, az elektronikus és papíralapú másolás, továbbá nyomtatási folyamatok naplózását.
13. A BM-nél keletkezett személyes, nem nyilvános és különleges adatok védelme érdekében az alábbi informatikai biztonsági feltételeket kell megteremteni:
a) Az egyedi azonosítóval nem rendelkező, nem regisztrált mobil adathordozók használatát meg kell szüntetni. A személyre szóló, egyedi azonosítóval ellátott, regisztrált, mobil adathordozó eszközök – engedélyezés alapján – kizárólagosan munkavégzés céljából használhatóak.
b) A személyre szóló, egyedi azonosítóval ellátott, regisztrált mobil adathordozó eszközöket titkosítási eljárással kell védeni.
c) Az elektronikus ügymenetben résztvevő minden kiadmányozónak, az általa készített dokumentumot kötelezően elektronikus aláírással és időpecséttel kell ellátnia.
IV. Fejezet
Középtávra tervező főbb fejlesztési feladatok
8. Oktatás, képzés és a biztonságtudatosság fokozása
14. A biztonsági követelmények maradéktalan teljesülése érdekében oktatást, képzést kell biztosítani minden BM munkatárs számára az informatikai biztonságtudatosságának fejlesztésével kapcsolatban, valamint a rendszerek üzemeltetéséhez és rendeltetésszerű használatához szükséges biztonsági követelmények elsajátítása érdekében.
15. A BM-nél szükséges az időszakos – lehetőleg évente sorra kerülő – biztonságtechnikai oktatás. Ezen belül a jogszabályok változásának és a technológiai környezet fejlődésének követése, bemutatása és készségszintű elsajátítása szükséges.
9. A folyamatos működés biztosítása
16. A BM-nél évente legalább egyszer informatikai belső biztonsági auditot kell végezni.
17. A biztonsági audit eredményei alapján a folyamatos működést tervezni és biztosítani kell. A biztonsági audit célja, hogy az ügymenet tevékenységében bekövetkezett zavarokat ellensúlyozni lehessen és a kritikus folyamatok védettek legyenek a nagyobb hibák és katasztrófák következményeitől.
18. Az ügymenet-folytonosság tervezésével és bevezetésével el kell elérni, hogy káresemény, vagy katasztrófa esetén a biztonság és a folyamatos működés ne sérüljön. Ennek célja, hogy a szolgáltatások egy előre meghatározott szinten folyamatosan működőképesek legyenek. Az ügymenet-folytonosságot megelőző és visszaállítási eljárások összehangolt bevezetésével kell elérni. A bekövetkezett katasztrófák következményeit, és az azokat kiváltó magatartásokat, tevékenységeket kell vizsgálni, és a levont következtetések alapján meg kell tenni a szükséges intézkedéseket.
19. A Katasztrófa Elhárítási Terv, illetve az Ügymenet Folytonossági Terv fejlesztésével és bevezetésével kell biztosítani, hogy az ügymenet szempontjából kritikus folyamatok visszaállíthatóak legyenek egy meghatározott időintervallumon belül. Valamennyi BM szervezetnél az IBSZ mellékleteként Üzemeltetési Utasítás kiadása szükséges az ügymenet folyamatos működése érdekében. Az ügymenet folyamatos működésének biztosításába bele kell érteni az azonosított és csökkentett kockázati tényezők ellenőrzését, a katasztrófaesemények következményeinek azonosítását és a rájuk történő reagálást, valamint a legszükségesebb alkalmazások meghatározott időn belüli visszaállítását.
20. Tételesen meg kell határozni azokat a szolgáltatási területeket, melyekkel szemben felmerül a folyamatos működés igénye. Új rendszerek használatbavétele esetén gondoskodni kell a rendszer működésével szemben támasztott igények felméréséről és azok teljesítési lehetőségéről.
10. Informatikai biztonsági események észlelése és kezelése
21. A BM-nek érdeke, hogy a szervezet informatikai biztonságáért felelős vezetői mielőbb értesüljenek a bekövetkezett biztonsági eseményekről. Minden alkalmazottnak (külső vagy belső) ismernie kell azt az eljárást, amelyben jelenthetik az általuk felismert biztonsági eseményeket.
