Az Emberi Erőforrás Támogatáskezelő Adatvédelmi és ... · kormánytisztviselői-, valamint...
68
Melléklet a(z). …/2018. (V.25.) EMET főigazgatói utasításhoz Az Emberi Erőforrás Támogatáskezelő Adatvédelmi és Informatikai Biztonsági Szabályzata Szakterületi felelős: ……………………………… dr. Sipos Gertrúd Jogi és Ellenőrzési Igazgató Jóváhagyta: …………………………………….. dr. Mészáros Karina főigazgató
Transcript of Az Emberi Erőforrás Támogatáskezelő Adatvédelmi és ... · kormánytisztviselői-, valamint...
Melléklet a(z). …/2018. (V.25.) EMET főigazgatói utasításhoz
Az Emberi Erőforrás Támogatáskezelő
Adatvédelmi és Informatikai Biztonsági Szabályzata
Szakterületi felelős:
………………………………
dr. Sipos Gertrúd
Jogi és Ellenőrzési Igazgató
Jóváhagyta:
……………………………………..
dr. Mészáros Karina
főigazgató
JEI/119/2018. Hatályos: 2018. 05. 25. 2
I. Fejezet
Általános Rendelkezések
Az Adatvédelmi és Informatikai Biztonsági Szabályzat célja, hatálya
1. § Az Adatvédelmi és Informatikai Biztonsági Szabályzat célja
Az Emberi Erőforrás Támogatáskezelő (a továbbiakban: Támogatáskezelő), mint
adatkezelő, magára nézve kötelezőnek ismeri el jelen szabályzat tartalmát.
Kötelezettséget vállal arra, hogy tevékenységével kapcsolatos minden adatkezelés
megfelel a jelen szabályzatban és a hatályos nemzeti jogszabályokban, valamint az
Európai Unió jogi aktusaiban meghatározott elvárásoknak.
A Támogatáskezelő elkötelezett a természetes személyek személyes adatainak
védelmében, kiemelten fontosnak tartja információs önrendelkezési jog tiszteletben
tartását. A Támogatáskezelő a személyes adatokat bizalmasan kezeli, és megtesz minden
olyan biztonsági, technikai és szervezési intézkedést, mely az adatok biztonságát
garantálja.
Az Adatvédelmi és Informatikai Biztonsági Szabályzat (a továbbiakban: AIBSZ) célja, hogy
az Emberi Erőforrás Támogatáskezelőnél a szervezeti egységek és munkatársaik egymás
közötti és a Támogatáskezelőhöz nem tartozó külső szervekkel, személyekkel fenntartott
kapcsolatokban biztosítható legyen:
a) a Támogatáskezelő informatikai rendszereinek (a továbbiakban: rendszerek) és a
rendszerekben tárolt adatok megfelelő rendelkezésre állása;
b) az adatállományok formai és tartalmi helyességének, épségének megőrzése;
c) az adatok és információk bizalmassága, megfelelő védelme;
d) a Támogatáskezelő tevékenysége során keletkezett személyes adatok védelme;
e) a vagyon-, munka- és tűzvédelemre vonatkozó előírások betartása;
f) a számítógépes feldolgozások és az eredményadatok további hasznosítása során
az illetéktelen hozzáférésből és felhasználásból eredő hátrányos következmények
megszűntetése, illetve minimális mértékre való csökkentése;
g) az informatikai szoftver eszközökkel kapcsolatos jogbiztonság, jogtisztaság;
JEI/119/2018. Hatályos: 2018. 05. 25. 3
h) a jogszabályi szinten rögzített adatvédelmi és adatbiztonsági elvárásoknak való
megfelelés.
A vázolt célok elérése érdekében a védelemnek működnie kell a rendszerek fennállásának
teljes ciklusa alatt – a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül – a
felszámolásukig. Az AIBSZ alkalmazásánál figyelembe kell venni, hogy a Támogatáskezelő
különböző szervezeti egységei használatában működő telekommunikációs és
informatikai rendszerek tervezése, bevezetése, üzemeltetése és ellenőrzése
vonatkozásában meghatározott feladatok elsősorban a törvényesség betartásával,
másodsorban a védelem hiányából eredő lehetséges károk értékével legyenek arányosak.
2. § Az AIBSZ hatálya
(1) Az AIBSZ személyi hatálya kiterjed a Támogatáskezelő valamennyi
kormánytisztviselői-, valamint kormányzati ügykezelői jogviszonyban, továbbá
munkaviszonyban foglalkoztatott munkatársára (a továbbiakban együtt:
munkatársak). Az AIBSZ személyi hatálya kiterjed továbbá minden személyre, aki
a Támogatáskezelő informatikai vagy azzal összefüggő rendszerét, szolgáltatásait
igénybe veszi, informatikai struktúráját és annak eszközeit üzemelteti vagy
használja, függetlenül a Támogatáskezelőhöz kapcsolódó jogviszonyától. Más
természetes személyeket az AIBSZ csak a külön adatvédelmi megállapodásokban
(pl. adatszolgáltatás, hozzáférés, titoktartás) rögzítettek szerint érint.
(2) Az AIBSZ tárgyi hatálya kiterjed:
a) valamennyi (a Támogatáskezelő tulajdonában lévő, vagy általa bérelt)
informatikai és telekommunikációs berendezésre, vagy a Támogatáskezelő
használatában álló épületben található, leltári jelzéssel ellátott, továbbá a
Támogatáskezelő megbízásából a Támogatáskezelő munkatársai számára
harmadik személy által biztosított informatikai eszközre, beleértve a
berendezések műszaki dokumentációját is;
b) a Támogatáskezelő eszközein működtetett rendszerprogramokra és a
felhasználói programokra;
c) amennyiben a Támogatáskezelő működésére irányadó egyéb szabályzat – így
különösen az Iratkezelési Szabályzat, az Infokommunikációs Eszközökről szóló
Szabályzat, az EMET Közérdekű adatok megismerésére irányuló kérelmek
intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra
JEI/119/2018. Hatályos: 2018. 05. 25. 4
hozatalának rendjéről szóló Szabályzata, a Tűzvédelmi Szabályzatban és a
Közszolgálati Szabályzat – eltérően nem rendelkezik:
ca) az informatikai folyamatot leíró valamennyi dokumentációra (fejlesztési,
szervezési, programozási, üzemeltetési dokumentációk);
cb) az adathordozók tárolására és felhasználására, beleértve a feldolgozásra
beérkezés és a felhasználókhoz történő eljuttatás folyamatait is, kivéve;
cc) az adatok felhasználására;
cd) a védelmet élvező adatok teljes körére, keletkezésük és felhasználásuk,
valamint feldolgozásuk helyétől, továbbá a megjelenési formájuktól
(bizonylatok, tablók, mágneses adathordozók, stb.) függetlenül;
ce) minden olyan adatkezelésre és adatfeldolgozásra, amely az Infotv. szerinti
személyes, különleges, közérdekű, vagy közérdekből nyilvános adatra
vonatkozik, és az adatkezelés, illetve adatfeldolgozás teljesen vagy részben
automatizált eszközzel történik.
(3) Az AIBSZ rendelkezéseit értelemszerűen alkalmazni kell minden olyan
adatkezelésre, amelyet a Támogatáskezelő, mint adatkezelő szerv vezetőjének
meghatalmazása alapján külső szervezet végez, valamint a beléptető
rendszerben történő adatkezelésre is.
(4) Az adatvédelmi és adatbiztonsági előírások alkalmazása szempontjából
adatkezelő szerv vezetőjének kell tekinteni a főigazgatót, a főigazgató-helyettest
és az igazgatót.
(5) Az adatkezelő szerv vezetőjének felelősségi körébe tartozik:
a) az SZMSZ szerint irányítása alá tartozó szerv, szervezeti egység adatvédelmi és
adatbiztonsági intézményrendszerének kiépítése és működtetése, ennek
keretében a szerv, illetve szervezeti egység által – az ellátott ügykörhöz
igazodóan – kezelt, védelmet élvező adatok biztonságát biztosító személyi, tárgyi
és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések
megtétele;
b) az irányítása alá tartozó szerv, illetve szervezeti egység tevékenységének
rendszeres adatvédelmi ellenőrzése, az ennek során esetlegesen feltárt
hiányosságok, esetleges jogszabálysértő körülmények megszüntetése, a személyi
felelősség megállapításához szükséges eljárás kezdeményezése, illetve
lefolytatása.
JEI/119/2018. Hatályos: 2018. 05. 25. 5
II. Fejezet
Az AIBSZ-hez kötődő egyéb szabályozások
3. § Az AIBSZ a jogszabályok előírásainak alkalmazásán alapul, és az információvédelemre
vonatkozó jogszabályi szintű rendelkezésekkel – így különösen az alábbiakban felsorolt
törvényekben és a végrehajtásukra kiadott jogszabályokban foglaltakkal – együtt
értelmezendő:
a) Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete a természetes
személyeknek a személyes adatok kezelése tekintetében történő védelméről és az
ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül
helyezéséről (a továbbiakban: általános adatvédelmi rendelet);
b) a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus
információbiztonságáról [a továbbiakban: Ibtv.];
c) a 2012. évi LXIII. törvény a közadatok újrahasznosításáról;
d) 2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények
azonosításáról, kijelöléséről és védelméről;
e) 2011. évi CXII. törvény az információs önrendelkezési jogról és az
információszabadságról [a továbbiakban: Infotv. ];
f) 2011. évi CXCV. törvény az államháztartásról;
g) a 2011. évi CXCIX. törvény a közszolgálati tisztviselőkről;
h) 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami
nyilvántartások fokozottabb védelméről;
i) 2007. évi CLXXXI. törvény a közpénzekből nyújtott támogatások
átláthatóságáról;
j) 2007. évi CVI. törvény az állami vagyonról;
k) 2009. évi CLV. törvény a minősített adat védelméről;
l) a 2000. évi C. törvény a számvitelről;
m) 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a
magánlevéltári anyag védelméről;
n) 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének
nyilvántartásáról;
o) 45/2012. (III. 20.) Korm. rendelet a közszolgálati tisztviselők személyi
irataira, a közigazgatási szerveknél foglalkoztatott munkavállalók személyi
irataira és a munkaügyi nyilvántartásra, a közszolgálati alapnyilvántartásra és
közszolgálati statisztikai adatgyűjtésre, valamint a tartalékállományra vonatkozó
egyes szabályokról;
JEI/119/2018. Hatályos: 2018. 05. 25. 6
p) a 368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény
végrehajtásáról,
q) 90/2010. (III. 26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet
működésének, valamint a minősített adat kezelésének rendjéről;
r) 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely
biztonsági tanúsítvány kiadásának részletes szabályairól;
s) 161/2010. (V. 6.) Korm. rendelet a minősített adat elektronikus
biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági
felügyeletének részletes szabályairól;
t) 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek
iratkezelésének általános követelményeiről;
u) 305/2005. (XII. 25.) Korm. rendelet a közérdekű adatok elektronikus
közzétételére, az egységes közadatkereső rendszerre, valamint a központi
jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról;
v) 18/2005. (XII. 27.) IHM rendelet a közzétételi listákon szereplő adatok
közzétételéhez szükséges közzétételi mintákról.
4. § Az AIBSZ-ben nem rendezett kérdésekben a fentiekben említett hatályos jogszabályok
rendelkezéseit, továbbá a Támogatáskezelő egyéb belső szabályzataiban, így különösen a
Szervezeti és Működési Szabályzatban, az Egyedi Iratkezelési Szabályzatban, az
Infokommunikációs Eszközökről szóló Szabályzatban, az EMET Közérdekű adatok
megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok
nyilvánosságra hozatalának rendjéről szóló Szabályzatban, a Tűzvédelmi Szabályzatban
és a Közszolgálati Szabályzatban foglaltak az irányadók.
JEI/119/2018. Hatályos: 2018. 05. 25. 7
III. Fejezet
Értelmező rendelkezések
5. § Az AIBSZ alkalmazása során:
a) adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált
ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre,
megjelenítésre vagy feldolgozásra alkalmas;
b) adatállomány: az informatikai rendszerben logikailag összetartozó, együtt kezelt
adatok összessége;
c) adatátvitel: adatok informatikai rendszerek, rendszerelemek közti továbbítása;
d) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen
megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni technikai,
szervezési megoldások és eljárási szabályok összessége, az adatkezelésnek azon
állapota, amelyben a fenyegetettséget jelentő kockázati tényezőket különböző
műszaki, szervezési megoldások és intézkedések a lehető legkisebb mértékűre
csökkentik;
e) adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály
rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi;
f) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok
elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és
eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az
adatokon végzik;
g) adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem
rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat
kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált
eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval
végrehajtatja;
h) adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely
művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése,
rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása,
nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése
és megsemmisítése, valamint az adatok további felhasználásának
megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy
azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta,
íriszkép) rögzítése;
JEI/119/2018. Hatályos: 2018. 05. 25. 8
i) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen
eljárással előállított, adat tárolására alkalmas, továbbá adatot tartalmazó anyag;
j) adatvédelem: a személyes adatok kezelésének normatív szabályozása az érintett
információs önrendelkezési jogának biztosítása és érvényesítése érdekében;
k) adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így
különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra
hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.
l) alapszolgáltatások: azok az informatikai szolgáltatások, amelyek minden
felhasználó számára rendelkezésre állnak;
m) alkalmazás: a szoftver és minden egyéb olyan számítógépes program, amelyet egy
feladat vagy feladatkör végrehajtására terveztek;
n) authentikáció: az adatcsere során a kommunikációban résztvevő felek identitása
megállapításának és ellenőrzésének folyamata;
o) azonosító eszköz: olyan eszköz, amely a felhasználó egyértelmű azonosítására
szolgál (pl. mágneskártya, Proximity kártya;
p) auditálás: előírások teljesítésére vonatkozó megfelelőségi vizsgálat, ellenőrzés;
q) bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a
benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk
szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a
felhasználásáról;
r) biztonsági esemény: bármilyen olyan esemény, ami az érvényben lévő biztonsági
szabályokat sérti, vagy a biztonsági szabályok sérülésének gyanúját vetik fel, így
különösen az informatikai rendszer biztonságában beállt olyan kedvezőtlen
változás, melynek hatására az informatikai rendszerben tárolt adatok
bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása
megsérült, vagy megsérülhet;
s) biztonsági esemény kezelése: az elektronikus információs rendszerben
bekövetkezett biztonsági esemény dokumentálása, következményeinek
felszámolása, a bekövetkezés okainak és felelőseinek megállapítása, és a hasonló
biztonsági események jövőbeni előfordulásának megakadályozása érdekében
végzett tervszerű tevékenység;
t) biztonsági osztály: az elektronikus információs rendszer védelmének elvárt
erőssége;
u) biztonsági osztályba sorolás: a kockázatok alapján az elektronikus információs
rendszer védelme elvárt erősségének meghatározása;
v) biztonsági szint: a szervezet felkészültsége az e törvényben és a végrehajtására
kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére;
JEI/119/2018. Hatályos: 2018. 05. 25. 9
w) biztonsági szintbe sorolás: a szervezet felkészültségének meghatározása az e
törvényben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági
feladatok kezelésére;
x) elektronikus információs rendszer biztonsága: az elektronikus információs
rendszer olyan állapota, amelyben annak védelme az elektronikus információs
rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása,
valamint az elektronikus információs rendszer elemeinek sértetlensége és
rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal
arányos;
y) érintett: bármely meghatározott, személyes adat alapján azonosított, vagy –
közvetlenül vagy közvetve – azonosítható természetes személy;
z) biztonsági rendszer: az épületek betörés és vagyonvédelmi rendszere, valamint az
ehhez kapcsolódó beléptető rendszerek;
aa) fájl: számítógépen tárolt információtárolási egység. Egy fájl tartalma a gép
szempontjából vagy adat, vagy program, amely a processzor által végrehajtható
utasításokat tartalmaz;
bb) felhasználó: meghatározott jogosultságokkal bíró olyan személy, aki a
Támogatáskezelő informatikai rendszerét, hálózatát, szolgáltatásait
authentikációt követően igénybe veszi;
cc) hálózat: informatikai eszközök közti adatátvitelt megvalósító logikai és fizikai
eszközök összessége;
dd) hitelesség: az adat olyan tulajdonsága, amely arra vonatkozik, hogy az
adatbizonyítottan vagy bizonyíthatóan az elvárt forrásból származik;
ee) információs önrendelkezési jog: az Alaptörvény VI. cikkének (2) bekezdésében
biztosított, mindenkit megillető, „személyes adatai védelméhez” való jognak azon
alapvető tartalma, hogy minden természetes személy maga rendelkezik személyes
adatainak feltárásáról és felhasználásáról;
ff) informatikai szolgáltatások: a Támogatáskezelő által biztosított számítástechnikai,
információ-feldolgozási, és kommunikációs szolgáltatások;
gg) kapcsolószekrény: a Támogatáskezelő informatikai és telekommunikációs
hálózatának működtetéséhez szükséges eszközök elhelyezésére szolgáló
szekrények;
hh) központi rendszer: a Támogatáskezelő szerverei, kommunikációs eszközei,
központi nyomtatói;
ii) különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre
vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az
érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat;
JEI/119/2018. Hatályos: 2018. 05. 25. 10
az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint
az Infotv. 3. §
4. pontja szerinti bűnügyi személyes adat; gg) rosszindulatú alkalmazás: a
rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok,
férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a
rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök
(rootkit);
hh) személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett
neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági,
kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból
levonható, az érintettre vonatkozó következtetés;
ii) szerverterem: a központi informatikai rendszereket, szolgáltatásokat működtető
számítógépek elhelyezésére szolgáló elkülönített helyiség.
IV. Fejezet
Az informatikai biztonsághoz kapcsolódó rendelkezések
6. § A Támogatáskezelő működése szempontjából kritikus, kiemelt, normál és egyéb
rendszerek
(1) A Támogatáskezelő működése szempontjából kritikus az a rendszer, amely a
Támogatáskezelő egészére kiterjed, vagy amely összefügg a Támogatáskezelő
alaptevékenységével, vagy amely személyes adatot tartalmaz. A kritikus rendszerek
adatbiztonsági szempontból kiemelt védelmet igényelnek. E körbe tartoznak különösen
az alábbi rendszerek:
a) bér- és munkaügyi rendszer;
b) gazdasági, ügyviteli rendszer;
c) iratkezeléssel összefüggő rendszerek;
d) támogatással, pályáztatással összefüggő rendszerek;
e) EU információs rendszer;
f) központi levelező kiszolgálók;
g) központi tárhely kiszolgálók;
h) intézményi authentikációs rendszerek.
(2) A Támogatáskezelő szempontjából kiemelt rendszerek azok, melyek elsősorban
technikai jellegűek, a rajtuk tárolt adatok nem személyes jellegűek. E körbe különösen az
alábbi rendszerek tartoznak:
JEI/119/2018. Hatályos: 2018. 05. 25. 11
a) telekommunikációs rendszer és hálózat;
b) kommunikációs rendszerek;
c) technológiai rendszerek.
(3) Normál rendszerek a kritikus és kiemelt rendszerek körébe nem sorolt, de a
Támogatáskezelő napi működése szempontjából kritikus, továbbá a Támogatáskezelő
egészére nem, csak egyes részeire kiterjedő olyan rendszerek, amelyek használatához
szükséges a személyes authentikáció.
(4) A kritikus, kiemelt és normál rendszerek körébe nem sorolt rendszerek.
7. § Kockázatkezelés
(1) Minden kritikus rendszer és kiemelt rendszer besorolású szolgáltató rendszer
esetében rendelkezni kell olyan kockázatelemzéssel, ami a rendszer által nyújtott
szolgáltatások részleges vagy teljes kimaradásának a Támogatáskezelő
működőképességére tett hatásait tartalmazza. Külön kell kezelni a szolgáltatás
elérhetetlenségéből, illetőleg az adatbázis sérülésből származó hatásokat. A
kockázatelemzési dokumentum előállítása és karbantartása a szolgáltatás
üzemeltetőjének a feladata. Az elektronikus információs rendszerek kockázatait az Ibtv.
végrehajtási rendelete, a 41/2015. (VII. 15.) BM rendelet által meghatározott
követelményrendszer szerint is értékelni kell.
(2) Kritikus rendszer és kiemelt rendszer üzemeltetése a Támogatáskezelő működési
területein kizárólag a főigazgató engedélyével, míg normál rendszer és egyéb rendszer
üzemeltetése a Támogatáskezelő területén a gazdasági igazgató engedélyével történhet.
V. Fejezet
Infrastruktúrához kapcsolódó védelmi intézkedések
8. § (1) A Támogatáskezelő épületeiben Biztonsági Szolgálat működik.
(2) A Támogatáskezelő a használt épületekben biztonsági zónákat hoz létre, és
meghatározza az egyes biztonsági zónák követelményeit. A Támogatáskezelőben
megvalósított biztonsági zónák:
a) Számítógépterem, kapcsolószekrények (kiemelt védelem)
b) Raktárak, szerviz helyiségek területe (fokozott védelem)
c) irodák, folyosók (alap védelem)
(3) A Támogatáskezelőnél a munkatársak belépéskor történő azonosítása a Biztonsági
Szolgálat feladata. A fokozott és kiemelt védelemmel ellátott biztonsági zónákba csak az
JEI/119/2018. Hatályos: 2018. 05. 25. 12
arra jogosult személyek kapnak belépési jogosultságot. A kiemelt védelemmel ellátott
biztonsági zónákba a belépési jogosultsággal rendelkező munkatársak mágneskártya vagy
Proximity kártya használatával léphetnek be (belépéseket a biztonsági rendszer
naplózza).
(4) A biztonsági rendszer riasztást ad, ha a biztonsági zónában, annak élesített
állapotában, bárki tartózkodik. Riasztás esetén a Biztonsági Szolgálat a számára kiadott
szolgálati utasításban meghatározott módon jár el. Biztonsági zónára kiadott
mágneskártyát, Proximity kártyát és/vagy belépési kódot az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály vezetőjenek a munkatárs kilépésekor
azonnal meg kell vonnia, a jogosultságot azonnal le kell tiltatni a beléptető rendszerben.
A kiadott, letiltott jogosultságokat és azonosító eszközöket az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály vezetője dokumentálja.
(5) A Támogatáskezelő a központi rendszerei védelmére szervertermet alakít ki és a
számítástechnikai folyamatok üzemeltetéséhez szükséges fontos eszközöket oda telepíti.
A szerverterem kialakításának szabályai:
9. § (1) Kiemelten fontos szempontok a szerverterem tervezésénél, kialakításánál és
átalakításánál:
a) a statikai követelmények (várható maximális födémterhelés, eszközök száma, azok
várható súlya) figyelembe vétele;
b) a környezetből adódó rezgések, környezeti zavarok (pl. nagy-frekvenciás hálózat)
figyelembe vétele;
c) a klimatizálás biztosítása;
d) a szünetmentes tápellátás biztosítása;
e) a géptermet kerüljék el a közműhálózati vezetékek (víz, gáz, csatorna, stb.); a
szerverterem felett és a határoló falfelületei mellett vizes blokkot tartalmazó
helyiség nem lehet, felette és mellette a falban gáz vagy vízcsövek nem
haladhatnak;
f) a szerverterem ajtói rendelkezzenek legalább 30 perces (mű. bizonylatolt)
tűzállósággal;
g) a géptermen belül automatikus betörés- és tűzjelző rendszert kell telepíteni, ami
mozgás-, nyitás-, füst-, üvegtörés és vízérzékelőkkel rendelkezzen; az érzékelők és
a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54
szabványsorozatok előírásainak, rendelkezzenek a hazai minősítő intézetek
forgalomba-hozatali engedélyével;
JEI/119/2018. Hatályos: 2018. 05. 25. 13
h) törekedni kell a szerverteremben az ablakok elfalazásáról, de ha ablakok mégis
megmaradnak, akkor azokon legyen belülről átlátszó fólia;
i) a padlóburkolatok, berendezési tárgyak tűzálló és antisztatikus anyagból
legyenek;
j) az épület villámvédelme elégítse ki a kommunális- és lakóépületekre vonatkozó
előírásokat; az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron
túlfeszültség elleni védelembe be kell vonni az árnyékolást megtestesítő, a
helységhez tartozó összes fémszerkezetet (az elektromos hálózatot, víz, gáz,
távfűtés, csatornahálózatokat, antenna bevezetéseket, adatátviteli és távbeszélő
hálózatokat stb.);
k) a szerverszobán kívül legyen kialakítva külön operátor szoba, és szervizszoba.
(2) A szerverterem védelme minimálisan elégítse ki az alábbi követelményeket:
a) a nyílászárók (ajtók, ablakok) rendelkezzenek nyitottság és zártság ellenőrző
eszközzel;
b) a belső terek védelme mozgásérzékelővel legyen biztosított; a védelem ki és
bekapcsolása a bejáraton kívül elhelyezett minimum 6 számjegyes kóddal
működtetett tasztatúráról történjék;
c) megfelelő kapacitású klíma és szünetmentes tápellátó rendszer álljon
rendelkezésre;
d) automatikus tűzjelző és halonnal oltó tűzoltórendszer folyamatosan álljon
rendelkezésre;
e) a szerverterembe belépni szándékozók belépés előtti automatikus azonosításának
lehetősége (pl. mágneskártya, proximity kártya) álljon rendelkezésre.
(3) A szerverterembe történő be- és kilépés rendjének szabályozása;
a) A szerverterembe történő belépéshez szükséges kártyák vagy kódazonosítók
kiadását és visszavonását az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály vezetője engedélyezi.
b) Látogató kizárólag csak a benntartózkodáshoz engedéllyel rendelkező személy
jelenlétében tartózkodhat a szerverteremben, és a belépését a szerverterem
vendégkönyvében regisztrálnia kell.
c) Külső munkatárs csak a benntartózkodáshoz engedéllyel rendelkező személy
jelenlétében és felügyelete mellett végezhet munkát. A külső munkatárs ilyen
esetben a végzett munkát (pl. hibajavítás, takarítás) a Géptermi eseménynaplóban
dokumentálni köteles.
JEI/119/2018. Hatályos: 2018. 05. 25. 14
d) Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetője
nyilvántartást köteles vezetni az aktuálisan érvényes géptermi belépési
jogosultságokról.
(4) A szervertermi munkavégzés, a terem zárása/nyitása:
a) A szerverterem biztonságilag kiemelten védett terület, munkaszünet esetén a
szerverterem zárását/nyitását csak a terem üzemeltetését végző felelős személyek
végezhetik.
b) A géptermi munka befejezése után a szerverterem zárása saját kulccsal, majd a
biztonsági rendszer élesítésével történik. A biztonsági rendszert csak a
szerverteremben munkát végző és felhatalmazott operátor élesítheti.
A szerverterem nyitására ugyanez vonatkozik, csak fordított sorrendben.
c) A számítógépeket és a kisegítő berendezéseket (perifériák) munkaszünet
alkalmával bekapcsolt állapotban lehet hagyni.
d) A szerverek zárási és indítási eljárásait munkautasítás (Üzemeltetés rendje)
tartalmazza.
(5) A szerverterem bezárása előtt:
a) ellenőrizni kell a klíma hőfokszabályzó állását (max. 24 °C-ra lehet állítva),
b) az ablakokat zárt állapotban kell hagyni,
c) a szalagfüggönyöket a belátás megakadályozására el kell fordítani.
d) A szerverterem biztonsági (tartalék) kulcsát és a belépő kódot lezárt és aláírt
borítékban a Biztonsági Szolgálat őrzi.
e) A szerverterem zárásakor, ill. nyitásakor észlelt bármilyen rendellenességet az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetője felé azonnal
jelenteni kell.
f) A szerverterem zárására/nyitására jogosultsággal rendelkező munkatársakról
nyilvántartást kell vezetni. Minden ilyen jogosultság megadását az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály vezetője engedélyezi.
(6) Szerverteremre vonatkozó egyéb előírások:
a) A szerverterem biztonsági (betörés- és tűzjelző) rendszere szünetmentes
áramellátásról működjön, eseménykor az épület Biztonsági Szolgálatára, valamint
a Rendőrségre, ill. a Tűzoltóságra adjon riasztást.
b) A szerverterem összes ajtaját folyamatosan – munkavégzés alatt is – csukva kell
tartani. Ennek érdekében az ajtókat automatikus csukó szerkezettel kell ellátni.
JEI/119/2018. Hatályos: 2018. 05. 25. 15
c) A szerverterembe történő ki- és bejárás céljára egy és csakis egy ajtó álljon
rendelkezésre
d) A szerverterembe üzemelő informatikai eszközök legyenek ellátva a villámlás
másodlagos hatásai elleni védelemmel.
VI. Fejezet
Hardverekre és szoftverekre vonatkozó előírások
10. § (1) A Támogatáskezelő a központi rendszerekhez kiemelt védelmet biztosít. Minden
esetben, amikor a szerverteremben, illetve vele, egyenrangú védelemmel rendelkező más
területen szerverek és kommunikációs eszközök telepítése történik, biztosítani kell ezen
eszközök biztonságos elkülönítését és védelmét (pl. szerver szoba és operátori szoba
kialakítással).
A szervereket és a kommunikációs eszközöket (router, switch), azok fizikai védelme
céljából, erre a célra kialakított jól szellőző, zárható szekrényben elzárva kell üzemeltetni.
A szervereknél és a kommunikációs eszközöknél (router, switch) biztosítani kell a
személyre szóló azonosítás alapján történő logikai hozzáférést.
A központi rendszer elemei telepítésének, áttelepítésének végrehajtása minden esetben
az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetőjének a feladata és
felelőssége. Szerver vagy kommunikációs eszköz nem az AIBSZ által előírt körülmények
közötti elhelyezésére csak az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály
vezetője előzetes és egyedi engedélye mellett van lehetőség és csak átmeneti jelleggel. A
központi rendszerek telepítésénél az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály vezetőjenek minden esetben kiemelten kell gondoskodni a berendezések
biztonságáról, az illetéktelen hozzáférés megelőzéséről, megakadályozásáról. A központi
rendszerekhez sem a rendszereket szállítók sem a rendszert fejlesztők nem
rendelkezhetnek közvetlen hozzáférési jogosultsággal. Minden egyes külső beavatkozás
(verzió-frissítés, programhiba javítás, egyedi fejlesztés stb.) során dokumentálni kell a
program-változásokat, az elvégzett ellenőrzéseket, teszteléseket.
A központi rendszerekhez tartozó helyi hálózat megbízhatóságának növelésére, annak
túlterhelését, hálózatrészek kiesését megelőző, a helyi adottságoknak megfelelően
kiválasztott rendszertechnikai megoldásokat (redundáns átviteli utak, illetve aktív
elemek, dinamikus átkonfigurálás, osztott hálózatvezérlés stb.) kell alkalmazni.
A számítástechnikai eszköz telepítésének részét képezi az eszköz verifikálása
(ellenőrzés). A verifikálás eredményét, azaz hogy az eszköz a meghatározott biztonsági
JEI/119/2018. Hatályos: 2018. 05. 25. 16
követelményeknek eleget tesz, az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály köteles írásban rögzíteni.
(2) Munkaállomások, laptopok telepítése, konfigurációkezelése során az alábbiakat kell
figyelembe venni:
a) Minden munkaállomás telepítést, módosítást, cserét az igénylő kezdeményez
az Infokommunikációs Eszközökről szóló Szabályzatban foglalt eljárásrend
szerint.
b) A munkaállomásokról nyilvántartását kell vezetni. A nyilvántartás tartalmazza
a munkaállomás hardver konfigurációját és a munkaállomásra telepített
szoftvereket. A nyilvántartások vezetése, azok aktualizálása az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály feladata.
c) A munkaállomásokat csak a feladat ellátásához szükséges beállításokkal és
programokkal szabad telepíteni.
d) A munkaállomások elhelyezésénél (fizikai telepítés) minden esetben kiemelten
kell gondoskodni a berendezések biztonságáról, az illetéktelen hozzáférés
megelőzéséről, megakadályozásáról. Azon irodahelyiségeket, ahol
munkaállomás működik tilos felügyelet nélkül hagyni, ha a helyiségben senki
sem tartózkodik, azt be kell zárni.
e) A munkaállomáson egyedi hozzáférést kell biztosítani, ezáltal lehetővé téve,
hogy a munkaállomást csak az arra jogosult Felhasználók használhassák.
(3) A Támogatáskezelő biztosítja az informatikai rendszerének egészére kiterjedő
rendszeres és folyamatos vírusvédelmet. Vírusellenőrzés történik a helyi hálózaton, a
levelező szerveren, valamint az összes munkaállomáson. Az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály gondoskodik arról, hogy a vírusellenőrző
programnak mindig a legújabb verziója működjön. A frissítéseknek maximum 1
munkanapon belül meg kell történniük. Csak jogtiszta és megfelelő dokumentációval
ellátott vírusellenőrző program használata megengedett. A vírusellenőrző programot
csak speciális esetekben, csak az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály vezetője utasítására lehet kikapcsolni. A rendszergazda kötelessége, hogy a
vírusvédelmet a lehető legrövidebb időn belül visszakapcsolja. A vírusirtó leállítását és
újraindítását az Üzemeltetési, Dokumentumkezelési és Informatikai Osztálynak űrlapon
dokumentálnia kell. A felhasználók a vírusvédelmet semmilyen körülmények között sem
kapcsolhatják ki. A hatékony vírusvédelem érdekében a Támogatáskezelő
JEI/119/2018. Hatályos: 2018. 05. 25. 17
munkatársaihoz kívülről érkező leveleken kiterjesztés és tartalom szerinti szűrést kell
végezni, és a vírus gyanús leveleket azonnal karanténba kell helyezni.
(4) Amennyiben a vírusellenőrzések ellenére a felhasználók vírusra utaló hibás, vagy
furcsa működést tapasztalnak, a vírusfertőzés gyanújáról azonnal értesíteni kell az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztályt. A felhasználó köteles
haladéktalanul jelenteni az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztálynak, ha rosszindulatú alkalmazás jelenlétének gyanúját észleli az informatikai
eszközön. Rosszindulatú alkalmazás jelenlétére utaló jelek különösen:
a) rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás névvel
azonosított rosszindulatú alkalmazást jelez;
b) fájl másolása esetén a forrásfájl és a célfájl mérete, neve eltérő;
c) szokatlan és váratlan képernyő tevékenység;
d) szokatlan alkalmazás-tevékenység: felhasználói beavatkozás nélkül elinduló
alkalmazások, a megszokottól eltérően viselkedő alkalmazások, elérhetetlen
funkciók, stb.;
e) jelentősen lassult működés, amely többszöri újraindítás során sem javul.
(5) Külső adathordozó használata előtt az adathordozó adatállományát a rosszindulatú
alkalmazás elleni védelemről gondoskodó alkalmazás használatával ellenőrizni kell. A
vírusdetektálás (vagy vírusgyanú felmerülése) és a víruseltávolítás biztonsági
eseménynek számít, ezért minden vírusdetektálást és víruseltávolítást haladéktalanul
jelenteni kell az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetője felé.
Az ilyen eseményt az Üzemeltetési, Dokumentumkezelési és Informatikai Osztálynak ki
kell vizsgálnia, és dokumentálnia. Az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály vezetője időszakosan ellenőrizni köteles, hogy az aktuálisan használt
vírusellenőrző program megegyezik a kiadott legfrissebb változattal. A biztonsági
kockázatot jelentő elektronikus küldemények kezelése során az Iratkezelési Szabályzat
rendelkezéseit is figyelembe kell venni.
(6) A Támogatáskezelőbe új rendszer fejlesztésével, létező rendszerek
továbbfejlesztésével, az új rendszerek, verziók bevezetésével és szükséges
dokumentációival kapcsolatos biztonsági elvárásokat az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály által készített és évente karbantartott
követelményjegyzék tartalmazza. A követelményjegyzéket a Támogatáskezelő minden
rendszerfejlesztés, rendszerbevezetés tartalmú pályázatának, szerződésének
mellékleteként csatolni kell, a benne foglaltakat a szállítóktól meg kell követelni.
JEI/119/2018. Hatályos: 2018. 05. 25. 18
Külső és belső ellenőrzési eszközökkel ellenőrizni kell, hogy a külső elektronikus
információs rendszer szolgáltatója biztosítja-e az elvárt védelmi intézkedéseket
Valamennyi rendszer vagy rendszerelem, hardver és szoftver beszerzése során meg kell
határozni és szerződéses követelményként elő kell írni:
a) a funkcionális biztonsági követelményeket;
b) a garanciális biztonsági követelményeket (pl. a biztonságkritikus
termékekre elvárt garanciaszint);
c) a biztonsággal kapcsolatos dokumentációs követelményeket;
d) a biztonsággal kapcsolatos dokumentumok védelmére vonatkozó
követelményeket;
e) az elektronikus információs rendszer fejlesztési környezetére és tervezett
üzemeltetési környezetére vonatkozó előírásokat;
f) az elfogadási kritériumokat.
A rendszer fejlesztések során a rendszer valamennyi életciklusában értékelni és
érvényesíteni kell a biztonsági követelményeket. Meg kell határozni a rendszerhez
kapcsolódó információbiztonsági szerepköröket és felelősségeket.
A rendszer életciklus szakaszokat a következők szerint kell meghatározni:
a) követelmény meghatározás;
b) fejlesztés vagy beszerzés;
c) megvalósítás vagy értékelés;
d) üzemeltetés és fenntartás;
e) kivonás (archiválás, megsemmisítés).
