20/2013. (V. 24.) NFM utasítás

a Nemzeti Fejlesztési Minisztérium Informatikai Biztonsági Szabályzatának kiadásáról¹

2015.01.31.

1. § A Nemzeti Fejlesztési Minisztérium Informatikai Biztonsági Szabályzatát (a továbbiakban: Szabályzat) a mellékletben foglaltak szerint határozom meg.

2. § (1) Ez az utasítás a közzétételét követő napon lép hatályba.

(2) A Szabályzat felhasználói tevékenységek összefoglalása című 1. függelékének megismeréséről minden felhasználó köteles a 3. függelék szerinti nyomtatvány kitöltésével nyilatkozni, az utasítás hatálybalépését – akadályoztatása esetén annak megszűnését – követő egy hónapon belül.

(3) A (2) bekezdés szerinti, illetve a későbbi felhasználók – a jogviszony létrejöttével egy időben tett – nyilatkozatát a felhasználó személyi anyagának, illetve szerződésének részeként kell kezelni.

(4)²

Melléklet a 20/2013. (V. 24.) NFM utasításhoz

A Nemzeti Fejlesztési Minisztérium Informatikai Biztonsági Szabályzata

Jelen Informatikai Biztonsági Szabályzat (a továbbiakban: IBSz) célja a Nemzeti Fejlesztési Minisztérium (a továbbiakban: NFM) által használt, illetve az NFM és a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (a továbbiakban: NISZ) mint üzemeltető közötti közszolgáltatási szerződés szerint üzemeltetett informatikai rendszerekben lévő és e rendszerekben kezelt NFM-es információk bizalmasságát, hitelességét és rendelkezésre állását biztosító tevékenységek, valamint a rendszerbiztonsági követelmények szabályozása, az előbbi kritériumok biztosítása és az ezeket elősegítő védelmi intézkedések megteremtése.

Az IBSz célja továbbá, hogy átlátható és nyomon követhető formában rögzítse azon célokat és irányelveket, amelyek segítségével az informatikai biztonság magasabb fokú kialakításának további szabályozása és dokumentumai, komplex, átfogó és széles körű informatikai biztonságot alkossanak.

1. Az IBSz hatálya

1.1. Tárgyi hatály

Az IBSz tárgyi hatálya kiterjed:

a) az NFM adatait feldolgozó, tároló vagy továbbító információhordozó eszközre, az informatikai eszközök és berendezések (számítógépek, mobil eszközök – laptopok, tabletek, okostelefonok és hasonlók (nyomtatók, külső adattároló eszközök, aktív hálózati elemek, elektronikus adathordozók stb.) tekintetében minden olyan eszközre, amelyet a NISZ üzemeltet,

b) az a) pontban meghatározott eszközökre és rendszerekre vonatkozó minden dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési stb. dokumentumok), függetlenül azok formátumától (papír vagy elektronikus),

c) az 1.3. pont alá tartozó személyek által bármely okból használt információhordozó eszközökre és berendezésekre, amennyiben azok az NFM hálózatával vagy a NISZ által üzemeltetett – az NFM részére biztosított – informatikai eszközzel adatkapcsolatot létesítenek,

d) az a) pontban felsorolt informatikai eszközökön használt vagy tárolt szoftverekre és adatokra (rendszerprogramok, alkalmazások, adatbázisok stb.), ideértve az üzemelő rendszerek adatain kívül az oktatási, teszt és egyéb célra használt adatokat is,

e) az NFM által kezelt és a NISZ által üzemeltetett eszközökön tárolt adatok teljes körére, felmerülésüktől, feldolgozási és tárolási helyüktől függetlenül.

Nem terjed ki az IBSz hatálya a minősített adatokra, illetve a minősített adatokat kezelő rendszerekre.

1.2. Területi hatály

Az IBSz területi hatálya kiterjed az NFM épületeire, továbbá mindazon objektumokra és helyiségekre, amelyekben az IBSz tárgyi hatálya alatt meghatározott eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak.

Az IBSz rendelkezéseit alkalmazni kell a külső munkavégzéshez használt eszközökre is, amennyiben azok jelen utasítás tárgyi hatálya alá tartoznak.

1.3. Személyi hatály

Az IBSz személyi hatálya kiterjed mindazon közszolgálati tisztviselőkre, akik munkájuk végzése során vagy egyéb céllal, jogosultsággal, vagy annak hiányában, az IBSz tárgyi hatálya alá tartozó eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak.

A jelen szabályzat rendelkezéseit kell szerződéses kötelemként érvényesíteni azon személyek tekintetében, akik az NFM-mel szerződéses jogviszonyban állnak és feladataik teljesítése során vagy egyéb céllal, jogosultsággal, vagy annak hiányában, az IBSz tárgyi hatálya alá tartozó eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak.

Nem tartoznak az IBSz személyi hatálya alá azon személyek, akik

– csak nyilvános adatokhoz férnek hozzá, és/vagy nem használják az informatikai eszközöket, berendezéseket,

– minősített adatokat kezelő, illetve a minősített adatkezelő rendszereket használó személyekre, ezen eljárásuk során.

2. Az IBSz-hez kapcsolódó függelékek jegyzéke

Dokumentum neve	Dokumentum típusa, jellege
1. Felhasználói tevékenységek összefoglalása	Munkautasítás
2. Jogosultság kezelése	Munkautasítás
3. Nyilatkozat	Űrlap

3. Fogalmak

Jelen szabályzat alkalmazásában:

1. Adat: az információnak olyan új formában való ábrázolása, amely alkalmas közlésre, értelmezésre vagy feldolgozásra. Tények, fogalmak vagy utasítások formalizált ábrázolása, amely alkalmas az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra (MSZ ISO 2382-1).

2. Adatátvitel: adatok szállítása összeköttetéseken, összekötő utakon, távközlési rendszeren.

3. Adatbázis: adatok, információk strukturált összessége.

4. Adatgazda: az a vezető, aki egy meghatározott adatcsoport tekintetében az adatok fogadásában, tárolásában, feldolgozásában vagy továbbításában érintett szervezeti egységet képviseli, és az adott adatcsoport felhasználásának kérdéseiben (például felhasználói jogosultságok engedélyezésében vagy megvonásában) elsődleges döntési jogkörrel rendelkezik.

5. Archiválás: a ritkán használt, meghaladottá vált, de nem selejtezhető adatok, adatbázis részek változatlan formában történő hosszú távú megőrzése.

6. Bizalmasság: az adat és információ azon hozzárendelt tulajdonsága, hogy az adatot csak az arra jogosultak, és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, rendelkezhetnek a felhasználásáról.

7. Biztonság: egy adott infrastruktúra, infrastruktúra elem vagy elemek olyan – az érintett számára kielégítő mértékű – állapota, amelyben zárt, teljes körű, folytonos és a kockázatokkal arányos védelem valósul meg. Részei a fizikai, környezeti, személyi, szervezeti, valamint az információbiztonság, az infokommunikációs infrastruktúrákban kezelt elektronikus adatok és információk biztonsága.

8. Biztonsági intézkedések: illetéktelen személyek információs infrastruktúrához vagy információkhoz való szándékos vagy véletlen fizikai hozzáférése elleni eszközök használatát szabályozó, valamint az illetékes személyek jogosulatlan tevékenységével szemben fellépő előírások, tervek és útmutatások összessége.

9. Biztonsági követelmények: a kockázatelemzés eredményeként megállapított, elfogadhatatlan mértékű veszély mérséklésére vagy megszüntetésére irányuló szükségletek együttese.

10. Értékelés: az infokommunikációs rendszerekkel kapcsolatos biztonsági intézkedések, eljárásrendek, Magyarországon elfogadott technológiai értékelési szabványok, követelményrendszerek és ajánlások, illetve jogszabályok szerinti megfelelőségi vizsgálata.

11. Felhasználók: az IBSz 1.3. pontja szerinti személyek.

12. Fizikai biztonság: illetéktelen személyek információs infrastruktúrához vagy információkhoz való szándékos vagy véletlen fizikai hozzáférése elleni intézkedések összessége, valamint az illetéktelen személyek vagy illetékes személyek jogosulatlan tevékenységével szemben az adott struktúrák ellenálló képességét növelő tervek és útmutatások összessége.

13. Folytonos védelem: az időben változó körülmények és viszonyok ellenére is folyamatosan megvalósuló védelem.

14. Helyreállítás: valamilyen behatás következtében megsérült, eredeti funkcióját ellátni képtelen vagy ellátni csak részben képes infrastruktúra elem eredeti állapotának és működőképességének biztosítása eredeti helyen.

15. Hitelesítés: a rendszerbe kerülő, ott lévő és onnan kikerülő adatok forrásának (az adat közlőjének) megbízható azonosítása.

16. Hitelesség: annak biztosítása, hogy a rendszerbe kerülő adatok és információk eredetiek, a megadott forrásból az abban tárolttal azonos, változatlan tartalommal származnak.

17. Hozzáférés: az infokommunikációs rendszer vagy rendszerelem használója számára a rendszer szolgáltatásainak vagy a szolgáltatások egy részének ellenőrzött és szabályozott biztosítása.

18. Illetéktelen személy: olyan személy, aki az adathoz, információhoz, az informatikai infrastruktúrához való hozzáférésre nem jogosult.

19. Infokommunikáció: az informatika és a telekommunikáció mint konvergáló területek együttes neve.

20. Információ: adatok olyan összessége, amely az adatok jelentéssel való megtöltésével, a köztük való összefüggések megadásával áll elő.

21. Információbiztonság: az adatok és információk szándékosan vagy gondatlanul történő jogosulatlan gyűjtése, károsítása, közlése, manipulálása, módosítása, elvesztése, felhasználása, illetve természeti vagy technológiai katasztrófák elleni védelmének koncepciói, technikái, technikai, illetve adminisztratív intézkedései. Az információbiztonság részei az informatikai biztonság is, melynek alapelvei a bizalmasság, sértetlenség, rendelkezésre állás.

22. Informatikai vészhelyzet: az NFM információs infrastruktúrájának leállása, szolgáltatások megszakadása, elérhetetlensége, az NFM nemzeti információs vagyonának jelentős mértékű sérülése, illetve az ezekkel fenyegető rendellenes működés.

23. Informatikai infrastruktúra: az NFM-hez kapcsolódó feladatokat ellátó, illetve az NFM működését biztosító hálózatba kapcsolt hardverelemek, az azokon futó szoftverek és a rajtuk megtalálható adatok együttese, amely jól körülhatárolható, önmagában is működőképes, önálló szolgáltatás nyújtására képes infrastruktúra elemekből áll.

24. Jogosultság: az arra felhatalmazott által adott hozzáférési lehetőség valamely információs infrastruktúrához.

25. Kezelés: adat és információ vonatkozásában az infokommunikációs rendszer elemeinek, az adatokkal és információkkal végzett tevékenységek összefoglaló együttese (különösen a megszerzés, előállítás, tárolás, elosztás, szállítás, felhasználás, megsemmisítés).

26. Kockázat: annak valószínűségi függvénye, hogy egy adott sebezhetőséggel rendelkező rendszerben adott veszély (fenyegetés) bekövetkezése valamilyen mértékű következménnyel jár.

27. Kockázatelemzés: a kockázat valószínűségi függvényének meghatározása annak paraméterei alapján (veszély, sebezhetőség, következmények).

28. Kockázattal arányos védelem: olyan védelem, amely esetében egy kellően nagy intervallumban a védelem költségei arányosak a valószínűsíthető kárértékkel.

29. Környezeti biztonság: azon intézkedések együttese, amelyek az adott rendszer biztonságát hivatottak megőrizni, illetve annak ellenálló képességét növelni a működési környezet nem kívánt változásainak természeti, technológiai, emberi eredetű akaratlagos vagy véletlenszerű hatásaival szemben.

30. Következmény: valamely esemény, baleset, beavatkozás vagy támadás hatása, amely tükrözi a belőle eredő veszteséget, valamint a hatás jellegét, szintjét és időtartamát.

31. NFM kapcsolattartó: az NFM szervezeti egysége, amely a NISZ által üzemeltetett informatikai rendszerrel kapcsolatban felmerülő igényeket összesíti és a NISZ felé továbbítja. Ebbe az igénycsoportba nem tartoznak a folyamatban levő szolgáltatással kapcsolatos igények (hibaelhárítás, javítás stb.), de ide tartoznak a jogosultsággal, ki-, belépéssel stb. kapcsolatos ügyek.

32. NISZ kapcsolattartó: a NISZ által működtetett Ügyfélszolgálat, illetve helyi hibaelhárítás során a közvetlen technikai támogató, illetve a fejlesztési és egyéb, rendszerszintű jelentősebb változáskezelések esetében az ezzel megbízott ügyfélmenedzser.

33. Osztályozás: adatok, információk, információs infrastruktúra elemek, információs infrastruktúrák biztonsági szempontból való osztályainak kialakítása és ez alapján osztályokba sorolása.

34. Rendelkezésre állás: az adat vagy az infokommunikációs rendszer elemeinek azon tulajdonsága, hogy az adat, a rendszerelem vagy az arra alapuló szolgáltatás az arra jogosultak által, a szükséges helyen, időben és időtartamra rendeltetésének megfelelően használható legyen, illetve rendszer, rendszerelem az eredeti rendeltetésének megfelelő szolgáltatást nyújtsa.

35. Rendszerelem: információs infrastruktúra elem.

36. Sebezhetőség: olyan fizikai tulajdonság vagy működési jellemző, amely az adott információs infrastrukturális elemet egy adott veszéllyel szemben érzékennyé vagy kihasználhatóvá teszi.

37. Sértetlenség: az adat és információ azon tulajdonsága, hogy tartalma és tulajdonságai az eredeti állapottal megegyeznek.

38. SLA: szolgáltatási szint megállapodás (Service Level Agreement), amely a megrendelő (NFM) és a szolgáltató (NISZ) között létrejött közszolgáltatási szerződés része, és amely fő tartalmi elemei:

– a szolgáltatótól elvárt feladatok, a szolgáltatás terjedelme,

– a szolgáltató rendelkezésre állása,

– ügyfél- és rendszertámogatás,

– változáskezelés,

– felelősségi viszonyok,

– adatvédelmi követelmények.

39. Személyi biztonság: az adott rendszerrel/erőforrással kapcsolatba kerülő személyekre vonatkozó, alapvetően a hozzáférést, annak lehetőségeit és módjait szabályozó biztonsági szabályok és intézkedések összessége a kapcsolatfelvétel tervezésétől, annak kivitelezésén keresztül a kapcsolat befejezéséig, valamint a kapcsolat folyamán a személy birtokába került információk vonatkozásában.

40. Szervezeti biztonság: egy adott szervezet strukturális felépítéséből adódó biztonsága és bevezetett biztonsági szabályainak és intézkedéseinek összessége a védendő rendszerhez/erőforráshoz való hozzáférés védelme érdekében.

41. Teljes körű védelem: azon bármilyen típusú aktív vagy passzív védelmi intézkedések, melyek a rendszer összes elemére kiterjednek.

42. Védelem: a biztonság megteremtésére, fenntartására, fejlesztésére tett intézkedések, amelyek lehetnek elhárító, megelőző, ellenálló képességet fokozó tevékenységek vagy támadás, veszély, fenyegetés által bekövetkező kár kockázatának csökkentésére tett intézkedések.

43. Veszély (fenyegetés): természeti vagy mesterséges esemény, személy, szervezet vagy tevékenység, amely potenciálisan káros a jelen szabályzatban védett tárgyakra.

44. Visszaállítás: az eredeti infokommunikációs rendszer kiesése esetén a szolgáltatások további biztosítása, korábbi mentésből való visszaállítása.

45. Zárt védelem: olyan védelem, amely az összes valószínű fenyegetést figyelembe veszi.

4. Megfelelés a belső utasításoknak, szabványoknak, ajánlásoknak

Az IBSz megfelel a vonatkozó MSZ ISO szabványoknak és a Közigazgatási Informatikai Bizottság ajánlásainak is, és elősegíti az NFM mindenkor hatályos Szervezeti és Működési Szabályzatában (a továbbiakban: SzMSz) az informatikai biztonsággal kapcsolatban megállapított feladatok végrehajtását.

5. Az információbiztonság szervezeti struktúrája, szerepkörök

Az NFM egyes informatikai rendszereinek működtetésével kapcsolatos feladatokat a NISZ látja el.

Az információbiztonság megfelelőségéért, az IBSz-ben foglaltak megtartásáért és annak megvalósításával kapcsolatos feladatok végrehajtásáért – ideértve az SLA-ban foglaltak szerint a NISZ feladataként meghatározottak ellenőrzését is – az NFM felelős.

5.1.³ Az NFM oldali szervezet

Az IT biztonsági szabályok betartásáról az infokommunikációért és fogyasztóvédelemért felelős államtitkár gondoskodik az általa kijelölt informatikai biztonsági felügyelő útján, aki az Infokommunikációs Infrastruktúra Fejlesztési Főosztály vezetője, és aki egyben biztonsági kérdésekben a NISZ-szel való koordinációt is biztosítja.

5.2. A NISZ oldali szervezet

Az SLA alapján a NISZ üzemeltetési szervezetének vezetője hangolja össze és irányítja a NISZ által nyújtott informatikai szolgáltatások tervezését, a szolgáltatásnyújtáshoz szükséges folyamatok kialakítását, végrehajtását és ellenőrzését, illetve az informatikai biztonsági vezető határozza meg a NISZ szervezetén belül az informatikai biztonsággal kapcsolatos egyes feladatok felelőseit.

5.3. Közvetlen technikai támogató

A közvetlen technikai támogatásról az NFM által használt, egyes rendszerek esetében az SLA szerint a NISZ gondoskodik.

A közvetlen technikai támogató a feladatait és jogait az IBSz hatálya alá tartozó minden olyan területen végzi, illetve gyakorolja, amelynek felügyelete a rá kiszabott számítástechnikai rendszer üzemeltetéséhez szükséges.

5.4. Az NFM felügyeleti rendszere

5.4.1.⁴ Információ Biztonsági Fórum

Az NFM döntéshozatali jogkörrel rendelkező vezetőkből álló testületet működtet (Információ Biztonsági Fórum), amely az információbiztonság feladatkörében jelentkező feladatok összehangolását (a fizikai, logikai, személyzeti és informatikai biztonsággal kapcsolatos területek összefogását) és stratégiai irányítását végzi, valamint irányítja a biztonsági incidensek kivizsgálását.

Az Információ Biztonsági Fórum legalább félévente ülésezik, illetve abban az esetben, ha olyan esemény történik, amely indokolttá teszi az Információ Biztonsági Fórum összehívását.

Az Információ Biztonsági Fórumot az infokommunikációért és fogyasztóvédelemért felelős államtitkár hívja össze és vezeti.

Az Információ Biztonsági Fórum üléseinek napirendjén szerepel:

– az IBSz által megfogalmazott ellenőrzési és egyéb feladatok elvégzésének értékelése,

– az IBSz-ben rögzített szabályok megszegéséből, illetve be nem tartásából adódó felelősségre vonási eljárások kezdeményezése,

– egyes biztonsági kérdések megvitatása, NFM-re gyakorolt hatásuk megvizsgálása és a megfelelő válaszlépésekhez szükséges döntések meghozatala,

– biztonsági feladatok tervezése, koordinálása, megfelelő biztonsági környezet tulajdonságainak meghatározása,

– rendkívüli biztonsági események megvitatása.

Az Információ Biztonsági Fórum tagjai:

– az informatikai biztonsági felügyelő, továbbá más, az infokommunikációért és fogyasztóvédelemért felelős államtitkár által esetileg – különösen a konkrét biztonsági intézkedés okán – bevont személy(ek),

– állandó meghívottként a NISZ üzemeltetési, valamint informatikai biztonsági vezetője vagy az általa írásban meghatalmazott személy.

Az információbiztonsággal összefüggő kockázatokat és az azok csökkentésére szolgáló ellenőrzéseket az Információ Biztonsági Fórum értékeli. Az információbiztonsági szabályok betartatását az informatikai biztonsági felügyelő monitorozza, különösen a biztonsági események megelőzése, felismerése, elhárítása, a biztonsági kockázatok megfelelő kezelése érdekében.

5.4.2.⁵ Az infokommunikációért és fogyasztóvédelemért felelős államtitkár

Feladata:

– az NFM informatikai biztonsági tevékenységének szakmai irányítása, az NFM biztonságpolitikai érdekeinek és törekvéseinek érvényesítése,

– együttműködik az egyéb biztonsági kérdésekért felelős vezetőkkel (objektumvédelem, vagyonvédelem, információbiztonság, titokvédelem, humán védelem, rendkívüli és krízishelyzetek kezelése, tűzvédelem, biztonsági oktatások),

– az NFM működését közvetlenül vagy közvetve érintő elektronikus adatok és információk rendelkezésre állásának, integritásának, bizalmasságának és sértetlenségének biztonságvédelme, az elektronikus adatkezelés jogszerűségének és minőségének biztosítása,

– az NFM informatikai biztonságának mint állapotnak a fenntartását szolgáló és garantáló műszaki-technikai, fizikai, jogi és adminisztratív, tervezési, szervezési, vezetési, oktatási, végrehajtási feladatok és intézkedések irányítása, ezek folyamatos korszerűsít(tet)ése, valamint az e területet érintő jogszabályok és a belső szabályok betartásának, illetve betartatásának ellenőrzése,

– az NFM-mel kormánytisztviselői vagy munkavégzésre irányuló egyéb jogviszonyban állók és más személyek az NFM területén vagy az NFM-mel kapcsolatba hozható módon veszélyeztető, jogsértő magatartása megelőzése, felderítése, folytatásának megakadályozása, ezen események kivizsgálásának kezdeményezése, a vizsgálatot folytató belső ellenőrzés támogatása.

5.4.3.⁶ Informatikai biztonsági felügyelő

Az NFM-ben a vezetők biztonsággal összefüggő tevékenységét az informatikai biztonsági felügyelő támogatja. Részt vesz a biztonsággal kapcsolatos vezetői döntések előkészítésében, kivizsgálja a rendkívüli informatikai eseményeket, elvégzi a rendszeres biztonsági ellenőrzéseket, és hatáskörében intézkedik, vagy javaslatot tesz a hibák kijavítására. Munkája során szorosan együttműködik a biztonság megvalósításában részt vevő informatikai és egyéb szakemberekkel.

Feladatai:

– összehangolja a biztonságot meghatározó, befolyásoló területek tevékenységét az informatikai biztonság érdekében,

– véleményezi a vészhelyzet védelmi tervet,

– véleményezi a jogszabály-, illetve NFM belső utasítás tervezeteket azok IT biztonsági kihatásainak vonatkozásában,

– informatikai biztonsági szempontból ellenőrzi az informatikai rendszer szereplőinek tevékenységét,

– az informatikai rendkívüli eseményeket, az esetleges rossz szándékú hozzáférési kísérletet, illetéktelen adatfelhasználást, visszaélést kivizsgálja, javaslatot tesz az infokommunikációért felelős államtitkárnak további intézkedésekre, felelősségre vonásra,

– ellenőrzi a NISZ információbiztonsággal kapcsolatos, NFM-et érintő intézkedéseit,

– ellenőrzi az SzMSz rendelkezései és a munkaköri leírások alapján az informatikai rendszer szereplőinek jogosultsági szintjét,

– ellenőrzi a fejlesztő és tesztrendszerek elkülönítésének megfelelőségét az éles rendszertől,

– felügyeli az NFM-en belüli IT helyiségeket, eszközöket és infrastruktúrát érintő karbantartási terveket,

– felügyeli a beruházásokat, a fejlesztéseket és az üzemvitelt informatikai biztonsági szempontból, illetve javaslatot tesz rájuk,

– az új biztonságtechnikai eszközök és szoftverek tesztelésére ajánlást ad,

– szúrópróbaszerűen ellenőrzi az egyes felhasználói gépek hardverkonfigurációját és a telepített szoftvereket összeveti a felhasználónak engedélyezett szoftverlistával, hogy a rendszerben aktuálisan beállított felhasználói jogosultságok megegyeznek-e a jóváhagyott jogosultságokkal, valamint hogy a javításra (selejtezésre, áttárolásra) kiszállított eszközökön adat ne kerüljön ki, továbbá az adathordozók selejtezését,

– ellenőrzi az információbiztonságban érintett dokumentációk meglétét és megfelelőségét (teljes körű, aktuális), intézkedik a dokumentációk pótlása iránt,

– ellenőrzi, hogy a vonatkozó információbiztonsági követelményeket a rendszerek fejlesztési és az alkalmazási dokumentációiban is megjelenítik-e,

– közreműködik minden olyan eset kivizsgálásában, ahol az NFM biztonsághoz fűződő érdeke sérelmet szenved,

– az érintett szervezeti egységek vezetőivel együtt évente felülvizsgálja az információvédelmi osztályba sorolásokat, és javaslatot tesz a szükséges módosításokra,

– amennyiben új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem megerősítését,

– az adott szakterületek vezetőivel egyeztetve meghatározza az egyes feladatkörökhöz tartozóan az információbiztonsággal kapcsolatosan elsajátítandó ismeretek körét, és ellenőrzi az elsajátítás tényét,

– javaslatot tesz az információbiztonságot erősítő továbbképzésekre,

– az IBSz-t és annak munkautasításait legalább évente felülvizsgálja, és a gyakorlati tapasztalatok, előfordult informatikai rendkívüli események (a jogszabályi környezet változásai, a technikai fejlődés, az alkalmazott új informatikai eszközök, új programrendszerek, fejlesztési és védelmi eljárások stb.) miatt szükséges módosítására javaslatot tesz,

– javaslattételi joga van a fokozott és kiemelt védelmi osztályba sorolt informatikai rendszerek hozzáférési jogosultságainak kiadásában, jogosult minden olyan megbeszélésen részt venni (arra képviselőt delegálni), amelynek információbiztonsági, adatvédelmi vonatkozása van, az ülésen jogosult észrevételt, javaslatot tenni,

– a felügyelete alá tartozó teljes rendszer komplex biztonságával összefüggésben a vonatkozó megállapodások, az IBSz be nem tartása, illetve az informatikai rendszer működőképességét veszélyeztető fenyegetés esetén javaslatot tesz az infokommunikációért és fogyasztóvédelemért felelős államtitkár felé,

– az egyes alkalmazásokhoz való hozzáférések, jogosultsági rendszerek kialakításában véleményezési joggal rendelkezik,

– javaslatot tesz a NISZ felé egyes központi beállítások módosítására, a kivételek kezelésére,

– gondoskodik az IBSz módosításainak egységes szerkezetbe foglalásáról és – a miniszter útján – közzétételükről,

– szükség szerint gondoskodik a hatályba lépett módosításokról a jelen szabályzat szerint érintett személyek tájékoztatásáról.

5.5. Felhasználók

5.5.1. Általános felhasználók: az NFM állományába tartozó közszolgálati tisztviselők (ideértve a gyakornokokat is), illetve külső személyek, akik az SLA-ban meghatározott alapjogosultságokat használják.

5.5.2. A kiemelt felhasználók: rendelkeznek az általános felhasználókhoz kapcsolódó jogokkal, valamint a feladatkörüktől és a szakmai területtől függő további egyedi jogosultságokkal is. A kiemelt felhasználókat – az informatikai biztonsági felügyelő tájékoztatása mellett – a munkáltató jogokat gyakorló vezető, a szerződéskötést kezdeményező szervezeti egység vezetője jelöli ki.

5.5.3.⁷ Speciális előírások a külső személyek – mint felhasználók – általi hozzáférésekkel kapcsolatban:

Az NFM megbízásából a NISZ – illetve maga az NFM is – igénybe vehet állományába nem tartozó külső személyeket általános vagy kiemelt felhasználói jogosultságokkal időszakos vagy folyamatos feladatok végrehajtására. Az NFM, illetve a NISZ külső személlyel való szerződéskötésével kapcsolatos eljárását a vonatkozó megállapodások szabályozzák. Egyéb esetben a külső személlyel szerződést kötő szervezeti egység vezetője felelős:

– a külső személy bevonása által okozott informatikai biztonsági kockázatok felméréséért és értékeléséért,

– az IBSz szerinti követelmények kommunikálásáért és a vonatkozó szerződésbe történő beépítéséért, az alábbiak szerint

⋅ az NFM rendszereivel kapcsolatos vagy azokat érintő munkavégzés céljából érkező külső személy az NFM területén a szerződés létrejötte után kizárólag a szerződéskötést kezdeményező szervezeti egység vezetőjének tudtával és az általa kijelölt személy felügyelete mellett tartózkodhat,

⋅ a külső személy a munkafolyamat egyeztetése során minden olyan munkafolyamatról köteles beszámolni a szerződéskötést kezdeményező szervezeti egység vezetőjének, amely bármilyen módon érinti az informatikai rendszer biztonságát,

⋅ amennyiben az a munkavégzéshez feltétlenül szükséges, az NFM informatikai rendszereihez való hozzáféréshez ideiglenes és személyre szóló hozzáférési jogosultságot kell biztosítani, amelyről a szerződést kötő szervezeti egység vezetője gondoskodik, az NFM Személyügyi Főosztály útján bejelenti igényét a NISZ kapcsolattartó felé,

⋅ az NFM külső személlyel csak olyan szerződést köthet, amely a külső személy tekintetében biztosítja a vonatkozó titokvédelmi szabályok érvényesülését. A szerződéskötés során figyelembe kell venni az IBSz előírásait, a jogszabályi előírásokat (különös tekintettel a szellemi alkotásokhoz fűződő, illetve szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogokra);

– az informatikai biztonsági követelmények betartásának ellenőrzéséért, szükség esetén a felelősségre vonás (illetve jogkövetkezmények bevezetésének) kezdeményezéséért.

5.6. A felhasználókra vonatkozó – jogosultságtól és állományba tartozástól független – előírások

Minden felhasználó:

– felelős az általa használt, az IBSz hatálya alá eső eszközök rendeltetésszerű használatáért,

– a rá vonatkozó szabályok – elsősorban az NFM-mel fennálló munkavégzésre irányuló jogviszonyt szabályozó törvényi rendelkezésekben foglaltak – szerint felelős az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért,

– köteles az IBSz-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában az informatikai rendszer használatát irányító személyekkel együttműködni,

– köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni,

– köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni,

– köteles a belépési jelszavát (jelszavait) az előírt időben változtatni, biztonságosan kezelni,

– felügyelet nélkül a munkahelyen (munkaállomáson) személyes adatot vagy nem nyilvános adatot tartalmazó dokumentumot/adathordozót nem hagyhat, a számítógépét (a munkahelyi munkaállomást) a helyiség elhagyása esetén köteles lezárni úgy, hogy ahhoz csak jelszó vagy hardveres azonosító eszköz használatával lehessen hozzáférni,

– információbiztonságot érintő esemény gyanúja esetén az észlelt rendellenességekről köteles tájékoztatni a közvetlen felettesét és az informatikai biztonsági felügyelőt,

– a folyó munka során nem használt nem nyilvános anyagokat, adathordozókat el kell zárni,

– köteles a munkahelyről történő eltávozáskor az addig használt – kivéve ha ez a rendszer(ek) más által történő használatát vagy a karbantartást akadályozza – eszközt szabályszerűen leállítani,

– az általa használt eszközök biztonsági beállításait nem változtathatja meg,

– az e-mail és internet használat során tartózkodik a biztonság szempontjából kockázatos tevékenységtől.

Az NFM informatikai rendszerét használó minden felhasználónak – jogosultságtól és állományba tartozástól függetlenül – tilos:

– a saját használatra kapott számítógép rendszerszintű beállításainak módosítása (ide nem értve az irodai programok felhasználói beállításait),

– a munkaállomására telepített aktív vírusvédelem kikapcsolása,

– belépési jelszavát (jelszavait), hardveres azonosító eszközét más személy rendelkezésére bocsátania, hozzáférhetővé tennie,

– a számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása, illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra az informatikai rendszert üzemeltetők tudta nélkül,

– a számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása,

– bármilyen szoftver installálása, internetről való letöltése, külső adathordozóról merevlemezre való másolása az informatikai biztonsági felügyelő engedélye, illetve az üzemeltető közreműködése nélkül, a munkaállomásokon nem az NFM-ben rendszeresített vagy engedélyezett szoftverek (szórakoztató szoftverek, játékok, egyéb segédprogramok) installálása és futtatása,

– bármilyen eszköz számítástechnikai eszközökbe szerelése és annak használata,

– az általa használt hardveres azonosítóeszköz számítógépben való hagyása a munkaállomásáról való távozása esetén,

– ellenőrizetlen forrásból származó adatokat tartalmazó adathordozót az eszközökbe helyezni,

– más szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogát vagy jogos érdekét sértő dokumentumokat, tartalmakat (zenéket, filmeket stb.) az eszközökön tárolni, oda le-, illetve onnan a hálózatra feltölteni,

– láncleveleket továbbítani, kéretlen levelekre válaszolni, ismeretlen tartalmú kéretlen levelek mellékleteit vagy linkjeit megnyitni,

– kereskedelmi célú hirdetéseket/reklámokat belső címzettek felé továbbítani (ide nem értve az NFM által kért vagy partnerei által küldött, az NFM által támogatott tevékenységekről – pl. kedvezményes beszerzés, rekreáció, üdülés, munkavégzést segítő eszközök – szóló anyagokat),

– levelező listákra hivatali e-mail címmel feliratkozni, kivéve a munkavégzéshez szükséges

⋅ az NFM által megrendelt, működtetett vagy előfizetett szolgáltatások,

⋅ belső információs rendszerek,

⋅ közigazgatási, illetve nemzetközi vagy uniós szervek/szervezetek által biztosított szolgáltatások,

⋅ közigazgatási szervek által felügyelt szervek vagy szervezetek által biztosított szolgáltatások levelező listái,

⋅ más levelező listára történő feliratkozás az informatikai biztonsági felügyelő külön engedélyével történhet;

– online játékokat használni.

A felhasználókra érvényes kötelezettségeket összefoglalva az 1. függelék tartalmazza.

6. Információbiztonság működtetése

6.1. Felülvizsgálati rendszer

6.1.1. Megfelelés az IBSz-nek, fenyegetettségek

Az NFM információbiztonsági fenyegetettségének elemzését és a kockázatok meghatározását évente el kell végezni. Az IBSz-nek megfelelő működést igény szerint, de legalább évente teljes körűen ellenőrizni kell. A fenyegetettségek elemzését és a kockázatok meghatározását az informatikai biztonsági felügyelő hajtja végre szükség szerint független külső szakértő bevonásával.

6.1.2. Az IBSz felülvizsgálata, aktualizálása

Az IBSz-t felül kell vizsgálni és aktualizálni kell:

– szükség szerint rendszeres időközönként, de legalább évente,

– minden olyan szervezeti változás esetén, amely az IBSz-ben hivatkozott szervezeti egységek bármelyikének megszűnésével vagy jelentős átalakulásával, feladatváltozásával jár,

– súlyos informatikai biztonsági eseményeket (incidensek) követően, az esemény tanulságaira figyelemmel,

– a szabályozási környezet változása esetén, amennyiben azok az IBSz-ben foglaltakat érintik.

Amennyiben az IBSz módosítása szükséges – a szükséges módosítás jellegétől vagy terjedelmétől függetlenül – össze kell hívni az Információ Biztonsági Fórumot. Az Információ Biztonsági Fórum megvitatja a tervezett módosítást, és ha azzal egyetért, kezdeményezi a módosítást.

6.2. Helyesbítő-megelőző intézkedések rendszere, az informatikai biztonsági események jelentése

Minden, az IBSz hatálya alá tartozó személy kötelessége – amennyiben kellő gondossággal eljárva azt felismerhette – a lehetséges legrövidebb időn belül jelezni az informatikai biztonsági felügyelőnek minden olyan veszélyforrást, amely az információbiztonságra nézve érdemi fenyegetést jelent vagy jelenthet, ezen belül különösen a következőket:

a) az IBSz-ben, a vonatkozó jogszabályokban előírt információbiztonsági rendszabályok lényeges megszegése, illetve ennek gyanúja;

b) a felismert vagy felismerni vélt, az információbiztonságot lényegesen veszélyeztető esemény, ezen belül különösen:

– nem nyilvános adat illetéktelen személy általi megismerése,

– informatikai rendszerekben tárolt adatok illetéktelen személyek általi megváltoztatása, törlése vagy hozzáférhetetlenné tétele,

– informatikai rendszer működésének, használatának jogosulatlan akadályozása,

– nem engedélyezett vagy licence-szel nem rendelkező szoftver telepítése,

– fentiek bármelyikére tett kísérlet, például felhasználói jelszavak egymás közötti megosztása, hozzáférhetővé tétele, hardveres azonosító eszköz hozzáférhetővé tétele, vírusfertőzés (a továbbiakban együtt: biztonsági események),

– ismeretlen okú, a megszokottól eltérő működés.

6.3. Biztonsági események kivizsgálása

A biztonsági eseményeket soron kívül ki kell vizsgálni. A vizsgálatot az informatikai biztonsági felügyelő folytatja le, szükség szerinti mértékben bevonva a NISZ által a vizsgálat támogatására kijelölt képviselőit. A vizsgálat eredményét írásban kell dokumentálni, amely dokumentációból az érintettek másolatot kapnak.

6.4. Biztonsági események nyilvántartása

A biztonsági események kapcsán tett bejelentések, a lefolytatott vizsgálatok, valamint a végrehajtott intézkedések adatait külön nyilvántartás, a Biztonsági Nyilvántartás tartalmazza, amelyet az informatikai biztonsági felügyelő vezet.

A Biztonsági Nyilvántartás adatait fel kell használni:

– a bekövetkezett biztonsági esemény következményeinek enyhítésére,

– a jövőben várható hasonló biztonsági események megelőzésére, bekövetkezési gyakoriságának csökkentésére,

– a vizsgálat során feltártakhoz hasonló védelmi gyengeségek kezelésére, a védelmi intézkedések fejlesztésére.

6.5. A biztonsági szabályok megszegésének következményei

Az informatikai biztonsággal kapcsolatos szabályok megszegése esetén a szabályszegőkkel szemben a felelősség érvényesítésének alábbi lehetséges esetei között kell mérlegelni:

a) történt-e bűncselekmény,

b) felmerül-e kártérítési felelősség,

c) fegyelmi eljárás lefolytatására van-e szükség,

d) történt-e szerződésszegés.

Az információbiztonsággal kapcsolatos szabályok megszegése vagy annak gyanúja esetén az NFM közszolgálati tisztviselői esetében a munkáltatói jogokat gyakorló vezető, az NFM-mel szerződött külső felek esetében a szerződéskötést kezdeményező szervezeti egység vezetője, egyéb személy esetén az NFM érintett vezetője jogosult a megfelelő jogkövetkezmények érvényesítése érdekében eljárást indítani, illetőleg eljárás megindítását kezdeményezni.

6.6. Adatok mérése, kiértékelése, mérési pontok meghatározása

Az IT biztonság szempontjából kritikus pontokon mérési és ellenőrzési rendszert kell kiépíteni, továbbá a mérési eredmények tárolását ki kell alakítani és az évente elvégzendő felülvizsgálat elősegítése érdekében a vizsgálatban részt vevő személyek részére hozzáférhetővé kell tenni.

Az ellenőrzési rendszer technikai feltételeinek biztosításáig a jelen szabályzat személyi hatálya alá tartozók tekintetében az informatikai biztonsági felügyelő az alábbi táblázat szerinti kontrollpontokon végez eseti ellenőrzést, szükség esetén a NISZ bevonásával.

Mérendő terület	Mérendő mennyiség
IT-tevékenység	rendszerbe történő belépési jogosultságok ellenőrzése
	internet-hozzáférések elemzése
	észlelt behatolási kísérletek száma
illegális IT-tevékenység	nem az NFM állományába tartozó köztisztviselő által végzett tevékenység ellenőrzése
illegális IT-tevékenység	észlelt kártékony kódok száma
vírusvédelem	hatástalanított kártékony kódok száma
	nem internetről beérkezett vírustámadások száma, ezek módja, hatástalanított vírusok száma
	a tesztvisszatöltések eredményei
mentési rendszer	rendszerek kieséseinek száma, ezek oka, időtartama, javítási költsége
rendelkezésre állás	a rendszerekre vonatkozó teljesítményadatok jelentős változása, rendszerek kieséseinek száma, ezek oka, időtartama, javítási költsége
kapacitásinformációk	tárolási kapacitásokra vonatkozó információk
kapacitásinformációk	kapacitásbővítésre vonatkozó intézkedések
ellenőrzések eredményei	IT-biztonsági oktatásban részt vett személyek száma, a beszámoltatás eredményei, feltárt hiányosságok, és azok megszüntetésére vonatkozó intézkedések
oktatás helyzete	IT-biztonságot megsértő személyekre vonatkozó fegyelmi statisztikák, IT biztonsági oktatásban részt vett személyek száma, a beszámoltatás eredményei
IT-biztonsággal kapcsolatos fegyelemsértések	az IT-rendszer szintjére vonatkozó megállapítások, javaslatok, IT-biztonságot megsértő személyekre vonatkozó fegyelmi statisztikák
az IT-biztonsági rendszer összesített értékelése	az IT-rendszer szintjére vonatkozó megállapítások, javaslatok
javaslatok	javaslatok kidolgozása a hiányosságok megszüntetésére, a biztonsági szint emelésére

7. Személyi biztonság

7.1.⁸ Munkaerő-felvétel informatikai biztonsági vonatkozásai

Minden informatikai rendszert igénybe vevő felhasználóval belépésekor, illetve szerződéskötése során az NFM Személyügyi Főosztálya, valamint az NFM részéről a szerződéskötést kezdeményező szervezeti egység vezetője köteles az IBSz felhasználókra vonatkozó részeit és az informatikai rendszer kezelésével, az informatikai rendszer használatával kapcsolatos 1. függelék szerinti általános szabályokat megismertetni és azok elfogadásáról a 3. függelék szerinti nyilatkozatot aláíratni. A külső személyek IBSz-szel való megismertetése a szerződéskötést kezdeményező szervezeti egység vezetőjének feladata és felelőssége. Amennyiben egy új felhasználó olyan adatok elérésére, olvasására vagy kezelésére kap jogosultságot, amelyek titkos/bizalmas minősítéssel rendelkeznek, e tekintetben a vonatkozó belső szabályozás szerint kell eljárni.

7.2. Munkavégzésre irányuló jogviszony megszűnése

Amennyiben az a jogviszony, amely alapján valamely személy hozzáféréssel rendelkezett az NFM nem nyilvános besorolású adataihoz bármely okból megszűnik, akkor:

a)⁹ a szervezeti egység vezetőjének, a munkáltatói jogkört gyakorló vezetőnek, vagy az erre általa felhatalmazott Személyügyi Főosztály (mint NFM kapcsolattartó) vezetőjének legkésőbb a felhasználó jogviszonyának megszűnésével egyidejűleg kezdeményeznie kell a jogosultságok megvonását,

b) a munkáltatói jogkört gyakorló vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője legkésőbb a jogviszony megszűnéséig értesíti a NISZ-t, hogy az érintett személy által használt, a NISZ vagyonkezelésében lévő informatikai eszközök a NISZ raktárába kerüljenek,

c)¹⁰ az adatokhoz és rendszerekhez hozzáférést engedélyező szervezeti egység erre jogosult vezetője az NFM Személyügyi Főosztály útján a NISZ kapcsolattartó felé jelzi a jogosultság megszűnését,

d) mind az NFM, mind a NISZ, a saját maga által kezelt rendszerekkel kapcsolatban az SLA szerint végzi el az ezeken az adathordozókon tárolt nem nyilvános adatok megfelelő kezelését.

7.3. Hatáskörök elhatárolása

Az érintett vezetőknek biztosítaniuk kell, hogy a felhasználók csak a munkakörükhöz, illetve a beosztásukhoz, a szerződés szerinti tevékenységükhöz tartozó feladatokat láthassák el, és csak a munkakörük ellátásához szükséges jogosultsággal rendelkezzenek.

8. Az információvagyon felmérése és osztályozása

Annak érdekében, hogy az adatok, információk (információs vagyon) bizalmasságának megfelelően differenciált védelmi intézkedések kerüljenek kialakításra, az informatikai rendszerekben kezelt adatokat, információkat megfelelő információvédelmi kategóriák szerint kell csoportosítani (biztonsági osztályba sorolás). Az osztályozás alapját a bizalmasság, a sértetlenség, és a rendelkezésre állás sérüléséből vagy elvesztéséből keletkező, az NFM számára kimutatható lehetséges hátrány nagysága képezi. A biztonsági osztályba sorolást minden, az NFM valamely szervezeti egysége által tárolt vagy feldolgozott adatcsoport tekintetében el kell végezni. A besorolást az adatgazdák végzik, az ő feladatuk és felelősségük, hogy felmérjék a kezelt adatvagyon helytelen osztályozásából eredő károkat. Amennyiben a kezelt adatok köre bővül, az osztályozást az új adatcsoportokra is végre kell hajtani.

Az osztályba sorolás alapja a kárértékek meghatározása, melynek során a Közigazgatási Informatikai Bizottság 25. számú ajánlásában meghatározott szinteket kell figyelembe venni. E szerint a következő osztályok használhatók:

0. Elhanyagolható
jelentéktelen kár	– közvetlen anyagi kár: 0–10 000 Ft, – közvetett anyagi kár 1 embernappal állítható helyre, – nincs bizalomvesztés, a probléma a szervezeti egységen belül marad, – nyilvános adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.
1. Alap
csekély kár	– közvetlen anyagi kár: 10 001–100 000 Ft, – közvetett anyagi kár 1 emberhónappal állítható helyre, – társadalmi-politikai hatás: kínos helyzet a szervezeten belül, – személyes adatok bizalmassága vagy hitelessége sérül, – csekély jelentőségű hivatali információ, adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül
2. Fokozott
közepes kár	– közvetlen anyagi kár: 100 001–1 000 000 Ft, – közvetett anyagi kár 1 emberévvel állítható helyre, – társadalmi-politikai hatás: bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel, – személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül, – közepes jelentőségű hivatali információ vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok stb.) védett bizalmassága, sértetlensége, vagy rendelkezésre állása sérül
3. Kiemelt
nagy kár	– közvetlen anyagi kár: 1 000 001–10 000 000 Ft, – közvetett anyagi kár 1–10 emberévvel állítható helyre, – társadalmi-politikai hatás: bizalomvesztés a szervezet felső vezetésében, középvezetésen belül személyi konzekvenciák, – különleges személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül, – nagy jelentőségű hivatali információ bizalmassága, sértetlensége, vagy rendelkezésre állása sérül
4. Rendkívüli
kiemelkedően nagy kár	– közvetlen anyagi kár: 10 000 001–100 000 000 Ft, – közvetett anyagi kár 10–100 emberévvel állítható helyre, – társadalmi-politikai hatás: súlyos bizalomvesztés, a szervezet felső vezetésén belül személyi konzekvenciák, – nagy tömegű különleges személyes adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül, – kiemelt jelentőségű hivatali információ bizalmassága, sértetlensége, vagy rendelkezésre állása sérül
4+. Rendkívüli+
különösen nagy kár	– A „kiemelkedően nagy kár” értéket meghaladó vagy visszafordíthatatlanul súlyos kár, amely közvetlenül és tartósan sérti vagy veszélyezteti Magyarország szuverenitását, területi integritását, törvényes rendjét, belső stabilitását, az államháztartás működését, az ország honvédelmi, nemzetbiztonsági, bűnüldözési, igazságszolgáltatási, központi pénzügyi és gazdasági érdekeit, külügyi és nemzetközi kapcsolatait, a szövetséges tagállamokkal közös biztonsági érdekeit.

Amennyiben valamely adat több jellemzőnek is eleget tesz, akkor az előfordulható legmagasabb kár szerint kell osztályba sorolni. Amennyiben egy informatikai rendszeren belül több különböző védelmi osztályba tartozó adat tartozik, akkor a rendszer védelmét az előforduló legmagasabb védelmi osztály szerint kell kialakítani és fenntartani. Az ezzel kapcsolatos intézkedések megtétele – az érintett szervezeti egység vezetőjének bevonásával – az informatikai biztonsági felügyelő feladata.

8.1. Rendelkezésre állás (megbízható működés) szerinti osztályozás

Az egyes rendszerek, rendszerelemek, adatbázisok előírt rendelkezésre állását az SLA tartalmazza.

8.2. Az információvagyon nyilvántartása és kezelése

Az olyan informatikai rendszerek vagy adatbázisok esetén, amelyek több adatcsoportot együtt tárolnak vagy dolgoznak fel, a rendszerben előforduló legmagasabb biztonsági osztály követelményeit kell érvényesíteni. Az informatikai rendszerek különböző környezetei (pl. éles-, teszt-, oktatórendszer) más-más biztonsági osztályba sorolhatók.

8.3. Adatok nyilvántartása és kezelése

Az NFM adatnyilvántartásának az alábbiakra kell kiterjednie:

– az adat vagy adatcsoport (rendszer) megnevezése;

– az adatosztályozási szint bizalmasság, sértetlenség és rendelkezésre állás szerint;

– az adatgazda megnevezése;

– az adatokat kezelő eszközök megnevezése.

A nyilvántartás vezetéséért az informatikai biztonsági felügyelő, míg a nyilvántartáshoz szükséges információk szolgáltatásáért pedig az adatgazdák felelősek.

9. Információbiztonsági eljárások

9.1. Biztonsági szintektől függő intézkedések és eljárások

Az NFM épületeiben a berendezések logikai védelmét az SLA alapján a NISZ látja el.

9. 2. Hozzáférések kezelése és védelme

9.2.1.¹¹ A hozzáférés követelményrendszere

Az informatikai rendszerekhez hozzáféréssel rendelkező felhasználók konkrétan meghatározott szerepkörbe (munkakörbe) sorolandók, és a közvetlen vezetőjük, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kezdeményezésére az NFM Személyügyi Főosztály útján a NISZ kapcsolattartótól megkapják a vonatkozó (az adott szerepkörhöz vagy munkakörhöz beállított) hozzáférési jogosultságokat, illetve a hozzáférést biztosító hardveres azonosító eszközöket. A jogosultság változás során ugyanígy kell eljárni.

A jogosultságok kiosztása előtt, amennyiben az adott munkakör, tevékenység megköveteli a tipikus jogoktól – ide nem értve a munkavégzéshez szükséges adatbázisok elérését – történő eltérést, a szervezeti egység vezetőjének az informatikai biztonsági felügyelő egyetértését kell kérnie.

Egyes szervezeti egységekre vagy rendszerekre kiterjedő, rendkívüli (eseti jellegű) ellenőrzést az informatikai biztonsági felügyelő, az adott szervezeti egység vezetője, vagy az Információ Biztonsági Fórum kezdeményezhet.

9.2.2.¹² Hozzáférési jogosultságok nyilvántartása

A felhasználók azonosítása alatt az informatikai rendszerhez hozzáférő felhasználók személyazonosságának (identitásának) a rendszerben történő egyedi, egyértelmű és hiteles megjelenítését értjük. Az azonosítók képzésének módját, azok nyilvántartását, a jogosultságok kezelését az SLA alapján a NISZ végzi.

Általános irányelvek

– az egyedi felhasználói azonosítót a hozzáférések (jogosultságok) szabályozására, az adatvédelemre és a hitelesítés támogatására kell használni,

– a felhasználó azonosítónak meg kell felelnie az egyediség kritériumának. Kivételt képez a szervezeti egységhez kötött ún. csoport e-mailek használata, amelyekhez az adott szervezeti egység vezetőjének írásos felhatalmazásában megnevezett felhasználók férhetnek hozzá,

– az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör, feladat ellátásához szükséges minimális funkcióelérést biztosíthatják,

– a hozzáférési jogosultságok kezelését, a jogosultságigénylés folyamatát a jogosultságkezelési munkautasítás szabályozza (2. függelék),

– a felhasználók a hozzáférésüket megalapozó jogviszonyuk létrejöttét követően (a lehető legrövidebb időn belül) megkapják felhasználói azonosítójukat,

– a kiosztott felhasználói azonosítót haladéktalanul használatba kell venni. Ennek első lépéseként az induló (alapértelmezett) jelszót meg kell változtatni,

– amennyiben a felhasználó jogviszonya előreláthatólag három hónapot meghaladóan szünetel, vagy a felhasználó a munkavégzésben előreláthatóan ennyi ideig nem vesz részt, a hozzáférést megalapozó jogviszonyából eredő feladatát tartósan nem látja el, a felhasználói azonosítóját fel kell függeszteni (inaktiválni kell) a munkába állás, az adott tevékenység folytatása napjáig. Az inaktiválást a közvetlen vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól. A felhasználói azonosító újraaktiválási igényének felmerülésekor a hozzáférés helyreállítását szintén a közvetlen vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kérheti,

– a felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat a felhasználó közvetlen vezetője, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól,

– külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Külső személy azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetője az NFM Személyügyi Főosztály útján kezdeményezi a NISZ kapcsolattartónál,

– gyakornokok esetén a hozzáférési jogosultságok – hasonlóan a külső személyek számára létrehozott azonosítókhoz – csak bizonyos, a munkavégzésükhöz feltétlenül szükséges területekhez való hozzáférést tehetnek lehetővé. A hozzáférési jogosultság megadását a gyakornokot alkalmazó szervezeti egység vezetője vagy a gyakornok közvetlen vezetője – az NFM Személyügyi Főosztálya útján – igényelheti a NISZ kapcsolattartótól.

9.2.2.1.¹³ Felhasználói jogosultságok létrehozása, megszüntetése, megváltoztatása.

Új felhasználó hozzáférési rendszerbe való illesztését közszolgálati tisztviselő, gyakornok esetén a szervezeti egység vezetője, külső személy esetén a szerződéskötést kezdeményező szervezeti egység vezetője az epo.gov.hu portálon fellelhető jogosultságigénylő űrlap kitöltése és elküldése útján írásban (papíron vagy e-mailben) igényelheti – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól. A jogosultságigénylés folyamata megvalósulhat elektronikus alapon is, amennyiben a rendszer azt támogatja.

A jogosultság létrehozásának, menedzselésének irányelveit az SLA rögzíti.

A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a hozzáférés zárolására kerül sor.

Ennek biztosítására:

– a közszolgálati tisztviselői (gyakornoki) jogviszony azonnali hatályú megszüntetése esetén, vagy ha az érintett vezető úgy ítéli meg, valamint a külső személy hozzáférést megalapozó jogviszonya megszűnésekor a jogosultság azonnal visszavonásra kerül. Ezt az érintett vezetőnek kell soron kívül – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartó felé jelezni,

– ha a közszolgálati tisztviselői jogviszony megszüntetése nem azonnali hatályú, a jogosultság visszavonása a megjelölt (jogviszony megszűnésének napja) időpontban történik.

A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a munkáltatói jogkör gyakorlója, illetve a szerződéskötést kezdeményező szervezeti egység vezetője a felhasználó tájékoztatása mellett köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség). Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is az NFM-hez köti, pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony) a felhasználói jogosultságokat meg kell szüntetni és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend alapján.

9.2.2.2. Jelszómenedzsment.

Az NFM számítógépes hálózatába bejelentkezési névvel rendelkező felhasználó köteles a bejelentkező nevéhez tartozó jelszó megőrzésére. A saját bejelentkező névhez tartozó jelszót kiadni, mások által is elérhető módon feljegyezni nem szabad.

A bejelentkező névhez tartozó jelszó kialakításának és cseréjének szabályait az SLA szabályozza és a NISZ a megfelelő rendszereszközök alkalmazásával valósítja meg.

9.2.2.3. A munkaállomások hozzáférésére vonatkozó minimális előírások.

– a számítógépes munkaállomások képernyőit (monitor) úgy kell elhelyezni, hogy az azon megjelenő információkat illetéktelen személy ne láthassa,

– a munkaállomás beállításait adminisztrátori jelszóval kell védeni módosítás ellen,

– a képernyőt automatikus védelemmel kell ellátni (munkaállomás zárolás),

– szenzitív adatbázisokat és programokat hardveres azonosítást biztosító eszközzel kell védeni.

10. Adat- és rendszermentések

10.1. Archiválás

10.1.1.¹⁴ Az archiválási igények éves felmérése.

Az infokommunikációért és fogyasztóvédelemért felelős államtitkár kétévente egyszer az adatgazdák bevonásával felméri az adatok archiválására vonatkozó igényeket és lehetőségeket. Az igényfelmérés kapcsán minimálisan az alábbi alapadatok megjelölése szükséges:

a) az archiválandó adatrész pontos meghatározása:

– adatbázis és/vagy;

– táblatér és/vagy;

– könyvtár/fájl név;

– szűrőparaméterek (valamely időnél régebbi adatok, nem módosított adatok stb.),

b) az archiválás végrehajtásának pontos időpontja,

c) az archivált adatok jogosultsági beállításai,

d) rendelkezésre állási idő meghatározása (az az időszak, amelyben az adatokat az éles rendszerből való kikerülése után még el kell érni),

e) indokolás: az archiválási igény indoklása, ami lehet:

– jogszabályi, közjogi szervezetszabályozó eszköz általi előírás,

– belső előírás,

– szervezeti működéshez szükséges,

– egyéb,

f) titkosítási igény (az archivált adatok titkosításának igénye).

10.1.2.¹⁵ Adatarchiválás indításának igénylése.

Az előzetesen felmért igények feldolgozását követően az archiválás elindítását az infokommunikációért és fogyasztóvédelemért felelős államtitkár kezdeményezi a NISZ-nél. Az archiválási igény indításakor minimálisan az igényfelméréskor megjelölt információk megadása szükséges.

Eseti jellegű archiválásra akkor kerül sor, ha az adatokban, adatbázisokban várhatóan jelentős változás/változtatás történik. Az igényt az informatikai biztonsági felügyelő indítja az előzetesen felmért igény indításánál leírt adattartalmak megadásával.

Rendkívüli archiválási igény lép fel akkor, ha az üzemeltetési körülmények olyan mértékben változnak, hogy ez az archiválást szükségessé teszi.

Az NFM szervezeti egységek által megfogalmazott rendkívüli archiválási igények esetében az igénylőlapot az előzetesen felmért igény indításánál leírt adattartalmak, illetve az igény indításánál leírt adatok összességével kell beadni.

A rendkívüli archiválást az informatikai biztonsági felügyelő vagy a NISZ a következő tényezők alapján kezdeményezheti:

a) olyan mértékű teljesítményhiány, amely az NFM működését hátráltatja,

b) olyan mértékű kapacitáshiány, amely az NFM működését hátráltatja,

c) jelentős változás az IT-rendszerben.

A NISZ javaslatot tesz az infokommunikációért és fogyasztóvédelemért felelős államtitkár felé a véleménye szerint archiválható adatokról, amelyet az adatgazdálkodásért felelősök felülvizsgálnak, és jóváhagyják a véleményük szerint archiválható adatokra irányuló eljárást.

10.1.3.¹⁶ Archiválás végrehajtása

Az archiválást az SLA alapján a NISZ végzi. Ennek során a NISZ:

– ellenőrzi a visszatölthetőséget, és erről tájékoztatja az informatikai biztonsági felügyelőt,

– az archiválási dokumentumokat a NISZ az infokommunikációért és fogyasztóvédelemért felelős államtitkár részére megküldi,

– biztosítja az archivált adatokhoz való hozzáférést, amit indokolt esetben a felhasználók az adatgazdálkodásért felelőstől kérhetik. A kérelem jóváhagyását követően az adatgazdálkodásért felelős a hozzáférési igényt benyújtja a NISZ-hez. Az igények teljesítése az SLA alapján történik,

– az archivált adatok leselejtezéséről az informatikai biztonsági felügyelő rendelkezik, az érintett NFM szervezeti egységek véleményének kikérésével, a leselejtezett archivált anyagok megsemmisítéséről a NISZ gondoskodik,

– a mentett adatok teszt-visszatöltését az informatikai biztonsági felügyelő kezdeményezi a NISZ illetékes vezetőjénél.

10.2.¹⁷ Informatikai vészhelyzet-kezelési terv

Az informatikai vészhelyzet-kezelési tervet az SLA alapján az NFM bevonásával a NISZ készíti el.

A vészhelyzet-kezelési tervben foglaltak felülvizsgálatát – egyeztetve a NISZ-szel – az informatikai biztonsági felügyelőnek évente legalább egyszer el kell végeznie és az infokommunikációért és fogyasztóvédelemért felelős államtitkár által jóváhagyott változtatási javaslatokat meg kell tennie.

10.3. Biztonsági szintektől független intézkedések és eljárások

Vírusvédelem.

A vírusvédelem célja az NFM informatikai rendszerének rosszindulatú/kártékony programok elleni védelmének biztosítása. A védelem kialakítását a NISZ végzi, az SLA alapján.

10.4. Elektronikus levelezés biztonsága

Az elektronikus levelezés biztonságának, működőképességének, stabilitásának és rendelkezésre állásának biztosítása az SLA alapján a NISZ feladata. Az információbiztonsági megbízott munkája során ellenőrizheti a NISZ biztonsággal kapcsolatos tevékenységét, így az elektronikus levelezés biztonságához szükséges tevékenységek és kapcsolódó dokumentációk meglétét is.

Ellenőrzése során vizsgálnia kell, hogy megvalósulnak-e az alábbiak:

– megfelelő felhasználó azonosítás,

– a felhasználók rendelkezésére álló postafiók méretének korlátozása,

– távoli elérés esetén titkosítás alkalmazása,

– kártékony mellékletek blokkolása,

– távoli elérés esetén az egyes csatornák felhasználónkénti korlátozása.

10.5. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban

– a munkavégzéssel kapcsolatosan már nem használandó leveleket rendszeresen archiválni kell a felhasználó postafiókjából (személyes mappába történő áthelyezés),

– levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik. Nem szabad megnyitni például a nyereményekre és ismeretlen, megrendelt küldeményekre utaló leveleket, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget az Ügyfélszolgálattól, vagy a közvetlen technikai támogatótól kérhet,

– különös figyelemmel kell eljárni az előbbi pont szerinti levelek mellékletével (képek, videók, programok), ezeket megnyitni tilos; ugyancsak tilos az ilyen levelekben ajánlott, csatolt internetes oldalak látogatása,

– a felhasználóknak tilos láncleveleket készíteniük és továbbítaniuk,

– a felhasználóknak tilos kereskedelmi célú hirdetések/reklámok továbbítása belső címzettek felé,

– tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó vagy „levélszemét” jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez az Ügyfélszolgálat, vagy a közvetlen technikai támogató nyújt segítséget,

– a tárterületek védelmének érdekében az NFM informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl csak egy példányban legyen tárolva a rendszerben,

– a felhasználónak tilos az NFM nevében olyan e-mailt küldenie, csatolt fájlt megjelentetnie elektronikus hirdetőtáblákon vagy egyéb nem hivatalos fórumokon, amely:

a) az NFM, vagy a magyar közigazgatás hírnevét vagy az ügyfelekkel való kapcsolatát ronthatja, illetve az NFM ügyfeleinek, társszerveinek érdekét sértheti;

b) jogszabályt vagy az NFM belső szabályozását sérti;

c) az NFM bizalmas álláspontját képviseli, fejezi ki;

d) szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jogokat sérthet;

e) vírusokkal fertőzhet meg bármely hálózatot;

f) felhatalmazás nélkül bennfentességre hivatkozik.

Az elektronikus levelezésre vonatkozó szabályokat összefoglalva az 1. függelék tartalmazza.

10.6. E-mail disztribúciós (csoportos) címek létrehozása és karbantartása

10.6.1. Igénylés.

Disztribúciós cím létrehozását papír alapú vagy elektronikus levélben lehet igényelni az igénylő munkatárs szervezeti egysége vezetőjének jóváhagyásával a NISZ kapcsolattartótól.

Az igénylésben meg kell jelölni legalább egy felelős munkatársat (a továbbiakban: felelős), aki a létrehozás után a disztribúciós cím karbantartásához szükséges információkat igény esetén biztosítja az üzemeltetés részére, illetve kezdeményezi a disztribúciós cím alá történő felhasználói e-mail cím beállítását.

10.6.2. Disztribúciós cím karbantartása.

A disztribúciós címeket a felelősök félévente felülvizsgálják, és szükség esetén gondoskodnak azok módosításáról vagy megszüntetéséről. A disztribúciós címek módosításáról vagy megszüntetéséről a felelősök e-mail útján tájékoztatják a tagokat.

Az informatikai biztonsági felügyelő évente felülvizsgálja a disztribúciós e-mail címek fenntartásának indokoltságát.

10.7. Internet-szolgáltatás szabályozása

Az internet felhasználása csak az NFM ügymenete érdekének megfelelően kialakított és betartott szabályok alapján történhet.

Az internet-szolgáltatás minőségének szinten tartása és az NFM érdekeinek biztosítása céljából a NISZ – az informatikai biztonsági felügyelő javaslatára, vagy engedélyével – korlátozásokkal élhet.

A korlátozások a következők lehetnek:

– bizonyos fájl-típusok letöltésének korlátozása,

– az alapvető etikai normákat sértő oldalak látogatásának tiltása,

– a látogatható weboldalak körének behatárolása és a maximális fájl-letöltési méret korlátozása.

A szervezeti egység vezetője – amennyiben ezt indokoltnak tartja – a szervezeti egység munkatársainak, egyes felhasználó(k) internet-hozzáférésének letiltását kezdeményezheti írásban az informatikai biztonsági felügyelőtől. A felhasználók csak az informatikai biztonsági felügyelő által ismert és a NISZ által biztosított internetkijáratokon keresztül csatlakozhatnak az internethez. Bármely egyéb módon történő internetelérés létesítése az azt kialakító felhasználó felelősségre vonását eredményezi.

Felhasználók internethasználatára vonatkozó általános szabályok:

– csak a munkavégzéshez, szakmai tájékozottság bővítéséhez szükséges, vagy általános tájékozottságot biztosító információt, segítséget nyújtó oldalak látogathatók,

– tilos a jó ízlést, közerkölcsöt sértő, rasszista, uszító, és más, a véleménynyilvánítás kereteit meghaladó oldalak szándékos látogatása, online játékok, fogadási oldalak felkeresése, bármely tartalommal kapcsolatos magánvélemény nyilvánítása (privát blogolás),

– a felhasználók nem tölthetnek fel egyénileg az NFM-mel kapcsolatos adatot az internetre,

– az internetről csak a munkavégzéshez szükséges adatállományok, táblázatok, tölthetők le, alkalmazások, programok nem,

– a látogatott oldal nem szokványos működése (pl. folyamatos újratöltődés, kilépés megtagadása, ismeretlen oldalak látogatására történő kényszerítés, ismeretlen program futásának észlelése stb.) esetén a közvetlen technikai támogató segítségét kell kérni.

Az internet használatra vonatkozó szabályokat összefoglalva az 1. függelék tartalmazza.

10.8. Szoftvereszközök használatának szabályozása

Az informatikai biztonság teljes körű megvalósításához hozzájárul a jogtiszta szoftverek és a szoftvereszközök jogszerű használata, valamint a szoftverek biztonságos kezelése.

Az NFM által használt szoftvereket az informatikai biztonsági felügyelő ellenőrizheti.

A rendszeres szoftvervizsgálat során ellenőrizni kell:

– a használatban lévő szoftverek rendelkeznek-e licence-szel (ide nem értve az engedélyezett freeware szoftvereket),

– a megvásárolt licencek száma arányos-e a használt szoftverek mennyiségével,

– a használt szoftverek verziószámát,

– a ténylegesen használt szoftverek megegyeznek-e az engedélyezett szoftverek listájával.

A szoftvereszközök telepítésére és használatára vonatkozó általános szabályok:

– az NFM munkaállomásaira csak eredményesen tesztelt szoftverek telepíthetők. A telepítéshez a NISZ közreműködése szükséges,

– tilos a munkaállomásokra licence-szel nem rendelkező, vagy a kereskedelmi forgalomban beszerezhető nem engedélyezett, vagy nem az NFM által fejlesztett szoftvert telepíteni,

– az NFM által vásárolt és kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik fél részére tilos, kivéve, ha a licencszerződés ezt külön szabályozza és lehetővé teszi,

– a felhasználók csak a NISZ által telepített szoftvereket használhatják (ide értve az engedélyezett freeware szoftvereket is),

– a felhasználók rendelkezésére bocsátott hardver és szoftver eszközök ellenőrzését az informatikai biztonsági felügyelő bejelentés nélkül bármikor kezdeményezheti.

10.9. Tűzfalakkal kapcsolatos szabályozások, betörésvédelem, betörés detektálás

A tűzfalakkal kapcsolatos szabályozások és biztonsági beállítások megtétele a NISZ feladata, melyet az SLA alapján lát el, és amelyet az informatikai biztonsági felügyelő ellenőrizhet.

10.10. Távoli hozzáférés szabályozása

Az NFM informatikai rendszerének távoli elérése csak egyedileg azonosított felhasználók számára lehetséges.

A távoli hozzáférés kialakítása az alábbiak szerint történhet:

1. WebMail-szolgáltatás – OWA elérésen keresztül,

2. VPN-kapcsolat – az interneten keresztül felépített VPN-kapcsolatnál az IP-alapú kommunikáció titkosított adatcsatorna kialakításán keresztül zajlik,

3. Extranet-kapcsolat.

Ezen megoldások kialakítását és fenntartását a NISZ végzi.

10.11. Mobil IT tevékenység, hordozható informatikai eszközök

A mobil eszközök használatával kapcsolatban a következő biztonsági eljárásokat kell alkalmazni:

– a mobil eszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni;

– valamennyi hordozható személyi számítógépet rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni. Rendszeres időközönként (lehetőleg hetente 1 alkalommal) a munkahelyi hálózathoz kell csatlakoztatni az eszközt az operációs rendszer biztonsági és vírusvédelmi frissítéseinek végrehajtása érdekében. A mobil eszközt szállító felhasználók:

⋅ kötelesek azt a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni,

⋅ nem hagyhatják gépjárműben,

⋅ repülés vagy vonatút alatt kézipoggyászként kötelesek szállítani.

Azokban az esetekben, amikor az eszközök nem az NFM épületeiben (szálloda, lakás) találhatók, fokozott figyelmet kell fordítani a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása vagy ellopása elleni védelemre.

Tilos a mobil eszközök:

– engedély nélküli átruházása vagy adatainak közlése,

– megfelelő védelem nélkül idegen hálózathoz csatlakoztatása,

– bármilyen indokolatlan veszélynek történő kitétele vagy nem rendeltetésszerű használata.

Az NFM adataiból csak azon adatokat szabad mobil eszközön tárolni:

– amely adatokról központi biztonsági mentés készül,

– amelyekkel kapcsolatban biztosítani lehet a jogszabályban vagy belső szabályban előírt adatbiztonságot és adatvédelmet.

A hordozható informatikai eszközökre – ideértve a hardveres azonosító eszközt (e-Token) is – vonatkozó felhasználói szabályokat összefoglalva az 1. függelék tartalmazza.

10.12. Papír alapú dokumentumokat előállító hálózati eszközök kezelése

A dokumentumok előállítására alkalmas eszközök (nyomtató, plotter, fax) használatára az egyéb informatikai eszközökre vonatkozó szabályozások érvényesek. A felhasználók számára tiltott tevékenységek az NFM adatait nyomtatott formában megjelenítő eszközök esetén is irányadóak.

11. Informatikai rendszerek fejlesztésének információbiztonsági kérdései

11.1. Az informatikai rendszerek fejlesztése és karbantartása

Az informatikai rendszerek fejlesztésének első lépéseként a szakmai oldal elvárásai alapján el kell készíteni a rendszerspecifikációs dokumentumot, amelynek elkészítése során a jogszabályi és az informatikai biztonsági elvárásoknak történő megfelelést is figyelembe kell venni.

Az informatikai biztonság megőrzése érdekében ki kell dolgozni a rendszerspecifikációra vonatkozó biztonsági követelményrendszert. A követelményrendszer kidolgozásának végrehajtása az informatikai biztonsági felügyelő, illetve a kapcsolódó fejlesztési projekt vezetőjének feladata. A követelményrendszert az alaprendszerbe való illesztéséből adódóan – a rendszerspecifikációs dokumentum kialakítása során – egyeztetni szükséges a NISZ-szel.

A követelményrendszer elkészítése során figyelembe kell venni:

– a fejlesztendő rendszer bemenő adatait, annak adatvédelmi és adatbiztonsági besorolási szintjeit,

– a rendszer elvárt rendelkezésre állási idejét,

– a rendszer azon elemeit, ahol hozzáférési jogosultságok kialakítása szükséges,

– a rendszer gyenge, betörésre alkalmat adó pontjait,

– a mentési rendbe való illesztését,

– a teszt és éles rendszer elkülönítését.

11.2. Alkalmazásfejlesztés

Az alkalmazásfejlesztés teljes időintervalluma alatt kiemelt szerepet kell kapnia az információbiztonságot erősítő intézkedéseknek. Mind a szakmai, mind az informatikai követelmények összeállítása során, mind dokumentálás, a teszt és az éles időszak alatt törekedni kell erre. Azon alkalmazások esetében, amelyeket a NISZ üzemeltet, a fejlesztés tervezése során egyeztetni szükséges a NISZ-szel.

11.3. Vásárolt és fejlesztett programokra vonatkozó előírások

A vásárolt és fejlesztett programok esetében figyelembe kell venni a szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jogra vonatkozó hatályos szabályozást. A tulajdonjogot a licencszerződések szabályozzák.

Biztonsági előírások a vásárolt és fejlesztett programokkal kapcsolatban:

– az NFM által vásárolt vagy számára kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik személy részére – ha a licencszerződés ezt nem teszi lehetővé – szigorúan tilos,

– a felhasználók/programozók – az informatikai biztonsági felügyelő jóváhagyása nélkül – nem készíthetnek olyan alkalmazásokat, programokat, amelyek az NFM adatbázisait igénybe veszik, ahhoz kapcsolódnak,

– az NFM adatbázisából csak úgy hozható létre önálló adatbázis, ha azt az adatgazda írásban jóváhagyta.

11.4. Ellenőrzések, rendszeres felülvizsgálatok

Az információbiztonságot folyamatosan kontrollálni kell. A kontroll eljárások kialakításánál elsődlegesen azt kell figyelembe venni, hogy azok által az információbiztonság szintje mérhető legyen.

Ennek érdekében meg kell határozni az ellenőrzések területeit, és minden területhez külön-külön meg kell fogalmazni az ellenőrzési célkitűzéseket. Az ellenőrzési célkitűzések ismeretében meg kell jelölni az ellenőrzés eszközeit (dokumentumok, naplók, szoftverek, adatok, amelyek a biztonsági rendszerről hiteles képet tudnak adni), azok tartalmi követelményeit.

Az ellenőrzés eredményét minden esetben ki kell értékelni, és a megfelelő következtetéseket le kell vonni, illetve vissza kell csatolni a biztonsági folyamatra. Szükség esetén felelősségre vonási eljárást kell kezdeményezni.

Az ellenőrzéseket dokumentumok, dokumentációk, személyes beszámoltatás és helyszíni szemlék alapján lehet végrehajtani.

Az informatikai biztonsággal kapcsolatos ellenőrzések területei az alábbiak lehetnek:

– megfelelőségi vizsgálat – célja felderíteni, hogy az NFM rendelkezik-e az elégséges személyi, eljárási, tárgyi feltételekkel, és azok megfelelően dokumentáltak-e,

– az információbiztonság szintjére vonatkozó vizsgálat – célja felderíteni, hogy az információbiztonság szintje megfelel-e a meghatározott védelmi szintnek,

– az információbiztonsági szabályok betartásának ellenőrzése – célja felderíteni, hogy az NFM információbiztonsági szabályait a felhasználók ismerik-e, illetve betartják-e, ez az ellenőrzés az informatikai biztonság egy-egy területére is leszűkíthető,

– a biztonsági dokumentumrendszer felülvizsgálata – célja az NFM belső szabályrendszerét képező hatályos eljárások felülvizsgálata, hogy azok megfelelnek-e az elvárt jogi, informatikai, szakmai elvárásoknak és az általuk szabályozott területen megfelelő szabályok betartására alkalmazhatóak.

Az ellenőrzések során elsősorban az alábbiakat kell vizsgálni:

– az IT biztonsági rendszer működése megfelel-e a biztonsági követelményeknek, az IT-rendszer előírt dokumentumai léteznek-e, illetve naprakészek-e,

– az IT biztonsági rendszer felépítése, tartalma megfelel-e a vonatkozó szabványnak,

– az IT biztonsági szabályok érvényesülnek-e a folyamatokban,

– az IT-személyzet, illetve a felhasználók rendelkeznek-e a megfelelő IT-biztonsági ismeretekkel,

– az adatokra és a rendszerekre vonatkozó kezelési szabályok betartását,

– a naplózási rendszer megfelelő alkalmazását,

– a biztonsági események kezelésének, a szükséges mértékű felelősségre vonás gyakorlatát,

– a mentési rendszer megfelelő alkalmazását,

– a hozzáférési jogosultságok naprakészségét, a kiadott jogosultságok szükségességét,

– a dokumentációk pontosságát, naprakészségét, a változások követését, megfelelő kezelését, nyilvántartását,

– az alkalmazott szoftverek jogtisztaságát,

– a szerződések megfelelőségét,

– a fizikai biztonsági előírások betartását.

11.5. Biztonsági rendszerek felülvizsgálata

Az információbiztonsági rendszert, illetve annak egyes elemeit rendszeresen felül kell vizsgálni, a következő ütemezés szerint:

Felülvizsgálat tárgya	Felülvizsgálat ciklikussága
Megfelelőségi vizsgálat	2 év
Az információbiztonság szintjére vonatkozó vizsgálat	1 év
Az információbiztonsági szabályok betartásának ellenőrzése	2 év
A biztonsági dokumentumrendszer felülvizsgálata	1 év

1. függelék

A felhasználói tevékenységek összefoglalása

Jelen munkautasítás célja az NFM informatikai rendszereinek felhasználóira vonatkozó, az IBSz-ben rögzített általános szabályok összefoglalása és részletezése.

I. A felhasználókra vonatkozó általános biztonsági elvárások

A felhasználó

1. Felelős az NFM informatikai infrastruktúrájának rendeltetésszerű használatáért.

2. Felel a rá vonatkozó szabályok – elsősorban az NFM-mel fennálló munkavégzésre irányuló jogviszonyt szabályozó törvényi rendelkezésekben foglaltak – szerint az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.

3. Köteles az IBSz-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában mind az informatikai biztonsági felügyelővel, mind a NISZ-szel együttműködni.

4. Köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni.

5. Köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni.

6. Köteles a belépési jelszavát (jelszavait) az előírt időben változtatni, biztonságos módon kezelni.

7. A számítógépes munkaállomások képernyőit (monitor) úgy helyezze el, hogy az azon megjelenő információkat illetéktelen személy ne láthassa.

8. Zárja el a folyó munka során nem használt nem nyilvános anyagokat, adathordozókat.

9. Felügyelet nélkül a munkahelyen (munkaállomáson) személyes adatot vagy üzleti titkot tartalmazó dokumentumot vagy adathordozót nem hagyhat, a számítógépét (a munkahelyi munkaállomást) a helyiség elhagyása esetén le kell zárni úgy, hogy ahhoz csak jelszó vagy hardveres azonosító eszköz használatával lehessen hozzáférni.

10. Köteles a munkahelyről történő eltávozáskor az addig használt – kivéve, ha ez a rendszer(ek) más által történő használatát vagy a karbantartást akadályozza – eszközt szabályszerűen leállítani.

11. Tilos a hardveres azonosítást biztosító eszközt más számára elérhető helyen hagyni.

12. Tilos a munkaállomásokon nem az NFM-ben nyilvántartott szoftverek (szórakoztató szoftverek, játékok, egyéb segédprogramok) installálása és futtatása.

13. Biztonsági esemény gyanúja (észlelése) esetén köteles az észlelt rendellenességekről tájékoztatni a közvetlen vezetőjét (a szerződéskötést kezdeményező szervezeti egység vezetőjét) és az informatikai biztonsági felügyelőt. Ilyen esemény különösen:

a) nem nyilvános adat illetéktelen személy általi megismerése,

b) informatikai rendszerekben tárolt adatok illetéktelen személyek általi megváltoztatása, törlése vagy hozzáférhetetlenné tétele,

c) informatikai rendszer működésének, használatának jogosulatlan akadályozása,

d) nem engedélyezett, vagy licence-szel nem rendelkező szoftver telepítése,

e) fentiek bármelyikére tett kísérlet, például felhasználói jelszavak egymás közötti megosztása, hozzáférhetővé tétele, hardveres azonosító eszköz hozzáférhetővé tétele, vírusfertőzés (a továbbiakban együtt: biztonsági események),

f) ismeretlen okú, a megszokottól eltérő működés.

14. A saját használatra kapott számítógép rendszerszintű beállításait nem módosíthatja (ide nem értve az irodai programok felhasználói beállításait).

15. Nem kapcsolhatja ki a munkaállomására telepített aktív vírusvédelmet.

16. Belépési jelszavát (jelszavait), hardveres azonosító eszközét más személy rendelkezésére nem bocsáthatja.

17. Nem bonthatja meg a számítógép-hálózatot fizikailag, a számítástechnikai eszközöket nem csatlakoztathatja le, illetve tilos bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra az informatikai rendszert üzemeltetők tudta nélkül.

18. Nem bonthatja meg, vagy alakíthatja át a számítástechnikai eszközökből összeállított konfigurációkat.

19. Semmilyen szoftvert nem installálhat, nem tölthet le az internetről, vagy másolhat eszközére külső adathordozóról az informatikai biztonsági felügyelő engedélye, illetve az Ügyfélszolgálat közreműködése nélkül.

20. Tartózkodni köteles bármilyen eszköz számítástechnikai eszközökbe szerelésétől és annak használatától.

21. Nem hagyhatja az általa használt hardveres azonosító eszközt számítógépében a munkaállomástól való távozása esetén.

22. Nem helyezhet ellenőrizetlen forrásból származó adatokat tartalmazó adathordozót az eszközökbe.

23. Nem tárolhat szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jogot sértő dokumentumokat, tartalmakat (zenéket, filmeket stb.) az eszközökön, oda le- vagy onnan a hálózatra nem tölthet fel ilyet.

24. Nem továbbíthat láncleveleket, kéretlen levelekre nem válaszolhat, ismeretlen tartalmú kéretlen levelek mellékleteit vagy linkjeit nem nyithatja meg.

25. Kereskedelmi célú hirdetéseket vagy reklámokat belső vagy külső címzettek felé nem továbbíthat (ide nem értve az NFM által kért, vagy partnerei által küldött, a Minisztérium által támogatott tevékenységekről – pl. kedvezményes beszerzés, rekreáció, üdülés, munkavégzést segítő eszközök – szóló anyagokat).

26. A kiosztott felhasználói azonosítót haladéktalanul használatba kell vennie, és első lépésként az induló (alapértelmezett) jelszót meg kell változtatni.

27. Levelező listákra hivatali e-mail címmel nem iratkozhat fel, kivéve a munkavégzéshez szükséges

a) az NFM által megrendelt, működtetett vagy előfizetett szolgáltatások,

b) belső információs rendszerek,

c) közigazgatási, illetve nemzetközi vagy uniós szervek/szervezetek által biztosított szolgáltatások,

d) közigazgatási szervek által felügyelt szervek vagy szervezetek által biztosított szolgáltatások

levelező listái.

28. Más levelező listára történő feliratkozás az informatikai biztonsági felügyelő külön engedélyével történhet.

29. Az NFM által vásárolt vagy számára kifejlesztett szoftverekről (és a hozzájuk tartozó dokumentumokról) másolat nem készíthető, az harmadik személy részére át nem adható.

30. Az informatikai biztonsági felügyelő jóváhagyása nélkül nem készíthető olyan egyedi alkalmazás, amely az NFM adatbázisait igénybe veszi, ahhoz kapcsolódik.

31. Az NFM adatbázisából csak úgy hozható létre elkülönített egyedi önálló adatbázis, ha azt az adatgazda írásban jóváhagyta.

32. Online játékokat nem használhat.

II. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban

1. A munkavégzéssel kapcsolatosan már nem használandó leveleket rendszeresen archiválni kell a felhasználó postafiókjából (személyes mappába történő áthelyezés).

2. Levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik.

3. Nem szabad megnyitni például a nyereményekre és ismeretlen, állítólagosan megrendelt küldeményekre utaló leveleket, ismeretlen feladótól érkező ajánlatokat, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget az Ügyfélszolgálattól (közvetlen technikai támogató) kérhet.

4. Különös figyelemmel kell eljárni az előbbi pont szerinti levelek mellékletével (képek, videók, programok), ezeket megnyitni tilos. Ugyancsak tilos az ilyen levelekben ajánlott, csatolt internetes oldalak látogatása.

5. A felhasználóknak tilos láncleveleket készíteniük és továbbítaniuk. Tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó vagy „levélszemét” jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez az Ügyfélszolgálat vagy a közvetlen technikai támogató nyújt segítséget.

6. A tárterületek védelmének érdekében az NFM informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl címzett számára hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl csak egy példányban legyen tárolva a rendszerben.

7. A felhasználónak tilos az NFM nevében olyan e-mailt küldenie, csatolt fájlt megjelentetnie elektronikus hirdetőtáblákon vagy egyéb nem hivatalos fórumokon, amely:

a) az NFM, vagy a magyar közigazgatás hírnevét vagy az ügyfelekkel való kapcsolatát ronthatja, illetve az NFM ügyfeleinek, társszerveinek érdekét sértheti,

b) jogszabályt vagy az NFM belső szabályozását sérti,

c) az NFM bizalmas álláspontját képviseli, fejezi ki,

d) szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jogokat sérthet,

e) vírusokkal fertőzhet meg bármely hálózatot,

f) felhatalmazás nélkül bennfentességre hivatkozik.

III. Felhasználók internet használatára vonatkozó általános szabályok

1. Csak az informatikai biztonsági felügyelő által ismert és a NISZ által biztosított internetkijáratokon keresztül csatlakozhatnak az internethez.

2. Csak a munkavégzéshez, szakmai tájékozottság bővítéséhez szükséges, vagy általános tájékozottságot biztosító információt, segítséget nyújtó oldalak látogathatók.

3. Tilos a jóízlést, közerkölcsöt sértő, rasszista, uszító és más, a véleménynyilvánítás kereteit meghaladó oldalak szándékos látogatása, online játékok, fogadási oldalak felkeresése, bármely tartalommal kapcsolatos magánvélemény nyilvánítása (privát blogolás).

4. A felhasználók nem tölthetnek fel saját elhatározásból az NFM-mel kapcsolatos adatot az internetre.

5. Az internetről csak a munkavégzéshez szükséges adatállományok, táblázatok tölthetők le, alkalmazások, programok nem.

6. A látogatott oldal nem szokványos működése (pl. folyamatos újratöltődés, kilépés megtagadása, ismeretlen oldalak látogatására történő kényszerítés, ismeretlen program futásának észlelése stb.) esetén a közvetlen technikai támogató segítségét kell kérni.

IV. A felhasználók feladatai és kötelezettségei e-Token biztonsági (hardveres azonosító) eszköz használata esetén

1. Az eszköz átvételét követően a NISZ-től kapott jelszót meg kell változtatni.

2. Az e-Token eszközhöz tartozó tanúsítvány 1 évig érvényes. A tanúsítványt évenként meg kell újítani.

3. A felhasználónévhez tartozó jelszót a felhasználói fiók megszüntetéséig az e-Token eszközzel rendelkező felhasználóknak nem kell megváltoztatni.

4. Az eszköz meghibásodása, illetve az eszköz elvesztése esetén a felhasználó köteles értesíteni a NISZ-t.

V. A felhasználók feladatai és kötelezettségei a mobil eszközök használatával kapcsolatban

1. Valamennyi mobil eszközt rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni.

2. A mobil eszközt és az ahhoz kapcsolódó számítástechnikai berendezéseket szállító felhasználók:

a) kötelesek azt a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni,

b) azt nem hagyhatják gépjárműben,

c) repülés vagy vonatút alatt azt kézipoggyászként kötelesek szállítani.

3. Azokban az esetekben, amikor az eszközök nem az NFM épületeiben (szálloda, lakás) találhatók, fokozott figyelmet kell fordítani a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása vagy ellopása elleni védelemre.

4. Tilos a mobil eszközök:

a) engedély nélküli átruházása vagy adatainak közlése,

b) megfelelő védelem nélkül idegen hálózathoz csatlakoztatása,

c) bármilyen indokolatlan veszélynek történő kitétele vagy nem rendeltetésszerű használata.

5. Az NFM adataiból csak azon adatokat szabad mobil eszközön tárolni:

a) amely adatokról központi biztonsági mentés készül,

b) amelyekkel kapcsolatban biztosítani lehet az e szabályzatban előírt adatbiztonságot és adatvédelmet.

6. Rendszeres időközönként (lehetőleg hetente 1 alkalommal), a munkahelyi hálózathoz kell csatlakoztatni az eszközt az operációs rendszer biztonsági és vírusvédelmi frissítéseinek végrehajtása érdekében.

VI. Munkahely és munkaadatok védelme

Minden felhasználó köteles a munkavégzés során használt dokumentumokat, adathordozókat olyan módon használni, amely az illetéktelen hozzáférést lehetőleg megakadályozza. A munkaidő leteltével a munkaanyagokat lehetőség szerint el kell zárni.

VII. Hardvereszközök és szoftverek javítása

Az NFM informatikai rendszerének meghibásodásait – legyen az hardver vagy szoftver meghibásodás – a felhasználó telefonon, e-mailben, vagy a NISZ által működtetett hibabejelentő felületen (Ügyfélszolgálati rendszer) keresztül köteles bejelenteni. A rendszer az Ellátási Portálon (https://epo.gov.hu) érhető el.

A meghibásodás észlelését követően a NISZ az SLA szerint jár el.

2. függelék

Jogosultságok kezelésének folyamata

Jelen munkautasítás célja az NFM informatikai rendszereihez való hozzáférési jogosultságok kiosztásának, változtatásának és elvételének folyamataira vonatkozó eljárások rögzítése. A hivatkozott és szükséges űrlapok az Ellátási Portálon (https://epo.gov.hu) érhetők el.

1. Jogosultságigénylés folyamata

1.1.¹⁸ Új felhasználói igény esetén.

Új felhasználó hozzáférési rendszerbe való illesztését a jogosultság igénylő űrlap (belépő lap) kitöltése és elküldése útján az adott szervezeti egység vezetője vagy a szerződéskötést kezdeményező szervezeti egység vezetője írásban (papíron vagy elektronikus úton) igényelheti – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól. A jogosultság igénylés folyamata megvalósulhat elektronikus alapon is, amennyiben a rendszer azt támogatja.

A jogosultság létrehozásának, menedzselésének irányelveit az SLA rögzíti.

Határozott időtartamú jogviszony esetén ideiglenes jogosultságot kell kezdeményezni, amelyre a „Belépő lap” megfelelő kitöltésével van mód.

1.2.¹⁹ Külső személyek jogosultságai.

Külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Külső személy azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetőjének kell kezdeményeznie – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól.

1.3.²⁰ Gyakornokok jogosultságai.

Gyakornok esetén a hozzáférési jogosultságok csak bizonyos, a munkavégzéshez feltétlenül szükséges területekhez való hozzáférést tehetnek lehetővé. A hozzáférési jogosultság megadását a gyakornokot alkalmazó szervezeti egység vezetője vagy a gyakornok közvetlen vezetője igényelheti – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól.

2.²¹ Jogosultság megváltoztatásának folyamata

Abban az esetben, ha a felhasználó az NFM-en belül más szervezeti egységhez kerül, az „új szervezeti egység” vezetője írásban kérheti az új munkakörhöz, feladathoz kapcsolódó jogosultságok megadását.

A szervezeti egység váltás informatikai dokumentálását szolgálja a „Szervezeti egység váltás” megnevezésű formanyomtatvány.

A nyomtatványon közölt adatok alapján a NISZ teljes mértékben megszünteti a korábbi jogosultságokat, illetve beállítja az újakat.

Amennyiben a felhasználó jogviszonya három hónapot meghaladóan szünetel, vagy a felhasználó a munkavégzésben előreláthatóan ennyi ideig nem vesz részt, a hozzáférést megalapozó jogviszonyából eredő feladatát tartósan nem látja el, a felhasználói azonosítóját fel kell függeszteni (inaktiválni kell) a munkába állás, az adott tevékenység folytatása napjáig. Az inaktiválást a közvetlen vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól kérheti. Az azonosító újraaktiválási igényének felmerülésekor a hozzáférés helyreállítását szintén a közvetlen, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kérheti. A felfüggesztésre a „Kilépő lap” szolgál (belső címe: Kilépő/tartós távollét bejelentő lap), míg az újraaktiválásra a „Belépő lap” használható.

A felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat a felhasználó közvetlen vezetője, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartótól.

Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is az NFM-hez köti; pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony), a felhasználói jogosultságokat meg kell szüntetni, és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend szerint.

3.²² Jogosultság megszüntetésének folyamata

A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a felhasználói jogosultságát haladéktalanul érvényteleníteni kell. Az igényt a NISZ felé az 1. pont szerint igénylésre jogosult vezető jelzi – az NFM Személyügyi Főosztálya útján – a NISZ kapcsolattartó felé.

A közszolgálati tisztviselői jogviszony azonnali hatályú megszüntetése esetén, vagy ha az 1. pont szerint igénylésre jogosult vezető úgy ítéli meg, valamint a külső személy hozzáférést megalapozó jogviszonya megszűnésekor a jogosultság azonnal visszavonásra kerül.

Ha a közszolgálati tisztviselői jogviszony megszüntetése nem azonnali hatályú, a jogosultság visszavonása a „kilépési” lapon megjelölt (jogviszony megszűnésének napja) időpontban történik.

A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor az 1. pont szerint igénylésre jogosult vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője – a felhasználó tájékoztatása mellett – köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség), amelyről köteles tájékoztatni a NISZ-t a szükséges eljárások lefolytatása érdekében. A felhasználó személyes adatainak kezelése során a vonatkozó törvény rendelkezéseit szem előtt tartva kell eljárni.

Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is az NFM-hez köti; pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony) a felhasználói jogosultságokat meg kell szüntetni és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend alapján.

3. függelék

NEMZETI FEJLESZTÉSI MINISZTÉRIUM

NYILATKOZAT

az NFM Informatikai Biztonsági Szabályzatának elsajátításáról

Alulírott …………………………………………………………………………………………………………………… (név) ………………………………………………………………………………………………………………… (szervezeti egység) …………………………………………………………… (munkakör/beosztás) kijelentem, hogy az NFM Informatikai Biztonsági Szabályzatában foglaltakat megismertem, tudomásul vettem és magamra nézve kötelezőnek ismerem el.

Budapest, 20 …………………………………………

…………………………………………………………

munkatárs

Az utasítást a 27/2020. (IX. 10.) ITM utasítás 4. §-a hatályon kívül helyezte 2020. szeptember 11. napjával.

A 2. § (4) bekezdése a 2010: CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.

A melléklet 5.1. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a)–b) pontja szerint módosított szöveg.

⁴

A melléklet 5.4.1. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

⁵

A melléklet 5.4.2. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

⁶

A melléklet 5.4.3. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

⁷

A melléklet 5.5.3. pontja a 2/2015. (I. 30.) NFM utasítás 16. § c) pontja szerint módosított szöveg.

⁸

A melléklet 7.1. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

⁹

A melléklet 7.2. pont a) alpontja a 2/2015. (I. 30.) NFM utasítás 16. § c) pontja szerint módosított szöveg.

¹⁰

A melléklet 7.2. pont c) alpontja a 2/2015. (I. 30.) NFM utasítás 16. § c) pontja szerint módosított szöveg.

¹¹

A melléklet 9.2.1 pontja a 2/2015. (I. 30.) NFM utasítás 16. § c) pontja szerint módosított szöveg.

¹²

A melléklet 9.2.2 pontja a 2/2015. (I. 30.) NFM utasítás 16. § c)–d) pontja szerint módosított szöveg.

¹³

A melléklet 9.2.2.1. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

¹⁴

A melléklet 10.1.1. pont nyitó szövegrésze a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

¹⁵

A melléklet 10.1.2. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

¹⁶

A melléklet 10.1.3. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

¹⁷

A melléklet 10.2. pontja a 2/2015. (I. 30.) NFM utasítás 16. § a) pontja szerint módosított szöveg.

¹⁸

A melléklet 2. függelék 1.1. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

¹⁹

A melléklet 2. függelék 1.2. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

²⁰

A melléklet 2. függelék 1.3. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

²¹

A melléklet 2. függelék 2. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

²²

A melléklet 2. függelék 3. pontja a 2/2015. (I. 30.) NFM utasítás 16. § d) pontja szerint módosított szöveg.

Másolás a vágólapra
Nyomtatás

Hatályos
Már nem hatályos
Még nem hatályos
Módosulni fog
Időállapotok
Adott napon hatályos
Közlönyállapot
Indokolás

Jelmagyarázat Lap tetejére

Műveletek