22. A BM informatikai rendszereinek működését figyelemmel kell kísérni, naplózni kell és a folyamatokat ellenőrizni kell.
23. Informatikai biztonsági esemény bekövetkezésekor a közvetlen munkahelyi vezetőt, az informatikai vezetőt és az informatikai biztonsági felügyelőt kell értesíteni, és foganatosítani kell a megfelelő válaszintézkedéseket.
24. Az informatikai biztonság terén a védekezés szempontjából fontos, hogy a korábban történt informatikai biztonsági eseményeket időben visszamenőleg tételesen, minden technikai körülményükkel együtt fel lehessen dolgozni.
11. Rendszerfejlesztések biztonsági követelményeinek meghatározása
25. A rendszerek biztonsági követelményeinek meghatározása során rendszer alatt értjük többek között az infrastrukturális elemeket, objektumokat, alkalmazásokat. Biztonsági szempontból döntő, hogy a biztonság mint kritérium jelen legyen az alkalmazások és szolgáltatások tervezésétől kezdődően az ügymenet folyamataiba történő implementálásig.
26. Az informatikai rendszerek fejlesztése során a biztonsági osztályba sorolásnak megfelelően meg kell határozni a biztonsági követelményeket, és rangsorolni kell őket. Egy informatikai projekt során minden biztonsági követelményt dokumentáltan meg kell határozni az adott projekt fázisára, azt meg kell indokolni, és el kell fogadtatni.
12. Szoftverfejlesztések biztonságának garantálása
27. Külső és belső fejlesztéseket egyaránt az IBSZ-ben meghatározott műszaki, biztonsági elvárások betartásával szabad végezni.
28. A fejlesztések biztonságának érdekében:
a) Az IBSZ részletesen tartalmazza a fejlesztéshez szükséges dokumentumokhoz, és a fejlesztett eszközökhöz való hozzáférési jogosultságok kezelésének szabályait.
b) Minden külső fejlesztés esetén a forráskód ellenőrzésével kell az informatikai biztonság konzisztenciáját megőrizni.
c) A fejlesztett rendszerelemeket bevezetésük előtt mind funkcionális, mind biztonsági tesztelésnek alá kell vetni, amelynek eredményét dokumentálni kell.
13. Tevékenységkihelyezés szabályozása
29. A BM informatikai rendszereinek üzemeltetése, vagy biztonsági szempontú felmérése és fenntartása során törekedni kell a saját erőforrások kihasználására, és a biztonsági követelmények megvalósulására. Bizonyos tevékenységek, vagy résztevékenységek elvégzésére külső szervezetek bízhatóak meg.
30. Amely esetekben az informatikával kapcsolatos tevékenységeket külső szervezetek szerződés keretében végzik, a megállapodást úgy kell megkötni, hogy az a lehető legkisebb informatikai biztonsági kockázatot jelentse a BM számára. A szerződés során különös figyelmet kell fordítani a biztonsági folyamatokra és ellenőrzésükre.
14. Mobil eszközök használata és távmunka biztonságának elősegítése
31. A BM informatikai infrastruktúrájában szabályozni kell a mobil eszközök használatát és a távmunkát.
32. A mobil eszközök használata és a távmunka során az eszközök jellegüknél fogva speciális kockázatokat hordoznak magukban. A mobil eszközökön történő munkavégzés során nem biztosított a megfelelő védelemmel ellátott környezet, ezért ilyen esetekben speciális védelmet kell biztosítani. Távmunka esetében pedig a szervezet feladata, hogy előírja a távmunkavégzés körülményeinek biztonsági követelményeit, és gondoskodjon az előírások betartásáról és ellenőrzéséről.
1
Az utasítást a 14/2024. (VI. 20.) BM utasítás 3. § b) pontja hatályon kívül helyezte 2024. június 21. napjával.
2
A Melléklet 5. pontja a 23/2011. (IX. 2.) BM utasításhoz szövege a 15/2022. (IX. 1.) BM utasítás 21. §-a szerint módosított szöveg.
3
A Melléklet 8. pontja a 14/2015. (VI. 19.) BM utasítás 18. pontja, a 15/2022. (IX. 1.) BM utasítás 21. §-a szerint módosított szöveg.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás