91
Mályi Polgármesteri Hivatal Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri Hivatal jegyzője 1/2018. számú JEGYZŐI UTASÍTÁS Mályi Polgármesteri Hivatal INFORMATIKAI BIZTONSÁGI SZABÁLYZATA 3434 Mályi, Széchenyi utca 4. Tel.: 46/529-050 Dr. Zalkadi Adrienn jegyző Dokumentum története Verzió Készült (érvényesség) Változás oka Jóváhagyta Hatálybalépés dátuma 1.1 2018.01.23 ASP működési rend szabályozása Dr. Zalkadi Adrienn 2018.01.23

Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

  • Upload
    others

  • View
    6

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 2/92

Mályi Polgármesteri Hivatal jegyzője

1/2018. számú

JEGYZŐI UTASÍTÁS

Mályi Polgármesteri Hivatal

INFORMATIKAI BIZTONSÁGI

SZABÁLYZATA

3434 Mályi, Széchenyi utca 4. Tel.: 46/529-050

Dr. Zalkadi Adrienn jegyző

Dokumentum története

Verzió Készült (érvényesség)

Változás oka Jóváhagyta Hatálybalépés dátuma

1.1 2018.01.23 ASP működési rend szabályozása

Dr. Zalkadi Adrienn 2018.01.23

Page 2: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 3/92

Tartalom Az Informatikai biztonsági szabályzat ............................................................................................................................ 7

Célok ..................................................................................................................................................................... 7

Felülvizsgálat ................................................................................................................................................................. 8

Hatály ..................................................................................................................................................................... 9

Hatásköri és illetékességi szabályok ........................................................................................................................... 10

Szerepkörök, tevékenységek, felelősségek ................................................................................................................. 10

Elektronikus információs rendszerek biztonsági osztályba sorolása, a Hivatal biztonsági szintje .............................. 16

ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK .......................................................................................................... 18

1.1. HIVATALI SZINTŰ ALAPFELADATOK ...................................................................................................... 18

1.1.1. Informatikai biztonsági szabályzat .............................................................................................................. 18

1.1.2. Az elektronikus információs rendszerek biztonságáért felelős személy...................................................... 18

1.1.3. Az intézkedési terv és mérföldkövei............................................................................................................ 19

1.1.4. Az elektronikus információs rendszerek nyilvántartása .............................................................................. 19

1.1.5. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás ............................................... 20

1.2. KOCKÁZATELEMZÉS ................................................................................................................................ 21

1.2.1. Kockázatelemzési és kockázatkezelési eljárásrend ................................................................................... 21

1.2.2. Biztonsági osztályba sorolás ...................................................................................................................... 22

1.2.3. Kockázatelemzés ....................................................................................................................................... 23

1.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS ....................................................................................... 27

1.3.1. Beszerzési eljárásrend ............................................................................................................................... 27

1.3.2. Erőforrás igény felmérés ............................................................................................................................. 27

1.3.3. Beszerzések ............................................................................................................................................... 27

1.3.4. Az elektronikus információs rendszerre vonatkozó dokumentáció ............................................................. 28

1.3.5. Biztonságtervezési elvek ............................................................................................................................ 29

1.3.6. Külső elektronikus információs rendszerek szolgáltatásai .......................................................................... 29

1.3.7. Független értékelők .................................................................................................................................... 29

1.3.8. Folyamatos ellenőrzés ................................................................................................................................ 29

1.4. ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE ............................................................. 30

1.4.1. Ügymenet-folytonosságra vonatkozó eljárásrend ....................................................................................... 30

1.4.2. Ügymenet-folytonossági terv informatikai erőforrás kiesésekre .................................................................. 30

1.4.3. A folyamatos működésre felkészítő képzés ................................................................................................ 31

1.4.4. Az üzletmenet folytonossági terv tesztelése ............................................................................................... 31

1.4.5. Biztonsági tárolási helyszín ........................................................................................................................ 32

1.4.6. Tartalék feldolgozási helyszín ..................................................................................................................... 32

1.4.7. Infokommunikációs szolgáltatások ............................................................................................................. 32

1.4.8. Az elektronikus információs rendszer mentései .......................................................................................... 33

1.4.9. Az elektronikus információs rendszer helyreállítása és újraindítása ........................................................... 34

1.5. A BIZTONSÁGI ESEMÉNYEK KEZELÉSE ................................................................................................ 34

1.5.1. Biztonsági eseménykezelési eljárásrend .................................................................................................... 34

1.5.4. A biztonsági események figyelése .............................................................................................................. 36

1.5.6. A biztonsági események jelentése ............................................................................................................. 36

1.5.7. Segítségnyújtás a biztonsági események kezeléséhez .............................................................................. 36

1.5.8. Biztonsági eseménykezelési terv ................................................................................................................ 37

1.5.9. Képzés a biztonsági események kezelésére ............................................................................................. 37

1.6. EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ - SZEMÉLY - BIZTONSÁG ............................................... 38

1.6.1. Személybiztonsági eljárásrend ................................................................................................................... 38

1.6.2. Munkakörök, feladatok biztonsági szempontú besorolása.......................................................................... 38

1.6.3. A személyek ellenőrzése ............................................................................................................................ 39

1.6.4. Eljárás a jogviszony megszűnésekor .......................................................................................................... 39

1.6.5. Az áthelyezések, átirányítások és kirendelések kezelése .......................................................................... 41

1.6.6. A Hivatallal szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények ..................... 41

1.6.7. Fegyelmi intézkedések ............................................................................................................................... 43

1.6.8. Belső egyeztetés ........................................................................................................................................ 43

Page 3: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 4/92

1.6.9. Viselkedési szabályok az interneten ........................................................................................................... 43

1.7. TUDATOSSÁG ÉS KÉPZÉS ...................................................................................................................... 45

1.7.1. Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével,

és az e célt szolgáló ágazati szervezetekkel ................................................................................................. 45

1.7.2. Képzési eljárásrend .................................................................................................................................... 45

1.7.3. Biztonság tudatosság képzés ..................................................................................................................... 45

1.7.4. Belső fenyegetés ........................................................................................................................................ 47

1.7.5. Szerepkör, vagy feladat alapú biztonsági képzés ....................................................................................... 47

1.7.6. A biztonsági képzésre vonatkozó dokumentációk ...................................................................................... 48

FIZIKAI VÉDELMI INTÉZKEDÉSEK ........................................................................................................................... 49

2.1. FIZIKAI ÉS KÖRNYEZETI VÉDELEM ........................................................................................................ 49

2.1.2. Fizikai védelmi eljárásrend ......................................................................................................................... 49

2.1.3. Fizikai belépési engedélyek ........................................................................................................................ 50

2.1.4. A fizikai belépés ellenőrzése ...................................................................................................................... 50

2.1.5. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz .......................................................................... 50

2.1.6. A kimeneti eszközök hozzáférés ellenőrzése ............................................................................................. 51

2.1.7. A fizikai hozzáférések felügyelete ............................................................................................................... 51

2.1.8. A látogatók ellenőrzése .............................................................................................................................. 51

2.1.9. Áramellátó berendezések és kábelezés ..................................................................................................... 51

2.1.10. Vészkikapcsolás ......................................................................................................................................... 52

2.1.11. Vészvilágítás .............................................................................................................................................. 52

2.1.12. Tűzvédelem ................................................................................................................................................ 52

2.1.13. Hőmérséklet és páratartalom ellenőrzés .................................................................................................... 52

2.1.14. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem ...................................................... 52

2.1.15. Be- és kiszállítás ......................................................................................................................................... 52

2.1.16. Az elektronikus információs rendszer elemeinek elhelyezése .................................................................... 53

2.1.17. Ellenőrzés ................................................................................................................................................... 54

2.1.19. Karbantartók ............................................................................................................................................... 54

LOGIKAI VÉDELMI INTÉZKEDÉSEK ......................................................................................................................... 55

3.1. ÁLTALÁNOS VÉDELMI INTÉZKEDÉSEK .................................................................................................. 55

3.1.1. Engedélyezés ............................................................................................................................................. 55

3.1.3. Az elektronikus információs rendszer kapcsolódásai.................................................................................. 55

3.1.4. Személybiztonság ...................................................................................................................................... 55

3.2. TERVEZÉS ................................................................................................................................................. 56

3.2.1. Biztonságtervezési szabályzat .................................................................................................................... 56

3.2.2. Rendszerbiztonsági terv ............................................................................................................................. 56

3.2.3. Cselekvési terv ........................................................................................................................................... 56

3.2.4. Személyi biztonság ..................................................................................................................................... 57

3.2.5. Információbiztonsági architektúra leírás ..................................................................................................... 57

3.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS ....................................................................................... 58

3.3.2. A rendszer fejlesztési életciklusa ................................................................................................................ 58

3.3.3. Funkciók, portok, protokollok, szolgáltatások ............................................................................................. 58

3.3.4. Fejlesztői változáskövetés .......................................................................................................................... 58

3.3.5. Fejlesztői biztonsági tesztelés .................................................................................................................... 59

3.4. BIZTONSÁGI ELEMZÉS ............................................................................................................................ 59

3.4.1. Biztonságelemzési eljárásrend ................................................................................................................... 59

3.4.2. Biztonsági értékelések ................................................................................................................................ 59

3.4.3. Speciális értékelés ...................................................................................................................................... 60

3.4.4. A biztonsági teljesítmény mérése ............................................................................................................... 60

3.5. TESZTELÉS, KÉPZÉS ÉS FELÜGYELET ................................................................................................. 60

3.5.1. Tesztelési, képzési és felügyeleti eljárások ................................................................................................ 60

3.5.2. A biztonsági teljesítmény mérése ............................................................................................................... 60

3.3.3. Sérülékenység teszt ................................................................................................................................... 60

Page 4: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 5/92

3.6. KONFIGURÁCIÓKEZELÉS ........................................................................................................................ 61

3.6.1. Konfigurációkezelési eljárásrend ................................................................................................................ 61

3.6.2. Alap konfiguráció ........................................................................................................................................ 61

3.6.3. A konfigurációváltozások felügyelete (változáskezelés) ............................................................................. 62

3.6.4. Biztonsági hatásvizsgálat ........................................................................................................................... 63

3.6.5. A változtatásokra vonatkozó hozzáférés korlátozások ............................................................................... 63

3.6.6. Konfigurációs beállítások ............................................................................................................................ 63

3.6.7. Legszűkebb funkcionalitás .......................................................................................................................... 63

3.6.8. Elektronikus információs rendszerelem leltár ............................................................................................. 63

3.6.9. Konfigurációkezelési terv ............................................................................................................................ 64

3.6.10. A szoftver használat korlátozásai ............................................................................................................... 64

3.6.11. A felhasználó által telepített szoftverek....................................................................................................... 65

3.7. KARBANTARTÁS ....................................................................................................................................... 65

3.7.1. Rendszer karbantartási eljárásrend ............................................................................................................ 65

3.7.2. Rendszeres karbantartás ............................................................................................................................ 65

3.7.3. Karbantartási eszközök .............................................................................................................................. 66

3.7.4. Távoli karbantartás ..................................................................................................................................... 66

3.8. ADATHORDOZÓK VÉDELME ................................................................................................................... 66

3.8.1. Adathordozók védelmére vonatkozó eljárásrend ........................................................................................ 66

3.8.2. Hozzáférés az adathordozókhoz ................................................................................................................ 67

3.8.3. Adathordozók címkézése ........................................................................................................................... 67

3.8.4. Adathordozók tárolása ................................................................................................................................ 67

3.8.5. Adathordozók szállítása .............................................................................................................................. 67

3.8.6. Adathordozók törlése .................................................................................................................................. 67

3.8.7. Adathordozók használata ........................................................................................................................... 68

3.9. AZONOSÍTÁS ÉS HITELESÍTÉS ............................................................................................................... 68

3.9.1. Azonosítási és hitelesítési eljárásrend ........................................................................................................ 68

3.9.2. Azonosítás és hitelesítés (hivatalon belüli felhasználók) ............................................................................ 68

3.9.3. Eszközök azonosítása és hitelesítése ........................................................................................................ 68

3.9.4. Azonosító kezelés ...................................................................................................................................... 68

3.9.5. A hitelesítésre szolgáló eszközök kezelése ................................................................................................ 69

3.9.6. A hitelesítésre szolgáló eszköz visszacsatolása ......................................................................................... 70

3.9.7. Hitelesítés kriptográfiai modul esetén ......................................................................................................... 71

3.9.8. Azonosítás és hitelesítés (hivatalon kívüli felhasználók) ............................................................................ 71

3.10. HOZZÁFÉRÉS ELLENŐRZÉSE ................................................................................................................ 71

3.10.1. Hozzáférés ellenőrzési eljárásrend ............................................................................................................. 71

3.10.2. Felhasználói fiókok kezelése ...................................................................................................................... 72

3.10.3. Hozzáférés ellenőrzés érvényesítése ......................................................................................................... 72

3.10.4. Információáramlás ellenőrzés érvényesítése .............................................................................................. 73

3.10.5. A felelősségek szétválasztása .................................................................................................................... 73

3.10.6. Legkisebb jogosultság elve ......................................................................................................................... 73

3.10.7. Sikertelen bejelentkezési kísérletek ............................................................................................................ 73

3.10.8. A rendszerhasználat jelzése ....................................................................................................................... 73

3.10.10. A munkaszakasz zárolása .......................................................................................................................... 74

3.10.11. A munkaszakasz lezárása .......................................................................................................................... 74

3.10.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek .............................................................. 74

3.10.13. Távoli hozzáférés ....................................................................................................................................... 74

3.10.14. Vezeték nélküli hozzáférés ......................................................................................................................... 75

3.10.15. Mobil eszközök hozzáférés ellenőrzése ..................................................................................................... 75

3.10.16. Külső elektronikus információs rendszerek használata .............................................................................. 75

3.10.17. Információ megosztás................................................................................................................................. 76

3.10.18. Nyilvánosan elérhető tartalom .................................................................................................................... 76

Page 5: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 6/92

3.11. RENDSZER- ÉS INFORMÁCIÓ SÉRTETLENSÉG.................................................................................... 76

3.11.2. Rendszer- és információsértetlenségre vonatkozó eljárásrend .................................................................. 76

3.11.3. Hibajavítás .................................................................................................................................................. 76

3.11.4. Kártékony kódok elleni védelem ................................................................................................................. 77

3.11.5. Az elektronikus információs rendszer felügyelete ....................................................................................... 78

3.11.6. Biztonsági riasztások és tájékoztatások ..................................................................................................... 78

3.11.8. Szoftver és információ sértetlenség ............................................................................................................ 79

3.11.9. Kéretlen üzenetek elleni védelem ............................................................................................................... 79

3.11.10. Bemeneti információ ellenőrzés .................................................................................................................. 79

3.11.11. Hibakezelés ................................................................................................................................................ 79

3.11.12. A kimeneti információ kezelése és megőrzése ........................................................................................... 79

3.11.13. Memória védelem ....................................................................................................................................... 79

3.12. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG .............................................................................................. 80

3.12.1. Naplózási eljárásrend ................................................................................................................................. 80

3.12.2. Naplózható események .............................................................................................................................. 80

3.12.3. Naplóbejegyzések tartalma ........................................................................................................................ 81

3.12.4. Napló tárkapacitás ...................................................................................................................................... 81

3.12.5. Naplózási hiba kezelése ............................................................................................................................. 81

3.12.6. Naplóvizsgálat és jelentéskészítés ............................................................................................................. 81

3.12.7. Naplócsökkentés és jelentéskészítés ......................................................................................................... 82

3.12.8. Időbélyegek ................................................................................................................................................ 82

3.12.9. A naplóinformációk védelme ....................................................................................................................... 82

3.12.11. A naplóbejegyzések megőrzése ................................................................................................................. 82

3.12.12. Naplógenerálás .......................................................................................................................................... 82

3.13. RENDSZER- ÉS KOMMUNIKÁCIÓ VÉDELEM ......................................................................................... 82

3.13.1. Rendszer- és kommunikáció védelmi eljárásrend ...................................................................................... 82

3.13.2. Alkalmazás szétválasztás ........................................................................................................................... 83

3.13.4. Információmaradványok ............................................................................................................................. 83

3.13.5. Túlterhelés – szolgáltatás megtagadás alapú támadás – elleni védelem ................................................... 83

3.13.6. A határok védelme ...................................................................................................................................... 84

3.13.7. Az adatátvitel bizalmassága ....................................................................................................................... 84

3.13.8. Az adatátvitel sértetlensége ........................................................................................................................ 85

3.13.9. A hálózati kapcsolat megszakítása ............................................................................................................. 85

3.13.10. Kriptográfiai kulcs előállítása és kezelése .................................................................................................. 85

3.13.11. Kriptográfiai védelem .................................................................................................................................. 85

3.13.12. Együttműködésen alapuló számítástechnikai eszközök ............................................................................. 85

3.13.13. Nyilvános kulcsú infrastruktúra tanúsítványok ............................................................................................ 85

3.13.14. Mobilkód korlátozása .................................................................................................................................. 86

3.13.15. Elektronikus Információs rendszeren keresztüli hangátvitel (úgynevezett VoIP) ........................................ 86

3.13.16. Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás) ................................................... 86

3.13.17. Biztonságos név/cím feloldó szolgáltatás (un. rekurzív vagy gyorsító tárat használó feloldás) .................. 86

3.13.18. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén ................................................................ 86

3.13.19. Munkaszakasz hitelessége ......................................................................................................................... 87

3.13.21. A maradvány információ védelme .............................................................................................................. 87

3.13.22. A folyamatok elkülönítése ........................................................................................................................... 87

Alapfogalmak ............................................................................................................................................................... 88

Page 6: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 7/92

Az Informatikai biztonsági szabályzat

Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013 évi L. törvényben (a

továbbiakban Ibtv.) kapott felhatalmazás alapján a Mályi Polgármesteri Hivatal (továbbiakban Hivatal)

Informatikai biztonsági szabályzatát az alábbiakban határozza meg.

- meghatározza a célokat, a szabályzat tárgyi és személyi hatályát;

- az elektronikus információbiztonsággal kapcsolatos szerepköröket;

- a szerepkörhöz rendelt tevékenységet;

- a tevékenységhez kapcsolódó felelősséget;

- az információbiztonság hivatalrendszerének belső együttműködését

- az elektronikus rendszerbiztonsággal kapcsolatos főbb területeket.

A szabályzatnak összhangban kell lenni a hatályos jogszabályokkal, köztük az alábbiakkal:

- az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.

törvénnyel,

- az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.

törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs

eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó

követelményekről szóló 41/2015. (VII. 15.) BM rendelet

- az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelettel,

- Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvénnyel.

Az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet értelmében a Hivatalnak

csatlakoznia kell az önkormányzati ASP rendszer szakrendszereihez. A csatlakozás egyik feltétele, hogy

a Hivatal teljesíti az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi

L. törvényben (továbbiakban: Ibtv.) meghatározott követelményeket.

Mivel az ASP nem tartozik a hivatal saját hatókörébe, így az azzal kapcsolatos biztonsági követelmények

megoszlanak a Hivatal és a szolgáltató/üzemeltető között.

A Hivatallal szemben elvárt követelményekkel kapcsolatban figyelembe kell venni a Magyar Állam Kincstár

tájékoztatóit (pl. Tájékoztatás az önkormányzati ASP rendszerekhez csatlakozáshoz megvalósítandó

informatikai biztonsági követelményekről). A Tájékoztató tartalmazza azokat a követelményeket, amelyeket

kötelező jelleggel kell megvalósítania az ASP-hez történő csatlakozással. Ennek megfelelően jelen

Informatikai biztonsági szabályzat az ASP csatlakozási projekt kapcsán kapott információk birtokában

került felülvizsgálatra/elkészítésre. A jogszabály elvárja az önkormányzati ASP-hez történő csatlakozás

után a szabályzat és az eljárásrendek szükség szerinti felülvizsgálatát, ismételt kihirdetését.

Célok

Az Informatikai biztonsági szabályzat célja, hogy a Hivatal számára értéket képviselő információk

védelméről történő gondoskodást szabályozza. Az információ védelmének a célja, hogy biztosítsa az

információ

- rendelkezésre állását (ahol, és amikor kell, az információ elérhető legyen)

- sértetlenségét (az információ legyen hiteles és autentikus)

- bizalmasságát (csak az arra jogosultak jussanak hozzá az információhoz)

Page 7: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 8/92

A szabályzat meghatározza az információk védelméhez szükséges felelősségeket, feladatokat,

folyamatokat és eljárásokat, valamint az általánosan betartandó informatikai üzemeltetési,

információkezelési és viselkedési szabályokat.

A szabályzatban szereplő követelményeket, rendelkezéseket és ajánlásokat a hatályos jogszabályok

keretei között kell használni.

A szabályozás célja a következő:

- a jogkövető magatartás és a jó hírnév érdekében védeni a szervezet értékeit,

- a tudatosság, a szervezettség, a hatékonyság és a technikai megoldások használata segítségével

növelni az információbiztonságot,

- a megelőzés, a tájékoztatás, az oktatás, a felderítés és a szankcionálás eszközeivel segíteni az

intézkedések érvényesítését.

Jelen szabályzat a Hivatal szervezeti szintű információbiztonsági szabályozó rendszerének egyik alapvető

eleme. A hatályos jogszabályokkal, a Hivatal működési és ügyrendi előírásaival összhangban megteremti

az elektronikus információs rendszerek és az azokban kezelt adatok biztonságát. Tartalmazza a Hivatal

elektronikus információs rendszereivel kapcsolatba kerülő személyek felé támasztott minimum információ-

biztonsági követelményeket, továbbá meghatározza azokat az elvárásokat, kötelezettségeket és a

felelősséget, amelyekre a biztonságos információellátás érdekében szükség van. Megfogalmazza azokat

a biztonsági követelményeket is, amelyeket az önkormányzati ASP-hez való csatlakozással teljesíteni

szükséges.

A Hivatal informatikai szolgáltatóival kötött szerződéseknek és azok mellékleteinek összhangban kell

lenniük jelen szabályzattal.

A célok elérése érdekében, az elektronikus információs rendszerek legmagasabb osztályba sorolt

értékének megfelelően további eljárásrendek, részletszabályozások elkészítését a Hivatal vezetője

rendelheti el, az elektronikus információs rendszerek biztonságáért felelős szakmai javaslatára.

A részletszabályozásokat az elektronikus információs rendszerek biztonságáért felelős vagy a Hivatal

vezetője által kijelölt személy készíti el, a rendszergazdával együttműködve, a Hivatal vezetője lépteti

hatályba.

A Hivatal informatikai szolgáltatóival kötött szolgáltatási szerződéseknek és azok mellékleteinek

összhangban kell lenniük jelen szabályzattal.

Felülvizsgálat

A Hivatal az Informatikai biztonsági szabályzatot és hivatkozott eljárásrendjét folyamatosan fejleszti és

tökéletesíti. A szabályzatot évente legalább egy alkalommal felül kell vizsgálni. A megfelelőségi vizsgálat

kiterjed a szabályzat végrehajtásának, valamint a felmerülő informatikai, információbiztonsági és

adatvédelmi eseményeknek és az ezekkel összefüggő biztonsági tevékenységeknek az ellenőrzésére.

A szabályzatot módosítani kell, ha a benne szereplő adatok megváltoztak, ha a Hivatal elektronikus

információs rendszereinek működésében vagy a Hivatal elektronikus információs rendszereinek

működését meghatározó jogszabályi környezetben változások következnek be. Módosítani kell továbbá az

elavult informatikai technológiai megoldások kivezetése, és az új technológiai újítások bevezetése során.

Page 8: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 9/92

A szabályzat felülvizsgálatának, módosításának kezdeményezése és a felülvizsgálat, valamint a módosítás

elvégzése az elektronikus információs rendszerek biztonságáért felelős személy vagy a Hivatal vezetője

által kijelölt személy feladata. A módosítások engedélyezése és az újabb változat jóváhagyása a Hivatal

vezetőjének hatásköre.

Hatály

Az Informatikai biztonsági szabályzat a Hivatal egészére vonatkozik, tárgyi hatálya kiterjed a Hivatal

birtokában levő összes olyan eszközre (például: hardver, szoftver és hálózati elemek, dokumentációk),

amelyek az alaprendeltetésből adódó, a Hivatal ügyviteli tevékenységével kapcsolatos feladatok ellátását

biztosítják. A tárgyi hatály alá esnek mindazon eszközök is, amelyek harmadik személyek birtokában

vannak ugyan, de a fenti tevékenységek ellátását biztosítják. E tárgyi hatályt a Hivatal szolgáltatói,

vállalkozási vagy megbízási szerződések keretében érvényesítik. A szabályzat rendelkezik a Hivatal

tevékenysége során feldolgozott, vagy azzal kapcsolatban keletkezett információk védelméről is, azok

sértetlenségének, hitelességének és rendelkezésre állásának biztosításával, a hatálya kiterjed a kezelt,

keletkezett információkra. A tárgyi hatály kiterjed azokra a hardver és szoftver elemekre, amely

felhasználja, feldolgozza, felügyeli, ellenőrzi, tárolja, továbbítja a Hivatalnál keletkező vagy felhasznált

adatokat, azaz a szakrendszerek használatához szükséges felhasználói (önkormányzati)

munkaállomásokra, szoftverekre, nyomatkészítő eszközökre, kártyaolvasóra, és minden olyan egyéb

eszközre, amely a munkavégzéshez szükséges, továbbá a rendszerelemek dokumentációira.

A szabályzat személyi hatálya kiterjed a Hivatal valamennyi, a Hivatal informatikai rendszeréhez

hozzáféréssel rendelkező munkatársára, szerződéses partnerére (a Hivatal munkavégzésre irányuló

bármely jogviszonyban álló természetes és jogi személyre), akik részt vesznek a Hivatalnál keletkező,

tárolt, illetve továbbított adatok kezelésében. Harmadik személyekkel szemben a Hivatal a személyi hatályt

szolgáltatói, vállalkozási vagy megbízási szerződések keretében érvényesíti.

A szabályzat szervezeti hatálya a Hivatal valamennyi olyan szervezeti egységére kiterjed, amely a Hivatal

elektronikus információs rendszereit használja, üzemelteti, fejleszti, továbbá ilyen tevékenységeket irányít

és ellenőriz. A szabályzat területi hatálya kiterjed a Mályi Polgármesteri Hivatalra, valamint a Szervezeti

és Működési Szabályzat szerinti, a 2013. évi L. törvény hatálya alá tartozó szervezeti egységeire, települési

és nemzetiségi önkormányzatokra.

Időbeni hatály: jelen Informatikai biztonsági szabályzat a kiadás napján lép hatályba, mellyel a korábbi

Informatikai biztonsági szabályzat hatályát veszti.

Jelen szabályzat egyes követelményeinek hatályba lépési időpontja megfelel az adott követelményre a

Hivatal Cselekvési tervében meghatározott határidőnek, összhangban a 2013. évi L. törvénnyel, a

törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre,

termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről

szóló 41/2015. (VII. 15.) BM rendelettel, a Hivatalra és az elektronikus információs rendszereire érvényes

biztonsági osztályhoz és szinthez előírt határidővel.

Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer

fejlesztése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig

teljesíteni kell.

Page 9: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 10/92

Hatásköri és illetékességi szabályok Az Informatikai biztonsági szabályzat és a kapcsolódó eljárásrendek, módszertanok, nyilvántartások

kizárólag a Hivatal belső használatú dokumentumai, amelyeket a Hivatal elektronikus információs

rendszerének felhasználói (a szabályzat személyi hatálya alá tartozók) kizárólag a rájuk vonatkozó

követelmény szerint megismerhetnek, de azokat illetékteleneknek nem adhatják tovább.

Szerepkörök, tevékenységek, felelősségek

A Mályi Polgármesteri Hivatal szervezeti szintű felépítését a Szervezeti és Működési Szabályzatban

(SzMSz) rögzíti. Az elektronikus információs rendszer biztonsága érdekében történő, a Hivatalon belüli

együttműködés jelen szabályzat tételes előírásain túl az érintett személyek önkéntes, szabálykövető

magatartásán és biztonságtudatos, proaktív viselkedésén is alapul.

Az egyes kontrollfolyamatokban kötelező együttműködési szabályokat az eljárásrendek vonatkozó

előírásai részletezik.

Általában minden érintett személy köteles:

- jelen szabályzat és kapcsolódó dokumentumok előírásait megismerni és magára nézve,

nyilatkozat keretében kötelezőnek elismerni,

- az információbiztonsági tárgyú belső képzéseken részt venni,

- személyét érintő biztonsági ellenőrzéseket, auditokat tűrni, azokban az ellenőrző személyek

kérése szerint részt venni,

- az általa biztonsági eseményként vélelmezett történéseket a felettes vezetőnek és/vagy az

Információbiztonsági felelős munkatárs felé jelenteni.

Az Információbiztonsági szabályzat (és kapcsolódó dokumentumai) előírásainak betartása, betartatása,

illetve a napi szintű munkavégzés során annak alkalmazása a dokumentum személyi hatálya pontban

megjelöltek számára kötelező. A szabályok be nem tartása jogi, munkaügyi, illetve szerződésben

meghatározott következményeket vonhat maga után. A szabályzat el nem olvasása nem mentesít a

felelősség alól.

A Hivatali munkavégzéshez szükséges elektronikus információs rendszereket csak a hozzáférési

jogosultság tudomásulvételét és a kapcsolódó szabályok megismerését igazoló nyilatkozat (Felhasználói

titoktartási nyilatkozat) aláírása után lehet használatba venni.

Az információbiztonság megvalósítása, fenntartása, fejlesztése és ellenőrzése érdekében a Hivatal a

feladatok és felelősségek tekintetében az alábbi szerepköröket azonosítja:

Page 10: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 11/92

Szerepkör Főbb felelősségek, tevékenységek

az elektronikus

információs

rendszerek védelméért

felelős vezető

(a Hivatal vezetője,

a jegyző)

1. biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály

tekintetében a jogszabályban meghatározott követelmények teljesülését,

2. biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban

meghatározott követelmények teljesülését,

3. az elektronikus információs rendszer biztonságáért felelős személyt nevez ki

vagy bíz meg,

4. meghatározza a szervezet elektronikus információs rendszerei védelmének

felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra

vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,

5. gondoskodik az elektronikus információs rendszerek védelmi feladatainak és

felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai

információbiztonsági ismereteinek szinten tartásáról,

6. rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok

lefolytatása révén meggyőződik arról, hogy a szervezet elektronikus információs

rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak,

7. gondoskodik az elektronikus információs rendszer eseményeinek nyomon

követhetőségéről,

8. biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére

álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő

gyors és hatékony reagálásról, és ezt követően a biztonsági események

kezeléséről,

9. ha az elektronikus információs rendszer létrehozásában, üzemeltetésében,

auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe,

gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként

teljesüljenek,

10. ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez

közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak

szerződéses kötelemként teljesüljenek,

11. felelős az érintetteknek a biztonsági eseményekről és a lehetséges

fenyegetésekről történő haladéktalan tájékoztatásáért,

12. megteszi az elektronikus információs rendszer védelme érdekében felmerülő

egyéb szükséges intézkedéseket,

13. a feladatokért a szervezet vezetője a 9. és l0. pontjában meghatározott esetben

is felelős, kivéve azokat az esetköröket, amikor jogszabály által kijelölt központi

adatkezelőt és adatfeldolgozó szolgáltatót kell a szervezetnek igénybe venni,

14. a jogszabály által kijelölt központi adatkezelő és adatfeldolgozó szolgáltató

igénybevétele esetén a feltételek teljesítését a jogszabály által kijelölt központi

adatkezelő és adatfeldolgozó szolgáltató úgy biztosítja, hogy közreműködik a

szervezet és az elektronikus információs rendszer biztonságáért felelős személy

feladatai ellátásában a jogkörébe tartozó tevékenységek tekintetében, a két

szervezet közötti feladatmegosztást kétoldalú szolgáltatási szerződések

biztosítják, amelyek a központi szolgáltató felett felügyeletet gyakorló miniszter

vagy megbízottja ellenjegyzésével lépnek hatályba,

15. együttműködik a hatósággal a hatóság feladatainak elvégzésében, ennek során

az Ibtv. 12. § alapján:

a) az elektronikus információs rendszer biztonságáért felelős személyről

tájékoztatást nyújt,

b) a szervezet Informatikai biztonsági szabályzatát tájékoztatás céljából

megküldi,

c) az ellenőrzés lefolytatásához szükséges feltételeket biztosítja a hatóság

részére.

Page 11: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 12/92

Szerepkör Főbb felelősségek, tevékenységek

az elektronikus

információs

rendszerek

biztonságáért felelős

személy (vállalkozási

szerződés alapján külső

szakértő)

1. feladata ellátása során a Hivatal vezetőjének közvetlenül adhat tájékoztatást,

jelentést,

2. felel a Hivatalnál előforduló valamennyi, az elektronikus információs rendszerek

védelméhez kapcsolódó feladat ellátásáért,

3. gondoskodik a Hivatal elektronikus információs rendszereinek biztonságával

összefüggő tevékenységek jogszabályokkal való összhangjának

megteremtéséről és fenntartásáról,

4. elvégzi vagy irányítja a 3. pont szerinti tevékenységek tervezését, szervezését,

koordinálását és ellenőrzését,

5. előkészíti a Hivatal elektronikus információs rendszereire vonatkozó informatikai

biztonsági szabályzatot, eljárásrendeket, terveket

6. előkészíti a Hivatal elektronikus információs rendszereinek biztonsági osztályba

sorolását és a szervezet biztonsági szintbe történő besorolását,

7. véleményezi az elektronikus információs rendszerek biztonsága szempontjából

a Hivatal e tárgykört érintő szabályzatait és szerződéseit,

8. kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal,

9. a törvény hatálya alá tartozó bármely elektronikus információs rendszerét érintő

biztonsági eseményről a jogszabályban meghatározottak szerint tájékoztatni

köteles a jogszabályban meghatározott szervet,

10. biztosítja a törvényben meghatározott követelmények teljesülését a Hivatal

valamennyi elektronikus információs rendszerének a tervezésében,

fejlesztésében, létrehozásában, üzemeltetésében, auditálásában,

vizsgálatában, kockázatelemzésében és kockázatkezelésében,

karbantartásában vagy javításában közreműködők, ha a Hivatal az adatkezelési

vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, a

közreműködők a törvény hatálya alá tartozó elektronikus információs rendszereit

érintő, biztonsággal összefüggő tevékenysége esetén.

11. a törvény szerinti feladatai és felelőssége a 10. pont szerinti esetekben más

személyre nem átruházható,

12. jogosult az 10. pont szerinti közreműködőktől a biztonsági követelmények

teljesülésével kapcsolatban tájékoztatást kérni. Ennek keretében a

követelményeknek való megfelelőség alátámasztásához szükséges bekérni a

közreműködői tevékenységgel kapcsolatos adatot, illetve az elektronikus

információs rendszerek biztonsága tárgyában keletkezett valamennyi

dokumentumot.

13. nyilvántartja az elektronikus információs rendszereket

14. nyilvántartást vezet a biztonsági incidensekről

15. nyilvántartást vezet az információbiztonsági és biztonsági eseménykezelési

oktatásokról

Elektronikus

információs rendszer

biztonságával

összefüggő feladatok

ellátásában részt vevő

személy

(az elektronikus

információs rendszer

biztonságáért felelős

személy)

1. Feladata az állami és önkormányzati szervek elektronikus

információbiztonságáról szóló 2013. évi L. törvényt kielégítő informatikai

biztonsági rendszerrel kapcsolatos, a jegyző és az elektronikus információs

rendszer biztonságáért felelős szakmai utasításainak megfelelő feladatok

elvégzése.

Page 12: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 13/92

Szerepkör Főbb felelősségek, tevékenységek

Megbízott szervezeti

egység vezető

(osztály/irodavezetők,

hiányukban a Hivatal

vezetője)

1. együttműködik az elektronikus információs rendszerek biztonságáért felelőssel,

az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő

személyekkel, felhasználókkal szembeni elvárások, szabályok, felelősségek,

kötelező vagy tiltott tevékenységek, viselkedési szabályok meghatározásában.

2. gondoskodik arról, hogy a felelőssége alá tartozó szervezeti egység

munkatársai megismerjék és betartsák a rájuk vonatkozó információbiztonsági

követelményeket, szabályokat

3. közreműködik az elektronikus információs rendszerek biztonságáért felelős által

tartott előző pontban megjelölt követelmények teljesülésének ellenőrzése során,

4. saját és a felelőssége alá tartozó munkatársak információbiztonsági,

informatikai fennakadásról tett észrevételeit jelenti a rendszergazdának

Adatgazda

(szervezeti egység

vezető)

1. meghatározza a hatókörébe tartozó elektronikus információs rendszerekhez,

adatokhoz, tevékenységekhez hozzáférők körét,

2. engedélyezi a szükséges jogosultságokat a hatáskörébe tartozó elektronikus

információs rendszerek, adatok, tevékenységek tekintetében (nyilatkoztatást

követően),

3. a jogosultságok kiosztásánál törekedni kell a „legkisebb jogosultság” elvének

érvényesítésére, vagyis mindenki a munkája elvégzéséhez szükséges

jogosultságot kapja meg,

4. közreműködik az információbiztonsági kockázatok elemzésében.

Rendszergazda

(vállalkozási szerződés

alapján külső szakértő)

1. felelős az elektronikus információs rendszerek felügyeletéért, az alkalmazások,

a kiszolgálók és az alapszoftverek, az informatikai hálózat és a munkaállomások

működésének folyamatos figyelemmel kísérésért, az üzemeltetéshez szükséges

dokumentációk kidolgozásáért, a törvényi előírásoknak megfelelő

nyilvántartások vezetéséért és naprakészen tartásáért.

2. elvégzi és felügyeli az informatikai hálózat, számítógépek, eszközök biztonsági

beállításait (pl. operációs rendszer, router beállítások),

3. telepíti és felügyeli a Hivatal munkájához szükséges szoftvereket, a Hivatal

Szoftver Etikai Kódexében megfogalmazott elveknek megfelelően,

4. biztosítja a rendszerfelügyeletet, a felhasználói fiókok felügyeletét,

5. felügyeli a fizikai belépést ellenőrző eszközöket

6. az elektronikus információs rendszer biztonságáért felelős személlyel és az

adatgazdákkal együttműködve kialakítja és működteti az adatokhoz,

rendszerekhez való hozzáférési jogok rendszerét,

7. közreműködik az információbiztonsági felelőssel és az adatgazdákkal az

információbiztonsági kockázatok elemzésében,

8. elvégzik a logok elemzését és jelentést készít róla az elektronikus információs

rendszerek biztonságáért felelős felé

9. információbiztonsági incidens észlelése esetén haladéktalanul jelentést tesz az

elektronikus információs rendszerek biztonságáért felelős felé, a biztonsági

esemény elhárítását megkezdi, az eredményéről tájékoztatást nyújt az

érintetteknek

10. saját hatókörében rendszeres fizikai és logikai karbantartásokat végez és

dokumentál (karbantartásinapló),

11. az az elektronikus információs rendszer biztonságáért felelőssel közreműködve,

meghatározza az információbiztonsági követelmények megvalósításához

szükséges informatikai eszközöket,

12. elvégzi az időszakos mentéseket, szükség szerinti helyreállításokat,

visszaállítási teszteket és jegyzőkönyvezi azokat,

13. hiba esetén elvégzi vagy felügyeli az eszközök javítását (a szerződésnek/a

jegyző utasításának megfelelően vagy vele egyeztetve),

Page 13: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 14/92

Szerepkör Főbb felelősségek, tevékenységek

14. közreműködik az elektronikus információs rendszer biztonságáért felelőssel a

BCP/DRP tervek kidolgozásában és megvalósításában,

15. kidolgozza a hatáskörébe tartozó üzemeltetési eljárásokat,

16. az elektronikus információs rendszer biztonságáért felelőssel egyeztetve vezeti

az Informatikai biztonsági szabályzatban előírt nyilvántartásokat, vagy számára

alap adatokat szolgáltat (a Hivatal vezetőjének utasítása szerint), pl.:

a) hardver/ szoftver nyilvántartás

b) alapkonfiguráció nyilvántartása

c) informatikai szolgáltatást nyújtó szerződött partnerek listája,

d) jogosultságok nyilvántartása (eszközökhöz, rendszerekhez, felhasználói

fiókok)

e) jogosultságigények nyilvántartása

f) hordozható eszközök listája, kiadott eszközök nyilvántartása

g) karbantartások naplózása, karbantartást végzők listája

h) szerverterembe történő belépés logolása

i) minden egyéb olyan nyilvántartás, amelyet az elektronikus információs

rendszer biztonságáért felelős vezető a hatókörében előír, pl.:

j) belépésre jogosultak listája (irodákba, hivatali helyiségekbe)

k) nyilvántartja a fizikai belépést ellenőrző eszközöket

Felhasználók

(a szabályzat személyi

hatálya alá tartozók a

közszolgálati

jogviszony, a

munkaviszony alapján

foglalkoztatott

munkatársak, a

Hivatallal szerződéses

kapcsolatban álló

természetes és jogi

személyek)

1. köteles az információbiztonsági szabályzatban rá vonatkozó szabályokat

megismerni, elolvasni

2. betartja végrehajtja az elektronikus információbiztonsági szabályokat,

utasításokat, magatartásával segíti a hatékony és biztonságos informatikai

biztonság megteremtését,

3. együttműködik a Hivatalt érintő információbiztonsági kérdéskörökben

felettesével és az elektronikus információs rendszerek biztonságáért felelőssel

4. haladéktalanul jelenti felettesének vagy a rendszergazdának, ha az informatikai

rendszerben fennakadást, leállást, zavart, jogosulatlan hozzáférést észlel, ha

információbiztonsági eseményt/incidenst észlel,

5. Információbiztonsági incidens esetén - ha az személyét érinti, vagy felettese

erre felkéri - együttműködik a kivizsgálásban,

6. bizalmasan kezeli felhasználói azonosítóját, jelszavait, védett zónákba belépést

biztosító kártyáit, kódjaikat,

7. köteles részt venni a Hivatalon belül szervezett információbiztonsági

oktatásokon, illetve a jegyző utasítása szerint más külső oktatásokon,

8. a birtokában lévő, vagy tudomására jutott információkat bizalmasan kezeli,

9. felelőséggel tartozik a munkavégzése során az elektronikus információs

rendszerben végzett feladatokért, a szakrendszerek szakszerű használatáért,

10. felelősséggel tartozik a munkavégzéséhez szükséges, számára kiadott

eszközök megfelelő fizikai, logikai védelméért,

11. elszámoltatható minden olyan tevékenységért, amelyet bárki a számára kiadott

azonosítói alapján végzett,

12. valamennyi üzemeltető, pl. az ASP központ működtetője által kiadott

felhasználói biztonsági követelményeket köteles követni és betartani,

13. megtagadhatja az utasítást, ha annak végrehajtása jogszabályba, az

informatikai biztonsággal kapcsolatos kiadott utasításba, szabályzatba ütközik,

vagy megítélése szerint veszélyeztetné az informatikai biztonságot,

14. köteles az utasítást adó figyelmét felhívni és egyben kérheti az utasítás írásba

foglalását, ha az, vagy annak végrehajtása jogszabályba vagy a kiadott

informatikai biztonsággal kapcsolatos utasításba ütközne, vagy teljesítése kárt

idézhet elő, és a felhasználó a következményekkel számolhat, vagy az utasítás

Page 14: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 15/92

Szerepkör Főbb felelősségek, tevékenységek

az érintettek jogos érdekeit sérti. Az utasítást adó felettes az utasítás írásba

foglalását nem tagadhatja meg.

15. Az utasítástól való eltérést felettesének azonnal jelezni kell.

Weblap fejlesztő,

üzemeltető, tartalom

felelős

Weblap fejlesztő:

1. a mindenkori OWASP top 10-es sérülékenységek ellenőrzése, a

nyilvánosságra hozott hibák kijavítása, a weblap motor / telepített modulok

folyamatos ellenőrzése, frissítése

Üzemeltető:

1. a védekezés külső (belső) támadás ellen,

2. a használt szolgáltatások folyamatos frissítése karbantartása,

3. lehetőség szerint a szolgáltatások verziószámainak elrejtése

A tartalom felelős (Hivatal által kijelölt munkatárs):

1. a jogszabályi követelményeknek megfelelően a tartalom ellenőrzéséért felelős

által jóváhagyott tartalom feltöltési és karbantartási feladatok ellátása, a Hivatal

weboldalán elsősorban hírközlő, információs, tájékoztató jellegű adatok közlése

(a település bemutatása, aktuális hírek, információk közlése az állampolgárok

számára),

A tartalom ellenőrzéséért felelős (Hivatal által kijelölt vezető vagy munkatárs):

1. a tartalom feltöltése előtt átvizsgálja és rendszeres időközönként ellenőrzi a

nyilvánosan hozzáférhető elektronikus információs rendszertartalmat a nem

nyilvános információk tekintetében és eltávolíttatja azokat.

ASP Központ super

adminisztrátor

1. az önkormányzat által bérlő fiókonként, tenantonként kijelölt önkormányzati ASP

adminisztrátor (tenant adminisztrátor) felvétele, annak adminisztrációja és

karbantartása

ASP adminisztrátor

(tenant adminisztrátor)

1. az önkormányzati ASP adminisztrátor feladata a bérlő fiók, tenant

(önkormányzat, intézmény, nemzetiségi önkormányzat) szintű felhasználó

kezelés, azaz:

a) az adott tenant felhasználóinak felvétele és szakrendszeri

szerepkör(ök)höz rendelése, annak adminisztrációja és karbantartása,

b) intézményi kapcsolattartóként az adott tenant felhasználók tanúsítvány

igénylésének adminisztrációja és karbantartása, illetve a tanúsítványokat

hordozó tokenek csoportos átvétele és felhasználók közötti kiosztása,

2. az önkormányzat szakrendszeri adminisztrátor(ok) feladata a szakrendszer

szintű jogosultságkezelés, azaz a szolgáltatást igénybe vevő felhasználók

számára a szakrendszeri jogosultságok beállítása, adminisztrációja és

karbantartása.

Az információbiztonsággal kapcsolatos felelősségeket, tevékenységeket a munkaköri leírásokkal

összhangba kell hozni.

Page 15: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 16/92

Elektronikus információs rendszerek biztonsági osztályba sorolása, a Hivatal biztonsági szintje

A Hivatal az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.

törvény 7. § (1) bekezdésében foglaltak alapján, valamint a törvényben meghatározott technológiai

biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és

biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet 1. és 2. sz.

melléklete és a Kockázatkezelési eljárásrend alapján biztonsági osztályba kell, hogy sorolja saját

elektronikus információs rendszereit, meg kell állapítania a Hivatal elvárt és aktuális biztonsági szintjét.

Az elektronikus információs rendszerek biztonságáért felelős személy feladata, hogy a rendszerek

biztonsági osztályba sorolását elvégezze, a Hivatal biztonsági szintjét megállapítsa, Osztályba és szintbe

sorolás melléklet-ben, Rendszerbiztonsági tervben vagy egyéb dokumentumban rögzítse, szükség esetén

jelen Informatikai biztonsági szabályzatot aktualizálja, a hatósági adatszolgáltatást előkészítse és a jegyző

számára előterjessze. A biztonsági osztályba sorolást, a Hivatal vagy szervezeti egység biztonsági szintbe

sorolását, az Informatikai biztonsági szabályzatot a Hivatal vezetője hagyja jóvá, és felel annak a

jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és

időszerűségéért, gondoskodik a módosított szabályzat életbe léptetéséről, az elektronikus információs

rendszerek biztonságáért felelős személy közreműködésével az adatszolgáltatás teljesítéséről a Hatóság

(Nemzeti Kibervédelmi Intézet Nemzeti Elektronikus Információbiztonsági Hatóság) által előírt módon.

A biztonsági osztályba sorolás eredményét a kizárólag az érintettek és a Hatóság számára hozzáférhető

dokumentum, a [NEIH-OVI] Osztályba sorolás és védelmi intézkedés, a szintbe sorolás eredményét a

[NEIH-SZVI] Szintbe sorolás és védelmi intézkedés űrlapok (illetve XML állományok) tartalmazzák.

Az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet és Magyarország helyi

önkormányzatairól szóló 2011. évi CLXXXIX. törvény 114. §-a előírja az önkormányzat számára, hogy

csatlakozzon az állam által biztosított önkormányzati ASP rendszerhez, amely egy központi fejlesztésű,

üzemeltetésű és szolgáltatású elektronikus információs rendszer. A szolgáltatást a 257/2016 (VIII. 31.)

Korm. rendelet alapján a Magyar Államkincstár működteti, az önkormányzati ASP szakrendszereinek a

biztonsági osztályba sorolását a Magyar Államkincsár végzi, és arról a Hivatalnak tájékoztatást kell

küldenie. A Hivatalnak az önkormányzati ASP szakrendszereinek Magyar Államkincstár által megállapított

biztonsági osztályát meg kell jelenítenie a saját Informatikai biztonsági szabályzatában, ahol a

megállapításra került legmagasabb biztonsági osztályt kell alapul venni.

A 2013. évi L. törvény 9. § (4) bekezdésében foglaltak alapján a Hivatal biztonsági szintjének

meghatározását az elektronikus információs rendszer felhasználásának módja határozza meg,

jogszabályban meghatározott szempontok szerint (41/2015. (VII. 15.) BM rendelet 2. melléklet).

A biztonsági osztályba és szintbe sorolás eredményét új elektronikus információs rendszer be- és

kivezetésekor, vagy az azzal összefüggő adatkezelési célok jelentős változása esetén, az elektronikus

információs rendszer biztonságát érintő jogszabályban meghatározott változásakor, de legalább 3 évente

felül kell vizsgálni.

A besorolás alapján a 41/2015. (VII. 15.) BM rendeletben a Hivatalra és az elektronikus információs

rendszereire érvényes biztonsági osztályhoz és szinthez rendelt követelményeket és azok

megvalósításának módját a következő fejezet tartalmazza (adminisztratív, fizikai és logikai védelmi

intézkedések). Az intézkedések és sorszámaik a Hatósági elvárásoknak megfelelően megegyeznek a

rendelet követelményeivel.

Page 16: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 17/92

Ha a Hivatal az elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy

használja – részben vagy teljesen –, a rendeletben meghatározott követelményeket ezen elemek és

funkciók tekintetében kell teljesíteni. Ha az elektronikus információs rendszert több szervezet használja, az

elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához

szükséges követelményeket az elektronikus információs rendszeren tevékenységet végző minden,

elektronikus információs rendszerrel rendelkező szervezet tekintetében érvényesíti.

A központi elektronikus információs rendszerek (pl. ASP) üzemeltetője és az elektronikus információs

rendszerrel rendelkező Hivatal az üzemeltetés elektronikus információbiztonságához szükséges

követelményeket az elektronikus információs rendszer üzemeltetésére kötött szerződésben rögzítik.

A Hivatal számára általános szerződési feltételek szerint egységes biztonsági megfelelőség van előírva,

amely minimalizálja a kliens oldali kockázatokat.

Page 17: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 18/92

ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK

Az ebben a fejezetben leírt adminisztratív védelmi intézkedéseket egységesen, valamennyi elektronikus

információs rendszerre vonatkozóan kell megvalósítani.

1.1. HIVATALI SZINTŰ ALAPFELADATOK

1.1.1. Informatikai biztonsági szabályzat A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti jelen Informatikai biztonsági szabályzatát.

Jelen Informatikai biztonsági szabályzatot és eljárásrendet szükség szerint, de legalább évente egyszer az

informatika biztonsági rendszer felülvizsgálata során felülvizsgálja, szükség szerint módosítja.

Az informatikai biztonsági rendszer rendkívüli módosításakor vagy biztonsági esemény bekövetkeztekor a

szabályzatot újra vizsgálja, szükség szerinti módosítja. A módosítás az elektronikus információs

rendszerek biztonságáért felelős személy szakmai irányításával történik. A Hivatal vezetőjének feladata

biztosítani, hogy az Informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető,

módosítható.

1.1.2. Az elektronikus információs rendszerek biztonságáért felelős személy A Hivatal vezetője az elektronikus információs rendszerek biztonságáért felelős személyt nevez ki vagy bíz

meg, aki: ellátja az állami és Hivatali szervek elektronikus információbiztonságáról szóló 2013. évi L.

törvényben meghatározott feladatokat (Ibtv. 13. §).

A Hivatal vezetője gondoskodik a biztonságért felelős személy képzettségéről, alvállalkozó esetén

szerződésben elvárja azt. Adatszolgáltatási kötelezettsége kiterjed a vonatkozó munka-, megbízási vagy

más szerződés hatóság felé megküldésére és a jogosultság igazolására.

Csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy

feladatait, aki:

- büntetlen előéletű (a büntetlen előélet követelményének való megfelelést az elektronikus

információs rendszer biztonságáért felelős személy a szervezettel fennálló jogviszonya

keletkezését megelőzően köteles igazolni, a Hivatal vezetője kötelezheti, hogy a fennálló

jogviszonya alatt a büntetlen előélet követelményének való megfelelést igazolja).

- rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel, a

Nemzeti Közszolgálati Egyetem továbbképzésén, éves továbbképzésein részt vesz, az állami és

önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott

vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és

továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet alapján.

A 2013. évi L. törvény alapján az elektronikus információs rendszer biztonságáért felelős személy felel a

szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó

feladat ellátásáért. Az információbiztonság ellenőrzésével és irányításával kapcsolatos feladatait a

Szerepkörök, tevékenységek, felelősségek pont tartalmazza.

Page 18: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 19/92

Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az

információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs

rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet 11. § alapján az elektronikus

információs rendszer biztonságáért felelős személy – ideértve az információbiztonsági szolgáltatást nyújtó

vállalkozás tagjait és alkalmazottait is – az érintett szervezet igényeihez igazodva és annak rendelkezése

szerint feladatát elláthatja:

a) részmunkaidőben,

b) a vonatkozó szerződésben meghatározott időtartamban, vagy

c) több érintett szervezetnél.

Az elektronikus információs rendszerek védelméért felelős személy az állami és önkormányzati szervek

elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus

információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló

26/2013. (X. 21.) KIM rendelet alapján képzésre és éves továbbképzésre kötelezett.

A Hivatal vezetője a Nemzeti Kibervédelmi Intézet Nemzeti Elektronikus Információbiztonsági Hatóság

számára, az Ibtv. 11. § (1) bekezdés c) pontjában meghatározott, az elektronikus információs rendszer

biztonságáért felelős személyről tájékoztatást nyújt.

1.1.3. Az intézkedési terv és mérföldkövei A Hivatal vezetője az informatikai biztonsági követelmények megvalósításához az Ibtv.-ben meghatározott

határidőkkel Intézkedési tervet (Cselekvési terv) készít, amennyiben a meghatározott biztonsági

osztálynál/szintnél hiányosságot állapít meg, ha valamely védelmi intézkedés nem valósul meg, vagy a

bevezetett kontroll hibás.

A Cselekvési tervet szükség szerint, de legalább évente egyszer az informatikai biztonsági rendszer

felülvizsgálata során (belső audit) felül kell vizsgálni, szükség szerint aktualizálni a kockázatkezelési

stratégia és a kockázatokra adott válaszok, tevékenységek prioritása alapján (jellemzően a nagy

kockázattal járó hiányosságokat kell előtérbe helyezni). Az informatikai biztonsági rendszer rendkívüli

módosításakor vagy biztonsági esemény bekövetkeztekor a Cselekvési tervet újra felül kell vizsgálni,

szükség szerinti módosítani. Ha az adott elektronikus információs rendszerére vonatkozó biztonsági

osztály meghatározásánál (belső vagy külső vizsgálat során) hiányosság kerül megállapításra, vagy a

meghatározott biztonsági szint alacsonyabb, mint az elvárt biztonsági szint akkor a Hivatal vezetője a

vizsgálatot követő 90 napon belül felülvizsgálatot készít, a hiányosság megszüntetése érdekében.

A kitűzött feladatok megvalósulását a Cselekvési tervben a Hivatal vezetője az elektronikus információs

rendszer biztonságáért felelős közreműködésével követi nyomon és dokumentálja. A jegyző feladata

biztosítani, hogy a Cselekvési tervben meghatározott intézkedéseket bevezesse, a terv jogosulatlanok

számára ne legyen megismerhető, módosítható.

1.1.4. Az elektronikus információs rendszerek nyilvántartása Az elektronikus információs rendszer biztonságáért felelősnek az elektronikus információs rendszerekről

nyilvántartást kell vezetni, azt szükség szerint aktualizálni.

A nyilvántartásnak tartalmaznia kell:

a. az információs rendszer alapfeladatait;

b. a rendszerek által biztosítandó szolgáltatásokat;

Page 19: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 20/92

c. az érintett rendszerekhez tartozó licenc számot (amennyiben azok a Hivatal kezelésében vannak);

d. a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait;

e. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait,

valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek

személyazonosító és elérhetőségi adatait.

Az elektronikus rendszerek nyilvántartását egy korlátozottan, csak az érintetteknek hozzáférhető belső

dokumentumban vagy elektronikus nyilvántartásban kell kezelni.

1.1.5. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információbiztonsággal

kapcsolatos engedélyezési eljárási folyamatokat.

Az elektronikus információbiztonsággal kapcsolatos engedélyezés kiterjed minden, a Hivatal hatókörébe

tartozó:

- emberi, fizikai és logikai erőforrásra,

- eljárási és védelmi szintre és folyamatra

A fizikai és logikai jogosultságok engedélyezése az alábbiakat foglalja magába:

a. melyek a jogosultsággal rendelkező személyek felelősségei, velük szembeni szabályok,

követelmények

b. hogyan történik az elektronikus információs rendszerhez való hozzáférés engedélyezése,

jogosultság adás

c. melyek a rendszer jogosultsági szintjei (biztonsági zónák védelme, minimum jogosultság,

privilegizált, stb), mit tartalmaznak az egyes jogosultsági szintek

d. melyek a legkisebb jogosultság elve alapján, a jogosultsági körök

e. kik az elektronikus információs rendszerhez hozzáféréssel rendelkező személyek és milyen

jogosultságaik vannak, kik rendelkeznek/rendelkezhetnek privilegizált jogosultsággal

f. melyek azok a tevékenységek, amelyek az elektronikus információs rendszer használata során

engedélyezettek, illetve tiltottak

g. hogyan történik a jogosultsággal rendelkező személyek nyilatkoztatása (biztonsági szabályok és

kötelezettségek megismerése)

h. hogyan történik a jogosultság visszavonás

Ezek az engedélyezések a fizikai védelmi intézkedések és logikai védelmi intézkedések fejezet alatt

kerülnek részletezésre.

Ha a kockázatkezelés keretében, vezetői feladatszabás következtében vagy egyéb igény nyomán az

információbiztonsággal kapcsolatos folyamatok, eljárások és dokumentumok változtatása válik

szükségessé, a módosítást kezdeményező személy a javaslatot az Információbiztonsági felelős elé

terjeszti, aki – a javaslatok mérlegelése és elfogadása után – átvezeti a módosításokat a dokumentumokon.

Beszerzést, belső erőforrások átcsoportosítását igénylő, biztonsági osztályba és szintbe sorolás változását

jelentő módosítások jóváhagyása a Jegyző jogköre, ilyen esetekben az Információbiztonsági felelős az

előterjesztő.

Page 20: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 21/92

Az egyes dokumentumok változásának követése céljából valamennyi irat elején fel kell tüntetni a

változásokat nyilvántartó táblázatot a következő adattartalommal, :

- Verzió

- Készült (dátum)

- Változás oka

- Jóváhagyta

- Hatálybalépés dátuma

Hatósági engedélyezés szükséges, ha a Hivatal az elektronikus információs rendszerre a jogszabályi

alapértelmezettnél alacsonyabb biztonsági osztályt kíván megállapítani. A Hatóság felé írásbeli kérelmet

kell benyújtania, a kérelemhez csatolni kell az eltérő biztonsági osztályba sorolás alapjául szolgáló

kockázatelemzés dokumentációját.

Az Ibtv. 3. § (2) - (5) bekezdése lehetőséget ad arra, hogy a Hivatal egyes elektronikus információs

rendszereit Magyarország területén kívül üzemeltesse, illetve azokban külföldön végezzenek adatkezelést.

A Hivatal az adatkezelés kezdetét legalább 90 nappal megelőzően írásbeli kérelmet nyújthat be a

Hatóságnak. A kérelemhez csatolni kell:

a. az EGT tagállamaiban történő adatkezelés indokát,

b. az EGT tagállamaiban kezelt adatok és adatbázisok leírását,

c. azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés

jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e,

d. az adatkezelő rendszer technikai és technológiai leírását, ideértve a hardver- és

szoftverkomponenseket is,

e. az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá

az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat,

f. a kötelezően lefolytatandó biztonsági rendszerfelülvizsgálat eredményét,

g. a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot,

h. azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba

betekinteni.

Nem szükséges a hatóság engedélye, ha a külföldi adatkezelést vagy üzemeltetést nemzetközi szerződés

írja elő.

1.2. KOCKÁZATELEMZÉS

1.2.1. Kockázatelemzési és kockázatkezelési eljárásrend A Hivatal vezetője a helyes módszertan szerinti kockázatkezelést és az ehhez kapcsolódó ellenőrzések

megvalósítását elősegítő eljárást Kockázatkezelési eljárásrendben határozza meg. A törvényi célok

teljesítése, a munkatársak, a lakosság és a partnerek bizalmának megtartása érdekében biztosítja az

információk kockázatarányos kezelését, ennek érdekében minden munkatárs számára tudatossá kell

válnia az információbiztonság fontosságának és a Hivatalnak ezen egységes értelmezése alapján kell

tevékenykednie az információbiztonság érdekében. Ez vonatkozik különösképpen az új, innovatív

informatikai technológiák hasznosítására. Valamennyi alapfeladatokat ellátandó terület saját felelősséggel

bír az általa hasznosított és feldolgozott információk biztonságáért és megfelelő védelméért azok értékének

és kockázatának megfelelően, ez a felelősség magában foglalja az egyes személyeknek az információk

használatával kapcsolatosan felmerülő elszámoltatási kötelezettségét is.

Page 21: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 22/92

1.2.2. Biztonsági osztályba sorolás A Hivatal annak érdekében, hogy az Ibtv. hatálya alá tartozó elektronikus információs rendszerek, valamint

az azokban kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen - az elektronikus

információs rendszerek biztonságáért felelős személy irányításával - jogszabályban meghatározott

szempontok, kockázatelemzés alapján megvizsgálja (alvállalkozó igénybevétele esetén megvizsgáltatja)

elektronikus információs rendszereit és meghatározza, hogy azok melyik biztonsági osztályba sorolandók.

melynek eredményét a kizárólag az érintettek számára hozzáférhető Rendszerbiztonsági terv és a

rendszerenként a [NEIH-OVI] Osztályba sorolás és védelmi intézkedés űrlap-ok tartalmazzák.

A biztonsági osztályba sorolás alkalmával – az érintett elektronikus információs rendszer vagy az általa

kezelt adat bizalmasságának, sértetlenségének vagy rendelkezésre állásának kockázata alapján – 1-től 5-

ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi

előírásokkal együtt.

Az osztályba sorolás során figyelembe kell venni az adatkezelők által szolgáltatott adatokat, szükség

esetén a kockázatfelmérésért felelősnek kezdeményezni kell a kockázatkezelés elemeit képező védelmi

intézkedéseket érintő hatáskörök tisztázását.

Az elektronikus információs rendszer biztonsági osztálya alapján kell megvalósítani az előírt védelmi

intézkedéseket az adott elektronikus információs rendszerre vonatkozóan.

A jegyző a törvényben meghatározott feltételeknek megfelelő, az elektronikus információs rendszerre

irányadó biztonsági osztálynál magasabb, kivételes esetben a hatóság előzetes engedélyével,

kockázatokra kiterjedő indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat az elektronikus

információs rendszerre vonatkozóan.

A biztonsági osztályba és biztonsági szintbe sorolást legalább háromévenként vagy szükség esetén soron

kívül, dokumentált módon felül kell vizsgálni. A soron kívüli biztonsági osztályba és szintbe sorolást az

elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás vagy új

elektronikus információs rendszer bevezetése esetén, ill. a szervezet státuszában, szervezetében, ill. az

általa kezelt vagy feldolgozott adatok vonatkozásában bekövetkezett változás esetén szükséges elvégezni.

Az elektronikus információs rendszerek biztonságáért felelős személy vagy a Hivatal vezetője által

megbízott személy feladata, hogy a rendszerek biztonsági osztályba sorolását elvégezze, a Hivatal és

szervezeti egységeinek biztonsági szintjét megállapítsa, Osztályba és szintbe sorolás melléklet-ben,

Rendszerbiztonsági tervben vagy egyéb dokumentumban rögzítse, szükség esetén jelen Informatikai

biztonsági szabályzatot aktualizálja, a hatósági adatszolgáltatást előkészítse és a jegyző számára

előterjessze.

A Hivatal és szervezeti egységei által használt informatikai rendszerek biztonsági osztályba sorolásait, a

Hivatal vagy szervezeti egység biztonsági szintbe sorolását, az Informatikai biztonsági szabályzatot a

Hivatal vezetője hagyja jóvá, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a

felhasznált adatok teljességéért és időszerűségéért, gondoskodik a módosított szabályzat hatályba

léptetéséről, az érintettekkel való megismertetéséről, az elektronikus információs rendszerek biztonságáért

felelős személy közreműködésével az adatszolgáltatás teljesítéséről a Hatóság (Nemzeti Kibervédelmi

Intézet Nemzeti Elektronikus Információbiztonsági Hatóság) által előírt módon (feltöltés a NEIH hivatali

kapujára vagy tömörített, titkosított/jelszóval védett állomány elküldése).

Page 22: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 23/92

1.2.3. Kockázatelemzés A Hivatal vezetője megfogalmazza, dokumentálja, kihirdeti a kockázatelemzési eljárásrendet, mely a

kockázatelemzési ellenőrzések megvalósulását segíti elő.

A Hivatal végrehajtja a biztonsági kockázatelemzéseket, mely szorosan kapcsolódik a biztonsági osztályba,

biztonsági szintbe soroláshoz és az intézkedési terv meghatározásához. Felülvizsgálja a

kockázatelemzések eredményét és megismerteti a kockázatelemzés eredményét az érintettekkel.

Jelen szabályzat vagy a Kockázatkezelési és kockázatelemzési eljárásrend (ha készül) tartalmazza azokat

a közvetett, vagy közvetlen kárt okozó hatásokat, veszélyeket és károkat, amelyeket – a Hivatal jellemzőire

tekintettel – az elektronikus információs rendszerek biztonsági osztályai meghatározásához figyelembe kell

venni, ill. az egyedi kockázat-felmérési módszertant.

Amikor változás áll be az elektronikus információs rendszerben vagy annak működési környezetében

(beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén,

amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést

hajt végre a Hivatal.

A Hivatal vezetője gondoskodik arról, hogy a kockázatelemzési eredmények a jogosulatlanok számára ne

legyenek hozzáférhetőek, megismerhetőek.

A kockázat-felmérési módszertan és a kockázatmenedzsment rendszer kialakítása során figyelembe vettük

az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben

meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre,

továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015.

(VII. 15.) BM. rendelet, informatikai biztonsági szabványok és a kapcsolódó útmutatók előírásait.

A módszertan, menedzsment meghatározásáról a Hivatal vezetője - a kockázatfelmérésért felelős szakmai

javaslata alapján – dönt, figyelembe véve a Nemzeti Elektronikus Információbiztonsági Hatóság és egyéb

hatóság elvárásait, szakmai ajánlásait.

Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs

rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg.

A besorolást, amelyet az érintett szervezet vezetője hagy jóvá, kockázatelemzés alapján kell elvégezni.

A kockázatelemzés elvégezhető a hatóság által ajánlásként kiadott kockázatelemzési módszertana

(segédlete) vagy egyéb, a követelményeket figyelembe vevő saját kockázatelemzési módszertan alapján,

melyet eljárásrendben rögzíteni kell.

Az elektronikus információs rendszerek besorolását a Rendszerbiztonsági terv vagy egyéb dokumentum

tartalmazza. A besorolás és nyilvántartás az elektronikus információs rendszer biztonságáért felelős

feladata.

A kockázatok azonosítása és felmérése információs rendszerenként, a kockázatok értékelése a vonatkozó

jogszabályok alapján, a valószínűsíthető káresemény (közvetett és közvetlen) nagysága és annak a

szervezetre gyakorolt, becsült hatása alapján történik.

Az éves felülvizsgálat, illetve felmérés során számba kell venni a belső eredetű kockázatokat

(sérülékenységek), a külső okokat (fenyegetések), a bekövetkezés valószínűségét (gyakoriságát), ill. azt,

hogy milyen adatok és milyen mennyiségbe sérülhetnek.

Meg kell határozni az okok (sérülékenységek, fenyegetések) nyomán előforduló helyzet, esemény

(kockázati esemény) hatásait, következményeit, és ennek nagyságát.

Page 23: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 24/92

Az alábbi közvetett, vagy közvetlen kárt okozó hatásokat, veszélyeket és károkat kell – a Hivatal

jellemzőire tekintettel – figyelembe venni:

1. társadalmi-politikai káros hatásokat, károkat vagy a jogsértésből, kötelezettség elmulasztásából

fakadó káros hatásokat, károkat (így pl. alaptevékenységek akadályozása, különösen a

létfontosságú információs rendszerelemek működési zavarai, a nemzeti adatvagyon sérülései,

jogszabályok és egyéb szabályozások megsértése, jogszabály által védett adatokkal történő

visszaélés vagy azok sérülése, a közérdekűség követelményének sérülése, személyiséghez

fűződő jogok megsértése, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben, az

ország jogrendjének sérülése, vagy ennek lehetővé tétele);

2. személyeket, csoportokat érintő károk, káros hatások (pl. különleges személyes adatok,

banktitkok, üzleti titkok megsértése, szervezet, személyek vagy csoportok jó hírének károsodása,

személyi sérülések, vagy haláleset bekövetkeztének – ideértve az elektronikus információs

rendszer működésének zavara, vagy információhiány miatt kialakult veszélyhelyzetet – veszélye);

3. közvetlen anyagi károk (az infrastruktúrát, az elektronikus információs rendszert ért károk, és ezek

rendelkezésre állásának elvesztése miatti pénzügyi veszteség, adatok sértetlenségének,

rendelkezésre állásának elvesztése miatti költségek, dologi kár);

4. közvetett anyagi károk (pl. helyreállítási költségek, elmaradt haszonnal arányos költségek, a

környezet biztonságának veszélyeztetése, perköltségek).

5. A veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárérték szinteknek

megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás

követelménye külön-külön értékelendő.

A kockázatok kezelése

A Hivatal a feltárt kockázatokra a vonatkozó jogszabályban meghatározott biztonsági intézkedések

mielőbbi megvalósításával reagál.

A megvalósítandó biztonsági intézkedéseket, és azok megvalósításának sorrendjét a kívánt biztonsági

osztály és biztonsági szint elérésére megalkotott Cselekvési tervben kell meghatározni.

Amennyiben a kockázat kezelésére javasolt válasz reakció beruházással jár, a jegyző az egyéb

szabályzatokban meghatározott engedélyezési szabályok szerint jár el.

A kockázatokra adott válaszintézkedéseket a következők kockázatkezelési stratégiák alapján lehet

kiválasztani:

Page 24: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 25/92

1. A kockázat elviselése

A Kockázat elviselés a következő esetekben alkalmazható:

a. ha a kialakult működési rend olyan, hogy napi működése során minden beavatkozás nélkül

automatikusan kezeli a kockázatot, ezért a kockázat gazdának nincs szüksége külön

beavatkozásra,

b. tudatos vezetői döntés esetén, amennyiben a kockázat elhárításának költsége magasabb az

elhárításból eredő haszonnál, vagy kezelése technikai, időbeli, vagy anyagi korlátba ütközik.

Amennyiben a vezetői döntés ilyen kockázat elviseléséről dönt, a válaszreakció helyett, köteles a

kockázati tényező bekövetkezése után jelentkező hatások kezeléséről gondoskodni.

2. A kockázat kezelése

A kockázat kezelése akkor alkalmazható, ha a kockázatos tevékenység nem szüntethető meg és nem

hárítható át. A kockázat kezelés az alábbi típusú kontroll tevékenységeken keresztül valósítható meg.

a. Megelőző kontrollok: Korlátozzák egy negatív következménnyel járó kockázat bekövetkezésének

lehetőségét, vagyis a megelőző kontrollok a szervezeten belüli belső kontrollok (pl. feladatok

szétválasztása, „4 szem elve”, tartalék erőforrások, helyettesítési rendszer, képzések).

b. Korrekciós kontrollok: A realizálódott, nem kívánt kockázat következményeit korrigálják, úgy, hogy

kisegítő megoldást nyújtanak a kár vagy veszteség csökkentésére. Fontos eleme a folytonossági és

katasztrófatervek kidolgozása, illetve az eljárásrendekbe beépítve, váratlan helyzetek kezelésének

szabályozása, amellyel a szervezet működésének folytonosságát tudja biztosítani a negatív

hatásokkal, veszteséggel járó esemény bekövetkezése esetén.

c. Iránymutató kontrollok: Egy bizonyos, kívánt eredmény elérését biztosítják. Általában egy

tevékenység vagy tevékenységcsoport konkrét lépéseit, időbeni ütemezésüket tartalmazzák. Hasznos

lehet a szervezet korábbi, hasonló tevékenységekből nyert tapasztalatainak beépítése az ilyen jellegű

kontrollokba, amely ugyancsak biztosítékként szolgálhat a kívánt cél eléréséhez és így a kockázatok

elkerüléséhez, csökkentéséhez (pl. eljárásrendek, utasítások, egyéb szabályozások, útmutatók).

d. Felderítő kontrollok: Azt a célt szolgálják, hogy fényt derítsenek olyan esetekre, amikor nem kívánt

események következtek be. Mivel csak az esemény bekövetkezése után fejtik ki hatásukat, ezért csak

abban az esetben használhatók, amennyiben lehetőség van a kár vagy veszteség elfogadására (pl.

rendszeres ellenőrzések, naplók áttekintése, a monitoring jelentések, folyamatok, projektek

áttekintései, a célvizsgálatok, az auditok, stb.).

3. A kockázat átadása

A kockázat átadását esetén a kockázat (sem a valószínűsége, sem hatása) nem csökken, de megváltozik

a kockázatviselő (szervezeten kívülre kerül). Tipikus példa a biztosításkötés, illetve a kockázatos művelet

átadása olyan (külső vagy belső) partnernek, aki felkészült a kockázat kezelésére. Ilyen megállapodás

esetén vizsgálandó, hogy a kockázati esemény bekövetkezése esetén milyen maradványkockázat marad

az átadó szervezetnél, illetve a Hivatalnál (pl. reputáció-vesztés).

4. A kockázatos tevékenység befejezése;

A kockázatos tevékenység befejezése akkor alkalmazható, ha a kockázatok nem csökkenthetők

elfogadható szintre a tevékenység megszüntethető, és megszűntetése nem akadályozza az Hivatallal

szembeni követelmények teljesítését, csak megszüntethetők az adott tevékenység befejezésével.

Page 25: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 26/92

Felelősségek

A Hivatal vezetője (jegyző)

- felelős a kockázatkezelési rendszer(ek) kialakításáért, működtetéséért

- felelős a kockázatkezelési kritériumok azonosításáért

- kinevezi a kockázatfelmérésért felelősöket, tevékenységüket felügyeli

- gondoskodik a kockázatkezelési irányelvek betartásáról

- biztosítja a kockázatfelméréshez és -kezeléshez a szükséges erőforrásokat

- dönt a kockázatfelmérés elfogadásáról, kockázatok elfogadásáról, az elfogadható kockázati

szintről, a szükséges intézkedésekről, figyelemmel kísérési feladatokról

- gondoskodik a kockázatkezelés fontosságának tudatosításáról a teljes szervezetben

A kockázatfelmérésért felelős (elektronikus információs rendszerek biztonságáért felelős vagy a jegyző

által kijelölt személy)

- felelős a kockázat-felmérési módszertan(ok) kialakításáért, jóváhagyatásáért

- kezdeményezi az éves rendszeres felmérés indítását

- koordinálja a kockázat-felmérési tevékenységeket

- javaslatokat tesz kockázatkezelési, javítási intézkedésekre

- gondoskodik a kockázatkezelési intézkedések, kontrollok szabályozásokba, dokumentációs

rendszerbe illesztéséről

- rendszeresen tájékoztatja a Hivatal vezetőjét a kockázati szint alakulásáról, bekövetkezett

kockázati eseményekről

- nyilvántartja a Hivatal információs rendszereit a 41/2015. (VII. 15.) BM. rendelet követelményeinek

megfelelően

A szakterület kijelölt képviselője / jegyző vagy az általa kijelölt személy

- a kockázatfelmérésért felelős segítségével azonosítja, felméri, értékeli a területére vonatkozó

kockázatokat

- javaslatot tesz a magas kockázatok kezelésére a saját területére vonatkozóan

- intézkedik a saját hatáskörükben kezelhető kockázatok csökkentésére, kezelésére

- felelős a területére eső kockázatok figyelemmel kíséréséért, kezeléséért

- a kockázatok változása, újak felmerülése esetén aktualizálja a felmérést, tájékoztatja a

kockázatfelmérésért felelőst

A munkatársak

- felelősek a közzétett, kiadott kockázatkezelési előírások betartásáért

- feladatuk a nem kezelt, illetve az új vagy változó kockázatok jelzése közvetlen vezetőjüknek

és/vagy a kockázatfelmérésért felelősnek.

Page 26: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 27/92

1.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS

1.3.1. Beszerzési eljárásrend A Hivatal vezetője szükség esetén megfogalmazza, dokumentálja és kihirdeti a beszerzési eljárásrendet,

mely az elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs

rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg és az ehhez

kapcsolódó ellenőrzések megvalósítását segíti elő.

A beszerzési eljárásrendet abban az esetben kell bevezetni, ha a Hivatal saját hatókörében informatikai

szolgáltatást, vagy eszközöket szerez be, rendszerfejlesztési tevékenységet (ide nem értve a jellemzően

kis értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, vagy azokat

a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, vagy az eszközpark

addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás,

karbantartás céljára történő beszerzéseket) végez, vagy végeztet.

Jelen fejezet alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható

szoftverek beszerzése és frissítése.

Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

1.3.2. Erőforrás igény felmérés Ha a Hivatal saját hatókörében informatikai szolgáltatást vagy eszközöket szerez be, rendszerfejlesztési

tevékenységet végez, vagy végeztet, akkor az elektronikus információs rendszerre és annak

szolgáltatásaira vonatkozó biztonsági követelmények teljesítése érdekében a beruházás tervezés

részeként meghatározza, és dokumentálja, valamint biztosítja az elektronikus információs rendszer és

annak szolgáltatásai védelméhez szükséges erőforrásokat, elkülönítetten kezeli az elektronikus

információs rendszerek biztonságát beruházás tervezési dokumentumaiban.

1.3.3. Beszerzések Az informatikai eszközök és szoftverek beszerzésénél mindig a Hivatali beszerzésekre vonatkozó elvek

szerint kell eljárni. Az eszközbeszerzések során figyelembe kell venni a Hivatal hatályos szabályzatait.

A beszerzett számítástechnikai eszközöket, szoftvereket a rendszergazdának vagy a kijelölt felelősnek

haladéktalanul nyilvántartásba kell venni.

Az informatikai üzemeltetéshez szükséges irodatechnikai eszközök alkalmazások megfelelő minőségben

és mennyiségben történő készletezése a megbízott szervezeti egység vezető vagy az általa megbízott

felelős feladata. Ezekből a kellékekből mindig akkora készlettel kell rendelkezni, mely biztosítja a

folyamatos üzemvitelt.

A Hivatal IT fejlesztés és üzemeltetés – az információbiztonság rendelkezésre állás céljait támogató –

beszerzéssel kapcsolatos szabályait – ha szükséges - külön szabályzat vagy eljárásrend tartalmazza.

Page 27: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 28/92

A Hivatal az elektronikus információs rendszerre, rendszerelemre vagy szolgáltatásra irányuló beszerzési

(ideértve a fejlesztést, az adaptálást, a beszerzéshez kapcsolódó rendszerkövetést, vagy karbantartást is)

szerződéseiben szerződéses követelményként meghatározza:

a. a funkcionális biztonsági követelményeket;

b. a garanciális biztonsági követelményeket (pl. a biztonságkritikus termékekre elvárt garanciaszint);

c. a biztonsággal kapcsolatos dokumentációs követelményeket;

d. a biztonsággal kapcsolatos dokumentumok védelmére vonatkozó követelményeket;

e. az elektronikus információs rendszer fejlesztési környezetére és tervezett üzemeltetési

környezetére vonatkozó előírásokat.

A védelem szempontjainak érvényesítése a beszerzés során: A Hivatal, ha saját hatókörében informatikai

szolgáltatást vagy eszközöket szerez be, rendszerfejlesztési tevékenységet végez, vagy végeztet, akkor

védi az elektronikus információs rendszert, rendszerelemet vagy rendszerszolgáltatást a beszerzés, vagy

a beszerzett eszköz beillesztéséből adódó kockázatok ellen. Szerződéses követelményként meghatározza

a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi

intézkedések funkcionális tulajdonságainak a leírását.

A védelmi intézkedések terv-, és megvalósítási dokumentációi: A Hivatal szerződéses követelményként

meghatározza a saját hatókörben beszerzett rendszerek fejlesztői, szállítói számára, hogy hozza létre és

bocsássa rendelkezésére az alkalmazandó védelmi intézkedések terv- és megvalósítási dokumentációit,

köztük a biztonsággal kapcsolatos külső rendszer interfészek leírását, a magas és alacsony szintű

biztonsági tervet, - ha azzal a szállító rendelkezik - a forráskódot és futtatókörnyezetet.

Funkciók - protokollok – szolgáltatások: A Hivatal szerződéses rendelkezésként megköveteli a saját

hatókörben beszerzett rendszerek fejlesztőtől, szállítótól, hogy már a fejlesztési életciklus korai

szakaszában meghatározza a használatra tervezett funkciókat, protokollokat és szolgáltatásokat.

Az elektronikus információs rendszer biztonságáért felelős személyt feladatai teljesítéséhez szükséges

mértékben az elektronikus információs rendszerek valamennyi elemének tervezésével, fejlesztésével,

beszerzésével és üzemeltetésével kapcsolatban megilleti a tanácskozási, véleményezési, javaslattételi

kezdeményezési, ellenőrzési, betekintési és hozzáférési jogosultság.

1.3.4. Az elektronikus információs rendszerre vonatkozó dokumentáció A Hivatal, ha hatókörébe tartozik, megköveteli és birtokába veszi az elektronikus információs rendszerre,

rendszerelemre, vagy rendszerszolgáltatásra vonatkozó adminisztrátori dokumentációt, amely

tartalmazza:

a. a rendszer, rendszerelem vagy rendszer szolgáltatás biztonságos konfigurálását, telepítését és

üzemeltetését,

b. a biztonsági funkciók hatékony alkalmazását és fenntartását,

c. a konfigurációval és az adminisztratív funkciók használatával kapcsolatos, a dokumentáció

átadásakor ismert sérülékenységeket;

d. megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre vagy

rendszerszolgáltatásra vonatkozó felhasználói dokumentációt, amely tartalmazza:

e. a felhasználó által elérhető biztonsági funkciókat és azok hatékony alkalmazási módját,

f. a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos használatának módszereit,

Page 28: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 29/92

g. a felhasználó kötelezettségeit a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságának

a fenntartásához;

h. gondoskodik arról, hogy az információs rendszerre vonatkozó - különösen az adminisztrátori és

fejlesztői - dokumentáció jogosulatlanok számára ne legyen megismerhető, módosítható;

i. gondoskodik a dokumentációknak az érintett szervezet által meghatározott szerepköröket betöltő

személyek által, vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismerésről.

1.3.5. Biztonságtervezési elvek A Hivatal, ha hatókörébe tartozik, biztonságtervezési elveket dolgoz ki és alkalmaz az elektronikus

információs rendszer specifikációjának meghatározása, tervezése, fejlesztése, kivitelezése és módosítása

során.

1.3.6. Külső elektronikus információs rendszerek szolgáltatásai A Hivatal vezetője szerződéses kötelezettségként követeli meg, hogy a szolgáltatási szerződés alapján

általa igénybe vett elektronikus információs rendszerek szolgáltatásai megfeleljenek a Hivatal elektronikus

információbiztonsági követelményeinek. Meghatározza és dokumentáltatja a Hivatal felhasználóinak

feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban.

Külső és belső ellenőrzési eszközökkel ellenőrizteti, hogy a külső elektronikus információs rendszer

szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.

1.3.7. Független értékelők A Hivatal, ha hatókörébe tartozik, független értékelőket vagy értékelő csoportokat alkalmaz a védelmi

intézkedések értékelésére.

1.3.8. Folyamatos ellenőrzés A Hivatal, ha hatókörébe tartozik, folyamatba épített ellenőrzést vagy ellenőrzési tervet hajt végre, amely

tartalmazza:

a. az ellenőrizendő területeket;

b. az ellenőrzések, valamint az ellenőrzéseket támogató értékelések gyakoriságát;

c. az ellenőrzési stratégiájához illeszkedő folyamatos biztonsági értékeléseket;

d. a mérőszámok megfelelőségét;

e. az értékelések és az ellenőrzések által generált biztonsággal kapcsolatos adatok összehasonlító

elemzését;

f. a Hivatal reagálását a biztonsággal kapcsolatos adatok elemzésének eredményére;

g. A Hivatal döntését arról, hogy milyen gyakorisággal kell az elemzési adatokat általa meghatározott

személyi- és szerepkörökkel megismertetni (ideértve azok változásait is).

A Hivatal, ha hatókörébe tartozik, független értékelőket vagy értékelő csoportokat alkalmaz az elektronikus

információs rendszer védelmi intézkedéseinek folyamatos ellenőrzésére.

Page 29: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 30/92

1.4. ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE

1.4.1. Ügymenet-folytonosságra vonatkozó eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerre

vonatkozó eljárásrendet, mely az ügymenet-folytonosságra vonatkozó szabályzat és az ahhoz kapcsolódó

ellenőrzések megvalósítását segíti elő. Az elektronikus információbiztonsággal kapcsolatos ügymenet-

folytonossági szabályokat eljárásrendben kezeli.

Az ügymenet folytonosságának fenntartását szolgáló eljárás, valamint a megelőző és helyreállítást vezérlő

eljárások alkalmazásával mérsékelni kell a különböző rendellenességek és a biztonsági rendszer

meghibásodása által okozott fennakadásokat. Az ügymenet-folytonosság tervezés célja a kiesési idő, a

rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a

kockázatokkal arányosan lehessen megvalósítani.

Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

1.4.2. Ügymenet-folytonossági terv informatikai erőforrás kiesésekre A Hivatal vezetője megfogalmazza, dokumentálja, a Hivatalon belül kizárólag a folyamatos működés

szempontjából kulcsfontosságú, IT tevékenység számára kihirdeti az elektronikus információs

rendszerekre vonatkozó ügymenet-folytonossági tervet, ezáltal:

a. összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági

események kezelésével;

b. meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszerhez kapcsolódó

ügymenet-folytonossági tervet;

c. az elektronikus információs rendszer vagy a működtetési környezet változásainak, az ügymenet-

folytonossági terv megvalósítása, végrehajtása vagy tesztelése során felmerülő problémáknak

megfelelően aktualizálja az ügymenet-folytonossági tervet;

d. tájékoztatja az ügymenet-folytonossági terv változásairól a folyamatos működés szempontjából

kulcsfontosságú, személyeket és Hivatali egységeket;

e. gondoskodik arról, hogy az ügymenet-folytonossági terv jogosulatlanok számára ne legyen

megismerhető, módosítható;

f. meghatározza az alapfeladatokat (biztosítandó szolgáltatásokat) és alapfunkciókat, valamint az

ezekhez kapcsolódó vészhelyzeti követelményeket;

g. rendelkezik a helyreállítási feladatokról, a helyreállítási prioritásokról és mértékekről;

h. jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket;

i. fenntartja a Hivatal által előzetesen definiált alapszolgáltatásokat, még az elektronikus információs

rendszer összeomlása, kompromittálódása vagy hibája ellenére is;

j. kidolgozza a végleges, teljes elektronikus információs rendszer helyreállításának tervét úgy, hogy

az nem ronthatja le az eredetileg tervezett és megvalósított biztonsági védelmeket

k. az üzletmenet-folytonossági tervet egyezteti a kapcsolódó, hasonló tervekért felelős szervezeti

egységekkel (ha vannak) ;

l. meghatározza az alapfunkciók újrakezdésének időpontját az üzletmenet-folytonossági terv

aktiválását követőn;

Page 30: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 31/92

m. meghatározza az elektronikus információs rendszer alapfunkcióit támogató kritikus

rendszerelemeket;

n. megtervezi a folyamatos működéshez szükséges információ-feldolgozó, infokommunikációs és

környezeti képességek biztosításához szükséges kapacitást;

o. meghatározza az összes funkció újrakezdésének időpontját az üzletmenet-folytonossági terv

aktiválását követően;

p. az alapfeladatok és alapfunkciók folyamatosságát úgy tervezi meg, hogy azok üzemelési

folyamatosságában semmilyen, vagy csak csekély veszteség álljon elő, fenntartható legyen a

folyamatosság az elektronikus információs rendszer elsődleges feldolgozó vagy tárolási helyszínén

történő teljes helyreállításáig.

Veszélyhelyzetnek minősül:

a. az elemi kár,

b. az áramszünet,

c. a rendszerleállás,

d. a szolgáltatásszünetelés,

e. az adatsérülés és

f. az adatvesztés.

Az ügymenetfolytonossági terv eljárások vagy tevékenységlépések sorozata annak biztosítására, hogy a

Hivatal információfeldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa

után elfogadhatóan rövid időn belül helyre lehessen állítani.

1.4.3. A folyamatos működésre felkészítő képzés A Hivatal, ha hatókörébe tartozik, akkor a magas biztonsági követelményű elektronikus információs

rendszerek folyamatos működésére felkészítő képzést tart a felhasználóknak, szerepkörüknek és

felelősségüknek megfelelően:

a. szerepkörbe vagy felelősségbe kerülésüket követő meghatározott időn belül;

b. meghatározott (maximum éves) gyakorisággal, vagy amikor az elektronikus információs rendszer

változásai ezt szükségessé teszik.

A képzés célja az üzletmenet-folytonosság jelentőségének tudatosítása, az üzletmenetfolytonosság-

tervezés alapismereteinek átadása, a tervben foglaltak megismerése és elsajátítása. A folyamatos

működésre felkészítő képzésben szimulált eseményeket kell alkalmazni, hogy elősegítse a személyzet

hatékony reagálását a kritikus helyzetekben.

1.4.4. Az üzletmenet folytonossági terv tesztelése A Hivatal, ha hatókörébe tartozik, meghatározott (minimum éves) gyakorisággal és meghatározott

teszteken keresztül vizsgálja a magas biztonsági követelményű elektronikus információs rendszerekre

vonatkozó üzletmenet-folytonossági tervet a terv hatékonyságának és az érintett szervezet

felkészültségének a felmérése céljából, értékeli az üzletmenet-folytonossági terv tesztelési eredményeit,

az értékelés alapján szükség esetén javítja a tervet, a javításokkal kapcsolatban az üzletmenet-

folytonossági tervre vonatkozó általános eljárási szabályok szerint jár el.

Page 31: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 32/92

A teszt értékelése során az ügymenet folytonosságát biztosító terveket módosítani, aktualizálni kell, és

gondoskodni kell azok egymáshoz való illesztéséről. A terveket a folytonosan változó helyzethez,

körülményekhez, infrastrukturális követelményekhez is hozzá kell igazítani.

Az üzletmenet-folytonossági terv tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel

egyeztetni kell.

A terv tesztelését egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kell

megvalósítani.

Az üzletmenet folytonossági tervet a tartalék feldolgozási helyszínen is tesztelni kell, hogy az érintett

szervezet megismerje az adottságokat és az elérhető erőforrásokat, valamint értékelje a tartalék

feldolgozási helyszín képességeit a folyamatos működés támogatására.

1.4.5. Biztonsági tárolási helyszín A Hivatal a felelősségi körébe tartozó rendszerekre vonatkozóan kijelöl egy biztonsági tárolási helyszínt,

ahol az elektronikus információs rendszer mentéseinek másolatát az elsődleges helyszínnel azonos

módon, és biztonsági feltételek mellett tárolja.

A biztonsági tárolási helyszínnek el kell különülni az elsődleges tárolás helyszínétől, az azonos veszélyektől

való érzékenység csökkentése érdekében.

A biztonsági tárolási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő

rombolás vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni.

A biztonsági tárolási helyszínt úgy kell kialakítani, hogy az elősegítse a helyreállítási tevékenységeket,

összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal.

1.4.6. Tartalék feldolgozási helyszín A Hivatal a felelősségi körébe tartozó, a magas biztonsági követelményű elektronikus információs

rendszerekre vonatkozóan kijelöl egy tartalék feldolgozási helyszínt azért, hogy ha az elsődleges

feldolgozási képesség nem áll rendelkezésére, elektronikus információs rendszere előre meghatározott

műveleteit, előre meghatározott időn belül - összhangban a helyreállítási időre és a helyreállítási pontokra

vonatkozó célokkal - a tartalék helyszínen újra kezdhesse, vagy folytathassa. Ezekre a rendszerekre

vonatkozóan biztosítja, hogy a működés újrakezdéséhez vagy folytatásához szükséges eszközök és

feltételek a tartalék feldolgozási helyszínen, vagy meghatározott időn belül rendelkezésre álljanak.

Biztosítja, hogy a tartalék feldolgozási helyszín informatikai biztonsági intézkedései egyenértékűek

legyenek az elsődleges helyszínen alkalmazottakkal.

1.4.7. Infokommunikációs szolgáltatások A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs

rendszerekre vonatkozóan rendszerekre vonatkozóan - a Nemzeti Távközlési Gerinchálózatra csatlakozó

elektronikus információs rendszerek kivételével - tartalék infokommunikációs szolgáltatásokat létesít, erre

vonatkozóan olyan megállapodásokat köt, amelyek lehetővé teszik az elektronikus információs rendszer

alapfunkciói, vagy meghatározott műveletek számára azok meghatározott időtartamon belüli újrakezdését,

ha az elsődleges infokommunikációs kapacitás nem áll rendelkezésre sem az elsődleges, sem a tartalék

feldolgozási vagy tárolási helyszínen.

Page 32: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 33/92

Ha az elsődleges és a tartalék infokommunikációs szolgáltatások nyújtására szerződés keretében kerül

sor, az tartalmazza a szolgáltatás-prioritási rendelkezéseket, a Hivatal rendelkezésre állási

követelményeivel (köztük a helyreállítási idő célokkal) összhangban.

Ha indokolt tartalék infokommunikációs szolgáltatások igénybevétele, akkor szolgáltatásokat kell igénybe

venni, melyek csökkentik az elsődleges infokommunikációs szolgáltatásokkal közös hibalehetőségek

valószínűségét (pl. alternatív technológiára épülnek).

1.4.8. Az elektronikus információs rendszer mentései A Hivatal a rendszerbiztonsági és ügymenet-folytonossági elvárásokkal összhangban:

a. meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt

felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra

vonatkozó célokkal;

b. meghatározott gyakorisággal elmenti az elektronikus információs rendszerben tárolt

rendszerszintű információkat, összhangban a helyreállítási időre és a helyreállítási pontokra

vonatkozó célokkal;

c. meghatározott gyakorisággal elmenti az elektronikus információs rendszer dokumentációját,

köztük a biztonságra vonatkozókat is, összhangban a helyreállítási időre és a helyreállítási

pontokra vonatkozó célokkal;

d. megvédi a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását mind az

elsődleges, mind a másodlagos tárolási helyszínen.

A Hivatal informatikai rendszereinek és az informatikai rendszerekben kezelt adatok mentését, megőrzését,

tárolását úgy oldja meg, hogy a mentések típusa, gyakorisága és példányszáma elfogadható adatvesztési

kockázatot eredményezzen, valamint az archiválásra vonatkozó jogszabályi követelményeket

teljesíthesse. Olyan mentési megoldásokat alkalmaz, mentési eljárást működtet, ami biztosítani tudja, hogy

az informatikai eszközök sérülése, meghibásodása, illetve a tárolt adatok sérülése, használhatatlanná

válása esetén rendelkezésre álljon olyan mentés, amely segítségével a kiesett informatikai szolgáltatás

elfogadható időn belül újraindítható, amelynek visszaállításával az elveszett adatmennyiség mértéke még

kezelhető szinten marad. Azon adatok esetén, amelyek hosszú távú megőrzéséért a Hivatal felelős, a

mentéseknek alkalmasnak kell lenni az adatok jogszabályban előírt megőrzési idejének végéig történő

visszaállítására.

A mentések szakszerű elvégzését a rendszergazda vagy a Hivatallal kötött megállapodásban rögzítettek

szerint az adott elektronikus információs rendszer üzemeltetője végzi saját adatmentési és naplózási

eljárása körében.

Alapelv, hogy az adatok mentése, archiválása mellett az adatok visszaállításához szükséges valamennyi

egyéb adat és szoftver komponens is visszaállíthatóan mentésre, arciválásra kerüljön, vagy mentésük,

archivált állományuk létezzen, a mentéseket tartalmazó adathordozók kezelése a tárolt adatok

érzékenységének megfelelően történjen, a forrásrendszerrel azonos szintű biztonságos fizikai hozzáférés

védelem mellett kerüljenek megőrzésre.

Elvárás, hogy a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan

meghatározott (minimálisan éves) gyakorisággal tesztelni kell a mentett információkat, az adathordozók

megbízhatóságának és az információ sértetlenségének a garantálása érdekében.

A tranzakció alapú elektronikus információs rendszerek esetén tranzakció helyreállítást kell végrehajtani.

Page 33: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 34/92

A Hivatal az elektronikus információbiztonsággal kapcsolatos részletes mentési szabályokat

eljárásrendben, a rendszerek mentésével kapcsolatos elvárásait, ha azok a Hivatal hatáskörébe tartoznak,

vagy az adatok megőrzésért a Hivatal felelős, akkor Rendszerbiztonsági tervben és/vagy Mentési rendben

vagy egyéb dokumentumban kezeli (mentések gyakorisága a tolerálható adatvesztés függvényében, elvárt

helyreállítási idő, megőrzési idő, offsite példányok, stb.).

1.4.9. Az elektronikus információs rendszer helyreállítása és újraindítása A rendszergazda gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő

helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően (saját

hatókörén belül). A mentési és visszaállítási eljárásokat úgy kell kialakítani, hogy az elektronikus

információs rendszerek üzemszerű működése és a bennük kezelt adatok előre nem látható esemény,

különösen katasztrófa vagy hardver, illetve szoftver meghibásodása vagy emberi mulasztás

bekövetkezésekor szükség esetén helyreállíthatók legyenek, biztosítva a folyamatos napi működést.

Biztosítani kell továbbá, hogy az üzemidő-kiesés, adatsérülés és adatvesztés minimális legyen.

A Hivatal az elektronikus információbiztonsággal kapcsolatos helyreállítási szabályokat eljárásrendben

kezeli.

1.5. A BIZTONSÁGI ESEMÉNYEK KEZELÉSE

1.5.1. Biztonsági eseménykezelési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a biztonsági eseményekre vonatkozó

eseménykezelési eljárást, amely szabályozza az előkészületet, az észlelést, a vizsgálatot, az elszigetelést,

a megszüntetést és a helyreállítást:

a. összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági

események kezelésével;

b. egyezteti az eseménykezelési eljárásokat az üzletmenet-folytonossági tervéhez tartozó

tevékenységekkel;

c. az eseménykezelési tevékenységekből levont tanulságokat beépíti az eseménykezelési

eljárásokba, a fejlesztési és üzemeltetési eljárásokba, elvárásokba, továbbképzésekbe és

tesztelésbe.

Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

Biztonsági esemény a nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az

elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz

elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága,

sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül. Biztonsági

esemény kezelése: az elektronikus információs rendszerben bekövetkezett biztonsági esemény

dokumentálása, következményeinek felszámolása, a bekövetkezés okainak és felelőseinek megállapítása,

és a hasonló biztonsági események jövőbeni előfordulásának megakadályozása érdekében végzett

tervszerű tevékenység.

Page 34: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 35/92

A biztonsági eseményre adandó gyors és hatékony megoldások érdekében az elektronikus információs

rendszer biztonságáért felelős személy üzletmenet-folytonossági tervben határozza meg a váratlan

eseményekkel kapcsolatos felelősségeket és eljárásokat.

Az üzletmenet-folytonossági terv kiterjed:

a. az elektronikus információs rendszerhiba és a szolgáltatásmegszakadás,

b. a szolgáltatásmegtagadás,

c. a sértetlenség elvesztése, valamint

d. a bizalmasság elvesztése biztonsági eseményekre.

Az üzletmenet-folytonossági terv rendelkezik arról, hogy a biztonsági események kezelése során:

a. azonosítani és elemezni kell az biztonsági események okait,

b. ki kell dolgozni a biztonsági események ismétlődésének megakadályozására vonatkozó terveket,

c. naplózni kell a biztonsági eseményeket,

d. gondoskodni kell a visszaállítás megoldásáról, valamint

e. jelentést kell készíteni a Hivatal vezetője részére.

A biztonsági események és rendszerhibák javítása esetén biztosítani kell, hogy:

a. csak az engedéllyel és a kellő szaktudással rendelkező személyek férhessenek hozzá az

informatikai rendszerekhez és azok adataihoz,

b. a kijavításra kijelölt személy ismerje a biztonsági esemény során az üzemeltető által alkalmazandó

vagy alkalmazott eljárást,

c. a biztonsági esemény során alkalmazandó vagy alkalmazott eljárás jegyzőkönyvben rögzítésre

kerüljön,

d. a biztonsági eseményeket követően az adatok sértetlensége haladéktalanul ellenőrzésre kerüljön.

A Hivatal nyomon követi és dokumentálja az elektronikus információs rendszer biztonsági eseményeit.

A biztonsági eseményeket

a. típus,

b. terjedelem,

c. az általuk okozott károk, helyreállítási költségek, valamint

d. a hitelesítési és monitorozási rendszer kimenetei alapján kell értékelni.

Az érintett elektronikus információs rendszer, illetve rendszerelem üzemeltetőjének – a Hivatal és a közötte

létrejött megállapodásban meghatározottak szerint – a biztonsági esemény észlelésére monitorozó

rendszert kell üzemeltetni, a bekövetkezett biztonsági esemény elhárítása érdekében intézkedni kell a hiba

megszüntetéséről, és a további teendőkről az elektronikus információs rendszer biztonságáért felelős

személyt folyamatosan tájékoztatni szükséges. Szükség esetén – ideiglenes jelleggel – helyettesítő

megoldással is biztosítható a felhasználói munkavégzés.

A szolgáltatónak a szolgáltatási szabályzatban meghatározott időn belül ki kell vizsgálnia a szolgáltatás

teljesítményével (nem megfelelő válaszidők, nem elég gyors erőforrás igénylési reagálás stb.) kapcsolatos

jelenségeket, és gondoskodnia kell arról, hogy a szolgáltatás nyújtására alkalmas szolgáltatási színvonalat

fenntartsa. Az erőforrások illegális vagy nem megfelelő használatának gyanúja esetén az eljárás során az

eljáró hatósággal vagy a Hivatallal együtt kell működnie.

Page 35: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 36/92

1.5.4. A biztonsági események figyelése A Hivatal nyomon követi és dokumentálja az elektronikus információs rendszer biztonsági eseményeit.

A biztonsági eseményekkel kapcsolatos tevékenységeket az elektronikus információs rendszerek

biztonságáért felelős koordinálja.

Az elektronikus információs rendszerek működése során fellépő eseményeket megfelelő részletességgel

naplózni kell. Az üzemeltetőknek ezeket a naplóállományokat rendszeresen ellenőrizniük kell, az

ellenőrzés eredményéről rendszeresen és szükség esetén időszakosan jelentést kell tenniük az

elektronikus információs rendszer biztonságáért felelős személy részére.

Az elektronikus információs rendszer üzemeltetéséről az üzemeltető eseménynaplót vezet. Az informatikai

központok üzemeltetési feltételeit és az ott készült naplókat az elektronikus információs rendszer

biztonságáért felelős személy szúrópróbaszerű ellenőrzés során megvizsgálja, és az éves jelentésben a

tapasztalatairól tájékoztatja a Hivatal vezetőjét.

1.5.6. A biztonsági események jelentése A Hivatal mindenkitől, aki az elektronikus információs rendszerrel, vagy azok elhelyezésére szolgáló

objektummal kapcsolatban áll megköveteli, hogy jelentsék a biztonsági esemény bekövetkeztét, vagy ha

erre utaló jelet, vagy veszélyhelyzetet észlelnek.

Az elektronikus információs rendszer bármely felhasználói pontján jelentkező, adott rendszerelemmel

kapcsolatban felmerülő rendellenes működés, jelenség (pl. információ-feldolgozó eszközök, adattárolók

eltűnése, rongálódása, eszközök megszokottól eltérő működése, adatátvitel szokásostól eltérő lelassulása,

bizalmas információk kiszivárgásának gyanúja), vírusjelzés vagy futási hiba esetén a felhasználó köteles

a tapasztalt jelenséget, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni az

elektronikus információs rendszer biztonságáért felelős személy részére.

Az üzemeltető – a Hivatal és a közötte létrejött megállapodásban rögzített rendben – köteles azonnal

jelenteni az elektronikus információs rendszer biztonságáért felelős személynek, amennyiben munkája

során biztonsági veszélyeket vagy az infokommunikációs rendszerben veszélyforrást fedezett fel.

A bejelentett biztonsági eseményekről az elektronikus információs rendszer biztonságáért felelős személy

nyilvántartást vezet, jelenti a biztonsági eseményekre vonatkozó információkat az elektronikus információs

rendszerek biztonságának felügyeletét ellátó szerveknek.

A biztonsági esemény kivizsgálása és hibaelhárítás a rendszergazda feladata, az elektronikus információs

rendszer biztonságáért felelőssel együttműködve.

A Hivatal a kockázatfelmérés alapján indokolt, illetve a min. 4-es biztonsági osztályba sorolt elektronikus

információs rendszerekre vonatkozóan kötelezően automatizált mechanizmusokat alkalmaz, hogy segítse

a biztonsági események jelentését.

1.5.7. Segítségnyújtás a biztonsági események kezeléséhez A Hivatal az elektronikus információs rendszerek biztonságáért felelős és a rendszergazda

közreműködésével tanácsadást és támogatást nyújt az elektronikus információs rendszer felhasználóinak

a biztonsági események kezeléséhez és jelentéséhez. A támogatást a felhasználók szükség szerint

igényelhetik.

Page 36: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 37/92

A Hivatal a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan

automatizált mechanizmusokat alkalmaz, hogy növelje a biztonsági események kezelésével kapcsolatos

információk és a támogatás rendelkezésre állását.

1.5.8. Biztonsági eseménykezelési terv A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a biztonsági eseménykezelési tervet, amely:

a. iránymutatást ad a biztonsági esemény kezelési módjaira,

b. ismerteti a biztonsági eseménykezelési lehetőségek struktúráját és szervezetét,

c. átfogó megközelítést nyújt arról, hogy a biztonsági eseménykezelési lehetőségek hogyan

illeszkednek az általános szervezetbe,

d. kielégíti az érintett szervezet feladatkörével, méretével, szervezeti felépítésével és funkcióival

kapcsolatos egyedi igényeit,

e. meghatározza a bejelentésköteles biztonsági eseményeket,

f. meghatározza és folyamatosan pontosítja a biztonsági események kiértékelésének,

kategorizálásának (súlyosság, stb.) kritériumrendszerét,

g. támogatást ad a biztonsági eseménykezelési lehetőségek belső mérésére,

h. meghatározza azokat az erőforrásokat és vezetői támogatást, amelyek szükségesek a biztonsági

eseménykezelési lehetőségek bővítésére, hatékonyabbá tételére és fenntartására;

i. kihirdeti és tudomásul veteti a biztonsági eseménykezelési tervet a biztonsági eseményeket kezelő

(névvel és/vagy szerepkörrel azonosított) személyeknek és szervezeti egységeknek;

j. meghatározott gyakorisággal felülvizsgálja a biztonsági eseménykezelési tervet;

k. frissíti a biztonsági eseménykezelési tervet, figyelembe véve az elektronikus információs rendszer

és a szervezet változásait vagy a terv megvalósítása, végrehajtása és tesztelése során felmerülő

problémákat;

l. a biztonsági eseménykezelési terv változásait ismerteti;

m. gondoskodik arról, hogy a biztonsági eseménykezelési terv jogosulatlanok számára ne legyen

megismerhető, módosítható.

1.5.9. Képzés a biztonsági események kezelésére A Hivatal biztonsági eseménykezelési képzést biztosít az elektronikus információs rendszer

felhasználóinak a számukra kijelölt szerepkörökkel és felelősségekkel összhangban. A képzést a

biztonsági eseménykezelési szerepkör vagy felelősség kijelölését követő, meghatározott időtartamon belül,

vagy amikor ezt az elektronikus információs rendszer változásai megkívánják, vagy meghatározott

(minimum éves) gyakorisággal tartja.

A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs

rendszerekre vonatkozóan meghatározott (minimum éves) gyakorisággal teszteli az elektronikus

információs rendszerre vonatkozó biztonsági eseménykezelési képességeket előre kidolgozott tesztek

felhasználásával, annak érdekében, hogy meghatározza a biztonsági eseménykezelés hatékonyságát, és

dokumentálja az eredményeket. Egyezteti a biztonsági eseménykezelés tesztelését a kapcsolódó tervekért

(pl. üzletmenet-folytonossági terv és katasztrófaelhárítási terv) felelős szervezeti egységekkel.

A biztonsági esemény kivizsgálásában részt vevő személynek a megbízása előtt részt kell vennie a

biztonságiesemény-kezelő eljárásról szóló, a kormányzati eseménykezelő központ által tartott tájékoztató

előadáson.

Page 37: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 38/92

1.6. EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ - SZEMÉLY - BIZTONSÁG

1.6.1. Személybiztonsági eljárásrend A személybiztonsággal kapcsolatos elvárás, eljárás kiterjed a Hivatal teljes személyi állományára, valamint

minden olyan természetes személyre, aki az elektronikus információs rendszereivel kapcsolatba kerül,

vagy kerülhet. Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges vagy

feltételezhető kapcsolatba kerülő személy nem a Hivatal munkatársa, a jelen fejezet szerinti elvárásokat a

tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás megkötése során kell, mint

kötelezettséget érvényesíteni (ideértve a szabályzatok, eljárásrendek megismerésére és betartására

irányuló kötelezettségvállalást, titoktartási nyilatkozatot).

Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

Az elektronikus információs rendszerek felhasználói, illetve a bevezetésben és felhasználásában

közreműködő külső fél munkatársai és vezetői titoktartási nyilatkozat tételére kötelesek, vagy a Hivatal és

a külső fél közötti jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási

kötelezettségéről. A titoktartási kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel

kapcsolatos, illetve ezek bevezetése során tudomásukra jutó valamennyi információra. Figyelembe kell

venni a központi szolgáltató (a jogszabály által kijelölt központosított informatikai és elektronikus hírközlési

szolgáltató) előírásait.

Az elektronikus információs rendszerek üzemeltetőinek, szolgáltatóknak az emberi erőforrás

megbízhatóságának biztosítása érdekében a háttérszolgáltatást biztosító szolgáltatói állomány

tekintetében gondoskodnia kell a vonatkozó jogszabályokban rögzített megfelelőségi követelmények

teljesítéséről (például érzékeny adatok feldolgozását végző rendszerhez kik kaphatnak fizikai és logikai

hozzáférést).

1.6.2. Munkakörök, feladatok biztonsági szempontú besorolása A Hivatal minden érintett szervezeti munkakört, vagy a szervezethez kapcsolódó feladatot biztonsági

szempontból besorol, felméri a nemzetbiztonsági ellenőrzés alá eső munkaköröket és feladatokat,

rendszeresen felülvizsgálja és frissíti a munkakörök és feladatok biztonság szempontú besorolását.

A besorolásnál figyelembe kell venni a vonatkozó jogszabályok előírásait.

A nemzetbiztonsági ellenőrzés célja annak vizsgálata, hogy a fontos és bizalmas munkakörre jelölt, illetve

az ilyen munkakört betöltő személyek megfelelnek-e az állami élet és nemzetgazdaság jogszerű

működéséhez szükséges biztonsági feltételeknek. A biztonsági feltételek vizsgálata azt jelenti, hogy az

ellenőrzés alá vont személlyel kapcsolatban felvetődnek-e olyan kockázati tényezők, körülmények,

információk, amelyek miatt tevékenysége jogellenes céllal befolyásolhatóvá, illetve támadhatóvá válhat, és

ez által a nemzetbiztonságot sértő vagy veszélyeztető helyzet állhat elő. A nemzetbiztonsági ellenőrzés

kockázat-vizsgálat, nem annak bizonyítására vagy kizárása irányul, hogy az ellenőrzöttet jogellenesen

befolyásolták és ez által a nemzetbiztonság veszélyeztetett, hanem hogy a feltárt tények, körülmények,

információk alapján okkal feltételezhető-e, hogy ilyen helyzet kialakulhat. A nemzetbiztonsági ellenőrzésre

az érintett tudtával kerülhet sor.

Page 38: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 39/92

1.6.3. A személyek ellenőrzése A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs

rendszerekkel kapcsolatba kerülő személyekre vonatkozóan (beleértve a nem a Hivatal személyi

állományába tartozókat is) az elektronikus információs rendszerhez való hozzáférési jogosultság

megadása előtt kötelező ellenőrzi, hogy a hozzáférési jogosultságot igénylő személy az adott szervezeti

munkakörnek vagy a szervezethez kapcsolódó feladat biztonsági szempontból történő besorolásának

megfelelő feltételekkel rendelkezik-e, teljesíti-e a nemzetbiztonsági ellenőrzés alá eső munkakörökre és

feladatokra vonatkozó előírásokat.

A Hivatal vezetője a nemzetbiztonsági ellenőrzés alá eső munkaköröket betöltő vagy feladatokat ellátó

személyek tekintetében a jogosultság megadása előtt kezdeményezi a nemzetbiztonsági szolgálatokról

szóló törvényben meghatározott nemzetbiztonsági ellenőrzést, az elektronikus információs rendszerhez

való hozzáférés ideje alatt folyamatosan ellenőrzi a meghatározott feltételek fennállását.

Alkalmasság vizsgálat:

a. A Hivatal vezetője vagy a humánpolitikai szervezet vezetőjének a felelőssége, hogy foglalkoztatás

előtt a betöltendő anyakönyvi vagy ASP szakrendszerhez kapcsolódó munkakör kockázataival

arányos mértékű megfelelőségi vizsgálatot végezzen el a foglalkoztatni kívánt munkatárs

vonatkozásában.

b. A kockázattal arányos mértékben mérlegelni kell a foglalkoztatni kívánt személy egyéni

tulajdonságait is (pl. megbízhatóság, felelősségtudat, elkötelezettség, terhelhetőség,

koncentrálóképesség stb.).

c. Meg kell győződni arról, hogy a foglalkoztatni kívánt személy rendelkezik a munka elvégzéséhez

szükséges végzettséggel, tapasztalatokkal.

d. A Hivatal vezetője (biztonságért felelős vezető) vezetőjének felelőssége, hogy az informatika

külsős felek által, a szerződött feladatok végrehajtására kijelölt személyek a munkavégzés

kockázataival arányos mértékben átvilágításra kerüljenek.

e. A humánpolitikai szakterület vezetőjének vagy a jegyző által kijelölt személynek a felelőssége,

hogy a foglalkoztatás alkalmával az önkormányzati hivatal munkaköri leírásban rögzítse a

kockázatokkal arányosan a titoktartás követelményeit (Titoktartási nyilatkozat) és a foglalkoztatás

egyéb kikötéseit.

f. A jegyző felelőssége, hogy a szerződő felek a szerződésben rögzítsék a kockázatokkal arányosan

a titoktartás követelményeit és az együttműködés egyéb kikötéseit.

g. A humánerőforrás fentebb leírt pontjai nem lehetnek ellentmondásban a Hivatal hatályos

Informatikai biztonsági szabályzatával.

1.6.4. Eljárás a jogviszony megszűnésekor A Hivatal vezetője belső szabályozásban meghatározott időpontban megszünteti a hozzáférési

jogosultságot az elektronikus információs rendszerhez. Ennek keretében a jegyző/megbízott szervezeti

egység vezető és a rendszergazda:

a. megszünteti, vagy visszaveszi a személy egyéni hitelesítő eszközeit (valamennyi alkalmazottnak,

a szerződőknek és a felhasználó harmadik feleknek információkhoz és információ-feldolgozó

eszközökhöz való hozzáférési jogosultságát meg kell szüntetni, amikor alkalmazásuk megszűnik,

szerződésük, illetve megállapodásuk lejár);

Page 39: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 40/92

b. tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető a jogviszony

megszűnése után is fennálló kötelezettségekről;

c. visszaveszi az érintett Hivatal elektronikus információs rendszerével kapcsolatos, tulajdonát

képező összes eszközt, beleértve a hitelesítésre szolgáló eszközöket, felhasználói kártyákat (pl.

anyakönyvi kártya), a Hivatal területére való belépésre jogosító kártyákat (pl. proximity kártya),

dokumentumokat is;

d. megtartja magának a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt

elektronikus információs rendszerekhez és Hivatali információkhoz (a felhasználó elektronikusan

tárolt információit, e-mailjeit és egyéb általa létrehozott adatot menteni, archiválni kell az általa

használt informatikai eszközről, szerver tárhelyről, illetve bármely egyéb adathordozóról, az

archivált adatokat a törvényi előírásoknak megfelelően tárolni kell, illetve ha szükséges, a megadott

idő után törölni a rendszerből);

e. az általa meghatározott módon a jogviszony megszűnéséről értesíti az általa meghatározott

szerepköröket betöltő, feladatokat ellátó személyeket;

f. a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak

biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését

megelőzően gondoskodniuk kell az illetékeseknek.

A jogviszony megszűnésekor a jogviszonyt megszüntető személy esetleges elektronikus információs

rendszert, illetve abban tárolt adatokat érintő, elektronikus információbiztonsági szabályokat sértő

magatartását meg kell előzi.

A szerepkörök és jogosultságok változtatását meghatározott eljárás szerint a változáskezelés keretében

kell végrehajtani. A jogosultság változást a Jogosultság igénylő lapon és/vagy egyéb feljegyzésen kell

dokumentálni informatikai biztonsági eljárásrend szerint vagy a központi szolgáltató (a jogszabály által

kijelölt központosított informatikai és elektronikus hírközlési szolgáltató) által meghatározott módon.

Jogviszony megszűnésekor valamennyi felhasználónak, a szerződőknek és a felhasználó harmadik félnek

vissza kell szolgáltatnia a Hivatal valamennyi használatra átvett vagyontárgyát, amikor alkalmazásuk,

szerződésük, illetve megállapodásuk lejár, illetve megszűnik. Az eszközök leadásakor a nyilvántartás

alapján ellenőrizni kell, hogy a felhasználó teljeskörűen átadta-e a felügyeletére bízott eszközöket (a

rögzített hardver-, szoftver specifikációval adja-e vissza a hardver eszközöket).

A megszűnt jogviszonyú munkatárs számára kiosztott hozzáféréseket (beleértve az informatikai

rendszerek, szakrendszerek, levelező rendszer jelszavait, a beléptető-, riasztórendszer kódját, ha van – az

ügymenet folytonosság biztosítása mellett – a lehető legkorábbi időpontban vissza kell vonni.

A Hivatal vagy a szervezeti egység vezetőjének kell funkciója keretében valamennyi személyi változást és

a jogosultságok ebből eredő változásait a felelős adminisztrátor, rendszergazda és az elektronikus

információs rendszerek biztonságáért felelő felé a jogosultságok aktualizálása érdekében dokumentáltan

jelenteni. A jogviszony megszűnését követően a megszűnt jogviszonyú felhasználó azonosítójával

elkövetett visszaélésekkel kapcsolatban a mulasztást elkövetők (pl. a jelentést vagy eszközök visszavételét

elmulasztók) mulasztásuk arányában együttesen felelnek.

Page 40: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 41/92

1.6.5. Az áthelyezések, átirányítások és kirendelések kezelése A Hivatal szükség esetén (az adott szervezeti munkakörnek vagy a szervezethez kapcsolódó feladat

biztonsági szempontból történő besorolásának megfelelően, a nemzetbiztonsági ellenőrzés alá eső

munkaköröket betöltő vagy feladatokat ellátó személyek tekintetében) elvégzi a 1.6.3. pontban foglalt, a

személyek ellenőrzésére vonatkozó eljárást:

a. logikai és fizikai hozzáférést engedélyez az újonnan használni kívánt elektronikus információs

rendszerhez;

b. szükség esetén elvégzi az áthelyezés miatt megváltozott hozzáférési engedélyek módosítását

vagy megszüntetését;

c. az általa meghatározott módon a jogviszony változásáról értesíti az általa meghatározott

szerepköröket betöltő, feladatokat ellátó személyeket.

1.6.6. A Hivatallal szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények A Hivatal:

a. a külső szervezettel kötött megállapodásban, szerződésben megköveteli, hogy a külső szervezet

határozza meg az érintett szervezettel kapcsolatos, az információbiztonságot érintő szerep- és

felelősségi köröket, köztük a biztonsági szerepkörökre és felelősségekre vonatkozó elvárásokat is;

b. szerződéses kötelezettségként megköveteli, hogy a szerződő fél feleljen meg az érintett szervezet

által meghatározott személybiztonsági követelményeknek;

c. a szerződő féltől megköveteli, hogy dokumentálja a személybiztonsági követelményeket;

d. előírja, hogy ha a szerződő féltől olyan személy lép ki, vagy kerül áthelyezésre, aki rendelkezik az

érintett szervezet elektronikus információs rendszeréhez kapcsolódó hitelesítési eszközzel vagy

kiemelt jogosultsággal, akkor soron kívül küldjön értesítést az érintett szervezetnek;

e. folyamatosan ellenőrzi a szerződő féltől személybiztonsági követelményeknek való megfelelését.

A Hivatal elektronikus információs rendszereinek fejlesztésére, üzemeltetésére vagy adatfeldolgozására

külső féllel kötött megállapodásokban rendelkezni kell a külső fél információbiztonsági kötelezettségeiről

és a Hivatal ellenőrzési jogosultságairól, így különösen:

a. az informatikai biztonság fő szabályairól,

b. a feldolgozandó, kezelendő adatok érzékenységéről, a biztonsági osztályokról, illetve a védelem

érdekében meghatározott és a külső fél által alkalmazandó eljárásokról,

c. az információbiztonsággal, valamint az adatkezeléssel összefüggő tevékenységek hatékony

nyomonkövethetőségéről,

d. az információk másolásának és nyilvánosságra hozatalának feltételeiről,

e. a szolgáltatás elvárt szintjének és a szolgáltatási időszaknak a meghatározásáról,

f. a külső fél tevékenységének az üzletmenet-folytonossági és katasztrófaelhárítási tervekre

gyakorolt hatásáról,

g. a teljesítések ellenőrizhetőségéről, monitorozásának lehetőségeiről,

h. a garanciaszintekről, azok követelményeiről,

i. a hardver- és szoftvertelepítésből, valamint a karbantartásokból eredő felelősségről,

j. a világos és egyértelmű jelentéskészítési struktúráról,

k. a változáskezelések egyértelmű és meghatározott folyamatáról,

Page 41: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 42/92

l. a kártékony kódok elleni óvintézkedések meghatározásáról,

m. a biztonsági eseményeket követő jelentéstételi kötelezettségről, illetve a biztonsági események

kezelésére vonatkozó feladatokról és eljárásokról,

n. az érintett rendszerelemek és folyamatok meghatározásáról,

o. azokról a paraméterekről, amelyeket a külső félnek el kell érnie ahhoz, hogy igazolható legyen a

teljesítése,

p. az egyes szolgáltatásokhoz kapcsolódó elvárt szolgáltatási szintekről, valamint a szolgáltatások

mérésének és azokra vonatkozó jelentések módjáról,

q. a megállapodásból eredő jogsértésekhez kapcsolódó szankciókról,

r. a külső fél és a munkatársak közötti feladat és felelősség megosztásáról, valamint az egymás

tájékoztatásának és a teljesített feladat átadás-átvételének folyamatáról, valamint

s. a rendkívüli helyzetek kezelése esetén alkalmazandó feladatmegosztásról, feladat- és felelősségi

körökről, illetve a jelentési kötelezettségről.

A külső féllel történő megállapodás megkötését megelőzően a jegyző – az elektronikus információs

rendszer biztonságáért felelős személy bevonásával – megvizsgálja, hogy a külső fél által nyújtott

szolgáltatásnak milyen információbiztonsági kockázatai vannak. Az így megállapított kockázatokkal

arányosan kell meghatározni a megállapodásban a külső fél által teljesítendő információbiztonsági

kötelezettségeket.

A Hivatal előírja és folyamatosan ellenőrzi a szerződő fél személybiztonsági követelményeknek való

megfelelését. Elvárja, hogy a külső fél munkavégzése során:

a. gondoskodjon arról, hogy az elektronikus információs rendszerben kezelt adatok bizalmassága,

sértetlensége, rendelkezésre állása és az adatvédelem elvei nem sérülhetnek,

b. gondoskodjon arról, hogy a hozzáférési jogot kapott munkatársai a jogosultságot nem adhatják át

más személynek,

c. gondoskodjon arról, hogy a hozzáférési azonosítókat és az ezekhez kapcsolódó fizikai eszközöket

bizalmasan kezelje, és biztosítsa, hogy azokhoz illetéktelen személyek ne férhessenek hozzá,

d. gondoskodjon arról, hogy ha olyan személy lép ki, vagy kerül áthelyezésre, aki rendelkezik a

Hivatal elektronikus információs rendszeréhez kapcsolódó hitelesítési eszközzel vagy kiemelt

jogosultsággal, akkor soron kívül küldjön értesítést a Hivatalnak;

e. garantálja az elektronikus információs rendszerek és infokommunikációs eszközök megfelelő

védelmét, a szükséges és elégséges hozzáférés elvének betartását, fizikai és logikai védelem

kialakítását, rendszerszintű titkosítási eljárások alkalmazását, illetve a biztonsági naplózást,

valamint

f. ha távolról éri el a Hivatal hálózatát, illetve valamely elektronikus információs rendszerét, akkor a

biztonságos elektronikus adatcsere-kapcsolat érdekében köteles a Hivatal által előírt

információbiztonsági megoldásokat megvalósítani mindazon saját eszközein, amelyekről a távoli

elérés lehetséges.

g. Bizalmas adatforgalom a Hivatal és a külső fél között csak titkosított kommunikációs csatorna

biztosításával történhet.

h. Az elektronikus információs rendszerhez kapcsolódó rendszergazdai feladatok ellátásáért az

üzemeltetést végző külső fél felel.

Page 42: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 43/92

i. A külső fél által megállapodás alapján nyújtott szolgáltatásainak megfelelőségét a Hivatal vezetője

és a rendszergazda – szükség esetén az elektronikus információs rendszer biztonságáért

felelőssel együttműködve – folyamatosan ellenőrzi.

1.6.7. Fegyelmi intézkedések A Hivatal vezetője belső eljárási rend szerint fegyelmi eljárást kezdeményez az elektronikus

információbiztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel

szemben. Amennyiben az elektronikus információbiztonsági szabályokat nem a Hivatal személyi

állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott

következményeket, megvizsgálja és szükség szerint alkalmazza az egyéb jogi lépéseket.

1.6.8. Belső egyeztetés A Hivatal tervezi és egyezteti az elektronikus információs rendszer biztonságát érintő tevékenységeit, hogy

csökkentse annak a nem érintett szervezeti egységeire gyakorolt hatását.

1.6.9. Viselkedési szabályok az interneten A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerhez

hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat a rájuk vonatkozó

szabályokat, felelősségüket az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet.

A Hivatal az internethasználattal és az elektronikus levelezéssel kapcsolatos részletes szabályokat

Informatikai biztonsági eljárásrendben vagy más szabályzatban kezelheti.

Az internethasználat legbiztonságosabb módjának kialakításáért a rendszergazda gondoskodik, az

elektronikus információs rendszer biztonságáért felelőssel együttműködve.

Alapelv, hogy a Hivatal elektronikus levelezési rendszere és a Hivatal tulajdonában álló, a felhasználók

részére rendelkezésre bocsátott számítógépekről az internet hálózat a feladatellátáshoz szükséges célokra

használható. Azokon a számítógépeken, amelyeken a Hivatal szakfeladatait támogató elektronikus

információs rendszereinek használatára vagy a szakfeladatokhoz szükséges adatok, dokumentumok

tárolására kerül sor, csak a szakfeladatokhoz közvetlenül szükséges weboldalak használata

engedélyezett, technikai intézkedésekkel tiltani kell a szakfeladatokhoz nem szükséges weboldalak

elérését. Az engedélyezett weboldalakat a jegyző határozza meg, a rendszergazda feladata a hozzáférés

korlátozása.

A Hivatal informatikai hálózatán, eszközein tilos a chat, fájlcsere, a közösségi oldalak használata, szakmai

vagy közösségi célokból egyedi engedélyt a jegyző adhat. A közösségi oldalak elérése kizárólag a Hivatal

hálózatáról leválasztott számítógépeken engedélyezett, kizárólag a Hivatal hálózatáról leválasztott

számítógépeken, a munkavégzéshez szükséges minimális időtartamban.

Tilos az egyes weboldalakról állományokat letölteni, vagy ha a letöltés a feladatellátáshoz feltétlenül

szükséges, akkor azt a rendszergazda, a jegyző, a szervezeti egység vezető vagy az általa megbízott

személy végezheti. A szakfeladatokon kívüli engedélyezett internethasználatot kizárólag a Hivatal

informatikai hálózatától fizikailag is elkülönített számítógépen lehet technikailag biztosítani.

Az elektronikus levelezés során a hivatalos és a személyes postafiókokat vírusvédelmi rendszer védi.

Az elektronikus postafiókba érkező, ismeretlen feladótól származó, nem szokványos formátumú, gyanús

csatolmányt tartalmazó, illetve idegen nyelvű küldeményekkel – a fennálló vírusveszély miatt – fokozott

Page 43: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 44/92

óvatossággal kell eljárni. Gyanús küldemény érkezésekor, illetve a vírusvédelmi rendszer riasztása esetén

a biztonsági események kezelésénél irányadó eljárási szabályok érvényesek; a csatolmányt ilyen esetben

megnyitni tilos. Tilos lánclevelek indítása vagy továbbítása.

A Hivatal a felhasználók rendelkezésére bocsátott számítógépeken történő elektronikus levelezést

korlátozhatja, az Internetről letöltött, illetve a tárhelyeken tárolt állományokat ellenőrizheti, a nem a

feladatellátáshoz szükséges állományokat törölni kell.

A felhasználó köteles a számára a rendszergazda által meghatározott e-mail címről levelezését oly módon

folytatni, hogy az a Hivatal érdekeit ne sértse.

Levelezés a Hivatal saját tulajdonú domain névhez kapcsolódó tárhelyen történhet, a rendszergazda által

meghatározott vagy a tárhely szolgáltató által biztosított levelező rendszer használatával (lehetőség szerint

(SSL) POP3 hozzáféréssel vagy webmail igény esetén (SSL) IMAP hozzáféréssel). Szükséges felhasználó

szinten történő email címek létrehozása ([email protected]), csoportosan ([email protected])

alias létrehozásával.

Tilos a Hivatal saját tulajdonú domain névhez tartozó levelezőrendszerén kívüli levelezőrendszer-

használat. Az ingyenes levelezőrendszerek (pl. freemail, gmail, stb.) használatát a szakrendszerek

munkaállomásain technikai korlátozásokkal tiltani kell.

Az Ibtv. 3. § (2)-(3) bekezdése alapján a külföldi adatkezelést, az egyes elektronikus információs

rendszerek Magyarország területén kívül üzemeltetetését előzetesen engedélyeztetni kell.

A felhasználónak az Internet használata során tilos:

a. a Hivatallal kapcsolatos információk nyilvános internetes oldalakon való illegális közzététele,

b. az Interneten elérhető nyilvános chat-és fórum oldalakon hivatali email címmel hozzászólni,

c. fájlcserélő alkalmazásokat futtatni, illetve nem hivatali munkavégzéshez szükséges letöltéseket

végezni,

d. hivatali email címmel a hivatali munkához nem kapcsolódó vagy nyilvános levelezőlistákra,

hírlevelekre feliratkozni.

Az elektronikus levelekben, vagy azok mellékleteként a felhasználók által csatolt állományokat az

informatikai rendszer automatikusan ellenőrzi, és a biztonságos üzemeltetést veszélyeztető állományok

esetében a használatot, illetve a küldés/fogadást megakadályozza. Az állományok küldésére és

fogadására vonatkozó korlátozás kiterjed a rendeltetésszerű- és az ésszerű használat kereteit meghaladó

méretű állományokra is.

Ha a felhasználó elektronikus levélben vagy annak mellékletében kapott olyan állományt, amely nem

munkavégzéshez kapcsolódik, azt csak a kifejezetten erre a célra létrehozott tárhelyen jogosult tárolni.

Amennyiben ezt a szabályt megszegi, a rendszergazda köteles az adott állományt eltávolítani a

rendeltetésszerű használat érdekében.

A felhasználó tudomásul veszi, hogy amennyiben a Hivatal által rendelkezésére bocsátott e-mail címet

nem munkavégzéssel kapcsolatos levelezésre használja, azt saját felelősségére teszi, valamint a Hivatal

ellenőrzési és felelősségre vonási jogosultsága ezen elektronikus levelek tekintetében fennáll.

A felhasználó tudomásul veszi, hogy amennyiben a Hivatal által rendelkezésére bocsátott internet-

használati jogosultságot nem munkavégzés céljára használja, azt saját felelősségére teszi, valamint a

Hivatal ellenőrzési, felelősségre vonási és törlési jogosultsága ezen használat tekintetében és a nem a

meghatározott tárhelyen tárolt állományokra vonatkozóan fennáll.

Page 44: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 45/92

A Hivatal a felhasználók által böngészett oldalak listáját naplózza. A naplófájl készítésének és

ellenőrzésének célja, hogy a felhasználók Internet használata megfeleljen a Hivatal biztonsági

követelményeinek és jogos érdekeinek.

A Hivatal kizárólag a számára dedikált kommunikációs kapcsolaton keresztül vagy saját infrastruktúráján

megvalósított felhő alapú szolgáltatást (magánfelhőt), vagy indokolt esetben szigorú szabályok szerinti

közösségi felhőt használhat, az informatikai kockázatok és az adatok feletti felügyelet hiánya miatt tilos

nyilvános felhőalapú rendszerek használata.

A rendszergazda köteles rendszeresen ellenőrizni, hogy a felhasználók számára biztosított az Internet

elérést lehetővé tevő szoftverek mentesek a komolyabb biztonsági hibáktól.

1.7. TUDATOSSÁG ÉS KÉPZÉS

1.7.1. Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és az e célt szolgáló ágazati szervezetekkel A Hivatal vezetőjének feladata az elektronikus információs rendszerek biztonságáért felelős személlyel

együttműködve az elektronikus információs rendszerhez hozzáféréssel rendelkező személyek folyamatos

oktatásának, képzésének elősegítése, az ajánlott elektronikus információbiztonsági eljárások, technikák és

technológiák naprakészen tartása.

Az elektronikus információs rendszerek biztonságáért felelős a fenyegetésekre, sebezhetőségekre és

biztonsági eseményekre vonatkozó legfrissebb információk megosztása érdekében kapcsolatot alakít ki és

tart fenn az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és e

célt szolgáló ágazati szervezetekkel (Nemzeti Kibervédelmi Intézet Kormányzati Eseménykezelő Központ).

Figyelemmel kíséri a kiadott tájékoztatókat, riasztásokat, a Hivatal informatikai rendszereit érintő

események esetén értesti az érintetteket, megteszi a szükséges teendőket.

1.7.2. Képzési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a képzési eljárásrendet, mely a képzésekhez

kapcsolódó szabályokat és az azokhoz kapcsolódó ellenőrzések megvalósítását segíti elő. Az informatika

biztonsági rendszer követelményeinek ismertetése biztosítja, hogy a munkavállalók megismerhessék a

munkájuk elvégzésével kapcsolatos biztonsági elvárásokat annak érdekében, hogy tevékenységük

biztonsági színvonala megfeleljen az elvárható igényeknek. Az eljárásrendet a szükséges mértékben és

meghatározott gyakorisággal felülvizsgálja.

Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

1.7.3. Biztonság tudatosság képzés A Hivatal annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső

fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést nyújt az

elektronikus információs rendszer felhasználói számára.

Page 45: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 46/92

A képzés további célja az érintett személyek, az elektronikus információs rendszer felhasználói alapvető

biztonsági követelményekkel kapcsolatos tudatosságának fenntartása, az érintett személyek felkészítése

a belső fenyegetések felismerésére, jelentési kötelezettségük tudatosítása.

A képzés szükséges:

a. a biztonsági tudatosság érdekében, az elektronikus információs rendszer újonnan belépő

felhasználói számára, a kezdeti képzés részeként,

b. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi,

c. ismétlődően 3 évente,

d. amikor a jegyző erre utasítást ad vagy erre vonatkozóan utasítás, elrendelés érkezik.

Felelősségek

Hivatal vezetője (jegyző)

- Felelős a képzési kritériumok meghatározásáért

- Kinevezi a felelősöket, tevékenységüket felügyeli

- Gondoskodik a képzési szabályok betartásáról

- Biztosítja a képzéshez a szükséges erőforrásokat

- Dönt a képzési szabályok elfogadásáról a szükséges intézkedésekről, figyelemmel kísérési

feladatokról

Képzési felelős (képzési referens vagy a jegyző)

- Kezdeményezi az éves rendszeres felülvizsgálatokat

- Javaslatokat tesz a képzési módosítási szabályokra

- Követi a képzési intézkedések megvalósulását

- Gondoskodik a képzési intézkedések, kontrollok szabályozásokba, dokumentációs rendszerbe

illesztéséről

- Felelős a szükséges oktatások megtartásáért, megtartatásáért

Munkatársak

- Felelősek a közzétett, illetve számukra kiadott előírások betartásáért,

- Az oktatásokon átadott ismeretek elsajátításáért, lehetőség szerinti fejlesztéséért önképzéssel

- Az informatikai biztonság tudatosítása, fejlesztése érdekében javaslatainak eljuttatása felettesei

vagy az elektronikus információs rendszerek biztonságáért felelős vezető felé

A jegyző biztosítja, hogy a Hivatal munkavállalói az informatikai biztonsági rendszer követelményeiről és

az abban bekövetkezett esetleges változásokról megfelelő képzésben részesüljenek. A képzési tervnek

megfelelően gondoskodik a belső oktatási tematika kialakításáról és a képzések lefolytatásáról.

A felhasználók IT biztonsági tudatosítása érdekében az alábbi feladatokat kell végrehajtani:

a. a személyi kockázatok csökkentése érdekében meg kell oldani az elektronikus információs

rendszerek felhasználóinak, üzemeltetőinek biztonsággal kapcsolatos tudatosítását;

b. az IT biztonság tudatosítása a felhasználók esetében oktató anyagok terjesztésével és képzések

útján történik, melyről a jegyző gondoskodik. Az oktatási tematikákat és anyagokat az elektronikus

információs rendszer biztonságáért felelős személy készíti, a jegyző véleményezi, szükség szerint

a rendszergazda bevonásával;

c. el kell végezni a jogszabály által előírt kötelező képzéseket, továbbképzéseket.

Page 46: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 47/92

Az Ügymenet-folytonossági tervvel kapcsolatos képzésekről (az eljárásrend követelményei szerint) a

jegyző rendelkezik, a rendszergazda és az elektronikus információs rendszerek biztonságáért felelőssel

együttműködve. A képzés kiterjed minden alkalmazottra, szükség esetén az alvállalkozókra is. Célja, hogy

minden alkalmazott ismerje, milyen esetben, és kit kell értesíteni katasztrófa esetén. Ezen információk

mindenki számára elérhetőek a belső hálózaton.

Az Ügymenet-folytonossági tervben speciális feladatokat ellátók (pl. döntések meghozataláért felelős

vezetők, informatikai alkalmazásokért, hardver, szoftver eszközökért felelősök) külön képzésben

részesülnek, melynek keretében egyeztetésre kerülnek az általuk elvégzendő feladatok.

Az elektronikus információs rendszerek biztonságáért felelős feladata az érintettek, felhasználók számára

az informatikai biztonsági tudatosság megszerzéséhez, szintentartásához szükséges oktatási anyag

összeállítása, naprakészen tartása. Az oktatási anyagnak kellő mélységű gyakorlati ismereteket is kell

tartalmaznia. Az oktatási anyag összeállítása során fel kell használni a rendszergazda

rendszerüzemeltetési tapasztalatait (felmerült problémák, informatikai incidensek kezelése, megelőző

intézkedések). A rendszergazda a jegyző döntésének megfelelően szükség esetén egyedi oktatási anyagot

állít össze, rendkívüli oktatást tart és dokumentál.

1.7.4. Belső fenyegetés A biztonságtudatossági képzés feladata, hogy az érintett személyeket készítse fel a belső fenyegetések

felismerésére, és tudatosítsa jelentési kötelezettségüket.

A biztonsági oktatások tematikáját az elektronikus információs rendszerek biztonságáért felelős készíti el,

arra szükséges időközönként, de legalább évente felülvizsgálja és szükség szerint aktualizálja.

Az oktatásnak az elméleti ismereteken túl, gyakorlati példákat is tartalmaznia kell.

1.7.5. Szerepkör, vagy feladat alapú biztonsági képzés A Hivatal szerepkör vagy feladat alapú biztonsági képzést nyújt az egyes szerepkörök szerinti, azért felelős

személyeknek:

a. az elektronikus információs rendszerhez való hozzáférés engedélyezését vagy a kijelölt feladat

végrehajtását megelőzően;

b. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;

c. a Hivatal által meghatározott rendszerességgel

Az új munkavállalók a betanulási időszak alatt személyre szabott program alapján a szervezeti egység

vezető vagy az általa kijelölt személy közreműködésével sajátítják el a szükséges ismereteket. Akkor lehet

önálló munkával megbízni, ha a munkavállaló megfelelő gyakorlatot szerzett és a felelős meggyőződött a

felkészültségéről. Az új munkavállaló képzése során gondoskodni kell az informatikai biztonsággal

kapcsolatos képzéséről, tudatosításáról. Meg kell ismertetni a rá vonatkozó informatikai biztonsággal

kapcsolatos előírásokkal, szabályzatokkal.

Az informatikai rendszerekhez felhasználói jogosultságot csak olyan személyek részére szabad kiadni, akik

elfogadják a Hivatal információbiztonsági szabályait. Az új munkavállaló a munkaköréhez szükséges

felhasználói jogosultságait a vonatkozó eljárásrend kell kiadni.

A felhasználót az azonosító(k) átadását megelőzően oktatásban kell részesíteni a használat feltételeiről és

szabályairól, meg kell ismertetni a rá vonatkozó informatikai biztonsággal kapcsolatos előírásokkal,

szabályzatokkal. Az oktatás Oktatási tematika vagy egyéb dokumentum alapján vagy e-learning

Page 47: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 48/92

módszerrel történhet. Szakrendszerhez kapcsolódó felhasználói azonosító átadását megelőzően a

felhasználót oktatásban kell részesíteni az adott szakrendszer használatáról. Az oktatás, a betanulási

időszakban az új munkavállaló szakrendszerben végzett munkájának fokozott ellenőrzése a megbízott

szervezeti egység vezető vagy a jegyző által kijelölt felelős feladata. Az új bevezetésű szakrendszerek

felhasználóinak (pl. ASP keretrendszer és szakrendszerek) részt kell venni az előírt oktatásokon, amely

alapján a rendszert az elvárásoknak megfelelően, önállóan is használni tudják.

A Hivatal azoknak a munkatársaknak, akiknek az idevonatkozó törvény és jogszabályok előírják, külső

képzést biztosít. A képzéseket az erre szolgáló központi alkalmazással tervezni szükséges, melynek

felelőse a jegyző vagy az általa megbízott felelős.

Új szabályozás vagy a szabályozás jelentős változása esetén az érintetteket képzésben kell részesíteni, a

szabályzatot, szabályozást, az abban foglaltak megismerését, tudomásulvételét, betartását Megismerési

nyilatkozaton vagy egyéb feljegyzésen kell dokumentálni.

Az oktatásokat úgy kell szervezni, hogy minimálisan három évente egyszer ismétlő, frissítő ismereteket

kapjanak a munkatársak. Az új belépő munkatárs oktatását a munkakörétől függően, a lehető legrövidebb

időn belül kell elvégezni. Rendkívüli oktatást kell tartani, ha biztonsági vagy egyéb incidens történik, a

rendkívüli oktatást a jegyző a rendszergazda vagy az elektronikus információs rendszerek biztonságáért

felelős javaslata alapján rendeli el.

Az Ibtv. által előírt, az elektronikus információs rendszerek biztonságáért felelős vezető, felelős

személy(ek), valamint a feladatok ellátásában résztvevő személy(ek) számára a vonatkozó jogszabály

kötelező képzést ír elő. A továbbképzéseket (belépő képzések) és az éves továbbképzéseket (ismétlődő

képzések) a Nemzeti Közszolgálati Egyetem szervezi.

Az elektronikus információs rendszerek védelméért felelős vezető (a jegyző) az állami és önkormányzati

szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus

információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló

26/2013. (X. 21.) KIM rendelet alapján képzésre és éves továbbképzésre kötelezett.

Amennyiben nem megfelelő jogosultsággal rendelkező munkatárs vagy külső szakértő látja el az

elektronikus információs rendszerek biztonságáért felelős feladatait, a kijelölt személy beiskolázásáról is

gondoskodni kell. A szakirányú továbbképzés beiskolázási feltételeit a rendelet tartalmazza.

Amennyiben nem kizárólag az elektronikus információs rendszerek biztonságáért felelős látja el az

elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy

feladatait, akkor a feladatok ellátásárban részt vevő személy(ek) képzését, éves továbbképzését is tervezni

kell, meg kell valósítani a jogszabály előírása szerint.

1.7.6. A biztonsági képzésre vonatkozó dokumentációk

A Hivatal dokumentálja a biztonságtudatosságra vonatkozó alap-, és szerepkör alapú biztonsági

képzéseket, a képzésen résztvevőkkel a képzés megtörténtét elismerteti, és ezt a dokumentumot megőrzi.

A belső képzésről dokumentum születik, mely tartalmazza a képzés helyét, tárgyát, idejét, stb. és a

résztvevők illetve oktató aláírásait. Az oktatásokkal kapcsolatos dokumentumokat a kijelölt képzésért

felelős kezeli, tárolja. A belső képzéseken túl a külső képzésekről a részvételi, ill. látogatási igazolást és

egyéb dokumentumokat, a kapott bizonyítványokat is archiválja a személyi anyagban, melyet zárt tűzvédett

páncélszekrényben tárol. A képzési dokumentációk megtekintését a Hatóságoknak biztosítani kell.

Page 48: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 49/92

FIZIKAI VÉDELMI INTÉZKEDÉSEK

2.1. FIZIKAI ÉS KÖRNYEZETI VÉDELEM

2.1.2. Fizikai védelmi eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerek

szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, melyet az

Informatikai biztonsági eljárásrendben kezel. Az informatika biztonsági rendszer rendkívüli módosításakor

vagy biztonsági esemény bekövetkeztekor, illetve tervezetten 3 évente a szabályzatot újra vizsgálja,

szükség szerinti módosítja.

Az eljárásrend három biztonsági zónát határoz meg és rögzíti a belépésre jogosult személyek körét. Ezen

túlmenően leírásra kerülnek a belépés-védelemmel szemben támasztott biztonsági követelmények, ahol

különbséget kell tenni az általános és biztonsági zóna-specifikus követelmények között. Az eljárárendben

egységesen meghatározásra kerülnek mind a dolgozóknak, mind a külső személyeknek a Hivatal

helyiségeibe és épületeibe történő belépésére vonatkozó előírások, garantálva a Hivatalnál meglévő

információk biztonságát.

A fizikai védelemre vonatkozó eljárásrend alkalmazása során figyelembe kell venni az elektronikus

információs rendszer – kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a

41/2015. (VII. 15.) BM rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól

kötelező alkalmazni. A fizikai védelmi intézkedések követelményeit a Hivatal és az elektronikus információs

rendszer üzemeltetője (szolgáltató) saját hatókörén belül teljesíti.

Az eljárásrend alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz-, és

személyvédelmi, valamint a személyes adatok kezelésére vonatkozó rendelkezésekre, valamint arra, hogy

a rendelkezések az adott létesítmény bárki által szabadon látogatható, vagy igénybe vehető területeire

nem vonatkoznak. A fizikai biztonságnak meg kell felelnie a jogszabályi elvárásoknak.

A magas biztonsági követelményű, 3-as és magasabb biztonsági osztályba sorolt elektronikus információs

rendszereknek (pl. anyakönyvi rendszerek, ASP szakrendszerek) helyt adó épületekre vonatkozóan

lehetőség szerint törekedni kell az élő erős őrzés megvalósítására. Az őrszolgálat (ha van) működési

rendjét, az incidenskezelés folyamatát szabályzatban, eljárásrendben kell rögzíteni.

Ezen elektronikus információs rendszereknek helyt adó épületekre vonatkozóan legyen kialakítva az

objektum védelme beléptető, behatolás védelmi, tűzjelző és lehetőség szerint video-megfigyelő

rendszerrel. A biztonsági rendszerek adatai legyenek archiválva, a hazai jogszabályok által megengedett

maximális megőrzési időkig.

A földszinti ablakokon lehetőség szerint vasrács védjen az illetéktelen behatolástól.

A fizikai biztonságra vonatkozó követelmények betartását a jegyző (az elektronikus információs rendszerek

biztonságáért felelős vezető) és az elektronikus információs rendszerek biztonságáéért felelős személy

minimálisan évente ellenőrzi, az eredményt jegyzőkönyvbe rögzíti. A jegyzőkönyvet az ellenőrzésre

jogosult hatóságoknak át kell adni.

Ha a Hivatal az Ibtv.-ben meghatározott határidőkkel nem tudja teljesíteni az informatikai biztonsági

követelmények megvalósítását, akkor a hiányosságokról Intézkedési tervet készít és rendelkezik annak

megvalósításáról (lásd. 1.1.3. Az intézkedési terv és mérföldkövei).

Page 49: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 50/92

2.1.3. Fizikai belépési engedélyek A Hivatal vezetője a magas biztonsági követelményű zónákra, a szakfeladatok ellátásához szükséges

elektronikus információs rendszereknek helyt adó helyiségekre vonatkozóan, illetve további zónákra, ha

indokolt, összeállítja, jóváhagyja és kezeli a belépésre jogosultak listáját, amelyet Informatikai biztonsági

eljárásrendben részletez:

a. a belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens

kártyák) bocsáthat ki a belépéshez a belépni szándékozó részére;

b. rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;

c. eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése nem engedélyezett;

d. belépésre nem jogosult személyek esetén intézkedik a belépési jogosultságot igazoló dokumentum

visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.

A helyiségek ajtónak kulccsal, mágneskártyával vagy kóddal zárhatónak kell lennie. A kulcshoz,

mágneskártyához vagy kódhoz való hozzájutás csak dokumentált módon történhet (a jóváhagyást és

átvételt dokumentálni kell). A kulcshoz, mágneskártyához vagy kódhoz történő hozzáférést a szervezeti

egység vezetője engedélyezheti.

Vészhelyzetek esetére a kulcs, mágneskártya vagy kód másodpéldányát a titkárságon vagy portán (ha

van) kell elhelyezni lezárt, hitelesítéssel ellátott borítékban vagy lepecsételhető kulcsdobozban.

A kulcsdoboz vagy boríték rendkívüli felnyitásáról a felhasználónak telefonon és írásos feljegyzésben

értesítenie kell a szervezeti egység vezetőjét. A hitelesítéssel ellátott boríték felnyitását, a kód használatát

követően a kódot meg kell változtatni.

2.1.4. A fizikai belépés ellenőrzése A Hivatal vezetője a szakfeladatok ellátásához szükséges elektronikus információs rendszereknek helyt

adó helyiségekre vonatkozóan - vagy további zónákra, ha indokolt - kizárólag a jegyző által meghatározott

be-, és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést:

a. naplózza a fizikai belépéseket;

b. ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket;

c. kíséri a létesítménybe ad-hoc belépésre jogosultakat és figyelemmel követi a tevékenységüket;

d. megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;

e. nyilvántartást vezet a fizikai belépést ellenőrző eszközről;

f. meghatározott rendszerességgel változtatja meg a hozzáférési kódokat és kulcsokat, vagy

azonnal, ha a kulcs elveszlik, a hozzáférési kód kompromittálódik, vagy az adott személy elveszti

a belépési jogosultságát;

g. az egyéni belépési engedélyeket a belépési pontokon ellenőrzi;

h. a kijelölt pontokon való átjutást felügyeli a Hivatal által meghatározott fizikai belépést ellenőrző

rendszerrel, vagy eszközzel;

i. felhívja a szervezet tagjainak figyelmét a rendellenességek jelentésére.

2.1.5. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz A Hivatal a fizikai védelmi eljárásrend szerint ellenőrzi az elektronikus információs rendszer adatátviteli

eszközeinek és kapcsolódási pontjainak helyt adó helyiségekbe történő fizikai belépést.

Page 50: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 51/92

2.1.6. A kimeneti eszközök hozzáférés ellenőrzése A Hivatal ellenőrzi az elektronikus információs rendszer kimeneti eszközeihez való fizikai hozzáférést

annak érdekében, hogy jogosulatlan személyek ne férjenek azokhoz hozzá.

A képernyőket, nyomtatókat úgy kell elhelyezni, hogy azok minél kevesebb lehetőséget biztosítsanak

illetéktelen személyek betekintésére. Információ-feldolgozó rendszereket, nyomtatókat szükséges

mértékig és megfelelően biztosított, harmadik fél (ügyfél és látogató) részére felügyelet nélkül nem elérhető

helyiségekben szabad tárolni, üzemeltetni.

Mivel az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és

adathordozók) az elektronikus információs rendszer részei, ezért az azokra vonatkozó követelmények

megegyeznek az informatikai rendszer biztonsági osztályához tartozó védelmi intézkedésekkel.

2.1.7. A fizikai hozzáférések felügyelete A Hivatal a magas biztonsági követelményű elektronikus információs rendszereknek helyt adó

létesítményekre vonatkozóan, illetve továbbiakra, ha indokolt:

a. ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai

hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt és reagáljon arra;

b. rendszeresen átvizsgálja a fizikai hozzáférésekről készült naplókat;

c. azonnal átvizsgálja a fizikai hozzáférésekről készült naplókat, ha a rendelkezésre álló információk

jogosulatlan fizikai hozzáférésre utalnak;

d. összehangolja a biztonsági események kezelését, valamint a napló átvizsgálások eredményét;

e. felügyeli a fizikai behatolás riasztásokat és a felügyeleti berendezéseket.

2.1.8. A látogatók ellenőrzése A Hivatal a magas biztonsági követelményű elektronikus információs rendszereknek helyt adó

létesítményekbe történt látogatói belépésekről szóló információkat gyűjti (minimálisan rögzítendő adatok:

dátum, helyszín, látogató, ügyfél neve és ügyfajta vagy ügyintéző neve); azonnal átvizsgálja a látogatói

belépésekről készített információkat és felvételeket, ha a rendelkezésre álló információk jogosulatlan

belépésre utalnak.

A megőrzési időt a kockázattal arányosan a jegyző határozza meg (kb. 3 hónapban), a selejtezésekről

jegyzőkönyvet kell készíteni és megőrizni.

2.1.9. Áramellátó berendezések és kábelezés A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszereknek helyt adó létesítményekben védi az elektronikus információs rendszert árammal ellátó

berendezéseket és a kábelezést a sérüléssel és rongálással szemben. A rendszerek szabályos

leállításához vagy a hosszútávú tartalék áramellátásra történő átkapcsoláshoz az elsődleges áramforrás

kiesése esetére, a tevékenységhez méretezett, rövid ideig működőképes szünetmentes áramellátást

biztosít.

A Hivatal területén az elektronikus információs rendszert, áramellátó hálózatot, telefonhálózatot érintő

bármilyen beavatkozást, építést, karbantartást, átalakítást csak a Hivatal vezetőjének vagy az erre a

feladatra kijelölt felelősnek a tájékoztatása után, annak jóváhagyásával és felügyeletével lehet végezni.

Page 51: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 52/92

2.1.10. Vészkikapcsolás A Hivatal lehetőséget biztosít a magas biztonsági követelményű, saját felelősségi körébe tartozó

elektronikus információs rendszerek vagy egyedi rendszerelemek áramellátásának kikapcsolására

vészhelyzetben, gondoskodik a vészkikapcsoló berendezések biztonságos és könnyű

megközelíthetőségéről, illetve megakadályozza a jogosulatlan vészkikapcsolást.

2.1.11. Vészvilágítás A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszereknek helyt adó létesítményekben automatikus vészvilágítási rendszert alkalmaz és tart karban,

amely áramszünet esetén aktiválódik, és amely biztosítja a vészkijáratokat és a menekülési útvonalakat.

2.1.12. Tűzvédelem A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerek számára független áramellátással támogatott észlelő, az informatikai eszközökhöz megfelelő

tűzelfojtó berendezéseket alkalmaz, és tart karban. A 4-es és magasabb biztonsági osztályba sorolt

elektronikus információs rendszereknek helyt adó létesítményekben az elektronikus információs

rendszerek számára a személyzet által folyamatosan nem felügyelt automatikus tűzelfojtási képességet

biztosít.

2.1.13. Hőmérséklet és páratartalom ellenőrzés A Hivatal az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver

szoba, központi gépterem) a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus

információs rendszerek védelmére figyeli a hőmérséklet és páratartalom szintjét, azt az erőforrások

biztonságos működéséhez szükséges szinten tartja.

2.1.14. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem A Hivatal védi a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszereket a csővezeték rongálódásból származó károkkal szemben, biztosítva, hogy a

főelzárószelepek hozzáférhetőek, és megfelelően működnek, valamint a kulcsszemélyek számára

ismertek. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségek tervezése (pl. adatközpont,

szerver szoba, központi gépterem) során biztosítja, hogy az a víz-, és más hasonló kártól védett legyen,

akár csővezetékek kiváltásával, áthelyezésével is. Ezekben a helyiségekben, közvetlenül mellettük és

felettü vizesblokk kialakítása tilos.

Az informatikai központot védeni kell szennyvíz, illetve esővíz bejutása ellen.

2.1.15. Be- és kiszállítás A Hivatal engedélyezi, vagy tiltja, figyeli és ellenőrzi a létesítménybe bevitt, onnan kivitt információs

rendszerelemeket, a személyes vagy érzékeny adatokat tartalmazó rendszerelemek be- és kiszállításáról

nyilvántartást vezet.

Az infokommunikációs eszközök használata során tilos

a. az eszközt illetéktelen személynek átengedni,

Page 52: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 53/92

b. az eszköz közelében folyadékot, éghető anyagot, illetve felette, alatta vagy rajta az eszköz

rendeltetésétől eltérő anyagot, tárgyat elhelyezni és tárolni és

c. az eszközt – hordozható infokommunikációs eszközök kivételével – a telepítési helyéről

elmozdítani és elvinni az üzemeltető engedélye és közreműködése nélkül.

A Hivatal más szervezettel adat- és programcserét kizárólag írásos nyilatkozat alapján bonyolíthat,

amelyben utalni kell az érzékeny adatok kezelésére is.

A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni:

a. az adatátvitel, -feladás, -fogadás és -átvétel ellenőrzésének és bejelentésének eljárási szabályait,

b. az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait,

c. az adatvesztéssel kapcsolatos kötelezettséget és felelősséget,

d. az adatátvitel során a biztonságos – szükség esetén titkosított – környezet előírásait minden

érintett félnél,

e. az érzékeny adatok védelméhez szükséges speciális eszközök igénybevételét.

Az adatcsere esetében

a. épületen kívüli szállítást csak az önálló szervezeti egység vezetője rendelhet el,

b. az átadás-átvételről jegyzőkönyvet kell felvenni,

c. a szállításnál egyszerre több személynek kell jelen lennie,

d. épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani,

e. tömegközlekedési eszközön adathordozó nem szállítható,

f. épületen kívüli szállítás esetén megfelelő tárolóeszközt szükséges használni, és

g. épületen kívüli szállítás esetén az adatokat titkosított formában kell az adathordozóra rögzíteni, és

a titkosítás feloldásához szükséges kulcsot külön csatornán kell eljuttatni a címzetthez,

elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor el kell kerülni a

nyilvánvalóan erős mágneses tereket,

h. a szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni,

i. az adathordozót nem lehet őrizetlenül hagyni,

j. az adathordozókat óvni kell a fizikai sérülésektől,

k. az adathordozókon a minősítési szintet megváltoztathatatlanul kell feltüntetni.

Rendkívüli esemény esetén a szállítást elrendelő szervezeti egység vezetőjét – szükség esetén a

rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése

érdekében szükséges intézkedéseket, valamint ezzel egy időben tájékoztatnia kell az elektronikus

információs rendszer biztonságáért felelős személyt az eseményről és a megtett intézkedésekről.

Megfelelő technikai eljárásokkal és ellenőrzőeszközökkel gondoskodni kell a távközlési és adatátviteli

eszközökön keresztül kicserélt információk védelméről. Ennek során figyelembe kell venni, hogy a

távközlési eszközökben bekövetkező üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása

esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a

különböző információkhoz.

2.1.16. Az elektronikus információs rendszer elemeinek elhelyezése

A Hivatal úgy helyezi el az elektronikus információs rendszer elemeit, hogy a legkisebb mértékre

csökkentse a meghatározott fizikai és környezeti veszélyekből adódó lehetséges kárt és a jogosulatlan

hozzáférés lehetőségét.

Page 53: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 54/92

2.1.17. Ellenőrzés

A Hivatal a nem megfelelő vagy jogosulatlan módosítások megakadályozása érdekében ellenőrzi a

karbantartó személyzet által a létesítménybe hozott karbantartási eszközöket. Az ellenőrzés elvégzéséért

a rendszergazda felelős.

2.1.19. Karbantartók

A Hivatal kialakítja a karbantartók munkavégzési engedélyének kezelési folyamatát, és nyilvántartást vezet

a karbantartó szervezetekről vagy személyekről.

Megköveteli a hozzáférési jogosultság igazolását az elektronikus információs rendszeren karbantartást

végzőktől. Felhatalmazást ad a szervezethez tartozó, a kívánt hozzáférési jogosultságokkal és műszaki

szakértelemmel rendelkező személyeknek arra, hogy felügyeljék a kívánt jogosultságokkal nem rendelkező

személyek karbantartási tevékenységeit.

Page 54: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 55/92

LOGIKAI VÉDELMI INTÉZKEDÉSEK

A logikai védelmi intézkedések alkalmazása során figyelembe kell venni az elektronikus információs

rendszer – kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.)

BM rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

A Hivatal szakfeladatai teljesítéséhez használt elektronikus információs rendszerek biztonsági osztályát a

Rendszerbiztonsági terv kivonat vagy egyéb dokumentum tartalmazza.

A logikai védelmi intézkedések követelményeit a Hivatal és az elektronikus információs rendszer

üzemeltetője (szolgáltató) saját hatókörén belül teljesíti.

3.1. ÁLTALÁNOS VÉDELMI INTÉZKEDÉSEK

3.1.1. Engedélyezés

A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információbiztonsággal

kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási

folyamatokat. Felügyeli az elektronikus információs rendszer és környezet biztonsági állapotát,

meghatározza az információbiztonsággal összefüggő szerepköröket és felelősségi köröket, kijelöli az

ezeket betöltő személyeket, integrálja az elektronikus információbiztonsági engedélyezési folyamatokat a

Hivatali szintű kockázatkezelési eljárásba, összhangban az Informatikai biztonsági szabályzattal.

A Hivatal az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárást Informatikai

biztonsági eljárásrendben kezeli.

3.1.3. Az elektronikus információs rendszer kapcsolódásai Szabályozni kell és szükség esetén belső engedélyhez kell kötni az elektronikus információs rendszerek

kapcsolódását más elektronikus információs rendszerekhez, dokumentálni kell az egyes kapcsolatokat, az

interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus

információk típusát.

Szabályrendszert kell felállítani és alkalmazni a külső elektronikus információs rendszerekhez való

kapcsolódásokhoz, amelynek eredménye lehet az összes kapcsolat engedélyezése vagy tiltása,

meghatározott kapcsolatok engedélyezése, meghatározott kapcsolatok tiltása.

3.1.4. Személybiztonság Minden, a személybiztonsággal kapcsolatos eljárás vagy elvárás kiterjed a Hivatal teljes személyi

állományára, valamint minden olyan természetes személyre, aki a Hivatal elektronikus információs

rendszereivel kapcsolatba kerül, vagy kerülhet. Azokban az esetekben, amikor az elektronikus információs

rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem a szervezet tagja, a

tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás megkötése során kell, mint

kötelezettséget érvényesíteni (ideértve a szabályzatok, eljárásrendek megismerésére és betartására

irányuló kötelezettségvállalást, titoktartási nyilatkozatot).

Page 55: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 56/92

3.2. TERVEZÉS

3.2.1. Biztonságtervezési szabályzat A Hivatal vezetője megfogalmazza, dokumentálja, a munka- és feladatkörük miatt érintettek számára

kihirdeti a biztonságtervezési eljárásrendet, mely tartalmazza a biztonságtervezési eljárás folyamatait.

Az eljárásrendet a biztonsági rendszer rendkívüli módosításakor vagy biztonsági esemény

bekövetkeztekor, illetve tervezetten 3 évente újra vizsgálja, szükség szerinti módosítja.

3.2.2. Rendszerbiztonsági terv A Hivatal azon informatikai rendszereire vonatkozóan, amelyek tervezése a hatókörébe tartozik,

Rendszerbiztonsági tervet készít, melynek összhangban kell állni a szervezeti felépítéssel vagy szervezeti

szintű architektúrával, és amely minimálisan a következőket tartalmazza:

a. az elektronikus információs rendszer hatóköre, alap feladatai (biztosítandó szolgáltatásait),

biztonságkritikus elemei és alap funkciói,

b. az elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztálya,

c. az elektronikus információs rendszer működési körülményei és más elektronikus információs

rendszerrel való kapcsolatai.

Az elektronikus információs rendszer biztonsági követelményeit rendszerdokumentációba kell foglalni, meg

kell határozni a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket, intézkedés

bővítéseket, végre kell hajtani a jogszabály szerinti biztonsági feladatokat.

Gondoskodni kell arról, hogy a rendszerbiztonsági tervet és azok változásait a meghatározott személyi és

szerepkörökben dolgozók megismerjék.

Új - a Hivatal hatókörébe tartozó - elektronikus információs rendszer tervezése esetén el kell végezni a

szükséges egyeztetéseket, el kell készíteni a rendszerre vonatkozó rendszerbiztonsági tervet. A terv

elkészítése, aktualizálásának biztosítása - szükség szerint a rendszergazda közreműködésével - az

elektronikus információs rendszer biztonságáért felelős feladata. Gondoskodni kell arról, hogy a

rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, módosítható.

Az elektronikus információs rendszerek rendszerbiztonsági tervét kétévente felül kell vizsgálni. Soron kívül

felül kell vizsgálni a rendszerbiztonsági terveket az elektronikus információs rendszerben vagy annak

üzemeltetési környezetében történt változások, illetve a terv végrehajtása vagy a védelmi intézkedések

értékelése során feltárt problémák esetén.

3.2.3. Cselekvési terv A Hivatal a vizsgálatot követő 90 napon belül Cselekvési tervet készít, ha az adott elektronikus információs

rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg. A Cselekvési

tervben dokumentálja a megállapított hiányosságok javítására, valamint az elektronikus információs

rendszer ismert sérülékenységeinek csökkentésére vagy megszüntetésére irányuló tervezett

tevékenységeit.

A Cselekvési tervet szükség szerint, de legalább évente egyszer az informatikai biztonsági rendszer

felülvizsgálata során (belső audit) felülvizsgálja, szükség szerint karbantartja a kockázatkezelési stratégia

és a kockázatokra adott válaszok, tevékenységek prioritása alapján. Az informatikai biztonsági rendszer

Page 56: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 57/92

rendkívüli módosításakor vagy biztonsági esemény bekövetkeztekor a cselekvési tervet újra vizsgálja,

szükség szerinti módosítja.

A kitűzött feladatok megvalósulását a Cselekvési tervben a Hivatal vezetője az elektronikus információs

rendszer biztonságáért felelős közreműködésével követi nyomon és dokumentálja. A jegyző feladata

biztosítani, hogy a Cselekvési terv jogosulatlanok számára ne legyen megismerhető, módosítható.

3.2.4. Személyi biztonság A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerhez

hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat a rájuk vonatkozó

szabályokat, felelősségüket az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet.

A szervezeti egység vezetője az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt

írásbeli nyilatkozattételre kötelezi a hozzáférési jogosultságot igénylő személyt, felhasználót, aki

nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá

vonatkozó biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja.

A Hivatallal szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelményeket az 1.6.6.

fejezet tartalmazza.

A Hivatal vezetője az elektronikus információs rendszerek biztonságáért felelős személlyel együttműködve

szükség szerinti gyakorisággal, minimálisan 3 évente felülvizsgálja és frissíti az elektronikus információs

rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a

rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező vagy tiltott

tevékenységet a viselkedési szabályok betartását. Változás esetén a hozzáféréssel rendelkezőket

tájékoztatja a követelményekről.

A Hivatal az elektronikus információbiztonsággal kapcsolatos engedélyezési, hozzáférési szabályokat

Informatikai biztonsági eljárásrendben kezeli.

3.2.5. Információbiztonsági architektúra leírás A Hivatal azon informatikai rendszereire vonatkozóan, amelyek tervezése a hatókörébe tartozik

Információbiztonsági architektúra leírást készít, melyet az az általános architektúrájában bekövetkezett

változtatások esetén felülvizsgál, aktualizál.

Biztosítani kell, hogy az információbiztonsági architektúra leírásban tervezett változtatás tükröződjön a

rendszerbiztonsági tervben és a beszerzésekben.

Az információbiztonsági architektúra leírás:

a. összegzi az elektronikus információs rendszer bizalmasságának, sértetlenségének és

rendelkezésre állásának védelmét szolgáló filozófiát, követelményeket és megközelítést;

b. megfogalmazza, hogy az információbiztonsági architektúra miként illeszkedik a Hivatal általános

architektúrájába, és hogyan támogatja azt;

c. leírja a külső szolgáltatásokkal kapcsolatos információbiztonsági feltételezéseket és függőségeket.

Page 57: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 58/92

3.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS Jelen eljárást abban az esetben nem kell bevezetni, ha a Hivatal saját hatókörében informatikai

szolgáltatást vagy eszközöket nem szerez be, és nem végez, vagy végeztet rendszerfejlesztési

tevékenységet (ide nem értve a jellemzően kis értékű, kereskedelmi forgalomban kapható általában irodai

alkalmazásokat, szoftvereket, vagy azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement

eszközök pótlása, vagy az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése

céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket). Jelen fejezet

alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható szoftverek

beszerzése és frissítése.

Az eljárás alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

3.3.2. A rendszer fejlesztési életciklusa Az elektronikus információs rendszerek biztonságáért felelős személy a saját hatókörben beszerzett

rendszerekre vonatkozóan az elektronikus információs rendszereinek teljes életútján, azok minden

életciklusában figyelemmel kíséri informatikai biztonsági helyzetüket.

A fejlesztési életciklus egészére meghatározza és dokumentáltatja az információbiztonsági szerepköröket

és felelősségeket; meghatározza és az érvényes szabályok szerint kijelöli az információbiztonsági

szerepköröket betöltő, felelős személyeket.

A rendszer életciklus szakaszai a következők:

a. követelmény meghatározás: a követelmények meghatározásánál jelen szabályzat 3.2.2.

Rendszerbiztonsági terv pontban meghatározottak figyelembe vételével kell eljárni.

b. fejlesztés vagy beszerzés: a fejlesztés/beszerzés fázisában az elektronikus információs

rendszerek biztonságáért felelős személynek folyamatosan képviselnie kell jelen Informatikai

biztonsági szabályzatban, ill. a 3.2.2. Rendszerbiztonsági terv pontban foglalt követelményeket.

c. megvalósítás vagy értékelés: az éles bevezetés előtt tesztkörnyezetben a

követelményspecifikációban megfogalmazott elvárások bizonyítására funkcionális, biztonsági és

üzemeltetési teszteket kell folytatni, a bevezetésről a jegyző dönt.

d. üzemeltetés és fenntartás során valamennyi érintett félnek be kell tartani jelen szabályzatban

foglalt vagy hivatkozott követelményeket.

e. kivonás (archiválás, megsemmisítés): az elektronikus információs rendszer kivonásakor a 3.8.6.

Adathordozók törlése pont, illetve a Hivatal Selejtezési szabályzata az irányadó.

3.3.3. Funkciók, portok, protokollok, szolgáltatások A Hivatal megköveteli, hogy a szolgáltató meghatározza a szolgáltatások igénybevételéhez szükséges

funkciókat, protokollokat, portokat és egyéb szolgáltatásokat.

3.3.4. Fejlesztői változáskövetés A Hivatal megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztőjétől, hogy:

a. vezesse végig a változtatásokat az elektronikus információs rendszer, rendszerelem vagy rendszer

szolgáltatás tervezése, fejlesztése, megvalósítása, üzemeltetése során;

Page 58: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 59/92

b. dokumentálja, kezelje, és ellenőrizze a változtatásokat, biztosítsa ezek sértetlenségét;

c. csak a jóváhagyott változtatásokat hajtsa végre az elektronikus információs rendszeren,

rendszerelemen vagy rendszerszolgáltatáson;

d. dokumentálja a jóváhagyott változtatásokat és ezek lehetséges biztonsági hatásait;

e. kövesse nyomon az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

biztonsági hibáit és azok javításait, továbbá jelentse észrevételeit az érintett szervezet által

meghatározott személyeknek.

3.3.5. Fejlesztői biztonsági tesztelés A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője:

a. készítsen biztonságértékelési tervet, és hajtsa végre az abban foglaltakat;

b. hajtson végre (a fejlesztéshez illeszkedő módon) egység-, integrációs-, rendszer-, vagy

regressziós tesztelést, és ezt értékelje ki a Hivatal által meghatározott lefedettség és mélység

mellett;

c. dokumentálja, hogy végrehajtotta a biztonságértékelési tervben foglaltakat, és ismertesse a

biztonsági tesztelés és értékelés eredményeit;

d. javítsa ki a biztonsági tesztelés és értékelés során feltárt hiányosságokat.

3.4. BIZTONSÁGI ELEMZÉS

3.4.1. Biztonságelemzési eljárásrend A Hivatal vezetője, ha a hatókörébe tartozik, megfogalmazza, dokumentálja, kihirdeti és szükség szerinti

vagy 3 éves gyakorisággal felülvizsgálja, frissíti a biztonságértékelési szabályzat és az ahhoz kapcsolódó

ellenőrzések megvalósítását segítő biztonságértékelési eljárásrendet, vagy megköveteli azt a

szolgáltatótól.

3.4.2. Biztonsági értékelések A Hivatal, ha a hatókörébe tartozik, biztonságértékelési tervet készít, illetve megköveteli, hogy a szolgáltató

biztonságértékelési tervet készítsen.

Szükség szerinti gyakorisággal vagy 3 évenként kell értékelni az elektronikus információs rendszer és

működési környezete védelmi intézkedéseit, folyamatosan kontrollálni a bevezetett intézkedések működő-

képességét, valamint a tervezettnek megfelelő működését. Az értékeléseket követően el kell készíteni a

biztonságértékelés eredményét összefoglaló jelentést, gondoskodni kell a biztonságértékelés eredményét

összefoglaló jelentésnek a meghatározott szerepköröket betöltő személyek által, vagy a szerepkörhöz

tartozó jogosultságnak megfelelően történő megismeréséről.

A biztonsági értékelés tartalmazza:

a. az értékelendő (adminisztratív, fizikai és logikai) védelmi intézkedéseket;

b. a biztonsági ellenőrzések eredményességét meghatározó eljárásrendeket;

c. az értékelési környezetet, az értékelő csoportot, az értékelés célját, az értékelést végzők feladatát.

Page 59: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 60/92

3.4.3. Speciális értékelés A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője a védelmi intézkedések értékelése keretében bejelentés mellett, vagy bejelentés nélkül

sérülékenységvizsgálatot, rosszhiszemű felhasználó tesztet, belső fenyegetettség értékelést, a

biztonságkritikus egyedi fejlesztésű szoftverelemek forráskód elemzését, egyéb biztonsági értékeléseket

végezzen.

3.4.4. A biztonsági teljesítmény mérése A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője fejlessze ki, felügyelje az elektronikus információs rendszerei biztonsági mérésének rendszerét.

3.5. TESZTELÉS, KÉPZÉS ÉS FELÜGYELET

3.5.1. Tesztelési, képzési és felügyeleti eljárások A Hivatal vezetője, ha a hatókörébe tartozik, megfogalmazza, dokumentálja, kihirdeti és szükség szerinti

vagy 3 éves gyakorisággal felülvizsgálja, frissíti a tesztelési, képzési és felügyeleti tevékenységek

fejlesztését, fenntartását, folyamatos időbeni végrehajtását támogató, az elektronikus információs rendszer

tesztelésével, képzésével és felügyeletével kapcsolatos eljárásokat, vagy megköveteli azt az elektronikus

információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, szolgáltatótól.

A tesztelési, képzési és ellenőrzési terveket a kockázatkezelési stratégia és a lehetséges vagy

bekövetkezett biztonsági események súlya alapján felül kell vizsgálni és frissíteni kell.

3.5.2. A biztonsági teljesítmény mérése A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője ill. a szolgáltató fejlessze ki, felügyelje az elektronikus információs rendszerei biztonsági

mérésének rendszerét.

3.3.3. Sérülékenység teszt A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője ill. a szolgáltató az elektronikus információs rendszerei és alkalmazásai tekintetében

sérülékenység tesztet végezzen, ha azt az elektronikus információs rendszerfejlesztési, üzemeltetési és

használati körülményei lehetővé teszik. Meg kell ismételni a sérülékenység tesztet meghatározott

gyakorisággal, vagy véletlenszerűen, valamint olyan esetben, amikor új lehetséges sérülékenység merül

fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban.

A sérülékenység tesztet sérülékenységvizsgálati eszközök és technikák alkalmazásával, vagy külső

szervezet bevonásával azon elektronikus információs rendszerek tekintetében kell elvégezni, amelyek az

érintett szervezet felügyelete, irányítása alatt állnak.

Kimutatást kell készíteni a feltárt hibákról, valamint a nem megfelelő konfigurációs beállításokról. Végre

kell hajtani az ellenőrzési listákat és tesztelési eljárásokat. Fel kell mérni a sérülékenység lehetséges

hatásait, elemezni kell a sérülékenység teszt eredményét, meg kell osztani a sérülékenység teszt

eredményét a szervezet által meghatározott személyekkel és szerepkörökkel.

Page 60: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 61/92

Olyan sérülékenységi teszteszközt kell alkalmazni, melynek sérülékenység feltáró képessége könnyen

bővíthető az ismertté váló sérülékenységekkel.

A frissítést időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően szükséges elvégezni,

az elektronikus információs rendszerre vizsgált sérülékenység körét aktualizálni kell az új tesztet

megelőzően, vagy a sérülékenység feltárását követően azonnal.

3.6. KONFIGURÁCIÓKEZELÉS

3.6.1. Konfigurációkezelési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a konfigurációkezelési eljárásrendet, melynek

során meghatározza, és azonosítja az informatikai rendszer konfigurációs elemeit, szabályozza ezen

konfigurációs elemek kibocsátását és módosítását azok teljes életciklusára vonatkozóan, nyilvántartja a

konfigurációs elemeket és azok változásait, ellenőrzi az elemek hiánytalanságát és megfelelőségét.

A konfigurációkezelés célja az informatikai infrastruktúra adatainak kézben tartása, az egyes komponensek

beazonosítása, figyelemmel követése és karbantartása. A szolgáltatásokról, a szoftver és hardver

konfigurációkról és azok dokumentációjáról tárol információkat így segíti az incidensfelügyeletet,

problémakezelést, változáskezelést és a verziókövetést.

Az informatika biztonsági rendszer rendkívüli módosításakor, biztonsági esemény bekövetkeztekor vagy 3

évente az elektronikus információs rendszerek biztonságáért felelős a konfigurációkezelési eljárásrendet

újra vizsgálja, szükség szerinti módosítja.

3.6.2. Alap konfiguráció A Hivatal vezetője az elektronikus információs rendszereihez egy-egy alapkonfigurációt fejleszt ki,

dokumentáltatja és karbantartatja azt, valamint leltárba foglalja a rendszer lényeges elemeit.

A dokumentációnak minimálisan a következő elemeket kell tartalmazni:

a. hardver elemek

b. szoftverek

c. egyes szoftverkomponensek alapkonfigurációi

Az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet 2. melléklete tartalmazza az

önkormányzati ASP rendszer szakrendszereinek használatához szükséges felhasználói (önkormányzati)

munkaállomásokkal szembeni minimális elvárásokat. Ennek megfelelően kell kialakítani az informatikai

infrastruktúra környezetet:

a. Munkaállomás, laptop (szoftverekkel)

b. Monitor

c. Kártyaolvasó

d. Nyomtató

e. NTG csatlakozáshoz szükséges, hivatal oldali hálózati eszközök (rack szekrény, szünetmentes

tápegység, switch)

Az ASP rendszerhez történő csatlakozáshoz kapcsolódóan el kell végezni a hálózat kiépítését, az

eszközök beüzemelését (munkaállomások, nyomtatók, hálózati aktív eszközök), szoftverek telepítése,

beállítása (pl. tűzfal).

Page 61: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 62/92

A rendszer üzemeltetésével kapcsolatos elvárások:

a. A menedzselhető hálózati aktív eszköz tekintetében az eszköz gyári, alapértelmezett

bejelentkezési azonosítói (név, password) kerüljenek megváltoztatásra. Legyen megoldott az

azonosítók zárt borítékban, és biztonságosan zárható helyen történő tárolása. Csak előre kijelölt,

privilegizált felhasználóknak legyen lehetősége bejelentkezni a kérdéses eszközökbe.

b. A hálózati végpontok védelme legyen megoldva. A lehetőségek figyelembevétele mellett pl. port

security, esetleg 802.1x szabványnak megfelelően.

c. Az eszközök hálózatba történő illesztéséről készüljön dokumentáció.

d. Az eszközök firmware frissítése a legutolsó stabil változatnak megfelelően történjen meg.

e. A menedzselhető eszközök legfrissebb konfigurációja legyen elmentve és zárható helyen tárolva.

Az informatikai határvédelemmel, tűzfallal kapcsolatos elvárások:

a. A szervezet internethez való csatlakozástatása a központi tűzfalon keresztül történjen meg.

b. A tűzfal szabályok dokumentálása és azok zárható helyen történő tárolása legyen biztosítva.

c. A tűzfal szabályok módosítása a kijelölt felelős előzetes, írásbeli engedélye alapján történhessen

meg.

Az egyes elektronikus információs rendszerek alapkonfigurációját a rendszergazda minimálisan évente

felülvizsgálja, és a módosításokat átvezeti.

Az alapkonfiguráció frissítését az elektronikus információs rendszerelemek telepítésének és frissítéseinek

szerves részeként kell elvégezni.

A korábbi konfigurációk megőrzése érdekében változatlan állapotban meg kell őrizni az elektronikus

információs rendszer alapkonfigurációját és annak további verzióit, hogy szükség esetén lehetővé váljon

az erre való visszatérés.

Biztonsági szempontokból meghatározott módon konfigurált elektronikus információs rendszerelemeket

vagy eszközöket kell biztosítani azon személyek számára, akik az elektronikus információs rendszert külső

helyszínen használják.

Megfelelő biztonsági eljárásokat kell alkalmazni a külső helyszínen használt eszközök belső használatba

vonásakor.

3.6.3. A konfigurációváltozások felügyelete (változáskezelés) A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője ill. a szolgáltató:

a. meghatározza a változáskezelési felügyelet alá eső változástípusokat;

b. meghatározza az egyes változástípusok esetén a változáskezelési vizsgálat kötelező és nem

kötelező elemeit, előfeltételeit (csatolt dokumentációk, teszt jegyzőkönyvek, stb.);

c. megvizsgálja a változáskezelési felügyelet elé terjesztett, javasolt változtatásokat, majd

kockázatelemzés alapján jóváhagyja vagy elutasítja azokat;

d. dokumentálja az elektronikus információs rendszerben történt változtatásokra vonatkozó

döntéseket;

e. megvalósítja a jóváhagyott változtatásokat az elektronikus információs rendszerben;

Page 62: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 63/92

f. visszakereshetően megőrzi az elektronikus információs rendszerben megvalósított változtatások

dokumentumait, részletes leírását;

g. auditálja és felülvizsgálja a konfigurációváltozás felügyelet alá eső változtatásokkal kapcsolatos

tevékenységeket.

A konfiguráció megváltoztatása előtt az új verziót tesztelni kell, ezután dönteni kell annak megfelelőségéről,

továbbá dokumentálni kell az elektronikus információs rendszer változtatásait az éles rendszerben történő

megvalósítása előtt.

3.6.4. Biztonsági hatásvizsgálat Meg kell vizsgálni az elektronikus információs rendszerben tervezett változtatásoknak az

információbiztonságra való hatását, még a változtatások megvalósítása előtt.

3.6.5. A változtatásokra vonatkozó hozzáférés korlátozások Az elektronikus információs rendszerre vonatkozóan szabályozásában meg kell határozni a

változtatásokhoz való hozzáférési jogosultságot, dokumentálni a hozzáférési jogosultságokat, jóvá kell

hagyni azokat, fizikai és logikai hozzáférés korlátozásokat kell alkalmazni az elektronikus információs

rendszer változtatásaival kapcsolatban.

3.6.6. Konfigurációs beállítások A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás

fejlesztője ill. a szolgáltató:

a. meghatározza a működési követelményeknek még megfelelő, de biztonsági szempontból a lehető

leginkább korlátozott módon - a "szükséges minimum" elv alapján - az elektronikus információs

rendszerben használt információtechnológiai termékekre kötelező konfigurációs beállítást, és ezt

ellenőrzési listaként dokumentálja;

b. végezze el a konfigurációs beállításokat az elektronikus információs rendszer valamennyi

elemében;

c. a meghatározott elemek konfigurációs beállításaiban azonosítson, dokumentáljon és hagyjon jóvá

minden eltérést;

d. kísérjen figyelemmel és ellenőrizze a konfigurációs beállítások változtatásait belső szabályzataival

és eljárásaival összhangban.

3.6.7. Legszűkebb funkcionalitás A Hivatal saját hatókörén belül biztosítja, illetve megköveteli, hogy az elektronikus információs rendszer,

rendszerelem vagy rendszerszolgáltatás fejlesztője ill. a szolgáltató az elektronikus információs rendszert

úgy konfigurálja, hogy az csak a szükséges szolgáltatásokat nyújtsa, meghatározza a tiltott, vagy

korlátozott, nem szükséges funkciók, portok, protokollok, szolgáltatások, szoftverek használatát.

3.6.8. Elektronikus információs rendszerelem leltár Az elektronikus információs rendszer biztonságáért felelős vagy a rendszergazda (a Hivatal vezetője

döntésének és utasításának megfelelően) nyilvántartást készít az elektronikus információs rendszer

elemeiről, azt rendszeres időközönként, minimálisan évente felülvizsgálja és frissíti, hogy:

a. pontosan tükrözze az elektronikus információs rendszer aktuális állapotát,

Page 63: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 64/92

b. az elektronikus információs rendszer hatókörébe eső valamennyi hardver- és szoftverelemet

tartalmazza;

c. legyen kellően részletes a nyomkövetéshez és a jelentéskészítéshez.

A rendszer elem leltárt a számítógépenként készített leltár nyilvántartás, a Hivatal összesített rendszer

elem leltárát az Alapkonfiguráció nyilvántartás vagy egyéb dokumentum tartalmazza.

A nyilvántartás informatikai rendszerenként tartalmazza a konfigurációt, mindazon információkat, amelyek

szükségesek lehetnek a Hivatal számára a hatékony személyes anyagi felelősségre vonhatósághoz.

A nyilvántartás alapját képező, az elektronikus információs rendszerekhez kapcsolódó hardver és szoftver

elemekről rendszerinformációs alkalmazással készített részletes elektronikus riportok megőrzése az azt

készítő elektronikus információs rendszer biztonságáért felelős vagy a rendszergazda feladata.

Az elemekről készített papíralapú riportok megőrzése a Hivatal vezetője vagy az általa kijelölt felelős

feladata. A dokumentumokat - illetéktelenek által nem hozzáférhető módon tárolva - a hardver élettartamát

követő min. 5 évig meg kell őrizni.

Az elektronikus információs rendszerelem leltárt frissíteni kell az egyes rendszerelemek telepítésének,

eltávolításának, frissítésének időpontjában. A frissítés elvégzése vagy a változás jelzése a kijelölt felelős

felé a rendszergazda feladata.

A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs

rendszerekre vonatkozóan megköveteli, hogy automatizált mechanizmusok biztosítsák a meghatározott

gyakorisággal a jogosulatlan hardver-, szoftver- és firmware elemek észlelését. A jogosulatlan elemek

észlelése esetén le kell tiltani az ilyen elemek általi hálózati hozzáférést, el kell őket különíteni, és értesíteni

kell az illetékes személyeket. A duplikálás elleni védelem érdekében ellenőrizni kell, hogy az elektronikus

információs rendszer hatókörén belüli elemek nincsenek-e felvéve más elektronikus információs

rendszerek leltárában.

3.6.9. Konfigurációkezelési terv

A Hivatal, ha a felelősségi körébe tartozik, akkor kialakít, dokumentál és végrehajt egy, az elektronikus

információs rendszerre vonatkozó konfigurációkezelési tervet, mely figyelembe veszi a szerepköröket,

felelősségeket, konfigurációkezelési folyamatokat és eljárásokat, bevezeti a konfigurációelemek

azonosítására szolgáló folyamatot a rendszer-fejlesztési életciklus folyamán és a konfigurációelemek

konfigurációjának kezelésére, meghatározza az elektronikus információs rendszer konfigurációelemeit, és

a konfigurációelemeket a konfigurációkezelés alá helyezi, illetve védi a konfigurációkezelési tervet a

jogosulatlan felfedéssel és módosítással szemben.

3.6.10. A szoftver használat korlátozásai A Hivatal a Szoftver Etikai Kódexnek megfelelően kizárólag olyan szoftvereket és kapcsolódó

dokumentációt használ, amelyek megfelelnek a reájuk vonatkozó szerződésbeli elvárásoknak és a szerzői

jogi, vagy más jogszabályoknak:

a. a másolatok, megosztások ellenőrzésére nyomon követi a mennyiségi licencekkel védett

szoftverek és a kapcsolódó dokumentációk használatát;

Page 64: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 65/92

b. ellenőrzi és dokumentálja az állomány megosztásokat, hogy meggyőződjön arról, hogy ezt a

lehetőséget nem használják szerzői joggal védett munka jogosulatlan megosztására,

megjelenítésére, végrehajtására vagy reprodukálására

A Hivatal az elektronikus informatika biztonsággal kapcsolatos szoftverhasználattal kapcsolatos

szabályokat Informatikai biztonsági eljárásrendben kezeli.

3.6.11. A felhasználó által telepített szoftverek A rendszerprogramok, illetve a felhasználói alkalmazások telepítését a kiszolgálókra és

munkaállomásokra, infokommunikációs eszközre csak rendszergazda tölthet le, másolhat és telepíthet,

valamint azt az eszközről a rendszergazda távolíthatja el. Tilos hordozható, telepítés nélkül futtatható

alkalmazások használata.

A felhasználók semmilyen alkalmazást nem telepíthetnek a munkaállomásaikra, az infokommunikációs

eszköz használata során az eszközre telepített alkalmazásokat használhatják. Új alkalmazás telepítését

vagy a meglévő alkalmazás jogosultságváltozását igényelni kell. A szervezeti egység vezetője jogosult az

igény felülvizsgálatára, és ha szükséges, biztonsági vagy gazdasági okból annak elutasítására.

A felhasználó az infokommunikációs eszközre telepített alkalmazásokat a felhasználói leírás szerinti

módon, szakszerűen köteles használni.

A külső felek által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket,

változásjelentőket és levelezéseket a szervezeti egységek vezetői kötelesek másodpéldányban

megküldeni a rendszergazdának. A külső fél által biztosított informatikai szolgáltatások használata során

az általa kiadott előírások szerint kell eljárni.

A szoftvereket és adatokat arra nem jogosult harmadik fél számára másolni és továbbadni tilos.

A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licencdokumentációját a

rendszergazda tárolja és tartja nyilván.

3.7. KARBANTARTÁS

3.7.1. Rendszer karbantartási eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a rendszer karbantartási eljárásrendet, mely

a rendszer karbantartási kezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti

elő. Az elektronikus információbiztonsággal kapcsolatos karbantartási szabályokat Informatikai biztonsági

eljárásrendben kezeli.

3.7.2. Rendszeres karbantartás A rendszergazda vagy a Hivatal vezetője által megbízott személy/vállalkozó a karbantartásokat és

javításokat ütemezetten hajtatja végre, dokumentáltatja és felülvizsgáltatja a karbantartásokról és

javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a Hivatali

követelményeknek megfelelően.

Ennek keretében:

a. jóváhagyja és ellenőrzi az összes karbantartási tevékenységet, függetlenül attól, hogy azt a

helyszínen vagy távolról végzik, és függetlenül attól, hogy a berendezést a helyszínen, vagy másutt

tartják karban;

Page 65: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 66/92

b. az ezért felelős személyek jóváhagyásához köti az elektronikus információs rendszer vagy a

rendszerelemek kiszállítását a Hivatali létesítményből;

c. az elszállítás előtt minden adatot és információt – mentést követően – töröl a berendezésről;

d. ellenőrzi, hogy a berendezések a karbantartási vagy javítási tevékenységek után is megfelelően

működnek-e, és biztonsági ellenőrzésnek veti alá azokat;

e. csatolja a meghatározott, karbantartással kapcsolatos információkat a karbantartási

nyilvántartáshoz;

Mindezeknek a felügyelete a jegyző vagy az általa kijelölt felelős feladata.

3.7.3. Karbantartási eszközök A Hivatal vezetője jóváhagyja, a rendszergazda nyilvántartja és ellenőrzi az elektronikus információs

rendszer karbantartási eszközeit.

3.7.4. Távoli karbantartás A rendszergazda és az elektronikus információs rendszer biztonságáért felelős személlyel együttműködve:

a. jóváhagyja, nyomon követi és ellenőrzi a távoli karbantartási és diagnosztikai tevékenységeket;

b. akkor engedélyezi a távoli karbantartási és diagnosztikai eszközök használatát, ha az

összhangban áll az informatikai biztonsági szabályzattal, és dokumentálva van az elektronikus

információs rendszer rendszerbiztonsági tervében;

c. hitelesítéseket alkalmaz a távoli karbantartási és diagnosztikai munkaszakaszok létrehozásánál;

d. nyilvántartást vezet a távoli karbantartási és diagnosztikai tevékenységekről;

e. lezárja a munkaszakaszt és a hálózati kapcsolatokat, amikor a távoli karbantartás befejeződik.

A rendszergazda feladata ellenőrizni a diagnosztikai és teszt programokat tartalmazó adathordozókat a

kártékony kódok tekintetében, mielőtt azt az elektronikus információs rendszerben használnák.

A magas biztonsági követelményű elektronikus információs rendszerekre a rendszerbiztonsági tervben kell

dokumentálni a távoli karbantartási és diagnosztikai kapcsolatok létrehozására és használatára vonatkozó

szabályokat és eljárásokat.

3.8. ADATHORDOZÓK VÉDELME

3.8.1. Adathordozók védelmére vonatkozó eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az adathordozók védelmére vonatkozó

eljárásrendet, mely az adathordozókra vonatkozó védelmi szabályzat és az ehhez kapcsolódó ellenőrzések

megvalósítását segíti elő. A Hivatali munka során használt adathordozók kezelésének szabályozása a

megfelelő és biztonságos működés és rendelkezésre állás érdekében történik.

A Hivatalban csak a Hivatal tulajdonában lévő, regisztrált adathordozót lehet használni. Adathordozó

igénylését a szervezeti egység vezetőhöz vagy a rendszergazdához kell benyújtani. Az eszközhasználatot,

a Hivatal elektronikus információs rendszereihez történő csatlakoztatása után, a Hivatal minden előzetes

értesítés nélkül figyelheti, monitorozhatja.

Otthoni munkavégzés és bármilyen más célból bármilyen adatot floppyn, CD-n, elektronikus levélben vagy

egyéb más módon (Pl.: Pendrive) a Hivatal informatikai infrastruktúrájából kijuttatni csak a jegyző vagy a

szervezeti egység vezetőjének írásos engedélyével szabad. A Hivatal az adathordozók használatát

információbiztonsági megfontolásból utasítással, hardver, illetve szoftver úton korlátozhatja.

Page 66: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 67/92

Az adathordozók kezelésének általános irányelvei:

a. minél nagyobb mértékben járuljon hozzá az adathordozók kezeléséből eredő kockázatok (a

működési szabályok betartásával) csökkentéséhez;

b. tegye lehetővé valamennyi, a tevékenységet érintő adathordozók kezelésével kapcsolatos

fenyegető esemény kiesés azonosítását, még a bekövetkezése előtti feltárását és hathatós

ellenintézkedést.

Tilos az olyan hordozható adathordozó használata az elektronikus információs rendszerben, melyek

tulajdonosa nem azonosítható. Az adathordozókat sorszámmal és/vagy a felügyeletéért felelős nevével

azonosítani kell, azokat a felhasználóhoz kell rendelni.

Az adathordozókat a felhasználók csak a hivatal épületében lévő számítógépekhez csatlakozhatják, a

rendszergazda, a szervezeti egység vezető vagy az adott gépet használó felelős felügyelete mellett.

Az eszközöket a kollégák nem csatlakoztathatják egymás gépeiben úgy, hogy a gép tulajdonosa nem tud

róla. Amennyiben kívülről érkezik adat valamilyen adathordozón, annak a megtekintése csak a

rendszergazda/szervezeti egység vezető által megbízott előzetes ellenőrzése után használható.

3.8.2. Hozzáférés az adathordozókhoz A megbízott szervezeti egység vezető az egyes adathordozó típusokhoz való hozzáférésre feljogosított

személyek körét, jogosítványuk tartalmát a Jogosultsági mátrixban vagy egyéb dokumentumban határozza

meg.

3.8.3. Adathordozók címkézése A személyes, érzékeny adatokat tartalmazó adathordozókat meg kell jelölni, jelezve az információra

vonatkozó terjesztési korlátozásokat, kezelési figyelmeztetéseket és a megfelelő biztonsági jelzéseket (ha

vannak).

3.8.4. Adathordozók tárolása Az adathordozókat fizikailag ellenőrizni kell és biztonságosan kell tárolni az arra engedélyezett vagy kijelölt

helyen, védeni kell mindaddig, amíg jóváhagyott eszközökkel, technikákkal és eljárásokkal nem semmisítik

meg, vagy nem törlik.

3.8.5. Adathordozók szállítása A Hivatal biztonsági óvintézkedésekkel védi és ellenőrzi a személyes, érzékeny adatokat tartalmazó

adathordozókat az ellenőrzött területeken kívüli szállítás folyamán. Az adathordozók elszámoltathatósága

érdekében csak a kijelölt személy végezheti az adathordozók szállítását, melyet dokumentálni kell.

A Hivatal ellenőrzött területén kívül a digitális adathordozókon tárolt információk bizalmasságának és

sértetlenségének a védelmére kriptográfiai mechanizmusokat kell alkalmazni. A titkosítás elvégzése a

rendszergazda feladata, az elektronikus információs rendszerek biztonságáért felelőssel egyeztett eljárás

alkalmazásával.

3.8.6. Adathordozók törlése A rendszergazda a helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal törli az elektronikus

információs rendszer meghatározott adathordozóit a leselejtezés, a szervezeti ellenőrzés megszűnte, vagy

újrafelhasználásra való kibocsátás előtt úgy, hogy a törlési mechanizmusokat az információ minősítési

Page 67: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 68/92

kategóriájával arányos erősségnek és sértetlenségnek megfelelően alkalmazza. A selejtezésről minden

esetben jegyzőkönyvet kell felvenni. A törlésre alkalmazott eszközöket és módszerek hatékonyságát a

rendszergazda szükséges gyakorisággal teszteli.

Az adathordozók selejtezésének szabálya Informatikai biztonsági eljárásrendben rögzített.

3.8.7. Adathordozók használata A Hivatal vezetője engedélyezi, korlátozza vagy tiltja egyes, vagy bármely adathordozó típusok használatát

a meghatározott elektronikus információs rendszereken vagy rendszerelemeken működő biztonsági

intézkedések használatával, az engedélyezett jogosultságoknak megfelelően.

A Hivatal megtiltja az olyan hordozható adathordozók használatát az elektronikus információs rendszerben,

melyek tulajdonosa nem azonosítható.

3.9. AZONOSÍTÁS ÉS HITELESÍTÉS

3.9.1. Azonosítási és hitelesítési eljárásrend A Hivatal megfogalmazza, dokumentálja és kihirdeti az azonosítási és hitelesítésre vonatkozó

eljárásrendet, mely az azonosítási és hitelesítési szabályzat és az ahhoz kapcsolódó ellenőrzések

megvalósítását segíti elő. Az elektronikus információbiztonsággal kapcsolatos engedélyezési hozzáférési

szabályokat Informatikai biztonsági eljárásrendben kezeli.

Az eljárás alkalmazása során figyelembe kell venni az elektronikus információs rendszer

– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM

rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.

3.9.2. Azonosítás és hitelesítés (hivatalon belüli felhasználók) Valamennyi elektronikus információs rendszernek egyedileg kell azonosítania és hitelesítenie a Hivatal

valamennyi felhasználóját és a felhasználók által végzett tevékenységeket, ennek érdekében egyénre

szóló felhasználói azonosítókat kell képezni, a csoportos azonosítók használata nem engedélyezett.

Az elektronikus információs rendszer többtényezős hitelesítést kell alkalmazni a különleges jogosultsághoz

kötött - úgynevezett privilegizált - felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez, a nem

privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez, a privilegizált felhasználói

fiókokhoz való helyi hozzáféréshez.

3.9.3. Eszközök azonosítása és hitelesítése Valamennyi elektronikus információs rendszernek egyedileg kell azonosítania és hitelesítenie a

meghatározott eszközöket, vagy eszköz típusokat mielőtt helyi vagy távoli hálózati kapcsolatot létesítene

velük.

3.9.4. Azonosító kezelés A Hivatal vezetője az egyéni-, csoport-, szerepkör- vagy eszközazonosítók kijelölését a Hivatal által

meghatározott személyek vagy szerepkörök jogosultságához köti:

a. hozzárendeli az azonosítót a kívánt egyénhez, csoporthoz, szerepkörhöz vagy eszközhöz;

b. meghatározott időtartamig megakadályozza az azonosítók ismételt felhasználását;

c. meghatározott időtartamú inaktivitás esetén letiltja az azonosítót.

Page 68: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 69/92

Az elektronikus információs rendszerekhez történő hozzáférést biztosító azonosítókat – informatikai

rendszertől függően – a felhasználó vagy a rendszergazda hozza létre. Az azonosítók ismételt

felhasználása tilos. A rendszer által meghatározott idő, vagy 3 hónap inaktivitás után az azonosítókat a

rendszergazdának le kell tiltania.

3.9.5. A hitelesítésre szolgáló eszközök kezelése A jelszavak a felhasználó számítógépes szolgáltatásokhoz való hozzáférési jogosultságának hitelesítésére

szolgálnak. A jelszókezelő rendszernek hatékonyan és interaktívan kell biztosítania a megfelelő színvonalú

jelszavak használatát.

A Hivatal az alábbi elvárásokat érvényesíti a jelszavak kezelésével kapcsolatosan:

a. tegye lehetővé a felhasználók számára jelszavuk kiválasztását és megváltoztatását;

b. kényszerítse ki az ideiglenes jelszavak megváltoztatását az első bejelentkezéskor;

c. kényszerítse ki a megfelelő minőségű jelszavak használatát;

d. kényszerítse ki a jelszóváltoztatást, frissítést időszakonként;

e. tiltsa meg a korábban használt jelszavak ismételt felhasználását;

f. beíráskor ne jelenítse meg a jelszavakat a képernyőn;

g. a jelszavakat nem tárolja (ide nem értve az irreverzibilis kriptográfiai hasító függvénnyel a jelszóból

képzett hasító érték tárolást) és nem továbbítja;

h. változtassa meg a szállító alapértelmezett jelszavát a szoftver installálása után.

Jelszógondozási folyamattal kell a jelszavak kiosztását ellenőrizni, úgy, hogy:

a. szükség esetén a felhasználók kötelezhetők arra, hogy nyilatkozatban vállalják a számukra kiadott,

vagy általuk képzett jelszavaik titokban tartását;

b. biztosítani, hogy a kezdeti jelszavak is biztonságos körülmények között kerüljenek a

felhasználóknak átadásra.

A felhasználói jelszavak képzéséhez az alábbi szabályokat kell betartani:

a. a jelszó legalább nyolc karakter hosszú legyen, és - ahol műszakilag az megvalósítható - törekedni

kell arra, hogy tartalmazzon a kisbetűkön kívül nagybetűt és számot vagy speciális karaktert is;

b. a jelszavakat a rendszergazda vagy az elektronikus információs rendszer biztonságáért felelős

által – a Rendszerbiztonsági tervben vagy egyéb módon – meghatározott időközönként meg kell

változtatni;

c. a jelszavakat két napon belül nem szabad megváltoztatni;

d. az előző jelszavak újra használatát kerülni kell;

e. zárolás esetén előre beállított időtartam eltelte után engedélyezze vissza a felhasználói fiókot.

Az elektronikus információs rendszerekben a jelszavak használatának és képzésének részletes szabályai

a következők:

a. a felhasználó a jelszavát köteles titokban tartani;

b. a jelszószabályok betartása minden felhasználónak jól felfogott érdeke. A felhasználó felelőssége,

ha jelszavának megismerése révén valaki a nevében visszaélést követ el az elektronikus

információs rendszerben;

c. a felhasználói jelszavakat – informatikai rendszerenként – nyilván kell tartani, azokat zárt, a

felhasználó által a lezárás mentén aláírt, dátummal és névvel ellátott, a jegyző által meghatározott,

Page 69: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 70/92

tűzbiztos, megfelelő mechanikai védelemmel ellátott páncélszekrényben kell tárolni. Egyéb helyen

tilos leírni;

d. ha bármilyen jel mutat arra, hogy a jelszó illetéktelen kézbe jutott, azonnal meg kell változtatni,

értesíteni kell a rendszergazdát és az elektronikus információs rendszer biztonságáért felelős

személyt;

e. nem tehető a jelszó egy automatikus bejelentkezési folyamat részévé, pl. makróra, vagy funkció

billentyűre;

A jelszó minél komplexebb, annál kisebb a valószínűsége, hogy visszaélésre kerül sor. A jelszavak

képzésénél az alábbi szempontokat kell betartani:

a. könnyen megjegyezhető, és nehezen kitalálható legyen;

b. semmi olyasmin ne alapuljon, aminek alapján valaki kitalálhatja, ilyenek a nevek, telefonszámok,

születési dátumok, stb.;

c. ne legyen a gépnévre vagy a felhasználói névre utaló;

d. ne legyen sorozat.

A fenti szabályok az elektronikus információs rendszerek által technikailag kikényszeríthető részét a

rendszergazdának kell beállítani.

A felhasználó felelőssége, ha jelszavának neki felróható mulasztása miatti megismerése révén valaki a

nevében visszaélést követ el az elektronikus információs rendszerben.

A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerekre vonatkozóan hardver token alapú hitelesítése esetén olyan mechanizmusokat alkalmaz,

amely megfelel az eljárásrendben meghatározott minőségi követelményeknek, vagy:

a. az elektronikus információs rendszer nyilvános kulcsú infrastruktúra alapú hitelesítés esetén

ellenőrzi a tanúsítványokat egy elfogadott megbízható pontig tartó tanúsítványlánc felépítésével és

ellenőrzésével, beleértve a tanúsítvány állapot információ ellenőrzését is;

b. kikényszeríti a megfelelő magánkulcshoz való jogosult hozzáférést;

c. összekapcsolja a hitelesített azonosságot az egyéni vagy csoport fiókkal;

d. megvalósítja a visszavonási adatok helyi tárolását a tanúsítványlánc felépítésének és

ellenőrzésének támogatására arra az esetre, amikor a visszavonási információk a hálózaton

keresztül nem elérhetők.

A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerekre vonatkozóan tulajdonság alapú hitelesítést alkalmaz, azaz a felhasználó egyedi azonosítást

lehetővé tevő tulajdonságai alapján végzi el az azonosítást.

Személyes vagy megbízható harmadik fél általi regisztráció

A Hivatal szükség esetén eljárásrendben meghatározott hitelesítő eszköz átvételéhez olyan regisztrációs

eljárást követel meg, melyet meghatározott regisztrációs szervezet folytat le az érintett szervezet által

meghatározott személyek vagy szerepkörök jóváhagyása mellett.

3.9.6. A hitelesítésre szolgáló eszköz visszacsatolása Az elektronikus információs rendszernek fedett visszacsatolást kell biztosítani a hitelesítési folyamat során,

hogy megvédje a hitelesítési információt jogosulatlan személyek esetleges felfedésétől, felhasználásától.

Page 70: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 71/92

3.9.7. Hitelesítés kriptográfiai modul esetén Az elektronikus információs rendszernek egy adott kriptográfiai modulhoz való hitelesítésre olyan

mechanizmusokat kell használni, amelyek megfelelnek a kriptográfiai modul hitelesítési útmutatójának.

3.9.8. Azonosítás és hitelesítés (hivatalon kívüli felhasználók) Az elektronikus információs rendszernek egyedileg kell azonosítania és hitelesítenie az érintett szervezeten

kívüli felhasználókat, illetve a tevékenységüket.

A hálózati kapcsolatot az átmenő adatok bizalmasságának és sértetlenségének megőrzése céljából

titkosítani kell (pl.: VPN, SSL). A hálózati kapcsolatok titkosításához csak a Nemzeti Média- és Hírközlési

Hatóság elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítés szolgáltatók által

kibocsátott tanúsítványokat lehet felhasználni.

3.10. HOZZÁFÉRÉS ELLENŐRZÉSE

3.10.1. Hozzáférés ellenőrzési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a hozzáférés ellenőrzési eljárásrendet, mely

a hozzáférés ellenőrzési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő.

Az elektronikus információbiztonsággal kapcsolatos engedélyezési hozzáférési szabályokat Informatikai

biztonsági eljárásrendben kezeli.

A jogosultság kezelés során figyelembe kell venni a központi szolgáltató (a jogszabály által kijelölt

központosított informatikai és elektronikus hírközlési szolgáltató) előírásait.

Az elektronikus információs rendszer, rendszerelem használója kizárólag munkatárs (választott

tisztségviselő, közszolgálati jogviszony vagy munkaviszony alapján foglalkoztatott munkatárs) vagy a

Hivatallal szerződéses jogviszonyban álló személy lehet, aki a munkavégzéshez szükséges mértékű

felhasználói szintű informatikai ismeretekkel rendelkezik, jelen szabályzatot vagy a rá vonatkozó

rendelkezéseket megismerte, és hozzáférési jogosultságot kapott az elektronikus információs rendszerek

használatához (a továbbiakban: felhasználó).

Az elektronikus információs rendszerek bevezetésében és felhasználásában közreműködő külső fél

munkatársai és vezetői titoktartási nyilatkozat tételére kötelesek, vagy a Hivatal és a külső fél közötti

jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási kötelezettségéről.

A titoktartási kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel kapcsolatos, illetve

ezek bevezetése során tudomásukra jutó valamennyi információra.

Valamennyi felhasználó munkavégzése során a szükséges és elégséges hozzáférés elve alapján

a. kizárólag a feladat ellátásához szükséges hivatali adat, információ megismerésére, továbbá

b. az adat- és rendszerhozzáférésre a munkavégzéséhez szükséges lehető legrövidebb ideig és

szükséges legkisebb jogosultsági szint alkalmazásával jogosult.

A felhasználónak az elvárható gondossággal kell eljárnia el az adatkezelés során, meg kell akadályoznia

a kapott hozzáférési jogokkal való visszaélést azáltal, hogy megőrzi a hozzáférési kódok titkosságát.

A felhasználó elszámoltatható minden olyan tevékenységért, amelyet a saját felhasználó azonosító kódja

(user ID) alapján végzett

Az elektronikus információs rendszerekről és eszközökről kizárólag a jegyző, az általa kijelölt személy vagy

az elektronikus információs rendszerek biztonságáért felelős szolgáltathat adatokat.

Page 71: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 72/92

3.10.2. Felhasználói fiókok kezelése Az elektronikus információs rendszer felhasználói fiókjait és típusait – a jegyző által jóváhagyott

jogosultságoknak megfelelően – a rendszergazda határozza meg:

a. kijelöli a felhasználói fiókok fiókkezelőit;

b. kialakítja a csoport- és szerepkör tagsági feltételeket;

c. meghatározza az elektronikus információs rendszer jogosult felhasználóit, a csoport- és szerepkör

tagságot és a hozzáférési jogosultságokat, valamint (szükség esetén) az egyes felhasználói fiókok

további jellemzőit;

d. létrehozza, engedélyezi, módosítja, letiltja és eltávolítja a felhasználói fiókokat a meghatározott

eljárásokkal vagy feltételekkel összhangban;

e. ellenőrzi a felhasználói fiókok használatát;

Értesíti a fiókkezelőket, ha:

a. a felhasználói fiókokra már nincsen szükség,

b. a felhasználók kiléptek vagy áthelyezésre kerültek,

c. az elektronikus információs rendszer használata vagy az ehhez szükséges ismeretek

megváltoztak;

A rendszergazda meghatározott gyakorisággal, minimálisan évente felülvizsgálja a felhasználói fiókokat, a

fiókkezelési követelményekkel való összhangot, kialakít egy folyamatot a megosztott vagy csoport

felhasználói fiókokhoz tartozó hitelesítő eszközök, adatok újra kibocsátására (ha ilyet alkalmaznak), a

csoport tagjainak változása esetére.

Laptopokon a felhasználók – függetlenül a szakrendszerek használatától - kizárólag felhasználói

jogosultsággal dolgozhatnak, nem kaphatnak rendszergazdai jogosultságokat. Ha az elektronikus

információs rendszerek zavartalan működéséhez szükségesek az emelt szintű jogok, a rendszergazdai

jogosultságot a rendszergazda javaslatára a szervezeti egység vezető engedélyezheti a szükséges ideig,

kizárólag a szakrendszerek használatához, mely nem használható programok telepítésére, beállítások

megváltoztatására.

A munkaállomásokon a számítógépes képernyővédelmi rendszert úgy kell beállítani, hogy kizárja az

illetéktelen használatot. A munkaállomások jelszavas védelme, a hozzáférésre jogosult felhasználók

számára jelszavas képernyővédelem beállítása, szükség esetén a rendszergazda közreműködésével a

felhasználó feladata (elvárt követelmény: 2 perc idő, 6 karakter egyedi kód, 3 havonkénti módosítás).

A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerei esetén automatizált mechanizmusokat kell alkalmazni az elektronikus információs rendszer

fiókjainak kezeléséhez, el kell távolítania az ideiglenes fiókokat (meghatározott időtartam letelte után

automatikus eltávolítás vagy az ideiglenes vagy kényszerhelyzetben létrehozott felhasználói fiókok, egyes

kijelölt felhasználói fiók típusok letiltása), automatikusan naplóznia kell a fiókok létrehozásával,

módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket, és

értesíteni ezekről a meghatározott személyeket vagy szerepköröket.

3.10.3. Hozzáférés ellenőrzés érvényesítése Az elektronikus információs rendszernek a megfelelő szabályzatokkal összhangban érvényesíteni kell a

jóváhagyott jogosultságokat az információkhoz és a rendszer erőforrásaihoz való logikai hozzáféréshez.

Page 72: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 73/92

3.10.4. Információáramlás ellenőrzés érvényesítése A magas biztonsági követelményű elektronikus információs rendszereknek a megfelelő szabályzatokkal

összhangban érvényesíteni kell a jóváhagyott jogosultságokat a rendszeren belüli és a kapcsolódó

rendszerek közötti információáramlás ellenőrzéséhez, a meghatározott információáramlás ellenőrzési

szabályoknak megfelelően.

3.10.5. A felelősségek szétválasztása A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerei esetén szétválasztja az egyéni felelősségeket, dokumentálja az egyéni felelősségek

szétválasztását, meghatározza az elektronikus információs rendszer hozzáférés jogosultságait az egyéni

felelősségek szétválasztása érdekében.

3.10.6. Legkisebb jogosultság elve A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerei esetén megköveteli, hogy az elektronikus információs rendszer:

a. a legkisebb jogosultság elvét alkalmazza, azaz a felhasználók - vagy a felhasználók tevékenysége

- számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket

engedélyezi,

b. jogosult hozzáférést biztosítson a biztonsági funkciókhoz és biztonságkritikus információkhoz,

c. nem privilegizált hozzáférést biztosítson a biztonsági funkciókhoz (kötelezővé teszi, hogy a

meghatározott biztonsági funkciókhoz vagy biztonságkritikus információkhoz hozzáférési

jogosultsággal rendelkező felhasználói a nem biztonsági funkciók használatához nem a különleges

jogosultsághoz kötött - úgynevezett privilegizált - fiókjukat vagy szerepkörüket használják),

d. privilegizált fiókjait meghatározott személyekre vagy szerepkörökre korlátozza,

e. a privilegizált funkciók végrehajtását naplózza

f. a privilegizált funkciókat tiltsa a nem privilegizált felhasználóknak (akadályozza meg, hogy a nem

privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági

ellenintézkedések kikapcsolását, megkerülését, vagy megváltoztatását.

3.10.7. Sikertelen bejelentkezési kísérletek A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerei esetén megköveteli, hogy az elektronikus információs rendszer:

a. meghatározott esetszám korlátot alkalmazzon a felhasználó meghatározott időtartamon belül

egymást követő sikertelen bejelentkezési kísérleteire;

b. ha a sikertelen bejelentkezési kísérletekre felállított esetszám korlátot a felhasználó túllépi,

automatikusan zárolja a felhasználói fiókot, vagy csomópontot meghatározott időtartamig, vagy

meghatározott módon késlelteti a következő bejelentkezési kísérletet;

3.10.8. A rendszerhasználat jelzése A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerei esetén megköveteli, hogy az elektronikus információs rendszer:

a. jelezze a rendszerhasználatot (a meghatározott rendszer használatra vonatkozó figyelmeztető

üzenetet vagy jelzést küld a felhasználó számára a rendszerhez való hozzáférés engedélyezése

Page 73: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 74/92

előtt, mely jelzi, hogy a felhasználó a szervezet elektronikus információs rendszerét használja, a

rendszer használatot figyelhetik, rögzíthetik, naplózhatják, a rendszer jogosulatlan használata tilos,

és büntetőjogi vagy polgárjogi felelősségre vonással jár, a rendszer használata egyben a

felhasználó előbbiekbe történő beleegyezését is jelenti);

b. a figyelmeztető üzenetet vagy jelzést mindaddig a képernyőn tartja, amíg a felhasználó közvetlen

műveletet nem végez az elektronikus információs rendszerbe való bejelentkezéshez vagy további

rendszer hozzáféréshez;

c. a nyilvánosan elérhető rendszerek esetén kijelzi a rendszer használat feltételeit, mielőtt további

hozzáférést biztosít, ha felügyelet, adatrögzítés vagy naplózás történik, kijelzi, hogy ezek

megfelelnek az adatvédelmi szabályoknak;

d. leírást biztosít a rendszer engedélyezett felhasználásáról.

3.10.10. A munkaszakasz zárolása A magas biztonsági követelményű elektronikus információs rendszernek meghatározott időtartamú

inaktivitás után, vagy a felhasználó erre irányuló lépése esetén a munkaszakasz zárolásával meg kell

akadályozni a rendszerhez való további hozzáférést, meg kell tartani a munkaszakasz zárolását mindaddig,

amíg a felhasználó a megfelelő eljárások alkalmazásával nem azonosítja és hitelesíti magát újra.

A munkaszakasz zárolásakor a képernyőn korábban látható információt egy nyilvánosan látható képpel,

üres képernyővel vagy a bejelentkezési felülettel - ami a zároló személy nevét is tartalmazhatja - kell

eltakarni.

3.10.11. A munkaszakasz lezárása A magas biztonsági követelményű elektronikus információs rendszernek automatikusan le kell zárni a

munkaszakaszt a meghatározott feltételek vagy munkaszakasz szétkapcsolást igénylő események

megtörténte után.

3.10.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek Az azonosítás és hitelesítés nélkül végrehajtható felhasználói tevékenységeket dokumentálni kell,

indokolni kell a rendszerbiztonsági tervben, vagy más szabályzatban.

A Hivatalban jelenleg nincsenek azonosítás és hitelesítés nélkül engedélyezett tevékenységek.

3.10.13. Távoli hozzáférés A Hivatal a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan

megköveteli, saját felelősségi körébe tartozó elektronikus információs rendszerei esetén biztosítja:

a. kidolgozza és dokumentálja minden engedélyezett távoli hozzáférés típusra a felhasználásra

vonatkozó korlátozásokat, a konfigurálási vagy a kapcsolódási követelményeket és a

megvalósítási útmutatókat;

b. engedélyezési eljárást folytat le az elektronikus információs rendszerhez történő távoli hozzáférés

feltételeként;

c. az elektronikus információs rendszer figyeli és ellenőrzi a távoli hozzáféréseket;

d. kriptográfiai mechanizmusokat kell alkalmazni a távoli hozzáférés munkaszakaszok

bizalmasságának és sértetlenségének a védelmére;

Page 74: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 75/92

e. minden távoli hozzáférést felügyelt hozzáférés ellenőrzési ponton keresztül kell irányítani az

elektronikus információs rendszerben.

f. a privilegizált parancsok végrehajtásához és biztonságkritikus információk eléréséhez távoli

hozzáférést csak meghatározott és elfogadott igény esetén engedélyez;

g. dokumentálja és indokolja az engedélyezett hozzáféréseket a rendszerbiztonsági tervben.

3.10.14. Vezeték nélküli hozzáférés A specifikus technológiára (például vezeték nélküli kommunikáció) vonatkozó biztonsági intézkedések csak

akkor alkalmazandók, ha ezeket a technológiákat használják az elektronikus információs rendszerben,

vagy előírják ezek használatát.

A Hivatal eljárásrendjében felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó

követelményeket, valamint technikai útmutatót ad ki a vezeték nélküli technológiák kapcsán, engedélyezési

eljárást folytat le a vezeték nélküli hozzáférés feltételeként.

3.10.15. Mobil eszközök hozzáférés ellenőrzése A Hivatal belső eljárásrendben felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó

követelményeket, valamint technikai útmutatót ad ki az általa ellenőrzött mobil eszközökre, engedélyhez

köti az elektronikus információs rendszereihez mobil eszközökkel megvalósított kapcsolódást.

A mobil eszközök használatát, Hivatalból történő kiszállítását minden esetben előzetes jegyzői vagy

szervezeti egység vezetői engedélyezésnek kell megelőznie.

Az igénylést, kiadást, visszavételt, nyilvántartást, javítást, esetleges elvesztésére vagy a selejtezésére

vonatkozó szabályokat eljárásrend tartalmazza.

A Hivatalból kiszállított mobil eszközök, laptopok, adathordozók (pl. külső HDD) esetén a tárolt információk

bizalmasságának és sértetlenségének a védelmére, az információk hozzáférhetetlenné tételére teljes

eszköztitkosítást, tároló alapú titkosítást, vagy más technológiai eljárást kell alkalmazni (pl. Win10 Pro

esetén BitLocker, ESET Endpoint Encryption). Kizárólag hardveres titkosítású pendrive használat

engedélyezett.

3.10.16. Külső elektronikus információs rendszerek használata A Hivatal vezetője meghatározza, hogy milyen feltételek és szabályok betartása mellett jogosult a

felhasználó egy külső rendszerből hozzáférni az elektronikus információs rendszerhez, meghatározza,

hogy külső elektronikus információs rendszerek segítségével hogyan jogosult a felhasználó feldolgozni,

tárolni vagy továbbítani a Hivatal által ellenőrzött információkat.

A Hivatalban jelenleg nem engedélyezett a külső elektronikus információs rendszerek használata a Hivatal

belső elektronikus információs rendszereinek hozzáféréséhez.

A Hivatal csak abban az esetben engedélyezi jogosult felhasználóknak egy külső elektronikus információs

rendszer felhasználását az elektronikus információs rendszerhez való hozzáférésre, az által ellenőrzött

információk feldolgozására, tárolására vagy továbbítására, ha előzetesen ellenőrzi a szükséges biztonsági

intézkedések meglétét a külső rendszeren saját eljárásrendjének megfelelő módon, vagy jóváhagyott

kapcsolat van az elektronikus információs rendszerek között, vagy megállapodás született a külső

elektronikus információs rendszert befogadó szervezettel.

Page 75: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 76/92

A Hivatal megtiltja a magas biztonsági követelményű rendszerelemek esetén a hordozható tárolóeszközök

használatát külső elektronikus információs rendszerben is jogosultsággal rendelkező személyek számára.

3.10.17. Információ megosztás

A Hivatal elősegíti az információmegosztást azzal, hogy engedélyezi a jogosult felhasználóknak eldönteni,

hogy a megosztásban résztvevő partnerhez rendelt jogosultságok megfelelnek-e az információra

vonatkozó hozzáférési korlátozásoknak, olyan meghatározott információmegosztási körülmények esetén,

amikor felhasználói megítélés szóba jöhet, automatizált mechanizmusokat vagy kézi folyamatokat alkalmaz

arra, hogy segítséget nyújtson a felhasználóknak az információmegosztási vagy együttműködési döntések

meghozatalában.

3.10.18. Nyilvánosan elérhető tartalom Nyilvánosan hozzáférhető rendszerként definiálja a Hivatal a publikus weboldalát.

A Hivatal vezetője kijelöli azokat a személyeket, akik jogosultak a nyilvánosan hozzáférhető elektronikus

információs rendszeren a Hivataltól kapcsolatos bármely információ közzétételére. A dokumentált módon

kijelölt személyeket tájékoztatja, képzésben részesíti annak biztosítása érdekében, hogy a nyilvánosan

hozzáférhető információk ne tartalmazzanak nem nyilvános információkat;

A Hivatal honlapjához a rendszergazda vagy a jegyző által megbízott – a Hivatallal szerződéses

jogviszonyban álló – külső vállalkozó rendelkezik technikai hozzáféréssel, számára a Hivatal vezetője vagy

megbízottja adhat át dokumentált módon írásban – nyilvános közzétételre szánt, ellenőrzött – információt.

A Hivatal vezetője által megbízott személy heti gyakorisággal átvizsgálja a nyilvánosan hozzáférhető

elektronikus információs rendszertartalmat a nem nyilvános információk tekintetében és eltávolíttatja

azokat. A megbízottnak gondoskodni kell a Hivatal honlapján publikált információk törvényi

megfelelősségéről és valódiságáról, sértetlenségéről. Tilos a hatályos törvénybe, jogszabályba ütköző,

vagy a Hivatal érdekeit, a jó ízlést és közerkölcsöt sértő tartalmat közzétenni.

3.11. RENDSZER- ÉS INFORMÁCIÓ SÉRTETLENSÉG

3.11.2. Rendszer- és információsértetlenségre vonatkozó eljárásrend Az elektronikus információs rendszerek, illetve az adatok sértetlenségére vonatkozóan a következő

eljárásrendet kell alkalmazni.

Ezeket a rendelkezéseket egy adott elektronikus információs rendszer tekintetében abban az esetben kell

alkalmazni, ha az adott elektronikus információs rendszert a Hivatal üzemelteti. Üzemeltetési szolgáltatási

szerződés esetén szerződéses kötelemként kell érvényesíteni a követelményeket és azokat a

szolgáltatónak kell biztosítania.

3.11.3. Hibajavítás A Hivatal azonosítja, belső eljárásrendje alapján jelenti és kijavítja, vagy kijavíttatja az elektronikus

információs rendszer hibáit. Telepítés előtt tesztelni kell a hibajavítással kapcsolatos szoftverfrissítéseket

a feladatellátás hatékonysága, az előre nem látható következmények szempontjából, a biztonságkritikus

szoftvereket frissítésük kiadását követő meghatározott időtartamon belül kell telepíteni vagy telepíttetni.

Be kell építi a hibajavítást a konfigurációkezelési folyamatba.

Page 76: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 77/92

A rendszerprogramokkal kapcsolatos bármely konfigurálási, hangolási műveletet csak a rendszergazda

végezhet. Az alkalmazáson végzendő, annak bármely funkcióját megváltoztató művelethez – beleértve a

verzióváltást és egyéb, jelentős beavatkozást igénylő hangolást is - a jegyző vagy a szervezeti egység

vezető engedélye szükséges.

A rendszergazdának biztosítania kell, hogy a rendszerszoftver naprakész állapotban legyen, és a

segédprogramok, programkönyvtárak mindig hozzáférhetők legyenek az üzemeltetők számára.

A verzióváltással járó alapszoftver módosítással egy időben a változásokat a dokumentációban is át kell

vezetni (Munkalap vagy egyéb feljegyzés alapján az Alapkonfiguráció nyilvántartásban). Ha nem a

módosítást elvégző rendszergazda felelős a nyilvántartás aktualizálásáért, akkor a Munkalapot el kell

juttatni az elektronikus információs rendszer biztonságáért felelős felé.

A felhasználói adatok és alkalmazások védelme érdekében a szoftverek módosítása (frissítés,

verzióváltás) folyamán az alkalmazáshoz és az adatokhoz történő illetéktelen hozzáférést és az illetéktelen

próbálkozást meg kell akadályozni. Gondoskodni kell arról, hogy a telepített alkalmazások, fájlok ne

károsodjanak, és a követelményeknek megfelelően működjenek.

Új hardverek üzembe állításakor a fentieket kell értelemszerűen alkalmazni.

A Hivatal a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan

megköveteli automatizált mechanizmusok alkalmazását az elektronikus információs rendszer elemei

hibajavítási állapotának meghatározására.

3.11.4. Kártékony kódok elleni védelem A Hivatalnak meg kell őriznie az elektronikus információs rendszerek és az információ bizalmasságát,

sértetlenségét és rendelkezésre állását a kártékony kódok és a kéretlen üzenetek támadásaival szemben.

A kártékony kódok elleni védekezés során a következőkről kell gondoskodni:

a. Munkaállomások és kiszolgálók esetében központilag felügyelt kártékony kód elleni megoldásokat

kell alkalmazni.

b. Kártékony kód elleni megoldás nélkül sem hálózati, sem önálló munkaállomás, sem hordozható

számítógép nem üzemeltethető.

c. Egyéb infokommunikációs eszközök tekintetében a gyártói ajánlások és a lehetőségek figyelembe

vételével törekedni kell a kártékony kódok elleni védekezésre.

d. A kártékony kód elleni alkalmazások adatbázisát rendszeresen, a szállító által meghatározott

ütemezéssel, vagy automatikusan frissíteni kell.

e. A hordozható számítógépek esetében az üzemeltetőnek gondoskodnia kell a kártékony kód elleni

alkalmazás adatbázisának automatikus frissítéséről, közvetlenül a hordozható számítógép

bekapcsolása után.

f. A külső forrásból származó a cserélhető adathordozókat használatba vétel előtt automatikus

kártékony kód ellenőrzés alá kell vetni.

g. A felhasználókat meg kell ismertetni a kártékony kód felmerülésének esetében követendő

előírásokkal.

h. A kártékony kód észlelése esetén blokkolni vagy karanténba kell helyezi, a rendszergazdának

értesítenie kell az elektronikus információs rendszer biztonságáért felelős személyt, aki

meghatározza a további teendőket.

i. A vírusfertőzésekkel és elhárításukkal kapcsolatban tett intézkedéseket dokumentálni kell.

Page 77: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 78/92

A Hivatal informatikai rendszereit, az elektronikus levelezés során a hivatalos és a személyes postafiókokat

vírusvédelmi rendszer védi. Az internethasználatra vonatkozó szabályokat az 1.6.9. fejezet tartalmazza.

A magas biztonsági követelményű elektronikus információs rendszerek esetén központilag kell kezelni a

kártékony kódok elleni védelmi mechanizmusokat, automatikus frissítést kell biztosítani a kártékony kódok

elleni védelmi mechanizmusok frissítéséhez.

3.11.5. Az elektronikus információs rendszer felügyelete Felelősségi körén belül a rendszergazda vagy a szolgáltató felügyeli az elektronikus információs rendszert,

hogy észlelje a kibertámadásokat vagy a kibertámadások jeleit a meghatározott figyelési céloknak

megfelelően, és feltárja a jogosulatlan lokális, hálózati és távoli kapcsolatokat:

a. azonosítja az elektronikus információs rendszer jogosulatlan használatát;

b. felügyeleti eszközöket alkalmaz a meghatározott alapvető információk gyűjtésére és a rendszer ad

hoc területeire a potenciálisan fontos, speciális típusú tranzakcióknak a nyomon követésére;

c. védi a behatolás-felügyeleti eszközökből nyert információkat a jogosulatlan hozzáféréssel,

módosítással és törléssel szemben;

d. erősíti az elektronikus információs rendszer felügyeletét minden olyan esetben, amikor fokozott

kockázatra utaló jelet észlel;

e. meghatározott gyakorisággal biztosítja az elektronikus információs rendszer felügyeleti

információkat a meghatározott személyeknek vagy szerepköröknek.

f. az üzembiztonság érdekében a kiszolgálók operációs rendszereinek telepítőkészleteit tartalék

adathordozón is tárolja, valamint rendszeresen menti az operációs rendszer beállításait.

A magas biztonsági követelményű elektronikus információs rendszerek esetén automatizált eszközöket

kell alkalmazni az események közel valós idejű vizsgálatának támogatására.

A rendszernek felügyelni kell a beérkező és kimenő adatforgalmat a szokatlan vagy jogosulatlan

tevékenységekre vagy körülményre tekintettel, riasztani kell az illetékes személyeit, csoportjait, amikor

veszélyeztetés vagy lehetséges veszélyeztetés előre meghatározott jeleit észleli.

3.11.6. Biztonsági riasztások és tájékoztatások Az elektronikus információs rendszer biztonságáért felelős folyamatosan figyeli a kormányzati

eseménykezelő központ által a kritikus hálózatbiztonsági eseményekről és sérülékenységekről közzétett

figyelmeztetéseket, folyamatosan figyelemmel kíséri a Nemzeti Kibervédelmi Intézet Kormányzati

Eseménykezelő Központtól érkező értesítéseket, szükség esetén belső biztonsági riasztást és

figyelmeztetést ad ki, illetve a belső biztonsági riasztást és figyelmeztetést eljuttatja az illetékes

személyekhez.

Kialakítja és működteti a jogszabályban meghatározott esemény bejelentési kötelezettség rendszerét, és

kapcsolatot tart az érintett, külön jogszabályban meghatározott szervekkel, megfelelő ellenintézkedéseket

és válaszlépéseket tesz.

Az elektronikus információs rendszer biztonságáért felelős a biztonsági riasztásokat és a kapcsolatos

intézkedéseket elektronikus nyilvántartásban vagy egyéb dokumentumban rögzíti.

Page 78: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 79/92

3.11.8. Szoftver és információ sértetlenség A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs

rendszerei esetén sértetlenség ellenőrző eszközt alkalmaz a szoftverek és információk jogosulatlan

módosításának észlelésére, illetve megköveteli azt a szolgáltatótól.

3.11.9. Kéretlen üzenetek elleni védelem A Hivatal a magas biztonsági követelményű elektronikus információs rendszerelemek belépési és kilépési

pontjain kéretlen üzenetek - úgynevezett levélszemét - elleni védelmet valósít vagy követel meg a

levélszemét észlelése és kiszűrése érdekében. Új verziók elérhetővé válásakor frissíti a levélszemét elleni

védelmi mechanizmusokat, összhangban a konfigurációkezelési szabályzattal és eljárásrenddel.

Központi beállításokkal irányítja a levélszemét elleni védelmet, automatikusan frissíti a levélszemét elleni

védelmi mechanizmusokat azok újabb verzióival.

3.11.10. Bemeneti információ ellenőrzés A magas biztonsági követelményű elektronikus információs rendszereknek ellenőrzi kell a meghatározott

információ belépési pontok érvényességét.

3.11.11. Hibakezelés A magas biztonsági követelményű elektronikus információs rendszereknek hibajelzéseket kell generálni a

hibajavításhoz szükséges információkat biztosítva, ezeket kizárólag a meghatározott személyek vagy

szerepkörök számára teheti elérhetővé. A rendszer nem nyújthat semmi olyan információt, amelyet a

támadók kihasználhatnak.

3.11.12. A kimeneti információ kezelése és megőrzése A kimeneti információk (pl.: nyomtatott dokumentumok) kezelésével és szétosztásával kapcsolatban a

Hivatal Iratkezelési Szabályzatával összhangban a következők az előírások:

a. gondoskodni kell a kimeneti információ tartalmi ellenőrzéséről,

b. gondoskodni kell arról, hogy a kimeneti információhoz történő fizikai és logikai hozzáférés csak az

arra jogosított személyekre korlátozódjon,

c. gondoskodni kell arról, hogy a jogosult személyek időben megkapják az elkészült kimeneti

információkat,

d. biztosítani kell, hogy a megsemmisítési eljárások során az kimeneti információk tartalma

helyreállíthatatlanul megsemmisüljön.

A kimeneti információk kezelése során figyelembe kell venni az információ minősítését. A mindenkori

biztonsági osztályok függvényében kerülnek meghatározásra a szabályozások arra vonatkozóan, hogy

miként kell eljárni a bizonyos adatokkal, dokumentumokkal.

3.11.13. Memória védelem A magas biztonsági követelményű elektronikus információs rendszerben biztonsági beállításokat kell

alkalmazni azért, hogy védje a memóriát a jogosulatlan kódok végrehajtásától.

Page 79: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 80/92

3.12. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG

3.12.1. Naplózási eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és a szabályozásában meghatározott személyek vagy

szerepkörök számára kihirdeti a naplózási eljárásrendet, mely a naplózásra és elszámoltat-hatóságra

vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő.

Ha a Hivatal az elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy

használja – részben vagy teljesen –, a naplózás és elszámoltathatóság követelményeit ezen elemek és

funkciók tekintetében kell teljesíteni.

3.12.2. Naplózható események A rendszergazda – az elektronikus információs rendszer biztonságáért felelőssel egyeztetve –

meghatározza a naplózható és naplózandó eseményeket, és felkészíti erre az elektronikus információs

rendszerét.

a. egyezteti a biztonsági napló funkciókat a többi, naplóval kapcsolatos információt igénylő Hivatali

egységgel, hogy növelje a kölcsönös támogatást, és hogy iránymutatással segítse a naplózható

események kiválasztását;

b. megvizsgálja, hogy a naplózható események megfelelőnek tekinthetők-e a biztonsági

eseményeket követő tényfeltáró vizsgálatok támogatásához.

Biztosítani kell, hogy az alkalmazott elektronikus információs rendszerek a következő eseményeket

naplózni tudják:

a. a felhasználók adminisztrációs tevékenysége:

- bejelentkezés;

- kijelentkezés;

- jelszómódosítás.

b. az adatállományok (adatbázisok) módosítása az alkalmazási rendszerekben;

c. a rendszergazdák a rendszer bármely rétegébe történő be-és kijelentkezése;

d. a rendszergazdák tevékenysége a rendszer bármely rétegében;

e. a felhasználói jogosultságok módosítása;

f. rendszer események, esetleges hibák;

g. konfigurációs beállítások módosítása.

h. Az esemény típusának megfelelően az általános feldolgozási eseményt az eseménynaplóban, a

biztonsággal összefüggő eseményeket pedig a biztonsági naplóba kell rögzíteni.

Az elektronikus információs rendszerek naplózása kialakításakor szükség esetén be kell vonni a szervezeti

egység vezetőjét is annak érdekében, hogy adatgazdai oldalról meghatározásra kerüljenek azok a

többletinformációk, amelyeket igényelnek.

A Hivatalnál a rendszerhasználat a naplóállományok elemzése révén kerül megfigyelésre, egyéb

technológiát a Hivatal nem alkalmaz. A hibanaplók, az adminisztrátori és kezelői tevékenységek jelenleg

az operációs rendszer eseménynaplózás naplóbejegyzéseiből szűrhetők. Egyéb naplózás nincs

érvényesítve.

Page 80: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 81/92

3.12.3. Naplóbejegyzések tartalma Az elektronikus információs rendszernek a naplóbejegyzésekből kell elegendő információt gyűjteni ahhoz,

hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi

volt ezen események kimenetele.

A naplóbejegyzéseknek a következőket kell tartalmaznia:

a. a rendszerelem azonosítóját,

b. az adatazonosítót (fájl / rekord / mező),

c. az esemény ismertetését / a funkcióazonosítót,

d. a felhasználó azonosítóját,

e. az esemény időpontját,

f. az esemény elemzéséhez szükséges adattartalmakat vagy az arra vonatkozó hivatkozásokat,

illetve annak végrehajtási státuszát.

A magas biztonsági követelményű elektronikus információs rendszereknek biztosítani kell a meghatározott

rendszerelemek által generált naplóbejegyzések tartalmának központi kezelését és konfigurálását.

A Hivatal az információs rendszerek naplózásával kapcsolatos szabályokat, további kiegészítő információt

(ha van előírva) a Rendszerbiztonsági tervben és/vagy mellékletében, ill. egyéb dokumentumban kezeli,

illetve ha az adott elektronikus információs rendszert nem a Hivatal üzemelteti, akkor a követelményeket a

szolgáltatónak kell biztosítania.

3.12.4. Napló tárkapacitás A naplózásra kötelezettnek elegendő méretű tárkapacitást kell biztosítani, a biztonsági osztályba sorolásból

következő naplózási funkciók figyelembevételével. Naplózási hiba esetén riasztást kell küldeni a

meghatározott személyeknek vagy szerepköröknek, el kell végezni a meghatározott végrehajtandó

tevékenységeket, így például a rendszer leállítását, a legrégebbi naplóbejegyzések felülírását, a naplózási

folyamat leállítását.

3.12.5. Naplózási hiba kezelése Az elektronikus információs rendszernek naplózási hiba esetén riasztást kell küldeni a meghatározott

személyeknek vagy szerepköröknek, a naplózásra kötelezettnek el kell végezni szükséges végrehajtandó

tevékenységeket, így például a rendszer leállítását, a legrégebbi naplóbejegyzések felülírását, a naplózási

folyamat leállítását.

Az elektronikus információs rendszernek figyelmeztetni kell a meghatározott személyeket, szerepköröket

és helyszíneket, ha a lefoglalt naplózási tárhely eléri a beállított maximális naplózási tárhely előre

meghatározott részét, vagy ha a meghatározott, valós idejű riasztást igénylő hibaesemények listája szerint

valamely esemény megtörténik.

3.12.6. Naplóvizsgálat és jelentéskészítés A naplózásra kötelezett feladata rendszeresen felülvizsgálni és elemezni a naplóbejegyzéseket nem

megfelelő vagy szokatlan működésre utaló jelek keresése céljából, jelenteni ezeket a meghatározott

személyeknek vagy szerepköröknek. Automatikus mechanizmusokat kell használni a naplóbejegyzések

vizsgálatának, elemzésének és jelentésének átfogó folyamattá integrálására, amely a veszélyes vagy tiltott

Page 81: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 82/92

tevékenységekre és történésekre reagál. A teljes érintett szervezetre kiterjedő helyzetfelmérés érdekében

meg kell vizsgálni és összefüggésbe kell hozni a különböző adattárakban található naplóbejegyzéseket,.

3.12.7. Naplócsökkentés és jelentéskészítés A magas biztonsági követelményű elektronikus információs rendszernek lehetőséget kell biztosítani a

naplócsökkentésre és jelentés készítésére, amely támogatja az igény esetén végzendő naplóáttekintési,

naplóvizsgálati és jelentéskészítési követelményeket és a biztonsági eseményeket követő tényfeltáró

vizsgálatait. A rendszer nem változtathatja meg a naplóbejegyzések eredeti tartalmát és időrendjét.,

biztosítania kell a fontos naplóbejegyzések automatikus feldolgozását.

3.12.8. Időbélyegek A Hivatal belső rendszerórákat használ a naplóbejegyzések időbélyegeinek előállításához, időbélyegeket

rögzít a naplóbejegyzésekben a koordinált világidőhöz – úgynevezett UTC – vagy a Greenwichi

középidőhöz – úgynevezett GMT – rendelhető módon, szinkronizálni kell a rendszer belső rendszer órákat

a belső, illetve a külső időszolgáltatóval.

3.12.9. A naplóinformációk védelme Az elektronikus információs rendszernek meg kell védeni a naplóinformációt és a naplókezelő eszközöket

a jogosulatlan hozzáféréssel, módosítással és törléssel szemben.

A magas biztonsági követelményű elektronikus információs rendszernek naplóinformációinak kezelésére

csak a meghatározott, privilegizált felhasználók jogosultak.

3.12.11. A naplóbejegyzések megőrzése A biztonsági események utólagos kivizsgálása érdekében a naplóbejegyzéseket – amennyiben a

rendelkezésre álló tárhely lehetővé teszi – 90 napra, a mentéseit pedig 1 évig meg kell őrizni. Amennyiben

nem áll rendelkezésre megfelelő méretű tárhely az eseménynaplók 90 napig történő megőrzéséhez, úgy

az eseménynaplót a biztonságos működést nem veszélyeztető maximumban kell beállítani.

3.12.12. Naplógenerálás Olyan elektronikus információs rendszereket kell alkalmazni, melyek

a. biztosítják a naplóbejegyzések előállítási lehetőségét a 3.12.2. Naplózható események pontban

meghatározott naplózható eseményekre;

b. lehetővé teszik meghatározott személyeknek vagy szerepköröknek, hogy kiválasszák, hogy mely

naplózható események legyenek naplózva az információs rendszer egyes elemeire;

c. naplóbejegyzéseket állít elő a naplózható események pontban meghatározottak szerinti

eseményekre a naplóbejegyzések tartalma pontban meghatározott tartalommal.

3.13. RENDSZER- ÉS KOMMUNIKÁCIÓ VÉDELEM

3.13.1. Rendszer- és kommunikáció védelmi eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja, a meghatározott személyek vagy szerepkörök számára

kihirdeti a rendszer- és kommunikációvédelmi eljárásrendet, mely a rendszer- és kommunikációvédelmi

szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő.

Page 82: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 83/92

Ha a Hivatal az elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy

használja – részben vagy teljesen –, a rendszer- és kommunikáció védelmi követelményeket ezen elemek

és funkciók tekintetében kell teljesíteni.

A rendszer- és kommunikációvédelem megvalósítása során a Hivatal meghatározott céljai és

követelmények szerint jár el, alkalmazza a biztonságtervezési eljárásrendben foglaltakat, azokkal

összhangban fogalmazza meg követelményeit a rendszer- és kommunikációvédelem érdekében.

A szolgáltatónak gondoskodnia kell a biztosított szolgáltatás elvártak szerinti működéséről (a szolgáltatás

funkcióinak működését illetéktelen nem módosította, a szolgáltató felelősségi körébe eső beállításokat

illetéktelen nem állította át), ehhez kártékony szoftvereket és illetéktelenek általi behatolásokat elhárító

biztonsági határvédelmi megoldásokat, szükség esetén pedig a megfelelő incidenskezelési és analízisre

szolgáló eszközöket kell alkalmaznia.

A szolgáltató feladata (ahol értelmezhető): virtuális gépek alkalmazása esetén a virtuális gépek más gépek

felől, a fizikai hosztról és hálózat felől érkező támadások elleni védelmét, nyomon kell követnie a hálózati

erőforrásokhoz, alkalmazásokhoz és adatokhoz való hozzáféréseket. Az alkalmazási szintig elérő

sebezhetőség esetén az alkalmazás-specifikus védelmi megoldásokat is biztosítani kell (pl.

levelezőprogram, spamszűrő, böngésző biztonsági frissítése). A hálózati erőforrásokhoz való

hozzáféréseket nyomon kell követnie, az alkalmazói szoftverek alatti rétegeket érintő sebezhetőségi

pontokat megfelelő eszközökkel védenie kell (tűzfalak, böngészők frissítése stb.). Biztosítani kell, hogy az

alkalmazás biztonságosan futtatható üzemmódra konfigurált legyen (pl. titkosítás kliens-szerver

kommunikációban), és integrálható legyen az alkalmazást igénybe vevő meglévő technikai biztonsági

intézkedéseivel (azonosítás, hitelesítés, engedélyezési folyamatok). Az erre szolgáló technikai eszközök a

széles körben használt szabványoknak megfelelőek legyenek (SSH, SFTP, SSL/TSL, Kerberos).

3.13.2. Alkalmazás szétválasztás Az elektronikus információs rendszernek el kell különíteni a felhasználók által elérhető funkcionalitást

(beleértve a felhasználói felület szolgáltatásokat) az elektronikus információs rendszer irányítási

funkcionalitásától.

3.13.4. Információmaradványok Az elektronikus információs rendszernek meg kell gátolnia a megosztott rendszererőforrások útján történő

jogosulatlan vagy véletlen információáramlást. Az üzemeltetőnek, szolgáltatónak eljárásokat kell

kidolgoznia a rendszerében tárolt adatok megbízható törlésére, ide értve a kérésre történő kérést vagy

egyéb, normál szolgáltatási munkamenetből eredő maradvány információk törlését (pl. ideiglenes fájlok,

megállapított metaadat őrzési idők lejárata utáni törlés).

3.13.5. Túlterhelés – szolgáltatás megtagadás alapú támadás – elleni védelem Az elektronikus információs rendszert védeni kell a túlterheléses (úgynevezett szolgáltatás megtagadás)

jellegű támadásokkal szemben, vagy korlátozni kell azok kihatásait a megtagadás jellegű támadások listája

alapján, a meghatározott biztonsági intézkedések bevezetésével.

Page 83: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 84/92

3.13.6. A határok védelme Az informatikai hálózati határvédelem során a Hivatal informatikai hálózatában az internetkijárat, valamint

minden külső, nem megbízhatónak ítélt hálózat felé történő kommunikáció során a belső hálózat és az ott

elhelyezkedő elektronikus információs rendszerek és adatok védelme érdekében biztonsági és védelmi

megoldásokat kell alkalmazni.

Gondoskodni kell a hálózat fizikai elemeinek védelméről, így különösen:

a. vezetékek és végpontok illetéktelenek általi hozzáférésének megakadályozásáról,

b. a vezeték nélküli kapcsolatok megfelelő titkosításáról,

c. az eszközhöz való illetéktelen hozzáférés megakadályozásáról

Az elektronikus információs rendszernek felügyelni és ellenőrzi kell a külső határain történő, valamint a

rendszer kulcsfontosságú belső határain történő kommunikációt. A nyilvánosan hozzáférhető

rendszerelemeket fizikailag vagy logikailag al-hálózatokban kell lehelyezni, elkülönítve a belső Hivatali

hálózattól. Az elektronikus információs rendszer csak a Hivatal biztonsági architektúrájával összhangban

elhelyezett határvédelmi eszközökön felügyelt interfészeken keresztül kapcsolódhat külső hálózatokhoz

vagy külső elektronikus információs rendszerekhez.

Mind a belső, mind a külső hálózati szolgáltatókhoz történő hozzáférést a következő módon kell ellenőrizni:

a. megfelelő interfészt kell alkalmazni a Hivatal és más szervezet tulajdonában lévő, vagy nyilvános

hálózat között;

b. a felhasználókat jelszóval megfelelően hitelesíteni kell;

c. ellenőrizni kell a felhasználók információszolgáltatáshoz való hozzáférését.

A Hivatal belső hálózatáról Internet kapcsolat kizárólag jóváhagyott tűzfalakon keresztül létesíthető.

Biztosítani kell, hogy a Hivatal elektronikus információs rendszerei alapértelmezés szerint ne legyenek

elérhetők az Internet felől. Amelyeknél az Internet felöli hozzáférés szükséges igény, ott kizárólag

biztonságos és ellenőrzött kapcsolaton keresztül történhet hozzáférés.

Minden Internet elérést naplózni kell, annak érdekében, hogy kellő mennyiségű információt lehessen

összegyűjteni a szabálytalan internetes tevékenységek detektálása és kiderítése érdekében.

A felhasználóknak tilos az Internet felhasználási szabályait és biztonsági beállításait megváltoztatni, illetve

megkerülni.

A rendszergazda köteles rendszeresen ellenőrizni, hogy a felhasználók számára biztosított az Internet

elérést lehetővé tevő szoftverek mentesek a komolyabb biztonsági hibáktól.

3.13.7. Az adatátvitel bizalmassága Az elektronikus információs rendszernek meg kell védenie a továbbított információk bizalmasságát.

A szolgáltatónak kell gondoskodni a kommunikációs csatornán átfolyó, illetve tárolt adatok illetéktelenek

általi megismerése elleni védelméről. Az erre alkalmazott technolódiának meg kell felelni a legszélesebb

körben alkalmazott módszereknek (SSH, SFTP, SSL/TLS, Kerberos).

Az elektronikus információs rendszernek kriptográfiai mechanizmusokat kell alkalmazni az adatátvitel során

az információk jogosulatlan felfedése ellen, kivéve, ha az átvitel más, meghatározott alternatív fizikai

ellenintézkedéssel védett.

Page 84: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 85/92

3.13.8. Az adatátvitel sértetlensége Az elektronikus információs rendszernek meg kell védenie a továbbított információk sértetlenségét,

kriptográfiai mechanizmusokat kell alkalmazni az adatátvitel során az információk megváltozásának

észlelésére, ha az átvitel nincsen más alternatív fizikai intézkedésekkel védve.

A szolgáltatónak kell gondoskodnia a kommunikációs csatornán átfolyó, illetve tárolt adatok illetéktelenek

általi módosítása elleni védelméről, a legszélesebb körben alkalmazott technológiákkal (SHA, CRC, Reed

– Solomon).

3.13.9. A hálózati kapcsolat megszakítása Az elektronikus információs rendszerek meg kell szakítania a hálózati kapcsolatot egy munkaszakaszra

épülő kétirányú adatcsere befejezésekor, meghatározott időtartamú inaktivitás után.

3.13.10. Kriptográfiai kulcs előállítása és kezelése A kriptográfiai eszközök bevezetése esetén ki kell dolgozni az eszközök biztonságos használatát garantáló

szabályozást, melynek a következőket kell tartalmaznia:

a. az eszközök védelmét biztosító előírások;

b. az eszközök felhasználására vonatkozó követelmények;

c. a kulcsok generálására, elosztására, tárolására és megsemmisítésére vonatkozó szabályok;

d. a rejtjelzett adatok visszaállításának szabályai és eljárásai azokra az esetekre, amikor a kulcs

megsérült vagy elveszett.

Titkosítás használata esetén a szolgáltatónak kriptográfiai kulcsok menedzselésére, védelmére, az

azokhoz való hozzáférési szabályokra vonatkozó eljárásrendet kell kidolgoznia és alkalmaznia, igazodva

az alkalmazott kulcsok jellegéből következő technikai követelményekhez (pl. nyilvános kulcsú titkosítás

esetén a kulcspároknak megfelelő kezelése, szimmetrikus kulcsú titkosításnál a kulcskiosztás

bizalmassága, az ezeket garantáló technikai eszközök igénybe vételével).

3.13.11. Kriptográfiai védelem A specifikus technológiára [például kriptográfia, nyilvános kulcsú infrastruktúrán (PKI) alapuló hitelesítési

eljárás] vonatkozó biztonsági intézkedések csak akkor alkalmazandók, ha ezeket a technológiákat

használják az elektronikus információs rendszerben, vagy előírják ezek használatát.

A szolgáltató, ha az szükséges, szabványos, egyéb jogszabályokban biztonságosnak minősített

kriptográfiai műveleteket valósít meg.

3.13.12. Együttműködésen alapuló számítástechnikai eszközök Az elektronikus információs rendszernek meg kell gátolnia az együttműködésen alapuló számítástechnikai

eszközök (pl. kamerák, mikrofonok) távoli aktiválását, kivéve, ha a Hivatal engedélyezte azt, és közvetlen

kijelzést nyújt a távoli aktivitásról azoknak a felhasználóknak, akik fizikailag jelen vannak az eszköznél.

3.13.13. Nyilvános kulcsú infrastruktúra tanúsítványok A nyilvános kulcsú tanúsítványokat a belső hitelesítési rend szerint kell kiállítani, vagy a nyilvános kulcsú

tanúsítványokat a Nemzeti Média- és Hírközlési Hatóság elektronikus aláírással kapcsolatos

nyilvántartásában szereplő hitelesítésszolgáltatótól kell beszerezni.

Page 85: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 86/92

3.13.14. Mobilkód korlátozása A kártékony kódok terjesztésére alkalmas mobilkódok korlátozására a 4-es és 5-ös biztonsági osztályú

elektronikus információs rendszerek környezetében a kártékony kódok terjesztésére alkalmas mobilkódok

korlátozására meg kell határozni az elfogadható és a nem elfogadható mobilkódokat és mobilkód

technológiákat, használati korlátozásokat kell bevezetni, megvalósítási útmutatót kell kibocsátani az

elfogadható mobilkódokra és mobilkód technológiákra, felügyelni és ellenőrzi kell a mobilkódok használatát

az elektronikus információs rendszeren belül.

Mivel a kódok hálózaton keresztül elérhetőek, letölthetőek és a telepítés felhasználói beavatkozás nélkül

végrehajtható a helyi rendszeren, ezért az alábbi mobilkódok nem engedélyezettek:

a. kód, amely szkripteket tartalmaz (JavaScript, VBScript),

b. Java (programozási nyelv) appletek,

c. ActiveX vezérlők,

d. Flash animációk,

e. makrók Microsoft Office dokumentumokba épülve.

3.13.15. Elektronikus Információs rendszeren keresztüli hangátvitel (úgynevezett VoIP) Az elektronikus információs rendszerben okozható károk felmérésére, megakadályozására a VoIP

technológiákhoz a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan

szükség esetén használati korlátozásokat kell bevezetni, megvalósítási útmutatót kell kiadni, felügyelni és

ellenőrzi kell a VoIP használatát az elektronikus információs rendszeren belül.

3.13.16. Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás) A magas biztonsági követelményű elektronikus információs rendszereknek a név/cím feloldási kérésekre

a hiteles adatokon kívül az információ eredetére és sértetlenségére vonatkozó kiegészítő adatokat is

biztosítani kell. Ha a rendszer egy elosztott, hierarchikus névtár részeként működik, akkor jelezni kell az

utódtartományok biztonsági állapotát is, és (ha azok támogatják a biztonságos feloldási szolgáltatásokat)

hitelesíteni az utód- és elődtartományok közötti bizalmi láncot.

3.13.17. Biztonságos név/cím feloldó szolgáltatás (un. rekurzív vagy gyorsító tárat használó feloldás) A magas biztonsági követelményű elektronikus információs rendszereknek eredethitelesítést és

adatsértetlenség ellenőrzést kell kérni és végrehajtani a hiteles forrásból származó név/cím feloldó

válaszokra.

3.13.18. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén Azok az elektronikus információs rendszereknek, amelyek együttesen biztosítanak név/cím feloldási

szolgáltatást a Hivatal számára, biztosítani kell a hibatűrést és belső/külső szerepkör szétválasztást kell

megvalósítaniuk.

Page 86: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 87/92

3.13.19. Munkaszakasz hitelessége Ha követelmény, akkor az elektronikus információs rendszer védje meg a munkaszakaszok hitelességét.

3.13.21. A maradvány információ védelme Ha követelmény, akkor az elektronikus információs rendszernek meg kell védeni a meghatározott

maradvány információk (pl.: átmeneti fájlok) bizalmasságát, sértetlenségét (pl. az ASP és anyakönyvi

szakrendszereket használó számítógépre/hálózatra vonatkozóan szükséges a szkennelt dokumentumok

és egyéb átmeneti fájlok ütemezett törlése).

3.13.22. A folyamatok elkülönítése Az elektronikus információs rendszernek elkülönített végrehajtási tartományt kell fenntartani minden

végrehajtó folyamatra.

Page 87: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 88/92

Alapfogalmak

adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az

emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas;

adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó

eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik;

adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a

műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve

hogy a technikai feladatot az adatokon végzik;

adatfeldolgozó: az a természetes személy, jogi személy, jogi személyiséggel nem rendelkező gazdasági

társaság vagy egyéni vállalkozó, aki/amely az adatkezelő részére adatfeldolgozást végez;

adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek

összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása,

megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy

összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának

megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas

fizikai jellemzők rögzítése;

adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet,

aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az

adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az

adatfeldolgozóval végrehajtatja;

adminisztratív védelem: a védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések,

továbbá a védelemre vonatkozó oktatás;

alapkonfiguráció (baseline): egy adott időpillanatban a konfigurációs elemek jellemzőinek és azok

kapcsolatának állapota, amely hivatkozási alapként felhasználható egy későbbi időpontban;

archiválás: a Hivatali alaptevékenység szempontjából lényeges azon információk és dokumentumok

tárolásának célját szolgálja, amelyekre a folyamatban lévő feladatok teljesítéséhez már nincs szükség, de

jogi követelmények miatt vagy más célokra bizonyos időpontig (tárolási időtartam) megőrzendők;

archivált adatok: információk és dokumentumok, amelyek archívumban kerültek elhelyezésre (Az archivált

adatokat időállóan és igazolhatóan, alkalmas technológiák segítségével kell tárolni, pl. elektronikus,

mágneses, optikai vagy kinyomtatott formában.);

archiválási rendszer: az archiváláshoz felhasznált, hardver- és szoftver-elemekből álló technikai rendszer;

auditálás: előírások teljesítésére vonatkozó megfelelőségi vizsgálat, ellenőrzés;

backup (adatmentés): az információknak az esetleges adatvesztéssel szembeni védelmét szolgáló

kiegészítő tároló közegen történő mentése (Ily módon biztosítja a backup az információk rendelkezésre

állását és integritását.);

bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot,

információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják

fel, illetve rendelkezhetnek a felhasználásáról;

biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az

elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz

elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága,

sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül;

biztonsági esemény kezelése: az elektronikus információs rendszerben bekövetkezett biztonsági esemény

dokumentálása, következményeinek felszámolása, a bekövetkezés okainak és felelőseinek megállapítása,

és a hasonló biztonsági események jövőbeni előfordulásának megakadályozása érdekében végzett

tervszerű tevékenység;

Page 88: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 89/92

biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége;

biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt

erősségének meghatározása;

biztonsági szint: a Hivatal felkészültsége az Ibtv. törvényben és a végrehajtására kiadott jogszabályokban

meghatározott biztonsági feladatok kezelésére;

biztonsági szintbe sorolás: a Hivatal felkészültségének meghatározása az e törvényben és a

végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére;

elektronikus információs rendszer (az Ibtv. alkalmazásában): az adatok, információk kezelésére használt

eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és

kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese;

elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota,

amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága,

sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek

sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal

arányos;

elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy:

állami és önkormányzati szervek esetében a szervezeti és működési szabályzat és a munkaköri leírások

alapján, az Ibtv. hatálya alá tartozó egyéb szervek esetében a munkaköri leírásban vagy egyéb módon a

feladatok ellátásával megbízott személy;

elektronikus információs rendszerek védelméért felelős vezető: az állami és önkormányzati szervek

esetében a szervezeti és működési szabályzat alapján, az Ibtv. hatálya alá tartozó egyéb szervek esetében

munkaköri leírásban vagy egyéb módon kijelölt vezető;

életciklus: az elektronikus információs rendszer tervezését, fejlesztését, üzemeltetését és megszüntetését

magába foglaló időtartam, az állapotváltozások meghatározott menete, amely jellemző az adott

konfigurációs elem típusra;

észlelés: a biztonsági esemény bekövetkezésének felismerése;

éves továbbképzés: az elektronikus információs rendszerek védelméért felelős vezető, az elektronikus

információs rendszer biztonságáért felelős személy és az elektronikus információs rendszer biztonságával

összefüggő feladatok ellátásában részt vevő személy iskolarendszeren kívüli továbbképzése;

felhasználó: egy adott elektronikus információs rendszert igénybe vevők köre;

felhasználó-felismerés: a felhasználó-felismerés a hálózatokon vagy alkalmazásokon belül a felhasználó

egyértelmű beazonosítására szolgál. A felhasználó-felismeréshez felhasználói jogok hozzárendelésére

kerül sor;

fenyegetés: olyan lehetséges művelet vagy esemény, amely sértheti az elektronikus információs rendszer

vagy az elektronikus információs rendszer elemei védettségét, biztonságát, továbbá olyan mulasztásos

cselekmény, amely sértheti az elektronikus információs rendszer védettségét, biztonságát;

fizikai védelem: a fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a

természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős

védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett

zavarvédelem, klimatizálás és a tűzvédelem;

folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló

védelem;

globális kibertér: a globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információs

rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi

és gazdasági folyamatok együttese;

Page 89: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 90/92

illegális szoftverhasználat: egy számítógépes program jogtalan lemásolása és használata - megsértve a

szerzői jogi törvényt, valamint a szerzőnek a szoftver licensz szerződésben leírt feltételeit (aki szoftvert

illegálisan használ, az a szerzői jogi törvény értelmében büntetőjogi törvénybe ütköző cselekedetet követ el);

információ: bizonyos tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott

megfigyelés, tapasztalat vagy ismeret, amely valakinek a tudását, ismeretkészletét, annak rendezettségét

megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságát csökkenti vagy megszünteti;

jogosultság, hozzáférési jogosultság: az informatikai rendszer védelmi mechanizmusainak azon eleme,

amely meghatározza, hogy a kezelésre jogosult egyed (személy, program, folyamat stb.) milyen erőforrást

(adatot, adathordozót, szolgáltatást, eszközt) milyen módon kezelhet (olvashat, írhat, módosíthat, törölhet,

használhat stb. illetve ezek kombinációja);

jogosulatlan másolás: a szoftver licensz szerződés, amennyiben eltérően nem rendelkezik, a vevőnek csak

egyetlen "biztonsági" másolat készítését engedélyezi, arra az esetre, ha az eredeti szoftver lemeze

meghibásodna, vagy megsemmisülne (Az eredeti szoftver bármely további másolása jogosulatlan

másolásnak minősül, és megsérti a szoftvert védő és használatát szabályozó licensz szerződést, valamint

a szerzői jogi törvényt.);

kiberbiztonság: a kibertérben létező kockázatok kezelésére alkalmazható politikai, jogi, gazdasági, oktatási

és tudatosságnövelő, valamint technikai eszközök folyamatos és tervszerű alkalmazása, amelyek a

kibertérben létező kockázatok elfogadható szintjét biztosítva a kiberteret megbízható környezetté alakítják

a társadalmi és gazdasági folyamatok zavartalan működéséhez és működtetéséhez;

kibervédelem: a kibertérből jelentkező fenyegetések elleni védelem, ideértve a saját kibertér képességek

megőrzését;

kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési

valószínűségének) és az ez által okozott kár nagyságának a függvénye;

kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének (gyenge

pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok

feltárása és értékelése;

kockázatkezelés: az elektronikus információs rendszerre ható kockázatok csökkentésére irányuló

intézkedésrendszer kidolgozása, intézkedések kiválasztására és végrehajtására a kockázat csökkentése

érdekében;

kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a

védelem költségei arányosak a fenyegetések által okozható károk értékével;

korai figyelmeztetés: valamely fenyegetés várható bekövetkezésének jelzése a fenyegetés bekövetkezése

előtt annyi idővel, hogy hatékony védelmi intézkedéseket lehessen hozni;

kritikus adat: az Infotv. szerinti személyes adat, különleges adat vagy valamely jogszabállyal védett adat;

létfontosságú információs rendszerelem: az európai vagy nemzeti létfontosságú rendszerelemmé a

létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény

alapján kijelölt létfontosságú rendszerelemek azon elektronikus információs létesítményei, eszközei vagy

szolgáltatásai, amelyek működésképtelenné válása vagy megsemmisülése az európai vagy nemzeti

létfontosságú rendszerelemmé kijelölt rendszerelemeket vagy azok részeit elérhetetlenné tenné, vagy

működőképességüket jelentősen csökkentené;

létfontosságú információs rendszerelem: az európai létfontosságú rendszerelemmé és a nemzeti

létfontosságú rendszerelemmé törvény alapján kijelölt létfontosságú rendszerelemek azon elektronikus

információs létesítményei, eszközei vagy szolgáltatásai, amelyek működésképtelenné válása vagy

megsemmisülése az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé

törvény alapján kijelölt létfontosságú rendszerelemeket vagy azok részeit elérhetetlenné tenné, vagy

működőképességüket jelentősen csökkentené;

Page 90: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 91/92

logikai védelem: az elektronikus információs rendszerben információtechnológiai eszközökkel és

eljárásokkal (programokkal, protokollokkal) kialakított védelem;

magas biztonsági követelményű elektronikus információs rendszerek: jelen Informatikai biztonsági

szabályzatban használt meghatározás szerint: 3-as vagy magasabb biztonsági osztályba sorolt

elektronikus információs rendszerek (nem jogszabályi definíció);

magyar kibertér: a globális kibertér elektronikus információs rendszereinek azon része, amelyek

Magyarországon találhatóak, valamint a globális kibertér elektronikus rendszerein keresztül adatok és

információk formájában megjelenő társadalmi és gazdasági folyamatok közül azok, amelyek

Magyarországon történnek vagy Magyarország felé irányulnak, illetve Magyarország érintett benne;

megelőzés: a fenyegetés hatása bekövetkezésének elkerülése;

megőrzési időtartam:az azon időtartam, amely azzal a nappal záródik le, amelyen a törvényi vagy egyéb,

a megőrzésre vonatkozó követelmény véget ér;

munkahely: a felhasználók által használt végponti készülék és mobil adathordozó;

reagálás: a bekövetkezett biztonsági esemény terjedésének megakadályozására vagy késleltetésére, a

további károk mérséklésére tett intézkedés;

rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult

személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;

sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az

elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az, az elvárt forrásból származik (hitelesség)

és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus

információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus

információs rendszer eleme rendeltetésének megfelelően használható;

sérülékenység: az elektronikus információs rendszer olyan része vagy tulajdonsága, amelyen keresztül

valamely fenyegetés megvalósulhat;

sérülékenység vizsgálat: az elektronikus információs rendszerek gyenge pontjainak (biztonsági rések) és

az ezeken keresztül fenyegető biztonsági eseményeknek a feltárása;

súlyos biztonsági esemény: olyan informatikai esemény, amely bekövetkezése esetén az állami működés

szempontjából kritikus adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, emberi életek

kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be, súlyos

bizalomvesztés következhet be az állammal vagy az érintett szervezettel szemben, alapvető emberi, vagy

a társadalom működése szempontjából kiemelt jogok sérülhetnek;

számítógépes eseménykezelő központ: az Európai Hálózat- és Információbiztonsági Ügynökség ajánlásai

szerint működő, számítástechnikai vészhelyzetekre reagáló egység, amely a nemzetközi

hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmére szakosodott szervezetekben

tagsággal és akkreditációval rendelkezik [(európai használatban: CSIRT (Computer Security Incident

Response Team), amerikai használatban: CERT (Computer Emergency Response Team)];

szellemi tulajdon: törvények szerint egy eredeti számítógépes program az azt létrehozó személy vagy

vállalat szellemi tulajdona és engedély nélküli másolásuk törvénybe ütköző cselekedet;

szoftver licensz szerződés: egy adott szoftver esetében a licensz szerződés határozza meg a szerzői jog

tulajdonosa által megengedett szoftverhasználat feltételeit (A szoftverhez adott licensz szerződésre külön

utalás történik a szoftver dokumentációjában, vagy a program indításakor megjelenő képernyőn is. A

szoftver ára tartalmazza a szoftver licenszét, és megfizetése kötelezi a vevőt, hogy a szoftvert kizárólag a

licensz szerződésben leírt feltételek szerint használja.);

tudás alapú hitelesítés: olyan hitelesítési eljárás, mód, mely során a felhasználó az általa mások előtt

titokban tartott ismeret alapján hitelesíti a rendszerben magát (például jelszó, PIN kód);

szervezet: az adatkezelést végző, illetve az adatfeldolgozást végző vagy végeztető jogi személy vagy

egyéni vállalkozó, valamint az üzemeltető;

Page 91: Mályi Polgármesteri Hivatalmalyi.hu/wp-content/uploads/2019/03/Informatikai-biztonsági-szabályzat.pdf · Informatikai Biztonsági Szabályzat; v1.1 2/92 Mályi Polgármesteri

Mályi Polgármesteri Hivatal

Informatikai Biztonsági Szabályzat; v1.1 92/92

teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;

üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus

információs rendszer vagy annak részei működtetését végzi és a működésért felelős;

üzemzavar: az a helyzet, amelyben az üzleti folyamatok és/vagy üzleti rendszerek nem az előirányzottak

szerint működnek. Az ebből adódó potenciális károk csekély mértékűek, mivel a feladat-teljesítés csak

lényegtelen mértékben sérül (pl. Üzemzavar a helyi IT rendszerek lokalizált olyan mértékű hibája, amelyet

a normál IT support a normál SLA időkön belül elhárítani képes. Az elhárítás ideje előre jelezhető és nem

igényli üzleti oldali kényszerintézkedések, speciális eljárások használatát.);

technikai számlák: a személyhez nem kötött felhasználó-felismeréseket technikai számláknak nevezzük.

Elsősorban olyan funkciók és feladatok számára kerülnek bevetésre, amelyek nem igénylik a mindenkori

felhasználó interaktív tevékenységét, hanem pl. az IT rendszerek közötti adatcseréhez szükségesek;

teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;

üzemeltető: az elektronikus információs rendszer vagy annak részeinek működtetését végzi;

válság: összetett és átláthatatlan helyzet rendkívül magas kárpotenciállal, amely a Hivatal létét

veszélyezteti. A meglévő vészhelyzeti tervek csak feltételesen hatékonyak. (A válság eseti, egyedi kezelést

és azonnali ad-hoc döntések meghozatalát követelheti a Hivatal vezetésének bevonásával.);

változat (variant): egy olyan konfigurációs elem, amely alapvetően egy adott konfigurációs elem szerint

épül fel, attól csak kis mértékben tér el.

védelmi feladatok: megelőzés és korai figyelmeztetés, észlelés, reagálás, eseménykezelés;

vészhelyzet: az IT folyamatok, eszközök vagy rendszerek nem az előírásoknak megfelelően működnek és

funkcióik nem állíthatóak helyre a szükséges időtartamon belül, és az ügymenet oly mértékben sérül, hogy

nagy kárszint állhat elő, a Hivatal alaptevékenységének végzése, azonban nem kerül veszélybe (pl.

üzemzavar elhárításának határideje nem látható előre, vagy a várható határidő túlmutat az SLA szerinti

vállaláson és az üzemzavar következtében a kár enyhítése üzleti oldali lépések megtételét, rendkívüli

intézkedéseket, vészhelyzeti forgatókönyvek aktiválását teszi szükségessé);

zárt célú elektronikus információs rendszer: jogszabályban meghatározott elkülönült nemzetbiztonsági,

honvédelmi, rendészeti, igazságszolgáltatási, külügyi feladatokat ellátó elektronikus információs,

informatikai vagy hírközlési rendszer;

zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem.