View
5
Download
0
Category
Preview:
Citation preview
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 2009/9. szám Budapest, 2009. április 02.
Szám: 12064/2009. ált.
AZ ORSZÁGOS RENDŐR-FŐKAPITÁNYSÁG HIVATALOS LAPJA
ORFKTÁJÉKOZTATÓ
Tartalomjegyzék
Utasítások:
1. 16/2009. (OT 9.) ORFK utasítás a Rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott díjkitűzéssel kapcsolatos eljárás szabályairól
Intézkedések:
1. 1/2009. (OT 9.) ORFK intézkedés az Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszerének (ORFK-FADO) Üzemeltetés Biztonsági Szabályzata kiadásáról
ORFK Tájékoztató (OT) 2009/9. szám Budapest, 2009. április 02.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
1
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
I. részUTASÍTÁSOK
Szám: 16/2009.
AZ ORSZÁGOS RENDŐRFŐKAPITÁNY
16/2009. (OT 9.) ORFK
UTASÍTÁSA
a Rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott díjkitűzéssel kapcsolatos eljárás szabályairól
A Rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott díjkitűzéssel kapcsolatos feladatok végrehajtására kiadom az alábbi
u t a s í t á s t :
I. Az utasítás hatálya
1. Az utasítás hatálya kiterjed az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK), a Nemzeti Nyomozó Irodára, a Repülőtéri Rendőr Igazgatóságra, a megyei (fővárosi) rendőr-főkapitányságokra (a továbbiakban együtt: területi szervek), valamint a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek).
II. Díjkitűzési jogosultság, javaslattétel és a díjkitűzés kezdeményezése, a kitűzhető összeg
2. Díjkitűzésre jogosult:a) az országos rendőrfőkapitány;b) a területi szervek vezetői (a továbbiakban együtt: elrendelő).
3. Díjkitűzésre javaslatot tehet:a) az ORFK bűnügyi, valamint rendészeti főigazgatója;b) a területi szervek vezetőinek helyettesei;c) a helyi szervek vezetői (a továbbiakban együtt: javaslattevő).
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
2
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
4. Kitűzhető összeg:a) az ORFK hatáskörébe tartozó ügyekben ötmillió forintig;b) a területi szervek hatáskörébe tartozó ügyekben hárommillió forintig;c) a helyi szervek hatáskörébe tartozó ügyekben egymillió forintigterjedhet azzal, hogy az országos rendőrfőkapitány – hatáskörtől függetlenül – korlátlan összegű díjat tűzhet ki.
5. Díjkitűzést az ügyben eljáró nyomozó szerv tagja vagy vezetője az elrendelésre jogosult vezetőhöz címzett írásbeli előterjesztésben kezdeményezhet, amelyet szolgálati úton a javaslattételre jogosulthoz haladéktalanul továbbítani kell. Az előterjesztést a javaslattevő megvizsgálja és javaslatával, vagy ellenvéleményével az elrendelőhöz továbbítja.
6. Az előterjesztésnek tartalmaznia kell a tényállás rövid leírását, bűncselekmény esetén annak jogi minősítését, a díjkitűzés szükségességének indokait, valamint a díj összegére vonatkozó javaslatot. A díj összegének igazodnia kell a bűncselekmény, vagy az esemény tárgyi súlyához és az információ fontosságához.
7. Ha az eset körülményei indokolják, a helyi szerv hatáskörébe tartozó ügyben a területi szerv vezetője a 4. pont b) alpontjában meghatározott összegű, a területi szerv hatáskörébe tartozó ügyben az országos rendőrfőkapitány korlátlan összegű díjat tűzhet ki. Erre vonatkozóan a helyi, illetve a területi szervek vezetői – a 6. pontban meghatározottakat is tartalmazó – külön előterjesztést tesznek.
8. Rendőrségen kívüli más szerv, szervezet vagy magánszemély (a továbbiakban együtt: külső kezdeményező) kezdeményezése alapján a rendőri vezetők nagyobb pénzösszeget is kitűzhetnek, amennyiben az utasítás 11. pontjában foglalt feltételek teljesülnek.
9. A díjat kitűző szerv a díjkitűzésben meghatározott feltételt teljesítő részére a kifizetését a szervre irányadó szabályok szerint teljesíti.
10. A díjkitűzés összegét a díjkitűző saját költségvetése terhére állapítja meg és fizeti ki, ennek érdekében a díjkitűzésre feljogosított szerv költségvetésében a díjkitűzés kifizetése érdekében – az előre látható igények figyelembevételével – megfelelő összeget kell elkülöníteni.
III. Díjkitűzés Rendőrségen kívüli más szerv, szervezet vagy magánszemély kezdeményezésére
11. Külső kezdeményező kezdeményezésére akkor lehet díjat kitűzni, ha a Rendőrség általi díjkitűzésnek egyébként is helye lenne, és a díjkitűzésre szánt, valamint az azután fizetendő adó és a díjkitűzéssel járó költségek, valamint kiadások összegét a külső kezdeményező a Rendőrség beleegyezését követően a Rendőrség által meghatározott pénzintézeti számlára haladéktalanul befizeti, vagy átutalja.
12. A beleegyezést megelőzően vizsgálni kell, hogy a felajánlás az eljárás céljával összeegyeztethető-e, valamint az elfogadás nem sérti-e a Rendőrség objektív és pártatlan működésébe vetett közbizalmat.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
3
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
IV. A díjkitűzés módja
13. A díjkitűzésta) az interneten;b) valamely sajtótermék (hivatalosan bejegyzett napilap, folyóirat, plakát, televíziós
vagy rádiós hírműsor, stb.) útján;c) hirdetmény útján;d) a helyileg szokásos más módon kell közzétenni, amennyiben indokolt több
alkalommal; a megjelentetés módját, idejét és szövegét dokumentálni kell.
14. A Rendőrség köteles a díjat kifizetni annak, aki a díjkitűzésben meghatározott feltételt teljesítette. A díjkitűzésben a feltételt olyan módon - a teljesítés kritériumait pontosan körülhatárolva – kell megfogalmazni, hogy a feltétel teljesítése egyértelműen eldönthető legyen.
15. Díjkitűzésnek csak olyan feltétel meghatározása mellett van helye, amelynek teljesítése meghatározó mértékben elősegíti az alapügy eredményes befejezését. Ha a megszabott követelménynek többen együttesen tesznek eleget, a díjat közöttük közreműködésük arányában, ha pedig azt nem lehet megállapítani, vagy a követelménynek többen, külön-külön tettek eleget, egyenlő arányban kell megosztani.
16. A díjkitűzés visszavonásának jogát a díjkitűzésben fel kell tüntetni. A díjkitűzés visszavonását legalább ugyanolyan nyilvánosan kell közzétenni, mint a díjkitűzést. Ennek megtörténtét dokumentálni kell.
V. A díjkitűzés hatálya
17. A nyilvánosságra hozott díjkitűzés mindaddig hatályban marad, amíg azt az elrendelő vissza nem vonja.
18. A díjkitűzés hatálya fenntartásának szükségességét az eljárás során folyamatosan vizsgálni kell. A díjkitűzés nyomozás befejezése utáni fenntartásának csak különösen indokolt esetben, de legfeljebb a bűncselekmény elévüléséig, eltűnés esetén – ha az eltűnt nem került elő – a holttá nyilvánításról, vagy a halál tényének bírósági megállapításáról hozott bírósági határozat jogerőre emelkedéséig van helye, egyéb esetben a díjkitűzést vissza kell vonni.
19. A díjkitűzést a 17. pontban meghatározott visszavonásának időpontjától kell visszavontnak tekinteni. Amennyiben a bűncselekmény nem évül el, úgy a díjkitűzés fenntartásának szükségességét évente felül kell vizsgálni.
20. A díjkitűzés eredményességére vagy eredménytelenségére vonatkozó információ nem hozható nyilvánosságra.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
4
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
VI. A díjkitűzések nyilvántartása
21. Az elrendelésre jogosult vezető gondoskodik az általa kitűzött díjakkal kapcsolatos nyilvántartás folyamatos, időszerű vezetéséről.
22. A díjkitűzéssel kapcsolatos központi nyilvántartás folyamatos és időszerű vezetése az ORFK Rendészeti Főigazgatóság Ügyeleti és Védelmi Igazgatási Osztály (a továbbiakban: Főügyelet) feladata.
23. A díjkitűzés engedélyezésével, illetőleg visszavonásával egyidejűleg a Főügyeletet telefaxon tájékoztatni kell, amely kiterjed:a) a díjat kitűző/visszavonó hatóság megnevezésére telefonszámára, a szerv vezetőjére;b) az ügy számára és előadójára, a díjkitűzés tartalmára, a rövid tényállásra;c) a díjkitűzés hatályának kezdő/befejező időpontjára.
24. A Főügyelet más rendőri szervek ügyeletét, valamint a díjkitűzésre jelentkező személyeket kérelemre tájékoztatja a díjkitűzés hatályosságáról, valamint az eljárást folytató szervről és az ügy számáról. A rendőri szerv ügyeletének nyújtott tájékoztatás szükség esetén kiterjedhet az ügy tényállására is.
25. Az a rendőri szerv, amelynél a díjkitűzésre jelentkeznek, köteles rögzíteni a jelentkezés tényét, annak pontos időpontját, a jelentkező adatait és az általa elmondottakat, majd haladéktalanul, szóban és írásban (faxon) egyaránt felvenni a kapcsolatot a Főügyelettel, és közölni, hogy a kiírt díjkitűzés feltételének teljesítésére jelentkeztek.
26. Amennyiben az eljáró rendőri szerv nem azonos a díjat kitűzővel, a megkeresés általános szabályai szerint jár el. A feltétel teljesítésére jelentkező személy ki-, illetve meghallgatásáról készült jegyzőkönyvet köteles a díjat kitűzőnek haladéktalanul megküldeni. Ez utóbbi szerv köteles az információ ellenőrzését késedelem nélkül megkezdeni, ennek érdekében más szervet megkereshet.
27. A díjkitűzésről és annak visszavonásáról szóló iratokat a bűnügyi, eltűnt személy megtalálása érdekében folytatott eljárás esetén a közigazgatási hatósági ügyben keletkezett iratok között kell elhelyezni.
VII. A díjkitűzésben meghatározott feltételek teljesítése
28. A kitűzött díjra jelentkező kizárólag a díjkitűzés visszavonásáig történt teljesítés esetén tarthat igényt a kitűzött díj összegére. A díjkitűzés feltételének teljesítéséről, illetve a visszavonásáról a Főügyelet ad tájékoztatást.
29. Ha a díjkitűzésre büntetőeljárás keretében került sor, és a bejelentő nevének, illetve személyi adatainak zártan történő kezelését kéri, akkor – kérelmére – a büntetőeljárásról szóló 1998. évi XIX. törvény tanúvédelemre vonatkozó szabályainak alkalmazhatósága érdekében a bejelentő tanúként hallgatható ki. A személyes adatok zárt kezelésének lehetőségéről a bejelentőt előzetesen tájékoztatni és nyilatkoztatni kell.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
5
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
30. A díjkitűzés egységes pénzügyi, számviteli előírásoknak megfelelő végrehajtása érdekében a kitűzött díjak, valamint az azokat terhelő költségvetési befizetési kötelezettségek (személyi jövedelemadó, egészségügyi hozzájárulás) fedezetére – az utasítás 10. pontjában foglaltak szerint – a díjkitűzésre feljogosított szervek költségvetésében, az előre látható igények és pénzügyi lehetőségek figyelembevételével éves keretet kell képezni az alábbiak szerint:a) a kitűzött díj bruttó fedezete a kitűző szerv költségvetésében erre a célra
elkülönített keretet terheli;b) a díjkitűzés kötelezettségvállalásnak minősül, annak előterjesztése és kifizetése
során a kitűző szervre vonatkozó kötelezettségvállalási szabályok szerint kell eljárni;c) az információszolgáltatót előre tájékoztatni kell arról, hogy részére a kifizetendő
díjról, annak adóelőlegéről az adójogszabályokban előírt – pénzügyi szerv által kiállított – igazolás kerül kiadásra;
d) a díjkitűzés számviteli elszámolása a külső személyi juttatások terhére, az „Egyéb juttatások előirányzatainak teljesítése” jogcímen történik.
VIII. Záró rendelkezések
31. Az utasítás a közzétételét követő napon1 lép hatályba, ezzel egyidejűleg hatályát veszti:a) a Rendőrségről szóló 1994. évi XXXIV. törvény 27. §-ában meghatározott
díjkitűzéssel kapcsolatos eljárás szabályainak kiadásáról szóló 3/2001. (II. 23.) ORFK utasítás;
b) a Rendőrségről szóló 1994. évi XXXIV. törvény 27. §-ában meghatározott díjkitűzéssel kapcsolatos eljárás szabályaira vonatkozó pénzügyi, számviteli előírásokról szóló 22/2001. (VII. 4.) ORFK GF intézkedés.
Dr. Bencze Józsefr. altábornagy sk.
1 Hatályba lépés napja: 2009. április 03.ORFK Tájékoztató (OT)2009/9. 2009. április 02.
6
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
II. részINTÉZKEDÉSEK
Szám: 1/2009.
A ORSZÁGOS RENDŐRFŐKAPITÁNY
1/2009. (OT 9.)
