14/2024. (VI. 20.) BM utasítás
14/2024. (VI. 20.) BM utasítás
a Belügyminisztérium Informatikai Biztonsági Szabályzatáról
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja alapján – figyelemmel az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés f) pontjában foglaltakra – a következő utasítást adom ki:
1. § A Belügyminisztérium Informatikai Biztonsági Szabályzatát az 1. mellékletben foglaltak szerint határozom meg.
2. § Ez az utasítás a közzétételét követő napon lép hatályba.
3. §1
1. melléklet a 14/2024. (VI. 20.) BM utasításhoz
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK
1. Értelmező rendelkezések
1. A Belügyminisztérium Informatikai Biztonsági Szabályzata (a továbbiakban: IBSZ) alkalmazásában
1.1. Adat: az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 1. § (1) bekezdés 1. pontja szerinti fogalom;
1.2. Adatátvitel: az adatok elektronikus információs rendszerek, rendszerelemek közötti továbbítása;
1.3. Adatgazda / EIR felelős: az a személy vagy szervezeti egység, amely a végső felelőse egy bizonyos adathalmaz jelentésének, tartalmának, minőségének és elérhetővé tételének. Ide értendő az is, hogy az adatot hogyan definiálják, hogyan állítják elő, hogyan azonosítják, hogyan tartják karban, hogyan használják fel. A Belügyminisztérium szervezeti egységeinél kezelt személyes adatok tekintetében a szervezeti egységet irányító vezető, aki felelős a szervezeti egysége által kezelt valamennyi személyes adat IBSZ-nek megfelelő kezelésért;
1.4. Adathordozó: olyan hardverelem, amely nagy mennyiségű adatot képes tárolni, és azokat a számítógép kikapcsolása után is megőrizni. Az adat fizikai megjelenési formája, tárolási helye, ideértve az iratokat is. Ezek az alábbiak:
a) kinyomtatott dokumentumok;
b) hang- és egyéb adatrögzítés;
c) kimeneti jelentések;
d) egyszer használatos nyomtatószalagok;
e) mágnesszalagok;
f) mobil diszkek és kazetták, flash meghajtók, memóriakártyák;
g) optikai tárolóeszközök (összes lehetséges formája, ideértve a telepítőkészleteket gyártó terjesztéséhez alkalmazott adathordozókat);
h) elektronikus és elektromágneses adathordozók;
1.5. Adatkezelés: az Ibtv. 1. § (1) bekezdés 4. pontja szerinti fogalom;
1.6. Adatkezelő: az Ibtv. 1. § (1) bekezdés 5. pontja szerinti fogalom;
1.7. Adminisztrátor: az elektronikus információs rendszerekben, rendszerelemekben meghatározott adminisztrátori funkciók (jogosultság-beállítás, működési paramétereinek beállítása, adatszótárak kezelése stb.) használatára jogosult személy, akit az adatgazda / EIR felelős jelöl ki;
1.8. Akcióterv, BCP Akcióterv, DRP Akcióterv: az elektronikus információs rendszer kiesése esetén végrehajtandó helyettesítő (alternatív) lépések, tevékenységek sorozatát meghatározó dokumentum és folyamat. Meghatározza a felelősöket, a szükséges minimum-erőforrásokat, a megengedett kiesési időt a végrehajtás kritikus időszakában. A BCP és DRP Akcióterv forgatókönyvszerű, operatív intézkedést felvázoló terv, mely lehetővé teszi alternatív tevékenységek gyors és lehetőség szerint hibamentes végrehajtását (BCP), majd a visszaállást (DRP);
1.9. BCP: Business Continuity Plan – Üzletmenet (ügymenet) folytonossági terv. A Belügyminisztérium felkészül a kritikus ügyviteli folyamatok esetleges megszakadására. Cél a kritikus szolgáltatások minimálisan szükséges szintjének fenntartása krízishelyzet esetén, átállás normál üzemre;
1.10. Bejelentkezés: a felhasználó által kezdeményezett olyan logikai kapcsolat, amelynek eredményeképpen az elektronikus információs rendszer funkcióinak használata lehetővé válik;
1.11. Bizalmasság: az Ibtv. 1. § (1) bekezdés 1. pontja szerinti fogalom;
1.12. Biztonsági esemény (incidens): az Ibtv. 1. § (1) bekezdés 9. pontja szerinti fogalom;
1.13. Biztonsági események kezelése: az Ibtv. 1. § (1) bekezdés 10. pontja szerinti fogalom;
1.14. Biztonsági osztály: az Ibtv. 1. § (1) bekezdés 11. pontja szerinti fogalom;
1.15. Biztonsági osztályba sorolás: az Ibtv. 1. § (1) bekezdés 12. pontja szerinti fogalom;
1.16. Biztonsági szint: az Ibtv. 1. § (1) bekezdés 13. pontja szerinti fogalom;
1.17. Biztonsági szintbe sorolás: az Ibtv. 1. § (1) bekezdés 14. pontja szerinti fogalom;
1.18. Biztonságtervezési eljárásrend: folyamatot szabályozó dokumentum, tartalmazza az egyes elektronikus információs rendszerek, rendszerelemek teljes életciklusában megvalósítani kívánt, a Belügyminisztérium biztonságpolitikai céljainak megfelelő követelményeket;
1.19. Demilitarizált zóna (DMZ): a hálózatok megbízhatatlan külső és a megbízható belső részek között elhelyezkedő területe. A DMZ a benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízott belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra;
1.20. DRP: Disaster Recovery Plan – katasztrófa-elhárítási terv, melynek feladata, hogy a szervezet reagálni tudjon a katasztrófára és az egyéb olyan vészhelyzetekre, amelyek hatással vannak az elektronikus információs rendszerre, valamint, hogy minimalizálja ezek hatását az ügymenetre;
1.21. EI: Egységes Infrastruktúra. A NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. által megvalósított projekt célja, hogy az érintett szervezetek különálló informatikai struktúráját egységes infrastruktúrába vonja, azaz központosított, egységes, korszerű szolgáltatások váltsák ki a különböző szervezeteknél működő informatikai megoldásokat;
1.22. Elektronikus információs rendszer (EIR): az Ibtv. 1. § (1) bekezdés 14b. pontja szerinti fogalom;
1.23. EIR biztonsága: az Ibtv. 1. § (1) bekezdés 15. pontja szerinti fogalom;
1.24. EIR biztonságáért felelős személy (IBF): az Ibtv. 13. §-ában foglalt feladatok ellátására kijelölt személy;
1.25. Életciklus: az Ibtv. 1. § (1) bekezdés 16. pontja szerinti fogalom;
1.26. Esemény: olyan esemény, amely veszélyezteti a hálózati és információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát;
1.27. Észlelés: az Ibtv. 1. § (1) bekezdés 17. pontja szerinti fogalom;
1.28. Éves BCP és DRP tesztelési terv: a Belügyminisztérium a naptári év első hónapjában meghatározza mindazon informatikai rendszerek részfeladatát, elektronikus információs rendszerelemek részfeladatát, informatikai infrastruktúrát érintő részfeladatot, melyet éves intézkedési tervként az adatgazdákkal, az üzemeltetőkkel és az érintett szakterületekkel egyeztet. Az éves BCP és DRP tesztelési terv tartalmazhat visszamérést is, amennyiben a megelőző évben az adott részfeladat tesztje sikertelen lett;
1.29. Felhasználó: az Ibtv. 1. § (1) bekezdés 18. pontja szerinti fogalom;
1.30. Fizikai védelem: az Ibtv. 1. § (1) bekezdés 20. pontja szerinti fogalom;
1.31. Hálózat: informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége;
1.32. Helyreállítás: a katasztrófa következtében megsérült erőforrások eredeti állapotának eredeti helyen történő biztosítása;
1.33. High Level Design (HLD): bemutatja a rendszer kifejlesztéséhez használt architektúrát. Az architektúra diagram egy teljes rendszer áttekintését nyújtja, azonosítja a termékhez kifejlesztendő fő komponenseket és interfészeiket;
1.34. Hitelesség: az adat azon tulajdonsága, hogy az bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik;
1.35. Hozzáférés: olyan eljárás, amely valamely EIR használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat;
1.36. Illetéktelen személy: az adat megismerésére nem jogosult személy;
1.37. Információ: az Ibtv. 1. § (1) bekezdés 25. pontja szerinti fogalom;
1.38. Informatikai infrastruktúra: mindazon hardver- és szoftvereszközök, EIR-ek, hálózatok, alkalmazások, programok összessége, amelyek segítik és kiszolgálják a szervezet kommunikációs, adatfeldolgozó és adatátviteli tevékenységét;
1.39. Intranet: olyan számítógép-hálózat, amely az internetprotokollt használja, de a külvilág (az internet) felé zárt, vagy csak egy átjárón, illetve tűzfalon keresztül érhető el, amely az intranet külső kapcsolatait szabályozza. A Belügyminisztériumban a publikus informatikai biztonsági dokumentációk elérési helye;
1.40. Jogosultság: jog az adatkezelésre, információkezelésre, illetve a különböző EIR-ek használatára;
1.41. Jegyzőkönyv (Tesztjegyzőkönyv): jegyzőkönyvnek, tesztjegyzőkönyvnek azt a dokumentumot nevezzük, amely a biztonsági esemény, incidenskezelésben, katasztrófa-elhárításban, üzlet (ügymenet) folytonosságban mind tesztelés, mind éles helyzet esetén a Belügyminisztérium BCP felelőse és/vagy DRP felelőse, illetve az incidensgazda vezet, és az Akciótervekhez mellékel. Feladata, hogy a tevékenységeket felelőshöz és feladathoz sorolja időrendi sorrendben;
1.42. KAK (Kormányzati Adatközpont): a Kormányzati Adatközpont működéséről szóló 467/2017. (XII. 28.) Korm. rendelet 2. § a) pontja szerinti fogalom;
1.43. Katasztrófa: az EIR rendelkezésre állásának megszűnése, vagy nagymértékű csökkenése;
1.44. Kockázat: az Ibtv. 1. § (1) bekezdés 28. pontja szerinti fogalom;
1.45. Kockázatelemzés: az Ibtv. 1. § (1) bekezdés 29. pontja szerinti fogalom;
1.46. Kockázatkezelés: az Ibtv. 1. § (1) bekezdés 30. pontja szerinti fogalom;
1.47. Konfigurációkezelési terv: figyelembe veszi a szerepköröket, felelősségeket, konfigurációkezelési folyamatokat és eljárásokat; bevezet egy folyamatot a konfigurációelemek azonosítására a rendszerfejlesztési életciklus folyamán és a konfigurációelemek konfigurációjának kezelésére; meghatározza az EIR konfigurációelemeit és a konfigurációelemeket a konfigurációkezelésben;
1.48. Közreműködő: a Belügyminisztérium adatkezelési vagy adatfeldolgozási tevékenységeihez igénybe vett, valamint az EIR üzemeltetésében részt vevő, az EIR működtetéséhez igénybe vett elektronikus hírközlési szolgáltatást vagy közvetítő szolgáltatást nyújtó szervezet. A Belügyminisztérium az EIR-ek tervezéséhez, fejlesztéséhez, létrehozásához, üzemeltetéséhez, auditáláshoz, kockázatok elemzéséhez, kezeléséhez, karbantartáshoz, javításhoz, továbbá a telephelyeinek fenntartáshoz közreműködő szervezet szolgáltatásait veszi igénybe;
1.49. Kriptográfia: mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak a kutatása, alkalmazása, amelyek az információ bizalmasságát, hitelességét vagy sértetlenségét hivatottak megvédeni;
1.50. Megelőzés: az Ibtv. 1. § (1) bekezdés 36. pontja szerinti fogalom;
1.51. Minősítés: az a döntés, melynek meghozatala során az arra felhatalmazott személy megállapítja, hogy egy adat a tartalmánál fogva a nyilvánosságát korlátozó titokkörbe tartozik;
1.52. Normál jogosultsági körrel rendelkező felhasználó: olyan személy, aki a rendszerben meghatározott alapvető jogosultságokkal rendelkezik;
1.53. OVI űrlap (Osztályba sorolás és Védelmi Intézkedés űrlap): az EIR-ekre és adatokra vonatkozó bejelentéseknek a Nemzeti Kibervédelmi Intézet részére történő megküldéséhez használandó MS Excel fájlformátumú űrlap, melyet EIR-enként kell kitölteni;
1.54. Projektidőszak: a projektek tervezésének, végrehajtásának és értékelésének összessége;
1.55. RACI mátrix: olyan mátrix, amely a folyamatok befejezéséhez szükséges különböző szerepkörök hozzájárulását mutatja be. Szerepkörök és felelősségek tisztázásakor elengedhetetlenül fontos. Előnye az átláthatóság. A RACI mozaikszó, amely a Responsible (R), Accountable (A), Consulted (C) és Informed (I) szavak kezdőbetűiből áll össze;
1.56. RBK (Rendszerbeavatkozási Kérelem): az EIR-be történő beavatkozást azonosítja, bemutatja a beavatkozás lehetséges kockázatait. Tartalmazza továbbá a végrehajtókat, a közreműködők körét és elérhetőségeit, a tesztelésre vonatkozó információkat, és minden olyan információt próbál feltárni, amely a kockázatelemzéshez szükséges;
1.57. Reagálás: az Ibtv. 1. § (1) bekezdés 37. pontja szerinti fogalom;
1.58. Rendelkezésre állás: az Ibtv. 1. § (1) bekezdés 38. pontja szerinti fogalom;
1.59. Rendszerelemek: az adatokat körülvevő, az EIR részét képző elemek, amelyek a következő rendszerelem-csoportokba oszthatók:
a) az EIR környezetét alkotó infrastruktúra,
b) az EIR hardverelemei,
c) az EIR szoftverelemei,
d) az EIR kommunikációs elemei,
e) az adathordozók,
f) az input és output dokumentumok, az EIR-re vonatkozó dokumentációk,
g) az EIR-ben részt vevő emberi erőforrások;
1.60. Rendszergazda (technikai privilegizált felhasználó): az EIR-ek üzemeltetését végző szakember, akivel szemben alapvető feltétel, hogy a kinevezési feltételeknek megfeleljen;
1.61. Rendszer Felvételi Lap: a Belügyminisztérium adatkezelésében lévő EIR-ek alapadatait tartalmazó dokumentum, melyet az adatgazda/adatkezelő vagy EIR felelős szerv vezetője aláírásával is hitelesít az IBF-fel együtt. Kezelt adatok: EIR pontos neve, EIR alapfeladata, fő funkcionalitása 2-3 mondatban, EIR által biztosított szolgáltatások felsorolása, kezelt adatok köre, kezelt adatok mennyisége (pl. nagy mennyiség), biztonsági osztálya, az EIR elemeinek esetleges további biztonsági osztályba sorolásának eredménye, EIR adatgazdájának elérhetőségei, közreműködő fejlesztő, alkalmazásüzemeltető, rendszerüzemeltető kapcsolattartójának személyneve és elérhetőségei, EIR üzemeltetési helyszínei, EIR kritikus elemei;
1.62. RPO (Recovery Point Objective): adatvesztés mértéke, amely a Belügyminisztérium számára elfogadható katasztrófa (pl. szoftver vagy hardver katasztrofális elvesztése) következtében;
1.63. RTO (Recovery Time Objective): katasztrófa utáni helyreállítási idő. A helyreállítási idő a maximális elvárt időtartam, mely alatt egy adott váratlan leállást, hibát, katasztrófát el kell hárítani, és visszatérni a normál működésbe;
1.64. Sértetlenség: az Ibtv. 1. § (1) bekezdés 39. pontja szerinti fogalom;
1.65. Sérülékenységi teszt: az adatkezelő által megrendelt fejlesztés idején a fejlesztő vagy erre külön szerződő szakértő végzi el. A teszt megléte nem befolyásolja a sérülékenységi vizsgálat szükségességét;
1.66. Sérülékenységvizsgálat: az Ibtv. 1. § (1) bekezdés 41. pontja szerinti fogalom;
1.67. SZEAT (Szolgáltatási és Ellátási Alapadat Tár): a Belügyminisztérium a működéséhez szükséges gazdasági, informatikai, műszaki és elhelyezési feltételek biztosítása céljából adatot szolgáltat a felhasználók nevéről, neméről, születési idejéről, valamint szervezeti és munkaköri adatokról a SZEAT rendszer részére. A SZEAT rendszer a szolgáltató központ útján adatokat szolgáltat a Belügyminisztérium részére a kormánytisztviselő elhelyezésének adatairól, valamint – a foglalkoztatás megszüntetésével kapcsolatos jogok gyakorlása és kötelezettségek teljesítése céljából – a kormánytisztviselő által használt eszközökről, igénybe vett szolgáltatásokról;
1.68. Támadás: védett érték megszerzésére, megsemmisítésére, károkozásra irányuló cselekmény. Támadás alatt nem csak a személyek, szervezetek által elkövetett támadásokat, de áttételesen a gondatlanságból, nem szándékosan kiváltott veszélyeztetéseket és a környezeti, természeti fenyegetéseket is értjük, amely támadások legtöbbször nem közvetlenül érik a védett értéket, hanem a körülményektől függő támadási útvonalon zajlanak le;
1.69. Üzemeltetés: az EIR-ek működőképességét biztosító informatikai környezet létrehozása, karbantartása;
1.70. Üzemeltető: az Ibtv. 1. § (1) bekezdés 45. pontja szerinti fogalom;
1.71. Vírus vagy kártékony kód: olyan programtörzs, amely a megfertőzött program alkalmazása során másolja, esetleg mutálja is önmagát. Többnyire komoly károkat okoz, adatot töröl, adatot ideiglenesen/véglegesen elérhetetlenné tesz, formázza a merevlemezt, vagy adatállományokat küld szét e-mailben, vagy hosszú ideig észrevétlenül rejtőzik.
2. Célok
2. Az IBSZ célja
a) az EIR-ek alkalmazása során biztosítani az adatvédelem elveinek, az adat- és információbiztonság követelményeinek érvényesülését, valamint megakadályozni a jogosulatlan hozzáférést, az adatok, információk megváltoztatását és jogosulatlan nyilvánosságra hozatalát;
b) a tudatosság, a szervezettség, a hatékonyság és a technikai megoldások használata segítségével növelni az információbiztonságot, elősegíteni az üzemeltetett EIR-ek rendeltetésszerű használatát, valamint az adatok és információk tartalmi, formai épségének megőrzését;
c) szabályozni, ellenőrizhetővé tenni a Belügyminisztérium információbiztonsági rendszerét, valamint tervezési támpontokat adni, melyek segítik az EIR és annak elemeinek kivitelezését, illetve mérhetővé és visszacsatolhatóvá teszik az elvárt biztonsági értéket.
3. Az IBSZ tárgyi és személyi hatálya
3. Az IBSZ tárgyi hatálya a Belügyminisztérium használatában lévő vagy az általa üzemeltetett valamennyi meglévő és a későbbiekben fejlesztendő EIR-re, azok környezetét alkotó rendszerelemekre és infrastrukturális elemeire terjed ki azok teljes életciklusában (az előkészítéstől a rendszerből történő kivonásig), kivéve a minősített adatokat kezelő rendszereket.
4. Az IBSZ személyi hatálya kiterjed a Belügyminisztériumnak a Belügyminisztérium Szervezeti és Működési Szabályzatáról szóló 12/2022. (VI. 28.) BM utasítás 3. függeléke szerinti szervezeti egységeire.
5. A Belügyminisztérium EIR-jével, szolgáltatásaival szerződéses vagy más módon kapcsolatba kerülő közreműködő tekintetében a szerződéskötés feltétele, hogy
a) a szerződésben rögzítésre kerülnek az IBSZ azon előírásai, melyeket a közreműködőnek be kell tartania,
b) a közreműködő titoktartási nyilatkozatot ír alá.
4. Az IBSZ felülvizsgálata
6. Az IBSZ-t az IBF évente egy alkalommal felülvizsgálja (rendes felülvizsgálat). A felmerült módosítási javaslatot az Informatikai Helyettes Államtitkárság (a továbbiakban: IHÁT) vezetőjének továbbítja. A felülvizsgálat tényét jelölni kell akkor is, ha a felülvizsgálat során módosítás nem történt. Az IBSZ módosítását annak aláírását követően haladéktalanul meg kell küldeni a Nemzeti Kibervédelmi Intézet (a továbbiakban: NKI) részére.
7. Soron kívüli felülvizsgálatot végez az IBF
a) ha az jogszabály vagy közjogi szervezetszabályozó eszköz változása miatt szükséges;
b) az infokommunikációs területet érintő minden olyan változás esetén, amely az IBSZ-t érinti;
c) az új kockázatok, káresemények, problémák, veszélyhelyzetek, incidensek és az informatikai infrastruktúra változása esetén.
8. A mindenkori felülvizsgálat elvégzésében az IBSZ előírásai szerint érintett munkatársak közreműködnek.
5. Az IBSZ oktatása
9. Az IBSZ előírásait a Belügyminisztérium munkatársai tevékenységük során kötelesek betartani, melyre tekintettel az IBSZ tartalmának megismerését valamennyi érintett számára biztosítani kell. Ennek érdekében az IHÁT a hatályos IBSZ-t a Belügyminisztérium intranet portálján közzéteszi.
10. Az új belépők listáját a személyügyi szakterület a belépést követő 5 munkanapon belül megküldi az információbiztonsági felügyeleti szakterület (a továbbiakban: IB) részére.
11. Az IB a személyügyi szakterület jelzése után a tananyag elérhetőségét haladéktalanul megküldi az új belépő részére; az új belépő köteles részt venni az IB által e-learning keretében szervezett oktatáson, mely vizsgával zárul. A belépést követő képzést és vizsgát követően a munkatársak kétévente kötelesek biztonságtudatossági, ismétlő jellegű képzésen részt venni (e-learning keretében), és a képzés végén vizsgát tenni.
12. Az IB feladata az e-learning alapú oktatás és a vizsgáztatás megszervezése és lebonyolítása.
13. A vizsgaeredményekről az IB nyilvántartást vezet.
14. Az eredményes vizsga után az IB az eredményét és a jelenlétét igazoló dokumentum másolatának megküldésével értesíti a személyügyi szakterületet, hogy az új belépő sikeres vizsgát tett.
15. Ha az új belépő a belépésétől számított 60 munkanapon belül – vagy ha a képzés, illetve vizsgáztatás lehetősége csak későbbi időpontban áll rendelkezésre, a Rendvédelmi Informatikai és Elektronikus Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály (a továbbiakban: RERIFO) által megadott határidőn belül – nem tesz sikeres vizsgát, az IB – a jelenléti lap másolatának, illetve a sikertelen vizsga eredményének megküldésével – értesíti a személyügyi szakterületet.
6. Az információbiztonsági védelem tárgya
16. Az információbiztonsági védelem tárgya a Belügyminisztérium és a közreműködők által a telephelyein üzemeltetett, és a Belügyminisztérium tulajdonában lévő EIR-ek infrastruktúrája és annak környezete, rendszerelemei.
17. A közreműködővel kötött fejlesztési és beszerzési szerződésekben érvényesítendő információbiztonsági kritériumokat, elvárásokat eljárásrendben kell rögzíteni.
7. Az információbiztonság szervezete
18. Az IHÁT
a) biztosítja az EIR-re irányadó biztonsági osztály tekintetében a jogszabályban meghatározott követelmények teljesülését;
b) biztosítja a Belügyminisztériumra irányadó biztonsági szint tekintetében a jogszabályban meghatározott követelmények teljesülését;
c) meghatározza a Belügyminisztérium EIR védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra vonatkozó szabályokat, és gondoskodik az IBSZ kiadásának előkészítéséről;
d) gondoskodik az EIR-ek védelmi feladatainak és felelősségi köreinek oktatásáról, a Belügyminisztérium munkatársai információbiztonsági ismereteinek szinten tartásáról;
e) rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén biztosítja, hogy a Belügyminisztérium EIR-jeinek biztonsága megfeleljen a jogszabályoknak;
f) gondoskodik az EIR-ek eseményeinek nyomonkövethetőségéről;
g) biztonsági esemény, incidens bekövetkezésekor minden szükséges és rendelkezésre álló erőforrás felhasználásával gondoskodik a biztonsági eseményre, incidensre történő gyors és hatékony reagálásról, ezt követően a biztonsági esemény, incidens kezeléséről;
h) a biztonsági eseményt, incidenst jelenti az IBF-nek;
i) ha az EIR-ek létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe, gondoskodik a szerződéses kötelmek teljesüléséről.
19. Az Adatvédelmi tisztviselő
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
b) ellenőrzi a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló, 2016. április 27-i 2016/679 európai parlamenti és tanácsi rendeletnek (a továbbiakban: GDPR), valamint az egyéb uniós, vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő, vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő munkatársak adatvédelmi, adatbiztonsági tudatosságnövelését és képzését, valamint a kapcsolódó auditokat is;
c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat GDPR 35. cikke szerinti elvégzését;
d) együttműködik a Nemzeti Adatvédelmi és Információszabadság Hatósággal;
e) az adatkezeléssel összefüggő ügyekben – ideértve a GDPR 36. cikkében említett előzetes konzultációt is – kapcsolattartó pontként szolgál a Nemzeti Adatvédelmi és Információszabadság Hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele;
f) adatvédelmi ellenőrzési tervet készít, amelyet az adatkezelő szerv vezetője hagy jóvá;
g) az adatvédelmi ellenőrzési terv alapján, valamint azon kívül szükség szerint, különösen adatvédelmi incidens esetén, ellenőrzi az adatkezelő szervnél az adatvédelmi és adatbiztonsági követelmények teljesítését;
h) az adatkezelési előírások megsértőjét felhívja a jogszerű állapot haladéktalan helyreállítására, és – adatvédelmi érdek sérelme esetén – a hiányosságokat közvetlenül jelzi az adatkezelő szerv vezetőjének, indokolt esetben kezdeményezi a felelősség megállapításához szükséges eljárást;
i) koordinálja a minisztériumba érkező, közérdekű adat megismerésére irányuló igények teljesítését, valamint személyes adatot nem tartalmazó kimutatást vezet a közérdekű adat megismerésére irányuló, elutasított igényekről és az elutasítás indokairól, amelyekről tárgyév január 31-ig éves jelentésben tájékoztatja a Nemzeti Adatvédelmi és Információszabadság Hatóságot;
j) részt vesz a Nemzeti Adatvédelmi és Információszabadság Hatóság által szervezett képzéseken;
k) közreműködik az adatvédelmi incidens kivizsgálásában, és a vizsgálat eredménye alapján – a jogszabályi feltételek fennállása esetén – a közigazgatási államtitkár jóváhagyásával az adatvédelmi incidenst bejelenti a Nemzeti Adatvédelmi és Információszabadság Hatóság részére, valamint vezeti a minisztérium adatvédelmiincidens-nyilvántartását;
l) tagja lehet az incidenselhárítási csoportnak, amennyiben az incidens adatvédelmi jellegű.
20. A Belügyminisztériumban használatban lévő EIR-ek informatikai üzemeltetéséért felelős szervezeti egység (RERIFO) vezetőjének információbiztonság megvalósításával kapcsolatos alapvető feladatai az érintett személyi állomány útján és közreműködésével a következők:
a) az Információ-technológiai és Rejtjel Osztály (a továbbiakban: IRO) tekintetében az információbiztonság betartása, betartatása;
b) az információbiztonsági követelmények megvalósításához szükséges informatikai eszközök specifikálása;
c) az üzemeltetés megszervezése, biztosítása – beleértve a közreműködő üzemeltetőket is – a Belügyminisztérium tulajdonában lévő EIR-ek, rendszerelemek, infrastruktúra elemek tekintetében;
d) rendszerfelügyelet biztosítása a közreműködő üzemeltetővel;
e) hozzáférési jogosultságok rendszerének kialakítása, üzemeltetése, a közreműködő által üzemeltetett SZEAT rendszerben;
f) kártékony kód elleni védelem tekintetében, a rendszeresen frissített, kártékony kód elleni rendszer (vírusvédelmi rendszer) üzemeltetésének figyelemmel kísérése a közreműködő feladatában;
g) a hálózat egyes funkcióinak vagy a teljes hálózat felhasználói szolgáltatásának felfüggesztése és felfüggesztetése a kártékony kód veszély (vírusveszély) elhárításáig;
h) EIR-ek és rendszerelemek üzemeltetésével kapcsolatos konfigurálási vagy az EIR bármely funkcióját megváltoztató művelet, illetve e tevékenységek vezetői engedélyeztetése és a kijelölt üzemeltetési állomány általi elvégeztetése;
i) az EIR jelentősebb módosítását követően a módosítás végrehajtóival közösen rendszerátvételi eljárás lefolytatása;
j) nyilvánosan elérhető EIR-eken közzétett adatok sértetlensége és rendelkezésre állásának biztosítása a közreműködő által;
k) rendszerhozzáférések, a rendszerek használatának a lehetséges veszélyek felderítése céljából történő ellenőrzése saját, az információbiztonsági követelményeknek megfelelő üzemeltetési dokumentáció szerint;
l) hordozható adathordozók dokumentált kiadása, visszavétele, ezek teljes vagy szükség esetén csak részleges törlése (pl. az adathordozó felhasználójának munkakörátadása esetén), illetve dokumentált megsemmisítése;
m) ki- és beszállítás ellenőrzésének felügyelete, az információs eszköz felügyelet alól történő kikerülése esetén, az eszközön lévő adatok biztonságos átmentése, és ezt követően visszaállíthatatlan formában történő törlése;
n) éves BCP és DRP tesztelési tervek kidolgozása az IBF-fel és az érintett adatgazdákkal, szakterületekkel;
o) a BCP és DRP felelős(ök) kijelölése;
p) a BCP és DRP felelős, vagy a beszállító által készített BCP és DRP Akcióterv kiinduló anyagának jóváhagyása;
q) javaslat kidolgozása az alternatív működésre történő átállásról, amelyről értesíti a BCP és DRP felelőst, szükség esetén a közreműködőt;
r) az alternatív működésre történő átállás, az alternatív működés, valamint a visszaállás feladatainak vezetői szintű menedzselése és ellenőrzése;
s) javaslattétel az IHÁT felé a normál működésre történő visszaállásra, melyről értesíti a BCP és DRP felelőst;
t) összefoglaló jelentés készítése az IHÁT-nak a lezajlott BCP és/vagy DRP eseményről;
u) részt vesz a Kockázatelemzési Munkacsoportban (a továbbiakban: KM);
v) részt vesz az Incidenselhárítási Munkacsoportban (a továbbiakban: IEM);
w) részt vesz a BCP és DRP Akciótervek és folyamatok tesztelésekben;
x) biztonsági események, incidensek jelentése a közreműködő felé;
y) közreműködő szakmai szintű felügyelete;
z) üzemeltetéssel kapcsolatos beszállítói eredménytermékek megvizsgálása.
21. Az adatgazda / EIR felelős
a) felelős az EIR-ben kezelt adatkörök és adatok számosságának meghatározásáért;
b) a BM SZMSZ alapján ellátja a hatáskörébe rendelt EIR-ek esetén az adatkezelési feladatokat. E tekintetben további felelőssége az OVI űrlap „Összegzés” és „Osztályba sorolás”, illetve a Rendszer Felvételi Lap táblázatainak adatokkal történő feltöltése;
c) felelős az OVI űrlap „Összegzés” és „Osztályba sorolás” füleinek kitöltéséért, majd megküldéséért az IBF-nek;
d) felelős a Rendszer Felvételi Lap adatokkal történő feltöltéséért és az adatokkal feltöltött Rendszer Felvételi Lap szerkeszthető és aláírt változatának megküldéséért az IBF-nek;
e) az OVI űrlap „Összegzés” és „Biztonsági osztályba sorolás” fülein lévő és a Rendszer Felvételi Lap adataiban történő változások esetén a frissített verziójú dokumentumot megküldi az IBF-nek a frissítéstől számított 3 munkanapon belül;
f) évente kockázatelemzést végez, továbbá elkészíti a Cselekvési tervet a feltárt hiányosságokkal, szakterületéről felelőst és időpontot rendel hozzá;
g) a Cselekvési terv végrehajtását és annak teljesülését felügyeli;
h) tájékoztatást kérhet a Cselekvési tervben megfogalmazott feladatok végrehajtásával kapcsolatban;
i) meghatározza az összeférhetetlen szerep- és feladatköröket;
j) kezeli a jogosultságigényeket (jóváhagy, felfüggeszt, zárol);
k) részt vesz az éves BCP és DRP tesztelési terv kidolgozásában;
l) részt vesz a BCP és DRP tesztelésekben;
m) részt vesz a KM-ben;
n) részt vesz az IEM-ben;
o) feladata közreműködő szakmai szintű felügyelete;
p) feladata a biztonsági események, incidensek jelentése;
q) részt vesz az incidenskezelésben, melyet az incidensgazda koordinál a legfelsőbb szinten.
22. A KM
a) kidolgozza a Cselekvési tervet;
b) tagjai az adott üzleti folyamat, az informatikai üzemeltetés, az EIR mint szakmai támogató rendszer felhasználója és az informatikai biztonsági munkaterület által delegált személyek;
c) meghatározza a kockázat szintjét (magas, jelentős, közepes, mérsékelt kockázat), a KM a Cselekvési tervben ezen értékek csökkentését várja a védelmi kontrollok meghatározásával;
d) elkészíti a kockázat felmérését, beazonosítja a kockázatokat, kockázatelemzést végez, és elkészíti az intézkedési javaslatot;
e) elkészíti az Összefoglaló kockázati jelentést, javaslatot tesz az azonnali intézkedésre;
f) szükség esetén javaslatot tesz a folyamat lépéseinek pontosítására;
g) tevékenységét az IBF által jóváhagyott program alapján végzi;
h) tagjai a feladatkörükbe tartozó munkafolyamatok és eredménytermékek szakmaiságáért és a munkacsoport teljesítéséért személyesen felelősek.
23. Az incidensgazda
23.1. Az incidensgazda az IRO mindenkori vezetője. Az incidensgazda nem lehet a BCP felelős, a DRP felelős és az IBF.
23.2. Az incidensgazda
23.2.1. valós biztonsági esemény, incidens során az IEM-ben lévő tagok munkáját legfelsőbb szinten koordinálja;
23.2.2. incidensjelentést készít az alábbiak szerint:
a) incidensek kategóriába sorolása (normál, súlyos),
b) incidensben érintett szakterületi szolgáltatások meghatározása az adatgazda segítségével,
c) incidensben érintett adatok meghatározása (személyügyi, pénzügyi, egyéb támogatói stb.) szerint,
d) az incidens ügymenetre gyakorolt hatása,
e) incidens megoldására tett intézkedések meghatározása;
f) az incidensből levont következtetések meghatározása;
g) fogadja az IBF jelzését az IBF-hez bejutott megkeresések kapcsán;
23.2.3. azonnali hatállyal összehívja az IEM-et, ha incidens elhárítása kapcsán az incidens ténye megállapítást nyer;
23.2.4. feladata az IEM stratégiájának kidolgozása, a stratégia felülvizsgálata mind incidens, mind incidens kapcsán végzett tevékenység során, de évente egyszer elvégzendő normál esetben is;
23.2.5. részt vesz projekttervezésben;
23.2.6. feladata az infrastruktúra-fejlesztés, változáskezelés, kapcsolattartás a partnerekkel, ügyfelekkel;
23.2.7. feladata eseménykezelési eljárásrendre tett IBF javaslat felülvizsgálata, módosításra történő előterjesztés elkészítése;
23.2.8. kritikusnak minősített biztonsági eseményeket, incidenseket felülvizsgálja, és jelentés előkészítése az IBF-nek;
23.2.9. valós és tesztesemények kapcsán együttműködik a BCP és DRP felelőssel és az IBF-fel;
23.2.10. fogadja az információkat a felhasználók, a közreműködő informatikai üzemeltetés és vezetés részéről;
23.2.11. feladata a téves riasztások elbírálása, eszkaláció kezdeményezése, megoldási útvonal kidolgozása, kapcsolatfelvétel a felhasználók irányába;
23.2.12. feladata incidens választervek követése, annak kikényszerítése az IEM-ben;
23.2.13. szabályozók (szabályzatok, eljárásrendek) módosítását kezdeményezi az IBF-nél;
23.2.14. feladata kritikus és ismeretlen incidensekre adott válaszlépések irányítása, use case és folyamatok fejlesztésében való aktív részvétel;
23.2.15. feladata az IEM tagjainak oktatása, képzése, anyag kidolgozása, melyet engedélyezés kapcsán, oktatás előtt ellenőrzésre megküld az IBF-nek;
23.2.16. felveszi a kapcsolatot az Adatvédelmi tisztviselővel (DPO) személyes adatokkal kapcsolatos érintettség esetén;
23.2.17. feldolgozza az incidenst a kezdeti elemzés során;
23.2.18. az IEM vezetőjeként egy személyben felel a Belügyminisztérium vezetőivel, munkatársaival kapcsolatos tájékoztatásért;
23.2.19. továbbítja a vezetői döntéseket az IEM felé;
23.2.20. feladata, hogy az incidens jellegéből adódóan, vezetői engedélyezés esetén a közreműködő szervezeteket a kapcsolattartó felületeken keresztül delegálja az IEM-be;
23.2.21. feladata, hogy éves gyakorlatokat szervezzen az IEM tagjaival egy feltételezett incidens kezelése formájában;
23.2.22. tevékenysége lépéseit dokumentálja jegyzőkönyv formájában, melynek előnyös vonatkozásait szakmai javaslatként megteheti a szabályozási folyamat során;
23.2.23. éles események, incidensek kapcsán tett intézkedéseit felülvizsgálja, melynek során jegyzőkönyvet készít minden elvégzett lépésről, annak sikerességét, sikertelenségét is megemlítve;
23.2.24. létrehozza az IEM-et, tagjait kijelöli;
23.2.25. ellátja az IEM csoportvezetői feladatát; ennek keretében vizsgálja, hogy a jelzett/jelentett/észlelt biztonsági események, incidensek súlyos/kritikus incidensnek minősíthetőek-e;
23.2.26. a biztonsági eseményeket, incidenseket jelenti az IBF-nek;
23.2.27. feladata a közreműködő felügyelete szakmai szinten;
23.2.28. szükség esetén (pl. vezető elérhetetlensége), speciális esetben a legjobb gyakorlat alapján jár el.
24. Az IEM
a) kivizsgálja az incidenseket az incidensgazda operatív koordinálásával, aki az incidens kategóriájától függően további személyeket jogosult bevonni az IEM-be;
b) munkájába a felhasználót be kell vonni, ha az incidenst vagy a feltételezett incidenst a felhasználó jelentette be;
c) megvizsgálja a leírások alapján az incidenst kiváltó okok megszüntetési lehetőségeit;
d) az incidens kezelése kapcsán kiválasztja a megfelelő megoldási lehetőségeket, melynek lépéseiről, időpontjairól és a lépések felelőseiről Incidenselhárítási Jegyzőkönyvet kell készíteni;
e) ha az incidens felszámolásra került és a szükséges dokumentációk hitelesen elkészültek, a kiválasztott incidenselhárító megoldás bevezetésével az incidenst lezárja, amit az Incidenselhárítási Jegyzőkönyvben is rögzíteni kell;
f) vezetője a dokumentált biztonsági események, incidensek elemzéséből és annak megoldásából szerzett tapasztalatokat összefoglalja és megküldi az IBF-nek eltárolásra, illetve a jó tapasztalatok beépítésére az eljárásrendbe, a közreműködővel történő szerződések kötelező elemeként.
25. Az Információtechnológiai és Rejtjel Osztály (IRO) információbiztonsági felügyeleti szakterülete (IB)
a) közreműködik az IBSZ előkészítésében és felülvizsgálatában;
b) az EIR-ek biztonságát fenyegető veszélyek, kockázatok, a lehetséges károk felmérését és kiértékelését szakmailag támogatja;
c) éves munkaterv szerint vagy esetileg kockázatarányos információbiztonsági ellenőrzést végez;
d) koordinálja a Belügyminisztérium külső és belső informatikai sérülékenységvizsgálatával kapcsolatos tevékenységeket;
e) szükség esetén szakértőt delegál a fejlesztési projektekhez az információbiztonsági követelmények érvényesítése érdekében;
f) információbiztonsági szakértői támogatást nyújt a beszerzésekhez, közreműködők kiválasztásához, szerződések előkészítéséhez;
g) a felhasználókat szükség szerinti tájékoztatja az információbiztonsági eseményekkel kapcsolatban;
h) az információbiztonsági események, incidensek kapcsán kezdeményezi a szükséges lépések megtételét az IBF-nél a hatósági kapcsolatfelvételhez;
i) az információbiztonsági eseményekről, incidensekről nyilvántartást vezet, megteszi a jelentési kötelezettséghez szükséges lépéseket, melyeket az IBF végez;
j) kártékony kóddal, vírusfertőzéssel vagy adathalászattal kapcsolatos elhárítási tevékenységekben intézkedik az infrastruktúra-elemek használatának korlátozásáról;
k) információbiztonsági esemény bekövetkeztekor vizsgálatot végez, és javaslatot tesz az elhárításra;
l) koordinálja a külsős információbiztonsági tanácsadókkal, szakértőkkel végzett vizsgálatokat;
m) naprakész nyilvántartást vezet az EIR-ek adatgazdáiról és a rendszergazdákról;
n) gondoskodik az információbiztonság hatáskörébe utalt források tervezéséről, az ehhez köthető beszerzési igények kezdeményezéséről és megvalósításáról;
o) az információbiztonsági szabályok aktualizálása kapcsán figyelemmel kíséri a határidőket;
p) részt vesz az IBSZ, eljárásrendek kidolgozásában;
q) részt vesz az éves BCP és DRP tesztelési terv kidolgozásában;
r) részt vesz a BCP és DRP tesztelésekben;
s) ellátja a közreműködő felügyeletét szakmai szinten;
t) a biztonsági eseményt, incidenst jelenti az IBF-nek;
u) részt vesz a KM-ben;
v) részt vesz az IEM-ben;
w) koordinálja az információbiztonsági oktatást, képzést;
x) OVI űrlap 3.1.1., 3.1.2., 3.1.3., 3.1.4., 3.1.5., 3.1.6., 3.1.7., 3.2.1., 3.3.1., 3.3.2., 3.3.3., 3.3.4., 3.3.5., 3.3.6., 3.3.7., 3.3.8., 3.3.9., 3.3.10., 3.3.11., 3.3.12., 3.3.13. munkalapok adatokkal való feltöltését elvégzi;
y) időszakos vagy írásban tudomására hozott adatokban bekövetkező változások miatti OVI űrlap felülvizsgálatát kezdeményezi.
26. Az EIR biztonságáért felelős személy (IBF)
26.1. Az IBF látja el az Ibtv. 13. §-a szerinti előírásokat.
26.2. Az IBF-et az Informatikai Helyettes Államtitkár jelöli ki. IBF-nek csak olyan személy jelölhető ki, aki az Ibtv. 13. § (8)–(10) bekezdésében foglalt feltételeknek megfelel.
26.3. Az IBF az Ibtv. 13. §-a szerinti feladatainak végrehajtása érdekében
a) szükség esetén belső biztonsági riasztást és figyelmeztetést ad ki, melyet eljuttat az illetékes személyekhez;
b) a szakterületek bevonásával felügyeli a biztonságot növelő intézkedéseket;
c) az adatgazdával összeállítja az éves BCP és DRP tesztelési tervet, megtervezi annak előkészületeit, levezénylését;
d) információbiztonsági, üzletmenet (ügymenet) folytonossági teszteket kezdeményez;
e) koordinálja a BCP és DRP és az incidensgazda irányítása alatt a biztonsági események kezelését, incidensek elhárítását;
f) súlyos biztonsági incidens, esemény elhárítása után kezdeményezi az IBSZ, illetve egyéb biztonsági szabályzatok felülvizsgálatát;
g) a Biztonsági eseménykezelési tervben leírtak alapján fogadja az incidensek jelentéseit;
h) részt vesz a Biztonsági eseménykezelési terv felülvizsgálatában;
i) rögzíti az incidenseket az IBF által vezetett incidens nyilvántartásban;
j) biztosítja az IBSZ hatálya alá tartozó foglalkoztatottak részére az IBSZ, illetve az IBSZ változásainak megismerését és az ismeretek folyamatos szinten tartását biztonsági tudatosságnövelő képzés formájában;
k) ellenőrzi az információbiztonságot érintő szabályok előírásainak, eljárásrendjének a működés során való betartását;
l) az Ibtv. hatálya alá tartozó bármely EIR-t érintő biztonsági eseményről a jogszabályban meghatározottak szerint tájékoztatja a jogszabályban meghatározott szervet;
m) közreműködik a szervezet valamennyi EIR-nek a tervezésében, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatkezelésében;
n) javaslatot tesz az új védelmi eszközök beszerzésére, illetve védelmi technológiák, eljárások bevezetésére, az IBSZ aktualizálására;
o) javaslatot tesz az információbiztonságot érintő, a biztonság szinten tartását és növelését célzó költségvetési tételekre, azok módosítására;
p) információbiztonsági szempontból megelőző intézkedéseket kezdeményez;
q) megfigyelőként részt vesz az információbiztonsági auditon, valamint előzetesen véleményezi a biztonsági audit megállapításait, javaslatokat tesz az audit megállapításaira;
r) részt vesz az éves BCP és DRP tesztelési terv kidolgozásában;
s) részt vesz a BCP és DRP tesztelésekben;
t) részt vesz a KM-ben;
u) részt vesz az IEM-ben;
v) szakmailag felügyeli a közreműködőt;
w) az OVI Excel 3.1.1., 3.1.2., 3.1.3., 3.1.4., 3.1.5., 3.1.6., 3.1.7., 3.2.1., 3.3.1., 3.3.2., 3.3.3., 3.3.4., 3.3.5., 3.3.6., 3.3.7., 3.3.8., 3.3.9., 3.3.10., 3.3.11., 3.3.12., 3.3.13. munkalapok adatokkal történő feltöltése;
x) elkészíti és folyamatos frissítés útján naprakészen tartja a RACI mátrixot.
27. A BCP felelős
a) legfelsőbb szinten koordinálja a BCP eseményeket;
b) ellenőrzi és átveszi az EIR, rendszerelem fejlesztőjétől, karbantartójától, támogatójától a BCP Akcióterveket;
c) részt vesz a BCP Akcióterv kidolgozásában, ha az EIR-nek nem azonosítható a fejlesztője, támogatója;
d) részt vesz az éves BCP és DRP tesztelési terv kidolgozásában;
e) minden év december 30-ig elkészíti a következő év BCP tesztelés ütemtervét;
f) részt vesz a felelőssége alá rendelt EIR tesztelésében, BCP Akciótervének felülírásában, a Tesztjegyzőkönyv készítésében;
g) koordinálja a BCP szempontjából a felügyelete alá rendelt EIR, rendszerelem értesítési rendjét (mely személyek, szervezeti egységek értesítése szükséges);
h) koordinálja az alternatív működés feltételeit, előkészületi teendőket, szükséges erőforrásokat, eszközöket, melyek elengedhetetlenek az alternatív működés szempontjából;
i) koordinálja a normál működésre történő visszaállás feltételeit, amely az alternatív működésből való visszaállást jelenti;
j) elkészíti a BCP Akciótervek oktatási anyagát a BCP Akciótervekben leírtak alapján, az adott EIR, rendszerelem vonatkozásában, az oktatás adminisztratív dokumentumait megküldi digitálisan az IBF részére;
k) koordinálja, szakmailag támogatja a BCP esemény Tesztjegyzőkönyvben történő rögzítését;
l) a BCP Akciótervek karbantartása évente megtörténik, melynek a hatáselemzését, kockázatelemzését és kezelését el kell végeznie a karbantartás során;
m) szükség esetén együttműködik az incidensgazdával;
n) részt vesz az IEM-ben;
o) a biztonsági eseményt, incidenst jelenti az IBF-nek;
p) szakmailag felügyeli a közreműködőt;
q) gondoskodik arról, hogy a hatályos BCP Akcióterv a tartalék feldolgozási helyszínen is mindenkor rendelkezésre álljon.
28. A DRP felelős
a) legfelsőbb szinten koordinálja a DRP eseményeket;
b) ellenőrzi és átveszi az EIR vagy a rendszerelem fejlesztőjétől, karbantartójától, támogatójától a DRP Akcióterveket;
c) részt vesz a DRP Akcióterv kidolgozásában, ha az EIR-nek nem azonosítható a fejlesztője, támogatója;
d) részt vesz az éves BCP és DRP tesztelési terv kidolgozásában;
e) minden év december 30-ig elkészíti a következő év DRP tesztelési ütemtervet;
f) részt vesz a felelőssége alá rendelt EIR tesztelésében, DRP Akciótervének felülírásában, a Tesztjegyzőkönyv készítésében;
g) meghatározza a DRP szempontjából a felügyelete alá rendelt EIR, rendszerelem értesítési rendjét (mely személyek, szervezeti egységek értesítése szükséges);
h) koordinálja az alternatív működéshez szükséges feltételeket, előkészületi teendőket, szükséges erőforrásokat, eszközöket, melyek elengedhetetlenek az alternatív működés szempontjából, ha a rendszer fizikálisan a Belügyminisztériumban található;
i) koordinálja a normál működésre történő visszaállás feltételeit, amely az alternatív működésből való visszaállást jelenti;
j) elkészíti a DRP Akciótervek oktatási anyagát a DRP Akciótervekben leírtak alapján, az adott EIR, rendszerelem vonatkozásában; az oktatás adminisztratív dokumentumait megküldi digitálisan az IBF részére;
k) az éles DRP biztonsági esemény éles DRP tesztelésként értelmezendő, ezáltal a DRP eseményt a Tesztjegyzőkönyvben kell rögzíteni, mely folyamatot koordinálja, szakmailag támogatja;
l) felelős a DRP Akciótervek éves karbantartásáért; ennek során a DRP Akciótervek hatáselemzését, kockázatelemzését és kezelését el kell végeznie;
m) részt vesz az IEM-ben;
n) szükség esetén együttműködik az incidensgazdával;
o) a biztonsági eseményt, incidenst jelenti az IBF-nek;
p) szakmailag felügyeli a közreműködőt;
q) gondoskodik arról, hogy a hatályos DRP Akcióterv a tartalék feldolgozási helyszínen is mindenkor rendelkezésre álljon.
29. Személyügyi Helyettes Államtitkárság feladata
a) a jogszabályok és belső szabályok alapján a feladatkörök elektronikus információbiztonsági besorolása, a nemzetbiztonsági ellenőrzés alá eső feladatkörök felmérése és ellenőrzése;
b) új belépő jelzése a felvételtől számított 5 munkanapon belül az IB felé, az információbiztonsági oktatás megszervezése érdekében.
30. A felhasználó
a) részt vesz az információbiztonsági oktatásban, amely szervezeten kívüli felhasználók esetén a projektet, karbantartást, javítást megelőzően kell, hogy megvalósuljon;
b) meghatározott esetben részt vesz az IEM-ben;
c) a biztonsági események, incidensek felismerését, kezelését felhasználói szinten megismeri, és incidens esetén a Biztonsági eseménykezelési terv alapján jár el. Azonnal be kell jelentenie az IB felé, ha biztonsági eseményt, incidenst észlelt, vagy arra következtet, hogy be fog következni;
d) az EIR-hez való hozzáférés engedélyezése előtt írásbeli nyilatkozatában vállalja, hogy az EIR használatához kapcsolódó, vonatkozó biztonsági szabályokat és kötelezettségeket megismeri és betartja;
e) jogosultságának változása esetén a vezetője jelzi az IBF-nek Jogosultságkezelő űrlapon és az üzemeltetési szakterületnek;
f) részt vesz a BCP és DRP és incidenselhárítási tesztelésekben, de ha a felhasználó jelzi a feltételezett incidenst, akkor kötelessége részt venni az IEM-ben is;
g) részt vesz a KM-ben, ha a Munkacsoport vezetője úgy dönt.
31. A tűzvédelmi felelős az általa azonosított, biztonsági eseményre, incidensre utaló jelekről tájékoztatja az IBF-et.
32. A munkavédelmi felelős az általa azonosított, biztonsági eseményre, incidensre utaló jelekről tájékoztatja az IBF-et.
8. Az Informatikai Biztonsági Dokumentációs Rendszer (IBDR) bevezetése és fenntartása
33. Az IRO kialakítja és fenntartja az IBDR-t, mely az információbiztonsági dokumentumok egységes rendszerbe foglalását jelenti.
34. E dokumentációs rendszerben az IRO meghatározza az IBDR működtetéséhez szükséges információbiztonsági folyamatokat, feladatokat és felelősségi köröket, a jogszabályi előírásokra is figyelemmel.
35. Az IRO az előállítandó dokumentumokhoz felelőst és határidőt rendel.
II. FEJEZET
ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK
9. Biztonsági szintbe sorolás
36. A Belügyminisztérium biztonsági szintjét az Ibtv.-ben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet [a továbbiakban: 41/2015. (VII. 15.) BM rendelet] alapján kell meghatározni.
37. A Belügyminisztérium besorolását a hatóság felé az NKI honlapjáról letöltött NBSZ-NKI Szintbe sorolás és Védelmi Intézkedés (SZVI) űrlapon kell megküldeni.
10. Cselekvési és intézkedési terv
38. A Belügyminisztérium cselekvési terve a Belügyminisztérium az IBF és a közreműködő üzemeltető által azonosított koncepcionális hiányosságok javítására, valamint az EIR ismert sérülékenységeinek csökkentésére vagy megszüntetésére irányul.
39. A cselekvési tervet az Ibtv. előírásai szerinti esetben és határidővel kell elkészíteni, a 41/2015. (VII. 15.) BM rendelet előírásainak figyelembevételével.
40. A cselekvési tervet az EIR-ekre az adatgazda / EIR felelős készíti el, majd küldi meg az IBF részére.
41. A cselekvési tervben rögzíteni kell
a) az EIR-ben a biztonsági osztály meghatározásánál és az ezzel kapcsolatban folytatott vizsgálatok során megállapított hiányosságok javítására hozott intézkedéseket;
b) az elvárt intézkedések megvalósításának határidejét a jogszabályi határidővel összhangban. Ez az OVI űrlap és az SZVI űrlap „Követelmény” lapfülén a Tervezés oszlopcsoportokban rögzíthető, a kapcsolódó kitöltési útmutatók szerint;
c) a biztonsági osztály elérésével kapcsolatos hiányosságok, kockázatok feltárására évente tartott biztonsági auditok során feltárt problémák és az ezekre kidolgozott, csökkentésre vagy megszüntetésre irányuló eljárásokat.
42. A cselekvési terv a rendszerbiztonsági tervvel együtt frissítendő, az előírt tartalmat az IBF felelőssége bevezetni és karbantartani.
43. Az intézkedési terv célja, hogy meghatározza az információbiztonság biztonsági kontrollokhoz kapcsolódó elvégzendő feladatokat, a feladatok elvégzésének felelőseit és határidejét.
44. Az IBF a következő tartalmi elemekkel készíti el az intézkedési tervet:
a) az EIR-ben azonosított sérülékenységek csökkentésére vagy megszüntetésére irányuló intézkedések végrehajtása;
b) mérföldkövek az EIR-ben tervezett korrekciós intézkedések dokumentálására, hogy a védelmi intézkedések értékelése során feltárt gyengeségeket vagy hiányosságokat kijavítsák, valamint az EIR ismert sérülékenységeit csökkentsék vagy megszüntessék.
45. Az IBF felülvizsgálja és karbantartja az intézkedési tervet a 41/2015. (VII. 15.) BM rendelet előírásai szerint.
11. Az EIR-ek nyilvántartása
46. Az IBF az általa kezelt EIR-ekről nyilvántartást vezet a 41/2015. (VII. 15.) BM rendelet előírásai szerint, melyet folyamatosan frissít.
47. A nyilvántartásért az IBF felelős, az aktualizálás feladatai esetén az adatgazda, az adatkezelő és az EIR felelős is bevonásra kerül.
12. Biztonsági osztályba sorolás
48. A Belügyminisztérium vagyonnyilvántartásaiban szereplő EIR-eket az adatok bizalmassága, sértetlensége és rendelkezésre állása (BSR-elv) alapján az Ibtv. és a 41/2015. (VII. 15.) BM rendelet elvárásainak megfelelően biztonsági osztályba sorolja az IBF és az adatgazda / EIR felelős közösen az 1. függelék szerinti táblázat kitöltésével.
49. A Belügyminisztérium vagyonnyilvántartásaiban szereplő EIR-ek biztonsági osztályait az Ibtv., valamint a 41/2015. (VII. 15.) BM rendelet alapján 3 évente kell felülvizsgálni, mely tevékenységet az IBF koordinálja, de az informatikai szakterület bevonásra kerül az EIR adatgazdájával / EIR felelősével együtt.
50. A biztonsági osztály meghatározásáért, illetve jogszabályban meghatározott időnkénti felülvizsgálatáért az adatgazda / EIR felelős felel.
51. Az OVI űrlap „Összegzés” és „Osztályba sorolás” munkalapjai és a Rendszer Felvételi Lap teljes körű kitöltésének felelőse az adatgazda / adatkezelő / EIR felelős, melyet rendszeresen felül kell vizsgálni.
52. A biztonsági osztály felülvizsgálata során a korábbi cselekvési tervet felül kell vizsgálni, melynek felelőse az IBF. A felülvizsgálat során az EIR-ben felhasznált és tárolt adatkörök és azok mennyisége a mérvadók.
53. Az EIR-ek besorolását a hatóság felé az NKI honlapjáról letöltött Osztályba sorolás és Védelmi Intézkedés (OVI) űrlapon kell megküldeni az NKI felé.
13. Kockázatelemzés
54. Az Ibtv.-nek és a 41/2015. (VII. 15.) BM rendeletnek megfelelően, az IBDR-ben meghatározott ütemezés alapján és az abban feltüntetett felelős önálló eljárásrendként készíti el a Kockázatelemzési és kockázatkezelési eljárásrendet.
55. A kockázatelemzés (ideértve az ismételt kockázatelemzést is) eredményét írásban kell rögzíteni, és az arra jogosultak számára elérhetővé tenni.
56. Az IBF-nek gondoskodni szükséges arról, hogy a kockázatelemzési eredmények a jogosulatlanok számára ne legyenek megismerhetők.
14. Informatikai jellegű adatok és információk osztályozása és a dokumentumok kezelése
57. Informatikai jellegű fejlesztés során minden esetben az adatgazda / EIR felelős határozza meg az informatikai jellegű dokumentumok belső minősítését, osztályozását, melyet a minősítés szerint kell kezelni és tárolni, meghatározott ideig az érintett szakterületeknek.
58. Ha az adat, az információ vagy a dokumentum nem kerül osztályozásra, akkor azt belső minősítés nélküli szinten kell kezelni.
59. Ha az információ, az adat vagy a dokumentum bizonyos szakaszai eltérő minősítésűek, akkor annak legmagasabb osztályozása szerint kell eljárni.
60. Ha az adathoz osztályozási érték van rendelve (Bizalmas, Üzleti titok stb.), akkor a Belügyminisztérium Egyedi Iratkezelési Szabályzatának kiadásáról szóló 27/2014. (XII. 23.) BM utasítás (a továbbiakban: Iratkezelési Szabályzat) alapján kell eljárni az adatok védelme érdekében. Ennek érdekében a dokumentumokat címkézni kell, hogy azonosításuk és nyomonkövethetőségük megvalósuljon.
15. Rendszer- és szolgáltatásbeszerzés
61. Az EIR és annak szolgáltatásai védelméhez szükséges erőforrásokat, a beruházási vagy költségvetési tervezés részeként a Belügyminisztérium Beszerzési Szabályzatáról szóló 21/2022. (XII. 16.) BM utasítás szerint kell meghatározni, és külön meg kell jelentetni a fejlesztési projektek során.
62. Az EIR beszerzésének engedélyezési eljárása során az alábbiak vizsgálandók:
a) a kapacitásigények helytállósága (a közreműködővel történt konzultáció alapján);
b) a tervben megfogalmazottak kielégítik-e az igényeket, elvárásokat (adatgazda felelőssége);
c) a meglévő rendszerelemekkel való kompatibilitás (adatgazda felelőssége);
d) a megvalósítás racionalitása (adatgazda / EIR felelős felelőssége).
63. A megvalósítandó EIR fejlesztése kapcsán keletkezett információvédelmi tárgykörben készült dokumentumokat az IBF véleményezi, meghatározva az elvégzendő feladatokat (pl. biztonságértékelés elvégzése).
64. A Belügyminisztérium EIR-t érintő beszerzései során a szerződés kötelező eleme az EIR-re, rendszerelemre vagy rendszerszolgáltatásra vonatkozó fejlesztői, üzemeltetési, rendszerbiztonsági, oktatási, illetve felhasználói dokumentáció elkészítése a közreműködő részéről, az alábbi tartalommal:
a) fejlesztői dokumentáció, amely az alábbi dokumentumokat tartalmazza:
aa) programozási dokumentáció,
ab) implementációs terv,
ac) tesztterv, naplózási rend, mentési rend, archiválási rend, visszaállási terv,
ad) éles indítási/átállási terv,
ae) megfelelőségi dokumentáció és zártságot igazoló dokumentáció;
b) üzemeltetési dokumentáció, amely az alábbi biztonsági szempontú információkat tartalmazza:
ba) az EIR, rendszerelem vagy rendszerszolgáltatás biztonságos konfigurálását, telepítését és üzemeltetését,
bb) a konfigurációval és az adminisztratív funkciók használatával kapcsolatos, a dokumentáció átadásakor ismert sérülékenységek,
bc) logikai és fizikai rendszerterv,
bd) tesztjegyzőkönyvek és tesztelésekre vonatkozó egyéb dokumentációk, akciótervek, jegyzőkönyvek (BCP Akcióterv és Tesztjegyzőkönyv, Katasztrófaelhárítási Akcióterv és Tesztjegyzőkönyv, Incidenselhárítási akcióterv és Tesztjegyzőkönyv),
be) sérülékenységi teszt hibáinak és hiányosságainak javítását bemutató dokumentáció,
bf) üzemeltetési kézikönyv;
c) felhasználói dokumentáció, amely az alábbi biztonsági szempontú információkat tartalmazza:
ca) a felhasználó által elérhető biztonsági funkciókat és azok hatékony alkalmazási módját,
cb) a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos használatának módszereit,
cc) a felhasználó kötelezettségeit a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságának fenntartásához,
cd) felhasználói kézikönyv;
d) rendszerbiztonsági tervdokumentáció, mely az alábbi biztonsági szempontú információkat tartalmazza:
da) az alkalmazott védelmi intézkedések funkcionális tulajdonságainak leírása,
db) az alkalmazott védelmi intézkedések terv- és megvalósítási dokumentációi,
dc) biztonsággal kapcsolatos külső rendszer interfészek leírása,
dd) magas és alacsony szintű biztonsági terv,
de) biztonságértékelési terv,
df) részletes biztonsági architektúra,
dg) rendszerbiztonsági terv (fejlesztési fázis kezdetén és éles beállás előtt);
e) oktatási dokumentáció, mely az alábbi elvárásokat tartalmazza:
ea) oktatási terv,
eb) dokumentáció a felhasználók és az üzemeltetők részére.
65. Az EIR-re vonatkozó üzemeltetési dokumentáció jogosulatlanok számára nem lehet megismerhető, illetve módosítható.
66. Az adott feladatellátásért felelő szervezeti egység gondoskodik a dokumentációknak a Belügyminisztérium által meghatározott szerepköröket betöltő személyek által vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismeréséről.
67. A teljesítésigazolásért felelős szervezeti egységek figyelemmel kísérik és értékelik a szolgáltatások szerződés szerinti teljesítését, és szükség esetén beavatkoznak, valamint észrevételeiket jelzik a beszállítók, támogatók és üzemeltetők felé.
68. A szerződéskötés előtt a beszerzéssel érintett szervezeti egység kijelölt munkatársa (adatgazda / EIR felelős) tisztázza, és amennyiben szükséges rögzíti
a) a szolgáltatás minőségi, információbiztonsági és egyéb követelményeit;
b) a jogszabályi követelmények betartásának szükségességét;
c) az információk sértetlenségének és biztonságának megőrzését;
d) a hozzáférési jogosultságok szükségességét, mértékét, mely megfelel az információbiztonsági követelményeknek, és a munka elvégzését lehetővé teszi;
e) az ellenőrzés, minőségbiztosítás lehetőségét, körülményeit.
69. A közreműködő által nyújtott szolgáltatás feltételeinek változásakor az IRO-nak szükséges mérlegelni annak információbiztonsági vonatkozásait, kockázatértékelésre gyakorolt hatását, és ha szükséges, a kockázatelemzést végrehajtja, és annak eredményeit folyamataiban, szabályozási rendszerében átvezeti.
70. Külső és belső ellenőrzési eszközökkel ellenőrizni kell, hogy a közreműködő biztosítja-e az elvárt védelmi intézkedéseket.
16. Üzletmenet (ügymenet) folytonosság tervezése
71. Az Ibtv. és a 41/2015. (VII. 15.) BM rendeletnek megfelelően üzletmenet (ügymenet) folytonosságra vonatkozó eljárásrendet, akcióterveket és az akciótervhez kapcsolódó tesztjegyzőkönyveket készít a BCP felelős, a DRP felelős és az incidensgazda a saját feladatkörében.
72. Az eljárásrend meghatározza a Belügyminisztérium székhelyén történő üzletmenetre (ügymenetre), katasztrófa-elhárítási tevékenységre vonatkozó akciótervek formai és tartalmi elvárásait. A formai és tartalmi követelmények lényege, hogy a folyamatok üzemeltetés, üzletmenet (ügymenet) folytonosság és katasztrófaesemény bekövetkezésekor sztenderdizáltan, közérthetően és azonnal fellelhetően rendelkezésre álljanak.
73. Az üzletmenet (ügymenet) folytonossággal kapcsolatos feladatok és felelősök meghatározása a BCP Akciótervekben történik.
74. A katasztrófaesemények kezelésével kapcsolatos feladatok és felelősségek meghatározása a DRP Akciótervekben történik.
75. Az EIR üzletmenet (ügymenet) folytonosságának fenntartásához és a katasztrófaesemények kezeléséhez szükséges dokumentációs feladatokat az Akciótervek tartalmazzák.
76. A BCP Akcióterv alapdokumentumának készítője az érintett EIR közreműködője (beszállítója), felülvizsgálatát akkor kell kezdeményezni, ha a szervezetben, felelősségi struktúrában változás állt be, a szolgáltatás környezete módosult (új eszközök, új szolgáltatók stb.), a BCP Akcióterv tesztelése, kezelése során nem várt probléma lépett fel. Az akcióterv elfogadásáért az adatgazda / EIR felelős a felelős.
77. A BCP Akcióterv(ek) és az űrlapok (pl. Tesztjegyzőkönyv) a felelősök aláírása után nem módosíthatóak. A Tesztjegyzőkönyvek dokumentálják a BC eseményeket, melyet a felelős aláírása után az IBF jóváhagy, ha az eleget tesz a jogszabályi elvárásoknak és a Belügyminisztérium eljárásrendjeiben megfogalmazott elvárásoknak, a BCP Akcióterv élesbe állítás előtt végzett frissítésével átvezetve az adott EIR, rendszerelem tekintetében bevezetésre kerül.
78. A BCP Akcióterv(ek) készítéséért a fejlesztő/támogató/karbantartó esetleges hiányában az adatgazda / EIR felelős a felelős.
79. Évente elvégzendő feladatok az üzletmenet (ügymenet) folytonosság és a katasztrófaelhárítás kapcsán:
a) az IBF az adatgazdával/EIR felelőssel és a BCP és DRP felelőssel, az érintett szakterület vezetőjével, az üzemeltetővel egyeztetve éves BCP és DRP tesztelési tervet készít, mely folyamatnak az alapdokumentuma az eljárásrend mellett az adott BCP és DRP Akcióterv és Tesztjegyzőkönyvek is;
b) az éves BCP és DRP tesztelési terv nem tesz különbséget, hogy a tesztelésben részt vevő EIR, rendszerelem közreműködő tevékenységben, további üzemeltetési területen található, vagy a Belügyminisztérium székhelyén, ezért az éves BCP és DRP tesztelési terv a közreműködővel egyeztetendő, amennyiben érintett a tesztelésben;
c) a BCP és DRP Akcióterveket az elvégzett BCP és DRP tesztek után aktualizálni kell a BCP és DRP felelős(ök) megjelölésével;
d) gondoskodni kell arról, hogy a BCP és DRP Akciótervek jogosulatlan személyek számára ne legyenek megismerhetőek;
e) a Tesztjegyzőkönyvek dokumentálják a DR teszteseményeket, amely dokumentációt az IBF jóváhagy;
f) ha az EIR a KAK-ban üzemel, az üzletmenet (ügymenet) folytonossággal és az esetleges katasztrófaeseményekkel kapcsolatos folyamatokba (éles és tesztesemények) be kell vonni a közreműködőt; a teszteket legalább 30 nappal a tesztet megelőzően be kell jelentenie az adatgazdának/EIR felelősnek a közreműködő felé a DR és BC tesztelések kapcsán;
g) az éves tesztelési tervben fel kell vezetni, hogy kívánja-e a tesztelni kívánt teszteset a közreműködő megjelenését, ennek vannak-e anyagi vonzatai.
17. A BCP és DRP Akciótervek, valamint a katasztrófaelhárítás vonatkozásai
A BCP és DRP Akciótervek
80. A BCP és DRP Akciótervekben megfogalmazandó kötelező elemek:
a) a BCP és DRP Akcióterv célja;
b) a BCP és DRP Akcióterv tárgya, azonosítója;
c) a BCP és DRP Akciótervben részt vevő személyek;
d) a rendszer, rendszerelem bemutatása röviden;
e) legfontosabb jellemzők (pl. kritikus vagy nem, rendszer fizikai helyei, kapcsolódásai, RTO, RPO értékek, kulcsfelelősök, rendszergazdák, döntési folyamatok bemutatása, kommunikáció a folyamat során, hatóság értesítése, közreműködő értesítése);
f) folyamat adatai (tevékenység, folyamatgazda, végrehajtó szervezeti egység, kritikus időszak éles rendszerben, mely időben nem valósulhat meg tesztelés, megengedett maximális kiesési idő, erőforrások, mely emberfőt és tárgyi eszközt jelent, külső függőségek, kapcsolt rendszerek stb.);
g) az EIR személyes adatainak kezelése (kiesés hatásai, értesítés feladatai, felkészülés alternatív működésre, alternatív működés, normál működésre történő visszaállás, ennek lépései stb.);
h) mellékletben az EIR-re vonatkozó személyes adatok (helyettesített munkavállaló, helyettesítő munkavállaló).
81. A közreműködővel megkötött szerződésnek tartalmaznia kell, hogy
a) projektidőszakban a közreműködő (beszállító) feladata, hogy DRP Akciótervet készítsen az EIR-hez, rendszerelemhez;
b) üzletmenet (ügymenet) folytonosság kapcsán a beszállítónak képzési anyagot kell készítenie, melyet IBF ellenőrzése után le kell oktatni a felhasználói körnek.
82. Éles fázisba nem állítható az az EIR vagy rendszerelem, amely nem rendelkezik letesztelt és a teszt eredményeivel frissített DRP Akciótervvel. A DRP Akciótervben fel kell tárni a hiányosságokat, problémákat, ezek kezeléséig projektidőszak nem zárható le. A DRP Akcióterv akár több tesztesetet is tartalmazhat.
83. A DRP Akcióterv tesztelésének célja, hogy az Üzletmenet (ügymenet) folytonossági eljárásrend alkalmas legyen katasztrófaesemények dokumentálására az EIR vonatkozásában. Ha az EIR, rendszerelem fejlesztője, támogatója már nem lelhető fel, a DRP felelős feladata, hogy elkészítse az adott EIR-re, rendszerelemre a DRP Akciótervet és a hozzá tartozó dokumentumokat, elkészítse az oktatási anyagot és annak adminisztrációs elemeit.
84. A DRP Akcióterv a BCP Akciótervhez hasonlóan sztenderdizált pontokat tartalmaz az egyszerű és gyors áttekinthetőség érdekében. Elvárás, hogy a DRP Akcióterv minden helyszínen elérhető legyen a legfrissebb, lehetőség szerint tesztelt verziójában.
85. A DRP tesztesetek – hasonlóan a BCP tesztesetekhez – éves BCP és DRP tesztelési terv kerülnek meghatározásra az érintett szakterületek, a BCP felelős, a DRP felelős, az adatgazda / EIR felelős, az informatikai szakterület vezetője, az IBF együttműködésével. A teszteseteket projektidőszakban a beszállító határozza meg és dokumentálja élesbe állásig.
86. Közreműködő meghívása az adatgazda / EIR felelős feladata a tesztelést megelőző 30 napig.
87. Meg kell határozni a Belügyminisztérium kritikus alkalmazásait, azonosítani kell a szolgáltatásait, folyamatait, amely feladat megjelenik a BCP folyamataiban is.
88. A DRP Akcióterveknek átfogóan kell tartalmaznia minden olyan intézkedést, amely az informatikai szolgáltatás visszaállításához szükséges a projektidőszakban, a beszállító igénybevételével.
89. A DRP Akcióterveknek a vonatkozó szolgáltatás vagy folyamat BCP Akciótervében meghatározott paraméterekkel összeegyeztethetően kell szerepelnie.
90. Ha az informatikai szakterület nem képes azonosítani a kiesett üzleti szolgáltatást, a kiszolgáló infrastruktúra elemeket, válságértekezletet kell összehívni a közreműködővel, adatgazdával/EIR felelőssel, BCP felelőssel, DRP felelőssel, üzemeltetési tevékenységet ellátó vezetővel, IBF-fel, ahol mérlegelni kell a költségeket a rendelkezésre álló erőforrások figyelembevételével, valamint a helyreállítás opcióit.
Mentési rend
91. A fenti üzletmenet (ügymenet) folytonosság és katasztrófa-elhárítás céljai kapcsán meg kell határozni a Belügyminisztérium Mentési rendjét, ami az IBF feladata.
92. A Belügyminisztérium Mentési rendje a Belügyminisztérium mentési rendszerének összefoglaló leírása, amely tartalmazza
a) a Mentési rend tárgyát;
b) a Mentési rend célját;
c) a mentéssel kapcsolatos felelősségek és feladatkörök bemutatását;
d) a mentett adatok körének teljes körű meghatározását;
e) a mentések módját, az alkalmazott mentési szoftverek és mentőeszközök megnevezését, a mentett állományok őrzési helyét;
f) az egyes mentésekhez tartozó lehetséges adatvesztési eseteket (pl. előző napi mentésből a tárgynap napközbeni mentései nem állíthatóak vissza);
g) a mentések készítésének időintervallumát táblázatos formában;
h) a mentett állományok megőrzési idejét;
i) a mentett állományok nyilvántartásának módját;
j) az elkészített mentések olvashatóságának az ellenőrzésére alkalmazott eljárásokat, az ellenőrzések gyakoriságát;
k) a visszatöltési eljárásokat, amelyek az egyes mentések visszatöltésére és a visszatöltés megfelelőségének az ellenőrzésére vonatozó eljárások;
l) a helyreállítási eljárásokat, amelyek a mentéssel érintett EIR-ek, rendszerelemek visszatöltés utáni visszaállításra, a visszaállítás megfelelősségének az ellenőrzésére vonatkozó eljárások.
93. Az EIR, rendszerelem beszerzésekor a Mentési rend készítése EIR, rendszerelem vonatkozásában a közreműködő (beszállító) feladata.
Felkészítő képzés
94. A Belügyminisztériumnak a közreműködővel megkötött szerződésének tartalmaznia kell, hogy az EIR folyamatos működése és működtetése érdekében felkészítő képzési anyagot kell készítenie az EIR beszállítójának (projektidőszakban) és támogatójának (éles üzemi fázisban, életciklusban) mindazon felhasználók részére, akik az adott EIR kapcsán érintettek. Az oktatás, képzés a felhasználói szerepkörnek és felelősségi körnek megfelelően valósul meg.
95. A95. pont szerinti szerződésnek tartalmaznia kell továbbá, hogy az EIR beszállítójának is oktatást, képzést kell tartania egyéb közreműködők és megjelölt szakemberek felé, elsősorban a kiemelt jogosultsággal rendelkezők tekintetében.
96. Az EIR-hez kapcsolódó BCP és DRP Akciótervekben rögzíteni kell, hogy mely felhasználóknak és felelősségi körnek történik a felkészítő képzés, továbbá a felkészítő képzés gyakoriságát is meg kell határozni a dokumentumban.
97. Az IBF számára a felkészítő képzés tematikáját át kell adni előzetes engedélyeztetésre, továbbá a képzés után a jelenléti ív másolatát részére meg kell küldeni.
Tesztelés
98. A Belügyminisztérium vagyonnyilvántartásaiban lévő EIR-eket vagy azok rendszerelemeit üzletmenet (ügymenet) kapcsán rendszeresen tesztelni kell, BCP és DRP Akciótervek formájában.
99. A közreműködő vagyonnyilvántartásában lévő, de a Belügyminisztériumban fellelhető eszközök esetén a közreműködő bevonása szükségszerű a BCP tesztbe.
100. A közreműködőt tájékoztatni szükséges minden olyan tesztlépésről, mely a közreműködő feladatait, esetleg vagyontárgyait érinti, érintheti. Ezekben a speciális esetekben a közreműködő engedélyét is be kell szerezni a tesztelésbe. Felelőse az adatgazda / EIR felelős.
101. Az Akciótervek tesztelése az éves BCP és DRP tesztelési terv alapján elfogadott tesztelési események, mely eseményeket BCP és DRP Tesztjegyzőkönyvekben dokumentál a BCP és DRP felelős a fejlesztővel, a támogatóval, a karbantartóval, esetenként a közreműködő üzemeltetővel együtt. Az éves BCP és DRP tesztelési tervet az IBF egyezteti le az adott EIR adatgazdájával/EIR felelősével, közreműködő részvétele esetén az adatgazda / EIR felelősével végez adategyeztetést a közreműködő. Az éves tesztelési terv elkészítése, majd elfogadása esetén a BCP és DRP Akciótervekben leírtak szerint az elfogadott teszteseteket tesztelni szükséges. A korábban készült BCP és DRP Akciótervek minden esetben felülírandók a tesztelés elvégzése után, ha érdemi változást kell rögzíteni.
Tartalék feldolgozási helyszín
102. Ha az EIR biztonsági osztálya, illetve az éves BCP és DRP tesztelési terv megköveteli, az elsődleges helyszín mellett másodlagos vagy tartalék feldolgozási helyszínt is meg kell jelölni.
103. A közreműködő által biztosított feldolgozási helyszínek (elsődleges és a tartalék helyszín) tekintetében a Belügyminisztérium és a közreműködő (üzemeltető) közötti szerződések szerint kell eljárni, a védelmi kontrollintézkedések szerződésben előírtak megkövetelésével.
104. Ha az elsődleges helyszín feldolgozási képességei nem állnak rendelkezésre, tartalék feldolgozási helyszínen kell folytatni az EIR műveleteit.
105. A közreműködő által üzemeltetett EIR-ek tartalék feldolgozási helyszíne szerződésben kerül rögzítésre.
106. A tartalék feldolgozási helyszínekre vonatkozó elvárásokat a BCP és DRP Akciótervek részletezik.
107. A Belügyminisztériumnak a közreműködővel megkötött szerződésének tartalmaznia kell, hogy a közreműködő, vagy a Belügyminisztérium üzemeltetési szakterülete biztosítja, hogy a működés újrakezdéséhez vagy folytatásához szükséges eszközök és feltételek a tartalék feldolgozási helyszínen, vagy meghatározott időn belül rendelkezésre álljanak.
108. A Belügyminisztériumnak a közreműködővel megkötött szerződésnek tartalmaznia kell, hogy a közreműködő üzemeltetőnek biztosítania kell, hogy a tartalék feldolgozási helyszín információbiztonsági intézkedései egyenértékűek legyenek az elsődleges helyszínen alkalmazottakkal.
EIR-ek mentése
109. A Belügyminisztériumnak a közreműködővel megkötött szerződésének tartalmaznia kell, hogy a közreműködő üzemeltetőnek gondoskodnia kell az EIR-ekben tárolt adatok és a rendszerdokumentációk előre meghatározott mentéséről, archiválásáról és az esetleges visszaállítás teszteléséről, figyelembe véve az EIR szerződésben is rögzített RTO és RPO értékeit.
110. A mentések sztenderd folyamatainak kialakítása érdekében Mentési rendet kell alkalmazni.
111. A Mentési rendben szereplő EIR-ek esetében biztosítani kell a bizalmasságot, sértetlenséget és rendelkezésre állást mind az elsődleges, mind a tartalék feldolgozási helyszínen.
112. A Mentési rendben meghatározott időszakonként megbízhatósági és sértetlenségi tesztet kell végezni a mentett információk kapcsán az adathordozók megbízhatósága, az információ sértetlenségének garantálása érdekében. A Mentési rend feladat- és felelősségi körök felsorolását is tartalmazza.
113. A Mentési rendben meg kell jelennie a közreműködőnek mint felelősnek.
114. Az EIR kritikus szoftvereinek és egyéb, biztonsággal kapcsolatos információinak biztonsági másolatait egy elkülönített berendezésen vagy minősítéssel rendelkező tűzbiztos tárolóban kell tárolni, amely a Mentési rendben is megfogalmazásra kerül.
115. Az EIR biztonsági másolatait a biztonsági tárolási helyszínen kell tárolni.
Az EIR helyreállítása és újraindítása
116. Az EIR-ek helyreállításával és újraindításával kapcsolatban helyreállítási (DRP) Akcióterveket kell készíteni. A helyreállítási (DRP) Akciótervek az EIR-ek utolsó ismert állapotba történő helyreállításáról és újraindításáról gondoskodnak egy összeomlást, incidenst, sérülékenységvizsgálat által feltárt hibát követően. Ha a tevékenység a közreműködőt is érinti, e tevékenységről hivatalos formában értesíteni kell.
117. Tranzakció-alapú EIR-ek esetén tranzakció-helyreállítást kell végrehajtani.
118. A helyreállítási akciótervekben (DRP Akciótervek) meg kell határozni az EIR-ek előre definiált helyreállítási idejét egy olyan konfiguráció-ellenőrzött és sértetlenségvédett információból, ami az elem ismert működési állapotát reprezentálja.
Közreműködői (üzemeltetői) vonatkozások üzletmenet (ügymenet) folytonosság tervezése kapcsán
119. Közreműködő üzemeltetés esetén a közreműködő szervezet kijelölt szakembereit is be kell vonni az éves BCP és DRP tesztelési tervbe, majd a BCP és DRP Akcióterv tesztelésébe, tesztelés előtt az érintett feleket 30 nappal korábban az adatgazdának értesítenie kell.
120. Az EIR beszállítójának a közreműködő üzemeltetési tevékenységet ellátó szervezet megjelölt szakemberei felé is oktatást, képzést kell biztosítani olyan formában, hogy a normál jogosultsági körrel rendelkező felhasználók és a kiemelt jogosultsággal rendelkezők tekintetében elkülönüljenek, a kiemelt jogosultsági körrel rendelkezők magasabb szintű oktatásban kell, hogy részesüljenek.
121. A közreműködőt minden olyan tevékenységbe be kell vonni, amely a szolgáltatásait befolyásolhatja. A közreműködő NISZ-t a tulajdonában álló informatikai eszközeit ért biztonsági eseményekről, incidensről az IBF-nek tájékoztatni szükséges.
122. A szolgáltatás keretében a közreműködő elvégzi a Belügyminisztériumnak a megfelelő munkaállomások beszerzését, a munkakörnyezet kialakítását, az eszközök, perifériák és a kiszolgáló infrastruktúra üzemeltetését, a rendszeres karbantartást, valamint a berendezésekre telepített alapszoftverek folyamatos üzemeltetéséhez szükséges tevékenységeket, továbbá több olyan biztonsági szolgáltatást végez, amely az üzemeltetés megbízhatóságát emeli, csökkenti az adatvesztés és az illetéktelen hozzáférés kockázatát.
18. Biztonsági események, incidensek kezelése
Általános előírások
123. A biztonsági események, incidensek jelzése egyfelől történhet a közreműködő (fejlesztő) irányából, amennyiben a közreműködő (üzemeltető) eszközei a Belügyminisztérium megfigyelései szerint érintettek lehetnek, értesíteni szükséges a közreműködőt (üzemeltető). Felelőse az incidensgazda.
124. Biztonsági események, incidensek felmerülése esetén az informatikai biztonsági szakterület bírálja el, hogy valóban biztonsági esemény, incidens történt-e és lehetőség szerint ellenőrzést, tesztelést végez – ha kivitelezhető – a „négy szem” elvén. Ha megállapítást nyert, hogy valóban biztonsági esemény, incidens történt, az IBF jelzi az NKI részére. Az IBF jelzi a közreműködőnek (üzemeltető), hogy biztonsági esemény részese lett vagy a Belügyminisztérium, vagy a közreműködő tulajdonában lévő eszköz.
125. Az EIR vagy bármely, az EIR részelemével kapcsolatba kerülő felhasználó köteles az általa észlelt biztonsági eseményt, incidenst haladéktalanul jelenteni a közvetlen vezetőjének és az IBF-nek.
126. A közreműködő észlelő köteles jelenteni a biztonsági eseményt, incidenst az itsec@bm.gov.hu e-mail-címen, illetve a Belügyminisztérium felhasználói az IBF-nek jelzik az ibf@bm.gov.hu e-mail-címen, az alábbiak szerint:
a) biztonsági esemény, incidens bekövetkezésének pontos ideje (ÉÉÉÉ, HH, NN, ÓÓ.PP formában);
b) a biztonsági esemény, incidens típusa;
c) ki és mikor jelentette a biztonsági eseményt, incidenst (NÉV, ÉÉÉÉ, HH, NN, ÓÓ.PP formában);
d) észlelés során végzett műveletek (például: levélírás, dokumentumszerkesztés, internetezés);
e) biztonsági esemény, incidens által érintett felhasználók száma;
f) biztonsági esemény, incidens időtartama (ÉÉÉÉ, HH, NN, ÓÓ.PP-től ÉÉÉÉ, HH, NN, ÓÓ.PP-ig formában);
g) a szolgáltatás működésében támadt zavar mértékét, mely pontok bármelyikét az adatgazda / EIR felelős vagy felettes vezető kiegészítheti.
Biztonsági esemény, incidens vizsgálata
127. Biztonsági esemény, incidens esetén az alábbiakat kell vizsgálni, illetve figyelembe venni az incidensgazda által:
a) a biztonsági esemény, incidens típusa, súlyossága, következményei;
b) közvetlen és közvetett okok;
c) a biztonsági esemény, incidens bekövetkezésének körülményei;
d) további károk, káresemények kialakulásának, megakadályozása;
e) hasonló biztonsági események, incidensek bekövetkezésének megelőzése;
f) intézkedési terv a hibák javítására.
128. Az incidensgazda dönt a közreműködő bevonásáról, bevonás esetén figyelemmel kíséri tevékenységét.
129. Az incidensgazda bármely szakterület felhasználóját bevonhatja az IEM-be.
130. Technológiai jellegű biztonsági események, incidensek esetén a kapcsolódó rendszerek naplóinak mentését, elemzését is el kell végezni, ha szükséges, igénybe kell venni közreműködőt is. Az EIR közreműködő üzemeltetője haladéktalanul gondoskodik a napló mentés végrehajtásáról a bizonyíték megőrzése érdekében, amely vizsgálata külső szakértő, és/vagy hatóság bevonásával történik.
131. A vizsgálat folyamán olyan auditinformációk és hasonló bizonyítékok begyűjtésére van szükség, amelyek
a) lehetővé teszik a belső problémaelemzést;
b) szerződésszegéssel, vagy jogszabálysértéssel kapcsolatos eljárásokban bizonyítékként felhasználhatók;
c) az informatikai eszközök, szoftverek beszállítóival, külső szolgáltatókkal folytatott kártérítési tárgyalásokban felhasználhatók;
d) adatvédelmi vagy számítógéppel elkövetett visszaélésekről szóló jogszabályok hatálya alá eső jogi eljárásban bizonyítékként felhasználhatók.
132. Az IBF kidolgozza a 41/2015. (VII. 15.) BM rendelet előírásainak megfelelő Biztonsági eseménykezelési tervet.
Képzés a biztonsági események, incidensek kezelésére
133. A RERIFO oktatással, képzéssel támogatást nyújt az EIR felhasználóinak a biztonsági események, incidensek kezeléséhez és a jelentéséhez. A szakmai, funkcionális elemek oktatását a támogató vagy a beszállító végzi, de az EIR vonatkozásában információbiztonsági képzést is nyújt. Az IBF az oktatás előtt véleményezi az oktatásra kerülő anyagokat, megfelelőség esetén engedélyezi azt.
134. Minden felhasználónak és közreműködőnek, alap- és kiemelt jogosultággal (privilégiumokkal) rendelkező munkatársnak a felelősségükkel, feladatkörükkel arányosan rendszeres oktatásban kell részesülniük a 41/2015. (VII. 15.) BM rendelet szerinti, biztonsági osztályhoz kötött mértéknek megfelelően. Az EIR-ek specifikus oktatását a közreműködő végzi biztonsági eseménykezelés, incidenskezelés kapcsán, míg általános vonatkozásban az informatikai biztonsági szakterület. A közreműködő (fejlesztői) oktatás anyagát előzetes kontrollra meg kell küldeni az IBF-nek és az incidensgazdának.
19. Emberi tényezőket figyelembe vevő – személy – biztonság
A felhasználó feladatai, felelőssége
135. A felhasználóknak tilos
a) a munkavégzésre átadott számítógépre IBF által nem engedélyezett EIR-t, alkalmazást, szoftvert önállóan telepíteni, installálni, illetve megváltoztatni az eszköz átadáskori alapkonfigurációját az IBF engedélye nélkül;
b) a számítógépre bármilyen szoftverkomponenst telepíteni, installálni;
c) a számítógépet fizikailag megbontani, alkatrészeket cserélni, be-, kiszerelni.
136. A felhasználók felelőssége
a) az alábbiak jelentése az IBF-nek:
aa) a felismert vagy felismerni vélt biztonsági gyengeség, biztonsági rés, sérülékenység,
ab) a felismert vagy felismerni vélt védelmi gyengeség, biztonsági rés, sérülékenység,
ac) az információbiztonsági szempontból nem megfelelő magatartás észlelése,
ad) bármilyen bizalmas információ kiszivárgásának gyanúja;
b) biztonsági esemény bekövetkezésekor a bekövetkezés körülményeit azonnal jelenteni a szervezeti vezetőnek és az IBF-nek;
c) munkaidőn kívül a szervezeti egység vezetőjét és az IBF-et értesíteni, ha az informatikai szolgáltatások és rendszertechnikai elemek nem érhetőek el, így a szakterületi feladatok végrehajtása nem biztosított. A kiértesítést abban az esetben is meg kell tenni, ha az informatikai eszközöket és a rajtuk lévő adatokat sérülés vagy megsemmisülés veszélye fenyegeti (pl. tűz, árvíz, beázás, robbanás);
d) gondoskodni a munkaállomásokon az általa létrehozott, kezelt adatállományok mentéséről abban az esetben, ha irodai alkalmazást használ (mint pl. MS Office) és munkája kapcsán adatkezeléssel, adatmódosítással foglalkozik;
e) a szakterületek és a felhasználók számára biztosított közös meghajtókat, illetve a felhasználóhoz kötött hálózati meghajtót használni.
137. Ha a felhasználó az irodai helyiséget elhagyja
a) zárolja a munkaállomását vagy laptopját (legegyszerűbben a Windows billentyű + L billentyűkombináció alkalmazásával), vagy CTRL+ALT+DEL billentyűk együttes lenyomásával, majd ENTER leütésével (tiszta képernyő politikája), a dokumentumokat elzárja (tiszta asztal politikája);
b) köteles a helyiséget kulccsal bezárni, ha más felhasználó nincs a helyiségben. A munka befejeztével a munkaállomást ki kell kapcsolni;
c) a munkaidő végén a hordozható informatikai eszközöket el kell zárnia.
Munkakörök/feladatkörök, feladatok biztonsági szempontú besorolása
138. Az informatikai biztonsági szakterület minden munkatársának szükséges teljesítenie a biztonsági feltételeket.
Eljárás a foglalkoztatási jogviszony megszűnésekor
139. A foglalkoztatási jogviszony megszűnését a személyügyi szakterület vagy az érintett szervezeti egység vezetője jelzi mind az üzemeltetési szakterület, mind az IBF felé.
140. Az adathordozóról minden felhasználói információt archiválni kell; törölni csak a szakterületi vezető engedélyével szabad. Archiválást követően törlést kell végezni, illetve csak olyan információ maradhat az eszközön, amelyet egy esetleges új munkavállaló vesz át a későbbiekben, és a szakterületi vezető írásban jelzett az üzemeltetési és informatikai biztonsági szakterület felé. Törlést, archiválást az üzemeltetési szakterület végezhet. Adathordozó tárolása zárható szekrényben történik.
141. Jogosultság-kiosztási űrlapon a jogviszony megszűnése esetén minden jogosultságot meg kell vonni, melyet a szakterületi vezető írásban is kezdeményez az EIR adatgazdája/EIR felelőse, az üzemeltetési és az informatikai biztonsági szakterület felé.
142. A közreműködővel kötött szerződésnek tartalmaznia kell a következőket:
a) a közreműködő köteles haladéktalanul bejelenteni munkatársa jogviszonyának megszűnését, ha a munkatársnak belépési jogosultsága van a Belügyminisztérium telephelyeire;
b) az a) pont szerint esetben a munkatárs hozzáféréseit le kell tiltani, átvett eszközeit és azonosító kártyáit vissza kell venni.
Az áthelyezések, átirányítások és kirendelések kezelése
143. Felhasználók munkakörének/feladatkörének változása esetén az érintett felhasználó új, közvetlen felettes vezetője meghatározza a munkatársra vonatkozó elvárásokat.
144. A korábbi közvetlen vezető kezdeményezi a meglévő hozzáférések tiltását (amennyiben az új munkakörhöz nem szükséges), az új közvetlen vezető pedig az új hozzáférések igénylését az adatgazdánál. Ha a módosítás a szerepkört is érinti olyan formában, hogy az EIR-hez a továbbiakban privilégiumokkal rendelkező, kiemelt felhasználóvá válik, az adatgazda / EIR felelős mellett az üzemeltetési szakterület és az IBF felé is le kell jelenteni a változást. A jogosultságok megváltozását közreműködői üzemeltetés esetén a közreműködő üzemeltető végzi el a Belügyminisztérium jelzése alapján.
A Belügyminisztériummal szerződéses jogviszonyban álló közreműködőkre vonatkozó követelmények
145. A Belügyminisztérium a külső szervezettel kötött megállapodásban, szerződésben megköveteli, hogy
a) a közreműködő határozza meg a Belügyminisztérium EIR-jével kapcsolatos, az információbiztonságot érintő szerep- és felelősségi köröket, köztük a biztonsági szerepkörökre és felelősségekre vonatkozó elvárásokat is;
b) a szerződő fél feleljen meg a Belügyminisztérium által meghatározott személybiztonsági követelményeknek;
c) dokumentálja az elvárt személybiztonsági követelményeket;
d) ha a szerződő féltől olyan személy lép ki vagy kerül áthelyezésre, aki rendelkezik a Belügyminisztérium EIR-jéhez kapcsolódó hitelesítési eszközzel vagy kiemelt jogosultsággal, akkor soron kívül küldjön értesítést a Belügyminisztérium kapcsolattartójának, az üzemeltetési szakterületnek és informatikai biztonsági szakterületnek.
Fegyelmi intézkedések
146. A személyügyi szakterület fegyelmi eljárást kezdeményezhet az EIR-ek azon felhasználóival szemben, akik az információbiztonsági szabályozókat megsértik. Ehhez a tevékenységhez az üzemeltetési szakterület információkkal szolgál.
147. Ha nem a Belügyminisztérium személyi állományába tartozó személy sérti meg az szerződésben leírt, biztonságot érintő kötelmeket, a Belügyminisztérium érvényesíti a vonatkozó szerződésben meghatározott következményeket, illetve meg kell vizsgálni az egyéb jogi lépések fennállásának lehetőségét, szükség szerint alkalmazni kell ezeket az eljárásokat.
148. Minden munkatársnak be kell tartania a Belügyminisztérium információbiztonsági szabályait, Ennek megsértéséből származó biztonsági esemény, incidens fegyelmi eljárást vonhat maga után. Az IBF a tudomására jutott biztonsági eseményt, incidenst mérlegeli annak súlyosságától függően, továbbá jelenti azt az IHÁT vezetőjének. A fegyelmi eljárás módját az IBF-fel együttműködve kell meghatározni az eset súlyosságát figyelembe véve, mely fegyelmi eljárást az IHÁT kezdeményez.
Viselkedési szabályok az internet használata során
149. A felhasználókat tájékoztatni kell arról, hogy az interneten és a belső hálózaton végzett tevékenységük megfigyelés alatt állhat.
150. Munkahelyi eszközhöz tartozó felhasználónév és jelszó megadása nem munkavégzéshez köthető regisztrációhoz tilos. Munkavégzéshez köthető, de nem a Belügyminisztérium szervezetén belüli feladatvégzéshez a munkahelyi felhasználónév és/vagy jelszó megadása, valamint más felhasználó felhasználónevének vagy jelszavának használata tilos.
151. Tilos bármilyen fájlmegosztó alkalmazás letöltése, használata, az alapkonfigurációba nem tartozó szoftverelemek letöltése, beleértve a böngészőket is, nem jogtiszta elemek tárolása, installálása a munkavégzéshez kiadott eszközökön, tilos böngészőbővítmények letöltése és telepítése, a böngészők biztonsági beállításának megváltoztatása, a mobilkommunikációs eszközök tekintetében is.
152. Tilos a kiszolgáló- vagy tesztalkalmazás rendszer kialakítása mind a kliens számítógépeken, mind a személyes használatra átadott mobilkommunikációs eszközökön.
20. Tudatosság és képzés
Biztonságtudatossági képzés
153. A Belügyminisztérium munkatársai és a közreműködők számára biztonságtudatossági képzést kell biztosítani.
154. A biztonságtudatossági képzés anyagát úgy kell összeállítani, hogy az az érintett felhasználókat felkészítse a belső fenyegetések, biztonsági események, incidensek felismerésére, és tudatosítsa jelentési kötelezettségüket, figyelembe véve azt is, hogy a képzésben résztvevők vezetők és kiemelt jogosultági körrel rendelkező felhasználók-e.
155. Az IBF felelőssége – a személyügyi szakterülettel együttműködve –
a) a biztonságtudatossági képzés megszervezése, lebonyolítása,
b) a megfelelő képzési anyag biztosítása,
c) a képzési anyag folyamatos aktualizálása, fejlesztése.
156. A biztonsági eseményekből, incidensekből levont tanulságokat a képzési anyagokba, valamint az alkalmazott biztonságtudatossági eszközrendszerébe integrálni kell.
157. Kétéves gyakorisággal, vagy szükség szerint (kiemelten fontos ennek jelentősége egy esetlegesen bekövetkezendő információbiztonsági eseményt, incidenst követően) haladéktalanul ismétlő képzést kell tartani.
158. A biztonságtudatossági képzés során a felhasználókat fel kell készíteni a belső fenyegetések felismerésére.
159. A képzéseken való részvétel ellenőrzése a közvetlen munkahelyi vezető feladata.
Szerepkör- vagy feladatalapú biztonsági képzés
160. Szerepkör- vagy feladatalapú biztonsági képzést kell nyújtani az egyes szerepkörök szerinti, azért felelős személyeknek. A képzést a részt vevő munkatársak szerepköre alapján kell megszervezni.
161. Az érintett személyek számára a képzéseket az IHÁT vezetője rendeli el.
162. A képzés megtörténtét elektronikus vagy írásos formában dokumentálni szükséges, amelyért a személyügyi szakterület és a gazdálkodási szakterület felelős.
163. A képzéseken való részvétel ellenőrzése a közvetlen munkahelyi vezető feladata.
III. FEJEZET
FIZIKAI VÉDELMI INTÉZKEDÉSEK
21. Általános rendelkezések a fizikai védelem tekintetében
164. A kormányzati épületek üzemeltetését a Közbeszerzési és Ellátási Főigazgatóság (a továbbiakban: KEF) végzi.
165. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.2. Fizikai védelmi intézkedések fejezet előírásainak megvalósítása érdekében a közreműködővel megkötött szerződésben rögzíteni kell, hogy a közreműködő feleljen meg a védelmi kontrollintézkedésnek.
166. A Belügyminisztérium beszerzései, illetve a KEF-fel vagy a Nemzeti Infokommunikációs Szolgáltató Zrt.-vel (a továbbiakban: NISZ) történő szerződéskötései során érvényesíteni kell a 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.2. Fizikai védelmi intézkedések fejezet előírásaiban foglaltakat.
167. A beléptetés szabályait a Belügyminisztérium székhelye tekintetében a Belügyminisztérium központi épületébe történő be- és kilépés, a benntartózkodás, a csomag- és áruszállítás, a küldemények átvételének és a gépjárművek parkolásának rendjéről szóló 16/2014. (X. 10.) BM utasítás tartalmazza.
168. A Belügyminisztériumban szükséges
a) nyilvántartást vezetni a karbantartó szervezetekről vagy személyekről;
b) megkövetelni a hozzáférési jogosultság igazolását az EIR-en karbantartást végzőktől.
169. A megfelelő biztonsági engedéllyel nem rendelkező karbantartó személyek alkalmazása során az üzemeltetők személyes felügyeletében történhet a karbantartás.
22. Helyiségek védelme
Biztonsági zónák meghatározása
170. A Belügyminisztérium épületeiben az alábbi, biztonsági szempontú besorolást kell alkalmazni a helyiségek, területek vonatkozásában:
a) nyilvános területek: azok a területek, ahol informatikai felügyelet nélkül külső személyek is tartózkodhatnak;
b) ellenőrzött területek (felhasználói helyiségek): a Belügyminisztérium tulajdonában, illetve szerződéses kötelem formában igénybe vett felhasználói célra kiadott informatikai eszközök elhelyezésére szolgáló helyiség, ahol a szomszédos helyiség kiemelt területű biztonsági zónába van besorolva;
c) kiemelt terület (raktárak, szünetmentes tápegységeket tartalmazó helyiség): tartalékeszközök, mentési adathordozók, javításra váró eszközök stb. tárolására szolgáló hely;
d) zárt terület (szerverterem, mentések üzemeltetésére szolgáló helyiség, szünetmentes tápegységeket tartalmazó helyiség): szerverek elhelyezésére szolgáló terem; a különböző EIR-ek, illetve EIR-ek biztonsági mentését végrehajtó eszközök tárolására szolgáló helyiség.
171. Nem a Belügyminisztérium telephelyén történő közreműködői üzemeltetés során a közreműködővel megkötött szerződésben rögzíteni kell, hogy a közreműködő feleljen meg a védelmi kontrollintézkedésnek.
Felhasználói helyiségek védelme
172. Azokat a helyiségeket, ahol informatikai eszköz található, zárható ajtóval kell ellátni és a helyiségből való távozáskor minden esetben be kell zárni (a távozás időtartalmától függetlenül).
Informatikai raktárak védelme a felhasználói helyiségekre vonatkozó védelmi szabályokon túl (kiemelt területek)
173. Az informatikai eszközök raktáraiba az adott szakterület vezetőin kívül csak az informatikai tevékenységgel megbízott munkatárs vagy a közreműködői üzemeltetést végző szakember léphet be.
Szervertermek és mentések üzemelésére szolgáló helyiségek védelme a felhasználói helyiségekre és raktárakra vonatkozó védelmi szabályokon túl (zárt területek)
174. A belépés-kilépés szabályozására elektronikus kártyás beléptetési rendszert kell alkalmazni.
175. Áramszünet esetén az ajtónak kulccsal nyithatónak kell lenni.
176. A belépés-kilépés szabályainak betartását biztonsági esemény, incidens gyanúja esetén a biztonsági kamera felvételeinek megtekintésével kell ellenőrizni a felhasználói helyiségek és a raktárak kivételével. Minden, kamerarendszerrel felszerelt helyiségben történt tevékenységet egyértelmű és visszakereshető módon naplózni kell.
177. A szervertermek és a mentések üzemeltetésére szolgáló helyiséget füst- és tűzérzékelővel kell ellátni, amely egy állandóan felügyelt helyiségben riaszt.
178. A szervertermek és a mentések üzemeltetésére szolgáló helyiségekbe csak az annak üzemeltetéséhez elengedhetetlenül szükséges közműhálózat csatlakozhat, tehát a helyiségen nem mehet át víz-, gáz-, csatorna- és egyéb közművezeték. Felette és a határoló falfelületeken vizesblokkot tartalmazó helyiségrész nem lehet, nyomó és ejtőcsövek és gázvezetékek nem haladhatnak át.
179. Szervertermekbe, a mentések üzemeltetésére szolgáló helyiségekbe, raktárakba csak az arra dokumentáltan kijelölt személy, az ellenőrzést végzők, valamint a RERIFO által engedélyezett személy léphet be.
180. A helyiségekben kizárólag munkavégzés céljából szabad tartózkodni a munkavégzés idejéig.
181. A szervertermek, raktárak és a mentések üzemeltetésére szolgáló helyiség takarítása és a helyben végzett karbantartás csak közvetlen ellenőrzés mellett történhet.
182. A szervertermeket, mentések üzemeltetésére szolgáló helyiségeket raktárként használni tilos.
183. A helyiségek takarítása és karbantartása előtt gondoskodni kell az ott dolgozóknak arról, hogy a képernyőkön és a nyomtatókban illetéktelenekre nem tartozó adatok ne legyenek.
184. A helyiségeket (raktárhelyiségek kivételével) klímaberendezéssel kell ellátni. A klímaberendezést abban az esetben kell működtetni, ha a helyiségben 22 °C-os hőmérséklet csak a berendezés használatával biztosítható.
185. A szervertermek és a mentések üzemeltetésére szolgáló helyiség szünetmentes energiaellátás biztosítása szükséges.
Harmadik fél adatközpontja
186. A Belügyminisztérium valamely EIR-jét akkor lehet kihelyezni közreműködő adatközpontjába, ha a befogadó adatközpont adott EIR biztonsági osztálya által megkövetelt biztonsági kontrollkövetelménynek való megfelelőségről az IBF hitelt érdemlően meggyőződik.
187. A Belügyminisztérium EIR-jének közreműködő adatközpontjába való elhelyezése során olyan megállapodást kell kötni, amely a Belügyminisztérium számára biztosítja az EIR biztonsági osztályához kapcsolódó elvárásoknak való megfelelés helyszíni ellenőrzésének lehetőségét.
IV. FEJEZET
LOGIKAI VÉDELMI INTÉZKEDÉSEK
23. Általános logikai védelmi intézkedések
Engedélyezés, beszerzés, biztonsági tervezés és elemzés
188. Az engedélyezési eljárásrend az IBDR-ben meghatározott ütemezés alapján készül el, az abban feltüntetett felelős által. Az engedélyezés kiterjed az emberi, fizikai és logikai erőforrásra és az eljárási és védelmi szintre és folyamatra, valamint a külső EIR-hez való kapcsolódásra.
189. A Belügyminisztérium beszerzései, illetve a KEF-fel vagy NISZ-szel történő szerződéskötései során érvényesíteni kell a 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet előírásaiban foglaltakat.
190. A biztonságtervezési eljárásrend az IBDR-ben meghatározott ütemezés alapján készül el, az abban feltüntetett felelős által.
191. A Belügyminisztériumnak a közreműködővel megkötött szerződésének tartalmaznia kell, hogy az EIR közreműködőinek kell biztosítaniuk a Belügyminisztérium részére az EIR-hez tartozó Információbiztonsági architektúra leírást.
192. Az adatgazda / EIR felelős, az IBF és a közreműködő közösen határozza meg a szolgáltatások igénybevételéhez szükséges funkciókat, protokollokat, portokat és egyéb szolgáltatásokat.
193. Az EIR, rendszerelem vagy rendszerszolgáltatás közreműködő fejlesztője az oktatandó anyagot előzetes ellenőrzés szempontjából megküldi a Belügyminisztérium IBF-jének az itsec@bm.gov.hu e-mail-címre.
194. A Biztonságértékelési eljárásrend az IBDR-ben meghatározott ütemezés alapján készül el, az abban feltüntetett felelős által.
195. A Biztonságértékelési eljárásrendet évente felül kell vizsgálni az IBF koordinálásával, az adatgazda / EIR felelős, az IB és az üzemeltetési szakterület közreműködésével.
196. A Biztonságértékelési tervet az adott EIR közreműködője készíti el az IBF-fel közösen. A biztonságértékelési terv olyan dokumentum, amely részletesen leírja egy EIR biztonsági intézkedéseit és eljárásait, bizonyítékokkal alátámasztva.
197. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.5. Tesztelés, képzés és felügyelet alcím szerinti előírások végrehajtásáról a RERIFO gondoskodik.
Konfigurációkezelés
198. A konfigurációkezelési eljárásrend az IBDR-ben meghatározott ütemezés alapján készül el, az abban feltüntetett felelős által.
199. A konfigurációváltozásra vonatkozó változáskezelési eljárásrend az alábbi változástípusokat, kategóriákat határozza meg:
a) Standard változás: minden olyan, a Belügyminisztériumban alkalmazott EIR-en bekövetkezett konfigurációs változás, amely az EIR funkcionalitását és biztonságát (bizalmasság, sértetlenség, rendelkezésre állás) nem veszélyeztető frissítése, az EIR tervezője által dokumentáltan tesztelt (nem béta verziójú);
b) Normál változás: minden olyan, a Belügyminisztériumban alkalmazott EIR-en bekövetkezett konfigurációs változás, amely az EIR funkcionalitását és biztonságát (bizalmasság, sértetlenség, rendelkezésre állás) jelentősen befolyásoló frissítése, az EUR tervezője által dokumentáltan tesztelt (nem béta verziójú), fő- vagy alverziót érint;
c) Kritikus változás: minden olyan, a Belügyminisztériumban alkalmazott EIR tekintetében kiadott vagy tudomásunkra jutott nulladik napi (zero day), kritikus sérülékenység, amely jelentősen érinti az EIR funkcionalitását és biztonságát (bizalmasság, sértetlenség, rendelkezésre állás).
200. Tesztrendszerben éles adattal tesztelni nem engedélyezett, a személyes adat deperszonalizálva, célhoz kötötten átkerülhet éles rendszerből, és felhasználás után azonnal törlendő.
201. Az informatikai berendezések konfigurációs beállításait védeni kell a jogosulatlan, véletlen vagy rosszindulatú módosításoktól, ezeket minden esetben megfelelő szintű jogosultsághoz, felhasználóazonosításhoz kell kötni. A gyártói név / jelszó azonosítókat (default jelszavak) minden esetben meg kell változtatni, a változtatást az első használatbavételkor ki kell kényszeríteni, a gyártói azonosítókat a változtatás után törölni kell.
202. A legszűkebb funkcionalitás elvének gyakorlati megvalósítását a konfigurációs beállítások ellenőrzése során is vizsgálni kell. Az ellenőrzés eszközei lehetnek a következő módszerek:
a) telepített szoftvermodulok lekérdezése;
b) véletlenszerű mintavételes ellenőrzés egy adott konfiguráció esetén;
c) engedélyezett portok listájának összevetése a lekérdezésekkel.
203. A leltárkészítés során a 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.6.8. alpontjában foglalt előírások betartásán felül azt is ellenőrizni kell, hogy az EIR hatókörén belüli elemek nincsenek-e felvéve más EIR-ek leltárában.
204. Az EIR-ek tervezésekor és módosításaikor a konfigurációt úgy kell meghatározni, hogy az csak a szükséges és elégséges szolgáltatásokat nyújtsa. Ennek során tervezési elvként meghatározandók a tiltott vagy korlátozott, nem szükséges funkciók, portok, protokollok, szolgáltatások, szoftverek.
205. Automatizált mechanizmusok biztosítják, hogy a szervezet által meghatározott gyakorisággal a jogosulatlan hardver-, szoftver- és firmware elemek észlelése megtörténjen, illetve a leltár naprakész, teljes, pontos és állandóan rendelkezésre álló kezelésének támogatását. A jogosulatlan elemek észlelése esetén az üzemeltetési szakterületnek, illetve a Belügyminisztériummal kötött szerződés alapján az üzemeltetést végző közreműködőnek le kell tiltani az ilyen elemek általi hálózati hozzáférést, el kell őket különíteni, és értesíteni kell az illetékes személyeket.
206. Az EIR és rendszerelem leltárhoz csatolni kell az egyes elemek adminisztrálásáért felelős személyek nevét, pozícióját vagy szerepkörét.
207. Személyi számítógépeken, laptopokon csak licencjoggal rendelkező alkalmazások, szoftverek telepíthetők, futtathatók az arra jogosult felhasználók által. Biztosítani kell, hogy a felhasználó csak megfelelően kibocsátott és engedélyezett szoftververziókat használjon. Kizárólag csak annyi szoftver telepíthető, amennyi használata szükséges az adott felhasználó zavartalan munkavégzéséhez.
208. A konfigurációkezelési terv az IBDR-ben meghatározott ütemezés alapján készül el, az abban feltüntetett felelős által.
209. A RERIFO
a) felelős a szoftverhasználatot érintő korlátozások meghatározásáért;
b) dönt szabad (nyílt forráskódú) szoftverek vagy egyedi fejlesztésű célalkalmazások használatbavételéről. Ezen szoftvereket használatba vétel előtt biztonságos körülmények között tesztelni kell, különös tekintettel adatszivárgások megelőzésére vagy jogosulatlan adatkezelési, rendszermódosítási tevékenység felfedésére. Szoftverek telepítését csak a RERIFO üzemeltetéssel kapcsolatos tevékenységet végző munkatársai felügyeletével végezhetik a közreműködők;
c) leltárt vezet az alkalmazott szoftverekről.
210. A felhasználók a munkaállomásukról csak az előre telepített helyi vagy engedélyezett hálózati alkalmazásokat, erőforrásokat érhetik el. Ezen beállítások megváltoztatása a felhasználók számára tilos. A felhasználó részére átadott alapkonfiguráción a felhasználóknak engedély nélkül változtatni tilos. A felhasználók a munkájuk elvégzéséhez elengedhetetlenül szükséges, de a munkaállomásukra nem telepített alkalmazások telepítését a vezetőjük jóváhagyásával kérvényezhetik az informatikai szakterületnél, írásos formában.
211. A rendszeres karbantartásról az EIR üzemeltetője gondoskodik.
212. Az EIR üzemeltetője csatolja a következő információkat a karbantartási nyilvántartáshoz:
a) az EIR neve, azonosítója;
b) a karbantartás kezdő és befejező időpontja;
c) a karbantartó (és vállalkozó) azonosítója, cégneve;
d) a kísérő neve és beosztása;
e) az elvégzett karbantartás rövid leírása;
f) a következő karbantartás várható időpontja;
g) megjegyzés.
213. Az RBK az IBDR-ben meghatározott ütemezés alapján készül el, az abban feltüntetett felelős által.
24. Adathordozók védelme
214. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.8. Adathordozók védelme alcím szerinti előírások végrehajtásáról a RERIFO gondoskodik.
215. A RERIFO feladatai:
a) meghatározni az egyes adathordozó típusokhoz való hozzáférésre feljogosított szerepköröket, jogosítványuk tartalmát;
b) az adathordozókat – ahol fizikailag és logikailag értelmezhető – azonosítóval kell ellátni, és erről nyilvántartást kell vezetni;
c) a mentéseket tartalmazó adathordozók megőrzési idejét úgy kell megállapítani, hogy azokról a mentett adatok szükség esetén visszaállíthatók legyenek;
d) külső szervezetnek, közreműködőknek átadott adathordozóról bizonylatot kell készíteni a következő tartalmi elemekkel:
da) átadás-átvétel időpontja,
db) átadás célja,
dc) az átvevő intézmény és személy neve,
dd) az átadott adathordozó típusa, száma,
de) az adathordozó tartalmára vonatkozó meghatározás,
df) átvevő aláírása;
e) a közreműködőtől átvett adathordozót használat előtt vírusvédelmi ellenőrzésnek kell alávetni;
f) a kártékony kódot tartalmazó, nem mentesíthető adathordozót meg kell semmisíteni.
216. Az adathordozókat – azokat is, amelyek használaton kívül vannak – biztonságos helyen kell tárolni, vagy ha ezek a továbbiakban munkavégzésre nem alkalmazható példányok, meg kell semmisíteni.
217. Az EIR-hez kapcsolható adathordozók tárolása csak zárt helyiségben, minimum 30 perces tűzállósággal rendelkező tároló szekrényben történhet.
218. Az adathordozót vissza kell venni az alábbi esetekben:
a) fizikai elhasználódás, elromlás;
b) eszköz felhasználásának befejezése;
c) munkavégzés céljából létesített jogviszony megszűnése;
d) munkakörváltás.
219. Hibás adathordozók a Belügyminisztérium kezelésében lévő feleslegessé vált vagyontárgyakkal kapcsolatos selejtezési és hasznosítási feladatok szabályozásáról szóló 21/2010. (XII. 16.) BM utasítás alapján kerülnek megsemmisítésre. Ha az adathordozót a közreműködő elszállítja a Belügyminisztérium telephelyéről, az adatokat végérvényesen és visszaállíthatatlanul törölni kell az adathordozóról. Ha ez nem lehetséges, az adathordozót fizikailag meg kell semmisíteni olyan formában, hogy az alkalmatlanná váljon adatok kinyerésére.
220. Adathordozók tárolása kapcsán az alábbi szabályokat kell betartani:
a) nem minősített adathordozókat az Iratkezelési szabályzat előírásai szerint kell kezelni;
b) érzékeny információkat tartalmazó adathordozókat az Iratkezelési szabályzat, a Belügyminisztérium adatvédelmi, adatbiztonsági és közérdekű adat megismerésére vonatkozó szabályzatának kiadásáról szóló 25/2018. (XII. 28.) BM utasítás, valamint a Belügyminisztérium Biztonsági Szabályzatáról szóló 26/2014. (XII. 23.) BM utasítás szerint kell tárolni és kezelni;
c) tilos olyan adathordozó használata az EIR-ben, amelynek tulajdonosa nem azonosítható;
d) az eszközhasználatot a Belügyminisztérium az információfeldolgozó eszközeihez való csatlakoztatás után figyelheti, monitorozhatja minden előzetes értesítés nélkül;
e) az adathordozók használata információbiztonsági okokból korlátozható;
f) a felhasználó távolléte esetén tilos cserélhető adathordozót a munkaállomásában vagy ahhoz csatlakoztatva hagyni. A cserélhető adathordozót távozás előtt a munkaállomásról le kell csatlakoztatni, és az a) és b) pontban foglaltak szerint kell tárolni.
25. Azonosítás és hitelesítés
221. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.9. Azonosítás és hitelesítés alcím szerinti előírások végrehajtásáról a RERIFO gondoskodik.
222. Távoli hozzáférés kapcsán az alábbi előírásokat kell érvényesíteni:
a) a RERIFO kidolgozza és dokumentálja minden engedélyezett távoli hozzáférés típusra a felhasználásra vonatkozó korlátozásokat, a konfigurálási vagy a kapcsolódási követelményeket és a megvalósítási útmutatókat, és engedélyezési eljárást folytat le az EIR-hez történő távoli hozzáférés feltételeként;
b) a távoli hozzáféréseket a rendszer figyeli és ellenőrzi;
c) kriptográfiai mechanizmusokat kell alkalmazni a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére;
d) minden távoli hozzáférést felügyelt hozzáférés ellenőrzési ponton keresztül kell irányítani az EIR-ben.
223. A felhasználó gondoskodik arról, hogy a választott személyes jelszavai ne jussanak illetéktelen személyek tudomására.
224. Ha valamilyen okból a felhasználó jelszavát távolléte alatt kell megváltoztatni, azt a közreműködő vagy az IRO rendszergazda csak a szervezeti egység vezetőjének írásos utasításra teheti meg, amelyről az érintett felhasználót és az IBF-et írásban tájékoztatni kell.
225. A felhasználók jelszavainak létrehozásával kapcsolatos előírásokat külön eljárásrendben kell rögzíteni.
226. A felhasználó
a) a jelszó más számára történő felfedése vagy ennek valószínűsíthetősége esetén köteles azt haladéktalanul megváltoztatni;
b) nem adhatja ki jelszavait kollégáinak, még akkor sem, ha helyettesítési tevékenységet lát el távollétükben;
c) a részére – ha helyettesítést végez – a helyettesítés időintervallumára, a szervezeti egység vezetőjének engedélye alapján a helyettesített felhasználó postafiókja átirányítható;
d) a rendszergazda, közreműködő által beállított jelszót az első bejelentkezés alkalmával megváltoztatja;
e) a felhasználói jelszavakat 90 naponta megváltoztatja, a jelszó minimális élettartama 24 óra és három generációig visszamenőleg nem lehet azonos jelszót megadni, azaz három egymás után következő jelszó nem lehet azonos;
f) felelős a személyes jelszavai védelméért.
26. Hozzáférés ellenőrzése
227. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.10. Hozzáférés ellenőrzése alcím szerinti előírások végrehajtásáról az IRO gondoskodik.
228. Az alap informatikai hozzáférési jogosultságok (hálózati elérés, levelezés, Belügyminisztérium intranet hozzáférés) a munkavégzés céljából létesített jogviszony létrejötte után, ha a munkakör ellátásához szükséges, az erre a célra készült regisztrációs lap kitöltése, majd annak vezető által engedélyezett példányát a munkavégzés kapcsán illetékes szakterület részére megküldve, létrehozásra kerülnek a Belügyminisztérium felhasználói számára.
229. A jogosultsági rendszert a következő előírások szerint kell működtetni a Belügyminisztériumban:
a) az informatikai alkalmazásokhoz és erőforrásokhoz való hozzáférést a munkakörökhöz rendelt alkalmazás szerepkörök határozzák meg;
b) a felhasználókat szerepkörökhöz kell sorolni, az informatikai erőforrásokban pedig elemi jogosultságok halmazából profilokat kell kialakítani;
c) a felhasználók munkaköre meghatározza azt az „elsődleges” szerepkört, amelyet a jogosultsági rendszerbe fel kell venni;
d) a jogosultság megadása a szerepkörök és a profilok összerendelését jelenti;
e) a modell egységessége érdekében nem megengedett a felhasználó és erőforrásprofil közvetlen összerendelése, tehát a jogosultság kiadása minden esetben szerepkör alapú;
f) ha egy felhasználónak a szerepköreiből adódó jogosultságokon túl olyan jogot kell megadni, amely egyedi, és egyik meglévő szerepkör sem tartalmazza, olyan szerepkört kell definiálni, amely leképezhető egy adott erőforrás valamilyen jogosultságaira, és ahhoz kell a felhasználót hozzárendelni.
230. Ha egy felhasználó esetén igény jelentkezik az aktuális szerepkörstruktúrával nem lefedhető jogosultságra, el kell dönteni, hogy új szerepkör felvételével vagy kivételkezeléssel kell a jogosultságot megadni. A szakmai területtől érkező igény alapján az IBF dönt, majd döntéséről értesíti az érintetteket. A kijelölt fiókkezelő beállítja a felhasználói fiók paramétereit az IBF döntésének megfelelően.
231. A jogosultság-adatbázisban minden adatnak van felelős adatkezelője, aki az adott adatkör érvényességéért felelős. Az adatokat lehetőség szerint ott kell felvenni és karbantartani, ahol az adat forrása van. A szervezeti egység vezetői felelősek a felhasználói adatok megadásáért, melyek a következőek:
a) felhasználói alapadatok;
b) a felhasználó szerepkörei;
c) a szervezeti hierarchiában hol található a felhasználó.
232. A felettes vezető felelős az informatikai erőforrások és szerepkörökre vonatkozó adatok megadásáért, melyek a következők:
a) az informatikai erőforrás neve;
b) az informatikai erőforrás profiljainak neve;
c) szerepkörök és informatikai erőforrás profilok összerendeléséért a felettes vezető felelős, az esetleges összeférhetetlenségek jelzéséért az adatgazda a felelős.
233. Belépő felhasználó esetében az alap informatikai hozzáférési jogosultságok a munkavégzés céljából létesített jogviszony létrejötte után létrehozásra kerülnek a felhasználó egyedi felhasználói azonosítójához rendelve. A korábban használt, de már inaktív azonosító másik/új felhasználó részére nem osztható ki, beleértve az e-mail-címeket is.
234. Meglévő hozzáférési jogosultság módosításának igénylése a következők szerint történik:
a) a szervezeti egységen belüli felhasználói munkakörváltozásokért, ennek megfelelően a kapcsolódó hozzáférési jogosultságok módosítási igényléséért, törléséért, azok bejelentéséért a szervezeti egység vezetője felelős;
b) a felhasználó két szervezeti egység közötti áthelyezése esetén a felhasználó részére csak az új beosztásának megfelelő jogosultságokat engedélyezett kérvényezni, melynek felelőse az új szervezeti egység vezetője;
c) a korábbi beosztásából adódó, már nem szükséges rendszerjogosultságokat meg kell szüntetni, amit az előző szervezeti egység vezetőjének kell kérelmeznie;
d) a munkaállomásokkal kapcsolatos hardver-eszközmozgásokat és szoftvertelepítéseket a közreműködőnek is jelezni kell.
235. Informatikai hozzáférési jogosultsági kérelmek beállítása a következők szerint történik:
a) a kijelölt rendszergazda, közreműködő a beállítást csak akkor végezheti el, ha a jogosultságigénylő felületén az adatkezelő a hozzájárulást megadta;
b) a felhasználó munkavégzés céljából létesített jogviszonyának vagy megbízásának megszűnésekor a szervezeti egység vezetőjének kell a jogosultságok megszüntetését kérelmeznie;
c) a jogosultság felfüggesztését kell kérnie a szervezeti egység vezetőjének, ha az érintett felhasználó előreláthatólag huzamosabb ideig (legalább 45 nap) nem fogja használni az informatikai erőforrást;
d) az informatikai erőforrások használatához szükséges inaktív felhasználói fiók 45 nap után automatikusan zárolásra kerül.
236. Ideiglenes jogosultságok kiadása a következők szerint történik:
a) ideiglenes jogosultság kizárólag határozott időre, legfeljebb 6 hónapra adható;
b) a helyettesítés abban különbözik a módosítástól, hogy a helyettesítés során kapott jogosultságoknak a helyettesítés végeztével az eredeti állapotra kell visszaállniuk. Helyettesítés nem végezhető a jogosultságok, az ahhoz tartozó azonosítók átruházásával;
c) a helyettesítés során vizsgálni kell, hogy az igényelt jogosultságok nem összeférhetetlenek-e a már meglévőkkel. A vizsgálat lefolytatása a szervezeti egység vezetőjének a feladata és felelőssége. Olyan személy végezheti a helyettesítést, akinek jogosultsága nem összeférhetetlen a helyettesítés idejére szükséges jogosultsággal;
d) az igénylési folyamat megegyezik a módosításigénylés folyamatával, de az eredeti állapot visszaállításának időpontját kötelezően meg kell adni;
e) az EIR helyettesítés során is egyedileg azonosítja és hitelesíti a Belügyminisztériumon kívüli felhasználókat és tevékenységüket;
f) közreműködő részére csak ideiglenes jogosultság adható;
g) közreműködő részére csak abban az esetben adható ideiglenes jogosultság, ha a közreműködő jogviszonyban áll a Belügyminisztériummal, és rendelkezik aláírt titoktartási nyilatkozattal;
h) közreműködő részére jogosultságot a szerződést kezdeményező szervezeti egység vezetője igényelhet. Az ideiglenes jogosultság igénylésének folyamata megegyezik az új hozzáférési jogosultság igénylésének folyamatával. Az igényléskor az ideiglenes hozzáférési jogosultság érvényességének idejét kötelezően meg kell adni;
i) az EIR csak az NMHH elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítésszolgáltatók által kibocsátott tanúsítványokat fogadhatja el a Belügyminisztériumon kívüli felhasználók hitelesítéséhez.
237. Az EIR a legkisebb jogosultság elvét alkalmazza, azaz a felhasználók – vagy a felhasználók tevékenysége – számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket engedélyezi.
238. Privilegizált jogosultságok kiadása és kezelése a következők szerint történik:
a) privilegizált jogosultságok elkészítéséhez és kiadásához az IBF jóváhagyása szükséges;
b) az EIR többtényezős (2FA) hitelesítést alkalmaz a különleges jogosultsághoz kötött – úgynevezett privilegizált – felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez;
c) privilegizált jogosultságot a közreműködők feladatellátói kaphatnak;
d) az EIR megakadályozza, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági ellenintézkedések kikapcsolását, megkerülését vagy megváltoztatását;
e) a meghatározott privilegizált parancsok hálózaton keresztüli elérését csak meghatározott üzemeltetési szükséghelyzetben lehet engedélyezni, és az ilyen hozzáférések indokolását dokumentálni kell a rendszerbiztonsági tervben. Privilegizált parancsok csak meghatározott munkaállomásokról, terminálokról, szegmensekről és IP-címekről adhatóak ki, mely munkaállomások/terminálok helyiségei fizikai hozzáférés szempontjából normáltól eltérő szintű besorolást kapnak.
239. Az EIR a megfelelő szabályzatokkal összhangban érvényesíti a jóváhagyott jogosultságokat az információkhoz és az EIR erőforrásaihoz való logikai hozzáféréshez.
240. A mobil eszközökre megállapított engedélykötelezettség nem vonatkozik a levelezés szolgáltatásra.
27. Rendszer- és információsértetlenség
241. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.11. Rendszer- és információsértetlenség alcím szerinti előírások végrehajtásáról és jelen alcímben foglaltak végrehajtásáról az IRO gondoskodik.
242. Kártékony kódok elleni védelem érdekében az alábbi előírásokat kell betartani:
a) A Belügyminisztériumban többféle, a kártékony kódok, vírusok és egyéb nemkívánatos mobilkódok (pl. cookie) ellen védekezési, figyelemmel kísérési és reagálási módszereket kell alkalmazni közreműködő igénybevételével. A védelmi rendszer minimális elemei:
aa) kizárólag jogtiszta szoftverek használata, ellenőrizhető forrásból, kialakítva az alapinfrastruktúrát a közreműködő által tulajdonlott eszközökön,
ab) tűzfalas védekezés kialakítása a közreműködő által (internet kijáratokon kívül a laptopokon kötelezőként beállítandó),
ac) internetre és levelezésre kiterjedő tartalomszűrés kialakítása,
ad) kéretlen levél (spam) elleni védelem,
ae) vírusvédelmi rendszer kialakítása.
b) Az EIR-ek biztonságos üzemeltetéséhez a közreműködő üzemeltető gondoskodik a vírusvédelmi rendszer kialakításáról és működtetéséről. Valamennyi számítógépre telepíteni kell a vírusvédelmi rendszert, illetve a felügyeleti védelmi rendszert, és azt folyamatosan működtetni kell.
c) A vírusvédelmet naprakészen kell tartani a vírusadatbázis-frissítések automatikus letöltésével, továbbá védelmi programok szükség szerinti frissítésével.
243. Az EIR felügyeletét a közreműködővel együtt kell ellátni. Az adatkezelő felelőssége, hogy az egyes EIR-ek felügyeleti információi meghatározott gyakorisággal átvizsgálásra kerüljenek.
244. Biztosítani kell, hogy az EIR riassza a Belügyminisztérium és a közreműködő illetékes személyeit, csoportjait, amikor veszélyeztetés vagy lehetséges veszélyeztetés előre meghatározott jeleit észleli.
245. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.11. Rendszer- és információsértetlenség alcím 3.3.11.6. pontja szerinti előírások végrehajtása az IBF feladata.
28. Naplózás és elszámoltathatóság
246. A Belügyminisztérium informatikai infrastruktúrájában minden informatikai eszköz potenciális naplóforrás. A naplózások szintje, minősége, gyakorisága konfigurálható.
247. Dobozos termékek esetén mindig az adott termék (pl. operációs rendszer, hardver vagy szoftver) gyártójának ajánlását, legjobb gyakorlatát kell követni, ha az nem áll ellentétben a jogszabályi előírásokkal.
248. Ha egy egyedi fejlesztésű termékben lehetőség van a naplózási szintek, illetve naplózási beállítások módosítására, úgy az élesítés előfeltétele, hogy a minimálisan elvárt beállítási szint meghatározásra kerüljön. Ettől a beállítástól eltérni csak az IBF és az informatikai szakterület vezetőjének együttes írásos engedélye alapján lehetséges. Minden EIR és rendszerelem üzemeltetési kézikönyvében meg kell adni, hogy az adott EIR-nél vagy rendszerelemnél az egyes események milyen tartalommal lesznek naplózva. A naplóállományok tartalmának megadásakor azt is fel kell sorolni, hogy az egyes tartalmak milyen értékeket vehetnek fel, és az egyes értékeknek mi a jelentésük.
249. Naplózható események kapcsán a következő előírásokat kell betartani:
a) a naplózható és naplózandó események szabályozása EIR-ekre vonatkozóan egyedileg történik. Ezeket az általános elvárások szintjén a követelményspecifikációkban kell rögzíteni;
b) az elkészült EIR naplózási eseményeinek naplóba kerülését teszteléssel kell ellenőrizni az élesbe állítást megelőzően;
c) a naplózási eljárásrendben dokumentálni kell a naplózható és naplózandó eseményeket, amelyet az adott EIR üzemeltetési, illetve felhasználói dokumentációiban szükséges rögzíteni;
d) a naplózható és naplózandó események részletes tartalmi elemeit Naplózási eljárásrendben kell szabályozni, mely dokumentumot az IBF és az üzemeltetési szakterület tart karban.
250. A naplóbejegyzések tartalmának meghatározása az EIR-ekre vonatkozóan egyedileg történik. Ezeket az általános elvárások szintjén a követelményspecifikációkban kell rögzíteni. Az EIR a naplóbejegyzésekben gyűjtsön be elegendő információt ahhoz, hogy ki lehessen mutatni, hogy milyen események történtek, mikor történt az esemény, hol történt az esemény, miből származtak ezek az események, és mi volt ezen események kimenetele, az eseményhez köthető személyek, alanyok és objektumok felderíthetőek legyenek.
251. Az elkészült EIR naplózási adattartalmát teszteléssel kell ellenőrizni az élesbe állítást megelőzően.
252. A naplóbejegyzések elvárt adattartalmát dokumentálni kell a Naplózási eljárásrendben foglaltak szerint.
253. A naplózásra elegendő méretű tárkapacitást kell biztosítani a naplózási funkciók figyelembevételével. A tárkapacitás igényét az EIR közreműködő fejlesztője adja meg. Mind az új EIR, mind a már meglévő, de verzióváltás esetén történő esetleges kapacitásbővítésről, illetve jogszabályváltozás miatt fennálló változásról az érintetteket tájékoztatni kell. A közreműködő üzemeltető HLD dokumentumot biztosít a napló tárkapacitás megjelenítésére.
254. A naplóbejegyzések csökkentése és a jelentéskészítés támogatja az igény esetén végzendő napló-felülvizsgálati, naplóelemzési és jelentéstételi követelményeket, valamint a biztonsági eseményeket követő tényfeltáró vizsgálatokat, de a folyamat nem változtathatja meg a naplóbejegyzések eredeti tartalmát és időrendjét.
255. Szerveren a naplóállományok a meghatározottak szerint mentésre kerülnek. A rendelkezésre álló tárkapacitást a közreműködő üzemeltetés rendszeresen ellenőrzi, fejlesztés adatai alapján. A naplózási tárkapacitást rögzíteni kell a Rendszerbiztonsági tervben is.
256. Az EIR-ekben meg kell valósítani, hogy naplózási hiba esetén automatikusan riasztást küldjön az üzemeltetésért felelős szakterületnek és a közreműködőnek, aki riasztja az IBF-et és az informatikai szakterületet.
257. A naplóbejegyzéseket meghatározott gyakorisággal el kell menteni, egy, a naplóállomány keletkezési helyétől fizikailag elkülönülő rendszerre vagy rendszerelemre.
258. A naplóbejegyzéseket 1 évig meg kell őrizni a biztonsági események, incidensek utólagos kivizsgálásának biztosítása érdekében. A megőrzési határidőt tartalmaznia kell a közreműködővel kötött szerződésnek.
259. Az EIR naplóbejegyzéseit a nem megfelelő vagy szokatlan tevékenységre utaló jelek és az ilyen tevékenységek lehetséges hatásai szempontjából folyamatosan vizsgálni és elemezni kell.
260. Módosítani szükséges a naplóbejegyzések felülvizsgálatának, elemzésének és jelentésének szintjét, amennyiben hiteles információk és információforrások alapján biztonsági kockázat értéke változik.
261. A Belügyminisztériumnak a NISZ-szel megkötött szerződésének tartalmaznia kell, hogy a különböző tárhelyeken található naplóbejegyzéseket a teljes szervezetre kiterjedő helyzetfelismerés érdekében össze kell kapcsolni és elemezni kell, ami a NISZ feladata.
262. A naplók megvalósítását és lekérdezhetőségét úgy kell lehetővé tenni, hogy az IBF, az EIR felelős/adatgazda és a közreműködő közösen kiválasztja, hogy mely naplózható események legyenek naplózva az EIR egyes elemeire, valamint, hogy megváltoztassák az egyes rendszerelemekre végrehajtandó naplózást a kiválasztott eseménykritériumok alapján, meghatározott időtartamon belül.
29. Rendszer- és kommunikációvédelem
263. A 41/2015. (VII. 15.) BM rendelet 4. melléklet 3.3. Logikai védelmi intézkedések fejezet 3.3.13. Rendszer- és kommunikációvédelem alcím szerinti előírások végrehajtásáról a közreműködővel kötött szerződés alapján a közreműködő gondoskodik.
264. A túlterheléses (úgynevezett szolgáltatás megtagadás) jellegű támadásokkal szemben a Korai Jelző Rendszert (EWS) kell alkalmazni, ahol lehetséges.
265. Demilitarizált zónákban kell elhelyezni azokat az informatikai eszközöket (szervereket, védelmi eszközöket stb.), amelyeknek mind az internet felől, mind a belső hálózat felől kiemelt védelmet kell biztosítani. A határvédelmi eszközöknek meg kell határozni az optimális életciklusát, amelyen belül még megfelelő védelmet nyújt. A megállapított életciklus leteltével a határvédelmi eszköz fejlesztése szükséges. Az életcikluson belül a határvédelmi eszközök biztonsági frissítéseit (esetleg szignatúra frissítéseit) rendszeresen el kell végezni. Biztosítani kell, hogy a határvédelmi eszközökhöz csak privilegizált, kiemelt felhasználók (erre a célra kijelölt rendszergazdák) férjenek hozzá. A határvédelmi eszközökön minden kritikus tevékenységet naplózni kell.
266. Az EIR-ekben a névfeloldási szolgáltatását úgy kell kialakítani, hogy a hiteles forrást biztosító DNS kiszolgáló (autoritatív DNS) kriptográfiai megoldással kiegészített biztonságos tranzakciókat valósítson meg a név/cím feloldási kérésekre adott hiteles adatokon kívül az információ eredetére és sértetlenségére vonatkozóan. Az EIR eredethitelesítést és adatsértetlenség ellenőrzést kér és hajt végre a hiteles forrásból származó név/cím feloldó válaszokra. Az EIR-ekben a névfeloldási szolgáltatást képező rekurzív DNS kiszolgálónak kriptográfiai megoldással kiegészített, biztonságos tranzakción alapuló eredethitelesítést kell kérnie, illetve megvalósítania az autoritatív DNS kiszolgálótól érkező válaszokra.
267. Azok az EIR-ek, amelyek együttesen biztosítanak név/cím feloldási szolgáltatást a Belügyminisztérium számára, hibatűrők és belső/külső szerepkör szétválasztást valósítanak meg. A külső és a belső szerepköröket szét kell választani, azaz külön DNS kiszolgálót kell alkalmazni a belső hálózat kiszolgálására, és külön kiszolgálónak kell ellátnia az internetes DNS kiszolgálókkal történő kapcsolattartást.
1. függelék
EIR pontos neve |
EIR rövid bemutatása, kezelt adatok mennyisége |
Biztonsági osztály (bizalmasság) |
Biztonsági osztály (sértetlenség) |
Biztonsági osztály (rendelkezésre állás) |
Adatgazda / |
---|---|---|---|---|---|
A 3. § a 2010. évi CXXX. törvény 12. § (2) bekezdése alapján hatályát vesztette.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás