15/2015. (V. 11.) NFM utasítás
15/2015. (V. 11.) NFM utasítás
a Nemzeti Fejlesztési Minisztérium elektronikus információbiztonsági politikájának és stratégiájának kiadásáról1
2015.05.12.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján a következő utasítást adom ki:
1. § A Nemzeti Fejlesztési Minisztérium
a) elektronikus információbiztonsági politikáját az 1.,
b) elektronikus információbiztonsági stratégiáját a 2.
mellékletben foglaltak szerint határozom meg.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
1. melléklet a 15/2015. (V. 11.) NFM utasításhoz
A Nemzeti Fejlesztési Minisztérium elektronikus információbiztonsági politikája
1. Bevezetés
1.1. A Nemzeti Fejlesztési Minisztérium (a továbbiakban: NFM) elektronikus információbiztonsági politikájának megvalósítása során figyelemmel kell lenni az NFM feladatrendszerére, miszerint:
a) felelős szervezetének elektronikus információbiztonságáért,
b) felelős a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendeletben számára megállapított informatikai jellegű feladatokkal kapcsolatos elektronikus információbiztonsági feladatok végrehajtásáért,
c) végrehajtója a Digitális Megújulás Cselekvési Tervnek,
d) támogatja az Európai Uniónak az elektronikus információbiztonsággal kapcsolatos törekvéseit, részt vesz ennek kialakításában,
e) mint az állami és önkormányzati szervek elektronikus információs rendszereinek biztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) alanya, köteles e törvény és a végrehajtásáról szóló jogszabályokban foglaltak maradéktalan végrehajtására.
1.2. Az NFM-re szabott kormányzati feladatok végrehajtásához nélkülözhetetlen a korszerű információs és kommunikációs technológia felhasználása. Ez a technológia azonban veszélyeket is rejt magában mind az adatok védelme, mind a működőképesség fenntartása szempontjából.
2. A szabályozási környezet
2.1. Magyarország Nemzeti Biztonsági Stratégiája [1035/2012. (II. 21.) Korm. határozat] előírta, hogy a „kibertérben világszerte növekvő mértékben jelentkező nemzetbiztonsági, honvédelmi, bűnüldözési és katasztrófavédelmi vonatkozású kockázatok és fenyegetések kezelésére, a megfelelő szintű kiberbiztonság garantálására, a kibervédelem feladatainak ellátására és a nemzeti kritikus infrastruktúra működésének biztosítására Magyarországnak is készen kell állnia.”
2.2. A Nemzeti Biztonsági Stratégia szerves része a kibertér védelme. A Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Korm. határozat ezért meghatározta, hogy Magyarország a szabad és biztonságos kibertér használat érdekében a nemzetbiztonság, a hatékony válságkezelés és a felhasználóvédelem szempontjainak összehangolásával megvalósítandó célja, hogy:
a) rendelkezzen hatékony megelőzési, észlelési, kezelési (reagálási), válaszadási és helyreállítási képességekkel a magyar kiberteret érintő rossz szándékú kibertevékenység, fenyegetés, támadás, illetve vészhelyzet, valamint a vétlen információszivárgás ellen,
b) nemzeti adatvagyona megfelelő szintű védelemben részesüljön, létfontosságú rendszereinek és létesítményeinek kibertérhez kapcsolódó működése üzembiztos legyen, valamint rendelkezésre álljon kompromittálás esetén a megfelelően gyors, hatékony és a veszteséget minimalizáló, különleges jogrend idején is alkalmazható helyreállítási képesség,
c) a magyar kibertér biztonságos működéséhez szükséges informatikai, hírközlési termékek és szolgáltatások színvonala elérje a legjobb nemzetközi gyakorlatokét, kiemelt hangsúlyt fektetve a hazai és nemzetközi biztonsági tanúsítási szabványoknak való megfelelésre,
d) a kiberbiztonsági oktatás, képzés, valamint a kutatás és fejlesztés színvonala megfeleljen a legjobb nemzetközi gyakorlatoknak, hozzájárulva egy világszínvonalú hazai tudásbázis kialakításához.
2.3. Az NFM az Ibtv. 2. § (1) bekezdés a) pontja alapján a törvény hatálya alá tartozik.
2.4. Az Ibtv. 11. § (1) bekezdés d) pontja alapján a szervezet vezetője kiadja a szervezet elektronikus információs rendszereire vonatkozó Informatikai Biztonság Politikáját (a továbbiakban: IBP).
2.5. Az Ibtv.-ben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet 3. mellékletének 2/A. 3.1.1.1. pontja szerint a szervezetnek elektronikus információs rendszereinek biztonsági osztályba sorolásától függetlenül rendelkeznie kell IBP-vel.
3. Az IBP hatóköre
Az IBP hatóköre kiterjed
a) az NFM adatait feldolgozó, tároló vagy továbbító elektronikus információs rendszerre vagy eszközre és az ezekre vonatkozó minden dokumentációra,
b) azon elektronikus információs eszközökre és berendezésekre, amelyek az NFM informatikai eszközeivel kapcsolatot létesítenek,
c) az NFM informatikai eszközein és a szerződéses partnerei által üzemeltetett eszközökön tárolt és kezelt adatok teljes körére, felmerülésüktől, feldolgozási és tárolási helyüktől függetlenül,
d) mindazon közszolgálati tisztviselőkre, akik munkájuk végzése során vagy egyéb céllal, jogosultsággal vagy annak hiányában az NFM rendelkezésére álló eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak,
e) azon személyekre, akik az NFM-mel szerződéses jogviszonyban állnak, és feladataik teljesítése során vagy egyéb céllal, jogosultsággal vagy annak hiányában az IBP hatókörébe sorolt eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak,
f) azon vállalkozásokra, amelyek az NFM számára infokommunikációs szolgáltatásokat nyújtanak.
4. Az IBP célja
Az NFM elektronikus információs rendszerei, illetve az azokban kezelt adatok és információk bizalmasságának, sértetlenségének vagy rendelkezésre állásának részleges vagy teljes elvesztése jelentős gazdasági, politikai, társadalmi kárt okozhat, ezért az IBP alapvető célkitűzése:
a) az elektronikus információs rendszerek teljes életciklusában meg kell valósítani ezen rendszereknek, valamint a bennük kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint a rendszer és elemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és kockázatokkal arányos védelmét,
b) az a) pont megvalósulása érdekében a jogszabályokban, szabványokban és a legjobb gyakorlatok szerint előírt vagy javasolt logikai, fizikai és adminisztratív védelmi intézkedéseket kell meghatároznia, amelyek támogatják:
1. a megelőzést és a korai figyelmeztetést,
2. az észlelést,
3. a reagálást,
4. a biztonsági események kezelését,
c) az IBP hatékony és szakszerű megvalósítása érdekében az NFM a kialakítandó informatikai biztonsági szabályozásokban az ISO/IEC 27000 szabványsorozatban, illetve a Magyar Informatikai Biztonsági Irányítási Keretrendszerben (MIBIK) foglaltak figyelembevételére, az információs infrastruktúra kialakítása során a Common Criteria, illetve a Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBETS) figyelembevételére kell törekedni.
5. Az IBP elemei
5.1. A vezetés elkötelezettsége
Az NFM vezetői kara ismeri és felmérte azt a kockázatot, melyet az elektronikus információfeldolgozás önmagában hordoz, és teljes mértékben elkötelezett az információ védelmében. Ennek érdekében:
a) biztosítja a jogszabályokban meghatározott követelmények teljesülését,
b) biztosítja az elektronikus információs rendszerek biztonságos működtetéséhez szükséges humán és technikai erőforrásokat,
c) kialakítja és működteti az Informatikai Biztonsági Irányítási Rendszert (a továbbiakban: IBIR),
d) gondoskodik az elektronikus információs rendszerek védelmi feladatainak és felelősségi köreinek oktatásáról, a szervezet munkatársai információbiztonsági ismereteinek szinten tartásáról, szervezeti kultúrájába integrálja az elektronikus információbiztonsággal kapcsolatos elvárási rendszert,
e) gondoskodik az elektronikus információs rendszer eseményeinek nyomonkövethetőségéről, biztonságának folyamatos ellenőrzéséről,
f) biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról és a biztonsági események kezeléséről,
g) amennyiben más szervezet, szerv, külső vállalkozó vagy személy szolgáltatásait veszi igénybe, gondoskodik arról, hogy az elektronikus információbiztonsági követelmények szerződéses kötelemként teljesüljenek.
5.2. Az elektronikus információ és rendszerbiztonság szervezete
5.2.1. Az informatikai biztonsági vezető
5.2.1.1. Az elektronikus információs rendszerek biztonságáért felelős személy az informatikai biztonsági szabályzatban kerül meghatározásra.
5.2.1.2. Az informatikai biztonsági vezető feladatai ellátása során közvetlenül adhat tájékoztatást, jelentést az államtitkároknak és a miniszternek.
5.2.1.3. Az informatikai biztonsági vezető elektronikus információs rendszerekkel kapcsolatos alapfeladatai ellátása során:
a) gondoskodik az elektronikus rendszer- és információbiztonsággal összefüggő tevékenységek jogszabályokkal való összehangolásáról és fenntartásáról,
b) elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, irányítását, koordinálását és ellenőrzését,
c) előkészíti és karbantartja a szervezet elektronikus információs rendszereire vonatkozó dokumentációkat és szabályzatokat,
d) elvégzi az elektronikus információs rendszerek biztonsági osztályba és az NFM biztonsági szintbe sorolásával kapcsolatos feladatokat,
e) együttműködik az elektronikus információs rendszerek üzemeltetőivel, használóival,
f) kapcsolatot tart a Nemzeti Elektronikus Információbiztonsági Hatósággal, a Nemzeti Biztonsági Felügyelettel, és a Kormányzati Eseménykezelő Központtal.
5.2.1.4. Az informatikai biztonsági vezető itt meghatározott feladatai és felelőssége más személyre nem ruházható át.
5.2.2. Informatikai Biztonsági Menedzsment Fórum
5.2.2.1. Annak érdekében, hogy az NFM elektronikus információbiztonsági stratégiai céljai, a külső követelményekkel és a jelen Politikában megfogalmazottak összhangban legyenek az informatikai biztonságot és az informatikai biztonsági irányítási rendszert érintő kezdeményezésekkel és megoldásokkal, Informatikai Biztonsági Menedzsment Fórumot (a továbbiakban: Fórum) kell működtetni, melynek szervezeti felépítését és eljárási szabályait az informatikai biztonsági szabályzatban kell rögzíteni.
5.2.2.2. A Fórum főbb feladatai:
a) meghatározza és kijelöli az elektronikus információs rendszerek biztonságának fejlődési irányát,
b) meghatározza az informatikai biztonságot érintő felelősségeket,
c) felülvizsgálja és jóváhagyja az IBIR adminisztratív védelmét alkotó dokumentumokat,
d) felülvizsgálja és figyelemmel kíséri a biztonsági eseményeket,
e) erőforrásokat allokál a feladatok elvégzésére.
5.2.2.3. A Fórum – szükség esetén külső szakértő igénybevételével – az informatikai biztonsági irányítási rendszer megfelelő és eredményes működésének és folyamatos fejlesztésének érdekében évente felülvizsgálja az NFM informatikai biztonsági helyzetét. Az éves felülvizsgálat az alábbi területekre terjed ki:
a) az Informatikai Biztonsági Politika és a szervezeti célok összhangja,
b) az Informatikai Biztonsági Stratégia végrehajtása,
c) az informatikai környezetben bekövetkezett változások.
5.2.2.4. Az informatikai biztonsági vezető az NFM informatikai működésében, kockázataiban beállt, évközi jelentős változás esetén kezdeményezheti a Fórumon az IBIR soron kívüli felülvizsgálatát.
5.3. IBIR
5.3.1. Az elektronikus információbiztonság kialakítása és fenntartása érdekében IBIR-t kell kialakítani. Az IBIR-nek többek között a biztonsággal kapcsolatos általános irányokat és célokat tartalmazó biztonságpolitikát, a biztonsági szabályzatokat, biztonsági követelményeket és eljárásokat részletező dokumentált biztonsági eljárásokat, továbbá megvalósított és ellenőrzött biztonsági kontrollmechanizmusokat kell magában foglalnia.
5.3.2. Az IBIR meghatározza
a) az információvédelemmel kapcsolatos felelősségeket,
b) az információ biztonságos kezelésének eljárásrendjét,
c) az informatikai erőforrások védelmét,
d) a biztonsági események kezelésének eljárásrendjét,
e) a számonkérés formáját és módját.
5.3.3. A Fórum előzetes kockázatelemzés alapján határozza meg az Informatikai Biztonsági Stratégia fejlesztési irányát, amely az NFM informatikai biztonságát megalapozó fejlesztésének stratégiai lépéseit tartalmazza.
5.3.4. Az IBIR körébe tartozó Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ) az NFM informatikai biztonsággal összefüggő feladatait és felelősségeit határozza meg. A szabályzat célja, hogy az NFM elektronikus információs rendszerek használatán alapuló biztonságos működése a jelen Politikában kitűzött célok szerint biztosított legyen.
5.3.5. El kell készíteni az elektronikus rendszer- és adatvagyonleltárt, mely minden egyes, az NFM-ben használt és kezelt információs rendszerhez és adatkörhöz meghatározza annak gazdáját, kezelőjét és értékét a
a) bizalmasság,
b) sértetlenség,
c) rendelkezésre állás
szempontjából, továbbá a leltár kezelésére vonatkozó előírásokat.
5.3.6. A kockázatok megfelelő kezelése elengedhetetlen ahhoz, hogy az NFM vezetése átfogó képet kapjon az elektronikus információbiztonsági veszélyekről, és a biztonságfejlesztéssel kapcsolatos döntéseit körültekintően hozza meg. Ennek érdekében az IBIR kialakítása és fejlesztése során ki kell választani és be kell vezetni egy kockázatkezelési módszertant.
5.3.7. A kockázatelemzési módszertanban rögzített kárgyakoriság- és kockázatiszint-skála, továbbá az adatvagyonleltárban rögzített kárértékek, a fenyegetések (becsült) bekövetkezési gyakorisága és a kockázati szintek közötti kapcsolatot a Fórum által jóváhagyott, a módszertanban rögzített kockázati mátrix definiálja.
5.3.8. Az IBSZ alapján Informatikai Felhasználói Szabályzatot kell készíteni, amely a felhasználókkal szemben támasztott biztonsági követelményeket, biztonsági és etikai előírásokat és elvárásokat tartalmazza, és megköveteli a biztonsági előírások betartását.
5.3.9. Az NFM-nek Ügymenet-folytonossági Tervvel kell rendelkezni, amely biztosítja a folyamatos és rendeltetésszerű működést a normál működési feltételektől és körülményektől való eltérések esetén is.
5.3.10. Az NFM-nek Katasztrófaelhárítási Tervvel kell rendelkeznie, amely a szélsőséges, katasztrófának minősülő esemény bekövetkezése esetén biztosítja a szükséges és elégséges szolgáltatások helyreállítását. Rögzíti az ehhez szükséges felelősségi és hatásköröket, a felkészülési, a kiesési és a helyreállítási fázisban végrehajtandó tevékenységeket, eljárásrendeket. Emellett meghatározza a megelőzést biztosító intézkedéseket is.
6. Biztonságtudatosság, etika, oktatás
6.1. Az NFM kiemelt figyelmet szentel az informatikai biztonsági tudatosság növelésére. Az elektronikus információs rendszerek biztonságos működtetéséhez elengedhetetlen a felhasználók, a munkatársak és minden közreműködő biztonságtudatos, felelősségteljes magatartása.
6.2. Elvárás, hogy a felhasználók, a munkatársak és minden közreműködő tevékenységét a hatályos jogszabályok, az IBP és egyéb szabályzók szellemiségével összhangban, azok előírásait, iránymutatásait követve végezzék, és a munka során tapasztalt hiányosságokat, rendellenességeket a munkahelyi vezető és az informatikai biztonsági vezető felé haladéktalanul jelezzék.
6.3. Az informatikai biztonsági ismeretek kialakítása, szinten tartása és elmélyítése, az informatikai biztonsági irányítási rendszer hatékony működtetése, a feltárt biztonsági események kiértékelése és a kockázatok ismertetése érdekében rendszeres, kötelező informatikai biztonsági oktatást kell tartani.
2. melléklet a 15/2015. (V. 11.) NFM utasításhoz
A Nemzeti Fejlesztési Minisztérium elektronikus információbiztonsági stratégiája
1. Bevezetés
1.1. Az NFM jogszabályban meghatározott feladatainak végrehajtásához elektronikus információs rendszereket és információkat, elektronikus infrastruktúrát (a továbbiakban együtt: informatika) vesz igénybe. Az informatika teszi lehetővé egyrészt azt, hogy az NFM tevékenysége a külvilág és a saját szervezete számára megjelenjen, ezekre hatást gyakoroljon, másrészt azt, hogy az NFM rendelkezésére álló információk hasznosuljanak és bővüljenek, és ezekre alapozva tevékenységét egyre magasabb szinten és minőségben jelenítse meg.
1.2. Az NFM az Informatikai Biztonsági Politikájában bemutatta, hogy informatika nélküli feladatait nem, vagy csak nagy nehézségek árán tudja ellátni. Az NFM tudatában van annak, hogy az informatika
a) bizalmassága,
b) sértetlensége,
c) rendelkezésre állása
tekintetében veszélyekkel és kockázatokkal kell számolni, és e veszélyekkel szemben hatásos eszközökkel kell fellépni.
1.3. Az Informatikai Biztonsági Stratégia (a célok eléréséhez szükséges eszközök és módszerek együttesen) célja, hogy a jelen helyzetből kiindulva meghatározza azokat a rövid, közép- és hosszú távra mutató alapfeladatokat, amelyek az informatikai biztonság fenntartását és növelését szolgálják annak figyelembevételével, hogy az informatikai biztonság kialakítása, fenntartása a szakmai feladatok ellátását, azok maradéktalan teljesítését szolgálja.
2. Az informatikai stratégia kialakítása
2.1. A stratégia tartalmazza az informatikai biztonság
a) helyzetértékelését,
b) célkitűzéseit, elvárásait,
c) a célkitűzések és elvárások eléréséhez szükséges feladatokat.
2.2. Stratégiai cél:
a) a munkavégzés magas szintű és folyamatos támogatását biztosító biztonsága,
b) az informatika mint eszköz biztonsága,
c) az informatikai biztonságot támogató erőforrások allokálása.
2.3. A mindenkori informatikai biztonság tervezése, fejlesztése, irányítása és fenntartása során a következő stratégiai követelményeket kell megvalósítani és biztosítani:
a) folyamatosság,
b) fokozatos fejlődés,
c) megvalósíthatóság,
d) folyamatos helyzetértékelés,
e) biztonságra törekvés, elsősorban a nem kívánt események megelőzésével,
f) a biztonsági események kezelése,
g) az esetlegesen bekövetkező kár minimalizálása, elhárítása, enyhítése,
h) irányítottság, szabályozottság, tudatosság,
i) teljeskörűség.
2.4. A stratégia megvalósítása
a) az NFM informatikai biztonsági szervezetrendszerén,
b) a hatályos jogszabályok betartásán,
c) a belső szabályozások megalkotásán és betartásán,
d) az informatikai fejlesztésekre vonatkozó, illetve szolgáltatói szerződésekbe épített biztonsági követelményrendszeren,
e) az NFM személyi állományának képzésén, a tudatosság növelésén,
f) az erőforrások tervezésén és biztosításán
keresztül történik.
2.5. A stratégia megvalósítása során
a) a Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Korm. határozatban,
b) a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendeletben,
c) az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, valamint a biztonsági események jelentésének és közzétételének rendjéről szóló 73/2013. (XII. 4.) NFM rendeletben,
d) az állami és önkormányzati szervek elektronikus információs rendszereinek biztonságáról szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.),
e) az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben
foglaltakat kell szem előtt tartani.
3. Helyzetértékelés
A stratégia elfogadásának időpontjában az NFM
a) elektronikus információs rendszereinek biztonsági osztályba sorolását elvégezte,
b) rendelkezik informatikai biztonsági szervezettel,
c) rendelkezik IBSZ-szel,
d) feladatait a Nemzeti Infokommunikációs Szolgáltató Zrt. által üzemeltetett – nagyfokú biztonságot nyújtó – eszközrendszeren keresztül hajtja végre,
e) egyes speciális szakfeladatait az államigazgatásban erre a célra rendelt szakrendszerek útján látja el,
f) valamennyi informatikai rendszere tekintetében kötött és szabályozott jogosultságkezelést hajt végre,
g) az Állami Számvevőszéktől – a költségvetési szerveknél végzett rendszeres ellenőrzés során – az informatikai biztonsági intézkedések alapján alacsony kockázatú besorolást kapott.
4. Tervezés
4.1. Rövid távú tervezés:
a) a biztonsági osztályba sorolás alapján meg kell állapítani, hogy az ahhoz rendelt jogszabályi követelményeknek megfelelnek-e a rendszerek. Amennyiben nem, cselekvési tervet kell készíteni az Ibtv. szerint,
b) felül kell vizsgálni és át kell dolgozni az IBSZ-t a biztonsági osztályok, illetve a biztonsági politika, valamint a felsorolt jogszabályoknak való megfelelőség, illetve az NFM várhatóan változó Szervezeti és Működési Szabályzata szempontjából,
c) meg kell kezdeni a jogszabályban meghatározott – esetleg hiányzó – adminisztratív védelmi intézkedések előkészítését, a szóba jövő legmagasabb biztonsági osztályhoz igazítva,
d) meg kell vizsgálni, hogy mely fizikai és logikai védelmi intézkedéseket képes az NFM saját hatáskörben biztosítani,
e) meg kell vizsgálni az informatikai tárgyú szerződésállományt abból a szempontból, hogy milyen informatikai biztonsági feltételeket biztosítanak, és a hiányos szerződések kiegészítésére javaslatot kell készíteni.
4.2. Középtávú tervezés:
a) a cselekvési terv alapján el kell érni a soron következő biztonsági osztályt, a rendszerek szakmai tevékenységére alapozott prioritásainak figyelembevételével. Amennyiben ez – tekintettel az informatikai szerződésekre – költséggel jár, annak fedezetét tervezni és biztosítani kell,
b) be kell vezetni a szóba jövő legmagasabb biztonsági osztályhoz igazított, hiányzó adminisztratív védelmi intézkedésekre kidolgozott szabályzókat,
c) meg kell kezdeni és véghez kell vinni a biztonsági szempontból hiányos informatikai tárgyú szerződések újratárgyalását,
d) végre kell hajtani azon fizikai és logikai védelmi intézkedéseket, amelyeket az NFM saját hatáskörben képes biztosítani,
e) költségvetési forrást kell biztosítani az újratárgyalt szerződések biztonsági szempontú kiegészítéseinek, illetve a saját hatáskörben végrehajtható fizikai és logikai védelmi intézkedések fedezetéül,
f) meg kell kezdeni az NFM-en belüli rendszeres információvédelmi oktatásokat,
g) felül kell vizsgálni a rendszerek biztonsági osztályba sorolását.
4.3. Hosszú távú tervezés:
a) a cselekvési terv alapján el kell érni a soron következő biztonsági osztályt, a rendszerek szakmai tevékenységére alapozott prioritásainak figyelembevételével. Amennyiben ez – tekintettel az informatikai szerződésekre – költséggel jár, annak fedezetét tervezni és biztosítani kell,
b) felül kell vizsgálni a szóba jövő legmagasabb biztonsági osztályhoz igazított, hiányzó adminisztratív védelmi intézkedésekre kidolgozott szabályzókat,
c) felül kell vizsgálni az informatikai tárgyú szerződések biztonságra vonatkozó tartalmát, és a szükség szerinti kiigazításokat végre kell hajtani,
d) felül kell vizsgálni azon fizikai és logikai védelmi intézkedéseket, amelyeket az NFM képes saját hatáskörben biztosítani,
e) gondoskodni kell a szükséges költségvetési források biztosításáról,
f) felül kell vizsgálni a rendszerek biztonsági osztályba sorolását és a vonatkozó szabályrendszert.
5. Értékelés
A stratégiát minden évben értékelni kell, és szükség szerint ki kell igazítani.
1
Az utasítást a 24/2021. (X. 21.) ITM utasítás 1. § 1. pontja hatályon kívül helyezte 2021. október 22. napjával.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás