← Magyarország

7/2015. (X. 30.) NVI utasítása a Nemzeti Választási Iroda Informatikai Biztonsági Szabályzatáról.

Röviden

Ez az utasítás a Nemzeti Választási Iroda informatikai biztonsági szabályzatát írja le, meghatározva az elektronikus információs rendszerek védelmére vonatkozó szabályokat és eljárásokat. Célja az adatok megóvása, az üzembiztonság fenntartása és az informatikai vagyon védelme.

Amit szabályoz

Akire vonatkozik

Főbb pontok

📄 Jogszabály szövege
7/2015. (X. 30.) NVI utasítása a Nemzeti Választási Iroda Informatikai Biztonsági Szabályzatáról. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés f ) pontjában foglalt hatáskörömben eljárva – figyelemmel a  jogalkotásról szóló 2010. évi CXXX. törvény 23.  § (4)  bekezdés c)  pontjára – a következő utasítást adom ki: I. Fejezet Alapvető rendelkezések 1. Értelmező rendelkezések 1. § Ezen utasítás alkalmazásában: 1. adatállomány: az elektronikus információs rendszerben logikailag összetartozó, együtt kezelt adatok; 2. adatátvitel: az adatok elektronikus információs rendszerek, rendszerelemek közötti továbbítása; 3. adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele; 4. alkalmazás: olyan program, amelyet az alkalmazó saját speciális céljai elérése érdekében vezet be, és amely a hardver- és az üzemi rendszer funkcióit használja; 5. behatolás: védett elektronikus információs rendszerbe jogosulatlan belépés a védelem megkerülésével vagy védelmi hiba kihasználásával; 6. bejelentkezés: a  felhasználó által kezdeményezett olyan logikai kapcsolat, amelynek eredményeképpen az elektronikus információs rendszer funkcióinak használata lehetővé válik; 7. biztonság: a védelmi rendszer olyan, a szervezet számára kielégítő mértékű állapota, amely zárt, teljes körű, folytonos és a kockázatokkal arányos védelmet valósít meg; 8. biztonsági követelmények: a  kockázatelemzés eredményeként megállapított, elfogadhatatlanul magas kockázattal rendelkező fenyegető tényezők ellen irányuló biztonsági szükségletek együttese; 9. biztonságos adattörlés: olyan szoftveres eljárás, amely megvalósítja a DoD 5220.22 szabványban adathordozó típusonként előírt felülírási eljárásokat, jegyzőkönyvben rögzíti a  felülírási eljárás típusát, sikerességét, időpontját, illetve az adathordozó azonosítóját; 10. érzékeny adat: olyan adat, amely az információbiztonság szempontjából a sérülékenység és a fenyegetettség ténye alá esik; 11. funkcionalitás: az  elektronikus információs rendszerelem (ideértve az  adatot is) tulajdonsága, amely arra vonatkozik, hogy a rendszerelem a felhasználói céloknak megfelel és használható; 12. hozzáférés: olyan eljárás, amely valamely elektronikus információs rendszer használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat; 13. illetéktelen személy: olyan személy, aki az adat megismerésére nem jogosult; 14. informatikai központ: azon helyiségek, amelyek működő szerverek és hálózati elosztó elemek elhelyezésére és működtetésére szolgálnak, kivéve azon egyéb helyiségeket, amelyekben zárt, kulccsal biztosított rack szekrény található; 15. jelszó: védett karakterfüzér, amely a felhasználói névvel együtt használva a felhasználót azonosítja; 16. katasztrófaelhárítási terv: az  elektronikus információs rendszer rendelkezésre állásának megszűnése vagy nagymértékű csökkenése utáni visszaállításra vonatkozó terv, amely globális helyettesítő megoldásokat ad megelőző és elhárító intézkedésekre, amelyekkel a  bekövetkezett katasztrófaesemény után az  elektronikus információs rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható; 17. kiesési idő: az elektronikus információs rendszer leállásától a következő elérési lehetőségig eltelő idő; 18. kriptográfia: mindazoknak az  eljárásoknak, algoritmusoknak, biztonsági rendszabályoknak a  kutatását, alkalmazását jelenti, amelyek az  információ bizalmasságát, hitelességét vagy sértetlenségét hivatottak megvédeni; 19. kulcs: a kriptográfiában a kódolás és a megfejtés műveleteihez használt szimbólumok sorozata; 20. külső fél: az a természetes vagy jogi személy, amely a Nemzeti Választási Irodával (a továbbiakban: Iroda) kötött szerződéses kapcsolat keretében, az  Iroda által kezelt vagy felügyelt területen az  Iroda megrendelésére informatikával, információtechnológiával, elektronikus információbiztonsággal kapcsolatos munkát vagy tevékenységet végez; 21. program: a számítógépes utasítások logikailag és funkcionálisan összetartozó sorozata; 22. rendszerelemek: az adatokat körülvevő, az elektronikus információs rendszer részét képző összetevők; 23. rendszergazda: az elektronikus információs rendszer részét képező alkalmazások használatát és felügyeletét végző személy; 24. üzemeltető: az  Irodával jogviszonyban álló természetes személy, jogi személy vagy egyéni vállalkozó, aki az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős; 25. támadás: védett érték megszerzésére, megsemmisítésére, károkozásra irányuló cselekmény; 26. üzletmenet-folytonossági terv: az  üzletmenet fenntartása érdekében teendő intézkedések összessége, ha az adott üzleti folyamat vagy alkalmazás végrehajtása, működtetése valamilyen természeti vagy ember által okozott katasztrófa miatt akadályba ütközik; 27. vírus: olyan programtörzs, amely a  megfertőzött program alkalmazása során másolja, esetleg mutálja is önmagát, és amely többnyire komoly károkat okoz, adatot töröl, formázza a  merevlemezt, vagy adatállományokat küld szét e-mailben. 2. Az utasítás célja, hatálya és felülvizsgálata 2. § Az utasítás célja, hogy az  Iroda elektronikus információs rendszerének (a továbbiakban: elektronikus információs rendszer) működtetése, üzemeltetése, fejlesztése során, valamint az  informatikai szolgáltatási területen biztosított legyen a) az adatvédelmi előírások és az információbiztonsági követelmények érvényesülése, b) a kezelésében lévő adatok megóvása a jogtalan adatfelhasználástól és adatvesztéstől, c) a folyamatos informatikai üzembiztonság fenntartása, d) az informatikai vagyon védelme és megőrzése, valamint e) az informatikai hálózat integritása. 3. § (1) Az utasítás hatálya kiterjed az Iroda tulajdonában, kezelésében lévő valamennyi elektronikus információs rendszerre és azok elemeire, az  általa használt alkalmazásokra, adatbázisokra, hálózatokra, hálózati elemekre, kiegészítő informatikai eszközökre, valamint az  általa keletkeztetett, feldolgozott, tárolt, továbbított valamennyi adatra és információra, függetlenül azok megjelenési formájától. Idegen vagy vegyes tulajdonú, illetve kezelésű eszközök, rendszerek használata során figyelembe kell venni a külső fél azokra vonatkozó rendelkezéseit és előírásait, illetve az érvényes megállapodásokat. (2) Az utasítás hatálya kiterjed az  Iroda közszolgálati vagy egyéb jogviszonyban foglalkoztatott munkatársaira (a  továbbiakban: munkatárs), az  Iroda valamennyi szervezeti egységére, továbbá – amennyiben ez  külön megállapodásban rögzítésre kerül – az elektronikus információs rendszernek üzemeltetőjére, fejlesztőjére, valamint a külső felekre. 4. § (1) Az elektronikus információs rendszer biztonságáért felelős személy ezen utasítást évente legalább egy alkalommal felülvizsgálja, ennek keretében megfelelőségi vizsgálatot végez, és szükség esetén ezen utasítás módosítását kezdeményezi az Iroda elnökénél (a továbbiakban: elnök). (2) A megfelelőségi vizsgálat kiterjed ezen utasítás végrehajtásának, valamint a  felmerülő informatikai, információbiztonsági és adatvédelmi eseményeknek és az  ezekkel összefüggő biztonsági tevékenységeknek az ellenőrzésére. 3. Az utasítás végrehajtása 5. § Az egyes elektronikus információs rendszereket úgy kell kialakítani és beállítani, hogy azok megfeleljenek az ezen utasításban foglalt követelményeknek. 4. A végrehajtás során érvényesülő általános szabályok 6. § (1) Az elektronikus információs rendszer, rendszerelem használója kizárólag munkatárs vagy az  Irodával szerződéses jogviszonyban álló személy lehet, aki a  munkavégzéshez szükséges mértékű felhasználói szintű informatikai ismeretekkel rendelkezik, ezen utasítás rendelkezéseit megismerte, és hozzáférési jogosultságot kapott az elektronikus információs rendszerek használatához (a továbbiakban: felhasználó). (2) Az elektronikus információs rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható és akadálymentes működés, az egyes rendszerelemek funkcionalitásuknak megfelelő zavartalan és folyamatos üzemelése. (3) Az Iroda székházában az Iroda számára létrehozott logikai hálózathoz csatlakozó vagy az Iroda által engedélyezett hálózatba nem kötött infokommunikációs eszközök rendeltetésszerűen, munkavégzés céljából, az Iroda érdekeinek szem előtt tartásával, az Iroda által meghatározott módon, a felhasználó felelősségére használhatóak. Az eszközöket ettől eltérő célra – különösen magáncélra – használni nem lehet. (4) A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és szoftverintegritását. Az  integritás sérelmének minősül a  rendeltetésellenes használat, továbbá a  hardveres vagy szoftveres módosítás. (5) Tilos más felhasználó azonosítójával az  elektronikus információs rendszerbe bejelentkezni, illetve más részére bejelentkezési hozzáférést átadni. (6) A nem az Iroda tulajdonát képező infokommunikációs eszközt engedély nélkül az Iroda informatikai infrastruktúrájába csatlakoztatni tilos, kivéve az olyan adathordozó eszközöket, amelyek munkavégzés céljából kerülnek alkalmazásra, és az elektronikus információs rendszer biztonságáért felelős személy általi előzetes engedélyezésük megtörtént. 5. Titokvédelem és adatvédelem során érvényesülő szabályok 7. § (1) Az elektronikus információs rendszerekről és eszközökről kizárólag az elnök szolgáltathat adatokat. (2) Az elektronikus információs rendszerek bevezetésében és felhasználásában közreműködő külső fél munkatársai és vezetői az  Irodánál rendszeresített titoktartási nyilatkozat tételére kötelesek, vagy az  Iroda és a  külső fél közötti jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási kötelezettségéről. A titoktartási kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel kapcsolatos, illetve ezek bevezetése során tudomásukra jutó valamennyi információra. (3) Külső fél munkavégzése során a szükséges és elégséges hozzáférés elve alapján a) kizárólag a feladat ellátásához szükséges hivatali adat, információ megismerésére, továbbá b) az adat- és rendszerhozzáférésre a  munkavégzéséhez szükséges lehető legrövidebb ideig és szükséges legkisebb jogosultsági szint alkalmazásával jogosult. 6. Információbiztonsági általános szabályok 8. § (1) Az elektronikus információs rendszer részét képező adathordozókról – a munkahelyi célú felhasználás kivételével – tilos az  Iroda által kezelt, bizalmas adatot tartalmazó adatállományok, illetve a munkavégzés során szerzett egyéb adatok, információk másolása, illetéktelen személyekkel történő megismertetése vagy más, nem az utasítás hatálya alá tartozó elektronikus információs rendszerekbe történő eljuttatása. (2) Az infokommunikációs eszközök elhelyezése és tárolása során biztosítani kell az információ illetéktelen hozzáférésének megakadályozását. (3) Adatok átadásánál az adatok titkosításával, a titkosítás feloldásához szükséges kulcs független, biztonságos csatornán történő átadásával kell biztosítani az adatok bizalmasságát, illetéktelen személyek hozzáférésének megakadályozását. Az adatátadásokat minden esetben átadás-átvételi jegyzőkönyv kitöltésével kell igazolni. (4) Adatfeldolgozás során a  hardver- vagy szoftverhibából eredő adatvesztés gyanúja esetén – az  adatfeldolgozás szüneteltetése mellett – haladéktalanul értesíteni kell az  elektronikus információs rendszer biztonságáért felelős személyt. A  hiba elhárítását követően az  üzemeltető útmutatása szerint kell folytatni az  adatrögzítést, illetve adatfeldolgozást. (5) Az alkalmazások használata során az adatok felvitelét, módosítását, törlését kizárólag csak az elektronikus információs rendszer biztonságáért felelős személy által elfogadott alkalmazással, eljárással – szigorúan követve a  felhasználói dokumentáció útmutatását – lehet elvégezni. (6) Az elektronikus információs rendszerekhez és a bennük tárolt adatokhoz való hozzáférési jogosultság dokumentált engedélyeztetése útján kell gondoskodni arról, hogy jogosulatlan felhasználó azokat ne módosíthassa, és ne törölhesse. A mentések és archívumok tárolása és őrzése során is biztosítani kell az adatok bizalmasságát, sértetlenségét és rendelkezésre állását, valamint az adatmegőrzési idő lejártakor az adatok biztonságos megsemmisítését. 7. Kiemelt rendelkezésre állási időszakok kezelése 9. § (1) Az országgyűlési képviselők általános választása, az  Európai Parlament tagjainak választása, az  önkormányzati képviselők és polgármesterek, illetve a nemzetiségi önkormányzati képviselők általános választása, valamint országos népszavazás kitűzésétől az  eredmény megállapításának jogerőssé válásáig tartó időszak, továbbá az  elnök által egyedileg meghatározott időszak kiemelt rendelkezésre állási időszak (a továbbiakban: kiemelt rendelkezésre állási időszak). (2) Kiemelt rendelkezésre állási időszakra vonatkozóan az  elnök jogosult elrendelni kiemelt üzemeltetési szolgálatot (a továbbiakban: szolgálat), amelynek feladata, hogy a kiemelt rendelkezésre állási időszakban a  legrövidebb időn belül a felmerülő hiba a) diagnosztizálása, b) javítása, valamint c) szükség esetén a tartalékmegoldások azonnali üzembe állítása megtörténjen. (3) A szolgálat katasztrófahelyzetben az Iroda üzletmenet-folytonossági terve és katasztrófaelhárítási terve alapján jár el. (4) A szolgálatot úgy kell megszervezni, hogy biztonsági incidensek vagy azok gyanúja esetén a szolgálat képes legyen a legnagyobb kockázatot jelentő biztonsági incidensek azonnali kezelésére is. 10. § (1) A kiemelt rendelkezésre állási időszakra vonatkozóan dokumentálni kell az ezen utasítástól eltérő követelményeket és rendkívüli intézkedéseket, amelyeket az elnök hagy jóvá. (2) A kiemelt rendelkezésre állási időszakban az  ezen utasítás hatálya alá tartozó informatikai központokba kizárólag a szolgálatban részt vevő személyek léphetnek be. II. Fejezet Az informatikai biztonság rendje 8. Informatikai biztonsági feladat-, felelősségi és kompetenciakörök 11. § (1) Az informatikai biztonság szempontjából kritikus eljárások irányítási feladatköreit úgy kell kialakítani, hogy azok több munkakörhöz kapcsolódjanak a lehetséges visszaélések elkerülése érdekében. (2) Az informatikai biztonsággal kapcsolatos ellenőrzési feladatokat el kell különíteni az infokommunikációs rendszerek üzemeltetési tevékenységétől. (3) Az (1) és (2)  bekezdésben foglalt követelmények teljesülését évente az  ellenőrzési terv alapján az  elektronikus információs rendszer biztonságáért felelős személy ellenőrzi. 