27/2020. (IX. 10.) ITM utasítás

1. Általános rendelkezések

1.1. Az IBSZ célja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) szerinti, az Innovációs és Technológiai Minisztérium (a továbbiakban: ITM) adatkezelői, adatgazdai, alkalmazás fejlesztetői, egyes esetekben üzemeltetői minőségében az elektronikus információs rendszereiben (a továbbiakban: rendszerek) kezelt adatok védelmének, a rendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása.

1.2. Az Ibtv.-ben meghatározott kötelezettség végrehajtása érdekében

1.2.1. folytonos, zárt, teljes körű védelmet teremt meg és biztosít a rendszerek teljes életciklusában,

1.2.2. a rendszerekkel és adatokkal kapcsolatba kerülő bármely jogállású személy tevékenységét szabályozza és ellenőrzi,

1.2.3. a biztonsági szabályokat megsértő személyek felelősségre vonása iránt a cselekmény súlyához igazodva intézkedik,

1.2.4. az ITM által üzemeltetett alkalmazások, felügyelt fejlesztések biztonságát megteremti és fenntartja,

1.2.5. a NISZ Nemzeti Infokommunikációs Szolgáltató Zártkörűen Működő Részvénytársaság (a továbbiakban: NISZ) által a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet (a továbbiakban: Rendelet) 4. §-a alapján létrejött közszolgáltatási szerződés alapján üzemeltetett rendszerek, illetve nyújtott szolgáltatások információbiztonsági felügyeletét közvetett módon, a Rendelet útján biztosítja az Ibtv. 11. § (3) bekezdése szerint.

2. Szabályozási háttér

2.1. Az IBSZ alapja

2.1.1. az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény;

2.1.2. a munka törvénykönyvéről szóló 2012. évi I. törvény (a munkavállalók tekintetében);

2.1.3. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény;

2.1.4. a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet;

2.1.5. a Nemzeti Kiberbiztonsági Koordinációs Tanács, valamint a Kiberbiztonsági Fórum és a kiberbiztonsági ágazati munkacsoportok létrehozásával, működtetésével kapcsolatos szabályokról, feladat- és hatáskörükről szóló 484/2013. (XII. 17.) Korm. rendelet;

2.1.6. az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet;

2.1.7. a Kormányzati Adatközpont működéséről szóló 467/2017. (XII. 28.) Korm. rendelet;

2.1.8. a Kormány tagjainak feladat- és hatásköréről szóló 94/2018. (V. 22.) Korm. rendelet;

2.1.9. a Nemzeti Hírközlési és Informatikai Tanácsról, valamint a Digitális Kormányzati Ügynökség Zártkörűen Működő Részvénytársaság és a kormányzati informatikai beszerzések központosított közbeszerzési rendszeréről szóló 301/2018. (XII. 27.) Korm. rendelet;

2.1.10. az egységes Állami Alkalmazás-fejlesztési Környezetről és az Állami Alkalmazás-katalógusról, valamint az egyes kapcsolódó kormányrendeletek módosításáról szóló 314/2018. (XII. 27.) Korm. rendelet;

2.1.11. a központosított informatikai és elektronikus hírközlési szolgáltatásokat egyedi szolgáltatási megállapodás útján igénybe vevő szervezetekről, valamint a központi szolgáltató által üzemeltetett vagy fejlesztett informatikai rendszerekről szóló 7/2013. (II. 26.) NFM rendelet;

2.1.12. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet;

2.1.13. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet [a továbbiakban: 41/2015. (VII. 15.) BM rendelet];

2.1.14. Magyarország Nemzeti Kiberbiztonsági Stratégiájáról szóló 1139/2013. (III. 21.) Korm. határozat;

2.1.15. Magyarország Nemzeti Biztonsági Stratégiájáról szóló 1163/2020. (IV. 21.) Korm. határozat;

2.1.16. az Innovációs és Technológiai Minisztérium Szervezeti és Működési Szabályzatáról szóló 4/2019. (II. 28.) ITM utasítás (a továbbiakban: SzMSz).

3. Általános rendelkezések

3.1. Tárgyi hatály

3.1.1. Az IBSZ tárgyi hatálya kiterjed:

3.1.1.1. az ITM-ben keletkezett, kezelt vagy feldolgozott adatokkal technikai vagy technológiai műveletet végző, tároló vagy továbbító adatátviteli hálózatra és hardverekre (számítógépek, laptopok, tabletek, IP- és okostelefonok, nyomtatók, külső adattároló eszközök, aktív hálózati elemek, elektronikus adathordozók és hasonlók), adatbázisokra, alkalmazásokra és rendszerekre (a továbbiakban együtt: eszköz),

3.1.1.2. a 3.1.1.1. alpontban meghatározott eszközökre vonatkozó minden dokumentációra (fejlesztési, szervezési, programozási, alkalmazásüzemeltetési stb. dokumentumok), függetlenül azok formájától (papír vagy elektronikus),

3.1.1.3. a 3.3. alpontban meghatározott személyek által bármely okból használt eszközre, ha azok az ITM felügyelete alatt álló eszközzel kapcsolatot – ide nem értve a nyilvános hálózatokat – létesítenek,

3.1.1.4. a 3.1.1.1. alpontban felsorolt eszközökön használt, kezelt, vagy tárolt szoftverekre és adatokra (rendszerprogramok, alkalmazások, adatbázisok stb.), ideértve az oktatási, teszt és egyéb célra használt adatokat is,

3.1.1.5. az ITM által kezelt elektronikus adatok teljes körére, keletkezésüktől, feldolgozási és tárolási helyüktől függetlenül.

3.1.2. Nem terjed ki az IBSZ hatálya

3.1.2.1. a minősített adatokra, illetve a minősített adatokat kezelő rendszerekre,

3.1.2.2. az Ibtv.-ben meghatározott zárt célú információs rendszerekre,

3.1.2.3. jogszabály alapján létfontosságúnak kijelölt rendszerekre és rendszerelemekre,

3.1.2.4. a támogatásból megvalósuló fejlesztések központi monitoringjáról és nyilvántartásáról szóló 60/2014. (III. 6.) Korm. rendelet szerinti rendszerekre.

3.1.3. A 3.1.2.4. alpont szerinti rendszerek elektronikus információs rendszer biztonságáért az SzMSz 1. melléklet 94. § (1) bekezdés 20. pontja alapján felelős személy az elektronikus információs rendszer biztonságáért felelős személyt (a továbbiakban: EIRBF) külön megállapított eljárásrend szerint – kizárólag nyilvántartásba vétel céljából – tájékoztatja:

3.1.3.1. az általa észlelt információbiztonságot veszélyeztető eseményekről és az azokkal kapcsolatban bevezetett eljárásokról,

3.1.3.2. a vonatkozó szabályozásokról és elemzésekről.

3.1.4. Azon rendszerek tekintetében, amelyek kapcsán

3.1.4.1. az adatkezelői jogokat más szervezet gyakorolja,

3.1.4.2. a rendszerrel kapcsolatos követelményeket más szervezet határozza meg,

3.1.4.3. az alkalmazásüzemeltetésért, az üzemeltetéséért más szervezet felel,

3.1.4.4. megállapítható,

3.1.4.4.1. hogy azt több szervezet használja vagy használhatja,

3.1.4.4.2. az ITM számára a használatát szerződés vagy jogszabály rendeli el,

3.1.4.4.3. az ITM nem megrendelő, vagy jogszabályban az adott szakterületért és az ahhoz kapcsolódó rendszer jogszerű működésért nem az ITM a nevesített felelős,

az ITM csak azon védelmi követelmények tekintetében intézkedik, amelyre közvetlen ráhatása van, így különösen a felhasználói tevékenységekre, a fizikai biztonsági előírásokra és hasonló, az ITM döntési jogkörébe tartozó feltételekre.

3.1.5. Az ITM üzemeltetési tevékenységet csak átmenetileg végez, amennyiben jogszabály vagy külön megállapodás alapján olyan rendszer kerül a felügyelete alá, amely üzemeltetési feladatokat igényel.

3.2. Területi hatály

3.2.1. Az IBSZ területi hatálya kiterjed az ITM épületeire, továbbá mindazon objektumokra és helyiségekre, amelyekben az IBSZ tárgyi hatálya alatt meghatározott eszközt használnak, elektronikus úton adatokat, információkat, dokumentumokat hoznak létre, tárolnak, használnak vagy továbbítanak.

3.2.2. Az IBSZ rendelkezéseit kell alkalmazni a külső munkavégzéshez használt eszközökre is, amennyiben azok a 3.1. alpont hatálya alá tartoznak.

3.3. Személyi hatály

3.3.1. Az IBSZ személyi hatálya kiterjed az ITM foglalkoztatásában álló kormánytisztviselőkre, munkavállalókra, akik munkájuk végzése során vagy egyéb céllal, jogosultsággal, vagy annak hiányában, a 3.1. alpont szerinti eszközöket használnak (ideértve azok fejlesztését, karbantartását és alkalmazás üzemeltetését is), elektronikus úton adatokat, információkat, vagy dokumentumokat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak.

3.3.2. Az IBSZ rendelkezéseit kell szerződéses kötelemként érvényesíteni azon személyek tekintetében, akik az ITM-mel szerződéses jogviszonyban állnak és feladataik teljesítése során vagy egyéb céllal, jogosultsággal vagy annak hiányában a 3.3.1. alpont szerinti tevékenységet folytatnak.

3.4. Értelmező rendelkezések

3.4.1. Az IBSZ alkalmazásában:

3.4.1.1. active directory: speciális cím- és névtár szolgáltatás, illetve felhasználó azonosítás;

3.4.1.2. adatátvitel: adatok szállítása közvetett, vagy közvetlen elektronikus összeköttetéseken, távközlési rendszeren;

3.4.1.3. adatbázis: adatok, információk strukturált összessége;

3.4.1.4. adatgazda: az Ibtv. 1. § (1) bekezdés 3a. pontjában meghatározott vezető, így az ITM vonatkozásában a helyettes államtitkár, illetve az általa kijelölt személy, amennyiben az általa irányított szervezeti egység az SzMSz 1. melléklet 45. § (3) bekezdés f) pontjában meghatározott elektronikus információs rendszert vesz igénybe feladatainak ellátásához, és e rendszer tekintetében

3.4.1.4.1. adatkezelőként rendelkezik,

3.4.1.4.2. szakmai irányítási jogot gyakorol,

3.4.1.4.3. felügyeli a rendszer működésének megfelelőségét vagy

3.4.1.4.4. alkalmazás üzemeltetőként jár el.

3.4.1.5. alkalmazás: az eszközöket az operációs rendszer szolgáltatásain keresztül az ITM általános vagy szakmai célfeladat támogató számítógépes programok és szakrendszerek;

3.4.1.6. alkalmazásüzemeltetés: az ITM szakmai tevékenységét támogató programok és szakrendszerek elvárt feladatainak működését biztosító tevékenység, így különösen:

3.4.1.6.1. EIRBF támogatásával az adott rendszer biztonsági osztályba sorolása, és védelmi követelmények biztosítása,

3.4.1.6.2. EIRBF támogatásával – ha az az ITM biztonsági szintjétől eltér – az alkalmazást használó szervezeti egység biztonsági szintbe sorolása, és ennek biztosítása,

3.4.1.6.3. felhasználók kezelése, jogosultság kezelés,

3.4.1.6.4. alkalmazás beállítások elvégzése,

3.4.1.6.5. alkalmazás paraméterezése,

3.4.1.6.6. rendszerkövetés biztosítása, továbbfejlesztés támogatása,

3.4.1.6.7. Help Desk,

3.4.1.6.8. működés-, eszköz- és alkalmazásfelügyelet,

3.4.1.6.9. adatbázis felügyelet,

3.4.1.6.10. rendszeradminisztráció,

3.4.1.6.11. naplózási tevékenység,

3.4.1.6.12. rendszerdokumentáció előállítása és kezelése, így különösen az üzletmenet folytonosság, illetve katasztrófa elhárítási terv,

3.4.1.6.13. az adott alkalmazás információbiztonságának a megvalósítása,

3.4.1.6.14. az alkalmazás egyedi biztonsági dokumentációjának előállítása és karbantartása,

3.4.1.6.15. működésfolytonosság biztosítása,

3.4.1.6.16. mentés környezeti beállításai,

3.4.1.6.17. auditok és sérülékenység vizsgálatok megrendelése, lefolytatása;

3.4.1.7. archiválás: a ritkán használt, meghaladottá vált, de nem selejtezhető adatok, adatbázis részek változatlan formában történő hosszú távú megőrzése;

3.4.1.8. elektronikus információs rendszer biztonságáért felelős személy: az Infokommunikációs Infrastruktúra- és Szolgáltatásfejlesztési Főosztály vezetője;

3.4.1.9. értékelés: az elektronikus információs rendszerekkel kapcsolatos biztonsági intézkedések, eljárásrendek, az elfogadott technológiai értékelési szabványok, követelményrendszerek és ajánlások, illetve az IBSZ szerinti megfelelőségi vizsgálat;

3.4.1.10. fizikai biztonság: illetéktelen személyek információs infrastruktúrához vagy információkhoz való szándékos vagy véletlen fizikai hozzáférése elleni intézkedések összessége, valamint az illetéktelen személyek vagy illetékes személyek jogosulatlan tevékenységével szemben az adott struktúrák ellenálló képességét növelő tervek és útmutatások összessége, valamint a fizikai védelemre hatással bíró események megelőzése;

3.4.1.11. helyreállítás: valamilyen behatás következtében megsérült, eredeti funkcióját ellátni képtelen vagy ellátni csak részben képes infrastruktúra elem eredeti állapotának és működőképességének biztosítása eredeti helyen;

3.4.1.12. hitelesség: annak biztosítása, hogy a rendszerbe kerülő adatok és információk eredetiek, a megadott forrásból az abban tárolttal azonos, változatlan tartalommal származnak;

3.4.1.13. hozzáférés: az elektronikus információs rendszer vagy rendszerelem használója számára a rendszer szolgáltatásainak vagy a szolgáltatások egy részének ellenőrzött és szabályozott biztosítása;

3.4.1.14. illetéktelen személy: olyan személy, aki az adathoz, információhoz, az informatikai infrastruktúrához való hozzáférésre nem jogosult;

3.4.1.15. infokommunikáció: az informatika és a telekommunikáció, mint konvergáló területek együttes neve;

3.4.1.16. információ: bizonyos tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott megfigyelés, tapasztalat vagy ismeret, amely valakinek a tudását, ismeretkészletét, annak rendezettségét megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságát csökkenti vagy megszünteti;

3.4.1.17. információbiztonság: az adatok és információk szándékosan vagy gondatlanul történő jogosulatlan gyűjtése, károsítása, közlése, manipulálása, módosítása, elvesztése, felhasználása, illetve természeti vagy technológiai katasztrófák elleni védelmének koncepciói, technikái, technikai, illetve adminisztratív intézkedései. Az információbiztonság része az informatikai biztonság is, melynek alapelve a bizalmasság, sértetlenség, rendelkezésre állás;

3.4.1.18. informatikai vészhelyzet: az ITM információs infrastruktúrájának leállása, szolgáltatások megszakadása, elérhetetlensége, az ITM információs vagyonának jelentős mértékű sérülése, illetve az ezekkel fenyegető rendellenes működés;

3.4.1.19. jogosultság: az arra felhatalmazott által adott hozzáférési lehetőség valamely információs infrastruktúrához;

3.4.1.20. kapcsolattartó:

3.4.1.20.1. az ITM szervezeti egységének vezetője vagy az arra általa meghatalmazott személy vagy szervezet, (ideértve az alkalmazásüzemeltetőt is) aki a NISZ vagy az üzemeltető, illetve a fejlesztő felé az adott szakrendszer tekintetében felmerülő szakmai igényeket bejelenti, a működési elvárásokat megfogalmazza, illetve az elektronikus információbiztonságot veszélyeztető eseményeket az EIRBF-nek köteles bejelenteni,

3.4.1.20.2. az EIRBF, aki saját észlelése, vagy az adatgazdák, alkalmazásüzemeltetők jelzése alapján a rendszer(ek) hibás működését, a biztonsági eseményeket a NISZ, illetve a jogszabályban meghatározott szerv felé jelenti, valamint a bejelentés alapján javasolt intézkedéseket fogadja,

3.4.1.20.3. az 1.2.5. pont alapján a NISZ által működtetett Ügyfélszolgálat, vagy más kapcsolati fórum, illetve helyi hibaelhárítás során az alkalmazás vagy rendszerüzemeltető, illetve a fejlesztési és egyéb rendszerszintű jelentősebb változáskezelések esetében az ezzel megbízott ügyfélmenedzser, aki az üzemeltetett elektronikus információs rendszerrel kapcsolatban felmerülő igényeket, bejelentéseket, biztonsági esemény jelzéseket befogadja és kezelésükről gondoskodik;

3.4.1.21. következmény: valamely esemény, baleset, beavatkozás vagy támadás hatása, amely tartalmazza a közvetett és közvetlen kárt, a veszteséget, valamint a hatás jellegét, szintjét és időtartamát;

3.4.1.22. sebezhetőség: olyan fizikai tulajdonság vagy működési jellemző, amely az adott információs infrastrukturális elemet egy adott veszéllyel szemben érzékennyé vagy kihasználhatóvá teszi;