INTÉZKEDÉSE
az Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszerének (ORFK-FADO) Üzemeltetés Biztonsági Szabályzata kiadásáról
A Tanács Biztonsági Szabályzatának elfogadásáról szóló 2001/264/EK Tanácsi Határozat (a továbbiakban: 2001/264/EK Határozat) és az ehhez kapcsolódó dokumentumokban meghatározott követelményekkel összhangban, az Európai Unió minősített anyagainak az Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszerében (a továbbiakban: ORFK-FADO rendszer) történő feldolgozásának biztonsági szabályai meghatározása céljából kiadom az alábbi
i n t é z k e d é s t.
1. Ezen intézkedés hatálya az Országos Rendőr-főkapitányság (a továbbiakban: ORFK) által üzemeletetett ORFK-FADO rendszerre és az ORFK állományába tartozó, az ORFK-FADO rendszer üzemeltetésében részt vevő, és az ORFK-FADO rendszert felhasználó személyekre terjed ki.
Általános rendelkezések
Értelmező rendelkezések
2. Az utasítás alkalmazásábana) biztonsági megbízott: a külföldi minősítéssel és jelöléssel ellátott adat védelmével
kapcsolatos biztonsági feladatok végrehajtására és koordinálására az Országos Rendőr-főkapitány által – a Nemzeti Biztonsági Felügyelet (a továbbiakban: NBF) elnökének egyetértésével – kinevezett személy,
b) elektronikus adatkezelés: adat elektronikus, elektromagnetikus vagy optikai úton történő feldolgozása (készítése, megjelenítése, tárolása, módosítása, törlése), illetve továbbítása,
c) elektronikus biztonság: a kommunikációs, informatikai és más elektronikus rendszerekben alkalmazott biztonsági intézkedések összessége, amelyek biztosítják az elektronikusan kezelt külföldi minősítéssel és jelöléssel ellátott adat bizalmasságát, sértetlenségét és rendelkezésre állását; összetevői a számítógép- és hálózatbiztonság (hardver, szoftver és firmver biztonság), kommunikációs biztonság (rejtjel-, átvitel- és
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
7
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
kompromittáló kisugárzás biztonság), valamint a személyi, fizikai és dokumentum biztonságnak a rendszerre vonatkozó különös szabályok,
d) fenyegetés: a biztonság véletlen vagy szándékos megsértésének lehetősége, az elektronikus biztonság három biztonsági célkitűzése, a bizalmasság, a sértetlenség és a rendelkezésre állás közül egy vagy több elem elvesztése,
e) rendszer: külföldi minősítéssel és jelöléssel ellátott adat elektronikus kezelésére alkalmas berendezés - a rejtjelző eszköz kivételével -, módszer és eljárás együttese,
f) rendszerbiztonsági felelős: a biztonsági megbízott felügyelete mellett a rendszer alkalmazási területén felelős a rendszer személyi, fizikai, dokumentum, hardver, szoftver biztonsági feltételek érvényesüléséért, a biztonsági beállítások és hozzáférési jogosultságok beállításáért,
g) üzemeltetés-biztonsági felelős: a rendszerbiztonsági felelős irányítása mellett a rendszer alkalmazási területén felelős a rendszer üzemeltetéséért, a hardver és szoftver konfiguráció folyamatos karbantartásáért,
h) veszélyeztetés: ha fennáll annak a lehetősége, hogy a külföldi minősítéssel és jelöléssel ellátott adat részben vagy egészben illetéktelen személy részére hozzáférhetővé válik, vagy megsemmisül, továbbá veszélyeztetettnek tekintendő minden ideiglenesen eltűnt külföldi minősítéssel és jelöléssel ellátott adat beleértve az időszaki ellenőrzés során fel nem lelt iratokat is, mindaddig, amíg a vizsgálat mást nem állapít meg.
A biztonság adminisztrációja és szervezése
3. Az ORFK-FADO rendszer Üzemeltetési Biztonsági Szabályzatától (a továbbiakban: Szabályzat) történő olyan eltérés vagy módosítás, amely kisebb biztonságot eredményezhet, nem megengedett. A Szabályzatban meghatározott, de a biztonságot nem érintő egyéb változtatást engedélyeztetni kell az NBF-fel. Ebben az esetben az engedélyt az intézkedés módosítását megelőzően kell beszerezni.
4. Az ORFK-FADO rendszer valamennyi felhasználójának a rendszerrel összefüggő információkhoz hozzáférési joggal kell rendelkeznie, a Szabályzatban meghatározottakat tudnia, alkalmaznia, aláírásával igazolnia kell. Az ORFK-FADO rendszer valamennyi rendszer szintű felhasználójának EU CONFIDENTIAL (EU Bizalmas) Biztonsági Tanúsítvánnyal kell rendelkeznie.
5. Valamennyi, a rendszeren kezelt adatot, a kinyomtatott dokumentumokkal együtt EU KORLÁTOZOTT TERJESZTÉSŰ (a továbbiakban: RESTREINT UE) minősítésűként kell kezelni mindaddig, amíg azt a kibocsátója másként nem határozza meg. A minősített információ csak azon személyek által lehet megismerhető, akiknek a munkájához az feltétlenül szükséges (a továbbiakban: „ismernie szükséges elv”).
6. A fizikai, személyi, adminisztratív és elektronikus biztonsági feltételekben a szintre vonatkozó követelményeket kell teljesíteni, tekintettel arra, hogy a rendszeren feldolgozott adatok legmagasabb minősítési szintje RESTREINT UE.
Az ORFK-FADO rendszer szerepe
7. A munkaállomásnak biztonságos számítógépes adatfeldolgozást kell biztosítania a RESTREINT UE legmagasabb minősítési szintig az országos rendőrfőkapitány által kijelölt és felhatalmazott felhasználóknak.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
8
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Az ORFK-FADO rendszer felépítése
8. Az ORFK-FADO rendszernek olyan dedikált RESTREINT UE szintű rendszerként működő alaprendszernek kell lennie, amely:a) egy szerverből, egy Switch-ből, a csatlakozó négy számítógépből és egy nyomtatóból,
valamint a FADO közösség által biztosított vonalkapcsolati eszközökből (SINA BoxS titkosító, modemek, routerek, stb.) áll,
b) nem tartalmaz más rendszerrel csomóponti kapcsolatot, azaz nem kapcsolódik egyetlen más elektronikus információkezelő rendszerhez sem.
9. Az ORFK-FADO rendszer a brüsszeli központú FADO eléréséhez nyújt biztonságos környezetet és adatfeldolgozási lehetőséget: a) Microsoft® Windows® XP Professional operációs rendszerrel,b) Adobe® Readerrel®,c) Microsoft® Windows® XP Professional operációs rendszerbe beépített zip tömörítő
szoftverrel,d) Microsoft® Excel programmal,e) Symantec® Antivirus Norton Corporate Edition vírusellenőrző programmal (1. számú
melléklet).
10. Az ORFK-FADO rendszernek lehetővé kell tennie az adatok kezelését és cseréjét (floppy lemezes, CD-s, valamint USB csatolóval ellátott adattárolón keresztüli adatcsere más rendszerekkel). A biztonságos üzemeltetéshez szükséges tulajdonságoknak adottaknak kell lenniük (adminisztratív és funkcionális alkalmazások). A rendszernek a kereskedelmi forgalomban kapható (COTS) hardver és szoftver elemekből kell állnia.
Az ORFK-FADO rendszer-minősítése és működési módja
11. Az ORFK-FADO rendszerén legfeljebb RESTREINT UE minősítésű információkat lehet feldolgozni dedikált működési módban.
12. Az ORFK-FADO rendszer hardver és szoftver biztonsági tulajdonságainak biztosítania kell a dedikált hozzáférést és az „ismernie szükséges elv” szerinti szelektálást. Az ORFK-FADO rendszer bejelentkezési eljárással biztosítja:a) hogy az egyes felhasználók egyénileg felelősek a tetteikért és a biztonsággal összefüggő
események ellenőrzéséért,b) az ORFK-FADO rendszer biztonsági tulajdonságait a jogosulatlan hozzáférés, módosítás
vagy rongálás megakadályozása érdekében.
13. A 11. és 12. pontban meghatározottakon kívül a követelményekhez illeszkedő fizikai, személyi és adminisztratív védelmi intézkedésekkel kell biztosítani a rendszeren kezelt EU minősített információ védelmét.
Az ORFK-FADO rendszer felhasználói
14. Az ORFK-FADO rendszer-szintű hozzáféréssel rendelkező személyeknek EU CONFIDENTIAL (a továbbiakban: EC) szintű biztonsági tanúsítvánnyal kell rendelkezniük,
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
9
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
és nem kell általános áttekintéssel rendelkezniük a rendszerben tárolt, feldolgozott továbbított információról. Minden felhasználói szinten lévő, hozzáféréssel rendelkező személynek általános áttekintéssel kell rendelkeznie a rendszerben tárolt, feldolgozott továbbított információról.
15. Az ORFK-FADO rendszer-szintű hozzáféréssel rendelkező és/vagy a rendszeren kezelt információk biztonságáért felelős felhasználók az országos rendőrfőkapitány által a konkrét feladatokra kijelölt és felhatalmazott azon munkatársak lehetnek, akik „B” típusú nemzetbiztonsági ellenőrzéssel és NBF által nyilvántartásba vett, minimum EC szintű személyi biztonsági tanúsítvánnyal és az erről szóló igazolással rendelkeznek.
16. Minden felhasználónak legalább az „ismernie szükséges elv” alapján kiadott megbízással kell rendelkeznie, ami nem jelenti azt, hogy minden felhasználónak szüksége van az összes rendszerben tárolt adat ismeretére.
17. A ORFK-FADO rendszer a következő négy hozzáférési/felhasználói kategóriából áll:a) rendszerbiztonsági felelős, b) üzemeltetés-biztonsági felelős, c) informatikai és SINA BoxS üzemeltetés-biztonsági felelős,d) felhasználó.
18. A biztonsági funkciók folyamatos működése érdekében minden biztonsági pozícióra ki kell nevezni egy helyettesítő személyt (2. számú melléklet).
19. A felhasználó az a személy, aki érvényes munkaállomás hozzáféréssel rendelkezik, és jogosult a rendszer használatára. A felhasználó felelős a bejelentkezési neve és jelszava használatáért, titokban tartásáért, valamint az általa elérhető adatok biztonságos tárolásáért és felhasználásáért.
A rendszer helye
20. Az ORFK-FADO rendszer eszközei, felszerelései és anyagai a 3. számú mellékletben meghatározott helyeken találhatók.
A rendszer szerkezete
21. Az ORFK-FADO rendszer telephelye a következőket tartalmazza:a) a szervert,b) a switch-et,c) a munkaállomásokat,d) a különféle perifériákat (nyomtató, billentyűzet, egér, stb.),e) a szokványos hardver- és szoftverelemeket,f) a külső adatcseréhez hordozható mágneses és optikai adattárolókat (floppy lemez,
CD/DVD),g) a FADO közösség által biztosított eszközöket, tartalék eszközöket.
A biztonsági körülmények meghatározása
A rendszerre vonatkozó információk minősítése
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
10
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
22. Az ORFK-FADO rendszer létének ténye, megnevezése és célja NYILVÁNOS információ.
23. A FADO közösség tulajdonát képező, az ORFK-FADO rendszer helyiségében telepített SINA BoxS típusú titkosító berendezések minősítési jelölését a 4. számú melléklet tartalmazza.
Kockázatkezelés
24. Az ORFK-FADO rendszer elleni támadások lehetséges célja, hogy: a) beazonosítsák az információ kezelés helyszínét és a külső kapcsolatokat,b) akadályozzák az üzemeltetést,c) megrongálják az eszközöket,d) megszerezzék az információt.
25. Az ORFK-FADO rendszer elleni támadások következménye lehet: a) a bizalmasság elvesztése (a rendszerbe történő jogosulatlan belépéssel a
munkaállomáson feldolgozott vagy kezelt adatok felfedése),b) a sértetlenség elvesztése (a rendszer információinak jogosulatlan módosítása miatt a
rendszer forrásainak hibás működése vagy a rendszeren kezelt információk valódiságának megszűnése),
c) a rendelkezésre állás elvesztése (a jogosult bejelentkezés megtagadása vagy a rendszer szolgáltatásainak hozzáférhetetlenné tétele).
26. Az ORFK-FADO rendszer kockázati tulajdonságai:a) a rendszerre vonatkozó legfőbb veszély a felhasználói hozzáférés, mind a titkosság, a
sértetlenség és a rendelkezésre állás vonatkozásában (ezért a hozzáférést szigorú adminisztratív eljárásokkal kell szabályozni),
b) a rendszer sérülékeny, mivel magában foglalja a minden felhasználó által használt közös szolgáltatásokat (a kizárólagos hozzáférés ellenőrzési eljárások ezért korlátozzák a hozzáférési jogokat a különböző felhasználói típusoknak megfelelően),
c) a sebezhetőséget növelheti a kereskedelmi eszközök használata, amelyeket általában nem minősítenek a biztonsági hatóságok. A biztonsági követelmények teljesítése érdekében bevizsgált és hitelesített termékeket kell használni. Az alapelv az, hogy a rendszer a lehető legnagyobb mértékben megfeleljen az EU (vagy annak nemzeti/nemzetközi megfelelője, például ISO normák) biztonsági értékelési kritériumainak.
27. Az ORFK-FADO rendszer szerverének vírusvédelmét minden adatcsere során alkalmazni kell. A rendszerre vonatkozó vírusvédelmi irányelvek az 1. számú mellékletben találhatók meg.
Rendszerspecifikus sebezhetőségek
28. Az általános sebezhetőségek mellett az ORFK-FADO rendszerre jellemző sebezhetőségek a következők: a) a személyzet tagjainak azon része, akik potenciális hozzáféréssel rendelkeznek
közvetlenül az ORFK-FADO rendszerhez,b) a hardverbe, illetve a szoftverbe véletlenül vagy szándékosan beépített hibák vagy
számítógép-vírusok,c) a hardver és a szoftver hibás működése, meghibásodása, tervezési hiba vagy szándékos
rongálás,d) a rendszer kompromittáló kisugárzása az NBF által nem hitelesített eszközök használata
miatt,
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
11
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
e) az „ismernie szükséges elv” megsértése az ORFK-FADO rendszer szintű hozzáféréssel rendelkező felhasználók részéről (rendszergazdai hozzáférés) vagy jogosulatlan hozzáférés a rendszer erőforrásaihoz,
f) az ORFK-FADO rendszeren kezelt információk téves kezelése a címkézés hiánya miatt.
A biztonsági körülmények összefoglalása
29. Az ORFK-FADO rendszer biztonsági elemeinek a következőkből kell állniuk:a) a szervert, a Switch-et, a munkaállomásokat és a nyomtatót adminisztratív biztonsági
területen kell telepíteni,b) minden ORFK-FADO rendszerszintű felhasználónak „B” típusú nemzetbiztonsági
ellenőrzéssel és az NBF által kiadott EC szintű biztonsági tanúsítvánnyal kell rendelkeznie,
c) az ORFK-FADO rendszerben használt operációs rendszernek az EU előírások szerinti beállításokkal kell működnie,
d) a telepítés biztonsági beállításait hathavonta ellenőrizni szükséges,e) a hitelesítéshez szükséges adatok (naplófájlok) összegyűjtését, felülvizsgálatát,
archiválását hathavonta el kell végezni,f) az ORFK-FADO rendszer minden elemének meg kell felelnie az EU R szintre előírt EU
kisugárzás biztonsági követelményeknek.
Biztonsági környezet meghatározása
Általános Biztonsági Környezet
30. Az ORFK-FADO rendszer telepítés helyszínét az 5. számú melléklet tartalmazza.
31. Az ORFK-FADO rendszer kizárólag olyan környezetébe telepíthető, ahol ellenséges/felforgató személy vagy szervezet nem ismert.
32. A Rendőrség biztonsági megbízottja a „külső” biztonságért is felelős, utasítási jogokkal rendelkező (pl. beléptetési rend, fizikai/személyi biztonság, hozzáférési ellenőrzés, stb.) személy lehet.
33. Az ORFK-FADO rendszerben olyan eszközök használhatók, amit a kijelölt biztonsági telepítési helyszínen történő használatra terveztek. Az ORFK-FADO rendszer és rendszer eszközöket tartalmazó telephelynek béke- és minősített időszakban történő használatra egyaránt megfelelőnek kell lenni.
Helyi Biztonsági Környezet
34. Az ORFK-FADO rendszer II. osztályú biztonsági terület.a) A telepítés helyszíne:
1139-Budapest, Teve utca 4-6. „A”. épület (a továbbiakban: irodaépület) 3. emeletén a 330. iroda / EU Ellenőrző pontként jelzett II. osztályú biztonsági területen belül kialakított számítógépes munkahelyek.
b) A telepítés környezete:az irodaépület a) alpontban meghatározott helyisége a Rendőrség tulajdonába tartozik, más, nem a Rendőrség tulajdonban lévő épületek 20-30 méteres, illetve annál nagyobb távolságban találhatók. A területen a Rendőrség által biztosított őrszolgálat működik,
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
12
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
mely a külső területeket is folyamatosan felügyeli. A területre elektronikus beléptető rendszeren keresztül vagy kísérettel lehet belépni.
35. Az ORFK-FADO rendszer telephelyének és az ORFK-FADO rendszernek saját, helyi védelmi infrastruktúrával szükséges rendelkeznie. Az üzemeltetés-biztonsági utasítás ennek megfelelően a konkrét telephelyhez igazodik.
36. A helyszínnek meg kell felelnie a szükséges fizikai és eljárási biztonsági követelményeknek. A helyi, fizikai biztonsági környezetnek ellen kell állnia a fizikai biztonsági fenyegetéseknek.
37. Az ORFK-FADO rendszer telepítésére vonatkozó adatok a 6. számú mellékletben találhatók.
Elektronikus Biztonsági Környezet
38. A kompromittáló kisugárzás elleni védelmet a vonatkozó EU szabályzók előírásai szerint kialakított helyi környezet, és az ugyanezen szabályzók szerint a feldolgozható RESTREINT UE legmagasabb minősítési szintnek megfelelő rendszerelemek alkalmazásának kell biztosítania.
Felhasználók
39. Az országos rendőrfőkapitány által konkrét feladat elvégzésére kijelölt felhasználókat a „Rendszer hozzáférési kérelem” nyomtatványon (7. számú melléklet) kell a rendszerbiztonsági felelősnek lejelenteni. A felhasználók érvényes névjegyzékét a rendszer biztonsági felelős kezeli és tartja naprakészen.
40. Az üzemeltetés-biztonsági felelős köteles gondoskodni arról, hogy csak a feljogosított felhasználók tudják használni a rendszert.
41. A rendszerbiztonsági felelős köteles gondoskodni arról, hogy minden feljogosított felhasználó megismerje, és felelősségi körében betartsa a Szabályzatban előírtakat, és mindezek tényét a nyilatkozatban aláírásával igazolja (8. számú melléklet). Ezen túlmenően a rendszerbiztonsági felelős köteles biztosítani azt is, hogy szükség szerint valamennyi felhasználó bármikor és korlátozás nélkül hozzáférjen a Szabályzathoz.
Rendszerbiztonsági események jelentése
42. A felhasználók az általuk biztonsági eseménynek ítélt bármilyen körülményt kötelesek az üzemeltetés-biztonsági felelősnek és ezzel egyidejűleg a rendszerbiztonsági felelősnek a „Jelentés biztonsági eseményről” nyomtatványon (9. számú melléklet) jelenteni. A rendszerbiztonsági felelős értesíti a Rendőrség biztonsági megbízottját, aki haladéktalanul jelentést tesz az NBF elnökének.
Vírus események jelentése
43. Az ORFK-FADO rendszeren talált bármilyen vírust vagy a rendszer bármilyen rendellenes viselkedését a további vizsgálatok és a dokumentálás céljából azonnal jelenteni kell az üzemeltetés-biztonsági felelősnek és a rendszerbiztonsági felelősnek a „Jelentés vírus eseményről” nyomtatványon (10. számú melléklet).
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
13
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Felelősség
Biztonsági Akkreditáló Hatóság
44. Az ORFK-FADO rendszer esetében, – mint EU minősített információt kezelő hazai elektronikus rendszernél – az NBF tölti be az akkreditáló hatóság szerepét. Meg kell keresni az NBF-et minden engedélyezés tárgyában, így az ORFK-FADO rendszer létesítésével, üzemeltetésével, működésének meghosszabbításával, más rendszerekkel történő összekapcsolásával, módosításával, megszüntetésével kapcsolatban. Az NBF határozza meg az újra-akkreditálás feltételeit is.
45. Az NBF tölti be a koordinátori szerepet minden biztonsági, üzemeltetési és kommunikációs hatóság között. Az NBF valamennyi az ORFK-FADO rendszerre vonatkozó biztonsággal kapcsolatos tevékenységet meghatározhat és ellenőrizhet, ideértve azoknak a teljes rendszerre vonatkozó speciális részleteit is, az alábbiak szerint:a) meghatározhatja az ORFK-FADO rendszerrel kapcsolatos biztonsági feltételeket,b) szükség esetén segítség kérhető az NBF-től a rendszer létesítéséhez, üzemeltetéséhez,
módosításához az akkreditálás hatékony végrehajtásához,c) a biztonsági megbízott feladata, hogy biztosítsa az NBF ORFK-FADO rendszer által
felhasznált szoftver és hardver biztonsági szempontjainak, az adminisztratív és fizikai biztonsági irányelveknek és szabályzatoknak kidolgozásával és életbe léptetésével, a kiadott helyi biztonsági intézkedések következetes betartatásával kapcsolatos felügyeleti és ellenőrzési tevékenységét.
Biztonsági megbízott
46. A biztonsági megbízott felelős a szükséges általános biztonsági feltételek kidolgozásáért, végrehajtatásáért és felügyeletéért.
47. A biztonsági megbízott – együttműködve az NBF-el és a rendszerbiztonsági felelőssel – meghatározza a rendszerrel kapcsolatban alkalmazandó valamennyi biztonsági intézkedést. Ezek magukban foglalják az alábbiakat:a) az ORFK-FADO rendszer biztonságos üzemeltetését, a biztonsági megbízott a
Szabályzatban foglaltak betartása érdekében kijelöli a rendszer hozzáférési jogokkal rendelkező rendszerbiztonsági felelőst és az üzemeltetés-biztonsági felelőst (rendszeradminisztrátor),
b) a biztonsági megbízott gondoskodik arról, hogy az ORFK-FADO rendszer felhasználói rendelkezzenek az általuk feldolgozásra kijelölt információ minősítési szintjének megfelelő, illetve a részükre meghatározott minősítési szintű biztonsági tanúsítvánnyal,
c) a biztonsági megbízott határozza meg az ORFK-FADO rendszerre vonatkozó biztonsági irányelveket,
d) a biztonsági megbízott határozza meg a szükséges műszaki biztonsági jellemzőket,e) a biztonsági megbízott határozza meg és tartatja be az ORFK-FADO rendszer
fejlesztésére, telepítésére és tesztelésére vonatkozó biztonsági szabályokat,f) a biztonsági megbízott gondoskodik az ORFK-FADO rendszer fizikai, műszaki,
dokumentációs biztonsági feltételeinek teljesítéséről,g) a biztonsági megbízott minősített adatok feldolgozása előtt meghatározza a működés
során alkalmazandó biztonsági eljárásokat, felelősségeket, és ellenőrzi az előírások betartását,
h) a biztonsági megbízott gondoskodik a Szabályzat előkészítéséről,
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
14
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
i) a biztonsági megbízott előkészíti az akkreditálást, és részt vesz az akkreditálási eljárásban,
j) a biztonsági megbízott javaslatot tesz az üzemeltetés-biztonsági felelősnek a szoftver, hardver, firmware vagy eljárás tervezett módosításainak biztonságára vonatkozóan.
48. Az ellenőrző pontot üzemeltető szervezeti egység vezetője felelős és köteles gondoskodni arról, hogy a „Rendszer hozzáférési kérelem” (7. számú melléklet) nyomtatványon megjelölt személyek valóban érvényes biztonsági tanúsítvánnyal rendelkezzenek.
Rendszerbiztonsági felelős
49. Az rendszerbiztonsági felelős felelősséggel tartozik a Rendőrség biztonsági megbízottja felé a Szabályzat alkalmazásáért. Biztonsági szempontból, a biztonsági megbízott nevében az ORFK-FADO rendszer valamennyi biztonsági feltételének teljesítéséért és betartatásáért, valamennyi hardver és szoftver eleméért felel. Kötelessége:a) előkészíteni a helyszíneket, és részt venni a helyszínek akkreditálási eljárásában,b) előkészíteni az üzemeltetés-biztonsági felelőssel közösen a Szabályzatot,c) tárolni és karbantartani a Szabályzatot, és kezelni az annak elolvasását és
tudomásulvételét igazoló nyilatkozatokat (8. számú melléklet); a nyilatkozatokról vezetett naprakész nyilvántartást megküldeni a biztonsági megbízottnak,
d) ellenőrizni, hogy az ORFK-FADO rendszert az első használatbavétel előtt megfelelően regisztrálták-e a „Regisztrációs kérelem” (11. számú melléklet) kitöltésével,
e) naprakész állapotban tartani a biztonsági megbízott által elkészített jogosult felhasználók jegyzékét, és ellenőrzi annak valódiságát,
f) ellenőrizni az ORFK-FADO rendszerhez hozzáférő személyek hozzáférési feltételeit, valamint a biztonsági előírások ismeretét és betartását,
g) szúrópróbaszerű ellenőrzéseket végeznie, és ezekről nyilvántartást vezetni (12. számú melléklet) a területen levő hardverelemekről; az ellenőrzésekről készült jelentések egy példányát a biztonsági megbízottnak félévente továbbítani,
h) a helyi nyilvántartóval közösen ellenőrizni a minősített adathordozók és kinyomtatott dokumentumok nyilvántartásait,
i) hetente ellenőrizni az eseménynaplót, és az NBF-fel koordináltan elvégzi a helyszín éves ellenőrzéseit,
j) felügyelni az üzemeltetés-biztonsági felelős munkáját,k) az ORFK-FADO rendszer biztonsági körülményeinek valamennyi aspektusáért
felelősséget vállalni.
Üzemeltetés-biztonsági felelős
50. Az üzemeltetés-biztonsági felelős látja el az ORFK-FADO rendszer mindazon felelősségi köreit és adminisztratív tevékenységét, amelyek az ORFK-FADO rendszer üzemeltetése során a biztonsági támogatáshoz, irányításhoz, valamint a nyilvántartási adatbázisok karbantartásához szükségesek.
51. Az üzemeltetés-biztonsági felelős specifikus feladatai a következők:a) a rendszerbiztonsági felelőssel előkészíti a Szabályzatot,b) gondoskodik a Szabályzat betartásáról,c) a felhasználók részére biztonsági és üzemeltetési ügyekben segítséget nyújt,
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
15
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
d) vezeti és karbantartja az ORFK-FADO rendszer elemeinek helyi nyilvántartását az egyedi azonosító számok szerint, és a nyilvántartás egy példányát megküldi a rendszerbiztonsági felelősnek,
e) elkészíti, és folyamatosan vezeti a karbantartási naplót, amelyből egy példányt a rendszerbiztonsági felelősnek továbbít,
f) egyezteti az ORFK-FADO rendszer biztonságával kapcsolatos intézkedéseket a felhasználókkal, a rendszerbiztonsági felelőssel és a biztonsági megbízottal,
g) koordinálja az ORFK-FADO rendszer konfiguráció minden változtatását vagy módosítását a „Feljegyzés konfiguráció változásáról” (13. számú melléklet) és a „Kérelem telepítés/áthelyezés engedélyezésére” (14. számú melléklet) segítségével,
h) az ORFK-FADO rendszerhez nem tartozó eszközöket, azonosíthatatlan vagy ismeretlen forrásból származó adatokat tartalmazó adathordozókat (hardver vagy akár szoftverbővítések) átadja a rendszerbiztonsági felelősnek,
i) elvégzi az ORFK-FADO rendszer rendszeres (havi) eseménynapló ellenőrzését,j) beszámol a rendszerbiztonsági felelősnek az ORFK-FADO rendszeren észlelt
valamennyi biztonsági hiányosságról, a biztonság megsértéséről és a felfedezett sebezhetőségi pontokról, és javaslatot tesz a hiányosságok megszüntetéséhez szükséges intézkedésekre,
k) beszámol a rendszerbiztonsági felelősnek és a biztonsági megbízottnak az EU minősített információt érintő biztonsági szabályok megsértésének minden gyanújáról.
Informatikai és SINA BoxS üzemeltetés-biztonsági felelős
52. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelős biztosítja a helyi hálózat folyamatos működését, az ORFK-FADO rendszer zökkenőmentes üzemeltetését.
53. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelős ellátja a titkosító eszközök mindazon felelősségi köreit és adminisztratív tevékenységét, amelyek a folyamatos működéshez szükségesek.
54. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelős specifikus feladatai: a) a folyamatos működés érdekében szorosan együttműködik a FADO közösséggel
szerződésben álló szolgáltató technikai támogató csoporttal, valamint a FADO Helpline-nal,
b) üzemkiesés esetén tájékoztatja a rendszerbiztonsági felelőst és az üzemeltetés-biztonsági felelőst,
c) elvégzi a titkosító eszközökkel kapcsolatos technikai teendőket, így végzi az eszközök esetleges cseréjét, vonal átállítását tartalék eszközre, valamint további, a FADO közösség által meghatározott, üzemeltető által elvégzendő technikai feladatokat,
d) gondoskodik a tikosító eszközök kódlapjainak szabályszerű tárolásáról,e) gondoskodik az eszközök kezelésére jogosult felhasználók oktatásáról.
55. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelősnek rendelkeznie kell „EC” szintű betekintési engedéllyel.
Rendszer felhasználók felelőssége
56. Az ORFK-FADO rendszer felhasználói kötelesek a Szabályzat előírásait betartani. Ez a kötelezettség vonatkozik a rendszerbiztonsági események jelentési kötelezettségére is.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
16
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Személybiztonság
Általános követelmények
57. Mindenkinek, aki olyan területre lép be, ahová az ORFK-FADO rendszer elemeit és berendezéseit telepítették, tudatában kell lennie annak, hogy közvetlenül kapcsolatba kerülhet az ORFK-FADO rendszerrel, kárt okozhat az ORFK-FADO rendszerben, és közvetlenül hozzáférhet az ORFK-FADO rendszeren kinyomtatott vagy a képernyőn megjelenő minősített információkhoz. Az ORFK-FADO rendszert csak betekintési engedéllyel rendelkező személy használhatja. A betekintési engedély feltétele a „Rendszer hozzáférési kérelem” (7. számú melléklet), mely a betekintési engedély megszerzését nem helyettesíti, hanem annak feltétele.
58. Az ORFK-FADO rendszer fenyegetettsége az ORFK-FADO rendszerhez hozzáférési joggal, megfelelő szakértelemmel, ismeretekkel vagy bármilyen okból szükséges hozzáférési joggal rendelkező személytől is származhat, ebből következően az ORFK-FADO rendszer helyszíneire engedélyezett belépési joggal rendelkező személynek lehetősége van arra, hogy jogosulatlanul vagy nem megengedett módon információt szerezzen, illetve nem feljogosított személyek részére lehetővé tegye az információ megismerését.
Biztonsági Tanúsítvány
59. Az ORFK-FADO rendszer valamennyi biztonságért felelős felhasználójának Biztonsági Tanúsítvánnyal kell rendelkeznie. A Biztonsági Tanúsítvány önmagában nem ad felhatalmazást a minősített információhoz való hozzáféréshez.
Felhasználók
60. Az ORFK-FADO rendszer hozzáférést a „Rendszer hozzáférési kérelem” (7. számú melléklet) kitöltésével a felhasználó kezdeményezi. A kitöltött nyomtatványt a szervezeti egység/részleg vezetőjének javaslatával az rendszerbiztonsági felelős terjeszti fel a biztonsági megbízottnak. Amennyiben minden biztonsági feltétel teljesült, az üzemeltetés-biztonsági felelős felhasználói nevet és az első bejelentkezéshez szükséges ideiglenes jelszót ad a felhasználónak.
61. Az ORFK-FADO rendszer felhasználóit a „Rendszer hozzáférési kérelem” (7. számú melléklet) kiállításával kell azonosítani, ezen kívül az „ismernie szükséges” elvet szigorúan be kell tartani és tartatni.
Látogatók
62. A személyi biztonsági tanúsítvánnyal rendelkező látogatók az ORFK-FADO rendszer elemeinek elhelyezésére szolgáló helyiségekbe kizárólag belépési engedéllyel, míg személyi biztonsági tanúsítvánnyal nem rendelkező látogatók kizárólag kísérettel, a belépés tényének dokumentálásával léphetnek be.
63. Az ORFK-FADO rendszer területen munkát végző szerződéses partnerek és eseti munkatársak (takarítók, stb.) csak kíséret mellett végezhetnek bármilyen tevékenységet.
64. A rendszerbiztonsági felelős, az üzemeltetés-biztonsági felelős és bármely felhasználó az adott rendszer és munkaállomásai helyszínén köteles biztosítani, hogy a látogatók engedély nélkül
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
17
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ne láthassák a minősített nyomtatott dokumentumokat vagy a képernyőt. A nyomtatókat és a képernyőket úgy kell elhelyezni, hogy azokat az eseti látogatók ne láthassák, és meg kell akadályozni, hogy a rendszerhez, annak bármely eleméhez és a rendszerben található bármilyen információhoz hozzáférjenek.
Fizikai biztonság
Általános követelmények
65. A fizikai biztonsági intézkedések célja:a) megakadályozni a minősített információhoz való jogosulatlan hozzáférést,b) megakadályozni az engedély nélküli üzemeltetést/működést,c) megakadályozni a forrásokhoz és szolgáltatásokhoz való jogosult hozzáférés
megtagadását,d) védeni az értékes és sérülékeny rendszert.
Munkaállomások és adathordozók biztonsága
66. A munkaállomás telepítési helyszínén: a) biztonsági ajtózárat kell felszerelni,b) használaton kívül a helyszínt zárva kell tartani,c) a környezet által jól látható helyen a jogosultságokat feltüntető listát kell ki függeszteni,d) a munkaállomás bekapcsolt állapotban maximum 30 percig maradhat felügyelet nélkül,
amennyiben az ajtó zárva van és a munkaállomás jelszavas védelme aktív,e) amennyiben a munkaállomás 30 percnél hosszabb ideig marad felügyelet nélkül, az
állomást ki kell kapcsolni (a gép leállítása után a hálózati áramellátást le kell kapcsolni),f) a munkarendnek megfelelően a munkaidő végén minden kivehető adathordozót
RESTREINT UE anyagok tárolására engedélyezett tárolóba kell elzárni, és onnan csak a munkaidő kezdetekor szabad elővenni.
Környezeti károk elleni védelem
67. Az eszközöket, berendezéseket meg kell védeni, és távol kell tartani a lehetséges környezeti ártalmaktól. Ezek az ártalmak lehetnek: por, magas páratartalom, folyadékok, aeroszolok (például a közvetlen környezetben használt festékszóró), intenzív hő és elektromos kisugárzásra alkalmas eszközök (például hősugárzó, rádiótelefon), amelyek a rendszerben vagy az adathordozókban kárt okozhatnak.
68. Amennyiben súlyos természeti csapás veszélye fenyeget (például zivatar), meg kell tenni a szükséges intézkedéseket a rendszer nagyfeszültség elleni védelme érdekében. A mentéseket a helyszínen tűzálló tárolókazettában, vagy más helyszínen kell biztonságba helyezni és tárolni.
Az ORFK-FADO rendszer és a SINA BoxS titkosító eszközök fizikai védelme
69. Az ORFK-FADO rendszer és a SINA BoxS titkosító eszközök fizikai biztonsági intézkedései a következők:a) elektronikus biztonsági ajtózárat, naplózással ellátott beléptető rendszert kell működtetni,b) a beléptető rendszer naplózásához a biztonsági megbízott és az objektum biztonságáért
felelős személyzet férhet hozzá,
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
18
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
c) a helyszínt folyamatosan zárva kell tartani, az ajtó nyitása csak ki-, illetve belépés idejére engedélyezhető,
d) a környezet által jól látható helyen a jogosultságokat feltüntető listát kell ki függeszteni,e) a helységbe csak a személyes azonosító kód megadásával lehet be-, illetve kilépni, f) egy ajtónyitás ideje alatt több személy belépése csak a rendszerbiztonsági felelős külön
engedélyével lehetséges,g) a beléptető rendszer meghibásodása esetén a biztonságos kijutás érdekében az ajtót úgy
kell kialakítani, hogy belülről vésznyitóval nyitható legyen, a vésznyitóval történő nyitásról írásban értesíteni kell a rendszerbiztonsági felelőst,
h) a beléptető rendszer tartós üzemkimaradása esetén a rendszerbiztonsági felelős engedélyével az ajtó kulccsal is nyithatónak kell lennie,
i) a titkosító berendezést arra alkalmas zárható szekrényben kell elhelyezni,j) a szekrény kulcsát az ORFK-FADO helység kulcsdobozában kell tárolni, amelyhez a
biztonsági felelős, a rendszerbiztonsági felelős, az üzemeltetés-biztonsági felelős, és az informatikai és SINA BoxS üzemeltetés-biztonsági felelős férhetnek hozzá,
k) a titkosító eszközhöz tartozó felhasználói kártyákat minősítésüknek megfelelően kell kezelni és tárolni.
Dokumentumbiztonság
Meghatározás
70. A ”Dokumentum” meghatározás alá tartozik minden olyan, a rendszeren felhasznált, készített vagy kezelt elem, anyag (például szöveg, kép), amely minősített információt tartalmazhat, és amelyet a rendszeren szándékosan vagy bármilyen más módon készítettek vagy kezeltek. Ebbe tartozik a papíron vagy az elektronikus formában levő adat, bármilyen rendszerű cserélhető mágneses adathordozó (floppy lemez, kivehető merevlemez, stb.), beépített adathordozó (merevlemez), tároló memória, kinyomtatott anyag.
Adatfájl csere
71. Amennyiben egy felhasználónak a floppy/CD/DVD meghajtót használnia szükséges, meg kell keresnie az üzemeltetés-biztonsági felelőst. Az üzemeltetés-biztonsági felelős kéri a rendszerbiztonsági felelőstől a floppy/CD/DVD használatának az engedélyezését. A kérelem tartalmazza a munkaállomás nevét, számát, a floppy/CD/DVD használat indokát, a kapcsolati személyeket és a floppy/CD/DVD használat szükségességét igazoló záradékot (15. számú melléklet). A rendszerbiztonsági felelős ellenőrzi a feltételeket és véleményezi a kérelem jogosságát. Amennyiben a kérelemmel a döntési jogkörrel felruházott illetékes vezető is egyetértett, a rendszerbiztonsági felelős megteszi a floppy/CD/DVD használathoz szükséges intézkedéseket.