12. § (1) Az elektronikus információs rendszer biztonságáért felelős személy a) minden év január 31. napjáig éves ellenőrzési tervet készít, b) az elnök által elfogadott éves ellenőrzési terv alapján elvégzi a biztonsági ellenőrzést, c) az ellenőrzés során tapasztaltak alapján intézkedik, illetve javaslatot tesz a  hibák vagy a  nem megfelelő működés kijavítására, d) a végrehajtott ellenőrzésekről minden év december 31. napjáig jelentést készít az elnök részére, e) ellenőrzi a hozzáférési jogosultságok rendszerét, felhasználóhoz rendelésük megfelelőségét, f ) részt vesz az elektronikus információ biztonsággal kapcsolatos vezetői döntések előkészítésében, g) kivizsgálja az informatikai tárgyú biztonsági eseményeket, h) a biztonsági eseményekről tájékoztatja az elnököt, i) együttműködik az  információbiztonság megvalósításában részt vevő informatikai, információbiztonsági munkatársakkal, valamint külső felekkel, j) szükség esetén kezdeményezi ezen utasítás 1. mellékletének módosítását, k) elkészíti az Iroda, illetve annak önálló szervezeti egysége részére előírt biztonsági szint eléréséhez szükséges feladatokat tartalmazó intézkedési tervet, l) elkészíti az üzletmenet-folytonossági tervet és katasztrófaelhárítási tervet, m) elkészíti az informatikai biztonsági felhasználói szabályzatot, n) az információbiztonság érdekében összehangolja az információbiztonságot meghatározó vagy azt befolyásoló, az Iroda önálló szervezeti egysége vagy külső fél által ellátott tevékenységeket, o) kivizsgálja az  elektronikus információs rendszerekben kezelt adatok rendelkezésre állását, bizalmasságát, sértetlenségét érintő rendkívüli biztonsági eseményeket, javaslatot tesz az elnöknek további intézkedésekre, p) értékeli az elektronikus információs rendszerek eseménynaplóit, q) ellenőrzi a kártékony kódok elleni védelmi megoldások használatát, r) ellenőrzi az elektronikus információs rendszerekre vonatkozó dokumentációk meglétét és megfelelőségét, s) ellenőrzi a vonatkozó információbiztonsági követelményeket az elektronikus információs rendszerek fejlesztési, üzemeltetési és alkalmazási dokumentációiban, t) amennyiben a  kibertérből érkező új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem erősítését, u) javaslatot tesz az információbiztonság tudatosítását erősítő képzésre, továbbképzésre, v) a biztonsági események jelentését követően elvégzi az  esemény kivizsgálásához szükséges információk összegyűjtését, w) felméri az  elektronikus információs rendszerekben kezelt adatok rendelkezésre állását, bizalmasságát, sértetlenségét érintő lehetséges kockázatokat, és az elnök jóváhagyását követően a  felmérésnek megfelelő biztonsági területeket jelöl ki, valamint x) ellátja az ezen utasításban vagy az elnök által egyedi utasításban a részére megállapított egyéb feladatokat. (2) Az elektronikus információs rendszer biztonságáért felelős személyt feladatai teljesítéséhez szükséges mértékben az  elektronikus információs rendszerek valamennyi elemének tervezésével, fejlesztésével, beszerzésével és üzemeltetésével kapcsolatban megilleti a  tanácskozási, véleményezési, javaslattételi, kezdeményezési, ellenőrzési, betekintési és hozzáférési jogosultság. 13. § Az önálló szervezeti egység vezetője a) tájékoztatja az elektronikus információs rendszer biztonságáért felelős személyt a vezetése alatt álló szervezeti egységben előforduló személyi változásokról, b) gondoskodik arról, hogy az  adott szervezeti egység felhasználói megismerjék, és munkavégzésük során alkalmazzák ezen utasítást, valamint c) ellenőrzi, hogy a szervezeti egység felhasználói betartják-e ezen utasítás rendelkezéseit. 14. § (1) Az Iroda elektronikus információs rendszereinek fejlesztésére, üzemeltetésére vagy adatfeldolgozására külső féllel kötött megállapodásokban rendelkezni kell a külső fél információbiztonsági kötelezettségeiről és az Iroda ellenőrzési jogosultságairól, így különösen a) az informatikai biztonság fő szabályairól, b) a feldolgozandó, kezelendő adatok érzékenységéről, a biztonsági osztályokról, illetve a védelem érdekében meghatározott és a külső fél által alkalmazandó eljárásokról, c) az információbiztonsággal, valamint az  adatkezeléssel összefüggő tevékenységek hatékony nyomonkövethetőségéről, d) az információk másolásának és nyilvánosságra hozatalának feltételeiről, e) a szolgáltatás elvárt szintjének és a szolgáltatási időszaknak a meghatározásáról, f ) a külső fél tevékenységének az üzletmenet-folytonossági és katasztrófaelhárítási tervekre gyakorolt hatásáról, g) a teljesítések ellenőrizhetőségéről, monitorozásának lehetőségeiről, h) a garanciaszintekről, azok követelményeiről, i) a hardver- és szoftvertelepítésből, valamint a karbantartásokból eredő felelősségről, j) a világos és egyértelmű jelentéskészítési struktúráról, k) a változáskezelések egyértelmű és meghatározott folyamatáról, l) a kártékony kódok elleni óvintézkedések meghatározásáról, m) a biztonsági eseményeket követő jelentéstételi kötelezettségről, illetve a  biztonsági események kezelésére vonatkozó feladatokról és eljárásokról, n) az érintett rendszerelemek és folyamatok meghatározásáról, o) azokról a paraméterekről, amelyeket a külső félnek el kell érnie ahhoz, hogy igazolható legyen a teljesítése, p) az egyes szolgáltatásokhoz kapcsolódó elvárt szolgáltatási szintekről, valamint a szolgáltatások mérésének és azokra vonatkozó jelentések módjáról, q) a megállapodásból eredő jogsértésekhez kapcsolódó szankciókról, r) a külső fél és a munkatársak közötti feladat és felelősség megosztásáról, valamint az egymás tájékoztatásának és a teljesített feladat átadás-átvételének folyamatáról, valamint s) a rendkívüli helyzetek kezelése esetén alkalmazandó feladatmegosztásról, feladat- és felelősségi körökről, illetve a jelentési kötelezettségről. (2) Az (1) bekezdés szerinti megállapodás megkötését megelőzően az elektronikus információs rendszer biztonságáért felelős személy megvizsgálja, hogy a külső fél által nyújtott szolgáltatásnak milyen információbiztonsági kockázatai vannak. Az  így megállapított kockázatokkal arányosan kell meghatározni a  megállapodásban a  külső fél által teljesítendő információbiztonsági kötelezettségeket. (3) A külső fél munkavégzése során a) gondoskodik arról, hogy az elektronikus információs rendszerben kezelt adatok bizalmassága, sértetlensége, rendelkezésre állása és az adatvédelem elvei nem sérülhetnek, b) gondoskodik arról, hogy a  hozzáférési jogot kapott munkatársai a  jogosultságot nem adhatják át más személynek, c) gondoskodik arról, hogy a hozzáférési azonosítókat és az ezekhez kapcsolódó fizikai eszközöket bizalmasan kezelje, és biztosítsa, hogy azokhoz illetéktelen személyek ne férhessenek hozzá, d) garantálja az  elektronikus információs rendszerek és infokommunikációs eszközök megfelelő védelmét, a szükséges és elégséges hozzáférés elvének betartását, fizikai és logikai védelem kialakítását, rendszerszintű titkosítási eljárások alkalmazását, illetve a biztonsági naplózást, valamint e) ha távolról éri el az Iroda hálózatát, illetve valamely elektronikus információs rendszerét, akkor a biztonságos elektronikus adatcsere-kapcsolat érdekében köteles az Iroda által előírt információbiztonsági megoldásokat megvalósítani mindazon saját eszközein, amelyekről a távoli elérés lehetséges. (4) Bizalmas adatforgalom az Iroda és a külső fél között csak titkosított kommunikációs csatorna biztosításával történhet. (5) Az elektronikus információs rendszerhez kapcsolódó rendszergazdai feladatok ellátásáért az  üzemeltetést végző külső fél felel. (6) A külső fél által az (1) bekezdés szerinti megállapodás alapján nyújtott szolgáltatások megfelelőségét az elektronikus információs rendszer biztonságáért felelős személy folyamatosan ellenőrzi. 15. § A munkatárs köteles a) az elektronikus információs rendszer biztonságáért felelős személyt minden olyan tényről, eseményről haladéktalanul értesíteni, amely ezen utasítás rendelkezéseinek végrehajtását akadályozza, illetve ellentétes az utasítás rendelkezéseivel, b) haladéktalanul jelenteni az  észlelt biztonsági fenyegetettségeket és eseményeket az  elektronikus információbiztonságért felelős személynek, c) a munkavégzése során a  rá bízott adatokat, információkat, infokommunikációs eszközöket, elektronikus információs rendszereket felelősséggel, az előírások szerint kezelni, illetve használni, d) részt venni az informatikai és információbiztonsági képzéseken, továbbképzéseken, e) az elektronikus információs rendszerben történő munkavégzése során tiszteletben tartani a  felhasználói csoportjára vonatkozó szabályokat, f ) az elektronikus információs rendszerekhez használt hozzáféréseit biztonságos módon, bizalmasan kezelni, g) informatikai segítséget kérni, ha olyan jellegű feladatot kell ellátnia, amelyhez nincs meg a  megfelelő informatikai ismerete, valamint h) gondoskodni a  nyomatképző berendezések használata során a  felesleges vagy rontott iratpéldányok jogszabályban előírt módon történő megsemmisítéséről. 9. Információs vagyon osztályozása 16. § (1) Az Irodában információs vagyonleltárt kell létrehozni, amely tartalmazza az elektronikus információs rendszerekben kezelt adatok típusát adatkörönként, az adatok kezeléséért felelős szervezeti egység vezetőjét, valamint az adatok tárolási helyét és módját. (2) Az (1) bekezdés szerinti vagyonleltár naprakész vezetését az elektronikus információs rendszer biztonságáért felelős személy látja el. 10. Biztonsági osztályba sorolás, kockázatmenedzsment 17. § Az elektronikus információs rendszerek biztonsági osztályba sorolását, valamint az Iroda, illetve szervezeti egységei tekintetében a biztonsági szint meghatározását ezen utasítás 1. melléklete tartalmazza. 18. § (1) Az elektronikus információs rendszer biztonságáért felelős személy minden év június 30. napjáig a rendelkezésre álló információk alapján biztonsági kockázatelemzést köteles készíteni. A  kockázatelemzés során a  kockázatok megállapítása érdekében az  elektronikus információs rendszer biztonságáért felelős személy tájékoztatást kérhet a szervezeti egységek vezetőitől, illetve a külső felektől. (2) A kockázatelemzés során az  egyes veszélyforrások által okozható kockázatokat kell megállapítani, illetve feltárni. A  kockázatokat a  veszély megvalósulásának valószínűsége és az  okozható kár alapján vagy a  sérülékenység kihasználhatósága, az elektronikus információs rendszer kitettsége és ennek hatása alapján kell meghatározni. (3) Az elektronikus információs rendszer biztonságáért felelős személy a  kockázatelemzés során a  kockázatokat kategóriákba sorolja, és kockázatcsökkentési vagy -megszüntetési intézkedésekről, valamint az elfogadásra javasolt kockázatokról jelentést készít az elnök részére. (4) A kockázatelemzésről szóló jelentés alapján az  elnök a  kockázatokat értékeli, és gondoskodik a  kockázatok csökkentéséhez, illetve megszüntetéséhez szükséges intézkedések meghozataláról, vagy az  elfogadásra javasolt kockázat elfogadásáról dönt. III. Fejezet A humán erőforrásokra vonatkozó biztonsági előírások 11. A munkavégzés szabályai az NVI információs rendszerében 19. § (1) A munkatárs munkavégzése során köteles a) az elektronikus információs rendszereket kizárólag hivatalos célokra használni, b) a használatra kapott infokommunikációs eszköz rendszerszintű beállításainak módosítását mellőzni, c) a használt infokommunikációs eszköz kezelésével kapcsolatos kezelési és biztonsági ismereteket elsajátítani és készség szintjére fejleszteni, d) az elektronikus információs rendszerekbe csak szabályszerűen, kizárólag a  személyéhez rendelt azonosító eszközzel bejelentkezni, e) a képernyőket, nyomtatókat úgy elhelyezni, hogy azok minél kevesebb lehetőséget biztosítsanak illetéktelen személyek betekintésére, f ) a rendszeresített biztonsági funkciókat megtartani, g) tartózkodni minden olyan tevékenységtől, amely az elektronikus információs rendszerben kárt okozhat, h) az esetleges meghibásodás esetén törekedni a további károsodás megelőzésére, valamint i) hiba esetén értesíteni az  elektronikus információs rendszer biztonságáért felelős személy mellett az  önálló szervezeti egysége vezetőjét. (2) Az elnök fegyelmi eljárást kezdeményezhet, ha a munkatárs a szervezet információs vagyonát veszélyezteti továbbá, ha a munkatárs a veszélyt jelentő tevékenységre történő figyelmeztetést követően is szándékosan és rendszeresen a) megszegi az internet és az elektronikus levelezés használati szabályait, vagy b) ezen utasításban foglalt tiltott tevékenységet végez, vagy veszélyezteti a  szervezet adatait, rendszereit, jogszabályoknak való megfelelését vagy jó hírnevét. 12. Felhasználók oktatása 20. § (1) Új felhasználó esetén az elektronikus információs rendszer biztonságáért felelős személy tájékoztatja a felhasználót az elektronikus információs rendszer használatához kapcsolódó informatikai és információbiztonsági szabályokról, a  szabályzatok elérhetőségéről, továbbá felhívja a  munkatárs figyelmét azok megismerésére és betartására. A  szükséges informatikai és információbiztonsági szabályzatok megismerésének tényét a  munkatárs aláírásával igazolja. (2) Ezen utasításban foglaltak megismertetésére és a  feladatellátást érintő informatikai és információbiztonsági szabályokról az elnök évente informatikai és információbiztonsági oktatást szervez. (3) Az oktatáson, illetve továbbképzésen való részvétel a  felhasználók számára kötelező. A  megjelenést a  résztvevők aláírásukkal igazolják. IV. Fejezet 13. Biztonsági és üzemzavarok kezelése 21. § (1) Az elektronikus információs rendszer biztonságáért felelős személy minden működési zavarról, amely az elektronikus információs rendszer folyamatos üzemét megzavarja, vagy a normális üzletmenetet hátráltatja, haladéktalanul jelent a rendszer üzemeltetőjének. A jelentést követően az üzemeltetőnek az Iroda és a közötte létrejött megállapodásban meghatározottak szerint meg kell szüntetnie az üzemzavart. (2) Az elektronikus információs rendszer biztonságáért felelős személy rendszer-, illetve alkalmazáshiba esetén a) figyelemmel kíséri a működési zavar tüneteit, a képernyőn megjelenő üzeneteket, b) amennyiben a rendszerhibát vélhetően külső, illetéktelen beavatkozás vagy vírustámadás okozta, az érintett elektronikus információs rendszert, illetve rendszerelemet leválasztatja a  hálózat(ok)ról, szükség esetén kikapcsoltatja, c) az Iroda hozzáférési és egyéb adatvédelmi rendszereinek működési zavarát, a  megtett intézkedéseket haladéktalanul írásban jelenti az elnöknek, valamint d) gondoskodik arról, hogy a meghibásodott elektronikus információs rendszerelemekben használt adathordozók kizárólag a biztonsági ellenőrzést követően legyenek használhatóak más rendszerelemekben. 14. A biztonsági események kezelési eljárása 22. § (1) A biztonsági eseményre adandó gyors és hatékony megoldások érdekében az  elektronikus információs rendszer biztonságáért felelős személynek üzletmenet-folytonossági tervben kell meghatároznia a  váratlan eseményekkel kapcsolatos felelősségeket és eljárásokat. (2) Az üzletmenet-folytonossági tervnek ki kell terjednie a) az elektronikus információs rendszerhiba és a szolgáltatásmegszakadás, b) a szolgáltatásmegtagadás, c) a sértetlenség elvesztése, valamint d) a bizalmasság elvesztése biztonsági eseményekre. (3) Az üzletmenet-folytonossági tervben rendelkezni kell arról, hogy a biztonsági események kezelése során a) azonosítani és elemezni kell az biztonsági események okait, b) ki kell dolgozni a biztonsági események ismétlődésének megakadályozására vonatkozó terveket, c) naplózni kell a biztonsági eseményeket, d) gondoskodni kell a visszaállítás megoldásáról, valamint e) jelentést kell készíteni az elnök részére. (4) Az üzletmenet-folytonossági tervben rendelkezni kell a  biztonsági események kezelését követő elnöki jelentés tartalmi elemeiről. (5) Az üzletmenet-folytonossági tervben a biztonsági események és rendszerhibák javítási eljárását úgy kell meghatározni, hogy a) csak az  engedéllyel és a  kellő szaktudással rendelkező személyek férhessenek hozzá az  informatikai rendszerekhez és azok adataihoz, b) a kijavításra kijelölt személy ismerje a  biztonsági esemény során az  üzemeltető által alkalmazandó vagy alkalmazott eljárást, c) a biztonsági esemény során alkalmazandó vagy alkalmazott eljárás jegyzőkönyvben rögzítésre kerüljön, d) a biztonsági eseményeket követően az adatok sértetlensége haladéktalanul ellenőrzésre kerüljön. (6) Az üzletmenet-folytonossági tervben részletezettek szerint a biztonsági eseményeket a) típus, b) terjedelem, c) az általuk okozott károk, helyreállítási költségek, valamint d) a hitelesítési és monitorozási rendszer kimenetei alapján kell értékelni. (7) Az érintett elektronikus információs rendszer, illetve rendszerelem üzemeltetője – az  Iroda és a  közötte létrejött megállapodásban meghatározottak szerint – a  biztonsági esemény elhárítása érdekében intézkedik a  hiba megszüntetéséről, és a  további teendőkről az  elektronikus információs rendszer biztonságáért felelős személyt folyamatosan tájékoztatja. Szükség esetén – ideiglenes jelleggel – helyettesítő megoldással is biztosíthatja az üzemeltető a felhasználói munkavégzést. 15. Biztonsági események jelentése és nyilvántartása 23. § (1) Az elektronikus információs rendszer bármely felhasználói pontján jelentkező, adott rendszerelemmel kapcsolatban felmerülő rendellenes működés, jelenség, vírusjelzés vagy futási hiba esetén a  felhasználó köteles a  tapasztalt jelenséget, a  jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni az  elektronikus információs rendszer biztonságáért felelős személy részére. (2) Az üzemeltető – az  Iroda és a  közötte létrejött megállapodásban rögzített rendben – köteles azonnal jelenteni az  elektronikus információs rendszer biztonságáért felelős személynek, amennyiben munkája során biztonsági veszélyeket vagy az infokommunikációs rendszerben veszélyforrást fedezett fel. (3) A bejelentett biztonsági eseményekről az elektronikus információs rendszer biztonságáért felelős személy elektronikus nyilvántartást vezet. V. Fejezet Az IT-infrastruktúra fizikai környezetének biztonsága 16. Elektronikus információs rendszert, rendszerelemet tartalmazó helyiségekbe való belépés rendje 24. § (1) Az elektronikus információs rendszer biztonsága szempontjából azokat a  helyiségeket és épületeket védeni kell, amelyekben elektronikus információs rendszer, rendszerelem működik. Az  Iroda használatában lévő épület azon helyiségében, ahol elektronikus információs rendszer, illetve rendszerelem van, csak azok a személyek tartozódhatnak, akik oda munkavégzésük folytán erre jogosultak. A  jogosultsággal nem rendelkező munkatársak vagy egyéb személyek csak kísérettel és állandó felügyelet mellett tartózkodhatnak a helyiségben. (2) A biztonsági területekre és az egyes biztonsági zónákba való belépést vagy beléptetést ellenőrizni és naplózni kell. A beléptetés előtt ellenőrizni kell a belépő által megjelölt belépési célt. (3) Az olyan helyiségeket, ahol elektronikus információs rendszerben, infokommunikációs eszközzel történik a munkavégzés, biztonsági zárral kell ellátni, és a helyiséget a felhasználó távolléte esetén zárva kell tartani. 17. Áramellátás szolgáltatási rendje 25. § (1) Az elektromos hálózatot a  szünetmenetességre, az  áthidalási és újratöltési időre vonatkozó követelményeknek megfelelően kell kialakítani, és külön leágazás megépítésével kell a  betáplálásról gondoskodni. Ha egy nem informatikai központnak kijelölt hivatali helyiségben szerver üzemel, gondoskodni kell helyi szünetmentes tápáramellátásról. (2) Az elektronikus információs rendszer, illetve rendszerelem energiaellátási védelmének kialakítása során a) az elektronikus információs rendszer, illetve rendszerelem üzemeltetőjének biztosítania kell az  informatikai berendezés gyártója által meghatározott energiaellátási követelményeket, b) megszakítás nélküli áramforrást kell használni, valamint c) többféle alternatív áramszolgáltatási lehetőséget kell igénybe venni. (3) Az energiaellátó hálózat kábelezésénél védett kábeleket kell használni, és az  adatátviteli kábelt el kell különíteni az energiaellátás kábeleitől. (4) A kábeleket a kábelrendező és a csatlakozóaljzatok között rögzített csatornában kell vezetni, a  lengőkábelek nem keresztezhetnek közlekedési utat. A hálózat valamennyi elemét olyan környezetben kell elhelyezni, ahol a jogosulatlan fizikai hozzáférés megakadályozott. (5) Az elektronikus védelmi rendszert az  épület teljes területén ki kell építeni. A  riasztásoknak az  épület biztonsági szolgálatánál vagy a legközelebbi illetékes rendvédelmi szervnél is meg kell jelenniük. Az elektronikus védelemnek szabotázsvédettnek kell lennie. (6) Az elektronikus információs rendszerek, rendszerelemek a  vonatkozó szabványnak megfelelően kizárólag védőföldeléssel ellátott 230 V feszültségű elektromos hálózati dugaszolóaljzatba csatlakoztathatók. (7) Az Iroda székházának területén az elektronikus információs rendszert, áramellátó hálózatot, telefonhálózatot érintő bármilyen beavatkozást, építést, karbantartást, átalakítást csak az  Üzemeltetés tájékoztatása után, annak jóváhagyásával és felügyeletével lehet végezni. (8) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi. 18. Tárolóhelyiségekre vonatkozó védelmi előírások 26. § (1) Nyílt tárolás esetén az  elektronikus és papíralapú dokumentumok biztonságáról az  Iroda Iratkezelési Szabályzata szerint kell gondoskodni. (2) Az informatikai eszközök munkaidőn túl zárható helyiségben, zártan tárolhatók. (3) Speciális biztonsági eszközök alkalmazására az információs rendszer biztonságáért felelős személy engedélyével van lehetőség. 19. Fizikai biztonsági elkülönítés 27. § (1) Az IT-infrastruktúra elemeinek a kockázatokkal és az értékükkel arányos fizikai védelmet kell biztosítani. (2) Az elektronikus információs rendszer kritikussága és a  benne kezelt adatok besorolásának kockázata alapján a  helyiségeket fizikai biztonsági zónák szerint kell besorolni. A  besorolást az  információs rendszer biztonságáért felelős személy végzi el. (3) A biztonsági követelményeknek megfelelően úgy kell a  helyiségeket kialakítani, hogy az  elektronikus információs rendszerek megfelelő fizikai és környezeti védelmét garantálni tudják. A  kialakított biztonsági zónákban történő munkavégzésre – a zónát veszélyeztető fenyegetettségek függvényében – más-más informatikai és fizikai biztonsági követelmények vonatkozhatnak. (4) A fizikai biztonsági zónákat elektronikus információs rendszerenként, valamint biztonsági osztályonként egyaránt rögzíteni kell. (5) A védett helyiségekbe és biztonsági területekre, valamint zónákba való belépési jogosultságokat úgy kell meghatározni, hogy az  egyes személyeket, a  személyek csoportjait az  elektronikus információs rendszerben vagy környezetében betöltött szerepük alapján kell hozzárendelni a helyiségekhez vagy helyiségcsoportokhoz. (6) Az elektronikus információs rendszerek környezetét megfelelő fizikai, mechanikai, elektronikai és személyi védelemmel kell biztosítani. Az  alkalmazott védelmi formák körét, azok kialakítását az  információs rendszer biztonságáért felelős személy az  Üzemeltetéssel egyeztetve határozza meg, az  Iroda székhelyéül szolgáló épület védelmi igényének és speciális feltételeinek figyelembevételével. (7) A kiemelten védendő zónákba való belépési jogosultságot személyre szólóan, a személy feladatellátási kötelezettsége alapján kell meghatározni. Állandó vagy egyedi belépési jogosultságot az  informatikai központba az  elnök engedélyezhet. 20. Infokommunikációs eszközök, rendszerelemek fizikai védelmének szabályozása 28. § (1) Az elektronikus információs rendszerek, rendszerelemek nyilvántartásáért a  Gazdálkodási Főosztály felel. A rendszerelemeket az eszköznyilvántartásban tartják nyilván, és a változásokat azonnal, de legkésőbb öt munkanapon belül aktualizálják. (2) Az elektronikus információs rendszerek, rendszerelemek üzembe helyezésére, valamint selejtezésére csak az elnök által kijelölt személy vagy megállapodás alapján külső fél jogosult. (3) Az elektronikus információs rendszerekbe, rendszerelemekbe beépített és külső adathordozókat javítás, újrahasznosítás, selejtezés esetén a biztonságos adattörlést megvalósító célhardverrel vagy szoftverrel, vagy ha ez az adathordozó működésképtelensége miatt nem megvalósítható, akkor fizikai roncsolással szükséges adatmentesíteni. (4) A környezeti veszélyek és kockázatok mérséklése érdekében a) a rendszerelemeket úgy kell elhelyezni, hogy azokhoz az illetéktelen személy hozzá ne férhessen, b) a különleges védelmet igénylő, fokozott és kiemelt biztonsági osztályba tartozó rendszerelemeket elkülönítve kell elhelyezni és használni, és c) a környezeti hatások és a  lehetséges veszélyforrások folyamatos vizsgálatával és elemzésével törekedni kell a szükséges működési feltételek biztosítására. (5) Az elektronikus információs rendszerelemek, infokommunikációs eszközök rendeltetésszerű használatáért az eszköz használója felel vagy az a személy, aki vezetői utasításra vagy a vezető engedélyével azt használta. Közös használatú eszköz esetén a  rendeltetésszerű használatért az  a  személy felel, akit a  vezető kijelöl az  eszköz, rendszerelem felügyeletére. (6) A munkavégzése során infokommunikációs eszközt használó köteles az  általa működtetett eszközt és az  ahhoz csatlakoztatott egyéb eszközöket a) a rendeltetésnek megfelelően, munkavégzés céljából, szakszerűen, az  Iroda érdekeit szem előtt tartva ezen utasításban meghatározott módon használni és b) a munka befejeztével valamennyi eszközt kikapcsolni, kivéve ha ezzel ellentétes állandó vagy egyedi írásos utasítást nem kap. (7) Az infokommunikációs eszközök használata során tilos a) az eszközt illetéktelen személynek átengedni, b) az eszköz közelében folyadékot, éghető anyagot, illetve felette, alatta vagy rajta az  eszköz rendeltetésétől eltérő anyagot, tárgyat elhelyezni és tárolni és c) az eszközt – hordozható infokommunikációs eszközök kivételével – a telepítési helyéről elmozdítani és elvinni az üzemeltető engedélye és közreműködése nélkül. (8) Az infokommunikációs eszközöknek a munkafeladattól eltérő célra történő használatához az önálló szervezeti egység vezetőjének engedélye és az elnök hozzájárulása szükséges. (9) Az infokommunikációs eszközökhöz bármilyen külső eszközt, illetve kábelt csatlakoztatni csak az  üzemeltető engedélyével vagy közreműködésével lehet. Az üzemeltető által már csatlakoztatott és beüzemelt eszköz további használata visszavonásig engedélyezett. (10) Címkét, jelölést vagy feliratot az  elektronikus információs rendszerelemekre, infokommunikációs eszközökre csak az  Üzemeltetés helyezhet, illetve távolíthat el onnan. Az  eszközök burkolatát megbontatni tilos. Alkatrészt csak az üzemeltető helyezhet be az eszközbe, illetve szerelhet ki az eszközből. (11) Azokban a  helyiségekben, ahol ügyfélfogadás történik, az  elektronikus információs rendszerelemek, infokommunikációs eszközök adatait tartalmazó felületeit úgy kell elhelyezni, hogy azokra az ügyfél ne láthasson rá. 21. Elektronikus információs rendszerek, rendszerelemek karbantartása 29. § (1) Az üzemeltető szükség szerint, illetve tervezett és a felhasználókkal egyeztetett módon karbantartást végez. (2) Az üzemeltető a specifikációban javasolt időközönként köteles elvégezni a rendszerelemek karbantartását. (3) A rendszerelemek kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező személyek végezhetik. (4) A rendszerelemek, infokommunikációs eszközök külső helyszínen történő javítása, karbantartása esetén gondoskodni kell a  rendszerelem adathordozóin tárolt adatok végleges (visszaállíthatatlan) törléséről vagy az  adathordozó eltávolításáról. 22. Eszközkivonási biztonsági intézkedések, újrahasznosítás 30. § (1) Megsemmisítésre kijelölt elektronikus információs rendszerelemeket, infokommunikációs eszközöket megsemmisítésig a használatban lévő eszközöktől elkülönítetten kell tárolni és kezelni, figyelembe véve a) a veszélyes anyagok tárolására és a megsemmisítésre vonatkozó szabályokat, b) a leltározásra és selejtezésre vonatkozó szabályokat, illetve c) az adatvédelem biztonsági követelményeit. (2) Az elektronikus információs rendszerelemek, infokommunikációs eszközök végleges használaton kívül helyezése előtt gondoskodni kell az adathordozóikon tárolt összes adat visszaállíthatatlan eltávolításáról és felülírásáról vagy a  beépített adathordozó eltávolításáról és megfelelő tárolásáról, a  beépített vezérlőszoftverek konfigurációjának törléséről, illetve alapértelmezett gyári értékek visszaállításáról. (3) Külső félnek javításra, megsemmisítésre elszállítandó infokommunikációs eszközből el kell távolítani a  beépített adathordozót, és anélkül kell átadni a külső fél képviselőjének. Ha az eltávolítás nem megoldható, akkor biztonságos adattörlési eljárást kell alkalmazni, vagy a  külső fél arra felhatalmazott képviselője az  adatvédelmi és titoktartási szabályok betartására vonatkozóan nyilatkozatot köteles tenni. 23. Informatikai központra vonatkozó általános biztonsági előírások 31. § (1) Az információs rendszer biztonságáért felelős személy az  Üzemeltetéssel együttműködve gondoskodik az  Iroda felügyelete alatt álló helyiségek esetén a) az informatikai központ és a  benne elhelyezett elektronikus információs rendszerelemek fizikai védelmét biztosító eszközök és berendezések meglétéről, azok működőképességének rendszeres ellenőrzéséről, tervezett karbantartásukról, b) a szerverek működéséhez szükséges megfelelő fizikai környezet kialakíttatásáról, c) a megfelelő elektromos hálózat, villám- és túlfeszültség-, valamint érintésvédelmi berendezések meglétéről és működésének biztosításáról, d) a behatolás elleni védelem és riasztórendszer kialakításáról, e) a megfelelő tűzvédelmi rendszerről. (2) A informatikai központban, közvetlenül mellette és felette vizesblokk kialakítása tilos. Az  informatikai központot védeni kell szennyvíz, illetve esővíz bejutása ellen. (3) Az informatikai központokban végzett építési és karbantartási munkákat az érintettek előzetes értesítése, az időpontok egyeztetése után az üzemeltető által kijelölt munkatárs felügyeli. (4) Az üzemeltetés és hibaelhárítás során jelentkező alkatrészbeszerzések, javítások és a rendszer fejlesztésére irányuló beszerzések biztonsági szempontú szakmai előkészítése az  információs rendszer biztonságáért felelős személy feladata. (5) A teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. Az informatikai központok üzemeltetése során biztosítani kell a mechanikai és a technikai védelmet, így a) a nyílászárókon keresztül történő bejutás megakadályozására szolgáló elektromos vagy fizikai védelmi eszközöket kell alkalmazni beltéri vagy földszinti, illetve könnyen elérhető kültéri nyílászárók esetében egyaránt, b) gondoskodni kell arról, hogy az  informatikai központba kívülről nyitott nyílászárón vagy szellőzőn keresztül idegen anyagot bedobni ne lehessen, c) az informatikai központra kívülről ne lehessen rálátni, d) az ajtónak kulccsal, mágneskártyával vagy kóddal zárhatónak kell lennie, e) a d) pont szerinti kulcs, mágneskártya vagy kód másodpéldányát a portán kell elhelyezni lezárt, hitelesítéssel ellátott borítékban vagy lepecsételhető kulcsdobozban, f ) a d) pont szerinti kulcshoz, mágneskártyához vagy kódhoz való hozzájutás csak naplózottan történhet, g) a d) pont szerinti kulcshoz, mágneskártyához vagy kódhoz történő hozzáférést az elnök engedélyezheti, h) az e)  pont szerinti kulcsdoboz vagy boríték rendkívüli felnyitásáról a  felhasználónak telefonon és írásos feljegyzésben értesítenie kell az Üzemeltetés vezetőjét és az elektronikus információs rendszer biztonságáért felelős személyt, i) a hitelesítéssel ellátott boríték felnyitását, a kód használatát követően a kódot meg kell változtatni. 24. Kontrollok 32. § (1) Infokommunikációs eszközökkel kapcsolatos csatlakoztatással, lecsatlakoztatással járó eszközmozgatást, továbbá csatlakoztatást, lecsatlakoztatást, szerelést, eszközátadást, üzembe helyezést és selejtezést csak az üzemeltető által kijelölt informatikus végezhet. (2) Az infokommunikációs eszközökkel kapcsolatos minden (1)  bekezdés szerinti csatlakoztatással, lecsatlakoztatással járó mozgatásról jegyzőkönyvet kell készíteni. 33. § Az infokommunikációs eszközök biztonsági beállításait, illetve háttértárolóinak tartalmát az elektronikus információs rendszer biztonságáért felelős személy évente az ellenőrzési terv alapján ellenőrzi. A felhasználó köteles az eszköz átadásával az ellenőrzés elvégzését segíteni. Az ellenőrzés során fokozott figyelmet kell fordítani arra, hogy a) az adott eszközön a  biztonsági beállítások, vírusvédelmi és egyéb biztonsági rendszerek beállításai megfelelnek-e az előírtaknak, b) az állományok lokális tárolására vonatkozó szabályokat a felhasználók betartják-e, c) az eszközön fellelhető naplóállományokban nincs-e nyoma rendellenes műveleteknek, jogosulatlan használatnak. VI. Fejezet Az üzemeltetés és kommunikáció biztonsága 25. Az üzemeltetés menedzselése 34. § (1) Az elektronikus információs rendszer megbízható és biztonságos működésének biztosítása érdekében meg kell határozni az összes rendszerelem kezelésére és működtetésére vonatkozó feladatokat és eljárásokat (a továbbiakban: üzemeltetési eljárások), amelyekbe beletartozik az összes szükséges működtetési és hibaelhárítási eljárás elkészítése. (2) Az üzemeltetési eljárásokat az  üzemeltetőnek kell részletesen dokumentálnia. A  dokumentumokat az  Iratkezelési Szabályzatnak megfelelően kell tárolni. (3) Az üzemeltetési eljárások dokumentációinak a  munkafolyamat minden részelemének vonatkozásában részletes utasításokat kell tartalmaznia a) az adatkezelésre, b) a tervezett követelményekre, más elektronikus információs rendszer adatai bizalmassága sérülésének elkerülésére, c) a munkaidőn kívüli elektronikus információs rendszert vagy rendszerelemet érintő munkavégzésre, d) a hibaesetek és a rendellenes működés kezelésére, e) a munkavégzés közben fellépő kivételes állapotok kezelésére, illetve f ) a rendszer újraindítására és visszaállítására vonatkozóan. (4) Az üzemeltetési eljárások dokumentációját az üzemeltetés helyén hozzáférhetővé kell tenni a felhasználók részére. (5) Az üzemeltetési eljárások változása esetén az üzemeltetőnek ellenőrizni és dokumentálni kell a) a jelentős változások azonosítását, b) a felelős résztvevők megjelölését, c) a változások lehetséges hatásainak felmérését, d) a tervezett változtatások jóváhagyási eljárásainak ellenőrzését, e) az összes érintett értesítését a változások részleteiről, f ) a változtatás megszakításáért és az eredeti állapotba való visszaállításért felelős személy kijelölését. 26. A hálózat és az elektronikus információs rendszer üzemeltetésbiztonsága 35. § (1) Az elektronikus információs rendszer napi üzemeltetésének feltételeit az üzemeltetővel kötött megállapodásban kell részletesen rögzíteni. (2) Az üzemeltetésért felelős informatikai munkatársaknak rendszeresen el kell végezniük azokat az  – üzemeltetési dokumentációban részletesen felsorolt – tevékenységeket, amelyek alapján meggyőződhetnek arról, hogy a rendszer üzemszerűen működik. 36. § (1) Az elektronikus információs rendszer valamennyi hardver-, illetve szoftverelemét tartalmazó nyilvántartást a Gazdálkodási Főosztály vezeti. A nyilvántartásnak tartalmaznia kell a rendszer hardverelemeinek pontos és naprakész konfigurációját, a működtető szoftverelemek egyedi beállításait és elhelyezkedését, az értük felelős személy nevét. (2) Az üzembiztonság érdekében a szerverek operációs rendszereit, azok konfigurációját tartalék adathordozón is tárolni kell, amely szükség esetén azonnal betölthető. 27. Az üzemeltetési folyamat változásainak bejelentése 37. § (1) Szoftvert az  infokommunikációs eszközre csak az  üzemeltető által kijelölt informatikus (a továbbiakban: kijelölt informatikus) tölthet le, másolhat és telepíthet, valamint azt az eszközről csak kijelölt informatikus távolíthatja el. Tilos hordozható, telepítés nélkül futtatható alkalmazások használata. (2) A felhasználó az  infokommunikációs eszköz használata során az  eszközre telepített alkalmazásokat használhatja. Új alkalmazás telepítését vagy a meglévő alkalmazás jogosultságváltozását az adott önálló szervezeti egység vezetője engedélyével, ezen utasítás 2. melléklete szerinti adatlapon kell igényelni. Az elnök jogosult az igény felülvizsgálatára, és ha szükséges, biztonsági vagy gazdasági okból annak elutasítására. (3) A felhasználó az  infokommunikációs eszközre telepített alkalmazásokat a  felhasználói leírás szerinti módon, szakszerűen köteles használni. (4) A külső felek által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket, változásjelentőket és levelezéseket az önálló szervezeti egységek vezetői kötelesek másodpéldányban megküldeni a kijelölt informatikusnak. (5) A külső fél által biztosított informatikai szolgáltatások használata során az általa kiadott előírások szerint kell eljárni. (6) A szoftvereket és adatokat arra nem jogosult harmadik fél számára másolni és továbbadni tilos. (7) A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licencdokumentációját a  kijelölt informatikus tárolja és tartja nyilván. 28. Hibakezelés, hibaelhárítási rendszer 38. § A bejelentéseket az  üzemeltető által biztosított helpdesk szolgáltatáson keresztül az  üzemeltető elektronikus levelezőcímére küldött üzenetben, valamint személyesen vagy telefonos megkereséssel lehet megtenni az üzemeltető és az Iroda közötti megállapodásban rögzítettek szerint. 29. Külső erőforrások kezelése 39. § A fejlesztési folyamatok teljes szakasza alatt az  Iroda kijelölt kapcsolattartója felügyeli és ellenőrzi a  külső fél tevékenységét. Minden kritikus lépésről tájékoztatja az elnököt. Az elektronikus információs rendszer biztonságáért felelős személy eseti jelleggel ellenőrzi a fejlesztési folyamatok alatt, hogy azok megfelelnek-e az ezen utasításban foglalt rendelkezéseknek. 30. Rosszindulatú programok elleni védelem 40. § (1) Az  elektronikus információs rendszert automatikus vírusvédelmi rendszerrel kell ellátni, amely üzemeltetését és felügyeletét külső fél látja el. (2) A rosszindulatú programok károkozását az alábbi intézkedésekkel kell elkerülni: a) olyan eszközök alkalmazása, amelyek megkövetelik a jogtiszta programok használatát, és tiltják az engedély nélküli termékek alkalmazását, b) külső hálózatokból vagy azokon keresztül, illetve egyéb adathordozókról telepített adatállományok és programok felhasználásával járó kockázat elhárításához szükséges intézkedések bevezetése, c) rosszindulatú programokat felismerő és megsemmisítő alkalmazások telepítése és rendszeres aktualizálása, d) a kritikus folyamatokat támogató rendszerek adattartalmának és programjainak rendszeres vizsgálata, e) a bizonytalan eredetű adatállományok ellenőrzése, rosszindulatú programok kiszűrése, f ) elektronikus levéltartalmak, csatolt dokumentumok és letöltött állományok használat előtti ellenőrzése, g) a rosszindulatú programokkal szembeni védelemre vonatkozó feladatok és eljárások meghatározása, alkalmazásuk oktatása, a vírustámadások naplózása és az eredeti állapot helyreállítása, h) a szükséges adatállományok és programok biztonsági másolati példányainak és a  helyreállítási eljárásainak elkészítése, i) a hamis vagy hamisított programra vonatkozó összes információ ellenőrzése, a  figyelmeztető tájékoztató kiadványok folyamatos frissítése, meglétének ellenőrzése. (3) Az  elektronikus információs rendszerben és infokommunikációs eszközön csak olyan szoftver telepíthető és használható, amely az Iroda és az üzemeltető által jóváhagyott, telepítésre kiadott és engedélyezett nyílt forráskódú szoftver vagy a  szerzői jog szerint biztosított licencigazolással, illetve más jogi igazolással rendelkező, illetve tulajdonosi vagy használói szerződéssel biztosított hivatalos forrásból származó jogtiszta szoftver. (4) Az  elektronikus információs rendszer biztonságáért felelős személy javaslatot tesz a  rosszindulatú programok kiszűrésére és megelőzésére alkalmas különleges ellenőrző eszközök alkalmazására, beszerzésére. (5) A  felhasználóknak a  kötelező oktatás során meg kell ismerniük a  rosszindulatú és engedély nélküli programok alkalmazásával járó veszélyeket. A felhasználói oktatásnak ki kell térni a vírusvédelmi rendszer működésére. (6) A felhasználónak tilos a kliensvédelmi programot inaktívvá tenni, a beállításokat megváltoztatni, a védelmi programot eltávolítani, kártékony kódot tartalmazó fájlt vagy elektronikus adathordozót bármilyen formában továbbítani, továbbadni, illetve fertőzött állománnyal munkát végezni. (7) E §-ban foglalt követelmények megtartását az információs rendszer biztonságáért felelős személy ellenőrzi. 31. A felhasználói azonosítók és jelszókezelés általános szabályai 41. § (1) A munkatárs köteles megakadályozni az  illetéktelen személyek hozzáférését az  elektronikus információs rendszer erőforrásaihoz. A  hatékony biztonságvédelem érdekében a  felhasználói azonosítóval rendelkező felhasználók kötelesek együttműködni. (2) A felhasználókat oktatáson tájékoztatni kell az elektronikus információs rendszerekben a  felhasználói azonosítását végző eszközök, eljárások használatáról, különösen a jelszavak használatának szabályairól és a felhasználó kezelésében lévő infokommunikációs eszközök biztonsági előírásairól. (3) A jelszavakat tilos papíron tárolni, kivéve a  legteljesebb jogosultságot biztosító felhasználói azonosítók jelszavait, amelyeket kötelező zárt borítékban, két példányban, két különböző helyen, zárható lemezszekrényben tárolni. (4) A jelszó kívülálló számára nem tartalmazhat a  felhasználó személyére utaló információkat, különösen neveket, telefonszámokat, születési dátumokat, illetve összefüggő szöveget. (5) Amennyiben a  munkaállomásokon a  hitelesítési folyamatban a  beírt jelszó olvasható, a  felhasználó köteles gondoskodni arról, hogy illetéktelen személy ne láthassa meg az általa beírt jelszót. (6) A biztonságos jelszóhasználat szabályait minden felhasználóval oktatáson kell ismertetni. (7) A felhasználó azonosítójával és jelszavával az  elektronikus információs rendszerben végrehajtott műveletekért személyesen felel. (8) A felhasználó függetlenül a  szerepkörétől az  elektronikus információs rendszerbe csak saját felhasználónevével, azonosítójával és jelszavával léphet be, és az alkalmazásokat csak saját nevében használhatja. (9) A jelszó érvényességi idejét, ezzel együtt a  jelszócsere gyakoriságát az  elektronikus információs rendszer egyedi szabályozása vagy a használt rendszer működése határozza meg. A jelszó cseréjét ezen értesítés hiányában legalább 90 naponta kötelező elvégezni. (10) A jelszóképzés szabályait ezen utasítás 3. melléklete tartalmazza. (11) A felhasználói azonosító kialakításáról és az  elektronikus információs rendszerbe történő felvételéről a  külső fél gondoskodik. A külső fél alapértelmezett jelszóval adja át az első belépéshez szükséges információt a felhasználónak, aki a jelszót az első belépés után köteles azonnal megváltoztatni. (12) Új felhasználó vagy új hozzáférés kiosztása esetén az  üzemeltető munkatársa szóban vagy írásban ismerteti a  felhasználóval a  munkájához szükséges felhasználói nevét és induló jelszavát. A  munkaállomásra történő első belépést követően elkészíti részére az informatikai eszközön szükséges beállításokat. (13) Ha a  felhasználónak tudomása vagy gyanúja van arról, hogy jelszava más tudomására jutott, erről az elektronikus információs rendszer biztonságáért felelős személyt köteles tájékoztatni és a jelszavát azonnal megváltoztatni. 32. Végpontvédelem 42. § (1) A hálózati végpontok és az azokra csatlakoztatott infokommunikációs eszközök végpontvédelméről minden eszköz esetében úgy kell gondoskodni, hogy a) illetéktelen személyek ne férjenek hozzá a szabadon maradt hálózati végpontokhoz, b) illetéktelen személyek ne léphessenek be a infokommunikációs eszközökbe, c) ne legyen támadható vezeték nélküli vagy vezetékes kapcsolat a rendszerben, d) a felhasználó ne tölthessen le, ne másolhasson ki, illetve ne nyomtathasson ki engedély nélkül adatot az infokommunikációs eszközökről. (2) Az Iroda területén hálózati végpontot csak ellenőrzött körülmények között lehet létesíteni. Az  ügyfélforgalom bonyolítására szolgáló helyeken a  használaton kívüli végpontoknak az  aktív és passzív hálózati elemekkel való kapcsolatát meg kell szüntetni, a strukturált hálózatról le kell választani. (3) Vezeték nélküli hálózat az  Iroda területén csak az  elnök engedélyével létesíthető. A  vezeték nélküli hálózat adatforgalmánál a megfelelő titkosítási eljárást be kell állítani. (4) Minden infokommunikációs eszközt, amely alkalmas a) hálózathoz csatlakozásra, b) adatok kimásolására és továbbítására, c) USB adathordozó eszköz csatlakozásra vagy d) vezeték nélküli kapcsolatok létesítésére, végpontvédelemmel kell ellátni. (5) A kliensvédelmi rendszert az  Iroda minden infokommunikációs eszközére telepíteni kell. Az  Iroda informatikai hálózatához nem csatlakoztatható olyan infokommunikációs eszköz, amelyen nincs telepítve kliensvédelem. (6) A használat …

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.