📄 Jogszabály szövege
7/2015. (X. 30.) NVI utasítása a Nemzeti Választási Iroda Informatikai Biztonsági Szabályzatáról.
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés f ) pontjában
foglalt hatáskörömben eljárva – figyelemmel a jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjára –
a következő utasítást adom ki:
I. Fejezet
Alapvető rendelkezések 1. Értelmező rendelkezések 1. § Ezen utasítás alkalmazásában:
1. adatállomány: az elektronikus információs rendszerben logikailag összetartozó, együtt kezelt adatok;
2. adatátvitel: az adatok elektronikus információs rendszerek, rendszerelemek közötti továbbítása;
3. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;
4. alkalmazás: olyan program, amelyet az alkalmazó saját speciális céljai elérése érdekében vezet be, és amely
a hardver- és az üzemi rendszer funkcióit használja;
5. behatolás: védett elektronikus információs rendszerbe jogosulatlan belépés a védelem megkerülésével vagy
védelmi hiba kihasználásával;
6. bejelentkezés: a felhasználó által kezdeményezett olyan logikai kapcsolat, amelynek eredményeképpen
az elektronikus információs rendszer funkcióinak használata lehetővé válik;
7. biztonság: a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely zárt, teljes körű,
folytonos és a kockázatokkal arányos védelmet valósít meg;
8. biztonsági követelmények: a kockázatelemzés eredményeként megállapított, elfogadhatatlanul magas
kockázattal rendelkező fenyegető tényezők ellen irányuló biztonsági szükségletek együttese;
9. biztonságos adattörlés: olyan szoftveres eljárás, amely megvalósítja a DoD 5220.22 szabványban adathordozó
típusonként előírt felülírási eljárásokat, jegyzőkönyvben rögzíti a felülírási eljárás típusát, sikerességét,
időpontját, illetve az adathordozó azonosítóját;
10. érzékeny adat: olyan adat, amely az információbiztonság szempontjából a sérülékenység és a fenyegetettség
ténye alá esik;
11. funkcionalitás: az elektronikus információs rendszerelem (ideértve az adatot is) tulajdonsága, amely arra
vonatkozik, hogy a rendszerelem a felhasználói céloknak megfelel és használható;
12. hozzáférés: olyan eljárás, amely valamely elektronikus információs rendszer használója számára elérhetővé tesz
a rendszerben adatokként tárolt információkat;
13. illetéktelen személy: olyan személy, aki az adat megismerésére nem jogosult;
14. informatikai központ: azon helyiségek, amelyek működő szerverek és hálózati elosztó elemek elhelyezésére és
működtetésére szolgálnak, kivéve azon egyéb helyiségeket, amelyekben zárt, kulccsal biztosított rack szekrény
található;
15. jelszó: védett karakterfüzér, amely a felhasználói névvel együtt használva a felhasználót azonosítja;
16. katasztrófaelhárítási terv: az elektronikus információs rendszer rendelkezésre állásának megszűnése vagy
nagymértékű csökkenése utáni visszaállításra vonatkozó terv, amely globális helyettesítő megoldásokat ad
megelőző és elhárító intézkedésekre, amelyekkel a bekövetkezett katasztrófaesemény után az elektronikus
információs rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható;
17. kiesési idő: az elektronikus információs rendszer leállásától a következő elérési lehetőségig eltelő idő;
18. kriptográfia: mindazoknak az eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak a kutatását,
alkalmazását jelenti, amelyek az információ bizalmasságát, hitelességét vagy sértetlenségét hivatottak
megvédeni;
19. kulcs: a kriptográfiában a kódolás és a megfejtés műveleteihez használt szimbólumok sorozata;
20. külső fél: az a természetes vagy jogi személy, amely a Nemzeti Választási Irodával (a továbbiakban: Iroda) kötött
szerződéses kapcsolat keretében, az Iroda által kezelt vagy felügyelt területen az Iroda megrendelésére
informatikával, információtechnológiával, elektronikus információbiztonsággal kapcsolatos munkát vagy
tevékenységet végez;
21. program: a számítógépes utasítások logikailag és funkcionálisan összetartozó sorozata;
22. rendszerelemek: az adatokat körülvevő, az elektronikus információs rendszer részét képző összetevők;
23. rendszergazda: az elektronikus információs rendszer részét képező alkalmazások használatát és felügyeletét
végző személy;
24. üzemeltető: az Irodával jogviszonyban álló természetes személy, jogi személy vagy egyéni vállalkozó, aki
az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős;
25. támadás: védett érték megszerzésére, megsemmisítésére, károkozásra irányuló cselekmény;
26. üzletmenet-folytonossági terv: az üzletmenet fenntartása érdekében teendő intézkedések összessége, ha
az adott üzleti folyamat vagy alkalmazás végrehajtása, működtetése valamilyen természeti vagy ember által
okozott katasztrófa miatt akadályba ütközik;
27. vírus: olyan programtörzs, amely a megfertőzött program alkalmazása során másolja, esetleg mutálja is
önmagát, és amely többnyire komoly károkat okoz, adatot töröl, formázza a merevlemezt, vagy
adatállományokat küld szét e-mailben.
2. Az utasítás célja, hatálya és felülvizsgálata 2. § Az utasítás célja, hogy az Iroda elektronikus információs rendszerének (a továbbiakban: elektronikus információs
rendszer) működtetése, üzemeltetése, fejlesztése során, valamint az informatikai szolgáltatási területen biztosított
legyen
a) az adatvédelmi előírások és az információbiztonsági követelmények érvényesülése,
b) a kezelésében lévő adatok megóvása a jogtalan adatfelhasználástól és adatvesztéstől,
c) a folyamatos informatikai üzembiztonság fenntartása,
d) az informatikai vagyon védelme és megőrzése, valamint
e) az informatikai hálózat integritása.
3. § (1) Az utasítás hatálya kiterjed az Iroda tulajdonában, kezelésében lévő valamennyi elektronikus információs rendszerre
és azok elemeire, az általa használt alkalmazásokra, adatbázisokra, hálózatokra, hálózati elemekre, kiegészítő
informatikai eszközökre, valamint az általa keletkeztetett, feldolgozott, tárolt, továbbított valamennyi adatra és
információra, függetlenül azok megjelenési formájától. Idegen vagy vegyes tulajdonú, illetve kezelésű eszközök,
rendszerek használata során figyelembe kell venni a külső fél azokra vonatkozó rendelkezéseit és előírásait, illetve
az érvényes megállapodásokat.
(2) Az utasítás hatálya kiterjed az Iroda közszolgálati vagy egyéb jogviszonyban foglalkoztatott munkatársaira
(a továbbiakban: munkatárs), az Iroda valamennyi szervezeti egységére, továbbá – amennyiben ez külön
megállapodásban rögzítésre kerül – az elektronikus információs rendszernek üzemeltetőjére, fejlesztőjére, valamint
a külső felekre.
4. § (1) Az elektronikus információs rendszer biztonságáért felelős személy ezen utasítást évente legalább egy alkalommal
felülvizsgálja, ennek keretében megfelelőségi vizsgálatot végez, és szükség esetén ezen utasítás módosítását
kezdeményezi az Iroda elnökénél (a továbbiakban: elnök).
(2) A megfelelőségi vizsgálat kiterjed ezen utasítás végrehajtásának, valamint a felmerülő informatikai,
információbiztonsági és adatvédelmi eseményeknek és az ezekkel összefüggő biztonsági tevékenységeknek
az ellenőrzésére.
3. Az utasítás végrehajtása 5. § Az egyes elektronikus információs rendszereket úgy kell kialakítani és beállítani, hogy azok megfeleljenek az ezen
utasításban foglalt követelményeknek.
4. A végrehajtás során érvényesülő általános szabályok 6. § (1) Az elektronikus információs rendszer, rendszerelem használója kizárólag munkatárs vagy az Irodával szerződéses
jogviszonyban álló személy lehet, aki a munkavégzéshez szükséges mértékű felhasználói szintű informatikai
ismeretekkel rendelkezik, ezen utasítás rendelkezéseit megismerte, és hozzáférési jogosultságot kapott az elektronikus
információs rendszerek használatához (a továbbiakban: felhasználó).
(2) Az elektronikus információs rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható és akadálymentes
működés, az egyes rendszerelemek funkcionalitásuknak megfelelő zavartalan és folyamatos üzemelése.
(3) Az Iroda székházában az Iroda számára létrehozott logikai hálózathoz csatlakozó vagy az Iroda által engedélyezett
hálózatba nem kötött infokommunikációs eszközök rendeltetésszerűen, munkavégzés céljából, az Iroda érdekeinek
szem előtt tartásával, az Iroda által meghatározott módon, a felhasználó felelősségére használhatóak. Az eszközöket
ettől eltérő célra – különösen magáncélra – használni nem lehet.
(4) A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és
szoftverintegritását. Az integritás sérelmének minősül a rendeltetésellenes használat, továbbá a hardveres vagy
szoftveres módosítás.
(5) Tilos más felhasználó azonosítójával az elektronikus információs rendszerbe bejelentkezni, illetve más részére
bejelentkezési hozzáférést átadni.
(6) A nem az Iroda tulajdonát képező infokommunikációs eszközt engedély nélkül az Iroda informatikai infrastruktúrájába
csatlakoztatni tilos, kivéve az olyan adathordozó eszközöket, amelyek munkavégzés céljából kerülnek alkalmazásra,
és az elektronikus információs rendszer biztonságáért felelős személy általi előzetes engedélyezésük megtörtént.
5. Titokvédelem és adatvédelem során érvényesülő szabályok 7. § (1) Az elektronikus információs rendszerekről és eszközökről kizárólag az elnök szolgáltathat adatokat.
(2) Az elektronikus információs rendszerek bevezetésében és felhasználásában közreműködő külső fél munkatársai és
vezetői az Irodánál rendszeresített titoktartási nyilatkozat tételére kötelesek, vagy az Iroda és a külső fél közötti
jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási kötelezettségéről. A titoktartási
kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel kapcsolatos, illetve ezek bevezetése során
tudomásukra jutó valamennyi információra.
(3) Külső fél munkavégzése során a szükséges és elégséges hozzáférés elve alapján
a) kizárólag a feladat ellátásához szükséges hivatali adat, információ megismerésére, továbbá
b) az adat- és rendszerhozzáférésre a munkavégzéséhez szükséges lehető legrövidebb ideig és szükséges
legkisebb jogosultsági szint alkalmazásával
jogosult. 6. Információbiztonsági általános szabályok
8. § (1) Az elektronikus információs rendszer részét képező adathordozókról – a munkahelyi célú felhasználás kivételével –
tilos az Iroda által kezelt, bizalmas adatot tartalmazó adatállományok, illetve a munkavégzés során szerzett egyéb
adatok, információk másolása, illetéktelen személyekkel történő megismertetése vagy más, nem az utasítás hatálya
alá tartozó elektronikus információs rendszerekbe történő eljuttatása.
(2) Az infokommunikációs eszközök elhelyezése és tárolása során biztosítani kell az információ illetéktelen hozzáférésének
megakadályozását.
(3) Adatok átadásánál az adatok titkosításával, a titkosítás feloldásához szükséges kulcs független, biztonságos csatornán
történő átadásával kell biztosítani az adatok bizalmasságát, illetéktelen személyek hozzáférésének megakadályozását.
Az adatátadásokat minden esetben átadás-átvételi jegyzőkönyv kitöltésével kell igazolni.
(4) Adatfeldolgozás során a hardver- vagy szoftverhibából eredő adatvesztés gyanúja esetén – az adatfeldolgozás
szüneteltetése mellett – haladéktalanul értesíteni kell az elektronikus információs rendszer biztonságáért felelős
személyt. A hiba elhárítását követően az üzemeltető útmutatása szerint kell folytatni az adatrögzítést, illetve
adatfeldolgozást.
(5) Az alkalmazások használata során az adatok felvitelét, módosítását, törlését kizárólag csak az elektronikus információs
rendszer biztonságáért felelős személy által elfogadott alkalmazással, eljárással – szigorúan követve a felhasználói
dokumentáció útmutatását – lehet elvégezni.
(6) Az elektronikus információs rendszerekhez és a bennük tárolt adatokhoz való hozzáférési jogosultság dokumentált
engedélyeztetése útján kell gondoskodni arról, hogy jogosulatlan felhasználó azokat ne módosíthassa, és ne
törölhesse. A mentések és archívumok tárolása és őrzése során is biztosítani kell az adatok bizalmasságát, sértetlenségét
és rendelkezésre állását, valamint az adatmegőrzési idő lejártakor az adatok biztonságos megsemmisítését.
7. Kiemelt rendelkezésre állási időszakok kezelése 9. § (1) Az országgyűlési képviselők általános választása, az Európai Parlament tagjainak választása, az önkormányzati
képviselők és polgármesterek, illetve a nemzetiségi önkormányzati képviselők általános választása, valamint országos
népszavazás kitűzésétől az eredmény megállapításának jogerőssé válásáig tartó időszak, továbbá az elnök által
egyedileg meghatározott időszak kiemelt rendelkezésre állási időszak (a továbbiakban: kiemelt rendelkezésre állási
időszak).
(2) Kiemelt rendelkezésre állási időszakra vonatkozóan az elnök jogosult elrendelni kiemelt üzemeltetési szolgálatot
(a továbbiakban: szolgálat), amelynek feladata, hogy a kiemelt rendelkezésre állási időszakban a legrövidebb időn
belül a felmerülő hiba
a) diagnosztizálása,
b) javítása, valamint
c) szükség esetén a tartalékmegoldások azonnali üzembe állítása
megtörténjen.
(3) A szolgálat katasztrófahelyzetben az Iroda üzletmenet-folytonossági terve és katasztrófaelhárítási terve alapján jár el.
(4) A szolgálatot úgy kell megszervezni, hogy biztonsági incidensek vagy azok gyanúja esetén a szolgálat képes legyen
a legnagyobb kockázatot jelentő biztonsági incidensek azonnali kezelésére is.
10. § (1) A kiemelt rendelkezésre állási időszakra vonatkozóan dokumentálni kell az ezen utasítástól eltérő követelményeket és
rendkívüli intézkedéseket, amelyeket az elnök hagy jóvá.
(2) A kiemelt rendelkezésre állási időszakban az ezen utasítás hatálya alá tartozó informatikai központokba kizárólag
a szolgálatban részt vevő személyek léphetnek be.
II. Fejezet
Az informatikai biztonság rendje 8. Informatikai biztonsági feladat-, felelősségi és kompetenciakörök
11. § (1) Az informatikai biztonság szempontjából kritikus eljárások irányítási feladatköreit úgy kell kialakítani, hogy azok több
munkakörhöz kapcsolódjanak a lehetséges visszaélések elkerülése érdekében.
(2) Az informatikai biztonsággal kapcsolatos ellenőrzési feladatokat el kell különíteni az infokommunikációs rendszerek
üzemeltetési tevékenységétől.
(3) Az (1) és (2) bekezdésben foglalt követelmények teljesülését évente az ellenőrzési terv alapján az elektronikus
információs rendszer biztonságáért felelős személy ellenőrzi.
12. § (1) Az elektronikus információs rendszer biztonságáért felelős személy
a) minden év január 31. napjáig éves ellenőrzési tervet készít,
b) az elnök által elfogadott éves ellenőrzési terv alapján elvégzi a biztonsági ellenőrzést,
c) az ellenőrzés során tapasztaltak alapján intézkedik, illetve javaslatot tesz a hibák vagy a nem megfelelő
működés kijavítására,
d) a végrehajtott ellenőrzésekről minden év december 31. napjáig jelentést készít az elnök részére,
e) ellenőrzi a hozzáférési jogosultságok rendszerét, felhasználóhoz rendelésük megfelelőségét,
f ) részt vesz az elektronikus információ biztonsággal kapcsolatos vezetői döntések előkészítésében,
g) kivizsgálja az informatikai tárgyú biztonsági eseményeket,
h) a biztonsági eseményekről tájékoztatja az elnököt,
i) együttműködik az információbiztonság megvalósításában részt vevő informatikai, információbiztonsági
munkatársakkal, valamint külső felekkel,
j) szükség esetén kezdeményezi ezen utasítás 1. mellékletének módosítását,
k) elkészíti az Iroda, illetve annak önálló szervezeti egysége részére előírt biztonsági szint eléréséhez szükséges
feladatokat tartalmazó intézkedési tervet,
l) elkészíti az üzletmenet-folytonossági tervet és katasztrófaelhárítási tervet,
m) elkészíti az informatikai biztonsági felhasználói szabályzatot,
n) az információbiztonság érdekében összehangolja az információbiztonságot meghatározó vagy azt befolyásoló,
az Iroda önálló szervezeti egysége vagy külső fél által ellátott tevékenységeket,
o) kivizsgálja az elektronikus információs rendszerekben kezelt adatok rendelkezésre állását, bizalmasságát,
sértetlenségét érintő rendkívüli biztonsági eseményeket, javaslatot tesz az elnöknek további intézkedésekre,
p) értékeli az elektronikus információs rendszerek eseménynaplóit,
q) ellenőrzi a kártékony kódok elleni védelmi megoldások használatát,
r) ellenőrzi az elektronikus információs rendszerekre vonatkozó dokumentációk meglétét és megfelelőségét,
s) ellenőrzi a vonatkozó információbiztonsági követelményeket az elektronikus információs rendszerek fejlesztési,
üzemeltetési és alkalmazási dokumentációiban,
t) amennyiben a kibertérből érkező új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések
megtételét tartja szükségesnek, kezdeményezi a védelem erősítését,
u) javaslatot tesz az információbiztonság tudatosítását erősítő képzésre, továbbképzésre,
v) a biztonsági események jelentését követően elvégzi az esemény kivizsgálásához szükséges információk
összegyűjtését,
w) felméri az elektronikus információs rendszerekben kezelt adatok rendelkezésre állását, bizalmasságát,
sértetlenségét érintő lehetséges kockázatokat, és az elnök jóváhagyását követően a felmérésnek megfelelő
biztonsági területeket jelöl ki, valamint
x) ellátja az ezen utasításban vagy az elnök által egyedi utasításban a részére megállapított egyéb feladatokat.
(2) Az elektronikus információs rendszer biztonságáért felelős személyt feladatai teljesítéséhez szükséges mértékben
az elektronikus információs rendszerek valamennyi elemének tervezésével, fejlesztésével, beszerzésével és
üzemeltetésével kapcsolatban megilleti a tanácskozási, véleményezési, javaslattételi, kezdeményezési, ellenőrzési,
betekintési és hozzáférési jogosultság.
13. § Az önálló szervezeti egység vezetője
a) tájékoztatja az elektronikus információs rendszer biztonságáért felelős személyt a vezetése alatt álló szervezeti
egységben előforduló személyi változásokról,
b) gondoskodik arról, hogy az adott szervezeti egység felhasználói megismerjék, és munkavégzésük során
alkalmazzák ezen utasítást, valamint
c) ellenőrzi, hogy a szervezeti egység felhasználói betartják-e ezen utasítás rendelkezéseit.
14. § (1) Az Iroda elektronikus információs rendszereinek fejlesztésére, üzemeltetésére vagy adatfeldolgozására külső féllel
kötött megállapodásokban rendelkezni kell a külső fél információbiztonsági kötelezettségeiről és az Iroda ellenőrzési
jogosultságairól, így különösen
a) az informatikai biztonság fő szabályairól,
b) a feldolgozandó, kezelendő adatok érzékenységéről, a biztonsági osztályokról, illetve a védelem érdekében
meghatározott és a külső fél által alkalmazandó eljárásokról,
c) az információbiztonsággal, valamint az adatkezeléssel összefüggő tevékenységek hatékony
nyomonkövethetőségéről,
d) az információk másolásának és nyilvánosságra hozatalának feltételeiről,
e) a szolgáltatás elvárt szintjének és a szolgáltatási időszaknak a meghatározásáról,
f ) a külső fél tevékenységének az üzletmenet-folytonossági és katasztrófaelhárítási tervekre gyakorolt hatásáról,
g) a teljesítések ellenőrizhetőségéről, monitorozásának lehetőségeiről,
h) a garanciaszintekről, azok követelményeiről,
i) a hardver- és szoftvertelepítésből, valamint a karbantartásokból eredő felelősségről,
j) a világos és egyértelmű jelentéskészítési struktúráról,
k) a változáskezelések egyértelmű és meghatározott folyamatáról,
l) a kártékony kódok elleni óvintézkedések meghatározásáról,
m) a biztonsági eseményeket követő jelentéstételi kötelezettségről, illetve a biztonsági események kezelésére
vonatkozó feladatokról és eljárásokról,
n) az érintett rendszerelemek és folyamatok meghatározásáról,
o) azokról a paraméterekről, amelyeket a külső félnek el kell érnie ahhoz, hogy igazolható legyen a teljesítése,
p) az egyes szolgáltatásokhoz kapcsolódó elvárt szolgáltatási szintekről, valamint a szolgáltatások mérésének és
azokra vonatkozó jelentések módjáról,
q) a megállapodásból eredő jogsértésekhez kapcsolódó szankciókról,
r) a külső fél és a munkatársak közötti feladat és felelősség megosztásáról, valamint az egymás tájékoztatásának
és a teljesített feladat átadás-átvételének folyamatáról, valamint
s) a rendkívüli helyzetek kezelése esetén alkalmazandó feladatmegosztásról, feladat- és felelősségi körökről,
illetve a jelentési kötelezettségről.
(2) Az (1) bekezdés szerinti megállapodás megkötését megelőzően az elektronikus információs rendszer biztonságáért
felelős személy megvizsgálja, hogy a külső fél által nyújtott szolgáltatásnak milyen információbiztonsági kockázatai
vannak. Az így megállapított kockázatokkal arányosan kell meghatározni a megállapodásban a külső fél által
teljesítendő információbiztonsági kötelezettségeket.
(3) A külső fél munkavégzése során
a) gondoskodik arról, hogy az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége,
rendelkezésre állása és az adatvédelem elvei nem sérülhetnek,
b) gondoskodik arról, hogy a hozzáférési jogot kapott munkatársai a jogosultságot nem adhatják át más
személynek,
c) gondoskodik arról, hogy a hozzáférési azonosítókat és az ezekhez kapcsolódó fizikai eszközöket bizalmasan
kezelje, és biztosítsa, hogy azokhoz illetéktelen személyek ne férhessenek hozzá,
d) garantálja az elektronikus információs rendszerek és infokommunikációs eszközök megfelelő védelmét,
a szükséges és elégséges hozzáférés elvének betartását, fizikai és logikai védelem kialakítását, rendszerszintű
titkosítási eljárások alkalmazását, illetve a biztonsági naplózást, valamint
e) ha távolról éri el az Iroda hálózatát, illetve valamely elektronikus információs rendszerét, akkor a biztonságos
elektronikus adatcsere-kapcsolat érdekében köteles az Iroda által előírt információbiztonsági megoldásokat
megvalósítani mindazon saját eszközein, amelyekről a távoli elérés lehetséges.
(4) Bizalmas adatforgalom az Iroda és a külső fél között csak titkosított kommunikációs csatorna biztosításával történhet.
(5) Az elektronikus információs rendszerhez kapcsolódó rendszergazdai feladatok ellátásáért az üzemeltetést végző
külső fél felel.
(6) A külső fél által az (1) bekezdés szerinti megállapodás alapján nyújtott szolgáltatások megfelelőségét az elektronikus
információs rendszer biztonságáért felelős személy folyamatosan ellenőrzi. 15. § A munkatárs köteles
a) az elektronikus információs rendszer biztonságáért felelős személyt minden olyan tényről, eseményről
haladéktalanul értesíteni, amely ezen utasítás rendelkezéseinek végrehajtását akadályozza, illetve ellentétes
az utasítás rendelkezéseivel,
b) haladéktalanul jelenteni az észlelt biztonsági fenyegetettségeket és eseményeket az elektronikus
információbiztonságért felelős személynek,
c) a munkavégzése során a rá bízott adatokat, információkat, infokommunikációs eszközöket, elektronikus
információs rendszereket felelősséggel, az előírások szerint kezelni, illetve használni,
d) részt venni az informatikai és információbiztonsági képzéseken, továbbképzéseken,
e) az elektronikus információs rendszerben történő munkavégzése során tiszteletben tartani a felhasználói
csoportjára vonatkozó szabályokat,
f ) az elektronikus információs rendszerekhez használt hozzáféréseit biztonságos módon, bizalmasan kezelni,
g) informatikai segítséget kérni, ha olyan jellegű feladatot kell ellátnia, amelyhez nincs meg a megfelelő
informatikai ismerete, valamint
h) gondoskodni a nyomatképző berendezések használata során a felesleges vagy rontott iratpéldányok
jogszabályban előírt módon történő megsemmisítéséről. 9. Információs vagyon osztályozása
16. § (1) Az Irodában információs vagyonleltárt kell létrehozni, amely tartalmazza az elektronikus információs rendszerekben
kezelt adatok típusát adatkörönként, az adatok kezeléséért felelős szervezeti egység vezetőjét, valamint az adatok
tárolási helyét és módját.
(2) Az (1) bekezdés szerinti vagyonleltár naprakész vezetését az elektronikus információs rendszer biztonságáért felelős
személy látja el.
10. Biztonsági osztályba sorolás, kockázatmenedzsment 17. § Az elektronikus információs rendszerek biztonsági osztályba sorolását, valamint az Iroda, illetve szervezeti egységei
tekintetében a biztonsági szint meghatározását ezen utasítás 1. melléklete tartalmazza.
18. § (1) Az elektronikus információs rendszer biztonságáért felelős személy minden év június 30. napjáig a rendelkezésre álló
információk alapján biztonsági kockázatelemzést köteles készíteni. A kockázatelemzés során a kockázatok
megállapítása érdekében az elektronikus információs rendszer biztonságáért felelős személy tájékoztatást kérhet
a szervezeti egységek vezetőitől, illetve a külső felektől.
(2) A kockázatelemzés során az egyes veszélyforrások által okozható kockázatokat kell megállapítani, illetve feltárni.
A kockázatokat a veszély megvalósulásának valószínűsége és az okozható kár alapján vagy a sérülékenység
kihasználhatósága, az elektronikus információs rendszer kitettsége és ennek hatása alapján kell meghatározni.
(3) Az elektronikus információs rendszer biztonságáért felelős személy a kockázatelemzés során a kockázatokat
kategóriákba sorolja, és kockázatcsökkentési vagy -megszüntetési intézkedésekről, valamint az elfogadásra javasolt
kockázatokról jelentést készít az elnök részére.
(4) A kockázatelemzésről szóló jelentés alapján az elnök a kockázatokat értékeli, és gondoskodik a kockázatok
csökkentéséhez, illetve megszüntetéséhez szükséges intézkedések meghozataláról, vagy az elfogadásra javasolt
kockázat elfogadásáról dönt.
III. Fejezet
A humán erőforrásokra vonatkozó biztonsági előírások
11. A munkavégzés szabályai az NVI információs rendszerében
19. § (1) A munkatárs munkavégzése során köteles
a) az elektronikus információs rendszereket kizárólag hivatalos célokra használni,
b) a használatra kapott infokommunikációs eszköz rendszerszintű beállításainak módosítását mellőzni,
c) a használt infokommunikációs eszköz kezelésével kapcsolatos kezelési és biztonsági ismereteket elsajátítani
és készség szintjére fejleszteni,
d) az elektronikus információs rendszerekbe csak szabályszerűen, kizárólag a személyéhez rendelt azonosító
eszközzel bejelentkezni,
e) a képernyőket, nyomtatókat úgy elhelyezni, hogy azok minél kevesebb lehetőséget biztosítsanak illetéktelen
személyek betekintésére,
f ) a rendszeresített biztonsági funkciókat megtartani,
g) tartózkodni minden olyan tevékenységtől, amely az elektronikus információs rendszerben kárt okozhat,
h) az esetleges meghibásodás esetén törekedni a további károsodás megelőzésére, valamint
i) hiba esetén értesíteni az elektronikus információs rendszer biztonságáért felelős személy mellett az önálló
szervezeti egysége vezetőjét.
(2) Az elnök fegyelmi eljárást kezdeményezhet, ha a munkatárs a szervezet információs vagyonát veszélyezteti továbbá,
ha a munkatárs a veszélyt jelentő tevékenységre történő figyelmeztetést követően is szándékosan és rendszeresen
a) megszegi az internet és az elektronikus levelezés használati szabályait, vagy
b) ezen utasításban foglalt tiltott tevékenységet végez, vagy veszélyezteti a szervezet adatait, rendszereit,
jogszabályoknak való megfelelését vagy jó hírnevét. 12. Felhasználók oktatása
20. § (1) Új felhasználó esetén az elektronikus információs rendszer biztonságáért felelős személy tájékoztatja a felhasználót
az elektronikus információs rendszer használatához kapcsolódó informatikai és információbiztonsági szabályokról,
a szabályzatok elérhetőségéről, továbbá felhívja a munkatárs figyelmét azok megismerésére és betartására.
A szükséges informatikai és információbiztonsági szabályzatok megismerésének tényét a munkatárs aláírásával
igazolja.
(2) Ezen utasításban foglaltak megismertetésére és a feladatellátást érintő informatikai és információbiztonsági
szabályokról az elnök évente informatikai és információbiztonsági oktatást szervez.
(3) Az oktatáson, illetve továbbképzésen való részvétel a felhasználók számára kötelező. A megjelenést a résztvevők
aláírásukkal igazolják.
IV. Fejezet 13. Biztonsági és üzemzavarok kezelése 21. § (1) Az elektronikus információs rendszer biztonságáért felelős személy minden működési zavarról, amely az elektronikus
információs rendszer folyamatos üzemét megzavarja, vagy a normális üzletmenetet hátráltatja, haladéktalanul jelent
a rendszer üzemeltetőjének. A jelentést követően az üzemeltetőnek az Iroda és a közötte létrejött megállapodásban
meghatározottak szerint meg kell szüntetnie az üzemzavart.
(2) Az elektronikus információs rendszer biztonságáért felelős személy rendszer-, illetve alkalmazáshiba esetén
a) figyelemmel kíséri a működési zavar tüneteit, a képernyőn megjelenő üzeneteket,
b) amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás vagy vírustámadás okozta, az érintett
elektronikus információs rendszert, illetve rendszerelemet leválasztatja a hálózat(ok)ról, szükség esetén
kikapcsoltatja,
c) az Iroda hozzáférési és egyéb adatvédelmi rendszereinek működési zavarát, a megtett intézkedéseket
haladéktalanul írásban jelenti az elnöknek, valamint
d) gondoskodik arról, hogy a meghibásodott elektronikus információs rendszerelemekben használt adathordozók
kizárólag a biztonsági ellenőrzést követően legyenek használhatóak más rendszerelemekben.
14. A biztonsági események kezelési eljárása 22. § (1) A biztonsági eseményre adandó gyors és hatékony megoldások érdekében az elektronikus információs rendszer
biztonságáért felelős személynek üzletmenet-folytonossági tervben kell meghatároznia a váratlan eseményekkel
kapcsolatos felelősségeket és eljárásokat.
(2) Az üzletmenet-folytonossági tervnek ki kell terjednie
a) az elektronikus információs rendszerhiba és a szolgáltatásmegszakadás,
b) a szolgáltatásmegtagadás,
c) a sértetlenség elvesztése, valamint
d) a bizalmasság elvesztése
biztonsági eseményekre.
(3) Az üzletmenet-folytonossági tervben rendelkezni kell arról, hogy a biztonsági események kezelése során
a) azonosítani és elemezni kell az biztonsági események okait,
b) ki kell dolgozni a biztonsági események ismétlődésének megakadályozására vonatkozó terveket,
c) naplózni kell a biztonsági eseményeket,
d) gondoskodni kell a visszaállítás megoldásáról, valamint
e) jelentést kell készíteni az elnök részére.
(4) Az üzletmenet-folytonossági tervben rendelkezni kell a biztonsági események kezelését követő elnöki jelentés
tartalmi elemeiről.
(5) Az üzletmenet-folytonossági tervben a biztonsági események és rendszerhibák javítási eljárását úgy kell meghatározni,
hogy
a) csak az engedéllyel és a kellő szaktudással rendelkező személyek férhessenek hozzá az informatikai
rendszerekhez és azok adataihoz, b) a kijavításra kijelölt személy ismerje a biztonsági esemény során az üzemeltető által alkalmazandó vagy
alkalmazott eljárást,
c) a biztonsági esemény során alkalmazandó vagy alkalmazott eljárás jegyzőkönyvben rögzítésre kerüljön,
d) a biztonsági eseményeket követően az adatok sértetlensége haladéktalanul ellenőrzésre kerüljön.
(6) Az üzletmenet-folytonossági tervben részletezettek szerint a biztonsági eseményeket
a) típus,
b) terjedelem,
c) az általuk okozott károk, helyreállítási költségek, valamint
d) a hitelesítési és monitorozási rendszer kimenetei
alapján kell értékelni.
(7) Az érintett elektronikus információs rendszer, illetve rendszerelem üzemeltetője – az Iroda és a közötte létrejött
megállapodásban meghatározottak szerint – a biztonsági esemény elhárítása érdekében intézkedik a hiba
megszüntetéséről, és a további teendőkről az elektronikus információs rendszer biztonságáért felelős személyt
folyamatosan tájékoztatja. Szükség esetén – ideiglenes jelleggel – helyettesítő megoldással is biztosíthatja
az üzemeltető a felhasználói munkavégzést.
15. Biztonsági események jelentése és nyilvántartása 23. § (1) Az elektronikus információs rendszer bármely felhasználói pontján jelentkező, adott rendszerelemmel kapcsolatban
felmerülő rendellenes működés, jelenség, vírusjelzés vagy futási hiba esetén a felhasználó köteles a tapasztalt
jelenséget, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni az elektronikus információs
rendszer biztonságáért felelős személy részére.
(2) Az üzemeltető – az Iroda és a közötte létrejött megállapodásban rögzített rendben – köteles azonnal jelenteni
az elektronikus információs rendszer biztonságáért felelős személynek, amennyiben munkája során biztonsági
veszélyeket vagy az infokommunikációs rendszerben veszélyforrást fedezett fel.
(3) A bejelentett biztonsági eseményekről az elektronikus információs rendszer biztonságáért felelős személy elektronikus
nyilvántartást vezet.
V. Fejezet
Az IT-infrastruktúra fizikai környezetének biztonsága 16. Elektronikus információs rendszert, rendszerelemet tartalmazó helyiségekbe való belépés rendje
24. § (1) Az elektronikus információs rendszer biztonsága szempontjából azokat a helyiségeket és épületeket védeni kell,
amelyekben elektronikus információs rendszer, rendszerelem működik. Az Iroda használatában lévő épület azon
helyiségében, ahol elektronikus információs rendszer, illetve rendszerelem van, csak azok a személyek tartozódhatnak,
akik oda munkavégzésük folytán erre jogosultak. A jogosultsággal nem rendelkező munkatársak vagy egyéb
személyek csak kísérettel és állandó felügyelet mellett tartózkodhatnak a helyiségben.
(2) A biztonsági területekre és az egyes biztonsági zónákba való belépést vagy beléptetést ellenőrizni és naplózni kell.
A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt.
(3) Az olyan helyiségeket, ahol elektronikus információs rendszerben, infokommunikációs eszközzel történik
a munkavégzés, biztonsági zárral kell ellátni, és a helyiséget a felhasználó távolléte esetén zárva kell tartani.
17. Áramellátás szolgáltatási rendje 25. § (1) Az elektromos hálózatot a szünetmenetességre, az áthidalási és újratöltési időre vonatkozó követelményeknek
megfelelően kell kialakítani, és külön leágazás megépítésével kell a betáplálásról gondoskodni. Ha egy nem
informatikai központnak kijelölt hivatali helyiségben szerver üzemel, gondoskodni kell helyi szünetmentes
tápáramellátásról.
(2) Az elektronikus információs rendszer, illetve rendszerelem energiaellátási védelmének kialakítása során
a) az elektronikus információs rendszer, illetve rendszerelem üzemeltetőjének biztosítania kell az informatikai
berendezés gyártója által meghatározott energiaellátási követelményeket,
b) megszakítás nélküli áramforrást kell használni, valamint
c) többféle alternatív áramszolgáltatási lehetőséget kell igénybe venni.
(3) Az energiaellátó hálózat kábelezésénél védett kábeleket kell használni, és az adatátviteli kábelt el kell különíteni
az energiaellátás kábeleitől.
(4) A kábeleket a kábelrendező és a csatlakozóaljzatok között rögzített csatornában kell vezetni, a lengőkábelek nem
keresztezhetnek közlekedési utat. A hálózat valamennyi elemét olyan környezetben kell elhelyezni, ahol a jogosulatlan
fizikai hozzáférés megakadályozott.
(5) Az elektronikus védelmi rendszert az épület teljes területén ki kell építeni. A riasztásoknak az épület biztonsági
szolgálatánál vagy a legközelebbi illetékes rendvédelmi szervnél is meg kell jelenniük. Az elektronikus védelemnek
szabotázsvédettnek kell lennie.
(6) Az elektronikus információs rendszerek, rendszerelemek a vonatkozó szabványnak megfelelően kizárólag
védőföldeléssel ellátott 230 V feszültségű elektromos hálózati dugaszolóaljzatba csatlakoztathatók.
(7) Az Iroda székházának területén az elektronikus információs rendszert, áramellátó hálózatot, telefonhálózatot érintő
bármilyen beavatkozást, építést, karbantartást, átalakítást csak az Üzemeltetés tájékoztatása után, annak
jóváhagyásával és felügyeletével lehet végezni.
(8) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi.
18. Tárolóhelyiségekre vonatkozó védelmi előírások 26. § (1) Nyílt tárolás esetén az elektronikus és papíralapú dokumentumok biztonságáról az Iroda Iratkezelési Szabályzata
szerint kell gondoskodni.
(2) Az informatikai eszközök munkaidőn túl zárható helyiségben, zártan tárolhatók.
(3) Speciális biztonsági eszközök alkalmazására az információs rendszer biztonságáért felelős személy engedélyével van
lehetőség. 19. Fizikai biztonsági elkülönítés 27. § (1) Az IT-infrastruktúra elemeinek a kockázatokkal és az értékükkel arányos fizikai védelmet kell biztosítani.
(2) Az elektronikus információs rendszer kritikussága és a benne kezelt adatok besorolásának kockázata alapján
a helyiségeket fizikai biztonsági zónák szerint kell besorolni. A besorolást az információs rendszer biztonságáért
felelős személy végzi el.
(3) A biztonsági követelményeknek megfelelően úgy kell a helyiségeket kialakítani, hogy az elektronikus információs
rendszerek megfelelő fizikai és környezeti védelmét garantálni tudják. A kialakított biztonsági zónákban történő
munkavégzésre – a zónát veszélyeztető fenyegetettségek függvényében – más-más informatikai és fizikai biztonsági
követelmények vonatkozhatnak.
(4) A fizikai biztonsági zónákat elektronikus információs rendszerenként, valamint biztonsági osztályonként egyaránt
rögzíteni kell.
(5) A védett helyiségekbe és biztonsági területekre, valamint zónákba való belépési jogosultságokat úgy kell
meghatározni, hogy az egyes személyeket, a személyek csoportjait az elektronikus információs rendszerben vagy
környezetében betöltött szerepük alapján kell hozzárendelni a helyiségekhez vagy helyiségcsoportokhoz.
(6) Az elektronikus információs rendszerek környezetét megfelelő fizikai, mechanikai, elektronikai és személyi
védelemmel kell biztosítani. Az alkalmazott védelmi formák körét, azok kialakítását az információs rendszer
biztonságáért felelős személy az Üzemeltetéssel egyeztetve határozza meg, az Iroda székhelyéül szolgáló épület
védelmi igényének és speciális feltételeinek figyelembevételével.
(7) A kiemelten védendő zónákba való belépési jogosultságot személyre szólóan, a személy feladatellátási kötelezettsége
alapján kell meghatározni. Állandó vagy egyedi belépési jogosultságot az informatikai központba az elnök
engedélyezhet.
20. Infokommunikációs eszközök, rendszerelemek fizikai védelmének szabályozása 28. § (1) Az elektronikus információs rendszerek, rendszerelemek nyilvántartásáért a Gazdálkodási Főosztály felel.
A rendszerelemeket az eszköznyilvántartásban tartják nyilván, és a változásokat azonnal, de legkésőbb öt munkanapon
belül aktualizálják.
(2) Az elektronikus információs rendszerek, rendszerelemek üzembe helyezésére, valamint selejtezésére csak az elnök
által kijelölt személy vagy megállapodás alapján külső fél jogosult.
(3) Az elektronikus információs rendszerekbe, rendszerelemekbe beépített és külső adathordozókat javítás,
újrahasznosítás, selejtezés esetén a biztonságos adattörlést megvalósító célhardverrel vagy szoftverrel, vagy ha ez az
adathordozó működésképtelensége miatt nem megvalósítható, akkor fizikai roncsolással szükséges adatmentesíteni.
(4) A környezeti veszélyek és kockázatok mérséklése érdekében
a) a rendszerelemeket úgy kell elhelyezni, hogy azokhoz az illetéktelen személy hozzá ne férhessen,
b) a különleges védelmet igénylő, fokozott és kiemelt biztonsági osztályba tartozó rendszerelemeket elkülönítve
kell elhelyezni és használni, és
c) a környezeti hatások és a lehetséges veszélyforrások folyamatos vizsgálatával és elemzésével törekedni kell
a szükséges működési feltételek biztosítására.
(5) Az elektronikus információs rendszerelemek, infokommunikációs eszközök rendeltetésszerű használatáért az eszköz
használója felel vagy az a személy, aki vezetői utasításra vagy a vezető engedélyével azt használta. Közös használatú
eszköz esetén a rendeltetésszerű használatért az a személy felel, akit a vezető kijelöl az eszköz, rendszerelem
felügyeletére.
(6) A munkavégzése során infokommunikációs eszközt használó köteles az általa működtetett eszközt és az ahhoz
csatlakoztatott egyéb eszközöket
a) a rendeltetésnek megfelelően, munkavégzés céljából, szakszerűen, az Iroda érdekeit szem előtt tartva ezen
utasításban meghatározott módon használni és
b) a munka befejeztével valamennyi eszközt kikapcsolni, kivéve ha ezzel ellentétes állandó vagy egyedi írásos
utasítást nem kap.
(7) Az infokommunikációs eszközök használata során tilos
a) az eszközt illetéktelen személynek átengedni,
b) az eszköz közelében folyadékot, éghető anyagot, illetve felette, alatta vagy rajta az eszköz rendeltetésétől
eltérő anyagot, tárgyat elhelyezni és tárolni és
c) az eszközt – hordozható infokommunikációs eszközök kivételével – a telepítési helyéről elmozdítani és elvinni
az üzemeltető engedélye és közreműködése nélkül.
(8) Az infokommunikációs eszközöknek a munkafeladattól eltérő célra történő használatához az önálló szervezeti egység
vezetőjének engedélye és az elnök hozzájárulása szükséges.
(9) Az infokommunikációs eszközökhöz bármilyen külső eszközt, illetve kábelt csatlakoztatni csak az üzemeltető
engedélyével vagy közreműködésével lehet. Az üzemeltető által már csatlakoztatott és beüzemelt eszköz további
használata visszavonásig engedélyezett.
(10) Címkét, jelölést vagy feliratot az elektronikus információs rendszerelemekre, infokommunikációs eszközökre csak
az Üzemeltetés helyezhet, illetve távolíthat el onnan. Az eszközök burkolatát megbontatni tilos. Alkatrészt csak
az üzemeltető helyezhet be az eszközbe, illetve szerelhet ki az eszközből.
(11) Azokban a helyiségekben, ahol ügyfélfogadás történik, az elektronikus információs rendszerelemek,
infokommunikációs eszközök adatait tartalmazó felületeit úgy kell elhelyezni, hogy azokra az ügyfél ne láthasson rá.
21. Elektronikus információs rendszerek, rendszerelemek karbantartása 29. § (1) Az üzemeltető szükség szerint, illetve tervezett és a felhasználókkal egyeztetett módon karbantartást végez.
(2) Az üzemeltető a specifikációban javasolt időközönként köteles elvégezni a rendszerelemek karbantartását.
(3) A rendszerelemek kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező személyek végezhetik.
(4) A rendszerelemek, infokommunikációs eszközök külső helyszínen történő javítása, karbantartása esetén gondoskodni
kell a rendszerelem adathordozóin tárolt adatok végleges (visszaállíthatatlan) törléséről vagy az adathordozó
eltávolításáról.
22. Eszközkivonási biztonsági intézkedések, újrahasznosítás 30. § (1) Megsemmisítésre kijelölt elektronikus információs rendszerelemeket, infokommunikációs eszközöket
megsemmisítésig a használatban lévő eszközöktől elkülönítetten kell tárolni és kezelni, figyelembe véve
a) a veszélyes anyagok tárolására és a megsemmisítésre vonatkozó szabályokat,
b) a leltározásra és selejtezésre vonatkozó szabályokat, illetve
c) az adatvédelem biztonsági követelményeit.
(2) Az elektronikus információs rendszerelemek, infokommunikációs eszközök végleges használaton kívül helyezése
előtt gondoskodni kell az adathordozóikon tárolt összes adat visszaállíthatatlan eltávolításáról és felülírásáról vagy
a beépített adathordozó eltávolításáról és megfelelő tárolásáról, a beépített vezérlőszoftverek konfigurációjának
törléséről, illetve alapértelmezett gyári értékek visszaállításáról.
(3) Külső félnek javításra, megsemmisítésre elszállítandó infokommunikációs eszközből el kell távolítani a beépített
adathordozót, és anélkül kell átadni a külső fél képviselőjének. Ha az eltávolítás nem megoldható, akkor biztonságos
adattörlési eljárást kell alkalmazni, vagy a külső fél arra felhatalmazott képviselője az adatvédelmi és titoktartási
szabályok betartására vonatkozóan nyilatkozatot köteles tenni.
23. Informatikai központra vonatkozó általános biztonsági előírások 31. § (1) Az információs rendszer biztonságáért felelős személy az Üzemeltetéssel együttműködve gondoskodik az Iroda
felügyelete alatt álló helyiségek esetén
a) az informatikai központ és a benne elhelyezett elektronikus információs rendszerelemek fizikai védelmét
biztosító eszközök és berendezések meglétéről, azok működőképességének rendszeres ellenőrzéséről,
tervezett karbantartásukról,
b) a szerverek működéséhez szükséges megfelelő fizikai környezet kialakíttatásáról,
c) a megfelelő elektromos hálózat, villám- és túlfeszültség-, valamint érintésvédelmi berendezések meglétéről és
működésének biztosításáról,
d) a behatolás elleni védelem és riasztórendszer kialakításáról,
e) a megfelelő tűzvédelmi rendszerről.
(2) A informatikai központban, közvetlenül mellette és felette vizesblokk kialakítása tilos. Az informatikai központot
védeni kell szennyvíz, illetve esővíz bejutása ellen.
(3) Az informatikai központokban végzett építési és karbantartási munkákat az érintettek előzetes értesítése, az időpontok
egyeztetése után az üzemeltető által kijelölt munkatárs felügyeli.
(4) Az üzemeltetés és hibaelhárítás során jelentkező alkatrészbeszerzések, javítások és a rendszer fejlesztésére irányuló
beszerzések biztonsági szempontú szakmai előkészítése az információs rendszer biztonságáért felelős személy
feladata.
(5) A teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. Az informatikai központok üzemeltetése
során biztosítani kell a mechanikai és a technikai védelmet, így
a) a nyílászárókon keresztül történő bejutás megakadályozására szolgáló elektromos vagy fizikai védelmi
eszközöket kell alkalmazni beltéri vagy földszinti, illetve könnyen elérhető kültéri nyílászárók esetében
egyaránt,
b) gondoskodni kell arról, hogy az informatikai központba kívülről nyitott nyílászárón vagy szellőzőn keresztül
idegen anyagot bedobni ne lehessen,
c) az informatikai központra kívülről ne lehessen rálátni,
d) az ajtónak kulccsal, mágneskártyával vagy kóddal zárhatónak kell lennie,
e) a d) pont szerinti kulcs, mágneskártya vagy kód másodpéldányát a portán kell elhelyezni lezárt, hitelesítéssel
ellátott borítékban vagy lepecsételhető kulcsdobozban,
f ) a d) pont szerinti kulcshoz, mágneskártyához vagy kódhoz való hozzájutás csak naplózottan történhet,
g) a d) pont szerinti kulcshoz, mágneskártyához vagy kódhoz történő hozzáférést az elnök engedélyezheti,
h) az e) pont szerinti kulcsdoboz vagy boríték rendkívüli felnyitásáról a felhasználónak telefonon és írásos
feljegyzésben értesítenie kell az Üzemeltetés vezetőjét és az elektronikus információs rendszer biztonságáért
felelős személyt,
i) a hitelesítéssel ellátott boríték felnyitását, a kód használatát követően a kódot meg kell változtatni.
24. Kontrollok 32. § (1) Infokommunikációs eszközökkel kapcsolatos csatlakoztatással, lecsatlakoztatással járó eszközmozgatást, továbbá
csatlakoztatást, lecsatlakoztatást, szerelést, eszközátadást, üzembe helyezést és selejtezést csak az üzemeltető által
kijelölt informatikus végezhet.
(2) Az infokommunikációs eszközökkel kapcsolatos minden (1) bekezdés szerinti csatlakoztatással, lecsatlakoztatással
járó mozgatásról jegyzőkönyvet kell készíteni.
33. § Az infokommunikációs eszközök biztonsági beállításait, illetve háttértárolóinak tartalmát az elektronikus információs
rendszer biztonságáért felelős személy évente az ellenőrzési terv alapján ellenőrzi. A felhasználó köteles az eszköz
átadásával az ellenőrzés elvégzését segíteni. Az ellenőrzés során fokozott figyelmet kell fordítani arra, hogy
a) az adott eszközön a biztonsági beállítások, vírusvédelmi és egyéb biztonsági rendszerek beállításai
megfelelnek-e az előírtaknak,
b) az állományok lokális tárolására vonatkozó szabályokat a felhasználók betartják-e,
c) az eszközön fellelhető naplóállományokban nincs-e nyoma rendellenes műveleteknek, jogosulatlan
használatnak. VI. Fejezet
Az üzemeltetés és kommunikáció biztonsága
25. Az üzemeltetés menedzselése 34. § (1) Az elektronikus információs rendszer megbízható és biztonságos működésének biztosítása érdekében meg kell
határozni az összes rendszerelem kezelésére és működtetésére vonatkozó feladatokat és eljárásokat (a továbbiakban:
üzemeltetési eljárások), amelyekbe beletartozik az összes szükséges működtetési és hibaelhárítási eljárás elkészítése.
(2) Az üzemeltetési eljárásokat az üzemeltetőnek kell részletesen dokumentálnia. A dokumentumokat az Iratkezelési
Szabályzatnak megfelelően kell tárolni.
(3) Az üzemeltetési eljárások dokumentációinak a munkafolyamat minden részelemének vonatkozásában részletes
utasításokat kell tartalmaznia
a) az adatkezelésre,
b) a tervezett követelményekre, más elektronikus információs rendszer adatai bizalmassága sérülésének
elkerülésére,
c) a munkaidőn kívüli elektronikus információs rendszert vagy rendszerelemet érintő munkavégzésre,
d) a hibaesetek és a rendellenes működés kezelésére,
e) a munkavégzés közben fellépő kivételes állapotok kezelésére, illetve
f ) a rendszer újraindítására és visszaállítására
vonatkozóan.
(4) Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetővé kell tenni a felhasználók részére.
(5) Az üzemeltetési eljárások változása esetén az üzemeltetőnek ellenőrizni és dokumentálni kell
a) a jelentős változások azonosítását,
b) a felelős résztvevők megjelölését,
c) a változások lehetséges hatásainak felmérését,
d) a tervezett változtatások jóváhagyási eljárásainak ellenőrzését,
e) az összes érintett értesítését a változások részleteiről,
f ) a változtatás megszakításáért és az eredeti állapotba való visszaállításért felelős személy kijelölését.
26. A hálózat és az elektronikus információs rendszer üzemeltetésbiztonsága
35. § (1) Az elektronikus információs rendszer napi üzemeltetésének feltételeit az üzemeltetővel kötött megállapodásban kell
részletesen rögzíteni.
(2) Az üzemeltetésért felelős informatikai munkatársaknak rendszeresen el kell végezniük azokat az – üzemeltetési
dokumentációban részletesen felsorolt – tevékenységeket, amelyek alapján meggyőződhetnek arról, hogy a rendszer
üzemszerűen működik.
36. § (1) Az elektronikus információs rendszer valamennyi hardver-, illetve szoftverelemét tartalmazó nyilvántartást
a Gazdálkodási Főosztály vezeti. A nyilvántartásnak tartalmaznia kell a rendszer hardverelemeinek pontos és naprakész
konfigurációját, a működtető szoftverelemek egyedi beállításait és elhelyezkedését, az értük felelős személy nevét.
(2) Az üzembiztonság érdekében a szerverek operációs rendszereit, azok konfigurációját tartalék adathordozón is tárolni
kell, amely szükség esetén azonnal betölthető.
27. Az üzemeltetési folyamat változásainak bejelentése 37. § (1) Szoftvert az infokommunikációs eszközre csak az üzemeltető által kijelölt informatikus (a továbbiakban: kijelölt
informatikus) tölthet le, másolhat és telepíthet, valamint azt az eszközről csak kijelölt informatikus távolíthatja el. Tilos
hordozható, telepítés nélkül futtatható alkalmazások használata.
(2) A felhasználó az infokommunikációs eszköz használata során az eszközre telepített alkalmazásokat használhatja.
Új alkalmazás telepítését vagy a meglévő alkalmazás jogosultságváltozását az adott önálló szervezeti egység vezetője
engedélyével, ezen utasítás 2. melléklete szerinti adatlapon kell igényelni. Az elnök jogosult az igény felülvizsgálatára,
és ha szükséges, biztonsági vagy gazdasági okból annak elutasítására.
(3) A felhasználó az infokommunikációs eszközre telepített alkalmazásokat a felhasználói leírás szerinti módon,
szakszerűen köteles használni.
(4) A külső felek által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket,
változásjelentőket és levelezéseket az önálló szervezeti egységek vezetői kötelesek másodpéldányban megküldeni
a kijelölt informatikusnak.
(5) A külső fél által biztosított informatikai szolgáltatások használata során az általa kiadott előírások szerint kell eljárni.
(6) A szoftvereket és adatokat arra nem jogosult harmadik fél számára másolni és továbbadni tilos.
(7) A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licencdokumentációját a kijelölt
informatikus tárolja és tartja nyilván. 28. Hibakezelés, hibaelhárítási rendszer
38. § A bejelentéseket az üzemeltető által biztosított helpdesk szolgáltatáson keresztül az üzemeltető elektronikus
levelezőcímére küldött üzenetben, valamint személyesen vagy telefonos megkereséssel lehet megtenni az üzemeltető
és az Iroda közötti megállapodásban rögzítettek szerint.
29. Külső erőforrások kezelése 39. § A fejlesztési folyamatok teljes szakasza alatt az Iroda kijelölt kapcsolattartója felügyeli és ellenőrzi a külső fél
tevékenységét. Minden kritikus lépésről tájékoztatja az elnököt. Az elektronikus információs rendszer biztonságáért
felelős személy eseti jelleggel ellenőrzi a fejlesztési folyamatok alatt, hogy azok megfelelnek-e az ezen utasításban
foglalt rendelkezéseknek.
30. Rosszindulatú programok elleni védelem 40. § (1) Az elektronikus információs rendszert automatikus vírusvédelmi rendszerrel kell ellátni, amely üzemeltetését és
felügyeletét külső fél látja el.
(2) A rosszindulatú programok károkozását az alábbi intézkedésekkel kell elkerülni:
a) olyan eszközök alkalmazása, amelyek megkövetelik a jogtiszta programok használatát, és tiltják az engedély
nélküli termékek alkalmazását, b) külső hálózatokból vagy azokon keresztül, illetve egyéb adathordozókról telepített adatállományok és
programok felhasználásával járó kockázat elhárításához szükséges intézkedések bevezetése,
c) rosszindulatú programokat felismerő és megsemmisítő alkalmazások telepítése és rendszeres aktualizálása,
d) a kritikus folyamatokat támogató rendszerek adattartalmának és programjainak rendszeres vizsgálata,
e) a bizonytalan eredetű adatállományok ellenőrzése, rosszindulatú programok kiszűrése,
f ) elektronikus levéltartalmak, csatolt dokumentumok és letöltött állományok használat előtti ellenőrzése,
g) a rosszindulatú programokkal szembeni védelemre vonatkozó feladatok és eljárások meghatározása,
alkalmazásuk oktatása, a vírustámadások naplózása és az eredeti állapot helyreállítása,
h) a szükséges adatállományok és programok biztonsági másolati példányainak és a helyreállítási eljárásainak
elkészítése,
i) a hamis vagy hamisított programra vonatkozó összes információ ellenőrzése, a figyelmeztető tájékoztató
kiadványok folyamatos frissítése, meglétének ellenőrzése.
(3) Az elektronikus információs rendszerben és infokommunikációs eszközön csak olyan szoftver telepíthető és
használható, amely az Iroda és az üzemeltető által jóváhagyott, telepítésre kiadott és engedélyezett nyílt forráskódú
szoftver vagy a szerzői jog szerint biztosított licencigazolással, illetve más jogi igazolással rendelkező, illetve
tulajdonosi vagy használói szerződéssel biztosított hivatalos forrásból származó jogtiszta szoftver.
(4) Az elektronikus információs rendszer biztonságáért felelős személy javaslatot tesz a rosszindulatú programok
kiszűrésére és megelőzésére alkalmas különleges ellenőrző eszközök alkalmazására, beszerzésére.
(5) A felhasználóknak a kötelező oktatás során meg kell ismerniük a rosszindulatú és engedély nélküli programok
alkalmazásával járó veszélyeket. A felhasználói oktatásnak ki kell térni a vírusvédelmi rendszer működésére.
(6) A felhasználónak tilos a kliensvédelmi programot inaktívvá tenni, a beállításokat megváltoztatni, a védelmi programot
eltávolítani, kártékony kódot tartalmazó fájlt vagy elektronikus adathordozót bármilyen formában továbbítani,
továbbadni, illetve fertőzött állománnyal munkát végezni.
(7) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi.
31. A felhasználói azonosítók és jelszókezelés általános szabályai
41. § (1) A munkatárs köteles megakadályozni az illetéktelen személyek hozzáférését az elektronikus információs rendszer
erőforrásaihoz. A hatékony biztonságvédelem érdekében a felhasználói azonosítóval rendelkező felhasználók
kötelesek együttműködni.
(2) A felhasználókat oktatáson tájékoztatni kell az elektronikus információs rendszerekben a felhasználói azonosítását
végző eszközök, eljárások használatáról, különösen a jelszavak használatának szabályairól és a felhasználó kezelésében
lévő infokommunikációs eszközök biztonsági előírásairól.
(3) A jelszavakat tilos papíron tárolni, kivéve a legteljesebb jogosultságot biztosító felhasználói azonosítók jelszavait,
amelyeket kötelező zárt borítékban, két példányban, két különböző helyen, zárható lemezszekrényben tárolni.
(4) A jelszó kívülálló számára nem tartalmazhat a felhasználó személyére utaló információkat, különösen neveket,
telefonszámokat, születési dátumokat, illetve összefüggő szöveget.
(5) Amennyiben a munkaállomásokon a hitelesítési folyamatban a beírt jelszó olvasható, a felhasználó köteles
gondoskodni arról, hogy illetéktelen személy ne láthassa meg az általa beírt jelszót.
(6) A biztonságos jelszóhasználat szabályait minden felhasználóval oktatáson kell ismertetni.
(7) A felhasználó azonosítójával és jelszavával az elektronikus információs rendszerben végrehajtott műveletekért
személyesen felel.
(8) A felhasználó függetlenül a szerepkörétől az elektronikus információs rendszerbe csak saját felhasználónevével,
azonosítójával és jelszavával léphet be, és az alkalmazásokat csak saját nevében használhatja.
(9) A jelszó érvényességi idejét, ezzel együtt a jelszócsere gyakoriságát az elektronikus információs rendszer egyedi
szabályozása vagy a használt rendszer működése határozza meg. A jelszó cseréjét ezen értesítés hiányában legalább
90 naponta kötelező elvégezni.
(10) A jelszóképzés szabályait ezen utasítás 3. melléklete tartalmazza.
(11) A felhasználói azonosító kialakításáról és az elektronikus információs rendszerbe történő felvételéről a külső fél
gondoskodik. A külső fél alapértelmezett jelszóval adja át az első belépéshez szükséges információt a felhasználónak,
aki a jelszót az első belépés után köteles azonnal megváltoztatni.
(12) Új felhasználó vagy új hozzáférés kiosztása esetén az üzemeltető munkatársa szóban vagy írásban ismerteti
a felhasználóval a munkájához szükséges felhasználói nevét és induló jelszavát. A munkaállomásra történő első
belépést követően elkészíti részére az informatikai eszközön szükséges beállításokat.
(13) Ha a felhasználónak tudomása vagy gyanúja van arról, hogy jelszava más tudomására jutott, erről az elektronikus
információs rendszer biztonságáért felelős személyt köteles tájékoztatni és a jelszavát azonnal megváltoztatni.
32. Végpontvédelem 42. § (1) A hálózati végpontok és az azokra csatlakoztatott infokommunikációs eszközök végpontvédelméről minden eszköz
esetében úgy kell gondoskodni, hogy
a) illetéktelen személyek ne férjenek hozzá a szabadon maradt hálózati végpontokhoz,
b) illetéktelen személyek ne léphessenek be a infokommunikációs eszközökbe,
c) ne legyen támadható vezeték nélküli vagy vezetékes kapcsolat a rendszerben,
d) a felhasználó ne tölthessen le, ne másolhasson ki, illetve ne nyomtathasson ki engedély nélkül adatot
az infokommunikációs eszközökről.
(2) Az Iroda területén hálózati végpontot csak ellenőrzött körülmények között lehet létesíteni. Az ügyfélforgalom
bonyolítására szolgáló helyeken a használaton kívüli végpontoknak az aktív és passzív hálózati elemekkel való
kapcsolatát meg kell szüntetni, a strukturált hálózatról le kell választani.
(3) Vezeték nélküli hálózat az Iroda területén csak az elnök engedélyével létesíthető. A vezeték nélküli hálózat
adatforgalmánál a megfelelő titkosítási eljárást be kell állítani.
(4) Minden infokommunikációs eszközt, amely alkalmas
a) hálózathoz csatlakozásra,
b) adatok kimásolására és továbbítására,
c) USB adathordozó eszköz csatlakozásra vagy
d) vezeték nélküli kapcsolatok létesítésére,
végpontvédelemmel kell ellátni.
(5) A kliensvédelmi rendszert az Iroda minden infokommunikációs eszközére telepíteni kell. Az Iroda informatikai
hálózatához nem csatlakoztatható olyan infokommunikációs eszköz, amelyen nincs telepítve kliensvédelem.
(6) A használat …
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.