mályi polgármesteri...
TRANSCRIPT
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 2/92
Mályi Polgármesteri Hivatal jegyzője
1/2018. számú
JEGYZŐI UTASÍTÁS
Mályi Polgármesteri Hivatal
INFORMATIKAI BIZTONSÁGI
SZABÁLYZATA
3434 Mályi, Széchenyi utca 4. Tel.: 46/529-050
Dr. Zalkadi Adrienn jegyző
Dokumentum története
Verzió Készült (érvényesség)
Változás oka Jóváhagyta Hatálybalépés dátuma
1.1 2018.01.23 ASP működési rend szabályozása
Dr. Zalkadi Adrienn 2018.01.23
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 3/92
Tartalom Az Informatikai biztonsági szabályzat ............................................................................................................................ 7
Célok ..................................................................................................................................................................... 7
Felülvizsgálat ................................................................................................................................................................. 8
Hatály ..................................................................................................................................................................... 9
Hatásköri és illetékességi szabályok ........................................................................................................................... 10
Szerepkörök, tevékenységek, felelősségek ................................................................................................................. 10
Elektronikus információs rendszerek biztonsági osztályba sorolása, a Hivatal biztonsági szintje .............................. 16
ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK .......................................................................................................... 18
1.1. HIVATALI SZINTŰ ALAPFELADATOK ...................................................................................................... 18
1.1.1. Informatikai biztonsági szabályzat .............................................................................................................. 18
1.1.2. Az elektronikus információs rendszerek biztonságáért felelős személy...................................................... 18
1.1.3. Az intézkedési terv és mérföldkövei............................................................................................................ 19
1.1.4. Az elektronikus információs rendszerek nyilvántartása .............................................................................. 19
1.1.5. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás ............................................... 20
1.2. KOCKÁZATELEMZÉS ................................................................................................................................ 21
1.2.1. Kockázatelemzési és kockázatkezelési eljárásrend ................................................................................... 21
1.2.2. Biztonsági osztályba sorolás ...................................................................................................................... 22
1.2.3. Kockázatelemzés ....................................................................................................................................... 23
1.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS ....................................................................................... 27
1.3.1. Beszerzési eljárásrend ............................................................................................................................... 27
1.3.2. Erőforrás igény felmérés ............................................................................................................................. 27
1.3.3. Beszerzések ............................................................................................................................................... 27
1.3.4. Az elektronikus információs rendszerre vonatkozó dokumentáció ............................................................. 28
1.3.5. Biztonságtervezési elvek ............................................................................................................................ 29
1.3.6. Külső elektronikus információs rendszerek szolgáltatásai .......................................................................... 29
1.3.7. Független értékelők .................................................................................................................................... 29
1.3.8. Folyamatos ellenőrzés ................................................................................................................................ 29
1.4. ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE ............................................................. 30
1.4.1. Ügymenet-folytonosságra vonatkozó eljárásrend ....................................................................................... 30
1.4.2. Ügymenet-folytonossági terv informatikai erőforrás kiesésekre .................................................................. 30
1.4.3. A folyamatos működésre felkészítő képzés ................................................................................................ 31
1.4.4. Az üzletmenet folytonossági terv tesztelése ............................................................................................... 31
1.4.5. Biztonsági tárolási helyszín ........................................................................................................................ 32
1.4.6. Tartalék feldolgozási helyszín ..................................................................................................................... 32
1.4.7. Infokommunikációs szolgáltatások ............................................................................................................. 32
1.4.8. Az elektronikus információs rendszer mentései .......................................................................................... 33
1.4.9. Az elektronikus információs rendszer helyreállítása és újraindítása ........................................................... 34
1.5. A BIZTONSÁGI ESEMÉNYEK KEZELÉSE ................................................................................................ 34
1.5.1. Biztonsági eseménykezelési eljárásrend .................................................................................................... 34
1.5.4. A biztonsági események figyelése .............................................................................................................. 36
1.5.6. A biztonsági események jelentése ............................................................................................................. 36
1.5.7. Segítségnyújtás a biztonsági események kezeléséhez .............................................................................. 36
1.5.8. Biztonsági eseménykezelési terv ................................................................................................................ 37
1.5.9. Képzés a biztonsági események kezelésére ............................................................................................. 37
1.6. EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ - SZEMÉLY - BIZTONSÁG ............................................... 38
1.6.1. Személybiztonsági eljárásrend ................................................................................................................... 38
1.6.2. Munkakörök, feladatok biztonsági szempontú besorolása.......................................................................... 38
1.6.3. A személyek ellenőrzése ............................................................................................................................ 39
1.6.4. Eljárás a jogviszony megszűnésekor .......................................................................................................... 39
1.6.5. Az áthelyezések, átirányítások és kirendelések kezelése .......................................................................... 41
1.6.6. A Hivatallal szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények ..................... 41
1.6.7. Fegyelmi intézkedések ............................................................................................................................... 43
1.6.8. Belső egyeztetés ........................................................................................................................................ 43
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 4/92
1.6.9. Viselkedési szabályok az interneten ........................................................................................................... 43
1.7. TUDATOSSÁG ÉS KÉPZÉS ...................................................................................................................... 45
1.7.1. Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével,
és az e célt szolgáló ágazati szervezetekkel ................................................................................................. 45
1.7.2. Képzési eljárásrend .................................................................................................................................... 45
1.7.3. Biztonság tudatosság képzés ..................................................................................................................... 45
1.7.4. Belső fenyegetés ........................................................................................................................................ 47
1.7.5. Szerepkör, vagy feladat alapú biztonsági képzés ....................................................................................... 47
1.7.6. A biztonsági képzésre vonatkozó dokumentációk ...................................................................................... 48
FIZIKAI VÉDELMI INTÉZKEDÉSEK ........................................................................................................................... 49
2.1. FIZIKAI ÉS KÖRNYEZETI VÉDELEM ........................................................................................................ 49
2.1.2. Fizikai védelmi eljárásrend ......................................................................................................................... 49
2.1.3. Fizikai belépési engedélyek ........................................................................................................................ 50
2.1.4. A fizikai belépés ellenőrzése ...................................................................................................................... 50
2.1.5. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz .......................................................................... 50
2.1.6. A kimeneti eszközök hozzáférés ellenőrzése ............................................................................................. 51
2.1.7. A fizikai hozzáférések felügyelete ............................................................................................................... 51
2.1.8. A látogatók ellenőrzése .............................................................................................................................. 51
2.1.9. Áramellátó berendezések és kábelezés ..................................................................................................... 51
2.1.10. Vészkikapcsolás ......................................................................................................................................... 52
2.1.11. Vészvilágítás .............................................................................................................................................. 52
2.1.12. Tűzvédelem ................................................................................................................................................ 52
2.1.13. Hőmérséklet és páratartalom ellenőrzés .................................................................................................... 52
2.1.14. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem ...................................................... 52
2.1.15. Be- és kiszállítás ......................................................................................................................................... 52
2.1.16. Az elektronikus információs rendszer elemeinek elhelyezése .................................................................... 53
2.1.17. Ellenőrzés ................................................................................................................................................... 54
2.1.19. Karbantartók ............................................................................................................................................... 54
LOGIKAI VÉDELMI INTÉZKEDÉSEK ......................................................................................................................... 55
3.1. ÁLTALÁNOS VÉDELMI INTÉZKEDÉSEK .................................................................................................. 55
3.1.1. Engedélyezés ............................................................................................................................................. 55
3.1.3. Az elektronikus információs rendszer kapcsolódásai.................................................................................. 55
3.1.4. Személybiztonság ...................................................................................................................................... 55
3.2. TERVEZÉS ................................................................................................................................................. 56
3.2.1. Biztonságtervezési szabályzat .................................................................................................................... 56
3.2.2. Rendszerbiztonsági terv ............................................................................................................................. 56
3.2.3. Cselekvési terv ........................................................................................................................................... 56
3.2.4. Személyi biztonság ..................................................................................................................................... 57
3.2.5. Információbiztonsági architektúra leírás ..................................................................................................... 57
3.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS ....................................................................................... 58
3.3.2. A rendszer fejlesztési életciklusa ................................................................................................................ 58
3.3.3. Funkciók, portok, protokollok, szolgáltatások ............................................................................................. 58
3.3.4. Fejlesztői változáskövetés .......................................................................................................................... 58
3.3.5. Fejlesztői biztonsági tesztelés .................................................................................................................... 59
3.4. BIZTONSÁGI ELEMZÉS ............................................................................................................................ 59
3.4.1. Biztonságelemzési eljárásrend ................................................................................................................... 59
3.4.2. Biztonsági értékelések ................................................................................................................................ 59
3.4.3. Speciális értékelés ...................................................................................................................................... 60
3.4.4. A biztonsági teljesítmény mérése ............................................................................................................... 60
3.5. TESZTELÉS, KÉPZÉS ÉS FELÜGYELET ................................................................................................. 60
3.5.1. Tesztelési, képzési és felügyeleti eljárások ................................................................................................ 60
3.5.2. A biztonsági teljesítmény mérése ............................................................................................................... 60
3.3.3. Sérülékenység teszt ................................................................................................................................... 60
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 5/92
3.6. KONFIGURÁCIÓKEZELÉS ........................................................................................................................ 61
3.6.1. Konfigurációkezelési eljárásrend ................................................................................................................ 61
3.6.2. Alap konfiguráció ........................................................................................................................................ 61
3.6.3. A konfigurációváltozások felügyelete (változáskezelés) ............................................................................. 62
3.6.4. Biztonsági hatásvizsgálat ........................................................................................................................... 63
3.6.5. A változtatásokra vonatkozó hozzáférés korlátozások ............................................................................... 63
3.6.6. Konfigurációs beállítások ............................................................................................................................ 63
3.6.7. Legszűkebb funkcionalitás .......................................................................................................................... 63
3.6.8. Elektronikus információs rendszerelem leltár ............................................................................................. 63
3.6.9. Konfigurációkezelési terv ............................................................................................................................ 64
3.6.10. A szoftver használat korlátozásai ............................................................................................................... 64
3.6.11. A felhasználó által telepített szoftverek....................................................................................................... 65
3.7. KARBANTARTÁS ....................................................................................................................................... 65
3.7.1. Rendszer karbantartási eljárásrend ............................................................................................................ 65
3.7.2. Rendszeres karbantartás ............................................................................................................................ 65
3.7.3. Karbantartási eszközök .............................................................................................................................. 66
3.7.4. Távoli karbantartás ..................................................................................................................................... 66
3.8. ADATHORDOZÓK VÉDELME ................................................................................................................... 66
3.8.1. Adathordozók védelmére vonatkozó eljárásrend ........................................................................................ 66
3.8.2. Hozzáférés az adathordozókhoz ................................................................................................................ 67
3.8.3. Adathordozók címkézése ........................................................................................................................... 67
3.8.4. Adathordozók tárolása ................................................................................................................................ 67
3.8.5. Adathordozók szállítása .............................................................................................................................. 67
3.8.6. Adathordozók törlése .................................................................................................................................. 67
3.8.7. Adathordozók használata ........................................................................................................................... 68
3.9. AZONOSÍTÁS ÉS HITELESÍTÉS ............................................................................................................... 68
3.9.1. Azonosítási és hitelesítési eljárásrend ........................................................................................................ 68
3.9.2. Azonosítás és hitelesítés (hivatalon belüli felhasználók) ............................................................................ 68
3.9.3. Eszközök azonosítása és hitelesítése ........................................................................................................ 68
3.9.4. Azonosító kezelés ...................................................................................................................................... 68
3.9.5. A hitelesítésre szolgáló eszközök kezelése ................................................................................................ 69
3.9.6. A hitelesítésre szolgáló eszköz visszacsatolása ......................................................................................... 70
3.9.7. Hitelesítés kriptográfiai modul esetén ......................................................................................................... 71
3.9.8. Azonosítás és hitelesítés (hivatalon kívüli felhasználók) ............................................................................ 71
3.10. HOZZÁFÉRÉS ELLENŐRZÉSE ................................................................................................................ 71
3.10.1. Hozzáférés ellenőrzési eljárásrend ............................................................................................................. 71
3.10.2. Felhasználói fiókok kezelése ...................................................................................................................... 72
3.10.3. Hozzáférés ellenőrzés érvényesítése ......................................................................................................... 72
3.10.4. Információáramlás ellenőrzés érvényesítése .............................................................................................. 73
3.10.5. A felelősségek szétválasztása .................................................................................................................... 73
3.10.6. Legkisebb jogosultság elve ......................................................................................................................... 73
3.10.7. Sikertelen bejelentkezési kísérletek ............................................................................................................ 73
3.10.8. A rendszerhasználat jelzése ....................................................................................................................... 73
3.10.10. A munkaszakasz zárolása .......................................................................................................................... 74
3.10.11. A munkaszakasz lezárása .......................................................................................................................... 74
3.10.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek .............................................................. 74
3.10.13. Távoli hozzáférés ....................................................................................................................................... 74
3.10.14. Vezeték nélküli hozzáférés ......................................................................................................................... 75
3.10.15. Mobil eszközök hozzáférés ellenőrzése ..................................................................................................... 75
3.10.16. Külső elektronikus információs rendszerek használata .............................................................................. 75
3.10.17. Információ megosztás................................................................................................................................. 76
3.10.18. Nyilvánosan elérhető tartalom .................................................................................................................... 76
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 6/92
3.11. RENDSZER- ÉS INFORMÁCIÓ SÉRTETLENSÉG.................................................................................... 76
3.11.2. Rendszer- és információsértetlenségre vonatkozó eljárásrend .................................................................. 76
3.11.3. Hibajavítás .................................................................................................................................................. 76
3.11.4. Kártékony kódok elleni védelem ................................................................................................................. 77
3.11.5. Az elektronikus információs rendszer felügyelete ....................................................................................... 78
3.11.6. Biztonsági riasztások és tájékoztatások ..................................................................................................... 78
3.11.8. Szoftver és információ sértetlenség ............................................................................................................ 79
3.11.9. Kéretlen üzenetek elleni védelem ............................................................................................................... 79
3.11.10. Bemeneti információ ellenőrzés .................................................................................................................. 79
3.11.11. Hibakezelés ................................................................................................................................................ 79
3.11.12. A kimeneti információ kezelése és megőrzése ........................................................................................... 79
3.11.13. Memória védelem ....................................................................................................................................... 79
3.12. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG .............................................................................................. 80
3.12.1. Naplózási eljárásrend ................................................................................................................................. 80
3.12.2. Naplózható események .............................................................................................................................. 80
3.12.3. Naplóbejegyzések tartalma ........................................................................................................................ 81
3.12.4. Napló tárkapacitás ...................................................................................................................................... 81
3.12.5. Naplózási hiba kezelése ............................................................................................................................. 81
3.12.6. Naplóvizsgálat és jelentéskészítés ............................................................................................................. 81
3.12.7. Naplócsökkentés és jelentéskészítés ......................................................................................................... 82
3.12.8. Időbélyegek ................................................................................................................................................ 82
3.12.9. A naplóinformációk védelme ....................................................................................................................... 82
3.12.11. A naplóbejegyzések megőrzése ................................................................................................................. 82
3.12.12. Naplógenerálás .......................................................................................................................................... 82
3.13. RENDSZER- ÉS KOMMUNIKÁCIÓ VÉDELEM ......................................................................................... 82
3.13.1. Rendszer- és kommunikáció védelmi eljárásrend ...................................................................................... 82
3.13.2. Alkalmazás szétválasztás ........................................................................................................................... 83
3.13.4. Információmaradványok ............................................................................................................................. 83
3.13.5. Túlterhelés – szolgáltatás megtagadás alapú támadás – elleni védelem ................................................... 83
3.13.6. A határok védelme ...................................................................................................................................... 84
3.13.7. Az adatátvitel bizalmassága ....................................................................................................................... 84
3.13.8. Az adatátvitel sértetlensége ........................................................................................................................ 85
3.13.9. A hálózati kapcsolat megszakítása ............................................................................................................. 85
3.13.10. Kriptográfiai kulcs előállítása és kezelése .................................................................................................. 85
3.13.11. Kriptográfiai védelem .................................................................................................................................. 85
3.13.12. Együttműködésen alapuló számítástechnikai eszközök ............................................................................. 85
3.13.13. Nyilvános kulcsú infrastruktúra tanúsítványok ............................................................................................ 85
3.13.14. Mobilkód korlátozása .................................................................................................................................. 86
3.13.15. Elektronikus Információs rendszeren keresztüli hangátvitel (úgynevezett VoIP) ........................................ 86
3.13.16. Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás) ................................................... 86
3.13.17. Biztonságos név/cím feloldó szolgáltatás (un. rekurzív vagy gyorsító tárat használó feloldás) .................. 86
3.13.18. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén ................................................................ 86
3.13.19. Munkaszakasz hitelessége ......................................................................................................................... 87
3.13.21. A maradvány információ védelme .............................................................................................................. 87
3.13.22. A folyamatok elkülönítése ........................................................................................................................... 87
Alapfogalmak ............................................................................................................................................................... 88
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 7/92
Az Informatikai biztonsági szabályzat
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013 évi L. törvényben (a
továbbiakban Ibtv.) kapott felhatalmazás alapján a Mályi Polgármesteri Hivatal (továbbiakban Hivatal)
Informatikai biztonsági szabályzatát az alábbiakban határozza meg.
- meghatározza a célokat, a szabályzat tárgyi és személyi hatályát;
- az elektronikus információbiztonsággal kapcsolatos szerepköröket;
- a szerepkörhöz rendelt tevékenységet;
- a tevékenységhez kapcsolódó felelősséget;
- az információbiztonság hivatalrendszerének belső együttműködését
- az elektronikus rendszerbiztonsággal kapcsolatos főbb területeket.
A szabályzatnak összhangban kell lenni a hatályos jogszabályokkal, köztük az alábbiakkal:
- az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.
törvénnyel,
- az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.
törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs
eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó
követelményekről szóló 41/2015. (VII. 15.) BM rendelet
- az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelettel,
- Magyarország helyi önkormányzatairól szóló 2011. évi CLXXXIX. törvénnyel.
Az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet értelmében a Hivatalnak
csatlakoznia kell az önkormányzati ASP rendszer szakrendszereihez. A csatlakozás egyik feltétele, hogy
a Hivatal teljesíti az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi
L. törvényben (továbbiakban: Ibtv.) meghatározott követelményeket.
Mivel az ASP nem tartozik a hivatal saját hatókörébe, így az azzal kapcsolatos biztonsági követelmények
megoszlanak a Hivatal és a szolgáltató/üzemeltető között.
A Hivatallal szemben elvárt követelményekkel kapcsolatban figyelembe kell venni a Magyar Állam Kincstár
tájékoztatóit (pl. Tájékoztatás az önkormányzati ASP rendszerekhez csatlakozáshoz megvalósítandó
informatikai biztonsági követelményekről). A Tájékoztató tartalmazza azokat a követelményeket, amelyeket
kötelező jelleggel kell megvalósítania az ASP-hez történő csatlakozással. Ennek megfelelően jelen
Informatikai biztonsági szabályzat az ASP csatlakozási projekt kapcsán kapott információk birtokában
került felülvizsgálatra/elkészítésre. A jogszabály elvárja az önkormányzati ASP-hez történő csatlakozás
után a szabályzat és az eljárásrendek szükség szerinti felülvizsgálatát, ismételt kihirdetését.
Célok
Az Informatikai biztonsági szabályzat célja, hogy a Hivatal számára értéket képviselő információk
védelméről történő gondoskodást szabályozza. Az információ védelmének a célja, hogy biztosítsa az
információ
- rendelkezésre állását (ahol, és amikor kell, az információ elérhető legyen)
- sértetlenségét (az információ legyen hiteles és autentikus)
- bizalmasságát (csak az arra jogosultak jussanak hozzá az információhoz)
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 8/92
A szabályzat meghatározza az információk védelméhez szükséges felelősségeket, feladatokat,
folyamatokat és eljárásokat, valamint az általánosan betartandó informatikai üzemeltetési,
információkezelési és viselkedési szabályokat.
A szabályzatban szereplő követelményeket, rendelkezéseket és ajánlásokat a hatályos jogszabályok
keretei között kell használni.
A szabályozás célja a következő:
- a jogkövető magatartás és a jó hírnév érdekében védeni a szervezet értékeit,
- a tudatosság, a szervezettség, a hatékonyság és a technikai megoldások használata segítségével
növelni az információbiztonságot,
- a megelőzés, a tájékoztatás, az oktatás, a felderítés és a szankcionálás eszközeivel segíteni az
intézkedések érvényesítését.
Jelen szabályzat a Hivatal szervezeti szintű információbiztonsági szabályozó rendszerének egyik alapvető
eleme. A hatályos jogszabályokkal, a Hivatal működési és ügyrendi előírásaival összhangban megteremti
az elektronikus információs rendszerek és az azokban kezelt adatok biztonságát. Tartalmazza a Hivatal
elektronikus információs rendszereivel kapcsolatba kerülő személyek felé támasztott minimum információ-
biztonsági követelményeket, továbbá meghatározza azokat az elvárásokat, kötelezettségeket és a
felelősséget, amelyekre a biztonságos információellátás érdekében szükség van. Megfogalmazza azokat
a biztonsági követelményeket is, amelyeket az önkormányzati ASP-hez való csatlakozással teljesíteni
szükséges.
A Hivatal informatikai szolgáltatóival kötött szerződéseknek és azok mellékleteinek összhangban kell
lenniük jelen szabályzattal.
A célok elérése érdekében, az elektronikus információs rendszerek legmagasabb osztályba sorolt
értékének megfelelően további eljárásrendek, részletszabályozások elkészítését a Hivatal vezetője
rendelheti el, az elektronikus információs rendszerek biztonságáért felelős szakmai javaslatára.
A részletszabályozásokat az elektronikus információs rendszerek biztonságáért felelős vagy a Hivatal
vezetője által kijelölt személy készíti el, a rendszergazdával együttműködve, a Hivatal vezetője lépteti
hatályba.
A Hivatal informatikai szolgáltatóival kötött szolgáltatási szerződéseknek és azok mellékleteinek
összhangban kell lenniük jelen szabályzattal.
Felülvizsgálat
A Hivatal az Informatikai biztonsági szabályzatot és hivatkozott eljárásrendjét folyamatosan fejleszti és
tökéletesíti. A szabályzatot évente legalább egy alkalommal felül kell vizsgálni. A megfelelőségi vizsgálat
kiterjed a szabályzat végrehajtásának, valamint a felmerülő informatikai, információbiztonsági és
adatvédelmi eseményeknek és az ezekkel összefüggő biztonsági tevékenységeknek az ellenőrzésére.
A szabályzatot módosítani kell, ha a benne szereplő adatok megváltoztak, ha a Hivatal elektronikus
információs rendszereinek működésében vagy a Hivatal elektronikus információs rendszereinek
működését meghatározó jogszabályi környezetben változások következnek be. Módosítani kell továbbá az
elavult informatikai technológiai megoldások kivezetése, és az új technológiai újítások bevezetése során.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 9/92
A szabályzat felülvizsgálatának, módosításának kezdeményezése és a felülvizsgálat, valamint a módosítás
elvégzése az elektronikus információs rendszerek biztonságáért felelős személy vagy a Hivatal vezetője
által kijelölt személy feladata. A módosítások engedélyezése és az újabb változat jóváhagyása a Hivatal
vezetőjének hatásköre.
Hatály
Az Informatikai biztonsági szabályzat a Hivatal egészére vonatkozik, tárgyi hatálya kiterjed a Hivatal
birtokában levő összes olyan eszközre (például: hardver, szoftver és hálózati elemek, dokumentációk),
amelyek az alaprendeltetésből adódó, a Hivatal ügyviteli tevékenységével kapcsolatos feladatok ellátását
biztosítják. A tárgyi hatály alá esnek mindazon eszközök is, amelyek harmadik személyek birtokában
vannak ugyan, de a fenti tevékenységek ellátását biztosítják. E tárgyi hatályt a Hivatal szolgáltatói,
vállalkozási vagy megbízási szerződések keretében érvényesítik. A szabályzat rendelkezik a Hivatal
tevékenysége során feldolgozott, vagy azzal kapcsolatban keletkezett információk védelméről is, azok
sértetlenségének, hitelességének és rendelkezésre állásának biztosításával, a hatálya kiterjed a kezelt,
keletkezett információkra. A tárgyi hatály kiterjed azokra a hardver és szoftver elemekre, amely
felhasználja, feldolgozza, felügyeli, ellenőrzi, tárolja, továbbítja a Hivatalnál keletkező vagy felhasznált
adatokat, azaz a szakrendszerek használatához szükséges felhasználói (önkormányzati)
munkaállomásokra, szoftverekre, nyomatkészítő eszközökre, kártyaolvasóra, és minden olyan egyéb
eszközre, amely a munkavégzéshez szükséges, továbbá a rendszerelemek dokumentációira.
A szabályzat személyi hatálya kiterjed a Hivatal valamennyi, a Hivatal informatikai rendszeréhez
hozzáféréssel rendelkező munkatársára, szerződéses partnerére (a Hivatal munkavégzésre irányuló
bármely jogviszonyban álló természetes és jogi személyre), akik részt vesznek a Hivatalnál keletkező,
tárolt, illetve továbbított adatok kezelésében. Harmadik személyekkel szemben a Hivatal a személyi hatályt
szolgáltatói, vállalkozási vagy megbízási szerződések keretében érvényesíti.
A szabályzat szervezeti hatálya a Hivatal valamennyi olyan szervezeti egységére kiterjed, amely a Hivatal
elektronikus információs rendszereit használja, üzemelteti, fejleszti, továbbá ilyen tevékenységeket irányít
és ellenőriz. A szabályzat területi hatálya kiterjed a Mályi Polgármesteri Hivatalra, valamint a Szervezeti
és Működési Szabályzat szerinti, a 2013. évi L. törvény hatálya alá tartozó szervezeti egységeire, települési
és nemzetiségi önkormányzatokra.
Időbeni hatály: jelen Informatikai biztonsági szabályzat a kiadás napján lép hatályba, mellyel a korábbi
Informatikai biztonsági szabályzat hatályát veszti.
Jelen szabályzat egyes követelményeinek hatályba lépési időpontja megfelel az adott követelményre a
Hivatal Cselekvési tervében meghatározott határidőnek, összhangban a 2013. évi L. törvénnyel, a
törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre,
termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről
szóló 41/2015. (VII. 15.) BM rendelettel, a Hivatalra és az elektronikus információs rendszereire érvényes
biztonsági osztályhoz és szinthez előírt határidővel.
Új elektronikus információs rendszer bevezetése vagy már működő elektronikus információs rendszer
fejlesztése során megállapított biztonsági osztályhoz tartozó követelményeket a használatbavételig
teljesíteni kell.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 10/92
Hatásköri és illetékességi szabályok Az Informatikai biztonsági szabályzat és a kapcsolódó eljárásrendek, módszertanok, nyilvántartások
kizárólag a Hivatal belső használatú dokumentumai, amelyeket a Hivatal elektronikus információs
rendszerének felhasználói (a szabályzat személyi hatálya alá tartozók) kizárólag a rájuk vonatkozó
követelmény szerint megismerhetnek, de azokat illetékteleneknek nem adhatják tovább.
Szerepkörök, tevékenységek, felelősségek
A Mályi Polgármesteri Hivatal szervezeti szintű felépítését a Szervezeti és Működési Szabályzatban
(SzMSz) rögzíti. Az elektronikus információs rendszer biztonsága érdekében történő, a Hivatalon belüli
együttműködés jelen szabályzat tételes előírásain túl az érintett személyek önkéntes, szabálykövető
magatartásán és biztonságtudatos, proaktív viselkedésén is alapul.
Az egyes kontrollfolyamatokban kötelező együttműködési szabályokat az eljárásrendek vonatkozó
előírásai részletezik.
Általában minden érintett személy köteles:
- jelen szabályzat és kapcsolódó dokumentumok előírásait megismerni és magára nézve,
nyilatkozat keretében kötelezőnek elismerni,
- az információbiztonsági tárgyú belső képzéseken részt venni,
- személyét érintő biztonsági ellenőrzéseket, auditokat tűrni, azokban az ellenőrző személyek
kérése szerint részt venni,
- az általa biztonsági eseményként vélelmezett történéseket a felettes vezetőnek és/vagy az
Információbiztonsági felelős munkatárs felé jelenteni.
Az Információbiztonsági szabályzat (és kapcsolódó dokumentumai) előírásainak betartása, betartatása,
illetve a napi szintű munkavégzés során annak alkalmazása a dokumentum személyi hatálya pontban
megjelöltek számára kötelező. A szabályok be nem tartása jogi, munkaügyi, illetve szerződésben
meghatározott következményeket vonhat maga után. A szabályzat el nem olvasása nem mentesít a
felelősség alól.
A Hivatali munkavégzéshez szükséges elektronikus információs rendszereket csak a hozzáférési
jogosultság tudomásulvételét és a kapcsolódó szabályok megismerését igazoló nyilatkozat (Felhasználói
titoktartási nyilatkozat) aláírása után lehet használatba venni.
Az információbiztonság megvalósítása, fenntartása, fejlesztése és ellenőrzése érdekében a Hivatal a
feladatok és felelősségek tekintetében az alábbi szerepköröket azonosítja:
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 11/92
Szerepkör Főbb felelősségek, tevékenységek
az elektronikus
információs
rendszerek védelméért
felelős vezető
(a Hivatal vezetője,
a jegyző)
1. biztosítja az elektronikus információs rendszerre irányadó biztonsági osztály
tekintetében a jogszabályban meghatározott követelmények teljesülését,
2. biztosítja a szervezetre irányadó biztonsági szint tekintetében a jogszabályban
meghatározott követelmények teljesülését,
3. az elektronikus információs rendszer biztonságáért felelős személyt nevez ki
vagy bíz meg,
4. meghatározza a szervezet elektronikus információs rendszerei védelmének
felelőseire, feladataira és az ehhez szükséges hatáskörökre, felhasználókra
vonatkozó szabályokat, illetve kiadja az informatikai biztonsági szabályzatot,
5. gondoskodik az elektronikus információs rendszerek védelmi feladatainak és
felelősségi köreinek oktatásáról, saját maga és a szervezet munkatársai
információbiztonsági ismereteinek szinten tartásáról,
6. rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok
lefolytatása révén meggyőződik arról, hogy a szervezet elektronikus információs
rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak,
7. gondoskodik az elektronikus információs rendszer eseményeinek nyomon
követhetőségéről,
8. biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére
álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő
gyors és hatékony reagálásról, és ezt követően a biztonsági események
kezeléséről,
9. ha az elektronikus információs rendszer létrehozásában, üzemeltetésében,
auditálásában, karbantartásában vagy javításában közreműködőt vesz igénybe,
gondoskodik arról, hogy az e törvényben foglaltak szerződéses kötelemként
teljesüljenek,
10. ha a szervezet az adatkezelési vagy az adatfeldolgozási tevékenységhez
közreműködőt vesz igénybe, gondoskodik arról, hogy az e törvényben foglaltak
szerződéses kötelemként teljesüljenek,
11. felelős az érintetteknek a biztonsági eseményekről és a lehetséges
fenyegetésekről történő haladéktalan tájékoztatásáért,
12. megteszi az elektronikus információs rendszer védelme érdekében felmerülő
egyéb szükséges intézkedéseket,
13. a feladatokért a szervezet vezetője a 9. és l0. pontjában meghatározott esetben
is felelős, kivéve azokat az esetköröket, amikor jogszabály által kijelölt központi
adatkezelőt és adatfeldolgozó szolgáltatót kell a szervezetnek igénybe venni,
14. a jogszabály által kijelölt központi adatkezelő és adatfeldolgozó szolgáltató
igénybevétele esetén a feltételek teljesítését a jogszabály által kijelölt központi
adatkezelő és adatfeldolgozó szolgáltató úgy biztosítja, hogy közreműködik a
szervezet és az elektronikus információs rendszer biztonságáért felelős személy
feladatai ellátásában a jogkörébe tartozó tevékenységek tekintetében, a két
szervezet közötti feladatmegosztást kétoldalú szolgáltatási szerződések
biztosítják, amelyek a központi szolgáltató felett felügyeletet gyakorló miniszter
vagy megbízottja ellenjegyzésével lépnek hatályba,
15. együttműködik a hatósággal a hatóság feladatainak elvégzésében, ennek során
az Ibtv. 12. § alapján:
a) az elektronikus információs rendszer biztonságáért felelős személyről
tájékoztatást nyújt,
b) a szervezet Informatikai biztonsági szabályzatát tájékoztatás céljából
megküldi,
c) az ellenőrzés lefolytatásához szükséges feltételeket biztosítja a hatóság
részére.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 12/92
Szerepkör Főbb felelősségek, tevékenységek
az elektronikus
információs
rendszerek
biztonságáért felelős
személy (vállalkozási
szerződés alapján külső
szakértő)
1. feladata ellátása során a Hivatal vezetőjének közvetlenül adhat tájékoztatást,
jelentést,
2. felel a Hivatalnál előforduló valamennyi, az elektronikus információs rendszerek
védelméhez kapcsolódó feladat ellátásáért,
3. gondoskodik a Hivatal elektronikus információs rendszereinek biztonságával
összefüggő tevékenységek jogszabályokkal való összhangjának
megteremtéséről és fenntartásáról,
4. elvégzi vagy irányítja a 3. pont szerinti tevékenységek tervezését, szervezését,
koordinálását és ellenőrzését,
5. előkészíti a Hivatal elektronikus információs rendszereire vonatkozó informatikai
biztonsági szabályzatot, eljárásrendeket, terveket
6. előkészíti a Hivatal elektronikus információs rendszereinek biztonsági osztályba
sorolását és a szervezet biztonsági szintbe történő besorolását,
7. véleményezi az elektronikus információs rendszerek biztonsága szempontjából
a Hivatal e tárgykört érintő szabályzatait és szerződéseit,
8. kapcsolatot tart a hatósággal és a kormányzati eseménykezelő központtal,
9. a törvény hatálya alá tartozó bármely elektronikus információs rendszerét érintő
biztonsági eseményről a jogszabályban meghatározottak szerint tájékoztatni
köteles a jogszabályban meghatározott szervet,
10. biztosítja a törvényben meghatározott követelmények teljesülését a Hivatal
valamennyi elektronikus információs rendszerének a tervezésében,
fejlesztésében, létrehozásában, üzemeltetésében, auditálásában,
vizsgálatában, kockázatelemzésében és kockázatkezelésében,
karbantartásában vagy javításában közreműködők, ha a Hivatal az adatkezelési
vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe, a
közreműködők a törvény hatálya alá tartozó elektronikus információs rendszereit
érintő, biztonsággal összefüggő tevékenysége esetén.
11. a törvény szerinti feladatai és felelőssége a 10. pont szerinti esetekben más
személyre nem átruházható,
12. jogosult az 10. pont szerinti közreműködőktől a biztonsági követelmények
teljesülésével kapcsolatban tájékoztatást kérni. Ennek keretében a
követelményeknek való megfelelőség alátámasztásához szükséges bekérni a
közreműködői tevékenységgel kapcsolatos adatot, illetve az elektronikus
információs rendszerek biztonsága tárgyában keletkezett valamennyi
dokumentumot.
13. nyilvántartja az elektronikus információs rendszereket
14. nyilvántartást vezet a biztonsági incidensekről
15. nyilvántartást vezet az információbiztonsági és biztonsági eseménykezelési
oktatásokról
Elektronikus
információs rendszer
biztonságával
összefüggő feladatok
ellátásában részt vevő
személy
(az elektronikus
információs rendszer
biztonságáért felelős
személy)
1. Feladata az állami és önkormányzati szervek elektronikus
információbiztonságáról szóló 2013. évi L. törvényt kielégítő informatikai
biztonsági rendszerrel kapcsolatos, a jegyző és az elektronikus információs
rendszer biztonságáért felelős szakmai utasításainak megfelelő feladatok
elvégzése.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 13/92
Szerepkör Főbb felelősségek, tevékenységek
Megbízott szervezeti
egység vezető
(osztály/irodavezetők,
hiányukban a Hivatal
vezetője)
1. együttműködik az elektronikus információs rendszerek biztonságáért felelőssel,
az elektronikus információs rendszerhez hozzáférési jogosultságot igénylő
személyekkel, felhasználókkal szembeni elvárások, szabályok, felelősségek,
kötelező vagy tiltott tevékenységek, viselkedési szabályok meghatározásában.
