7/2015. (X. 30.) NVI utasítás

1. §¹ Ezen utasítás alkalmazásában:

2. § Az utasítás célja, hogy az Iroda elektronikus információs rendszerének (a továbbiakban: elektronikus információs rendszer) működtetése, üzemeltetése, fejlesztése során, valamint az informatikai szolgáltatási területen biztosított legyen

3. § (1) Az utasítás hatálya kiterjed az Iroda tulajdonában, kezelésében lévő valamennyi elektronikus információs rendszerre és azok elemeire, az általa használt alkalmazásokra, adatbázisokra, hálózatokra, hálózati elemekre, kiegészítő informatikai eszközökre, valamint az általa keletkeztetett, feldolgozott, tárolt, továbbított valamennyi adatra és információra, függetlenül azok megjelenési formájától. Idegen vagy vegyes tulajdonú, illetve kezelésű eszközök, rendszerek használata során figyelembe kell venni a külső fél azokra vonatkozó rendelkezéseit és előírásait, illetve az érvényes megállapodásokat.

(2) Az utasítás hatálya kiterjed az Iroda közszolgálati vagy egyéb jogviszonyban foglalkoztatott munkatársaira (a továbbiakban: munkatárs), az Iroda valamennyi szervezeti egységére, továbbá – amennyiben ez külön megállapodásban rögzítésre kerül – az elektronikus információs rendszernek üzemeltetőjére, fejlesztőjére, valamint a külső felekre.

(3)² A személyes adatok biztonságára, védelmére vonatkozóan az utasítás mellett az Iroda adatvédelmi szabályzatáról, valamint a közérdekű adatok megismerésére irányuló igények teljesítésének és a közérdekű adatok elektronikus közzétételének rendjéről szóló NVI utasítás rendelkezéseit is alkalmazni kell.

4. § (1) Az elektronikus információs rendszer biztonságáért felelős személy ezen utasítást évente legalább egy alkalommal felülvizsgálja, ennek keretében megfelelőségi vizsgálatot végez, és szükség esetén ezen utasítás módosítását kezdeményezi az Iroda elnökénél (a továbbiakban: elnök).

(2) A megfelelőségi vizsgálat kiterjed ezen utasítás végrehajtásának, valamint a felmerülő informatikai, információbiztonsági és adatvédelmi eseményeknek és az ezekkel összefüggő biztonsági tevékenységeknek az ellenőrzésére.

5. § Az egyes elektronikus információs rendszereket úgy kell kialakítani és beállítani, hogy azok megfeleljenek az ezen utasításban foglalt követelményeknek.

6. § (1) Az elektronikus információs rendszer, rendszerelem használója kizárólag munkatárs vagy az Irodával szerződéses jogviszonyban álló személy lehet, aki a munkavégzéshez szükséges mértékű felhasználói szintű informatikai ismeretekkel rendelkezik, ezen utasítás rendelkezéseit megismerte, és hozzáférési jogosultságot kapott az elektronikus információs rendszerek használatához (a továbbiakban: felhasználó).

(2) Az elektronikus információs rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható és akadálymentes működés, az egyes rendszerelemek funkcionalitásuknak megfelelő zavartalan és folyamatos üzemelése.

(3) Az Iroda székházában az Iroda számára létrehozott logikai hálózathoz csatlakozó vagy az Iroda által engedélyezett hálózatba nem kötött infokommunikációs eszközök rendeltetésszerűen, munkavégzés céljából, az Iroda érdekeinek szem előtt tartásával, az Iroda által meghatározott módon, a felhasználó felelősségére használhatóak. Az eszközöket ettől eltérő célra – különösen magáncélra – használni nem lehet.

(4) A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és szoftverintegritását. Az integritás sérelmének minősül a rendeltetésellenes használat, továbbá a hardveres vagy szoftveres módosítás.

(5) Tilos más felhasználó azonosítójával az elektronikus információs rendszerbe bejelentkezni, illetve más részére bejelentkezési hozzáférést átadni.

(6) A nem az Iroda tulajdonát képező infokommunikációs eszközt engedély nélkül az Iroda informatikai infrastruktúrájába csatlakoztatni tilos, kivéve az olyan adathordozó eszközöket, amelyek munkavégzés céljából kerülnek alkalmazásra, és az elektronikus információs rendszer biztonságáért felelős személy általi előzetes engedélyezésük megtörtént.

7. § (1) Az elektronikus információs rendszerekről és eszközökről kizárólag az elnök szolgáltathat adatokat.

(2) Az elektronikus információs rendszerek bevezetésében és felhasználásában közreműködő külső fél munkatársai és vezetői az Irodánál rendszeresített titoktartási nyilatkozat tételére kötelesek, vagy az Iroda és a külső fél közötti jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási kötelezettségéről. A titoktartási kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel kapcsolatos, illetve ezek bevezetése során tudomásukra jutó valamennyi információra.

(3) Külső fél munkavégzése során a szükséges és elégséges hozzáférés elve alapján

(4)³ Az Iroda által kezelt személyes adatokon külső fél által végzett adatfeldolgozási tevékenységet a külső féllel kötött adatfeldolgozói szerződés szabályozza.

8. § (1) Az elektronikus információs rendszer részét képező adathordozókról – a munkahelyi célú felhasználás kivételével – tilos az Iroda által kezelt, bizalmas adatot tartalmazó adatállományok, illetve a munkavégzés során szerzett egyéb adatok, információk másolása, illetéktelen személyekkel történő megismertetése vagy más, nem az utasítás hatálya alá tartozó elektronikus információs rendszerekbe történő eljuttatása.

(2) Az infokommunikációs eszközök elhelyezése és tárolása során biztosítani kell az információ illetéktelen hozzáférésének megakadályozását.

(3) Adatok átadásánál az adatok titkosításával, a titkosítás feloldásához szükséges kulcs független, biztonságos csatornán történő átadásával kell biztosítani az adatok bizalmasságát, illetéktelen személyek hozzáférésének megakadályozását. Az adatátadásokat minden esetben átadás-átvételi jegyzőkönyv kitöltésével kell igazolni.

(4)⁴ Adatfeldolgozás során a hardver- vagy szoftverhibából eredő adatvesztés gyanúja esetén – az adatfeldolgozás szüneteltetése mellett – haladéktalanul értesíteni kell az elektronikus információs rendszer biztonságáért felelős személyt. A hiba kezelése során, valamint elhárítását követően az érintett folyamatok üzletmenet-folytonossági és az érintett informatikai szolgáltatások katasztrófaelhárítási tervének útmutatása szerint kell folytatni az adatrögzítést, illetve adatfeldolgozást. Amennyiben a tervek nem rendelkeznek ezekről, abban az esetben az adatrögzítés, adatfeldolgozás az érintett informatikai szolgáltatás üzemeltetőjének jelzéséig nem folytatható.

(5) Az alkalmazások használata során az adatok felvitelét, módosítását, törlését kizárólag csak az elektronikus információs rendszer biztonságáért felelős személy által elfogadott alkalmazással, eljárással – szigorúan követve a felhasználói dokumentáció útmutatását – lehet elvégezni.

(6) Az elektronikus információs rendszerekhez és a bennük tárolt adatokhoz való hozzáférési jogosultság dokumentált engedélyeztetése útján kell gondoskodni arról, hogy jogosulatlan felhasználó azokat ne módosíthassa, és ne törölhesse. A mentések és archívumok tárolása és őrzése során is biztosítani kell az adatok bizalmasságát, sértetlenségét és rendelkezésre állását, valamint az adatmegőrzési idő lejártakor az adatok biztonságos megsemmisítését.

9. §⁵ (1) Az elektronikus információs rendszerek üzemeltetése során az országgyűlési képviselők általános választása, az Európai Parlament tagjainak választása, az önkormányzati képviselők és polgármesterek, illetve a nemzetiségi önkormányzati képviselők általános választása, valamint országos népszavazás kitűzésétől az eredmény megállapításának jogerőssé válásáig tartó időszak, továbbá az elnök által egyedileg meghatározott időszak kiemelt időszaknak minősül (a továbbiakban: kiemelt rendelkezésre állási időszak).

(2) Kiemelt rendelkezésre állási időszakra vonatkozóan az elnök jogosult elrendelni kiemelt üzemeltetési szolgálatot (a továbbiakban: szolgálat), amelynek feladata, hogy ezen időszakban a legrövidebb időn belül a felmerülő hiba

(3) A szolgálat katasztrófahelyzetben az Iroda választási folyamataira vonatkozó üzletmenet-folytonossági tervei és a választási eseményeket támogató informatikai szolgáltatások katasztrófaelhárítási tervei alapján jár el.

(4) Kiemelt rendelkezésre állási időszakban az üzemeltetéshez kapcsolódó tevékenységet, folyamatokat, a bekövetkező üzemeltetési jellegű események észlelését, az incidensek kezelését, kivizsgálását az erre az időszakra vonatkozó egyedi eljárásrendek alapján kell végrehajtani.

10. §⁶ (1) Kiemelt rendelkezésre állási időszakra vonatkozóan dokumentálni kell az ezen utasítástól eltérő követelményeket és rendkívüli intézkedéseket, amelyeket az elnök hagy jóvá.

(2) Kiemelt rendelkezésre állási időszakban az ezen utasítás hatálya alá tartozó informatikai központokba kizárólag a szolgálatban részt vevő személyek léphetnek be.

10/A. § (1) A választási eseményeket támogató informatikai rendszerekben kezelt adatok, nyújtott szolgáltatások informatikai biztonságának kiemelt biztosítására az elnök kiemelt védelmi időszakot határoz meg (a továbbiakban: kiemelt védelmi időszak).

(2) Kiemelt védelmi időszakban az informatikai biztonság kiemelt biztosítása érdekében az Iroda bővített védelmi képességeket működtet.

(3) Kiemelt védelmi időszakban az Iroda működteti a Választási Informatikai Biztonsági Műveleti Központot, amely megvalósítja a választási eseményt támogató informatikai rendszerek működésének és kommunikációjának biztonsági szempontú, fokozott monitorozását, a kezelt adatok, nyújtott szolgáltatások informatikai biztonságát veszélyeztető események észlelését, rögzítését, az informatikai biztonsági incidensek gyors és hatékony kezelését, kivizsgálását.

(4) Kiemelt védelmi időszakban a védelmi tevékenységet, folyamatokat, a bekövetkező informatikai biztonsági események észlelését, az incidensek kezelését, kivizsgálását az erre az időszakra vonatkozó egyedi eljárásrendek alapján kell végrehajtani.

(5) Amennyiben az információbiztonsági incidensben (a továbbiakban: biztonsági incidens) személyes adat érintett, akkor az incidens kezelésénél az adatvédelmi incidensek kezelésére vonatkozó szabályzatban meghatározott feladatokat is el kell végezni.

11. § (1) Az informatikai biztonság szempontjából kritikus eljárások irányítási feladatköreit úgy kell kialakítani, hogy azok több munkakörhöz kapcsolódjanak a lehetséges visszaélések elkerülése érdekében.

(2) Az informatikai biztonsággal kapcsolatos ellenőrzési feladatokat el kell különíteni az infokommunikációs rendszerek üzemeltetési tevékenységétől.

(3) Az (1) és (2) bekezdésben foglalt követelmények teljesülését évente az ellenőrzési terv alapján az elektronikus információs rendszer biztonságáért felelős személy ellenőrzi.

12. § (1)⁸ Az elektronikus információs rendszer biztonságáért felelős személy

(2) Az elektronikus információs rendszer biztonságáért felelős személyt feladatai teljesítéséhez szükséges mértékben az elektronikus információs rendszerek valamennyi elemének tervezésével, fejlesztésével, beszerzésével és üzemeltetésével kapcsolatban megilleti a tanácskozási, véleményezési, javaslattételi, kezdeményezési, ellenőrzési, betekintési és hozzáférési jogosultság.

(3)¹⁰ Az elektronikus információs rendszer biztonságáért felelős személy kizárólag külső fél alkalmazottja vagy alvállalkozója lehet.

12/A. §¹¹ Az ellenőrzési tervnek tartalmaznia kell

13. § Az önálló szervezeti egység vezetője

14. § (1)¹² Az Iroda elektronikus információs rendszereinek fejlesztésére, üzemeltetésére vagy adatfeldolgozására külső féllel kötött megállapodásokban rendelkezni kell a külső fél információbiztonsági kötelezettségeiről és az Iroda ellenőrzési jogosultságairól, így különösen

(2) Az (1) bekezdés szerinti megállapodás megkötését megelőzően az elektronikus információs rendszer biztonságáért felelős személy megvizsgálja, hogy a külső fél által nyújtott szolgáltatásnak milyen információbiztonsági kockázatai vannak. Az így megállapított kockázatokkal arányosan kell meghatározni a megállapodásban a külső fél által teljesítendő információbiztonsági kötelezettségeket.

(3) A külső fél munkavégzése során

(4) Bizalmas adatforgalom az Iroda és a külső fél között csak titkosított kommunikációs csatorna biztosításával történhet.

(5) Az elektronikus információs rendszerhez kapcsolódó rendszergazdai feladatok ellátásáért az üzemeltetést végző külső fél felel.

(6)¹³ A külső fél által az (1) bekezdés szerinti megállapodás alapján nyújtott szolgáltatások megfelelőségét az elektronikus információs rendszer biztonságáért felelős személy rendszeresen ellenőrzi.

15. § A munkatárs köteles

16. § (1)¹⁵ Az Irodában információs vagyonleltárt kell létrehozni, amely tartalmazza az elektronikus információs rendszerek elemeit, a rendszerekben kezelt adatok típusát adatkörönként, az adatok kezeléséért felelős szervezeti egység vezetőjét, valamint az adatok tárolási helyét és módját. Az információs vagyonleltárt az Iroda Információosztályozási módszertana alapján az elektronikus információs rendszer biztonságáért felelős személy alakítja ki.

(2) Az (1) bekezdés szerinti vagyonleltár naprakész vezetését az elektronikus információs rendszer biztonságáért felelős személy látja el.

17. §¹⁶ Az elektronikus információs rendszerek biztonsági osztályba sorolását, valamint az Iroda mint szervezet tekintetében a biztonsági szint meghatározását az 1. melléklet tartalmazza.

18. § (1) Az elektronikus információs rendszer biztonságáért felelős személy minden év június 30. napjáig a rendelkezésre álló információk alapján biztonsági kockázatelemzést köteles készíteni. A kockázatelemzés során a kockázatok megállapítása érdekében az elektronikus információs rendszer biztonságáért felelős személy tájékoztatást kérhet a szervezeti egységek vezetőitől, illetve a külső felektől.

(2)¹⁷ A kockázatelemzés során az egyes fenyegetések, veszélyforrások által okozható kockázatokat kell megállapítani, illetve feltárni. A kockázatokat a fenyegetés megvalósulásának valószínűsége és az okozható kár alapján, vagy a sérülékenység kihasználhatósága, az elektronikus információs rendszer kitettsége és ennek hatása alapján kell meghatározni.

(3) Az elektronikus információs rendszer biztonságáért felelős személy a kockázatelemzés során a kockázatokat kategóriákba sorolja, és kockázatcsökkentési vagy -megszüntetési intézkedésekről, valamint az elfogadásra javasolt kockázatokról jelentést készít az elnök részére.

(4) A kockázatelemzésről szóló jelentés alapján az elnök a kockázatokat értékeli, és gondoskodik a kockázatok csökkentéséhez, illetve megszüntetéséhez szükséges intézkedések meghozataláról, vagy az elfogadásra javasolt kockázat elfogadásáról dönt.

19. § A foglalkoztatásra irányuló jogviszony létesítését megelőző kiválasztási eljárás során az érintettek háttérellenőrzését a vonatkozó jogszabályok, illetve elnöki utasítások rendelkezései szerint, valamint az Iroda működésének követelményeivel, az elérendő információk besorolásával és a feltételezett kockázatokkal arányosan kell elvégezni.

19/A. § A kinevezési okmánynak, illetve munkaszerződésnek tartalmaznia kell az információbiztonságra vonatkozó felelősségi szabályokat mind a munkatárs, mind az Iroda oldaláról.

19/B. § Minden munkatársra nézve kötelező az informatikai és információbiztonságot érintő, ezen utasítás alapján megalkotott szabályok és eljárásrendek megismerése és betartása. Új munkatárs belépése esetén ezen utasítás megismerése, és így az informatikai és információbiztonsági szabályok elfogadása a munkatárs foglalkoztatásra irányuló jogviszonya létesítésének alapfeltétele.

19/C. § (1) A munkatárs munkavégzése során köteles

(2) Az elnök fegyelmi eljárást kezdeményezhet, ha a munkatárs az Iroda információs vagyonát veszélyezteti, továbbá, ha a munkatárs a veszélyt jelentő tevékenységre történő figyelmeztetést követően is szándékosan és rendszeresen

20. § (1) Új felhasználó esetén az elektronikus információs rendszer biztonságáért felelős személy tájékoztatja a felhasználót az elektronikus információs rendszer használatához kapcsolódó informatikai és információbiztonsági szabályokról, a szabályzatok elérhetőségéről, továbbá felhívja a munkatárs figyelmét azok megismerésére és betartására. A szükséges informatikai és információbiztonsági szabályzatok megismerésének tényét a munkatárs aláírásával igazolja.

(2)²² Ezen utasításban foglaltak, illetve a feladatellátást érintő informatikai és információbiztonsági szabályok megismertetésére és az informatikai és információbiztonsági tudatosság növelése érdekében az elektronikus információs rendszer biztonságáért felelős személy évente informatikai és információbiztonsági oktatást szervez.

(3) Az oktatáson, illetve továbbképzésen való részvétel a felhasználók számára kötelező. A megjelenést a résztvevők aláírásukkal igazolják.

20/A. § (1) A munkatárs jogviszonyának megszűnését követően a munkatárs már nem, vagy csak külön írásbeli megállapodás alapján veheti igénybe az Iroda elektronikus információs rendszereit, valamint informatikai erőforrásait.

(2) A munkatárs jogviszonyának megszűnésekor jogosultságait felül kell vizsgálni, valamennyi jogosultságát és jelszavát vissza kell vonni, a munkatárs által ismert jelszavakat meg kell változtatni.

(3)²⁴ A (2) bekezdés szerinti felülvizsgálatot az elektronikus információs rendszer biztonságáért felelős személy végzi, a jogosultságok és jelszavak visszavonásáról az Informatikai Osztály gondoskodik.

(4)²⁵ A munkatárs jogviszonyának megszűnése esetén az önálló szervezeti egység vezetője, vezetői álláshelyet betöltő személy esetén az elnök gondoskodik a munkatárs gyártói, szállítói és egyéb partneri eléréseinek visszaszolgáltatásra történő átadásáról az Informatikai Osztály részére.

21. § (1)²⁶ Az elektronikus információs rendszer biztonságáért felelős személyt minden működési zavarról, amely az elektronikus információs rendszer folyamatos üzemét megzavarja, vagy a normális üzletmenetet hátráltatja, a rendszer üzemeltetőjének haladéktalanul jelentésben kell tájékoztatnia. A jelentést követően az üzemeltetőnek az Iroda és a közötte létrejött megállapodásban meghatározottak szerint meg kell szüntetnie az üzemzavart.

(2) Az elektronikus információs rendszer biztonságáért felelős személy rendszer-, illetve alkalmazáshiba esetén

22. §²⁹ (1) A biztonsági eseményre adandó gyors és hatékony megoldások érdekében az elektronikus információs rendszer biztonságáért felelős személynek incidenskezelési eljárásrendben kell meghatároznia a váratlan eseményekkel kapcsolatos felelősségeket és eljárásokat.

(2) Ha a biztonsági incidensben személyes adat érintett, akkor az incidens kezelésénél az adatvédelmi incidensek kezelésére vonatkozó szabályzatban meghatározott feladatokat is el kell végezni.

(3) Az informatikai rendszerek szolgáltatásainak rendelkezésre állását befolyásoló üzemeltetési jellegű események csak abban az esetben minősülnek informatikai biztonsági incidensnek, amennyiben az események a szolgáltatás szándékolt blokkolására irányulnak.

23. § (1)³⁰ Az elektronikus információs rendszer bármely felhasználói pontján jelentkező, adott rendszerelemmel kapcsolatban felmerülő rendellenes működés, jelenség, vírusjelzés vagy futási hiba esetén a felhasználó köteles a tapasztalt jelenséget, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni az elektronikus információs rendszer biztonságáért felelős személy részére a soc@nvi.hu e-mail-címen.

(2)³¹ Az üzemeltető – az Iroda és a közötte létrejött megállapodásban rögzített rendben – köteles azonnal jelenteni az elektronikus információs rendszer biztonságáért felelős személynek, amennyiben munkája során információbiztonsági fenyegetést vagy az infokommunikációs rendszerben veszélyforrást fedezett fel.

(3) A bejelentett biztonsági eseményekről az elektronikus információs rendszer biztonságáért felelős személy elektronikus nyilvántartást vezet.

24. § (1) Az elektronikus információs rendszer biztonsága szempontjából azokat a helyiségeket és épületeket védeni kell, amelyekben elektronikus információs rendszer, rendszerelem működik. Az Iroda használatában lévő épület azon helyiségében, ahol elektronikus információs rendszer, illetve rendszerelem van, csak azok a személyek tartozódhatnak, akik oda munkavégzésük folytán erre jogosultak. A jogosultsággal nem rendelkező munkatársak vagy egyéb személyek csak kísérettel és állandó felügyelet mellett tartózkodhatnak a helyiségben.

(2) A biztonsági területekre és az egyes biztonsági zónákba való belépést vagy beléptetést ellenőrizni és naplózni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt.

(3) Az olyan helyiségeket, ahol elektronikus információs rendszerben, infokommunikációs eszközzel történik a munkavégzés, biztonsági zárral kell ellátni, és a helyiséget a felhasználó távolléte esetén zárva kell tartani.

25. § (1) Az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelményeknek megfelelően kell kialakítani, és külön leágazás megépítésével kell a betáplálásról gondoskodni. Ha egy nem informatikai központnak kijelölt hivatali helyiségben szerver üzemel, gondoskodni kell helyi szünetmentes tápáramellátásról.

(2) Az elektronikus információs rendszer, illetve rendszerelem energiaellátási védelmének kialakítása során

(3) Az energiaellátó hálózat kábelezésénél védett kábeleket kell használni, és az adatátviteli kábelt el kell különíteni az energiaellátás kábeleitől.

(4) A kábeleket a kábelrendező és a csatlakozóaljzatok között rögzített csatornában kell vezetni, a lengőkábelek nem keresztezhetnek közlekedési utat. A hálózat valamennyi elemét olyan környezetben kell elhelyezni, ahol a jogosulatlan fizikai hozzáférés megakadályozott.

(5) Az elektronikus védelmi rendszert az épület teljes területén ki kell építeni. A riasztásoknak az épület biztonsági szolgálatánál vagy a legközelebbi illetékes rendvédelmi szervnél is meg kell jelenniük. Az elektronikus védelemnek szabotázsvédettnek kell lennie.

(6) Az elektronikus információs rendszerek, rendszerelemek a vonatkozó szabványnak megfelelően kizárólag védőföldeléssel ellátott 230 V feszültségű elektromos hálózati dugaszolóaljzatba csatlakoztathatók.

(7) Az Iroda székházának területén az elektronikus információs rendszert, áramellátó hálózatot, telefonhálózatot érintő bármilyen beavatkozást, építést, karbantartást, átalakítást csak az Üzemeltetés tájékoztatása után, annak jóváhagyásával és felügyeletével lehet végezni.

(8) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi.

26. §³² (1) Nyílt tárolás esetén a papíralapú dokumentumok biztonságáról az Iroda Iratkezelési Szabályzata szerint kell gondoskodni.

(2) Nem nyilvános adatok csak megfelelő eljárással titkosítva (jelszóval védett dokumentum, archív állomány, fájlkonténer) tárolhatóak nyílt tárolású külső elektronikus adathordozón (pl. pendrive).

(3) Az informatikai eszközök munkaidőn túl zárható helyiségben, zártan tárolandóak.

(4) Speciális biztonsági eszközök alkalmazására az információs rendszer biztonságáért felelős személy engedélyével van lehetőség.

27. § (1) Az IT-infrastruktúra elemeinek a kockázatokkal és az értékükkel arányos fizikai védelmet kell biztosítani.

(2) Az elektronikus információs rendszer kritikussága és a benne kezelt adatok besorolásának kockázata alapján a helyiségeket fizikai biztonsági zónák szerint kell besorolni. A besorolást az információs rendszer biztonságáért felelős személy végzi el.

(3) A biztonsági követelményeknek megfelelően úgy kell a helyiségeket kialakítani, hogy az elektronikus információs rendszerek megfelelő fizikai és környezeti védelmét garantálni tudják. A kialakított biztonsági zónákban történő munkavégzésre – a zónát veszélyeztető fenyegetettségek függvényében – más-más informatikai és fizikai biztonsági követelmények vonatkozhatnak.

(4) A fizikai biztonsági zónákat elektronikus információs rendszerenként, valamint biztonsági osztályonként egyaránt rögzíteni kell.

(5) A védett helyiségekbe és biztonsági területekre, valamint zónákba való belépési jogosultságokat úgy kell meghatározni, hogy az egyes személyeket, a személyek csoportjait az elektronikus információs rendszerben vagy környezetében betöltött szerepük alapján kell hozzárendelni a helyiségekhez vagy helyiségcsoportokhoz.

(6) Az elektronikus információs rendszerek környezetét megfelelő fizikai, mechanikai, elektronikai és személyi védelemmel kell biztosítani. Az alkalmazott védelmi formák körét, azok kialakítását az információs rendszer biztonságáért felelős személy az Üzemeltetéssel egyeztetve határozza meg, az Iroda székhelyéül szolgáló épület védelmi igényének és speciális feltételeinek figyelembevételével.

(7) A kiemelten védendő zónákba való belépési jogosultságot személyre szólóan, a személy feladatellátási kötelezettsége alapján kell meghatározni. Állandó vagy egyedi belépési jogosultságot az informatikai központba az elnök engedélyezhet.

28. § (1)³³ Az elektronikus információs rendszerek, rendszerelemek nyilvántartásáért a Költségvetési és Gazdálkodási Főosztály felel. A rendszerelemeket az eszköznyilvántartásban tartják nyilván, és a változásokat azonnal, de legkésőbb öt munkanapon belül aktualizálják.

(2) Az elektronikus információs rendszerek, rendszerelemek üzembe helyezésére, valamint selejtezésére csak az elnök által kijelölt személy vagy megállapodás alapján külső fél jogosult.

(3) Az elektronikus információs rendszerekbe, rendszerelemekbe beépített és külső adathordozókat javítás, újrahasznosítás, selejtezés esetén a biztonságos adattörlést megvalósító célhardverrel vagy szoftverrel, vagy ha ez az adathordozó működésképtelensége miatt nem megvalósítható, akkor fizikai roncsolással szükséges adatmentesíteni.

(4) A környezeti veszélyek és kockázatok mérséklése érdekében

(5) Az elektronikus információs rendszerelemek, infokommunikációs eszközök rendeltetésszerű használatáért az eszköz használója felel vagy az a személy, aki vezetői utasításra vagy a vezető engedélyével azt használta. Közös használatú eszköz esetén a rendeltetésszerű használatért az a személy felel, akit a vezető kijelöl az eszköz, rendszerelem felügyeletére.

(6) A munkavégzése során infokommunikációs eszközt használó köteles az általa működtetett eszközt és az ahhoz csatlakoztatott egyéb eszközöket

(7) Az infokommunikációs eszközök használata során tilos

(8) Az infokommunikációs eszközöknek a munkafeladattól eltérő célra történő használatához az önálló szervezeti egység vezetőjének engedélye és az elnök hozzájárulása szükséges.

(9) Az infokommunikációs eszközökhöz bármilyen külső eszközt, illetve kábelt csatlakoztatni csak az üzemeltető engedélyével vagy közreműködésével lehet. Az üzemeltető által már csatlakoztatott és beüzemelt eszköz további használata visszavonásig engedélyezett.

(10) Címkét, jelölést vagy feliratot az elektronikus információs rendszerelemekre, infokommunikációs eszközökre csak az Üzemeltetés helyezhet, illetve távolíthat el onnan. Az eszközök burkolatát megbontatni tilos. Alkatrészt csak az üzemeltető helyezhet be az eszközbe, illetve szerelhet ki az eszközből.

(11) Azokban a helyiségekben, ahol ügyfélfogadás történik, az elektronikus információs rendszerelemek, infokommunikációs eszközök adatait tartalmazó felületeit úgy kell elhelyezni, hogy azokra az ügyfél ne láthasson rá.

29. § (1) Az üzemeltető szükség szerint, illetve tervezett és a felhasználókkal egyeztetett módon karbantartást végez.

(2) Az Iroda rendszeresen karbantartja fizikai eszközeit és szoftvereit. Az üzemeltető a specifikációban javasolt időközönként, de legalább éves rendszerességgel köteles elvégezni a rendszerelemek karbantartását.

(3) A rendszerelemek kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező személyek végezhetik.

(4) A rendszerelemek, infokommunikációs eszközök külső helyszínen történő javítása, karbantartása esetén gondoskodni kell a rendszerelem adathordozóin tárolt adatok végleges (visszaállíthatatlan) törléséről vagy az adathordozó eltávolításáról.

29/A. § (1) Amennyiben a karbantartást külső fél végzi, úgy a karbantartással kapcsolatos rendelkezéseket szerződésben kell rögzíteni.

(2) Az Iroda székházának területén végzett bármely karbantartás csak az Üzemeltetés tájékoztatását és jóváhagyását követően végezhető.

(3) A külső fél által végzett karbantartásokról minden esetben dokumentáció (jegyzőkönyv) kiállítása szükséges, melynek elvárt minimum tartalmi elemei:

30. § (1) Megsemmisítésre kijelölt elektronikus információs rendszerelemeket, infokommunikációs eszközöket megsemmisítésig a használatban lévő eszközöktől elkülönítetten kell tárolni és kezelni, figyelembe véve

(2) Az elektronikus információs rendszerelemek, infokommunikációs eszközök végleges használaton kívül helyezése előtt gondoskodni kell az adathordozóikon tárolt összes adat visszaállíthatatlan eltávolításáról és felülírásáról vagy a beépített adathordozó eltávolításáról és megfelelő tárolásáról, a beépített vezérlőszoftverek konfigurációjának törléséről, illetve alapértelmezett gyári értékek visszaállításáról.

(3) Külső félnek javításra, megsemmisítésre elszállítandó infokommunikációs eszközből el kell távolítani a beépített adathordozót, és anélkül kell átadni a külső fél képviselőjének. Ha az eltávolítás nem megoldható, akkor biztonságos adattörlési eljárást kell alkalmazni, vagy a külső fél arra felhatalmazott képviselője az adatvédelmi és titoktartási szabályok betartására vonatkozóan nyilatkozatot köteles tenni.

31. § (1) Az információs rendszer biztonságáért felelős személy az Üzemeltetéssel együttműködve gondoskodik az Iroda felügyelete alatt álló helyiségek esetén

(2) A informatikai központban, közvetlenül mellette és felette vizesblokk kialakítása tilos. Az informatikai központot védeni kell szennyvíz, illetve esővíz bejutása ellen.

(3) Az informatikai központokban végzett építési és karbantartási munkákat az érintettek előzetes értesítése, az időpontok egyeztetése után az üzemeltető által kijelölt munkatárs felügyeli.

(4) Az üzemeltetés és hibaelhárítás során jelentkező alkatrészbeszerzések, javítások és a rendszer fejlesztésére irányuló beszerzések biztonsági szempontú szakmai előkészítése az információs rendszer biztonságáért felelős személy feladata.

(5) A teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. Az informatikai központok üzemeltetése során biztosítani kell a mechanikai és a technikai védelmet, így

32. § (1) Infokommunikációs eszközökkel kapcsolatos csatlakoztatással, lecsatlakoztatással járó eszközmozgatást, továbbá csatlakoztatást, lecsatlakoztatást, szerelést, eszközátadást, üzembe helyezést és selejtezést csak az üzemeltető által kijelölt informatikus végezhet.

(2) Az infokommunikációs eszközökkel kapcsolatos minden (1) bekezdés szerinti csatlakoztatással, lecsatlakoztatással járó mozgatásról jegyzőkönyvet kell készíteni.

33. § Az infokommunikációs eszközök biztonsági beállításait, illetve háttértárolóinak tartalmát az elektronikus információs rendszer biztonságáért felelős személy évente az ellenőrzési terv alapján ellenőrzi. A felhasználó köteles az eszköz átadásával az ellenőrzés elvégzését segíteni. Az ellenőrzés során fokozott figyelmet kell fordítani arra, hogy

34. § (1) Az elektronikus információs rendszer megbízható és biztonságos működésének biztosítása érdekében meg kell határozni az összes rendszerelem kezelésére és működtetésére vonatkozó feladatokat és eljárásokat (a továbbiakban: üzemeltetési eljárások), amelyekbe beletartozik az összes szükséges működtetési és hibaelhárítási eljárás elkészítése.

(2) Az üzemeltetési eljárásokat az üzemeltetőnek kell részletesen dokumentálnia. A dokumentumokat az Iratkezelési Szabályzatnak megfelelően kell tárolni.

(3) Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia

(4)³⁵ Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetővé kell tenni az üzemeltetési feladatot ellátó munkatársak részére.

(5) Az üzemeltetési eljárások változása esetén az üzemeltetőnek ellenőrizni és dokumentálni kell

35. § (1) Az elektronikus információs rendszer napi üzemeltetésének feltételeit az üzemeltetővel kötött megállapodásban kell részletesen rögzíteni.

(2) Az üzemeltetésért felelős informatikai munkatársaknak rendszeresen el kell végezniük azokat az – üzemeltetési dokumentációban részletesen felsorolt – tevékenységeket, amelyek alapján meggyőződhetnek arról, hogy a rendszer üzemszerűen működik.

36. § (1)³⁶ Az elektronikus információs rendszer valamennyi hardver-, illetve szoftverelemét tartalmazó nyilvántartást a Költségvetési és Gazdálkodási Főosztály vezeti. A nyilvántartásnak tartalmaznia kell a rendszer hardverelemeinek pontos és naprakész konfigurációját, a működtető szoftverelemek egyedi beállításait és elhelyezkedését, az értük felelős személy nevét.

(2) Az üzembiztonság érdekében a szerverek operációs rendszereit, azok konfigurációját tartalék adathordozón is tárolni kell, amely szükség esetén azonnal betölthető.

37. § (1) Szoftvert az infokommunikációs eszközre csak az üzemeltető által kijelölt informatikus (a továbbiakban: kijelölt informatikus) tölthet le, másolhat és telepíthet, valamint azt az eszközről csak kijelölt informatikus távolíthatja el. Tilos hordozható, telepítés nélkül futtatható alkalmazások használata.

(2)³⁷ A felhasználó az infokommunikációs eszköz használata során az eszközre telepített alkalmazásokat használhatja. Új alkalmazás telepítését vagy a meglévő alkalmazás jogosultságváltozását az adott önálló szervezeti egység vezetője engedélyével a 2. melléklet szerinti adatlapon kell igényelni. Az elnök jogosult az igény felülvizsgálatára, és ha szükséges, biztonsági vagy gazdasági okból annak elutasítására.

(3) A felhasználó az infokommunikációs eszközre telepített alkalmazásokat a felhasználói leírás szerinti módon, szakszerűen köteles használni.

(4) A külső felek által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket, változásjelentőket és levelezéseket az önálló szervezeti egységek vezetői kötelesek másodpéldányban megküldeni a kijelölt informatikusnak.

(5) A külső fél által biztosított informatikai szolgáltatások használata során az általa kiadott előírások szerint kell eljárni.

(6) A szoftvereket és adatokat arra nem jogosult harmadik fél számára másolni és továbbadni tilos.

(7) A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licencdokumentációját a kijelölt informatikus tárolja és tartja nyilván.

38. § A bejelentéseket az üzemeltető által biztosított helpdesk szolgáltatáson keresztül az üzemeltető elektronikus levelezőcímére küldött üzenetben, valamint személyesen vagy telefonos megkereséssel lehet megtenni az üzemeltető és az Iroda közötti megállapodásban rögzítettek szerint.

39. § A fejlesztési folyamatok teljes szakasza alatt az Iroda kijelölt kapcsolattartója felügyeli és ellenőrzi a külső fél tevékenységét. Minden kritikus lépésről tájékoztatja az elnököt. Az elektronikus információs rendszer biztonságáért felelős személy eseti jelleggel ellenőrzi a fejlesztési folyamatok alatt, hogy azok megfelelnek-e az ezen utasításban foglalt rendelkezéseknek.

40. § (1) Az elektronikus információs rendszert automatikus vírusvédelmi rendszerrel kell ellátni, amely üzemeltetését és felügyeletét külső fél látja el.

(2) A rosszindulatú programok károkozását az alábbi intézkedésekkel kell elkerülni:

(3) Az elektronikus információs rendszerben és infokommunikációs eszközön csak olyan szoftver telepíthető és használható, amely az Iroda és az üzemeltető által jóváhagyott, telepítésre kiadott és engedélyezett nyílt forráskódú szoftver vagy a szerzői jog szerint biztosított licencigazolással, illetve más jogi igazolással rendelkező, illetve tulajdonosi vagy használói szerződéssel biztosított hivatalos forrásból származó jogtiszta szoftver.

(4) Az elektronikus információs rendszer biztonságáért felelős személy javaslatot tesz a rosszindulatú programok kiszűrésére és megelőzésére alkalmas különleges ellenőrző eszközök alkalmazására, beszerzésére.

(5) A felhasználóknak a kötelező oktatás során meg kell ismerniük a rosszindulatú és engedély nélküli programok alkalmazásával járó veszélyeket. A felhasználói oktatásnak ki kell térni a vírusvédelmi rendszer működésére.

(6) A felhasználónak tilos a kliensvédelmi programot inaktívvá tenni, a beállításokat megváltoztatni, a védelmi programot eltávolítani, kártékony kódot tartalmazó fájlt vagy elektronikus adathordozót bármilyen formában továbbítani, továbbadni, illetve fertőzött állománnyal munkát végezni.

(7) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi.

41. § (1) A munkatárs köteles megakadályozni az illetéktelen személyek hozzáférését az elektronikus információs rendszer erőforrásaihoz. A hatékony biztonságvédelem érdekében a felhasználói azonosítóval rendelkező felhasználók kötelesek együttműködni.

(2) A felhasználókat oktatáson tájékoztatni kell az elektronikus információs rendszerekben a felhasználói azonosítását végző eszközök, eljárások használatáról, különösen a jelszavak használatának szabályairól és a felhasználó kezelésében lévő infokommunikációs eszközök biztonsági előírásairól.

(3) A jelszavakat tilos papíron tárolni, kivéve a legteljesebb jogosultságot biztosító felhasználói azonosítók jelszavait, amelyeket kötelező zárt borítékban, két példányban, két különböző helyen, zárható lemezszekrényben tárolni.

(4) A jelszó kívülálló számára nem tartalmazhat a felhasználó személyére utaló információkat, különösen neveket, telefonszámokat, születési dátumokat, illetve összefüggő szöveget.

(5) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható, a felhasználó köteles gondoskodni arról, hogy illetéktelen személy ne láthassa meg az általa beírt jelszót.

(6) A biztonságos jelszóhasználat szabályait minden felhasználóval oktatáson kell ismertetni.

(7) A felhasználó azonosítójával és jelszavával az elektronikus információs rendszerben végrehajtott műveletekért személyesen felel.

(8) A felhasználó függetlenül a szerepkörétől az elektronikus információs rendszerbe csak saját felhasználónevével, azonosítójával és jelszavával léphet be, és az alkalmazásokat csak saját nevében használhatja.

(9) A jelszó érvényességi idejét, ezzel együtt a jelszócsere gyakoriságát az elektronikus információs rendszer egyedi szabályozása vagy a használt rendszer működése határozza meg. A jelszó cseréjét ezen értesítés hiányában legalább 90 naponta kötelező elvégezni.

(10)³⁸ A jelszóképzés szabályait a 3. melléklet tartalmazza.

(11) A felhasználói azonosító kialakításáról és az elektronikus információs rendszerbe történő felvételéről a külső fél gondoskodik. A külső fél alapértelmezett jelszóval adja át az első belépéshez szükséges információt a felhasználónak, aki a jelszót az első belépés után köteles azonnal megváltoztatni.

(12) Új felhasználó vagy új hozzáférés kiosztása esetén az üzemeltető munkatársa szóban vagy írásban ismerteti a felhasználóval a munkájához szükséges felhasználói nevét és induló jelszavát. A munkaállomásra történő első belépést követően elkészíti részére az informatikai eszközön szükséges beállításokat.

(13) Ha a felhasználónak tudomása vagy gyanúja van arról, hogy jelszava más tudomására jutott, erről az elektronikus információs rendszer biztonságáért felelős személyt köteles tájékoztatni és a jelszavát azonnal megváltoztatni.

42. § (1) A hálózati végpontok és az azokra csatlakoztatott infokommunikációs eszközök végpontvédelméről minden eszköz esetében úgy kell gondoskodni, hogy

(2) Az Iroda területén hálózati végpontot csak ellenőrzött körülmények között lehet létesíteni. Az ügyfélforgalom bonyolítására szolgáló helyeken a használaton kívüli végpontoknak az aktív és passzív hálózati elemekkel való kapcsolatát meg kell szüntetni, a strukturált hálózatról le kell választani.

(3) Vezeték nélküli hálózat az Iroda területén csak az elnök engedélyével létesíthető. A vezeték nélküli hálózat adatforgalmánál a megfelelő titkosítási eljárást be kell állítani.

(4) Minden infokommunikációs eszközt, amely alkalmas

(5) A kliensvédelmi rendszert az Iroda minden infokommunikációs eszközére telepíteni kell. Az Iroda informatikai hálózatához nem csatlakoztatható olyan infokommunikációs eszköz, amelyen nincs telepítve kliensvédelem.

(6) A használaton kívül helyezett infokommunikációs eszköz és az Iroda összes hálózata közötti összeköttetést meg kell szüntetni.

(7) Nem az NVI tulajdonában lévő vagy nem általa bérelt eszköz csatlakoztatása tilos az Iroda informatikai hálózatához.

(8) A végpontvédelmi intézkedések nem akadályozhatják az alapvető működési feladatokat, ezért biztosítani kell a munkavégzés során használt – engedélyezett és a feladat végrehajtásához szükséges – infokommunikációs eszközök zavartalan működését.

(9) Különböző időpontokban rendszeresen biztosítani kell a végpontvédelmi szoftverrel ellátott infokommunikációs eszközön a teljes víruskeresés futtatását.

(10) Az üzemeltető jogosult a végpontvédelmi rendszer telepítésére, beállítására, eltávolítására, ellenőrzésére, frissítésére a munkaállomásokon és szervereken egyaránt.

(11) Az üzemeltető kötelessége gondoskodni a végpontvédelmi rendszer naprakészen tartásáról és működtetéséről.

(12) Az üzemeltető az Iroda és a közte létrejött megállapodás alapján

(13) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi.

43. § (1) Az elektronikus információs rendszerek által is használt belső hálózaton történő adatforgalom védelmére a telephelyek közötti kommunikációs vonalon megfelelő hálózati védelmet kell kialakítani.

(2) Nyílt kulcsú titkosítást csak az elnök engedélyével lehet alkalmazni. A titkosítási rendszer kialakítása és a rendszer nyilvántartása az üzemeltető feladata.

(3) A nyílt kulcsú titkosítás eszközeinek és jelszavainak kezeléséért és megőrzéséért a kulcsot alkalmazó felhasználó felelős.

(4) A nyílt kulcsú titkosítás azonosítóit és a titkos kulcsok jelszavait páncélszekrényben, zárt borítékban kell tárolni. A boríték az elnök utasítására bontható fel.

(5) A fájlrendszerek titkosítását az elnök engedélyével lehet alkalmazni a mobil adathordozók és hordozható infokommunikációs eszközök esetében.

(6) A rendelkezésre álló szoftver telepítése és beállítása, a titkosított rendszer használatának nyilvántartása az üzemeltető feladata.

(7) A fájlrendszer titkosítása eszközeinek és jelszavainak kezeléséért és megőrzéséért a felhasználó felelős.

(8) A fájlrendszer titkosításának azonosítóit és jelszavait páncélszekrényben, zárt borítékban kell tárolni. A boríték az elnök utasítására bontható fel.

(9) Az elektronikus információs rendszerek által is használt belső hálózaton történő adatforgalom védelmére a telephelyek közötti kommunikációs vonalon titkosított adatkapcsolatot kell kialakítani.

(10) Elektronikus aláírást csak az elnök engedélyével lehet alkalmazni. Az elektronikus aláírás létrehozására alkalmas eszköz és a tanúsítvány csak minősített hitelesítésszolgáltatótól szerezhető be.

(11) Az elektronikus aláírás eszközeinek és jelszavainak kezeléséért és megőrzéséért a felhasználó felelős.

(12) A titkosítási és hitelesítési rendszerek alkalmazását az elektronikus információs rendszer biztonságáért felelős személy évente az ellenőrzési tervben foglaltak szerint ellenőrzi.

44. § (1) A mentési és visszaállítási eljárásokat úgy kell kialakítani, hogy az elektronikus információs rendszerek üzemszerű működése és a bennük kezelt adatok előre nem látható esemény, különösen katasztrófa vagy hardver, illetve szoftver meghibásodása vagy emberi mulasztás bekövetkezésekor szükség esetén helyreállíthatók legyenek, biztosítva a folyamatos napi működést. Biztosítani kell továbbá, hogy az üzemidő-kiesés, adatsérülés és adatvesztés minimális legyen.

(2) A mentések szakszerű elvégzését – az Irodával kötött megállapodásban rögzítettek szerint – az adott elektronikus információs rendszer üzemeltetője végzi saját adatmentési és naplózási eljárása körében.

(3) A mentésről rendszeres mentési naplót kell vezetni a mentési feladatban részt vevő, a mentési feladatot ellátó informatikusnak.

(4) Egyedi mentésnél a mentés elvégzéséről mentési és archiválási adatlapot kell készíteni, amelyet a mentési és archiválási nyilvántartáshoz kell csatolni. A mentett állomány törlését, ha szükséges, csak ez után lehet elvégezni.

(5) A mentésről a napi mentés és kazettacsere után azonnal bejegyzést kell tenni a naplóba.

(6) Egyedi mentésnél a mentés elvégzésével, illetve az adathordozó elhelyezésével egy időben kell kitölteni az adatlapot és ezt követően az adatlapot a mentési és archiválási nyilvántartáshoz felvezetni.

(7) Az adatlapokat és a nyilvántartást a mentés helyétől és az adathordozók tárolási helyétől különböző helyen kell elhelyezni.

(8) Az adatlapok tartalmi változásakor a mentett állomány szakmai felelősét tájékoztatni kell a változásról, és ennek tényét rögzíteni kell az adatlapon. A mentett állomány szakmai felelőse aláírásával igazolja a változások tudomásul vételét.

(9) A mentéssel kapcsolatos adatlapokat és nyilvántartást az elektronikus információs rendszer biztonságáért felelős személy legalább évente egyszer szúrópróbaszerűen ellenőrzi, és az elnököt jelentésben tájékoztatja az ellenőrzés eredményéről.

(10) A hálózat felügyeletét – az Irodával kötött megállapodásban rögzítettek szerint – az üzemeltető gyakorolja. A hálózatfelügyelettel kapcsolatos események az üzemeltető „helpdesk” rendszerében kerülnek dokumentálásra.

(11) Az elektronikus információs rendszerek működése során fellépő eseményeket megfelelő részletességgel naplózni kell. Az üzemeltetőknek ezeket a naplóállományokat rendszeresen ellenőrizniük kell, az ellenőrzés eredményéről rendszeresen és szükség esetén időszakosan jelentést kell tenniük az elektronikus információs rendszer biztonságáért felelős személy részére.

(12) Az elektronikus információs rendszer üzemeltetéséről az üzemeltető eseménynaplót vezet. Az informatikai központok üzemeltetési feltételeit és az ott készült naplókat az elektronikus információs rendszer biztonságáért felelős személy legalább évente egyszer szúrópróbaszerű ellenőrzés során megvizsgálja, és az éves jelentésben a tapasztalatairól tájékoztatja az elnököt.

45. § (1)³⁹ A mobil adathordozó eszközök kiadásáról, állapotváltozásáról és visszavételéről a Költségvetési és Gazdálkodási Főosztály nyilvántartást vezet.

(2) Az egyedi mentés elkészítéséhez használt adathordozó-típusok kiválasztásánál a beszerzést végző szervezeti egységnek figyelemmel kell lennie

(3) A külső félnél az Iroda elektronikus szoftvereinek telepítőkészletei, illetve adatainak mentésére és archiválására használt adathordozói, a mentés dokumentuma, a helyreállítást biztosító leírások tárolása tűzbiztos fémszekrényben,

(4) Az operációs rendszerek, alkalmazások és eszközkezelők telepítőállományait tartalmazó adathordozóiról az üzemeltetőnek szoftvernyilvántartást kell vezetni.

46. § (1) A mentések, archívumok tárolási ideje alatt az adatok integritásának megőrzését az Irodával kötött megállapodás szerint biztosítja a külső fél. A külső fél ellenőrzi az adattárolók műszaki állapotát és tárolását.

(2) A külső fél az Irodával kötött megállapodás szerint – az adathordozó típusától, valamint a rögzítés módjától függően – eltérő időközönként, de évente legalább egyszer ellenőrzi az adathordozó használhatóságának mértékét. Az adathordozók természetes fizikai romlása és elhasználódása következtében előálló biztonságcsökkenés miatt a működtetendő programokról és a hasznos adatokat tartalmazó adathordozókról – ha az adathordozó megközelíti a gyártó által javasolt felhasználási időtartamot, és az adathordozót nem lehet selejtezni – a külső félnek másolatot kell készíteni ezekről.

47. § (1) A levelezőrendszer vírusvédelmét folyamatosan frissíteni kell, valamint követni kell az új, elektronikus levél útján terjedő vírusok, kártékony kódok és adatlopási módszerek megjelenését.

(2) Az elektronikus levelezőrendszer elemei, elsősorban a kiszolgálók fizikai és logikai védelméről folyamatosan gondoskodni kell.

(3) Az elektronikus levelezőrendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, az elektronikus levelezési szolgáltatás használatát ideiglenesen fel kell függeszteni. Ennek elrendelésére az elektronikus információs rendszer biztonságáért felelős személy jogosult.

(4) Az elektronikus üzenetek bizalmasságának, illetve hitelességének védelme érdekében használt kriptográfiai eszközt vagy eljárást az elektronikus információs rendszer biztonságáért felelős személy engedélyezi.

(5) A felhasználói jogviszony megszűnésekor, annak napjától számított egy évig archiválni kell a felhasználó minden, iktatás alól mentesített elektronikus levelezését.

(6) Az (5) bekezdésben meghatározott időtartamon túl is az eljárás jogerős befejezéséig meg kell őrizni azokat az elektronikus leveleket, amelyek folyamatban lévő fegyelmi, büntető- vagy polgári eljárások alapját képezik.

(7) Az elektronikus levelezés forgalmát – a technikai lehetőségek szerint – tartalmilag szűrni kell, a szűrőn átjutott nem hitelesíthető, kétes forrásból származó üzeneteket ki kell vizsgálni.

(8) Az elektronikus levelezőrendszer reklám-, valamint egyéb üzleti célokra nem használható.

(9) A (2)–(8) bekezdésekben rögzített, az elektronikus levelezésre vonatkozó információbiztonsági irányelvek érvényesítéséért az elektronikus levelezőrendszer üzemeltetője felel.

48. § Minden felhasználót oktatás keretében kell tájékoztatni arról, hogy az elektronikus levelezőrendszerben tárolt és továbbított levelek – amelybe beleértendőek a központi levelezőkiszolgálón lévő, az Irodához tartozó postafiókok tartalma, azok mentései, valamint a felhasználók által használt infokommunikációs eszközökön tárolt, archivált állományok – az Iroda tulajdonát képezik, ezért az Iroda utasításaiban, valamint a jogszabály alapján erre feljogosított ellenőrző szerveknek ezekhez az állományokhoz a vizsgálatukhoz szükséges mértékig betekintési joguk van.

49. § (1) Az elektronikus levelezési szolgáltatás elérése csak védett (hiteles és titkosított) csatornán keresztül valósítható meg. A hozzáférés csak megfelelő azonosítási eljáráson keresztül történhet. A felhasználó felügyeleti lehetőségein kívüli munkaállomások, terminálok használata esetén csak az ennek megfelelő üzemmódban szabad bejelentkezni.

(2) Az Iroda elektronikus levelezési címjegyzéke nem szolgáltatható ki külső személynek.

(3) Az Iroda valamennyi felhasználója jogosult az internet, intranetes portál és elektronikus levelezés használatára. Az internet szolgáltatásait kizárólag munkahelyi eszközökön és csak a munkaköri feladatok ellátásához lehet igénybe venni, személyes célokra nem.

(4) A külső fél az Irodával kötött megállapodásban rögzítettek szerint jogosult weblap és internetes szolgáltatás elérésének korlátozására vagy teljes kizárására. A blokkolandó oldalakkal, oldalkategóriákkal vagy szolgáltatásokkal kapcsolatban az elektronikus információs rendszer biztonságáért felelős személlyel és az elnökkel kell egyeztetni.

(5) A hálózat számára nagy terhelést jelentő kép- és hanginformációkat tartalmazó adatállományok letöltését, megtekintését, meghallgatását, továbbítását az elnök engedélyezi.

(6) A felhasználók az Iroda nevében nem tehetnek közzé engedély nélkül internetes portálokon bejegyzéseket, információkat.

(7) Munkaidőben az Iroda elektronikus információs rendszereinek felhasználásával közösségi oldalakon hozzászólásokat elhelyezni tilos.

(8) Az Iroda tulajdonát képező, elektronikus információs rendszerben kezelt, illetve tárolt adat interneten publikálása vagy elektronikus levélben történő továbbítása, mások részére való hozzáférhetővé tétele – elnöki engedély hiányában – tilos.

50. § (1) Az Iroda elektronikus levelezőrendszerében a felhasználók személyes postafiókot és hozzá tartozó elektronikus levelezési címet kapnak, amelynek kezeléséről maguk gondoskodnak (archiválás, törlés, testreszabás). Az Irodán belül ezeket a postafiókokat, elektronikus levelezési címeket kell használni az elektronikus kommunikációra és kapcsolattartásra.

(2) A felhasználóknak rendszeres ellenőrzés és archiválás útján gondoskodniuk kell arról, hogy a személyes postafiókjuk mérete ne lépje túl az engedélyezett keretet. Az archív levelezést tartalmazó adatállományokat tilos a felhasználóknak magánhasználatra a szervezet informatikai infrastruktúrájából kijuttatni.

(3) Az Iroda egyes szervezeti egységei rendelkezhetnek hivatalos postafiókkal.

(4) A hivatalos postafiókkal rendelkező ügyintéző és a postafiók felügyeletét ellátó személy kötelessége naponta egyszer ellenőrizni a hivatalos postafiók méretét és szükség esetén az archiválást elvégezni.

(5) Az elektronikus levelezés során a hivatalos és a személyes postafiókokat vírusvédelmi rendszer védi. Az elektronikus postafiókba érkező, ismeretlen feladótól származó, nem szokványos formátumú, gyanús csatolmányt tartalmazó, illetve idegen nyelvű küldeményekkel – a fennálló vírusveszély miatt – fokozott óvatossággal kell eljárni. Gyanús küldemény érkezésekor, illetve a vírusvédelmi rendszer riasztása esetén a biztonsági események kezelésénél irányadó eljárási szabályok érvényesek; a csatolmányt ilyen esetben megnyitni tilos.

(6) Tilos lánclevelek indítása vagy továbbítása.

51. § Nyilvános elektronikus információs rendszerben a fokozott integritást igénylő informatikai programok, adatok és egyéb információk védelme érdekében védelmi eszközökkel kell gondoskodni arról, hogy

52. § (1) Az Iroda más szervezettel adat- és programcserét kizárólag írásos nyilatkozat alapján bonyolíthat, amelyben utalni kell az érzékeny adatok kezelésére is.

(2) A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni

(3) Az adatcsere esetében

(4) Rendkívüli esemény esetén a szállítást elrendelő önálló szervezeti egység vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében szükséges intézkedéseket, valamint ezzel egy időben tájékoztatnia kell az elektronikus információs rendszer biztonságáért felelős személyt az eseményről és a megtett intézkedésekről.

(5) Megfelelő technikai eljárásokkal és ellenőrzőeszközökkel gondoskodni kell a távközlési és adatátviteli eszközökön keresztül kicserélt információk védelméről. Ennek során figyelembe kell venni, hogy a távközlési eszközökben bekövetkező üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a különböző információkhoz.

(6) A belső használatú adatok nem hozhatók nyilvánosságra.

52/A. § (1) Az elektronikus információs rendszer és információtechnológiai szolgáltatás beszerzések végrehajtása az Iroda Közbeszerzési és Beszerzési Szabályzatáról szóló NVI utasítása alapján történik.

(2) Az Iroda elektronikus információs rendszereivel kapcsolatos biztonsági tervezés követi és kiegészíti az üzleti és informatikai tervezést.

(3)⁴¹ Azon beszerzések és szerződések esetében, amelyeknél elektronikus információs rendszer vagy hozzá kapcsolódó rendszerelem vagy szolgáltatás érintett, az elektronikus információs rendszer biztonságáért felelős személy ellenőrzi a támasztott biztonsági követelményeket, valamint a szerződés alapján végrehajtott fejlesztési feladatok teljesítése során azok megvalósítását, továbbá szükséges esetben fejlesztési vagy más, információbiztonságra vonatkozó javaslatot tesz az Informatikai Osztálynak és a Közbeszerzési Osztálynak.

(4) Az Iroda elektronikus információs rendszereit védeni kell a beszerzett rendszer, rendszerelem, eszközök vagy szolgáltatás beillesztésével járó kockázatoktól, ennek érdekében azon szerződések esetében, amelyeknél elektronikus információs rendszer vagy hozzá kapcsolódó rendszerelem vagy szolgáltatás érintett, a szállítóval kötött szerződésben rögzíteni kell, hogy a szállító köteles átadni az alkalmazandó védelmi intézkedések funkcionális tulajdonságainak leírását.

53. § (1) Az elektronikus információs rendszerben a külső fél által fejlesztett rendszerelemek tervezésében, fejlesztésében, tesztelésében, bevezetésében a munkatársak az elnök engedélyével vehetnek részt.

(2) Elektronikus információs rendszer tervezése és fejlesztése során az erre vonatkozó megállapodásban érvényre kell juttatni, hogy a rendszer tartalmazza

(3) Az elektronikus információs rendszerben történő változtatás során

(4) Új elektronikus információs rendszer bevezetése előtt, amennyiben a rendszer kritikussága és a védendő adatok köre indokolja, teljes körű tesztelési eljárásokkal kell megbizonyosodni az összes biztonsági modellben megfogalmazott elvárás érvényesüléséről.

(5) Az elektronikus információs rendszer változtatását megelőzően a tesztelésről készített jelentés felhasználásával – az elektronikus információs rendszer biztonságáért felelős személy javaslatára figyelemmel – az elnök dönt az alkalmazások bevezetéséről vagy az azok környezetén történő változtatásokról.

(6) Az operációs rendszer változásának hatásfelmérését követően lehet végrehajtani az elektronikus információs rendszerben az operációs rendszer verzióváltásait, illetve szervizcsomagok és frissítések telepítését. A szervizcsomagok és frissítések telepítése során a kockázatok felmérése az operációs rendszert üzemeltető feladata.

(7) A kiemelt rendelkezésre állási időszak alatt a szoftverek módosítása nem engedélyezett. Ezen időszakok között bármely módosítást kizárólag az elnök engedélyezhet.

(8) A külső féllel végeztetett rendszerfejlesztés esetén az erre vonatkozó megállapodásban rögzíteni kell a tulajdonosi, használati és licencjogokat, valamint a követés módját, formáját és minimális időtartamát.

(9) Az elektronikus információs rendszerben külső fél által végzett rendszerfejlesztés esetén az elektronikus információs rendszer biztonságáért felelős személynek vizsgálnia kell az információbiztonsági veszélyeket és kockázatokat.

(10) Az elektronikus információs rendszerben végzett rendszerfejlesztés minden elemét dokumentálni kell. Az Iroda elektronikus információs rendszerében végzett fejlesztés információbiztonsági területe felett az elektronikus információbiztonságért felelős személy gyakorol felügyeletet. Az elektronikus információbiztonságért felelős személy az éves ellenőrzése során szúrópróbaszerűen ellenőrzi a rendszerfejlesztési dokumentációkat, tapasztalatairól az éves jelentésben tájékoztatja az elnököt.

(11) A rendszerszintű adatállományok védelmének érdekében ellenőrizni és dokumentálni kell a védendő rendszer-adatállományok elérését. A rendszer integritásának fenntartása annak az üzemeltetőnek a feladata, amelyhez az alkalmazói rendszer vagy program tartozik.

54. § (1) A fejlesztői, a teszt- és az éles rendszereket egymástól el kell választani.

(2) Az osztott hálózati munka, különösen a több szervezet által használt hálózat biztonsága szükségessé teszi a hálózati szintű korlátozást. Ezeket a forgalomszűrő, ellenőrző lehetőségeket, amennyiben szükséges, az átjáró, a tűzfal és az operációs rendszer beállításánál alkalmazni kell.

(3) Korlátozó rendelkezéseket különösen

(4) Az Iroda szervezetén túlterjedő hálózatoknál kötelező az útvonal-kiválasztást ellenőrző és vezérlő eszközök, módszerek alkalmazása, amelynek során

(5) Az informatikai hálózati határvédelem során az Iroda informatikai hálózatában az internetkijárat, valamint minden külső, nem megbízhatónak ítélt hálózat felé történő kommunikáció során a belső hálózat és az ott elhelyezkedő elektronikus információs rendszerek és adatok védelme érdekében biztonsági és védelmi megoldásokat kell alkalmazni. Gondoskodni kell a hálózat fizikai elemeinek védelméről, így különösen

(6) A szükséges tűzfalvédelmi szabályokról, a hálózati zónák kialakításáról és védelméről, valamint az elektronikus információs rendszerek behatolás elleni védeleméről a külső felek gondoskodnak, az erre vonatkozó szakmai előírások és a biztonsági szabályok betartása mellett.

(7) A rendszer telepítése során csak azok a hálózati szolgáltatások implementálhatóak a rendszerbe, amelyekre az üzemeltetéshez feltétlenül szükség van. A rendszerüzemeltetőnek minden esetben fel kell mérnie, és minden részletre kiterjedően dokumentálnia kell az általa alkalmazott hálózati szolgáltatás egyedi, illetve összetett biztonsági jellemzőit. Amennyiben több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása a hálózatot üzemeltető feladata.

(8) A hatékony védelem megvalósítására integrált biztonsági rendszert kell kialakítani, amelynek legfontosabb feladatai

55. § (1) A meglévő szoftverek továbbfejlesztését vagy új alkalmazások bevezetését az érintett önálló szervezeti egységek vezetői írásos fejlesztési igénnyel kezdeményezhetik az Iroda Beszerzési Szabályzatában meghatározottak szerint.

(2) Az Iroda számára szoftverek bevezetését, fejlesztését és az általa használt szoftverek továbbfejlesztését az elnök engedélyezi.

(3) Az integrált szolgáltatást nyújtó kész (dobozos) szoftverek vásárlásánál, valamint az Iroda egyedi fejlesztésű alkalmazásai esetében az erre épülő az adott elektronikus információs rendszerek üzemeltetéséért felelős külső félnek

(4) A szoftver átvétele és üzembe helyezése előtt el kell végezni a követelmények dokumentálását, és le kell futtatni a szükséges teszteket. A szoftver működtetéséhez, működéséhez szükséges adatfeldolgozó és adattároló kapacitásokról való gondoskodás során

(5) A szoftver átvételének alapvető követelménye az átadás-átvételi jegyzőkönyv, amelynek tartalmaznia kell minden, az átvétellel kapcsolatos feladatot, kötelezettséget, dokumentációt.

(6) A (3)–(6) bekezdésben foglalt követelmények teljesüléséért az elektronikus információbiztonságért felelős személy felel.

56. § (1) Fejlesztés során az éles környezet mellett külön fejlesztői, teszt- és oktatói környezetet kell kialakítani. A tesztkörnyezetnek a tesztelni kívánt elem kivételével az éles környezettel hardver- és szoftverelemeiben, konfigurációjában megegyezőnek kell lennie.

(2) A fejlesztői környezetből tesztelés nélkül semmilyen elem sem kerülhet át az éles környezetbe. Nem éles környezetben csak olyan próbaadatok használhatók, amelyek nem sértik az éles környezetbeli adatokra vonatkozó adatvédelmi szabályokat.

(3) A külső fejlesztő hozzáférését az éles környezethez csak rendkívüli esetben lehet engedélyezni, ha ez feltétlenül szükséges az üzemeltetés folyamatosságának biztosításához vagy más kiemelten fontos cél eléréséhez.

(4) Az ilyen hozzáférést az elnök minden alkalommal külön, írásban engedélyezi. Az engedélyben meg kell jelölni a feladatvégzés célját. A fejlesztő munkájának megkezdése előtt a rendszerről mentést kell készíteni. A fejlesztő által elvégzett munkákat az Iroda által kijelölt kapcsolattartó részletesen dokumentálja, naplózza. A fejlesztő munkájának befejezése után az éles rendszerhez adott jogosultságát haladéktalanul meg kell vonni.

57. § (1) Az önálló szervezeti egység vezetője írásban köteles tájékoztatni az adott információs rendszer üzemeltetőjét a felhasználóra vonatkozó minden olyan változásról, amely érinti az elektronikus információs rendszert. A felhasználó jogviszonyának megszűnésekor az önálló szervezeti egység vezetője gondoskodik a jogosultságok visszavonatásáról. A felhasználóval kapcsolatban felmerülő egyéb informatikai igényeket is az adott elektronikus információs rendszer üzemeltetésére vonatkozó szerződésben meghatározott eljárás szerint kell benyújtani, különösen

(2) Az igény alapján az üzemeltető, amennyiben az Irodával kötött megállapodása erre is kiterjed,

58. § Az Iroda elektronikus információs rendszerét úgy kell kialakítani, illetve abban csak olyan szoftverek használhatók, amelyek rendszerébe felhasználó csak azonosítás után jelentkezhet be. Az elektronikus információs rendszerbe csak az elnök által engedélyezett felhasználónak lehet azonosítót és jelszót adni.

59. § Az elektronikus információs rendszert úgy kell kialakítani, hogy a felhasználók a sikeres authentikációt követően szerepkörökhöz rendelten érhessék el a rendszer funkcióit. Tilos a szerepkörökön kívüli egyedi jogosultságadás.

60. § (1) Az Iroda elektronikus információs rendszerében felvett és ott jogosultságokat kapott felhasználót az üzemeltető az Irodával kötött megállapodásban rögzítettek szerint tartja nyilván.

(2) A felhasználók hálózati mappákhoz való hozzáférésének jogosultsági szintjeit az adott önálló szervezeti egység vezetője kérelmezi, amit az üzemeltető állít be.

(3) Az infokommunikációs eszközöket, valamint az elektronikus információs rendszerekhez való hozzáférést minden esetben felhasználói azonosításhoz kell kötni.

(4) Az elektronikus információs rendszerben a felhasználók azonosítása egyedi, ellenőrizhető és hitelesítésre alkalmas felhasználói azonosító használatával valósul meg.

(5) A felhasználói jogosultságokat a kijelölt informatikus az elektronikus információs rendszerek biztonságáért felelős személy felügyelete mellett évente felülvizsgálja, az eredményéről és a szükséges módosítási javaslatokról tájékoztatja az elnököt.

(6) A rövid, eltávozással járó szünet idejére az infokommunikációs eszközt a felhasználónak az illetéktelen hozzáférés ellen zárolni kell.

(7) Az infokommunikációs eszközt illetéktelen személy jelenléte mellett a felhasználó nem hagyhatja felügyelet nélkül.

(8) A használaton kívüli állapotban lévő (lekapcsolt) infokommunikációs eszközöket a felhasználó csak – illetéktelen személy elől – elzárt helyen hagyhatja.

(9)⁴³ A felhasználói igényeket a 2. melléklet szerinti igénylőlap kitöltésével kell bejelenteni.

61. § (1) Az üzemeltető feladataként kell meghatározni az elektronikus információs rendszerek oly módon történő konfigurálását, hogy a belépések és a belépési kísérletek a teljes adattartalommal naplózásra kerüljenek.

(2) Az elektronikus információs rendszeren vagy rendszerelemen tárolt naplókat az üzemeltető és az elektronikus információs rendszer biztonságáért felelős személy a rendszer karbantartása során szúrópróbaszerűen vagy rendszeresen ellenőrizheti. Biztonsági eseményt követően a naplókat az eseménnyel egyező időszakra vonatkozóan ellenőrizni és archiválni kell.

(3) A jogosultságok nyilvántartását és a jelszókezelést az elektronikus információs rendszer biztonságáért felelős személy évente egyszer az ellenőrzési tervben rögzítettek szerint szúrópróbaszerűen ellenőrzi, és az elnököt az éves jelentésben tájékoztatja az ellenőrzés eredményéről.

62. § (1) Az elektronikus információs rendszer elemeinek az internet felől adminisztrálási célból történő elérése csak titkosított kapcsolaton keresztül, legalább kétfaktorú azonosítást követően engedélyezhető. Az ilyen kapcsolat kiépítésére az elnök adhat engedélyt.

(2) Minden adminisztrátori tevékenységnek személyhez kell köthetni.

(3) Külső hálózatról az elektronikus információs rendszerekhez történő elérés kizárólag az erre a célra dedikált védelmi rendszeren, különösen tűzfalakon, zónákon keresztül biztosítható.

(4)⁴⁴ Kiemelt rendelkezésre állási időszak alatt kizárólag a védett környezetű helyszíneken engedélyezett a hozzáférés, minden egyéb távdiagnosztikai vagy menedzsment kapcsolat tilos.

(5) Az internet és az elektronikus információs rendszerek különböző zónái között az üzemeltetők – az Irodával kötött megállapodás keretei között – kötelesek gondoskodni arról, hogy a tűzfalak biztosítsák az elválasztást. Az egyes zónák között csak meghatározott szolgáltatások meghatározott portokon és meghatározott irányokban kommunikálhatnak.

(6) Az internet és az elektronikus információs rendszerek különböző zónái között a hálózaton a hálózati forgalom útvonalát meg kell határozni.

(7) A kiemelt rendelkezésre állási időszak alatt az érintett elektronikus információs rendszereket speciális, illetéktelen hozzáférés elleni védelmet biztosító szolgálattal kell folyamatosan felügyelni. Az illetéktelen hozzáférés elleni szolgálat üzemeltetési rendjét úgy kell kialakítani, hogy

(8) Az üzemeltető feladata – az lrodával kötött megállapodásban rögzített keretek között – a központi tárterület biztosítása ahhoz, hogy a felhasználók személyes mappáikban elhelyezhessék az általuk kezelt, hivatali dokumentumaikat és adataikat.

(9) A központi tárterületek adatstruktúráját, könyvtárszerkezetét és felépítését az adatokat kezelő önálló szervezeti egység vezetője határozza meg.

(10) A hivatalos dokumentumokat a rendszeres és ellenőrzött mentés biztosítása érdekében a hálózati fájlkiszolgáló erre a célra kijelölt tárterületén kell tárolni. A felhasználók felelősek a munkaállomásaikon tárolt és a fájlkiszolgálóra fel nem töltött adatok megsemmisüléséből keletkezett károkért.

(11) A felhasználónak kötelessége az infokommunikációs eszköz és a fájlszerver központi tárterületén tárolt és általa készített vagy kezelt adatállományokat évente időközönként felülvizsgálni; azokat az állományokat, amelyek nem szükségesek, törölnie kell. A törlést a felhasználó végzi.

(12) A központi fájlszerver tárkapacitásának túlterheltsége esetén a központi tárterületeken tárolt adatok rendszeres karbantartása érdekében az elnök kijelöli azt a munkatársat, aki együttműködve az üzemeltetővel elvégzi a felesleges adatok, illetve a megfelelő mentési és archiválási eljárás során lementett adatok törlését.

(13) A központi tárterületen tárolt adatok, információk rendelkezésre állásáért és biztonsági másolatának elkészítéséért és tárolásáért az üzemeltető a felelős.

(14) Az önálló szervezeti egység vezetőjének engedélyével és felügyeletével a felhasználó indokolt esetben kérheti az egyedi mentést a központi tárterületen található felhasználói mappákról, illetve az infokommunikációs eszköz adathordozóján található felhasználói adatokról.

(15) A hálózati hozzáféréseket érintő eseményekről, valamint beállításokról az érintett önálló szervezeti egység vezetőjének írásos feljegyzést kell készíteni az üzemeltető részére.

(16) A hálózati hozzáférések felett az üzemeltető gyakorol felügyeletet.

63. § (1) Az elektronikus információs rendszer biztonságáért felelős személy évente legalább egyszer, az ellenőrzési tervben rögzítettek szerint gyakorlati eseti auditot végez. Ennek során az utasítás hatálya alá tartozó rendszerek sebezhetőségére irányuló támadáspróbával győződik meg a hálózati integritás állapotáról.

(2)⁴⁵ Az elektronikus információs rendszer biztonságáért felelős személy az éves tervezett ellenőrzés mellett eseti ellenőrzést végez a hálózat működése, a hálózati kommunikációs szabályok és hozzáférési engedélyek vonatkozásában, amelynek eredményét az éves jelentésében rögzíti.

64. § (1)⁴⁶

(2)⁴⁷ Az operációs rendszerhez, illetve az alkalmazások rendszerfájljaihoz és adatokhoz a hozzáférés csak a kijelölt informatikus számára biztosított.

(3) Az informatikai központban működő elektronikus információs rendszerek rendszergazdáinak jogait nyilvántartó dokumentumot az üzemeltető erre felhatalmazott vezetője hagyja jóvá. Ebből egy-egy példányt kell tárolni minden érintett informatikai központban.

(4) Az elektronikus információs rendszerbe belépő felhasználókhoz rendelt biztonsági előírások meghatározását és beállítását az elektronikus információs rendszer biztonságáért felelős személy és az üzemeltető együttes döntése szerint kell megvalósítani.

(5) A jogosultságok engedélyezési folyamata során az engedélyező személy gyakorol kontrollt az engedélyek jogossága és megfelelősége felett.

(6) Az elektronikus információs rendszer biztonságáért felelős személy az éves ellenőrzése során az ellenőrzési tervben foglaltak szerint szúrópróbaszerűen ellenőrzi a jogosultságigénylések jogosságát és megfelelőségét, valamint ellenőrzi a nyilvántartások naprakész vezetését; az ellenőrzésekről az éves jelentésében számol be az elnök részére.

65. § (1) A felhasználó csak a számára meghatározott információkhoz férhet hozzá. Minden egyéb hozzáférési kísérlet biztonsági eseménynek minősül.

(2) Az elektronikus információs rendszerbe belépő felhasználókhoz kapcsolt egypontos hálózati azonosítás biztosítása az érintett alkalmazások üzemeltetőjének és a hálózat üzemeltetőjének megállapodása alapján történik. A megállapodásban kell rögzíteni a beállítással kapcsolatos feltételeket.

(3) Új, saját fejlesztésű rendszerek bevezetésekor a (2) bekezdés szerinti módszert kell alkalmazni.

(4)⁴⁸ A jogosultságigényléseket a 2. melléklet szerinti jogosultságigénylő lap tartalma alapján az elektronikus információs rendszer biztonságáért felelős személy továbbítja az alkalmazás üzemeltetőjének, majd az adatlapokat a jogosultsági nyilvántartásba felvezeti.

(5) A jogosultságok engedélyezési folyamata során az engedélyező személy gyakorol kontrollt az engedélyek jogossága és megfelelősége felett. Az elektronikus információs rendszer biztonságáért felelős személy az éves ellenőrzése során az ellenőrzési tervben foglaltak szerint szúrópróbaszerűen ellenőrzi az alkalmazáshoz igényelt jogosultságigénylések jogosságát és megfelelőségét, valamint a nyilvántartások naprakész vezetését, az ellenőrzésekről az éves jelentésében számol be az elnök részére.

66. § (1) Az Iroda tulajdonát képező hordozható infokommunikációs eszközöket az Iroda területén kívül csak az érintett önálló szervezeti egység vezetőjének írásos engedélyével rendelkező személyek használhatják.

(2) A hordozható infokommunikációs eszköznek az arra felhatalmazott személy részére történő átadásakor az átadó tárolási nyilatkozatot készít, amely tartalmazza az eszköz műszaki adatait, az átadás-átvétel adatait és az eszközön telepített szoftverek adatait.

(3) Az átadó köteles az eszköz átadása során felvilágosítani a felhasználót a hordozható infokommunikációs eszközök használatának veszélyeiről, kockázatairól, amit a felhasználó a tárolási nyilatkozaton aláírásával igazol, és az eszközért felelősséget vállal.

(4) A hordozható infokommunikációs eszközök adathordozóin biztosítani kell a teljes rendszerszintű titkosítást, amely kikapcsolt állapotban védi az adatokat az illetéktelen hozzáféréstől. Nem titkosított, nyílt hálózati kapcsolatok, különösen Wi-Fi, illetve Bluetooth használata tilos. Az eszközön a vezeték nélküli kapcsolatot alapértelmezésben kikapcsolt állapotban kell tartani.

(5) A felhasználó az önálló szervezeti egység vezetője engedélyével igényelheti, hogy a hordozható infokommunikációs eszközét az internetes szolgáltatások elérése céljából vezeték nélküli hálózathoz csatlakoztathassa azzal a feltétellel, hogy az eszköznek rendelkeznie kell frissített, az üzemeltető által jóváhagyott kliensvédelemmel.

(6) A felhasználó köteles az Iroda tulajdonában lévő hordozható infokommunikációs eszközt hetente, illetve hosszabb távollét esetén havonta az Iroda informatikai hálózatához csatlakoztatni abból a célból, hogy a biztonsági és vírusvédelmi frissítések települhessenek, megőrizve ezzel a biztonság integritását.

(7) A hordozható infokommunikációs eszközöket használó felhasználónak

(8) Az adatokat a mobil adathordozóról a feladat elvégzése után, védett hálózati meghajtóra való felmásolást követően le kell törölni, és az adathordozót az esemény dokumentálása mellett a tárolóhelyre vissza kell adni.

(9) A hivatali adathordozót magáncélra használni, azon magánjellegű adatot tárolni, illetve nem hivatali adathordozót hivatali célra használni és azon hivatali adatot tárolni tilos.

(10) Az Iroda elektronikus információs rendszerébe kapcsolt infokommunikációs eszközben csak olyan adathordozót lehet használni, arról adatokat beolvasni, amelyen előtte a rendszeresített és telepített víruskereső programmal ellenőrzést végeztek, és az eredmény alapján megállapítható, hogy az adathordozó nem tartalmaz rosszindulatú programot.

(11) A hordozható infokommunikációs eszközök és mobil adathordozók felhasználói felelősek az eszközön található adatok esetleges kiszivárgásáért, az eszköz elvesztéséért, eltűnéséért, megsérüléséért. A hordozható infokommunikációs eszközök, mobil adathordozók eltűnése, ellopása esetén annak tényét a felhasználó haladéktalanul jelenteni köteles az elektronikus információs rendszer biztonságáért felelős személynek és az elnöknek.

(12) A felhasználók egyes feladatok elvégzése érdekében, a részükre biztosított, nyilvántartott és egyedi azonosítóval ellátott, hivatali tulajdonú mobil adathordozóra kimenthetik a feladathoz kapcsolódó állományaikat.

67. § (1) Az Iroda hálózatában távoli eléréssel történő munkavégzést indokolt esetben, írásbeli kérelem alapján az elnök engedélyezhet.

(2) Az Iroda hálózatába bejelentkező személyek felett az Irodával kötött megállapodás alapján az üzemeltető gyakorol kontrollt a nyilvántartásain és ellenőrzésein keresztül.

(3) Az Iroda hálózatában csak az Iroda által biztosított infokommunikációs eszközökkel, a biztonsági követelmények betartása mellett végezhető távoli eléréssel történő munkavégzés.

(4) A távoli eléréssel történő munkavégzés eszközeinek és beállításainak meg kell felelniük az Irodán belüli használatra előírt biztonsági feltételeknek.

(5) A távoli eléréssel történő munkavégzéssel kapcsolatos dokumentációt az igénylések és engedélyezések levelezései, illetve a megfelelő adatlapok képezik.

(6) Az elektronikus információs rendszer biztonságáért felelős személy az éves ellenőrzések során az ellenőrzési tervben foglaltak szerint szúrópróbaszerűen ellenőrzi a távoli eléréssel történő munkavégzés-igénylések jogosságát és megfelelőségét, valamint a dokumentációt; az ellenőrzésekről az éves jelentésében számol be az elnök részére.

68. § (1) A külső felek az Iroda elektronikus információs rendszerének megfelelő működése és biztonsága érdekében az informatikai hálózatot, valamint az internetszolgáltatást monitorozhatják.

(2) Az elektronikus információs rendszerek, illetve rendszerelemek biztonsági, esemény- és hibanaplózását aktív állapotban kell tartani.

(3) Minden rendszerelemről az üzemeltető az Irodával kötött megállapodásban rögzítettek alapján eseménynaplót vezet, amelyben rögzíti a rendszerelemmel kapcsolatos szoftveres és hardveres beavatkozásokat, eseményeket.

(4) Az elektronikus információs rendszer valamennyi időinformáció kezelésére alkalmas elemének egységes időalapot kell biztosítani.

(5) Az elektronikus információs rendszer monitorozása során jegyzőkönyvet kell készíteni a tapasztalatokról a vizsgált időszak és terület vonatkozásában. Az informatikai központok belépési naplóit és a rendszerelemek eseménynaplóit naprakészen kell vezetni. A rendszer monitorozása során be kell tartani az adatvédelemre és a személyiségi jogokra vonatkozó törvényi előírásokat.

(6) Az elektronikus információs rendszer biztonságáért felelős személy az éves ellenőrzések során az ellenőrzési tervben foglaltak szerint szúrópróbaszerűen ellenőrzi az (5) bekezdés szerinti naplókat és jegyzőkönyveket, az ellenőrzésekről az éves jelentésében számol be az elnök részére.

69. § (1) Harmadik fél számára is hozzáférhető elektronikus információs rendszerek biztonságának fenntartása érdekében a hozzáféréseket minden esetben ellenőrizni kell. Az ellenőrzés az elektronikus információs rendszer biztonságáért felelős személy feladata.

(2) A biztonsági kockázatokat és az ellenőrzés, valamint a felügyelet követelményeit fel kell mérni. A felmérésért a harmadik féllel kötött megállapodás szakmai előkészítéséért felelős önálló szervezeti egység vezetője felel.

(3) Harmadik fél hozzáférésénél további résztvevők közreműködése is engedélyezhető. A hozzáféréséről rendelkező harmadik féllel kötött megállapodásban rendelkezni kell arról, hogy más, arra jogosult közreműködők is hozzáférhetnek a különböző eszközökhöz. A megállapodásban rögzíteni kell a hozzáférés feltételeit.

(4) Amennyiben harmadik félnek ideiglenes hozzáférési engedélyt kell biztosítani, a hozzáférési engedélyt az önálló szervezeti egység vezetője kérheti. Az elektronikus információs rendszer biztonságáért felelős személy a biztonsági előírások figyelembevételével dönt az engedély megadásáról, a kiadott engedély másolatát átadja a kérelmező vezetőnek. A visszavonás feltételeit és a lejárat időpontját tartalmaznia kell a hozzáférési engedélynek.

(5) Az Iroda azon harmadik félnek, aki az Iroda számára megállapodás alapján szolgáltatásokat nyújt, tevékenysége végzéséhez meghatározott és engedélyezett fizikai, illetve logikai hozzáféréseket biztosít a megállapodásban rögzített feltételek szerint.

(6) A harmadik fél hordozható infokommunikációs eszközén tárolt, a munkavégzés során megszerzett és az Irodával kapcsolatos adatokat a munkavégzés befejezése után visszaállíthatatlanul törölni kell, amelyről a harmadik félnek írásos nyilatkozatot kell tennie.

70. § (1) A meghibásodások és a rendellenességek elhárítása során

(2) Az üzletmenet-folytonosság tervezését projektszerűen kell megvalósítani. Az üzletmenet-folytonosság biztosítási folyamatának kialakítása során figyelembe kel venni

(3) Az üzletmenet-folytonosság megfelelő szintjét a szükséges megelőző, illetve visszaállító intézkedésekkel kell biztosítani, amely intézkedéseket előre meg kell tervezni.

(4) Az üzletmenet-folytonossági tervnek részletesen meg kell határoznia a kívánt üzletmenet-folytonosság fenntartásához szükséges megelőző, helyettesítő, illetve visszaállító intézkedések megvalósításához szükséges feltételeket, szervezeti és szervezési lépéseket és a megvalósítás módját.

(5) A tervezés során mérlegelni kell az okozott kár nagyságát és az üzemzavari események, a veszélyhelyzetek bekövetkezésének gyakoriságát.

71. § (1) Az üzletmenet-folytonossági terv fő részei:

(2) Az üzletmenet-folytonossági tervben foglalt intézkedések kiterjednek a központi erőforrásokra, azok fizikai és személyi környezetére, a végponti munkaállomásokra és a kommunikációs rendszer területeire.

(3) Az előzetes intézkedési tervnek tartalmaznia kell mindazon feltételek biztosítására vonatkozó intézkedéseket, amelyek megléte nélkül az üzletmenet-folytonossági terv nem működőképes, és a következő projektfázisban elvégzendő üzletmenet-folytonossági terv tesztje és tréningje nem valósítható meg.

(4) Az üzletmenet-folytonossági terv tesztelése és tréningje akkor válik elindíthatóvá, ha a szervezet által az üzletmenet-folytonossági terv készítési fázisa végén elfogadott intézkedési tervben foglaltak olyan szinten megvalósultak, hogy az üzletmenet-folytonossági terv tesztje és tréningje meghatározott üzemzavar- és katasztrófaeseményre kivitelezhető.

(5)⁴⁹ Az üzletmenet-folytonossági tervnek ki kell terjednie

(6)⁵⁰ Az üzletmenet-folytonossági tervben rendelkezni kell arról, hogy az események kezelése során

(7)⁵¹ Az üzletmenet-folytonossági tervben rendelkezni kell az események kezelését követő elnöki jelentés tartalmi elemeiről.

(8)⁵² Az üzletmenet-folytonossági tervhez kapcsolódó visszaállítási eljárásrendekben a biztonsági események és rendszerhibák javítási eljárását úgy kell meghatározni, hogy

(9)⁵³ Az üzletmenet-folytonossági tervben részletezettek szerint az eseményeket

(10)⁵⁴ Az elektronikus információs rendszer szolgáltatásának, rendszerelemének üzemeltetője – az Iroda és a közötte létrejött megállapodásban meghatározottak szerint – az üzletmenetet befolyásoló események szabályozott kezelése érdekében helyreállítási eljárásrendet készít és tart naprakészen. Az esemény bekövetkezése esetén az eljárásrend alapján intézkedik a hiba megszüntetéséről, és a további teendőkről az elektronikus információs rendszer biztonságáért felelős személyt folyamatosan tájékoztatja. Indokolt esetben (pl. katasztrófahelyzet) – ideiglenes jelleggel – helyettesítő megoldással is biztosíthatja az érintett szolgáltatás üzemeltetője a meghatározott kritikus folyamatok működését, az ezekhez kapcsolódó felhasználói munkavégzést.

72. § (1) A katasztrófaelhárítás-tervezés célja a kiesési idő, a rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A vészhelyzetekből eredő károk megelőzésének, mérséklésének alapvető követelménye a terv elkészítése, tesztelése és a végrehajtás rendszeres gyakorlása.

(2) Veszélyhelyzetnek minősül

(3) A katasztrófaelhárítási terv eljárások vagy tevékenységlépések sorozata annak biztosítására, hogy az Iroda információfeldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa után elfogadhatóan rövid időn belül helyre lehessen állítani.

(4) A tervek tesztelését egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kell megvalósítani.

(5) A teszt értékelése során az üzletmenet folytonosságát biztosító terveket módosítani, aktualizálni kell, és gondoskodni kell azok egymáshoz való illesztéséről. A terveket a folytonosan változó helyzethez, körülményekhez, infrastrukturális követelményekhez is hozzá kell igazítani.

73. § Ez az utasítás a közzétételét követő napon lép hatályba.