📄 Jogszabály szövege
94/2009. (XI. 27.) HM utasítása a honvédelmi tárca információbiztonság politikájáról.
A honvédelemről és a Magyar Honvédségről szóló 2004. évi CV. törvény 52. §-a (1) bekezdésének f) pontja alapján az alábbi
utasítást adom ki: Általános rendelkezések 1. § (1) Az utasítás hatálya a Honvédelmi Minisztériumra, a honvédelmi miniszter közvetlen alárendeltségébe, közvetlen és
fenntartói irányítása, valamint felügyelete alá tartozó szervezetekre, továbbá a Magyar Honvédség (a továbbiakban:
MH) katonai szervezeteire (a továbbiakban együtt: honvédelmi szervezet) terjed ki.
(2) A katonai nemzetbiztonsági szolgálatok főigazgatói ezen utasításban foglaltakra figyelemmel szabályozzák a
hatáskörükbe tartozó információvédelmi feladatok ellátásának rendjét. 2. § Ezen utasítás alkalmazásában:
a) adat: olyan értelmezhető, de nem értelmezett ismeret, amely az információt ábrázolja;
b) adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet, vagy műveletek
összessége, különösen gyűjtés, felvétel, rögzítés, rendszerezés, tárolás, megváltoztatás, felhasználás, továbbítás,
nyilvánosságra hozatal, összehangolás vagy összekapcsolás, zárolás, törlés és megsemmisítés, az adatok további
felhasználásának megakadályozása, továbbá fénykép-, hang-, képfelvétel, vagy mikrofilm készítése, valamely
személy azonosítására alkalmas fizikai jellemzők rögzítése; c) adatkezelő rendszer: a papír alapú vagy elektronikus adatok kezeléséhez szükséges infrastruktúrák, eszközök,
alkalmazások, eljárások, közreműködő személyek összehangolt együttese; d) adatkezelő rendszer akkreditálása: az adatkezeléshez szükséges jogszabályban vagy NATO-,
EU-követelményekben meghatározott védelmi rendszabályok meglétének, alkalmazásának hivatalos elismerése
és igazolása nemzeti hatóság vagy NATO-, EU-szervezet által;
e) adatkezelő rendszer auditálása: az adatkezelés meghatározott szabvány ajánlása szerinti védelmi rendszabályok
meglétének, alkalmazásának elismerése és igazolása; f) adatkezelő rendszer jóváhagyása: akkreditálásra vagy auditálásra nem kötelezett adatkezelő rendszer
honvédelmi tárcán belüli szervezet által történő adatkezelésre történő feljogosítása;
g) biztonsági osztály: a védelmi rendszabályok meghatározására szolgáló, az adatok bizalmassághoz igazodó
besorolás; h) információbiztonsági cél: a kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint
az adatkezelő rendszer sértetlenségének és rendelkezésre állásának biztosítása;
i) elektronikus információvédelmi felügyelő: a honvédelmi szervezetnél a vonatkozó Közigazgatási Informatikai
Bizottság ajánlása szerint az elektronikus információbiztonsági követelmények meghatározásáért és az
elektronikus információvédelmi rendszabályok kialakításáért és alkalmazásáért felelős személy, aki egyszerű
esetben elláthatja a rendszerbiztonsági felelős feladatait is; j) helyi biztonsági dokumentum: az adatkezelő helyszínre vonatkozó egyedi védelmi rendszabályokat tartalmazó
belső rendelkezése; k) információbiztonság: a papír alapú, vagy elektronikus adatkezelés vonatkozásában védelmi rendszabályok
alkalmazásával elérni kívánt állapot, amely személyi, fizikai, dokumentum- és elektronikusinformáció-biztonsági
szakterületekből áll; l) információbiztonsági követelmény: a kockázatelemzés alapján meghatározott, az információbiztonsági célok
elérésére irányuló elvárás; m) információvédelem: azoknak a tevékenységeknek és rendszabályoknak az összessége, melyek
eredményeképpen megvalósul a szükséges mértékű információbiztonság; n) kockázat: egy esemény valószínűségének és következményeinek együttese;
o) maradványkockázat: a kockázatkezelés után még fennmaradó, az adatkezelő rendszerért felelős honvédelmi
szervezet vezetője által jóváhagyott, védelmi rendszabályokkal nem ellensúlyozott kockázat.
p) kockázatkezelés: az adatkezelésre irányuló fenyegetés és sebezhetőség, valamint az adatok és adatkezelő
képességek felmérésének, elemzésének, értékelésének, a szükséges védelmi rendszabályok és
maradványkockázat azonosításának és jóváhagyásának folyamata; q) kompromittáló kisugárzás elleni védelmi felelős: bizalmas, vagy magasabb minősítési szintű elektronikus
adatkezelésnél a kompromittáló kisugárzás elleni védelmi szakfeladatokért felelős személy, egyszerűbb esetben
a rendszerbiztonsági felelős, védett létesítmények, nagy eszközszámú tábori kommunikációs rendszereknél más
önálló beosztású, vagy megbízású személy; r) rendszerbiztonsági felelős: adatkezelő rendszer elektronikusinformáció-védelmi szakfeladataiért felelős, az
elektronikus információvédelmi felügyelő szakmai alárendeltségébe tartozó személy, s) rendszerspecifikus biztonsági dokumentum: adatkezelő rendszerre vonatkozó egyedi védelmi rendszabályokat
tartalmazó belső rendelkezés. 3. § (1) A honvédelmi tárca információbiztonság-politikájának célja a honvédelmi szervezeteknél történő adatkezelés
biztonságára vonatkozó irányelvek, általános követelmények meghatározása. (2) Az információvédelem szakterületét érintő doktrínákat, szakterületi stratégiákat és egyéb belső rendelkezéseket,
a honvédelmi szervezetek állandó működési eljárásait ezen utasítás követelményeivel összhangban kell elkészíteni.
(3) Az állandó telepítésű adatkezelő rendszereket, gyakorlatok, konferenciák és egyéb rendezvények rendszereit ezen
utasítással összhangban kell tervezni, fejleszteni, beszerezni, tesztelni, üzembe helyezni, üzemeltetni, illetve
megszüntetni. (4) A külföldön szolgálatot teljesítő honvédelmi szervezetek információvédelmi rendszabályait ezen utasítás, valamint az
illetékes elöljáró követelményei alapján kell kialakítani. (5) Honvédelmi szervezettel szerződéses kapcsolatban álló személyek esetében a szükséges információvédelmi
rendszabályok szerződésben történő előkészítéséről a honvédelmi szervezet vezetője köteles gondoskodni.
Információbiztonsági célok és alapelvek 4. § (1) A kezelt adatok, adatkezelő rendszerek információbiztonsági céljait a biztonsági alapelvek, és védelmi rendszabályok
alkalmazásával kell megvalósítani. Ennek során a) a kezelt adatok jogosulatlan személy vagy alkalmazás számára nem válhatnak megismerhetővé,
b) a kezelt adatoknak pontosaknak, valamint rögzítési vagy keletkezési állapotukkal azonosaknak kell lenniük,
c) biztosítani kell, hogy a szükséges adatok az arra feljogosított személyek számára a megfelelő időben, formában és
tartalommal hozzáférhetővé váljanak. (2) Az információbiztonsági célok megvalósulásáért kockázattal arányos biztonsági eljárásokat kell kialakítani a
hitelesség, számonkérhetőség, letagadhatatlanság és a megbízhatóság érdekében. (3) Az adatkezelő rendszerek kötelezően érvényesülő alapelveiként
a) biztosítani kell, hogy az adatkezelő rendszer kialakítása, üzemeltetési folyamatai és eljárásai megfeleljenek a
jogszabályi követelményeknek; b) az adatkezelő képességekre vonatkozó biztonsági követelményeket a kockázatelemzés eredményét figyelembe
véve, a rendszertervezés legkorábbi szakaszában meg kell jeleníteni, és azokat a rendszer kialakítása során be kell
dolgozni a feladatok közé; c) hozzáférés csak olyan adatokhoz, adatkezelő szolgáltatásokhoz és ehhez kapcsolódó infrastruktúrához
engedélyezhető, amire az adott személy érvényes jogosultsággal rendelkezik;
d) az adatokhoz történő és a rendszerszintű hozzáférés elszámoltathatósága céljából szükséges mértékben
hitelesített folyamatokat kell kialakítani; e) a rendszerszintű hozzáférések számát a lehető legalacsonyabb szinten kell tartani;
f) adatkezelő rendszer csak a feladatok ellátásához szükséges szolgáltatásokat biztosíthat;
g) adatkezelő rendszer használatba vételére csak előre definiált jóváhagyási vagy akkreditálási, engedélyezési
eljárás után kerülhet sor; h) adatkezelő rendszer üzemeltetése során változtatásokra csak a biztonsági hatások vizsgálata után, előírt szintű
engedélyhez kötötten kerülhet sor; i) a kockázatkezelést az adatkezelő rendszer teljes életciklusa alatt kell végezni, a védelmi rendszabályok
hatékonyságának ellenőrzését az adatkezelő rendszer sajátosságainak megfelelően időszakonként meg kell
ismételni; j) az elektronikus adatkezelő rendszer kritikusnak tekinthető elemei, az operációs rendszerek és a biztonsági
funkciót megvalósító eszközök, programok csak a rendszer besorolásának megfelelő tanúsított termékek
lehetnek; k) az elektronikus adatkezelő rendszer külső csatlakozási pontjait olyan mechanizmusoknak kell védenie, amelyek
megakadályozzák, illetve jelzik az illetéktelen behatolást, vagy annak kísérletét, és támogatják a hatékony
válaszreakciókat; l) az elektronikus adatkezelő rendszer külső kapcsolatait a védelmi mechanizmusokkal ellátott csatlakozási,
belépési pontokon keresztül, a védelmi rendszabályoknak megfelelően kell kialakítani;
m) elektronikus adatkezelő rendszer szabványos eszközöket, alkalmazásokat tartalmazhat, üzemeltetése szabványos
eljárásokon alapulhat; n) a fejlesztésre, tesztelésre és képzésre használt adatkezelő infrastruktúrákat, adatokat a honvédelmi szervezetek
működését és vezetését támogató adatkezelő rendszerektől megfelelően el kell különíteni, és a kezelt adatok
biztonsági osztályának megfelelően kell kezelni; o) adatkezelő rendszerek üzemeltetése során a biztonságra hatással lévő eseteket ki kell vizsgálni, a tapasztalatok
alapján az adatkezelő rendszert akkreditáló hatóság vagy jóváhagyó szervezet vezetőjének engedélyével az
adatkezelő rendszer szükséges módosítását el kell végezni, és ennek megfelelően módosítani kell a vonatkozó
belső rendelkezéseket. Vezetői feladatok 5. § (1) Az adat, adatkezelő rendszerek szolgáltatást alkalmazó honvédelmi szervezeten belüli védelméért a honvédelmi
szervezet vezetője a felelős. (2) A titokvédelmi felügyelő, illetve biztonsági megbízott a honvédelmi szervezet vezetőjének átruházott hatáskörében,
illetve felhatalmazása alapján eljárva utasítási joggal gyakorolja az őt megbízó vezető titokvédelmi jogosítványait, így
különösen ellátja a minősített adatok védelmére vonatkozó jogszabályokban és rendelkezésekben meghatározott
előírások alkalmazásának felügyeletét. (3) Az elektronikus információvédelmi felügyelő, illetve informatikai biztonsági felügyelő a honvédelmi szervezet
vezetője által kijelölt személy, aki a titokvédelmi felügyelő, illetve biztonsági megbízott intézkedése szerint, az
adatvédelmi felelőssel együttműködve felel – a rejtjeltevékenység kivételével – az elektronikusinformáció-biztonsági
követelmények és az ezek megvalósítására irányuló védelmi rendszabályok, belső rendelkezések előkészítéséért, és
rendszeres ellenőrzéséért. (4) A honvédelmi szervezet vezetője által kijelölt, az iratkezelés felügyeletével megbízott vezető intézkedési joggal
gyakorolja a nyílt iratok jogszabályokban, illetve rendelkezésekben meghatározott iratkezelési szabályai felügyeletét.
(5) A személyes adatok védelmére vonatkozó jogszabállyal összhangban az adatkezelő, illetőleg az adatfeldolgozó
honvédelmi szervezeten belül, közvetlenül a honvédelmi szervezet vezetőjének felügyelete alá tartozó adatvédelmi
felelőst kell kinevezni vagy megbízni. (6) A minősített adatok rejtjelezéssel történő védelme érdekében a honvédelmi szervezetnél a rejtjelező tevékenység
mértékének és a helyi sajátosságoknak megfelelő rejtjelfelügyeletet kell működtetni. A rejtjelfelügyelet vezetője,
illetve a rejtjelfelügyelő a honvédelmi szervezet vezetőjének átruházott hatáskörében eljárva utasítási joggal
gyakorolja az őt megbízó vezető jogosítványait. (7) Elektronikus adatkezelés esetén – a személyes adatok védelme érdekében – az adatvédelmi feladatokra kötelezett
honvédelmi szervezet adatvédelmi felelőse a szükséges védelmi rendszabályokra vonatkozó követelményeket az
elektronikusinformáció-védelmi felügyelőn keresztül érvényesíti. Végrehajtói tevékenység 6. § (1) Az elektronikusinformáció-védelmi felügyelő tevékenységének támogatása érdekében az alkalmazott nemzeti,
NATO, EU vagy egyéb két- és többoldalú nemzetközi kötelezettségvállaláson alapuló elektronikus adatkezelő
eszközök, rendszerek elektronikus információvédelmi szakfeladatainak ellátására a feladat bonyolultságának
függvényében szakbeosztást kell kialakítani vagy a feladatok ellátására alkalmas személyt (például központi vagy helyi
rendszerbiztonsági felelős, kompromittáló kisugárzás elleni védelmi felelős, számítástechnikai titokvédelmi felelős)
kell megbízni. (2) A rejtjelfelügyelet vezetője, illetve a rejtjelfelügyelő tevékenységének támogatása érdekében a rejtjeltevékenységtől
függően rejtjelező, vagy rejtjelező nyilvántartó beosztásokat kell kialakítani, vagy a feladatok ellátására alkalmas
személyt kell megbízni. Együttműködés és egyéb feladatok 7. § Az információvédelmi felügyeletet a titokvédelmi felügyelői, a biztonsági megbízotti, az elektronikusinformáció
védelmi felügyelői, az adatvédelmi felelősi, az iratkezelés felügyeletével megbízott vezetői, a rejtjelfelügyelői, és
végrehajtói szintű összehangolt tevékenységek útján kell végrehajtani. 8. § (1) Ha a honvédelmi szervezet alaprendeltetéséből adódóan egy másik honvédelmi szervezet számára ügyviteli
támogatást nyújt, vagy híradó, vagy informatikai üzemeltetési vagy üzemfelügyeleti feladatokat végez, a nyújtott
szolgáltatáson belül felelős az információvédelmi rendszabályok érvényesüléséért. (2) Az (1) bekezdés szerinti szolgáltatást nyújtó és alkalmazó honvédelmi szervezet az információvédelem hatékonysága
érdekében köteles együttműködni. 9. § Több honvédelmi szervezetet érintő elektronikus adatkezelő rendszerek biztonsági és üzemeltetési feladataiban
érintett szervezeti elem és személy az adatkezelő rendszerek biztonságos üzemeltetése érdekében közvetlenül
köteles együttműködni. 10. § A biztonsági funkcióval kapcsolatos felelősséget, hatáskört és feladatokat, valamint az információvédelmi beosztásra,
illetve megbízásra vonatkozó összeférhetetlenséget ezen utasítás illetve a honvédelmi szervezet Szervezeti és
Működési Szabályzatában és egyéb belső rendelkezésében vagy parancsában kell meghatározni.
Szakirányítási feladatok 11. § (1) Az információvédelmi feladatok szakirányítására jogosult állami vezető (a továbbiakban: szakirányításra jogosult)
felelős a) a honvédelmi szervezetek adatkezelő rendszerei védelmének jogszabályokon, a NATO, EU biztonságpolitikán,
nemzeti biztonsági stratégián, nemzeti katonai stratégián, valamint a támogató direktívákon és irányelveken
alapuló normatív rendelkezésekben történő kidolgozásáért; b) az információvédelmi tevékenység végrehajtásával kapcsolatban egyedi intézkedések kiadásáért, valamint
döntésért (vagy döntés-előkészítésért) a nem szabályozott kérdésekben; c) az információbiztonságra irányuló tevékenység szakirányításához szükséges információk kéréséért a honvédelmi
tárcán belül és azon kívüli szervezetektől, valamint az arra jogosult hatóságok, nemzeti, NATO-, EU- vagy egyéb
illetékes szervezetek tájékoztatásáért; d) az információvédelmi szaktevékenységekre vonatkozó szakmai képzés felügyeletéért és a képzési követelmények
meghatározásáért és a feltételek biztosításáért; e) az adatkezelő rendszereket érintő kérdésekben nemzeti hatóságokkal, kormányzati szervekkel, NATO-, EU- vagy
más nemzetközi biztonsági szervezettel való kapcsolattartásért, f) az információbiztonságot érintő jogszabályok, illetve az állami irányítás egyéb jogi eszközeinek
véleményezéséért, a honvédelmi tárca információbiztonságát érintő kérdésekben történő állásfoglalás
kiadásáért. (2) A szakirányításra jogosult az (1) bekezdésben meghatározott feladatait a Honvédelmi Minisztérium Szervezeti és
Működési Szabályzata szerint az információvédelmi feladatok szakmai felügyeletére kijelölt honvédelmi szervezet
(a továbbiakban: információvédelem szakmai felügyeletét ellátó honvédelmi szervezet) útján látja el.
A középszintű vezető szerv feladatai 12. § A középszintű vezető szerv vezetője szakmai felügyeletet gyakorol a vezetése alá tartozó honvédelmi szervezet adatok
védelmére vonatkozó feladatai, illetve iratkezelési tevékenysége felett. A honvédelmi szervezet információvédelmi feladatai
13. § (1) A honvédelmi szervezet információvédelmét – a helyi sajátosságoknak megfelelően – az információvédelem
megvalósításáért felelős személyek, valamint a hadműveleti biztosító tiszt összehangolt tevékenysége útján kell
megvalósítani. (2) Az információvédelmi szaktevékenységgel kapcsolatos, a honvédelmi szervezet személyi állományát, illetve más
természetes személyt terhelő kötelezettségeket munkaköri leírásokban, megbízási jogviszonyban álló személy esetén
megbízási szerződésben kell rögzíteni. (3) Ha a honvédelmi szervezetnél több elektronikus adatkezelő rendszer üzemel – a védelmi feladatok a helyi
sajátosságoknak megfelelően, az összeférhetetlenség vizsgálata után – összevonva is elláthatók.
(4) Az adatkezelő rendszer biztonságáért és az üzemeltetéséért felelős személyek elektronikus információvédelmi
feladatait rendszerspecifikus, illetve helyi biztonsági dokumentumokban kell meghatározni.
Az információvédelmi tevékenység szabályai 14. § (1) A honvédelmi szervezetekre vonatkozó információvédelmi tevékenységgel összefüggésben szabályozni kell a
honvédelmi tárca a) iratkezelési rendjét, b) titokvédelmi, biztonsági követelményeit,
c) elektronikus információvédelmét és d) rejtjeltevékenységének rendjét. (2) A honvédelmi szervezet vezetőjének, illetve a Honvédelmi Minisztérium vonatkozásában a szakirányításra jogosultnak
szabályozni kell a honvédelmi szervezet, illetve a Honvédelmi Minisztérium
a) iratkezelési tevékenységét, b) titokvédelmi, biztonsági követelményeit, c) rendszerspecifikus, illetve helyi biztonsággal összefüggő követelményeit,
d) adatvédelmének rendjét, e) elektronikus iratkezelési rendjét. Az adatok biztonsági osztályba sorolása
15. § (1) A honvédelmi szervezet vezetője, a Honvédelmi Minisztérium vonatkozásában a szakirányításra jogosult a
honvédelmi szervezetnél, illetve a Honvédelmi Minisztériumnál az adatokat, az adatok bizalmassága szerint
biztonsági osztályba kell sorolni. A biztonsági osztályba sorolás során figyelembe kell venni az adatvagyon méretét,
megjelenési formáját és a rendelkezésre állásra vonatkozó követelményeket, az adatokra és adatkezelő rendszerekre
irányuló fenyegetéseket és az általuk okozható kár mértékét, valamint a helyreállíthatóságot.
(2) Az adatokat a következő biztonsági osztályokba kell besorolni:
a) alap biztonsági osztályba kell sorolni a nem minősített adatot;
b) fokozott biztonsági osztályba kell sorolni a nem minősített nagy mennyiségű személyes adatot, a különleges
adatot, az üzleti adatot, a címtáradatot az üzemeltetési adatot a magasabb szintű biztonsági követelmények
alkalmazása érdekében; c) korlátozott terjesztésű biztonsági osztályba kell sorolni a jogszabály szerint „Korlátozott terjesztésű” minősítésű
adatot; d) bizalmas biztonsági osztályba kell sorolni a jogszabály szerint „Bizalmas” minősítésű adatot;
e) titkos adat biztonsági osztályba kell sorolni jogszabály szerint „Titkos” minősítésű adatot;
f) szigorúan titkos adat biztonsági osztályba kell sorolni jogszabály szerint „szigorúan titkos” minősítésű adatot.
(3) A fenyegetettség, vagy sebezhetőség alapján az adatok az (2) bekezdésben meghatározottnál magasabb biztonsági
osztályba sorolhatók. (4) A biztonsági osztályokon belül a kezelési jelölések érvényesítése érdekében elkülönített biztonsági csoportokat kell
kialakítani. A kockázatok kezelése 16. § (1) Az adatkezelő rendszerekre vonatkozó kockázatkezelést a nemzeti ajánlások szerint kell végrehajtani. A NATO, EU
adatkezelő rendszerei esetében a kockázatkezelés során a vonatkozó NATO-, EU-irányelveket is figyelembe kell venni.
(2) Adatkezelő rendszer létesítése esetén a kockázatelemzés és értékelés a hadműveleti vagy alkalmazói követelmények
alapján a műszaki követelményeket meghatározó honvédelmi szervezet feladata.
(3) Az adatkezelő rendszer kockázatelemzési, -értékelési, és folyamatos kockázatkezelési feladatainak végrehajtásáért az
adatkezelést végző honvédelmi szervezet vezetője a felelős. (4) A kockázatelemzést
a) minősített adatokat kezelő rendszer, több szervezet által közösen használt vagy üzemeltetett rendszer, MH-szintű
rendszer esetében kötelezően, b) egyéb adatkezelő rendszerek esetében a NATO, EU, nemzeti elektronikus adatkezelésre feljogosított rendszerek
felügyeletét ellátó hatóság, illetve az információvédelem szakmai felügyeletét ellátó honvédelmi szerv döntése
szerint kell végrehajtani. (5) A kockázatelemzés alapján szükségessé váló egyedi biztonsági követelményeket a rendszerspecifikus, illetve helyi
biztonsági dokumentumban kell meghatározni. (6) A kockázatelemzést az adatkezelő rendszer sajátosságainak, üzemeltetési környezetének figyelembevételével
kétévente legalább egy alkalommal végre kell hajtani. Új kockázati tényező megjelenésekor a kockázatelemzést soron
kívül el kell végezni. (7) A kockázatok felmérésére és a maradványkockázatok kimutatására – elemzésből és az elemzéstől független
ellenőrzésből álló – kétszintű eljárást kell alkalmazni. (8) A fenyegetéseket, sebezhetőséget és az előfordulási valószínűséget rendszerszintű, általános kockázatelemzés
esetében 1–5 közötti értékskála alkalmazásával, részletes vizsgálat esetén a használt módszertan szerinti szélesebb
értéksála alkalmazásával kell megjeleníteni. (9) A kockázatelemzés során meghatározott védelmi rendszabályokat, a maradványkockázatokat az adatkezelő rendszer
biztonságáért felelős honvédelmi szervezet vezetőjének jóvá kell hagynia, az adatkezelő rendszer akkreditálása
esetében jóváhagyás céljából az illetékes hatóságnak meg kell küldeni.
(10) A honvédelmi szervezet adatkezelésre vonatkozó kockázatelemzési adatai, a védelmi rendszabályok, valamint azok
hatékonyságára vonatkozó ellenőrzési adatok mint döntés megalapozását szolgáló adatok nem nyilvánosak.
(11) A kockázatelemzésre vonatkozó dokumentációt az adatkezelő rendszer biztonsági dokumentumaival együtt kell
kezelni. A fizikai és környezeti biztonság 17. § (1) Az adatkezelő rendszer fizikai védelmét a kezelt adat biztonsági osztályának megfelelően, a funkcionális
követelményekre épülő rendszabályok, valamint garantált minőségű technikai elemekből felépített biztonsági
rendszerek alkalmazásával kell biztosítani. (2) Az elektronikus adatkezelő rendszer üzemeltetése szempontjából kiemelt fontosságú elemeket, különösen a
szervereket, vonalrendezőket, távbeszélő kapcsolókat, rejtjelező eszközöket tartalmazó létesítményeket funkciójukkal
arányos, emelt szintű fizikai és üzemeltetésbiztonsági követelmények szerint kell kialakítani.
(3) Az adatkezelésre vonatkozó rendszabályokat az üzemeltetési környezet hőmérsékletre, páratartalomra,
elektromágneses sugárzási és a működést kritikusan befolyásoló tényezőinek figyelembevételével kell meghatározni.
(4) A minősített adatok rejtjelezéssel történő védelmét megvalósító eszközöket, anyagokat, valamint a speciális kezelési
jelöléssel ellátott minősített adatokat az egyéb rendszerelemektől, adatoktól el kell különíteni.
A személyi biztonság 18. § (1) Minősített adatot tartalmazó elektronikus adatkezelő rendszert az kezelhet, illetve üzemeltethet, továbbá minősített
adat megismerésére az jogosult, aki a) rendelkezik a minősítési szint szerinti nemzetbiztonsági ellenőrzéssel, illetve a személyi biztonsági
tanúsítvánnyal, b) titoktartási nyilatkozatot tesz, c) írásban nyilatkozik arról, hogy a hozzáférési jogosultság megszerzése előtt az alkalmazással és védelemmel
kapcsolatos rendszabályokat, eljárásrendet megismerte, és d) rendelkezik az elektronikus adatkezelő rendszer biztonságáért felelős honvédelmi szervezet vezetője által
engedélyezett hozzáférési jogosultsággal. (2) Kizárólag nyílt, illetve nem nyilvános információkat tartalmazó elektronikus adatkezelő rendszert az kezelhet, illetve
üzemeltethet, aki a) írásban nyilatkozik arról, hogy a hozzáférési jogosultság megszerzése előtt az alkalmazással és védelemmel
kapcsolatos rendszabályokat, eljárásrendet megismerte, és b) rendelkezik az elektronikus adatkezelő rendszer biztonságáért felelős honvédelmi szervezet vezetőjének
vonatkozó belső rendelkezésében meghatározott szintű vezető által engedélyezett hozzáférési jogosultsággal.
(3) Az elektronikus adatkezelő rendszer emelt szintű hozzáférési jogosultságára vonatkozó személyi biztonsági
követelményeket – a nemzetbiztonsági ellenőrzés szintjéről szóló jogszabályokkal összhangban – a rendszer
biztonságáért felelős szervezet vezetője rendszerspecifikusan határozza meg. (4) Az (1)–(2) bekezdésekben foglalt feltételek teljesítése esetén a hozzáférési jogosultság csak a munkakör tényleges
ellátásának idejére, vagy az adatkezelést igénylő feladat idejére rendelhető a feljogosított személyhez.
(5) A munkakör ellátásának szüneteltetésekor a hozzáférési jogosultságot fel kell függeszteni.
(6) Az (1)–(2) bekezdésekben foglalt feltételek hiányában a hozzáférési jogosultságot meg kell szüntetni.
19. § (1) A honvédelmi szervezet vezetője rendkívüli állapot idején, a 18. § (1)–(2) bekezdésében előírt feltételek fennállásának
hiányában rendkívüli hozzáférési jogosultságot engedélyezhet annak a személynek, akiről megalapozottan
feltételezhető, hogy személyével kapcsolatban biztonsági kockázati tényező nem áll fenn.
(2) A rendkívüli hozzáférés alapján megismert minősített adatokról jegyzőkönyvet kell készíteni. A szükséges biztonsági
bevizsgálást az első lehetséges időpontban pótlólag le kell folytatni és a titoktartási nyilatkozatot ki kell töltetni.
20. § (1) Az elektronikus adatkezelő rendszer üzemeltetésével, fejlesztésével, karbantartásával, biztonsági felügyeletével és
ellenőrzésével kapcsolatos hozzáférési jogosultságokat, valamint a felhasználói jogosultságokat az adatkezeléssel
kapcsolatos visszaélések megelőzése érdekében el kell különíteni. (2) Az elektronikus adatkezelő rendszerrel kapcsolatos üzemeltetési és a biztonsági funkciókat ugyanaz a személy nem
láthatja el. (3) Az adatok és adatkezelő rendszerek védelmi szakfeladatait végző személyek távolléte esetén a feladatok ellátására
olyan személyt kell kijelölni, aki az előírt személyi biztonsági követelményeknek megfelel.
(4) Az elektronikus adatkezelő rendszer üzemeltetése szempontjából kiemelt fontosságú beosztás, munkakört,
megbízást az elektronikus adatkezelő rendszert üzemeltető, vagy alkalmazó honvédelmi szervezet állományába
tartozó személy láthat el. (5) Ha az elektronikus adatkezelő rendszer üzemeltetéséhez a honvédelmi tárcán kívüli szervezet bevonása szükséges, a
kiegészítő védelmi rendszabályokat a rendszer üzemeltetéséért felelős honvédelmi szervezet vezetője és az
információvédelem szakmai felügyeletét ellátó honvédelmi szervezet vezetője együttesen határozza meg.
(6) A honvédelmi tárcán kívüli szervezetek állományába tartozó személyek elektronikus adatkezelő rendszerhez, illetve
adathoz történő hozzáférés engedélyezése esetén a védelmi rendszabályokat az elektronikus adatkezelő
rendszerekért, illetve kezelt adatokért felelős honvédelmi szervezet vezetője határozza meg.
A dokumentum biztonság 21. § (1) Az adatkezelő rendszer által kezelt adatoknak, iratoknak az adat-, iratkezelés minden fázisában – papíralapú és gépi
adathordozó esetében egyaránt –biztosítani kell a biztonsági osztályba sorolásra vonatkozó védelmet.
(2) Az adattárolásra csak az arra kijelölt adathordozón kerülhet sor. Az adat adathordozóra történő felírására csak az
adathordozó funkcionális működőképességének ellenőrzése, vírusvédelmi ellenőrzése, nyilvántartásba vétele, és a
kezelési jelzések feltüntetése után kerülhet sor. (3) Adatok törlését, adathordozók újrafelhasználását, vagy minősített adatok tárolására történő feljogosítás szintjének
megváltoztatását, illetve adathordozók selejtezését, megsemmisítését a vonatkozó jogszabályok alapján, a tárolt adat
biztonsági osztályának figyelembevételével kell végrehajtani. Elektronikus információbiztonság 22. § (1) A kezelt elektronikus adatokkal és adatkezelő rendszerekkel kapcsolatos biztonsági célkitűzéseket a számítógép
és hálózati biztonság, a hálózatok biztonságos összekapcsolása, a rejtjelbiztonság, az átviteli biztonság, és a
kompromittáló kisugárzás elleni védelem, valamint a rendszerspecifikus fizikai, személyi és dokumentum védelmi
rendszabályok kiegyensúlyozott alkalmazásával kell megvalósítani. (2) Az adatkezelő rendszerrel összefüggésben a kockázatkezelést, a védelmi rendszabályok jóváhagyását, a biztonsági
tesztelést, akkreditálást vagy jóváhagyást, az elektronikus adatkezelő rendszerrel kapcsolatos változások kezelését, a
biztonsági dokumentumok naprakészen tartását, a védelmi rendszabályok időszakos felülvizsgálatát, az adatok és
adatkezelő képességek ellenőrzését a rendszer teljes életciklusa során végezni kell, majd a rendszerből történő
kivonáskor is alkalmazni kell a biztonsági osztály szerinti védelmi rendszabályokat.
(3) Az elektronikus adatok bizalmasságát, sértetlenségét és rendelkezésre állását, valamint az adatkezelő szolgáltatások
és erőforrások sértetlenségét és rendelkezésre állását minimum védelmi rendszabályokkal kell biztosítani.
Elektronikus adatkezelő rendszerben nem lehet az engedélyezettnél magasabb biztonsági osztályú adatot kezelni.
(4) Ha a kockázatelemzés során a kezelt adatok, az adatkezelő szolgáltatások, illetve erőforrások fokozott fenyegetettsége
vagy sebezhetősége állapítható meg, kiegészítő védelmi rendszabályokat kell alkalmazni.
(5) NATO, EU és két- vagy többoldalú nemzetközi kötelezettségvállaláson alapuló minősített adatokat kezelő rendszerek
adatkezelésre történő feljogosítása az illetékes hatóság jóváhagyása vagy akkreditálása alapján történik. A nemzeti
minősített adatokat kezelő rendszereknek meg kell felelnie a minősített adathordozó őrzése érdekében a
jogszabályokban rögzített követelményeknek. (6) A nem kívánt események megelőzését, észlelését, bizonyítékok gyűjtését és a helyreállítási feladatok végrehajtását,
valamint a biztonsági incidensek jelentésének és kezelésének rendjét az elektronikus adatok, adatkezelő rendszerek
szolgáltatásainak és erőforrásainak bizalmassága, sértetlensége és rendelkezésre állása érdekében kialakított
mechanizmusokkal és eljárásokkal kell biztosítani. (7) Elektronikus adatkezelés esetén a megfelelő logikai elkülönítést biztosító eljárás hiányában az adat illetéktelen
megismerésének elkerülése érdekében fizikai elkülönítést kell alkalmazni. (8) Bizalmas vagy magasabb minősítésű elektronikus adatok kezelése esetén kompromittáló kisugárzás elleni védelmi
rendszabályokat kell alkalmazni. (9) Az elektronikus adatkezelő rendszerekben alkalmazott átviteli eljárásokat és biztonsági mechanizmusokat a kezelt
adatok bizalmasságára, sértetlenségére és rendelkezésre állására vonatkozó követelmények szerint kell kialakítani.
(10) A nemzeti, NATO és EU elektronikus adatok és elektronikus adatkezelő rendszerek védelmét elsősorban azonos
eljárásokkal, eszközökkel kell megvalósítani. (11) Az elektronikus adatkezelő rendszer védelmi rendszabályainak kialakításához, fenntartásához és ellenőrzéséhez,
rendszerből történő kivonásához szükséges technikai eljárásokat (például: ellenőrző mérések, tesztek) a megfelelő
képességekkel rendelkező honvédelmi szervezettel kell végrehajtatni. Megfelelő képességekkel rendelkező
honvédelmi szervezet hiányában az egyes technikai eljárások lefolytatására az illetékes hatóság által akkreditált,
engedélyezett szervezetet kell felhatalmazni. Záró rendelkezések 23. § (1) Ez az utasítás 2010. január 1-jén lép hatályba, ezzel egyidejűleg hatályát veszti az elektronikus információvédelemről
szóló 33/2002. (HK 13.) HM utasítás és az egyes HM utasítások módosításáról és hatályon kívül helyezéséről szóló
45/2007. (HK 10.) HM utasítás 42. §-a. (2) Ezen utasítás hatálybalépését követően létesített nemzeti minősített elektronikus adatkezelő rendszerek esetében a
kompromittáló kisugárzás elleni védelmi rendszabályokat a NATO-követelmények alapján kell meghatározni.
Budapest, 2009. november 19. Dr. Szekeres Imre s. k.,
honvédelmi miniszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.