72. A RESTREINT UE dedikált üzemmódban működtetett rendszerektől eltérő biztonsági szintű rendszerekkel floppy lemezen vagy bármilyen más eltávolítható adathordozón (akár új, akár formatált) történő adatfájl csere esetén a felhasználó az alábbi szabályokat köteles betartani: a) az adatfájl cserét nem lehet rutinszerűen alkalmazni, alapesetben minden adathordozót,
amelyet az ORFK-FADO rendszeren használnak, RESTREINT UE minősítési jelzéssel kell ellátni,
b) adatok (kizárólag dokumentum fájlok) egy alacsonyabb minősítési szintű rendszerből is importálhatók az ORFK-FADO rendszerére, amennyiben a felhasználó fizikai módszerrel garantálni tudja, hogy az adathordozó írásvédett marad (például: floppy
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
19
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
esetében mindkét nyílás nyitott) attól a pillanattól, hogy a meghajtóba helyezik, addig, amíg onnan véglegesen el nem távolítják; ezen túlmenően, a 9. pont e) alpontjában meghatározott vírus ellenőrző szoftverrel ellenőrizni kell, hogy az adathordozó (például a floppy lemez) vírusmentes, még mielőtt használatba vennék; az adathordozó megőrzi az eredeti minősítési szintjét, amennyiben a fenti eljárást követték, egyébként RESTREINT UE minősítésű lesz, és a helyi EU nyilvántartó/ellenőrző pont ellenőrzése alá kerül,
c) adatok (kizárólag dokumentum fájlok) exportálhatók az ORFK-FADO rendszeréről egy alacsonyabb biztonsági szintű rendszerre, amennyiben a dokumentum tartalma szerinti minősítési szint (a fejléc és lábléc alapján azonosíthatóan) azonos vagy alacsonyabb, mint a cél rendszer minősítési szintje; a dokumentum fájlt kizárólag a megfelelő szintre minősített és a minősítési szintnek megfelelően védett adathordozón tárolható (például RESTREINT UE); az exportálandó dokumentum fájlt a csatolt alkalmazásból (például Adobe® Reader®) kell megnyitni, és közvetlenül az adathordozóra kell elmenteni (például a „Fájl/Mentés másként…” opció használatával); szigorúan tilos a dokumentum exportálása bármely más másolási funkcióval, a Windows® Intézővel vagy bármely hasonló fájl menedzserrel, illetve bármely más rendszereszközzel; ezen túlmenően az adathordozóra semmilyen más fajta adat (például alkalmazás fájl) nem írható,
d) az a)-c) pontokban meghatározott eljárással minősített dokumentum és/vagy adathordozó cseréje más szervezettel csak az EU nyilvántartókon keresztül történhet,
e) adathordozók továbbításához olyan hivatalos szervek részére, amelyeket EU minősített információ fogadására nem akkreditáltak, az NBF engedélye szükséges.
73. Magasabb minősítési szintű adatok importálása más rendszerekből (például: EU CONFIDENTIAL) szigorúan tilos.
74. A Rendőrség szervezetén belül, de nem az ORFK-FADO rendszerén történő adatfeldolgozáshoz a feldolgozásra kijelölt gép kizárólag a feldolgozandó információ minősítésének megfelelő biztonsági feltételeket és környezetet garantáló, az NBF által engedélyezett munkaállomás lehet, amely:a) távfelügyelettel nem érhető el,b) más gépről a merevlemezhez nincs hozzáférés,c) nem csatlakozik más rendszerhez (pl. Internet),d) operációs rendszere megegyezik az ORFK-FADO rendszer operációs rendszerével, és
beállításaival, illetve garantálja a megfelelő biztonsági szintet,e) a rendszerbiztonsági felelős jelölte ki, valamint kidolgozta a használatra vonatkozó
biztonsági feltételeket.
Adathordozó és dokumentum minősítés jelölése
75. Valamennyi cserélhető adathordozót, beleértve a nyomtatott dokumentumokat is, RESTREINT UE minősítési jelöléssel kell ellátni (amíg másként nem határozzák meg), és a 2001/264/EK határozatban, valamint az EU Nyilvántartókra vonatkozó utasításokban meghatározottak szerint kell kezelni. Általános szabályként alkalmazandó, hogy valamennyi floppyt, kivehető merevlemezt, – beleértve a rendszer lemezeket is – RESTREINT UE szintre kell minősíteni, kivéve az adatfájl csere eljárásban meghatározottak szerint történt alacsonyabb szintre minősítést.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
20
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Nyomtatott dokumentumokra vonatkozó szabályok
76. Az ORFK-FADO rendszer DEDIKÁLT üzemmódjára tekintettel, valamennyi kinyomtatott minősített dokumentumot a rendszeren futtatható legmagasabb szintnek megfelelően kell kezelni, kivéve, ha az adat tulajdonosa megerősítette, hogy alacsonyabb szintre minősíthető (például jelzi, hogy „Ezen dokumentum kinyomtatás után EU LIMITÉ”, vagy „FADO COMMUNITY ONLY”, vagy a megfelelő minősítési szintet meghatározó fejléccel és lábléccel látta el).
77. A RESTREINT UE kinyomtatott dokumentumot a Rendőrség EU/NATO nyilvántartó alárendeltségében működő Ellenőrzési Pont ügykezelőjének kell a lehető legrövidebb időn belül hivatalosan nyilvántartásba vennie. Az ilyen kinyomtatott dokumentum birtokosa felelős ezért a nyilvántartásba vételért és köteles a nyilvántartó utasításait betartani.
Hulladékra vonatkozó előírások
78. Minden selejtet és hulladékot az ORFK-FADO rendszer minősítési szintjével azonos legmagasabb minősítési szintnek megfelelő módon kell kezelni és tárolni, hacsak a minősítő nem minősítette vissza.
79. Az üzemeltetés-biztonsági felelős köteles biztosítani, és rendszeres időközönként ellenőrizni, hogy minden hulladékot az előírások szerint kezeljenek.
Elszámolhatóság
80. Valamennyi RESTREINT UE anyagot (például valamennyi RESTREINT UE minősítéssel ellátott felhasználói floppyt, CD/DVD lemezt, merevlemezt és kinyomtatott dokumentumot) az ORFK-FADO rendszer helyiségében nyilvántartásba kell venni, és az időszakos ellenőrzések során ellenőrizni kell.
Visszaminősítés és megsemmisítés
81. A szükségtelen adathordozó visszaminősíthető és újra felhasználható, amennyiben az adathordozó teljes területét (boot, fat, adat szektorok) minimum 3-szor legalább kétféle alfanumerikus karakterrel felülírták, majd újra formattálták. Használhatatlan adathordozót elégetéssel, szétzúzással vagy savas maratással kell megsemmisíteni. Floppylemezek az adathordozó felület iratkezelési szabályok szerinti lezúzásával is megsemmisíthetők.
82. Amennyiben az adathordozót meg kell semmisíteni, a megsemmisítési eljárást a rendszerbiztonsági felelős határozza meg.
Hardver és szoftver biztonság
Általános meghatározás
83. Hardver és szoftver külön-külön és együttesen szerves részét képezi az ORFK-FADO rendszer biztonságának. Az ORFK-FADO rendszerelemek szigorú ellenőrzésének hiánya miatt a biztonsági eljárások veszélyeztetése nem megengedhető.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
21
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Hardver és szoftver konfiguráció
84. A ORFK-FADO rendszer hardver konfigurációján bármilyen változtatást vagy módosítást, a tényleges változtatást megelőzően a „Feljegyzés konfiguráció változásáról” nyomtatványon (13. számú melléklet), illetve a „Kérelem a telepítés/áthelyezés engedélyezésére” nyomtatványon (14. számú melléklet) kell jóváhagyatni.
85. Szoftvert az ORFK-FADO rendszerbe a rendszerbiztonsági felelős jóváhagyása nélkül telepíteni tilos. A szoftver konfiguráció ellenőrzése érdekében az ORFK-FADO rendszerre telepített valamennyi szoftvert egyedi verziószámmal és/vagy sorozatszámmal kell azonosítani és nyilvántartani.
Adatcsere eszközök
86. Az ORFK-FADO rendszer floppy és CD/DVD meghajtóinak alapesetben kikapcsolt állapotban kell lennie. Amikor a floppy/CD/DVD használatra már nincs szükség, a floppy/CD/DVD meghajtót újra ki kell kapcsolni. Adatcserére (floppy lemez kivételével) kizárólag olyan adathordozó alkalmazható, amelyet többszörösen írni, felülírni nem lehet (például nem alkalmazható CD-RW, DVD±RW, és USB háttértár).
87. Az ORFK-FADO rendszeren kizárólag a rendszerbiztonsági felelős, illetve az üzemeltetés-biztonsági felelős által vírusmentesség szempontjából ellenőrzött olyan kivehető adathordozó használata engedélyezett, amely megfelel a minősítési szintre meghatározott szabályoknak.
88. A 87. pontnak megfelelően a rendszerbiztonsági felelősnek:a) adatcsere céljára megfelelő számú eltávolítható adathordozót kell előkészítenie,b) az előkészített adathordozókat biztonságos helyen, a Rendőrség EU nyilvántartóban vagy
– amennyiben a biztonsági feltételek teljesültek – a rendszerbiztonsági felelős felügyelete alatt kell őriznie,
c) előkészített adathordozókat kizárólag az adatfájl csere pontban meghatározott feltételek mellett, nyilvántartás szerinti átadás-átvétellel lehet felhasználnia.
89. Nem ellenőrzött adathordozók felhasználása a biztonság súlyos megsértésének minősül, ami az ORFK-FADO rendszer használatbavételi és üzemeltetési engedélyének visszavonását eredményezheti.
Hozzáférés rendje
90. A felhasználó, miután a hozzáférési jogot megkapta, köteles aláírásával igazolni, hogy megismerte és megértette a Szabályzat előírásait (8. számú melléklet).
91. Az ORFK-FADO rendszerhez a hozzáférés ellenőrzés az egyedi felhasználó azonosító (felhasználó név) és jelszó használatával történik.
92. A bejelentkezés után a felhasználó köteles biztosítani, hogy a munkaállomás/terminál ne maradjon felügyelet nélkül, és nyitva vagy kijelentkezéséig más személy részére ne legyen hozzáférhető.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
22
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
93. Azokat a felhasználói neveket, amelyeket 120 napnál hosszabb ideig nem használtak, törölni kell a rendszerből.
94. Azokat a felhasználókat, akiknek hozzáférési engedélyük bármilyen okból érvényét veszítette, azonnal törölni kell a rendszerből.
95. Az ideiglenes hozzáférési engedéllyel felvett felhasználókat az engedély határidejének lejártakor azonnal törölni kell.
Jelszóhasználat
96. Az üzemeltetés-biztonsági felelős állítja be a felhasználói jogokat, és egy belépő jelszót generál. Az ORFK-FADO rendszernek a felhasználó első bejelentkezésekor kérnie kell a felhasználót a jelszó cseréjére.
97. Az ORFK-FADO rendszer szintű felhasználói azonosítókat és jelszavakat a rendszerbiztonsági felelős köteles zárt borítékban az EU nyilvántartóban vagy a biztonsági megbízott által kijelölt helyen tárolni, és RESTREINT UE minősítésű dokumentumként kell kezelni.
98. A – 97. pont kivételével – felhasználói jelszavakat nem szabad felírni. Ha a felhasználó elfelejtette a jelszavát, az üzemeltetés-biztonsági felelős új belépési jelszót generál részére.
99. A felhasználó köteles gondoskodni arról, hogy az ORFK-FADO rendszerbe belépéskor senki ne láthassa a billentyűzetet, amikor a jelszavát beírja. A felhasználói név vagy jelszó bárkivel való megosztása tilos.
100. A jelszavakat cserélni kell:a) a jelszó kompromittálásának gyanúja esetén,b) az ORFK-FADO rendszer biztonságáért felelős személyek jelszavát tartalmazó zárt
borítékok felnyitása (pl. helyettesítés miatt, vagy vészhelyzeti esemény következtében) esetén,
c) időszakonként, de legalább minden harmadik hónapban.
Napi ellenőrzés
101. A rendszeres használat során a napi első felhasználó köteles szemrevételezni az ORFK-FADO rendszert annak érdekében, hogy megállapítsa, illegálisan nem módosították. Ez magába foglalja az ORFK-FADO rendszer valamennyi hardver elemét és kommunikációs csatlakozásait. Minden rendellenességet azonnal közölni kell az üzemeltetés-biztonsági felelőssel.
Nyomtató biztonság
102. Az ORFK-FADO rendszerhez kapcsolt nyomtató memória pufferrel rendelkezik, amelyet a nyomtató kikapcsolásával ki kell üríteni. A puffer memóriában maradt nyomtatási feladatok törlése érdekében a nyomtatónak munkaidőn kívül kikapcsolt állapotban kell lennie. A nyomtató más rendszerekkel nem osztható meg.
Adattárolás
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
23
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
103. Az ORFK-FADO rendszer kizárólag az Eredeti és Hamis Okmányok Online Rendszerrel kapcsolatos hivatalos tevékenység céljára használható. Tilos az ORFK-FADO rendszeren egyénileg generált vagy betöltött adatok bárminemű feldolgozása, tárolása, kezelése, megjelenítése és használata (például különböző videó, kép, grafika).
104. Valamennyi minősített adatot tartalmazó szoftvert és adathordozót – beleértve az új és még nem használt lemezeket – zárt tárolóban (a nyilvántartóban) kell biztonságba helyezni.
Szoftver ellenőrzés
105. Az ORFK-FADO rendszerre telepített minden szoftvert – függetlenül annak minősítési szintjétől – úgy kell ellenőrizni, hogy az adathordozókat az első használatkor a rendszeren feldolgozható legmagasabb minősítési szintnek megfelelően kell minősíteni, és a dokumentum nyilvántartási szabályok szerint kell nyilvántartásba venni és kezelni. Az operációs rendszer vagy más szoftver feltelepítése vagy frissítése előtt a szoftvert tartalmazó adathordozón – amennyiben az már nem rendelkezik az eredeti gyári védelemmel – különálló számítógépen vírusellenőrzést kell végezni.
106. A Brüsszeli FADO Központ hozzájárulása és a rendszerbiztonsági felelős kifejezett engedélye nélkül semmilyen szoftvert nem lehet az ORFK-FADO rendszerre telepíteni.
107. Az ORFK-FADO rendszeren engedély nélküli szoftvert tárolni, telepíteni vagy futtatni tilos.
108. A biztonsági felelősnek a szerveren használt valamennyi adathordozót azonosító számuk szerint negyedévente ellenőriznie kell.
Mesterpéldányok tárolása
109. Valamennyi program (operációs rendszer, programok, segédprogramok és szoftvercsomag) mesterpéldányát az üzemeltetés-biztonsági felelős felügyelete alatt vagy az EU/NATO nyilvántartóban kell tárolni.
A SINA BoxS titkosító eszköz kezelése
110. A SINA BoxS titkosító eszköz kezelésére jogosult:a) az informatikai és SINA BoxS üzemeltetés-biztonsági felelőse,b) amennyiben az informatikai és SINA BoxS üzemeltetés-biztonsági felelőse kioktatta az
eszköz kezeléséről:ba) a rendszerbiztonsági felelős,bb) az üzemeltetés-biztonsági felelős.
111. A SINA BoxS kezelési feladatai a be-, illetve kikapcsolás, újraindítás, kulcsolás, átállítás tartalék eszközre. Ezeken túl kizárólag az informatikai és SINA BoxS üzemeltetés-biztonsági felelőse jogosult eljárni.
112. Az eszköz működése folyamatos jelenlétet nem igényel.
113. Használatba vétel előtt, illetve munka megkezdésekor meg kell győződni az eszköz épségéről, a tapasztalt rendellenességről haladéktalanul értesíteni kell az informatikai SINA BoxS üzemeltetés-biztonsági felelősét, valamint a rendszerbiztonsági felelőst.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
24
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Karbantartás
Hardverkarbantartás
114. A hardver-karbantartási problémákat az üzemeltetés-biztonsági felelőssel kell közölni. Minden karbantartási tevékenységet a rendszerbiztonsági felelősnek vagy az üzemeltetés-biztonsági felelősnek kell jelenteni, és ezek engedélyével és felügyelete alatt lehet elvégezni. A rendszerbiztonsági-, üzemeltetés-biztonsági felelős a karbantartási munkák megkezdése előtt köteles meggyőződni arról, hogy: a) minden minősített kinyomtatott dokumentumot és adattárolót eltávolítottak a
rendszerből,b) a puffer memóriák törlése érdekében az ORFK-FADO rendszer hálózati csatlakozóit
kihúzták a fali csatlakozó aljzatokból.
115. A technikai személyzetet a karbantartás teljes időtartama alatt a rendszerbiztonsági felelős ellenőrzi annak érdekében, hogy ne legyen lehetőség illegális elemek beépítésére.
116. Hardver elemet a rendszerbiztonsági felelős engedélye nélkül kivenni tilos. Ez különösen fontos olyan elemek esetében, amelyek minősített információt tartalmazhatnak. Eltávolítás után az ilyen elemeket – az anyag mennyiségének és minősítésének megfelelően – ellenőrzés alatt kell tartani.
117. A rendszerbiztonsági felelős engedélye nélkül a technikai személyzet nem futtathat diagnosztikai programokat, szalagokat vagy lemezeket és nem viheti ki azokat a helyszínről.
Szoftverkarbantartás
118. Az ORFK-FADO rendszerének rendszer/alkalmazás szoftvereinek karbantartása, a kereskedelemben kapható alkalmazások szoftvereinek frissítése az üzemeltetés-biztonsági felelős feladata. Szoftverkarbantartást csak a biztonsági megbízott engedélyével, a rendszerbiztonsági felelős jelenlétében („kétemberes szabály”) lehet végrehajtani.
Karbantartás nyilvántartás
119. Minden karbantartást a rendszerbiztonsági felelősnek vagy az üzemeltetés-biztonsági felelősnek rögzítenie kell a „Karbantartás nyilvántartása” nyomtatványon (16. számú melléklet). Minden bejegyzésnek tartalmaznia kell a dátumot, a személyeket és a végzett tevékenységet, beleértve a telepített, kiszerelt, javított vagy eltávolított elem megnevezését és egyedi azonosító adatait.
Biztonsági ellenőrzés
Felhasználói felelősség
120. Az ORFK-FADO rendszer valamennyi felhasználója felelős a saját adatainak biztonságáért, és minden rendellenességet azonnal köteles jelenteni az üzemeltetés-biztonsági felelősnek.
Eseménynapló
121. Az ORFK-FADO rendszer eseménynaplót a rendszerbiztonsági felelősnek hetente kell ellenőriznie. Ezen túlmenően biztosítani kell, hogy igény szerint hivatalos helyszíni
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
25
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ellenőrzést végezhessenek a biztonsági felügyeleti szervek (az NBF vagy az EU illetékes szervezetei).
Jelentési kötelezettség
122. Az eseménynapló ellenőrzése során feltárt minden rendellenességet vagy szabálytalan működést a biztonsági megbízottnak ki kell vizsgálnia, és jelentenie kell a rendszerbiztonsági felelősnek. Amennyiben az ORFK-FADO rendszer biztonsági dokumentumaiban meghatározott biztonsági követelmények megsértése történt, a rendszerbiztonsági felelősnek haladéktalanul kezdeményezni kell az utasítás szerinti ellenintézkedések végrehajtását.
Rekordok megőrzése
123. Az előző évek biztonsági ellenőrzéseinek jelentéseit korlátlan ideig meg kell őrizni. Az utolsó hat havi eseménynapló adatokat a rendszerben kell tárolni, és szükség szerint azonnal hozzáférhetővé kell tenni.
Biztonsági másolat, vészhelyzet és rendszerleállás
Biztonsági másolat
124. Az ORFK-FADO rendszeren tárolt EU információt tartalmazó fájlokról hetente biztonsági másolatot (back-up) kell készíteni. A biztonsági másolatok készítéséről nyilvántartást kell vezetni.
125. A nagyobb adatbiztonság érdekében a felhasználók az adataikat csak a rendszer merevlemezén tárolhatják. A mentett fájlokat az EU nyilvántartóban databoxban, illetve a megfelelő biztonsági feltételek megléte esetén, más helyszínen kell tárolni.
Vészhelyzet és helyreállítás
126. Az ORFK-FADO rendszerre a Rendőrség EU/NATO nyilvántartó vészhelyzeti evakuálási és megsemmisítési tervét kell alkalmazni. Ha lehetséges, a kivehető adathordozókat el kell távolítani a berendezésből, és a minősítési szintjüknek megfelelő őrzésükről kell gondoskodni. A berendezések hálózati csatlakozóját az elektromos hálózat fali csatlakozójából ki kell húzni.
127. Tűz esetén a helyi tűzvédelmi szabályokat kell alkalmazni. Ha lehetséges, a berendezéseket ki kell kapcsolni, és hálózati csatlakozókat az elektromos hálózat fali csatlakozójából ki kell húzni, a kivehető adathordozókat megfelelő tárolóba kell helyezni.
128. Az ORF-FADO rendszerét szünetmentes tápegységgel (UPS) kell védeni. Amennyiben a rendszer bármelyik eleme (például nyomtató) leáll, a felhasználónak meg kell várnia, amíg a karbantartás (üzemeltetés-biztonsági felelős) helyreállítja rendszert (ami nem haladhatja meg a 60 percet).
Vírusvédelem
Általános elvek
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
26
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
129. A kommunikációs vagy adatcsere igény potenciális lehetőséget ad bármilyen biztonságos környezetbe történő vírus behatolásra, ezért a 9. pont e) alpontjában meghatározott szoftvert kell beszerezni, valamint a teljes programot rendszeresen frissíteni, és alkalmazni kell minden esetben, amikor új operációs rendszert telepítenek vagy lemezes adatcsere történik. Minél nagyobb az ilyen természetű forgalom, annál nagyobb annak a veszélye, hogy vírus kerül az ORFK-FADO rendszerbe. A védelem megerősítésére fontos gyakorlati technikák: a) felhasználói tudatosság,b) vírusvédelmi szabályok,c) hozzáférés ellenőrzés.
Vírusvédelmi szabályok
130. A vírusfertőzés elleni tevékenység során rendszeresen ellenőrizni kell a vírusvédelmi szabályokat. A vírusfertőzések esélyének minimalizálása érdekében az ORFK-FADO rendszert korlátozott számú felhasználó használhatja, külső forrásból származó lemezek nem használhatóak. Ennek érdekében: a) nem használható Internet oldalakról letöltött szoftver,b) nem használható shareware/freeware program,c) ha további alkalmazásra van szükség, az ORFK-FADO rendszer üzemeltetés-biztonsági
felelős segítségét kell kérni.
131. A vírusfertőzés megelőzése érdekében csak a merevlemezről lehet az ORFK-FADO rendszert betölteni, és a további indítási lehetőségeket (floppy/CD/DVD meghajtó) a BIOS-ban le kell tiltani, valamint a BIOS jelszavas védelmi alkalmazását aktiválni kell. Ezt a helyi üzemeltetés-biztonsági felelős végzi el, amikor a munkaállomást üzembe helyezik. Tilos olyan szoftver tárolása, telepítése és futtatása, amelynek az alkalmazását nem engedélyezték.
132. Az ORFK-FADO rendszeren a 9. pont e) alpontjában meghatározott víruskereső programot kell telepíteni, és az üzemeltetés-biztonsági felelősnek kell biztosítani a folyamatos frissítését. A floppy és a CD/DVD lemezeket (adat lemezek) minden alkalommal ellenőrizni kell.
133. A vírusellenőrző program használatára vonatkozó rendelkezéseket az 1. számú melléklet tartalmazza. A 9. pont e) alpontjában meghatározott vírusellenőrző program naprakész és részletes felhasználói segédletét mindenkor a munkaállomások mellett kell tartani.
Vírus felfedezése és azt követő eljárások
134. A védelmi eszközök ellenőrzik a rendszert a rendszerindítási folyamat és a feldolgozás során. Ha vírust észlelnek, figyelmeztető jelzés jelenik meg, és leállítják a futó feldolgozási folyamatot. Ha ez történik, a felhasználónak úgy kell hagynia a rendszert, ahogy van, és hívnia kell az üzemeltetés-biztonsági felelőst.
135. Vírus esemény észlelésekor a rendszer- és üzemeltetés-biztonsági felelőst (távollétük esetén informatikai ügyeletest) kell értesíteni. Amennyiben a vírusellenőrzés során bármilyen vírust találnak, a „Jelentés Vírus Eseményről” formanyomtatványt (10. számú melléklet) kell kitölteni, és továbbítani kell az NBF-nek a további szükséges intézkedések megtétele érdekében.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
27
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Záró rendelkezés
136. Ez az intézkedés a közzétételét követő harmadik napon2 lép hatályba.
Dr. Bencze Józsefr. altábornagy sk.
2 Hatályba lépés napja: 2009. április 05.ORFK Tájékoztató (OT)2009/9. 2009. április 02.
28
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
1. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Vírusvédelmi irányelvekAz ORFK-FADO rendszer vírusvédelmét a Symantec™ Antivirus Corporate Edition program végzi. A víruskereső és irtó program az ORFK-FADO munkacsoportba be van ágyazva.A szerveren található a vírusirtó Symantec™ Terméktámogatás előírásai szerint konfigurált Szerver (központi kiszolgáló) verziója, amellyel adminisztrálni lehet a munkacsoportban levő gépeken található vírusellenőrző programokat. A munkacsoport többi gépén a vírusellenőrző program kliens (felhasználói) verziója fut.
VírusellenőrzésA vírusfigyelés beállításai lehetővé teszik valamennyi file típusra kiterjedő állandó (real time) vizsgálatot. Ezen felül a program minden hét utolsó munkanapján egy teljes körű adminisztrátori vírusellenőrzést végez.A háttérben futó programot (RTS) a felhasználók gépein nem lehet deaktiválni, nem lehet az alapvető beállításait (állandó figyelés, összes fájltípus, stb.) módosítani, illetve törölni (uninstall), de lehet a felhasználói gépen önállóan is teljes körű vírusellenőrzést indítani.
A vírusellenőrző program frissítéseA lokális hálózat teljesen izolált a külvilágtól, ezért a frissítést (vírusadatbázis, program-kiegészítők) manuálisan, legalább hetente egy alkalommal kell elvégezni. A kliens programok minden egyes számítógép bekapcsoláskor automatikusan ellenőrzik a Szerveren található kiszolgáló vírusirtó verzióját és ha az frissebb, mint a sajátjuk, az esetben automatikusan és azonnal letöltik az új vírusinformációkat a szerverről.
Eljárás vírusfertőzés eseténA program alapértelmezett beállításai szerint a következőképpen jár el: tájékoztató üzenetet küld a támadásról, kísérletet tesz a fertőzött fájl átnevezésére, a fertőzött fájlt áthelyezi a karanténba. rákérdez a fájl törlésére.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
29
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
2. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Az ORFK-FADO rendszer helyi biztonsági személyeiFunkció Név Beosztás Elérhetőség Helyettesítő személy Beosztás Elérhetőség
biztonsági megbízott Bónácz Ibolya r. alezredesÜgykezelési-, Adat-és Titokvédelmi Osztály vezetője
BonaczI@orfk.police.hu30-346
rendszerbiztonsági felelős Tóth János ktv. EU – NATO nyilvántartó TothJanos@orfk.police.hu30-889 Czibere József ka. EU – NATO
nyilvántartóCzibereJ@orfk.police.hu30-516
üzemeltetés-biztonsági felelős Polt Balázs r. őrnagy kiemelt főreferens PoltB@orfk.police.hu30-736 Komár Béla r. hadnagy kiemelt
főreferensKomarB@orfk.police.hu30-737
informatikai és SINA BoxS üzemeltetés-biztonsági felelős Sebestyén Péter ka. főelőadó SebestyenP@orfk.police.hu
30-946 Hapka Sándor r. alezredes kiemelt főreferens
HapkaS@orfk.police.hu33-192
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
30
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
3. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Az ORFK-FADO rendszer telephely szerinti elhelyezkedése
Munkaállomások, nyomtatók és szerverek száma az ORFK-FADO rendszerbenOrszágos Rendőr-
főkapitányságMunkaállomás Szerver Nyomtató
szám jellemző szám jellemző szám jellemző4 db 1 db 1 db
A szerver helyeOrszágos Rendőr-főkapitányság
No. Objektum/épület Osztály Emelet Ajtó Zóna1. „A”. épület Dokumentációs Osztály III. 330 Admin
Aktív hálózati elem helyeOrszágos Rendőr-főkapitányság
No. Objektum/épület Osztály Emelet Ajtó Zóna1. ”A”. épület Dokumentációs Osztály III. 330 Admin
A munkaállomás helye Országos Rendőr-főkapitányság
No. Objektum/épület Osztály Emelet Ajtó Zóna1. „A” épület Dokumentációs Osztály III. 330 Admin2. „A” épület . Dokumentációs Osztály III. 330 Admin3. „A” épület Dokumentációs Osztály III. 330 Admin4. „A” épület Dokumentációs Osztály III. 330 Admin
NyomtatóOrszágos Rendőr-főkapitányság
No. Objektum/épület Osztály Emelet Ajtó Zóna1. „A” épület Dokumentációs Osztály III. 330 Admin
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
31
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
4. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
A SINA BoxS titkosító eszköz minősítési táblázata
Biztonsági Osztályok MegjegyzésConfidential
Restricted
Unclassified
1SINA BoxS
Smartcard/Token nélkül
X Az eszköz specifikus hozzáférést gátló burkolattal
2 SINA BoxScsatlakoztatottSmartcard/Token
–nel
X Egyéni hozzáférés
3 SINA BoxStartozékok és részegységek
X Egyéni hozzáférés
4
Felhasználói Smartcard/Token
X Egyéni hozzáférés/ szállítás és tárolás a PIN-kódoktól elkülönítve
5 Tartozék Smartcard/Token X Egyéni hozzáférés6 SINA S programok (CD-ROM-
on)X
7
PIN-kódok
X Egyéni hozzáférés/ szállítás és tárolás a Felhasználói Smartcard/Token-ektöl elkülönítve
8 Felhasználói kézikönyv X9 A SINA és összes tartozéka,
részegysége Smartcard/Token-ek szállítása
X Csak megbízható szállítóval
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
32
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
5. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Az ORFK-FADO rendszer környezete, folyosói vázlatrajza.
Objektum „A” épület 3.emelet környezete.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
33
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
Folyosó vázlatrajz:
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
34
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
6. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Az ORFK-FADO rendszer összetételeAz 5 gép egy munkacsoportban van, neve: ORFK-FADO rendszer. Az ORFK-FADO rendszer teljesen izolált és független más hálózatoktól.Az ORFK-FADO rendszer szoftverkörnyezete:
Szerver
-Microsoft® Windows® 2000 Server (SP2)-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0
Munkaállomás 1
-Microsoft® Windows® XP Professional SP2-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0
Munkaállomás 2
-Microsoft® Windows® XP Professional SP2-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0
Munkaállomás 3
-Microsoft® Windows® XP Professional SP2-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0
Munkaállomás 4
-Microsoft® Windows® XP Professional SP2-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
35
ORFK Tájékoztató (OT) 362009/9. 2009. április 02.
AZ ORFK- FADO RENDSZER HARDVERKÖRNYEZETE:
Munka-állomás neve Helye CPU
Memória
MbájtMonitor Billentyűzet HDD 1
HDD 2
„A”-meghajt
óNyomtató # Megjegyzés
Szerver 1 330. iroda
Intel Xeon3.2 Ghz
2 GBGABA 15”sn: CM1556CB41874
NEC TKB020sn: CCKB45002954
3 db Quantum 146 GB SCSI U320 10 K HS
1,44 FDD
HP Color Inkjet cp 1700sn: SG263411W9
sn: 803396020009
Munkaállomás 1
330. iroda
Intel P4 6303 GHz
1024 MB
FUS0548 B19-2sn: YEFP600447
Logitech Y-SU45sn: BTD35103982
Samsung HD120IJsn: S0AEJ1LY901364
1,44 FDD sn: 71652
Munkaállomás 2
330. iroda
Intel P4 6303 GHz
1024 MB
FUS0548 B19-2sn: YEFP600606
Logitech Y-SU45sn: BTD35103981
Samsung HD120IJsn: S0AEJ1LY901047
1,44 FDD sn: 71484
Munkaállomás 3
330.iroda
Intel P4A2 GHz
512 MB
SyncMaster 959 NFsn: AQ19H2RTB03880M
Mits. KFK-EA4XTsn: 87153
Seagate ST340810Asn: 5FBAW3KV
1,44 FDD
sn: 4573787007
Munkaállomás 4
330.iroda
Intel P4A2 GHz
512 MB
SyncMaster 959 NFsn: AQ19H2RTB03875Y
Mits. KFK-EA4XTsn: 87154
Seagate ST340810Asn: 5FBAWFZ6
1,44 FDD
sn: 4573787027
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 372009/9. 2009. április 02.
7. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
RENDSZER HOZZÁFÉRÉSI KÉRELEM
Rendszer hozzáférési kérelem
Kapja: Küldő: Rendszer: Dátum:
Intézkedés Teljes név Állam-polgárság
Besorolás Szervezeti egység/részleg azonosítója/megnevezése
Épület/iroda telefon Felvétel /Törlés dátum
Bizt szint
Jogos (AMT)
Különleges előírások vagy megjegyzések:rendszer- üzemeltetés-biztonsági felelős: Aláírás: Dátum:rendszerbiztonsági felelős: Aláírás: Dátum:biztonsági megbízott: Aláírás: Érkeztetés dátuma: Teljesítés dátuma:
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 382009/9. 2009. április 02.
Kitöltési útmutató az ORFK-FADO Rendszer Hozzáférési KérelemhezKapja: üzemeltetés-biztonsági felelős Küldő: Kérelmező szervezetRendszer: A rendszer neve, amelyhez a hozzáférést kérik (pl.: ORFK-FADO Rendszer ) Dátum: A kitöltés dátuma Intézkedés: Az alábbiak közül valamelyik lehet:
A új felhasználó felvételeC hozzáférési információ változásD hozzáférés törléseT hozzáférési jog más felhasználó részére átadása
Teljes név: A hozzáférést kérő személy teljes neve, (vezetéknév, első keresztnév, második keresztnév) Állampolgárság/Nemzetiség: A személy állampolgársága és nemzetisége Szervezet azonosítója: Az intézkedést kérő személy szervezeti egység megnevezéseSzervezet megnevezése: Szervezet/részleg hivatalos rövidítése Épület/iroda: Telefonszám: Belső telefonszám Felvétel/törlés dátuma: Az adott személy felvételének/törlésének kért dátuma Biztonsági Tanúsítvány: Az adott személy biztonsági tanúsítványának szintje (legalább azonos, vagy magasabb, mint a rendszer
minősítési szintje!) Jogosult (AMT - Automated Message Traffic): Szükség szerint egy vagy több jogosultságot lehet megjelölni (pl: R, RA, A):
R Receive Message Traffic (üzenetet fogadhat – kiegészíthető, milyen tárgyú üzeneteket fogadhat, a Biztonsági Tanúsítvány szintjével összhangban)
A Authorised Releaser (jogosult kibocsátó – minősített üzenetet készíthet és továbbíthat)Különleges előírások vagy megjegyzések: Itt kell megadni a különleges hozzáférési jogokat vagy egyéb megjegyzéseket (például új felhasználó,
új rendszerbiztonsági felelős, ideiglenes hozzáférési jogot kér a rendszer üzemeltetés-biztonsági funkcióihoz, stb.)
rendszerbiztonsági felelős: Igazolja valamennyi felhasználó hozzáférési jogának szükségességét. A tényleges végrehajtást megelőzően ellenőrzi, hogy a nyomtatványon szereplő adatokat helyesen adták meg és valamennyi szükséges rovatot kitöltötték.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 392009/9. 2009. április 02.
8. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
NYILATKOZAT A SZABÁLYZAT MEGISMERÉSÉRŐL
Alulírott kijelentem, hogy teljes egészében elolvastam és megértettem az Üzemeltetés-biztonsági Szabályzatot. Az abban foglaltakat betartom és betartatom.
Felhasználói név:
Név/beosztás:
Iroda/tel. szám:
Biztonsági ellenőrzés érvényessége:
Dátum:
Felhasználó aláírása
Felhasználói fiók aktiválás dátuma:
Aláírás (rendszerbiztonsági felelős):
Kitöltés után a biztonsági megbízottnak továbbítandó.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 402009/9. 2009. április 02.
9. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
JELENTÉS BIZTONSÁGI ESEMÉNYRŐL
Kapja: Nemzeti Biztonsági Felügyelet
Küldő: Név Beo. Egység Részleg Iroda Tel
Miért és hogyan következett be az esemény?
Milyen intézkedéseket tettek?
Kit értesítettek vagy vontak be?
Egyéb info:
Állomás azonosító száma:
Számítógép telepítési helye
Számítógép azonosító
rendszerbiztonsági felelős
Tel:
Hardver Info: Számítógép Monitor Billentyűzet Egér Printer EgyébGyártmány
Gyártási szám:
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 412009/9. 2009. április 02.
10. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
JELENTÉS VÍRUS ESEMÉNYRŐL3
Kapja: Nemzeti Biztonsági FelügyeletKüldő: Név Egység Részleg Iroda Telefon
Vírus Info: Vírus neve Vírus felfedezésének dátuma
Vírusfertőzés dátuma
Vírus működésbe lépésének dátuma
Fertőzött fájl/lemez száma
Intézkedések: Fertőzött adathordozót biztonságba helyezték?
Vírust eltávolították?
Felhasznált szoftver?
Ki végezte?
Miért és hogyan történt az esemény?
Honnan származik a vírus?
Egyéb Info:
Állomás azonosító száma:
Számítógép telepítési helye
Számítógép azonosító
rendszerbiztonsági felelős
Tel:
Hardver Info:
Számítógép Monitor Billentyűzet Egér Printer Egyéb
Gyártmány típus:Gyártási sz.:
3 A további intézkedések megtétele érdekében vegye fel a kapcsolatot az Üzemeltetés-biztonsági felelőssel!ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 422009/9. 2009. április 02.
11. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
REGISZTRÁCIÓS KÉRELEM(1. oldal)
Beérkezés dátuma:
ÁLTALÁNOS INFORMÁCIÓKÉpület Szoba Részleg biztonsági
felelős tel:
HARDVER LEÍRÁSProcesszor Gyártó Típus Sorozat sz.Monitor Gyártó Típus Sorozat sz.Billentyűzet Gyártó Típus Sorozat sz.Nyomtató Gyártó Típus Sorozat sz.BIZTONSÁGI ELEMEKRendszer típusa Központi egység Önálló Hálózati4
Üzemmód Dedikált Magas szintű Több szintűA feldolgozható információ legmagasabb minősítési szintje EU EU TS EU S EU C EU R EU U
NEMZETI SZT T B KT NMNYILATKOZAT: (A rendszer nyilvántartásba vétele után kitöltése kötelező amennyiben a rendszeren feldolgozni kívánt információ minősítési szintje RESTREINT UE vagy magasabb.) ”Kijelentem, tudatában vagyok annak, hogy a fentiekben részletezett rendszeren kizárólag és legfeljebb RESTREINT UE minősítési szintű információk feldolgozását engedélyezték mindaddig, amíg magasabb szintű információ feldolgozását a Biztonsági Akkreditáló Hatóság hivatalosan nem hagyta jóvá.”Aláírás TelNév Dátum
4 Hálózat esetén a hálózat valamennyi hardverelemét szerepeltetni kellORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
12. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
HARDVER ELLENŐRZÉSE ÉS VIZSGÁLATA5
Munka-állomás
neve
Helye CPU Monitor Billentyűzet HDD 1HDD 2
„A”-meghajtó
Nyomtató Megjegyzés
Dátum: _____ ____ Aláírás:
5 A Rendszerbiztonsági Felelős kitöltés után a Biztonsági megbízottnak küldje megORFK Tájékoztató (OT)2009/9. 2009. április 02.
43
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
13. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
FELJEGYZÉS KONFIGURÁCIÓ VÁLTOZÁSÁRÓL
Beérkezés dátuma:
A HARDVER JELENLEGI TELEPÍTÉSI HELYEÉPÜLET SZOBA RÉSZLEG BIZTONSÁGI
FELELŐS TEL
HARDVER LEÍRÁSPROCESSZOR Gyártó Típus Sorozat sz.MONITOR Gyártó Típus Sorozat sz.BILLENTYŰZET Gyártó Típus Sorozat sz.NYOMTATÓ Gyártó Típus Sorozat sz.HARDVERTELEPÍTÉSI HELYSZÍN FELÜLVIZSGÁLATÉPÜLET SZOBA RÉSZLEG
KONFIGURÁCIÓ VÁLTOZÁS RÉSZLETES LEÍRÁSA
Aláírás: Tel:Név: Dátum:
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
44
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
KITÖLTÉSI ÚTMUTATÓ A KONFIGURÁCIÓ VÁLTOZÁSÁRÓL KÉSZÜLT FELJEGYZÉSHEZ
A konfiguráció minden változását, beleértve a rendszer telepítési helyszínének változását is a tényleges változtatást megelőzően a Nemzeti Biztonsági Akkreditáló Hatóságnak kell benyújtani. Figyelembe kell venni, hogy az EU minősített információk feldolgozására eredetileg engedélyezett rendszeren történő mindennemű engedély nélkül végzett változtatás az engedély azonnal érvényét veszti. A rendszer biztonságáért felelős valamennyi kijelölt személy egyénileg is felelős a megfelelő engedélyek megszerzéséért még a tervezett változtatások végrehajtása előtt.Minden érintett rendszerre ki kell tölteni a „Feljegyzés konfiguráció változásáról” formanyomtatványt. Például, a printer javasolt áthelyezéséhez két nyomtatvány szükséges: az egyik arra a rendszerre vonatkozik, ahonnan eltávolítják, a másik arra a rendszerre, amelyikhez hozzá kapcsolják.Hiányosan kitöltött, aláírás nélküli vagy nem jogosulatlanul kiállított „Feljegyzés konfiguráció változásáról” formanyomtatványt a Biztonsági Akkreditáló Hatóság nem fogad el és a beterjesztő szervezet vezetőjének visszaküldi.A „Feljegyzés konfiguráció változásáról” formanyomtatványt a konfiguráció változtatásra jogosult személynek kell kitöltenie. Figyelembe kell venni azonban, hogy a rendszer hiányosságainak vizsgálata a rendszer biztonsági felelős közreműködésével történik, ezért javasolt, hogy a tervezett változtatásokról a biztonsági felelőst is időben, még a formanyomtatvány kitöltése előtt, időben tájékoztassák.A rendszer biztonságáért felelős valamennyi kijelölt személy egyénileg is felelős azért, hogy a rendszer hardver elemeinek tényleges adatai azonosak legyenek a „Feljegyzés konfiguráció változásáról” nyomtatványban feltüntetett adatokkal. Bármilyen eltérést írásban kell megindokolni, amit a biztonsági felelősnek kell benyújtani.A rendszerből kivont vagy az adott részlegből fizikailag áthelyezett merevlemezeket is nyilván kell tartani. Azokat csak a minősítési szintjüknek megfelelően lehet megsemmisíteni vagy bármilyen módon áthelyezni. Azokat a merevlemezeket, amelyeket RESTREINT UE szintre minősítettek, minősített dokumentumként kell kezelni és kizárólag a vonatkozó szabályok szerint lehet megsemmisíteni. A kibocsátónak a„Feljegyzés konfiguráció változásáról” formanyomtatványhoz csatolnia kell a merevlemez „Kérelem telepítés/áthelyezés engedélyezésére” formanyomtatványát. Amennyiben szükséges, a merevlemez tényleges megsemmisítéséig a tárolás helyét pontosan meg kell jelölni a „Kérelem telepítés/áthelyezés engedélyezésére” formanyomtatványon. A megfelelő Megsemmisítési Tanúsítványt el kell készíteni.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
45
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
14. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
KÉRELEM TELEPÍTÉS/ÁTHELYEZÉS ENGEDÉLYEZÉSÉRE6
1. ÁTHELYEZÉS RÉSZLETEZÉSEa. Áthelyezés típusa: : Ideiglenes/Véglegesb. Áthelyezés kért dátuma: : c. Visszahelyezés kért dátuma: : 2. JELENLEGI FELHASZNÁLÓ ADATAIa. Név: b. Mellék:c. Egység: d. Részleg:e. Épület: f. Szoba:g. Rendszer
típusa:h. Gyártási
sz.3. ÚJ FELHASZNÁLÓ ADATAIa. Név: b. Mellék:c. Egység: d. Részleg:e. Épület: f. Szoba:g. Javasolt használat: Hálózati / Önálló h. biztonsági felelős neve és melléke: ______________________________________(új
helyszín)j. Legmagasabb biztonsági szint: EU R / EU U k. Biztonsági ellenőrzést kértek: rendszerbiztonsági felelős aláírása/dátum
4. BIZTONSÁGI AKKREDITÁLÓ HATÓSÁG ENGEDÉLYEa. Név: b. Dátum :c. Aláírás:5. RENDSZER BIZTONSÁGI FELELŐS ENGEDÉLYEa. A szoftver engedélyezett: Hálózati rendszerre/Önálló rendszerre* b. Konfiguráció formanyomtatvány
sorszáma:c. Név: d. Dátum:e. Aláírás:6. ÜZEMELTETÉS-BIZTONSÁGI FELELŐS INTÉZKEDÉSEa. Kérelem beadás dátuma: Név :b. Áthelyezés dátuma: Név:
6 a 6. pont kitöltését követően a nyomtatványt a Rendszerbiztonsági Felelősnek kell visszaküldeni.ORFK Tájékoztató (OT)2009/9. 2009. április 02.
46
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
15. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
ENGEDÉLY HAJLÉKONY-LEMEZ MEGHAJTÓ HASZNÁLATÁHOZ
Kérelmező felhasználó:
Munkaállomás helye:
Indokolás:
Használat tervezett dátuma, időpontja:
Másolást végrehajtó személy:
Külső munkaállomás:
(Keltezés)
Felhasználó rendszerbiztonsági felelős
biztonsági megbízott döntése:
Engedélyező
Nyilvántartási szám:
KITÖLTÉSI ÚTMUTATÓ AZ „ENGEDÉLY HAJLÉKONY-LEMEZ MEGHAJTÓ HASZNÁLATÁHOZ” NYOMTATVÁNYHOZ
Kérelmező felhasználó: felhasználó neveMunkaállomás helye: objektum, épület, szobaszám megjelöléseIndoklás: a fájlok másolásának rövid indoklásaMásolás tervezett dátuma, időpontja:a) Másolást végrehajtó személy: neve, funkciója a rendszer vonatkozásában: b) A kérelmező felhasználó és a másolást végrehajtó személyek aláírása.Biztonsági megbízott döntése: engedélyezés, vagy nem engedélyezésKülső munkaállomás: ahol a kimásolt dokumentum feldolgozását végrehajtják Nyilvántartási szám: a másolt dokumentum nyilvántartási száma
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
47
ORFK Tájékoztató (OT) 482009/9. 2009. április 02.
16. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
KARBANTARTÁS NYILVÁNTARTÁSA(A munkaállomásnál kell tárolni)
Dátum Hiba leírás/karbantartás oka Végzett munka leírása
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 492009/9. 2009. április 02.
17. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
MEREVLEMEZ NYILVÁNTARTÓ ŰRLAPMerevlemez nyilvántartási száma:………………………………………………………………Tárolási hely: (objektum, épület, helység): ………………………………………………………..
Sorsz.Átvétel VisszaadásIdő Aláírás Idő Aláírás
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
KITÖLTÉSI ÚTMUTATÓ A „MEREVLEMEZ NYILVÁNTARTÓ ŰRLAP” NYOMTATVÁNYHOZ
Merevlemez nyilvántartási száma: a merevlemezen, illetve a kísérő lapon feltüntetett nyilvántartási számTárolási hely: (objektum, épület, helység): a merevlemez tárolására szolgáló páncélszekrény helységének meghatározása Sorszám: értelemszerűen, további lapok hozzáadása esetén folytatólagosanÁtvétel dátum idő: naptári nap, óra, perc feltüntetésévelÁtvevő: az átvevő neve olvashatóanAláírás: az átvevő aláírásaVisszaadás idő: óra, percAláírás: a visszavétel igazolása
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
50
ORFK Tájékoztató (OT) 2009/9. 2009. április 02.
18. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
KÍSÉRŐLAP MÁGNESES ADATHORDOZÓHOZNyilvántartási száma:……………………. Használatba véve:………….…………Típusa:…………………………………... Méret (kapacitás):……………….…….
Fsz.
Feladat/munkaszám
Adatállomány azonosítója, Felírás kelte
TárgyMinősítés érv. ideje
Felülírás, törlés végrehajtása (dátum, aláírás)
Nyomtatás
Pld. számLap szám
Átvétel (dátum, aláírás )
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
51
ORFK Tájékoztató (OT) 52 2009/9. 2009. április 02.
19. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
HIBÁS BEJELENTKEZÉS NYILVÁNTARTÁSAMunkaállomás megnevezése: ………………………………………………………………………Hely: (objektum, épület, helység): ………………………………………………………………….
Fsz. Dátum, idő Felh. név Hibás bejelentkezés oka Aláírás
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 53 2009/9. 2009. április 02.
KITÖLTÉSI ÚTMUTATÓ A „HIBÁS BEJELENTKEZÉS NYILVÁNTARTÁSA” NYOMTATVÁNYHOZ
Munkaállomás megnevezése: a munkaállomás azonosító neve:Hely: (objektum, épület, helység): Folyószám: folytatólagosan, emelkedő sorrendbenDátum idő: a sikertelen bejelentkezés és a bejegyzés készítésének pontos ideje percnyi pontossággal!Felhasználói név: a sikertelen bejelentkezést végrehajtó felhasználói neve, amelyet a bejelentkezéskor használHibás bejelentkezés oka: a jogosulatlan bejelentkezési kísérlet oka (pl. a jelszó elgépelése, elfelejtése)Aláírás: a bejegyzést készítő aláírásaMegjegyzés: a rendszerbiztonsági felelős az előírt Esemény Napló (Audit Trail) ellenőrzése során kötelesek ezt a nyilvántartást is ellenőrizni és a bejegyzéseket egyeztetni.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 54 2009/9. 2009. április 02.
20. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Az ORFK-FADO rendszer megnevezése
A rendszer teljes neve: Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszere (False and Authentic Documents Online /FADO/). A rendszer rövid neve: ORFK-FADO.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
ORFK Tájékoztató (OT) 55 2009/9. 2009. április 02.
21. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Az ORFK-FADO Rendszer biztonság-felügyeleti struktúrája.
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Nemzeti BiztonságiAkkreditáló
Hatóság
biztonsági megbízott
üzemeltetés-biztonsági Felelős
felhasználó
EU Információ Biztonsági Hivatal
INFOSEC
rendszerbiztonsági felelős
HelyszíniRendszerbiztonsági
felelősök
EU biztonsági / felügyeleti
szervezetek
informatikai és SINA BoxS
üzemeltetés-biztonsági felelős
SHAPE rendszer biztonsági felelős
NACOSA
Nemzetibiztonsági szervezetek
ORFK Tájékoztató (OT) 56 2009/9. 2009. április 02.
22. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez
Kapcsolódó dokumentumok jegyzéke
1. Az ORFK-FADO rendszer Nemzeti Biztonsági Felügyelet által kiadott használatbavételi engedélye2. Az Európai Unió Tanácsának 2001/264/EK határozata a Tanács Biztonsági Szabályzatának elfogadásáról3. Az Európai Unió Tanácsának 2004/194/EK határozata a 2001/264/EK tanácsi határozat módosítására4. Az Európai Unió Tanácsa Információ Biztonsági Hivatala (INFOSEC) által kiadott útmutató a Windows 2000/XP operációs rendszerek biztonsági beállításához (ISP 418 – RESTREINT UE)5. Az Európai Unió Tanácsa Főtitkárságának Minősített Kommunikációs és Információs Rendszerek (Sensitive CIS) Koordinátora által kiadott Akkreditációs Segédlet a Minősített Dokumentumok Minősített Kommunikációs és Információs Rendszeren történő kezelésére (1.0 Változat – 2004. június)6. Az Európai Unió Tanácsa Főtitkárságának Minősített Kommunikációs és Információs Rendszerek (Sensitive CIS) Koordinátora által kiadott Akkreditációs segédlet a Minősített Kommunikációs és Információs Rendszer kialakítását végző csoport részére 7. Az Európai Unió Tanácsának útmutatója az Információs Rendszerek Gyakorlati Biztonságának Kialakítására (ISP 401 – 6.2 Változat/2002. június)8. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a Minősített Elektronikus Információk Visszavonására (ISP 420 – 1.2 Változat/2004. február)9. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a FADO Elérési Pont Általános Rendszerbiztonsági Szabályzatára (ISP 424 – 1.2 Változat/2005. március10. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a FADO Rendszer Rendszerspecifikus Biztonsági Szabályzatára (ISP 417 – 1.1 Változat/2003. szeptember)11. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a FADO Rendszer Üzemeltetés-biztonsági Szabályzatára (ISP 432 – 1.3 Változat/2005. március „FADO COMMUNITY ONLY”)12. AC/35-D/2004. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának megalakítására13. AC/35-D/2005 INFOSEC Management Directive
ORFK Tájékoztató (OT)2009/9. 2009. április 02.
Recommended