← Magyarország

18/2018. (V. 31.) ORFK utasítása az Informatikai Biztonsági Szabályzatról.

Röviden

Ez az utasítás az Országos Rendőr-főkapitányság (ORFK) informatikai biztonsági szabályzatát írja le, meghatározva az elektronikus információs rendszerek védelmére vonatkozó előírásokat és felelősségeket. Célja az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben foglalt feladatok végrehajtása a Rendőrségen belül.

Amit szabályoz

Akire vonatkozik

Kulcspontok

📄 Jogszabály szövege
18/2018. (V. 31.) ORFK utasítása az Informatikai Biztonsági Szabályzatról. A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontjában, valamint a Rendőrségről szóló 1994. évi XXXIV. törvény 6. § (1) bekezdés b) pontjában foglaltak alapján, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 11. § (1) bekezdés f ) pontjában meghatározott feladatok végrehajtása érdekében kiadom az alábbi utasítást: I. FEJEZET ÁLTALÁNOS RENDELKEZÉSEK 1. Az utasítás hatálya 1. Az utasítás hatálya kiterjed: a) az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK); b) a Készenléti Rendőrségre, a  Repülőtéri Rendőr Igazgatóságra, a  Nemzetközi Bűnügyi Együttműködési Központra, a  Rendőrségi Oktatási és Kiképző Központra és a  megyei (fővárosi) rendőr-főkapitányságokra (a továbbiakban együtt: területi szervek); c) a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek). 2. Az utasítás tárgyi hatálya az általános rendőrségi feladatok ellátására létrehozott szerv (a továbbiakban: Rendőrség) használatában lévő vagy általa üzemeltetett valamennyi elektronikus információs rendszerre (a továbbiakban: rendszer) és azok környezetét alkotó rendszerelemekre (adatok, szoftverek teljes körére, a folyamatokra, valamennyi telephelyére és létesítményére), az  informatikai folyamatban szereplő valamennyi dokumentációra, azok teljes életciklusában kiterjed, kivéve a minősített adatokat kezelő rendszereket. 2. Értelmező rendelkezések 3. Az utasítás alkalmazásában: a) adatállomány: informatikai infrastruktúrában lévő adatok logikai és fizikai összefogása, melyet egy névvel jelölnek vagy azonosítanak; b) adatátvitel: adatok szállítása összeköttetéseken, összekötő utakon keresztül (különösen számítógépek között); c) adathordozó: az  elektronikus adatkezelő rendszerhez csatlakoztatható vagy abba beépített olyan eszköz, amelynek segítségével az elektronikus adatok tárolása megvalósítható; d) alkalmazás: egy célfeladatot megvalósító szoftver; e) biztonságtudatosság: a Rendőrség biztonságáért vállalt felelősség; a meghatározott biztonsági szintnek mint követelménynek az  elfogadása, illetve a  hiánya következményeinek elismerése, valamint a  biztonság szempontjából etikus magatartás; f ) dokumentum: a  rendszer által használt vagy létrehozott olyan termék, amely információt tartalmazhat, és amelyet a rendszer hozott létre vagy dolgozott fel; g) folyamatgazda: a folyamat megtervezéséért, végrehajtásáért, ellenőrzéséért és javításáért felelős személy vagy csoport, aki figyelemmel kíséri a külső és belső szabályok betartását, az adott folyamatot értékeli, és szükség esetén javaslatot tesz a módosításokra, fejlesztésekre; h) hardver: informatikai eszközök kézzel közvetlenül megfogható részeinek gyűjtőneve; i) hálózat: az informatikai eszközök közötti adatátvitelt megvalósító logikai és fizikai eszközök összessége; j) hálózati aktív eszközök: a hálózat működését biztosító elektronikus elemek (különösen tűzfal, router, switch, HUB, optikai átkapcsoló); k) hálózati passzív eszközök: a hálózati aktív eszközök kapcsolatát és kommunikációját biztosító elemek (különösen kábelezés, kábelcsatornák, fali csatlakozók és a rendezőszekrények); l) helyi rendszer: helyi szerv által üzemeltetett és menedzselt rendszer; m) hozzáférési jog: annak meghatározása, hogy a kezelésre jogosult milyen szoftvert, adatot vagy adathordozót kezelhet, illetve azokkal milyen műveleteket végezhet; n) információbiztonság: olyan előírások, szabályok és szabványok betartásának eredménye, amelyek az elektronikus információs rendszerben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint az  elektronikus információs rendszer és elemeinek sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és kockázatokkal arányos védelmének biztosítását érintik, és amelyeket az informatikai rendszer alkalmazása során megelőző biztonsági intézkedésekkel lehet elérni; o) informatikai biztonság: az informatikai rendszer olyan kedvező állapota, amelyben a kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása biztosított, valamint a  rendszer elemeinek biztonsága szempontjából zárt, teljes körű, folytonos és kockázatokkal arányos, a  biztonság elvárt szintje és az  ezt megvalósító intézkedések jellege függ az adott informatikai rendszer biztonsági osztályától; p) informatikai eszköz: minden olyan digitális eszköz és ennek funkcionális tartozéka, amely adatok összegyűjtésére, feldolgozására (rendezésére, csoportosítására, kiszámítására), előállítására, tárolására és megjelenítésére, illetve az e tevékenységekkel kapcsolatos adatmódosításra és adattovábbításra alkalmas; q) intézkedés: a  kockázatkezelés eszközei, beleértve a  szabályzatokat, eljárásokat, irányelveket, gyakorlatokat, képzést vagy egyéb intézkedést, amelyek lehetnek adminisztratív, műszaki, irányítási vagy jogi természetűek; r) integritás: a  sérthetetlenségen túl a  teljességet, továbbá az  ellentmondás mentességet és a  korrektséget jelenti, amelynek eredményeként az információ valamennyi része rendelkezésre áll, elérhető; s) javítás: a hardver vagy szoftver konfigurációjának változásával, az eszközök elszállításával járó hibaelhárítási feladat; t) karbantartás: a rendszerben vagy azok elemein végzett munka, melynek során a telepített hardver és szoftver konfiguráció nem változik, karbantartásnak minősül különösen a biztonsági réseket befoltozó hibajavítások telepítése; u) katasztrófahelyzet: az  informatikai erőforrások (különösen az  elektronikus adatok, fájlok, szoftverek, számítógépek, hálózati aktív és passzív eszközök) fenyegetettsége, minden olyan nemkívánatos esemény, amely az  adatok teljességét, sértetlenségét, megbízhatóságát vagy rendelkezésre állását hátrányosan befolyásolja, a  fenyegetettség lehet külső esemény (tűzeset, vízkár, számítógépvírusok), vagy lehet belső tényező (hanyag kezelés, rosszindulatú adatmódosítás, szoftverhiba); v) katasztrófa: bekövetkezett katasztrófahelyzet; w) kibertér: a számítógépes hálózatok és az általuk összekötött számítógépek és egyéb berendezések által alkotott virtuális tér, az  a  környezet, amelyben az  adat technikai eszközökön (számítógépes hálózatokon) keresztül áramlik, elektronikus adatok tárolódnak, online adatforgalom és kommunikáció zajlik; x) korrektív kontroll: az eredeti állapot visszaállítását célzó intézkedés; y) központi rendszer: az ORFK által üzemeltetett és menedzselt elektronikus információs rendszer; z) operációs rendszer: a számítógépek működésének elengedhetetlen részét képező szoftver, amelynek feladata az alapvető szolgáltatások biztosítása a programok számára, valamint az alkalmazások és a felhasználó közötti kommunikáció biztosítása; aa) privilegizált felhasználó: az  a  felhasználó, aki a  rendszer/hálózat üzemeltetési vagy fejlesztési feladatainak végrehajtásához kiemelt jogosultsággal rendelkezik; bb) privilegizált funkció: a rendszer/hálózat üzemeltetéséhez vagy fejlesztéséhez szükséges beavatkozás; cc) rendszerüzemeltető: az  a  természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus információs rendszer vagy annak részei működtetését végzi, és a működésért felelős; dd) szakmai adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó eszköz az adat kezelését rendeli, aki az adathoz a hozzáférési jogosultságot engedélyezi, illetve ahol az adat keletkezik; ee) szerver: szervernek minősül az  olyan számítógép, amely hálózati szolgáltatásokat nyújt és/vagy kliensek kapcsolódnak hozzá; ff) szoftver: valamely informatikai eszköz olyan logikai (kézzel nem megfogható) része, amely a  hardver(ek) működtetéséhez, vezérléséhez szükséges (különösen alkalmazások, operációs rendszerek); gg) területi rendszer: a területi szerv által üzemeltetett és menedzselt rendszer; hh) vírus: olyan szoftvertörzs, amely egy szoftver részeként illegálisan készült, a  szoftver alkalmazása során átterjedhet, „megfertőzhet” más, az  informatikai rendszerben lévő rendszer-, illetve felhasználói szoftvert, sokszorozva önmagát, károkat és teljes működésképtelenséget okozhat. II. FEJEZET RÉSZLETES RENDELKEZÉSEK 3. Alapelvek 4. A felhasználó kötelessége az  információvédelem területén az  adott helyzetben általában elvárható magatartást tanúsítani és tartózkodni minden károkozó tevékenységtől. 5. Az informatikai eszköz felhasználója csak az a személy lehet, aki a Rendőrséggel foglalkoztatási jogviszonyban áll, a  munkavégzéshez megfelelő informatikai ismeretekkel rendelkezik, legalább osztályvezető beosztású elöljárója engedélyével szükséges mértékű hozzáférési jogosultságot kapott a  Rendőrség rendszereihez, és azokat az  információbiztonsági tudatosság szem előtt tartásával használja, valamint nyilatkozik az  utasításban foglaltak tudomásul vételéről. 6. A munkaköri leírásban el kell különíteni a jogköröket és a feladatköröket az egyes személyek között annak érdekében, hogy a rendszer vagy informatikai eszköz (a továbbiakban: eszköz) személyes felelősség megállapítása mindenkor biztosított legyen. 7. A rendszert úgy kell kialakítani, hogy biztosított legyen a  megbízható, az  egyes alrendszer vagy rendszerelem funkcionalitásának megfelelő zavartalan és folyamatos működése. 8. A Rendőrség tulajdonát képező vagy használatában álló eszközöket rendeltetésszerűen, munkavégzés céljából, a Rendőrség érdekeinek szem előtt tartásával, a Rendőrség által meghatározott módon, a felhasználó felelősségére lehet használni. Az eszközök minden egyéb célú, különösen magáncélú használata tilos. 9. A felhasználó felelősséggel tartozik a munkavégzés céljából átvett eszközért, köteles megőrizni annak hardver- és szoftverintegritását. Az  integritás sérelmének minősül a  rendeltetésellenes használat, hardveres (különösen az  informatikai eszközből történő eltávolítása, illetve alkatrész behelyezése) vagy szoftveres módosítás (különösen nem engedélyezett program telepítése, a gyártói támogatással rendelkező verzió módosítása, biztonsági beállítások átállítása). 10. A felhasználó csak a  saját azonosítójával jelentkezhet be a  Rendőrség hálózatára, másnak a  saját bejelentkezési hozzáférését nem adhatja át, nem teheti lehetővé, hogy más hozzáférjen. 11. A nem a  Rendőrség tulajdonában álló, idegen, információs, számítástechnikai és telekommunikációs eszközt az informatikai üzemeltetésért felelős vezető engedélye nélkül a Rendőrség informatikai struktúrájához csatlakoztatni tilos. 12. A felhasználó köteles a  biztonságot támogató szoftverek használatára, azokat az  általa használt eszközről nem törölheti le, nem kapcsolhatja ki. 13. A felhasználó kizárólag olyan szoftvereket, programokat használhat, amelyek a  szolgálati munkavégzés céljából szükségesek, engedélyezettek. 14. A felhasználó kötelessége az általa felismert biztonsági eseményt vagy az általa feltárt biztonsági sebezhetőséget haladéktalanul jelezni a rendszerüzemeltetőnek, hogy annak elhárítása a lehető leghamarabb megtörténjen. 4. A Rendőrség rendszereinek biztonsági osztályba sorolása és a szervezetek biztonsági szintbe sorolása 15. A rendszerek biztonsági osztályba sorolását kockázatelemzés (1.  melléklet) alapján a  szakmai adatgazda végzi, amelynek végrehajtásában az  elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: e-biztonságért felelős) és a rendszerüzemeltető közreműködik. 16. A területi és a helyi szintű rendszerek biztonsági osztályba sorolása esetén a hatósági nyilvántartásba vételt követően a  területi szerv soron kívül tájékoztatja az  ORFK Gazdasági Főigazgatóság Informatikai Üzemeltetési Főosztály E-biztonság Felügyeleti Osztály (a továbbiakban: EBFO) vezetőjét a biztonsági osztályba sorolás eredményéről. 17. A biztonsági osztályba sorolást követően 90 napon belül meg kell határozni a biztonsági osztály követelményeinek teljesítéséhez szükséges intézkedéseket. 18. A biztonsági osztályba és szintbe sorolás eredményéről naprakész nyilvántartást kell vezetni. 19. Az ORFK biztonsági szintje 4. biztonsági szint. 5. Informatikai Biztonsági Szabályzat 20. Az egységes rendőrségi informatikai rendszer megteremtése céljából az  országos rendőrfőkapitány kizárólagos hatáskörébe tartozik a  Rendőrség informatikai tárgyi és technikai feltételeinek biztosítását célzó intézkedések jóváhagyása. Az  országos rendőrfőkapitány kizárólagos hatáskörébe tartozó informatikai biztonsági döntések előkészítéséről a gazdasági országos rendőrfőkapitány-helyettes gondoskodik. 21. A területi szerv informatikai biztonsági szabályzatát az  utasítással összhangban kell elkészíteni. A  területi szerv az  informatikai biztonsági szabályzatát az  állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (a továbbiakban: Ibtv.) meghatározott hatósági nyilvántartásba vételt követően tájékoztatásul megküldi az EBFO vezetőjének. 6. Rendszerbiztonsági Terv 22. A Rendőrség által üzemeltetett vagy szolgáltatásként igénybe vett rendszer esetében (az éles-, a tartalék-, a teszt-, a fejlesztői, az oktatói és az integrációs környezetre is, amennyiben az értelmezhető) Rendszerbiztonsági Tervet kell készíteni és naprakészen tartani. A  Rendszerbiztonsági Tervben kötelező megjeleníteni a  rendszerrel kapcsolatos technikai, valamint humán kockázati elemeket, maradványkockázatokat és az  információbiztonság növelése érdekében javasolt fejlesztési lehetőségeket. 23. A Rendszerbiztonsági Terv kidolgozása és naprakészen tartása – a  rendszer teljes életciklusában – az  érintett szakterületekkel és külső személyekkel szorosan együttműködve a rendszerüzemeltető feladata. 24. A Rendszerbiztonsági Tervet frissíteni kell a rendszerben vagy annak üzemeltetési környezetében történt változások, valamint a védelmi intézkedések értékelése során feltárt kockázatok esetén, egyeztetve az érintett szakterületekkel és a külső személyekkel. 25. A Rendszerbiztonsági Tervet a 2. mellékletben meghatározott követelmények alapján kell elkészíteni. 26. A Rendszerbiztonsági Tervet – annak módosulása esetén is – az EBFO vezetőjének jóváhagyásra meg kell küldeni. 7. Hálózatbiztonsági Terv 27. A Rendőrség által üzemeltetett vagy szolgáltatásként igénybe vett rendszerek részét képező, illetőleg ezeket összekötő hálózatok tekintetében Hálózatbiztonsági Tervet kell készíteni és naprakészen tartani. A Hálózatbiztonsági Tervben kötelező megjeleníteni az informatikai hálózattal kapcsolatos technikai, valamint humán kockázati elemeket, maradványkockázatokat és az információbiztonság növelése érdekében javasolt fejlesztési lehetőségeket. 28. A Hálózatbiztonsági Terv kidolgozása és naprakészen tartása – a hálózati aktív és passzív eszközök teljes életciklusában érintett szakterületekkel és külső személyekkel szorosan együttműködve – a hálózatüzemeltető feladata. 29. A Hálózatbiztonsági Tervet frissíteni kell a hálózatban vagy annak üzemeltetési környezetében történt változások és a terv végrehajtása vagy a védelmi intézkedések értékelése során feltárt kockázatok esetén, egyeztetve az érintett szakterületekkel és a külső személyekkel. 30. A Hálózatbiztonsági Tervet a 3. mellékletben meghatározott követelmények alapján kell elkészíteni. 31. A Hálózatbiztonsági Tervet – annak módosulása esetén is – az EBFO vezetőjének jóváhagyásra meg kell küldeni. 8. Üzletmenet-folytonossági és katasztrófaelhárítási tervek 32. Az Üzletmenet-folytonossági (Business Continuity Plan, a továbbiakban: BCP) és katasztrófaelhárítási tervek (Disaster Recovery Plan, a továbbiakban: DRP) az utasítás hatálya alá tartozó szolgáltatásokat biztosító informatikai infrastruktúra elvárt szinten való működését biztosító, nem tervezett, negatív hatású események bekövetkezése esetére vonatkozó eljárások dokumentációja, ennek megfelelően a kritikus folyamaton elvégzett folyamatalapú kockázatmenedzsment egyik eredménye. 33. A BCP/DRP tervek kidolgozása és karbantartása a folyamatgazda feladata. 34. A rendszer BCP érintettségét a Rendszerbiztonsági Terv tartalmazza. 35. A hálózat BCP érintettségét a Hálózatbiztonsági Terv tartalmazza. 9. Információbiztonsági nyilvántartások 36. A Rendőrség információbiztonsági nyilvántartása az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszer, amelyben rögzíteni kell rendszerbiztonsági terv és a  hálózatbiztonsági terv alapján összegyűjtött információkat. 37. Az irányítás-, kockázat- és megfelelésmenedzsment rendszer naprakészen tartásáért a  rendszerüzemeltető, illetve a hálózatüzemeltető felelős. 10. Az információbiztonság szervezeti felépítése, feladat- és hatáskörök, felelősségi szabályok 38. Az információbiztonsági szerepköröket betöltő személyek kijelölése vagy kinevezése során törekedni kell arra, hogy a Rendőrség szervezetén belül az információbiztonság megvalósítását és működtetését kezdeményezni és felügyelni tudják. 39. Az információbiztonsági szerepköröket azonosítani kell az alábbiak szerint: a) az információbiztonsággal kapcsolatos felelősséget meg kell határozni, és személyekhez kell rendelni; b) az utasítás tárgyi hatálya alá tartozó valamennyi rendszer vonatkozásában ki kell jelölni az üzemeltetésért és biztonságért felelős szervezetet vagy személyeket, akiknek kötelessége a felhasználókkal betartatni a rendszer üzemeltetésével kapcsolatos szabályokat; c) az ORFK és a  területi szerv vezetőjének írásban ki kell jelölni egy e-biztonságért felelős és legalább egy biztonságiesemény-kezelési megbízottat, akik feladataikat a munkaköri leírásukban foglaltak szerint látják el. 40. Az ORFK és a területi szerv vezetője írásban jelöli ki vagy bízza meg a rendszer e-biztonságért felelőst az Ibtv.-ben meghatározottak figyelembevételével. Az e-biztonságért felelős személy Ibtv. 13. §-ában meghatározott feladatait a munkaköri leírásában rögzíteni kell. 41. Az ORFK e-biztonságért felelőse az EBFO vezetője. 42. Az EBFO vezetője informatikai biztonsági kérdésekben irányítja, felügyeli és ellenőrzi az  informatikai biztonsági előírások teljesítésével összefüggő tevékenységét. 43. Az e-biztonságért felelős tevékenysége során szükség szerint együttműködik az  adatvédelmi tisztviselővel, a  biztonsági vezetővel, az  informatikai üzemeltetésért felelős vezetővel, a  rendszerüzemeltetővel, a  biztonsági esemény kezelési megbízottal, valamint az Ibtv.-ben és végrehajtási rendeleteiben meghatározott szervekkel. 44. Az e-biztonságért felelős információbiztonsági szempontból véleményezi az  információbiztonságot érintő beszerzéseket és megkötendő megállapodásokat, illetve javaslatot tehet a  már megkötött megállapodások módosítására, amennyiben azok nincsenek összhangban az elvárt biztonsági követelményekkel. 45. Az e-biztonságért felelős véleményezi az  utasítás tárgyi hatálya alá tartozó beruházások információbiztonsági követelményeinek teljesülését, felügyeli azok megvalósítását a beruházás teljes életciklusa során. 46. A Rendőrség információbiztonságát érintő döntések előkészítését szolgáló egyeztetésekre – különösen a munkacsoport értekezletekre – meg kell hívni az e-biztonságért felelőst. 47. Az ORFK és a  területi szerv vezetője a biztonsági események elhárítására biztonságiesemény-kezelési megbízottat vagy megbízottakat jelöl ki a  kormányzati eseménykezelő központ és az  eseménykezelő központok feladat- és hatásköréről, valamint a  biztonsági események kezelésének, a  biztonsági események műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm. rendeletben meghatározottak szerint. 48. Az e-biztonságért felelős és a  biztonságiesemény-kezelési megbízott kijelölése, illetve személyi változása esetén a területi szerv vezetője soron kívül tájékoztatja az EBFO vezetőjét. 49. Az e-biztonságért felelősökről és a biztonságiesemény-kezelési megbízottakról az EBFO nyilvántartást vezet. 50. A Rendőrségen központi, területi és helyi szintű informatikai rendszerek üzemeltethetők, melyekről az informatikai üzemeltetésért felelős vezető naprakész nyilvántartást vezet. 51. Az ORFK Gazdasági Főigazgatóság Informatikai Üzemeltetési Főosztály (a továbbiakban: IÜF) vezetője irányítja a Rendőrség informatikai és telekommunikációs üzemeltetési tevékenységét a központi rendszerek tekintetében. 52. Központi szintű informatikai infrastruktúra üzemeltetés során biztonsági esemény vagy kritikus hibajavítás esetén az infrastrukturális alrendszerek, szolgáltatások ideiglenes vagy időszakos szüneteltetéséről, felfüggesztéséről az IÜF vezetője, területi és helyi rendszer esetén a területi szerv informatikai üzemeltetésért felelős vezetője dönthet. 53. Az üzemeltetésért és a fejlesztésért felelős, az e-biztonságért felelős, továbbá a biztonságiesemény-kezelési megbízott – egymással együttműködve – úgy köteles eljárni, hogy a rendszer teljes életciklusában megvalósuljon és biztosított legyen a  rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer és elemeinek sértetlensége és rendelkezésre állása zárt, teljes körű, folytonos és kockázatokkal arányos védelme. 54. A szakmai adatgazda feladatai: a) igényelt jogosultságok elbírálása; b) a hozzá rendelt adatállomány és szolgáltatás vonatkozásában a  kockázatok mértékének a  bizalmasság, rendelkezésre állás és sértetlenség szempontjából történő meghatározása, az 1. mellékletben foglaltak alapján; c) a felelősségi körébe tartozó információs vagyonelemekre vonatkozó szakmai döntések meghozatala; d) az információbiztonsági követelmények alapján az információbiztonsági kockázatok felmérése; e) a hozzáférésre jogosult felhasználók adatainak és jogosultságainak naprakész nyilvántartása. 55. A rendszer üzemeltetéséért felelőst meg kell nevezni a Rendszerbiztonsági Tervben. A rendszerüzemeltetési feladatok konkrét meghatározását a munkaköri leírásban kell rögzíteni. 56. A hálózat üzemeltetésért felelőst a hálózat vonatkozásában írásban meg kell nevezni a Hálózatbiztonsági Tervben. A hálózatüzemeltetési feladatok konkrét meghatározását a munkaköri leírásban kell rögzíteni. 57. A rendszerhez való hozzáférés engedélyezése előtt írásbeli nyilatkozattételre kell kötelezni a hozzáférési jogosultságot igénylő személyt, felhasználót, aki nyilatkozatával igazolja, hogy a rendszer használatához kapcsolódó, rá vonatkozó biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja. 11. Együttműködés a hatóságokkal 58. A területi szerv vezetője az e-biztonságért felelős útján az Ibtv.-ben meghatározott hatósági bejelentéssel kapcsolatos feladatainak ellátásáról tájékoztatja az EBFO vezetőjét. 59. A kibertérből származó kockázatokra vonatkozó figyelmeztetéseket az  e-biztonságért felelős és a  biztonságiesemény-kezelési megbízott fogadja a  Kormányzati Eseménykezelő Központtól, azokat elemzi, és amennyiben intézkedés szükséges, azok végrehajtásáról tájékoztatja az EBFO-t. 60. Az e-biztonságért felelős és a biztonságiesemény-kezelési megbízott a biztonsági események felderítése, elhárítása és megelőzése érdekében kapcsolatot tart a Kormányzati Eseménykezelő Központtal. 12. Információbiztonsági kockázatok kezelése 61. A kockázatkezelés célja, hogy a  Rendőrség képes legyen azonosítani az  információs vagyontárgyait veszélyeztető kockázati tényezőket, és az azonosított kockázatokkal arányos védelmi intézkedéseket dolgozzon ki az információs vagyontárgyak védelmének érdekében. 62. Az ORFK az általa használt kockázatkezelési módszertanát az ORFK integrált kockázatkezelési szabályzatában írja elő. 63. Az ORFK az általa üzemeltetett vagy szolgáltatásként igénybe vett rendszer kockázatfelmérését és kockázatelemzését az  adott rendszer Rendszerbiztonsági Tervében valósítja meg, melyet az  erre a  célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben naprakész állapotban tartva dokumentál, meghatározva egyes kockázati elemek felelőseit és a kockázatok elhárításában tevékenyen részt vevőket. 64. A Rendőrség a  rendszereit összekapcsoló informatikai infrastruktúra kockázatfelmérését és kockázatelemzését a Hálózatbiztonsági Tervében valósítja meg, melyet az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben naprakész állapotban tartva dokumentál, meghatározva egyes kockázati elemek felelőseit és a kockázatok elhárításában tevékenyen részt vevőket. 65. Az ORFK a felmért és dokumentált folyamatai kapcsán a BCP-vel összhangban folyamatalapú kockázatelemzést végez a kockázatért felelős és a kockázat elhárításában tevékenyen részt vevő bevonásával, a kockázatok kezelésének elvárt minősége érdekében. 66. A Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben meg kell jeleníteni a maradványkockázati elemeket is. 13. Információbiztonsági feladatok tervezése, megvalósítása 67. Az információbiztonsági célok elérése és a  kockázatok csökkentésére tervezett intézkedések összehangolt megvalósítása érdekében a javasolt intézkedéseket a rendszerbiztonsági tervek és a Hálózatbiztonsági Terv alapján kell összeállítani. 68. A szervezet vezetője az információbiztonsági feladatokat felelőshöz és határidőhöz rendelten hagyja jóvá, elfogadva a maradványkockázatokat. Meg kell határozni a) az intézkedéseket, b) az intézkedések elvárt célját és a célok mérési módszerét, c) az intézkedések erőforrás szükségletét, d) az erőforrások forrását. 14. Beszámolás az információbiztonsági feladatok végrehajtásáról 69. A területi szerv e-biztonságért felelőse évente jelentésben értékeli a területi szerv és az alárendelt adatkezelő szervek informatikai biztonsági helyzetét, felülvizsgálja az informatikai biztonsági szabályzatot. 70. Az értékelő jelentést minden év március 31-ig a  területi szerv vezetőjének, valamint az  EBFO vezetőjén keresztül a gazdasági országos rendőrfőkapitány-helyettes részére kell felterjeszteni. 71. Az értékelő jelentésekből készített országos helyzetet összefoglaló jelentést minden év április 30-ig az  országos rendőrfőkapitány részére kell felterjeszteni. 72. Az ORFK e-biztonságért felelőse az  Ibtv.-ben és végrehajtási rendeleteiben meghatározott követelmények teljesüléséről az illetékességi területén az érintett szakterületről tájékoztatást vagy adatot kérhet be. 15. Személyi biztonság 73. Amennyiben nemzetbiztonsági ellenőrzés alá eső munkaköröket ellátó személyek esetén kockázati tényező merül fel, a jogosultságokat azonnal vissza kell vonni, ezzel egyidejűleg az EBFO-t tájékoztatni kell. 74. A felhasználó köteles az e-biztonságért felelős által meghatározott időközönként információbiztonsági tudatosságot fokozó képzésen részt venni. A  biztonságtudatossági képzés célja az  érintett személyek felkészítése a  belső fenyegetések felismerésére és a jelentési kötelezettségek tudatosítása. 75. A rendszerüzemeltetői és a  hálózatüzemeltetői feladatokat ellátó állomány képzéséről az  egyes rendszerek és a hálózat vonatkozásában a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv rendelkezik. 16. A beosztás, megbízás megszűnésével vagy munkakör változásával kapcsolatos információvédelmi feladatok 76. Az utasítás személyi hatálya alá tartozókkal szemben érvényesíteni kell a jogviszony megszűnése vagy megváltozása utáni időszakra vonatkozó titoktartási megállapodások megszegésének jogkövetkezményeit. 77. Munkakör változás esetén, illetve a  foglalkoztatási jogviszony megszűnésével vagy megváltozásával egyidejűleg intézkedni kell a  személynek az  utasítás tárgyi hatálya alá tartozó rendszerben levő hozzáférési jogosultságainak, egyéni hitelesítő eszközeinek a  felülvizsgálatára, illetve visszavonására, továbbá el kell számoltatni a  rábízott informatikai eszközökkel. 17. Fizikai és környezeti biztonság 78. A rendszer védelmét a  rendszer biztonsági osztályba sorolásának megfelelő fizikai biztonság kialakításával kell biztosítani. A rendszer fizikai és környezeti védelmi elemeit a Rendszerbiztonsági Tervben kell rögzíteni. 79. A hálózati aktív és passzív eszköz fizikai és környezeti védelmi elemeit a Hálózatbiztonsági Tervben és az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben kell rögzíteni. 80. Az olyan helyiségeket, ahol informatikai eszközökkel történik a  munkavégzés, távollét esetén a  jogosulatlan hozzáférést megakadályozó módon zárva kell tartani. 81. Az új építésű épületek vagy helyiségek esetében fel kell mérni, hogy ott milyen biztonsági osztályú rendszert fognak üzemeltetni, és ennek megfelelően kell a fizikai környezetet kialakítani. 82. Amennyiben a  személyes felügyelet nem biztosított, az  informatikai erőforrásokat koncentráltan tartalmazó helyiségek bejáratát zárva kell tartani. Munkaidőn túl a belépés csak előzetes bejelentkezés és engedélyezés után szabályozott módon lehetséges. 83. Azokon az épületeken belül, ahol rendszer üzemel, a nap 24 órájára személyi vagy biztonság technikai felügyeletet kell biztosítani. 84. A belépési eljárásokat és a belépési jogosultságok rendszerét minden olyan helyiségben szabályozni és ellenőrizhetően dokumentálni kell, ahol rendszer vagy annak eleme üzemel. 85. A tűzvédelmi előírásokat az adott épületre vonatkozóan annak megfelelően kell kialakítani, hogy az épületben milyen biztonsági osztályba sorolt rendszer üzemel. 86. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségeket, automatikus működtetésű oltórendszerrel és szellőztető rendszerrel kell ellátni. 87. Az elektromos és szünetmentes hálózatot, a túlfeszültség-, az érintés- és villámvédelmet, valamint a vészkikapcsoló, továbbá a  szükségvilágítást biztosító berendezéseket az  adott épületre vonatkozóan annak megfelelően kell kialakítani, hogy az épületben milyen biztonsági osztályba sorolt rendszer üzemel. 88. Az energiaellátás biztonsága érdekében a  szünetmentes tápegység mellett szükség-áramellátó diesel-elektromos gépcsoportot is telepíteni kell, amely automatikus indítású és szabályozású, ezen kívül teljesítménye képes kiszolgálni a  számítástechnikai eszközökön túl az  azok működéséhez szükséges segédüzemi berendezéseket (különösen a klímaberendezéseket) is. 89. A hőmérséklet és páratartalom szintjét az  informatikai erőforrásokat koncentráltan tartalmazó helyiségekben szabályozni kell. 90. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben csak az  elengedhetetlenül szükséges közműhálózat csatlakozhat, a helyiségen belül nem mehet át víz-, gáz-, csatorna és egyéb közművezeték, felette és a határoló falfelületek mentén vizesblokkot tartalmazó helyiségrész nem lehet, az esetleges vízbetörés érzékelését biztosítani kell. 91. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben a nyílászárókat zártságot ellenőrző eszközzel kell ellátni, a belső terek védelmét mozgásérzékelővel kell biztosítani. A védelem ki- és bekapcsolása a bejáraton kívül elhelyezett vezérlővel történhet. 92. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségek ablakait betekintés és behatolás ellen védő biztonsági fóliával kell védeni. Ablakok elkerülhetetlen létesítése esetén azok közforgalomtól elzárt területre, belső udvarra kell, hogy nézzenek. 93. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben a  padlóburkolatoknak, az  álpadlónak, a berendezési tárgyaknak antisztatikus kivitelűeknek kell lenniük. 94. Tilos az informatikai erőforrásokat koncentráltan tartalmazó helyiség funkciójától eltérő anyagot vagy eszközt tárolni. 95. A Rendőrség rendszereiről vagy azok elemeiről magáncélú hang- és képfelvétel készítése tilos. 96. Az adatkommunikációs kábelek fizikai védelme érdekében biztosítani kell, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs és lopás ellen. 18. Vagyonelemek kezelése, védelme és ellenőrzése 97. Az utasítás tárgyi hatálya alá tartozó vagyonelemeket a  rendszerüzemeltetőnek, illetve a  hálózatüzemeltetőnek azonosítani kell, és nyilvántartást kell (a továbbiakban: Konfiguráció nyilvántartás) vezetni róluk. 98. Az információs vagyonelemeket és az  információfeldolgozó eszközöket egyedi azonosító alapján azonosítani kell, ezeket a vagyonelemeket leltárba kell venni, és azt naprakészen kell tartani. 99. A Konfiguráció nyilvántartást az  utasítás tárgyi hatálya alá tartozó valamennyi rendszerre (hálózatra, információs rendszerekre és a  rendszerekhez hozzáférést biztosító eszközökre) el kell készíteni, melyet a  hálózat tekintetében a Hálózatbiztonsági Tervben, az információs rendszerek tekintetében a Rendszerbiztonsági Tervben és az erre a célra rendszeresített irányítás-, kockázat- és megfelelésmenedzsment rendszerben kell rögzíteni, valamint ki kell jelölni a vagyonelem felelősét. 100. A Konfiguráció nyilvántartásnak pontosan tükröznie kell az  utasítás hatálya alá tartozó elektronikus információs rendszerek aktuális állapotát és a  hatókörébe eső valamennyi hardver-, szoftverelemet, valamint tartalmaznia kell a szükséges és elégséges licenc állományt. 101. A rendszerekhez hozzáférést biztosító eszközök tekintetében a  nyilvántartásnak tartalmaznia kell az  eszköz valamennyi hardver-, szoftverelemét (típus, gyártási szám, azonosító, megnevezés, verziószám) és felhasználóit. 102. Az információs vagyonelemeket és az információfeldolgozó eszközöket egyedi azonosítóval kell ellátni. 103. Az informatikai eszközök (adathordozók) átadása, átvétele, szállítása, megsemmisítése kizárólag dokumentáltan történhet. 104. Az utasítás hatálya alá tartozó rendszerekben kizárólag az engedélyezett és a Konfiguráció nyilvántartásban szereplő vagyonelemek, eszközök használhatók. 105. A jóváhagyott konfigurációban bekövetkező bármilyen változtatás, beleértve a  konfiguráció egészének vagy egy elemének áthelyezését is, amennyiben rendelkezésre áll, az  ORFK által rendszeresített változáskezelést támogató informatikai rendszer alapján lehetséges. 106. A konfiguráció engedély nélküli megváltoztatását biztonsági eseményként kell kezelni, és ki kell vizsgálni. 107. A jogosulatlan rendszerelemek automatikus észlelésére automatizált mechanizmusokat kell működtetni. 108. Az eszközök csak a zárt helyiségben hagyhatóak felügyelet nélkül. 109. A Rendőrség által biztosított felhasználói eszközöket jelszavas védelemmel kell ellátni. Az eszköz zárolásra kerül 5 perc inaktivitást követően. 110. Az utasítás hatálya alá tartozó létesítményekben hosszabb munkaszünet idejére el kell zárni a védendő információkat tartalmazó dokumentumokat és adattároló eszközöket. 111. Az eszközök képernyőjén a védendő dokumentumokat úgy szabad kezelni, hogy azok tartalmát illetéktelen személyek ne ismerhessék meg. 19. Adathordozók védelme 112. Az adatok tárolására szolgáló külső adathordozókat nyilvántartásba kell venni, a nyilvántartás naprakészen tartása az informatikai üzemeltetésért felelős vezető feladata. 113. A nyilvántartásba vétellel kell biztosítani az  adathordozó nyomonkövethetőségét, ezáltal a  rajta tárolt adat mozgásának ellenőrizhetőségét, továbbá a személyi felelősség megállapíthatóságát. 114. Az adathordozó vírusellenőrzéséről az  informatikai üzemeltetésért felelős vezetőnek központilag menedzselt rendszerrel kell gondoskodni. 115. A beépített adathordozóval ellátott rendszer önmagában is adathordozónak minősül. Adathordozónak kell továbbá tekinteni a digitális adatok tárolására és feldolgozására alkalmas mobil eszközöket. 116. Az adatot tartalmazó adathordozókat védeni kell a jogosulatlan hozzáféréstől, visszaéléstől vagy megrongálódástól. 117. Selejtezés alkalmával minden adathordozó tartalmát dokumentáltan törölni kell, ezután olyan fizikai roncsolással kell megsemmisíteni, hogy újbóli használatba vétele lehetetlenné váljon. A megsemmisítésről jegyzőkönyvet kell felvenni. 118. A mobil eszközöket biztonságos módon kell kezelni, annak érdekében, hogy ne kerülhessenek illetéktelen felhasználásra, ezért amennyiben a technológia rendelkezésre áll, a rajta tárolt információkat központi management eszközzel titkosítva kell tárolni. 119. Külső adathordozóra másolás előtt a felhasználónak vírusellenőrzést kell végrehajtania a másolandó adatállományon, a forrás munkaállomáson rendszeresített vírusellenőrző programmal. 20. A hozzáférés felügyelete 120. Az információhoz és az információfeldolgozó eszközökhöz való hozzáférést korlátozni kell az arra jogosultak körére. 121. A felhasználók részére a rendszerhez történő hozzáférést a rendszer biztonsági beállításainak érvényesítése és azok ellenőrzését követően lehet biztosítani, amelyet a  rendszerüzemeltető hajt végre a  Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv követelményei szerint. 122. A rendszernek alkalmasnak kell lenni a hozzáférési jogok egyedi vagy csoportszinten való megkülönböztetésére és szabályozására, valamint a felhasználók személyhez köthető egyedi azonosítására. 123. A felhasználót egyedi azonosítóval kell ellátni, melynek alapján nyomon követhető a  rendszerben végzett tevékenysége. 124. A rendszerhez való hozzáférést a felhasználó megbízható azonosítása előzi meg. Ez történhet személyes használatra kiadott egyedi felhasználói névvel és ehhez tartozó, kizárólag a  felhasználó által ismert jelszóval vagy a  használt rendszer biztonsági osztályának megfelelő további azonosítással. 125. Minden felhasználó jelszava tekintetében a  jelszavakra vonatkozó szabályok betartásának ellenőrzésére és érvényesítésére a  rendszerben használt címtár felhasználóazonosító rendszerét, illetve az  adott alkalmazás felhasználóazonosító rendszerét kell használni. 126. A felhasználó az  első bejelentkezése után köteles azonnal megváltoztatni a  jelszavát. Minden felhasználónak lehetőséget kell biztosítani arra, hogy jelszavát bármikor megváltoztathassa. 127. Amennyiben a  jelszó kompromittálódásának gyanúja megalapozott, azt a  felhasználó haladéktalanul köteles megváltoztatni. 128. Az informatikai üzemeltetésért felelős vezető az  információbiztonság fenntartása érdekében az  azonosítókat letilthatja, ha a) a jelszó kompromittálódásának gyanúja megalapozott; b) a felhasználó megsérti a rá vonatkozó adatkezelési szabályokat; c) a felhasználó foglalkoztatási jogviszonya megszűnt, szünetel vagy munkaköre megváltozott; d) az azonosítók azonnali letiltására utasítást kap az állományilletékes parancsnokától. 129. A jogosultságokat a munkavégzéshez minimálisan szükséges mértékű jogosultságokra kell korlátozni, a szükséges és elégséges ismeret elvének megfelelően. 130. Az erőforrásokhoz való hozzáférési jogosultságok kiadásánál törekedni kell a  csoportszintű jogosultságok alkalmazására. 131. A felhasználók számára tiltani kell a következő tevékenységeket: a) BIOS hozzáférés; b) hardver telepítés; c) szoftver telepítés; d) hozzáférés a rendszerfájlokhoz (módosítás); e) rendszeridő és dátum módosítás; f ) naplófájlok módosítása, törlése; g) operációs rendszer rendszerbeállításainak megváltoztatása; h) felhasználó jogainak megváltoztatása. 132. A rendszernek meg kell akadályoznia, hogy a nem privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági ellenintézkedések kikapcsolását, megkerülését vagy megváltoztatását. 133. A távoli hozzáférést, a vezeték nélküli hozzáférést és a  privilegizált parancsok és biztonságkritikus információk eléréséhez távoli hozzáférési jogosultság megadását a  Rendszerbiztonsági Terv és a  Hálózatbiztonsági Terv követelményei alapján a szakmai adatgazda engedélyezheti. 134. A felhasználó számára csak olyan hálózatokhoz és hálózati szolgáltatásokhoz való hozzáférés biztosítható, amelyek használata engedélyezett a számára, beleértve, hogy rendelkezik megfelelő feltételekkel, és megkapta a szerepköréhez és feladatához kapcsolódó képzést. 135. A felhasználó hibájából bekövetkezett kompromittálódás vagy annak gyanúja esetén az informatikai üzemeltetésért felelős vezetőnek vizsgálni kell a felhasználói jogosultság azonnali felfüggesztésének indokoltságát. 136. A hozzáférési jogosultságokat a szakmai adatgazda személyügyi, munkaköri változások bekövetkezésekor minden esetben haladéktalanul felülvizsgálja, és indokolt esetben intézkedik a  hozzáférési jogosultságok módosítására, visszavonására. 137. A 90 napja nem használt felhasználói fiókot és a  hozzá tartozó postafiókot az  informatikai üzemeltetésért felelős vezetőnek fel kell függeszteni. 138. A 90 napot meghaladó távollét, betegség esetén a  felhasználó jogosultságait fel kell függeszteni, a  helyettesítést a hozzáférési jogosultságok ideiglenes megváltoztatásával kell biztosítani. 139. Az e-biztonságért felelős feladata, hogy rendszeres információbiztonsági képzés keretében a felhasználók számára átadja a jelszavak használatával kapcsolatos ismereteket. A felkészítés alkalmával minden felhasználóban tudatosítani kell a helytelen jelszóhasználatból adódó veszélyeket és az ezzel járó felelősséget. 140. A rendszer- és alkalmazásszintű kontrollokat megkerülni képes, kiemelt jogokkal bíró programokat csak dokumentált és engedélyezett módon lehet használni. A programokat az e-biztonságért felelős jóváhagyásával a rendszerüzemeltető engedélyezheti. 141. Az utasítás hatálya alá tartozó rendszer nyitóoldalán a  rendszer használatára vonatkozó figyelmeztetést kell közzétenni, amely ismerteti a  rendszer engedélyezett használatának a  feltételeit, és jelzi, hogy a  felhasználó a  Rendőrség rendszerét használja, a  rendszerhasználatot az  adatvédelmi szabályoknak megfelelően figyelhetik, rögzíthetik, naplózhatják, továbbá, hogy a  rendszer jogosulatlan használata tilos, és büntetőjogi vagy polgárjogi felelősségre vonással járhat. 142. A figyelmeztetésben szerepeltetni kell, hogy a  rendszer használatával a  felhasználó tudomásul veszi a  munkaköri feladatok ellátása érdekében biztosított rendszerhasználati jogosultság jogszerű gyakorlásának ellenőrzését, ennek érdekében a rendszerben végzett tevékenységének megfigyelését, naplózását és rögzítését. 21. Titkosítás 143. Kriptográfiai mechanizmusokat kell alkalmazni a) az utasítás tárgyi hatálya alá tartozó informatikai szolgáltatásokkal kapcsolatos digitális adathordozókon tárolt információk bizalmasságának és sértetlenségének a  védelmére, a  Rendszerbiztonsági Tervben és a Hálózatbiztonsági Tervben rögzítettek szerint; b) az adatátvitel során az adatok jogosulatlan felfedése ellen, kivéve, ha az átvitel más, az érintett szervezet által meghatározott alternatív fizikai ellenintézkedéssel védett; c) a távoli hozzáférés munkaszakaszok bizalmasságának és sértetlenségének a védelmére; d) a naplóinformáció és a naplókezelő eszköz sértetlenségének védelmére. 144. A titkosító kulcsok használatát, védelmét a  Rendszerbiztonsági Tervben és a  Hálózatbiztonsági Tervben meghatározottak szerint kell biztosítani, azok teljes életciklusára kiterjedően. 145. Nyilvános kulcsú infrastruktúra alapú hitelesítés esetén a tanúsítványok érvényességét az informatikai üzemeltetésért felelős vezetőnek ellenőriznie kell. 22. Az üzemeltetés biztonsága 146. Az üzemeltetési eljárásokat a Rendszerbiztonsági Tervben dokumentálni kell, és csak annak a felhasználónak lehet hozzáférhetővé tenni, akinek ez a munkaköri feladatainak ellátásához feltétlenül szükséges. 147. Dokumentált és engedélyezett módon kell kezelni minden olyan szervezeti, folyamatbeli, az  információfeldolgozó rendszerelemet és rendszerkonfigurációt, valamint a  hálózatot érintő változtatást, amelyeknek hatása van az információbiztonságra. 148. Az IÜF vezetőjének a változtatások központi nyilvántartását úgy kell vezetni, hogy visszakereshető legyen minden, a rendszerben megvalósított változtatás dokumentációja. 149. Minden változtatás végrehajtása előtt el kell végezni a változtatás tesztelését, a rendszerkonfiguráció megváltoztatása előtt az új verziót mindig tesztelni és a Rendszerbiztonsági Tervben rögzíteni kell. 150. Az informatikai üzemeltetésért felelős vezetőnek minden változtatás engedélyezése előtt a változtatás elvégzésének információbiztonságra és az Üzletmenet-folytonosságra gyakorolt hatását értékelni kell. 151. A rendszerhez alapkonfigurációt kell összeállítani, azt dokumentálni kell, és karban kell tartani. Változatlan állapotban meg kell őrizni a rendszer alapkonfigurációját és annak előző verzióját, hogy szükség esetén lehetővé váljon az erre való visszatérés. 152. A szükséges rendszerteljesítmény biztosítása érdekében az erőforrások használatát nyomon kell követni, optimalizálni kell és a jövőbeni kapacitásszükségletet előre kell jelezni. 153. A rendszerüzemeltetésért felelős feladata, hogy folyamatosan figyelje a meglévő erőforrásokat és a várható kapacitás igényeket, illetve nyomon kövesse a rendszerek kihasználtságát. 154. A Rendszerbiztonsági Terv alapján el kell különíteni a fejlesztési és éles üzemi környezeteket. 155. Az IÜF vezetőjének a rendszer elemeinek védelme érdekében folyamatos teszteket, auditokat kell végezni az audit terv alapján. 156. Az éles üzemi rendszerek ellenőrzésére is kiterjedő informatikai auditok követelményeit és a vizsgálati tevékenységeket gondosan meg kell tervezni és jóvá kell hagyni azért, hogy a Rendőrség napi működésének megzavarását minimalizálni lehessen. 157. A felhasználónak a bekövetkezett hardverelem-meghibásodást haladéktalanul jelentenie kell a rendszerüzemeltető szervezetnek. 158. A Rendőrség információfeldolgozó berendezéseit a  gyártó vagy a  forgalmazó előírásai szerint kell karbantartani, folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében. 159. A karbantartásokat és a  javításokat dokumentálni kell. Minden bejegyzésnek tartalmaznia kell a  dátumot, a személyeket és a végzett tevékenységet, beleértve a telepített, kiszerelt, javított vagy eltávolított elem megnevezését és egyedi azonosító adatait, valamint a végrehajtott informatikai feladatokat is. 160. A rendszer vagy annak elemének karbantartása vagy javítása kizárólag előre meghatározott, az érintett szakterülettel egyeztetett időpontban történhet. 161. A munkaállomások és szerverek karbantartási feladatai között ellenőrizni kell a telepített szoftverek listáját és verzióját, valamint a kritikus és biztonsági frissítések állapotát. 162. Az utasítás tárgyi hatálya alá tartozó rendszerek azon elemeire, amelyek esetén a  karbantartáshoz szükséges információk vagy szakértelem a szervezeten belül nem áll rendelkezésre, a rendszerüzemeltetőnek rendelkeznie kell karbantartásra vonatkozó üzemeltetéstámogatási megállapodással. 163. Az eszközre csak olyan támogatási, illetőleg karbantartási megállapodás köthető, amely rögzíti, hogy az  eszköz javítása során a külső személyek részére az adathordozó nem kerül átadásra. 164. A karbantartásokat és javításokat megelőzően és azok befejeztével – a  használatbavétel előtt – az  informatikai üzemeltetésért felelős vezetőnek teljes konfiguráció ellenőrzést kell végrehajtani. 165. A rendszer rendelkezésre állását korlátozó munkálatok felhasználókkal történő egyeztetése a  rendszerüzemeltető feladata, amelynek során figyelembe kell venni a Rendszerbiztonsági Tervben vállalt szolgáltatási szint megállapodást. 166. A rendszer elemének selejtezését az  informatikai üzemeltetésért felelős vezetőnek dokumentált módon kell végrehajtani. A  selejtezésről minden esetben selejtezési jegyzőkönyvet kell készíteni, amelyet az  iratkezelési szabályoknak megfelelően kell tárolni. 167. A rendszerüzemeltető felelős azért, hogy az  eszközök újrafelhasználása esetén a  korábbi használatból adódóan adatok ne vesszenek el, illetve az adatok bizalmassága ne sérüljön. 168. Az éles üzemű rendszeren elvégzendő szoftvertelepítést, frissítést szabályozott változáskezelési eljáráson keresztül dokumentáltan kell végrehajtani, melyet a Rendszerbiztonsági Tervben rögzíteni kell. 169. A rendszeren telepített szoftverekről a  rendszerüzemeltető naprakész nyilvántartást vezet. A  nyilvántartásnak tartalmaznia kell a  szoftver megnevezését, verziószámát és a  rendszer azon elemeinek listáját, ahol beüzemelésre került. 170. Az operációs rendszerek és a  felhasználói programok kereskedelmi forrásból beszerzett, jogtiszta programok vagy a Rendőrség által fejlesztett alkalmazások lehetnek. 171. Az operációs rendszer és alkalmazás verzióját, valamint biztonsági patch szintjét tesztelést követően lehetőség szerint a gyártói támogatással rendelkező, legmagasabb szintre kell hozni. 172. A biztonsági beállítások meghatározásánál figyelembe kell venni a Rendszerbiztonsági Terv és a Hálózatbiztonsági Terv követelményeit, valamint az  egyes gyártók és információbiztonsági szervezetek által kiadott biztonsági megerősítési útmutatóit (hardening guide). 173. A biztonsági beállításokat az  e-biztonságért felelős bármikor ellenőrizheti, azokon változtatást, auditálást ő engedélyezhet. 174. A rendszert úgy kell beállítani, hogy a működése során keletkező nem nyilvános maradvány információk (különösen az átmeneti fájlok) bizalmasságát, sértetlenségét védje. 175. Új rendszer bevezetését megelőzően vagy abban az esetben, ha a már meglévő rendszer sérülékenységére vonatkozó információ merül fel, az EBFO vezetője gondoskodik a sérülékenységvizsgálat lefolytatásáról. 176. A sérülékenységvizsgálat a  Rendőrség rendszereinek napi üzemét nem veszélyeztetheti, azt kizárólag előzetesen jóváhagyott eszközökkel, dokumentáltan lehet lefolytatni. 177. Meglévő rendszer esetén a biztonságot közvetlenül veszélyeztető hibákat a lehető leghamarabb javítani kell, vagy korrektív kontroll alkalmazásával csökkenteni a  kockázatokat. Új rendszer esetén feltárt sérülékenységet a használatbavételig javítani kell. 178. A hálózatok ki- és bemeneteli pontjait minimalizálni kell, továbbá a  ki- és bemeneti pontok adatforgalmát elektronikusan naplózni, és a naplófájlokat ellenőrizni kell. 179. Az informatikai üzemeltetésért felelős vezetőnek a  rendszer minden arra alkalmas – megfelelő hardver- és szoftverkörnyezettel rendelkező – elemére jóváhagyott vírusellenőrző szoftvert kell telepítenie és naprakészen tartania. 180. Az informatikai üzemeltetésért felelős vezetőnek a hálózatra csatlakozó eszközök esetében központilag, a hálózatra nem csatlakozó eszközök esetében egyenként kell a vírusellenőrző rendszert felügyelni. 181. Amennyiben kártékony kód elemzése szükséges, azt az  informatikai üzemeltetésért felelős vezetőnek külön külső adathordozón kell tárolni, amelyen más, kártékony kódot nem tartalmazó adat, dokumentum nem lehet. Az adathordozón látható módon fel kell tüntetni, hogy vírust, kártékony kódot tartalmaz. 182. A kéretlen és kártékony kódot tartalmazó elektronikus levelek kiszűrésére olyan központilag menedzselt szűrőt kell üzemeltetni, amely automatikusan központilag frissíti az  adatbázisát, és frissíti a  rendszert új verziók elérhetővé válásakor. 183. A biztonsági mentés célja az  információ és az  adatfeldolgozó szoftverek épségének és rendelkezésre állásának biztosítása. A  hatékony biztonsági adatmentés érdekében a  munkaállomásokon feldolgozott adatállományokat tárolni kizárólag szervereken és központi kiszolgálókon, valamint az adatmentésre szolgáló médián lehet. Bármilyen más helyen történő adattárolás még átmenetileg is tilos. 184. Az adatokról, szoftverekről és rendszerképekről a  jóváhagyott mentési és archiválási szabályozásnak megfelelően a rendszerüzemeltetőnek dokumentáltan kell mentéseket készíteni, a Rendszerbiztonsági Tervben meghatározottak szerint. 185. A rendszerüzemeltetőnek és a hálózatüzemeltetőnek minden olyan adatot menteni kell, amely az auditálás, ellenőrzés eszköze lehet (különösen naplófájlok, riportok). Ezeket az  adatokat a  többi felhasználói, illetve rendszer adattól elkülönítetten kell menteni, és minimum öt évig meg kell őrizni. 186. A naplóbejegyzések vizsgálatát, elemzését és jelentését integrált folyamattá kell alakítani, amely a  veszélyes vagy tiltott tevékenységekre és történésekre megfelelően képes reagálni. 187. A rendszernek naplóznia kell a  felhasználói tevékenységet, valamint a  privilegizált felhasználó privilegizált jogosultsággal végzett tevékenységeit. 188. A naplózásra becsült mennyiségű naplóesemény elvárt ideig való tárolásához elegendő méretű tárkapacitást kell biztosítani. 189. Törekedni kell az automatizált naplóesemény-elemző rendszer alkalmazására. 190. A rendszerüzemeltetőnek a naplózási eseményeket tartalmazó adatokról a Rendszerbiztonsági Terv szerint biztonsági mentést kell készíteni. 191. A naplózó eszközt, illetve a naplóinformációt meg kell védeni a jogosulatlan hozzáféréstől, törléstől, kiiktatástól vagy módosítástól. 23. A hálózat biztonsága 192. A hálózatüzemeltetőnek a  rendszer hálózati elemeit menedzselni és felügyelni kell. A  hálózatmenedzsment segítségével kell megoldani a hálózatok biztonságát és az infrastruktúra védelmét. 193. Olyan ellenőrző-felügyeleti eszközöket kell használni, amelyek biztosítják a hálózatokban kezelt és továbbított adatok biztonságát, és megóvják a hálózatot a jogosulatlan hozzáférésektől. 194. Az IÜF vezetője gondoskodik a hálózatok végpontjain komplex fizikai és logikai védelem alkalmazásáról. 195. A Rendőrség hálózatából más hálózatba csak előre definiált és a  hálózatüzemeltető által engedélyezett módon szabad csatlakozni. 196. A hálózatüzemeltető gondoskodik a  hálózati eszközökön a  naplózás beállításáról és a  hálózati eszközök rendszeridejének szinkronizálásáról. 197. A Hálózatbiztonsági Tervben dokumentálni kell az alkalmazott hálózati szolgáltatás biztonsági jellemzőit. Amennyiben több hálózati szolgáltatás működik a rendszerben, úgy ezek egymásra gyakorolt hatását is elemezni kell biztonsági szempontból. A  hálózati szolgáltatások biztonsági beállítása, valamint annak ellenőrzése, karbantartása a hálózatüzemeltető feladata. 198. Az EBFO vezetője a rendszerek összekapcsolását csak a rendszerek közötti adatforgalom felügyeletét lehetővé tevő és biztonságát garantáló rendszer közbeiktatásával engedélyezheti. 199. A rendszerek összekapcsolásának feltétele, hogy a magasabb biztonsági osztályba sorolt rendszer követelményeit kell teljesíteni, valamint sérülékenységvizsgálatot kell lefolytatni. 200. Tilos a hálózat biztonságos működését zavaró vagy veszélyeztető információk, programok terjesztése. 201. A hálózat nem használható az alábbi tevékenységekre: a) a jogszabályokba ütköző cselekmények előkészítése vagy végrehajtása, így mások személyiségi jogainak megsértése (különösen rágalmazás), tiltott haszonszerzésre irányuló tevékenység (különösen piramisjáték), szerzői jogok megsértése (különösen szoftver nem jogszerű terjesztése); b) profitszerzést célzó (különösen kriptovaluta bányászat), direkt üzleti célú tevékenység és reklám; c) a hálózat, a  kapcsolódó hálózatok, illetve ezek erőforrásainak rendeltetésszerű működését és biztonságát megzavaró, veszélyeztető tevékenység, ilyen információknak és programoknak a terjesztése; d) a hálózatot, a kapcsolódó hálózatokat, illetve erőforrásaikat indokolatlanul, túlzott mértékben, pazarló módon igénybe vevő tevékenység (különösen nem hivatali körlevelek, hálózati játékok, kéretlen reklámok); e) a hálózat erőforrásaihoz, a  hálózaton elérhető adatokhoz történő illetéktelen hozzáférés, azok illetéktelen használata, eszközök és szolgáltatások – akár tesztelés céljából történő – túlzott mértékben való szisztematikus próbálgatása (különösen TCP port scan); f ) a hálózat erőforrásainak a  hálózaton elérhető adatoknak illetéktelen kezelése, módosítása, elérhetetlenné tétele, törlése vagy bármely károkozásra irányuló tevékenység; g) másokra nézve sértő, vallási, etnikai, politikai vagy más jellegű érzékenységét bántó, zaklató tevékenység (különösen pornográf anyagok közzététele); h) hálózati üzenetek, hálózati eszközök hamisítása, olyan látszat keltése, mintha egy üzenet más gépről vagy más felhasználótól származna (spoofing). 202. Minden hálózati szolgáltatásra meg kell határozni a  biztonsági mechanizmusokat, a  szolgáltatási szinteket és a kezelési követelményeket, melyeket a Hálózatbiztonsági Tervben rögzíteni kell. 203. Csak a biztonsági architektúrával összhangban elhelyezett határvédelmi eszközökön, felügyelt interfészeken keresztül kapcsolódhat a rendszer külső hálózathoz vagy külső rendszerhez. 204. Az eszközök távdiagnosztikai és konfigurációs portjainak használata csak a  hálózatüzemeltető engedélyével, dokumentáltan lehetséges. 205. A hálózat külső határán aktív hálózati forgalom vizsgálatára és hálózati támadás felismerésére alkalmas tűzfalat kell üzemeltetni. 206. Minden külső infokommunikációs szolgáltatás használatakor felügyelt interfészt kell működtetni, amelyekhez forgalomáramlási szabályokat kell meghatározni és működtetni. A  szabályok meghatározásánál az  alapeseti visszautasításból kell kiindulni. A  forgalomáramlási szabályok alóli minden kivételt dokumentálni kell, a  kivételt alátámasztó alapfeladattal és az igényelt kivétel időtartamával együtt. Félévente dokumentáltan felül kell vizsgálni a forgalomáramlási szabályok alóli kivételeket, és el kell távolítani azokat a kivételeket, amelyeket közvetlen alapfeladat már nem indokol. 207. A hálózaton belül és kívül a rendszerek között csak az EBFO vezetője által jóváhagyott kapcsolatok, szolgáltatások és portok engedélyezhetők. 208. A rendszert és a hálózatot túlterheléses – szolgáltatás megtagadás jellegű – támadásokkal szembeni védelemmel kell ellátni. 209. Az információszolgáltatások, a  felhasználók és a  rendszerek különböző csoportjait a  hálózatüzemeltetőnek el kell különíteni a hálózatban. 210. Külön hálózati szegmensbe kell szervezni a) a fizikai vagy logikai alhálózatban levő szerver gépeket és hálózati eszközöket; b) az éles üzemi környezet szerver gépeit és hálózati eszközeit; c) a teszt- és fejlesztői környezet szerver gépeit és hálózati eszközeit. 211. Új kommunikációs csatorna alkalmazását a Hálózatbiztonsági Tervben előzetesen rögzíteni kell. 212. A Rendszerbiztonsági Tervben dokumentálni kell az  egyes rendszerkapcsolatokat, az  interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt adatok típusát. 213. Az elektronikus levelező rendszer elemeiről, különösen a  szerverek fizikai, logikai védelméről folyamatosan gondoskodni kell. 214. Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított – különösen olyan vírustámadás esetén, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet – az  elektronikus levélforgalmat az  informatikai üzemeltetésért felelős vezetőnek ideiglenesen le kell állítani. Ennek elrendelésére az e-biztonságért, illetőleg az informatikai üzemeltetésért felelős vezető jogosult. 215. A levelező rendszer kizárólag szolgálati feladatok ellátására használható, az  abban tárolt és továbbított levelek a Rendőrség adatvagyonának részét képezik. 216. A Rendőrség elektronikus levelezési címjegyzéke külső személynek nem szolgáltatható ki. 217. Tilos az elektronikus üzenetek – rendszeres, illetve automatikus – átirányítása vagy másolat küldése külső postafiókba. 24. Rendszerek beszerzése, fejlesztése, használatba vétele és fenntartása 218. Az információbiztonságot érintő beszerzéseket az EBFO vezetője véleményezi, a rendelkezésére bocsátott szakmai indoklás és műszaki dokumentáció alapján. 219. Az információbiztonságot érintő beszerzések teljes életciklusában az  információ biztonsági követelményeknek történő megfelelésről gondoskodni kell. 220. A rendszer fejlesztése során a jogszabályi követelmények és az információbiztonsági szakmai oldal elvárásai alapján a  rendszerüzemeltetőnek el kell készíteni a  rendszerspecifikációra vonatkozó biztonsági követelményrendszert és a Rendszerbiztonsági Tervet. 221. A Rendőrség által vagy számára fejlesztett valamennyi rendszerre, továbbá adatátviteli hálózatra a  biztonsági osztálynak megfelelő biztonsági szabályokat és ellenőrzéseket kell előírni és működtetni. A biztonsági szabályokat már a rendszer tervezése során, az e-bi …

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.