📄 Jogszabály szövege
18/2018. (V. 31.) ORFK utasítása az Informatikai Biztonsági Szabályzatról.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény
6. § (1) bekezdés b) pontjában foglaltak alapján, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló
2013. évi L. törvény 11. § (1) bekezdés f ) pontjában meghatározott feladatok végrehajtása érdekében kiadom az alábbi utasítást:
I. FEJEZET
ÁLTALÁNOS RENDELKEZÉSEK 1. Az utasítás hatálya
1. Az utasítás hatálya kiterjed:
a) az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK);
b) a Készenléti Rendőrségre, a Repülőtéri Rendőr Igazgatóságra, a Nemzetközi Bűnügyi Együttműködési
Központra, a Rendőrségi Oktatási és Kiképző Központra és a megyei (fővárosi) rendőr-főkapitányságokra
(a továbbiakban együtt: területi szervek);
c) a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek).
2. Az utasítás tárgyi hatálya az általános rendőrségi feladatok ellátására létrehozott szerv (a továbbiakban: Rendőrség)
használatában lévő vagy általa üzemeltetett valamennyi elektronikus információs rendszerre (a továbbiakban:
rendszer) és azok környezetét alkotó rendszerelemekre (adatok, szoftverek teljes körére, a folyamatokra, valamennyi
telephelyére és létesítményére), az informatikai folyamatban szereplő valamennyi dokumentációra, azok teljes
életciklusában kiterjed, kivéve a minősített adatokat kezelő rendszereket.
2. Értelmező rendelkezések 3. Az utasítás alkalmazásában:
a) adatállomány: informatikai infrastruktúrában lévő adatok logikai és fizikai összefogása, melyet egy névvel
jelölnek vagy azonosítanak;
b) adatátvitel: adatok szállítása összeköttetéseken, összekötő utakon keresztül (különösen számítógépek között);
c) adathordozó: az elektronikus adatkezelő rendszerhez csatlakoztatható vagy abba beépített olyan eszköz,
amelynek segítségével az elektronikus adatok tárolása megvalósítható;
d) alkalmazás: egy célfeladatot megvalósító szoftver;
e) biztonságtudatosság: a Rendőrség biztonságáért vállalt felelősség; a meghatározott biztonsági szintnek mint
követelménynek az elfogadása, illetve a hiánya következményeinek elismerése, valamint a biztonság
szempontjából etikus magatartás;
f ) dokumentum: a rendszer által használt vagy létrehozott olyan termék, amely információt tartalmazhat, és
amelyet a rendszer hozott létre vagy dolgozott fel;
g) folyamatgazda: a folyamat megtervezéséért, végrehajtásáért, ellenőrzéséért és javításáért felelős személy vagy
csoport, aki figyelemmel kíséri a külső és belső szabályok betartását, az adott folyamatot értékeli, és szükség
esetén javaslatot tesz a módosításokra, fejlesztésekre;
h) hardver: informatikai eszközök kézzel közvetlenül megfogható részeinek gyűjtőneve;
i) hálózat: az informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége;
j) hálózati aktív eszközök: a hálózat működését biztosító elektronikus elemek (különösen tűzfal, router, switch,
HUB, optikai átkapcsoló);
k) hálózati passzív eszközök: a hálózati aktív eszközök kapcsolatát és kommunikációját biztosító elemek (különösen
kábelezés, kábelcsatornák, fali csatlakozók és a rendezőszekrények);
l) helyi rendszer: helyi szerv által üzemeltetett és menedzselt rendszer;
m) hozzáférési jog: annak meghatározása, hogy a kezelésre jogosult milyen szoftvert, adatot vagy adathordozót
kezelhet, illetve azokkal milyen műveleteket végezhet; n) információbiztonság: olyan előírások, szabályok és szabványok betartásának eredménye, amelyek
az elektronikus információs rendszerben kezelt adatok és információk bizalmasságának, sértetlenségének és
rendelkezésre állásának, valamint az elektronikus információs rendszer és elemeinek sértetlenségének és
rendelkezésre állásának zárt, teljes körű, folytonos és kockázatokkal arányos védelmének biztosítását érintik,
és amelyeket az informatikai rendszer alkalmazása során megelőző biztonsági intézkedésekkel lehet elérni;
o) informatikai biztonság: az informatikai rendszer olyan kedvező állapota, amelyben a kezelt adatok bizalmassága,
sértetlensége és rendelkezésre állása biztosított, valamint a rendszer elemeinek biztonsága szempontjából
zárt, teljes körű, folytonos és kockázatokkal arányos, a biztonság elvárt szintje és az ezt megvalósító
intézkedések jellege függ az adott informatikai rendszer biztonsági osztályától;
p) informatikai eszköz: minden olyan digitális eszköz és ennek funkcionális tartozéka, amely adatok összegyűjtésére,
feldolgozására (rendezésére, csoportosítására, kiszámítására), előállítására, tárolására és megjelenítésére,
illetve az e tevékenységekkel kapcsolatos adatmódosításra és adattovábbításra alkalmas;
q) intézkedés: a kockázatkezelés eszközei, beleértve a szabályzatokat, eljárásokat, irányelveket, gyakorlatokat,
képzést vagy egyéb intézkedést, amelyek lehetnek adminisztratív, műszaki, irányítási vagy jogi természetűek;
r) integritás: a sérthetetlenségen túl a teljességet, továbbá az ellentmondás mentességet és a korrektséget
jelenti, amelynek eredményeként az információ valamennyi része rendelkezésre áll, elérhető;
s) javítás: a hardver vagy szoftver konfigurációjának változásával, az eszközök elszállításával járó hibaelhárítási
feladat;
t) karbantartás: a rendszerben vagy azok elemein végzett munka, melynek során a telepített hardver és szoftver
konfiguráció nem változik, karbantartásnak minősül különösen a biztonsági réseket befoltozó hibajavítások
telepítése;
u) katasztrófahelyzet: az informatikai erőforrások (különösen az elektronikus adatok, fájlok, szoftverek,
számítógépek, hálózati aktív és passzív eszközök) fenyegetettsége, minden olyan nemkívánatos esemény,
amely az adatok teljességét, sértetlenségét, megbízhatóságát vagy rendelkezésre állását hátrányosan
befolyásolja, a fenyegetettség lehet külső esemény (tűzeset, vízkár, számítógépvírusok), vagy lehet belső
tényező (hanyag kezelés, rosszindulatú adatmódosítás, szoftverhiba);
v) katasztrófa: bekövetkezett katasztrófahelyzet;
w) kibertér: a számítógépes hálózatok és az általuk összekötött számítógépek és egyéb berendezések által alkotott
virtuális tér, az a környezet, amelyben az adat technikai eszközökön (számítógépes hálózatokon) keresztül
áramlik, elektronikus adatok tárolódnak, online adatforgalom és kommunikáció zajlik;
x) korrektív kontroll: az eredeti állapot visszaállítását célzó intézkedés;
y) központi rendszer: az ORFK által üzemeltetett és menedzselt elektronikus információs rendszer;
z) operációs rendszer: a számítógépek működésének elengedhetetlen részét képező szoftver, amelynek feladata
az alapvető szolgáltatások biztosítása a programok számára, valamint az alkalmazások és a felhasználó közötti
kommunikáció biztosítása;
aa) privilegizált felhasználó: az a felhasználó, aki a rendszer/hálózat üzemeltetési vagy fejlesztési feladatainak
végrehajtásához kiemelt jogosultsággal rendelkezik;
bb) privilegizált funkció: a rendszer/hálózat üzemeltetéséhez vagy fejlesztéséhez szükséges beavatkozás;
cc) rendszerüzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely
az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős;
dd) szakmai adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó
eszköz az adat kezelését rendeli, aki az adathoz a hozzáférési jogosultságot engedélyezi, illetve ahol az adat
keletkezik;
ee) szerver: szervernek minősül az olyan számítógép, amely hálózati szolgáltatásokat nyújt és/vagy kliensek
kapcsolódnak hozzá;
ff) szoftver: valamely informatikai eszköz olyan logikai (kézzel nem megfogható) része, amely a hardver(ek)
működtetéséhez, vezérléséhez szükséges (különösen alkalmazások, operációs rendszerek);
gg) területi rendszer: a területi szerv által üzemeltetett és menedzselt rendszer;
hh) vírus: olyan szoftvertörzs, amely egy szoftver részeként illegálisan készült, a szoftver alkalmazása során
átterjedhet, „megfertőzhet” más, az informatikai rendszerben lévő rendszer-, illetve felhasználói szoftvert,
sokszorozva önmagát, károkat és teljes működésképtelenséget okozhat.
II. FEJEZET
RÉSZLETES RENDELKEZÉSEK 3. Alapelvek 4. A felhasználó kötelessége az információvédelem területén az adott helyzetben általában elvárható magatartást
tanúsítani és tartózkodni minden károkozó tevékenységtől.
5. Az informatikai eszköz felhasználója csak az a személy lehet, aki a Rendőrséggel foglalkoztatási jogviszonyban áll,
a munkavégzéshez megfelelő informatikai ismeretekkel rendelkezik, legalább osztályvezető beosztású elöljárója
engedélyével szükséges mértékű hozzáférési jogosultságot kapott a Rendőrség rendszereihez, és azokat
az információbiztonsági tudatosság szem előtt tartásával használja, valamint nyilatkozik az utasításban foglaltak
tudomásul vételéről.
6. A munkaköri leírásban el kell különíteni a jogköröket és a feladatköröket az egyes személyek között annak érdekében,
hogy a rendszer vagy informatikai eszköz (a továbbiakban: eszköz) személyes felelősség megállapítása mindenkor
biztosított legyen.
7. A rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható, az egyes alrendszer vagy rendszerelem
funkcionalitásának megfelelő zavartalan és folyamatos működése.
8. A Rendőrség tulajdonát képező vagy használatában álló eszközöket rendeltetésszerűen, munkavégzés céljából,
a Rendőrség érdekeinek szem előtt tartásával, a Rendőrség által meghatározott módon, a felhasználó felelősségére
lehet használni. Az eszközök minden egyéb célú, különösen magáncélú használata tilos.
9. A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és
szoftverintegritását. Az integritás sérelmének minősül a rendeltetésellenes használat, hardveres (különösen
az informatikai eszközből történő eltávolítása, illetve alkatrész behelyezése) vagy szoftveres módosítás (különösen
nem engedélyezett program telepítése, a gyártói támogatással rendelkező verzió módosítása, biztonsági beállítások
átállítása).
10. A felhasználó csak a saját azonosítójával jelentkezhet be a Rendőrség hálózatára, másnak a saját bejelentkezési
hozzáférését nem adhatja át, nem teheti lehetővé, hogy más hozzáférjen.
11. A nem a Rendőrség tulajdonában álló, idegen, információs, számítástechnikai és telekommunikációs eszközt
az informatikai üzemeltetésért felelős vezető engedélye nélkül a Rendőrség informatikai struktúrájához csatlakoztatni
tilos.
12. A felhasználó köteles a biztonságot támogató szoftverek használatára, azokat az általa használt eszközről nem
törölheti le, nem kapcsolhatja ki.
13. A felhasználó kizárólag olyan szoftvereket, programokat használhat, amelyek a szolgálati munkavégzés céljából
szükségesek, engedélyezettek.
14. A felhasználó kötelessége az általa felismert biztonsági eseményt vagy az általa feltárt biztonsági sebezhetőséget
haladéktalanul jelezni a rendszerüzemeltetőnek, hogy annak elhárítása a lehető leghamarabb megtörténjen.
4. A Rendőrség rendszereinek biztonsági osztályba sorolása és a szervezetek biztonsági szintbe sorolása
15. A rendszerek biztonsági osztályba sorolását kockázatelemzés (1. melléklet) alapján a szakmai adatgazda végzi,
amelynek végrehajtásában az elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban:
e-biztonságért felelős) és a rendszerüzemeltető közreműködik.
16. A területi és a helyi szintű rendszerek biztonsági osztályba sorolása esetén a hatósági nyilvántartásba vételt követően
a területi szerv soron kívül tájékoztatja az ORFK Gazdasági Főigazgatóság Informatikai Üzemeltetési Főosztály
E-biztonság Felügyeleti Osztály (a továbbiakban: EBFO) vezetőjét a biztonsági osztályba sorolás eredményéről.
17. A biztonsági osztályba sorolást követően 90 napon belül meg kell határozni a biztonsági osztály követelményeinek
teljesítéséhez szükséges intézkedéseket.
18. A biztonsági osztályba és szintbe sorolás eredményéről naprakész nyilvántartást kell vezetni.
19. Az ORFK biztonsági szintje 4. biztonsági szint.
5. Informatikai Biztonsági Szabályzat 20. Az egységes rendőrségi informatikai rendszer megteremtése céljából az országos rendőrfőkapitány kizárólagos
hatáskörébe tartozik a Rendőrség informatikai tárgyi és technikai feltételeinek biztosítását célzó intézkedések
jóváhagyása. Az országos rendőrfőkapitány kizárólagos hatáskörébe tartozó informatikai biztonsági döntések
előkészítéséről a gazdasági országos rendőrfőkapitány-helyettes gondoskodik.
21. A területi szerv informatikai biztonsági szabályzatát az utasítással összhangban kell elkészíteni. A területi szerv
az informatikai biztonsági szabályzatát az állami és önkormányzati szervek elektronikus információbiztonságáról
szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.) meghatározott hatósági nyilvántartásba vételt követően
tájékoztatásul megküldi az EBFO vezetőjének.
6. Rendszerbiztonsági Terv 22. A Rendőrség által üzemeltetett vagy szolgáltatásként igénybe vett rendszer esetében (az éles-, a tartalék-, a teszt-,
a fejlesztői, az oktatói és az integrációs környezetre is, amennyiben az értelmezhető) Rendszerbiztonsági Tervet kell
készíteni és naprakészen tartani. A Rendszerbiztonsági Tervben kötelező megjeleníteni a rendszerrel kapcsolatos
technikai, valamint humán kockázati elemeket, maradványkockázatokat és az információbiztonság növelése
érdekében javasolt fejlesztési lehetőségeket.
23. A Rendszerbiztonsági Terv kidolgozása és naprakészen tartása – a rendszer teljes életciklusában – az érintett
szakterületekkel és külső személyekkel szorosan együttműködve a rendszerüzemeltető feladata.
24. A Rendszerbiztonsági Tervet frissíteni kell a rendszerben vagy annak üzemeltetési környezetében történt változások,
valamint a védelmi intézkedések értékelése során feltárt kockázatok esetén, egyeztetve az érintett szakterületekkel és
a külső személyekkel.
25. A Rendszerbiztonsági Tervet a 2. mellékletben meghatározott követelmények alapján kell elkészíteni.
26. A Rendszerbiztonsági Tervet – annak módosulása esetén is – az EBFO vezetőjének jóváhagyásra meg kell küldeni.
7. Hálózatbiztonsági Terv 27. A Rendőrség által üzemeltetett vagy szolgáltatásként igénybe vett rendszerek részét képező, illetőleg ezeket
összekötő hálózatok tekintetében Hálózatbiztonsági Tervet kell készíteni és naprakészen tartani. A Hálózatbiztonsági
Tervben kötelező megjeleníteni az informatikai hálózattal kapcsolatos technikai, valamint humán kockázati elemeket,
maradványkockázatokat és az információbiztonság növelése érdekében javasolt fejlesztési lehetőségeket.
28. A Hálózatbiztonsági Terv kidolgozása és naprakészen tartása – a hálózati aktív és passzív eszközök teljes életciklusában
érintett szakterületekkel és külső személyekkel szorosan együttműködve – a hálózatüzemeltető feladata.
29. A Hálózatbiztonsági Tervet frissíteni kell a hálózatban vagy annak üzemeltetési környezetében történt változások és
a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt kockázatok esetén, egyeztetve az érintett
szakterületekkel és a külső személyekkel.
30. A Hálózatbiztonsági Tervet a 3. mellékletben meghatározott követelmények alapján kell elkészíteni.
31. A Hálózatbiztonsági Tervet – annak módosulása esetén is – az EBFO vezetőjének jóváhagyásra meg kell küldeni.
8. Üzletmenet-folytonossági és katasztrófaelhárítási tervek 32. Az Üzletmenet-folytonossági (Business Continuity Plan, a továbbiakban: BCP) és katasztrófaelhárítási tervek (Disaster
Recovery Plan, a továbbiakban: DRP) az utasítás hatálya alá tartozó szolgáltatásokat biztosító informatikai infrastruktúra
elvárt szinten való működését biztosító, nem tervezett, negatív hatású események bekövetkezése esetére vonatkozó
eljárások dokumentációja, ennek megfelelően a kritikus folyamaton elvégzett folyamatalapú kockázatmenedzsment
egyik eredménye.
33. A BCP/DRP tervek kidolgozása és karbantartása a folyamatgazda feladata.
34. A rendszer BCP érintettségét a Rendszerbiztonsági Terv tartalmazza.
35. A hálózat BCP érintettségét a Hálózatbiztonsági Terv tartalmazza.
9. Információbiztonsági nyilvántartások 36. A Rendőrség információbiztonsági nyilvántartása az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszer, amelyben rögzíteni kell rendszerbiztonsági terv és a hálózatbiztonsági terv alapján
összegyűjtött információkat.
37. Az irányítás-, kockázat- és megfelelésmenedzsment rendszer naprakészen tartásáért a rendszerüzemeltető, illetve
a hálózatüzemeltető felelős.
10. Az információbiztonság szervezeti felépítése, feladat- és hatáskörök, felelősségi szabályok
38. Az információbiztonsági szerepköröket betöltő személyek kijelölése vagy kinevezése során törekedni kell arra, hogy
a Rendőrség szervezetén belül az információbiztonság megvalósítását és működtetését kezdeményezni és felügyelni
tudják.
39. Az információbiztonsági szerepköröket azonosítani kell az alábbiak szerint:
a) az információbiztonsággal kapcsolatos felelősséget meg kell határozni, és személyekhez kell rendelni;
b) az utasítás tárgyi hatálya alá tartozó valamennyi rendszer vonatkozásában ki kell jelölni az üzemeltetésért és
biztonságért felelős szervezetet vagy személyeket, akiknek kötelessége a felhasználókkal betartatni a rendszer
üzemeltetésével kapcsolatos szabályokat;
c) az ORFK és a területi szerv vezetőjének írásban ki kell jelölni egy e-biztonságért felelős és legalább egy
biztonságiesemény-kezelési megbízottat, akik feladataikat a munkaköri leírásukban foglaltak szerint látják el.
40. Az ORFK és a területi szerv vezetője írásban jelöli ki vagy bízza meg a rendszer e-biztonságért felelőst az Ibtv.-ben
meghatározottak figyelembevételével. Az e-biztonságért felelős személy Ibtv. 13. §-ában meghatározott feladatait
a munkaköri leírásában rögzíteni kell.
41. Az ORFK e-biztonságért felelőse az EBFO vezetője.
42. Az EBFO vezetője informatikai biztonsági kérdésekben irányítja, felügyeli és ellenőrzi az informatikai biztonsági
előírások teljesítésével összefüggő tevékenységét.
43. Az e-biztonságért felelős tevékenysége során szükség szerint együttműködik az adatvédelmi tisztviselővel,
a biztonsági vezetővel, az informatikai üzemeltetésért felelős vezetővel, a rendszerüzemeltetővel, a biztonsági
esemény kezelési megbízottal, valamint az Ibtv.-ben és végrehajtási rendeleteiben meghatározott szervekkel.
44. Az e-biztonságért felelős információbiztonsági szempontból véleményezi az információbiztonságot érintő
beszerzéseket és megkötendő megállapodásokat, illetve javaslatot tehet a már megkötött megállapodások
módosítására, amennyiben azok nincsenek összhangban az elvárt biztonsági követelményekkel.
45. Az e-biztonságért felelős véleményezi az utasítás tárgyi hatálya alá tartozó beruházások információbiztonsági
követelményeinek teljesülését, felügyeli azok megvalósítását a beruházás teljes életciklusa során.
46. A Rendőrség információbiztonságát érintő döntések előkészítését szolgáló egyeztetésekre – különösen
a munkacsoport értekezletekre – meg kell hívni az e-biztonságért felelőst.
47. Az ORFK és a területi szerv vezetője a biztonsági események elhárítására biztonságiesemény-kezelési megbízottat
vagy megbízottakat jelöl ki a kormányzati eseménykezelő központ és az eseménykezelő központok feladat- és
hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események műszaki vizsgálatának és
a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendeletben meghatározottak
szerint.
48. Az e-biztonságért felelős és a biztonságiesemény-kezelési megbízott kijelölése, illetve személyi változása esetén
a területi szerv vezetője soron kívül tájékoztatja az EBFO vezetőjét.
49. Az e-biztonságért felelősökről és a biztonságiesemény-kezelési megbízottakról az EBFO nyilvántartást vezet.
50. A Rendőrségen központi, területi és helyi szintű informatikai rendszerek üzemeltethetők, melyekről az informatikai
üzemeltetésért felelős vezető naprakész nyilvántartást vezet.
51. Az ORFK Gazdasági Főigazgatóság Informatikai Üzemeltetési Főosztály (a továbbiakban: IÜF) vezetője irányítja
a Rendőrség informatikai és telekommunikációs üzemeltetési tevékenységét a központi rendszerek tekintetében.
52. Központi szintű informatikai infrastruktúra üzemeltetés során biztonsági esemény vagy kritikus hibajavítás esetén
az infrastrukturális alrendszerek, szolgáltatások ideiglenes vagy időszakos szüneteltetéséről, felfüggesztéséről az IÜF
vezetője, területi és helyi rendszer esetén a területi szerv informatikai üzemeltetésért felelős vezetője dönthet.
53. Az üzemeltetésért és a fejlesztésért felelős, az e-biztonságért felelős, továbbá a biztonságiesemény-kezelési megbízott
– egymással együttműködve – úgy köteles eljárni, hogy a rendszer teljes életciklusában megvalósuljon és biztosított
legyen a rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint
a rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos
védelme.
54. A szakmai adatgazda feladatai:
a) igényelt jogosultságok elbírálása;
b) a hozzá rendelt adatállomány és szolgáltatás vonatkozásában a kockázatok mértékének a bizalmasság,
rendelkezésre állás és sértetlenség szempontjából történő meghatározása, az 1. mellékletben foglaltak alapján;
c) a felelősségi körébe tartozó információs vagyonelemekre vonatkozó szakmai döntések meghozatala;
d) az információbiztonsági követelmények alapján az információbiztonsági kockázatok felmérése;
e) a hozzáférésre jogosult felhasználók adatainak és jogosultságainak naprakész nyilvántartása.
55. A rendszer üzemeltetéséért felelőst meg kell nevezni a Rendszerbiztonsági Tervben. A rendszerüzemeltetési feladatok
konkrét meghatározását a munkaköri leírásban kell rögzíteni.
56. A hálózat üzemeltetésért felelőst a hálózat vonatkozásában írásban meg kell nevezni a Hálózatbiztonsági Tervben.
A hálózatüzemeltetési feladatok konkrét meghatározását a munkaköri leírásban kell rögzíteni.
57. A rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozattételre kell kötelezni a hozzáférési jogosultságot
igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy a rendszer használatához kapcsolódó, rá vonatkozó
biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja.
11. Együttműködés a hatóságokkal 58. A területi szerv vezetője az e-biztonságért felelős útján az Ibtv.-ben meghatározott hatósági bejelentéssel kapcsolatos
feladatainak ellátásáról tájékoztatja az EBFO vezetőjét.
59. A kibertérből származó kockázatokra vonatkozó figyelmeztetéseket az e-biztonságért felelős és
a biztonságiesemény-kezelési megbízott fogadja a Kormányzati Eseménykezelő Központtól, azokat elemzi, és
amennyiben intézkedés szükséges, azok végrehajtásáról tájékoztatja az EBFO-t.
60. Az e-biztonságért felelős és a biztonságiesemény-kezelési megbízott a biztonsági események felderítése, elhárítása
és megelőzése érdekében kapcsolatot tart a Kormányzati Eseménykezelő Központtal.
12. Információbiztonsági kockázatok kezelése 61. A kockázatkezelés célja, hogy a Rendőrség képes legyen azonosítani az információs vagyontárgyait veszélyeztető
kockázati tényezőket, és az azonosított kockázatokkal arányos védelmi intézkedéseket dolgozzon ki az információs
vagyontárgyak védelmének érdekében.
62. Az ORFK az általa használt kockázatkezelési módszertanát az ORFK integrált kockázatkezelési szabályzatában írja elő.
63. Az ORFK az általa üzemeltetett vagy szolgáltatásként igénybe vett rendszer kockázatfelmérését és kockázatelemzését
az adott rendszer Rendszerbiztonsági Tervében valósítja meg, melyet az erre a célra rendszeresített irányítás-,
kockázat- és megfelelésmenedzsment rendszerben naprakész állapotban tartva dokumentál, meghatározva egyes
kockázati elemek felelőseit és a kockázatok elhárításában tevékenyen részt vevőket.
64. A Rendőrség a rendszereit összekapcsoló informatikai infrastruktúra kockázatfelmérését és kockázatelemzését
a Hálózatbiztonsági Tervében valósítja meg, melyet az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben naprakész állapotban tartva dokumentál, meghatározva egyes kockázati elemek
felelőseit és a kockázatok elhárításában tevékenyen részt vevőket.
65. Az ORFK a felmért és dokumentált folyamatai kapcsán a BCP-vel összhangban folyamatalapú kockázatelemzést végez
a kockázatért felelős és a kockázat elhárításában tevékenyen részt vevő bevonásával, a kockázatok kezelésének elvárt
minősége érdekében.
66. A Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben meg kell jeleníteni a maradványkockázati elemeket is.
13. Információbiztonsági feladatok tervezése, megvalósítása 67. Az információbiztonsági célok elérése és a kockázatok csökkentésére tervezett intézkedések összehangolt
megvalósítása érdekében a javasolt intézkedéseket a rendszerbiztonsági tervek és a Hálózatbiztonsági Terv alapján
kell összeállítani.
68. A szervezet vezetője az információbiztonsági feladatokat felelőshöz és határidőhöz rendelten hagyja jóvá, elfogadva
a maradványkockázatokat. Meg kell határozni
a) az intézkedéseket,
b) az intézkedések elvárt célját és a célok mérési módszerét,
c) az intézkedések erőforrás szükségletét,
d) az erőforrások forrását.
14. Beszámolás az információbiztonsági feladatok végrehajtásáról 69. A területi szerv e-biztonságért felelőse évente jelentésben értékeli a területi szerv és az alárendelt adatkezelő szervek
informatikai biztonsági helyzetét, felülvizsgálja az informatikai biztonsági szabályzatot.
70. Az értékelő jelentést minden év március 31-ig a területi szerv vezetőjének, valamint az EBFO vezetőjén keresztül
a gazdasági országos rendőrfőkapitány-helyettes részére kell felterjeszteni.
71. Az értékelő jelentésekből készített országos helyzetet összefoglaló jelentést minden év április 30-ig az országos
rendőrfőkapitány részére kell felterjeszteni.
72. Az ORFK e-biztonságért felelőse az Ibtv.-ben és végrehajtási rendeleteiben meghatározott követelmények
teljesüléséről az illetékességi területén az érintett szakterületről tájékoztatást vagy adatot kérhet be.
15. Személyi biztonság 73. Amennyiben nemzetbiztonsági ellenőrzés alá eső munkaköröket ellátó személyek esetén kockázati tényező merül fel,
a jogosultságokat azonnal vissza kell vonni, ezzel egyidejűleg az EBFO-t tájékoztatni kell.
74. A felhasználó köteles az e-biztonságért felelős által meghatározott időközönként információbiztonsági tudatosságot
fokozó képzésen részt venni. A biztonságtudatossági képzés célja az érintett személyek felkészítése a belső
fenyegetések felismerésére és a jelentési kötelezettségek tudatosítása.
75. A rendszerüzemeltetői és a hálózatüzemeltetői feladatokat ellátó állomány képzéséről az egyes rendszerek és
a hálózat vonatkozásában a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv rendelkezik.
16. A beosztás, megbízás megszűnésével vagy munkakör változásával kapcsolatos
információvédelmi feladatok
76. Az utasítás személyi hatálya alá tartozókkal szemben érvényesíteni kell a jogviszony megszűnése vagy megváltozása
utáni időszakra vonatkozó titoktartási megállapodások megszegésének jogkövetkezményeit.
77. Munkakör változás esetén, illetve a foglalkoztatási jogviszony megszűnésével vagy megváltozásával egyidejűleg
intézkedni kell a személynek az utasítás tárgyi hatálya alá tartozó rendszerben levő hozzáférési jogosultságainak,
egyéni hitelesítő eszközeinek a felülvizsgálatára, illetve visszavonására, továbbá el kell számoltatni a rábízott
informatikai eszközökkel.
17. Fizikai és környezeti biztonság 78. A rendszer védelmét a rendszer biztonsági osztályba sorolásának megfelelő fizikai biztonság kialakításával kell
biztosítani. A rendszer fizikai és környezeti védelmi elemeit a Rendszerbiztonsági Tervben kell rögzíteni.
79. A hálózati aktív és passzív eszköz fizikai és környezeti védelmi elemeit a Hálózatbiztonsági Tervben és az erre a célra
rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben kell rögzíteni.
80. Az olyan helyiségeket, ahol informatikai eszközökkel történik a munkavégzés, távollét esetén a jogosulatlan
hozzáférést megakadályozó módon zárva kell tartani.
81. Az új építésű épületek vagy helyiségek esetében fel kell mérni, hogy ott milyen biztonsági osztályú rendszert fognak
üzemeltetni, és ennek megfelelően kell a fizikai környezetet kialakítani.
82. Amennyiben a személyes felügyelet nem biztosított, az informatikai erőforrásokat koncentráltan tartalmazó
helyiségek bejáratát zárva kell tartani. Munkaidőn túl a belépés csak előzetes bejelentkezés és engedélyezés után
szabályozott módon lehetséges.
83. Azokon az épületeken belül, ahol rendszer üzemel, a nap 24 órájára személyi vagy biztonság technikai felügyeletet
kell biztosítani.
84. A belépési eljárásokat és a belépési jogosultságok rendszerét minden olyan helyiségben szabályozni és ellenőrizhetően
dokumentálni kell, ahol rendszer vagy annak eleme üzemel.
85. A tűzvédelmi előírásokat az adott épületre vonatkozóan annak megfelelően kell kialakítani, hogy az épületben milyen
biztonsági osztályba sorolt rendszer üzemel.
86. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségeket, automatikus működtetésű oltórendszerrel és
szellőztető rendszerrel kell ellátni.
87. Az elektromos és szünetmentes hálózatot, a túlfeszültség-, az érintés- és villámvédelmet, valamint a vészkikapcsoló,
továbbá a szükségvilágítást biztosító berendezéseket az adott épületre vonatkozóan annak megfelelően kell
kialakítani, hogy az épületben milyen biztonsági osztályba sorolt rendszer üzemel.
88. Az energiaellátás biztonsága érdekében a szünetmentes tápegység mellett szükség-áramellátó diesel-elektromos
gépcsoportot is telepíteni kell, amely automatikus indítású és szabályozású, ezen kívül teljesítménye képes kiszolgálni
a számítástechnikai eszközökön túl az azok működéséhez szükséges segédüzemi berendezéseket (különösen
a klímaberendezéseket) is.
89. A hőmérséklet és páratartalom szintjét az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben
szabályozni kell.
90. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben csak az elengedhetetlenül szükséges
közműhálózat csatlakozhat, a helyiségen belül nem mehet át víz-, gáz-, csatorna és egyéb közművezeték, felette és
a határoló falfelületek mentén vizesblokkot tartalmazó helyiségrész nem lehet, az esetleges vízbetörés érzékelését
biztosítani kell.
91. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben a nyílászárókat zártságot ellenőrző eszközzel
kell ellátni, a belső terek védelmét mozgásérzékelővel kell biztosítani. A védelem ki- és bekapcsolása a bejáraton kívül
elhelyezett vezérlővel történhet.
92. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségek ablakait betekintés és behatolás ellen védő
biztonsági fóliával kell védeni. Ablakok elkerülhetetlen létesítése esetén azok közforgalomtól elzárt területre, belső
udvarra kell, hogy nézzenek.
93. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben a padlóburkolatoknak, az álpadlónak,
a berendezési tárgyaknak antisztatikus kivitelűeknek kell lenniük.
94. Tilos az informatikai erőforrásokat koncentráltan tartalmazó helyiség funkciójától eltérő anyagot vagy eszközt tárolni.
95. A Rendőrség rendszereiről vagy azok elemeiről magáncélú hang- és képfelvétel készítése tilos.
96. Az adatkommunikációs kábelek fizikai védelme érdekében biztosítani kell, hogy az alkalmazott technológiák védjék
a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és
lopás ellen.
18. Vagyonelemek kezelése, védelme és ellenőrzése 97. Az utasítás tárgyi hatálya alá tartozó vagyonelemeket a rendszerüzemeltetőnek, illetve a hálózatüzemeltetőnek
azonosítani kell, és nyilvántartást kell (a továbbiakban: Konfiguráció nyilvántartás) vezetni róluk.
98. Az információs vagyonelemeket és az információfeldolgozó eszközöket egyedi azonosító alapján azonosítani kell,
ezeket a vagyonelemeket leltárba kell venni, és azt naprakészen kell tartani.
99. A Konfiguráció nyilvántartást az utasítás tárgyi hatálya alá tartozó valamennyi rendszerre (hálózatra, információs
rendszerekre és a rendszerekhez hozzáférést biztosító eszközökre) el kell készíteni, melyet a hálózat tekintetében
a Hálózatbiztonsági Tervben, az információs rendszerek tekintetében a Rendszerbiztonsági Tervben és az erre a célra
rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben kell rögzíteni, valamint ki kell jelölni
a vagyonelem felelősét.
100. A Konfiguráció nyilvántartásnak pontosan tükröznie kell az utasítás hatálya alá tartozó elektronikus információs
rendszerek aktuális állapotát és a hatókörébe eső valamennyi hardver-, szoftverelemet, valamint tartalmaznia kell
a szükséges és elégséges licenc állományt.
101. A rendszerekhez hozzáférést biztosító eszközök tekintetében a nyilvántartásnak tartalmaznia kell az eszköz
valamennyi hardver-, szoftverelemét (típus, gyártási szám, azonosító, megnevezés, verziószám) és felhasználóit.
102. Az információs vagyonelemeket és az információfeldolgozó eszközöket egyedi azonosítóval kell ellátni.
103. Az informatikai eszközök (adathordozók) átadása, átvétele, szállítása, megsemmisítése kizárólag dokumentáltan
történhet.
104. Az utasítás hatálya alá tartozó rendszerekben kizárólag az engedélyezett és a Konfiguráció nyilvántartásban szereplő
vagyonelemek, eszközök használhatók.
105. A jóváhagyott konfigurációban bekövetkező bármilyen változtatás, beleértve a konfiguráció egészének vagy egy
elemének áthelyezését is, amennyiben rendelkezésre áll, az ORFK által rendszeresített változáskezelést támogató
informatikai rendszer alapján lehetséges.
106. A konfiguráció engedély nélküli megváltoztatását biztonsági eseményként kell kezelni, és ki kell vizsgálni.
107. A jogosulatlan rendszerelemek automatikus észlelésére automatizált mechanizmusokat kell működtetni.
108. Az eszközök csak a zárt helyiségben hagyhatóak felügyelet nélkül.
109. A Rendőrség által biztosított felhasználói eszközöket jelszavas védelemmel kell ellátni. Az eszköz zárolásra kerül 5
perc inaktivitást követően.
110. Az utasítás hatálya alá tartozó létesítményekben hosszabb munkaszünet idejére el kell zárni a védendő információkat
tartalmazó dokumentumokat és adattároló eszközöket.
111. Az eszközök képernyőjén a védendő dokumentumokat úgy szabad kezelni, hogy azok tartalmát illetéktelen személyek
ne ismerhessék meg.
19. Adathordozók védelme 112. Az adatok tárolására szolgáló külső adathordozókat nyilvántartásba kell venni, a nyilvántartás naprakészen tartása
az informatikai üzemeltetésért felelős vezető feladata.
113. A nyilvántartásba vétellel kell biztosítani az adathordozó nyomonkövethetőségét, ezáltal a rajta tárolt adat
mozgásának ellenőrizhetőségét, továbbá a személyi felelősség megállapíthatóságát.
114. Az adathordozó vírusellenőrzéséről az informatikai üzemeltetésért felelős vezetőnek központilag menedzselt
rendszerrel kell gondoskodni.
115. A beépített adathordozóval ellátott rendszer önmagában is adathordozónak minősül. Adathordozónak kell továbbá
tekinteni a digitális adatok tárolására és feldolgozására alkalmas mobil eszközöket.
116. Az adatot tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, visszaéléstől vagy megrongálódástól.
117. Selejtezés alkalmával minden adathordozó tartalmát dokumentáltan törölni kell, ezután olyan fizikai roncsolással kell
megsemmisíteni, hogy újbóli használatba vétele lehetetlenné váljon. A megsemmisítésről jegyzőkönyvet kell felvenni.
118. A mobil eszközöket biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen
felhasználásra, ezért amennyiben a technológia rendelkezésre áll, a rajta tárolt információkat központi management
eszközzel titkosítva kell tárolni.
119. Külső adathordozóra másolás előtt a felhasználónak vírusellenőrzést kell végrehajtania a másolandó adatállományon,
a forrás munkaállomáson rendszeresített vírusellenőrző programmal.
20. A hozzáférés felügyelete 120. Az információhoz és az információfeldolgozó eszközökhöz való hozzáférést korlátozni kell az arra jogosultak körére.
121. A felhasználók részére a rendszerhez történő hozzáférést a rendszer biztonsági beállításainak érvényesítése és azok
ellenőrzését követően lehet biztosítani, amelyet a rendszerüzemeltető hajt végre a Rendszerbiztonsági Terv és
a Hálózatbiztonsági Terv követelményei szerint.
122. A rendszernek alkalmasnak kell lenni a hozzáférési jogok egyedi vagy csoportszinten való megkülönböztetésére és
szabályozására, valamint a felhasználók személyhez köthető egyedi azonosítására.
123. A felhasználót egyedi azonosítóval kell ellátni, melynek alapján nyomon követhető a rendszerben végzett
tevékenysége.
124. A rendszerhez való hozzáférést a felhasználó megbízható azonosítása előzi meg. Ez történhet személyes használatra
kiadott egyedi felhasználói névvel és ehhez tartozó, kizárólag a felhasználó által ismert jelszóval vagy a használt
rendszer biztonsági osztályának megfelelő további azonosítással.
125. Minden felhasználó jelszava tekintetében a jelszavakra vonatkozó szabályok betartásának ellenőrzésére és
érvényesítésére a rendszerben használt címtár felhasználóazonosító rendszerét, illetve az adott alkalmazás
felhasználóazonosító rendszerét kell használni.
126. A felhasználó az első bejelentkezése után köteles azonnal megváltoztatni a jelszavát. Minden felhasználónak
lehetőséget kell biztosítani arra, hogy jelszavát bármikor megváltoztathassa.
127. Amennyiben a jelszó kompromittálódásának gyanúja megalapozott, azt a felhasználó haladéktalanul köteles
megváltoztatni.
128. Az informatikai üzemeltetésért felelős vezető az információbiztonság fenntartása érdekében az azonosítókat
letilthatja, ha
a) a jelszó kompromittálódásának gyanúja megalapozott;
b) a felhasználó megsérti a rá vonatkozó adatkezelési szabályokat;
c) a felhasználó foglalkoztatási jogviszonya megszűnt, szünetel vagy munkaköre megváltozott;
d) az azonosítók azonnali letiltására utasítást kap az állományilletékes parancsnokától.
129. A jogosultságokat a munkavégzéshez minimálisan szükséges mértékű jogosultságokra kell korlátozni, a szükséges
és elégséges ismeret elvének megfelelően.
130. Az erőforrásokhoz való hozzáférési jogosultságok kiadásánál törekedni kell a csoportszintű jogosultságok
alkalmazására.
131. A felhasználók számára tiltani kell a következő tevékenységeket:
a) BIOS hozzáférés;
b) hardver telepítés;
c) szoftver telepítés;
d) hozzáférés a rendszerfájlokhoz (módosítás);
e) rendszeridő és dátum módosítás;
f ) naplófájlok módosítása, törlése;
g) operációs rendszer rendszerbeállításainak megváltoztatása;
h) felhasználó jogainak megváltoztatása.
132. A rendszernek meg kell akadályoznia, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre,
ideértve a biztonsági ellenintézkedések kikapcsolását, megkerülését vagy megváltoztatását.
133. A távoli hozzáférést, a vezeték nélküli hozzáférést és a privilegizált parancsok és biztonságkritikus információk
eléréséhez távoli hozzáférési jogosultság megadását a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv
követelményei alapján a szakmai adatgazda engedélyezheti.
134. A felhasználó számára csak olyan hálózatokhoz és hálózati szolgáltatásokhoz való hozzáférés biztosítható, amelyek
használata engedélyezett a számára, beleértve, hogy rendelkezik megfelelő feltételekkel, és megkapta a szerepköréhez
és feladatához kapcsolódó képzést.
135. A felhasználó hibájából bekövetkezett kompromittálódás vagy annak gyanúja esetén az informatikai üzemeltetésért
felelős vezetőnek vizsgálni kell a felhasználói jogosultság azonnali felfüggesztésének indokoltságát.
136. A hozzáférési jogosultságokat a szakmai adatgazda személyügyi, munkaköri változások bekövetkezésekor minden
esetben haladéktalanul felülvizsgálja, és indokolt esetben intézkedik a hozzáférési jogosultságok módosítására,
visszavonására.
137. A 90 napja nem használt felhasználói fiókot és a hozzá tartozó postafiókot az informatikai üzemeltetésért felelős
vezetőnek fel kell függeszteni.
138. A 90 napot meghaladó távollét, betegség esetén a felhasználó jogosultságait fel kell függeszteni, a helyettesítést
a hozzáférési jogosultságok ideiglenes megváltoztatásával kell biztosítani.
139. Az e-biztonságért felelős feladata, hogy rendszeres információbiztonsági képzés keretében a felhasználók számára
átadja a jelszavak használatával kapcsolatos ismereteket. A felkészítés alkalmával minden felhasználóban tudatosítani
kell a helytelen jelszóhasználatból adódó veszélyeket és az ezzel járó felelősséget.
140. A rendszer- és alkalmazásszintű kontrollokat megkerülni képes, kiemelt jogokkal bíró programokat csak dokumentált
és engedélyezett módon lehet használni. A programokat az e-biztonságért felelős jóváhagyásával a rendszerüzemeltető
engedélyezheti.
141. Az utasítás hatálya alá tartozó rendszer nyitóoldalán a rendszer használatára vonatkozó figyelmeztetést kell
közzétenni, amely ismerteti a rendszer engedélyezett használatának a feltételeit, és jelzi, hogy a felhasználó
a Rendőrség rendszerét használja, a rendszerhasználatot az adatvédelmi szabályoknak megfelelően figyelhetik,
rögzíthetik, naplózhatják, továbbá, hogy a rendszer jogosulatlan használata tilos, és büntetőjogi vagy polgárjogi
felelősségre vonással járhat.
142. A figyelmeztetésben szerepeltetni kell, hogy a rendszer használatával a felhasználó tudomásul veszi a munkaköri
feladatok ellátása érdekében biztosított rendszerhasználati jogosultság jogszerű gyakorlásának ellenőrzését, ennek
érdekében a rendszerben végzett tevékenységének megfigyelését, naplózását és rögzítését.
21. Titkosítás 143. Kriptográfiai mechanizmusokat kell alkalmazni
a) az utasítás tárgyi hatálya alá tartozó informatikai szolgáltatásokkal kapcsolatos digitális adathordozókon tárolt
információk bizalmasságának és sértetlenségének a védelmére, a Rendszerbiztonsági Tervben és
a Hálózatbiztonsági Tervben rögzítettek szerint;
b) az adatátvitel során az adatok jogosulatlan felfedése ellen, kivéve, ha az átvitel más, az érintett szervezet által
meghatározott alternatív fizikai ellenintézkedéssel védett;
c) a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére;
d) a naplóinformáció és a naplókezelő eszköz sértetlenségének védelmére.
144. A titkosító kulcsok használatát, védelmét a Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben
meghatározottak szerint kell biztosítani, azok teljes életciklusára kiterjedően.
145. Nyilvános kulcsú infrastruktúra alapú hitelesítés esetén a tanúsítványok érvényességét az informatikai üzemeltetésért
felelős vezetőnek ellenőriznie kell.
22. Az üzemeltetés biztonsága 146. Az üzemeltetési eljárásokat a Rendszerbiztonsági Tervben dokumentálni kell, és csak annak a felhasználónak lehet
hozzáférhetővé tenni, akinek ez a munkaköri feladatainak ellátásához feltétlenül szükséges.
147. Dokumentált és engedélyezett módon kell kezelni minden olyan szervezeti, folyamatbeli, az információfeldolgozó
rendszerelemet és rendszerkonfigurációt, valamint a hálózatot érintő változtatást, amelyeknek hatása van
az információbiztonságra.
148. Az IÜF vezetőjének a változtatások központi nyilvántartását úgy kell vezetni, hogy visszakereshető legyen minden,
a rendszerben megvalósított változtatás dokumentációja.
149. Minden változtatás végrehajtása előtt el kell végezni a változtatás tesztelését, a rendszerkonfiguráció megváltoztatása
előtt az új verziót mindig tesztelni és a Rendszerbiztonsági Tervben rögzíteni kell.
150. Az informatikai üzemeltetésért felelős vezetőnek minden változtatás engedélyezése előtt a változtatás elvégzésének
információbiztonságra és az Üzletmenet-folytonosságra gyakorolt hatását értékelni kell.
151. A rendszerhez alapkonfigurációt kell összeállítani, azt dokumentálni kell, és karban kell tartani. Változatlan állapotban
meg kell őrizni a rendszer alapkonfigurációját és annak előző verzióját, hogy szükség esetén lehetővé váljon az erre
való visszatérés.
152. A szükséges rendszerteljesítmény biztosítása érdekében az erőforrások használatát nyomon kell követni, optimalizálni
kell és a jövőbeni kapacitásszükségletet előre kell jelezni.
153. A rendszerüzemeltetésért felelős feladata, hogy folyamatosan figyelje a meglévő erőforrásokat és a várható kapacitás
igényeket, illetve nyomon kövesse a rendszerek kihasználtságát.
154. A Rendszerbiztonsági Terv alapján el kell különíteni a fejlesztési és éles üzemi környezeteket.
155. Az IÜF vezetőjének a rendszer elemeinek védelme érdekében folyamatos teszteket, auditokat kell végezni az audit
terv alapján.
156. Az éles üzemi rendszerek ellenőrzésére is kiterjedő informatikai auditok követelményeit és a vizsgálati tevékenységeket
gondosan meg kell tervezni és jóvá kell hagyni azért, hogy a Rendőrség napi működésének megzavarását minimalizálni
lehessen.
157. A felhasználónak a bekövetkezett hardverelem-meghibásodást haladéktalanul jelentenie kell a rendszerüzemeltető
szervezetnek.
158. A Rendőrség információfeldolgozó berendezéseit a gyártó vagy a forgalmazó előírásai szerint kell karbantartani,
folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.
159. A karbantartásokat és a javításokat dokumentálni kell. Minden bejegyzésnek tartalmaznia kell a dátumot,
a személyeket és a végzett tevékenységet, beleértve a telepített, kiszerelt, javított vagy eltávolított elem megnevezését
és egyedi azonosító adatait, valamint a végrehajtott informatikai feladatokat is.
160. A rendszer vagy annak elemének karbantartása vagy javítása kizárólag előre meghatározott, az érintett szakterülettel
egyeztetett időpontban történhet.
161. A munkaállomások és szerverek karbantartási feladatai között ellenőrizni kell a telepített szoftverek listáját és verzióját,
valamint a kritikus és biztonsági frissítések állapotát.
162. Az utasítás tárgyi hatálya alá tartozó rendszerek azon elemeire, amelyek esetén a karbantartáshoz szükséges
információk vagy szakértelem a szervezeten belül nem áll rendelkezésre, a rendszerüzemeltetőnek rendelkeznie kell
karbantartásra vonatkozó üzemeltetéstámogatási megállapodással.
163. Az eszközre csak olyan támogatási, illetőleg karbantartási megállapodás köthető, amely rögzíti, hogy az eszköz
javítása során a külső személyek részére az adathordozó nem kerül átadásra.
164. A karbantartásokat és javításokat megelőzően és azok befejeztével – a használatbavétel előtt – az informatikai
üzemeltetésért felelős vezetőnek teljes konfiguráció ellenőrzést kell végrehajtani.
165. A rendszer rendelkezésre állását korlátozó munkálatok felhasználókkal történő egyeztetése a rendszerüzemeltető
feladata, amelynek során figyelembe kell venni a Rendszerbiztonsági Tervben vállalt szolgáltatási szint megállapodást.
166. A rendszer elemének selejtezését az informatikai üzemeltetésért felelős vezetőnek dokumentált módon kell
végrehajtani. A selejtezésről minden esetben selejtezési jegyzőkönyvet kell készíteni, amelyet az iratkezelési
szabályoknak megfelelően kell tárolni.
167. A rendszerüzemeltető felelős azért, hogy az eszközök újrafelhasználása esetén a korábbi használatból adódóan
adatok ne vesszenek el, illetve az adatok bizalmassága ne sérüljön.
168. Az éles üzemű rendszeren elvégzendő szoftvertelepítést, frissítést szabályozott változáskezelési eljáráson keresztül
dokumentáltan kell végrehajtani, melyet a Rendszerbiztonsági Tervben rögzíteni kell.
169. A rendszeren telepített szoftverekről a rendszerüzemeltető naprakész nyilvántartást vezet. A nyilvántartásnak
tartalmaznia kell a szoftver megnevezését, verziószámát és a rendszer azon elemeinek listáját, ahol beüzemelésre
került.
170. Az operációs rendszerek és a felhasználói programok kereskedelmi forrásból beszerzett, jogtiszta programok vagy
a Rendőrség által fejlesztett alkalmazások lehetnek.
171. Az operációs rendszer és alkalmazás verzióját, valamint biztonsági patch szintjét tesztelést követően lehetőség szerint
a gyártói támogatással rendelkező, legmagasabb szintre kell hozni.
172. A biztonsági beállítások meghatározásánál figyelembe kell venni a Rendszerbiztonsági Terv és a Hálózatbiztonsági
Terv követelményeit, valamint az egyes gyártók és információbiztonsági szervezetek által kiadott biztonsági
megerősítési útmutatóit (hardening guide).
173. A biztonsági beállításokat az e-biztonságért felelős bármikor ellenőrizheti, azokon változtatást, auditálást
ő engedélyezhet.
174. A rendszert úgy kell beállítani, hogy a működése során keletkező nem nyilvános maradvány információk (különösen
az átmeneti fájlok) bizalmasságát, sértetlenségét védje.
175. Új rendszer bevezetését megelőzően vagy abban az esetben, ha a már meglévő rendszer sérülékenységére vonatkozó
információ merül fel, az EBFO vezetője gondoskodik a sérülékenységvizsgálat lefolytatásáról.
176. A sérülékenységvizsgálat a Rendőrség rendszereinek napi üzemét nem veszélyeztetheti, azt kizárólag előzetesen
jóváhagyott eszközökkel, dokumentáltan lehet lefolytatni.
177. Meglévő rendszer esetén a biztonságot közvetlenül veszélyeztető hibákat a lehető leghamarabb javítani kell, vagy
korrektív kontroll alkalmazásával csökkenteni a kockázatokat. Új rendszer esetén feltárt sérülékenységet
a használatbavételig javítani kell.
178. A hálózatok ki- és bemeneteli pontjait minimalizálni kell, továbbá a ki- és bemeneti pontok adatforgalmát
elektronikusan naplózni, és a naplófájlokat ellenőrizni kell.
179. Az informatikai üzemeltetésért felelős vezetőnek a rendszer minden arra alkalmas – megfelelő hardver- és
szoftverkörnyezettel rendelkező – elemére jóváhagyott vírusellenőrző szoftvert kell telepítenie és naprakészen
tartania.
180. Az informatikai üzemeltetésért felelős vezetőnek a hálózatra csatlakozó eszközök esetében központilag, a hálózatra
nem csatlakozó eszközök esetében egyenként kell a vírusellenőrző rendszert felügyelni.
181. Amennyiben kártékony kód elemzése szükséges, azt az informatikai üzemeltetésért felelős vezetőnek külön külső
adathordozón kell tárolni, amelyen más, kártékony kódot nem tartalmazó adat, dokumentum nem lehet.
Az adathordozón látható módon fel kell tüntetni, hogy vírust, kártékony kódot tartalmaz.
182. A kéretlen és kártékony kódot tartalmazó elektronikus levelek kiszűrésére olyan központilag menedzselt szűrőt kell
üzemeltetni, amely automatikusan központilag frissíti az adatbázisát, és frissíti a rendszert új verziók elérhetővé
válásakor.
183. A biztonsági mentés célja az információ és az adatfeldolgozó szoftverek épségének és rendelkezésre állásának
biztosítása. A hatékony biztonsági adatmentés érdekében a munkaállomásokon feldolgozott adatállományokat
tárolni kizárólag szervereken és központi kiszolgálókon, valamint az adatmentésre szolgáló médián lehet. Bármilyen
más helyen történő adattárolás még átmenetileg is tilos.
184. Az adatokról, szoftverekről és rendszerképekről a jóváhagyott mentési és archiválási szabályozásnak megfelelően
a rendszerüzemeltetőnek dokumentáltan kell mentéseket készíteni, a Rendszerbiztonsági Tervben meghatározottak
szerint.
185. A rendszerüzemeltetőnek és a hálózatüzemeltetőnek minden olyan adatot menteni kell, amely az auditálás, ellenőrzés
eszköze lehet (különösen naplófájlok, riportok). Ezeket az adatokat a többi felhasználói, illetve rendszer adattól
elkülönítetten kell menteni, és minimum öt évig meg kell őrizni.
186. A naplóbejegyzések vizsgálatát, elemzését és jelentését integrált folyamattá kell alakítani, amely a veszélyes vagy
tiltott tevékenységekre és történésekre megfelelően képes reagálni.
187. A rendszernek naplóznia kell a felhasználói tevékenységet, valamint a privilegizált felhasználó privilegizált
jogosultsággal végzett tevékenységeit.
188. A naplózásra becsült mennyiségű naplóesemény elvárt ideig való tárolásához elegendő méretű tárkapacitást kell
biztosítani.
189. Törekedni kell az automatizált naplóesemény-elemző rendszer alkalmazására.
190. A rendszerüzemeltetőnek a naplózási eseményeket tartalmazó adatokról a Rendszerbiztonsági Terv szerint biztonsági
mentést kell készíteni.
191. A naplózó eszközt, illetve a naplóinformációt meg kell védeni a jogosulatlan hozzáféréstől, törléstől, kiiktatástól vagy
módosítástól.
23. A hálózat biztonsága 192. A hálózatüzemeltetőnek a rendszer hálózati elemeit menedzselni és felügyelni kell. A hálózatmenedzsment
segítségével kell megoldani a hálózatok biztonságát és az infrastruktúra védelmét.
193. Olyan ellenőrző-felügyeleti eszközöket kell használni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok
biztonságát, és megóvják a hálózatot a jogosulatlan hozzáférésektől.
194. Az IÜF vezetője gondoskodik a hálózatok végpontjain komplex fizikai és logikai védelem alkalmazásáról.
195. A Rendőrség hálózatából más hálózatba csak előre definiált és a hálózatüzemeltető által engedélyezett módon
szabad csatlakozni.
196. A hálózatüzemeltető gondoskodik a hálózati eszközökön a naplózás beállításáról és a hálózati eszközök
rendszeridejének szinkronizálásáról.
197. A Hálózatbiztonsági Tervben dokumentálni kell az alkalmazott hálózati szolgáltatás biztonsági jellemzőit. Amennyiben
több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági
szempontból. A hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása
a hálózatüzemeltető feladata.
198. Az EBFO vezetője a rendszerek összekapcsolását csak a rendszerek közötti adatforgalom felügyeletét lehetővé tevő és
biztonságát garantáló rendszer közbeiktatásával engedélyezheti.
199. A rendszerek összekapcsolásának feltétele, hogy a magasabb biztonsági osztályba sorolt rendszer követelményeit
kell teljesíteni, valamint sérülékenységvizsgálatot kell lefolytatni.
200. Tilos a hálózat biztonságos működését zavaró vagy veszélyeztető információk, programok terjesztése.
201. A hálózat nem használható az alábbi tevékenységekre:
a) a jogszabályokba ütköző cselekmények előkészítése vagy végrehajtása, így mások személyiségi jogainak
megsértése (különösen rágalmazás), tiltott haszonszerzésre irányuló tevékenység (különösen piramisjáték),
szerzői jogok megsértése (különösen szoftver nem jogszerű terjesztése);
b) profitszerzést célzó (különösen kriptovaluta bányászat), direkt üzleti célú tevékenység és reklám;
c) a hálózat, a kapcsolódó hálózatok, illetve ezek erőforrásainak rendeltetésszerű működését és biztonságát
megzavaró, veszélyeztető tevékenység, ilyen információknak és programoknak a terjesztése;
d) a hálózatot, a kapcsolódó hálózatokat, illetve erőforrásaikat indokolatlanul, túlzott mértékben, pazarló módon
igénybe vevő tevékenység (különösen nem hivatali körlevelek, hálózati játékok, kéretlen reklámok);
e) a hálózat erőforrásaihoz, a hálózaton elérhető adatokhoz történő illetéktelen hozzáférés, azok illetéktelen
használata, eszközök és szolgáltatások – akár tesztelés céljából történő – túlzott mértékben való szisztematikus
próbálgatása (különösen TCP port scan);
f ) a hálózat erőforrásainak a hálózaton elérhető adatoknak illetéktelen kezelése, módosítása, elérhetetlenné
tétele, törlése vagy bármely károkozásra irányuló tevékenység;
g) másokra nézve sértő, vallási, etnikai, politikai vagy más jellegű érzékenységét bántó, zaklató tevékenység
(különösen pornográf anyagok közzététele);
h) hálózati üzenetek, hálózati eszközök hamisítása, olyan látszat keltése, mintha egy üzenet más gépről vagy más
felhasználótól származna (spoofing).
202. Minden hálózati szolgáltatásra meg kell határozni a biztonsági mechanizmusokat, a szolgáltatási szinteket és
a kezelési követelményeket, melyeket a Hálózatbiztonsági Tervben rögzíteni kell.
203. Csak a biztonsági architektúrával összhangban elhelyezett határvédelmi eszközökön, felügyelt interfészeken keresztül
kapcsolódhat a rendszer külső hálózathoz vagy külső rendszerhez.
204. Az eszközök távdiagnosztikai és konfigurációs portjainak használata csak a hálózatüzemeltető engedélyével,
dokumentáltan lehetséges.
205. A hálózat külső határán aktív hálózati forgalom vizsgálatára és hálózati támadás felismerésére alkalmas tűzfalat kell
üzemeltetni.
206. Minden külső infokommunikációs szolgáltatás használatakor felügyelt interfészt kell működtetni, amelyekhez
forgalomáramlási szabályokat kell meghatározni és működtetni. A szabályok meghatározásánál az alapeseti
visszautasításból kell kiindulni. A forgalomáramlási szabályok alóli minden kivételt dokumentálni kell, a kivételt
alátámasztó alapfeladattal és az igényelt kivétel időtartamával együtt. Félévente dokumentáltan felül kell vizsgálni
a forgalomáramlási szabályok alóli kivételeket, és el kell távolítani azokat a kivételeket, amelyeket közvetlen alapfeladat
már nem indokol.
207. A hálózaton belül és kívül a rendszerek között csak az EBFO vezetője által jóváhagyott kapcsolatok, szolgáltatások és
portok engedélyezhetők.
208. A rendszert és a hálózatot túlterheléses – szolgáltatás megtagadás jellegű – támadásokkal szembeni védelemmel kell
ellátni.
209. Az információszolgáltatások, a felhasználók és a rendszerek különböző csoportjait a hálózatüzemeltetőnek el kell
különíteni a hálózatban.
210. Külön hálózati szegmensbe kell szervezni
a) a fizikai vagy logikai alhálózatban levő szerver gépeket és hálózati eszközöket;
b) az éles üzemi környezet szerver gépeit és hálózati eszközeit;
c) a teszt- és fejlesztői környezet szerver gépeit és hálózati eszközeit.
211. Új kommunikációs csatorna alkalmazását a Hálózatbiztonsági Tervben előzetesen rögzíteni kell.
212. A Rendszerbiztonsági Tervben dokumentálni kell az egyes rendszerkapcsolatokat, az interfészek paramétereit,
a biztonsági követelményeket és a kapcsolaton keresztül átvitt adatok típusát.
213. Az elektronikus levelező rendszer elemeiről, különösen a szerverek fizikai, logikai védelméről folyamatosan
gondoskodni kell.
214. Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg
nem biztosított – különösen olyan vírustámadás esetén, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő
védelmet – az elektronikus levélforgalmat az informatikai üzemeltetésért felelős vezetőnek ideiglenesen le kell
állítani. Ennek elrendelésére az e-biztonságért, illetőleg az informatikai üzemeltetésért felelős vezető jogosult.
215. A levelező rendszer kizárólag szolgálati feladatok ellátására használható, az abban tárolt és továbbított levelek
a Rendőrség adatvagyonának részét képezik.
216. A Rendőrség elektronikus levelezési címjegyzéke külső személynek nem szolgáltatható ki.
217. Tilos az elektronikus üzenetek – rendszeres, illetve automatikus – átirányítása vagy másolat küldése külső postafiókba.
24. Rendszerek beszerzése, fejlesztése, használatba vétele és fenntartása
218. Az információbiztonságot érintő beszerzéseket az EBFO vezetője véleményezi, a rendelkezésére bocsátott szakmai
indoklás és műszaki dokumentáció alapján.
219. Az információbiztonságot érintő beszerzések teljes életciklusában az információ biztonsági követelményeknek
történő megfelelésről gondoskodni kell.
220. A rendszer fejlesztése során a jogszabályi követelmények és az információbiztonsági szakmai oldal elvárásai alapján
a rendszerüzemeltetőnek el kell készíteni a rendszerspecifikációra vonatkozó biztonsági követelményrendszert és
a Rendszerbiztonsági Tervet.
221. A Rendőrség által vagy számára fejlesztett valamennyi rendszerre, továbbá adatátviteli hálózatra a biztonsági
osztálynak megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat
már a rendszer tervezése során, az e-bi …
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.