← Magyarország

15/2017. (IV. 28.) HM utasítása a honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóság és a honvédelmi ágazati e

Röviden

Ez az utasítás a honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét, az eseménykezelést és a sérülékenységvizsgálatot szabályozza. Célja a honvédelmi rendszerek biztonságának fenntartása és a biztonsági események kezelése.

Amit szabályoz

Akiket érint

Kulcsfontosságú pontok

📄 Jogszabály szövege
15/2017. (IV. 28.) HM utasítása a honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóság és a honvédelmi ágazati elektronikus információbiztonsági eseménykezelő központ feladatainak végrehajtásáról, valamint a sérülékenységvizsgálat lefolytatásának szabályairól. A jogalkotásról szóló 2010. évi CXXX. törvény 23. § (4) bekezdés c) pontja és a honvédelemről és a Magyar Honvédségről, valamint a különleges jogrendben bevezethető intézkedésekről szóló 2011. évi CXIII. törvény egyes rendelkezéseinek végrehajtásáról szóló 290/2011. (XII. 22.) Korm. rendelet 2. § (5) bekezdése alapján a következő utasítást adom ki: 1. Általános rendelkezések 1. § Az utasítás hatálya a  Honvédelmi Minisztériumra (a továbbiakban: HM), a  miniszter közvetlen alárendeltségébe tartozó szervezetekre, a  Katonai Nemzetbiztonsági Szolgálatra (a továbbiakban: KNBSZ), a  miniszter tulajdonosi joggyakorlása alatt álló gazdasági társaságokra, valamint a  Magyar Honvédség (a továbbiakban: MH) hadrendje szerinti katonai szervezetekre (a továbbiakban együtt: honvédelmi szervezetek) terjed ki. 2. § Az utasítás alkalmazásában: 1. biztonsági események kezeléséhez szükséges műszaki vizsgálat: a  honvédelmi célú elektronikus információs rendszerek biztonsági eseményeihez köthető műszaki, technikai adatok, rendszerelemek honvédelmi ágazati elektronikus információbiztonsági eseménykezelő központ (a továbbiakban: HÁEIBEK) által irányított elemzése az  események megértése és az  ismételt bekövetkezésük elhárítását célzó védelmi rendszabály kialakítása érdekében, 2. érintett honvédelmi szervezet: a hatósági eljárásban, a sérülékenységvizsgálatban vagy az eseménykezelésben érintett, honvédelmi célú elektronikus információs rendszert működtető honvédelmi szervezet, 3. hatóság: az  elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az  információbiztonsági felügyelő feladat- és hatásköréről, továbbá a  zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet (a továbbiakban: Kr.1.) 15.  § (2)  bekezdésében és 24.  § (1)  bekezdésében meghatározott, a  honvédelmi célú elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóság, 4. honvédelmi ágazati eseménykezelő központ: a  kormányzati eseménykezelő központ és az  eseménykezelő központok feladat- és hatásköréről, valamint a  biztonsági események kezelésének, a  biztonsági események műszaki vizsgálatának és a  sérülékenységvizsgálat lefolytatásának szabályairól szóló 185/2015. (VII. 13.) Korm.  rendelet (a továbbiakban: Kr.2.) 6.  § (1)  bekezdésében meghatározott központi feladatokat ellátó HÁEIBEK, 5. vészhelyzeti értesítési eljárás: a  sérülékenységvizsgálat végrehajtásakor alkalmazott, a  vizsgálatot végző és az érintett szervezet közötti egyedi kapcsolattartás, melynek célja a honvédelmi célú elektronikus információs rendszer üzemeltetésével vagy biztonságával kapcsolatos vizsgálat alatt bekövetkező rendellenességek megakadályozásához vagy megszüntetéséhez szükséges kommunikáció biztosítása. 2. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyelete során ellátandó hatósági feladatokra, az eseménykezelésre és a sérülékenységvizsgálatra vonatkozó közös szabályok 3. § (1) A KNBSZ hatósági döntés-előkészítő feladatokat ellátó szakmai szervezeti egysége és a HÁEIBEK feladatait az érintett honvédelmi szervezetek felé közvetlenül hajtja végre. A KNBSZ hatósági döntés-előkészítő feladatokat ellátó szakmai szervezeti egysége és a HÁEIBEK az elektronikus információvédelem szakmai irányításáért felelős HM szervet a szakmai alárendeltségébe tartozó érintett honvédelmi szervezettel kapcsolatos eljárásáról egyidejűleg értesíti. (2) Hatósági ellenőrzéskor vagy sérülékenységvizsgálat végrehajtása során a  honvédelmi célú elektronikus rendszer utolsó vizsgálati eredményeit és a végrehajtott intézkedéseket át kell tekinteni. (3) A hatóság és a HÁEIBEK nyilvántartásainak vezetése során az adatok kezelése az érintett honvédelmi szervezetek és eseménykezelő központok felelősségi köréhez igazodva elkülönítve történik. 3. A honvédelmi célú elektronikus információs rendszerek biztonsági felügyelete során ellátandó hatósági feladatok 4. § (1) A  honvédelmi célú elektronikus információs rendszerek felügyeletét ellátó hatóság Kr.1. szerinti eljárásával és feladataival összefüggő döntés-előkészítő tevékenységet a  KNBSZ kijelölt szakmai szervezeti egysége végzi, a hatósági döntések meghozatala kizárólag a KNBSZ főigazgatójának hatáskörébe tartozik. (2) A  honvédelmi célú elektronikus információs rendszerek éves ellenőrzési feladatainak tervezését és végrehajtását a hatóság lehetőség szerint az elektronikus információvédelmi szakmai irányításért felelős HM szerv ellenőrzéseinek figyelembevételével végzi. (3) Az éves ellenőrzési tervben foglalt ellenőrzéseken felül a honvédelmi miniszter eseti ellenőrzést is elrendelhet. (4) A hatóság a biztonsági események kivizsgálása, ellenőrzés vagy visszaellenőrzés során feladatokat határozhat meg, ajánlásokat tehet az  elektronikus információvédelmi szakmai irányításért felelős HM szerv, az  érintett honvédelmi szervezet biztonsági vagy üzemeltető állománya, valamint a  biztonsági események kivizsgálásában részt vevő személyek részére. (5) A  hatóság nyilvántartást vezet a  honvédelmi célú elektronikus információs rendszerekről, az  üzemeltetésért és biztonságért felelős honvédelmi szervezetekről és személyekről, az  együttműködő nemzeti hatóságokról, eseménykezelő központokról, külföldi eseménykezelő vagy kibervédelmi szakmai szervezetekről és elérhetőségi adataikról, változások esetén az érintett együttműködőket tájékoztatja. (6) A hatóság a honvédelmi célú elektronikus információs rendszerek működése során keletkezett, a biztonsági osztályhoz tartozó védelmi rendszabályok hatékonyságának vizsgálata érdekében szakmai alárendeltségébe tartozó érintett honvédelmi szervezet esetén az elektronikus információvédelmi szakmai irányításért felelős HM szervtől összesített vagy az érintett honvédelmi szervezetektől rendszerenként elkülönített adatokat kérhet. (7) A  hatóság a  Kr.1. szerinti hatósággal, a  Kr.1.-ben kijelölt további hatóságokkal, a  Kr.2. szerinti kormányzati eseménykezelő központtal, az  ágazati elektronikus információbiztonsági eseménykezelő központokkal, a  nemzeti vagy nemzetközi eseménykezelő szervezetekkel együttműködve látja el a  központi kapcsolattartó feladatokat, nyilvántartja a  honvédelmi célú elektronikus információs rendszereket üzemeltető honvédelmi szervezetek eseménykezeléssel kapcsolatos külső kapcsolattartását. (8) A hatóság a HÁEIBEK-kel és az elektronikus információvédelmi szakmai irányításért felelős HM szervvel együttműködve ellátja a  nemzetközi, nemzeti vagy ágazati kibervédelmi gyakorlatok ágazati kapcsolattartói feladatait, tervezi, szervezi és koordinálja a honvédelmi szervezetek részvételét, meghatározza azok szakmai feladatait. (9) A  hatóság a  honvédelmi célú elektronikus információs rendszerekkel kapcsolatos hatósági feladatok ellátása, a  biztonsági események kezeléséhez szükséges műszaki vizsgálat vagy sérülékenységvizsgálat elrendelése során együttműködik különösen a  HÁEIBEK-kel, a  nemzeti hatóságokkal és eseménykezelő szervezetekkel, az  érintett honvédelmi szervezet biztonsági vagy üzemeltető állományával, valamint a  biztonsági események kivizsgálásával megbízott személlyel. (10) Az  európai uniós támogatásból, központi költségvetési támogatásból megvalósuló honvédelmi célú elektronikus információs rendszerek elektronikus információbiztonságával kapcsolatos fejlesztési projektek esetén a  projekt vezetője a  biztonsági követelmények megvalósulásának ellenőrzése érdekében a  projekt tervezési szakaszának lezárulása előtt legalább 30 nappal véleménykérés céljából megkeresi a hatóságot. A hatóság észrevételeit, kifogásait a projektterv véglegesítése során figyelembe kell venni. 4. A honvédelmi ágazati eseménykezelés feladatai 5. § (1) A KNBSZ a honvédelmi célú elektronikus információs rendszerek elektronikus információbiztonságának támogatása, a rendszerek működése során bekövetkező biztonsági események ágazati szintű kezelése, a sérülékenységvizsgálatok végrehajtása és a fenyegetettségek kezelése érdekében HÁEIBEK-et működtet. (2) A  honvédelmi ágazati szintű eseménykezelés biztosításáért a  védelemigazgatás elektronikus információs rendszerének működtetését felügyelő szervezeti egység az  üzemeltető eseménykezeléssel kapcsolatos tevékenységéről való tájékoztatás érdekében biztonsági eseménykezelő koordinációt biztosít a HÁEIBEK felé. Az MH kijelölt központi katonai szervezete, valamint a  KNBSZ az  üzemelő honvédelmi célú elektronikus információs rendszerek sajátosságai szerint kialakított elektronikus eseménykezelő központokat működtetnek. (3) A  (2)  bekezdés szerinti koordináció és az  eseménykezelő központok működése a  HÁEIBEK szakmai felügyeletével történik. A  működés szakmai követelményeinek meghatározásáért, a  jelentési és információáramlási rendszer kialakításáért a KNBSZ kijelölt szakmai szervezeti egysége a felelős. (4) A HÁEIBEK az együttműködő szervezetektől kapott információk vagy bejelentések alapján szerzett honvédelmi célú elektronikus információs rendszereket érintő biztonsági eseményekről, sérülékenységekről és fenyegetésekről szóló információk elemzése után az érintett eseménykezelő szervezetet, szükség esetén az érintett honvédelmi szervezetet haladéktalanul értesíti. (5) A honvédelmi célú elektronikus információs rendszereknél bekövetkezett biztonsági eseményt, az azzal kapcsolatos információkat az  érintett honvédelmi szervezetek a  HÁEIBEK felé a  meghatározott eljárásrendnek megfelelően közvetlenül vagy az illetékes eseménykezelő központok útján haladéktalanul továbbítják. (6) A  HÁEIBEK a  honvédelmi célú elektronikus információs rendszereket érintő biztonsági eseményekről, a  megtett intézkedésekről és az intézkedések eredményeiről nyilvántartást vezet. (7) A HÁEIBEK az eseménykezelés során tájékoztatja a hatóságot az érintett honvédelmi célú elektronikus információs rendszer biztonságát érintő változásról. (8) A honvédelmi célú elektronikus információs rendszereket ért biztonsági események kezelése érdekében a HÁEIBEK műszaki vizsgálatot rendelhet el vagy műszaki vizsgálatot folytathat. (9) A  műszaki vizsgálathoz szükséges adatokat az  érintett honvédelmi szervezet – amennyiben van, az  illetékes elektronikus eseménykezelő központ útján – haladéktalanul a  HÁEIBEK rendelkezésére bocsátja. Amennyiben az adatok átadása nem megvalósítható, az érintett honvédelmi szervezet biztosítja az adatokhoz történő hozzáférést. (10) A  HÁEIBEK – a  hatóság egyidejű tájékoztatása mellett – a  biztonsági esemény által okozott kár elhárítására vagy enyhítésére szakmai feladatot határoz meg – amennyiben van, az  illetékes elektronikus eseménykezelő központ útján – az érintett honvédelmi szervezet felé. (11) A  kormányzati, illetve együttműködő külső eseménykezelő központ vagy hatóság, együttműködő nemzeti vagy külföldi szervezet, eseménykezelő központ számára intézkedést igénylő biztonsági esemény esetén az  érintett szervezetet a HÁEIBEK haladéktalanul értesíti. (12) A  HÁEIBEK a  hatósággal együttműködve szükség szerint az  elektronikus információbiztonsággal kapcsolatos ajánlásokat, tájékoztatásokat ad ki, ezzel összefüggő képzéseket, tájékoztatókat, megbeszéléseket szervez, a  tapasztalatok alapján a  Kr.2. szerinti kormányzati eseménykezelő központot és a  Kr.1. szerinti hatóságot, az együttműködő szervezeteket a rájuk vonatkozó mértékben tájékoztatja. (13) A nemzetközi, nemzeti és honvédelmi ágazati kibervédelmi gyakorlatok során a HÁEIBEK irányítja az eseménykezelő és kapcsolattartási folyamatokat, támogatja a honvédelmi szervezetek eseménykezelő tevékenységét. A HÁEIBEK-nél és az  érintett honvédelmi szervezeteknél a  kibervédelmi gyakorlatokkal kapcsolatos adatok kezelése a  biztonsági eseménykezelési ügyektől elkülönítetten történik. (14) A  HÁEIBEK elkülönítve, a  vizsgálati eredmények alapján meghatározott ideig tárolja az  általa vizsgált rendszerek sérülékenységvizsgálati terveit, jegyzőkönyveit és a csatolt adatokat. (15) A HÁEIBEK a vizsgálati eredményeket bizalmasan kezeli, az eljáráshoz közvetlenül nem kapcsolódó dokumentumokban csak az adatgazda engedélyével szerepeltethet a vizsgált szervezeti egység azonosítására alkalmas adatokat. (16) A honvédelmi szervezetek vezetői az alárendeltségükbe tartozó honvédelmi szervezeti eseménykezelő központ és az  elektronikus eseménykezeléssel megbízott személyek feladatellátásának részletes szabályait jelen utasítással összhangban belső rendelkezésben szabályozzák. 5. A honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálata 6. § (1) A hatóság által elrendelt honvédelmi célú elektronikus információs rendszerek sérülékenységvizsgálatát a HÁEIBEK végzi, együttműködésben a honvédelmi szervezeteknél működő eseménykezelő központokkal, valamint illetékességi körén belül az elektronikus információvédelmi szakmai irányításért felelős HM szervvel. (2) A sérülékenységvizsgálat elrendelése történhet különösen: a) biztonsági eseményt követő vizsgálat után, b) a hatóság éves terve alapján, c) jelentős biztonsági kockázattal járó teszt, javítás vagy karbantartás hatékonyságának ellenőrzése érdekében, d) a rendszer biztonsági osztályának változása esetén, e) a biztonsági módszerek, eljárások változása esetén vagy f ) az elektronikus információbiztonságért felelős szervezet vagy személy igénye alapján. (3) A  HÁEIBEK az  egységes dokumentáltság érdekében általános sérülékenységvizsgálati módszertant alakít ki. A  sérülékenységvizsgálat végrehajtása a  módszertan alapján készített egyedi sérülékenységvizsgálati terv alapján történik. A sérülékenységvizsgálati terv kialakítása és a vizsgálatra történő felkészülés érdekében a HÁEIBEK az érintett honvédelmi szervezet vezetőjétől adatokat kérhet be. (4) A  sérülékenységvizsgálat szempontjából érintett honvédelmi szervezet vezetője a  vizsgálat elrendelése után megkapja a sérülékenységvizsgálati terv kivonatát. (5) A  sérülékenységvizsgálat végrehajtása során a  vizsgálatot végző állomány a  tevékenységet dokumentálja, figyeli a jogszabály által védett adat biztonságának sérülésére utaló jeleket, szükség esetén vészhelyzeti értesítési eljárást alkalmaz. A vizsgálat befejezését követően a HÁEIBEK a vizsgálati tapasztalatokról tájékoztatja az érintett honvédelmi szervezet vezetőjét. (6) A sérülékenységvizsgálat nem kezdhető meg, vagy azt azonnal le kell állítani vagy szüneteltetni kell, ha a) az érintett honvédelmi szervezet olyan feladat végrehajtását kezdi meg, melynek eredményességét kritikusan befolyásolhatja a vizsgált elektronikus információs rendszer kiesése, b) a HÁEIBEK más kiemelt fontosságú feladatot kap, c) készenlétfokozás, válságkezelési vagy terrorfokozat elrendelése történt, vagy d) a vizsgálat minősített adat vagy más, jogszabály által védett adat biztonságának sérülésére utaló jelet talált. (7) A  (6)  bekezdés d)  pontja esetén a  vészhelyzeti értesítési eljárásnak megfelelően az  érintett honvédelmi szervezet biztonsági vezetője vagy az  adat védelméért felelős személy értesítést kap a  biztonsági eseményről. A  biztonsági vezető vagy az adat védelméért felelős személy tájékoztatja a hatáskörrel rendelkező hatóságot, rendszerspecifikus védelmi rendszabályok meghatározásával elrendeli a működési rend helyreállítását, a károk csökkentéséhez szükséges lépések megtételét. (8) A  (6)  bekezdés szerinti esetben a  vizsgálati dokumentumokban rögzíteni kell a  vizsgálat leállításának vagy szüneteltetésének tényét. A  HÁEIBEK az  érintett honvédelmi szervezet felé tájékoztatást ad a  vizsgálat továbbfolytatásának rendjéről. (9) A  sérülékenységvizsgálat során keletkezett elektronikus adatokat, dokumentumokat a  HÁEIBEK a  vizsgálatokhoz rendelve, elkülönítetten tárolja. Az adatok a feltárt hiányosságok megszüntetéséig nem törölhetők. (10) A  sérülékenységvizsgálat végrehajtásáról jegyzőkönyv készül, amelynek kivonatát az  érintett szervezet megkapja. A HÁEIBEK által megküldött kivonatnak a tapasztalt biztonsági helyzet értékelése mellett tartalmaznia kell: a) a hiányosságok helyreállítását célzó feladatokat, javaslatokat, végrehajtási határidőket, b) a biztonsági szint növelését célzó javaslatokat, lehetőségeket és c) szükség esetén a visszaellenőrzésre vonatkozó információkat. (11) Az érintett honvédelmi szervezet intézkedési tervet készít a feltárt hiányosságok felszámolása érdekében. Az érintett honvédelmi szervezet a hiányosságok felszámolásáról tájékoztatja a HÁEIBEK-et. (12) A  feltárt hiányosságok felszámolásáról, valamint a  visszaellenőrzésről szóló dokumentumokat a  HÁEIBEK-nél a  vizsgálati anyagokhoz csatolva kell tárolni. Visszaellenőrzés során csak az  érintett honvédelmi szervezet kérése alapján vagy az időközben bekövetkezett biztonsági esemény észlelése esetén tűzhető ki új vizsgálati cél. 6. Záró rendelkezések 7. § Ez az utasítás a közzétételét követő napon lép hatályba. Dr. Simicskó István s. k., honvédelmi miniszter

MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.