21/2011. (VIII. 11.) BM utasítás
a Belügyminisztérium Informatikai Biztonság Politikájáról
2022.09.02.
1. § A Belügyminisztérium Informatikai Biztonság Politikáját ezen utasítás 1. számú mellékletében foglaltak szerint határozom meg.
2. § (1) Az utasítás hatálya kiterjed a Belügyminisztérium hivatali szervezetére, a minisztériumi és önálló belügyi szervekre (a továbbiakban: BM), és ezek kormánytisztviselőire, köztisztviselőire, közalkalmazottaira, hivatásos állományú, és az egyéb, munkajogviszonyban foglalkoztatott munkatársaira (a továbbiakban: BM munkatárs).
(2) A BM informatikai rendszerével, szolgáltatásaival szerződéses vagy más módon kapcsolatba kerülő természetes és jogi személyek, jogi személyiséggel nem rendelkező szervezetek (a továbbiakban: külső személy) tekintetében az utasításban foglaltakat érvényesíteni kell a velük kötött szerződés szerint és a titoktartási nyilatkozat alapján.
3. § Az utasítás tárgyi hatálya a BM használatában lévő vagy az általa üzemeltetett valamennyi meglévő és a jövőben fejlesztendő informatikai rendszerre és azok környezetét alkotó rendszerelemekre terjed ki, azok teljes életciklusában (az előkészítéstől a rendszerből történő kivonásig), kivéve a minősített adatokat kezelő rendszereket.
4. § Az utasítás területi hatálya kiterjed a BM használatában álló épületeiben lévő mindazon objektumokra és helyiségekre, amelyekben a 3. §-ban meghatározott eszközöket, szoftvereket, adatokat vagy dokumentumokat hoznak létre, tárolnak, felhasználnak, vagy továbbítanak.
5. § (1) Ez az utasítás a közzétételét követő ötödik napon lép hatályba.
1. számú melléklet a 21/2011. (VIII. 11.) BM utasításhoz
A Belügyminisztérium Informatikai Biztonság Politikája
Az Informatikai Biztonság Politika (a továbbiakban: IBP) egy iránymutatás, a szervezet és tagjainak az informatikai biztonsághoz elvárt viszonyulása, amely az érvényesítés alapelveit fogalmazza meg egységes szemlélettel és az intézmény egészére vonatkozóan. Az IBP az ISO 1779:2002 szabvány, a Miniszterelnöki Hivatal Informatikai Tárcaközi Bizottsága 8., 12., 13., 16. és 17. számú ajánlásai, továbbá a 25. számú Magyar Informatikai Biztonsági Ajánlása, a Közigazgatási Informatikai Bizottság 19. számú ajánlása – alkalmazva a COBIT és az ITIL módszereket – követelményrendszerének figyelembevételével készült.
1. A szabályozás tárgya, alkalmazási területe
1. Az IBP meghatározza a BM informatikai rendszereiben előállított, tárolt, használt és továbbított információk elégséges biztonságának megteremtéséhez szükséges intézkedéseket.
2. Az IBP célja a BM informatikai rendszerei által kezelt adatok és információk bizalmasságának, hitelességének, teljességének, sértetlenségének és rendelkezésre állásának (a továbbiakban együtt: biztonságának) biztosítása, ezen belül különösen a következők:
a) irányelvek meghatározása az informatikai biztonsági feladatok összehangolt, tervszerű végrehajtásának biztosítása érdekében;
b)1 az informatikai biztonsággal kapcsolatos felelősségi körök elkülönítése az informatikai rendszereket működtető Belügyminisztérium Rendvédelmi Informatikai és Elektronikus Rendszerek Működtetéséért és Fejlesztéséért Felelős Főosztály (a továbbiakban: RERIFO), Belügyminisztérium Önkormányzati Gazdasági Főosztály, továbbá az ágazati szervek informatikai üzemeltetéssel kapcsolatos egységeinél, és az azokkal való együttműködés módjának rögzítése;
c) útmutatás az érintett vezetőknek az informatikai biztonságot érintő döntések meghozatalához;
d) egységes információtechnológiai biztonsági követelmények meghatározása, ideértve a külső felekkel szembeni elvárásokat is;
e) az informatikai biztonsággal kapcsolatos jogszabályi kötelezettségeknek és ajánlásoknak való megfelelés minél teljesebb körű biztosítása;
f) az egységes elveken nyugvó, a nemzetközi és hazai szabványokhoz, ajánlásokhoz igazodó olyan előírások biztosítása az informatikai biztonság megteremtéséhez, amelyek bizalmat teremtenek az informatikai rendszer biztonságát illetően.
3. Informatikai Biztonság filozófiája
3. Az informatikai biztonság filozófia a BM vezetőinek és informatikai szervezetének nyilatkozata arról, hogy a BM a maximális informatikai biztonság megteremtésére törekszik.
4. Az informatikai biztonság területén egy olyan teljes körű biztonság szabályozó rendszer kialakítása a cél, ami hosszú távon felöleli a BM informatikai célkitűzéseit. Meghatározza, hogy kiket és hogyan szolgál az informatikai biztonság rendszer kialakítása során, milyen kiterjedtségű, és milyen mélységű intézkedéseket alkalmaz, valamint hogy mindezek segítségével milyen biztonsági szintre juttatja el az adott intézmény informatikai rendszerét.
5. Az informatikai biztonság filozófia, mint jövőkép a BM munkatársain kívül a BM-mel kapcsolatba lépő társadalmi környezetnek is szól. Bemutatja azokat az értékeket, amelyeket a BM követ, és elvár a BM munkatársaitól az informatikai rendszer kialakítása, üzemeltetése és fejlesztése során.
6. Az informatikai biztonság filozófia megfogalmazásával a BM különösen az alábbi célokat kívánja elérni:
a) biztosítani az informatikai biztonság törekvések és célok azonosságát a BM egészében;
b) világos alapot teremteni a megbízható informatikai rendszer kialakításához szükséges erőforrások elosztásához;
c) létrehozni a biztonságos informatika iránti igény általános légkörét, a megkívánt informatikai magatartást;
d) igazodási pontként szolgálni a BM munkatársak számára az elérendő informatikai biztonság célok és az alkalmazott informatikai rendszer lehetséges fejlesztési irányait illetően;
e) megkönnyíteni a BM munkatársaknak, hogy az általános informatikai biztonsági célokat a saját informatikai tevékenységüknek megfelelő viselkedés és felelősség meghatározására lefordítsák.
7. Az informatikai biztonság filozófiának szoros kapcsolatban kell lennie a szervezeti kultúrával és meg kell alapoznia az IBP-t, valamint a stratégiát. Ezek az értékek kifejezik a BM informatikai biztonság jellemzőit, melyen keresztül sajátos azonosságtudat jöhet létre mind a BM munkatársban, mind pedig a közvéleményben.
8. Az informatikai biztonság megteremtése elsődleges vezetői feladat.
9. Az informatikai rendszerek és alkalmazások, és az őket kiszolgáló informatikai infrastruktúra biztonságáért és hatékony felhasználásáért a BM valamennyi munkatársa felelős.
10. Hatékony és megbízható informatikai rendszert csak megfelelő szabályozással, és annak betartatásával lehet elérni.
11. Csak a megfelelően dokumentált és szabályozott rendszert lehet üzembe helyezni, reprodukálhatóvá és javíthatóvá tenni.
12. Az informatikai biztonsági kérdések tekintetében a bizalmasság, sértetlenség és rendelkezésre állás alapelveit kell érvényesíteni.
13. A BM feladatait figyelembe véve az általános érvényű informatikai biztonság alapelveket a következőképpen kell értelmezni:
a) Bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak, és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, és rendelkezhetnek a felhasználásáról. Biztosítani kell a megfelelő védelmet a BM kezelésében és használatában lévő adatok, információk tekintetében mind a központi, mind a helyi feldolgozások, valamint az adat- és információcsere során.
b) Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik (hitelesség), és a származás megtörténtének bizonyosságát (letagadhatatlanság) is; a rendszerelem tulajdonsága, amely arra vonatkozik, hogy a rendszerelem rendeltetésének megfelelően használható. Biztosítani kell a BM által kezelt, feldolgozott és közzétett adatok folyamatos pontosságát és teljességét mind a feldolgozás, mind pedig az adat- és információcsere során.
c) Rendelkezésre állás: az adat, és az informatikai rendszer elemeinek tulajdonsága, amely arra vonatkozik, hogy az arra jogosultak által a szükséges időben és időtartamra használható. Biztosítani kell a külső és belső adatkérések során a jogosultak számára a folyamatos hozzáférhetőséget. A BM informatikai rendszere a rendelkezésre álló feltételeknek megfelelően, a maximálisan elérhető legmagasabb rendelkezésre állást biztosítja.
14. A BM IBP határozza meg azokat a követendő irányvonalakat az informatikai biztonság megteremtése területén, amelyek alapján a biztonságszabályozó rendszert ki kell alakítani, és amely informatikai biztonság magatartás követését rendeli el az adatok védelmében.
15. Az informatikai biztonság megteremtése érdekében az alábbi követelményeket kell érvényesíteni az informatikai eljárások során:
a) törvényesség biztosítása,
b) hitelesség biztosítása,
c) azonosítással hitelesítés,
d) elszámoltathatóság kialakítása,
e) hozzáférés-szabályozás,
f) jogosultság kiosztás és annak ellenőrzése,
g) auditálhatóság logikai védelmi funkcióinak megteremtése,
h) bizonyítékok rendszerének és folyamatának kialakítása,
i) a hibákat elsősorban nem kijavítani, hanem megelőzni kell.
16. Olyan védelmi eljárásokat kell alkalmazni, amelyek garantálják a BM hatékony működését, abban az esetben is, ha egy szervezetét katasztrófa éri.
17. A BM utasítás hatálya alá tartozó kommunikációs és informatikai rendszerek tervezésére, bevezetésére, üzemeltetésére és ellenőrzésére vonatkozó feladatokat úgy kell elvégezni, hogy a rendszerek védelme a jogszabályi előírásoknak eleget tegyen, valamint a védelem hiányából eredő kockázatokkal legyen arányos.
18. Az informatikai biztonság rendszerét úgy kell megalkotni, hogy csak a szükséges adminisztratív terhet rója a BM munkatársakra, és ne igényeljen tőlük aránytalanul nagy erőfeszítést. Elsősorban abban nyújt támogatást, hogy meghatározza a kivételes eseteket, továbbá biztosítja a normál üzemképes állapotra való visszatérést.
19. Az utasítás hatálya alá tartozó és a BM-et kiszolgáló kommunikációs és informatikai rendszereket az adatok titkosságára, bizalmas jellegére és biztonságára vonatkozó adatvédelmi jogszabályoknak megfelelően kell üzemeltetni. Ezek alapján a törvényesen védett adatokra vonatkozóan olyan védelmi eljárásokat kell alkalmazni, amelyek ellenőrizhetővé teszik a cselekményeket, lehetővé teszik az illetéktelen cselekedetek felderítését, és a felelősök személyének megállapítását.
20. Az informatikai rendszerekben a 19. pontban meghatározott adatokon kívüli adatot és egyéb szellemi tulajdont a BM számára jelentkező értékével arányosan kell védeni az illetéktelen betekintéstől, a módosítástól, a megsemmisítéstől és a nyilvánosságra kerüléstől. A védelemnek biztosítania kell az informatikai rendszer megbízható üzemét fenyegető káresemények elhárítását, és hatásuk minimalizálását a megadott biztonság követelmények szintjén.
21. A Széll Kálmán tervben megfogalmazottakat, és a Nemzeti Adatvagyon védelmének elsődlegességét szem előtt tartva, a BM informatikai – mind számítógépes adatátviteli, mind telekommunikációs – belső infrastruktúrájának üzemeltetési és felügyeleti feladatainak ellátása során minden esetben az önellátásra kell törekedni. BM-en kívüli, külső személy által biztosított szolgáltatás csak azon a területen vehető igénybe, ahol a külső személy nem kerül kapcsolatba a szervezet adatvagyonával. Kivételt képez azon adatvagyonok köre, melyeknél a külső személyt törvény határozza meg.
5. Védelmi célkitűzések, biztonsági követelmények
22. A BM informatikai biztonságának megteremtése érdekében szabályozott formában különösen az alábbiakról kell gondoskodni:
a) az informatikai biztonság részletes követelményeinek rögzítése az informatikai biztonság dokumentációs rendszerben;
b) az informatikai biztonsággal kapcsolatos szervezeti és hatásköri kérdések, valamint a BM-en belüli és az azon kívüli adatkapcsolatok szabályozása;
c) a BM adat- és információs vagyonának védelmét szolgáló minősítési és biztonsági osztályba sorolási eljárás kialakítása, valamint annak ellenőrzési módja;
d) a személyekhez és szerepkörökhöz kapcsolódó biztonsági követelmények, az oktatási és képzési tervek, valamint biztonsági események és meghibásodások esetén szükséges eljárások kialakítása;
e) az informatikai biztonsághoz kapcsolódóan az informatikai rendszerek fizikai és környezeti biztonságának kialakítása;
f) a már meglévő biztonsági rendszerek kompatibilisek legyenek a kialakítani kívánt fizikai és környezeti biztonsági feltételekkel, az auditálást követően is biztosított legyen a rendszerek közötti átjárhatóság;
g) az alkalmazott üzemeltetési és kommunikációs eljárások informatikai biztonsági követelményrendszerének meghatározása;
h) az informatikai eszközökhöz, adatokhoz és informatikai szolgáltatásokhoz történő hozzáférés szabályainak kialakítása és alkalmazása;
i) az informatikai rendszerfejlesztési és karbantartási eljárások létrehozása;
j) az informatikai infrastruktúra folyamatos működésének biztosítását szolgáló eljárások kialakítása;
k) az informatikai infrastruktúra, eljárások és szolgáltatások jogszabály megfelelőségét biztosító szabályozás kialakítása;
l) a védelmi célkitűzések és informatikai biztonsági követelmények teljesítése érdekében a kellően költséghatékony, kockázatokkal arányos védelmi intézkedések és ellenőrzések – a mindenkor rendelkezésre álló erőforrásoknak megfelelő – alkalmazásának biztosítása.
23. Az IBP-nek a már megfogalmazott informatikai biztonság filozófiára kell épülnie, és megfelelő alapot kell teremtenie az informatikai biztonsági célkitűzések meghatározásához.
24. Az informatikai biztonságpolitikának minden lehetséges esetben a megelőzésre törekvő magatartást kell előnyben részesítenie a követő magatartással szemben.
25. Az IBP-nek az informatikai biztonsággal összefüggő szabályoknak, intézkedéseknek egységes értelmezését kell elősegítenie.
26. Az informatikai rendszerhez kapcsolódó megfelelő külső és belső tájékoztatást a BM intranetes weblapjai szolgáltatják.
27. Az IBP irányelveinek megvalósulása és érvényre juttatása céljából:
a) az utasítás hatálya alá tartozó személyek kötelesek az IBP alapelvek és az informatikai biztonsági dokumentációs rendszer egyéb előírásainak megfelelően eljárni;
b) az utasítás hatálya alá tartozó személyek kötelesek továbbá megőrizni a BM informatikai szolgáltatásainak minőségét, jó hírnevét, szellemi és vagyoni értékeit, és betartani a vonatkozó jogszabályok és belső utasítások által előírt információ- és adatkezelésre vonatkozó követelményeket;
c) a BM munkatárs és külső személy felelősségére vonatkozó szabályokat rögzíteni kell.
28. Az informatikai biztonság szabályozási rendszerének egyik alapvető eszköze a biztonsággal kapcsolatos szerepkörök szétválasztása annak érdekében, hogy megakadályozza a felelős tevékenységek és az ellenőrzésükhöz szükséges jogosultságok összeférhetetlen alkalmazását.
29. Az IBP naprakészen tartást, rendszeres felülvizsgálatot, és aktualizálást igényel. Ennek érdekében:
a) éves rendszerességgel ellenőrizni kell az IBP-t, tekintettel a legutolsó ellenőrzés óta bekövetkezett szervezeti, jogszabályi, funkcionális, személyi, biztonsági, technológiai vagy egyéb változásokra;
b) az IBP karbantartásának kezdeményezése és a módosítási javaslatok készítése az Informatikai Biztonság Felügyelő feladata, melyet az Informatikai Biztonság Szabályzatban (a továbbiakban: IBSZ) kell meghatározni;
c)2 szükség esetén az összegyűjtött módosítási javaslatokról történő döntés céljából, továbbá minden olyan esetben, amikor az informatikai biztonsági alapelvek, és célkitűzések érvényre juttatásához szükséges döntés meghaladja az informatikai vezető illetékességét és hatáskörét, Informatikai Biztonság Stratégiai Fórumot kell összehívni. A Fórumot a RERIFO vezetője hívja össze, melynek eljárási szabályait külön BM utasítás szabályozza.
30.3 A módosított IBP-t minden esetben a RERIFO vezetőjének kell jóváhagyásra előterjeszteni. Rendkívüli felülvizsgálat különösen a következő esetekben rendelhető el:
a) új munkafolyamatok, szervezeti egységek, szolgáltatások jelennek vagy szűnnek meg;
b) új informatikai technológiák kerülnek bevezetésre vagy szűnnek meg;
c) a kockázatelemzés következtében új, lényeges kockázatok válnak ismertté;
d) olyan súlyos informatikai biztonság események (incidensek) bekövetkezésekor, amelyek érzékeny vagy minősített adatokat, információkat érintenek; e) a BM igényei, céljai megváltoznak;
f) bármilyen más okból az IBP nem tölti be szándékolt szerepét.
31. Lényeges módosítás esetén megfelelő időt szükséges biztosítani az új IBP irányelvek kihirdetése és azok érvényességi kezdete között annak érdekében, hogy az érintettek fel tudjanak készülni a változásra.
8. Az informatikai biztonsági rendszer dokumentumai
32. A BM – a működését támogató információrendszerére vonatkozóan – részletes szabályozás révén biztosítja az informatikai biztonságot. Az informatikai biztonsági rendszer elemei:
a) az IBP: jelen dokumentum, amely meghatározza az informatikai infrastruktúra teljes életciklusára (tervezés, bevezetés, fejlesztés, üzemeltetés és selejtezés) alkalmazandó általános biztonsági elvárásokat;
b) az IBSZ: részletesen meghatározza az IBP által előírt, a biztonság általános és speciális követelményeit megvalósító intézkedéseket, azok dokumentálásának, ellenőrzésének feladatait, felelőseit, a végrehajtás gyakoriságát és idejét;
c) katasztrófaelhárítási terv: az informatikai vészhelyzetek elhárítására ad forgatókönyvet, amikor az erőforrások átfogó sérülése miatt a rendszerek folyamatos és rendeltetésszerű működése megszakad;
d) alsóbbrendű szabályozások (végrehajtási eljárásrendek): a műszaki berendezések kezelési szabályai, kiemelt folyamatok végrehajtásának, ellenőrzésének módja, folyamata (pl. mentési szabályzat, üzemeltetői és adminisztrátori dokumentumok, műszaki specifikációk, vírusvédelem, konfigurációk kezelésének rendje), melyek az IBP követelményei és az IBSZ alapján kerülnek alkalmazásra;
e) felhasználói kézikönyvek.
33. Az IBP bevezetése után elvégzendő feladatok:
a) fel kell mérni és meg kell ismerni a BM-ben jelenleg uralkodó információbiztonság kultúrát, az alkalmazott kontrollokat, azok működési hatékonyságát;
b) fel kell mérni az informatikai irányítás jelenlegi szintjét;
c) informatikai és adatvagyonleltárt kell készíteni;
d) ki kell alakítani a vagyonelemeket érintő kockázatok felmérésének, elemzésének és kezelésének módszerét;
e) rendszerbe integrálhatósági vizsgálatot kell folytatni és arra alkalmazhatósági nyilatkozatot kell kiadni;
f) ki kell alakítani a szabályozási környezetet;
g) dokumentációs rendszert kell kialakítani;
h) biztosítani kell a vezetés elkötelezettségét;
i) meg kell határozni a BM értékei védelmének és a biztonsági folyamatoknak a felelőseit;
j) biztosítani kell a megfelelő erőforrásokat az informatikai biztonsági követelmények megvalósításához.
9. Az informatikai biztonság szervezete
34. Az információbiztonság a BM működési kultúrájának szerves része. Az informatikai biztonság megfelelősége és annak megvalósításával kapcsolatos feladatok ellátása az utasítás hatálya alá tartozók felelőssége.
35. A BM-en belül az alábbi speciális feladatkörök biztosítják az elégséges biztonság megteremtését:
a)4 a RERIFO vezetője, aki összehangolja és irányítja a BM által nyújtott informatikai szolgáltatások tervezését, a szolgáltatásnyújtáshoz szükséges folyamatok kialakítását és ellenőrzését;
b) az IBSZ alapján kijelölt Informatikai Biztonság Felügyelő, akinek a feladata az informatikai biztonsággal kapcsolatos részletes követelmények meghatározása, a biztonsági követelmények teljesülésének felügyelete és ellenőrzése, valamint az informatikai biztonság megsértését eredményező valós vagy feltételezett események kivizsgálása.
36.5 Az IF vezetője dönt a 33. pontban meghatározott feladatokkal kapcsolatos feladatköröket betöltő személyekről.
37.6 Az informatikai biztonság tevékenységek ellátása és felügyelete a RERIFO feladata. Az Informatikai Biztonság Felügyelő szerepkörét el kell különíteni az informatikai rendszerek mindennapos üzemeltetési feladataitól, és a feladatait a munkaköri leírásában rögzíteni kell.
38.7 A RERIFO vezetőjének a feladata ellenőrizni a belső és a külső szervezetekkel történő elektronikus kommunikáció és adatcserék informatikai biztonsági követelményeinek teljesülését.
39. Az adatbiztonság és az adatvédelem érdekében külső informatikai biztonsági szakértő igénybevételére csak elkerülhetetlen esetben kerülhet sor. Hitelesíteni kell, hogy az általa megismert adatokkal a legminimálisabb szinten került kapcsolatba, függetlenül a külső szakértő megbízhatóságától és ellenőrzöttségétől.
10. Biztonsági eseményekre és meghibásodásokra való reagálás
40. Az informatikai biztonsági események eredményes és hatékony kezelésének feltétele, hogy az informatikai biztonságért felelős vezetés mielőbb értesüljön a bekövetkezett biztonsági eseményről. Ennek érdekében ki kell alakítani egy eljárásrendet, hogy az utasítás hatálya alá tartozó személy jelenteni tudja a biztonsági eseményeket.
41. Az utasítás hatálya alá tartozó személynek fel kell tudni ismernie – a saját tevékenysége körében – a különböző informatikai biztonsági eseményeket (pl. biztonsági rések, fenyegetések, gyenge pontok, meghibásodások). Az utasítás hatálya alá tartozó személynek haladéktalanul jelentenie kell az észlelt, vagy vélt biztonsági eseményt a közvetlen munkahelyi vezetőjének, vagy az Informatikai Biztonság Felügyelőnek.
11. Az informatikai vagyontárgyak kezelése
42. Annak érdekében, hogy az intézményi információs vagyon (meta-, feldolgozott- és üzemeltetési adatok, információk) bizalmasságának megfelelően differenciált védelmi intézkedések kerüljenek kialakításra, szükséges az információs vagyontárgyak tulajdonosi felelősségének meghatározása, továbbá adatvédelmi és biztonsági súlyának megfelelő osztályozása. A nyilvántartásokat az informatikai területnek és a gazdálkodási területnek is naprakészen kell vezetnie, és az egyezések érdekében folyamatosan ellenőrizni kell.
43. Az információs vagyon rendelkezésre állása és megfelelő védelme érdekében minden fontos információs vagyontárgyat (materiális és immateriális eszközt egyaránt, mind az elektronikus, mind a papír hordozót) biztonsági súlyának megfelelően osztályozni kell, és a kijelölt birtokoshoz kell rendelni, melyért fegyelmi és kártérítési felelősséggel tartozik.