📄 Jogszabály szövege
19/2010. (V. 7.) NFGM utasítása a Nemzeti Fejlesztési és Gazdasági Minisztérium Informatikai Szolgáltatásfolytonossági Szabályzatáról.
A Nemzeti Fejlesztési és Gazdasági Minisztérium Informatikai Szolgáltatásfolytonossági Szabályzatáról az alábbiak szerint
rendelkezem: 1. 1.1. Fogalmak a) Kockázat: Egy vagy több informatikai szolgáltatás vagy infrastruktúraelem veszélyek miatti leállása,
minőségcsökkenése. b) Proaktív intézkedés: Előkészítő, a kockázat bekövetkezését megelőző intézkedések, amelyek a
szolgáltatásfolytonosság reaktív intézkedéseit segítik elő. c) Reaktív intézkedés: A kockázat bekövetkezésekor végrehajtandó előre megtervezett válaszintézkedés.
d) Szolgáltatásfolytonossági koordinátor: A szolgáltatásfolytonossági menedzser helyettese és támogatója
elsősorban operatív feladatok ellátásában. e) Szolgáltatásfolytonossági menedzser: Az informatikai szolgáltatásfolytonosság mint folyamat irányítója, az NFGM
Informatikai Főosztály (a továbbiakban: IFO) vezetője. f) Szolgáltatásfolytonossági veszélyforrás: Nem kívánatos külső, fizikai körülmény általi fenyegetés, amely
bekövetkezése esetén súlyosan veszélyezteti egy vagy több informatikai szolgáltatás vagy infrastruktúraelem
működését, működőképes állapotát, illetve épségét. g) Szolgáltatásfolytonossági veszélyhelyzet: Olyan esemény vagy események együttese, amelyek a Nemzeti
Fejlesztési és Gazdasági Minisztériumot (a továbbiakban: NFGM) érintő informatikai szolgáltatásainak kiesésével
vagy nagymértékű minőségcsökkenésével, több erőforrásra kiterjedő és nehezen helyreállítható károsodásával
járnak. h) Tartalék telephely: Dedikált vagy megosztott elhelyezési lehetőség, ahová szolgáltatásfolytonossági helyzetben
szolgáltatásokat, eszközöket lehet telepíteni és/vagy humán erőforrást átcsoportosítani akár megelőző jelleggel,
akár szolgáltatásfolytonossági terv végrehajtásának keretében. 1.2. A szabályzat célja
a) Az NFGM Informatikai Szolgáltatásfolytonossági Szabályzatának (a továbbiakban: ISZSZ) alapvető céljai a
következők: b) az NFGM vagy magasabb szintű működésfolytonossági stratégiák támogatása, a vonatkozó előírásokkal és
utasításokkal összhangban; c) az NFGM informatikai szolgáltatásainak áttekintése és besorolása szolgáltatásfolytonossági helyzetek
(katasztrófaszituációk) lehetséges hatásai, illetve ezen helyzetekkel szembeni védettsége szempontjából;
d) az IFO szolgáltatásfolytonossági helyzetben történő működésének szabályozása, beleértve a
szolgáltatásfolytonossági szervezet felállítását és a tartalékmegoldások elindítását; e) a szolgáltatásfolytonossági helyzet megszűnése után a normál működésmódra való visszaállás szabályainak
meghatározása. 1.3. Az utasítás hatálya Az utasítás személyi hatálya kiterjed az NFGM valamennyi alkalmazottjára, és minden olyan külső személyre, akik az
NFGM tulajdonában lévő, általa üzemeltetett vagy használt informatikai rendszerekkel kapcsolatba kerülnek.
Az utasítás tárgyi hatálya kiterjed az NFGM tulajdonában lévő és az általa üzemeltetett vagy használt más szervezetek
tulajdonát képező informatikai hardver (szerverek, munkaállomások, hálózati eszközök, telefonok, adathordozók,
eToken) és szoftvereszközökre (operációs rendszer, dobozos és saját fejlesztésű alkalmazói szoftvercsomagok,
felhasználói segédprogramok, szoftverek dokumentációi és licencinformációi), valamint a fenti eszközök
alkalmazásával megvalósított informatikai szolgáltatásokra és ezek dokumentációjára, a Szolgáltatási Szint
Megállapodásokat (a továbbiakban: SLA) is beleértve. 1.4. Az utasításhoz kapcsolódó stratégiák, előírások
Az utasításhoz kapcsolódó stratégiák, előírások az alábbiak: a) a Közigazgatási Informatikai Bizottság 25. számú ajánlása;
b) NFGM–Központi Szolgáltatási Főigazgatóság (a továbbiakban: KSZF) szolgáltatási megállapodás;
c) NFGM informatikai stratégia 2009–2011; d) NFGM információbiztonsági stratégia 2010–2012;
e) az informatikai rendszerekre vonatkozó szabványok, ajánlások (ITIL, ISO 20000).
1.5. Szerepkörök Az egyes szerepköröket betöltő konkrét személyeket az 1. melléklet azonosítja.
1.5.1. Szolgáltatásfolytonossági menedzser A szolgáltatásfolytonossági menedzser: a) szerepkörét az IFO vezetője látja el;
b) felel az IT-szolgáltatásfolytonosság-menedzsment folyamat irányításáért, fejlesztéséért; c) gondoskodik arról, hogy a szolgáltatásfolytonosság-menedzsment folyamat átfogó kezelése és fejlesztése az
ISZSZ előírásainak megfelelően történjen; d) szolgáltatásfolytonossági ügyekben kapcsolatot tart az ügyfelekkel és szállítókkal;
e) gondoskodik az ISZSZ aktualizálásáról és betartásáról; f) szolgáltatásfolytonossági veszélyhelyzetben irányítja a tartalékmegoldások bevezetését, a helyreállítást és a
normál működésre való visszaállás teljes folyamatát. 1.5.2. Szolgáltatásfolytonossági koordinátor
Az NFGM szolgáltatásfolytonossági koordinátor szerepkörét a szolgáltatásfolytonossági menedzser által kijelölt
munkatárs látja el. A szolgáltatásfolytonossági koordinátor elsősorban az IT szolgáltatásfolytonossági folyamat
operatív feladatait látja el, ugyanakkor teljeskörűen helyettesítheti a szolgáltatásfolytonossági menedzsert annak
megbízása szerint. 1.5.3. Szolgáltatásfolytonossági bizottság A szolgáltatásfolytonossági bizottság (továbbiakban SZFB):
a) állandó tagjait a szolgáltatásfolytonossági menedzser jelöli ki, a tagsága állandó, de nem szükséges, hogy minden
SZFB-tag részt vegyen az üléseken; b) üléseit a szolgáltatásfolytonossági menedzser hívja össze, évente legalább egy alkalommal;
c) ülésére a külső résztvevőket a szolgáltatásfolytonossági menedzser hívja meg. Az SZFB ülésén a meghívottaknak
meg kell jelenniük vagy képviseltetniük kell magukat; d) ülése a szolgáltatásfolytonossági menedzser döntése alapján személyes találkozó helyett más módon is
megvalósulhat (telefon- vagy videokonferencia, elektronikus kommunikáció, fórum stb.);
e) állásfoglalásokat hoz a szolgáltatásfolytonossági menedzser által beterjesztett napirendi pontokról, valamint új
napirendi pont felvételére vagy elhalasztására is javaslatot tehet;
f) állandó tagjai indokolt esetben a szolgáltatásfolytonossági menedzserrel történő előzetes egyeztetés alapján az
SZFB ülésének összehívását kezdeményezhetik; g) működésével kapcsolatban a végső döntés és felelősség minden esetben a szolgáltatásfolytonossági
menedzseré; h) üléseiről jegyzőkönyvet kell készíteni, amelyet minden tagnak illetve a meghívottaknak is alá kell írnia;
i) a jegyzőkönyvnek az SZFB ülésén meghozott állásfoglalásokat, ajánlásokat és a felmerült ellenvéleményeket is
tartalmaznia kell; j) a szolgáltatásfolytonossági menedzser a fentieken túl további szabályokat és gyakorlatokat vezethet be az SZFB
működésével kapcsolatban. 1.6. Veszélyek és kockázatok Az informatikai – és ezzel a szakmai – működést fenyegető külső veszélyek kezelésére jelen szabályzatban az
alábbiakat kell figyelembe venni: a) infrastrukturális kár, megsemmisülés – tűz, csőtörés, árvíz, robbanás, robbantás, földrengés, épület statikai
sérülése, betörés; b) telephely megközelíthetetlensége – infrastrukturális kárral kombinálva vagy anélkül; a minisztérium épületei
tüntetés, blokád, árvíz megsemmisülés stb. miatt megközelíthetetlenek vagy nem használhatóak;
c) KSZF folytonossági veszélyhelyzet – hálózati szolgáltatás tartós kimaradása, szerverinfrastruktúra tartós
elérhetetlensége, alaprendszer sérülése vagy részleges megsemmisülése, információtartalom sérülése, részleges
vagy teljes megsemmisülése; d) egyéb szállítói folytonossági helyzet – szerződésszegés vagy vis maior miatt alkalmazást támogató szállító
szolgáltatásának megszűnése; e) humán folytonossági helyzet – kritikus humán erőforrás (szakértők) tartós kiesésével járó
szolgáltatásfolytonossági szituáció, amikor egy vagy több szolgáltatás SLA szerinti működtetése lehetetlenné
válik. A konkrét kockázatok azonosítását és a fenti kategóriákba történő besorolását a 2. melléklet, a
szolgáltatásfolytonosság szempontjából kritikus alkalmazásokat a 3. melléklet tartalmazza. A kockázatok
beazonosításáról a szolgáltatásfolytonossági menedzser dönt. 1.7. Válaszintézkedések kiválasztása és megtervezése
A kockázatok bekövetkezésekor jelentkező negatív hatásokat válaszintézkedésekkel kell mérsékelni.
A válaszintézkedések alkalmazásának proaktív és reaktív kidolgozását az utasítás 4. melléklete tartalmazza.
A szolgáltatásfolytonossági menedzser az 1.6 pontban szereplő veszélyhelyzetek mérlegelését követően kiválasztja és
elrendeli a válaszintézkedés végrehajtását az 5. melléklet alapján.
1.8. Megvalósítás A proaktív intézkedések és a szolgáltatásfolytonossági intézkedések végrehajtása a szolgáltatásfolytonossági
menedzser hatáskörébe tartozik. A válaszintézkedések megvalósítása a szolgáltatásfolytonossági menedzser döntése
és ütemezése alapján történik, az általa kijelölt szereplők irányításával.
1.9. Fenntartás A bevezetett válaszintézkedések fenntartásának feladatai a következők:
a) érintettek (ügyfél, szállítók, munkatársak) rendszeres, ismételt tájékoztatása a tudatosság fenntartása érdekében;
b) intézkedések tesztelése; c) a szolgáltatásfolytonossági szabályzat, a kapcsolódó megállapodások és munkautasítások rendszeres
felülvizsgálata és aktualizálása; d) a változáskezelésből érkező, szolgáltatásfolytonosság szempontjából releváns változások átvezetése.
1.10. A szolgáltatásfolytonossági veszélyhelyzet kezelése A szolgáltatásfolytonossági menedzser jogosult arra, hogy megállapítsa a szolgáltatásfolytonossági intézkedések
alkalmazásának szükségességét. A szolgáltatásfolytonossági menedzser az előre megtervezett intézkedések
megvalósítása mellett jogosult ad hoc intézkedések megtételére is.
A szolgáltatásfolytonossági időszak kezdetét és befejezését egyaránt kommunikálni kell az érintett ügyfél és szállító
oldali partnerek számára. A teljes szolgáltatásfolytonossági időszak a normál működésre történő teljes visszaállás és a
normál állapot konszolidálása után ér véget. A teljes szolgáltatásfolytonossági időszak okait, a kezelés módját és
tapasztalatait utólag ki kell értékelni és a jelen szabályzatot, a vonatkozó megállapodásokat, munkautasításokat
és más dokumentumokat az értékeléshez adaptálva kell korrigálni. A módosítások szükségességéről a
szolgáltatásfolytonossági menedzser dönt. 2. 2.1. A szolgáltatásfolytonosság és az incidenskezelés és kapcsolata
Azokról az incidensekről, melyek szolgáltatásfolytonossági veszélyhelyzetet idéznek elő, vagy annak ténye nem
egyértelműen megállapítható, a szolgáltatásfolytonossági menedzsert értesíteni kell és azok utólagos kivizsgálásába
is be kell vonni. 2.2. A szolgáltatásfolytonosság és a változáskezelés kapcsolata
Azokról a változáskezelésekről, melyek hatással lehetnek a szolgáltatásfolytonossági intézkedésekre és tervekre is,
értesíteni kell a szolgáltatásfolytonossági menedzsert, aki köteles a szükséges korrekciókat elvégezni a
szolgáltatásfolytonossági terveken és munkautasításokon. Amennyiben egy változás nehezen vagy csak hosszabb idő
alatt, jelentős erőforrások bevonásával kezelhető szolgáltatásfolytonossági oldalról, akkor a szolgáltatásfolytonossági
menedzser kérheti a változtatás elutasítását vagy bevezetésének elhalasztását. Vitás esetben a változáskezelés
megvalósításáról az Információ Biztonsági Szabályzat (a továbbiakban: IBSz) szerinti információbiztonsági igazgató
dönt. 2.3. A szolgáltatásfolytonosság és a szolgáltatási szint menedzsment kapcsolata
Az SLA-megállapodásokban rendelkezni kell arról, hogy szolgáltatásfolytonossági veszélyhelyzetben a felek milyen
tevékenységeket kötelesek elvégezni, illetve a szolgáltató milyen szolgáltatási szinteket és helyreállítási opciókat vállal
szolgáltatásfolytonosság helyzet kialakulása esetén. 2.4. A szolgáltatásfolytonosság és az információbiztonság kapcsolata
Az IBSz előírásait fokozottan be kell tartani válaszintézkedések kialakításakor, alkalmazásakor és a normál működésre
való visszaálláskor egyaránt. A szolgáltatásfolytonossági helyzet utólagos felülvizsgálatát az információbiztonság szempontjából is el kell végezni.
Minden olyan kérdésben, amelyről a szolgáltatásfolytonossági menedzser úgy ítéli meg, hogy az kiemelt kockázatot
jelent információbiztonsági szempontból, az információbiztonsági igazgatót minden esetben tájékoztatni kell.
Záró rendelkezések 3.1. Az NFGM valamennyi, informatikai eszközöket használó személye (felhasználója) számára kötelező az ISZSZ általános
rendelkezéseinek, valamint az általa ellátott feladatokra vonatkozó részeinek ismerete.
A külsős munkatársak részére a szabályzat ismertetése az őket felügyelő és/vagy velük szerződésben álló szervezeti
egységek feladata. Az utasítás rendelkezéseit minden újonnan üzembe helyezett informatikai rendszer esetében teljeskörűen alkalmazni
kell. Az ISZSZ rendelkezéseit a szállítókkal történő szerződéskötéskor is figyelembe kell venni.
Az utasítást évente felül kell vizsgálni a jogszabályi környezet és a szakmai-technikai feltételek változása
szempontjából. 3.2. A Nemzeti Fejlesztési és Gazdasági Minisztérium Információ Biztonsági Szabályzatáról szóló 7/2008. (IX. 25.) NFGM
utasítás 2. pontja helyébe az alábbi rendelkezés lép:
„2. Az Információ Biztonsági Szabályzat hatálya 2.1. A szabályzat tárgyi hatálya
Az IBSz által megfogalmazott irányelveket érvényre kell juttatni az NFGM tulajdonában lévő vagy az általa
üzemeltetett vagy használt más szervezetek tulajdonát képező informatikai rendszerek tekintetében azok teljes
életciklusa alatt (a fejlesztési igények megfogalmazásától a rendszerből történő kivonásig).
Az utasítás tárgyi hatálya kiterjed az NFGM tulajdonában lévő és az általa üzemeltetett vagy használt más szervezetek
tulajdonát képező informatikai hardver (szerverek, munkaállomások, hálózati eszközök, telefonok, adathordozók,
eToken) és szoftvereszközökre (operációs rendszer, dobozos és saját fejlesztésű alkalmazói szoftvercsomagok,
felhasználói segédprogramok, szoftverek dokumentációi és licencinformációi), valamint a fenti eszközök
alkalmazásával megvalósított informatikai szolgáltatásokra és ezek dokumentációjára, a szolgáltatási szint
megállapodásokat (a továbbiakban: SLA) is beleértve. A tárgyi hatály kiterjed továbbá az NFGM területén használt, minden olyan más szervezetek tulajdonát képező
informatikai berendezésre, mely az NFGM felső vezetőjétől, illetve Informatikai főosztályától engedélyt kapott annak
informatikai rendszeréhez való csatlakozására. Továbbá az IBSz tárgyi hatálya kiterjed az NFGM és az információbiztonsági igazgató által felügyelt intézményekre az
intézmények szervezeteire, azok területén használt, üzemeltetett az NFGM informatikai rendszerével kapcsolatba
kerülő eszközre és azokon tárolt adatokra, illetve minden olyan szakmai alkalmazásra, folyamatra, amely az NFGM
hatáskörébe tartozik. 2.2. A szabályzat személyi hatálya Az utasítás személyi hatálya kiterjed az NFGM minden szervezetére, azok valamennyi alkalmazottjára, és minden olyan
külső személyre, akik az NFGM tulajdonában lévő, általa üzemeltetett vagy használt informatikai rendszerekkel vagy
adatokkal kapcsolatba kerülnek. Az NFGM informatikai rendszereivel kapcsolatba kerülő személyeknek kivétel nélkül
szerződéses viszonyban kell állniuk az NFGM-mel. Ezen szerződésnek kötelezően kell informatikai biztonsági pontokat
tartalmaznia, amely nem lehet ellentmondásban az IBSz egyetlen pontjával sem.”
3.3. Ez az utasítás a közzétételt követő napon lép hatályba.
3.4. Az utasítás 3.2 pontja a közzétételt követő második napon hatályát veszti.
Varga István s. k.,
nemzeti fejlesztési és gazdasági miniszter
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.