2. gondoskodik arról, hogy a felelőssége alá tartozó szervezeti egység
munkatársai megismerjék és betartsák a rájuk vonatkozó információbiztonsági
követelményeket, szabályokat
3. közreműködik az elektronikus információs rendszerek biztonságáért felelős által
tartott előző pontban megjelölt követelmények teljesülésének ellenőrzése során,
4. saját és a felelőssége alá tartozó munkatársak információbiztonsági,
informatikai fennakadásról tett észrevételeit jelenti a rendszergazdának
Adatgazda
(szervezeti egység
vezető)
1. meghatározza a hatókörébe tartozó elektronikus információs rendszerekhez,
adatokhoz, tevékenységekhez hozzáférők körét,
2. engedélyezi a szükséges jogosultságokat a hatáskörébe tartozó elektronikus
információs rendszerek, adatok, tevékenységek tekintetében (nyilatkoztatást
követően),
3. a jogosultságok kiosztásánál törekedni kell a „legkisebb jogosultság” elvének
érvényesítésére, vagyis mindenki a munkája elvégzéséhez szükséges
jogosultságot kapja meg,
4. közreműködik az információbiztonsági kockázatok elemzésében.
Rendszergazda
(vállalkozási szerződés
alapján külső szakértő)
1. felelős az elektronikus információs rendszerek felügyeletéért, az alkalmazások,
a kiszolgálók és az alapszoftverek, az informatikai hálózat és a munkaállomások
működésének folyamatos figyelemmel kísérésért, az üzemeltetéshez szükséges
dokumentációk kidolgozásáért, a törvényi előírásoknak megfelelő
nyilvántartások vezetéséért és naprakészen tartásáért.
2. elvégzi és felügyeli az informatikai hálózat, számítógépek, eszközök biztonsági
beállításait (pl. operációs rendszer, router beállítások),
3. telepíti és felügyeli a Hivatal munkájához szükséges szoftvereket, a Hivatal
Szoftver Etikai Kódexében megfogalmazott elveknek megfelelően,
4. biztosítja a rendszerfelügyeletet, a felhasználói fiókok felügyeletét,
5. felügyeli a fizikai belépést ellenőrző eszközöket
6. az elektronikus információs rendszer biztonságáért felelős személlyel és az
adatgazdákkal együttműködve kialakítja és működteti az adatokhoz,
rendszerekhez való hozzáférési jogok rendszerét,
7. közreműködik az információbiztonsági felelőssel és az adatgazdákkal az
információbiztonsági kockázatok elemzésében,
8. elvégzik a logok elemzését és jelentést készít róla az elektronikus információs
rendszerek biztonságáért felelős felé
9. információbiztonsági incidens észlelése esetén haladéktalanul jelentést tesz az
elektronikus információs rendszerek biztonságáért felelős felé, a biztonsági
esemény elhárítását megkezdi, az eredményéről tájékoztatást nyújt az
érintetteknek
10. saját hatókörében rendszeres fizikai és logikai karbantartásokat végez és
dokumentál (karbantartásinapló),
11. az az elektronikus információs rendszer biztonságáért felelőssel közreműködve,
meghatározza az információbiztonsági követelmények megvalósításához
szükséges informatikai eszközöket,
12. elvégzi az időszakos mentéseket, szükség szerinti helyreállításokat,
visszaállítási teszteket és jegyzőkönyvezi azokat,
13. hiba esetén elvégzi vagy felügyeli az eszközök javítását (a szerződésnek/a
jegyző utasításának megfelelően vagy vele egyeztetve),
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 14/92
Szerepkör Főbb felelősségek, tevékenységek
14. közreműködik az elektronikus információs rendszer biztonságáért felelőssel a
BCP/DRP tervek kidolgozásában és megvalósításában,
15. kidolgozza a hatáskörébe tartozó üzemeltetési eljárásokat,
16. az elektronikus információs rendszer biztonságáért felelőssel egyeztetve vezeti
az Informatikai biztonsági szabályzatban előírt nyilvántartásokat, vagy számára
alap adatokat szolgáltat (a Hivatal vezetőjének utasítása szerint), pl.:
a) hardver/ szoftver nyilvántartás
b) alapkonfiguráció nyilvántartása
c) informatikai szolgáltatást nyújtó szerződött partnerek listája,
d) jogosultságok nyilvántartása (eszközökhöz, rendszerekhez, felhasználói
fiókok)
e) jogosultságigények nyilvántartása
f) hordozható eszközök listája, kiadott eszközök nyilvántartása
g) karbantartások naplózása, karbantartást végzők listája
h) szerverterembe történő belépés logolása
i) minden egyéb olyan nyilvántartás, amelyet az elektronikus információs
rendszer biztonságáért felelős vezető a hatókörében előír, pl.:
j) belépésre jogosultak listája (irodákba, hivatali helyiségekbe)
k) nyilvántartja a fizikai belépést ellenőrző eszközöket
Felhasználók
(a szabályzat személyi
hatálya alá tartozók a
közszolgálati
jogviszony, a
munkaviszony alapján
foglalkoztatott
munkatársak, a
Hivatallal szerződéses
kapcsolatban álló
természetes és jogi
személyek)
1. köteles az információbiztonsági szabályzatban rá vonatkozó szabályokat
megismerni, elolvasni
2. betartja végrehajtja az elektronikus információbiztonsági szabályokat,
utasításokat, magatartásával segíti a hatékony és biztonságos informatikai
biztonság megteremtését,
3. együttműködik a Hivatalt érintő információbiztonsági kérdéskörökben
felettesével és az elektronikus információs rendszerek biztonságáért felelőssel
4. haladéktalanul jelenti felettesének vagy a rendszergazdának, ha az informatikai
rendszerben fennakadást, leállást, zavart, jogosulatlan hozzáférést észlel, ha
információbiztonsági eseményt/incidenst észlel,
5. Információbiztonsági incidens esetén - ha az személyét érinti, vagy felettese
erre felkéri - együttműködik a kivizsgálásban,
6. bizalmasan kezeli felhasználói azonosítóját, jelszavait, védett zónákba belépést
biztosító kártyáit, kódjaikat,
7. köteles részt venni a Hivatalon belül szervezett információbiztonsági
oktatásokon, illetve a jegyző utasítása szerint más külső oktatásokon,
8. a birtokában lévő, vagy tudomására jutott információkat bizalmasan kezeli,
9. felelőséggel tartozik a munkavégzése során az elektronikus információs
rendszerben végzett feladatokért, a szakrendszerek szakszerű használatáért,
10. felelősséggel tartozik a munkavégzéséhez szükséges, számára kiadott
eszközök megfelelő fizikai, logikai védelméért,
11. elszámoltatható minden olyan tevékenységért, amelyet bárki a számára kiadott
azonosítói alapján végzett,
12. valamennyi üzemeltető, pl. az ASP központ működtetője által kiadott
felhasználói biztonsági követelményeket köteles követni és betartani,
13. megtagadhatja az utasítást, ha annak végrehajtása jogszabályba, az
informatikai biztonsággal kapcsolatos kiadott utasításba, szabályzatba ütközik,
vagy megítélése szerint veszélyeztetné az informatikai biztonságot,
14. köteles az utasítást adó figyelmét felhívni és egyben kérheti az utasítás írásba
foglalását, ha az, vagy annak végrehajtása jogszabályba vagy a kiadott
informatikai biztonsággal kapcsolatos utasításba ütközne, vagy teljesítése kárt
idézhet elő, és a felhasználó a következményekkel számolhat, vagy az utasítás
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 15/92
Szerepkör Főbb felelősségek, tevékenységek
az érintettek jogos érdekeit sérti. Az utasítást adó felettes az utasítás írásba
foglalását nem tagadhatja meg.
15. Az utasítástól való eltérést felettesének azonnal jelezni kell.
Weblap fejlesztő,
üzemeltető, tartalom
felelős
Weblap fejlesztő:
1. a mindenkori OWASP top 10-es sérülékenységek ellenőrzése, a
nyilvánosságra hozott hibák kijavítása, a weblap motor / telepített modulok
folyamatos ellenőrzése, frissítése
Üzemeltető:
1. a védekezés külső (belső) támadás ellen,
2. a használt szolgáltatások folyamatos frissítése karbantartása,
3. lehetőség szerint a szolgáltatások verziószámainak elrejtése
A tartalom felelős (Hivatal által kijelölt munkatárs):
1. a jogszabályi követelményeknek megfelelően a tartalom ellenőrzéséért felelős
által jóváhagyott tartalom feltöltési és karbantartási feladatok ellátása, a Hivatal
weboldalán elsősorban hírközlő, információs, tájékoztató jellegű adatok közlése
(a település bemutatása, aktuális hírek, információk közlése az állampolgárok
számára),
A tartalom ellenőrzéséért felelős (Hivatal által kijelölt vezető vagy munkatárs):
1. a tartalom feltöltése előtt átvizsgálja és rendszeres időközönként ellenőrzi a
nyilvánosan hozzáférhető elektronikus információs rendszertartalmat a nem
nyilvános információk tekintetében és eltávolíttatja azokat.
ASP Központ super
adminisztrátor
1. az önkormányzat által bérlő fiókonként, tenantonként kijelölt önkormányzati ASP
adminisztrátor (tenant adminisztrátor) felvétele, annak adminisztrációja és
karbantartása
ASP adminisztrátor
(tenant adminisztrátor)
1. az önkormányzati ASP adminisztrátor feladata a bérlő fiók, tenant
(önkormányzat, intézmény, nemzetiségi önkormányzat) szintű felhasználó
kezelés, azaz:
a) az adott tenant felhasználóinak felvétele és szakrendszeri
szerepkör(ök)höz rendelése, annak adminisztrációja és karbantartása,
b) intézményi kapcsolattartóként az adott tenant felhasználók tanúsítvány
igénylésének adminisztrációja és karbantartása, illetve a tanúsítványokat
hordozó tokenek csoportos átvétele és felhasználók közötti kiosztása,
2. az önkormányzat szakrendszeri adminisztrátor(ok) feladata a szakrendszer
szintű jogosultságkezelés, azaz a szolgáltatást igénybe vevő felhasználók
számára a szakrendszeri jogosultságok beállítása, adminisztrációja és
karbantartása.
Az információbiztonsággal kapcsolatos felelősségeket, tevékenységeket a munkaköri leírásokkal
összhangba kell hozni.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 16/92
Elektronikus információs rendszerek biztonsági osztályba sorolása, a Hivatal biztonsági szintje
A Hivatal az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L.
törvény 7. § (1) bekezdésében foglaltak alapján, valamint a törvényben meghatározott technológiai
biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és
biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII. 15.) BM rendelet 1. és 2. sz.
melléklete és a Kockázatkezelési eljárásrend alapján biztonsági osztályba kell, hogy sorolja saját
elektronikus információs rendszereit, meg kell állapítania a Hivatal elvárt és aktuális biztonsági szintjét.
Az elektronikus információs rendszerek biztonságáért felelős személy feladata, hogy a rendszerek
biztonsági osztályba sorolását elvégezze, a Hivatal biztonsági szintjét megállapítsa, Osztályba és szintbe
sorolás melléklet-ben, Rendszerbiztonsági tervben vagy egyéb dokumentumban rögzítse, szükség esetén
jelen Informatikai biztonsági szabályzatot aktualizálja, a hatósági adatszolgáltatást előkészítse és a jegyző
számára előterjessze. A biztonsági osztályba sorolást, a Hivatal vagy szervezeti egység biztonsági szintbe
sorolását, az Informatikai biztonsági szabályzatot a Hivatal vezetője hagyja jóvá, és felel annak a
jogszabályoknak és kockázatoknak való megfelelőségéért, a felhasznált adatok teljességéért és
időszerűségéért, gondoskodik a módosított szabályzat életbe léptetéséről, az elektronikus információs
rendszerek biztonságáért felelős személy közreműködésével az adatszolgáltatás teljesítéséről a Hatóság
(Nemzeti Kibervédelmi Intézet Nemzeti Elektronikus Információbiztonsági Hatóság) által előírt módon.
A biztonsági osztályba sorolás eredményét a kizárólag az érintettek és a Hatóság számára hozzáférhető
dokumentum, a [NEIH-OVI] Osztályba sorolás és védelmi intézkedés, a szintbe sorolás eredményét a
[NEIH-SZVI] Szintbe sorolás és védelmi intézkedés űrlapok (illetve XML állományok) tartalmazzák.
Az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet és Magyarország helyi
önkormányzatairól szóló 2011. évi CLXXXIX. törvény 114. §-a előírja az önkormányzat számára, hogy
csatlakozzon az állam által biztosított önkormányzati ASP rendszerhez, amely egy központi fejlesztésű,
üzemeltetésű és szolgáltatású elektronikus információs rendszer. A szolgáltatást a 257/2016 (VIII. 31.)
Korm. rendelet alapján a Magyar Államkincstár működteti, az önkormányzati ASP szakrendszereinek a
biztonsági osztályba sorolását a Magyar Államkincsár végzi, és arról a Hivatalnak tájékoztatást kell
küldenie. A Hivatalnak az önkormányzati ASP szakrendszereinek Magyar Államkincstár által megállapított
biztonsági osztályát meg kell jelenítenie a saját Informatikai biztonsági szabályzatában, ahol a
megállapításra került legmagasabb biztonsági osztályt kell alapul venni.
A 2013. évi L. törvény 9. § (4) bekezdésében foglaltak alapján a Hivatal biztonsági szintjének
meghatározását az elektronikus információs rendszer felhasználásának módja határozza meg,
jogszabályban meghatározott szempontok szerint (41/2015. (VII. 15.) BM rendelet 2. melléklet).
A biztonsági osztályba és szintbe sorolás eredményét új elektronikus információs rendszer be- és
kivezetésekor, vagy az azzal összefüggő adatkezelési célok jelentős változása esetén, az elektronikus
információs rendszer biztonságát érintő jogszabályban meghatározott változásakor, de legalább 3 évente
felül kell vizsgálni.
A besorolás alapján a 41/2015. (VII. 15.) BM rendeletben a Hivatalra és az elektronikus információs
rendszereire érvényes biztonsági osztályhoz és szinthez rendelt követelményeket és azok
megvalósításának módját a következő fejezet tartalmazza (adminisztratív, fizikai és logikai védelmi
intézkedések). Az intézkedések és sorszámaik a Hatósági elvárásoknak megfelelően megegyeznek a
rendelet követelményeivel.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 17/92
Ha a Hivatal az elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy
használja – részben vagy teljesen –, a rendeletben meghatározott követelményeket ezen elemek és
funkciók tekintetében kell teljesíteni. Ha az elektronikus információs rendszert több szervezet használja, az
elektronikus információs rendszer üzemeltetője az üzemeltetés elektronikus információbiztonságához
szükséges követelményeket az elektronikus információs rendszeren tevékenységet végző minden,
elektronikus információs rendszerrel rendelkező szervezet tekintetében érvényesíti.
A központi elektronikus információs rendszerek (pl. ASP) üzemeltetője és az elektronikus információs
rendszerrel rendelkező Hivatal az üzemeltetés elektronikus információbiztonságához szükséges
követelményeket az elektronikus információs rendszer üzemeltetésére kötött szerződésben rögzítik.
A Hivatal számára általános szerződési feltételek szerint egységes biztonsági megfelelőség van előírva,
amely minimalizálja a kliens oldali kockázatokat.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 18/92
ADMINISZTRATÍV VÉDELMI INTÉZKEDÉSEK
Az ebben a fejezetben leírt adminisztratív védelmi intézkedéseket egységesen, valamennyi elektronikus
információs rendszerre vonatkozóan kell megvalósítani.
1.1. HIVATALI SZINTŰ ALAPFELADATOK
1.1.1. Informatikai biztonsági szabályzat A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti jelen Informatikai biztonsági szabályzatát.
Jelen Informatikai biztonsági szabályzatot és eljárásrendet szükség szerint, de legalább évente egyszer az
informatika biztonsági rendszer felülvizsgálata során felülvizsgálja, szükség szerint módosítja.
Az informatikai biztonsági rendszer rendkívüli módosításakor vagy biztonsági esemény bekövetkeztekor a
szabályzatot újra vizsgálja, szükség szerinti módosítja. A módosítás az elektronikus információs
rendszerek biztonságáért felelős személy szakmai irányításával történik. A Hivatal vezetőjének feladata
biztosítani, hogy az Informatikai biztonsági szabályzat jogosulatlanok számára ne legyen megismerhető,
módosítható.
1.1.2. Az elektronikus információs rendszerek biztonságáért felelős személy A Hivatal vezetője az elektronikus információs rendszerek biztonságáért felelős személyt nevez ki vagy bíz
meg, aki: ellátja az állami és Hivatali szervek elektronikus információbiztonságáról szóló 2013. évi L.
törvényben meghatározott feladatokat (Ibtv. 13. §).
A Hivatal vezetője gondoskodik a biztonságért felelős személy képzettségéről, alvállalkozó esetén
szerződésben elvárja azt. Adatszolgáltatási kötelezettsége kiterjed a vonatkozó munka-, megbízási vagy
más szerződés hatóság felé megküldésére és a jogosultság igazolására.
Csak olyan személy végezheti az elektronikus információs rendszer biztonságáért felelős személy
feladatait, aki:
- büntetlen előéletű (a büntetlen előélet követelményének való megfelelést az elektronikus
információs rendszer biztonságáért felelős személy a szervezettel fennálló jogviszonya
keletkezését megelőzően köteles igazolni, a Hivatal vezetője kötelezheti, hogy a fennálló
jogviszonya alatt a büntetlen előélet követelményének való megfelelést igazolja).
- rendelkezik a feladatellátáshoz szükséges felsőfokú végzettséggel és szakképzettséggel, a
Nemzeti Közszolgálati Egyetem továbbképzésén, éves továbbképzésein részt vesz, az állami és
önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott
vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és
továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet alapján.
A 2013. évi L. törvény alapján az elektronikus információs rendszer biztonságáért felelős személy felel a
szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó
feladat ellátásáért. Az információbiztonság ellenőrzésével és irányításával kapcsolatos feladatait a
Szerepkörök, tevékenységek, felelősségek pont tartalmazza.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 19/92
Az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az
információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs
rendszerek meghatározásáról szóló 187/2015. (VII. 13.) Korm. rendelet 11. § alapján az elektronikus
információs rendszer biztonságáért felelős személy – ideértve az információbiztonsági szolgáltatást nyújtó
vállalkozás tagjait és alkalmazottait is – az érintett szervezet igényeihez igazodva és annak rendelkezése
szerint feladatát elláthatja:
a) részmunkaidőben,
b) a vonatkozó szerződésben meghatározott időtartamban, vagy
c) több érintett szervezetnél.
Az elektronikus információs rendszerek védelméért felelős személy az állami és önkormányzati szervek
elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus
információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló
26/2013. (X. 21.) KIM rendelet alapján képzésre és éves továbbképzésre kötelezett.
A Hivatal vezetője a Nemzeti Kibervédelmi Intézet Nemzeti Elektronikus Információbiztonsági Hatóság
számára, az Ibtv. 11. § (1) bekezdés c) pontjában meghatározott, az elektronikus információs rendszer
biztonságáért felelős személyről tájékoztatást nyújt.
1.1.3. Az intézkedési terv és mérföldkövei A Hivatal vezetője az informatikai biztonsági követelmények megvalósításához az Ibtv.-ben meghatározott
határidőkkel Intézkedési tervet (Cselekvési terv) készít, amennyiben a meghatározott biztonsági
osztálynál/szintnél hiányosságot állapít meg, ha valamely védelmi intézkedés nem valósul meg, vagy a
bevezetett kontroll hibás.
A Cselekvési tervet szükség szerint, de legalább évente egyszer az informatikai biztonsági rendszer
felülvizsgálata során (belső audit) felül kell vizsgálni, szükség szerint aktualizálni a kockázatkezelési
stratégia és a kockázatokra adott válaszok, tevékenységek prioritása alapján (jellemzően a nagy
kockázattal járó hiányosságokat kell előtérbe helyezni). Az informatikai biztonsági rendszer rendkívüli
módosításakor vagy biztonsági esemény bekövetkeztekor a Cselekvési tervet újra felül kell vizsgálni,
szükség szerinti módosítani. Ha az adott elektronikus információs rendszerére vonatkozó biztonsági
osztály meghatározásánál (belső vagy külső vizsgálat során) hiányosság kerül megállapításra, vagy a
meghatározott biztonsági szint alacsonyabb, mint az elvárt biztonsági szint akkor a Hivatal vezetője a
vizsgálatot követő 90 napon belül felülvizsgálatot készít, a hiányosság megszüntetése érdekében.
A kitűzött feladatok megvalósulását a Cselekvési tervben a Hivatal vezetője az elektronikus információs
rendszer biztonságáért felelős közreműködésével követi nyomon és dokumentálja. A jegyző feladata
biztosítani, hogy a Cselekvési tervben meghatározott intézkedéseket bevezesse, a terv jogosulatlanok
számára ne legyen megismerhető, módosítható.
1.1.4. Az elektronikus információs rendszerek nyilvántartása Az elektronikus információs rendszer biztonságáért felelősnek az elektronikus információs rendszerekről
nyilvántartást kell vezetni, azt szükség szerint aktualizálni.
A nyilvántartásnak tartalmaznia kell:
a. az információs rendszer alapfeladatait;
b. a rendszerek által biztosítandó szolgáltatásokat;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 20/92
c. az érintett rendszerekhez tartozó licenc számot (amennyiben azok a Hivatal kezelésében vannak);
d. a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatait;
e. a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatait,
valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek
személyazonosító és elérhetőségi adatait.
Az elektronikus rendszerek nyilvántartását egy korlátozottan, csak az érintetteknek hozzáférhető belső
dokumentumban vagy elektronikus nyilvántartásban kell kezelni.
1.1.5. Az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárás A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információbiztonsággal
kapcsolatos engedélyezési eljárási folyamatokat.
Az elektronikus információbiztonsággal kapcsolatos engedélyezés kiterjed minden, a Hivatal hatókörébe
tartozó:
- emberi, fizikai és logikai erőforrásra,
- eljárási és védelmi szintre és folyamatra
A fizikai és logikai jogosultságok engedélyezése az alábbiakat foglalja magába:
a. melyek a jogosultsággal rendelkező személyek felelősségei, velük szembeni szabályok,
követelmények
b. hogyan történik az elektronikus információs rendszerhez való hozzáférés engedélyezése,
jogosultság adás
c. melyek a rendszer jogosultsági szintjei (biztonsági zónák védelme, minimum jogosultság,
privilegizált, stb), mit tartalmaznak az egyes jogosultsági szintek
d. melyek a legkisebb jogosultság elve alapján, a jogosultsági körök
e. kik az elektronikus információs rendszerhez hozzáféréssel rendelkező személyek és milyen
jogosultságaik vannak, kik rendelkeznek/rendelkezhetnek privilegizált jogosultsággal
f. melyek azok a tevékenységek, amelyek az elektronikus információs rendszer használata során
engedélyezettek, illetve tiltottak
g. hogyan történik a jogosultsággal rendelkező személyek nyilatkoztatása (biztonsági szabályok és
kötelezettségek megismerése)
h. hogyan történik a jogosultság visszavonás
Ezek az engedélyezések a fizikai védelmi intézkedések és logikai védelmi intézkedések fejezet alatt
kerülnek részletezésre.
Ha a kockázatkezelés keretében, vezetői feladatszabás következtében vagy egyéb igény nyomán az
információbiztonsággal kapcsolatos folyamatok, eljárások és dokumentumok változtatása válik
szükségessé, a módosítást kezdeményező személy a javaslatot az Információbiztonsági felelős elé
terjeszti, aki – a javaslatok mérlegelése és elfogadása után – átvezeti a módosításokat a dokumentumokon.
Beszerzést, belső erőforrások átcsoportosítását igénylő, biztonsági osztályba és szintbe sorolás változását
jelentő módosítások jóváhagyása a Jegyző jogköre, ilyen esetekben az Információbiztonsági felelős az
előterjesztő.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 21/92
Az egyes dokumentumok változásának követése céljából valamennyi irat elején fel kell tüntetni a
változásokat nyilvántartó táblázatot a következő adattartalommal, :
- Verzió
- Készült (dátum)
- Változás oka
- Jóváhagyta
- Hatálybalépés dátuma
Hatósági engedélyezés szükséges, ha a Hivatal az elektronikus információs rendszerre a jogszabályi
alapértelmezettnél alacsonyabb biztonsági osztályt kíván megállapítani. A Hatóság felé írásbeli kérelmet
kell benyújtania, a kérelemhez csatolni kell az eltérő biztonsági osztályba sorolás alapjául szolgáló
kockázatelemzés dokumentációját.
Az Ibtv. 3. § (2) - (5) bekezdése lehetőséget ad arra, hogy a Hivatal egyes elektronikus információs
rendszereit Magyarország területén kívül üzemeltesse, illetve azokban külföldön végezzenek adatkezelést.
A Hivatal az adatkezelés kezdetét legalább 90 nappal megelőzően írásbeli kérelmet nyújthat be a
Hatóságnak. A kérelemhez csatolni kell:
a. az EGT tagállamaiban történő adatkezelés indokát,
b. az EGT tagállamaiban kezelt adatok és adatbázisok leírását,
c. azt, hogy az adatkezelő rendszer, valamint üzemeltetője nevesített-e, és az adatkezelés
jogszabályi megfeleléséért felelős személy neve, beosztása, elérhetősége ismert-e,
d. az adatkezelő rendszer technikai és technológiai leírását, ideértve a hardver- és
szoftverkomponenseket is,
e. az adatkezelő rendszer információbiztonságának ismertetését, a rendszerhez kapcsolódó, továbbá
az üzemeltetőre vonatkozó belső szabályozásokat és utasításokat,
f. a kötelezően lefolytatandó biztonsági rendszerfelülvizsgálat eredményét,
g. a magyar információvédelmi szabályok megtartásáról szóló üzemeltetői nyilatkozatot,
h. azt, hogy az üzemeltetés helyszínén illetékes hatóságok jogosultak-e a kezelt adatokba
betekinteni.
Nem szükséges a hatóság engedélye, ha a külföldi adatkezelést vagy üzemeltetést nemzetközi szerződés
írja elő.
1.2. KOCKÁZATELEMZÉS
1.2.1. Kockázatelemzési és kockázatkezelési eljárásrend A Hivatal vezetője a helyes módszertan szerinti kockázatkezelést és az ehhez kapcsolódó ellenőrzések
megvalósítását elősegítő eljárást Kockázatkezelési eljárásrendben határozza meg. A törvényi célok
teljesítése, a munkatársak, a lakosság és a partnerek bizalmának megtartása érdekében biztosítja az
információk kockázatarányos kezelését, ennek érdekében minden munkatárs számára tudatossá kell
válnia az információbiztonság fontosságának és a Hivatalnak ezen egységes értelmezése alapján kell
tevékenykednie az információbiztonság érdekében. Ez vonatkozik különösképpen az új, innovatív
informatikai technológiák hasznosítására. Valamennyi alapfeladatokat ellátandó terület saját felelősséggel
bír az általa hasznosított és feldolgozott információk biztonságáért és megfelelő védelméért azok értékének
és kockázatának megfelelően, ez a felelősség magában foglalja az egyes személyeknek az információk
használatával kapcsolatosan felmerülő elszámoltatási kötelezettségét is.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 22/92
1.2.2. Biztonsági osztályba sorolás A Hivatal annak érdekében, hogy az Ibtv. hatálya alá tartozó elektronikus információs rendszerek, valamint
az azokban kezelt adatok védelme a kockázatokkal arányosan biztosítható legyen - az elektronikus
információs rendszerek biztonságáért felelős személy irányításával - jogszabályban meghatározott
szempontok, kockázatelemzés alapján megvizsgálja (alvállalkozó igénybevétele esetén megvizsgáltatja)
elektronikus információs rendszereit és meghatározza, hogy azok melyik biztonsági osztályba sorolandók.
melynek eredményét a kizárólag az érintettek számára hozzáférhető Rendszerbiztonsági terv és a
rendszerenként a [NEIH-OVI] Osztályba sorolás és védelmi intézkedés űrlap-ok tartalmazzák.
A biztonsági osztályba sorolás alkalmával – az érintett elektronikus információs rendszer vagy az általa
kezelt adat bizalmasságának, sértetlenségének vagy rendelkezésre állásának kockázata alapján – 1-től 5-
ig számozott fokozatot kell alkalmazni, a számozás emelkedésével párhuzamosan szigorodó védelmi
előírásokkal együtt.
Az osztályba sorolás során figyelembe kell venni az adatkezelők által szolgáltatott adatokat, szükség
esetén a kockázatfelmérésért felelősnek kezdeményezni kell a kockázatkezelés elemeit képező védelmi
intézkedéseket érintő hatáskörök tisztázását.
Az elektronikus információs rendszer biztonsági osztálya alapján kell megvalósítani az előírt védelmi
intézkedéseket az adott elektronikus információs rendszerre vonatkozóan.
A jegyző a törvényben meghatározott feltételeknek megfelelő, az elektronikus információs rendszerre
irányadó biztonsági osztálynál magasabb, kivételes esetben a hatóság előzetes engedélyével,
kockázatokra kiterjedő indoklással ellátva alacsonyabb biztonsági osztályt is megállapíthat az elektronikus
információs rendszerre vonatkozóan.
A biztonsági osztályba és biztonsági szintbe sorolást legalább háromévenként vagy szükség esetén soron
kívül, dokumentált módon felül kell vizsgálni. A soron kívüli biztonsági osztályba és szintbe sorolást az
elektronikus információs rendszer biztonságát érintő jogszabályban meghatározott változás vagy új
elektronikus információs rendszer bevezetése esetén, ill. a szervezet státuszában, szervezetében, ill. az
általa kezelt vagy feldolgozott adatok vonatkozásában bekövetkezett változás esetén szükséges elvégezni.
Az elektronikus információs rendszerek biztonságáért felelős személy vagy a Hivatal vezetője által
megbízott személy feladata, hogy a rendszerek biztonsági osztályba sorolását elvégezze, a Hivatal és
szervezeti egységeinek biztonsági szintjét megállapítsa, Osztályba és szintbe sorolás melléklet-ben,
Rendszerbiztonsági tervben vagy egyéb dokumentumban rögzítse, szükség esetén jelen Informatikai
biztonsági szabályzatot aktualizálja, a hatósági adatszolgáltatást előkészítse és a jegyző számára
előterjessze.
A Hivatal és szervezeti egységei által használt informatikai rendszerek biztonsági osztályba sorolásait, a
Hivatal vagy szervezeti egység biztonsági szintbe sorolását, az Informatikai biztonsági szabályzatot a
Hivatal vezetője hagyja jóvá, és felel annak a jogszabályoknak és kockázatoknak való megfelelőségéért, a
felhasznált adatok teljességéért és időszerűségéért, gondoskodik a módosított szabályzat hatályba
léptetéséről, az érintettekkel való megismertetéséről, az elektronikus információs rendszerek biztonságáért
felelős személy közreműködésével az adatszolgáltatás teljesítéséről a Hatóság (Nemzeti Kibervédelmi
Intézet Nemzeti Elektronikus Információbiztonsági Hatóság) által előírt módon (feltöltés a NEIH hivatali
kapujára vagy tömörített, titkosított/jelszóval védett állomány elküldése).
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 23/92
1.2.3. Kockázatelemzés A Hivatal vezetője megfogalmazza, dokumentálja, kihirdeti a kockázatelemzési eljárásrendet, mely a
kockázatelemzési ellenőrzések megvalósulását segíti elő.
A Hivatal végrehajtja a biztonsági kockázatelemzéseket, mely szorosan kapcsolódik a biztonsági osztályba,
biztonsági szintbe soroláshoz és az intézkedési terv meghatározásához. Felülvizsgálja a
kockázatelemzések eredményét és megismerteti a kockázatelemzés eredményét az érintettekkel.
Jelen szabályzat vagy a Kockázatkezelési és kockázatelemzési eljárásrend (ha készül) tartalmazza azokat
a közvetett, vagy közvetlen kárt okozó hatásokat, veszélyeket és károkat, amelyeket – a Hivatal jellemzőire
tekintettel – az elektronikus információs rendszerek biztonsági osztályai meghatározásához figyelembe kell
venni, ill. az egyedi kockázat-felmérési módszertant.
Amikor változás áll be az elektronikus információs rendszerben vagy annak működési környezetében
(beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén,
amelyek befolyásolják az elektronikus információs rendszer biztonsági állapotát, ismételt kockázatelemzést
hajt végre a Hivatal.
A Hivatal vezetője gondoskodik arról, hogy a kockázatelemzési eredmények a jogosulatlanok számára ne
legyenek hozzáférhetőek, megismerhetőek.
A kockázat-felmérési módszertan és a kockázatmenedzsment rendszer kialakítása során figyelembe vettük
az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben
meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre,
továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015.
(VII. 15.) BM. rendelet, informatikai biztonsági szabványok és a kapcsolódó útmutatók előírásait.
A módszertan, menedzsment meghatározásáról a Hivatal vezetője - a kockázatfelmérésért felelős szakmai
javaslata alapján – dönt, figyelembe véve a Nemzeti Elektronikus Információbiztonsági Hatóság és egyéb
hatóság elvárásait, szakmai ajánlásait.
Az elektronikus információs rendszerek biztonsági osztályba sorolását az elektronikus információs
rendszerben kezelt adatok és az adott elektronikus információs rendszer funkciói határozzák meg.
A besorolást, amelyet az érintett szervezet vezetője hagy jóvá, kockázatelemzés alapján kell elvégezni.
A kockázatelemzés elvégezhető a hatóság által ajánlásként kiadott kockázatelemzési módszertana
(segédlete) vagy egyéb, a követelményeket figyelembe vevő saját kockázatelemzési módszertan alapján,
melyet eljárásrendben rögzíteni kell.
Az elektronikus információs rendszerek besorolását a Rendszerbiztonsági terv vagy egyéb dokumentum
tartalmazza. A besorolás és nyilvántartás az elektronikus információs rendszer biztonságáért felelős
feladata.
A kockázatok azonosítása és felmérése információs rendszerenként, a kockázatok értékelése a vonatkozó
jogszabályok alapján, a valószínűsíthető káresemény (közvetett és közvetlen) nagysága és annak a
szervezetre gyakorolt, becsült hatása alapján történik.
Az éves felülvizsgálat, illetve felmérés során számba kell venni a belső eredetű kockázatokat
(sérülékenységek), a külső okokat (fenyegetések), a bekövetkezés valószínűségét (gyakoriságát), ill. azt,
hogy milyen adatok és milyen mennyiségbe sérülhetnek.
Meg kell határozni az okok (sérülékenységek, fenyegetések) nyomán előforduló helyzet, esemény
(kockázati esemény) hatásait, következményeit, és ennek nagyságát.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 24/92
Az alábbi közvetett, vagy közvetlen kárt okozó hatásokat, veszélyeket és károkat kell – a Hivatal
jellemzőire tekintettel – figyelembe venni:
1. társadalmi-politikai káros hatásokat, károkat vagy a jogsértésből, kötelezettség elmulasztásából
fakadó káros hatásokat, károkat (így pl. alaptevékenységek akadályozása, különösen a
létfontosságú információs rendszerelemek működési zavarai, a nemzeti adatvagyon sérülései,
jogszabályok és egyéb szabályozások megsértése, jogszabály által védett adatokkal történő
visszaélés vagy azok sérülése, a közérdekűség követelményének sérülése, személyiséghez
fűződő jogok megsértése, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben, az
ország jogrendjének sérülése, vagy ennek lehetővé tétele);
2. személyeket, csoportokat érintő károk, káros hatások (pl. különleges személyes adatok,
banktitkok, üzleti titkok megsértése, szervezet, személyek vagy csoportok jó hírének károsodása,
személyi sérülések, vagy haláleset bekövetkeztének – ideértve az elektronikus információs
rendszer működésének zavara, vagy információhiány miatt kialakult veszélyhelyzetet – veszélye);
3. közvetlen anyagi károk (az infrastruktúrát, az elektronikus információs rendszert ért károk, és ezek
rendelkezésre állásának elvesztése miatti pénzügyi veszteség, adatok sértetlenségének,
rendelkezésre állásának elvesztése miatti költségek, dologi kár);
4. közvetett anyagi károk (pl. helyreállítási költségek, elmaradt haszonnal arányos költségek, a
környezet biztonságának veszélyeztetése, perköltségek).
5. A veszélyeztetettségnek a bekövetkezés valószínűségének megfelelő kárérték szinteknek
megfelelő biztonsági osztályba sorolásakor a bizalmasság, sértetlenség és rendelkezésre állás
követelménye külön-külön értékelendő.
A kockázatok kezelése
A Hivatal a feltárt kockázatokra a vonatkozó jogszabályban meghatározott biztonsági intézkedések
mielőbbi megvalósításával reagál.
A megvalósítandó biztonsági intézkedéseket, és azok megvalósításának sorrendjét a kívánt biztonsági
osztály és biztonsági szint elérésére megalkotott Cselekvési tervben kell meghatározni.
Amennyiben a kockázat kezelésére javasolt válasz reakció beruházással jár, a jegyző az egyéb
szabályzatokban meghatározott engedélyezési szabályok szerint jár el.
A kockázatokra adott válaszintézkedéseket a következők kockázatkezelési stratégiák alapján lehet
kiválasztani:
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 25/92
1. A kockázat elviselése
A Kockázat elviselés a következő esetekben alkalmazható:
a. ha a kialakult működési rend olyan, hogy napi működése során minden beavatkozás nélkül
automatikusan kezeli a kockázatot, ezért a kockázat gazdának nincs szüksége külön
beavatkozásra,
b. tudatos vezetői döntés esetén, amennyiben a kockázat elhárításának költsége magasabb az
elhárításból eredő haszonnál, vagy kezelése technikai, időbeli, vagy anyagi korlátba ütközik.
Amennyiben a vezetői döntés ilyen kockázat elviseléséről dönt, a válaszreakció helyett, köteles a
kockázati tényező bekövetkezése után jelentkező hatások kezeléséről gondoskodni.
2. A kockázat kezelése
A kockázat kezelése akkor alkalmazható, ha a kockázatos tevékenység nem szüntethető meg és nem
hárítható át. A kockázat kezelés az alábbi típusú kontroll tevékenységeken keresztül valósítható meg.
a. Megelőző kontrollok: Korlátozzák egy negatív következménnyel járó kockázat bekövetkezésének
lehetőségét, vagyis a megelőző kontrollok a szervezeten belüli belső kontrollok (pl. feladatok
szétválasztása, „4 szem elve”, tartalék erőforrások, helyettesítési rendszer, képzések).
b. Korrekciós kontrollok: A realizálódott, nem kívánt kockázat következményeit korrigálják, úgy, hogy
kisegítő megoldást nyújtanak a kár vagy veszteség csökkentésére. Fontos eleme a folytonossági és
katasztrófatervek kidolgozása, illetve az eljárásrendekbe beépítve, váratlan helyzetek kezelésének
szabályozása, amellyel a szervezet működésének folytonosságát tudja biztosítani a negatív
hatásokkal, veszteséggel járó esemény bekövetkezése esetén.
c. Iránymutató kontrollok: Egy bizonyos, kívánt eredmény elérését biztosítják. Általában egy
tevékenység vagy tevékenységcsoport konkrét lépéseit, időbeni ütemezésüket tartalmazzák. Hasznos
lehet a szervezet korábbi, hasonló tevékenységekből nyert tapasztalatainak beépítése az ilyen jellegű
kontrollokba, amely ugyancsak biztosítékként szolgálhat a kívánt cél eléréséhez és így a kockázatok
elkerüléséhez, csökkentéséhez (pl. eljárásrendek, utasítások, egyéb szabályozások, útmutatók).
d. Felderítő kontrollok: Azt a célt szolgálják, hogy fényt derítsenek olyan esetekre, amikor nem kívánt
események következtek be. Mivel csak az esemény bekövetkezése után fejtik ki hatásukat, ezért csak
abban az esetben használhatók, amennyiben lehetőség van a kár vagy veszteség elfogadására (pl.
rendszeres ellenőrzések, naplók áttekintése, a monitoring jelentések, folyamatok, projektek
áttekintései, a célvizsgálatok, az auditok, stb.).
3. A kockázat átadása
A kockázat átadását esetén a kockázat (sem a valószínűsége, sem hatása) nem csökken, de megváltozik
a kockázatviselő (szervezeten kívülre kerül). Tipikus példa a biztosításkötés, illetve a kockázatos művelet
átadása olyan (külső vagy belső) partnernek, aki felkészült a kockázat kezelésére. Ilyen megállapodás
esetén vizsgálandó, hogy a kockázati esemény bekövetkezése esetén milyen maradványkockázat marad
az átadó szervezetnél, illetve a Hivatalnál (pl. reputáció-vesztés).
4. A kockázatos tevékenység befejezése;
A kockázatos tevékenység befejezése akkor alkalmazható, ha a kockázatok nem csökkenthetők
elfogadható szintre a tevékenység megszüntethető, és megszűntetése nem akadályozza az Hivatallal
szembeni követelmények teljesítését, csak megszüntethetők az adott tevékenység befejezésével.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 26/92
Felelősségek
A Hivatal vezetője (jegyző)
- felelős a kockázatkezelési rendszer(ek) kialakításáért, működtetéséért
- felelős a kockázatkezelési kritériumok azonosításáért
- kinevezi a kockázatfelmérésért felelősöket, tevékenységüket felügyeli
- gondoskodik a kockázatkezelési irányelvek betartásáról
- biztosítja a kockázatfelméréshez és -kezeléshez a szükséges erőforrásokat
- dönt a kockázatfelmérés elfogadásáról, kockázatok elfogadásáról, az elfogadható kockázati
szintről, a szükséges intézkedésekről, figyelemmel kísérési feladatokról
- gondoskodik a kockázatkezelés fontosságának tudatosításáról a teljes szervezetben
A kockázatfelmérésért felelős (elektronikus információs rendszerek biztonságáért felelős vagy a jegyző
által kijelölt személy)
- felelős a kockázat-felmérési módszertan(ok) kialakításáért, jóváhagyatásáért
- kezdeményezi az éves rendszeres felmérés indítását
- koordinálja a kockázat-felmérési tevékenységeket
- javaslatokat tesz kockázatkezelési, javítási intézkedésekre
- gondoskodik a kockázatkezelési intézkedések, kontrollok szabályozásokba, dokumentációs
rendszerbe illesztéséről
- rendszeresen tájékoztatja a Hivatal vezetőjét a kockázati szint alakulásáról, bekövetkezett
kockázati eseményekről
- nyilvántartja a Hivatal információs rendszereit a 41/2015. (VII. 15.) BM. rendelet követelményeinek
megfelelően
A szakterület kijelölt képviselője / jegyző vagy az általa kijelölt személy
- a kockázatfelmérésért felelős segítségével azonosítja, felméri, értékeli a területére vonatkozó
kockázatokat
- javaslatot tesz a magas kockázatok kezelésére a saját területére vonatkozóan
- intézkedik a saját hatáskörükben kezelhető kockázatok csökkentésére, kezelésére
- felelős a területére eső kockázatok figyelemmel kíséréséért, kezeléséért
- a kockázatok változása, újak felmerülése esetén aktualizálja a felmérést, tájékoztatja a
kockázatfelmérésért felelőst
A munkatársak
- felelősek a közzétett, kiadott kockázatkezelési előírások betartásáért
- feladatuk a nem kezelt, illetve az új vagy változó kockázatok jelzése közvetlen vezetőjüknek
és/vagy a kockázatfelmérésért felelősnek.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 27/92
1.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS
1.3.1. Beszerzési eljárásrend A Hivatal vezetője szükség esetén megfogalmazza, dokumentálja és kihirdeti a beszerzési eljárásrendet,
mely az elektronikus információs rendszerére, az ezekhez kapcsolódó szolgáltatások és információs
rendszer biztonsági eszközök beszerzésére vonatkozó szabályait fogalmazza meg és az ehhez
kapcsolódó ellenőrzések megvalósítását segíti elő.
A beszerzési eljárásrendet abban az esetben kell bevezetni, ha a Hivatal saját hatókörében informatikai
szolgáltatást, vagy eszközöket szerez be, rendszerfejlesztési tevékenységet (ide nem értve a jellemzően
kis értékű, kereskedelmi forgalomban kapható általában irodai alkalmazásokat, szoftvereket, vagy azokat
a hardver beszerzéseket, amelyek jellemzően a tönkrement eszközök pótlása, vagy az eszközpark
addigiakkal azonos, vagy hasonló eszközökkel való bővítése céljából történnek, valamint a javítás,
karbantartás céljára történő beszerzéseket) végez, vagy végeztet.
Jelen fejezet alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható
szoftverek beszerzése és frissítése.
Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
1.3.2. Erőforrás igény felmérés Ha a Hivatal saját hatókörében informatikai szolgáltatást vagy eszközöket szerez be, rendszerfejlesztési
tevékenységet végez, vagy végeztet, akkor az elektronikus információs rendszerre és annak
szolgáltatásaira vonatkozó biztonsági követelmények teljesítése érdekében a beruházás tervezés
részeként meghatározza, és dokumentálja, valamint biztosítja az elektronikus információs rendszer és
annak szolgáltatásai védelméhez szükséges erőforrásokat, elkülönítetten kezeli az elektronikus
információs rendszerek biztonságát beruházás tervezési dokumentumaiban.
1.3.3. Beszerzések Az informatikai eszközök és szoftverek beszerzésénél mindig a Hivatali beszerzésekre vonatkozó elvek
szerint kell eljárni. Az eszközbeszerzések során figyelembe kell venni a Hivatal hatályos szabályzatait.
A beszerzett számítástechnikai eszközöket, szoftvereket a rendszergazdának vagy a kijelölt felelősnek
haladéktalanul nyilvántartásba kell venni.
Az informatikai üzemeltetéshez szükséges irodatechnikai eszközök alkalmazások megfelelő minőségben
és mennyiségben történő készletezése a megbízott szervezeti egység vezető vagy az általa megbízott
felelős feladata. Ezekből a kellékekből mindig akkora készlettel kell rendelkezni, mely biztosítja a
folyamatos üzemvitelt.
A Hivatal IT fejlesztés és üzemeltetés – az információbiztonság rendelkezésre állás céljait támogató –
beszerzéssel kapcsolatos szabályait – ha szükséges - külön szabályzat vagy eljárásrend tartalmazza.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 28/92
A Hivatal az elektronikus információs rendszerre, rendszerelemre vagy szolgáltatásra irányuló beszerzési
(ideértve a fejlesztést, az adaptálást, a beszerzéshez kapcsolódó rendszerkövetést, vagy karbantartást is)
szerződéseiben szerződéses követelményként meghatározza:
a. a funkcionális biztonsági követelményeket;
b. a garanciális biztonsági követelményeket (pl. a biztonságkritikus termékekre elvárt garanciaszint);
c. a biztonsággal kapcsolatos dokumentációs követelményeket;
d. a biztonsággal kapcsolatos dokumentumok védelmére vonatkozó követelményeket;
e. az elektronikus információs rendszer fejlesztési környezetére és tervezett üzemeltetési
környezetére vonatkozó előírásokat.
A védelem szempontjainak érvényesítése a beszerzés során: A Hivatal, ha saját hatókörében informatikai
szolgáltatást vagy eszközöket szerez be, rendszerfejlesztési tevékenységet végez, vagy végeztet, akkor
védi az elektronikus információs rendszert, rendszerelemet vagy rendszerszolgáltatást a beszerzés, vagy
a beszerzett eszköz beillesztéséből adódó kockázatok ellen. Szerződéses követelményként meghatározza
a fejlesztő, szállító számára, hogy hozza létre és bocsássa rendelkezésére az alkalmazandó védelmi
intézkedések funkcionális tulajdonságainak a leírását.
A védelmi intézkedések terv-, és megvalósítási dokumentációi: A Hivatal szerződéses követelményként
meghatározza a saját hatókörben beszerzett rendszerek fejlesztői, szállítói számára, hogy hozza létre és
bocsássa rendelkezésére az alkalmazandó védelmi intézkedések terv- és megvalósítási dokumentációit,
köztük a biztonsággal kapcsolatos külső rendszer interfészek leírását, a magas és alacsony szintű
biztonsági tervet, - ha azzal a szállító rendelkezik - a forráskódot és futtatókörnyezetet.
Funkciók - protokollok – szolgáltatások: A Hivatal szerződéses rendelkezésként megköveteli a saját
hatókörben beszerzett rendszerek fejlesztőtől, szállítótól, hogy már a fejlesztési életciklus korai
szakaszában meghatározza a használatra tervezett funkciókat, protokollokat és szolgáltatásokat.
Az elektronikus információs rendszer biztonságáért felelős személyt feladatai teljesítéséhez szükséges
mértékben az elektronikus információs rendszerek valamennyi elemének tervezésével, fejlesztésével,
beszerzésével és üzemeltetésével kapcsolatban megilleti a tanácskozási, véleményezési, javaslattételi
kezdeményezési, ellenőrzési, betekintési és hozzáférési jogosultság.
1.3.4. Az elektronikus információs rendszerre vonatkozó dokumentáció A Hivatal, ha hatókörébe tartozik, megköveteli és birtokába veszi az elektronikus információs rendszerre,
rendszerelemre, vagy rendszerszolgáltatásra vonatkozó adminisztrátori dokumentációt, amely
tartalmazza:
a. a rendszer, rendszerelem vagy rendszer szolgáltatás biztonságos konfigurálását, telepítését és
üzemeltetését,
b. a biztonsági funkciók hatékony alkalmazását és fenntartását,
c. a konfigurációval és az adminisztratív funkciók használatával kapcsolatos, a dokumentáció
átadásakor ismert sérülékenységeket;
d. megköveteli és birtokába veszi az elektronikus információs rendszerre, rendszerelemre vagy
rendszerszolgáltatásra vonatkozó felhasználói dokumentációt, amely tartalmazza:
e. a felhasználó által elérhető biztonsági funkciókat és azok hatékony alkalmazási módját,
f. a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságos használatának módszereit,
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 29/92
g. a felhasználó kötelezettségeit a rendszer, rendszerelem vagy rendszerszolgáltatás biztonságának
a fenntartásához;
h. gondoskodik arról, hogy az információs rendszerre vonatkozó - különösen az adminisztrátori és
fejlesztői - dokumentáció jogosulatlanok számára ne legyen megismerhető, módosítható;
i. gondoskodik a dokumentációknak az érintett szervezet által meghatározott szerepköröket betöltő
személyek által, vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismerésről.
1.3.5. Biztonságtervezési elvek A Hivatal, ha hatókörébe tartozik, biztonságtervezési elveket dolgoz ki és alkalmaz az elektronikus
információs rendszer specifikációjának meghatározása, tervezése, fejlesztése, kivitelezése és módosítása
során.
1.3.6. Külső elektronikus információs rendszerek szolgáltatásai A Hivatal vezetője szerződéses kötelezettségként követeli meg, hogy a szolgáltatási szerződés alapján
általa igénybe vett elektronikus információs rendszerek szolgáltatásai megfeleljenek a Hivatal elektronikus
információbiztonsági követelményeinek. Meghatározza és dokumentáltatja a Hivatal felhasználóinak
feladatait és kötelezettségeit a külső elektronikus információs rendszerek szolgáltatásával kapcsolatban.
Külső és belső ellenőrzési eszközökkel ellenőrizteti, hogy a külső elektronikus információs rendszer
szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket.
1.3.7. Független értékelők A Hivatal, ha hatókörébe tartozik, független értékelőket vagy értékelő csoportokat alkalmaz a védelmi
intézkedések értékelésére.
1.3.8. Folyamatos ellenőrzés A Hivatal, ha hatókörébe tartozik, folyamatba épített ellenőrzést vagy ellenőrzési tervet hajt végre, amely
tartalmazza:
a. az ellenőrizendő területeket;
b. az ellenőrzések, valamint az ellenőrzéseket támogató értékelések gyakoriságát;
c. az ellenőrzési stratégiájához illeszkedő folyamatos biztonsági értékeléseket;
d. a mérőszámok megfelelőségét;
e. az értékelések és az ellenőrzések által generált biztonsággal kapcsolatos adatok összehasonlító
elemzését;
f. a Hivatal reagálását a biztonsággal kapcsolatos adatok elemzésének eredményére;
g. A Hivatal döntését arról, hogy milyen gyakorisággal kell az elemzési adatokat általa meghatározott
személyi- és szerepkörökkel megismertetni (ideértve azok változásait is).
A Hivatal, ha hatókörébe tartozik, független értékelőket vagy értékelő csoportokat alkalmaz az elektronikus
információs rendszer védelmi intézkedéseinek folyamatos ellenőrzésére.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 30/92
1.4. ÜZLETMENET- (ÜGYMENET-) FOLYTONOSSÁG TERVEZÉSE
1.4.1. Ügymenet-folytonosságra vonatkozó eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerre
vonatkozó eljárásrendet, mely az ügymenet-folytonosságra vonatkozó szabályzat és az ahhoz kapcsolódó
ellenőrzések megvalósítását segíti elő. Az elektronikus információbiztonsággal kapcsolatos ügymenet-
folytonossági szabályokat eljárásrendben kezeli.
Az ügymenet folytonosságának fenntartását szolgáló eljárás, valamint a megelőző és helyreállítást vezérlő
eljárások alkalmazásával mérsékelni kell a különböző rendellenességek és a biztonsági rendszer
meghibásodása által okozott fennakadásokat. Az ügymenet-folytonosság tervezés célja a kiesési idő, a
rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a
kockázatokkal arányosan lehessen megvalósítani.
Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
1.4.2. Ügymenet-folytonossági terv informatikai erőforrás kiesésekre A Hivatal vezetője megfogalmazza, dokumentálja, a Hivatalon belül kizárólag a folyamatos működés
szempontjából kulcsfontosságú, IT tevékenység számára kihirdeti az elektronikus információs
rendszerekre vonatkozó ügymenet-folytonossági tervet, ezáltal:
a. összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági
események kezelésével;
b. meghatározott gyakorisággal felülvizsgálja az elektronikus információs rendszerhez kapcsolódó
ügymenet-folytonossági tervet;
c. az elektronikus információs rendszer vagy a működtetési környezet változásainak, az ügymenet-
folytonossági terv megvalósítása, végrehajtása vagy tesztelése során felmerülő problémáknak
megfelelően aktualizálja az ügymenet-folytonossági tervet;
d. tájékoztatja az ügymenet-folytonossági terv változásairól a folyamatos működés szempontjából
kulcsfontosságú, személyeket és Hivatali egységeket;
e. gondoskodik arról, hogy az ügymenet-folytonossági terv jogosulatlanok számára ne legyen
megismerhető, módosítható;
f. meghatározza az alapfeladatokat (biztosítandó szolgáltatásokat) és alapfunkciókat, valamint az
ezekhez kapcsolódó vészhelyzeti követelményeket;
g. rendelkezik a helyreállítási feladatokról, a helyreállítási prioritásokról és mértékekről;
h. jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket;
i. fenntartja a Hivatal által előzetesen definiált alapszolgáltatásokat, még az elektronikus információs
rendszer összeomlása, kompromittálódása vagy hibája ellenére is;
j. kidolgozza a végleges, teljes elektronikus információs rendszer helyreállításának tervét úgy, hogy
az nem ronthatja le az eredetileg tervezett és megvalósított biztonsági védelmeket
k. az üzletmenet-folytonossági tervet egyezteti a kapcsolódó, hasonló tervekért felelős szervezeti
egységekkel (ha vannak) ;
l. meghatározza az alapfunkciók újrakezdésének időpontját az üzletmenet-folytonossági terv
aktiválását követőn;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 31/92
m. meghatározza az elektronikus információs rendszer alapfunkcióit támogató kritikus
rendszerelemeket;
n. megtervezi a folyamatos működéshez szükséges információ-feldolgozó, infokommunikációs és
környezeti képességek biztosításához szükséges kapacitást;
o. meghatározza az összes funkció újrakezdésének időpontját az üzletmenet-folytonossági terv
aktiválását követően;
p. az alapfeladatok és alapfunkciók folyamatosságát úgy tervezi meg, hogy azok üzemelési
folyamatosságában semmilyen, vagy csak csekély veszteség álljon elő, fenntartható legyen a
folyamatosság az elektronikus információs rendszer elsődleges feldolgozó vagy tárolási helyszínén
történő teljes helyreállításáig.
Veszélyhelyzetnek minősül:
a. az elemi kár,
b. az áramszünet,
c. a rendszerleállás,
d. a szolgáltatásszünetelés,
e. az adatsérülés és
f. az adatvesztés.
Az ügymenetfolytonossági terv eljárások vagy tevékenységlépések sorozata annak biztosítására, hogy a
Hivatal információfeldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa
után elfogadhatóan rövid időn belül helyre lehessen állítani.
1.4.3. A folyamatos működésre felkészítő képzés A Hivatal, ha hatókörébe tartozik, akkor a magas biztonsági követelményű elektronikus információs
rendszerek folyamatos működésére felkészítő képzést tart a felhasználóknak, szerepkörüknek és
felelősségüknek megfelelően:
a. szerepkörbe vagy felelősségbe kerülésüket követő meghatározott időn belül;
b. meghatározott (maximum éves) gyakorisággal, vagy amikor az elektronikus információs rendszer
változásai ezt szükségessé teszik.
A képzés célja az üzletmenet-folytonosság jelentőségének tudatosítása, az üzletmenetfolytonosság-
tervezés alapismereteinek átadása, a tervben foglaltak megismerése és elsajátítása. A folyamatos
működésre felkészítő képzésben szimulált eseményeket kell alkalmazni, hogy elősegítse a személyzet
hatékony reagálását a kritikus helyzetekben.
1.4.4. Az üzletmenet folytonossági terv tesztelése A Hivatal, ha hatókörébe tartozik, meghatározott (minimum éves) gyakorisággal és meghatározott
teszteken keresztül vizsgálja a magas biztonsági követelményű elektronikus információs rendszerekre
vonatkozó üzletmenet-folytonossági tervet a terv hatékonyságának és az érintett szervezet
felkészültségének a felmérése céljából, értékeli az üzletmenet-folytonossági terv tesztelési eredményeit,
az értékelés alapján szükség esetén javítja a tervet, a javításokkal kapcsolatban az üzletmenet-
folytonossági tervre vonatkozó általános eljárási szabályok szerint jár el.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 32/92
A teszt értékelése során az ügymenet folytonosságát biztosító terveket módosítani, aktualizálni kell, és
gondoskodni kell azok egymáshoz való illesztéséről. A terveket a folytonosan változó helyzethez,
körülményekhez, infrastrukturális követelményekhez is hozzá kell igazítani.
Az üzletmenet-folytonossági terv tesztelését a kapcsolódó tervekért felelős szervezeti egységekkel
egyeztetni kell.
A terv tesztelését egy szimulált esemény bekövetkezésével és a terv szerinti visszaállítással kell
megvalósítani.
Az üzletmenet folytonossági tervet a tartalék feldolgozási helyszínen is tesztelni kell, hogy az érintett
szervezet megismerje az adottságokat és az elérhető erőforrásokat, valamint értékelje a tartalék
feldolgozási helyszín képességeit a folyamatos működés támogatására.
1.4.5. Biztonsági tárolási helyszín A Hivatal a felelősségi körébe tartozó rendszerekre vonatkozóan kijelöl egy biztonsági tárolási helyszínt,
ahol az elektronikus információs rendszer mentéseinek másolatát az elsődleges helyszínnel azonos
módon, és biztonsági feltételek mellett tárolja.
A biztonsági tárolási helyszínnek el kell különülni az elsődleges tárolás helyszínétől, az azonos veszélyektől
való érzékenység csökkentése érdekében.
A biztonsági tárolási helyszínhez történő hozzáférés érdekében - meghatározott körzetre kiterjedő
rombolás vagy katasztrófa esetére - vészhelyzeti eljárásokat kell kidolgozni.
A biztonsági tárolási helyszínt úgy kell kialakítani, hogy az elősegítse a helyreállítási tevékenységeket,
összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal.
1.4.6. Tartalék feldolgozási helyszín A Hivatal a felelősségi körébe tartozó, a magas biztonsági követelményű elektronikus információs
rendszerekre vonatkozóan kijelöl egy tartalék feldolgozási helyszínt azért, hogy ha az elsődleges
feldolgozási képesség nem áll rendelkezésére, elektronikus információs rendszere előre meghatározott
műveleteit, előre meghatározott időn belül - összhangban a helyreállítási időre és a helyreállítási pontokra
vonatkozó célokkal - a tartalék helyszínen újra kezdhesse, vagy folytathassa. Ezekre a rendszerekre
vonatkozóan biztosítja, hogy a működés újrakezdéséhez vagy folytatásához szükséges eszközök és
feltételek a tartalék feldolgozási helyszínen, vagy meghatározott időn belül rendelkezésre álljanak.
Biztosítja, hogy a tartalék feldolgozási helyszín informatikai biztonsági intézkedései egyenértékűek
legyenek az elsődleges helyszínen alkalmazottakkal.
1.4.7. Infokommunikációs szolgáltatások A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs
rendszerekre vonatkozóan rendszerekre vonatkozóan - a Nemzeti Távközlési Gerinchálózatra csatlakozó
elektronikus információs rendszerek kivételével - tartalék infokommunikációs szolgáltatásokat létesít, erre
vonatkozóan olyan megállapodásokat köt, amelyek lehetővé teszik az elektronikus információs rendszer
alapfunkciói, vagy meghatározott műveletek számára azok meghatározott időtartamon belüli újrakezdését,
ha az elsődleges infokommunikációs kapacitás nem áll rendelkezésre sem az elsődleges, sem a tartalék
feldolgozási vagy tárolási helyszínen.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 33/92
Ha az elsődleges és a tartalék infokommunikációs szolgáltatások nyújtására szerződés keretében kerül
sor, az tartalmazza a szolgáltatás-prioritási rendelkezéseket, a Hivatal rendelkezésre állási
követelményeivel (köztük a helyreállítási idő célokkal) összhangban.
Ha indokolt tartalék infokommunikációs szolgáltatások igénybevétele, akkor szolgáltatásokat kell igénybe
venni, melyek csökkentik az elsődleges infokommunikációs szolgáltatásokkal közös hibalehetőségek
valószínűségét (pl. alternatív technológiára épülnek).
1.4.8. Az elektronikus információs rendszer mentései A Hivatal a rendszerbiztonsági és ügymenet-folytonossági elvárásokkal összhangban:
a. meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt
felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra
vonatkozó célokkal;
b. meghatározott gyakorisággal elmenti az elektronikus információs rendszerben tárolt
rendszerszintű információkat, összhangban a helyreállítási időre és a helyreállítási pontokra
vonatkozó célokkal;
c. meghatározott gyakorisággal elmenti az elektronikus információs rendszer dokumentációját,
köztük a biztonságra vonatkozókat is, összhangban a helyreállítási időre és a helyreállítási
pontokra vonatkozó célokkal;
d. megvédi a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását mind az
elsődleges, mind a másodlagos tárolási helyszínen.
A Hivatal informatikai rendszereinek és az informatikai rendszerekben kezelt adatok mentését, megőrzését,
tárolását úgy oldja meg, hogy a mentések típusa, gyakorisága és példányszáma elfogadható adatvesztési
kockázatot eredményezzen, valamint az archiválásra vonatkozó jogszabályi követelményeket
teljesíthesse. Olyan mentési megoldásokat alkalmaz, mentési eljárást működtet, ami biztosítani tudja, hogy
az informatikai eszközök sérülése, meghibásodása, illetve a tárolt adatok sérülése, használhatatlanná
válása esetén rendelkezésre álljon olyan mentés, amely segítségével a kiesett informatikai szolgáltatás
elfogadható időn belül újraindítható, amelynek visszaállításával az elveszett adatmennyiség mértéke még
kezelhető szinten marad. Azon adatok esetén, amelyek hosszú távú megőrzéséért a Hivatal felelős, a
mentéseknek alkalmasnak kell lenni az adatok jogszabályban előírt megőrzési idejének végéig történő
visszaállítására.
A mentések szakszerű elvégzését a rendszergazda vagy a Hivatallal kötött megállapodásban rögzítettek
szerint az adott elektronikus információs rendszer üzemeltetője végzi saját adatmentési és naplózási
eljárása körében.
Alapelv, hogy az adatok mentése, archiválása mellett az adatok visszaállításához szükséges valamennyi
egyéb adat és szoftver komponens is visszaállíthatóan mentésre, arciválásra kerüljön, vagy mentésük,
archivált állományuk létezzen, a mentéseket tartalmazó adathordozók kezelése a tárolt adatok
érzékenységének megfelelően történjen, a forrásrendszerrel azonos szintű biztonságos fizikai hozzáférés
védelem mellett kerüljenek megőrzésre.
Elvárás, hogy a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan
meghatározott (minimálisan éves) gyakorisággal tesztelni kell a mentett információkat, az adathordozók
megbízhatóságának és az információ sértetlenségének a garantálása érdekében.
A tranzakció alapú elektronikus információs rendszerek esetén tranzakció helyreállítást kell végrehajtani.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 34/92
A Hivatal az elektronikus információbiztonsággal kapcsolatos részletes mentési szabályokat
eljárásrendben, a rendszerek mentésével kapcsolatos elvárásait, ha azok a Hivatal hatáskörébe tartoznak,
vagy az adatok megőrzésért a Hivatal felelős, akkor Rendszerbiztonsági tervben és/vagy Mentési rendben
vagy egyéb dokumentumban kezeli (mentések gyakorisága a tolerálható adatvesztés függvényében, elvárt
helyreállítási idő, megőrzési idő, offsite példányok, stb.).
1.4.9. Az elektronikus információs rendszer helyreállítása és újraindítása A rendszergazda gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő
helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően (saját
hatókörén belül). A mentési és visszaállítási eljárásokat úgy kell kialakítani, hogy az elektronikus
információs rendszerek üzemszerű működése és a bennük kezelt adatok előre nem látható esemény,
különösen katasztrófa vagy hardver, illetve szoftver meghibásodása vagy emberi mulasztás
bekövetkezésekor szükség esetén helyreállíthatók legyenek, biztosítva a folyamatos napi működést.
Biztosítani kell továbbá, hogy az üzemidő-kiesés, adatsérülés és adatvesztés minimális legyen.
A Hivatal az elektronikus információbiztonsággal kapcsolatos helyreállítási szabályokat eljárásrendben
kezeli.
1.5. A BIZTONSÁGI ESEMÉNYEK KEZELÉSE
1.5.1. Biztonsági eseménykezelési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a biztonsági eseményekre vonatkozó
eseménykezelési eljárást, amely szabályozza az előkészületet, az észlelést, a vizsgálatot, az elszigetelést,
a megszüntetést és a helyreállítást:
a. összehangolja a folyamatos működés tervezésére vonatkozó tevékenységeket a biztonsági
események kezelésével;
b. egyezteti az eseménykezelési eljárásokat az üzletmenet-folytonossági tervéhez tartozó
tevékenységekkel;
c. az eseménykezelési tevékenységekből levont tanulságokat beépíti az eseménykezelési
eljárásokba, a fejlesztési és üzemeltetési eljárásokba, elvárásokba, továbbképzésekbe és
tesztelésbe.
Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
Biztonsági esemény a nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az
elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz
elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága,
sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül. Biztonsági
esemény kezelése: az elektronikus információs rendszerben bekövetkezett biztonsági esemény
dokumentálása, következményeinek felszámolása, a bekövetkezés okainak és felelőseinek megállapítása,
és a hasonló biztonsági események jövőbeni előfordulásának megakadályozása érdekében végzett
tervszerű tevékenység.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 35/92
A biztonsági eseményre adandó gyors és hatékony megoldások érdekében az elektronikus információs
rendszer biztonságáért felelős személy üzletmenet-folytonossági tervben határozza meg a váratlan
eseményekkel kapcsolatos felelősségeket és eljárásokat.
Az üzletmenet-folytonossági terv kiterjed:
a. az elektronikus információs rendszerhiba és a szolgáltatásmegszakadás,
b. a szolgáltatásmegtagadás,
c. a sértetlenség elvesztése, valamint
d. a bizalmasság elvesztése biztonsági eseményekre.
Az üzletmenet-folytonossági terv rendelkezik arról, hogy a biztonsági események kezelése során:
a. azonosítani és elemezni kell az biztonsági események okait,
b. ki kell dolgozni a biztonsági események ismétlődésének megakadályozására vonatkozó terveket,
c. naplózni kell a biztonsági eseményeket,
d. gondoskodni kell a visszaállítás megoldásáról, valamint
e. jelentést kell készíteni a Hivatal vezetője részére.
A biztonsági események és rendszerhibák javítása esetén biztosítani kell, hogy:
a. csak az engedéllyel és a kellő szaktudással rendelkező személyek férhessenek hozzá az
informatikai rendszerekhez és azok adataihoz,
b. a kijavításra kijelölt személy ismerje a biztonsági esemény során az üzemeltető által alkalmazandó
vagy alkalmazott eljárást,
c. a biztonsági esemény során alkalmazandó vagy alkalmazott eljárás jegyzőkönyvben rögzítésre
kerüljön,
d. a biztonsági eseményeket követően az adatok sértetlensége haladéktalanul ellenőrzésre kerüljön.
A Hivatal nyomon követi és dokumentálja az elektronikus információs rendszer biztonsági eseményeit.
A biztonsági eseményeket
a. típus,
b. terjedelem,
c. az általuk okozott károk, helyreállítási költségek, valamint
d. a hitelesítési és monitorozási rendszer kimenetei alapján kell értékelni.
Az érintett elektronikus információs rendszer, illetve rendszerelem üzemeltetőjének – a Hivatal és a közötte
létrejött megállapodásban meghatározottak szerint – a biztonsági esemény észlelésére monitorozó
rendszert kell üzemeltetni, a bekövetkezett biztonsági esemény elhárítása érdekében intézkedni kell a hiba
megszüntetéséről, és a további teendőkről az elektronikus információs rendszer biztonságáért felelős
személyt folyamatosan tájékoztatni szükséges. Szükség esetén – ideiglenes jelleggel – helyettesítő
megoldással is biztosítható a felhasználói munkavégzés.
A szolgáltatónak a szolgáltatási szabályzatban meghatározott időn belül ki kell vizsgálnia a szolgáltatás
teljesítményével (nem megfelelő válaszidők, nem elég gyors erőforrás igénylési reagálás stb.) kapcsolatos
jelenségeket, és gondoskodnia kell arról, hogy a szolgáltatás nyújtására alkalmas szolgáltatási színvonalat
fenntartsa. Az erőforrások illegális vagy nem megfelelő használatának gyanúja esetén az eljárás során az
eljáró hatósággal vagy a Hivatallal együtt kell működnie.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 36/92
1.5.4. A biztonsági események figyelése A Hivatal nyomon követi és dokumentálja az elektronikus információs rendszer biztonsági eseményeit.
A biztonsági eseményekkel kapcsolatos tevékenységeket az elektronikus információs rendszerek
biztonságáért felelős koordinálja.
Az elektronikus információs rendszerek működése során fellépő eseményeket megfelelő részletességgel
naplózni kell. Az üzemeltetőknek ezeket a naplóállományokat rendszeresen ellenőrizniük kell, az
ellenőrzés eredményéről rendszeresen és szükség esetén időszakosan jelentést kell tenniük az
elektronikus információs rendszer biztonságáért felelős személy részére.
Az elektronikus információs rendszer üzemeltetéséről az üzemeltető eseménynaplót vezet. Az informatikai
központok üzemeltetési feltételeit és az ott készült naplókat az elektronikus információs rendszer
biztonságáért felelős személy szúrópróbaszerű ellenőrzés során megvizsgálja, és az éves jelentésben a
tapasztalatairól tájékoztatja a Hivatal vezetőjét.
1.5.6. A biztonsági események jelentése A Hivatal mindenkitől, aki az elektronikus információs rendszerrel, vagy azok elhelyezésére szolgáló
objektummal kapcsolatban áll megköveteli, hogy jelentsék a biztonsági esemény bekövetkeztét, vagy ha
erre utaló jelet, vagy veszélyhelyzetet észlelnek.
Az elektronikus információs rendszer bármely felhasználói pontján jelentkező, adott rendszerelemmel
kapcsolatban felmerülő rendellenes működés, jelenség (pl. információ-feldolgozó eszközök, adattárolók
eltűnése, rongálódása, eszközök megszokottól eltérő működése, adatátvitel szokásostól eltérő lelassulása,
bizalmas információk kiszivárgásának gyanúja), vírusjelzés vagy futási hiba esetén a felhasználó köteles
a tapasztalt jelenséget, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni az
elektronikus információs rendszer biztonságáért felelős személy részére.
Az üzemeltető – a Hivatal és a közötte létrejött megállapodásban rögzített rendben – köteles azonnal
jelenteni az elektronikus információs rendszer biztonságáért felelős személynek, amennyiben munkája
során biztonsági veszélyeket vagy az infokommunikációs rendszerben veszélyforrást fedezett fel.
A bejelentett biztonsági eseményekről az elektronikus információs rendszer biztonságáért felelős személy
nyilvántartást vezet, jelenti a biztonsági eseményekre vonatkozó információkat az elektronikus információs
rendszerek biztonságának felügyeletét ellátó szerveknek.
A biztonsági esemény kivizsgálása és hibaelhárítás a rendszergazda feladata, az elektronikus információs
rendszer biztonságáért felelőssel együttműködve.
A Hivatal a kockázatfelmérés alapján indokolt, illetve a min. 4-es biztonsági osztályba sorolt elektronikus
információs rendszerekre vonatkozóan kötelezően automatizált mechanizmusokat alkalmaz, hogy segítse
a biztonsági események jelentését.
1.5.7. Segítségnyújtás a biztonsági események kezeléséhez A Hivatal az elektronikus információs rendszerek biztonságáért felelős és a rendszergazda
közreműködésével tanácsadást és támogatást nyújt az elektronikus információs rendszer felhasználóinak
a biztonsági események kezeléséhez és jelentéséhez. A támogatást a felhasználók szükség szerint
igényelhetik.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 37/92
A Hivatal a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan
automatizált mechanizmusokat alkalmaz, hogy növelje a biztonsági események kezelésével kapcsolatos
információk és a támogatás rendelkezésre állását.
1.5.8. Biztonsági eseménykezelési terv A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a biztonsági eseménykezelési tervet, amely:
a. iránymutatást ad a biztonsági esemény kezelési módjaira,
b. ismerteti a biztonsági eseménykezelési lehetőségek struktúráját és szervezetét,
c. átfogó megközelítést nyújt arról, hogy a biztonsági eseménykezelési lehetőségek hogyan
illeszkednek az általános szervezetbe,
d. kielégíti az érintett szervezet feladatkörével, méretével, szervezeti felépítésével és funkcióival
kapcsolatos egyedi igényeit,
e. meghatározza a bejelentésköteles biztonsági eseményeket,
f. meghatározza és folyamatosan pontosítja a biztonsági események kiértékelésének,
kategorizálásának (súlyosság, stb.) kritériumrendszerét,
g. támogatást ad a biztonsági eseménykezelési lehetőségek belső mérésére,
h. meghatározza azokat az erőforrásokat és vezetői támogatást, amelyek szükségesek a biztonsági
eseménykezelési lehetőségek bővítésére, hatékonyabbá tételére és fenntartására;
i. kihirdeti és tudomásul veteti a biztonsági eseménykezelési tervet a biztonsági eseményeket kezelő
(névvel és/vagy szerepkörrel azonosított) személyeknek és szervezeti egységeknek;
j. meghatározott gyakorisággal felülvizsgálja a biztonsági eseménykezelési tervet;
k. frissíti a biztonsági eseménykezelési tervet, figyelembe véve az elektronikus információs rendszer
és a szervezet változásait vagy a terv megvalósítása, végrehajtása és tesztelése során felmerülő
problémákat;
l. a biztonsági eseménykezelési terv változásait ismerteti;
m. gondoskodik arról, hogy a biztonsági eseménykezelési terv jogosulatlanok számára ne legyen
megismerhető, módosítható.
1.5.9. Képzés a biztonsági események kezelésére A Hivatal biztonsági eseménykezelési képzést biztosít az elektronikus információs rendszer
felhasználóinak a számukra kijelölt szerepkörökkel és felelősségekkel összhangban. A képzést a
biztonsági eseménykezelési szerepkör vagy felelősség kijelölését követő, meghatározott időtartamon belül,
vagy amikor ezt az elektronikus információs rendszer változásai megkívánják, vagy meghatározott
(minimum éves) gyakorisággal tartja.
A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs
rendszerekre vonatkozóan meghatározott (minimum éves) gyakorisággal teszteli az elektronikus
információs rendszerre vonatkozó biztonsági eseménykezelési képességeket előre kidolgozott tesztek
felhasználásával, annak érdekében, hogy meghatározza a biztonsági eseménykezelés hatékonyságát, és
dokumentálja az eredményeket. Egyezteti a biztonsági eseménykezelés tesztelését a kapcsolódó tervekért
(pl. üzletmenet-folytonossági terv és katasztrófaelhárítási terv) felelős szervezeti egységekkel.
A biztonsági esemény kivizsgálásában részt vevő személynek a megbízása előtt részt kell vennie a
biztonságiesemény-kezelő eljárásról szóló, a kormányzati eseménykezelő központ által tartott tájékoztató
előadáson.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 38/92
1.6. EMBERI TÉNYEZŐKET FIGYELEMBE VEVŐ - SZEMÉLY - BIZTONSÁG
1.6.1. Személybiztonsági eljárásrend A személybiztonsággal kapcsolatos elvárás, eljárás kiterjed a Hivatal teljes személyi állományára, valamint
minden olyan természetes személyre, aki az elektronikus információs rendszereivel kapcsolatba kerül,
vagy kerülhet. Azokban az esetekben, amikor az elektronikus információs rendszereivel tényleges vagy
feltételezhető kapcsolatba kerülő személy nem a Hivatal munkatársa, a jelen fejezet szerinti elvárásokat a
tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás megkötése során kell, mint
kötelezettséget érvényesíteni (ideértve a szabályzatok, eljárásrendek megismerésére és betartására
irányuló kötelezettségvállalást, titoktartási nyilatkozatot).
Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
Az elektronikus információs rendszerek felhasználói, illetve a bevezetésben és felhasználásában
közreműködő külső fél munkatársai és vezetői titoktartási nyilatkozat tételére kötelesek, vagy a Hivatal és
a külső fél közötti jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási
kötelezettségéről. A titoktartási kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel
kapcsolatos, illetve ezek bevezetése során tudomásukra jutó valamennyi információra. Figyelembe kell
venni a központi szolgáltató (a jogszabály által kijelölt központosított informatikai és elektronikus hírközlési
szolgáltató) előírásait.
Az elektronikus információs rendszerek üzemeltetőinek, szolgáltatóknak az emberi erőforrás
megbízhatóságának biztosítása érdekében a háttérszolgáltatást biztosító szolgáltatói állomány
tekintetében gondoskodnia kell a vonatkozó jogszabályokban rögzített megfelelőségi követelmények
teljesítéséről (például érzékeny adatok feldolgozását végző rendszerhez kik kaphatnak fizikai és logikai
hozzáférést).
1.6.2. Munkakörök, feladatok biztonsági szempontú besorolása A Hivatal minden érintett szervezeti munkakört, vagy a szervezethez kapcsolódó feladatot biztonsági
szempontból besorol, felméri a nemzetbiztonsági ellenőrzés alá eső munkaköröket és feladatokat,
rendszeresen felülvizsgálja és frissíti a munkakörök és feladatok biztonság szempontú besorolását.
A besorolásnál figyelembe kell venni a vonatkozó jogszabályok előírásait.
A nemzetbiztonsági ellenőrzés célja annak vizsgálata, hogy a fontos és bizalmas munkakörre jelölt, illetve
az ilyen munkakört betöltő személyek megfelelnek-e az állami élet és nemzetgazdaság jogszerű
működéséhez szükséges biztonsági feltételeknek. A biztonsági feltételek vizsgálata azt jelenti, hogy az
ellenőrzés alá vont személlyel kapcsolatban felvetődnek-e olyan kockázati tényezők, körülmények,
információk, amelyek miatt tevékenysége jogellenes céllal befolyásolhatóvá, illetve támadhatóvá válhat, és
ez által a nemzetbiztonságot sértő vagy veszélyeztető helyzet állhat elő. A nemzetbiztonsági ellenőrzés
kockázat-vizsgálat, nem annak bizonyítására vagy kizárása irányul, hogy az ellenőrzöttet jogellenesen
befolyásolták és ez által a nemzetbiztonság veszélyeztetett, hanem hogy a feltárt tények, körülmények,
információk alapján okkal feltételezhető-e, hogy ilyen helyzet kialakulhat. A nemzetbiztonsági ellenőrzésre
az érintett tudtával kerülhet sor.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 39/92
1.6.3. A személyek ellenőrzése A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs
rendszerekkel kapcsolatba kerülő személyekre vonatkozóan (beleértve a nem a Hivatal személyi
állományába tartozókat is) az elektronikus információs rendszerhez való hozzáférési jogosultság
megadása előtt kötelező ellenőrzi, hogy a hozzáférési jogosultságot igénylő személy az adott szervezeti
munkakörnek vagy a szervezethez kapcsolódó feladat biztonsági szempontból történő besorolásának
megfelelő feltételekkel rendelkezik-e, teljesíti-e a nemzetbiztonsági ellenőrzés alá eső munkakörökre és
feladatokra vonatkozó előírásokat.
A Hivatal vezetője a nemzetbiztonsági ellenőrzés alá eső munkaköröket betöltő vagy feladatokat ellátó
személyek tekintetében a jogosultság megadása előtt kezdeményezi a nemzetbiztonsági szolgálatokról
szóló törvényben meghatározott nemzetbiztonsági ellenőrzést, az elektronikus információs rendszerhez
való hozzáférés ideje alatt folyamatosan ellenőrzi a meghatározott feltételek fennállását.
Alkalmasság vizsgálat:
a. A Hivatal vezetője vagy a humánpolitikai szervezet vezetőjének a felelőssége, hogy foglalkoztatás
előtt a betöltendő anyakönyvi vagy ASP szakrendszerhez kapcsolódó munkakör kockázataival
arányos mértékű megfelelőségi vizsgálatot végezzen el a foglalkoztatni kívánt munkatárs
vonatkozásában.
b. A kockázattal arányos mértékben mérlegelni kell a foglalkoztatni kívánt személy egyéni
tulajdonságait is (pl. megbízhatóság, felelősségtudat, elkötelezettség, terhelhetőség,
koncentrálóképesség stb.).
c. Meg kell győződni arról, hogy a foglalkoztatni kívánt személy rendelkezik a munka elvégzéséhez
szükséges végzettséggel, tapasztalatokkal.
d. A Hivatal vezetője (biztonságért felelős vezető) vezetőjének felelőssége, hogy az informatika
külsős felek által, a szerződött feladatok végrehajtására kijelölt személyek a munkavégzés
kockázataival arányos mértékben átvilágításra kerüljenek.
e. A humánpolitikai szakterület vezetőjének vagy a jegyző által kijelölt személynek a felelőssége,
hogy a foglalkoztatás alkalmával az önkormányzati hivatal munkaköri leírásban rögzítse a
kockázatokkal arányosan a titoktartás követelményeit (Titoktartási nyilatkozat) és a foglalkoztatás
egyéb kikötéseit.
f. A jegyző felelőssége, hogy a szerződő felek a szerződésben rögzítsék a kockázatokkal arányosan
a titoktartás követelményeit és az együttműködés egyéb kikötéseit.
g. A humánerőforrás fentebb leírt pontjai nem lehetnek ellentmondásban a Hivatal hatályos
Informatikai biztonsági szabályzatával.
1.6.4. Eljárás a jogviszony megszűnésekor A Hivatal vezetője belső szabályozásban meghatározott időpontban megszünteti a hozzáférési
jogosultságot az elektronikus információs rendszerhez. Ennek keretében a jegyző/megbízott szervezeti
egység vezető és a rendszergazda:
a. megszünteti, vagy visszaveszi a személy egyéni hitelesítő eszközeit (valamennyi alkalmazottnak,
a szerződőknek és a felhasználó harmadik feleknek információkhoz és információ-feldolgozó
eszközökhöz való hozzáférési jogosultságát meg kell szüntetni, amikor alkalmazásuk megszűnik,
szerződésük, illetve megállapodásuk lejár);
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 40/92
b. tájékoztatja a kilépőt az esetleg reá vonatkozó, jogi úton is kikényszeríthető a jogviszony
megszűnése után is fennálló kötelezettségekről;
c. visszaveszi az érintett Hivatal elektronikus információs rendszerével kapcsolatos, tulajdonát
képező összes eszközt, beleértve a hitelesítésre szolgáló eszközöket, felhasználói kártyákat (pl.
anyakönyvi kártya), a Hivatal területére való belépésre jogosító kártyákat (pl. proximity kártya),
dokumentumokat is;
d. megtartja magának a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt
elektronikus információs rendszerekhez és Hivatali információkhoz (a felhasználó elektronikusan
tárolt információit, e-mailjeit és egyéb általa létrehozott adatot menteni, archiválni kell az általa
használt informatikai eszközről, szerver tárhelyről, illetve bármely egyéb adathordozóról, az
archivált adatokat a törvényi előírásoknak megfelelően tárolni kell, illetve ha szükséges, a megadott
idő után törölni a rendszerből);
e. az általa meghatározott módon a jogviszony megszűnéséről értesíti az általa meghatározott
szerepköröket betöltő, feladatokat ellátó személyeket;
f. a jogviszonyt megszüntető személy elektronikus információs rendszerrel, vagy annak
biztonságával kapcsolatos esetleges feladatainak ellátásáról a jogviszony megszűnését
megelőzően gondoskodniuk kell az illetékeseknek.
A jogviszony megszűnésekor a jogviszonyt megszüntető személy esetleges elektronikus információs
rendszert, illetve abban tárolt adatokat érintő, elektronikus információbiztonsági szabályokat sértő
magatartását meg kell előzi.
A szerepkörök és jogosultságok változtatását meghatározott eljárás szerint a változáskezelés keretében
kell végrehajtani. A jogosultság változást a Jogosultság igénylő lapon és/vagy egyéb feljegyzésen kell
dokumentálni informatikai biztonsági eljárásrend szerint vagy a központi szolgáltató (a jogszabály által
kijelölt központosított informatikai és elektronikus hírközlési szolgáltató) által meghatározott módon.
Jogviszony megszűnésekor valamennyi felhasználónak, a szerződőknek és a felhasználó harmadik félnek
vissza kell szolgáltatnia a Hivatal valamennyi használatra átvett vagyontárgyát, amikor alkalmazásuk,
szerződésük, illetve megállapodásuk lejár, illetve megszűnik. Az eszközök leadásakor a nyilvántartás
alapján ellenőrizni kell, hogy a felhasználó teljeskörűen átadta-e a felügyeletére bízott eszközöket (a
rögzített hardver-, szoftver specifikációval adja-e vissza a hardver eszközöket).
A megszűnt jogviszonyú munkatárs számára kiosztott hozzáféréseket (beleértve az informatikai
rendszerek, szakrendszerek, levelező rendszer jelszavait, a beléptető-, riasztórendszer kódját, ha van – az
ügymenet folytonosság biztosítása mellett – a lehető legkorábbi időpontban vissza kell vonni.
A Hivatal vagy a szervezeti egység vezetőjének kell funkciója keretében valamennyi személyi változást és
a jogosultságok ebből eredő változásait a felelős adminisztrátor, rendszergazda és az elektronikus
információs rendszerek biztonságáért felelő felé a jogosultságok aktualizálása érdekében dokumentáltan
jelenteni. A jogviszony megszűnését követően a megszűnt jogviszonyú felhasználó azonosítójával
elkövetett visszaélésekkel kapcsolatban a mulasztást elkövetők (pl. a jelentést vagy eszközök visszavételét
elmulasztók) mulasztásuk arányában együttesen felelnek.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 41/92
1.6.5. Az áthelyezések, átirányítások és kirendelések kezelése A Hivatal szükség esetén (az adott szervezeti munkakörnek vagy a szervezethez kapcsolódó feladat
biztonsági szempontból történő besorolásának megfelelően, a nemzetbiztonsági ellenőrzés alá eső
munkaköröket betöltő vagy feladatokat ellátó személyek tekintetében) elvégzi a 1.6.3. pontban foglalt, a
személyek ellenőrzésére vonatkozó eljárást:
a. logikai és fizikai hozzáférést engedélyez az újonnan használni kívánt elektronikus információs
rendszerhez;
b. szükség esetén elvégzi az áthelyezés miatt megváltozott hozzáférési engedélyek módosítását
vagy megszüntetését;
c. az általa meghatározott módon a jogviszony változásáról értesíti az általa meghatározott
szerepköröket betöltő, feladatokat ellátó személyeket.
1.6.6. A Hivatallal szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelmények A Hivatal:
a. a külső szervezettel kötött megállapodásban, szerződésben megköveteli, hogy a külső szervezet
határozza meg az érintett szervezettel kapcsolatos, az információbiztonságot érintő szerep- és
felelősségi köröket, köztük a biztonsági szerepkörökre és felelősségekre vonatkozó elvárásokat is;
b. szerződéses kötelezettségként megköveteli, hogy a szerződő fél feleljen meg az érintett szervezet
által meghatározott személybiztonsági követelményeknek;
c. a szerződő féltől megköveteli, hogy dokumentálja a személybiztonsági követelményeket;
d. előírja, hogy ha a szerződő féltől olyan személy lép ki, vagy kerül áthelyezésre, aki rendelkezik az
érintett szervezet elektronikus információs rendszeréhez kapcsolódó hitelesítési eszközzel vagy
kiemelt jogosultsággal, akkor soron kívül küldjön értesítést az érintett szervezetnek;
e. folyamatosan ellenőrzi a szerződő féltől személybiztonsági követelményeknek való megfelelését.
A Hivatal elektronikus információs rendszereinek fejlesztésére, üzemeltetésére vagy adatfeldolgozására
külső féllel kötött megállapodásokban rendelkezni kell a külső fél információbiztonsági kötelezettségeiről
és a Hivatal ellenőrzési jogosultságairól, így különösen:
a. az informatikai biztonság fő szabályairól,
b. a feldolgozandó, kezelendő adatok érzékenységéről, a biztonsági osztályokról, illetve a védelem
érdekében meghatározott és a külső fél által alkalmazandó eljárásokról,
c. az információbiztonsággal, valamint az adatkezeléssel összefüggő tevékenységek hatékony
nyomonkövethetőségéről,
d. az információk másolásának és nyilvánosságra hozatalának feltételeiről,
e. a szolgáltatás elvárt szintjének és a szolgáltatási időszaknak a meghatározásáról,
f. a külső fél tevékenységének az üzletmenet-folytonossági és katasztrófaelhárítási tervekre
gyakorolt hatásáról,
g. a teljesítések ellenőrizhetőségéről, monitorozásának lehetőségeiről,
h. a garanciaszintekről, azok követelményeiről,
i. a hardver- és szoftvertelepítésből, valamint a karbantartásokból eredő felelősségről,
j. a világos és egyértelmű jelentéskészítési struktúráról,
k. a változáskezelések egyértelmű és meghatározott folyamatáról,
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 42/92
l. a kártékony kódok elleni óvintézkedések meghatározásáról,
m. a biztonsági eseményeket követő jelentéstételi kötelezettségről, illetve a biztonsági események
kezelésére vonatkozó feladatokról és eljárásokról,
n. az érintett rendszerelemek és folyamatok meghatározásáról,
o. azokról a paraméterekről, amelyeket a külső félnek el kell érnie ahhoz, hogy igazolható legyen a
teljesítése,
p. az egyes szolgáltatásokhoz kapcsolódó elvárt szolgáltatási szintekről, valamint a szolgáltatások
mérésének és azokra vonatkozó jelentések módjáról,
q. a megállapodásból eredő jogsértésekhez kapcsolódó szankciókról,
r. a külső fél és a munkatársak közötti feladat és felelősség megosztásáról, valamint az egymás
tájékoztatásának és a teljesített feladat átadás-átvételének folyamatáról, valamint
s. a rendkívüli helyzetek kezelése esetén alkalmazandó feladatmegosztásról, feladat- és felelősségi
körökről, illetve a jelentési kötelezettségről.
A külső féllel történő megállapodás megkötését megelőzően a jegyző – az elektronikus információs
rendszer biztonságáért felelős személy bevonásával – megvizsgálja, hogy a külső fél által nyújtott
szolgáltatásnak milyen információbiztonsági kockázatai vannak. Az így megállapított kockázatokkal
arányosan kell meghatározni a megállapodásban a külső fél által teljesítendő információbiztonsági
kötelezettségeket.
A Hivatal előírja és folyamatosan ellenőrzi a szerződő fél személybiztonsági követelményeknek való
megfelelését. Elvárja, hogy a külső fél munkavégzése során:
a. gondoskodjon arról, hogy az elektronikus információs rendszerben kezelt adatok bizalmassága,
sértetlensége, rendelkezésre állása és az adatvédelem elvei nem sérülhetnek,
b. gondoskodjon arról, hogy a hozzáférési jogot kapott munkatársai a jogosultságot nem adhatják át
más személynek,
c. gondoskodjon arról, hogy a hozzáférési azonosítókat és az ezekhez kapcsolódó fizikai eszközöket
bizalmasan kezelje, és biztosítsa, hogy azokhoz illetéktelen személyek ne férhessenek hozzá,
d. gondoskodjon arról, hogy ha olyan személy lép ki, vagy kerül áthelyezésre, aki rendelkezik a
Hivatal elektronikus információs rendszeréhez kapcsolódó hitelesítési eszközzel vagy kiemelt
jogosultsággal, akkor soron kívül küldjön értesítést a Hivatalnak;
e. garantálja az elektronikus információs rendszerek és infokommunikációs eszközök megfelelő
védelmét, a szükséges és elégséges hozzáférés elvének betartását, fizikai és logikai védelem
kialakítását, rendszerszintű titkosítási eljárások alkalmazását, illetve a biztonsági naplózást,
valamint
f. ha távolról éri el a Hivatal hálózatát, illetve valamely elektronikus információs rendszerét, akkor a
biztonságos elektronikus adatcsere-kapcsolat érdekében köteles a Hivatal által előírt
információbiztonsági megoldásokat megvalósítani mindazon saját eszközein, amelyekről a távoli
elérés lehetséges.
g. Bizalmas adatforgalom a Hivatal és a külső fél között csak titkosított kommunikációs csatorna
biztosításával történhet.
h. Az elektronikus információs rendszerhez kapcsolódó rendszergazdai feladatok ellátásáért az
üzemeltetést végző külső fél felel.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 43/92
i. A külső fél által megállapodás alapján nyújtott szolgáltatásainak megfelelőségét a Hivatal vezetője
és a rendszergazda – szükség esetén az elektronikus információs rendszer biztonságáért
felelőssel együttműködve – folyamatosan ellenőrzi.
1.6.7. Fegyelmi intézkedések A Hivatal vezetője belső eljárási rend szerint fegyelmi eljárást kezdeményez az elektronikus
információbiztonsági szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel
szemben. Amennyiben az elektronikus információbiztonsági szabályokat nem a Hivatal személyi
állományába tartozó személy sérti meg, érvényesíti a vonatkozó szerződésben meghatározott
következményeket, megvizsgálja és szükség szerint alkalmazza az egyéb jogi lépéseket.
1.6.8. Belső egyeztetés A Hivatal tervezi és egyezteti az elektronikus információs rendszer biztonságát érintő tevékenységeit, hogy
csökkentse annak a nem érintett szervezeti egységeire gyakorolt hatását.
1.6.9. Viselkedési szabályok az interneten A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerhez
hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat a rájuk vonatkozó
szabályokat, felelősségüket az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet.
A Hivatal az internethasználattal és az elektronikus levelezéssel kapcsolatos részletes szabályokat
Informatikai biztonsági eljárásrendben vagy más szabályzatban kezelheti.
Az internethasználat legbiztonságosabb módjának kialakításáért a rendszergazda gondoskodik, az
elektronikus információs rendszer biztonságáért felelőssel együttműködve.
Alapelv, hogy a Hivatal elektronikus levelezési rendszere és a Hivatal tulajdonában álló, a felhasználók
részére rendelkezésre bocsátott számítógépekről az internet hálózat a feladatellátáshoz szükséges célokra
használható. Azokon a számítógépeken, amelyeken a Hivatal szakfeladatait támogató elektronikus
információs rendszereinek használatára vagy a szakfeladatokhoz szükséges adatok, dokumentumok
tárolására kerül sor, csak a szakfeladatokhoz közvetlenül szükséges weboldalak használata
engedélyezett, technikai intézkedésekkel tiltani kell a szakfeladatokhoz nem szükséges weboldalak
elérését. Az engedélyezett weboldalakat a jegyző határozza meg, a rendszergazda feladata a hozzáférés
korlátozása.
A Hivatal informatikai hálózatán, eszközein tilos a chat, fájlcsere, a közösségi oldalak használata, szakmai
vagy közösségi célokból egyedi engedélyt a jegyző adhat. A közösségi oldalak elérése kizárólag a Hivatal
hálózatáról leválasztott számítógépeken engedélyezett, kizárólag a Hivatal hálózatáról leválasztott
számítógépeken, a munkavégzéshez szükséges minimális időtartamban.
Tilos az egyes weboldalakról állományokat letölteni, vagy ha a letöltés a feladatellátáshoz feltétlenül
szükséges, akkor azt a rendszergazda, a jegyző, a szervezeti egység vezető vagy az általa megbízott
személy végezheti. A szakfeladatokon kívüli engedélyezett internethasználatot kizárólag a Hivatal
informatikai hálózatától fizikailag is elkülönített számítógépen lehet technikailag biztosítani.
Az elektronikus levelezés során a hivatalos és a személyes postafiókokat vírusvédelmi rendszer védi.
Az elektronikus postafiókba érkező, ismeretlen feladótól származó, nem szokványos formátumú, gyanús
csatolmányt tartalmazó, illetve idegen nyelvű küldeményekkel – a fennálló vírusveszély miatt – fokozott
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 44/92
óvatossággal kell eljárni. Gyanús küldemény érkezésekor, illetve a vírusvédelmi rendszer riasztása esetén
a biztonsági események kezelésénél irányadó eljárási szabályok érvényesek; a csatolmányt ilyen esetben
megnyitni tilos. Tilos lánclevelek indítása vagy továbbítása.
A Hivatal a felhasználók rendelkezésére bocsátott számítógépeken történő elektronikus levelezést
korlátozhatja, az Internetről letöltött, illetve a tárhelyeken tárolt állományokat ellenőrizheti, a nem a
feladatellátáshoz szükséges állományokat törölni kell.
A felhasználó köteles a számára a rendszergazda által meghatározott e-mail címről levelezését oly módon
folytatni, hogy az a Hivatal érdekeit ne sértse.
Levelezés a Hivatal saját tulajdonú domain névhez kapcsolódó tárhelyen történhet, a rendszergazda által
meghatározott vagy a tárhely szolgáltató által biztosított levelező rendszer használatával (lehetőség szerint
(SSL) POP3 hozzáféréssel vagy webmail igény esetén (SSL) IMAP hozzáféréssel). Szükséges felhasználó
szinten történő email címek létrehozása ([email protected]), csoportosan ([email protected])
alias létrehozásával.
Tilos a Hivatal saját tulajdonú domain névhez tartozó levelezőrendszerén kívüli levelezőrendszer-
használat. Az ingyenes levelezőrendszerek (pl. freemail, gmail, stb.) használatát a szakrendszerek
munkaállomásain technikai korlátozásokkal tiltani kell.
Az Ibtv. 3. § (2)-(3) bekezdése alapján a külföldi adatkezelést, az egyes elektronikus információs
rendszerek Magyarország területén kívül üzemeltetetését előzetesen engedélyeztetni kell.
A felhasználónak az Internet használata során tilos:
a. a Hivatallal kapcsolatos információk nyilvános internetes oldalakon való illegális közzététele,
b. az Interneten elérhető nyilvános chat-és fórum oldalakon hivatali email címmel hozzászólni,
c. fájlcserélő alkalmazásokat futtatni, illetve nem hivatali munkavégzéshez szükséges letöltéseket
végezni,
d. hivatali email címmel a hivatali munkához nem kapcsolódó vagy nyilvános levelezőlistákra,
hírlevelekre feliratkozni.
Az elektronikus levelekben, vagy azok mellékleteként a felhasználók által csatolt állományokat az
informatikai rendszer automatikusan ellenőrzi, és a biztonságos üzemeltetést veszélyeztető állományok
esetében a használatot, illetve a küldés/fogadást megakadályozza. Az állományok küldésére és
fogadására vonatkozó korlátozás kiterjed a rendeltetésszerű- és az ésszerű használat kereteit meghaladó
méretű állományokra is.
Ha a felhasználó elektronikus levélben vagy annak mellékletében kapott olyan állományt, amely nem
munkavégzéshez kapcsolódik, azt csak a kifejezetten erre a célra létrehozott tárhelyen jogosult tárolni.
Amennyiben ezt a szabályt megszegi, a rendszergazda köteles az adott állományt eltávolítani a
rendeltetésszerű használat érdekében.
A felhasználó tudomásul veszi, hogy amennyiben a Hivatal által rendelkezésére bocsátott e-mail címet
nem munkavégzéssel kapcsolatos levelezésre használja, azt saját felelősségére teszi, valamint a Hivatal
ellenőrzési és felelősségre vonási jogosultsága ezen elektronikus levelek tekintetében fennáll.
A felhasználó tudomásul veszi, hogy amennyiben a Hivatal által rendelkezésére bocsátott internet-
használati jogosultságot nem munkavégzés céljára használja, azt saját felelősségére teszi, valamint a
Hivatal ellenőrzési, felelősségre vonási és törlési jogosultsága ezen használat tekintetében és a nem a
meghatározott tárhelyen tárolt állományokra vonatkozóan fennáll.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 45/92
A Hivatal a felhasználók által böngészett oldalak listáját naplózza. A naplófájl készítésének és
ellenőrzésének célja, hogy a felhasználók Internet használata megfeleljen a Hivatal biztonsági
követelményeinek és jogos érdekeinek.
A Hivatal kizárólag a számára dedikált kommunikációs kapcsolaton keresztül vagy saját infrastruktúráján
megvalósított felhő alapú szolgáltatást (magánfelhőt), vagy indokolt esetben szigorú szabályok szerinti
közösségi felhőt használhat, az informatikai kockázatok és az adatok feletti felügyelet hiánya miatt tilos
nyilvános felhőalapú rendszerek használata.
A rendszergazda köteles rendszeresen ellenőrizni, hogy a felhasználók számára biztosított az Internet
elérést lehetővé tevő szoftverek mentesek a komolyabb biztonsági hibáktól.
1.7. TUDATOSSÁG ÉS KÉPZÉS
1.7.1. Kapcsolattartás az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és az e célt szolgáló ágazati szervezetekkel A Hivatal vezetőjének feladata az elektronikus információs rendszerek biztonságáért felelős személlyel
együttműködve az elektronikus információs rendszerhez hozzáféréssel rendelkező személyek folyamatos
oktatásának, képzésének elősegítése, az ajánlott elektronikus információbiztonsági eljárások, technikák és
technológiák naprakészen tartása.
Az elektronikus információs rendszerek biztonságáért felelős a fenyegetésekre, sebezhetőségekre és
biztonsági eseményekre vonatkozó legfrissebb információk megosztása érdekében kapcsolatot alakít ki és
tart fenn az elektronikus információbiztonság jogszabályban meghatározott szervezetrendszerével, és e
célt szolgáló ágazati szervezetekkel (Nemzeti Kibervédelmi Intézet Kormányzati Eseménykezelő Központ).
Figyelemmel kíséri a kiadott tájékoztatókat, riasztásokat, a Hivatal informatikai rendszereit érintő
események esetén értesti az érintetteket, megteszi a szükséges teendőket.
1.7.2. Képzési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a képzési eljárásrendet, mely a képzésekhez
kapcsolódó szabályokat és az azokhoz kapcsolódó ellenőrzések megvalósítását segíti elő. Az informatika
biztonsági rendszer követelményeinek ismertetése biztosítja, hogy a munkavállalók megismerhessék a
munkájuk elvégzésével kapcsolatos biztonsági elvárásokat annak érdekében, hogy tevékenységük
biztonsági színvonala megfeleljen az elvárható igényeknek. Az eljárásrendet a szükséges mértékben és
meghatározott gyakorisággal felülvizsgálja.
Az eljárásrend alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
1.7.3. Biztonság tudatosság képzés A Hivatal annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső
fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést nyújt az
elektronikus információs rendszer felhasználói számára.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 46/92
A képzés további célja az érintett személyek, az elektronikus információs rendszer felhasználói alapvető
biztonsági követelményekkel kapcsolatos tudatosságának fenntartása, az érintett személyek felkészítése
a belső fenyegetések felismerésére, jelentési kötelezettségük tudatosítása.
A képzés szükséges:
a. a biztonsági tudatosság érdekében, az elektronikus információs rendszer újonnan belépő
felhasználói számára, a kezdeti képzés részeként,
b. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi,
c. ismétlődően 3 évente,
d. amikor a jegyző erre utasítást ad vagy erre vonatkozóan utasítás, elrendelés érkezik.
Felelősségek
Hivatal vezetője (jegyző)
- Felelős a képzési kritériumok meghatározásáért
- Kinevezi a felelősöket, tevékenységüket felügyeli
- Gondoskodik a képzési szabályok betartásáról
- Biztosítja a képzéshez a szükséges erőforrásokat
- Dönt a képzési szabályok elfogadásáról a szükséges intézkedésekről, figyelemmel kísérési
feladatokról
Képzési felelős (képzési referens vagy a jegyző)
- Kezdeményezi az éves rendszeres felülvizsgálatokat
- Javaslatokat tesz a képzési módosítási szabályokra
- Követi a képzési intézkedések megvalósulását
- Gondoskodik a képzési intézkedések, kontrollok szabályozásokba, dokumentációs rendszerbe
illesztéséről
- Felelős a szükséges oktatások megtartásáért, megtartatásáért
Munkatársak
- Felelősek a közzétett, illetve számukra kiadott előírások betartásáért,
- Az oktatásokon átadott ismeretek elsajátításáért, lehetőség szerinti fejlesztéséért önképzéssel
- Az informatikai biztonság tudatosítása, fejlesztése érdekében javaslatainak eljuttatása felettesei
vagy az elektronikus információs rendszerek biztonságáért felelős vezető felé
A jegyző biztosítja, hogy a Hivatal munkavállalói az informatikai biztonsági rendszer követelményeiről és
az abban bekövetkezett esetleges változásokról megfelelő képzésben részesüljenek. A képzési tervnek
megfelelően gondoskodik a belső oktatási tematika kialakításáról és a képzések lefolytatásáról.
A felhasználók IT biztonsági tudatosítása érdekében az alábbi feladatokat kell végrehajtani:
a. a személyi kockázatok csökkentése érdekében meg kell oldani az elektronikus információs
rendszerek felhasználóinak, üzemeltetőinek biztonsággal kapcsolatos tudatosítását;
b. az IT biztonság tudatosítása a felhasználók esetében oktató anyagok terjesztésével és képzések
útján történik, melyről a jegyző gondoskodik. Az oktatási tematikákat és anyagokat az elektronikus
információs rendszer biztonságáért felelős személy készíti, a jegyző véleményezi, szükség szerint
a rendszergazda bevonásával;
c. el kell végezni a jogszabály által előírt kötelező képzéseket, továbbképzéseket.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 47/92
Az Ügymenet-folytonossági tervvel kapcsolatos képzésekről (az eljárásrend követelményei szerint) a
jegyző rendelkezik, a rendszergazda és az elektronikus információs rendszerek biztonságáért felelőssel
együttműködve. A képzés kiterjed minden alkalmazottra, szükség esetén az alvállalkozókra is. Célja, hogy
minden alkalmazott ismerje, milyen esetben, és kit kell értesíteni katasztrófa esetén. Ezen információk
mindenki számára elérhetőek a belső hálózaton.
Az Ügymenet-folytonossági tervben speciális feladatokat ellátók (pl. döntések meghozataláért felelős
vezetők, informatikai alkalmazásokért, hardver, szoftver eszközökért felelősök) külön képzésben
részesülnek, melynek keretében egyeztetésre kerülnek az általuk elvégzendő feladatok.
Az elektronikus információs rendszerek biztonságáért felelős feladata az érintettek, felhasználók számára
az informatikai biztonsági tudatosság megszerzéséhez, szintentartásához szükséges oktatási anyag
összeállítása, naprakészen tartása. Az oktatási anyagnak kellő mélységű gyakorlati ismereteket is kell
tartalmaznia. Az oktatási anyag összeállítása során fel kell használni a rendszergazda
rendszerüzemeltetési tapasztalatait (felmerült problémák, informatikai incidensek kezelése, megelőző
intézkedések). A rendszergazda a jegyző döntésének megfelelően szükség esetén egyedi oktatási anyagot
állít össze, rendkívüli oktatást tart és dokumentál.
1.7.4. Belső fenyegetés A biztonságtudatossági képzés feladata, hogy az érintett személyeket készítse fel a belső fenyegetések
felismerésére, és tudatosítsa jelentési kötelezettségüket.
A biztonsági oktatások tematikáját az elektronikus információs rendszerek biztonságáért felelős készíti el,
arra szükséges időközönként, de legalább évente felülvizsgálja és szükség szerint aktualizálja.
Az oktatásnak az elméleti ismereteken túl, gyakorlati példákat is tartalmaznia kell.
1.7.5. Szerepkör, vagy feladat alapú biztonsági képzés A Hivatal szerepkör vagy feladat alapú biztonsági képzést nyújt az egyes szerepkörök szerinti, azért felelős
személyeknek:
a. az elektronikus információs rendszerhez való hozzáférés engedélyezését vagy a kijelölt feladat
végrehajtását megelőzően;
b. amikor az elektronikus információs rendszerben bekövetkezett változás szükségessé teszi;
c. a Hivatal által meghatározott rendszerességgel
Az új munkavállalók a betanulási időszak alatt személyre szabott program alapján a szervezeti egység
vezető vagy az általa kijelölt személy közreműködésével sajátítják el a szükséges ismereteket. Akkor lehet
önálló munkával megbízni, ha a munkavállaló megfelelő gyakorlatot szerzett és a felelős meggyőződött a
felkészültségéről. Az új munkavállaló képzése során gondoskodni kell az informatikai biztonsággal
kapcsolatos képzéséről, tudatosításáról. Meg kell ismertetni a rá vonatkozó informatikai biztonsággal
kapcsolatos előírásokkal, szabályzatokkal.
Az informatikai rendszerekhez felhasználói jogosultságot csak olyan személyek részére szabad kiadni, akik
elfogadják a Hivatal információbiztonsági szabályait. Az új munkavállaló a munkaköréhez szükséges
felhasználói jogosultságait a vonatkozó eljárásrend kell kiadni.
A felhasználót az azonosító(k) átadását megelőzően oktatásban kell részesíteni a használat feltételeiről és
szabályairól, meg kell ismertetni a rá vonatkozó informatikai biztonsággal kapcsolatos előírásokkal,
szabályzatokkal. Az oktatás Oktatási tematika vagy egyéb dokumentum alapján vagy e-learning
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 48/92
módszerrel történhet. Szakrendszerhez kapcsolódó felhasználói azonosító átadását megelőzően a
felhasználót oktatásban kell részesíteni az adott szakrendszer használatáról. Az oktatás, a betanulási
időszakban az új munkavállaló szakrendszerben végzett munkájának fokozott ellenőrzése a megbízott
szervezeti egység vezető vagy a jegyző által kijelölt felelős feladata. Az új bevezetésű szakrendszerek
felhasználóinak (pl. ASP keretrendszer és szakrendszerek) részt kell venni az előírt oktatásokon, amely
alapján a rendszert az elvárásoknak megfelelően, önállóan is használni tudják.
A Hivatal azoknak a munkatársaknak, akiknek az idevonatkozó törvény és jogszabályok előírják, külső
képzést biztosít. A képzéseket az erre szolgáló központi alkalmazással tervezni szükséges, melynek
felelőse a jegyző vagy az általa megbízott felelős.
Új szabályozás vagy a szabályozás jelentős változása esetén az érintetteket képzésben kell részesíteni, a
szabályzatot, szabályozást, az abban foglaltak megismerését, tudomásulvételét, betartását Megismerési
nyilatkozaton vagy egyéb feljegyzésen kell dokumentálni.
Az oktatásokat úgy kell szervezni, hogy minimálisan három évente egyszer ismétlő, frissítő ismereteket
kapjanak a munkatársak. Az új belépő munkatárs oktatását a munkakörétől függően, a lehető legrövidebb
időn belül kell elvégezni. Rendkívüli oktatást kell tartani, ha biztonsági vagy egyéb incidens történik, a
rendkívüli oktatást a jegyző a rendszergazda vagy az elektronikus információs rendszerek biztonságáért
felelős javaslata alapján rendeli el.
Az Ibtv. által előírt, az elektronikus információs rendszerek biztonságáért felelős vezető, felelős
személy(ek), valamint a feladatok ellátásában résztvevő személy(ek) számára a vonatkozó jogszabály
kötelező képzést ír elő. A továbbképzéseket (belépő képzések) és az éves továbbképzéseket (ismétlődő
képzések) a Nemzeti Közszolgálati Egyetem szervezi.
Az elektronikus információs rendszerek védelméért felelős vezető (a jegyző) az állami és önkormányzati
szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus
információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló
26/2013. (X. 21.) KIM rendelet alapján képzésre és éves továbbképzésre kötelezett.
Amennyiben nem megfelelő jogosultsággal rendelkező munkatárs vagy külső szakértő látja el az
elektronikus információs rendszerek biztonságáért felelős feladatait, a kijelölt személy beiskolázásáról is
gondoskodni kell. A szakirányú továbbképzés beiskolázási feltételeit a rendelet tartalmazza.
Amennyiben nem kizárólag az elektronikus információs rendszerek biztonságáért felelős látja el az
elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy
feladatait, akkor a feladatok ellátásárban részt vevő személy(ek) képzését, éves továbbképzését is tervezni
kell, meg kell valósítani a jogszabály előírása szerint.
1.7.6. A biztonsági képzésre vonatkozó dokumentációk
A Hivatal dokumentálja a biztonságtudatosságra vonatkozó alap-, és szerepkör alapú biztonsági
képzéseket, a képzésen résztvevőkkel a képzés megtörténtét elismerteti, és ezt a dokumentumot megőrzi.
A belső képzésről dokumentum születik, mely tartalmazza a képzés helyét, tárgyát, idejét, stb. és a
résztvevők illetve oktató aláírásait. Az oktatásokkal kapcsolatos dokumentumokat a kijelölt képzésért
felelős kezeli, tárolja. A belső képzéseken túl a külső képzésekről a részvételi, ill. látogatási igazolást és
egyéb dokumentumokat, a kapott bizonyítványokat is archiválja a személyi anyagban, melyet zárt tűzvédett
páncélszekrényben tárol. A képzési dokumentációk megtekintését a Hatóságoknak biztosítani kell.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 49/92
FIZIKAI VÉDELMI INTÉZKEDÉSEK
2.1. FIZIKAI ÉS KÖRNYEZETI VÉDELEM
2.1.2. Fizikai védelmi eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerek
szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, melyet az
Informatikai biztonsági eljárásrendben kezel. Az informatika biztonsági rendszer rendkívüli módosításakor
vagy biztonsági esemény bekövetkeztekor, illetve tervezetten 3 évente a szabályzatot újra vizsgálja,
szükség szerinti módosítja.
Az eljárásrend három biztonsági zónát határoz meg és rögzíti a belépésre jogosult személyek körét. Ezen
túlmenően leírásra kerülnek a belépés-védelemmel szemben támasztott biztonsági követelmények, ahol
különbséget kell tenni az általános és biztonsági zóna-specifikus követelmények között. Az eljárárendben
egységesen meghatározásra kerülnek mind a dolgozóknak, mind a külső személyeknek a Hivatal
helyiségeibe és épületeibe történő belépésére vonatkozó előírások, garantálva a Hivatalnál meglévő
információk biztonságát.
A fizikai védelemre vonatkozó eljárásrend alkalmazása során figyelembe kell venni az elektronikus
információs rendszer – kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a
41/2015. (VII. 15.) BM rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól
kötelező alkalmazni. A fizikai védelmi intézkedések követelményeit a Hivatal és az elektronikus információs
rendszer üzemeltetője (szolgáltató) saját hatókörén belül teljesíti.
Az eljárásrend alkalmazása során figyelemmel kell lenni a más jogszabályban meghatározott tűz-, és
személyvédelmi, valamint a személyes adatok kezelésére vonatkozó rendelkezésekre, valamint arra, hogy
a rendelkezések az adott létesítmény bárki által szabadon látogatható, vagy igénybe vehető területeire
nem vonatkoznak. A fizikai biztonságnak meg kell felelnie a jogszabályi elvárásoknak.
A magas biztonsági követelményű, 3-as és magasabb biztonsági osztályba sorolt elektronikus információs
rendszereknek (pl. anyakönyvi rendszerek, ASP szakrendszerek) helyt adó épületekre vonatkozóan
lehetőség szerint törekedni kell az élő erős őrzés megvalósítására. Az őrszolgálat (ha van) működési
rendjét, az incidenskezelés folyamatát szabályzatban, eljárásrendben kell rögzíteni.
Ezen elektronikus információs rendszereknek helyt adó épületekre vonatkozóan legyen kialakítva az
objektum védelme beléptető, behatolás védelmi, tűzjelző és lehetőség szerint video-megfigyelő
rendszerrel. A biztonsági rendszerek adatai legyenek archiválva, a hazai jogszabályok által megengedett
maximális megőrzési időkig.
A földszinti ablakokon lehetőség szerint vasrács védjen az illetéktelen behatolástól.
A fizikai biztonságra vonatkozó követelmények betartását a jegyző (az elektronikus információs rendszerek
biztonságáért felelős vezető) és az elektronikus információs rendszerek biztonságáéért felelős személy
minimálisan évente ellenőrzi, az eredményt jegyzőkönyvbe rögzíti. A jegyzőkönyvet az ellenőrzésre
jogosult hatóságoknak át kell adni.
Ha a Hivatal az Ibtv.-ben meghatározott határidőkkel nem tudja teljesíteni az informatikai biztonsági
követelmények megvalósítását, akkor a hiányosságokról Intézkedési tervet készít és rendelkezik annak
megvalósításáról (lásd. 1.1.3. Az intézkedési terv és mérföldkövei).
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 50/92
2.1.3. Fizikai belépési engedélyek A Hivatal vezetője a magas biztonsági követelményű zónákra, a szakfeladatok ellátásához szükséges
elektronikus információs rendszereknek helyt adó helyiségekre vonatkozóan, illetve további zónákra, ha
indokolt, összeállítja, jóváhagyja és kezeli a belépésre jogosultak listáját, amelyet Informatikai biztonsági
eljárásrendben részletez:
a. a belépési jogosultságot igazoló dokumentumokat (pl. kitűzők, azonosító kártyák, intelligens
kártyák) bocsáthat ki a belépéshez a belépni szándékozó részére;
b. rendszeresen felülvizsgálja a belépésre jogosult személyek listáját;
c. eltávolítja a belépésre jogosult személyek listájáról azokat, akiknek a belépése nem engedélyezett;
d. belépésre nem jogosult személyek esetén intézkedik a belépési jogosultságot igazoló dokumentum
visszavonása, érvénytelenítése, törlése, megsemmisítése iránt.
A helyiségek ajtónak kulccsal, mágneskártyával vagy kóddal zárhatónak kell lennie. A kulcshoz,
mágneskártyához vagy kódhoz való hozzájutás csak dokumentált módon történhet (a jóváhagyást és
átvételt dokumentálni kell). A kulcshoz, mágneskártyához vagy kódhoz történő hozzáférést a szervezeti
egység vezetője engedélyezheti.
Vészhelyzetek esetére a kulcs, mágneskártya vagy kód másodpéldányát a titkárságon vagy portán (ha
van) kell elhelyezni lezárt, hitelesítéssel ellátott borítékban vagy lepecsételhető kulcsdobozban.
A kulcsdoboz vagy boríték rendkívüli felnyitásáról a felhasználónak telefonon és írásos feljegyzésben
értesítenie kell a szervezeti egység vezetőjét. A hitelesítéssel ellátott boríték felnyitását, a kód használatát
követően a kódot meg kell változtatni.
2.1.4. A fizikai belépés ellenőrzése A Hivatal vezetője a szakfeladatok ellátásához szükséges elektronikus információs rendszereknek helyt
adó helyiségekre vonatkozóan - vagy további zónákra, ha indokolt - kizárólag a jegyző által meghatározott
be-, és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést:
a. naplózza a fizikai belépéseket;
b. ellenőrzés alatt tartja a létesítményen belüli, belépésre jogosultak által elérhető helyiségeket;
c. kíséri a létesítménybe ad-hoc belépésre jogosultakat és figyelemmel követi a tevékenységüket;
d. megóvja a kulcsokat, hozzáférési kódokat, és az egyéb fizikai hozzáférést ellenőrző eszközt;
e. nyilvántartást vezet a fizikai belépést ellenőrző eszközről;
f. meghatározott rendszerességgel változtatja meg a hozzáférési kódokat és kulcsokat, vagy
azonnal, ha a kulcs elveszlik, a hozzáférési kód kompromittálódik, vagy az adott személy elveszti
a belépési jogosultságát;
g. az egyéni belépési engedélyeket a belépési pontokon ellenőrzi;
h. a kijelölt pontokon való átjutást felügyeli a Hivatal által meghatározott fizikai belépést ellenőrző
rendszerrel, vagy eszközzel;
i. felhívja a szervezet tagjainak figyelmét a rendellenességek jelentésére.
2.1.5. Hozzáférés az adatátviteli eszközökhöz és csatornákhoz A Hivatal a fizikai védelmi eljárásrend szerint ellenőrzi az elektronikus információs rendszer adatátviteli
eszközeinek és kapcsolódási pontjainak helyt adó helyiségekbe történő fizikai belépést.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 51/92
2.1.6. A kimeneti eszközök hozzáférés ellenőrzése A Hivatal ellenőrzi az elektronikus információs rendszer kimeneti eszközeihez való fizikai hozzáférést
annak érdekében, hogy jogosulatlan személyek ne férjenek azokhoz hozzá.
A képernyőket, nyomtatókat úgy kell elhelyezni, hogy azok minél kevesebb lehetőséget biztosítsanak
illetéktelen személyek betekintésére. Információ-feldolgozó rendszereket, nyomtatókat szükséges
mértékig és megfelelően biztosított, harmadik fél (ügyfél és látogató) részére felügyelet nélkül nem elérhető
helyiségekben szabad tárolni, üzemeltetni.
Mivel az adatok, információk kezelésére használt eszközök (környezeti infrastruktúra, hardver, hálózat és
adathordozók) az elektronikus információs rendszer részei, ezért az azokra vonatkozó követelmények
megegyeznek az informatikai rendszer biztonsági osztályához tartozó védelmi intézkedésekkel.
2.1.7. A fizikai hozzáférések felügyelete A Hivatal a magas biztonsági követelményű elektronikus információs rendszereknek helyt adó
létesítményekre vonatkozóan, illetve továbbiakra, ha indokolt:
a. ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai
hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt és reagáljon arra;
b. rendszeresen átvizsgálja a fizikai hozzáférésekről készült naplókat;
c. azonnal átvizsgálja a fizikai hozzáférésekről készült naplókat, ha a rendelkezésre álló információk
jogosulatlan fizikai hozzáférésre utalnak;
d. összehangolja a biztonsági események kezelését, valamint a napló átvizsgálások eredményét;
e. felügyeli a fizikai behatolás riasztásokat és a felügyeleti berendezéseket.
2.1.8. A látogatók ellenőrzése A Hivatal a magas biztonsági követelményű elektronikus információs rendszereknek helyt adó
létesítményekbe történt látogatói belépésekről szóló információkat gyűjti (minimálisan rögzítendő adatok:
dátum, helyszín, látogató, ügyfél neve és ügyfajta vagy ügyintéző neve); azonnal átvizsgálja a látogatói
belépésekről készített információkat és felvételeket, ha a rendelkezésre álló információk jogosulatlan
belépésre utalnak.
A megőrzési időt a kockázattal arányosan a jegyző határozza meg (kb. 3 hónapban), a selejtezésekről
jegyzőkönyvet kell készíteni és megőrizni.
2.1.9. Áramellátó berendezések és kábelezés A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszereknek helyt adó létesítményekben védi az elektronikus információs rendszert árammal ellátó
berendezéseket és a kábelezést a sérüléssel és rongálással szemben. A rendszerek szabályos
leállításához vagy a hosszútávú tartalék áramellátásra történő átkapcsoláshoz az elsődleges áramforrás
kiesése esetére, a tevékenységhez méretezett, rövid ideig működőképes szünetmentes áramellátást
biztosít.
A Hivatal területén az elektronikus információs rendszert, áramellátó hálózatot, telefonhálózatot érintő
bármilyen beavatkozást, építést, karbantartást, átalakítást csak a Hivatal vezetőjének vagy az erre a
feladatra kijelölt felelősnek a tájékoztatása után, annak jóváhagyásával és felügyeletével lehet végezni.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 52/92
2.1.10. Vészkikapcsolás A Hivatal lehetőséget biztosít a magas biztonsági követelményű, saját felelősségi körébe tartozó
elektronikus információs rendszerek vagy egyedi rendszerelemek áramellátásának kikapcsolására
vészhelyzetben, gondoskodik a vészkikapcsoló berendezések biztonságos és könnyű
megközelíthetőségéről, illetve megakadályozza a jogosulatlan vészkikapcsolást.
2.1.11. Vészvilágítás A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszereknek helyt adó létesítményekben automatikus vészvilágítási rendszert alkalmaz és tart karban,
amely áramszünet esetén aktiválódik, és amely biztosítja a vészkijáratokat és a menekülési útvonalakat.
2.1.12. Tűzvédelem A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerek számára független áramellátással támogatott észlelő, az informatikai eszközökhöz megfelelő
tűzelfojtó berendezéseket alkalmaz, és tart karban. A 4-es és magasabb biztonsági osztályba sorolt
elektronikus információs rendszereknek helyt adó létesítményekben az elektronikus információs
rendszerek számára a személyzet által folyamatosan nem felügyelt automatikus tűzelfojtási képességet
biztosít.
2.1.13. Hőmérséklet és páratartalom ellenőrzés A Hivatal az informatikai erőforrásokat koncentráltan tartalmazó helyiségekben (pl. adatközpont, szerver
szoba, központi gépterem) a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus
információs rendszerek védelmére figyeli a hőmérséklet és páratartalom szintjét, azt az erőforrások
biztonságos működéséhez szükséges szinten tartja.
2.1.14. Víz-, és más, csővezetéken szállított anyag okozta kár elleni védelem A Hivatal védi a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszereket a csővezeték rongálódásból származó károkkal szemben, biztosítva, hogy a
főelzárószelepek hozzáférhetőek, és megfelelően működnek, valamint a kulcsszemélyek számára
ismertek. Az informatikai erőforrásokat koncentráltan tartalmazó helyiségek tervezése (pl. adatközpont,
szerver szoba, központi gépterem) során biztosítja, hogy az a víz-, és más hasonló kártól védett legyen,
akár csővezetékek kiváltásával, áthelyezésével is. Ezekben a helyiségekben, közvetlenül mellettük és
felettü vizesblokk kialakítása tilos.
Az informatikai központot védeni kell szennyvíz, illetve esővíz bejutása ellen.
2.1.15. Be- és kiszállítás A Hivatal engedélyezi, vagy tiltja, figyeli és ellenőrzi a létesítménybe bevitt, onnan kivitt információs
rendszerelemeket, a személyes vagy érzékeny adatokat tartalmazó rendszerelemek be- és kiszállításáról
nyilvántartást vezet.
Az infokommunikációs eszközök használata során tilos
a. az eszközt illetéktelen személynek átengedni,
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 53/92
b. az eszköz közelében folyadékot, éghető anyagot, illetve felette, alatta vagy rajta az eszköz
rendeltetésétől eltérő anyagot, tárgyat elhelyezni és tárolni és
c. az eszközt – hordozható infokommunikációs eszközök kivételével – a telepítési helyéről
elmozdítani és elvinni az üzemeltető engedélye és közreműködése nélkül.
A Hivatal más szervezettel adat- és programcserét kizárólag írásos nyilatkozat alapján bonyolíthat,
amelyben utalni kell az érzékeny adatok kezelésére is.
A csere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni:
a. az adatátvitel, -feladás, -fogadás és -átvétel ellenőrzésének és bejelentésének eljárási szabályait,
b. az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait,
c. az adatvesztéssel kapcsolatos kötelezettséget és felelősséget,
d. az adatátvitel során a biztonságos – szükség esetén titkosított – környezet előírásait minden
érintett félnél,
e. az érzékeny adatok védelméhez szükséges speciális eszközök igénybevételét.
Az adatcsere esetében
a. épületen kívüli szállítást csak az önálló szervezeti egység vezetője rendelhet el,
b. az átadás-átvételről jegyzőkönyvet kell felvenni,
c. a szállításnál egyszerre több személynek kell jelen lennie,
d. épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani,
e. tömegközlekedési eszközön adathordozó nem szállítható,
f. épületen kívüli szállítás esetén megfelelő tárolóeszközt szükséges használni, és
g. épületen kívüli szállítás esetén az adatokat titkosított formában kell az adathordozóra rögzíteni, és
a titkosítás feloldásához szükséges kulcsot külön csatornán kell eljuttatni a címzetthez,
elektronikusan rögzített adatokat tartalmazó mágneses adathordozó szállításakor el kell kerülni a
nyilvánvalóan erős mágneses tereket,
h. a szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni,
i. az adathordozót nem lehet őrizetlenül hagyni,
j. az adathordozókat óvni kell a fizikai sérülésektől,
k. az adathordozókon a minősítési szintet megváltoztathatatlanul kell feltüntetni.
Rendkívüli esemény esetén a szállítást elrendelő szervezeti egység vezetőjét – szükség esetén a
rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése
érdekében szükséges intézkedéseket, valamint ezzel egy időben tájékoztatnia kell az elektronikus
információs rendszer biztonságáért felelős személyt az eseményről és a megtett intézkedésekről.
Megfelelő technikai eljárásokkal és ellenőrzőeszközökkel gondoskodni kell a távközlési és adatátviteli
eszközökön keresztül kicserélt információk védelméről. Ennek során figyelembe kell venni, hogy a
távközlési eszközökben bekövetkező üzemzavar, az eszközök túlterheltsége vagy a kapcsolat kimaradása
esetén a folyamatos üzletmenet megszakadhat, valamint illetéktelen személyek is hozzáférhetnek a
különböző információkhoz.
2.1.16. Az elektronikus információs rendszer elemeinek elhelyezése
A Hivatal úgy helyezi el az elektronikus információs rendszer elemeit, hogy a legkisebb mértékre
csökkentse a meghatározott fizikai és környezeti veszélyekből adódó lehetséges kárt és a jogosulatlan
hozzáférés lehetőségét.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 54/92
2.1.17. Ellenőrzés
A Hivatal a nem megfelelő vagy jogosulatlan módosítások megakadályozása érdekében ellenőrzi a
karbantartó személyzet által a létesítménybe hozott karbantartási eszközöket. Az ellenőrzés elvégzéséért
a rendszergazda felelős.
2.1.19. Karbantartók
A Hivatal kialakítja a karbantartók munkavégzési engedélyének kezelési folyamatát, és nyilvántartást vezet
a karbantartó szervezetekről vagy személyekről.
Megköveteli a hozzáférési jogosultság igazolását az elektronikus információs rendszeren karbantartást
végzőktől. Felhatalmazást ad a szervezethez tartozó, a kívánt hozzáférési jogosultságokkal és műszaki
szakértelemmel rendelkező személyeknek arra, hogy felügyeljék a kívánt jogosultságokkal nem rendelkező
személyek karbantartási tevékenységeit.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 55/92
LOGIKAI VÉDELMI INTÉZKEDÉSEK
A logikai védelmi intézkedések alkalmazása során figyelembe kell venni az elektronikus információs
rendszer – kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.)
BM rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
A Hivatal szakfeladatai teljesítéséhez használt elektronikus információs rendszerek biztonsági osztályát a
Rendszerbiztonsági terv kivonat vagy egyéb dokumentum tartalmazza.
A logikai védelmi intézkedések követelményeit a Hivatal és az elektronikus információs rendszer
üzemeltetője (szolgáltató) saját hatókörén belül teljesíti.
3.1. ÁLTALÁNOS VÉDELMI INTÉZKEDÉSEK
3.1.1. Engedélyezés
A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információbiztonsággal
kapcsolatos (ideértve a rendszer- és felhasználói, külső és belső hozzáférési) engedélyezési eljárási
folyamatokat. Felügyeli az elektronikus információs rendszer és környezet biztonsági állapotát,
meghatározza az információbiztonsággal összefüggő szerepköröket és felelősségi köröket, kijelöli az
ezeket betöltő személyeket, integrálja az elektronikus információbiztonsági engedélyezési folyamatokat a
Hivatali szintű kockázatkezelési eljárásba, összhangban az Informatikai biztonsági szabályzattal.
A Hivatal az elektronikus információbiztonsággal kapcsolatos engedélyezési eljárást Informatikai
biztonsági eljárásrendben kezeli.
3.1.3. Az elektronikus információs rendszer kapcsolódásai Szabályozni kell és szükség esetén belső engedélyhez kell kötni az elektronikus információs rendszerek
kapcsolódását más elektronikus információs rendszerekhez, dokumentálni kell az egyes kapcsolatokat, az
interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus
információk típusát.
Szabályrendszert kell felállítani és alkalmazni a külső elektronikus információs rendszerekhez való
kapcsolódásokhoz, amelynek eredménye lehet az összes kapcsolat engedélyezése vagy tiltása,
meghatározott kapcsolatok engedélyezése, meghatározott kapcsolatok tiltása.
3.1.4. Személybiztonság Minden, a személybiztonsággal kapcsolatos eljárás vagy elvárás kiterjed a Hivatal teljes személyi
állományára, valamint minden olyan természetes személyre, aki a Hivatal elektronikus információs
rendszereivel kapcsolatba kerül, vagy kerülhet. Azokban az esetekben, amikor az elektronikus információs
rendszereivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem a szervezet tagja, a
tevékenység alapját képező jogviszonyt megalapozó szerződés, megállapodás megkötése során kell, mint
kötelezettséget érvényesíteni (ideértve a szabályzatok, eljárásrendek megismerésére és betartására
irányuló kötelezettségvállalást, titoktartási nyilatkozatot).
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 56/92
3.2. TERVEZÉS
3.2.1. Biztonságtervezési szabályzat A Hivatal vezetője megfogalmazza, dokumentálja, a munka- és feladatkörük miatt érintettek számára
kihirdeti a biztonságtervezési eljárásrendet, mely tartalmazza a biztonságtervezési eljárás folyamatait.
Az eljárásrendet a biztonsági rendszer rendkívüli módosításakor vagy biztonsági esemény
bekövetkeztekor, illetve tervezetten 3 évente újra vizsgálja, szükség szerinti módosítja.
3.2.2. Rendszerbiztonsági terv A Hivatal azon informatikai rendszereire vonatkozóan, amelyek tervezése a hatókörébe tartozik,
Rendszerbiztonsági tervet készít, melynek összhangban kell állni a szervezeti felépítéssel vagy szervezeti
szintű architektúrával, és amely minimálisan a következőket tartalmazza:
a. az elektronikus információs rendszer hatóköre, alap feladatai (biztosítandó szolgáltatásait),
biztonságkritikus elemei és alap funkciói,
b. az elektronikus információs rendszer és az általa kezelt adatok jogszabály szerinti biztonsági osztálya,
c. az elektronikus információs rendszer működési körülményei és más elektronikus információs
rendszerrel való kapcsolatai.
Az elektronikus információs rendszer biztonsági követelményeit rendszerdokumentációba kell foglalni, meg
kell határozni a követelményeknek megfelelő aktuális vagy tervezett védelmi intézkedéseket, intézkedés
bővítéseket, végre kell hajtani a jogszabály szerinti biztonsági feladatokat.
Gondoskodni kell arról, hogy a rendszerbiztonsági tervet és azok változásait a meghatározott személyi és
szerepkörökben dolgozók megismerjék.
Új - a Hivatal hatókörébe tartozó - elektronikus információs rendszer tervezése esetén el kell végezni a
szükséges egyeztetéseket, el kell készíteni a rendszerre vonatkozó rendszerbiztonsági tervet. A terv
elkészítése, aktualizálásának biztosítása - szükség szerint a rendszergazda közreműködésével - az
elektronikus információs rendszer biztonságáért felelős feladata. Gondoskodni kell arról, hogy a
rendszerbiztonsági terv jogosulatlanok számára ne legyen megismerhető, módosítható.
Az elektronikus információs rendszerek rendszerbiztonsági tervét kétévente felül kell vizsgálni. Soron kívül
felül kell vizsgálni a rendszerbiztonsági terveket az elektronikus információs rendszerben vagy annak
üzemeltetési környezetében történt változások, illetve a terv végrehajtása vagy a védelmi intézkedések
értékelése során feltárt problémák esetén.
3.2.3. Cselekvési terv A Hivatal a vizsgálatot követő 90 napon belül Cselekvési tervet készít, ha az adott elektronikus információs
rendszerére vonatkozó biztonsági osztály meghatározásánál hiányosságot állapít meg. A Cselekvési
tervben dokumentálja a megállapított hiányosságok javítására, valamint az elektronikus információs
rendszer ismert sérülékenységeinek csökkentésére vagy megszüntetésére irányuló tervezett
tevékenységeit.
A Cselekvési tervet szükség szerint, de legalább évente egyszer az informatikai biztonsági rendszer
felülvizsgálata során (belső audit) felülvizsgálja, szükség szerint karbantartja a kockázatkezelési stratégia
és a kockázatokra adott válaszok, tevékenységek prioritása alapján. Az informatikai biztonsági rendszer
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 57/92
rendkívüli módosításakor vagy biztonsági esemény bekövetkeztekor a cselekvési tervet újra vizsgálja,
szükség szerinti módosítja.
A kitűzött feladatok megvalósulását a Cselekvési tervben a Hivatal vezetője az elektronikus információs
rendszer biztonságáért felelős közreműködésével követi nyomon és dokumentálja. A jegyző feladata
biztosítani, hogy a Cselekvési terv jogosulatlanok számára ne legyen megismerhető, módosítható.
3.2.4. Személyi biztonság A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az elektronikus információs rendszerhez
hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat a rájuk vonatkozó
szabályokat, felelősségüket az adott rendszerhez kapcsolódó kötelező, vagy tiltott tevékenységet.
A szervezeti egység vezetője az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt
írásbeli nyilatkozattételre kötelezi a hozzáférési jogosultságot igénylő személyt, felhasználót, aki
nyilatkozatával igazolja, hogy az elektronikus információs rendszer használatához kapcsolódó, rá
vonatkozó biztonsági szabályokat és kötelezettségeket megismerte, saját felelősségére betartja.
A Hivatallal szerződéses jogviszonyban álló (külső) szervezetre vonatkozó követelményeket az 1.6.6.
fejezet tartalmazza.
A Hivatal vezetője az elektronikus információs rendszerek biztonságáért felelős személlyel együttműködve
szükség szerinti gyakorisággal, minimálisan 3 évente felülvizsgálja és frissíti az elektronikus információs
rendszerhez hozzáférési jogosultságot igénylő személyekkel, felhasználókkal szembeni elvárásokat, a
rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez kapcsolódó kötelező vagy tiltott
tevékenységet a viselkedési szabályok betartását. Változás esetén a hozzáféréssel rendelkezőket
tájékoztatja a követelményekről.
A Hivatal az elektronikus információbiztonsággal kapcsolatos engedélyezési, hozzáférési szabályokat
Informatikai biztonsági eljárásrendben kezeli.
3.2.5. Információbiztonsági architektúra leírás A Hivatal azon informatikai rendszereire vonatkozóan, amelyek tervezése a hatókörébe tartozik
Információbiztonsági architektúra leírást készít, melyet az az általános architektúrájában bekövetkezett
változtatások esetén felülvizsgál, aktualizál.
Biztosítani kell, hogy az információbiztonsági architektúra leírásban tervezett változtatás tükröződjön a
rendszerbiztonsági tervben és a beszerzésekben.
Az információbiztonsági architektúra leírás:
a. összegzi az elektronikus információs rendszer bizalmasságának, sértetlenségének és
rendelkezésre állásának védelmét szolgáló filozófiát, követelményeket és megközelítést;
b. megfogalmazza, hogy az információbiztonsági architektúra miként illeszkedik a Hivatal általános
architektúrájába, és hogyan támogatja azt;
c. leírja a külső szolgáltatásokkal kapcsolatos információbiztonsági feltételezéseket és függőségeket.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 58/92
3.3. RENDSZER ÉS SZOLGÁLTATÁS BESZERZÉS Jelen eljárást abban az esetben nem kell bevezetni, ha a Hivatal saját hatókörében informatikai
szolgáltatást vagy eszközöket nem szerez be, és nem végez, vagy végeztet rendszerfejlesztési
tevékenységet (ide nem értve a jellemzően kis értékű, kereskedelmi forgalomban kapható általában irodai
alkalmazásokat, szoftvereket, vagy azokat a hardver beszerzéseket, amelyek jellemzően a tönkrement
eszközök pótlása, vagy az eszközpark addigiakkal azonos, vagy hasonló eszközökkel való bővítése
céljából történnek, valamint a javítás, karbantartás céljára történő beszerzéseket). Jelen fejezet
alkalmazása szempontjából nem minősül fejlesztésnek a kereskedelmi forgalomban kapható szoftverek
beszerzése és frissítése.
Az eljárás alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
3.3.2. A rendszer fejlesztési életciklusa Az elektronikus információs rendszerek biztonságáért felelős személy a saját hatókörben beszerzett
rendszerekre vonatkozóan az elektronikus információs rendszereinek teljes életútján, azok minden
életciklusában figyelemmel kíséri informatikai biztonsági helyzetüket.
A fejlesztési életciklus egészére meghatározza és dokumentáltatja az információbiztonsági szerepköröket
és felelősségeket; meghatározza és az érvényes szabályok szerint kijelöli az információbiztonsági
szerepköröket betöltő, felelős személyeket.
A rendszer életciklus szakaszai a következők:
a. követelmény meghatározás: a követelmények meghatározásánál jelen szabályzat 3.2.2.
Rendszerbiztonsági terv pontban meghatározottak figyelembe vételével kell eljárni.
b. fejlesztés vagy beszerzés: a fejlesztés/beszerzés fázisában az elektronikus információs
rendszerek biztonságáért felelős személynek folyamatosan képviselnie kell jelen Informatikai
biztonsági szabályzatban, ill. a 3.2.2. Rendszerbiztonsági terv pontban foglalt követelményeket.
c. megvalósítás vagy értékelés: az éles bevezetés előtt tesztkörnyezetben a
követelményspecifikációban megfogalmazott elvárások bizonyítására funkcionális, biztonsági és
üzemeltetési teszteket kell folytatni, a bevezetésről a jegyző dönt.
d. üzemeltetés és fenntartás során valamennyi érintett félnek be kell tartani jelen szabályzatban
foglalt vagy hivatkozott követelményeket.
e. kivonás (archiválás, megsemmisítés): az elektronikus információs rendszer kivonásakor a 3.8.6.
Adathordozók törlése pont, illetve a Hivatal Selejtezési szabályzata az irányadó.
3.3.3. Funkciók, portok, protokollok, szolgáltatások A Hivatal megköveteli, hogy a szolgáltató meghatározza a szolgáltatások igénybevételéhez szükséges
funkciókat, protokollokat, portokat és egyéb szolgáltatásokat.
3.3.4. Fejlesztői változáskövetés A Hivatal megköveteli az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztőjétől, hogy:
a. vezesse végig a változtatásokat az elektronikus információs rendszer, rendszerelem vagy rendszer
szolgáltatás tervezése, fejlesztése, megvalósítása, üzemeltetése során;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 59/92
b. dokumentálja, kezelje, és ellenőrizze a változtatásokat, biztosítsa ezek sértetlenségét;
c. csak a jóváhagyott változtatásokat hajtsa végre az elektronikus információs rendszeren,
rendszerelemen vagy rendszerszolgáltatáson;
d. dokumentálja a jóváhagyott változtatásokat és ezek lehetséges biztonsági hatásait;
e. kövesse nyomon az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
biztonsági hibáit és azok javításait, továbbá jelentse észrevételeit az érintett szervezet által
meghatározott személyeknek.
3.3.5. Fejlesztői biztonsági tesztelés A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője:
a. készítsen biztonságértékelési tervet, és hajtsa végre az abban foglaltakat;
b. hajtson végre (a fejlesztéshez illeszkedő módon) egység-, integrációs-, rendszer-, vagy
regressziós tesztelést, és ezt értékelje ki a Hivatal által meghatározott lefedettség és mélység
mellett;
c. dokumentálja, hogy végrehajtotta a biztonságértékelési tervben foglaltakat, és ismertesse a
biztonsági tesztelés és értékelés eredményeit;
d. javítsa ki a biztonsági tesztelés és értékelés során feltárt hiányosságokat.
3.4. BIZTONSÁGI ELEMZÉS
3.4.1. Biztonságelemzési eljárásrend A Hivatal vezetője, ha a hatókörébe tartozik, megfogalmazza, dokumentálja, kihirdeti és szükség szerinti
vagy 3 éves gyakorisággal felülvizsgálja, frissíti a biztonságértékelési szabályzat és az ahhoz kapcsolódó
ellenőrzések megvalósítását segítő biztonságértékelési eljárásrendet, vagy megköveteli azt a
szolgáltatótól.
3.4.2. Biztonsági értékelések A Hivatal, ha a hatókörébe tartozik, biztonságértékelési tervet készít, illetve megköveteli, hogy a szolgáltató
biztonságértékelési tervet készítsen.
Szükség szerinti gyakorisággal vagy 3 évenként kell értékelni az elektronikus információs rendszer és
működési környezete védelmi intézkedéseit, folyamatosan kontrollálni a bevezetett intézkedések működő-
képességét, valamint a tervezettnek megfelelő működését. Az értékeléseket követően el kell készíteni a
biztonságértékelés eredményét összefoglaló jelentést, gondoskodni kell a biztonságértékelés eredményét
összefoglaló jelentésnek a meghatározott szerepköröket betöltő személyek által, vagy a szerepkörhöz
tartozó jogosultságnak megfelelően történő megismeréséről.
A biztonsági értékelés tartalmazza:
a. az értékelendő (adminisztratív, fizikai és logikai) védelmi intézkedéseket;
b. a biztonsági ellenőrzések eredményességét meghatározó eljárásrendeket;
c. az értékelési környezetet, az értékelő csoportot, az értékelés célját, az értékelést végzők feladatát.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 60/92
3.4.3. Speciális értékelés A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője a védelmi intézkedések értékelése keretében bejelentés mellett, vagy bejelentés nélkül
sérülékenységvizsgálatot, rosszhiszemű felhasználó tesztet, belső fenyegetettség értékelést, a
biztonságkritikus egyedi fejlesztésű szoftverelemek forráskód elemzését, egyéb biztonsági értékeléseket
végezzen.
3.4.4. A biztonsági teljesítmény mérése A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője fejlessze ki, felügyelje az elektronikus információs rendszerei biztonsági mérésének rendszerét.
3.5. TESZTELÉS, KÉPZÉS ÉS FELÜGYELET
3.5.1. Tesztelési, képzési és felügyeleti eljárások A Hivatal vezetője, ha a hatókörébe tartozik, megfogalmazza, dokumentálja, kihirdeti és szükség szerinti
vagy 3 éves gyakorisággal felülvizsgálja, frissíti a tesztelési, képzési és felügyeleti tevékenységek
fejlesztését, fenntartását, folyamatos időbeni végrehajtását támogató, az elektronikus információs rendszer
tesztelésével, képzésével és felügyeletével kapcsolatos eljárásokat, vagy megköveteli azt az elektronikus
információs rendszer, rendszerelem vagy rendszerszolgáltatás fejlesztőjétől, szolgáltatótól.
A tesztelési, képzési és ellenőrzési terveket a kockázatkezelési stratégia és a lehetséges vagy
bekövetkezett biztonsági események súlya alapján felül kell vizsgálni és frissíteni kell.
3.5.2. A biztonsági teljesítmény mérése A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője ill. a szolgáltató fejlessze ki, felügyelje az elektronikus információs rendszerei biztonsági
mérésének rendszerét.
3.3.3. Sérülékenység teszt A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője ill. a szolgáltató az elektronikus információs rendszerei és alkalmazásai tekintetében
sérülékenység tesztet végezzen, ha azt az elektronikus információs rendszerfejlesztési, üzemeltetési és
használati körülményei lehetővé teszik. Meg kell ismételni a sérülékenység tesztet meghatározott
gyakorisággal, vagy véletlenszerűen, valamint olyan esetben, amikor új lehetséges sérülékenység merül
fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban.
A sérülékenység tesztet sérülékenységvizsgálati eszközök és technikák alkalmazásával, vagy külső
szervezet bevonásával azon elektronikus információs rendszerek tekintetében kell elvégezni, amelyek az
érintett szervezet felügyelete, irányítása alatt állnak.
Kimutatást kell készíteni a feltárt hibákról, valamint a nem megfelelő konfigurációs beállításokról. Végre
kell hajtani az ellenőrzési listákat és tesztelési eljárásokat. Fel kell mérni a sérülékenység lehetséges
hatásait, elemezni kell a sérülékenység teszt eredményét, meg kell osztani a sérülékenység teszt
eredményét a szervezet által meghatározott személyekkel és szerepkörökkel.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 61/92
Olyan sérülékenységi teszteszközt kell alkalmazni, melynek sérülékenység feltáró képessége könnyen
bővíthető az ismertté váló sérülékenységekkel.
A frissítést időközönként, új vizsgálat előtt vagy új sérülékenység feltárását követően szükséges elvégezni,
az elektronikus információs rendszerre vizsgált sérülékenység körét aktualizálni kell az új tesztet
megelőzően, vagy a sérülékenység feltárását követően azonnal.
3.6. KONFIGURÁCIÓKEZELÉS
3.6.1. Konfigurációkezelési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a konfigurációkezelési eljárásrendet, melynek
során meghatározza, és azonosítja az informatikai rendszer konfigurációs elemeit, szabályozza ezen
konfigurációs elemek kibocsátását és módosítását azok teljes életciklusára vonatkozóan, nyilvántartja a
konfigurációs elemeket és azok változásait, ellenőrzi az elemek hiánytalanságát és megfelelőségét.
A konfigurációkezelés célja az informatikai infrastruktúra adatainak kézben tartása, az egyes komponensek
beazonosítása, figyelemmel követése és karbantartása. A szolgáltatásokról, a szoftver és hardver
konfigurációkról és azok dokumentációjáról tárol információkat így segíti az incidensfelügyeletet,
problémakezelést, változáskezelést és a verziókövetést.
Az informatika biztonsági rendszer rendkívüli módosításakor, biztonsági esemény bekövetkeztekor vagy 3
évente az elektronikus információs rendszerek biztonságáért felelős a konfigurációkezelési eljárásrendet
újra vizsgálja, szükség szerinti módosítja.
3.6.2. Alap konfiguráció A Hivatal vezetője az elektronikus információs rendszereihez egy-egy alapkonfigurációt fejleszt ki,
dokumentáltatja és karbantartatja azt, valamint leltárba foglalja a rendszer lényeges elemeit.
A dokumentációnak minimálisan a következő elemeket kell tartalmazni:
a. hardver elemek
b. szoftverek
c. egyes szoftverkomponensek alapkonfigurációi
Az önkormányzati ASP rendszerről szóló 257/2016. (VIII. 31.) Korm. rendelet 2. melléklete tartalmazza az
önkormányzati ASP rendszer szakrendszereinek használatához szükséges felhasználói (önkormányzati)
munkaállomásokkal szembeni minimális elvárásokat. Ennek megfelelően kell kialakítani az informatikai
infrastruktúra környezetet:
a. Munkaállomás, laptop (szoftverekkel)
b. Monitor
c. Kártyaolvasó
d. Nyomtató
e. NTG csatlakozáshoz szükséges, hivatal oldali hálózati eszközök (rack szekrény, szünetmentes
tápegység, switch)
Az ASP rendszerhez történő csatlakozáshoz kapcsolódóan el kell végezni a hálózat kiépítését, az
eszközök beüzemelését (munkaállomások, nyomtatók, hálózati aktív eszközök), szoftverek telepítése,
beállítása (pl. tűzfal).
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 62/92
A rendszer üzemeltetésével kapcsolatos elvárások:
a. A menedzselhető hálózati aktív eszköz tekintetében az eszköz gyári, alapértelmezett
bejelentkezési azonosítói (név, password) kerüljenek megváltoztatásra. Legyen megoldott az
azonosítók zárt borítékban, és biztonságosan zárható helyen történő tárolása. Csak előre kijelölt,
privilegizált felhasználóknak legyen lehetősége bejelentkezni a kérdéses eszközökbe.
b. A hálózati végpontok védelme legyen megoldva. A lehetőségek figyelembevétele mellett pl. port
security, esetleg 802.1x szabványnak megfelelően.
c. Az eszközök hálózatba történő illesztéséről készüljön dokumentáció.
d. Az eszközök firmware frissítése a legutolsó stabil változatnak megfelelően történjen meg.
e. A menedzselhető eszközök legfrissebb konfigurációja legyen elmentve és zárható helyen tárolva.
Az informatikai határvédelemmel, tűzfallal kapcsolatos elvárások:
a. A szervezet internethez való csatlakozástatása a központi tűzfalon keresztül történjen meg.
b. A tűzfal szabályok dokumentálása és azok zárható helyen történő tárolása legyen biztosítva.
c. A tűzfal szabályok módosítása a kijelölt felelős előzetes, írásbeli engedélye alapján történhessen
meg.
Az egyes elektronikus információs rendszerek alapkonfigurációját a rendszergazda minimálisan évente
felülvizsgálja, és a módosításokat átvezeti.
Az alapkonfiguráció frissítését az elektronikus információs rendszerelemek telepítésének és frissítéseinek
szerves részeként kell elvégezni.
A korábbi konfigurációk megőrzése érdekében változatlan állapotban meg kell őrizni az elektronikus
információs rendszer alapkonfigurációját és annak további verzióit, hogy szükség esetén lehetővé váljon
az erre való visszatérés.
Biztonsági szempontokból meghatározott módon konfigurált elektronikus információs rendszerelemeket
vagy eszközöket kell biztosítani azon személyek számára, akik az elektronikus információs rendszert külső
helyszínen használják.
Megfelelő biztonsági eljárásokat kell alkalmazni a külső helyszínen használt eszközök belső használatba
vonásakor.
3.6.3. A konfigurációváltozások felügyelete (változáskezelés) A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője ill. a szolgáltató:
a. meghatározza a változáskezelési felügyelet alá eső változástípusokat;
b. meghatározza az egyes változástípusok esetén a változáskezelési vizsgálat kötelező és nem
kötelező elemeit, előfeltételeit (csatolt dokumentációk, teszt jegyzőkönyvek, stb.);
c. megvizsgálja a változáskezelési felügyelet elé terjesztett, javasolt változtatásokat, majd
kockázatelemzés alapján jóváhagyja vagy elutasítja azokat;
d. dokumentálja az elektronikus információs rendszerben történt változtatásokra vonatkozó
döntéseket;
e. megvalósítja a jóváhagyott változtatásokat az elektronikus információs rendszerben;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 63/92
f. visszakereshetően megőrzi az elektronikus információs rendszerben megvalósított változtatások
dokumentumait, részletes leírását;
g. auditálja és felülvizsgálja a konfigurációváltozás felügyelet alá eső változtatásokkal kapcsolatos
tevékenységeket.
A konfiguráció megváltoztatása előtt az új verziót tesztelni kell, ezután dönteni kell annak megfelelőségéről,
továbbá dokumentálni kell az elektronikus információs rendszer változtatásait az éles rendszerben történő
megvalósítása előtt.
3.6.4. Biztonsági hatásvizsgálat Meg kell vizsgálni az elektronikus információs rendszerben tervezett változtatásoknak az
információbiztonságra való hatását, még a változtatások megvalósítása előtt.
3.6.5. A változtatásokra vonatkozó hozzáférés korlátozások Az elektronikus információs rendszerre vonatkozóan szabályozásában meg kell határozni a
változtatásokhoz való hozzáférési jogosultságot, dokumentálni a hozzáférési jogosultságokat, jóvá kell
hagyni azokat, fizikai és logikai hozzáférés korlátozásokat kell alkalmazni az elektronikus információs
rendszer változtatásaival kapcsolatban.
3.6.6. Konfigurációs beállítások A Hivatal megköveteli, hogy az elektronikus információs rendszer, rendszerelem vagy rendszerszolgáltatás
fejlesztője ill. a szolgáltató:
a. meghatározza a működési követelményeknek még megfelelő, de biztonsági szempontból a lehető
leginkább korlátozott módon - a "szükséges minimum" elv alapján - az elektronikus információs
rendszerben használt információtechnológiai termékekre kötelező konfigurációs beállítást, és ezt
ellenőrzési listaként dokumentálja;
b. végezze el a konfigurációs beállításokat az elektronikus információs rendszer valamennyi
elemében;
c. a meghatározott elemek konfigurációs beállításaiban azonosítson, dokumentáljon és hagyjon jóvá
minden eltérést;
d. kísérjen figyelemmel és ellenőrizze a konfigurációs beállítások változtatásait belső szabályzataival
és eljárásaival összhangban.
3.6.7. Legszűkebb funkcionalitás A Hivatal saját hatókörén belül biztosítja, illetve megköveteli, hogy az elektronikus információs rendszer,
rendszerelem vagy rendszerszolgáltatás fejlesztője ill. a szolgáltató az elektronikus információs rendszert
úgy konfigurálja, hogy az csak a szükséges szolgáltatásokat nyújtsa, meghatározza a tiltott, vagy
korlátozott, nem szükséges funkciók, portok, protokollok, szolgáltatások, szoftverek használatát.
3.6.8. Elektronikus információs rendszerelem leltár Az elektronikus információs rendszer biztonságáért felelős vagy a rendszergazda (a Hivatal vezetője
döntésének és utasításának megfelelően) nyilvántartást készít az elektronikus információs rendszer
elemeiről, azt rendszeres időközönként, minimálisan évente felülvizsgálja és frissíti, hogy:
a. pontosan tükrözze az elektronikus információs rendszer aktuális állapotát,
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 64/92
b. az elektronikus információs rendszer hatókörébe eső valamennyi hardver- és szoftverelemet
tartalmazza;
c. legyen kellően részletes a nyomkövetéshez és a jelentéskészítéshez.
A rendszer elem leltárt a számítógépenként készített leltár nyilvántartás, a Hivatal összesített rendszer
elem leltárát az Alapkonfiguráció nyilvántartás vagy egyéb dokumentum tartalmazza.
A nyilvántartás informatikai rendszerenként tartalmazza a konfigurációt, mindazon információkat, amelyek
szükségesek lehetnek a Hivatal számára a hatékony személyes anyagi felelősségre vonhatósághoz.
A nyilvántartás alapját képező, az elektronikus információs rendszerekhez kapcsolódó hardver és szoftver
elemekről rendszerinformációs alkalmazással készített részletes elektronikus riportok megőrzése az azt
készítő elektronikus információs rendszer biztonságáért felelős vagy a rendszergazda feladata.
Az elemekről készített papíralapú riportok megőrzése a Hivatal vezetője vagy az általa kijelölt felelős
feladata. A dokumentumokat - illetéktelenek által nem hozzáférhető módon tárolva - a hardver élettartamát
követő min. 5 évig meg kell őrizni.
Az elektronikus információs rendszerelem leltárt frissíteni kell az egyes rendszerelemek telepítésének,
eltávolításának, frissítésének időpontjában. A frissítés elvégzése vagy a változás jelzése a kijelölt felelős
felé a rendszergazda feladata.
A Hivatal a felelősségi körébe tartozó, magas biztonsági követelményű elektronikus információs
rendszerekre vonatkozóan megköveteli, hogy automatizált mechanizmusok biztosítsák a meghatározott
gyakorisággal a jogosulatlan hardver-, szoftver- és firmware elemek észlelését. A jogosulatlan elemek
észlelése esetén le kell tiltani az ilyen elemek általi hálózati hozzáférést, el kell őket különíteni, és értesíteni
kell az illetékes személyeket. A duplikálás elleni védelem érdekében ellenőrizni kell, hogy az elektronikus
információs rendszer hatókörén belüli elemek nincsenek-e felvéve más elektronikus információs
rendszerek leltárában.
3.6.9. Konfigurációkezelési terv
A Hivatal, ha a felelősségi körébe tartozik, akkor kialakít, dokumentál és végrehajt egy, az elektronikus
információs rendszerre vonatkozó konfigurációkezelési tervet, mely figyelembe veszi a szerepköröket,
felelősségeket, konfigurációkezelési folyamatokat és eljárásokat, bevezeti a konfigurációelemek
azonosítására szolgáló folyamatot a rendszer-fejlesztési életciklus folyamán és a konfigurációelemek
konfigurációjának kezelésére, meghatározza az elektronikus információs rendszer konfigurációelemeit, és
a konfigurációelemeket a konfigurációkezelés alá helyezi, illetve védi a konfigurációkezelési tervet a
jogosulatlan felfedéssel és módosítással szemben.
3.6.10. A szoftver használat korlátozásai A Hivatal a Szoftver Etikai Kódexnek megfelelően kizárólag olyan szoftvereket és kapcsolódó
dokumentációt használ, amelyek megfelelnek a reájuk vonatkozó szerződésbeli elvárásoknak és a szerzői
jogi, vagy más jogszabályoknak:
a. a másolatok, megosztások ellenőrzésére nyomon követi a mennyiségi licencekkel védett
szoftverek és a kapcsolódó dokumentációk használatát;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 65/92
b. ellenőrzi és dokumentálja az állomány megosztásokat, hogy meggyőződjön arról, hogy ezt a
lehetőséget nem használják szerzői joggal védett munka jogosulatlan megosztására,
megjelenítésére, végrehajtására vagy reprodukálására
A Hivatal az elektronikus informatika biztonsággal kapcsolatos szoftverhasználattal kapcsolatos
szabályokat Informatikai biztonsági eljárásrendben kezeli.
3.6.11. A felhasználó által telepített szoftverek A rendszerprogramok, illetve a felhasználói alkalmazások telepítését a kiszolgálókra és
munkaállomásokra, infokommunikációs eszközre csak rendszergazda tölthet le, másolhat és telepíthet,
valamint azt az eszközről a rendszergazda távolíthatja el. Tilos hordozható, telepítés nélkül futtatható
alkalmazások használata.
A felhasználók semmilyen alkalmazást nem telepíthetnek a munkaállomásaikra, az infokommunikációs
eszköz használata során az eszközre telepített alkalmazásokat használhatják. Új alkalmazás telepítését
vagy a meglévő alkalmazás jogosultságváltozását igényelni kell. A szervezeti egység vezetője jogosult az
igény felülvizsgálatára, és ha szükséges, biztonsági vagy gazdasági okból annak elutasítására.
A felhasználó az infokommunikációs eszközre telepített alkalmazásokat a felhasználói leírás szerinti
módon, szakszerűen köteles használni.
A külső felek által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket,
változásjelentőket és levelezéseket a szervezeti egységek vezetői kötelesek másodpéldányban
megküldeni a rendszergazdának. A külső fél által biztosított informatikai szolgáltatások használata során
az általa kiadott előírások szerint kell eljárni.
A szoftvereket és adatokat arra nem jogosult harmadik fél számára másolni és továbbadni tilos.
A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licencdokumentációját a
rendszergazda tárolja és tartja nyilván.
3.7. KARBANTARTÁS
3.7.1. Rendszer karbantartási eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a rendszer karbantartási eljárásrendet, mely
a rendszer karbantartási kezelési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti
elő. Az elektronikus információbiztonsággal kapcsolatos karbantartási szabályokat Informatikai biztonsági
eljárásrendben kezeli.
3.7.2. Rendszeres karbantartás A rendszergazda vagy a Hivatal vezetője által megbízott személy/vállalkozó a karbantartásokat és
javításokat ütemezetten hajtatja végre, dokumentáltatja és felülvizsgáltatja a karbantartásokról és
javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a Hivatali
követelményeknek megfelelően.
Ennek keretében:
a. jóváhagyja és ellenőrzi az összes karbantartási tevékenységet, függetlenül attól, hogy azt a
helyszínen vagy távolról végzik, és függetlenül attól, hogy a berendezést a helyszínen, vagy másutt
tartják karban;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 66/92
b. az ezért felelős személyek jóváhagyásához köti az elektronikus információs rendszer vagy a
rendszerelemek kiszállítását a Hivatali létesítményből;
c. az elszállítás előtt minden adatot és információt – mentést követően – töröl a berendezésről;
d. ellenőrzi, hogy a berendezések a karbantartási vagy javítási tevékenységek után is megfelelően
működnek-e, és biztonsági ellenőrzésnek veti alá azokat;
e. csatolja a meghatározott, karbantartással kapcsolatos információkat a karbantartási
nyilvántartáshoz;
Mindezeknek a felügyelete a jegyző vagy az általa kijelölt felelős feladata.
3.7.3. Karbantartási eszközök A Hivatal vezetője jóváhagyja, a rendszergazda nyilvántartja és ellenőrzi az elektronikus információs
rendszer karbantartási eszközeit.
3.7.4. Távoli karbantartás A rendszergazda és az elektronikus információs rendszer biztonságáért felelős személlyel együttműködve:
a. jóváhagyja, nyomon követi és ellenőrzi a távoli karbantartási és diagnosztikai tevékenységeket;
b. akkor engedélyezi a távoli karbantartási és diagnosztikai eszközök használatát, ha az
összhangban áll az informatikai biztonsági szabályzattal, és dokumentálva van az elektronikus
információs rendszer rendszerbiztonsági tervében;
c. hitelesítéseket alkalmaz a távoli karbantartási és diagnosztikai munkaszakaszok létrehozásánál;
d. nyilvántartást vezet a távoli karbantartási és diagnosztikai tevékenységekről;
e. lezárja a munkaszakaszt és a hálózati kapcsolatokat, amikor a távoli karbantartás befejeződik.
A rendszergazda feladata ellenőrizni a diagnosztikai és teszt programokat tartalmazó adathordozókat a
kártékony kódok tekintetében, mielőtt azt az elektronikus információs rendszerben használnák.
A magas biztonsági követelményű elektronikus információs rendszerekre a rendszerbiztonsági tervben kell
dokumentálni a távoli karbantartási és diagnosztikai kapcsolatok létrehozására és használatára vonatkozó
szabályokat és eljárásokat.
3.8. ADATHORDOZÓK VÉDELME
3.8.1. Adathordozók védelmére vonatkozó eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti az adathordozók védelmére vonatkozó
eljárásrendet, mely az adathordozókra vonatkozó védelmi szabályzat és az ehhez kapcsolódó ellenőrzések
megvalósítását segíti elő. A Hivatali munka során használt adathordozók kezelésének szabályozása a
megfelelő és biztonságos működés és rendelkezésre állás érdekében történik.
A Hivatalban csak a Hivatal tulajdonában lévő, regisztrált adathordozót lehet használni. Adathordozó
igénylését a szervezeti egység vezetőhöz vagy a rendszergazdához kell benyújtani. Az eszközhasználatot,
a Hivatal elektronikus információs rendszereihez történő csatlakoztatása után, a Hivatal minden előzetes
értesítés nélkül figyelheti, monitorozhatja.
Otthoni munkavégzés és bármilyen más célból bármilyen adatot floppyn, CD-n, elektronikus levélben vagy
egyéb más módon (Pl.: Pendrive) a Hivatal informatikai infrastruktúrájából kijuttatni csak a jegyző vagy a
szervezeti egység vezetőjének írásos engedélyével szabad. A Hivatal az adathordozók használatát
információbiztonsági megfontolásból utasítással, hardver, illetve szoftver úton korlátozhatja.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 67/92
Az adathordozók kezelésének általános irányelvei:
a. minél nagyobb mértékben járuljon hozzá az adathordozók kezeléséből eredő kockázatok (a
működési szabályok betartásával) csökkentéséhez;
b. tegye lehetővé valamennyi, a tevékenységet érintő adathordozók kezelésével kapcsolatos
fenyegető esemény kiesés azonosítását, még a bekövetkezése előtti feltárását és hathatós
ellenintézkedést.
Tilos az olyan hordozható adathordozó használata az elektronikus információs rendszerben, melyek
tulajdonosa nem azonosítható. Az adathordozókat sorszámmal és/vagy a felügyeletéért felelős nevével
azonosítani kell, azokat a felhasználóhoz kell rendelni.
Az adathordozókat a felhasználók csak a hivatal épületében lévő számítógépekhez csatlakozhatják, a
rendszergazda, a szervezeti egység vezető vagy az adott gépet használó felelős felügyelete mellett.
Az eszközöket a kollégák nem csatlakoztathatják egymás gépeiben úgy, hogy a gép tulajdonosa nem tud
róla. Amennyiben kívülről érkezik adat valamilyen adathordozón, annak a megtekintése csak a
rendszergazda/szervezeti egység vezető által megbízott előzetes ellenőrzése után használható.
3.8.2. Hozzáférés az adathordozókhoz A megbízott szervezeti egység vezető az egyes adathordozó típusokhoz való hozzáférésre feljogosított
személyek körét, jogosítványuk tartalmát a Jogosultsági mátrixban vagy egyéb dokumentumban határozza
meg.
3.8.3. Adathordozók címkézése A személyes, érzékeny adatokat tartalmazó adathordozókat meg kell jelölni, jelezve az információra
vonatkozó terjesztési korlátozásokat, kezelési figyelmeztetéseket és a megfelelő biztonsági jelzéseket (ha
vannak).
3.8.4. Adathordozók tárolása Az adathordozókat fizikailag ellenőrizni kell és biztonságosan kell tárolni az arra engedélyezett vagy kijelölt
helyen, védeni kell mindaddig, amíg jóváhagyott eszközökkel, technikákkal és eljárásokkal nem semmisítik
meg, vagy nem törlik.
3.8.5. Adathordozók szállítása A Hivatal biztonsági óvintézkedésekkel védi és ellenőrzi a személyes, érzékeny adatokat tartalmazó
adathordozókat az ellenőrzött területeken kívüli szállítás folyamán. Az adathordozók elszámoltathatósága
érdekében csak a kijelölt személy végezheti az adathordozók szállítását, melyet dokumentálni kell.
A Hivatal ellenőrzött területén kívül a digitális adathordozókon tárolt információk bizalmasságának és
sértetlenségének a védelmére kriptográfiai mechanizmusokat kell alkalmazni. A titkosítás elvégzése a
rendszergazda feladata, az elektronikus információs rendszerek biztonságáért felelőssel egyeztett eljárás
alkalmazásával.
3.8.6. Adathordozók törlése A rendszergazda a helyreállíthatatlanságot biztosító törlési technikákkal és eljárásokkal törli az elektronikus
információs rendszer meghatározott adathordozóit a leselejtezés, a szervezeti ellenőrzés megszűnte, vagy
újrafelhasználásra való kibocsátás előtt úgy, hogy a törlési mechanizmusokat az információ minősítési
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 68/92
kategóriájával arányos erősségnek és sértetlenségnek megfelelően alkalmazza. A selejtezésről minden
esetben jegyzőkönyvet kell felvenni. A törlésre alkalmazott eszközöket és módszerek hatékonyságát a
rendszergazda szükséges gyakorisággal teszteli.
Az adathordozók selejtezésének szabálya Informatikai biztonsági eljárásrendben rögzített.
3.8.7. Adathordozók használata A Hivatal vezetője engedélyezi, korlátozza vagy tiltja egyes, vagy bármely adathordozó típusok használatát
a meghatározott elektronikus információs rendszereken vagy rendszerelemeken működő biztonsági
intézkedések használatával, az engedélyezett jogosultságoknak megfelelően.
A Hivatal megtiltja az olyan hordozható adathordozók használatát az elektronikus információs rendszerben,
melyek tulajdonosa nem azonosítható.
3.9. AZONOSÍTÁS ÉS HITELESÍTÉS
3.9.1. Azonosítási és hitelesítési eljárásrend A Hivatal megfogalmazza, dokumentálja és kihirdeti az azonosítási és hitelesítésre vonatkozó
eljárásrendet, mely az azonosítási és hitelesítési szabályzat és az ahhoz kapcsolódó ellenőrzések
megvalósítását segíti elő. Az elektronikus információbiztonsággal kapcsolatos engedélyezési hozzáférési
szabályokat Informatikai biztonsági eljárásrendben kezeli.
Az eljárás alkalmazása során figyelembe kell venni az elektronikus információs rendszer
– kockázatfelmérésen alapuló – biztonsági osztályát, az adott követelményt a 41/2015. (VII. 15.) BM
rendelet Védelmi intézkedés katalógusában meghatározott biztonsági osztálytól kötelező alkalmazni.
3.9.2. Azonosítás és hitelesítés (hivatalon belüli felhasználók) Valamennyi elektronikus információs rendszernek egyedileg kell azonosítania és hitelesítenie a Hivatal
valamennyi felhasználóját és a felhasználók által végzett tevékenységeket, ennek érdekében egyénre
szóló felhasználói azonosítókat kell képezni, a csoportos azonosítók használata nem engedélyezett.
Az elektronikus információs rendszer többtényezős hitelesítést kell alkalmazni a különleges jogosultsághoz
kötött - úgynevezett privilegizált - felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez, a nem
privilegizált felhasználói fiókokhoz való hálózaton keresztüli hozzáféréshez, a privilegizált felhasználói
fiókokhoz való helyi hozzáféréshez.
3.9.3. Eszközök azonosítása és hitelesítése Valamennyi elektronikus információs rendszernek egyedileg kell azonosítania és hitelesítenie a
meghatározott eszközöket, vagy eszköz típusokat mielőtt helyi vagy távoli hálózati kapcsolatot létesítene
velük.
3.9.4. Azonosító kezelés A Hivatal vezetője az egyéni-, csoport-, szerepkör- vagy eszközazonosítók kijelölését a Hivatal által
meghatározott személyek vagy szerepkörök jogosultságához köti:
a. hozzárendeli az azonosítót a kívánt egyénhez, csoporthoz, szerepkörhöz vagy eszközhöz;
b. meghatározott időtartamig megakadályozza az azonosítók ismételt felhasználását;
c. meghatározott időtartamú inaktivitás esetén letiltja az azonosítót.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 69/92
Az elektronikus információs rendszerekhez történő hozzáférést biztosító azonosítókat – informatikai
rendszertől függően – a felhasználó vagy a rendszergazda hozza létre. Az azonosítók ismételt
felhasználása tilos. A rendszer által meghatározott idő, vagy 3 hónap inaktivitás után az azonosítókat a
rendszergazdának le kell tiltania.
3.9.5. A hitelesítésre szolgáló eszközök kezelése A jelszavak a felhasználó számítógépes szolgáltatásokhoz való hozzáférési jogosultságának hitelesítésére
szolgálnak. A jelszókezelő rendszernek hatékonyan és interaktívan kell biztosítania a megfelelő színvonalú
jelszavak használatát.
A Hivatal az alábbi elvárásokat érvényesíti a jelszavak kezelésével kapcsolatosan:
a. tegye lehetővé a felhasználók számára jelszavuk kiválasztását és megváltoztatását;
b. kényszerítse ki az ideiglenes jelszavak megváltoztatását az első bejelentkezéskor;
c. kényszerítse ki a megfelelő minőségű jelszavak használatát;
d. kényszerítse ki a jelszóváltoztatást, frissítést időszakonként;
e. tiltsa meg a korábban használt jelszavak ismételt felhasználását;
f. beíráskor ne jelenítse meg a jelszavakat a képernyőn;
g. a jelszavakat nem tárolja (ide nem értve az irreverzibilis kriptográfiai hasító függvénnyel a jelszóból
képzett hasító érték tárolást) és nem továbbítja;
h. változtassa meg a szállító alapértelmezett jelszavát a szoftver installálása után.
Jelszógondozási folyamattal kell a jelszavak kiosztását ellenőrizni, úgy, hogy:
a. szükség esetén a felhasználók kötelezhetők arra, hogy nyilatkozatban vállalják a számukra kiadott,
vagy általuk képzett jelszavaik titokban tartását;
b. biztosítani, hogy a kezdeti jelszavak is biztonságos körülmények között kerüljenek a
felhasználóknak átadásra.
A felhasználói jelszavak képzéséhez az alábbi szabályokat kell betartani:
a. a jelszó legalább nyolc karakter hosszú legyen, és - ahol műszakilag az megvalósítható - törekedni
kell arra, hogy tartalmazzon a kisbetűkön kívül nagybetűt és számot vagy speciális karaktert is;
b. a jelszavakat a rendszergazda vagy az elektronikus információs rendszer biztonságáért felelős
által – a Rendszerbiztonsági tervben vagy egyéb módon – meghatározott időközönként meg kell
változtatni;
c. a jelszavakat két napon belül nem szabad megváltoztatni;
d. az előző jelszavak újra használatát kerülni kell;
e. zárolás esetén előre beállított időtartam eltelte után engedélyezze vissza a felhasználói fiókot.
Az elektronikus információs rendszerekben a jelszavak használatának és képzésének részletes szabályai
a következők:
a. a felhasználó a jelszavát köteles titokban tartani;
b. a jelszószabályok betartása minden felhasználónak jól felfogott érdeke. A felhasználó felelőssége,
ha jelszavának megismerése révén valaki a nevében visszaélést követ el az elektronikus
információs rendszerben;
c. a felhasználói jelszavakat – informatikai rendszerenként – nyilván kell tartani, azokat zárt, a
felhasználó által a lezárás mentén aláírt, dátummal és névvel ellátott, a jegyző által meghatározott,
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 70/92
tűzbiztos, megfelelő mechanikai védelemmel ellátott páncélszekrényben kell tárolni. Egyéb helyen
tilos leírni;
d. ha bármilyen jel mutat arra, hogy a jelszó illetéktelen kézbe jutott, azonnal meg kell változtatni,
értesíteni kell a rendszergazdát és az elektronikus információs rendszer biztonságáért felelős
személyt;
e. nem tehető a jelszó egy automatikus bejelentkezési folyamat részévé, pl. makróra, vagy funkció
billentyűre;
A jelszó minél komplexebb, annál kisebb a valószínűsége, hogy visszaélésre kerül sor. A jelszavak
képzésénél az alábbi szempontokat kell betartani:
a. könnyen megjegyezhető, és nehezen kitalálható legyen;
b. semmi olyasmin ne alapuljon, aminek alapján valaki kitalálhatja, ilyenek a nevek, telefonszámok,
születési dátumok, stb.;
c. ne legyen a gépnévre vagy a felhasználói névre utaló;
d. ne legyen sorozat.
A fenti szabályok az elektronikus információs rendszerek által technikailag kikényszeríthető részét a
rendszergazdának kell beállítani.
A felhasználó felelőssége, ha jelszavának neki felróható mulasztása miatti megismerése révén valaki a
nevében visszaélést követ el az elektronikus információs rendszerben.
A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerekre vonatkozóan hardver token alapú hitelesítése esetén olyan mechanizmusokat alkalmaz,
amely megfelel az eljárásrendben meghatározott minőségi követelményeknek, vagy:
a. az elektronikus információs rendszer nyilvános kulcsú infrastruktúra alapú hitelesítés esetén
ellenőrzi a tanúsítványokat egy elfogadott megbízható pontig tartó tanúsítványlánc felépítésével és
ellenőrzésével, beleértve a tanúsítvány állapot információ ellenőrzését is;
b. kikényszeríti a megfelelő magánkulcshoz való jogosult hozzáférést;
c. összekapcsolja a hitelesített azonosságot az egyéni vagy csoport fiókkal;
d. megvalósítja a visszavonási adatok helyi tárolását a tanúsítványlánc felépítésének és
ellenőrzésének támogatására arra az esetre, amikor a visszavonási információk a hálózaton
keresztül nem elérhetők.
A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerekre vonatkozóan tulajdonság alapú hitelesítést alkalmaz, azaz a felhasználó egyedi azonosítást
lehetővé tevő tulajdonságai alapján végzi el az azonosítást.
Személyes vagy megbízható harmadik fél általi regisztráció
A Hivatal szükség esetén eljárásrendben meghatározott hitelesítő eszköz átvételéhez olyan regisztrációs
eljárást követel meg, melyet meghatározott regisztrációs szervezet folytat le az érintett szervezet által
meghatározott személyek vagy szerepkörök jóváhagyása mellett.
3.9.6. A hitelesítésre szolgáló eszköz visszacsatolása Az elektronikus információs rendszernek fedett visszacsatolást kell biztosítani a hitelesítési folyamat során,
hogy megvédje a hitelesítési információt jogosulatlan személyek esetleges felfedésétől, felhasználásától.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 71/92
3.9.7. Hitelesítés kriptográfiai modul esetén Az elektronikus információs rendszernek egy adott kriptográfiai modulhoz való hitelesítésre olyan
mechanizmusokat kell használni, amelyek megfelelnek a kriptográfiai modul hitelesítési útmutatójának.
3.9.8. Azonosítás és hitelesítés (hivatalon kívüli felhasználók) Az elektronikus információs rendszernek egyedileg kell azonosítania és hitelesítenie az érintett szervezeten
kívüli felhasználókat, illetve a tevékenységüket.
A hálózati kapcsolatot az átmenő adatok bizalmasságának és sértetlenségének megőrzése céljából
titkosítani kell (pl.: VPN, SSL). A hálózati kapcsolatok titkosításához csak a Nemzeti Média- és Hírközlési
Hatóság elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítés szolgáltatók által
kibocsátott tanúsítványokat lehet felhasználni.
3.10. HOZZÁFÉRÉS ELLENŐRZÉSE
3.10.1. Hozzáférés ellenőrzési eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és kihirdeti a hozzáférés ellenőrzési eljárásrendet, mely
a hozzáférés ellenőrzési szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő.
Az elektronikus információbiztonsággal kapcsolatos engedélyezési hozzáférési szabályokat Informatikai
biztonsági eljárásrendben kezeli.
A jogosultság kezelés során figyelembe kell venni a központi szolgáltató (a jogszabály által kijelölt
központosított informatikai és elektronikus hírközlési szolgáltató) előírásait.
Az elektronikus információs rendszer, rendszerelem használója kizárólag munkatárs (választott
tisztségviselő, közszolgálati jogviszony vagy munkaviszony alapján foglalkoztatott munkatárs) vagy a
Hivatallal szerződéses jogviszonyban álló személy lehet, aki a munkavégzéshez szükséges mértékű
felhasználói szintű informatikai ismeretekkel rendelkezik, jelen szabályzatot vagy a rá vonatkozó
rendelkezéseket megismerte, és hozzáférési jogosultságot kapott az elektronikus információs rendszerek
használatához (a továbbiakban: felhasználó).
Az elektronikus információs rendszerek bevezetésében és felhasználásában közreműködő külső fél
munkatársai és vezetői titoktartási nyilatkozat tételére kötelesek, vagy a Hivatal és a külső fél közötti
jogviszony alapjául szolgáló megállapodásban kell rendelkezni a külső fél titoktartási kötelezettségéről.
A titoktartási kötelezettségnek ki kell terjedni az elektronikus információs rendszerekkel kapcsolatos, illetve
ezek bevezetése során tudomásukra jutó valamennyi információra.
Valamennyi felhasználó munkavégzése során a szükséges és elégséges hozzáférés elve alapján
a. kizárólag a feladat ellátásához szükséges hivatali adat, információ megismerésére, továbbá
b. az adat- és rendszerhozzáférésre a munkavégzéséhez szükséges lehető legrövidebb ideig és
szükséges legkisebb jogosultsági szint alkalmazásával jogosult.
A felhasználónak az elvárható gondossággal kell eljárnia el az adatkezelés során, meg kell akadályoznia
a kapott hozzáférési jogokkal való visszaélést azáltal, hogy megőrzi a hozzáférési kódok titkosságát.
A felhasználó elszámoltatható minden olyan tevékenységért, amelyet a saját felhasználó azonosító kódja
(user ID) alapján végzett
Az elektronikus információs rendszerekről és eszközökről kizárólag a jegyző, az általa kijelölt személy vagy
az elektronikus információs rendszerek biztonságáért felelős szolgáltathat adatokat.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 72/92
3.10.2. Felhasználói fiókok kezelése Az elektronikus információs rendszer felhasználói fiókjait és típusait – a jegyző által jóváhagyott
jogosultságoknak megfelelően – a rendszergazda határozza meg:
a. kijelöli a felhasználói fiókok fiókkezelőit;
b. kialakítja a csoport- és szerepkör tagsági feltételeket;
c. meghatározza az elektronikus információs rendszer jogosult felhasználóit, a csoport- és szerepkör
tagságot és a hozzáférési jogosultságokat, valamint (szükség esetén) az egyes felhasználói fiókok
további jellemzőit;
d. létrehozza, engedélyezi, módosítja, letiltja és eltávolítja a felhasználói fiókokat a meghatározott
eljárásokkal vagy feltételekkel összhangban;
e. ellenőrzi a felhasználói fiókok használatát;
Értesíti a fiókkezelőket, ha:
a. a felhasználói fiókokra már nincsen szükség,
b. a felhasználók kiléptek vagy áthelyezésre kerültek,
c. az elektronikus információs rendszer használata vagy az ehhez szükséges ismeretek
megváltoztak;
A rendszergazda meghatározott gyakorisággal, minimálisan évente felülvizsgálja a felhasználói fiókokat, a
fiókkezelési követelményekkel való összhangot, kialakít egy folyamatot a megosztott vagy csoport
felhasználói fiókokhoz tartozó hitelesítő eszközök, adatok újra kibocsátására (ha ilyet alkalmaznak), a
csoport tagjainak változása esetére.
Laptopokon a felhasználók – függetlenül a szakrendszerek használatától - kizárólag felhasználói
jogosultsággal dolgozhatnak, nem kaphatnak rendszergazdai jogosultságokat. Ha az elektronikus
információs rendszerek zavartalan működéséhez szükségesek az emelt szintű jogok, a rendszergazdai
jogosultságot a rendszergazda javaslatára a szervezeti egység vezető engedélyezheti a szükséges ideig,
kizárólag a szakrendszerek használatához, mely nem használható programok telepítésére, beállítások
megváltoztatására.
A munkaállomásokon a számítógépes képernyővédelmi rendszert úgy kell beállítani, hogy kizárja az
illetéktelen használatot. A munkaállomások jelszavas védelme, a hozzáférésre jogosult felhasználók
számára jelszavas képernyővédelem beállítása, szükség esetén a rendszergazda közreműködésével a
felhasználó feladata (elvárt követelmény: 2 perc idő, 6 karakter egyedi kód, 3 havonkénti módosítás).
A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerei esetén automatizált mechanizmusokat kell alkalmazni az elektronikus információs rendszer
fiókjainak kezeléséhez, el kell távolítania az ideiglenes fiókokat (meghatározott időtartam letelte után
automatikus eltávolítás vagy az ideiglenes vagy kényszerhelyzetben létrehozott felhasználói fiókok, egyes
kijelölt felhasználói fiók típusok letiltása), automatikusan naplóznia kell a fiókok létrehozásával,
módosításával, engedélyezésével, letiltásával és eltávolításával kapcsolatos tevékenységeket, és
értesíteni ezekről a meghatározott személyeket vagy szerepköröket.
3.10.3. Hozzáférés ellenőrzés érvényesítése Az elektronikus információs rendszernek a megfelelő szabályzatokkal összhangban érvényesíteni kell a
jóváhagyott jogosultságokat az információkhoz és a rendszer erőforrásaihoz való logikai hozzáféréshez.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 73/92
3.10.4. Információáramlás ellenőrzés érvényesítése A magas biztonsági követelményű elektronikus információs rendszereknek a megfelelő szabályzatokkal
összhangban érvényesíteni kell a jóváhagyott jogosultságokat a rendszeren belüli és a kapcsolódó
rendszerek közötti információáramlás ellenőrzéséhez, a meghatározott információáramlás ellenőrzési
szabályoknak megfelelően.
3.10.5. A felelősségek szétválasztása A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerei esetén szétválasztja az egyéni felelősségeket, dokumentálja az egyéni felelősségek
szétválasztását, meghatározza az elektronikus információs rendszer hozzáférés jogosultságait az egyéni
felelősségek szétválasztása érdekében.
3.10.6. Legkisebb jogosultság elve A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerei esetén megköveteli, hogy az elektronikus információs rendszer:
a. a legkisebb jogosultság elvét alkalmazza, azaz a felhasználók - vagy a felhasználók tevékenysége
- számára csak a számukra kijelölt feladatok végrehajtásához szükséges hozzáféréseket
engedélyezi,
b. jogosult hozzáférést biztosítson a biztonsági funkciókhoz és biztonságkritikus információkhoz,
c. nem privilegizált hozzáférést biztosítson a biztonsági funkciókhoz (kötelezővé teszi, hogy a
meghatározott biztonsági funkciókhoz vagy biztonságkritikus információkhoz hozzáférési
jogosultsággal rendelkező felhasználói a nem biztonsági funkciók használatához nem a különleges
jogosultsághoz kötött - úgynevezett privilegizált - fiókjukat vagy szerepkörüket használják),
d. privilegizált fiókjait meghatározott személyekre vagy szerepkörökre korlátozza,
e. a privilegizált funkciók végrehajtását naplózza
f. a privilegizált funkciókat tiltsa a nem privilegizált felhasználóknak (akadályozza meg, hogy a nem
privilegizált felhasználók privilegizált funkciókat hajtsanak végre, ideértve a biztonsági
ellenintézkedések kikapcsolását, megkerülését, vagy megváltoztatását.
3.10.7. Sikertelen bejelentkezési kísérletek A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerei esetén megköveteli, hogy az elektronikus információs rendszer:
a. meghatározott esetszám korlátot alkalmazzon a felhasználó meghatározott időtartamon belül
egymást követő sikertelen bejelentkezési kísérleteire;
b. ha a sikertelen bejelentkezési kísérletekre felállított esetszám korlátot a felhasználó túllépi,
automatikusan zárolja a felhasználói fiókot, vagy csomópontot meghatározott időtartamig, vagy
meghatározott módon késlelteti a következő bejelentkezési kísérletet;
3.10.8. A rendszerhasználat jelzése A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerei esetén megköveteli, hogy az elektronikus információs rendszer:
a. jelezze a rendszerhasználatot (a meghatározott rendszer használatra vonatkozó figyelmeztető
üzenetet vagy jelzést küld a felhasználó számára a rendszerhez való hozzáférés engedélyezése
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 74/92
előtt, mely jelzi, hogy a felhasználó a szervezet elektronikus információs rendszerét használja, a
rendszer használatot figyelhetik, rögzíthetik, naplózhatják, a rendszer jogosulatlan használata tilos,
és büntetőjogi vagy polgárjogi felelősségre vonással jár, a rendszer használata egyben a
felhasználó előbbiekbe történő beleegyezését is jelenti);
b. a figyelmeztető üzenetet vagy jelzést mindaddig a képernyőn tartja, amíg a felhasználó közvetlen
műveletet nem végez az elektronikus információs rendszerbe való bejelentkezéshez vagy további
rendszer hozzáféréshez;
c. a nyilvánosan elérhető rendszerek esetén kijelzi a rendszer használat feltételeit, mielőtt további
hozzáférést biztosít, ha felügyelet, adatrögzítés vagy naplózás történik, kijelzi, hogy ezek
megfelelnek az adatvédelmi szabályoknak;
d. leírást biztosít a rendszer engedélyezett felhasználásáról.
3.10.10. A munkaszakasz zárolása A magas biztonsági követelményű elektronikus információs rendszernek meghatározott időtartamú
inaktivitás után, vagy a felhasználó erre irányuló lépése esetén a munkaszakasz zárolásával meg kell
akadályozni a rendszerhez való további hozzáférést, meg kell tartani a munkaszakasz zárolását mindaddig,
amíg a felhasználó a megfelelő eljárások alkalmazásával nem azonosítja és hitelesíti magát újra.
A munkaszakasz zárolásakor a képernyőn korábban látható információt egy nyilvánosan látható képpel,
üres képernyővel vagy a bejelentkezési felülettel - ami a zároló személy nevét is tartalmazhatja - kell
eltakarni.
3.10.11. A munkaszakasz lezárása A magas biztonsági követelményű elektronikus információs rendszernek automatikusan le kell zárni a
munkaszakaszt a meghatározott feltételek vagy munkaszakasz szétkapcsolást igénylő események
megtörténte után.
3.10.12. Azonosítás vagy hitelesítés nélkül engedélyezett tevékenységek Az azonosítás és hitelesítés nélkül végrehajtható felhasználói tevékenységeket dokumentálni kell,
indokolni kell a rendszerbiztonsági tervben, vagy más szabályzatban.
A Hivatalban jelenleg nincsenek azonosítás és hitelesítés nélkül engedélyezett tevékenységek.
3.10.13. Távoli hozzáférés A Hivatal a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan
megköveteli, saját felelősségi körébe tartozó elektronikus információs rendszerei esetén biztosítja:
a. kidolgozza és dokumentálja minden engedélyezett távoli hozzáférés típusra a felhasználásra
vonatkozó korlátozásokat, a konfigurálási vagy a kapcsolódási követelményeket és a
megvalósítási útmutatókat;
b. engedélyezési eljárást folytat le az elektronikus információs rendszerhez történő távoli hozzáférés
feltételeként;
c. az elektronikus információs rendszer figyeli és ellenőrzi a távoli hozzáféréseket;
d. kriptográfiai mechanizmusokat kell alkalmazni a távoli hozzáférés munkaszakaszok
bizalmasságának és sértetlenségének a védelmére;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 75/92
e. minden távoli hozzáférést felügyelt hozzáférés ellenőrzési ponton keresztül kell irányítani az
elektronikus információs rendszerben.
f. a privilegizált parancsok végrehajtásához és biztonságkritikus információk eléréséhez távoli
hozzáférést csak meghatározott és elfogadott igény esetén engedélyez;
g. dokumentálja és indokolja az engedélyezett hozzáféréseket a rendszerbiztonsági tervben.
3.10.14. Vezeték nélküli hozzáférés A specifikus technológiára (például vezeték nélküli kommunikáció) vonatkozó biztonsági intézkedések csak
akkor alkalmazandók, ha ezeket a technológiákat használják az elektronikus információs rendszerben,
vagy előírják ezek használatát.
A Hivatal eljárásrendjében felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó
követelményeket, valamint technikai útmutatót ad ki a vezeték nélküli technológiák kapcsán, engedélyezési
eljárást folytat le a vezeték nélküli hozzáférés feltételeként.
3.10.15. Mobil eszközök hozzáférés ellenőrzése A Hivatal belső eljárásrendben felhasználási korlátozásokat, konfigurálásra és kapcsolódásra vonatkozó
követelményeket, valamint technikai útmutatót ad ki az általa ellenőrzött mobil eszközökre, engedélyhez
köti az elektronikus információs rendszereihez mobil eszközökkel megvalósított kapcsolódást.
A mobil eszközök használatát, Hivatalból történő kiszállítását minden esetben előzetes jegyzői vagy
szervezeti egység vezetői engedélyezésnek kell megelőznie.
Az igénylést, kiadást, visszavételt, nyilvántartást, javítást, esetleges elvesztésére vagy a selejtezésére
vonatkozó szabályokat eljárásrend tartalmazza.
A Hivatalból kiszállított mobil eszközök, laptopok, adathordozók (pl. külső HDD) esetén a tárolt információk
bizalmasságának és sértetlenségének a védelmére, az információk hozzáférhetetlenné tételére teljes
eszköztitkosítást, tároló alapú titkosítást, vagy más technológiai eljárást kell alkalmazni (pl. Win10 Pro
esetén BitLocker, ESET Endpoint Encryption). Kizárólag hardveres titkosítású pendrive használat
engedélyezett.
3.10.16. Külső elektronikus információs rendszerek használata A Hivatal vezetője meghatározza, hogy milyen feltételek és szabályok betartása mellett jogosult a
felhasználó egy külső rendszerből hozzáférni az elektronikus információs rendszerhez, meghatározza,
hogy külső elektronikus információs rendszerek segítségével hogyan jogosult a felhasználó feldolgozni,
tárolni vagy továbbítani a Hivatal által ellenőrzött információkat.
A Hivatalban jelenleg nem engedélyezett a külső elektronikus információs rendszerek használata a Hivatal
belső elektronikus információs rendszereinek hozzáféréséhez.
A Hivatal csak abban az esetben engedélyezi jogosult felhasználóknak egy külső elektronikus információs
rendszer felhasználását az elektronikus információs rendszerhez való hozzáférésre, az által ellenőrzött
információk feldolgozására, tárolására vagy továbbítására, ha előzetesen ellenőrzi a szükséges biztonsági
intézkedések meglétét a külső rendszeren saját eljárásrendjének megfelelő módon, vagy jóváhagyott
kapcsolat van az elektronikus információs rendszerek között, vagy megállapodás született a külső
elektronikus információs rendszert befogadó szervezettel.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 76/92
A Hivatal megtiltja a magas biztonsági követelményű rendszerelemek esetén a hordozható tárolóeszközök
használatát külső elektronikus információs rendszerben is jogosultsággal rendelkező személyek számára.
3.10.17. Információ megosztás
A Hivatal elősegíti az információmegosztást azzal, hogy engedélyezi a jogosult felhasználóknak eldönteni,
hogy a megosztásban résztvevő partnerhez rendelt jogosultságok megfelelnek-e az információra
vonatkozó hozzáférési korlátozásoknak, olyan meghatározott információmegosztási körülmények esetén,
amikor felhasználói megítélés szóba jöhet, automatizált mechanizmusokat vagy kézi folyamatokat alkalmaz
arra, hogy segítséget nyújtson a felhasználóknak az információmegosztási vagy együttműködési döntések
meghozatalában.
3.10.18. Nyilvánosan elérhető tartalom Nyilvánosan hozzáférhető rendszerként definiálja a Hivatal a publikus weboldalát.
A Hivatal vezetője kijelöli azokat a személyeket, akik jogosultak a nyilvánosan hozzáférhető elektronikus
információs rendszeren a Hivataltól kapcsolatos bármely információ közzétételére. A dokumentált módon
kijelölt személyeket tájékoztatja, képzésben részesíti annak biztosítása érdekében, hogy a nyilvánosan
hozzáférhető információk ne tartalmazzanak nem nyilvános információkat;
A Hivatal honlapjához a rendszergazda vagy a jegyző által megbízott – a Hivatallal szerződéses
jogviszonyban álló – külső vállalkozó rendelkezik technikai hozzáféréssel, számára a Hivatal vezetője vagy
megbízottja adhat át dokumentált módon írásban – nyilvános közzétételre szánt, ellenőrzött – információt.
A Hivatal vezetője által megbízott személy heti gyakorisággal átvizsgálja a nyilvánosan hozzáférhető
elektronikus információs rendszertartalmat a nem nyilvános információk tekintetében és eltávolíttatja
azokat. A megbízottnak gondoskodni kell a Hivatal honlapján publikált információk törvényi
megfelelősségéről és valódiságáról, sértetlenségéről. Tilos a hatályos törvénybe, jogszabályba ütköző,
vagy a Hivatal érdekeit, a jó ízlést és közerkölcsöt sértő tartalmat közzétenni.
3.11. RENDSZER- ÉS INFORMÁCIÓ SÉRTETLENSÉG
3.11.2. Rendszer- és információsértetlenségre vonatkozó eljárásrend Az elektronikus információs rendszerek, illetve az adatok sértetlenségére vonatkozóan a következő
eljárásrendet kell alkalmazni.
Ezeket a rendelkezéseket egy adott elektronikus információs rendszer tekintetében abban az esetben kell
alkalmazni, ha az adott elektronikus információs rendszert a Hivatal üzemelteti. Üzemeltetési szolgáltatási
szerződés esetén szerződéses kötelemként kell érvényesíteni a követelményeket és azokat a
szolgáltatónak kell biztosítania.
3.11.3. Hibajavítás A Hivatal azonosítja, belső eljárásrendje alapján jelenti és kijavítja, vagy kijavíttatja az elektronikus
információs rendszer hibáit. Telepítés előtt tesztelni kell a hibajavítással kapcsolatos szoftverfrissítéseket
a feladatellátás hatékonysága, az előre nem látható következmények szempontjából, a biztonságkritikus
szoftvereket frissítésük kiadását követő meghatározott időtartamon belül kell telepíteni vagy telepíttetni.
Be kell építi a hibajavítást a konfigurációkezelési folyamatba.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 77/92
A rendszerprogramokkal kapcsolatos bármely konfigurálási, hangolási műveletet csak a rendszergazda
végezhet. Az alkalmazáson végzendő, annak bármely funkcióját megváltoztató művelethez – beleértve a
verzióváltást és egyéb, jelentős beavatkozást igénylő hangolást is - a jegyző vagy a szervezeti egység
vezető engedélye szükséges.
A rendszergazdának biztosítania kell, hogy a rendszerszoftver naprakész állapotban legyen, és a
segédprogramok, programkönyvtárak mindig hozzáférhetők legyenek az üzemeltetők számára.
A verzióváltással járó alapszoftver módosítással egy időben a változásokat a dokumentációban is át kell
vezetni (Munkalap vagy egyéb feljegyzés alapján az Alapkonfiguráció nyilvántartásban). Ha nem a
módosítást elvégző rendszergazda felelős a nyilvántartás aktualizálásáért, akkor a Munkalapot el kell
juttatni az elektronikus információs rendszer biztonságáért felelős felé.
A felhasználói adatok és alkalmazások védelme érdekében a szoftverek módosítása (frissítés,
verzióváltás) folyamán az alkalmazáshoz és az adatokhoz történő illetéktelen hozzáférést és az illetéktelen
próbálkozást meg kell akadályozni. Gondoskodni kell arról, hogy a telepített alkalmazások, fájlok ne
károsodjanak, és a követelményeknek megfelelően működjenek.
Új hardverek üzembe állításakor a fentieket kell értelemszerűen alkalmazni.
A Hivatal a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan
megköveteli automatizált mechanizmusok alkalmazását az elektronikus információs rendszer elemei
hibajavítási állapotának meghatározására.
3.11.4. Kártékony kódok elleni védelem A Hivatalnak meg kell őriznie az elektronikus információs rendszerek és az információ bizalmasságát,
sértetlenségét és rendelkezésre állását a kártékony kódok és a kéretlen üzenetek támadásaival szemben.
A kártékony kódok elleni védekezés során a következőkről kell gondoskodni:
a. Munkaállomások és kiszolgálók esetében központilag felügyelt kártékony kód elleni megoldásokat
kell alkalmazni.
b. Kártékony kód elleni megoldás nélkül sem hálózati, sem önálló munkaállomás, sem hordozható
számítógép nem üzemeltethető.
c. Egyéb infokommunikációs eszközök tekintetében a gyártói ajánlások és a lehetőségek figyelembe
vételével törekedni kell a kártékony kódok elleni védekezésre.
d. A kártékony kód elleni alkalmazások adatbázisát rendszeresen, a szállító által meghatározott
ütemezéssel, vagy automatikusan frissíteni kell.
e. A hordozható számítógépek esetében az üzemeltetőnek gondoskodnia kell a kártékony kód elleni
alkalmazás adatbázisának automatikus frissítéséről, közvetlenül a hordozható számítógép
bekapcsolása után.
f. A külső forrásból származó a cserélhető adathordozókat használatba vétel előtt automatikus
kártékony kód ellenőrzés alá kell vetni.
g. A felhasználókat meg kell ismertetni a kártékony kód felmerülésének esetében követendő
előírásokkal.
h. A kártékony kód észlelése esetén blokkolni vagy karanténba kell helyezi, a rendszergazdának
értesítenie kell az elektronikus információs rendszer biztonságáért felelős személyt, aki
meghatározza a további teendőket.
i. A vírusfertőzésekkel és elhárításukkal kapcsolatban tett intézkedéseket dokumentálni kell.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 78/92
A Hivatal informatikai rendszereit, az elektronikus levelezés során a hivatalos és a személyes postafiókokat
vírusvédelmi rendszer védi. Az internethasználatra vonatkozó szabályokat az 1.6.9. fejezet tartalmazza.
A magas biztonsági követelményű elektronikus információs rendszerek esetén központilag kell kezelni a
kártékony kódok elleni védelmi mechanizmusokat, automatikus frissítést kell biztosítani a kártékony kódok
elleni védelmi mechanizmusok frissítéséhez.
3.11.5. Az elektronikus információs rendszer felügyelete Felelősségi körén belül a rendszergazda vagy a szolgáltató felügyeli az elektronikus információs rendszert,
hogy észlelje a kibertámadásokat vagy a kibertámadások jeleit a meghatározott figyelési céloknak
megfelelően, és feltárja a jogosulatlan lokális, hálózati és távoli kapcsolatokat:
a. azonosítja az elektronikus információs rendszer jogosulatlan használatát;
b. felügyeleti eszközöket alkalmaz a meghatározott alapvető információk gyűjtésére és a rendszer ad
hoc területeire a potenciálisan fontos, speciális típusú tranzakcióknak a nyomon követésére;
c. védi a behatolás-felügyeleti eszközökből nyert információkat a jogosulatlan hozzáféréssel,
módosítással és törléssel szemben;
d. erősíti az elektronikus információs rendszer felügyeletét minden olyan esetben, amikor fokozott
kockázatra utaló jelet észlel;
e. meghatározott gyakorisággal biztosítja az elektronikus információs rendszer felügyeleti
információkat a meghatározott személyeknek vagy szerepköröknek.
f. az üzembiztonság érdekében a kiszolgálók operációs rendszereinek telepítőkészleteit tartalék
adathordozón is tárolja, valamint rendszeresen menti az operációs rendszer beállításait.
A magas biztonsági követelményű elektronikus információs rendszerek esetén automatizált eszközöket
kell alkalmazni az események közel valós idejű vizsgálatának támogatására.
A rendszernek felügyelni kell a beérkező és kimenő adatforgalmat a szokatlan vagy jogosulatlan
tevékenységekre vagy körülményre tekintettel, riasztani kell az illetékes személyeit, csoportjait, amikor
veszélyeztetés vagy lehetséges veszélyeztetés előre meghatározott jeleit észleli.
3.11.6. Biztonsági riasztások és tájékoztatások Az elektronikus információs rendszer biztonságáért felelős folyamatosan figyeli a kormányzati
eseménykezelő központ által a kritikus hálózatbiztonsági eseményekről és sérülékenységekről közzétett
figyelmeztetéseket, folyamatosan figyelemmel kíséri a Nemzeti Kibervédelmi Intézet Kormányzati
Eseménykezelő Központtól érkező értesítéseket, szükség esetén belső biztonsági riasztást és
figyelmeztetést ad ki, illetve a belső biztonsági riasztást és figyelmeztetést eljuttatja az illetékes
személyekhez.
Kialakítja és működteti a jogszabályban meghatározott esemény bejelentési kötelezettség rendszerét, és
kapcsolatot tart az érintett, külön jogszabályban meghatározott szervekkel, megfelelő ellenintézkedéseket
és válaszlépéseket tesz.
Az elektronikus információs rendszer biztonságáért felelős a biztonsági riasztásokat és a kapcsolatos
intézkedéseket elektronikus nyilvántartásban vagy egyéb dokumentumban rögzíti.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 79/92
3.11.8. Szoftver és információ sértetlenség A Hivatal a magas biztonsági követelményű, saját felelősségi körébe tartozó elektronikus információs
rendszerei esetén sértetlenség ellenőrző eszközt alkalmaz a szoftverek és információk jogosulatlan
módosításának észlelésére, illetve megköveteli azt a szolgáltatótól.
3.11.9. Kéretlen üzenetek elleni védelem A Hivatal a magas biztonsági követelményű elektronikus információs rendszerelemek belépési és kilépési
pontjain kéretlen üzenetek - úgynevezett levélszemét - elleni védelmet valósít vagy követel meg a
levélszemét észlelése és kiszűrése érdekében. Új verziók elérhetővé válásakor frissíti a levélszemét elleni
védelmi mechanizmusokat, összhangban a konfigurációkezelési szabályzattal és eljárásrenddel.
Központi beállításokkal irányítja a levélszemét elleni védelmet, automatikusan frissíti a levélszemét elleni
védelmi mechanizmusokat azok újabb verzióival.
3.11.10. Bemeneti információ ellenőrzés A magas biztonsági követelményű elektronikus információs rendszereknek ellenőrzi kell a meghatározott
információ belépési pontok érvényességét.
3.11.11. Hibakezelés A magas biztonsági követelményű elektronikus információs rendszereknek hibajelzéseket kell generálni a
hibajavításhoz szükséges információkat biztosítva, ezeket kizárólag a meghatározott személyek vagy
szerepkörök számára teheti elérhetővé. A rendszer nem nyújthat semmi olyan információt, amelyet a
támadók kihasználhatnak.
3.11.12. A kimeneti információ kezelése és megőrzése A kimeneti információk (pl.: nyomtatott dokumentumok) kezelésével és szétosztásával kapcsolatban a
Hivatal Iratkezelési Szabályzatával összhangban a következők az előírások:
a. gondoskodni kell a kimeneti információ tartalmi ellenőrzéséről,
b. gondoskodni kell arról, hogy a kimeneti információhoz történő fizikai és logikai hozzáférés csak az
arra jogosított személyekre korlátozódjon,
c. gondoskodni kell arról, hogy a jogosult személyek időben megkapják az elkészült kimeneti
információkat,
d. biztosítani kell, hogy a megsemmisítési eljárások során az kimeneti információk tartalma
helyreállíthatatlanul megsemmisüljön.
A kimeneti információk kezelése során figyelembe kell venni az információ minősítését. A mindenkori
biztonsági osztályok függvényében kerülnek meghatározásra a szabályozások arra vonatkozóan, hogy
miként kell eljárni a bizonyos adatokkal, dokumentumokkal.
3.11.13. Memória védelem A magas biztonsági követelményű elektronikus információs rendszerben biztonsági beállításokat kell
alkalmazni azért, hogy védje a memóriát a jogosulatlan kódok végrehajtásától.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 80/92
3.12. NAPLÓZÁS ÉS ELSZÁMOLTATHATÓSÁG
3.12.1. Naplózási eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja és a szabályozásában meghatározott személyek vagy
szerepkörök számára kihirdeti a naplózási eljárásrendet, mely a naplózásra és elszámoltat-hatóságra
vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő.
Ha a Hivatal az elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy
használja – részben vagy teljesen –, a naplózás és elszámoltathatóság követelményeit ezen elemek és
funkciók tekintetében kell teljesíteni.
3.12.2. Naplózható események A rendszergazda – az elektronikus információs rendszer biztonságáért felelőssel egyeztetve –
meghatározza a naplózható és naplózandó eseményeket, és felkészíti erre az elektronikus információs
rendszerét.
a. egyezteti a biztonsági napló funkciókat a többi, naplóval kapcsolatos információt igénylő Hivatali
egységgel, hogy növelje a kölcsönös támogatást, és hogy iránymutatással segítse a naplózható
események kiválasztását;
b. megvizsgálja, hogy a naplózható események megfelelőnek tekinthetők-e a biztonsági
eseményeket követő tényfeltáró vizsgálatok támogatásához.
Biztosítani kell, hogy az alkalmazott elektronikus információs rendszerek a következő eseményeket
naplózni tudják:
a. a felhasználók adminisztrációs tevékenysége:
- bejelentkezés;
- kijelentkezés;
- jelszómódosítás.
b. az adatállományok (adatbázisok) módosítása az alkalmazási rendszerekben;
c. a rendszergazdák a rendszer bármely rétegébe történő be-és kijelentkezése;
d. a rendszergazdák tevékenysége a rendszer bármely rétegében;
e. a felhasználói jogosultságok módosítása;
f. rendszer események, esetleges hibák;
g. konfigurációs beállítások módosítása.
h. Az esemény típusának megfelelően az általános feldolgozási eseményt az eseménynaplóban, a
biztonsággal összefüggő eseményeket pedig a biztonsági naplóba kell rögzíteni.
Az elektronikus információs rendszerek naplózása kialakításakor szükség esetén be kell vonni a szervezeti
egység vezetőjét is annak érdekében, hogy adatgazdai oldalról meghatározásra kerüljenek azok a
többletinformációk, amelyeket igényelnek.
A Hivatalnál a rendszerhasználat a naplóállományok elemzése révén kerül megfigyelésre, egyéb
technológiát a Hivatal nem alkalmaz. A hibanaplók, az adminisztrátori és kezelői tevékenységek jelenleg
az operációs rendszer eseménynaplózás naplóbejegyzéseiből szűrhetők. Egyéb naplózás nincs
érvényesítve.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 81/92
3.12.3. Naplóbejegyzések tartalma Az elektronikus információs rendszernek a naplóbejegyzésekből kell elegendő információt gyűjteni ahhoz,
hogy ki lehessen mutatni, hogy milyen események történtek, miből származtak ezek az események, és mi
volt ezen események kimenetele.
A naplóbejegyzéseknek a következőket kell tartalmaznia:
a. a rendszerelem azonosítóját,
b. az adatazonosítót (fájl / rekord / mező),
c. az esemény ismertetését / a funkcióazonosítót,
d. a felhasználó azonosítóját,
e. az esemény időpontját,
f. az esemény elemzéséhez szükséges adattartalmakat vagy az arra vonatkozó hivatkozásokat,
illetve annak végrehajtási státuszát.
A magas biztonsági követelményű elektronikus információs rendszereknek biztosítani kell a meghatározott
rendszerelemek által generált naplóbejegyzések tartalmának központi kezelését és konfigurálását.
A Hivatal az információs rendszerek naplózásával kapcsolatos szabályokat, további kiegészítő információt
(ha van előírva) a Rendszerbiztonsági tervben és/vagy mellékletében, ill. egyéb dokumentumban kezeli,
illetve ha az adott elektronikus információs rendszert nem a Hivatal üzemelteti, akkor a követelményeket a
szolgáltatónak kell biztosítania.
3.12.4. Napló tárkapacitás A naplózásra kötelezettnek elegendő méretű tárkapacitást kell biztosítani, a biztonsági osztályba sorolásból
következő naplózási funkciók figyelembevételével. Naplózási hiba esetén riasztást kell küldeni a
meghatározott személyeknek vagy szerepköröknek, el kell végezni a meghatározott végrehajtandó
tevékenységeket, így például a rendszer leállítását, a legrégebbi naplóbejegyzések felülírását, a naplózási
folyamat leállítását.
3.12.5. Naplózási hiba kezelése Az elektronikus információs rendszernek naplózási hiba esetén riasztást kell küldeni a meghatározott
személyeknek vagy szerepköröknek, a naplózásra kötelezettnek el kell végezni szükséges végrehajtandó
tevékenységeket, így például a rendszer leállítását, a legrégebbi naplóbejegyzések felülírását, a naplózási
folyamat leállítását.
Az elektronikus információs rendszernek figyelmeztetni kell a meghatározott személyeket, szerepköröket
és helyszíneket, ha a lefoglalt naplózási tárhely eléri a beállított maximális naplózási tárhely előre
meghatározott részét, vagy ha a meghatározott, valós idejű riasztást igénylő hibaesemények listája szerint
valamely esemény megtörténik.
3.12.6. Naplóvizsgálat és jelentéskészítés A naplózásra kötelezett feladata rendszeresen felülvizsgálni és elemezni a naplóbejegyzéseket nem
megfelelő vagy szokatlan működésre utaló jelek keresése céljából, jelenteni ezeket a meghatározott
személyeknek vagy szerepköröknek. Automatikus mechanizmusokat kell használni a naplóbejegyzések
vizsgálatának, elemzésének és jelentésének átfogó folyamattá integrálására, amely a veszélyes vagy tiltott
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 82/92
tevékenységekre és történésekre reagál. A teljes érintett szervezetre kiterjedő helyzetfelmérés érdekében
meg kell vizsgálni és összefüggésbe kell hozni a különböző adattárakban található naplóbejegyzéseket,.
3.12.7. Naplócsökkentés és jelentéskészítés A magas biztonsági követelményű elektronikus információs rendszernek lehetőséget kell biztosítani a
naplócsökkentésre és jelentés készítésére, amely támogatja az igény esetén végzendő naplóáttekintési,
naplóvizsgálati és jelentéskészítési követelményeket és a biztonsági eseményeket követő tényfeltáró
vizsgálatait. A rendszer nem változtathatja meg a naplóbejegyzések eredeti tartalmát és időrendjét.,
biztosítania kell a fontos naplóbejegyzések automatikus feldolgozását.
3.12.8. Időbélyegek A Hivatal belső rendszerórákat használ a naplóbejegyzések időbélyegeinek előállításához, időbélyegeket
rögzít a naplóbejegyzésekben a koordinált világidőhöz – úgynevezett UTC – vagy a Greenwichi
középidőhöz – úgynevezett GMT – rendelhető módon, szinkronizálni kell a rendszer belső rendszer órákat
a belső, illetve a külső időszolgáltatóval.
3.12.9. A naplóinformációk védelme Az elektronikus információs rendszernek meg kell védeni a naplóinformációt és a naplókezelő eszközöket
a jogosulatlan hozzáféréssel, módosítással és törléssel szemben.
A magas biztonsági követelményű elektronikus információs rendszernek naplóinformációinak kezelésére
csak a meghatározott, privilegizált felhasználók jogosultak.
3.12.11. A naplóbejegyzések megőrzése A biztonsági események utólagos kivizsgálása érdekében a naplóbejegyzéseket – amennyiben a
rendelkezésre álló tárhely lehetővé teszi – 90 napra, a mentéseit pedig 1 évig meg kell őrizni. Amennyiben
nem áll rendelkezésre megfelelő méretű tárhely az eseménynaplók 90 napig történő megőrzéséhez, úgy
az eseménynaplót a biztonságos működést nem veszélyeztető maximumban kell beállítani.
3.12.12. Naplógenerálás Olyan elektronikus információs rendszereket kell alkalmazni, melyek
a. biztosítják a naplóbejegyzések előállítási lehetőségét a 3.12.2. Naplózható események pontban
meghatározott naplózható eseményekre;
b. lehetővé teszik meghatározott személyeknek vagy szerepköröknek, hogy kiválasszák, hogy mely
naplózható események legyenek naplózva az információs rendszer egyes elemeire;
c. naplóbejegyzéseket állít elő a naplózható események pontban meghatározottak szerinti
eseményekre a naplóbejegyzések tartalma pontban meghatározott tartalommal.
3.13. RENDSZER- ÉS KOMMUNIKÁCIÓ VÉDELEM
3.13.1. Rendszer- és kommunikáció védelmi eljárásrend A Hivatal vezetője megfogalmazza, dokumentálja, a meghatározott személyek vagy szerepkörök számára
kihirdeti a rendszer- és kommunikációvédelmi eljárásrendet, mely a rendszer- és kommunikációvédelmi
szabályzat és az ahhoz kapcsolódó ellenőrzések megvalósítását segíti elő.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 83/92
Ha a Hivatal az elektronikus információs rendszernek csak egyes elemeit vagy funkcióit üzemelteti vagy
használja – részben vagy teljesen –, a rendszer- és kommunikáció védelmi követelményeket ezen elemek
és funkciók tekintetében kell teljesíteni.
A rendszer- és kommunikációvédelem megvalósítása során a Hivatal meghatározott céljai és
követelmények szerint jár el, alkalmazza a biztonságtervezési eljárásrendben foglaltakat, azokkal
összhangban fogalmazza meg követelményeit a rendszer- és kommunikációvédelem érdekében.
A szolgáltatónak gondoskodnia kell a biztosított szolgáltatás elvártak szerinti működéséről (a szolgáltatás
funkcióinak működését illetéktelen nem módosította, a szolgáltató felelősségi körébe eső beállításokat
illetéktelen nem állította át), ehhez kártékony szoftvereket és illetéktelenek általi behatolásokat elhárító
biztonsági határvédelmi megoldásokat, szükség esetén pedig a megfelelő incidenskezelési és analízisre
szolgáló eszközöket kell alkalmaznia.
A szolgáltató feladata (ahol értelmezhető): virtuális gépek alkalmazása esetén a virtuális gépek más gépek
felől, a fizikai hosztról és hálózat felől érkező támadások elleni védelmét, nyomon kell követnie a hálózati
erőforrásokhoz, alkalmazásokhoz és adatokhoz való hozzáféréseket. Az alkalmazási szintig elérő
sebezhetőség esetén az alkalmazás-specifikus védelmi megoldásokat is biztosítani kell (pl.
levelezőprogram, spamszűrő, böngésző biztonsági frissítése). A hálózati erőforrásokhoz való
hozzáféréseket nyomon kell követnie, az alkalmazói szoftverek alatti rétegeket érintő sebezhetőségi
pontokat megfelelő eszközökkel védenie kell (tűzfalak, böngészők frissítése stb.). Biztosítani kell, hogy az
alkalmazás biztonságosan futtatható üzemmódra konfigurált legyen (pl. titkosítás kliens-szerver
kommunikációban), és integrálható legyen az alkalmazást igénybe vevő meglévő technikai biztonsági
intézkedéseivel (azonosítás, hitelesítés, engedélyezési folyamatok). Az erre szolgáló technikai eszközök a
széles körben használt szabványoknak megfelelőek legyenek (SSH, SFTP, SSL/TSL, Kerberos).
3.13.2. Alkalmazás szétválasztás Az elektronikus információs rendszernek el kell különíteni a felhasználók által elérhető funkcionalitást
(beleértve a felhasználói felület szolgáltatásokat) az elektronikus információs rendszer irányítási
funkcionalitásától.
3.13.4. Információmaradványok Az elektronikus információs rendszernek meg kell gátolnia a megosztott rendszererőforrások útján történő
jogosulatlan vagy véletlen információáramlást. Az üzemeltetőnek, szolgáltatónak eljárásokat kell
kidolgoznia a rendszerében tárolt adatok megbízható törlésére, ide értve a kérésre történő kérést vagy
egyéb, normál szolgáltatási munkamenetből eredő maradvány információk törlését (pl. ideiglenes fájlok,
megállapított metaadat őrzési idők lejárata utáni törlés).
3.13.5. Túlterhelés – szolgáltatás megtagadás alapú támadás – elleni védelem Az elektronikus információs rendszert védeni kell a túlterheléses (úgynevezett szolgáltatás megtagadás)
jellegű támadásokkal szemben, vagy korlátozni kell azok kihatásait a megtagadás jellegű támadások listája
alapján, a meghatározott biztonsági intézkedések bevezetésével.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 84/92
3.13.6. A határok védelme Az informatikai hálózati határvédelem során a Hivatal informatikai hálózatában az internetkijárat, valamint
minden külső, nem megbízhatónak ítélt hálózat felé történő kommunikáció során a belső hálózat és az ott
elhelyezkedő elektronikus információs rendszerek és adatok védelme érdekében biztonsági és védelmi
megoldásokat kell alkalmazni.
Gondoskodni kell a hálózat fizikai elemeinek védelméről, így különösen:
a. vezetékek és végpontok illetéktelenek általi hozzáférésének megakadályozásáról,
b. a vezeték nélküli kapcsolatok megfelelő titkosításáról,
c. az eszközhöz való illetéktelen hozzáférés megakadályozásáról
Az elektronikus információs rendszernek felügyelni és ellenőrzi kell a külső határain történő, valamint a
rendszer kulcsfontosságú belső határain történő kommunikációt. A nyilvánosan hozzáférhető
rendszerelemeket fizikailag vagy logikailag al-hálózatokban kell lehelyezni, elkülönítve a belső Hivatali
hálózattól. Az elektronikus információs rendszer csak a Hivatal biztonsági architektúrájával összhangban
elhelyezett határvédelmi eszközökön felügyelt interfészeken keresztül kapcsolódhat külső hálózatokhoz
vagy külső elektronikus információs rendszerekhez.
Mind a belső, mind a külső hálózati szolgáltatókhoz történő hozzáférést a következő módon kell ellenőrizni:
a. megfelelő interfészt kell alkalmazni a Hivatal és más szervezet tulajdonában lévő, vagy nyilvános
hálózat között;
b. a felhasználókat jelszóval megfelelően hitelesíteni kell;
c. ellenőrizni kell a felhasználók információszolgáltatáshoz való hozzáférését.
A Hivatal belső hálózatáról Internet kapcsolat kizárólag jóváhagyott tűzfalakon keresztül létesíthető.
Biztosítani kell, hogy a Hivatal elektronikus információs rendszerei alapértelmezés szerint ne legyenek
elérhetők az Internet felől. Amelyeknél az Internet felöli hozzáférés szükséges igény, ott kizárólag
biztonságos és ellenőrzött kapcsolaton keresztül történhet hozzáférés.
Minden Internet elérést naplózni kell, annak érdekében, hogy kellő mennyiségű információt lehessen
összegyűjteni a szabálytalan internetes tevékenységek detektálása és kiderítése érdekében.
A felhasználóknak tilos az Internet felhasználási szabályait és biztonsági beállításait megváltoztatni, illetve
megkerülni.
A rendszergazda köteles rendszeresen ellenőrizni, hogy a felhasználók számára biztosított az Internet
elérést lehetővé tevő szoftverek mentesek a komolyabb biztonsági hibáktól.
3.13.7. Az adatátvitel bizalmassága Az elektronikus információs rendszernek meg kell védenie a továbbított információk bizalmasságát.
A szolgáltatónak kell gondoskodni a kommunikációs csatornán átfolyó, illetve tárolt adatok illetéktelenek
általi megismerése elleni védelméről. Az erre alkalmazott technolódiának meg kell felelni a legszélesebb
körben alkalmazott módszereknek (SSH, SFTP, SSL/TLS, Kerberos).
Az elektronikus információs rendszernek kriptográfiai mechanizmusokat kell alkalmazni az adatátvitel során
az információk jogosulatlan felfedése ellen, kivéve, ha az átvitel más, meghatározott alternatív fizikai
ellenintézkedéssel védett.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 85/92
3.13.8. Az adatátvitel sértetlensége Az elektronikus információs rendszernek meg kell védenie a továbbított információk sértetlenségét,
kriptográfiai mechanizmusokat kell alkalmazni az adatátvitel során az információk megváltozásának
észlelésére, ha az átvitel nincsen más alternatív fizikai intézkedésekkel védve.
A szolgáltatónak kell gondoskodnia a kommunikációs csatornán átfolyó, illetve tárolt adatok illetéktelenek
általi módosítása elleni védelméről, a legszélesebb körben alkalmazott technológiákkal (SHA, CRC, Reed
– Solomon).
3.13.9. A hálózati kapcsolat megszakítása Az elektronikus információs rendszerek meg kell szakítania a hálózati kapcsolatot egy munkaszakaszra
épülő kétirányú adatcsere befejezésekor, meghatározott időtartamú inaktivitás után.
3.13.10. Kriptográfiai kulcs előállítása és kezelése A kriptográfiai eszközök bevezetése esetén ki kell dolgozni az eszközök biztonságos használatát garantáló
szabályozást, melynek a következőket kell tartalmaznia:
a. az eszközök védelmét biztosító előírások;
b. az eszközök felhasználására vonatkozó követelmények;
c. a kulcsok generálására, elosztására, tárolására és megsemmisítésére vonatkozó szabályok;
d. a rejtjelzett adatok visszaállításának szabályai és eljárásai azokra az esetekre, amikor a kulcs
megsérült vagy elveszett.
Titkosítás használata esetén a szolgáltatónak kriptográfiai kulcsok menedzselésére, védelmére, az
azokhoz való hozzáférési szabályokra vonatkozó eljárásrendet kell kidolgoznia és alkalmaznia, igazodva
az alkalmazott kulcsok jellegéből következő technikai követelményekhez (pl. nyilvános kulcsú titkosítás
esetén a kulcspároknak megfelelő kezelése, szimmetrikus kulcsú titkosításnál a kulcskiosztás
bizalmassága, az ezeket garantáló technikai eszközök igénybe vételével).
3.13.11. Kriptográfiai védelem A specifikus technológiára [például kriptográfia, nyilvános kulcsú infrastruktúrán (PKI) alapuló hitelesítési
eljárás] vonatkozó biztonsági intézkedések csak akkor alkalmazandók, ha ezeket a technológiákat
használják az elektronikus információs rendszerben, vagy előírják ezek használatát.
A szolgáltató, ha az szükséges, szabványos, egyéb jogszabályokban biztonságosnak minősített
kriptográfiai műveleteket valósít meg.
3.13.12. Együttműködésen alapuló számítástechnikai eszközök Az elektronikus információs rendszernek meg kell gátolnia az együttműködésen alapuló számítástechnikai
eszközök (pl. kamerák, mikrofonok) távoli aktiválását, kivéve, ha a Hivatal engedélyezte azt, és közvetlen
kijelzést nyújt a távoli aktivitásról azoknak a felhasználóknak, akik fizikailag jelen vannak az eszköznél.
3.13.13. Nyilvános kulcsú infrastruktúra tanúsítványok A nyilvános kulcsú tanúsítványokat a belső hitelesítési rend szerint kell kiállítani, vagy a nyilvános kulcsú
tanúsítványokat a Nemzeti Média- és Hírközlési Hatóság elektronikus aláírással kapcsolatos
nyilvántartásában szereplő hitelesítésszolgáltatótól kell beszerezni.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 86/92
3.13.14. Mobilkód korlátozása A kártékony kódok terjesztésére alkalmas mobilkódok korlátozására a 4-es és 5-ös biztonsági osztályú
elektronikus információs rendszerek környezetében a kártékony kódok terjesztésére alkalmas mobilkódok
korlátozására meg kell határozni az elfogadható és a nem elfogadható mobilkódokat és mobilkód
technológiákat, használati korlátozásokat kell bevezetni, megvalósítási útmutatót kell kibocsátani az
elfogadható mobilkódokra és mobilkód technológiákra, felügyelni és ellenőrzi kell a mobilkódok használatát
az elektronikus információs rendszeren belül.
Mivel a kódok hálózaton keresztül elérhetőek, letölthetőek és a telepítés felhasználói beavatkozás nélkül
végrehajtható a helyi rendszeren, ezért az alábbi mobilkódok nem engedélyezettek:
a. kód, amely szkripteket tartalmaz (JavaScript, VBScript),
b. Java (programozási nyelv) appletek,
c. ActiveX vezérlők,
d. Flash animációk,
e. makrók Microsoft Office dokumentumokba épülve.
3.13.15. Elektronikus Információs rendszeren keresztüli hangátvitel (úgynevezett VoIP) Az elektronikus információs rendszerben okozható károk felmérésére, megakadályozására a VoIP
technológiákhoz a magas biztonsági követelményű elektronikus információs rendszerekre vonatkozóan
szükség esetén használati korlátozásokat kell bevezetni, megvalósítási útmutatót kell kiadni, felügyelni és
ellenőrzi kell a VoIP használatát az elektronikus információs rendszeren belül.
3.13.16. Biztonságos név/cím feloldó szolgáltatások (úgynevezett hiteles forrás) A magas biztonsági követelményű elektronikus információs rendszereknek a név/cím feloldási kérésekre
a hiteles adatokon kívül az információ eredetére és sértetlenségére vonatkozó kiegészítő adatokat is
biztosítani kell. Ha a rendszer egy elosztott, hierarchikus névtár részeként működik, akkor jelezni kell az
utódtartományok biztonsági állapotát is, és (ha azok támogatják a biztonságos feloldási szolgáltatásokat)
hitelesíteni az utód- és elődtartományok közötti bizalmi láncot.
3.13.17. Biztonságos név/cím feloldó szolgáltatás (un. rekurzív vagy gyorsító tárat használó feloldás) A magas biztonsági követelményű elektronikus információs rendszereknek eredethitelesítést és
adatsértetlenség ellenőrzést kell kérni és végrehajtani a hiteles forrásból származó név/cím feloldó
válaszokra.
3.13.18. Architektúra és tartalékok név/cím feloldási szolgáltatás esetén Azok az elektronikus információs rendszereknek, amelyek együttesen biztosítanak név/cím feloldási
szolgáltatást a Hivatal számára, biztosítani kell a hibatűrést és belső/külső szerepkör szétválasztást kell
megvalósítaniuk.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 87/92
3.13.19. Munkaszakasz hitelessége Ha követelmény, akkor az elektronikus információs rendszer védje meg a munkaszakaszok hitelességét.
3.13.21. A maradvány információ védelme Ha követelmény, akkor az elektronikus információs rendszernek meg kell védeni a meghatározott
maradvány információk (pl.: átmeneti fájlok) bizalmasságát, sértetlenségét (pl. az ASP és anyakönyvi
szakrendszereket használó számítógépre/hálózatra vonatkozóan szükséges a szkennelt dokumentumok
és egyéb átmeneti fájlok ütemezett törlése).
3.13.22. A folyamatok elkülönítése Az elektronikus információs rendszernek elkülönített végrehajtási tartományt kell fenntartani minden
végrehajtó folyamatra.
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 88/92
Alapfogalmak
adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az
emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas;
adatgazda: annak a szervezeti egységnek a vezetője, ahová jogszabály vagy közjogi szervezetszabályozó
eszköz az adat kezelését rendeli, illetve ahol az adat keletkezik;
adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a
műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve
hogy a technikai feladatot az adatokon végzik;
adatfeldolgozó: az a természetes személy, jogi személy, jogi személyiséggel nem rendelkező gazdasági
társaság vagy egyéni vállalkozó, aki/amely az adatkezelő részére adatfeldolgozást végez;
adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek
összessége, így különösen az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása,
megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy
összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának
megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas
fizikai jellemzők rögzítése;
adatkezelő: az a természetes vagy jogi személy, valamint jogi személyiséggel nem rendelkező szervezet,
aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az
adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az
adatfeldolgozóval végrehajtatja;
adminisztratív védelem: a védelem érdekében hozott szervezési, szabályozási, ellenőrzési intézkedések,
továbbá a védelemre vonatkozó oktatás;
alapkonfiguráció (baseline): egy adott időpillanatban a konfigurációs elemek jellemzőinek és azok
kapcsolatának állapota, amely hivatkozási alapként felhasználható egy későbbi időpontban;
archiválás: a Hivatali alaptevékenység szempontjából lényeges azon információk és dokumentumok
tárolásának célját szolgálja, amelyekre a folyamatban lévő feladatok teljesítéséhez már nincs szükség, de
jogi követelmények miatt vagy más célokra bizonyos időpontig (tárolási időtartam) megőrzendők;
archivált adatok: információk és dokumentumok, amelyek archívumban kerültek elhelyezésre (Az archivált
adatokat időállóan és igazolhatóan, alkalmas technológiák segítségével kell tárolni, pl. elektronikus,
mágneses, optikai vagy kinyomtatott formában.);
archiválási rendszer: az archiváláshoz felhasznált, hardver- és szoftver-elemekből álló technikai rendszer;
auditálás: előírások teljesítésére vonatkozó megfelelőségi vizsgálat, ellenőrzés;
backup (adatmentés): az információknak az esetleges adatvesztéssel szembeni védelmét szolgáló
kiegészítő tároló közegen történő mentése (Ily módon biztosítja a backup az információk rendelkezésre
állását és integritását.);
bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot,
információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják
fel, illetve rendelkezhetnek a felhasználásáról;
biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az
elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz
elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága,
sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül;
biztonsági esemény kezelése: az elektronikus információs rendszerben bekövetkezett biztonsági esemény
dokumentálása, következményeinek felszámolása, a bekövetkezés okainak és felelőseinek megállapítása,
és a hasonló biztonsági események jövőbeni előfordulásának megakadályozása érdekében végzett
tervszerű tevékenység;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 89/92
biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége;
biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs rendszer védelme elvárt
erősségének meghatározása;
biztonsági szint: a Hivatal felkészültsége az Ibtv. törvényben és a végrehajtására kiadott jogszabályokban
meghatározott biztonsági feladatok kezelésére;
biztonsági szintbe sorolás: a Hivatal felkészültségének meghatározása az e törvényben és a
végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére;
elektronikus információs rendszer (az Ibtv. alkalmazásában): az adatok, információk kezelésére használt
eszközök (környezeti infrastruktúra, hardver, hálózat és adathordozók), eljárások (szabályozás, szoftver és
kapcsolódó folyamatok), valamint az ezeket kezelő személyek együttese;
elektronikus információs rendszer biztonsága: az elektronikus információs rendszer olyan állapota,
amelyben annak védelme az elektronikus információs rendszerben kezelt adatok bizalmassága,
sértetlensége és rendelkezésre állása, valamint az elektronikus információs rendszer elemeinek
sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal
arányos;
elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személy:
állami és önkormányzati szervek esetében a szervezeti és működési szabályzat és a munkaköri leírások
alapján, az Ibtv. hatálya alá tartozó egyéb szervek esetében a munkaköri leírásban vagy egyéb módon a
feladatok ellátásával megbízott személy;
elektronikus információs rendszerek védelméért felelős vezető: az állami és önkormányzati szervek
esetében a szervezeti és működési szabályzat alapján, az Ibtv. hatálya alá tartozó egyéb szervek esetében
munkaköri leírásban vagy egyéb módon kijelölt vezető;
életciklus: az elektronikus információs rendszer tervezését, fejlesztését, üzemeltetését és megszüntetését
magába foglaló időtartam, az állapotváltozások meghatározott menete, amely jellemző az adott
konfigurációs elem típusra;
észlelés: a biztonsági esemény bekövetkezésének felismerése;
éves továbbképzés: az elektronikus információs rendszerek védelméért felelős vezető, az elektronikus
információs rendszer biztonságáért felelős személy és az elektronikus információs rendszer biztonságával
összefüggő feladatok ellátásában részt vevő személy iskolarendszeren kívüli továbbképzése;
felhasználó: egy adott elektronikus információs rendszert igénybe vevők köre;
felhasználó-felismerés: a felhasználó-felismerés a hálózatokon vagy alkalmazásokon belül a felhasználó
egyértelmű beazonosítására szolgál. A felhasználó-felismeréshez felhasználói jogok hozzárendelésére
kerül sor;
fenyegetés: olyan lehetséges művelet vagy esemény, amely sértheti az elektronikus információs rendszer
vagy az elektronikus információs rendszer elemei védettségét, biztonságát, továbbá olyan mulasztásos
cselekmény, amely sértheti az elektronikus információs rendszer védettségét, biztonságát;
fizikai védelem: a fizikai térben megvalósuló fenyegetések elleni védelem, amelynek fontosabb részei a
természeti csapás elleni védelem, a mechanikai védelem, az elektronikai jelzőrendszer, az élőerős
védelem, a beléptető rendszer, a megfigyelő rendszer, a tápáramellátás, a sugárzott és vezetett
zavarvédelem, klimatizálás és a tűzvédelem;
folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló
védelem;
globális kibertér: a globálisan összekapcsolt, decentralizált, egyre növekvő elektronikus információs
rendszerek, valamint ezen rendszereken keresztül adatok és információk formájában megjelenő társadalmi
és gazdasági folyamatok együttese;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 90/92
illegális szoftverhasználat: egy számítógépes program jogtalan lemásolása és használata - megsértve a
szerzői jogi törvényt, valamint a szerzőnek a szoftver licensz szerződésben leírt feltételeit (aki szoftvert
illegálisan használ, az a szerzői jogi törvény értelmében büntetőjogi törvénybe ütköző cselekedetet követ el);
információ: bizonyos tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott
megfigyelés, tapasztalat vagy ismeret, amely valakinek a tudását, ismeretkészletét, annak rendezettségét
megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságát csökkenti vagy megszünteti;
jogosultság, hozzáférési jogosultság: az informatikai rendszer védelmi mechanizmusainak azon eleme,
amely meghatározza, hogy a kezelésre jogosult egyed (személy, program, folyamat stb.) milyen erőforrást
(adatot, adathordozót, szolgáltatást, eszközt) milyen módon kezelhet (olvashat, írhat, módosíthat, törölhet,
használhat stb. illetve ezek kombinációja);
jogosulatlan másolás: a szoftver licensz szerződés, amennyiben eltérően nem rendelkezik, a vevőnek csak
egyetlen "biztonsági" másolat készítését engedélyezi, arra az esetre, ha az eredeti szoftver lemeze
meghibásodna, vagy megsemmisülne (Az eredeti szoftver bármely további másolása jogosulatlan
másolásnak minősül, és megsérti a szoftvert védő és használatát szabályozó licensz szerződést, valamint
a szerzői jogi törvényt.);
kiberbiztonság: a kibertérben létező kockázatok kezelésére alkalmazható politikai, jogi, gazdasági, oktatási
és tudatosságnövelő, valamint technikai eszközök folyamatos és tervszerű alkalmazása, amelyek a
kibertérben létező kockázatok elfogadható szintjét biztosítva a kiberteret megbízható környezetté alakítják
a társadalmi és gazdasági folyamatok zavartalan működéséhez és működtetéséhez;
kibervédelem: a kibertérből jelentkező fenyegetések elleni védelem, ideértve a saját kibertér képességek
megőrzését;
kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési
valószínűségének) és az ez által okozott kár nagyságának a függvénye;
kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének (gyenge
pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok
feltárása és értékelése;
kockázatkezelés: az elektronikus információs rendszerre ható kockázatok csökkentésére irányuló
intézkedésrendszer kidolgozása, intézkedések kiválasztására és végrehajtására a kockázat csökkentése
érdekében;
kockázatokkal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a
védelem költségei arányosak a fenyegetések által okozható károk értékével;
korai figyelmeztetés: valamely fenyegetés várható bekövetkezésének jelzése a fenyegetés bekövetkezése
előtt annyi idővel, hogy hatékony védelmi intézkedéseket lehessen hozni;
kritikus adat: az Infotv. szerinti személyes adat, különleges adat vagy valamely jogszabállyal védett adat;
létfontosságú információs rendszerelem: az európai vagy nemzeti létfontosságú rendszerelemmé a
létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló törvény
alapján kijelölt létfontosságú rendszerelemek azon elektronikus információs létesítményei, eszközei vagy
szolgáltatásai, amelyek működésképtelenné válása vagy megsemmisülése az európai vagy nemzeti
létfontosságú rendszerelemmé kijelölt rendszerelemeket vagy azok részeit elérhetetlenné tenné, vagy
működőképességüket jelentősen csökkentené;
létfontosságú információs rendszerelem: az európai létfontosságú rendszerelemmé és a nemzeti
létfontosságú rendszerelemmé törvény alapján kijelölt létfontosságú rendszerelemek azon elektronikus
információs létesítményei, eszközei vagy szolgáltatásai, amelyek működésképtelenné válása vagy
megsemmisülése az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé
törvény alapján kijelölt létfontosságú rendszerelemeket vagy azok részeit elérhetetlenné tenné, vagy
működőképességüket jelentősen csökkentené;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 91/92
logikai védelem: az elektronikus információs rendszerben információtechnológiai eszközökkel és
eljárásokkal (programokkal, protokollokkal) kialakított védelem;
magas biztonsági követelményű elektronikus információs rendszerek: jelen Informatikai biztonsági
szabályzatban használt meghatározás szerint: 3-as vagy magasabb biztonsági osztályba sorolt
elektronikus információs rendszerek (nem jogszabályi definíció);
magyar kibertér: a globális kibertér elektronikus információs rendszereinek azon része, amelyek
Magyarországon találhatóak, valamint a globális kibertér elektronikus rendszerein keresztül adatok és
információk formájában megjelenő társadalmi és gazdasági folyamatok közül azok, amelyek
Magyarországon történnek vagy Magyarország felé irányulnak, illetve Magyarország érintett benne;
megelőzés: a fenyegetés hatása bekövetkezésének elkerülése;
megőrzési időtartam:az azon időtartam, amely azzal a nappal záródik le, amelyen a törvényi vagy egyéb,
a megőrzésre vonatkozó követelmény véget ér;
munkahely: a felhasználók által használt végponti készülék és mobil adathordozó;
reagálás: a bekövetkezett biztonsági esemény terjedésének megakadályozására vagy késleltetésére, a
további károk mérséklésére tett intézkedés;
rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult
személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek;
sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az
elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az, az elvárt forrásból származik (hitelesség)
és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus
információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus
információs rendszer eleme rendeltetésének megfelelően használható;
sérülékenység: az elektronikus információs rendszer olyan része vagy tulajdonsága, amelyen keresztül
valamely fenyegetés megvalósulhat;
sérülékenység vizsgálat: az elektronikus információs rendszerek gyenge pontjainak (biztonsági rések) és
az ezeken keresztül fenyegető biztonsági eseményeknek a feltárása;
súlyos biztonsági esemény: olyan informatikai esemény, amely bekövetkezése esetén az állami működés
szempontjából kritikus adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, emberi életek
kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be, súlyos
bizalomvesztés következhet be az állammal vagy az érintett szervezettel szemben, alapvető emberi, vagy
a társadalom működése szempontjából kiemelt jogok sérülhetnek;
számítógépes eseménykezelő központ: az Európai Hálózat- és Információbiztonsági Ügynökség ajánlásai
szerint működő, számítástechnikai vészhelyzetekre reagáló egység, amely a nemzetközi
hálózatbiztonsági, valamint kritikus információs infrastruktúrák védelmére szakosodott szervezetekben
tagsággal és akkreditációval rendelkezik [(európai használatban: CSIRT (Computer Security Incident
Response Team), amerikai használatban: CERT (Computer Emergency Response Team)];
szellemi tulajdon: törvények szerint egy eredeti számítógépes program az azt létrehozó személy vagy
vállalat szellemi tulajdona és engedély nélküli másolásuk törvénybe ütköző cselekedet;
szoftver licensz szerződés: egy adott szoftver esetében a licensz szerződés határozza meg a szerzői jog
tulajdonosa által megengedett szoftverhasználat feltételeit (A szoftverhez adott licensz szerződésre külön
utalás történik a szoftver dokumentációjában, vagy a program indításakor megjelenő képernyőn is. A
szoftver ára tartalmazza a szoftver licenszét, és megfizetése kötelezi a vevőt, hogy a szoftvert kizárólag a
licensz szerződésben leírt feltételek szerint használja.);
tudás alapú hitelesítés: olyan hitelesítési eljárás, mód, mely során a felhasználó az általa mások előtt
titokban tartott ismeret alapján hitelesíti a rendszerben magát (például jelszó, PIN kód);
szervezet: az adatkezelést végző, illetve az adatfeldolgozást végző vagy végeztető jogi személy vagy
egyéni vállalkozó, valamint az üzemeltető;
Mályi Polgármesteri Hivatal
Informatikai Biztonsági Szabályzat; v1.1 92/92
teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
üzemeltető: az a természetes személy, jogi személy vagy egyéni vállalkozó, aki vagy amely az elektronikus
információs rendszer vagy annak részei működtetését végzi és a működésért felelős;
üzemzavar: az a helyzet, amelyben az üzleti folyamatok és/vagy üzleti rendszerek nem az előirányzottak
szerint működnek. Az ebből adódó potenciális károk csekély mértékűek, mivel a feladat-teljesítés csak
lényegtelen mértékben sérül (pl. Üzemzavar a helyi IT rendszerek lokalizált olyan mértékű hibája, amelyet
a normál IT support a normál SLA időkön belül elhárítani képes. Az elhárítás ideje előre jelezhető és nem
igényli üzleti oldali kényszerintézkedések, speciális eljárások használatát.);
technikai számlák: a személyhez nem kötött felhasználó-felismeréseket technikai számláknak nevezzük.
Elsősorban olyan funkciók és feladatok számára kerülnek bevetésre, amelyek nem igénylik a mindenkori
felhasználó interaktív tevékenységét, hanem pl. az IT rendszerek közötti adatcseréhez szükségesek;
teljes körű védelem: az elektronikus információs rendszer valamennyi elemére kiterjedő védelem;
üzemeltető: az elektronikus információs rendszer vagy annak részeinek működtetését végzi;
válság: összetett és átláthatatlan helyzet rendkívül magas kárpotenciállal, amely a Hivatal létét
veszélyezteti. A meglévő vészhelyzeti tervek csak feltételesen hatékonyak. (A válság eseti, egyedi kezelést
és azonnali ad-hoc döntések meghozatalát követelheti a Hivatal vezetésének bevonásával.);
változat (variant): egy olyan konfigurációs elem, amely alapvetően egy adott konfigurációs elem szerint
épül fel, attól csak kis mértékben tér el.
védelmi feladatok: megelőzés és korai figyelmeztetés, észlelés, reagálás, eseménykezelés;
vészhelyzet: az IT folyamatok, eszközök vagy rendszerek nem az előírásoknak megfelelően működnek és
funkcióik nem állíthatóak helyre a szükséges időtartamon belül, és az ügymenet oly mértékben sérül, hogy
nagy kárszint állhat elő, a Hivatal alaptevékenységének végzése, azonban nem kerül veszélybe (pl.
üzemzavar elhárításának határideje nem látható előre, vagy a várható határidő túlmutat az SLA szerinti
vállaláson és az üzemzavar következtében a kár enyhítése üzleti oldali lépések megtételét, rendkívüli
intézkedéseket, vészhelyzeti forgatókönyvek aktiválását teszi szükségessé);
zárt célú elektronikus információs rendszer: jogszabályban meghatározott elkülönült nemzetbiztonsági,
honvédelmi, rendészeti, igazságszolgáltatási, külügyi feladatokat ellátó elektronikus információs,
informatikai vagy hírközlési rendszer;
zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem.