📄 Jogszabály szövege
11/2015. (V. 22.) GVH utasítása a Gazdasági Versenyhivatal informatikai rendszerhasználati és biztonsági szabályzatáról.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában meghatározott jogkörömben eljárva, az állami és
önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés f ) pontja alapján,
a Gazdasági Versenyhivatal szervezeti és működési szabályzatáról szóló 14/2014. (X. 15.) GVH [13/2014. (X. 22.) GVH] utasítás 80. §
9., 28., 29. és 37. pontjában foglalt tárgykörben – az állami és önkormányzati szervek elektronikus információbiztonságáról szóló
2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre
vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendelet
rendelkezéseire figyelemmel – a Gazdasági Versenyhivatal informatikai rendszerhasználati és biztonsági szabályzatát az alábbiak
szerint állapítom meg:
I. Fejezet
Általános rendelkezések 1. Cél, alapelvek 1. § (1) A Gazdasági Versenyhivatal (a továbbiakban: Hivatal) informatikai rendszerhasználati és biztonsági szabályzatának
(a továbbiakban: szabályzat) célja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló
2013. évi L. törvényben (a továbbiakban: Ibtv.) és az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos
információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási
követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletben [a továbbiakban: 77/2013. (XII. 19.) NFM rendelet]
meghatározott követelmények Hivatalon belüli alkalmazásával kapcsolatos részletszabályok megállapítása, a Hivatal
elektronikus információs rendszerei védelmének felelőseire, feladataira és az ehhez szükséges hatáskörökre,
felhasználókra vonatkozó szabályok meghatározása.
(2) Ez a szabályzat határozza meg a Hivatal által fejlesztett, beszerzett – kész vagy adaptált – szoftvereknél, elektronikus
információs rendszereknél a fejlesztők, az üzemeltetők és a felhasználók által megvalósítandó biztonsági
tevékenységekre vonatkozó szabályokat, valamint az üzemeltetett elektronikus információs rendszerekre vonatkozó
biztonsági előírásokat.
(3) Ez a szabályzat rögzíti a hivatali adatbiztonság általános előírásait és feltételrendszerét, az informatikai infrastruktúrára,
továbbá az elektronikus információs rendszerekre vonatkozó védelmi intézkedéseket.
2. § (1) A Hivatal által üzemeltetett elektronikus információs rendszerek, az azokban kezelt adatok, illetve a rendszer elemei
tekintetében biztosítani kell azok Ibtv. szerinti értelemben vett
a) bizalmasságának,
b) sértetlenségének,
c) rendelkezésre állásának
zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.
(2) A szabályzatban meghatározott védelemnek a rendszerek fennállásának egész időtartama alatt működnie kell
a rendszerelemek megtervezése, üzembe helyezése és üzemeltetése alatt folyamatosan a rendszerből való kivonásig.
2. Fogalmak 3. § (1) Az Ibtv.-ben és a 77/2013. (XII. 19.) NFM rendeletben meghatározott fogalmakat e szabályzatban is az ott meghatározott
értelemben kell használni azzal, hogy a Hivatalra alkalmazva
a) rendszerelem: a helyi hálózat (LAN; a továbbiakban: hálózat), annak szerverei, a munkaállomások, hálózati és
helyi nyomtatók, scannerek, vezetékes telefon és faxkészülékek, valamint a hordozható eszközök,
b) felhasználó: a Hivatal elektronikus információs rendszereit, az azokban kezelt adatokat és alkalmazott
szoftvereket, illetve a rendszerelemeket használó, kezelő vagy alkalmazó személy, függetlenül attól, hogy
a Hivatallal közszolgálati jogviszonyban, munkavégzésre irányuló egyéb jogviszonyban vagy egyéb szerződéses
jogviszonyban áll e.
(2) E szabályzat alkalmazásában
a) hordozható eszköz: a BlackBerry, a tablet, valamint a hordozható személyi számítógép (a továbbiakban:
notebook),
b) adathordozó: a számítógépes adatok tárolására szolgáló, beépített vagy cserélhető eszköz, így különösen
a merevlemez, a hajlékonylemez, a mágnesszalag, a CD, a DVD, az USB pendrive valamint a hordozható
merevlemez.
3. Hatály 4. § E szabályzat hatálya kiterjed
a) a Hivatal használatában vagy tulajdonában álló, a Hivatal által üzemeltetett valamennyi meglévő és a jövőben
fejlesztendő elektronikus információs rendszerre, a rendszerelemekre, adathordozókra és kommunikációs
alkalmazásokra azok teljes életciklusában, ideértve azok tervezését, kivitelezését, üzembe állítását,
üzemeltetését és a rendszerből történő kivonását,
b) az a) pontban meghatározott elektronikus információs rendszerekre, rendszerelemekre és eszközökre
vonatkozó minden dokumentációra (fejlesztési, tervezési, specifikációs, üzemeltetési stb. dokumentumok),
c) az a) pontban meghatározott elektronikus információs rendszerekben, rendszerelemeken és eszközökön
használt vagy tárolt szoftverekre és adatokra.
5. § (1) A Felderítő Iroda a helyszíni kutatásokon az elektronikus adathordozókról készült egyszerű vagy forensic másolatok
tárolására, feldolgozására és archiválására elkülönített elektronikus információs rendszert működtet (a továbbiakban:
FEI információs rendszer), amely elkülönült hálózatból, az adatokat tároló dedikált szerverből (a továbbiakban:
FEI szerver) és külön erre a célra rendelt vizsgáló munkaállomásokból áll.
(2) A FEI szerveren tárolt adatokat a vizsgálatot végző munkatársak csak a vizsgáló munkaállomásokról érhetik el,
amelyeken forensic célszoftverek használata biztosítja az adatfeldolgozást. A vizsgáló munkaállomások a hivatali
helyi hálózathoz nem kapcsolódnak, és csak a FEI irodáiból csatlakoztathatók a FEI szerverhez.
(3) A FEI információs rendszer üzemeltetéséért, felügyeletéért és karbantartásáért – ideértve a rendszergazdai és
helpdesk feladatokat is – a Felderítő Iroda ügyrendjében meghatározottak szerint a Felderítő Iroda kijelölt munkatársa
felelős.
(4) A FEI információs rendszer használatának rendje, valamint a FEI információs rendszerrel kapcsolatos informatikai
biztonsági szabályok tekintetében alkalmazandó különös szabályokat a IX. fejezet tartalmazza.
4. Az elektronikus információs rendszerek biztonsági osztálya, a Hivatal biztonsági szintje
6. § (1) A Hivatal által üzemeltetett elektronikus információs rendszerek biztonsági osztályba sorolása a 77/2013. (XII. 19.)
NFM rendeletben meghatározott szempontok szerint a következő:
a) egy elektronikus információs rendszer tekintetében 1-es,
b) kettő elektronikus információs rendszer tekintetében 2-es,
c) négy elektronikus információs rendszer tekintetében 3-as,
d) kettő elektronikus információs rendszer tekintetében 4-es.
7. § (1) A 77/2013. (XII. 19.) NFM rendelet alapján a Hivatal elvárt biztonsági szintje 3-as.
(2) A 77/2013. (XII. 19.) NFM rendelet alapján a Hivatal biztonsági szintje a szabályzat hatálybalépésekor 1-es.
(3) Az (1) bekezdés szerinti biztonsági szint eléréséhez szükséges intézkedéseket az Informatikai és Iratirányítási Iroda
(a továbbiakban: III) által készített intézkedési terv tartalmazza, az ehhez szükséges feladatok meghatározását,
végrehajtásuk felelősét, határidejét és költségét a Hivatal Informatikai Stratégiája rögzíti.
5. Az informatikai rendszerüzemeltetéssel és az informatikai biztonsággal összefüggő
feladat és felelősségi körök
8. § (1) A FEI informatikai rendszer kivételével az informatikai rendszerüzemeltetéssel és az informatikai biztonsággal
kapcsolatos feladatokat, így különösen
a) az elektronikus információs rendszer biztonságáért felelős személy által az Ibtv. alapján ellátandó feladatokat,
b) a hálózati rendszergazdai feladatokat,
c) a helpdesk feladatokat
az Szmsz.-ben foglaltak szerint az III látja el.
(2) A hálózati rendszergazdai feladatok az alábbiakra terjednek ki:
a) a rendszerelemek üzemeltetése, azok működőképességének, munkavégzés céljára való üzemszerű
rendelkezésre állásának biztosítása és fenntartása,
b) a hálózat valamennyi szerverének üzemeltetésével, rendszeres biztonsági frissítésével kapcsolatos feladatok
ütemezése és végrehajtása, beleértve a naplózási adatok figyelésével, értékelésével, a konfigurációs állományok
karbantartásával összefüggő teendőket, illetve azok proaktív jellegű felügyeletét is,
c) a biztonsági mentések, vírusellenőrzések megtervezése és végrehajtása,
d) a hálózat szervereinek, munkaállomásainak szoftveres felügyelete, a szoftveres karbantartások
hálózatmenedzsment eszközzel történő végrehajtása, koordinálása,
e) a kormányzati eseménykezelő központ vagy a felhasználók által jelzett biztonsági események vizsgálata,
a figyelmeztetések vagy riasztások alapján a szükséges intézkedések megtétele,
f ) változásmenedzsment nyilvántartások vezetése a szerveres konfigurációk, beállítások, lényeges információk,
tudnivalók tekintetében,
g) a Nemzeti Távközlési Gerinchálózat adat és hangforgalmi infrastruktúrájának hivatali oldali működtetése,
h) a hivatali internetkapcsolat biztonságos fenntartását biztosító tűzfal üzemeltetése,
i) a hálózati jogosultságok beállítása, karbantartása, nyilvántartása.
(3) A helpdesk feladatok az alábbiakra terjednek ki:
a) a felhasználóktól érkező, elektronikus információs rendszereket vagy rendszerelemeket érintő hibajelzések,
technikai problémák fogadása, kivizsgálása, megoldása, szükség esetén átirányítása,
b) a munkaállomások üzemeltetése során felmerülő gépbeállítási, szoftver- és hardvertelepítési, eszköz
karbantartási feladatok,
c) a hálózat, továbbá a hálózati és helyi nyomtatók felügyelete, a hálózati hibák felderítése és elhárítása.
6. A felhasználók feladatai, kötelességei 9. § (1) A felhasználó köteles a rendelkezésére bocsátott hardvereket, szoftvereket és a hálózati szolgáltatásokat
e szabályzatnak megfelelően, rendeltetésszerűen használni, az informatikai biztonsági követelményeket megtartani,
a számítástechnikai eszközöket megóvni. A számítástechnikai eszközöket védeni kell a káros környezeti hatások, így
különösen hő, napsugárzás, illetve por ellen. A felhasználó köteles tartózkodni az elektronikus levelezőrendszer és
az internet használata során a biztonság szempontjából kockázatos tevékenységektől.
(2) A felhasználó a rendelkezésére bocsátott eszközökben okozott kárért kártérítési felelősséggel tartozik.
10. § (1) A Hivatal épületében történő munkakezdéskor a felhasználónak munkaállomásán be kell kapcsolnia a számítógépet,
be kell jelentkeznie a saját hálózati jelszavával, és el kell indítania az elektronikus levelezési rendszert.
(2) A felhasználó köteles a munkaállomása elhagyása esetén azt szabályszerűen zárolni, a munkanap végén szabályszerűen
leállítani. A munkaállomásokkal kapcsolatos biztonsági beállításokat úgy kell megadni, hogy a munkaállomást
a rendszer az III vezetője által meghatározott időtartamú inaktivitás után automatikusan zárolja.
11. § (1) A felhasználó köteles informatikai biztonsági oktatáson részt venni.
(2) Információbiztonságot érintő esemény gyanúja esetén az észlelt rendellenességről a felhasználó köteles tájékoztatni
az III-t.
(3) A felhasználó informatikai probléma esetén e-mailben elsősorban a helpdesk@gvh.hu e-mail címen vagy telefonon
értesíti az III-t. Köteles együttműködni az III munkatársaival olyan esetekben, amikor a felhasználó tevékenysége
az informatikai rendszerrel kapcsolatos feladatokat tesz szükségessé. Az III és a felhasználó feladataik ellátása során
együttműködnek egymással.
12. § (1) A felhasználó nem módosíthatja a Hivatal által rendelkezésére bocsátott számítástechnikai eszköz rendszerszintű
beállításait, és nem kapcsolhatja ki a Hivatal által telepített aktív védelmi szoftvereket. Az III biztosítja az adathordozó
automatikus vírusellenőrzését annak eszközbe helyezésekor.
(2) Tilos továbbá a felhasználó számára:
a) a hálózat fizikai megbontása, a rendszerelemek vagy a rendelkezésére bocsátott számítástechnikai eszközök
lecsatlakoztatása, illetve az III vezetőjének engedélye nélkül hálózati (LAN, UTP) csatlakozókábelen keresztül
bármilyen fali, asztali vagy padlódobozba épített aljzatba történő csatlakoztatás,
b) a számítógépes konfigurációk megbontása, átalakítása, idegen eszköz beszerelése,
c) bármilyen szoftver telepítése, internetről való letöltése, külső adathordozóról merevlemezre való másolása,
a Hivatalban nem rendszeresített szoftverek futtatása,
d) lánclevelek továbbítása, kéretlen levelek megválaszolása, ismeretlen tartalmú, kéretlen levelek mellékleteinek
vagy linkjeinek megnyitása.
(3) Tilos a Hivatal informatikai rendszerére, illetve az abban üzemeltetett egyedi elektronikus információs rendszerek
sajátosságaira, a hálózati topológiára, a rendszer biztonsági előírásaira, a megvalósított intézkedésekre, valamint
egyébként a Hivatal informatikai biztonságára vonatkozó dokumentációknak, egyedi utasításoknak a Hivatal személyi
állományába nem tartozó személy számára történő hozzáférhetővé tétele.
(4) Tilos más felhasználó által a hálózaton forgalmazott adatokat lehallgatni, módosítani, a forgalmat meghamisítani,
másik felhasználó kapcsolódását akadályozni, megszakítani, átirányítani.
7. A vendégfelhasználóra vonatkozó szabályozás 13. § (1) A Hivatal személyi állományába nem tartozó felhasználó (a továbbiakban: vendégfelhasználó) számára a fogadó
szervezeti egység vezetője feljegyzésben igényel a szükséges – saját felelősségi körén belül meghatározott –
mértékben hálózati hozzáférési jogosultságot az III vezetőjétől.
(2) Az III a hozzáférési jogosultságokkal együtt nyilvántartja az ilyen korlátozott hozzáférést biztosító felhasználói
azonosítókat és azok érvényességi idejét.
(3) Karbantartás vagy javítás céljából külső személy a rendszerelemekhez úgy férhet hozzá, hogy ezáltal az eszközön
vagy az elektronikus információs rendszerben tárolt adatokat az elengedhetetlenül szükséges mértéken túl
ne ismerhesse meg.
(4) Az informatikai rendszerhasználattal vagy az informatikai biztonsággal kapcsolatos szolgáltatásra irányuló
szerződésben rögzíteni kell:
a) a Hivatalban végzett tevékenységgel kapcsolatosan a másik fél szervezetén belül az információbiztonságot
érintő követelményeket, a szerződés teljesítése körében e követelmények érvényesülése érdekében
alkalmazott intézkedéseket, az informatikai biztonsági felelősségi és feladatköröket, valamint a felelős
személyt,
b) a Hivatal által elvárt személybiztonsági követelményeket,
c) a személybiztonsági követelmények teljesülésének ellenőrzési, dokumentációs és igazolási módját,
d) a másik szerződő fél szervezetében fellépő, a Hivatal elektronikus információs rendszeréhez kapcsolódó
hitelesítési eszközt, tanúsítványt vagy kiemelt jogosultsággal rendelkező személyt érintő változásról szóló
tájékoztatás rendjét.
(5) A vendégfelhasználónak az III akkor adhat hálózati hozzáférési jogosultságot, ha a fogadó szervezeti egység vezetője
igazolja, hogy a vendégfelhasználó e szabályzatot megismerte, és az 1. melléklet szerinti nyilatkozat aláírásával
vállalta a szabályzatban foglaltak betartását.
(6) A személybiztonsági követelményeknek való megfelelést az III is folyamatosan ellenőrzi.
8. Fizikai és környezeti védelem 14. § (1) Az infrastruktúra biztonságához kapcsolódó védelmi intézkedések kiterjednek a helyiségek fizikai védelmére, ezen
belül a behatolásjelző rendszer működtetésére, valamint a tápfeszültség ellátás biztosítására, a túlfeszültség, és víz
elleni védelemre, valamint a villám és tűzvédelemre.
(2) A főtitkár gondoskodik róla, hogy a Hivatal épületének üzemeltetésére a Hivatal és a Közbeszerzési és Ellátási
Főigazgatóság között megkötött szerződés alapján a Hivatal infrastruktúrájának fizikai védelme az épület őrzésével,
a behatolásjelző és a biztonsági kamerarendszer működtetésével, valamint videó megfigyelés útján is biztosított
legyen.
15. § (1) A hálózati szervereket tartalmazó helyiség (a továbbiakban: szerverszoba) zárt terület, oda csak az III vezetője által
meghatározott egyedi jogosultságot biztosító beléptető kártyával lehet belépni. Más személy csak a belépésre
jogosult személy folyamatos jelenléte mellett tartózkodhat a szerverszobában.
(2) A szerverszoba tekintetében a belépési jogosultságok kiosztását, naprakész nyilvántartását, valamint rendszeres,
de legalább félévente történő ellenőrzését az III vezetője végzi.
(3) A szerverszobát riasztóberendezéssel is védeni kell, ennek aktiválására és inaktiválására kizárólag az III informatikus
munkatársai jogosultak.
(4) Redundáns klímaberendezés üzemeltetésével kell biztosítani a szerverek működéséhez szükséges állandó
hőmérsékletet. A páratartalom monitorozását a szerverekhez csatlakoztatott szünetmentes tápegységek révén kell
biztosítani.
16. § (1) A szerverszoba áramellátottságát szünetmentes tápegységekkel kell biztosítani, emellett a területnek védettnek kell
lennie vízzel összefüggő vészhelyzetek és villámcsapás ellen is.
(2) Az infrastruktúra fizikai és környezeti védelmével kapcsolatban esetleg szükségessé váló javítási, karbantartási
feladatok ellátását úgy kell megszervezni, az erre irányuló szerződéseket úgy kell megkötni, hogy e védelem
folyamatos legyen.
II. Fejezet
Hardverekhez kapcsolódó védelmi intézkedések 9. Általános szabályok
17. § (1) A rendszerelemek kizárólag a munkavégzéssel összefüggő tevékenység támogatására használhatóak.
(2) A konfigurációk és azok bármely részegységei csak a tárgyi eszköz leltárban rögzített rendeltetési helyükön
használhatók, onnan azokat átmozgatni csak az III munkatársai jogosultak, áthelyezési bizonylat egyidejű kitöltésével.
(3) A számítógépekhez, valamint a hálózati nyomtatókhoz telepített, falba épített hálózati aljzatokat bármilyen módon
megbontani, szétszerelni tilos.
(4) A hardveres meghibásodást az III-vel haladéktalanul közölni kell. A javítás időtartamára – ha szükséges és lehetséges –
az III csereeszközt biztosít.
(5) Ha rendszerelem vagy a Hivatal leltári nyilvántartásában szereplő számítástechnikai eszköz kikerül a Hivatal
rendelkezéséből, akkor ezt megelőzően az eszköz adattartalmát törölni kell.
18. § (1) A hardvereszközökre vonatkozó biztonsági szabályokat a papír alapú dokumentumok előállítására alkalmas eszközök
(nyomtató, fax) használatára is alkalmazni kell.
(2) A hardvereszközökre vonatkozó biztonsági szabályok betartását az III munkatársai előzetes tájékoztatás nélkül
ellenőrizhetik.
10. Adathordozókhoz kapcsolódó védelmi intézkedések 19. § (1) Tilos a munkavégzés céljából a felhasználó rendelkezésére bocsátott adathordozó engedély nélküli átruházása,
jogosulatlan személynek való átadása vagy az azon tárolt adatok jogosulatlan személy számára történő hozzáférhetővé
tétele.
(2) A munkavégzés céljából a felhasználó rendelkezésére bocsátott adathordozó tartalmát az adathordozó ismételt
felhasználásra való rendelkezésre bocsátása előtt, valamint használatból való kivonását követően az III az adatok
megsemmisítését eredményező eljárással törli.
11. Hordozható eszközökre vonatkozó különös szabályok 20. § (1) Bármilyen hordozható eszköznek a Hivatal hálózatához történő csatlakoztatását megelőzően az eszközt regisztráltatni
kell az III-vel. A rendszergazda nyilvántartja az elfogadott készülékeket és a kapcsolódáshoz használt szoftvereket.
(2) Tilos a Hivatal által kezelt adatokat elérhetővé tenni olyan eszközökről, amelyek nem felelnek meg a biztonsági
követelményeknek.
(3) Azokra az eszközökre, amelyekkel a Hivatal hálózatán kívülről, VPN kapcsolattal is hozzá lehet férni a Hivatal hálózatán
üzemeltetett elektronikus információs rendszerekhez, a következő biztonsági intézkedéseket kell érvényesíteni:
a) HDD titkosítása,
b) naprakészen frissített szoftverek,
c) víruskeresők,
d) személyi tűzfalak.
(4) Az III fizikai vagy logikai úton megtilthatja egy adott hordozható eszköz csatlakoztatását a Hivatal hálózatához, ha úgy
ítéli meg, hogy az adott eszköz csatlakoztatása veszélyt jelenthet a Hivatal hálózati infrastruktúra-elemeire,
elektronikus információs rendszereire, adataira vagy munkatársaira nézve.
21. § (1) A hordozható eszközökön az III rendszeres időközönként, de legalább félévente elvégzi a szükséges szoftverfrissítéseket.
(2) A hordozható eszközt a felhasználók nem hagyhatják őrizetlenül. A felhasználók fokozott figyelmet fordítanak
a jogosulatlan hozzáférés, az adatok és a hordozható eszköz esetleges módosítása, megrongálása vagy ellopása elleni
védelemre.
(3) Tilos a hordozható eszköz:
a) engedély nélküli átruházása, jogosulatlan személynek való átadása vagy a hordozható eszközön tárolt adatok
jogosulatlan személy számára történő hozzáférhetővé tétele,
b) jelszóval nem védett nyilvános hálózathoz való csatlakoztatása,
c) bármilyen indokolatlan veszélynek történő kitétele vagy nem rendeltetésszerű használata,
d) biztonsági intézkedéseinek megkerülése, és minden erre irányuló kísérlet.
(4) A felhasználó felelős a hordozható eszközön tárolt olyan adat megőrzéséért, amely a Hivatal hálózati szerverein nem
áll rendelkezésre.
(5) Ha a hordozható eszköz bármely okból szándékosan kikerül a Hivatal vagy a Hivatal személyi állományába tartozó
felhasználó rendelkezése alól, úgy, hogy azt megelőzően a hordozható eszköz tartalmának törlésére nem került sor,
vagy arra nincs lehetőség, annak a személynek, aki ezzel a hordozható eszköz tartalmához hozzáférhet, titoktartási
nyilatkozatot kell tennie. A titoktartási nyilatkozat megszerzéséért, illetve ellenőrzéséért az eszközt átadó személy
felelős.
(6) A hordozható eszköz elvesztéséről, ellopásáról az III-t haladéktalanul értesíteni kell a szükséges biztonsági intézkedések
megtétele, különösen a BlackBerry letiltása és a hivatali postafiókokhoz való jogosulatlan hozzáférés megakadályozása
érdekében.
(7) A hordozható eszközt a felhasználó félévenként köteles átadni az III munkatársainak a rendszeres karbantartások,
biztonsági frissítések, ellenőrzések és hardvertesztek végrehajtása céljából.
12. A notebook-ra vonatkozó különös szabályok 22. § (1) Az elnök, az elnökhelyettesek, a főtitkár, a versenytanácstagok, az irodavezetők és az irodavezető helyettesek a Hivatal
tulajdonában álló notebook használatára jogosultak. Az III hivatali használatra a főtitkár által jóváhagyott számú
notebook-ot biztosít a Felderítő Iroda részére, amelyeket a Felderítő Iroda vezetője ad át esetileg a felhasználónak.
Egyéb esetben az III a notebook használatát igénylő felhasználó szervezeti egységének vezetője által írt írásbeli
kérelem alapján biztosíthat notebook-ot a felhasználó számára. A kérelemben meg kell jelölni a felhasználót,
az igénylés indokát, valamint a felhasználás várható időtartamát. Az III az igénylést köteles teljesíteni, ha van szabadon
rendelkezésre álló notebook.
(2) Az III tesztelve és előtelepítve adja át a notebook-ot a felhasználónak, illetve az irodának, egyúttal kioktatja a notebook
működtetésével kapcsolatos általános tudnivalókról, különös felhasználói szabályokról és a felhasználó kártérítési
felelősségéről. A kioktatás írásban is történhet. A felhasználó – ideértve a Felderítő Iroda számára biztosított
notebook-ot esetileg használatra átvevő felhasználót is – a notebook átvételét és a kioktatásban foglaltak
tudomásulvételét dátum feltüntetése mellett aláírásával igazolja. A közszolgálati tisztviselőkről szóló 2011. évi
CXCIX. törvény 161. § (1) és (6) bekezdése szerinti kártérítési felelősség az aláírt átvételi elismervényben megjelölt
időponttól terheli a felhasználót.
(3) A Hivatal által a felhasználó rendelkezésére bocsátott notebook-on csak az III jogosult szoftvert telepíteni vagy
a beállításokat módosítani.
(4) A notebook adathordozóit titkosítani kell, a bejelentkezés jelszóhoz kötött. Az ilyen jelszót a hálózati jelszóval azonos
módon kell kezelni, azt más számára átadni nem lehet.
III. Fejezet
Szoftverekhez kapcsolódó védelmi intézkedések 13. Általános szabályok
23. § (1) A Hivatal informatikai rendszerében csak eredményesen tesztelt szoftver használható, ideértve a freeware szoftvereket
is. A telepítésre, újratelepítésre, továbbá az operációs rendszerek cseréjére csak a rendszergazda jogosult.
(2) A Hivatalban kizárólag olyan szoftvert és kapcsolódó dokumentációt szabad használni, amely megfelel a rá vonatkozó
jogszabályi követelményeknek és szerződésbeli elvárásoknak, ideértve a szerzői jogi szabályokat is. A használatban
levő licencek száma nem haladhatja meg a megvásárolt licencek darabszámát.
(3) A Hivatal által alkalmazott valamennyi szoftver licencét és dokumentációját páncélszekrényben kell őrizni, azokról
a rendszergazda nyilvántartást vezet.
(4) Ha a Hivatal által beszerzett, vagy számára kifejlesztett szoftver licencszerződése másként nem rendelkezik, tilos
az ilyen szoftver és dokumentációja másolása és harmadik személy részére történő átadása.
(5) A Hivatalban az III vezetőjének jóváhagyása nélkül nem használható olyan alkalmazás, program, amely a Hivatal más
elektronikus információs rendszereinek adatbázisait igénybe veszi, onnan adatot vesz át vagy azokhoz kapcsolódik.
(6) Az e szabályzatban rögzített szoftvereszközökre vonatkozó biztonsági előírások betartását az III előzetes tájékoztatás
nélkül bármikor ellenőrizheti.
24. § (1) Az III vezetője határozza meg a Hivatalban használt operációs rendszert, valamint azoknak a szoftvereknek a körét,
amelyeket valamennyi munkaállomásra és notebook-ra telepíteni kell (a továbbiakban: alapszoftver). Az III vezetője
döntése során szakmai és költségvetési szempontokat mérlegel, ideértve a szoftver forráskódját, a Hivatal informatikai
rendszerével való kompatibilitást, valamint az üzemeltetéssel, frissítésekkel, védelemmel, hibaelhárítással és
támogatással összefüggő várható költségeket is.
(2) Valamennyi munkaállomásnak és notebook-nak alkalmasnak kell lennie a hivatali munkavégzésre. Az alapszoftvereknek
biztosítaniuk kell az alábbi funkciókat:
a) dokumentumszerkesztés, az III vezetőjének döntése szerinti különböző formátumú dokumentumok kezelése,
nyomtatása, tömörítés és a tömörített dokumentumok kezelése,
b) hivatali elektronikus levelezés, naptár- és feladatkezelés,
c) nyilvántartási és adminisztratív feladatok ellátása,
d) internetes böngészés.
25. § (1) Az alapszoftvereken kívül az érintett szervezeti egység vezetője írásban igényelheti más szoftver telepítését is egy
adott felhasználó vagy felhasználók meghatározott köre számára. Az III vezetője az informatikai biztonsági szempontok
mérlegelése alapján dönt a szoftver telepítésének engedélyezéséről. A szoftvert a rendszergazda telepíti.
(2) A szoftverbeszerzéshez az III vezetőjének jóváhagyása szükséges.
(3) Ha egyedi szoftverfejlesztés szükséges, a fejlesztés elrendelésével vagy a fejlesztésre kötött szerződés megkötésére
adott felhatalmazással egyidejűleg a főtitkár kijelöli a specifikáció tartalmi meghatározásáért és a kapcsolattartásért
felelős szervezeti egységet. A felhasználói specifikációt az III vezetőjének jóvá kell hagynia.
14. Az alkalmazásokhoz való hozzáféréssel kapcsolatos védelmi intézkedések, jelszóhasználat
26. § (1) A munkaállomásra való bejelentkezéshez, a hálózati alkalmazások és a hálózati tartalom eléréséhez hálózati jelszó
szükséges.
(2) A hálózati jelszó formátumerősségét és biztonsági követelményeit az III vezetője határozza meg, és azt a hivatali
szerveren a felhasználók számára hozzáférhetővé teszi.
(3) Az III vezetője és a rendszergazda saját rendszergazdai jelszavával valamennyi munkaállomásra bejelentkezhet,
továbbá valamennyi hálózati alkalmazáshoz és hálózati tartalomhoz hozzáfér, ideértve a felhasználó saját hálózati
munkakönyvtárát (Home könyvtár; a továbbiakban: saját munkakönyvtár) is.
27. § Az integrált ügyiratkezelési és ügyadat nyilvántartási rendszer (a továbbiakban: Govsys) eléréséhez további
autentikáció szükséges. A Govsysban a jogosultságok a szervezeti fának, illetve a munkatársak feladatkörének
megfelelően illetik meg a felhasználókat, a Hivatal iratkezelési szabályzatának rendelkezéseit is alkalmazva.
28. § (1) A korlátozott felhasználói kör által, külön autentikációval elérhető rendszereket (a továbbiakban: egyedi használatú
alkalmazások) csak a kijelölt, egyedi jogosultsággal rendelkező, megfelelő képzésben részesült felhasználók
alkalmazhatják vagy használhatják. Az III az egyedi használatú alkalmazásokról nyilvántartást vezet, amelyben
szerepel az is, hogy ki osztja ki az ezekhez hozzáférést biztosító jogosultságokat.
(2) Egyedi használatú alkalmazások különösen:
a) a Költségvetési Iroda szakterületi rendszerei,
b) a Humánerőforrás Iroda szakterületi rendszerei,
c) a Hivatal honlapszerkesztőségi rendszere, továbbá
d) a Share Point csoportmunka-rendszer.
29. § (1) A hálózati jelszó az III vezetője által meghatározott ideig, de legfeljebb 90 napig érvényes. A rendszer a hálózati jelszó
érvényességi idejének lejárta előtt értesítést küld a felhasználó számára az érvényességi idő lejártának időpontjáról.
A felhasználó köteles hálózati jelszavát annak lejárata előtt megváltoztatni. Az új hálózati jelszó nem lehet azonos
a tizenkettő közvetlenül megelőzően használt hálózati jelszóval.
(2) A hálózati jelszó lejárta vagy elfelejtése esetén az III a felhasználó számára ideiglenes jelszót biztosít, amelyet
a hálózatba történő következő bejelentkezéskor a felhasználónak meg kell változtatnia.
(3) A jelszó többszöri hibás megadása a felhasználó hálózatból való automatikus kitiltását vonja maga után, amit csak
a rendszergazda oldhat fel.
30. § (1) Tilos a hálózati jelszót más számára átadni vagy hozzáférhetővé tenni.
(2) A jelszót minden esetben egyedileg kell megadni, az automatikus megjegyzést nem lehet alkalmazni.
(3) Ha a felhasználó távollétében bármely okból szükséges a levelezéséhez vagy saját munkakönyvtárához való
hozzáférés, a hozzáférést igénylő szervezeti egység vezetője feljegyzésben kéri az III-t, hogy tegye számára
hozzáférhetővé a szükséges dokumentumot. A feljegyzésben meg kell jelölni a felhasználó távollétében való
hozzáférés szükségességének indokát, a hozzáférés célját, valamint ha lehetséges, pontosan meg kell jelölni
a megismerni kívánt dokumentumot, illetve annak elérési útját. A feljegyzést tájékoztatásul meg kell küldeni
a felhasználónak is.
31. § (1) A hordozható eszköz alkalmazásához szükséges további biztonsági célú egyedi azonosítóra a hálózati jelszóra
vonatkozó szabályokat megfelelően alkalmazni kell.
(2) Az III vezetője a BlackBerry-k biztonsági kódjait, a távoli eléréshez szükséges VPN tanúsítványokat és a notebook-ok
titkosító jelszavait nyilvántartja.
32. § (1) A hálózati jelszóra vonatkozó szabályokat kell megfelelően alkalmazni akkor is, ha valamely alkalmazáshoz munkaköri
leírásából következő feladata ellátása érdekében több felhasználónak is hozzá kell férnie, vagy azt használnia kell.
(2) A több felhasználó által jogszerűen használt jelszó bizalmasságának megőrzéséért a jelszó valamennyi jogosultja
felelős.
(3) A több felhasználó által jogszerűen használt jelszó jogosultjairól az érintett szervezeti egység vagy szervezeti egységek
vezetője nyilvántartást vezet.
(4) Az érintett szervezeti egység vezetője tájékoztatja az III vezetőjét arról, ha a szervezeti egységébe tartozó felhasználó
más felhasználóval együtt jogosult az e § szerinti jelszó használatára.
IV. Fejezet
Az adatfeldolgozás folyamatához kapcsolódó intézkedések 15. Tárolás a munkaállomáson és a hálózaton
33. § (1) A felhasználónak az általa előállított dokumentumot a hálózati szerveren kell tárolnia, az e célból létrehozott saját
hálózati munkakönyvtárában vagy a szervezeti egységek saját hálózati könyvtáraiban. A szervezeti egység vezetője
elrendelheti, hogy bizonyos dokumentumokat a szervezeti egység könyvtárában kell tárolni.
(2) A munkaállomás C:\ egysége az operációs rendszer és az alkalmazások rendszeradatainak tárolására fenntartott
terület, a felhasználó saját munkaállomása C:\ egységére nem menthet dokumentumokat.
(3) A felhasználó köteles saját munkakönyvtára anyagát rendszeres időközönként áttekinteni. Az III vezetője határozza
meg a felhasználók saját munkakönyvtárának méretét.
(4) A file szerveren lehetőség van egyedi mappák létrehozására is. Főkönyvtár létrehozására az informatikus munkatársak
jogosultak, az erre irányuló igényeket adminisztrálható formában (e-mail, feljegyzés), a hozzáférési jogosultságok
személyenkénti rögzítésével (írási- vagy olvasási jogok) az III vezetőjének kell megküldeni.
16. Mentésekből történő visszaállítás 34. § (1) A hálózati szerverek rendszeres mentéseiből rendelkezésre álló adatok visszaállítása rendszergazdai feladat.
(2) A rendszergazda az adatok visszaállításáról nyilvántartást vezet, amely tartalmazza a visszaállítás kérelmezőjének
nevét, a visszaállítás időpontját, továbbá a visszaállítással érintett adatállomány megnevezését és a mentésre szolgáló
adathordozó egyedi azonosítóját.
V. Fejezet
Kommunikációhoz kapcsolódó védelmi intézkedések 17. Kommunikációs alkalmazások
35. § A Hivatal kommunikációs alkalmazásai a következők:
a) VOIP telefonközpont,
b) levelezőrendszer,
c) internetes alkalmazások,
d) webszerver.
18. A levelezőrendszerre vonatkozó szabályok 36. § (1) A levelezőrendszer rendeltetése a munkavégzés támogatása, a Hivatal működésének hatékonyabbá tétele,
a munkafolyamatok automatizálásának elősegítése.
(2) A levelezőrendszernek alkalmasnak kell lennie alapvető feladat nyilvántartással kapcsolatos funkciók, valamint
naptárfunkciók ellátására, ezen belül a felhasználók közötti találkozók időpontjának egyeztetésére, meghívó küldésére
és elfogadására, helyszín egyeztetésére és lefoglalására.
37. § (1) Az e-mail címeket az III adja ki és végzi azok nyilvántartását, karbantartását.
(2) A hivatali e-mail cím nem hivatalos célból történő közzététele tilos.
(3) A felhasználó kizárólag a feladatainak ellátásához kapcsolódó vagy azt támogató levelező listára iratkozhat fel, erről
a vezetőjét tájékoztatnia kell. 38. § (1) Csoportos cím vagy virtuális cím létrehozását az érintett szervezeti egység vezetője, több szervezeti egység
érintettsége esetén valamennyi érintett vezető együttesen írásban igényelheti az III vezetőjétől.
(2) Az igénylésben meg kell jelölni
a) a kért címet,
b) csoportos cím esetén az ahhoz tartozó felhasználókat, illetve e-mail címeket,
c) virtuális cím esetén a címhez tartozó postafiókért felelős felhasználót, valamint azokat az esetleges további
felhasználókat, akik a postafiókhoz hozzáférnek.
(3) Az III a csoportos és virtuális e-mail címekről nyilvántartást vezet, amely alapján rendszeresen, de legalább évente
ellenőrzi a disztribúciós csoport vagy a virtuális e-mail cím fenntartásának szükségességét és felülvizsgálja
a csoport-tagságot.
39. § (1) A felhasználó feladata e-mail postafiókja karbantartása. A régi leveleket, nagy csatolmányokat tartalmazó e-mail-eket
rendszeresen archiválni vagy törölni kell. A levelezőszerver működőképességének fenntartása érdekében
a felhasználói postafiókok az III vezetője által meghatározott méretű kvótával rendelkeznek. A kvótán felül a postafiók
nem tud levelet küldeni vagy fogadni. A levelezőrendszer automatikus értesítést küld a felhasználónak, ha a postafiók
telítettsége eléri az III vezetője által a kvótán belül, annak százalékos arányaként meghatározott mértéket.
(2) A bejövő és kimenő levelek mérete nem haladhatja meg az 50 MB-ot.
(3) Az III vezetője által meghatározott kiterjesztésű fájlok fogadását a tűzfalon keresztül kell megakadályozni.
40. § (1) Az III spamszűrőt működtet.
(2) A felhasználó köteles a feltételezetten levélszemét-jellegű vagy egyéb okból gyanús e-maileket megnyitás nélkül
a helpdesk@gvh.hu címre vagy az III munkatársának továbbítani, és a továbbított levél tárgyában megjelölni, hogy
gyanús levélről van szó.
41. § (1) A Hivatal levelezőrendszerének elérésére a felhasználónak a hálózaton kívülről is van lehetősége (a továbbiakban:
külső hozzáférés). A külső hozzáférés szabályait az III vezetője határozza meg.
(2) A felhasználó egy munkanapot meghaladó távollétének megkezdése előtt köteles beállítani hivatali levelezésére
a Hivatalban alkalmazott, egységes szövegű automatikus értesítést arról, hogy nem tartózkodik a Hivatalban.
(3) A felhasználónak postafiókját távolléte esetén is karban kell tartania.
(4) A felhasználó nem jogosult a Hivatal belső levelezési rendszerébe érkező e-mailjei automatikus továbbítására,
átirányítására. 42. § (1) A Hivatal szervezetén kívüli címzettnek küldött e-mailt a központilag beállított, arculati kézikönyv szerinti
automatikusan beilleszthető egységes szervezeti aláírással és – a Jogi Iroda vezetője által megfogalmazott –
felelősséget korlátozó felhasználhatósági nyilatkozattal (disclaimer) kell ellátni.
19. Internethasználat 43. § (1) Az internethasználat a Hivatalban – a közszolgálati szabályzatban foglaltakat is szem előtt tartva – elsősorban
a munkavégzést szolgálja.
(2) A felhasználó nem változtathatja meg az internetböngészők paramétereit, biztonsági beállításait.
(3) A rendszert úgy kell beállítani, hogy az III vezetője által meghatározott beállításokat a felhasználó ne tudja
megváltoztatni, valamint hogy az internetről ne tudjon semmilyen programot letölteni, illetve telepíteni.
(4) Tilos a hálózatot, illetve erőforrásait indokolatlanul vagy túlzott mértékben, pazarló módon igénybevevő, vagy
az informatikai biztonságot vagy adatbiztonságot veszélyeztető tevékenység, így
a) munkavégzéssel össze nem függő okból szórakoztató kép és hanganyagok letöltése, azok hálózati meghajtókon
elhelyezése, valamint az online videónézés,
b) munkavégzéssel össze nem függő okból felhőhöz csatlakozás vagy ahhoz való hozzáférés a hivatali
internetkapcsolaton keresztül,
c) felhő alapú tárhelyen munkavégzéshez kapcsolódó adatok tárolása,
d) olyan szoftver használata, ami a munkaállomást vagy hordozható eszközt szerverként használja, és ezáltal
tartalmat szolgáltat, e) azonnali üzenetküldő alkalmazások letöltése, munkaállomásra vagy hordozható eszközre telepítése, azok
használata,
f ) a Hivatal hálózatáról a közösségi oldalak látogatása munkavégzéssel össze nem függő okból,
g) árut vagy szolgáltatást kínáló oldalak, chat-oldalak, társkereső oldalak, internetes aukciós oldalak látogatása
munkavégzéssel össze nem függő okból,
h) internetes hálózati játékot vagy szerencsejátékot kínáló oldalak látogatása munkavégzéssel össze nem függő
okból.
(5) Az III vezetője webszűrő alkalmazásával, illetve a webhelyekhez való hozzáférés letiltásával biztosítja, hogy
a (4) bekezdéssel ellentétes webhelyek a Hivatal internetes hálózatáról ne legyenek elérhetők.
(6) Ha a munkavégzés szempontjából indokolt, az érintett szervezeti egység vezetője az III vezetőjének címzett,
másolatban egyidejűleg a főtitkárnak is megküldött e-mailben kérheti, hogy az III egyedi hozzáférést biztosítson
az e-mailben megjelölt felhasználó számára a megjelölt letiltott oldalhoz, meghatározott célból és ideig.
44. § (1) A Hivatal vendég WLAN szolgáltatáson keresztül internet hozzáférést (a továbbiakban: vendéghálózat) biztosít.
A kapcsolódáshoz hálózati azonosító és jelszó alapú azonosítás szükséges, amelyet a recepción adnak át a vendégnek.
A vendéghálózat használatához szükséges jelszót a rendszergazda rendszeresen, de legalább félévente cseréli, arról
nyilvántartást vezet.
(2) A vendéghálózat konfigurálása során a Hivatal hálózatához jogosultságok nem adhatók.
(3) A vendéghálózatra nem kell alkalmazni a hivatali internethálózat beállításaira vonatkozó korlátozásokat.
45. § (1) A Hivatal által üzemeltetett honlapok működtetését és tartalmi frissítését a Hivatal saját tulajdonában levő szerverein,
saját erőforrásból biztosítja. A honlapok tartalmi karbantartását biztosító tartalommenedzsment rendszerhez egyedi
jogosultságokat kell biztosítani, amelyek kiosztását az III koordinálja.
(2) A Hivatal által üzemeltetett honlapok karbantartásáról külön normatív utasítás rendelkezik.
VI. Fejezet
Adatszivárgás elleni védekezés 20. Adatszivárgás elleni védelmi rendszer
46. § (1) A Hivatal az adatok bizalmasságának és sértetlenségének biztosítása érdekében adatszivárgás elleni védelmi
rendszert működtet, ennek keretében speciális szoftvert alkalmaz (a továbbiakban: DLP-alkalmazás). A DLP-alkalmazást
az III üzemelteti, a működésével kapcsolatos, felhasználókat érintő tudnivalókat a hálózati szerveren a felhasználók
számára hozzáférhetővé teszi.
(2) A DLP-alkalmazás többszintű eszkalációs útvonalon keresztül minősíti a rendszer által gyűjtött adatokat, első szinten
az III vezetője, majd – ha a biztonsági eseményről szóló figyelmeztetés megítélése az III vezetője számára nem
egyértelmű, és azért felelősséget nem vállal – az III vezetőjének jelzése alapján második szinten a felelős szervezeti
egység vezetője megvizsgálja az adatszivárgás-gyanús eseteket a tekintetben, hogy azok valós veszélyt jelentenek-e.
A biztonsági eseményről szóló DLP-figyelmeztetésről az III vezetője a felhasználót tájékoztathatja, ha a tájékoztatás
hozzájárulhat a felhasználó információbiztonság tudatosságához és adatbiztonsági kockázattal nem jár.
(3) A Hivatalban a DLP-alkalmazást alkalmazni kell:
a) a hálózaton tárolt adatokra (file-szerver, csoportmunka eszközök, hálózati adatbázisok),
b) a felhasználói munkaállomásra, notebook-ra, BlackBerry-re,
c) a levelezőrendszerre, valamint
d) az egyéb kommunikációs és internetes alkalmazásokra.
(4) A DLP-alkalmazás a szervezeti egységek vezetőinek részvételével e célra létrehozott eseti munkacsoport által
kialakított szabályrendszer alapján minden hozzáférést és adatmozgást monitoroz, ideértve az e-mail küldést,
nyomtatást és adathordozóra mentést is.
(5) A DLP-alkalmazás az adatmozgás blokkolására is alkalmazható.
21. Távoli elérés szabályozása 47. § (1) A Hivatal elektronikus információs rendszereinek távoli elérése csak egyedileg azonosított felhasználók számára,
és csak korlátozottan, nem minden rendszer vonatkozásában engedélyezett.
(2) A távoli elérés kialakítása
a) https elérésen és
b) VPN kapcsolaton keresztül
lehetséges.
48. § (1) VPN kapcsolatot a Hivatal munkatársai csak a Hivatal tulajdonában lévő, titkosított eszközzel, személyre szóló
tanúsítvánnyal létesíthetnek. Ilyen hozzáférés a SharePoint csoportmunka-rendszerhez, – kivételesen indokolt
esetben, az indokok megjelölésével – a távoli asztal kapcsolat szolgáltatáshoz, valamint az informatikus munkatársak
számára a Govsys rendszerhez igényelhető a főtitkártól, iktatott feljegyzésben. A főtitkár a távoli asztal kapcsolat
szolgáltatáshoz való hozzáférést a Hivatal rendelkezésére álló infrastrukturális, anyagi és egyéb források függvényében
engedélyezi, az III vezetőjének véleménye alapján.
(2) A vendégfelhasználók számára VPN kapcsolatot – személyre szóló tanúsítvánnyal – az III vezetője engedélyezhet
a rendszerek kivitelezésére, üzemeltetésére vagy támogatására vonatkozó szerződések alapján, a szerződésben
foglaltak szerint, kizárólag a támogatott szakrendszerhez való hozzáférés érdekében. A VPN kapcsolat biztonsági
követelményeit kötelező elemként a szerződésben rögzíteni kell.
(3) A VPN hozzáféréseket a tűzfalon keresztül naplózni kell. A távoli elérések során az III vezetője által meghatározott ideig
tartó inaktivitás esetén az elektronikus információs rendszerhez való további hozzáférés zárolására kerül sor.
(4) A VPN kapcsolatot biztosító személyre szóló tanúsítványt a rendszergazda adja ki, és a tanúsítványokról nyilvántartást
vezet.
22. Hálózatbiztonság 49. § (1) A hálózat és a rendszerelemek rosszindulatú vagy kártékony programok, vírusok elleni védelme érdekében az III aktív
vírusvédelmi rendszert működtet. Az III biztosítja valamennyi vírusvédelmi alkalmazás legalább naponta egyszeri
automatikus frissítését a gyártó cég szerveréről.
(2) A tűzfalon keresztül végzett minden tevékenységet naplózni kell, ideértve a webhelyek látogatásának automatikus
rögzítését is. A naplózásnak lehetővé kell tennie a munkaállomás vagy hordozható eszköz beazonosíthatóságát.
A naplóállományokat az esetleges hálózati és kommunikációs incidensek kivizsgálása és hibajavítása céljából
kilencven napig kell megőrizni.
(3) A védelmi rendszer keretében
a) a munkaállomásokon és a Windows-os virtuális szervereken vírusvédelmi alkalmazás,
b) az internetforgalomra és a hivatali levelezőrendszerbe érkező levelekre alkalmazott kétszintű vírusellenőrzés,
c) a hivatali levelezőrendszerbe érkező levelekre alkalmazott spamszűrés
működik.
23. Információbiztonság-tudatosság, oktatás és tréning 50. § (1) Az III a felhasználók számára, ideértve a vendégfelhasználókat, valamint a 13. § (3) bekezdés szerinti személyeket is,
kötelező információ biztonsági és biztonság tudatossági oktatást szervez.
(2) A felhasználóknak olyan képzést kell kapniuk az általuk használt, illetve üzemeltetett alkalmazásokról, amelynek
eredményeként képessé válnak a rendszerek megfelelően biztonságos használatára.
(3) Az III szervezi meg és bonyolítja le a biztonság tudatossági és egyéb, a Hivatal informatikai rendszerének használatával
és biztonságával összefüggő képzéseket. Ezenkívül az III felhívja a felhasználók figyelmét a hatályos biztonsági
szabályzatokban és eljárásokban bekövetkező változásokra.
(4) A vírusok és egyéb rosszindulatú kódok elleni védekezéssel kapcsolatos ismereteket be kell építeni az oktatás
tananyagába. A felhasználókat ezenkívül rendszeresen, de legalább évente tájékoztatni kell a vírusok és egyéb
rosszindulatú kódok elleni védekezés eszközeiről és módjáról.
51. § (1) A Hivatalban központi hálózatmenedzsment rendszer működik, amely biztosítja a biztonsági frissítések hálózaton
belüli terítését, a hibakeresést, illetve a hibaelhárítások kivitelezését.
(2) A frissítések telepítésének eredményéről a rendszergazda nyilvántartást vezet.
(3) A központi frissítésekre szolgáló karbantartási ablakokat a Hivatal vezetésének jóváhagyása mellett minden hónapban
azonos napokon és időpontokban kell kijelölni, ezekről az III előzetesen e-mailben tájékoztatja a felhasználókat.
52. § (1) A Hivatal szerverein a Windows operációs rendszerű szerverek biztonsági frissítéseit minden hónapban, a gyártó által
kiadott frissítőcsomagok megjelenése után, központilag, rendszergazdai felügyelet mellett kell telepíteni.
A telepítéseket három ütemben kell végrehajtani, az III vezetője által meghatározott rendben.
(2) A munkaállomásokat érintő biztonsági frissítéseket minden hónapban, a gyártó által kiadott frissítőcsomagok
megjelenése után, központilag ütemezve, rendszergazdai felügyelet mellett kell telepíteni. A telepítéseket két
ütemben kell végrehajtani, az III vezetője által meghatározott rendben.
53. § (1) A hálózati adatállományok biztonsága érdekében a szerverekről az III vezetője által meghatározott rendben és
megőrzési idővel
a) naponta napi differenciális mentést kell készíteni, részben kazettára, részben pedig gyorsabb elérhetőségű
lemezekre,
b) hetente egyszer teljes mentést kell végrehajtani, amelyek a napi mentésekkel megegyező módon kerülnek
adattárolókra,
c) havonta egyszer teljes mentést kell készíteni, kazettára mentve.
(2) A mentések megtervezése és lebonyolítása az III feladata.
54. § (1) A mentésre, archiválásra felhasznált adathordozót zárható szekrényben, az adathordozó saját tartójában, borításában
kell elhelyezni úgy, hogy tárolás közben ne sérüljön, károsodjon.
(2) A mentésre, archiválásra felhasznált adathordozót címkével kell ellátni, ahhoz a rendszergazda és az III vezetője fér
hozzá.
(3) A mentést vagy archivált adatot tartalmazó adathordozón fel kell tüntetni az adathordozó egyedi sorszámát.
(4) A havi mentés adathordozóját a napi mentésektől elkülönítve, másik páncélszekrényben kell elhelyezni.
(5) A havi mentésre és archiválásra felhasznált adathordozókról a rendszergazda nyilvántartást vezet, amelyet
páncélszekrényben kell tárolni. 55. § (1) A megőrzési idők lejártával az adathordozó – teljes törlését követően – újra felhasználható.
(2) A mentésre, archiválásra szolgáló adathordozó visszaállíthatóságát annak újbóli felhasználása előtt ellenőrizni kell.
Továbbá meg kell bizonyosodni arról, hogy a visszaállítások elvégezhetők azon idő alatt, amelyet az üzemi eljárások
a visszaállításokra megszabtak. Minden új mentő szoftver vagy hardver vásárlása esetén üzembe helyezés előtt ki kell
próbálni az adat visszaállítást másik gépen vagy tesztkörnyezetben, és az ellenőrzés eredményét dokumentálni kell.
VII. Fejezet
Jogosultságok kezelése – hozzáférések ellenőrzése 24. Munkatárs belépése, áthelyezése, tartós távolléte, kilépése
56. § (1) A Hivatalhoz új belépőként érkező munkatárs számára belépése napján az III biztosítja a munkavégzéséhez szükséges
számítástechnikai eszközöket, rendelkezésére bocsátja a telefonvonalat, valamint hozzárendeli a Hivatal rendszereihez
hozzáférést biztosító alapvető jogosultságokat, ideértve a hálózati jelszavát, valamint a szervezeti egységéhez tartozó
„H:\IRODA\…” könyvtárhoz és a felhasználó saját munkakönyvtárához való hozzáférést, továbbá – ha az a munkakör
ellátásához szükséges – a többi egyedi használatú alkalmazáshoz való hozzáférést.
(2) A felhasználói azonosítónak meg kell felelnie az egyediség kritériumának. Az azonosítóhoz rendelt jogosultságok
az adott munkakör, feladat ellátásához szükséges és elégséges funkcióelérést biztosítják.
(3) A felhasználói azonosítóhoz kiosztott hálózati jelszót a felhasználónak az első belépést követően haladéktalanul meg
kell változtatnia.
(4) Az alapinfrastruktúrával való ellátást, a jogosultságok beállítását a Humánerőforrás Iroda új munkatárs érkezéséről
szóló írásos értesítése után végzi el az III munkatársa.
57. § (1) A felhasználó számára egyedi hozzáférési jogosultságot szervezeti egységének vezetője vagy a szervezeti egység
tevékenységét irányító vezető – versenytanácstag esetében a Versenytanács elnöke – saját felelősségi körén belül
írásban igényelhet az III vezetőjétől. Ha a hálózati hely, amelyhez egyedi hozzáférési jogosultságot igényeltek, olyan
szervezeti egység kizárólagos hozzáférése mellett működik, amelyet nem az egyedi hozzáférési jogosultságot igénylő
vezető vezet vagy irányít, a hozzáférési jogosultságot csak az érintett szervezeti egység vezetőjének hozzájárulása
esetén lehet megadni.
(2) Az egyedi jogosultságokról az III naprakész nyilvántartást vezet, amely tartalmazza az igénylő és a jogosult felhasználó
nevét, az érintett hálózati hely meghatározását, a jogosultság tartalmát, valamint a beállítás időpontját és – ha az az
általános szabálytól eltér – érvényességi idejét.
(3) Az III vezetője az egyedi jogosultságokat évente felülvizsgálja. Ha az egyedi jogosultság iránti igény nem jelöl meg
eltérő érvényességi időt, az egyedi jogosultság a kiosztása időpontjának naptári évét követő évben soron következő
éves felülvizsgálatig érvényes. Ha az III vezetője az éves felülvizsgálat során az egyedi jogosultság fenntartásának
szükségességét nem tudja megítélni, írásban megkeresi az igénylőt, aki írásban kérheti az egyedi jogosultság
fenntartását.
58. § (1) Ha a felhasználó jogviszonya előreláthatólag három hónapot meghaladóan szünetel, vagy a felhasználó
a munkavégzésben előreláthatóan ennyi ideig nem vesz részt, a felhasználói azonosítóját fel kell függeszteni. Ez alól
indokolt esetben az adott munkatárs szervezeti egységének vezetője által aláírt feljegyzés alapján el lehet térni,
az eltérésről a főtitkár dönt.
(2) Ha a főtitkár döntése alapján a felhasználó azonosítójának felfüggesztésére nem kerül sor, a felhasználó – ha
az indokoltnak mutatkozik, a szükséges körben – köteles gondoskodni arról, hogy a távolléte alatt nem követett
levelezőlistákról lekerüljön, valamint hogy a csoportos címre érkezett e-mail az ő címére ne érkezzen meg. E célból
tájékoztatja az III-t távolléte kezdő időpontjáról, szervezeti egysége vezetőjének tájékoztatása mellett leiratkozik
a levelezőlistákról, vagy az erre jogosult személynél kéri a levelezőlistáról való törlését.
(3) A felhasználói azonosítót az III a Humánerőforrás Iroda által küldött, a munkatárs visszatéréséről szóló írásbeli értesítés
alapján aktiválja újra.
59. § A felhasználó szervezeten belüli áthelyezéséről a Humánerőforrás Iroda az esetlegesen szükségessé váló
jogosultságmódosítás érdekében írásban értesíti az III-t.
60. § (1) A munkatársak Hivataltól történő távozásáról a Humánerőforrás Iroda írásban értesíti az III vezetőjét, aki a kilépés
dátumának ismeretében megszünteti a felhasználói jogosultságokat és megvonja a belső hivatali alkalmazásokhoz
való hozzáférést.
(2) Az III vezetője ellenőrzi, hogy a leltár szerint a távozó munkatárshoz rendelt informatikai eszközök hiánytalanul,
működőképes állapotban megvannak e. A munkatárs köteles megtéríteni azt a kárt, amelyet a rendelkezésére
bocsátott számítástechnikai eszköz elvesztése, meghibásodása vagy megsemmisülése folytán keletkezett.
A munkatárshoz rendelt eszközök leltárban történő kivezetéséről a Költségvetési Iroda gondoskodik.
61. § (1) A Hivataltól távozó munkatárs hivatali postafiókjában található adatokat az III adathordozóra menti és zárolja, majd
a szerverekről törli. Az adathordozót három évig kell megőrizni a munkaviszonnyal vagy szolgálati jogviszonnyal
kapcsolatos esetleges jogvitában való felhasználás vagy a Hivatal feladatkörének ellátásához szükséges, máshol fel
nem lelhető dokumentumok vagy bizonyítékok felhasználása céljából. A megőrzési idő alatt felmerülő okból az őrzési
idő a szükséges ideig meghosszabbítható. Az adathordozó tartalmához az elnök, a feladatkörükben érintett
elnökhelyettesek, a Humánerőforrás Iroda vezetője, a Hivatal jogi képviseletét ellátó szervezeti egység vezetője,
a feladatkörében érintett szervezeti egység vezetője, valamint a távozó munkatárs utolsó szervezeti egységének
vezetője férhet hozzá az III-nek címzett iktatott kérelem alapján, amelyben meg kell jelölni a hozzáférés célját.
(2) A Hivataltól távozó munkatárs az utolsó szervezeti egységének vezetőjéhez címzett iktatott feljegyzésben, az adatok
vagy az elérési út megjelölésével kérheti, hogy a munkaállomásán és az általa használt hordozható eszközön, valamint
hivatali postafiókjában tárolt adatokról saját költségére másolatot készíthessen. A kérelemről az érintett utolsó
szervezeti egységének vezetője dönt. A kérelem teljesítését meg kell tagadni, ha az a Hivatal feladatellátását
veszélyezteti, vagy annak sérelméhez vezetne. A másolat készítését az III végzi.
(3) Az adatok (1) bekezdés szerinti mentését követően a munkaállomás, hordozható eszköz, valamint adott esetben
az egyéb számítástechnikai eszköz tartalmát törölni kell.
(4) A hivatali postafióknak egy kijelölt munkatárs általi további elérhetőségét, vagy bizonyos időtartamig a távozó
munkatárs e-mail címéről automatikus válaszüzenet küldését az érintett szervezeti egység vezetőjének feljegyzése
alapján az III vezetője biztosítja.
62. § Ha a Hivatallal szerződésben álló külső szolgáltató féltől olyan személy lép ki vagy olyan személyt helyeznek át, aki
rendelkezik a Hivatal rendszereihez kapcsolódóan jogosultsággal, akkor az érintett személy jogosultságait a szerződő
fél jelzése alapján az III haladéktalanul érvényteleníti.
VIII. Fejezet
Információbiztonság menedzsment 25. Kockázatelemzés, felülvizsgálati rendszer
63. § (1) A Hivatal elektronikus információs rendszereinek kockázatelemzését a 77/2013. (XII. 19.) NFM rendeletben
meghatározott módszertan alapján az III végzi, ennek eredményét jóváhagyásra felterjeszti az elnöknek.
(2) A kockázatelemzés eredményei alapján az III intézkedési tervet készít, amelyben rögzíti a kockázatok kezelésének
módját, végrehajtását, a végrehajtásért felelős személyt, a végrehajtás határidejét, a fenyegetések elhárításáért és
a kockázatkezelésért felelős személyeket.
64. § (1) A kockázatkezelési eljárásokat az III a jogszabályi változásokra, továbbá a Hivatal elektronikus információs
rendszereiben, vagy azok környezeti tényezőiben történt változásokra figyelemmel szükség esetén, de legalább
háromévente felülvizsgálja, amely során vizsgálja
a) a lehetséges fenyegetéseket és kockázatokat, azok kockázati besorolását,
b) a feladatkörök és felelősségi körök meghatározását,
c) az intézkedési tervben foglaltak megvalósulását,
d) az intézkedési terv módosításának szükségességét.
(2) A kockázatelemzést az elektronikus információs rendszereket érintő minden változás, így különösen új hardver, új
alkalmazói szoftver üzembe állítása vagy a jogszabályi környezet változása esetén el kell végezni. A fenyegetettségek
elemzését és a kockázatok meghatározását az III vezetője hajtja végre az Ibtv., valamint a hozzá kapcsolódó
végrehajtási rendeletekben foglalt módszertan alkalmazásával, szükség szerint külső szakértő bevonásával.
(3) A szervezetre érvényes biztonsági szint meghatározását az elvárt biztonsági szint elérését követően legalább
háromévenként, szükség esetén soron kívül, dokumentált módon felül kell vizsgálni.
65. § (1) E szabályzatot szükség esetén, de legalább háromévente felül kell vizsgálni. A felülvizsgálat szükséges
a) olyan szervezeti változás esetén, amely az e szabályzatban hivatkozott szervezeti egységek bármelyikének
megszűnésével vagy jelentős átalakulásával, feladatváltozásával jár,
b) súlyos informatikai biztonsági eseményt követően, az esemény tanulságaira, az alkalmazott intézkedésekre
figyelemmel,
c) a szabályozási környezet változása esetén, amennyiben az az e szabályzatban foglaltakat érinti.
26. Helyesbítő-megelőző intézkedések rendszere, az informatikai biztonsági események jelentése
66. § A felhasználó a lehetséges legrövidebb időn belül köteles jelezni az III-nek információbiztonsági szabályok általa
észlelt lényeges megsértését, valamint minden olyan veszélyforrást, amely az információbiztonságra nézve érdemi
fenyegetést jelent vagy jelenthet, így különösen
a) az elektronikus információs rendszerekben tárolt adatokhoz való jogosulatlan hozzáférést, illetve azok
jogosulatlan megváltoztatását, törlését, hozzáférhetővé tételét, továbbítását vagy hozzáférhetetlenné tételét,
b) a rendszerelemek működésének, használatának jogosulatlan akadályozását,
c) nem engedélyezett vagy licence-szel nem rendelkező szoftver telepítését,
d) felhasználói jelszavak egymás közötti megosztását, hozzáférhetővé tételét,
e) vírusfertőzést,
f ) ismeretlen okú, a megszokottól eltérő működést.
27. Biztonsági események, incidensek kezelése 67. § (1) A Hivatal a Nemzeti Távközlési Gerinchálózatot érintő észlelt biztonsági eseményeket bejelenti a kormányzati
eseménykezelő központnak (a továbbiakban: központ), és fogadja az onnan érkező riasztásokat.
(2) Az III a központtól érkező riasztásokat a beérkezés után azonnal, soron kívül feldolgozza, a szükséges intézkedéseket
megteszi, ha a felhasználókat is érintő problémáról érkezik riasztás, azt valamennyi munkatárshoz eljuttatja, a megtett
intézkedésekről tájékoztatja a központot.
68. § (1) A biztonsági eseményeket az III soron kívül kivizsgálja, szükség szerinti mértékben bevonva az érintett elektronikus
információs rendszer vagy rendszerelem szállítóját. A vizsgálat eredményét írásban kell dokumentálni, amelyből
a bejelentő, az III és – bevonása esetén – a szakrendszer szállítója másolatot kapnak. A dokumentációt
páncélszekrényben kell őrizni.
(2) A biztonsági események kapcsán tett bejelentésekről, a lefolytatott vizsgálatokról, valamint a végrehajtott
intézkedésekről az III vezetője a bekövetkezett biztonsági esemény következményeinek enyhítése, a jövőben várható
hasonló biztonsági események megelőzése, azok bekövetkezési valószínűségének csökkentése, valamint a vizsgálat
során feltártakhoz hasonló védelmi fenyegetettségek kezelése és a védelmi intézkedések fejlesztése érdekében
nyilvántartást vezet.
28. A biztonsági szabályok megsértésének következményei 69. …
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.