3.4.1.23. SLA: olyan megállapodás, amely az egyes szolgáltatások (ideértve a biztonsági szolgáltatásokat is) biztosítására vonatkozik, és amely az ITM eszközeinek működtetése érdekében a fejlesztővel, vagy az üzemeltetővel a Rendelet alapján közvetlenül, vagy közvetetten, a kormányzati informatikáért felelős minisztérium útján kötött megállapodás, vagy az 1.2.5. pont szerinti szolgáltatási szerződés része, és amely fő tartalmi elemei:

3.4.1.23.1. adatgazdai és adatkezelői rendelkezések,

3.4.1.23.2. adatfeldolgozás terjedelme,

3.4.1.23.3. a szolgáltatások, és szolgáltatások terjedelme, ellenszolgáltatás,

3.4.1.23.4. a szolgáltató rendelkezésre állása,

3.4.1.23.5. ügyfél- és rendszertámogatás, kapcsolattartás, együttműködés,

3.4.1.23.6. változáskezelés,

3.4.1.23.7. felelősségi viszonyok,

3.4.1.23.8. adatvédelmi követelmények,

3.4.1.23.9. biztonsági események kezelése,

3.4.1.23.10. bármely további, az adott szerződés tartalma szempontjából releváns előírás,

3.4.1.23.11. általános és egyedi üzemeltetési feladatok;

3.4.1.24. szakrendszer: az ITM-hez kapcsolódó feladatokat ellátó, illetve az ITM működését biztosító egyedi informatikai megoldás, amely kifejezetten egy adott szakterület tevékenységéhez kapcsolódik, a szakterület által megfogalmazott igényeket elégíti ki, és a szakterülethez kapcsolódó feladatok végrehajtását segíti elő, így különösen:

3.4.1.24.1. a kormányzati portáltól függetlenül működtetett szakspecifikus honlap,

3.4.1.24.2. a szakterületi tevékenységhez kapcsolódó elektronikus nyilvántartás, adatbázis vagy elektronikus döntéstámogató rendszer,

3.4.1.24.3. a szakterületi tevékenységhez kapcsolódóan a vállalkozások, állampolgárok felé nyújtott elektronikus szolgáltatás (pl. ügyintézést megkönnyítő elektronikus felület stb.);

3.4.1.25. személyi biztonság: az adott rendszerrel vagy erőforrással kapcsolatba kerülő személyekre vonatkozó, alapvetően a hozzáférést, annak lehetőségeit és módjait szabályozó biztonsági szabályok és intézkedések összessége a kapcsolatfelvétel tervezésétől, annak kivitelezésén keresztül a kapcsolat befejezéséig, valamint a kapcsolat folyamán a személy birtokába került információk vonatkozásában;

3.4.1.26. üzemeltetés: az alkalmazás működését biztosító hardvereszközök, a rendszerszoftverek, adatbázisok működtetése, kapcsolódó hálózati kapacitás biztosítása, valamint mindezek folyamatos karbantartása;

3.4.1.27. védelem: a biztonság megteremtésére, fenntartására, fejlesztésére tett intézkedések, amelyek lehetnek elhárító, megelőző, ellenálló képességet fokozó tevékenységek vagy támadás, veszély, fenyegetés által bekövetkező kár kockázatának csökkentésére tett intézkedések;

3.4.1.28. veszély (fenyegetés): természeti vagy mesterséges esemény, személy, szervezet vagy tevékenység, amely potenciálisan kárt okozhat az IBSZ által védett tárgyakra;

3.4.1.29. visszaállítás: az eredeti elektronikus információs rendszer kiesése esetén a szolgáltatások további biztosítása, korábbi mentésből való visszaállítása.

4. Személyek és felelősségek

4.1. Általános információbiztonság rendelkezések

4.1.1. Az ITM elektronikus információs rendszert – ide nem értve a 3.1.5. alpont szerinti üzemeltetési tevékenységet – nem üzemeltet. Az IT biztonságot érintő, az adatgazda, az alkalmazásüzemeltető és az üzemeltető közötti feladatok megosztása során az Ibtv. 11. § (1)–(3) bekezdésére figyelemmel kell eljárni.

4.1.2. A 3.1.5. alpont szerinti eljárásra átvett rendszerek tekintetében a 10.2. alpont szerinti átadás-átvételi eljárásokat kell lefolytatni.

4.1.3. Rendszert alkalmazásüzemeltetésre átvenni csak úgy lehet, ha az adott rendszer biztonsági osztályba sorolása megtörtént.

4.1.4. A 4.1.2. alpont szerinti átmeneti üzemeltetési feladatok NISZ részére történő átadásának előkészítését a rendszer ITM részéről való átvételét követően a Rendeletben foglaltak teljesítése érdekében haladéktalanul meg kell kezdeni, és amennyiben szükséges, az IBSZ-nek való megfeleltetést szolgáló fejlesztéseket is el kell végezni.

4.1.5. A 3.1.5. alpont szerinti rendszerek rendszerüzemeltetői felelősek az adott rendszer tekintetében a rendszerüzemeltetőre vonatkozó adminisztratív, fizikai és logikai védelmi intézkedések megvalósításáért, annak NISZ üzemeltetésbe történő átadásáig.

4.1.6. Az IT biztonsági szabályok betartásáról a digitalizációért felelős helyettes államtitkár gondoskodik az EIRBF útján.

4.1.7. Az adatgazda nevéről és elérhetőségéről – ideértve annak változását is – tájékoztatni kell az EIRBF-et, aki ezt nyilvántartásba veszi. Az adatgazda tesz javaslatot az üzemeltető által nyújtott informatikai szolgáltatások tervezésére, a szolgáltatásnyújtáshoz szükséges folyamatok kialakítására, végrehajtására és ellenőrzésére.

4.1.8. Az adatgazda és az üzemeltető bármely általa észlelt, vagy valószínűsített, az elektronikus információbiztonságot veszélyeztető eseményt, cselekményt, vagy anomáliát soron kívül jelent az EIRBF-nek. Az EIRBF az elektronikus információbiztonságot szabályozó jogszabályi kötelezettségek és a jelentés alapján a közvetlen vagy közvetett informatikai veszélyhelyzet elkerülése érdekében elrendeli a szükséges intézkedés végrehajtását, aminek az esemény tekintetében érintettek soron kívül eleget tesznek.

4.1.9. Az ITM által biztosított eszközök kizárólag a munkavégzést szolgálják. Az azokon tárolt, kezelt, forgalmazott adatok és információk, dokumentumok, hivatali e-mail-címen elektronikus levelek, programok kizárólag a munkavégzéshez kapcsolódhatnak, azok felett az ITM adatkezelői jogokat gyakorol.

4.1.10. Az adatgazda, a munkáltatói jogkör gyakorlója, vagy az általa erre feljogosított személy a 4.1.9. alpont szerinti bármely adatot, információt az üzemeltetőtől bekérhet, az IBSZ tárgyi hatálya alá tartozó eszközökön megtekinthet, ideértve a 9. pont szerinti archivált adatokat is, de ide nem értve azokat az adatokat, és adatforgalmakat, amelyről a felhasználó úgy nyilatkozik, hogy a 4.1.9. alpontban megfogalmazott kötelezettségtől eltérőn azok magánjellegűek, magáncélúak, vagy amelyekről ez a felhasználó nyilatkozata nélkül is egyértelműen megállapítható.

4.2. Az információbiztonság felügyelete és szervezete, egyes szerepkörök

4.2.1. Az ITM elektronikus információbiztonságának szervezetét és eszközrendszerét a digitalizációért felelős helyettes államtitkár felügyeli, végzi – az adatgazdák szükség szerinti bevonásával – az információbiztonság feladatkörében jelentkező feladatok összehangolását, az elektronikus információbiztonság stratégiai irányítását, megvalósítja az ITM informatikai biztonsági stratégiáját, valamint irányítja a biztonsági incidensek kivizsgálását, továbbá gondoskodik a szükséges biztonsági auditokról és sérülékenység vizsgálatokról.

4.2.2. Az információbiztonsági szabályok betartását az adatgazdák a felügyeletük, irányításuk alá tartozó területeken a tőlük elvárható mértékben folyamatosan ellenőrzik, a biztonsági események megelőzése, felismerése, elhárítása, a biztonsági kockázatok megfelelő kezelése érdekében.

4.2.3. A digitalizációért felelős helyettes államtitkár az EIRBF-et rendszeresen beszámoltatja:

4.2.3.1. az egyes rendszerekkel kapcsolatban megfogalmazott ellenőrzési és egyéb feladatok elvégzéséről,

4.2.3.2. az IBSZ-ben rögzített szabályok megszegésének, be nem tartásának elemzéséről, értékeléséről,

4.2.3.3. az egyes biztonsági kérdésekről, ezek ITM-re gyakorolt hatásáról és a megfelelő válaszlépésekről,

4.2.3.4. a biztonsági feladatok tervezéséről, koordinálásáról, a megfelelő biztonsági környezet tulajdonságainak meghatározásáról,

4.2.3.5. a rendkívüli biztonsági eseményekről,

4.2.3.6. a kockázatok értékeléséről, kezeléséről.

4.2.4. A digitalizációért felelős helyettes államtitkár az Ibtv. 11. §-ára tekintettel a miniszternek rendszeres jelentést tesz az IT biztonsági területről.

4.2.5. Az EIRBF az adatgazdák bevonásával és velük kölcsönös együttműködésben az elektronikus információs rendszerek és rendszerelemek, valamint adatok védelme érdekében ellátja a következő feladatokat:

4.2.5.1. az ITM informatikai biztonsági tevékenységének szakmai irányítása, az ITM biztonságpolitikai érdekeinek és törekvéseinek érvényesítése, együttműködés más biztonsági területekkel (objektumvédelem, vagyonvédelem, titokvédelem, tűzvédelem, biztonsági oktatások stb.),

4.2.5.2. az informatikai veszély- vagy vészhelyzet, az észlelt fenyegetések és biztonsági események azonnali jelentése a kapcsolattartók, illetve a jogszabály alapján kijelölt eseménykezelő szervek felé, a biztonsági események kezelése, a következmények elhárítása, a biztonsági események kivizsgálása, javaslattétel további intézkedésekre, felelősségre vonásra,

4.2.5.3. az elektronikus információs rendszerek és adatok rendelkezésre állásának, bizalmasságának és sértetlenségének védelme, a kockázatokkal arányos, teljes körű és zárt védelemnek a fenntartása, az e területet érintő jogszabályok és a belső szabályok betartásának, a veszélyek és kockázatok feltárása, értékelése, megelőzése, az adott rendszer teljes életciklusában,

4.2.5.4. az SzMSz rendelkezései és a feladatköri/munkaköri leírások alapján az informatikai rendszerrel kapcsolatban állók ellenőrzése, az egyes hardverkonfigurációk ellenőrzése, a telepített szoftverek összevetése a felhasználónak engedélyezett szoftverlistával, a javításra (selejtezésre, áttárolásra) kiszállított eszközök adattörlésének ellenőrzése, a fejlesztő és tesztrendszerek éles rendszertől való elkülönítésének felügyelete,

4.2.5.5. az infokommunikációs tevékenységgel érintett helyiségek, eszközök és az infrastruktúrát érintő karbantartási tervek ellenőrzése, a beruházások, beszerzések és fejlesztések felügyelete, az információbiztonsági dokumentációk meglétének és megfelelőségének (teljes körű, aktuális) ellenőrzése, ideértve a rendszerek fejlesztési és alkalmazási dokumentációit is,

4.2.5.6. információbiztonsági képzések bevezetése, megtartása,

4.2.5.7. jogosultságkezelés ellenőrzése, ideértve a hozzáférés biztonsági okokból való megtagadását, visszaélés, vagy biztonságot veszélyeztető magatartás esetén azonnali visszavonását is,

4.2.5.8. a biztonsági osztályba sorolással, kockázatkezeléssel, biztonsági eseménykezeléssel kapcsolatos, illetve más, jogszabály által előírt nyilvántartások vezetése,

4.2.5.9. rendszerfejlesztés során az IT biztonsági szempontok értékelése, biztosíttatása,

4.2.5.10. a kormányzati infokommunikáció biztonságáért felelős, jogszabályban kijelölt szervezettel való kapcsolattartás, a jogszabályban meghatározott adatszolgáltatások teljesítése,

4.2.5.11. a szervezet, vagy szervezeti egységek biztonsági szintbe sorolásának éves felülvizsgálata, az egyes rendszerek és adatok biztonsági osztályba sorolása, vagy az alkalmazásüzemeltetők és fejlesztők tekintetében biztonsági osztályba soroltatása, és éves felülvizsgálata,

4.2.5.12. az ITM informatikai biztonsági állapotának fenntartását szolgáló és garantáló műszaki-technikai, fizikai, jogi és adminisztratív, tervezési, szervezési, vezetési, oktatási feladatok és intézkedések irányítása, korszerűsít(tet)ése, valamint az e területet érintő jogszabályok és a belső szabályok betartásának ellenőrzése,

4.2.5.13. az IBSZ hatálya alá tartozó személyek tevékenységének informatikai biztonsági szempontú ellenőrzése, a jogsértő magatartásának megelőzése, felderítése, folytatásának megakadályozása, ezen események kivizsgálásának kezdeményezése, a vizsgálatot folytató belső ellenőrzés támogatása,

4.2.5.14. jogszabály-, és ITM utasítás tervezetek IT biztonsági szempontú véleményezése,

4.2.5.15. az üzemeltetők és alkalmazásüzemeltetők információbiztonsággal kapcsolatos ellenőrzése, javaslat tétel az üzemeltetők, alkalmazásüzemeltetők felé egyes központi beállítások módosítására, a kivételek kezelésére,

4.2.5.16. a beruházások, a fejlesztések és az alkalmazás, vagy rendszerüzemeltetés informatikai biztonsági szempontból való felügyelete, illetve javaslat tétel a hiányosságok kiküszöbölésére,

4.2.5.17. az adathordozók selejtezésének felügyelete,

4.2.5.18. az adatgazdákkal egyeztetve az egyes feladatkörökhöz tartozó, az információbiztonsággal kapcsolatosan elsajátítandó ismeretek körének meghatározása, és a teljesülés ellenőrzése, az információbiztonságot erősítő továbbképzésekre való javaslattétel,

4.2.5.19. minden olyan megbeszélésen észrevételi vagy javaslattételi joggal való részvétel (vagy képviselő delegálása), amelyeknek információbiztonsági, adatvédelmi vonatkozása van,

4.2.5.20. az egyes alkalmazásokhoz való hozzáférések, jogosultsági rendszerek kialakításának véleményezése,

4.2.5.21. az IBSZ módosításainak egységes szerkezetbe foglalása és – a miniszter útján való – közzététele.

4.2.6. Az EIRBF bármely, az ITM elektronikus információbiztonságát érintő dokumentumot vagy adatot az üzemeltetőtől, alkalmazásüzemeltetőtől, adatgazdától, vagy felhasználótól bekérhet, elektronikus információbiztonsági ellenőrzést végezhet, elektronikus biztonsággal kapcsolatos kötelezettségeket állapíthat meg, feladatellátásához kapcsolódóan az elektronikus információs rendszerek adataiba betekinthet.

4.2.7. Egy adott rendszer fejlesztéséért vagy szakmai felügyeletéért felelős adatgazdák, alkalmazásüzemeltetők és a 3.1.5. alpont szerinti üzemeltetők az adott rendszer összes, az elektronikus biztonsággal kapcsolatos dokumentumát – ideértve azok változásait is – az EIRBF részére felülvizsgálatra megküldik.

4.2.8. Az EIRBF az általa felülvizsgált dokumentumok tekintetében észrevételt tehet, kiegészítést rendelhet el, a biztonsági követelményeknek nem megfelelő dokumentációt átdolgozásra visszaküldi.

4.2.9. Az EIRBF tanácskozási és döntési joggal vesz részt a Rendelet szerinti munkacsoport tevékenységében.

4.3. Felhasználók

4.3.1. Általános felhasználók a 3.3. alpontban megjelölt személyek, akik az SLA-ban meghatározott alapjogosultságokat használják.

4.3.2. A kiemelt felhasználók az általános felhasználói jogokon túl rendelkeznek a feladatkörüktől és a szakmai területtől függő további egyedi jogosultságokkal is. A kiemelt felhasználókat – az EIRBF tájékoztatása mellett – a munkáltatói jogkör gyakorlója, a külső személlyel szerződéskötést kezdeményező szervezeti egység vezetője jelöli ki.

4.3.3. Az adatgazda vagy az alkalmazásüzemeltető kijelölheti, és megfelelő jogosultsággal láthatja el azt a felhasználót (a továbbiakban: privilegizált felhasználó), aki az adott alkalmazás tekintetében

4.3.3.1. a megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat készít, és azok betartását rendszeresen ellenőrzi,

4.3.3.2. mentések nyilvántartását vezeti, és azok helyességét rendszeresen ellenőrzi,

4.3.3.3. olyan regisztrálási és naplózási rendszert alakít ki és felügyel, amely alapján utólag megállapíthatóak az elektronikus információs rendszerben bekövetkezett fontosabb események,

4.3.3.4. az adott alkalmazás szerinti módon és eljárással hozzáférési jogosultságot biztosít és ellenőrzi a hozzáférések jogosultságát, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét.

4.3.4. A privilegizált felhasználó, illetve az alkalmazásüzemeltető irányítása és a felügyelete alá tartozik:

4.3.4.1. a rendszerindítás és -leállás, -leállítás,

4.3.4.2. a rendszerhiba és korrekciós intézkedés,

4.3.4.3. a programindítás és -leállás, -leállítás,

4.3.4.4. az azonosítási és hitelesítési mechanizmus használata,

4.3.4.5. a hozzáférési jog érvényesítése azonosítóval ellátott erőforráshoz,

4.3.4.6. az adatállományok és kimeneti adatok kezelésének visszaigazolása,

4.3.4.7. az azonosítóval ellátott erőforrás létrehozása vagy törlése,

4.3.4.8. a felhatalmazott személy azon művelete, amely a rendszer biztonságát érinti.

4.3.5. A privilegizált felhasználó kijelöléséről, jogosultságairól az EIRBF-et tájékoztatni kell. A privilegizált felhasználó a 4.3.4. alpont szerinti tevékenységét, valamint a 4.3.3. alpont szerinti dokumentációt naplózza, amennyiben a naplózást a rendszer nem automatikusan végzi, a privilegizált felhasználó számára nem módosítható módon. A naplózást az EIRBF rendszeresen ellenőrzi.

4.3.6. Az ITM vagy megbízásából az adatgazda, az alkalmazásüzemeltető külön munka- vagy megbízási szerződés alapján igénybe vehet állományába nem tartozó külső személyeket általános vagy kiemelt felhasználói jogosultságokkal időszakos vagy folyamatos feladatok végrehajtására. A külső személlyel szerződést kötő személy felelős a külső személy bevonása által okozott informatikai biztonsági kockázatok felméréséért és értékeléséért, valamint az IBSZ szerinti követelmények kommunikálásáért és a vonatkozó szerződésbe történő beépítéséért, az alábbiak szerint:

4.3.6.1. az ITM rendszereivel kapcsolatos vagy azokat érintő munkavégzés céljából érkező külső személy a munkavégzésre vonatkozó szerződés létrejötte után a szerződéskötést kezdeményező szervezeti egység vezetőjének tudtával tartózkodhat az ITM területén,

4.3.6.2. a külső személy a munkafolyamat egyeztetése során minden olyan munkafolyamatról köteles beszámolni a szerződéskötést kezdeményező szervezeti egység vezetőjének, amely bármilyen módon érinti az informatikai rendszer biztonságát,

4.3.6.3. amennyiben az a munkavégzéshez feltétlenül szükséges, az ITM informatikai rendszereihez való hozzáféréshez ideiglenes és személyre szóló hozzáférési jogosultságot kell biztosítani,

4.3.6.4. az alkalmazásüzemeltető az alkalmazáshoz történő hozzáférést az IBSZ-ben meghatározott biztonsági kötelezettségek és szabályok betartása mellett – ha az a 4.3.6.3. alpont szerinti eljárást nem igényli – saját szabályozása szerint engedélyezi,

4.3.6.5. az ITM külső személlyel csak olyan szerződést köthet, amely a külső személy tekintetében biztosítja a vonatkozó IT biztonsági szabályok érvényesülését. A szerződéskötés során figyelembe kell venni az IBSZ előírásait és a jogszabályi előírásokat (különös tekintettel a szellemi alkotásokhoz fűződő, illetve szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogokra),

4.3.6.6. biztosítani kell az informatikai biztonsági követelmények betartásának, ellenőrzésének és a jogkövetkezmények alkalmazásának lehetőségét.

4.3.7. Minden felhasználó

4.3.7.1. felelős az általa használt, az IBSZ hatálya alá tartozó eszközök rendeltetésszerű használatáért,

4.3.7.2. a rá vonatkozó szabályok, szerződések és jogszabályok szerint felelős az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért,

4.3.7.3. köteles az IBSZ-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában az informatikai rendszer használatát irányító személyekkel együttműködni,

4.3.7.4. köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni,

4.3.7.5. köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni.

4.3.8. Az ITM informatikai rendszerét használó minden felhasználónak, az ITM informatikai rendszerének használata során be kell tartani az 1. függelékben meghatározott kötelezettségeket és tilalmakat.

4.3.9. Az alkalmazásüzemeltető a privilegizált felhasználó tekintetében a 4.3.8. alpontban meghatározottaktól az EIRBF által jóváhagyott rendszerdokumentációban meghatározott módon és okból eltérhet

5. IT biztonsági eljárások

5.1. Kockázatkezelés

5.1.1. Az ITM információbiztonsági fenyegetettségének elemzését és a kockázatok meghatározását szakrendszerenként évente, vagy a szakrendszer felépítésében, alapvető szolgáltatásait biztosító műszaki háttérben bekövetkező jelentős változás esetén el kell végezni.

5.1.2. A kockázatok felmérését rendszerek fizikai környezetében az SzMSz-ben meghatározott telephelyek tekintetében kell elvégezni és dokumentálni.

5.1.3. A fenyegetettségek elemzését és a kockázatok meghatározását az EIRBF hajtja végre szükség szerint független külső szakértő bevonásával, az üzemeltetők, az alkalmazásüzemeltetők, adatgazdák, és a felhasználók által jelzett vagy észlelt problémákat figyelembe kell venni. A Nemzeti Kibervédelmi Intézet által közzétett IT biztonsági információkat folyamatosan figyelemmel kell kísérni, és értékelni kell azok ITM-re jelentett kockázatát.

5.1.4. Kockázatkezelés során a megfelelő szervezetértékelési eljárás is alkalmazható, amely lehet:

5.1.4.1. SWOT-analízis, amely az erősségek/gyengeségek, illetve a lehetőségek, veszélyek mátrixán alapul,

5.1.4.2. stakeholder analízis, amely a szervezet működése során kialakuló társadalmi csoportkapcsolatok kölcsönhatását vizsgálja,

5.1.4.3. PEST-analízis, amely elsősorban a külső, politikai, gazdasági, társadalmi és technológiai környezet elemzésére szolgál.

5.1.5. A feltárt kockázatokat a sértetlenségre, rendelkezésre állásra és bizalmasságra gyakorolt, vagy vélhetően gyakorolt hatásuk erőssége és a bekövetkezésük valószínűsége vagy gyakorisága szerint be kell sorolni.

5.1.6. Az egyes szakrendszerek tekintetében fennálló kockázatok felmérésére a 4. függelék szerinti felmérő lap szolgál.

5.1.7. Az IBSZ-t – ideértve más elektronikus információbiztonságot érintő dokumentumot is – felül kell vizsgálni és aktualizálni kell:

5.1.7.1. szükség szerint, de legalább kétévente,

5.1.7.2. minden olyan szervezeti változás esetén, amely az IBSZ-ben hivatkozott szervezeti egységek bármelyikének megszűnésével vagy jelentős átalakulásával, feladatváltozásával jár,

5.1.7.3. súlyos informatikai biztonsági eseményeket (incidensek) követően, az esemény tanulságaira figyelemmel,

5.1.7.4. a kockázati tényezők erősödésével,

5.1.7.5. a szabályozási és infrastrukturális környezet változása esetén, amennyiben azok az IBSZ-ben foglaltakat érintik.

5.1.8. Amennyiben a biztonsági dokumentáció módosítása szükséges, azt az EIRBF az adatkezelők bevonásával kezdeményezi, illetve végrehajtja.

5.1.9. A biztonsággal kapcsolatos költség/haszon elemzést az ITM által fejlesztetett egyedi alkalmazások tekintetében az adott projekt dokumentációjában, illetve a továbbfejlesztés által indikált költségigény indokolásában kell elkészíteni és mint elkülönített forrásigényt feltüntetni. A jogszabály alapján a NISZ által nyújtott szolgáltatások biztonsággal kapcsolatos forrásigénye a vonatkozó közszolgáltatási szerződésben kerül meghatározásra.

5.2. Az informatikai biztonsági események jelentése, incidenskezelés

5.2.1. Az IBSZ hatálya alá tartozó személyek kötelessége – amennyiben a tőlük elvárható gondossággal eljárva azt felismerhették – a lehetséges legrövidebb időn belül jelezni az EIRBF-nek minden olyan valós, vagy feltételezett veszélyforrást, biztonsági eseményt, incidenst, amely az információbiztonságra nézve érdemi fenyegetést jelent vagy jelenthet, figyelemmel az 1. függelékben meghatározottakra.

5.2.2. Az üzemeltetőkre és alkalmazásüzemeltetőkre vonatkozó Service Level Agreement [Szolgáltatási Szint Megállapodás; (a továbbiakban: SLA)] vagy rendszerbiztonsági dokumentáció része az üzemeltető, alkalmazásüzemeltető jelentéstételi kötelezettsége a bekövetkezett, vagy a bekövetkezéssel fenyegető biztonsági eseményekről, vagy előbbiek gyanújáról az EIRBF felé.

5.2.3. Az EIRBF az SLA-ban meghatározottak szerint tájékoztatja a NISZ-t, illetve az alkalmazásüzemeltetőket, az üzemeltetőket, akik kötelesek az incidensvizsgálat eredményéről az EIRBF-et tájékoztatni.

5.2.4. A biztonsági eseményeket soron kívül ki kell vizsgálni. A vizsgálatot az EIRBF folytatja le, szükség szerinti mértékben adatkezelők bevonásával. A vizsgálat eredményét írásban kell dokumentálni, amely dokumentációból az érintettek másolatot kapnak.

5.2.5. A biztonsági eseményekről a jogszabály alapján erre kijelölt szerv felé jelentést kell tenni.

5.2.6. Amennyiben a biztonsági esemény személyes adatot is érintett, vagy érinthetett, az ITM adatvédelmi, adatbiztonsági, valamint a közérdekű adatok megismerésére irányuló igények teljesítésére vonatkozó szabályzatnak megfelelően az adatvédelmi tisztviselőt tájékoztatni kell, és a biztonsági esemény kivizsgálásába be kell vonni.

5.2.7. Az adatkezelők, adatfeldolgozók, alkalmazásüzemeltetők, üzemeltetők és az EIRBF kölcsönösen tájékoztatják egymást a biztonsági eseményekről, kockázatokról, veszélyekről és a bevezetett intézkedésekről.

5.2.8. Az eseménykezelési eljárási rend az üzemeltetés tekintetében a NISZ-szel vagy más rendszerüzemeltetővel, illetve alkalmazásüzemeltetővel kötött szerződés része.

5.2.9. Az 5.2.8. alpont szerinti intézkedéseket az EIRBF által meghatározott módon az érintettek kötelesek végrehajtani. Az alkalmazásüzemeltetők, üzemeltetők az EIRBF beavatkozása nélkül is kötelesek végrehajtani azokat az azonnali intézkedéseket, amelyek a kár bekövetkezését, vagy növekedését megelőzhetik.

5.2.10. A biztonsági események kapcsán tett bejelentések, a lefolytatott vizsgálatok, valamint a végrehajtott intézkedések adatait külön nyilvántartás – a Biztonsági Nyilvántartás – tartalmazza, amelyet az EIRBF vezet.

5.2.11. A Biztonsági Nyilvántartás adatait fel kell használni

5.2.11.1. a bekövetkezett biztonsági esemény következményeinek enyhítésére,

5.2.11.2. a jövőben várható hasonló biztonsági események megelőzésére, bekövetkezési gyakoriságának csökkentésére,

5.2.11.3. a vizsgálat során feltártakhoz hasonló védelmi gyengeségek kezelésére, a védelmi intézkedések fejlesztésére.

5.2.12. Nem kell nyilvántartásba venni az adott rendszer vagy rendszerszoftver által automatikusan nyilvántartott és elhárított eseményeket. Az EIRBF – szükség szerint az alkalmazásüzemeltető vagy a NISZ bevonásával – az adott rendszer által automatikusan nyilvántartott és elhárított eseményt tartalmazó naplók meglétét, tartalmát rendszeresen ellenőrzi.

5.2.13. Az informatikai biztonsággal kapcsolatos szabályok megszegése esetén a szabályszegőkkel szemben a felelősség megállapítása során mérlegelni kell, hogy

5.2.13.1. történt-e bűncselekmény,

5.2.13.2. felmerül-e kártérítési felelősség,

5.2.13.3. fegyelmi eljárás lefolytatására van-e szükség,

5.2.13.4. történt-e szerződésszegés.

5.2.14. Az információbiztonsággal kapcsolatos szabályok megszegése vagy annak gyanúja esetén az ITM kormányzati igazgatási tisztségviselők, munkavállalók tekintetében a munkáltatói jogkört gyakorló vezető, az ITM-mel szerződött külső felek esetében a szerződéskötést kezdeményező szervezeti egység vezetője, egyéb személy esetén az ITM érintett vezetője jogosult a megfelelő jogkövetkezmények érvényesítése érdekében eljárást indítani, illetőleg eljárás megindítását kezdeményezni.

5.3. Rendszer- és eszköznyilvántartás

5.3.1. A szakfeladatokat támogató rendszerekről az EIRBF nyilvántartást vezet a 6. függelékben meghatározott tartalommal.

5.3.2. Az IT biztonság szempontjából kritikus pontokon mérési és ellenőrzési rendszert kell kiépíteni, továbbá a mérési eredmények tárolását ki kell alakítani és a rendszeres felülvizsgálat elősegítése érdekében a vizsgálatban részt vevő személyek részére hozzáférhetővé kell tenni.

5.3.3. Tekintettel a központi ellátásra, a hardver elemek nyilvántartását a NISZ végzi, ide nem értve a 3.1.5. alpont szerinti átvett rendszer önálló hardver elemeit, amelyet az üzemeltető tart nyilván.

5.3.4. Az ellenőrzési rendszer technikai feltételeinek biztosításáig az IBSZ személyi hatálya alá tartozók tekintetében az EIRBF – az alkalmazásüzemeltető bevonásával az adott alkalmazás tekintetében – a 8. függelék I. pontjában foglalt táblázat szerinti kontrollpontokon végez eseti ellenőrzést, szükség esetén az üzemeltetők bevonásával

6. Személyi biztonság

6.1.² Minden informatikai rendszert igénybe vevő felhasználóval belépésekor, illetve szerződés kötése során a Humánpolitikai Főosztály, valamint az ITM részéről a külső személlyel szerződéskötést kezdeményező szervezeti egység vezetője köteles az IBSZ felhasználókra vonatkozó részeit és az informatikai rendszer kezelésével, az informatikai rendszer használatával kapcsolatos 1. függelék szerinti általános szabályokat megismertetni, és azok elfogadásáról a 3. függelék szerinti nyilatkozatot aláíratni.

6.2. Az IBSZ külső személyekkel való megismertetése a szerződéskötést kezdeményező szervezeti egység vezetőjének feladata és felelőssége.

6.3. A nem active directory-n alapuló rendszerek felhasználói tekintetében a munkáltatói jogkört gyakorló vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője engedélyezi a hozzáférést.

6.4. Amennyiben az a jogviszony, amely alapján valamely személy hozzáféréssel rendelkezett az ITM nem nyilvános besorolású adataihoz bármely okból megszűnik

6.4.1.³ a Humánpolitikai Főosztály vezetőjének legkésőbb a felhasználó jogviszonyának megszűnésével egyidejűleg kezdeményeznie kell a jogosultságok megvonását,

6.4.2.⁴ az adatokhoz és rendszerekhez hozzáférést engedélyező szervezeti egység erre jogosult vezetője a Humánpolitikai Főosztály útján az üzemeltető kapcsolattartója felé jelzi a jogosultság megszűnését, ha az nem jár a jogviszony megszűnésével,

6.4.3. az adott – nem active directory-n alapuló vagy szakfeladatot ellátó – alkalmazást használó személyek tekintetében a munkáltatói jogkör gyakorlója, illetve a szerződéskötést kezdeményező szervezeti egység vezetője legkésőbb a jogviszony megszűnéséig értesíti az alkalmazásüzemeltetőt, hogy az a szükséges további eljárást le tudja folytatni,

6.4.4. az ITM és a NISZ a központi üzemeltetésű rendszerek tekintetében a vonatkozó szerződés, vagy SLA szerint végzi el a megszűnt jogosultságú személy adathordozókon tárolt nem nyilvános adatainak megfelelő kezelését.

6.5. Az érintett vezetőknek biztosítaniuk kell, hogy a felhasználók csak a feladat- és munkakörükhöz, illetve a beosztásukhoz, a szerződés szerinti tevékenységükhöz tartozó feladatokat láthassák el, és csak az ehhez szükséges jogosultsággal rendelkezzenek.

7. Az elektronikus információbiztonsági felmérés, besorolás és nyilvántartás

7.1. Annak érdekében, hogy az adatok, információk (adatvagyon) bizalmasságának megfelelően differenciált védelmi intézkedések kerüljenek kialakításra, kockázatelemzés alapján, a kockázatokkal arányosan a szakrendszereket, illetve az azokban kezelt adatokat az Ibtv. 7. és 8. §-a alapján biztonsági osztályba kell sorolni a bizalmasság, a sértetlenség és a rendelkezésre állás szempontjából.

7.2. A szakrendszer biztonsági osztálya alapján kell megvalósítani a fizikai, logikai és adminisztratív védelmi intézkedéseket az adott elektronikus információs rendszerre – ideértve az adatokat is – vonatkozóan.

7.3. A biztonsági osztályba sorolást minden, az IBSZ tárgyi hatálya alá tartozó rendszer tekintetében el kell végezni. A besorolást az EIRBF végzi az adatgazdák, az alkalmazásüzemeltetők, az üzemeltetők vagy a fejlesztetők támogatásával, akiknek feladatuk és felelősségük a kockázatok előzetes felmérése a 4. függelék szerinti kérdőív alapján. Amennyiben a kezelt adatok, vagy szolgáltatások köre bővül, az osztályozást az új adatcsoportokra is végre kell hajtani.

7.4. A biztonsági osztályba sorolást új rendszer fejlesztése, vagy a meglévő rendszer továbbfejlesztése előtt kell elvégezni, és gondoskodni kell arról, hogy a fejlesztő az adott biztonsági osztályhoz tartozó védelmi intézkedéseket a rendszerbe beépítse, illetve a biztonság szempontjából releváns dokumentációt előállítsa.

7.5. A károk jellemző csoportjai a következők:

7.5.1. szervezetileg, szervezetpolitikailag káros hatások, károk vagy a jogsértésből, kötelezettség elmulasztásából fakadó káros hatások, károk. Ezek lehetnek pl. alaptevékenységek akadályozása, alapvető szakmai tevékenységet támogató információs rendszerelemek működési zavarai, az adatvagyon sérülései, jogszabályok és egyéb szabályozások megsértése, jogszabály által védett adatokkal történő visszaélés, vagy azok sérülése, a közérdekűség követelményének sérülése, bizalomvesztés a szervezettel szemben, működés rendjének sérülése, vagy ennek lehetővé tétele,

7.5.2. személyeket, csoportokat érintő károk, káros hatások (pl. különleges személyes adatok, nem nyilvános hivatali információk, banktitkok, üzleti titkok megsértése, szervezet, személyek vagy csoportok jó hírének károsodása, személyi sérülések, vagy haláleset bekövetkeztének – az elektronikus információs rendszer működésének zavara, vagy információhiány miatt kialakult veszélyhelyzet alapján – veszélye),

7.5.3. közvetlen anyagi károk (az infrastruktúrát, az elektronikus információs rendszert ért károk, és ezek rendelkezésre állásának elvesztése miatti pénzügyi veszteség, adatok sértetlenségének, rendelkezésre állásának elvesztése miatti költségek, dologi kár),

7.5.4. közvetett anyagi károk (pl. helyreállítási költségek, elmaradt haszonnal arányos költségek, a környezet biztonságának veszélyeztetése, perköltségek).

7.6. Az EIRBF a szakrendszer biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelményét a rendszer funkciójára tekintettel, ahhoz igazodó súllyal érvényesíti, így például:

7.6.1. az adatvagyont kezelő rendszerek esetében a sértetlenség követelmény emelkedik ki,

7.6.2. az alapvető feladatok ellátását támogató információs rendszerelemek a rendelkezésre állást követelik meg elsődlegesen,

7.6.3. a személyes vagy hivatali belső adatokkal kapcsolatban alapvető igény a bizalmasság fenntartása.

7.7. Az adatok és az adott információs rendszer jellegéből kiindulva a besorolás alapja

7.7.1. az adatok és elektronikus információs rendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának sérüléséből, elvesztéséből bekövetkező kár, vagy káros hatás, terjedelme, nagysága,

7.7.2. a kár bekövetkezésének vagy a kárral, káros hatással fenyegető veszély mértéke, becsült valószínűsége.

7.8. A biztonsági osztályba sorolásnál nem a lehetséges legnagyobb kárértéket, hanem a releváns, bekövetkezési valószínűséggel korrigált fenyegetések által okozható kárt, káros hatást kell figyelembe venni.

7.9. A biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás követelménye külön-külön értékelendő.

7.10. A biztonsági osztályba sorolást a 41/2015. (VII. 15.) BM rendelet szerint kell elvégezni azzal, hogy amennyiben valamely adat vagy rendszer több jellemzőnek is eleget tesz, akkor azt a magasabb kár szerint kell osztályba sorolni. Amennyiben egy szakrendszerhez több különböző védelmi osztályba sorolt adat tartozik, akkor a rendszer védelmét a megállapított legmagasabb védelmi osztály szerint kell kialakítani, az adminisztratív, fizikai és logikai védelmi követelmények szerint.

7.11. Az informatikai rendszerek különböző környezetei (pl. éles-, teszt-, oktatórendszer) más-más biztonsági osztályba sorolandók.

7.12. Az egyes biztonsági osztályok alapján jogszabály szerint kell kialakítani a fizikai, logikai és adminisztratív védelmi képességeket biztosító elemeket, amelyek az adott osztálynak megfelelő kockázatokat költséghatékonyan képesek kezelni.

7.13. Nem kell biztonsági osztályba sorolni azokat az ITM által (is) használt rendszereket, amelyek tekintetében az ITM felelőssége a 3.1.4. alpont szerint korlátozott. Esetükben a felügyeletüket ellátó szerv által meghatározott biztonsági osztályhoz kapcsolódó követelmények azon részét kell teljesíteni, amelyekre az ITM közvetlen hatással van.

7.14. A teszt- és oktatórendszerek nem tartalmazhatnak olyan valós és felismerhető adatokat, amelyek jogszabály által védettek.

7.15. A biztonsági osztályba sorolást követően fel kell mérni, hogy az adott rendszeren, rendszerelemen, adatbázison biztosított aktuális védelem megfelel-e az elvárt biztonsági osztálynak. Amennyiben nem, azokat oly módon kell fejleszteni, hogy kétévente egy biztonsági osztálynak megfelelő előrelépést mutassanak, mindaddig, amíg az elvárt biztonsági osztályt el nem érik.

7.16. A besorolást, a védelmi képességeket és intézkedéseket évente felül kell vizsgálni és aktualizálni, valamint gondoskodni kell arról, hogy azok az újabban jelentkező veszélyek, fenyegetések, informatikai vészhelyzetek elhárítására is képesek legyenek.

7.17. A biztonsági osztályba és biztonsági szintbe sorolás adatait a 6. függelék szerinti rendszernyilvántartás tartalmazza.

7.18. Az adott rendszerben bekövetkezett bármely adatváltozást, vagy új rendszer fejlesztését, vásárlását, alkalmazását soron kívül be kell jelenteni az EIRBF-nek.

7.19. A biztonsági osztályba sorolást – szükség esetén – soron kívül, dokumentált módon felül kell vizsgálni, elektronikus információs rendszer bevezetése esetén, soron kívül kell elvégezni.

7.20. Az egyes rendszerek, rendszerelemek, adatbázisok előírt rendelkezésre állását az SLA, illetve az alkalmazáshoz tartozó dokumentáció tartalmazza.

7.21. Az olyan informatikai rendszerek vagy adatbázisok esetén, amelyek több adatcsoportot együtt tárolnak vagy dolgoznak fel, az adott adatcsoportra irányadó legmagasabb biztonsági osztály követelményeit kell érvényesíteni.

7.22. Az Ibtv. 9. §-a és a 41/2015. (VII. 15.) BM rendelet 2. melléklete szerint az ITM-et, illetve az egyes szervezeti egységeket biztonsági szintbe kell sorolni.

7.23. Az ITM általános biztonsági szintje 3-as, mivel

7.23.1. szakfeladatait támogató elektronikus információs rendszert használ, de nem üzemelteti azt,

7.23.2. kritikus adatot, nem minősített, de nem közérdekű vagy közérdekből nyilvános adatot is kezel,

7.23.3. központi üzemeltetésű, és több szervezetre érvényes biztonsági megoldásokkal védett elektronikus információs rendszerek felhasználója, illetve feladatai támogatására más külső szolgáltatót vesz igénybe.

7.24. Külön biztonsági szintbe kell sorolni azt a szervezeti egységet, amely

7.24.1. olyan rendszer felett gyakorol felügyeletet, lát el adatkezelői feladatokat, amelyek biztonsági osztály eléri, vagy meghaladja a 4. szintet,

7.24.2. ha a szervezet vagy szervezeti egység a 3. szinthez rendelt jellemzőkön túl elektronikus információs rendszert vagy zárt célú elektronikus információs rendszert üzemeltet vagy fejleszt.

7.24.3. ha a szervezet vagy szervezeti egység a 4. szinthez rendelt jellemzőkön túl európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek elektronikus információs rendszereinek üzemeltetője, fejlesztője, illetve az információbiztonsági ellenőrzések, tesztelések végrehajtására jogosult szervezet vagy szervezeti egység.

7.25. A szintbe besorolást a 7.24.3. alpont alkalmazásában az EIRBF támogatásával az adatgazdák végzik. Ennek során meg kell vizsgálni, hogy az adott szervezeti egység és az általa kezelt rendszer, vagy adat jellemzői alapján nem kerül-e a ki az IBSZ hatálya alól annak 3.1.2. alpont alapján.

7.26. A biztonsági szintbe sorolást követően fel kell mérni, hogy az adott szervezet, szervezeti egység megfelel-e az elvárt biztonsági szintnek. Amennyiben nem, a szervezeti paramétereket oly módon kell fejleszteni, hogy kétévente egy biztonsági szintnek megfelelő előrelépést mutassanak, mindaddig, amíg az elvárt biztonsági szintet el nem érik.

7.27. A biztonsági osztály és szint bejelentését a Nemzeti Kibervédelmi Intézet felé az EIRBF végzi.

8. Hozzáférések kezelése és védelme

8.1. A felhasználókat – ideértve az adott rendszerben bármely beavatkozás elvégzésére képes személyeket is – az informatikai rendszerekben egyedileg, egyértelműen és hitelesen azonosítani kell. Az azonosítók képzésének módját, azok nyilvántartását, a jogosultságok kezelését az SLA alapján a NISZ vagy az alkalmazásüzemeltető végzi.

8.2. Az azonosítás tekintetében

8.2.1. a NISZ-nek, az alkalmazásüzemeltetőnek, illetve a fejlesztőnek biztosítania kell, hogy minden felhasználó egyedi, a nevéből képzett felhasználói azonosítóval rendelkezzen az alábbiak figyelembevételével:

8.2.1.1. a felhasználói jelszónak legalább nyolc karakter hosszúnak, kis- és nagybetűt, valamint számokat tartalmazónak kell lennie,

8.2.1.2. az egyedi azonosítást és kapcsolódó jelszóhasználatot az adott rendszernek ki kell kényszerítenie,

8.2.1.3. a legalább hatvannaponkénti jelszócserét az adott rendszernek ki kell kényszerítenie,

8.2.1.4. az általános felhasználó csak az adott rendszerben végzett szakmai tevékenységével kapcsolatos beállításokhoz férhet hozzá,

8.2.1.5. az adott rendszer alapbeállítása legyen, hogy legfeljebb öt sikertelen próbálkozás után a felhasználót legalább 60 percre zárja ki, vagy csak az üzemeltető által a felhasználó egyedi azonosítása után kiadott induló jelszóval biztosítsa a hozzáférést;

8.2.2. a felhasználói azonosítónak meg kell felelnie az egyediség kritériumának, kivéve a szervezeti egységhez kötött, ún. csoport-e-mailek használatát, amelyekhez az adott szervezeti egység vezetőjének írásos felhatalmazásában megnevezett felhasználók férhetnek hozzá;

8.2.3. az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott feladatkör/munkakör feladatellátásához szükséges minimális funkcióelérést biztosíthatják;

8.2.4. az active directory-n alapuló hozzáférési jogosultságok kezelését, a jogosultságigénylés folyamatát a jogosultságkezelési munkautasítás szabályozza (2. függelék);

8.2.5. a felhasználók a hozzáférésüket megalapozó jogviszonyuk létrejöttét követően – a lehető legrövidebb időn belül – megkapják felhasználói azonosítójukat;

8.2.6. a kiosztott felhasználói azonosítót haladéktalanul használatba kell venni; ennek első lépéseként az induló – alapértelmezett – jelszót meg kell változtatni;

8.2.7.⁵ amennyiben a felhasználó jogviszonya előreláthatólag három hónapot meghaladóan szünetel, vagy a felhasználó a hozzáférést megalapozó jogviszonyából eredő feladatát előreláthatóan tartósan nem fogja ellátni, a felhasználói jogosultságait a munkába állás, az adott tevékenység folytatása napjáig fel kell függeszteni (inaktiválni). Az inaktiválást és az újraaktiválást a közvetlen vezető, illetve a külső személlyel szerződéskötést kezdeményező szervezeti egység vezetője kezdeményezi, az active directory-n alapuló hozzáférési jogosultságok tekintetében a Humánpolitikai Főosztály útján;

8.2.8.⁶ a felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat a felhasználó új, közvetlen vezetője, illetve a külső személlyel szerződéskötést kezdeményező szervezeti egység vezetője kéri – a Humánpolitikai Főosztály útján vagy a 7.7. pont szerinti esetben közvetlenül – az üzemeltetői kapcsolattartótól;

8.2.9. külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Külső személy azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetője kezdeményezi a NISZ-nél, illetve az alkalmazásüzemeltetőnél, az EIRBF egyidejű tájékoztatásával.

8.3.⁷ Új felhasználó hozzáférési active directory rendszerbe való illesztését kormánytisztviselők, munkavállalók tekintetében a szervezeti egység vezetője, külső személy tekintetében a szerződéskötést kezdeményező szervezeti egység vezetője a szolgáltatási portálon (ht tp s:/ /sz olgalt atasipo rtal.ni sz.h u) fellelhető jogosultságigénylő űrlap kitöltése és elküldése útján írásban – papír alapon vagy e-mailben – igényelheti – a Humánpolitikai Főosztály útján – a NISZ kapcsolattartótól. A jogosultságigénylés folyamata megvalósulhat elektronikus úton is, amennyiben a rendszer azt támogatja.

8.4. A jogosultság létrehozásának, menedzselésének irányelveit a szakrendszerek rendszerdokumentációjában rögzíteni kell.

8.5. A felhasználó hozzáférést megalapozó jogviszonyának megszüntetése nem azonnali hatályú, a jogosultság visszavonása a megjelölt időpontban – a jogviszony megszűnésének napján – történik.

8.6. A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a munkáltatói jogkör gyakorlója, illetve a külső személlyel szerződéskötést kezdeményező szervezeti egység vezetője a felhasználó tájékoztatása mellett köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség). Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is az ITM-hez köti, pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony), a felhasználói jogosultságokat meg kell szüntetni, és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend alapján.

8.7. Az üzemeltetőnek és az alkalmazásüzemeltetőnek egy adott – nem az active directory-n alapuló – szakrendszerre vonatkozó speciális jogosultságkezelés-eljárási és dokumentációs rendet kell kialakítania, és dokumentálnia kell, amit az adatgazda hagy jóvá és az EIRBF ellenőriz.

8.8. A bejelentkezési névvel rendelkező felhasználó köteles a bejelentkezőnevéhez tartozó jelszó megőrzésére. A saját bejelentkezőnévhez tartozó jelszót kiadni, mások által is elérhető módon feljegyezni nem szabad.

8.9. A bejelentkezőnévhez tartozó jelszó kialakításának és cseréjének szabályait a szakrendszer rendszerdokumentációban kell szabályozni, amit az üzemeltető és az alkalmazásüzemeltető a megfelelő rendszereszközök alkalmazásával valósít meg.

8.10. A nem active directory-t használó alkalmazások üzemeltetője a hozzáférések kezelésére a 8.7. alpontban foglaltak szerint az adott alkalmazásra érvényes dokumentált szabályrendszer szerint intézkedik.

8.11. A munkaállomások hozzáférésére vonatkozó minimális előírás, hogy

8.11.1. a számítógépes munkaállomások képernyőit (monitor) úgy kell elhelyezni, hogy az azon megjelenő információkat illetéktelen személy ne láthassa,

8.11.2. a munkaállomás beállításait adminisztrátori jelszóval kell védeni módosítás ellen,

8.11.3. a képernyőt automatikus védelemmel kell ellátni (munkaállomás-zárolás).

8.12. Az adatgazda által kritikusnak megjelölt adatbázisokat és programokat hardveres azonosítást biztosító eszközzel kell védeni. Az eszközöket a kapcsolattartó útján az adatgazda az üzemeltetőtől igényli.

8.13. A megszűnt jogviszonyú személyek dokumentumaihoz vagy hivatali címen történt levelezéséhez való hozzáférést a 4.1.10–4.1.12. alpontban foglaltakra tekintettel a szervezeti egység vezetője kérheti a kapcsolattartótól.

9. Archiválás, mentés

9.1. Amennyiben a szakrendszer adat- és rendszermentéseit nem a NISZ végzi, az adatgazda a 7. függelék figyelembevételével, az EIRBF támogatásával mentési rendet készít az üzemeltető számára, és naprakészen tartja azt. Az EIRBF ellenőrzi a mentési rend meglétét, aktualizálását, végrehajtását. Az EIRBF és az adatgazda szúrópróbaszerűen, tesztkörnyezetben teszteli a mentések visszatölthetőségét.

9.2. Az SLA vagy külön megállapodás alapján a NISZ által üzemeltetett rendszerek tekintetében az adatgazda a 7. függelék szerint meghatározza, hogy mit, milyen gyakorisággal, milyen elérhetőséggel kell menteni, milyen megőrzési határidőket kell alkalmazni, illetve a mentések ellenőrzése, felhasználhatósága hogyan történik. A további tevékenységek a NISZ feladatkörébe tartoznak, amelyet az EIRBF a Rendelet szerinti Munkacsoport keretein belül ellenőriz.

9.3. Az archiválásra vonatkozó előírásokat a 7. függelék tartalmazza.

9.4. Mind a mentés, mind az archiválás tekintetében az EIRBF figyelemmel kíséri, hogy az adott szervezeti egység nem került-e az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról szóló 466/2017. (XII. 28.) Korm. rendelet (a továbbiakban: Korm. rendelet) hatálya alá. Amennyiben igen, a Korm. rendelet rendelkezéseit kell alkalmazni.

9.5. Azoknak a felhasználóknak, akiknek az ITM-hez kapcsolódó jogviszonya megszűnt, a levelezését és a munkaállomáson tartott dokumentumait a NISZ SLA szerint megőrzi, és az adatgazda kapcsolattartón keresztüli kérésére az adatgazdának átadja.

10. Biztonsági osztályoktól független intézkedések és eljárások

10.1. Ügymenet-folytonossági és vészhelyzetkezelési terv

10.1.1. Az informatikai vészhelyzetkezelési és ügymenet-folytonossági tervet az EIRBF bevonásával a NISZ, az üzemeltető, illetve az alkalmazásüzemeltető készíti el. Az informatikai vészhelyzetkezelési terv összhangban áll az egyes rendszerek biztonsági osztályával. A vészhelyzetkezelési tervet kiegészíti az ITM egyes szakterületei által elkészített, az informatikai rendszer kiesése esetén a szaktevékenység továbbfolytatását támogató ügymenet-folytonossági terv.

10.1.2. Az új rendszer tervezése magában foglalja az informatikai vészhelyzetkezelési és ügymenet-folytonossági terv elkészítését.

10.1.3. A vészhelyzetkezelési tervben foglaltak felülvizsgálatát az EIRBF az 5.1.1. alpont szerint végzi.

10.1.4. Az EIRBF hangolja össze az ügymenet-folytonossági és vészhelyzetkezelési tervet.

10.1.5. Az ügymenet-folytonossági terv alapkövetelménye, hogy meghatározza

10.1.5.1. mely rendszer kiesésére vonatkozik,

10.1.5.2. kik az érintettjei,

10.1.5.3. ki rendeli el a használatát,

10.1.5.4. milyen előzetes tevékenységet kell elvégezni az ügymenet-folytonossági terv működéséhez (pl. naplóívek kinyomtatása, papíralapú jegyzékek létrehozása),

10.1.5.5. mikor kell elrendelni a vészhelyzeti eljárás bevezetését (a számítógépes rendszer várható kiesésének időtartamához viszonyítva),

10.1.5.6. a manuális eljáráshoz milyen felelősségek tartoznak, ki milyen jogosultsággal rendelkezik (pl. iktat, könyvel, engedélyez),

10.1.5.7. hogyan kell átállni a manuális folyamatokra,

10.1.5.8. hogyan, mennyi időn belül kell a rendszer helyreállása esetén pótolni a gépi adatokat,

10.1.5.9. mit kell tenni a manuális eljárás során keletkezett dokumentumokkal.

10.1.6. Nem kell külön ügymenet-folytonossági tervet készíteni, ha az adott rendszer bármely dokumentációjának az része.

10.1.7. A vészhelyzetkezelési terv figyelembe veszi a lehetséges fenyegetéseket, és annak hatásához rendeli a szükséges intézkedéseket. Az ügymenet-folytonossági és katasztrófaelhárítási terv vázlatát az 5. függelék szerinti ajánlás tartalmazza.

10.1.8. Az ITM szakfeladatait támogató rendszerekről alkalmazástérképet készít az alkalmazásüzemeltető, az üzemeltető vagy a fejlesztő.

10.1.9. Az alkalmazástérkép alapvető tartalma

10.1.9.1. Felhasználói szolgáltatás portfólió

10.1.9.1.1. Alkalmazás szolgáltatások

10.1.9.1.2. Infrastruktúra szolgáltatások

10.1.9.2. Eszköz struktúra, a szolgáltatásokhoz tartozó eszközkörnyezet

10.1.9.3. Műszaki szolgáltatás katalógus

10.1.9.3.1. Szolgáltatások

10.1.9.3.2. Szolgáltatások tartalma

10.1.9.3.3. Szolgáltatások felelősei

10.1.9.3.4. Interfészek bemutatása

10.2. Vírusvédelem

10.2.1. A vírusvédelem célja az ITM informatikai rendszerének rosszindulatú vagy kártékony programok elleni védelmének biztosítása. A védelem kialakítását és naprakészen tartását a NISZ végzi az SLA alapján.

10.2.2. A nem a NISZ üzemeltetésében levő eszközök tekintetében az üzemeltető, alkalmazásüzemeltető gondoskodik a naprakész, teljes körű vírusvédelemről, a vonatkozó biztonsági osztály előírásának megfelelően, dokumentált módon.

10.3. Elektronikus levelezés biztonsága

10.3.1. Az elektronikus levelezés biztonságának, működőképességének, stabilitásának és rendelkezésre állásának biztosítása az SLA alapján a NISZ – egyes speciális szakrendszerek elkülönült levelezése tekintetében az alkalmazásüzemeltető – feladata. Az EIRBF munkája során ellenőrizheti az elektronikus levelezés biztonságához szükséges tevékenységek és kapcsolódó dokumentációk meglétét is. Ellenőrzése során vizsgálnia kell, hogy megvalósul-e

10.3.1.1. a megfelelő felhasználó azonosítása,

10.3.1.2. a felhasználók rendelkezésére álló postafiók méretének korlátozása,

10.3.1.3. távoli elérés esetén a titkosítás alkalmazása,

10.3.1.4. a kártékony mellékletek blokkolása,

10.3.1.5. távoli elérés esetén az egyes csatornák felhasználónkénti korlátozása.

10.3.2. A felhasználók elektronikus levelezéssel kapcsolatos feladatait és kötelességeit az 1. függelék tartalmazza.

10.3.3. Disztribúciós (csoportos) e-mail-cím létrehozását papíralapú vagy elektronikus levélben lehet igényelni az igénylő munkatárs szervezeti egysége vezetőjének jóváhagyásával az üzemeltető kapcsolattartótól.

10.3.4. Az igénylésben meg kell jelölni legalább egy felelős munkatársat (a továbbiakban: felelős), aki a létrehozás után a disztribúciós cím karbantartásához szükséges információkat igény esetén biztosítja az üzemeltetés részére, illetve kezdeményezi a disztribúciós cím alá történő felhasználói e-mail-cím beállítását.

10.3.5. A disztribúciós címeket a felelősök félévente felülvizsgálják, és szükség esetén gondoskodnak azok módosításáról vagy megszüntetéséről. A disztribúciós e-mail-címek módosításáról vagy megszüntetéséről a felelősök e-mail útján tájékoztatják a tagokat.

10.3.6. Az EIRBF évente felülvizsgálja a disztribúciós e-mail-címek fenntartásának indokoltságát.

10.4. Internetszolgáltatás szabályozása

10.4.1. A 2.1.4. alpont alapján biztosított internet használata csak az SLA-ban meghatározottaknak megfelelően kialakított és betartott szabályok alapján történhet.

10.4.2. Az internetszolgáltatás minőségének szinten tartása és az ITM érdekeinek biztosítása céljából a NISZ – az EIRBF javaslatára vagy engedélyével, illetve az SLA alapján – korlátozhatja

10.4.2.1. bizonyos fájltípusok letöltését,

10.4.2.2. az alapvető etikai normákat sértő oldalak látogatását,

10.4.2.3. a látogatható weboldalak körét, a maximális fájlletöltési méretet.

10.4.3. A szervezeti egység vezetője – amennyiben ezt indokoltnak tartja – az egyes felhasználó(k) internet-hozzáférésének letiltását kezdeményezheti az EIRBF-től.

10.4.4. A felhasználók csak az EIRBF által ismert és a NISZ által biztosított internetkijáratokon keresztül csatlakozhatnak az internethez. Bármely egyéb módon történő internetelérés létesítése az azt kialakító felhasználó felelősségre vonását eredményezi.

10.4.5. A felhasználók internethasználatára vonatkozó szabályokat összefoglalva az 1. függelék tartalmazza.

10.5. Szoftvereszközök használatának szabályozása

10.5.1. Az ITM által használt szoftvereket az EIRBF felügyeli, és ennek során ellenőriznie kell, hogy a használt, nem központi ellátásból származó szoftverek rendelkeznek-e licenccel – ide nem értve az engedélyezett freeware szoftvereket –:

10.5.1.1. a megvásárolt licencek száma arányos-e a használt szoftverek mennyiségével,

10.5.1.2. a használt szoftverek verziószáma megfelelő-e,

10.5.1.3. a ténylegesen használt szoftverek megegyeznek-e az engedélyezett szoftverek listájával.

10.5.2. Az ITM munkaállomásaira vagy szakrendszereibe csak eredményesen tesztelt szoftverek telepíthetők. A telepítést a NISZ vagy az alkalmazásüzemeltető végzi, licenccel nem rendelkező vagy a kereskedelmi forgalomban beszerezhető nem engedélyezett vagy nem az ITM által fejlesztett szoftvert telepíteni bármely eszközre tilos, ide nem értve az engedélyezett freeware szoftvereket.

10.5.3. Az ITM által vásárolt és kifejlesztett szoftverek és a hozzájuk tartozó dokumentumok másolása és átadása harmadik fél részére tilos, kivéve, ha a licencszerződés ezt külön szabályozza és lehetővé teszi.

10.5.4. A felhasználók rendelkezésére bocsátott hardver- és szoftvereszközök ellenőrzését az EIRBF bejelentés nélkül bármikor kezdeményezheti.

10.6. Tűzfalak és a távoli hozzáférés szabályozása

10.6.1. A tűzfalakkal kapcsolatos szabályozások és biztonsági beállítások megtétele a NISZ, illetve az alkalmazásüzemeltető feladata, melyet az SLA vagy a rendszer biztonsági dokumentációja alapján lát el, és amelyet az EIRBF ellenőrizhet.

10.6.2. A központilag biztosított munkaállomások tűzfalas védelmét a NISZ biztosítja, amelyet átmenetileg sem lehet kikapcsolni. Amennyiben a tűzfalas védelem a 3.1.5. alpont szerint átvett rendszer üzemeltetését gátolja, az üzemeltető az EIRBF bevonásával a NISZ-szel egyeztet, és amíg a probléma fennáll, a rendszer nem használható.

10.6.3. Az ITM active directory-n alapuló informatikai rendszerének távoli elérése csak egyedileg azonosított felhasználók számára lehetséges, és távoli hozzáférés kialakítása kizárólag WebMail-szolgáltatással (OWA elérésen keresztül) VPN- vagy extranetkapcsolattal valósítható meg, amelyek kialakítását és fenntartását a NISZ végzi.

10.6.4. A 10.6.2. alpont alá nem tartozó rendszerek tekintetében távoli kapcsolat kizárólag az adott rendszer használatához biztosítható. Ennek biztonságos kialakítása az alkalmazásüzemeltető, a fejlesztető és az üzemeltető felelőssége, amelynek dokumentált módon, az adott biztonsági osztályhoz megfelelő védelmi intézkedések betartásával köteles eleget tenni.

10.7. Mobil IT tevékenység, hordozható informatikai eszközök

10.7.1. A mobileszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni, és azokat rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni.

10.7.2. Rendszeres időközönként – lehetőség szerint hetente egy alkalommal – a munkahelyi hálózathoz kell csatlakoztatni a mobileszközt az operációs rendszer biztonsági és vírusvédelmi frissítéseinek végrehajtása érdekében.

10.7.3. Az egyes szakrendszerekben megvalósítandó szakfeladatok ellátására biztosított mobileszközök biztonsági és védelmi funkcióinak frissítését, az adatok mentését az adott szakrendszer keretein belül kell megvalósítani úgy, hogy azok naprakészsége biztosított legyen.

10.7.4. A mobileszközt szállító felhasználók kötelesek azt a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni, nem hagyhatják gépjárműben, és kézipoggyászként kötelesek szállítani.

10.7.5. Azokban az esetekben, amikor az eszközök nem az ITM székhelyén, telephelyein találhatóak, fokozott figyelmet kell fordítani a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása vagy ellopása elleni védelemre.

10.7.6. A hordozható informatikai eszközökre – ideértve a hardveres azonosító eszközt is – vonatkozó felhasználói szabályokat összefoglalva az 1. függelék tartalmazza.

10.7.7. Bármely mobileszközökön az ITM rendszereihez és adataihoz való hozzáférést biztosító bejelentkezési felületeken a jelszómentést, tárolást alkalmazni tilos.

10.8. Papíralapú dokumentumokat előállító hálózati eszközök kezelése

10.8.1. A dokumentumok előállítására alkalmas eszközök használatára az egyéb informatikai eszközökre vonatkozó szabályozás érvényes. A felhasználók számára tiltott tevékenységek az ITM adatait nyomtatott formában megjelenítő eszközök esetén is irányadóak.

10.8.2. Az ITM belső hálózatára nem a NISZ által biztosított nyomtatót csatlakoztatni tilos.

11. Informatikai rendszerek fejlesztése, beszerzése és karbantartása

11.1. A megfelelő kapacitás és a szükséges erőforrások elérhetősége érdekében előzetes tervezést kell végezni. Ennek során

11.1.1. a rendszer túlterheltségével járó kockázatok mérséklése érdekében fel kell mérni a várható kapacitásigényt,

11.1.2. meg kell határozni az új rendszerek üzemeltetési követelményeit,

11.1.3. figyelembe kell venni a környezet és a rendszer támasztotta igényeket,

11.1.4. meg kell határozni a rendszer erőforrásainak – processzorok, központi tárolóegységek, adatállományok tárolására rendszeresített eszközök, nyomtatók és egyéb kimenetek, adatátviteli rendszerek – felhasználását, terhelését,

11.1.5. össze kell állítani a rendszer kivitelezéséhez kapcsolódó, szükséges szabályzatok, dokumentumok listáját,

11.1.6. ki kell szűrni és meg kell szüntetni a rendszer biztonságát és a felhasználói szolgáltatásokat veszélyeztető szűk keresztmetszeteket, és meg kell tervezni a rendszer helyreállításához szükséges intézkedéseket,

11.1.7. a fejlesztést a 2.1.6–2.1.7., 2.1.9., valamint a 2.1.11–2.1.13. alpontok szerinti megfelelőséggel kell megtervezni.

11.2. Az elektronikus információs rendszerek átvétele során átadás-átvételi jegyzőkönyv készül, mely tartalmaz minden, az átvétellel kapcsolatos feladatot, kötelezettséget, dokumentációt, de legalább a következő dokumentumokat:

11.2.1. logikai rendszerterv, melynek tartalmi elemei a logikai felépítés, használati esetek és szerepkörök, szerepkörfunkció-összerendelés, folyamatok leírása, képernyőtervek, logikai adatmodell, adatfolyamábrák, interfészek logikai specifikációja, határvédelem, mentési megoldás, adatmennyiségi és feldolgozási kapacitáskövetelmények, hibakezelés, installálás;

11.2.2. fizikai rendszerterv, melynek tartalmi elemei a szoftverkörnyezet, tervezési alapelvek, szoftverarchitektúra, szoftverkörnyezet-függőségek, a megoldás határai, folyamatok leírása, rendszerkomponensek, rendszerbiztonság, jogosultságkezelés és regisztráció, képernyőtervek, interfészek;

11.2.3. konfigurációs leírás, melynek tartalmi elemei a rendszerarchitektúra felépítése, rendszerelemek kapcsolatai, alapinfrastruktúra hardverei és szoftverei, hálózati felépítés, védelmi konfigurációs megoldások, hálózati szegmensek közötti forgalomátengedés konfigurációja, terheléselosztás, magas rendelkezésre állás, teszt- és oktatási rendszer, mentési megoldás konfigurációja;

11.2.4. üzemeltetési kézikönyv, melynek tartalmi elemei a rendszer és egyes elemeinek telepítési leírása, mentési és helyreállítási, monitorozási, felügyelet-üzemeltetési feladatok, telephelyek közötti átkapcsolás, adminisztrátori funkciók, rendszerműködési követelmények, beállítások, hibajelenségek;

11.2.5. ügymenet-folytonossági és katasztrófaelhárítási terv;

11.2.6. biztonsági rendszerek, alrendszerek dokumentációja, melynek tartalmi elemei a biztonsági funkciók leírása, azok installációja, aktiválása, leállítása és használata a fejlesztés, valamint az üzemeltetés során;

11.2.7. oktatási kézikönyv, melynek tartalmi elemei a felhasználói funkciók, adminisztrátori funkciók, biztonsági elvárások;

11.2.8. felhasználói kézikönyv, melynek tartalmi elemei a felhasználói funkciók, biztonsági elvárások;

11.2.9. biztonsági osztályba sorolás dokumentációja.

11.3. Tesztrendszer létrehozása kötelező. A tesztrendszer az eredeti konfigurációval megegyező, naprakész.

11.4. Bármely rendszerfejlesztés eredménye a nem valós adatokkal feltöltött tesztkörnyezetben ellenőrizendő, dokumentálandó. A fejlesztés éles környezetbe való implementálása csak sikeres teszt után történhet, amelynek dokumentációját az EIRBF-nek meg kell küldeni.

11.5. Az elektronikus információs rendszerek átvételének feltétele az önálló jogi oltalomban részesíthető termék forráskódjának és a kapcsolódó dokumentációk rendelkezésre állása és átadása, vagy letétbe helyezése az ITM üzletmenet-folytonosságának biztosítása érdekében. A forráskód és a kapcsolódó dokumentációk átadása vagy letétbe helyezése során meg kell győződni az átadott forráskód működőképességéről. Az átadott dokumentációk alapján a külön teszt környezetében a forráskódból elő kell állítani – a tesztkörnyezet korlátainak figyelembevételével – a felhasználói kézikönyvben meghatározott funkciókkal működőképes elektronikus információs rendszert.

11.6. Az ITM kizárólag saját erőforrás igénybevételével alkalmazást nem fejleszt.

11.7. Az ITM által fejlesztetett rendszerek tekintetében a szakmai oldal elvárásai alapján el kell készíteni a rendszerspecifikációs dokumentumot, amelynek elkészítése során a jogszabályi és az informatikai biztonsági elvárásoknak történő megfelelést is figyelembe kell venni.

11.8. A fejlesztés megkezdése előtt el kell végezni a biztonsági osztályba sorolást a rendszerben kezelendő adatok és folyamatok érzékenységének és értékének figyelembevételével – amelytől enyhébb biztonsági osztályra a rendszer átadása során át lehet térni, ha indokolt –, és az adott biztonsági osztályhoz tartozó, jogszabályban meghatározott biztonsági követelmények teljesítésére fel kell készülni, és a vonatkozó megállapításokról tájékoztatni kell az EIRBF-et.

11.9. Az IT biztonsági követelmények megvalósítása a kapcsolódó fejlesztési projekt vezetőjének feladata, akit az EIRBF ellenőriz. A megállapított biztonsági osztálynak nem megfelelő rendszert bevezetni nem lehet.

11.10. A teszt- és az éles rendszer elkülönítését a fejlesztő, illetve az üzemeltető biztosítja.

11.11. A fejlesztés során az adott fázis kivitelezésének megkezdése előtt az EIRBF rendelkezésére kell bocsátani a biztonsági tervezési dokumentumokat, amelyek tekintetében az EIRBF észrevételt tehet, kiegészítést rendelhet el, a biztonsági követelményeknek nem megfelelő dokumentációt átdolgozásra visszaküldi.

11.12. Az EIRBF a jogszabályban meghatározott módon a Nemzeti Kibervédelmi Intézet felé a fejlesztés alatt álló rendszerrel kapcsolatos bejelentéseket megteszi.

11.13. Az informatikai eszközöket a Rendelet szerint a NISZ biztosítja, illetve azokat jogszabály alapján központi ellátásból kell beszerezni.

11.14. A központi ellátásból nem beszerezhető eszközök beszerzésére az általános, az ITM-re vonatkozó közbeszerzési szabályokat kell alkalmazni a 2.1.9. alpontban meghatározott eljárás figyelembevételével.

11.15. Az egyedi rendszerfejlesztések során a 2.1.10. pontban meghatározott eljárást is le kell folytatni.

11.16. A 11.14–11.15. alpontban jogszabályok által biztosított egyedi, az általánostól eltérő eljárások és felmentések igénybevétele az EIRBF irányítását ellátó helyettes államtitkár engedélyével történhet. Az engedélyezéshez a kérelmezőnek be kell mutatni azokat az indokokat, amelyek az eltérést megalapozzák.

11.17. Az informatikai tárgyú beszerzések megkezdése előtt az EIRBF véleményét ki kell kérni a beszerzés tárgyának biztonsági megfelelősége tekintetében.

11.18. A vásárolt és fejlesztett programok esetében figyelembe kell venni a szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogra vonatkozó hatályos szabályozást. A tulajdonjogot a licencszerződések szabályozzák.

11.19. Az ITM által vásárolt vagy számára kifejlesztett szoftverek és a hozzájuk tartozó dokumentumok másolása és átadása harmadik személy részére akkor lehetséges, ha a licencszerződés ezt lehetővé teszi, és ahhoz a miniszter hozzájárul.

11.20. Az EIRBF jóváhagyása nélkül – ide nem értve az ITM által megrendelt alkalmazásokat – nem vásárolható vagy készíthető olyan alkalmazás, program, amely az ITM adatbázisait igénybe veszi, ahhoz kapcsolódik.

12. Oktatás, képzés

12.1. Az IT biztonsági képzést elsősorban a Nemzeti Közszolgálati Egyetem által szervezett, a kormánytisztviselők számára kötelező képzést biztosító programok útján kell megvalósítani. Az IT biztonsági területen kapott képzést, illetve elvégzett fakultást az EIRBF felé a képzésekért felelős szervezeti egység útján jelenteni kell, amiről az EIRBF nyilvántartást vezet.

12.2. A 12.1. alpont szerinti képzésben részt nem vevő személyek számára az EIRBF rendszeres, elsősorban személyes jelenlétet nem igénylő oktatást szervez az oktatásért felelős szervezeti egység útján. A résztvevőkről az EIRBF nyilvántartást vezet.

12.3. Az EIRBF gondoskodik arról, hogy az egyes sérülékenységek, veszélyek, megelőző intézkedések a teljes felhasználói kör számára megismerhetővé váljanak, ezért hírleveleket küld ki a fenyegetett személyi körnek, és az erre jogosult szervezeti egység útján az ITM belső honlapján tájékoztató anyagokat, ismertetőket tesz közé az IT biztonság témakörében.

12.4. Az EIRBF bármely szervezeti egység vezetőjének kérésére külön oktatást tart az érintett személyi körnek.

13. Ellenőrzések, rendszeres felülvizsgálatok

13.1. Az információbiztonság helyzetét folyamatosan kontrollálni kell. A kontrolleljárások kialakításánál elsődlegesen azt kell figyelembe venni, hogy azok által az információbiztonság szintje mérhető legyen.

13.2. A kontrolleljárások kialakítása érdekében meg kell határozni az ellenőrzések területeit, és minden területhez külön-külön meg kell fogalmazni az ellenőrzési célkitűzéseket. Az ellenőrzési célkitűzések ismeretében meg kell jelölni az ellenőrzés eszközeit (dokumentumok, naplók, szoftverek, adatok, amelyek a biztonsági rendszerről hiteles képet tudnak adni), azok tartalmi követelményeit.

13.3. Az ellenőrzések eredményét minden esetben ki kell értékelni, és a megfelelő következtetéseket le kell vonni, illetve vissza kell csatolni a biztonsági folyamatra. Szükség esetén felelősségrevonási eljárást kell kezdeményezni.

13.4. Az ellenőrzéseket dokumentumok, személyes beszámoltatás és helyszíni szemlék alapján lehet végrehajtani.

13.5. Az informatikai biztonsággal kapcsolatos ellenőrzések területei:

13.5.1. a megfelelőségi vizsgálat, amely célja annak ellenőrzése, hogy az ITM rendelkezik-e az elégséges személyi, eljárási, tárgyi feltételekkel, és azok megfelelően dokumentáltak-e,

13.5.2. az információbiztonság szintjére vonatkozó vizsgálat, amely arra irányul, hogy az információbiztonság szintje megfelel-e a meghatározott védelmi szintnek,

13.5.3. az információbiztonsági szabályok betartásának ellenőrzése a célból, hogy az ITM információbiztonsági szabályait a felhasználók ismerik-e, illetve betartják-e. Ez az ellenőrzés az informatikai biztonság egy-egy területére is leszűkíthető,

13.5.4. az IT biztonsági dokumentumok felülvizsgálata abból a szempontból, hogy azok megfelelnek-e a jogi, informatikai, szakmai elvárásoknak és az általuk szabályozott területen megfelelő szabályok betartására alkalmazhatóak-e.

13.6. Az ellenőrzések során meg kell vizsgálni

13.6.1. az IT biztonsági rendszer működésének biztonsági szempontú megfelelőségét, az IT-rendszerre előírt dokumentumok létezését, illetve naprakészségét,

13.6.2. az IT biztonsági rendszer felépítését, jogszabályi megfelelőségét,

13.6.3. az IT biztonsági szabályok érvényesülését a folyamatokban,

13.6.4. az IT-személyzet, illetve a felhasználók IT-biztonsági ismereteit,

13.6.5. az adatokra és a rendszerekre vonatkozó kezelési szabályok betartását,

13.6.6. a naplózási rendszer megfelelő alkalmazását,

13.6.7. a biztonsági események kezelésének, a szükséges mértékű felelősségre vonás gyakorlatát,

13.6.8. a mentési rendszer megfelelő alkalmazását,

13.6.9. a hozzáférési jogosultságok naprakészségét, a kiadott jogosultságok szükségességét,

13.6.10. a dokumentációk pontosságát, naprakészségét, a változások követését, megfelelő kezelését, nyilvántartását,

13.6.11. az alkalmazott szoftverek jogtisztaságát,

13.6.12. a szerződések megfelelőségét,

13.6.13. a fizikai biztonsági előírások betartását.

13.7. Az ITM a hatáskörébe tartozó elektronikus információs rendszerek és rendszerelemek biztonsági megfelelőségének vizsgálatát elvégeztetheti, jogszabályi előírás alapján elvégezteti az erre szakosodott és ezt tanúsítani képes szervezettel (auditor).

13.8. Az audit a vizsgálati bizonyítékok objektív kiértékelésére irányuló módszeres, független és dokumentált folyamat annak meghatározására, hogy az előre meghatározott és szerződésben rögzített auditkritériumok milyen mértékben teljesülnek.

13.9. Az audit célja az IBSZ alkalmazásában

13.9.1. az elektronikus információs eszközt, terméket vagy szolgáltatást létrehozó vagy megvalósító folyamatok és tevékenységek biztonsági megfelelőségének vizsgálata,

13.9.2. az elektronikus információs területet támogató vagy azt megvalósító folyamatok és eljárás minőségének, alkalmasságának az előírt biztonsági követelményeknek való megfelelőségének vizsgálata,

13.9.3. egy adott rendszer vizsgálata a rendszer működőképességének fenntartása és folyamatos tökéletesítése érdekében, és a biztonsági szempontoknak való megfelelőség tanúsítása.

13.10. A 13.9. alpont szerinti eljárás során az auditor a biztonsági követelményrendszer oldaláról megvizsgálja, hogy a vizsgálat tárgyának dokumentált szabályzatai, minőségi és funkcionális követelményei, gyakorlati útmutatói, munkáltatói iránymutatásai, valamint belső és külső eljárásai összhangban vannak-e a vonatkozó előírásokkal, illetve hogy a vizsgálat tárgya ténylegesen a dokumentált szabályzatok, minőségi és funkcionális követelmények, gyakorlati útmutatók, munkáltatói iránymutatások, belső és külső eljárások szerint működik-e a gyakorlatban.

13.11. Az egyes elektronikus információs rendszerek és rendszerelemek sérülékenységvizsgálatát, a biztonsági események adatainak elemzését részben vagy egészben elvégeztetheti az erre jogszabály alapján kijelölt szervezettel.

13.12. A sérülékenységvizsgálat

13.12.1. célja az esetleges biztonsági események bekövetkeztét megelőzően a rendszerek és rendszerelemek gyenge pontjainak feltárása, valamint a feltárt hibák elhárítására vonatkozó részletes megoldási javaslatok kidolgozása;

13.12.2. tárgya az adatok, információk kezelésére használt elektronikus információs rendszereknek, azok rendszerelemeinek, eszközöknek, eljárásoknak és kapcsolódó folyamatoknak, valamint az ezeket kezelő személyek általános informatikai felkészültségének és a használt informatikai és információbiztonsági előírások, szabályok betartásának vizsgálata.

13.13. A biztonsági események műszaki vizsgálata során a vizsgálatot végző

13.13.1. feltárja a biztonsági esemény bekövetkeztének okait, körülményeit,

13.13.2. behatárolja a biztonsági esemény által érintett elektronikus információs rendszerek, rendszerelemek körét,

13.13.3. javaslatot tesz a biztonsági esemény által okozott kár elhárítására, és

13.13.4. a bekövetkezett biztonsági eseményből levonható tanulságokról tájékoztatja a biztonsági eseménnyel érintetteket, hogy a jövőben biztonsági esemény bekövetkezése megelőzhető legyen.

13.14. A sérülékenységvizsgálati eljárás során a vizsgálatot végző az eljárását megalapozó szerződésben meghatározottak szerint az alábbi vizsgálatokat végezheti el:

13.14.1. külső vizsgálat,

13.14.2. webes vizsgálat,

13.14.3. belső vizsgálat,

13.14.4. vezeték nélküli hálózat vizsgálata,

13.14.5. mobil adatátviteli vizsgálat,

13.14.6. emberi tényezőkön alapuló vizsgálat.

13.15. A 13.8–13.14. alpontok szerinti vizsgálatokat az EIRBF, illetve az alkalmazásüzemeltető kezdeményezheti az EIRBF bevonásával.

13.16. Az IBSZ-ben nem szabályozott ellenőrzési eljárási tevékenységek és folyamatok tekintetében a vonatkozó ITM utasításokat kell alkalmazni.

13.17. Az információbiztonsági rendszert, illetve annak egyes elemeit rendszeresen felül kell vizsgálni a 8. függelék II. pontjában foglalt táblázatban meghatározott ütemezés szerint.

1. A felhasználó tudomásul veszi, hogy az ITM által biztosított eszközök kizárólag a munkavégzést szolgálják. Az azokon tárolt, kezelt, forgalmazott adatok és információk (dokumentumok, hivatali e-mail-címen elektronikus levelek, programok) kizárólag a munkavégzéshez kapcsolódhatnak, azok felett az ITM adatkezelői jogokat gyakorol. Az adatgazda, a munkáltatói jogkör gyakorlója vagy a munkáltató által erre feljogosított személy az IBSZ 4.1.10. alpontja szerinti bármely adatot, információt az üzemeltetőtől bekérhet; az IBSZ tárgyi hatálya alá tartozó eszközökön megtekinthet a felhasználó feladatellátásának ellenőrzése céljából, ide nem értve azokat az adatokat és adatforgalmakat, amelyről a felhasználó úgy nyilatkozik, hogy azok az IBSZ 4.1.10. alpontjában megfogalmazott kötelezettségtől eltérőn magánjellegűek, magáncélúak, vagy amelyekről ez a felhasználó nyilatkozata nélkül is megállapítható.

2. A felhasználó felel az ITM informatikai infrastruktúrájának rendeltetésszerű használatáért.

3. A felhasználó felel a rá vonatkozó szabályok – elsősorban az ITM-mel fennálló munkavégzésre irányuló jogviszonyt szabályozó törvényi rendelkezésekben foglaltak – szerint az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.

4. A felhasználó köteles az IBSZ-ben vagy az adott szakmai alkalmazás tekintetében megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában mind az EIRBF-fel, mind az alkalmazásüzemeltetővel együttműködni.

5. A felhasználó köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni.

6. A felhasználó köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni.

7. A felhasználó köteles a belépési jelszavát (jelszavait) az előírt időben változtatni, biztonságos módon kezelni.

8. A felhasználó köteles a számítógépes munkaállomások képernyőit (monitor) úgy elhelyezni, hogy az azon megjelenő információkat illetéktelen személy ne láthassa.

9. A felhasználó zárja el a folyó munka során nem használt nem nyilvános anyagokat, adathordozókat.

10. A felhasználó felügyelet nélkül a munkahelyen (munkaállomáson) személyes adatot vagy üzleti titkot tartalmazó dokumentumot vagy adathordozót nem hagyhat, a számítógépét (a munkahelyi munkaállomást) a helyiség elhagyása esetén le kell zárni úgy, hogy ahhoz csak jelszó vagy hardveres azonosító eszköz használatával lehessen hozzáférni.

11. A felhasználó köteles a munkahelyről történő eltávozáskor az addig használt – kivéve, ha ez a rendszer(ek) más által történő használatát vagy a karbantartást akadályozza – eszközt szabályszerűen leállítani.

12. A felhasználó köteles a hardveres azonosítást biztosító eszközt úgy tárolni, hogy az más számára elérhetetlen legyen.

13. A felhasználó nem installálhat és nem futtathat a munkaállomásokon az ITM-ben nem nyilvántartott szoftvereket (szórakoztató szoftverek, játékok, egyéb segédprogramok).

14. Biztonsági esemény gyanúja (észlelése) esetén a felhasználó köteles az észlelt rendellenességekről tájékoztatni a közvetlen vezetőjét (a szerződéskötést kezdeményező szervezeti egység vezetőjét) és az EIRBF-et. Biztonsági esemény különösen:

14.1. nem nyilvános adat illetéktelen személy általi megismerése,

14.2. informatikai rendszerekben tárolt adatok illetéktelen személyek általi megváltoztatása, törlése vagy hozzáférhetetlenné tétele,

14.3. informatikai rendszer működésének, használatának jogosulatlan akadályozása,

14.4. nem engedélyezett vagy licenccel nem rendelkező szoftver telepítése,

14.5. fentiek bármelyikére tett kísérlet, például felhasználói jelszavak egymás közötti megosztása, hozzáférhetővé tétele, hardveres azonosító eszköz hozzáférhetővé tétele, vírusfertőzés (a továbbiakban együtt: biztonsági események),

14.6. ismeretlen okú, a megszokottól eltérő működés.

15. A felhasználó a saját használatra kapott számítógép rendszerszintű beállításait nem módosíthatja – ide nem értve az irodai programok felhasználói beállításait.

16. A felhasználó nem kapcsolhatja ki a munkaállomására telepített aktív vírusvédelmet.

17. A felhasználó a belépési jelszavát (jelszavait), hardveres azonosító eszközét más személy rendelkezésére nem bocsáthatja.

18. A felhasználó nem bonthatja meg a számítógép-hálózatot fizikailag, a számítástechnikai eszközöket nem csatlakoztathatja le, illetve tilos bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra az informatikai rendszert üzemeltetők tudta nélkül.

19. A felhasználó nem bonthatja meg vagy alakíthatja át a számítástechnikai eszközökből összeállított konfigurációkat.

20. A felhasználó semmilyen szoftvert nem installálhat, nem tölthet le az internetről vagy másolhat eszközére külső adathordozóról az EIRBF engedélye, illetve a NISZ közreműködése nélkül.

21. A felhasználó tartózkodni köteles bármilyen eszköz számítástechnikai eszközökbe szerelésétől és annak használatától.

22. A felhasználó nem hagyhatja az általa használt hardveres azonosító eszközt számítógépében a munkaállomástól való távozása esetén.

23. A felhasználó nem helyezhet ellenőrizetlen forrásból származó adatokat tartalmazó adathordozót az eszközökbe.

24. A felhasználó nem tárolhat szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogot sértő dokumentumokat, tartalmakat (zenéket, filmeket stb.) az eszközökön, oda le- vagy onnan a hálózatra nem tölthet fel ilyet.

25. A felhasználó nem továbbíthat láncleveleket, kéretlen levelekre nem válaszolhat, ismeretlen tartalmú kéretlen levelek mellékleteit vagy linkjeit nem nyithatja meg.

26. A felhasználó kereskedelmi célú hirdetéseket vagy reklámokat belső vagy külső címzettek felé nem továbbíthat – ide nem értve az ITM által kért vagy partnerei által küldött, a minisztérium által támogatott tevékenységekről, pl. kedvezményes beszerzés, rekreáció, üdülés, munkavégzést segítő eszközök – szóló anyagokat.

27. A kiosztott felhasználói azonosítót haladéktalanul használatba kell vennie, és első lépésként az induló (alapértelmezett) jelszót meg kell változtatnia.

28. Levelezőlistákra hivatali e-mail-címmel nem iratkozhat fel, kivéve a munkavégzéshez szükséges

28.1. az ITM által megrendelt, működtetett vagy előfizetett szolgáltatások,

28.2. belső információs rendszerek,

28.3. közigazgatási, illetve nemzetközi vagy európai uniós szervek vagy szervezetek által biztosított szolgáltatások,

28.4. közigazgatási szervek által felügyelt szervek vagy szervezetek által biztosított szolgáltatások

levelezőlistáit.

29. A felhasználó a 28. pont alá nem tartozó levelezőlistára az EIRBF külön engedélyével iratkozhat fel.

30. A felhasználó az ITM által vásárolt vagy számára kifejlesztett szoftverekről és a hozzájuk tartozó dokumentumokról másolatot nem készíthet, harmadik személy részére át nem adhat.

31. Az EIRBF jóváhagyása nélkül a felhasználó nem készíthet olyan egyedi alkalmazást, amely az ITM adatbázisait igénybe veszi, ahhoz kapcsolódik.

32. Az ITM adatbázisából csak úgy hozható létre elkülönített egyedi önálló adatbázis, ha azt az adatgazda írásban jóváhagyta.

33. A felhasználó online játékokat nem használhat.

1. A munkavégzéssel kapcsolatosan már nem használandó leveleket rendszeresen archiválni kell a felhasználó postafiókjából (személyes mappába történő áthelyezés).

2. Levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik.

3. Nem szabad megnyitni például a nyereményekre és ismeretlen, állítólagosan megrendelt küldeményekre utaló leveleket, ismeretlen feladótól érkező ajánlatokat, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget az EIRBF-től, a NISZ Ügyfélszolgálattól (közvetlen technikai támogató) kérhet.

4. Különös figyelemmel kell eljárni a 3. pont szerinti levelek mellékletével (képek, videók, programok, fájlok) kapcsolatban, ezeket megnyitni tilos. Ugyancsak tilos az ilyen levelekben ajánlott, csatolt internetes oldalak látogatása.

5. A felhasználóknak tilos láncleveleket készíteniük és továbbítaniuk. Tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó vagy „levélszemét” jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez az Ügyfélszolgálat vagy a közvetlen technikai támogató nyújt segítséget.

6. A tárterületek védelmének érdekében az ITM informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl címzett számára hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl csak egy példányban legyen tárolva a rendszerben.

7. A felhasználónak tilos az ITM nevében olyan e-mailt küldenie, csatolt fájlt megjelentetnie elektronikus hirdetőtáblákon vagy egyéb nem hivatalos fórumokon, amely

7.1. az ITM vagy a magyar közigazgatás hírnevét vagy az ügyfelekkel való kapcsolatát ronthatja, illetve az ITM ügyfeleinek, társszerveinek érdekét sértheti,

7.2. jogszabályt vagy az ITM belső szabályozását sérti,

7.3. az ITM bizalmas álláspontját képviseli, fejezi ki,

7.4. szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogokat sérthet,

7.5. vírusokkal fertőzhet meg bármely hálózatot,

7.6. felhatalmazás nélkül bennfentességre hivatkozik.

1. A felhasználók csak az EIRBF által ismert és a NISZ által biztosított internetkijáratokon keresztül csatlakozhatnak az internethez.

2. A felhasználók által csak a munkavégzéshez, szakmai tájékozottság bővítéséhez szükséges vagy általános tájékozottságot biztosító információt, segítséget nyújtó oldalak látogathatók.

3. Tilos a jó ízlést, közerkölcsöt sértő, rasszista, uszító és más, a véleménynyilvánítás kereteit meghaladó oldalak szándékos látogatása, online játékok, fogadási oldalak felkeresése, bármely tartalommal kapcsolatos magánvélemény nyilvánítása (privát blogolás).

4. A felhasználók nem tölthetnek fel saját elhatározásból az ITM-mel kapcsolatos adatot az internetre.

5. Az internetről csak a munkavégzéshez szükséges adatállományok, táblázatok tölthetők le, alkalmazások, programok nem.

6. A látogatott oldal nem szokványos működése (pl. folyamatos újratöltődés, kilépés megtagadása, ismeretlen oldalak látogatására történő kényszerítés, ismeretlen program futásának észlelése stb.) esetén a közvetlen technikai támogató segítségét kell kérni.

1. Az eszköz átvételét követően a NISZ-től vagy az alkalmazásüzemeltetőtől kapott jelszót meg kell változtatni.

2. Az eszközhöz tartozó tanúsítvány meghatározott ideig érvényes. A tanúsítványt lejárat előtt meg kell újítani.

3. A felhasználónévhez tartozó jelszót a felhasználói fiók megszüntetéséig az eszközzel rendelkező felhasználóknak nem kell megváltoztatni.

4. Az eszköz elvesztése esetén a felhasználó köteles értesíteni a NISZ-t, az EIRBF-et, az adatgazdát, valamint (ha van) az alkalmazásüzemeltetőt.

1. Valamennyi mobileszközt rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni.

2. A mobileszközt és az ahhoz kapcsolódó számítástechnikai berendezéseket szállító felhasználók

2.1. kötelesek azt a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni,

2.2. azt nem hagyhatják gépjárműben,

2.3. tömegközlekedési eszközön azt kézipoggyászként kötelesek szállítani.

3. Azokban az esetekben, amikor az eszközök nem az ITM székhelyén, telephelyein találhatóak, fokozott figyelmet kell fordítani a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása vagy ellopása elleni védelemre.

4. Tilos a mobileszközök

4.1. engedély nélküli átruházása vagy adatainak közlése,

4.2. megfelelő védelem nélkül idegen hálózathoz csatlakoztatása,

4.3. bármilyen indokolatlan veszélynek történő kitétele vagy nem rendeltetésszerű használata.

5. Az ITM adataiból csak azon adatokat szabad mobileszközön tárolni,

5.1. amely adatokról központi biztonsági mentés készül,

5.2. amelyekkel kapcsolatban biztosítani lehet az e szabályzatban előírt információ- és adatbiztonságot, valamint adatvédelmi rendelkezéseket.

6. Rendszeres időközönként – lehetőség szerint hetente egy alkalommal – a munkahelyi hálózathoz kell csatlakoztatni az eszközt az operációs rendszer biztonsági és vírusvédelmi frissítéseinek végrehajtása érdekében.

1. A felhasználó kötelessége – amennyiben a tőle elvárható gondossággal eljárva azt felismerhette – a lehetséges legrövidebb időn belül jelezni közvetlen vezetője útján az EIRBF-nek minden olyan valós vagy feltételezett veszélyforrást, biztonsági eseményt, incidenst, amely az információbiztonságra nézve érdemi fenyegetést jelent vagy jelenthet, így különösen

1.1. az IBSZ-ben, valamint a vonatkozó jogszabályokban előírt információbiztonsági rendszabályok lényeges megszegését, illetve ennek gyanúját,

1.2. a nem nyilvános adat illetéktelen személy általi megismerését,

1.3. az informatikai rendszerekben tárolt adatok illetéktelen személyek általi megváltoztatását, törlését vagy hozzáférhetetlenné tételét,

1.4. az informatikai rendszer működésének, használatának jogosulatlan akadályozását,

1.5. nem engedélyezett vagy licenccel nem rendelkező szoftver telepítését,

1.6. a felhasználói jelszavak egymás közötti megosztását, hozzáférhetővé tételét, hardveres azonosító eszköz hozzáférhetővé tételét, vírusfertőzést és más hasonló biztonsági eseményt,

1.7. ismeretlen okú, a megszokottól eltérő működést.

1. Az ITM központi üzemeltetésű informatikai rendszerének meghibásodásait – legyen az hardver- vagy szoftvermeghibásodás – a felhasználó telefonon, e-mailben vagy a NISZ által működtetett hibabejelentő felületen – Ügyfélszolgálati rendszeren – keresztül, illetve az adott alkalmazáshoz tartozó leírás alapján az Ellátási Portálon (ht tp s:/ /ep o.go v.h u) keresztül köteles bejelenteni. A meghibásodás észlelését követően a NISZ az SLA szerint jár el.

2. Az egyes szakmai alkalmazások tekintetében – amennyiben eszközeik nem a Központi Ellátási Főigazgatóság útján kerültek biztosításra – az 1. ponttól az adott rendszer munkautasítása szerint el lehet térni.

1. Jogosultságigénylés folyamata

1.1.⁸ Új felhasználó hozzáférési rendszerbe való illesztését a jogosultság igénylőűrlap – belépő lap – kitöltése és elküldése útján az adott szervezeti egység vezetője vagy a szerződéskötést kezdeményező szervezeti egység vezetője írásban (papír alapon vagy elektronikus úton igényelheti – a Humánpolitikai Főosztály útján – a NISZ kapcsolattartótól. A jogosultságigénylés folyamata megvalósulhat elektronikus alapon is, amennyiben a rendszer azt támogatja. A jogosultság létrehozásának, menedzselésének irányelveit az SLA rögzíti. Határozott időtartamú jogviszony esetén ideiglenes jogosultságot kell kezdeményezni, amelyre a „Belépő lap” megfelelő kitöltésével van mód.

1.2.⁹ Külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Külső személy azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetőjének kell kezdeményeznie – a Humánpolitikai Főosztály útján – a NISZ kapcsolattartótól.

2. Jogosultság megváltoztatásának folyamata

2.1. Abban az esetben, ha a felhasználó az ITM-en belül más szervezeti egységhez kerül, az új szervezeti egység vezetője írásban kérheti – a Szervezeti egység váltás formanyomtatvány kitöltésével – az új feladatkörhöz/munkakörhöz, feladathoz kapcsolódó jogosultságok megadását. A nyomtatványon közölt adatok alapján a NISZ teljes mértékben megszünteti a korábbi jogosultságokat, illetve beállítja az újakat.

2.2. Amennyiben a felhasználó jogviszonya előreláthatólag három hónapot meghaladóan szünetel, vagy a felhasználó a hozzáférést megalapozó jogviszonyából eredő feladatát előreláthatóan tartósan nem fogja ellátni, a felhasználói jogosultságait a munkába állás, az adott tevékenység folytatása napjáig fel kell függeszteni (inaktiválni). Az inaktiválást és az újraaktiválást a közvetlen vezető, illetve a külső személlyel szerződéskötést kezdeményező szervezeti egység vezetője kezdeményezheti személyek esetében a Személyügy útján. A felfüggesztésre a „Kilépő lap” szolgál (belső címe: Kilépő/tartós távollét bejelentő lap), míg az újraaktiválásra a „Belépő lap” használható.

2.3.¹⁰ A felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat a felhasználó közvetlen vezetője, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – a Humánpolitikai Főosztály útján – a NISZ kapcsolattartótól.

2.4. Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt – valamely új jogviszony a felhasználót továbbra is az ITM-hez köti; pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony –, a felhasználói jogosultságokat meg kell szüntetni, és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend szerint.

3. Jogosultság megszüntetésének folyamata

3.1.¹¹ A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a felhasználói jogosultságát haladéktalanul érvényteleníteni kell. Az igényt az 1. pont szerint igénylésre jogosult vezető jelzi – a Humánpolitikai Főosztály útján – a NISZ kapcsolattartó felé.

3.2.¹² A jogviszony azonnali hatályú megszüntetése esetén a jogosultság azonnal visszavonásra kerül. Ezt az érintett vezetőnek kell soron kívül – a Humánpolitikai Főosztály útján – a NISZ, illetve az alkalmazásüzemeltető felé jelezni.

3.3. Ha a jogviszony megszüntetése nem azonnali hatályú, a jogosultság visszavonása a „kilépési” lapon megjelölt – a jogviszony megszűnésének napja – időpontban történik.

3.4. A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor az 1. pont szerint igénylésre jogosult vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője – a felhasználó tájékoztatása mellett – köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség), amelyről köteles tájékoztatni a NISZ-t a szükséges eljárások lefolytatása érdekében. A felhasználó személyes adatainak kezelése során a vonatkozó törvény rendelkezéseit szem előtt tartva kell eljárni.

3.5. A hivatkozott űrlapok a szolgáltatási portálon (https://szp.nisz.hu) érhetők el.

1. Helyreállítási és működésfolytonossági terv

Helyreállítási terv …………… (kiadási állapot és/vagy revíziószám)

(megjegyzés: az adott rendszer sajátosságaira és az üzemeltetési környezetre – így különösen a jogszabály alapján történő üzemeltetésre – tekintettel a sablonoktól el lehet térni, amennyiben az a támogatott szakmai feladat végrehajtása szempontjából megfelelő, és kellő biztonságot nyújt)

Alkalmazás (rendszer, támogató folyamat) neve:

A működtetéséért felelős személy (név, beosztás):

Elérhetőségei (mobil, e-mail):

Az alkalmazás és környezetének rövid leírása (modulok, fizikai architektúra, logikai kapcsolatok, egyéb informatikai specifikumok, pl. IP-címek, különleges beállítások, javítócsomagok letöltési helyei):

(amennyiben van, ábra)

Az üzemvarok, illetve a katasztrófaesemények elkerülése érdekében elvégzett megelőző intézkedések (és felelőseik beosztás szerint):

Pl. mentések, logfigyelés, tükrözés, UPS stb.

Az üzemzavar, illetve a katasztrófaesemény definíciója és kategóriái: lehetséges meghibásodások, zavarok felsorolása – típushibák:

Pl. enyhe, közepes, súlyos események

Pl. típushibák

Az esemény bekövetkezési és kezelési időszakai (munkaidőben, munkaidőn túl, hétvégén, ünnepnapon stb.):

Mennyiben más az ügyintézés, ha a hiba munkaidőben, munkaidőn túl, hétvégén, ünnepnapon következik be?

Az üzemzavar-, illetve katasztrófaelhárító csoport („IMC – Incident Management Team”) tagjai (és elérhetőségeik), feladataik, felelősségeik:

(Név, telefon, feladat, felelősség)

Visszaállítási forgatókönyvek és visszaállítási intézkedések a forgatókönyvek szerint az esemény kategóriájától és a bekövetkezési időszaktól függően:

Felsorolás A, B, C, D jelű forgatókönyvek (kategória és bekövetkezési időszak szerint, esetleg táblázatos formában)!

– azonnali válasz (riadóterv)

– futtató környezet helyreállítása (alaprendszer, operációs rendszer, alkalmazások, távközlés)

– funkcionális helyreállítás

– üzemeltetési szintű helyreállítás

– áttelepülés (katasztrófa esetében) és működésnormalizálás az áttelepülés után

A visszaállítás szempontjából kritikus rendszerelemeknek (eszközök, berendezések) önálló üzemeltetési kézikönyvvel kell rendelkeznie!

Egyéb fontos személyek és telefonszámok:

Kulcsfontosságú szolgáltatók (pl. Elmű) elérhetőségei.

A szolgáltatás által érintett legfontosabb személyek.

Kommunikációs és adminisztrációs terv:

Hová kell rögzíteni az elhárítás során elvégzett tevékenységeket? (Üzemeltetési napló, teszt jegyzőkönyv stb.)

Az elhárító csapaton és a felelős vezetőn kívül kit kell értesíteni az eseményről és elhárításának állapotáról? Ki kommunikál a sajtóval, ha az incidens a külvilág számára is érzékelhető zavart okoz?

Helyesbítő tevékenységek:

A hibaelhárítás után a tanulságok levonásának fóruma (pl. műszaki értekezlet, félévenkénti belső egyeztetés stb.), ki felel a helyesbítő intézkedések (újra-előfordulást megakadályozó intézkedések) meghatározásáért és elrendeléséért, bevezetéséért.

A DRP tesztje:

– utolsó teszt dátuma

– végrehajtója

– eredménye

2. Működésfolytonossági terv (a továbbiakban: BCP)

(kiadási állapot és/vagy revíziószám)

Annyi ilyen lapot kell kitölteni alkalmazásonként, ahány alternatív folyamat létezik az adott alkalmazásra!

Alkalmazás (rendszer, támogató folyamat) neve:

Az alternatív folyamat (rendszer, támogató folyamat) megnevezése:

Az alternatív folyamat működtetéséért felelős személy (név, beosztás):

Elérhetőségei (mobil, e-mail):

Az alternatív folyamat alkalmazásának elrendeléséért felelős személy (név, beosztás):

Elérhetőségei (mobil, e-mail):

Az alternatív folyamat aktiválásának becsült időtartama: (óra)

Az alternatív folyamat milyen mértékben helyettesíti az eredeti alkalmazást:

Lásd a BCP táblázat megfelelő osztályzatát (0-1-2-3)!

Az alternatív folyamat erőforrásigénye (személyzet, hardver, szoftver, működési környezet, üzemeltetési kézikönyv):

Ábra (pl. telepítési vázlat, irodaelrendezés)!

Az alternatív folyamat működtetése szempontjából kritikus rendszerelemeknek önálló üzemeltetési kézikönyvvel kell rendelkeznie!

Az alternatív folyamat aktiválásának lépései (azon tennivalók rövid leírása, melyek ahhoz szükségesek, hogy az alternatív folyamat működhessen):

Lépések (esetleg) ábrában!

Az alternatív folyamat lépései (azon lépések vagy működési mód, ahogy az alternatív folyamat helyettesíti az adott alkalmazást):

Amennyiben értelmezhető, akkor folyamatábra!

Az alternatív folyamatot aktiváló csoport tagjai (és elérhetőségeik), feladataik, felelősségeik:

(Név, telefon, feladat, felelősség)

Egyéb fontos személyek és telefonszámok:

Az alternatív folyamathoz szükséges kulcsfontosságú szolgáltatók (pl. Elmű) elérhetőségei.

Az alternatív folyamat által érintett legfontosabb személyek.

Kommunikációs és adminisztrációs terv:

Hová kell rögzíteni az alternatív folyamat aktiválása során elvégzett tevékenységeket? (Üzemeltetési napló, tesztjegyzőkönyv stb.)

Az alternatív folyamatot aktiváló csoport tagjain és a felelős vezetőn kívül kit kell értesíteni az aktiválásról?
Ki kommunikál a sajtóval, ha az alternatív folyamat alkalmazása a külvilág számára is érzékelhetően más
működést jelent?

A BCP (az alternatív folyamat) tesztje:

– utolsó teszt dátuma

– végrehajtója

– eredménye

1. Helyettes Államtitkári Titkárság neve

2. Főosztály neve

3. A rendszer teljes neve

4. A szakrendszer RÖVID neve

5. A rendszer rövid leírása

6. A rendszer használatának jellemzői (%-os mérték)

7. A rendszer fejlesztése európai uniós forrásból volt-e finanszírozva?

8. A rendszer biztonsági osztályba sorolása jelenleg (bizalmasság, sértetlenség, rendelkezésre állás)

9. Ki volt a rendszer fejlesztője?

10. Körülbelül hányan használják a rendszert?

11. Ki látja el a rendszer üzemeltetését?

12. HA KÜLSŐ, PIACI CÉG:

A cég neve

13. Van-e szerződés az üzemeltetésre?

14. HA VAN SZERZŐDÉS, VAGY „MEGKÖTÉS ALATT”:

Határozott vagy határozatlan idejű?

15. HA HATÁROZOTT:

Meddig érvényes a szerződés?

16. Ki látja el az alkalmazás üzemeltetését?

17. HA KÜLSŐ, PIACI CÉG:

A cég neve

18. Van-e szerződés az alkalmazás üzemeltetésére?

19. HA VAN SZERZŐDÉS, VAGY „MEGKÖTÉS ALATT”:

Határozott vagy határozatlan idejű?

20. HA HATÁROZOTT:

Meddig érvényes a szerződés?

21. Ki látja el az alkalmazás támogatását?

22. HA KÜLSŐ, PIACI CÉG:

A cég neve

23. Van-e szerződés az alkalmazás támogatására?

24. HA VAN SZERZŐDÉS, VAGY „MEGKÖTÉS ALATT”:

Határozott vagy határozatlan idejű?

25. HA HATÁROZOTT:

Meddig érvényes a szerződés?

26. Az adott szervezeti egység biztonsági szintje, ha az eltér az ITM szintjétől

1. Mentés

1.1. A Mentési Rend ismertetése

1.1.1. A jelen Mentési Rend az Elektronikus közigazgatási keretrendszer ajánlásán alapul, amely az Új Magyarország Fejlesztési Terv keretében, az Államreform Operatív Program támogatásával, az „Elektronikus közigazgatási keretrendszer” tárgyú kiemelt projekt megvalósításának részeként készült. Ennek figyelembevételével az egyes rendszerek üzemeltetési során az egyedi mentési rend kialakításánál a következőkre kell figyelemmel lenni.

1.2. A Mentési Rend célja

1.2.1. A Mentési Rend (a továbbiakban: MR) magában foglalja annak meghatározását, hogy mit, mikor, hogyan kell menteni és megőrizni. Az MR rendszerenként készül, az adatgazda az EIRBF bevonásával készíti, és az üzemeltetők az abban foglaltakat betartani és alkalmazni kötelesek.

1.3. Az MR karbantartása

1.3.1. Az MR aktualitása az előfeltétele annak, hogy a biztonsági alrendszer ne gyengüljön, kövesse a változásokat. Az MR tartalmát bármely, a rendszerben történt lényeges változás (új rendszer üzembe helyezése, eltávolítása; mentési stratégia vagy eszköz megváltozása) után felül kell vizsgálni, a szükséges javításokat dokumentáltan kell elvégezni. A javítások tényét, idejét és helyét a dokumentumban fel kell tüntetni. A felülvizsgálat keretében kell átvezetni a munkakörök és a munkakörökhöz tartozó nevesített személyek megváltozását is. Ha olyan biztonsági esemény következik be, mely a mentést is érinti, az MR-ben felülvizsgálata szintén kötelező.

1.4. Mentés feltételeinek meghatározása

1.4.1. Amennyiben jogszabály az alábbiakról nem rendelkezik, szükséges meghatározni, hogy

1.4.1.1. milyen gyakran kell menteni,

1.4.1.2. mikor kell menteni,

1.4.1.3. mennyi ideig kell gyorsan elérhető (online/kvázi online) tárban tárolni,

1.4.1.4. mennyi ideig kell archív állományban tárolni.

1.4.2. Ha az érintett adatok védelmére, tárolására és kezelésére vonatkozóan léteznek külön előírások (pl. pénzügyi, számviteli szabályok, személyes adatkezelés stb.), ezeket figyelembe kell venni. Ugyancsak figyelembe kell venni az adott rendszer biztonsági osztályához kapcsolódó rendelkezéseket is.

1.5. Mentés menetének meghatározása

1.5.1. Az üzemeltető vagy alkalmazásüzemeltető feladata az adatgazda elvárásinak, illetve a rendszer biztonsági osztályához tartozó rendelkezések alapján a mentés menetének meghatározása és annak biztosítása, így különösen

1.5.1.1. mentések ütemezése,

1.5.1.2. mentési jobok beállítása (honnan, hova és mit mentsen),

1.5.1.3. mentési média ellenőrzése és rendelkezésre állás biztosítása,

1.5.1.4. mentés folyamatának ellenőrzése,

1.5.1.5. mentés eredményének ellenőrzése.

1.6. Mentési naplók

1.6.1. A mentéseket naplózni kell, aminek tartalmaznia kell legalább a következőket:

1.6.1.1. a mentéshez használt adathordozó(k) azonosítóját,

1.6.1.2. a mentés tartalmát,

1.6.1.3. a mentés időpontját,

1.6.1.4. a mentés eredményét (sikeres/sikertelen, hiba oka).

1.6.2. Amennyiben a mentést mentőrendszerrel végzik, a mentési naplót a mentőrendszer automatikusan generálja. A mentési naplókat ebben az esetben is a mentőrendszer nélkül is olvasható formátumban kell tárolni a mentésekkel azonos biztonsági körülmények között.

1.6.3. A mentési naplók tárolhatók elektronikusan vagy papír alapon. A naplókat az IBSZ-ben foglaltak szerint az EIRBF ellenőrzi.

1.7. Mentési média címkézése

1.7.1. A mentési média azonosítását oly módon kell elvégezni, hogy az visszakereshető, és az elnevezés alapján a mentési dokumentumokban a tartalom ellenőrizhető legyen. Az adathordozókkal végzett tevékenységeket az azonosító számhoz kötve kell dokumentálni.

1.8. Mentések külső helyszíni kezelése

1.8.1. A külső helyszínen tárolandó mentéshez használt médiumokat az előre meghatározott ütemezéssel kell kivenni a mentési egységből. A kivett mentési médiát védett, lezárt tárolódobozba kell helyezni a kinyomtatott exportálási naplóval. A dobozon rögzíteni kell a mentés időpontját.

1.8.2. A kinyomtatott exportálási napló második példányát helyben kell őrizni, az elszállítás időpontját, az elszállító nevét és az aláírását tartalmazó dokumentummal. A tárolási helyen a mentést nyilvántartásba kell venni.

1.8.3. Általános javaslatok

1.8.3.1. Egyszerre négy, egymás követő hét mentését javasolt külső helyen tárolni.

1.8.3.2. A dokumentációs adathordozót javasolt havonta elkészíteni, és kiszállítani a külső helyszínre. Az ott tárolt régebbi adathordozó csak ezután szállítható vissza.

1.8.3.3. A külső helyszínen tárolandó mentéseket lezárt tárolóban tároljuk az exportnaplóval.

1.8.3.4. Ha munkaszüneti nap van az export elkészültének napján, akkor a folyamatot a legközelebbi munkanapon el kell végezni, kivéve az automatizált mentést.

1.8.3.5. Folyamatosan figyelemmel kell kísérni a mentendő adatmennyiség változását, és ennek megfelelően kezdeményezni új adathordozók beszerzését. Minden médiatípus esetén legalább 10% tartalékot szükséges tartani.

1.8.3.6. A használt mentési médiák használati idejét a gyártó által megadott élettartam figyelembevételével, 10%-os biztonsági tartalékkal javasolt meghatározni. Az élettartamot figyelembe kell venni mind a többszöri felhasználásnál, mind pedig a hosszú távon megőrzendő adatok tárolásánál.

1.8.4. Mentési adathordozók selejtezése

1.8.4.1. Az adatok hosszú távú tárolása és elérhetősége érdekében az adathordozók élettartamát folyamatosan ellenőrizni kell. A már fel nem használható (elöregedett, megsérült) adathordozókat selejtezni kell.

1.8.4.2. A selejtezés során az alábbi követelményeket kell betartani:

1.8.4.2.1. A selejtezésről jegyzőkönyv felvétele kötelező.

1.8.4.2.2. A kritikus adatok tárolására használt adathordozó selejtezését úgy kell elvégezni, hogy utána arról semmilyen adat vagy adatrészlet ne lehessen visszaállítható (demagnetizálás, hevítés, darálás, pépesítés). Az egyes rendszerek biztonsági besorolását a mentési eljárásban jelölni kell.

1.8.4.2.3. Selejtezett adathordozó kommunális szemétbe nem kerülhet.

1.8.4.2.4. Érvényesíteni kell a környezetvédelmi szempontokat.

1.9. Visszatöltési eljárások

1.9.1. A visszatöltési eljárás lehet

1.9.1.1. részleges visszatöltési eljárás vagy

1.9.1.2. teljes visszatöltés.

1.9.2. Visszatöltési teszteket kell végezni az alábbi esetekben:

1.9.2.1. a mentési infrastruktúrát érintő változások esetén,

1.9.2.2. rendszeresen, a visszatöltési tesztek tapasztalatai alapján,

1.9.2.3. évente, a teljes mentési dokumentáció felülvizsgálatakor.

1.9.3. A visszatöltési tesztekről jegyzőkönyvet kell készíteni a következő tartalommal:

1.9.3.1. visszatöltött állományok,

1.9.3.2. visszatöltés időpontja,

1.9.3.3. visszatöltést végző neve,

1.9.3.4. visszatöltött adatmennyiség,

1.9.3.5. visszatöltési idő (kezdés-/végidőpont),

1.9.3.6. a visszatöltés során szerzett tapasztalatok, észrevételek.

1.9.4. A visszatöltési tesztek tapasztalatai alapján szükség esetén elvégzendő a visszatöltéshez kapcsolódó dokumentációk frissítése.

1.10. A központi üzemeltetésbe tartozó rendszerek esetében az SLA rendelkezései alapján a NISZ végzi a mentéseket, a mentett adatok tesztvisszatöltését az EIRBF kezdeményezi az üzemeltetőnél.

2. Archiválás

2.1. Amennyiben az archiválást nem a NISZ végzi, akkor az adatgazdák és/vagy az üzemeltetők a következő adatok megadásával tájékoztatják az EIRBF-et az archiválási igényről:

2.1.1. az archiválandó adatrész pontos meghatározása:

2.1.1.1. adatbázis és/vagy

2.1.1.2. táblatér és/vagy

2.1.1.3. könyvtár-/fájlnév,

2.1.1.4. szűrőparaméterek (valamely időnél régebbi adatok, nem módosított adatok stb.);

2.1.2. az archiválás végrehajtásának pontos időpontja;

2.1.3. az archivált adatok jogosultsági beállításai;

2.1.4. rendelkezésre állási idő meghatározása (az az időszak, amelyben az adatokat az éles rendszerből való kikerülésük után még el kell érni);

2.1.5. indokolás:

2.1.5.1. jogszabályi, közjogi szervezetszabályozó eszköz általi előírás,

2.1.5.2. belső előírás,

2.1.5.3. szervezeti működéshez szükséges,

2.1.5.4. egyéb:

2.1.5.4.1. olyan mértékű teljesítményhiány, amely az ITM működését hátráltatja,

2.1.5.4.2. olyan mértékű kapacitáshiány, amely az ITM működését hátráltatja,

2.1.5.4.3. jelentős változás az IT-rendszerben.

2.1.6. titkosítási igény (az archivált adatok titkosításának igénye).

2.2. Az archiválást az alkalmazásüzemeltető végzi, és ennek során

2.2.1. ellenőrzi a visszatölthetőséget, és erről tájékoztatja az EIRBF-et,

2.2.2. az archiválási dokumentumokat az EIRBF részére megküldi,

2.2.3. az archivált adatok leselejtezéséről az EIRBF rendelkezik az érintett ITM szervezeti egységek véleményének kikérésével, a leselejtezett archivált anyagok megsemmisítéséről az alkalmazásüzemeltető gondoskodik,

2.2.4. a mentett adatok tesztvisszatöltését az EIRBF kezdeményezi az üzemeltetőnél,

2.2.5. biztosítja az archivált adatokhoz való hozzáférést, amelyet indokolt esetben a felhasználók az adatgazda útján kérhetnek.

2.3.1. Az SLA alapján a NISZ által végzett archiválás történhet

2.3.1.1. a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendelet 5. §-ában meghatározott munkacsoport által, az SLA-ban meghatározott alapszolgáltatások tekintetében elfogadott archiválási rend alapján,

2.3.1.2. egy adott biztonsági osztályhoz tartozó rendelkezésre állás az SLA-ban meghatározottak szerint,

2.3.1.3. az egyes rendszerekre külön szolgáltatási megállapodásban meghatározottak szerint,

2.3.1.4. soron kívül, a NISZ vagy az alkalmazásüzemeltető kérésére.

2.3.2. A 2.1. alpont szerinti archiválás során a szervezeti szintű adatok tekintetében az adatgazda dönt, a NISZ javaslata alapján, az EIRBF bevonásával. A NISZ gondoskodik arról, hogy az adatgazda kérése alapján az adatok hozzáférhetővé váljanak.

2.3.3. Az üzemeltetésre történő átadás során a rendszerdokumentációban meg kell határozni az archiválás feltételeit, paramétereit.

2.4. Az archiválás során az archiválást végző üzemeltető

2.4.1. ellenőrzi a visszatölthetőséget, és erről tájékoztatja az EIRBF-et,

2.4.2. az archiválási dokumentumokat az EIRBF részére megküldi,

2.4.3. az archivált adatok leselejtezéséről az EIRBF rendelkezik, az érintett ITM szervezeti egységek véleményének kikérésével, a leselejtezett archivált anyagok megsemmisítéséről az üzemeltető gondoskodik,

2.4.4. biztosítja az archivált adatokhoz való hozzáférést, amelyet indokolt esetben a felhasználók az adatgazda útján kérhetnek.