📄 Jogszabály szövege
15/2017. (IV. 28.) HM utasítása a honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóság és a honvédelmi ágazati elektronikus információbiztonsági eseménykezelő központ feladatainak végrehajtásáról, valamint a sérülékenységvizsgálat lefolytatásának szabályairól.
A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja és a honvédelemről és a Magyar Honvédségről, valamint
a különleges jogrendben bevezethető intézkedésekről szóló 2011. évi CXIII. törvény egyes rendelkezéseinek végrehajtásáról szóló
290/2011. (XII. 22.) Korm. rendelet 2. § (5) bekezdése alapján a következő utasítást adom ki:
1. Általános rendelkezések 1. § Az utasítás hatálya a Honvédelmi Minisztériumra (a továbbiakban: HM), a miniszter közvetlen alárendeltségébe
tartozó szervezetekre, a Katonai Nemzetbiztonsági Szolgálatra (a továbbiakban: KNBSZ), a miniszter tulajdonosi
joggyakorlása alatt álló gazdasági társaságokra, valamint a Magyar Honvédség (a továbbiakban: MH) hadrendje
szerinti katonai szervezetekre (a továbbiakban együtt: honvédelmi szervezetek) terjed ki.
2. § Az utasítás alkalmazásában:
1. biztonsági események kezeléséhez szükséges műszaki vizsgálat: a honvédelmi célú elektronikus információs
rendszerek biztonsági eseményeihez köthető műszaki, technikai adatok, rendszerelemek honvédelmi ágazati
elektronikus információbiztonsági eseménykezelő központ (a továbbiakban: HÁEIBEK) által irányított elemzése
az események megértése és az ismételt bekövetkezésük elhárítását célzó védelmi rendszabály kialakítása
érdekében,
2. érintett honvédelmi szervezet: a hatósági eljárásban, a sérülékenységvizsgálatban vagy az eseménykezelésben
érintett, honvédelmi célú elektronikus információs rendszert működtető honvédelmi szervezet,
3. hatóság: az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint
az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs
rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet (a továbbiakban: Kr.1.) 15. §
(2) bekezdésében és 24. § (1) bekezdésében meghatározott, a honvédelmi célú elektronikus információs
rendszerek biztonsági felügyeletét ellátó hatóság,
4. honvédelmi ágazati eseménykezelő központ: a kormányzati eseménykezelő központ és az eseménykezelő
központok feladat- és hatásköréről, valamint a biztonsági események kezelésének, a biztonsági események
műszaki vizsgálatának és a sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.)
Korm. rendelet (a továbbiakban: Kr.2.) 6. § (1) bekezdésében meghatározott központi feladatokat ellátó
HÁEIBEK,
5. vészhelyzeti értesítési eljárás: a sérülékenységvizsgálat végrehajtásakor alkalmazott, a vizsgálatot végző és
az érintett szervezet közötti egyedi kapcsolattartás, melynek célja a honvédelmi célú elektronikus információs
rendszer üzemeltetésével vagy biztonságával kapcsolatos vizsgálat alatt bekövetkező rendellenességek
megakadályozásához vagy megszüntetéséhez szükséges kommunikáció biztosítása.
2. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyelete során ellátandó
hatósági feladatokra, az eseménykezelésre és a sérülékenységvizsgálatra vonatkozó közös szabályok
3. § (1) A KNBSZ hatósági döntés-előkészítő feladatokat ellátó szakmai szervezeti egysége és a HÁEIBEK feladatait az érintett
honvédelmi szervezetek felé közvetlenül hajtja végre. A KNBSZ hatósági döntés-előkészítő feladatokat ellátó szakmai
szervezeti egysége és a HÁEIBEK az elektronikus információvédelem szakmai irányításáért felelős HM szervet a szakmai
alárendeltségébe tartozó érintett honvédelmi szervezettel kapcsolatos eljárásáról egyidejűleg értesíti.
(2) Hatósági ellenőrzéskor vagy sérülékenységvizsgálat végrehajtása során a honvédelmi célú elektronikus rendszer
utolsó vizsgálati eredményeit és a végrehajtott intézkedéseket át kell tekinteni.
(3) A hatóság és a HÁEIBEK nyilvántartásainak vezetése során az adatok kezelése az érintett honvédelmi szervezetek és
eseménykezelő központok felelősségi köréhez igazodva elkülönítve történik.
3. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyelete során ellátandó
hatósági feladatok
4. § (1) A honvédelmi célú elektronikus információs rendszerek felügyeletét ellátó hatóság Kr.1. szerinti eljárásával és
feladataival összefüggő döntés-előkészítő tevékenységet a KNBSZ kijelölt szakmai szervezeti egysége végzi,
a hatósági döntések meghozatala kizárólag a KNBSZ főigazgatójának hatáskörébe tartozik.
(2) A honvédelmi célú elektronikus információs rendszerek éves ellenőrzési feladatainak tervezését és végrehajtását
a hatóság lehetőség szerint az elektronikus információvédelmi szakmai irányításért felelős HM szerv ellenőrzéseinek
figyelembevételével végzi.
(3) Az éves ellenőrzési tervben foglalt ellenőrzéseken felül a honvédelmi miniszter eseti ellenőrzést is elrendelhet.
(4) A hatóság a biztonsági események kivizsgálása, ellenőrzés vagy visszaellenőrzés során feladatokat határozhat meg,
ajánlásokat tehet az elektronikus információvédelmi szakmai irányításért felelős HM szerv, az érintett honvédelmi
szervezet biztonsági vagy üzemeltető állománya, valamint a biztonsági események kivizsgálásában részt vevő
személyek részére.
(5) A hatóság nyilvántartást vezet a honvédelmi célú elektronikus információs rendszerekről, az üzemeltetésért és
biztonságért felelős honvédelmi szervezetekről és személyekről, az együttműködő nemzeti hatóságokról,
eseménykezelő központokról, külföldi eseménykezelő vagy kibervédelmi szakmai szervezetekről és elérhetőségi
adataikról, változások esetén az érintett együttműködőket tájékoztatja.
(6) A hatóság a honvédelmi célú elektronikus információs rendszerek működése során keletkezett, a biztonsági osztályhoz
tartozó védelmi rendszabályok hatékonyságának vizsgálata érdekében szakmai alárendeltségébe tartozó érintett
honvédelmi szervezet esetén az elektronikus információvédelmi szakmai irányításért felelős HM szervtől összesített
vagy az érintett honvédelmi szervezetektől rendszerenként elkülönített adatokat kérhet.
(7) A hatóság a Kr.1. szerinti hatósággal, a Kr.1.-ben kijelölt további hatóságokkal, a Kr.2. szerinti kormányzati
eseménykezelő központtal, az ágazati elektronikus információbiztonsági eseménykezelő központokkal, a nemzeti
vagy nemzetközi eseménykezelő szervezetekkel együttműködve látja el a központi kapcsolattartó feladatokat,
nyilvántartja a honvédelmi célú elektronikus információs rendszereket üzemeltető honvédelmi szervezetek
eseménykezeléssel kapcsolatos külső kapcsolattartását.
(8) A hatóság a HÁEIBEK-kel és az elektronikus információvédelmi szakmai irányításért felelős HM szervvel együttműködve
ellátja a nemzetközi, nemzeti vagy ágazati kibervédelmi gyakorlatok ágazati kapcsolattartói feladatait, tervezi,
szervezi és koordinálja a honvédelmi szervezetek részvételét, meghatározza azok szakmai feladatait.
(9) A hatóság a honvédelmi célú elektronikus információs rendszerekkel kapcsolatos hatósági feladatok ellátása,
a biztonsági események kezeléséhez szükséges műszaki vizsgálat vagy sérülékenységvizsgálat elrendelése során
együttműködik különösen a HÁEIBEK-kel, a nemzeti hatóságokkal és eseménykezelő szervezetekkel, az érintett
honvédelmi szervezet biztonsági vagy üzemeltető állományával, valamint a biztonsági események kivizsgálásával
megbízott személlyel.
(10) Az európai uniós támogatásból, központi költségvetési támogatásból megvalósuló honvédelmi célú elektronikus
információs rendszerek elektronikus információbiztonságával kapcsolatos fejlesztési projektek esetén a projekt
vezetője a biztonsági követelmények megvalósulásának ellenőrzése érdekében a projekt tervezési szakaszának
lezárulása előtt legalább 30 nappal véleménykérés céljából megkeresi a hatóságot. A hatóság észrevételeit, kifogásait
a projektterv véglegesítése során figyelembe kell venni.
4. A honvédelmi ágazati eseménykezelés feladatai 5. § (1) A KNBSZ a honvédelmi célú elektronikus információs rendszerek elektronikus információbiztonságának támogatása,
a rendszerek működése során bekövetkező biztonsági események ágazati szintű kezelése, a sérülékenységvizsgálatok
végrehajtása és a fenyegetettségek kezelése érdekében HÁEIBEK-et működtet.
(2) A honvédelmi ágazati szintű eseménykezelés biztosításáért a védelemigazgatás elektronikus információs
rendszerének működtetését felügyelő szervezeti egység az üzemeltető eseménykezeléssel kapcsolatos
tevékenységéről való tájékoztatás érdekében biztonsági eseménykezelő koordinációt biztosít a HÁEIBEK felé. Az MH
kijelölt központi katonai szervezete, valamint a KNBSZ az üzemelő honvédelmi célú elektronikus információs
rendszerek sajátosságai szerint kialakított elektronikus eseménykezelő központokat működtetnek.
(3) A (2) bekezdés szerinti koordináció és az eseménykezelő központok működése a HÁEIBEK szakmai felügyeletével
történik. A működés szakmai követelményeinek meghatározásáért, a jelentési és információáramlási rendszer
kialakításáért a KNBSZ kijelölt szakmai szervezeti egysége a felelős.
(4) A HÁEIBEK az együttműködő szervezetektől kapott információk vagy bejelentések alapján szerzett honvédelmi célú
elektronikus információs rendszereket érintő biztonsági eseményekről, sérülékenységekről és fenyegetésekről szóló
információk elemzése után az érintett eseménykezelő szervezetet, szükség esetén az érintett honvédelmi szervezetet
haladéktalanul értesíti.
(5) A honvédelmi célú elektronikus információs rendszereknél bekövetkezett biztonsági eseményt, az azzal kapcsolatos
információkat az érintett honvédelmi szervezetek a HÁEIBEK felé a meghatározott eljárásrendnek megfelelően
közvetlenül vagy az illetékes eseménykezelő központok útján haladéktalanul továbbítják.
(6) A HÁEIBEK a honvédelmi célú elektronikus információs rendszereket érintő biztonsági eseményekről, a megtett
intézkedésekről és az intézkedések eredményeiről nyilvántartást vezet.
(7) A HÁEIBEK az eseménykezelés során tájékoztatja a hatóságot az érintett honvédelmi célú elektronikus információs
rendszer biztonságát érintő változásról.
(8) A honvédelmi célú elektronikus információs rendszereket ért biztonsági események kezelése érdekében a HÁEIBEK
műszaki vizsgálatot rendelhet el vagy műszaki vizsgálatot folytathat.
(9) A műszaki vizsgálathoz szükséges adatokat az érintett honvédelmi szervezet – amennyiben van, az illetékes
elektronikus eseménykezelő központ útján – haladéktalanul a HÁEIBEK rendelkezésére bocsátja. Amennyiben
az adatok átadása nem megvalósítható, az érintett honvédelmi szervezet biztosítja az adatokhoz történő hozzáférést.
(10) A HÁEIBEK – a hatóság egyidejű tájékoztatása mellett – a biztonsági esemény által okozott kár elhárítására vagy
enyhítésére szakmai feladatot határoz meg – amennyiben van, az illetékes elektronikus eseménykezelő központ
útján – az érintett honvédelmi szervezet felé.
(11) A kormányzati, illetve együttműködő külső eseménykezelő központ vagy hatóság, együttműködő nemzeti vagy
külföldi szervezet, eseménykezelő központ számára intézkedést igénylő biztonsági esemény esetén az érintett
szervezetet a HÁEIBEK haladéktalanul értesíti.
(12) A HÁEIBEK a hatósággal együttműködve szükség szerint az elektronikus információbiztonsággal kapcsolatos
ajánlásokat, tájékoztatásokat ad ki, ezzel összefüggő képzéseket, tájékoztatókat, megbeszéléseket szervez,
a tapasztalatok alapján a Kr.2. szerinti kormányzati eseménykezelő központot és a Kr.1. szerinti hatóságot,
az együttműködő szervezeteket a rájuk vonatkozó mértékben tájékoztatja.
(13) A nemzetközi, nemzeti és honvédelmi ágazati kibervédelmi gyakorlatok során a HÁEIBEK irányítja az eseménykezelő
és kapcsolattartási folyamatokat, támogatja a honvédelmi szervezetek eseménykezelő tevékenységét. A HÁEIBEK-nél
és az érintett honvédelmi szervezeteknél a kibervédelmi gyakorlatokkal kapcsolatos adatok kezelése a biztonsági
eseménykezelési ügyektől elkülönítetten történik.
(14) A HÁEIBEK elkülönítve, a vizsgálati eredmények alapján meghatározott ideig tárolja az általa vizsgált rendszerek
sérülékenységvizsgálati terveit, jegyzőkönyveit és a csatolt adatokat.
(15) A HÁEIBEK a vizsgálati eredményeket bizalmasan kezeli, az eljáráshoz közvetlenül nem kapcsolódó dokumentumokban
csak az adatgazda engedélyével szerepeltethet a vizsgált szervezeti egység azonosítására alkalmas adatokat.
(16) A honvédelmi szervezetek vezetői az alárendeltségükbe tartozó honvédelmi szervezeti eseménykezelő központ és
az elektronikus eseménykezeléssel megbízott személyek feladatellátásának részletes szabályait jelen utasítással
összhangban belső rendelkezésben szabályozzák.
5. A honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálata
6. § (1) A hatóság által elrendelt honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálatát a HÁEIBEK
végzi, együttműködésben a honvédelmi szervezeteknél működő eseménykezelő központokkal, valamint illetékességi
körén belül az elektronikus információvédelmi szakmai irányításért felelős HM szervvel.
(2) A sérülékenységvizsgálat elrendelése történhet különösen:
a) biztonsági eseményt követő vizsgálat után,
b) a hatóság éves terve alapján,
c) jelentős biztonsági kockázattal járó teszt, javítás vagy karbantartás hatékonyságának ellenőrzése érdekében,
d) a rendszer biztonsági osztályának változása esetén,
e) a biztonsági módszerek, eljárások változása esetén vagy
f ) az elektronikus információbiztonságért felelős szervezet vagy személy igénye alapján.
(3) A HÁEIBEK az egységes dokumentáltság érdekében általános sérülékenységvizsgálati módszertant alakít ki.
A sérülékenységvizsgálat végrehajtása a módszertan alapján készített egyedi sérülékenységvizsgálati terv alapján
történik. A sérülékenységvizsgálati terv kialakítása és a vizsgálatra történő felkészülés érdekében a HÁEIBEK az érintett
honvédelmi szervezet vezetőjétől adatokat kérhet be.
(4) A sérülékenységvizsgálat szempontjából érintett honvédelmi szervezet vezetője a vizsgálat elrendelése után
megkapja a sérülékenységvizsgálati terv kivonatát.
(5) A sérülékenységvizsgálat végrehajtása során a vizsgálatot végző állomány a tevékenységet dokumentálja, figyeli
a jogszabály által védett adat biztonságának sérülésére utaló jeleket, szükség esetén vészhelyzeti értesítési eljárást
alkalmaz. A vizsgálat befejezését követően a HÁEIBEK a vizsgálati tapasztalatokról tájékoztatja az érintett honvédelmi
szervezet vezetőjét.
(6) A sérülékenységvizsgálat nem kezdhető meg, vagy azt azonnal le kell állítani vagy szüneteltetni kell, ha
a) az érintett honvédelmi szervezet olyan feladat végrehajtását kezdi meg, melynek eredményességét kritikusan
befolyásolhatja a vizsgált elektronikus információs rendszer kiesése,
b) a HÁEIBEK más kiemelt fontosságú feladatot kap,
c) készenlétfokozás, válságkezelési vagy terrorfokozat elrendelése történt, vagy
d) a vizsgálat minősített adat vagy más, jogszabály által védett adat biztonságának sérülésére utaló jelet talált.
(7) A (6) bekezdés d) pontja esetén a vészhelyzeti értesítési eljárásnak megfelelően az érintett honvédelmi szervezet
biztonsági vezetője vagy az adat védelméért felelős személy értesítést kap a biztonsági eseményről. A biztonsági
vezető vagy az adat védelméért felelős személy tájékoztatja a hatáskörrel rendelkező hatóságot, rendszerspecifikus
védelmi rendszabályok meghatározásával elrendeli a működési rend helyreállítását, a károk csökkentéséhez szükséges
lépések megtételét.
(8) A (6) bekezdés szerinti esetben a vizsgálati dokumentumokban rögzíteni kell a vizsgálat leállításának vagy
szüneteltetésének tényét. A HÁEIBEK az érintett honvédelmi szervezet felé tájékoztatást ad a vizsgálat
továbbfolytatásának rendjéről.
(9) A sérülékenységvizsgálat során keletkezett elektronikus adatokat, dokumentumokat a HÁEIBEK a vizsgálatokhoz
rendelve, elkülönítetten tárolja. Az adatok a feltárt hiányosságok megszüntetéséig nem törölhetők.
(10) A sérülékenységvizsgálat végrehajtásáról jegyzőkönyv készül, amelynek kivonatát az érintett szervezet megkapja.
A HÁEIBEK által megküldött kivonatnak a tapasztalt biztonsági helyzet értékelése mellett tartalmaznia kell:
a) a hiányosságok helyreállítását célzó feladatokat, javaslatokat, végrehajtási határidőket,
b) a biztonsági szint növelését célzó javaslatokat, lehetőségeket és
c) szükség esetén a visszaellenőrzésre vonatkozó információkat.
(11) Az érintett honvédelmi szervezet intézkedési tervet készít a feltárt hiányosságok felszámolása érdekében. Az érintett
honvédelmi szervezet a hiányosságok felszámolásáról tájékoztatja a HÁEIBEK-et.
(12) A feltárt hiányosságok felszámolásáról, valamint a visszaellenőrzésről szóló dokumentumokat a HÁEIBEK-nél
a vizsgálati anyagokhoz csatolva kell tárolni. Visszaellenőrzés során csak az érintett honvédelmi szervezet kérése
alapján vagy az időközben bekövetkezett biztonsági esemény észlelése esetén tűzhető ki új vizsgálati cél.
6. Záró rendelkezések 7. § Ez az utasítás a közzétételét követő napon lép hatályba.
Dr. Simicskó István s. k.,
honvédelmi miniszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.