(7) Az elektronikus információs rendszerek beszerzése és fejlesztése során meg kell
követelni a rendszer adminisztrátori és fejlesztői dokumentációjának az elkészítését,
melyeknek tartalmazniuk kell rendszer biztonsági vonatkozásait, a biztonságos
konfigurálását, telepítését és üzemeltetését, a biztonsági funkciók hatékony alkalmazását
és fenntartását, ismert sérülékenységeket, továbbá a felhasználó által elérhető biztonsági
funkciókat és a felhasználó kötelezettségeit a biztonság fenntartásához;
A Támogatáskezelő a rendszer karbantartások és az azokhoz kapcsolódó ellenőrzések
elvégzése érdekében rendszer-karbantartási eljárásokat alakít ki. A karbantartási
tevékenységekről nyilvántartást vezet. A karbantartások tervezése és végrehajtása során:
a) a gyártói vagy a forgalmazó specifikációknak megfelelően, továbbá a szervezeti
igények szerint a karbantartásokat és javításokat ütemezetten hajtja végre;
JEI/119/2018. Hatályos: 2018. 05. 25. 19
b) dokumentálja és felülvizsgálja a karbantartásokról és javításokról készült
feljegyzéseket;
c) jóváhagyja és ellenőrzi az összes karbantartási tevékenységet, függetlenül attól,
hogy azt a helyszínen vagy távolról végzik, és függetlenül attól, hogy a berendezést
a helyszínen, vagy másutt tartják karban;
d) külső karbantartó személyzet esetén minden esetben ellenőrizni kell
karbantartást végzők, szervezetek vagy személyek jogosultságát a munka
elvégzésére;
e) az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetőjének, vagy
az általa meghatalmazott felelős munkatársak jóváhagyása szükséges az
elektronikus információs rendszer vagy a rendszerelemek Támogatáskezelő
létesítményeiből történő kiszállításhoz;
f) gondoskodik arról, hogy az elszállítás előtt minden adat és információ – mentést
követően –a berendezésről törlésre kerüljön;
g) a javítási tevékenységek után ellenőrzi, hogy a berendezések a karbantartási vagy
javítási tevékenységek után is megfelelően működnek-e, és biztonsági
ellenőrzésnek veti alá azokat;
h) csatolja a meghatározott, karbantartással kapcsolatos információkat a
karbantartási nyilvántartáshoz.
(8) A karbantartási terveket és eljárásokat évente felül kell vizsgálni és szükség szerint
aktualizálni.
VII. Fejezet
Az adathordozók kezelése és biztonsága
11. § Az adatok sérülésének elkerülésére és a működésfolytonosság fenntartás érdekében
üzemeltetési eljárásokat kell létrehozni az elektronikus dokumentumokhoz, számítógép
médiumokhoz, adathordozókhoz történő jogosulatlan hozzáférés, módosítás, ellopás
megakadályozása érdekében. A védelem szabályozási, logikai és fizikai eljárásokat
tartalmaz.
12. § Az eltávolítható adathordozók kezelése:
A hordozható adathordozók – más terminológia szerint eltávolítható adathordozók –
jellegükből adódóan jelentős információbiztonsági kockázatot hordoznak.
Az eltávolítható adathordozók közé tartoznak az adatkazetták, CD-k, DVD-k, külső
merevlemezek, pendrive-ok, de ebbe a kategóriába kell sorolni hozzáférhetőségük és
felépítésük miatt a mobiltelefonok és fényképezőgépek memóriáját is. (Általában
használatos még az „USB mass storage” elnevezés is.)
JEI/119/2018. Hatályos: 2018. 05. 25. 20
A legnagyobb veszélyt az eltávolítható adathordozók jogosulatlan használata jelenti. A
Támogatáskezelő hálózatához ilyen eszközt kapcsolva fennáll a rosszindulatú kódok
(vírusok) bejutásának veszélye, másrészről pedig fennáll az adatok jogosulatlan
elvitelének veszélye, ezért a dolgozók saját eltávolítható adathordozóikat külön
feljogosítás nélkül a hálózathoz nem csatlakoztathatják!
13. § (1) Az eltávolítható adathordozókkal kapcsolatos irányelvek:
a) bizalmas információ csak titkosítva írható fel rájuk;
b) biztosítani kell hardver titkosítással ellátott pendrive-okat azon üzleti
munkatársak számára, akiknek munkájához indokolt;
c) a titkosítatlan optikai adathordozókat, amennyiben már nem szükségesek,
helyreállíthatatlanul fizikailag meg kell semmisíteni;
d) a megőrzendő adatok esetében, figyelembe kell venni az eszköz várható
élettartamát és ennek megfelelően időközönként át kell másolni az adatokat vagy
több helyen kell azokat tárolni.
14. § (1) Adathordozók újrahasznosítása és selejtezése
Az adatok kiszivárgásának megakadályozás érdekében az alábbi utasításokat kell követni:
a) A már szükségtelenné vált adatot tartalmazó, de újrafelhasználható
adathordozókról – tipikusan munkaállomások, laptopok merevlemezei, új
felhasználóhoz történő kiadásuk előtt – elegendő az adatokat szokásos formázási
vagy törlési eljárással törölni, majd az eszközt újra használatba lehet venni. Ez
kizárólag a szervezeten belül történő újrafelhasználás esetén érvényes.
b) A használaton kívüli adathordozókat osztályozni kell aszerint, hogy tartalmaz-e
érzékeny adatot. Amennyiben ez nem megállapítható, akkor az adathordozót úgy
kell kezelni, mint ami érzékeny adatot tartalmaz.
c) Az érzékeny adatokat tartalmazó mágneses adathordozókat (merevlemezeket)
lemágnesezéssel vagy speciális felülírással lehet törölni.
d) Azokat az adathordozókat, amelyek már további használatra nem alkalmasak,
selejtezni kell. A selejtezésre szánt adathordozókról jegyzőkönyvet kell felvenni, s
az adatmegsemmisítést is bizottságilag jegyzőkönyvezni kell.
e) Valamennyi adathordozó típus esetén alkalmazható a speciális,
adatmegsemmisítéssel foglalkozó cégek szolgáltatása, amelyek bezúzással, vagy
égetéssel, jegyzőkönyvezés mellett végzik a megsemmisítést.
A nem elektronikus – jellemzően papír alapú – adathordozók esetében is hasonlóan kell
eljárni, a használatból kivont adathordozókat első sorban fizikailag kell megsemmisíteni.
JEI/119/2018. Hatályos: 2018. 05. 25. 21
15. § (1) Az adathordozók tárolása és védelme:
a) Az adathordozókat a rajtuk lévő adatok érzékenységének megfelelően, védeni kell,
használaton kívül el kell zárni.
b) Adathordozó (adat) a Támogatáskezelő területéről csak a főigazgató engedélyével
kerülhet ki, ez vonatkozik az adathordozókon történő kivitelre, vagy az egyéb,
elektronikus úton történő továbbításra, mint az Internet vagy a (mobil)telefonos
adattovábbítás.
c) A központi infrastruktúrán (kiszolgálók, csoportkönyvtárak, fájl szerverek stb.)
kívül például felhasználói munkaállomásokon, laptopokon csak olyan adatot
szabad tárolni, melyek sérülése, elvesztése vagy illetéktelenek kezébe történő
kerülése nem okozhat a Támogatáskezelő számára kárt vagy bizalomvesztést. Az
ilyen adatok nem kerülnek központi mentésre, ezért a mentési igényt minden
esetben az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetője
felé kell jelezni.
d) A személyi használatra kiadott laptopokon bizalmas információ csak titkosítva
szabad tárolni.
VIII. Fejezet
Dokumentációkhoz kapcsolódó védelmi intézkedések
16. § (1) Minden nyilvántartott szoftverhez nyilván kell tartani a szoftver
dokumentációját, ami magába foglalja legalább az alábbiakat:
a) felépítésének, funkcióinak és adatkapcsolatainak felső szintű leírását, valamint
alapvető jellemzőit (mérete, nyelve, működési környezet, készítőjét), leírását;
b) felhasználói és üzemeltetői kézikönyveket, különösképpen a felhasználói
jogosultság rendszer leírását, továbbá a felhasználó kötelezettségeit a biztonság
fenntartásához;
c) a rendszer telepítőkészletét, telepítési segédleteit;
d) a tesztelést igazoló, valamint az üzemeltetésre átvétel jegyzőkönyveit;
e) az üzemi, konfigurációs beállítások leírását;
f) a rendszert üzemeltetésével, támogatásával kapcsolatos partneri
megállapodásokat (pl.: licencek, support szerződések, elérhetőségek);
g) a rendszer biztonsági vonatkozásait, az ismert sérülékenységeket, biztonsági
funkciók hatékony alkalmazását és fenntartását.
(2) A felsorolt dokumentumok őrzése az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály feladata. A rendszerleírási és rendszerprogram dokumentációinak
JEI/119/2018. Hatályos: 2018. 05. 25. 22
első példányát az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály
informatikai könyvtárában kell tárolni elektronikus formában. A leírások és
dokumentációk másodpéldányát papíron (és lehetőség szerint elektronikus formában is)
tűzbiztos lemezszekrényben, kell tárolni. A dokumentációkat minden esetben úgy kell
elhelyezni, hogy azok a tárolás közben ne sérüljenek vagy károsodjanak.
Gondoskodni kell arról, hogy az információs rendszerre vonatkozó – különösen az
adminisztrátori és fejlesztői – dokumentáció jogosulatlanok számára ne legyen
megismerhető, módosítható;
Gondoskodni kell a dokumentációknak az érintett szerepköröket betöltő személyek által,
vagy a szerepkörhöz tartozó jogosultságnak megfelelően történő megismerésről.
(3) A rendszerleírások és rendszerprogram dokumentációinak frissítését minden olyan
esetben, amikor a rendszeren változtatás (rendszerkonfiguráció változtatás, javítás,
verzióváltás, stb.) az üzembe állítás (üzemeltetésre átadás) előtt frissíteni kell. A
dokumentációk naprakészségért az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály felelős. A rendszerleírásokról és rendszerprogram dokumentációkról űrlapon kell
pontos nyilvántartást vezetni, a verziószámoknak és a telepítés időpontjainak a
feltüntetésével. A nyilvántartásnak biztosítania kell, hogy legalább 1 évre visszamenőleg
meghatározható legyen minden, az egyes rendszerekkel kapcsolatos változás ideje, oka,
mibenléte. A nyilvántartás vezetése és annak folyamatos aktualizálása az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály feladata.
(4) A felhasználói dokumentációk folyamatos rendelkezésre állása megköveteli, hogy a
dokumentumokat gyorsan és egyszerűen el lehessen érni. A felhasználói
dokumentációkat javasolt elektronikusan, nyilvános mappában, vagy intraneten tárolni.
IX. Fejezet
Elektronikus kommunikációhoz kapcsolódó védelmi intézkedések
17. § Általános rendelkezések
(1) A Támogatáskezelő hálózatát, vagy munkaállomásait csak ellenőrzött kapcsolaton
keresztül lehet más hálózatokhoz csatlakoztatni. Engedély nélkül tilos bármilyen egyéni
kommunikációs eszköz (pl. mobiltelefon, fax-modem, másik hálózathoz csatlakozni képes
számítógép) csatlakoztatása a Támogatáskezelői munkaállomásokhoz. A fentiek
biztosítása érdekében a Támogatáskezelő munkaállomásainak technikai beállításait úgy
kell elvégezni, hogy a mindennapi munkához nem szükséges kommunikációs lehetőségek
(pl. IRDA, BlueTooth, beépített modem) tiltva legyenek. E mellett a telefonhálózaton
legyenek tiltva azok a körzetszámok (pl. 51-es), amelyeken internetszolgáltatók érhetők
el.
JEI/119/2018. Hatályos: 2018. 05. 25. 23
(2) E-mail használattal kapcsolatos előírások
Az e-mail használatával kapcsolatos, jelen pont alatti előírásokat akkor kell alkalmazni, ha
a Támogatáskezelő működésére irányadó egyéb szabályzat, így különösen az Iratkezelési
Szabályzat másként nem rendelkezik. Az elektronikus levelezés célja a gyors ügyintézés
és a papír alapú dokumentumok mennyiségének csökkentése. A Támogatáskezelő minden
munkatársával szemben elvárás az elektronikus levelezéssel kapcsolatban a körültekintő
és etikus viselkedés. A Támogatáskezelő munkatársaira az alábbi, az elektronikus levelező
rendszerre vonatkozó jogok és kötelezettségek vonatkoznak:
a) a belső elektronikus levelező rendszerben továbbított üzenet, levél, vagy
csatolt fájl egyenértékű az üzenet, levél, vagy csatolt fájl személyes, papír
alapon történő átadásával;
b) az elektronikus levelező rendszerből kifelé továbbított üzenet nem
vonatkozhat kötelezettség vállalásra;
c) az elektronikus levelező rendszerből kifelé továbbított bizalmasan kezelendő
üzenet csak titkosítva küldhető;
d) az elektronikus levelező rendszerből kifelé továbbított levélben és üzenetben
minden esetben biztosítani kell a Támogatáskezelő jó hírét;
e) elektronikus levelezéskor az elektronikus levelezési címet csak az arra
jogosult személy használhatja, más nevében elektronikus levél küldése nem
engedélyezett;
f) az elektronikus levelező rendszer használata során minimálisra kell
csökkenteni annak személyes célokra történő használatát, az elektronikus
levelező rendszerrel személyes üzleti tevékenység nem végezhető;
g) a téves címzés miatt megkapott levelet bizalmasan kell kezelni, és azt
haladéktalanul az eredeti címzettjének vagy a feladójának kell továbbítani;
h) a Támogatáskezelő elektronikus levelező rendszerében továbbított üzenetben
vagy levélben nem alkalmazható kézi aláírás szkennelt változata.
(3) Vezeték nélküli hozzáférés
A Támogatáskezelő a mobil eszközökkel rendelkező felhasználói számára, egyedi
engedélyezési eljárás után, vezeték nélküli (WiFi) hozzáférési lehetőséget biztosíthat
elektronikus információs rendszereihez.
A vezeték nélküli hálózat létesítése és üzemeltetése során az alábbi feltételeknek kell
teljesülniük:
a) A vezeték nélküli hozzáférést titkosítással és a felhasználók, vagy eszközök
hitelesítésével kell védeni,
JEI/119/2018. Hatályos: 2018. 05. 25. 24
b) A vezeték nélküli hálózat konfigurálását a rendszergazdák csak közvetlen
jogosultság birtokában, a védett hálózaton kialakított vezetékes kapcsolaton
keresztül végezhetik.
c) A vezeték nélküli hálózat üzemeltetése során megfelelő karakterisztikájú és
teljesítményszintű antennák, vagy egyéb technikákat alkalmazásával
gondoskodni kell arról, hogy a szervezet fizikai határain kívülről a jelek
észlelésének a valószínűsége minimális legyen.
18. § Kommunikáció biztonságának szabályozása
(1) Behatolás védelmi szabályok, és tűzfalak:
a) A Támogatáskezelő a Központi rendszereit tűzfallal vagy azzal egyenértékű tűzfal
jellegű berendezéssel (továbbiakban: Tűzfal) köteles védenie annak
megakadályozására, hogy kívülről illetéktelen személy a rendszerbe
behatolhasson. Az ilyen védelmi feladatot ellátó berendezést a Központi
rendszerek részének kell tekinteni.
b) A nyilvánosan hozzáférhető rendszerelemeket fizikailag vagy logikailag
alhálózatokban kell elhelyezni, elkülönítve a belső szervezeti hálózattól.
c) A Támogatáskezelő hálózatáról szigorúan tilos bármilyen, a tűzfalat megkerülő
kapcsolatot létesíteni nyilvános hálózatokkal (pl.: Internetet modemen keresztül
használni).
d) Nem nyilvános hálózatokat (pl. banki átutalásokhoz bankterminál használata, BM
hálózata) csak ellenőrzött kapcsolaton keresztül szabad használni.
e) Az alkalmazott tűzfal auditáltatását, annak üzembe helyezését követően, külső
szakértővel el kell végeztetni.
f) Az alkalmazott tűzfalon változtatást csak a hálózati eszközök Rendszergazdája
végezhet, ha azt az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály
vezető előzetesen engedélyezte.
g) Az alkalmazott tűzfal berendezésen végrehajtott változásokat a Rendszergazdának
dokumentálnia kell (ki és mikor végezte a beavatkozást, mit módosított), és erről
a Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetőt
haladéktalanul értesíteni köteles.
h) Az alkalmazott tűzfal működőképes konfigurációjáról olyan biztonsági másolatot
kell készíteni, amelynek segítségével a korábbi működő állapot - szükség esetén -
gyorsan előállítható. A biztonsági másolatot a normál mentésekkel együtt
tűzbiztos széfben kell eltárolni.
JEI/119/2018. Hatályos: 2018. 05. 25. 25
i) A központi rendszereken végzett bármilyen olyan beállítás, amihez
rendszergazdai jogosultság szükséges, csak a Támogatáskezelő területén
végezhető.
j) Ha a központi rendszerekhez - rendkívüli esetben - távoli helyről válik szükségessé
rendszergazdai beavatkozás, akkor ez - a megfelelő óvintézkedések (egyszeri
jelszó, hívás-visszahívás eljárás stb.) megtétele mellett végezhető el.
k) Biztosítani kell, hogy a Támogatáskezelő Informatikai rendszerének bármely
elemén kizárólag csak az arra felhatalmazott rendszergazda végezhessen
rendszergazdai jogosultsághoz kötött módosításokat. Felhasználók még
átmenetileg sem kaphatnak ilyen jogosultságot, kivéve, ha erre az Informatikai
vezető vagy az érintett Területi vezető eseti felmentést ad. A felmentésnek
tartalmaznia kell a megadásának indokát, érvényességének időtartamát és a
megszüntetéséért felelős személy nevét. A felmentésről - mielőtt a jogosultság
érvénybe lépne - az üzemeltető cégnek az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály vezetőt értesíteni kell, valamint miután a jogosultság
visszavonása végre lett hajtva.
l) Megtörtént, vagy folyamatban levő biztonsági incidens észlelésekor a felhasználó
haladéktalanul köteles értesíteni az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztályt. A felhasználó nem kísérelheti meg a támadó felderítését,
nem tehet ellenlépéseket, kivéve, ha az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály erre kifejezett utasítást ad.
(2) Titkosítás, elektronikus aláírás:
A Támogatáskezelő tervezi PKI eszközök használatba vételét, ugyanakkor jelenleg nem
használ semmilyen titkosítási, vagy elektronikus aláírási megoldást. Amennyiben ilyen
eszközök használatát bevezeti a Támogatáskezelő, úgy itt kell leírni az erre vonatkozó
rendelkezéseket.
(3) Együttműködésen alapuló számítástechnikai eszközök:
Az elektronikus információs rendszernek meg kell gátolnia az együttműködésen alapuló
számítástechnikai eszközök (pl. kamerák, mikrofonok) távoli aktiválását, kivéve, ha az
engedélyezve van. A távoli aktivitásról az eszköz nyújtson közvetlen kijelzést azoknak a
felhasználóknak, akik fizikailag jelen vannak az eszköznél.
(4) A folyamatok elkülönítése
Az elektronikus információs rendszerben elkülönített végrehajtási tartományt kell
fenntartani minden végrehajtó folyamat számára.
JEI/119/2018. Hatályos: 2018. 05. 25. 26
X. Fejezet
Személyekhez kapcsolódó védelmi intézkedések, azonosítás és hitelesítés
19. § Általános előírások
A Támogatáskezelő biztosítja, hogy minden munkatársa megfelelő hozzáféréssel
rendelkezzen a munkaköréhez szükséges informatikai alapszolgáltatásokhoz. A
Támogatáskezelő minden munkatársa számára biztosítja a munkakör ellátásához
szükséges Alkalmazói szoftverek, illetve az Alkalmazói szoftverek meghatározott
részeinek rendeltetésszerű használatát. A jogosultságok felhasználókhoz kötődnek. A
felhasználó számára biztosított jogosultság alapján az adatokon végzett minden
tevékenységgel és az adatok felhasználásával kapcsolatos minden felelősség a
felhasználót terheli. Azon Alkalmazói szoftverek esetében, ahol a szolgáltató egy
intézmény részére csak egy (általában az intézmény vezetőjéhez kapcsolt)
hozzáférési jogosultságot biztosít, ott a jogosultság továbbadásával érintett
felhasználót terhel minden felelősség az adatokon végzett minden tevékenységgel és
az adatok felhasználásával kapcsolatban. A Támogatáskezelő gondoskodik arról,
hogy az informatikai rendszerében tárolt adatokhoz illetéktelen ne férjen hozzá,
adatolvasást, adatmegsemmisítést, adathamisítást ne tudjon végrehajtani.
20. § A felhasználó azonosítása és hitelesítése, hozzáférés szabályozás
Minden felhasználó saját, kizárólagos használatú egyedi azonosítóval (User ID)
rendelkezik, mely használatával, magát jelszavával hitelesítve, hozzáfér a rendszer
erőforrásokhoz.
Az egyedi azonosító alkalmas arra, hogy a végzett tevékenységek nyomon
követhetőek legyenek, s hozzájuk egyéni felelősség legyen rendelhető.
A felhasználói azonosító nem utalhat a szerepkör esetleges privilégiumára (például
rendszergazda vagy üzemeltető stb.)
Csoportos felhasználói azonosító nem engedélyezett – kivéve azokban az esetekben,
ahol egyéb nyilvántartás alapján megadható, hogy ki használja az adott fiókot.
Szerződött partnerek, külső támogatók (harmadik fél) valamennyi, a
Támogatáskezelő rendszereihez hozzáférési jogosultsággal rendelkező
munkatársának saját azonosítót kell igényelnie, amelynek kezelése a belső
alkalmazotti azonosítókkal azonos módon történik.
Különleges jogosultságokkal rendelkező (privilegizált) felhasználó regisztrálását
minden esetben az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály
JEI/119/2018. Hatályos: 2018. 05. 25. 27
vezető hagyja jóvá. Privilegizált fiókokhoz történő távoli hozzáféréshez többfaktoros
authentikáció szükséges.
Az általános felhasználó tevékenységeket ne végezzék előjogokkal bíró
bejelentkezésekkel.
Amennyiben fokozott biztonságú hitelesítés a követelmény, akkor a jelszó mellett
további hitelesítési eszközök használatát, mint kriptográfiai eszközök,
memóriakártya, tokenek vagy biometrikus azonosítás kell bevezetni
Az azonosítók ismételt felhasználása – mivel személyhez kötött, egyedi
azonosítókról van szó – nem engedélyezett, kivéve abban az esetben, amennyiben a
korábban kilépett munkatárssal létesít újra munkaviszonyt a Támogatáskezelő.
Három hónapos inaktivitás után a nem használt azonosítókat le kell tiltani.
21. § A hitelesítésre szolgáló eszközök kezelése:
a) gondoskodni kell róla, hogy a hitelesítésre szolgáló eszközök átadásakor az
eszközt átvevő egyén, csoport, szerepkör vagy eszköz jogosultsága ellenőrzésre
kerüljön;
b) meg kell határozni a hitelesítésre szolgáló eszköz kezdeti tartalmát;
c) biztosítani kell a hitelesítésre szolgáló eszköz tervezett felhasználásának megfelelő
jogosultságokat;
d) dokumentálni kell a hitelesítésre szolgáló eszközök kiosztását, visszavonását,
cseréjét, az elvesztett, vagy a kompromittálódott, vagy a sérült eszközöket;
e) a hitelesítésre szolgáló eszközök alapértelmezés szerinti értékét meg kell
változtatni az elektronikus információs rendszer telepítése során;
f) meg kell határozni a hitelesítésre szolgáló eszközök minimális és maximális
használati idejét, valamint ismételt felhasználhatóságának feltételeit;
g) a hitelesítésre szolgáló eszköz típusra meghatározott időnként meg kell változtatni
vagy frissíteni a hitelesítésre szolgáló eszközöket;
h) meg kell óvni a hitelesítésre szolgáló eszközök tartalmát a jogosulatlan felfedéstől
és módosítástól;
i) a hitelesítésre szolgáló eszközök felhasználóinak kötelességük, hogy védjék
eszközeik bizalmasságát, sértetlenségét;
j) az érintett fiókok megváltoztatásakor le kell cserélni a hitelesítésre szolgáló
eszközt.
JEI/119/2018. Hatályos: 2018. 05. 25. 28
k) az elektronikus információs rendszer a hitelesítési folyamat során biztosítson
fedett visszacsatolást, hogy megvédje a hitelesítési információt jogosulatlan
személyek esetleges felfedésétől, felhasználásától.
22. § Hitelesítés szolgáltatók tanúsítványának elfogadása
Az elektronikus információs rendszer csak a Nemzeti Média- és Hírközlési Hatóság
elektronikus aláírással kapcsolatos nyilvántartásában szereplő hitelesítés
szolgáltatók által kibocsátott tanúsítványokat fogadhatja el az érintett szervezeten
kívüli felhasználók hitelesítéséhez.
XI. Fejezet
Személyi biztonság
23. § (1) A felhasználók tevékenységének ellenőrzése és szabályozása érdekében a
Támogatáskezelő:
a) szabályzataiban rögzíti az elektronikus információs rendszerhez hozzáférési
jogosultságot igénylő munkatársakkal, felhasználókkal szembeni elvárásokat,
a rájuk vonatkozó szabályokat, felelősségüket, az adott rendszerhez
kapcsolódó kötelező, vagy tiltott tevékenységet;
b) az elektronikus információs rendszerhez való hozzáférés engedélyezése előtt
írásbeli nyilatkozattételre kötelezi a hozzáférési jogosultságot igénylő
személyt, felhasználót, aki nyilatkozatával igazolja, hogy az elektronikus
információs rendszer használatához kapcsolódó, rá vonatkozó biztonsági
szabályokat és kötelezettségeket megismerte, saját felelősségére betartja;
c) a követelmények változásáról az érintett munkatársakat értesíti.
(2) A felhasználók kötelezettségeként előírt védelmi intézkedések
A Támogatáskezelő informatikai eszközein és hálózati meghajtóin kizárólag a
felhasználó munkakörével és munkájával kapcsolatos adatok tárolhatók. A felhasználó
saját, munkájával összefüggésbe nem hozható adatait az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály, vagy a Támogatáskezelő által ezzel
megbízott külső személy előzetes felszólítás nélkül törölheti. A felhasználó felel az általa
használt informatikai eszközökön tárolt adatok védelméért, így különösen köteles:
a) a bizalmasan kezelendő és belső használatú információkat hordozható
eszközökön titkosítva tárolni;
b) tartózkodni a bizalmasan kezelendő és belső használatú információk
kódolatlan külső hálózaton történő küldésétől;
c) tartózkodni a jelszavak titkosítás nélküli tárolásától;
JEI/119/2018. Hatályos: 2018. 05. 25. 29
d) a mobil eszközök valamennyi biztonsági szolgáltatását használni;
e) az asztali számítógépet és a hordozható számítógépet jelszóval védeni;
f) a felügyelet nélkül hagyott asztali számítógépet és a hordozható számítógépet
zárolni.
A felhasználó adatkezelését, ideértve különösen az adatok másolását, áthelyezését,
továbbítását, fel- és letöltését az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály a Támogatáskezelő adatbiztonsága érdekében naplófájlban rögzítheti és
tárolhatja.
(3) A Támogatáskezelő informatikai rendszereihez az alábbi hozzáférési csoportokat
határozza meg:
a) Az alapszolgáltatás hozzáférés a Támogatáskezelő által meghatározott
irodarendszerekhez való hozzáférést biztosítja, ami minden felhasználói
munkaállomáson rendelkezésre áll.
b) Az alkalmazói szoftver hozzáférés az alkalmazói szoftver használatát biztosítja,
ami a felhasználói terület erre jogosult munkatársának munkaállomásán
rendelkezésre áll.
c) Speciális IT szolgáltatás hozzáférés a speciális informatikai szolgáltatások (pl.
Internet, Laptop használat) igénybe vételét biztosítja.
d) A rendszergazda hozzáférés a Rendszerszoftverekhez (operációs rendszerek) és a
rétegszoftverekhez (adatbázis-kezelők) való hozzáférést biztosítja, ilyen
jogosultsággal a kinevezett rendszergazdák rendelkeznek.
e) A rendszerüzemeltető hozzáférés a Felhasználók alkalmazói szoftverbeli
hozzáférési jogosultság beállítását teszi lehetővé, ilyen jogosultsággal a kinevezett
rendszerüzemeltetők rendelkeznek.
(4) Név és jelszó konvenciók
A Felhasználó név megadását (Felhasználónév) minden alaprendszernél a munkatárs
vezetéknevéből és a keresztnevének első karakteréből kell létrehozni, több azonos
keresztnevű munkatárs esetében a szükséges megkülönböztetés érdekében a keresztnév
további karaktereit kell használni. Ettől az előírástól csak indokolt esetben szabad eltérni.
A jelszavakkal kapcsolatos rendelkezéseket (jelszavakkal kapcsolatos biztonsági
feltételek, elfelejtett jelszó esetén követendő szabályok) az Infokommunikációs
Eszközökről szóló Szabályzat tartalmazza.
JEI/119/2018. Hatályos: 2018. 05. 25. 30
(5) Jogosultságok kiadása
A Támogatáskezelő munkatársai számára az egyes rendszerekhez történő hozzáférési
jogosultságokat a belső informatikai rendszeren/hálózaton keresztül kell igényelni, a
jogosultságok kiadásával kapcsolatos részletes rendelkezéseket az Infokommunikációs
Eszközökről szóló Szabályzat tartalmazza.
(6) Jogosultságok módosítása, letiltása
Egy munkatárs jogosultságainak bővítése, szűkítése az illetékes területi vezető
kezdeményezésére, a főigazgató engedélyével történhet. Meg kell különböztetni, hogy a
bővítés vagy szűkítés csak egy adott munkatársat, vagy minden, adott munkakörben
dolgozó munkatársat érint-e, és szükség esetén a munkakörökhöz tartozó jogosultsági
listát is módosítani kell. A kilépett munkatárs személyes dokumentumainak (pl. levelezés,
személyes könyvtár tartalma) CD-re másolásáról a kilépés napjáig a felhasználó kérésére
az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály gondoskodik, és biztosítja,
hogy csak a személyes dokumentumok kerülhessenek másolásra. A Felhasználók és
Rendszergazdák jogosultságainak megváltoztatását előíró, az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály vezetője jóváhagyását tartalmazó leveleket,
dokumentumokat az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály lefűzi.
(7) Információbiztonsági tudatosság és képzés
(8) Képzés munkába álláskor
Annak érdekében, hogy az érintett személyek felkészülhessenek a lehetséges belső
fenyegetések felismerésére, az alapvető biztonsági követelményekről tudatossági képzést
kell nyújtani az elektronikus információs rendszer felhasználói számára. Az informatikai
biztonság tudatosítására irányuló tevékenység és képzés az érintett szervezet összes
közszolgálati, vagy munkavégzésre irányuló egyéb jogviszonyban álló alkalmazottainak,
munkavállalóinak, megbízottjainak tekintetében kötelező.
Először munkába álláskor, illetve a szerepkör átvételét megelőzően kell megtartani az
információbiztonsági oktatást.
Az információbiztonsági oktatásnak a munkakör igényei szerint:
a) alkalmazkodnia kell az alkalmazott által betöltött feladatkörhöz,
b) tartalmaznia kell az ismert fenyegetésekre történő felkészülést,
c) ismertetnie kell az információbiztonság belső szervezetét
d) ismertetnie kell az információbiztonsági fenyegetések felismerésének
módját és a szükséges intézkedéseket, eszkalációt.
JEI/119/2018. Hatályos: 2018. 05. 25. 31
(9) Rendszeres információbiztonsági frissítő képzés
A munkatársak információbiztonsági képzésen történő részvételt követően tesztet
töltenek ki, mellyel igazolják, hogy elsajátították tudnivalókat.
Éves rendszerességgel meg kell ismételni az információbiztonsági tudatosságot frissítő
képzést, amelyen minden, számítógépet használó munkatársnak részt kell vennie. Az
éves frissítő képzések során:
a) ellenőrizni és frissíteni kell az alapvető információbiztonsági tudatossággal
kapcsolatos ismereteket
b) tájékoztatni kell a munkatársakat az újabb fenyegetésekről és az azok elleni
védekezésről,
c) ismertetni kell az információ-feldolgozó eszközök helyes használatára
vonatkozó tudnivalókat és változásokat,
d) tájékoztatást kell adni a szoftverjogi követelmények alapjairól,
e) frissíteni kell az információbiztonsági incidensek kezelésével kapcsolatos
tudnivalókat.
f) ismételten tesztet kell kitölteniük a munkatársaknak.
A képzések megtörténtét és az ellenőrző teszt eredményeit dokumentálni kell.
A képzéshez tananyagot és vizsga anyagot kell összeállítani. A képzés alkalmazkodjon a
munkatársa által betöltött szerepkörhöz, használt rendszerekhez. A képzés formája nem
kötött, lehet csoportos vagy egyéni képzés és számonkérés, de történhet elektronikus (e-
learning) formában is.
24. § (1) Eljárás a jogviszony megszüntetése esetén
Egy munkatárs kilépése esetén gondoskodni kell arról, hogy az elektronikus információs
rendszerrel, vagy annak biztonságával kapcsolatos esetleges feladatainak ellátása
továbbra is biztosított legyen, ezt a munkaköri feladatok és dokumentumok átadás-
átvételi folyamata biztosítja. A kilépő munkatárs munkahelyi vezetője jelöli ki az átvevő
személyét.
Meg kell előzni azt, hogy a jogviszonyt megszüntető munkatárs esetlegesen az
elektronikus információs rendszert, illetve abban tárolt adatokat bármilyen formában
jogosulatlanul törölje, módosítsa vagy másolatot készítsen azokról, vagy más módon
megsérthesse az elektronikus információbiztonsági szabályokat. Tájékoztatni kell kilépőt
az esetleg reá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is
fennálló kötelezettségekről.
A kilépés során, a jogviszony megszűnését megelőzően gondoskodni kell a kilépő:
JEI/119/2018. Hatályos: 2018. 05. 25. 32
a) elektronikus információs rendszerekhez történő hozzáférési jogosultságainak
megszüntetéséről;
b) egyéni hitelesítő eszközeinek visszavételéről vagy megszüntetéséről;
c) a Támogatáskezelő tulajdonában álló informatikai eszközök visszavételéről
A Támogatáskezelő megtartja magának a hozzáférés lehetőségét a kilépő személy által
korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti
információkhoz, beleértve a kilépő elektronikus levelezését és tárolt dokumentumait.
Szükség esetén tájékoztatja a jogviszony megszűnéséről a kilépő munkatárssal
munkakapcsolatban lévő belső és külső munkatársakat.
(2) Fegyelmi intézkedések
A Támogatáskezelő fegyelmi eljárást kezdeményez az elektronikus információbiztonsági
szabályokat és az ehhez kapcsolódó eljárásrendeket megsértő személyekkel szemben.
Amennyiben az elektronikus információbiztonsági szabályokat nem a Támogatáskezelő
személyi állományába tartozó személy sérti meg, akkor érvényesíteni kell a vonatkozó
szerződésben meghatározott következményeket és meg kell tenni a szükséges jogi
lépéseket.
XII. Fejezet
Mentés, archiválás
25. § (1) A hálózati meghajtókon tárolt adatok biztonsága érdekében az adatokról az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztály napi rendszerességgel
mentést végez, és/vagy redundáns merevlemezekkel (Raid) működő szervereket
üzemeltet. Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály meghatározott
gyakorisággal mentést végez az elektronikus információs rendszerben tárolt
felhasználószintű információkról, összhangban a helyreállítási időre és a helyreállítási
pontokra vonatkozó célokkal:
a) meg kell határozni minden elektronikus információs rendszerre vonatkozóan a
mentések szükséges gyakoriságát, a mentendő adatok körét;
b) a mentésekre vonatkozó igényeket összhangban a helyreállítási időre és a
helyreállítási pontokra vonatkozó célokkal (RPO, RTO) a szakmai területekkel
egyeztetve kell kialakítani.
(2) Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály meghatározott
gyakorisággal elmenti az elektronikus információs rendszerek dokumentációját, köztük a
biztonságra vonatkozókat is, összhangban a helyreállítási időre és a helyreállítási
pontokra vonatkozó célokkal:
JEI/119/2018. Hatályos: 2018. 05. 25. 33
a) megvédi a mentett információk bizalmasságát, sértetlenségét és rendelkezésre
állását mind az elsődleges, mind a másodlagos tárolási helyszínen;
b) a legfontosabb adatokról az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály a szakmai igények szerinti gyakorisággal és részletezettséggel archiválást
végez.
(3) A mentési és archiválási adathordozókat azonosító sorszámmal látja el és azokról
nyilvántartást vezet.
Az archiválásokat és mentéseket tartalmazó adathordozókon jól láthatóan és
azonosíthatóan fel kell tüntetni az adathordozó azonosítóját. A mentések és archiválások
típusát és idejét az eszközöktől függő módon, manuálisan vagy elektronikusan nyilván kell
tartani.
Az archiválásokat és mentéseket tartalmazó adathordozókat a hálózati meghajtóktól és
szerverektől elkülönített épületben, zárt helyiségben vagy szekrényben kell őrizni.
Rendszeresen ellenőrizni kell a mentések és archiválások helyreállíthatóságát, tesztelni
kell a mentett információkat, az adathordozók megbízhatóságának és az információ
sértetlenségének garantálása érdekében.
(4) Külső elérésekhez kapcsolódó védelmi intézkedések
A Támogatáskezelő hálózatát elérhetővé kell tenni külső telephelyekről, hogy az itt
alkalmazott szoftvereket a fejlesztők, adminisztrátorok elérhessék és a különböző
akadályokat, problémákat, hibákat elhárítsák, megoldhassák. VPN felhasználó
létrehozásának rendje a következő:
a) A Támogatáskezelői hálózathoz való kapcsolódási szándékot jelezni kell az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetőjének
b) Az adminisztrátor létrehozza a VPN felhasználót/ jelszót és megosztja az
igénylővel
c) a VPN hozzáférés alaphelyzetben le van tiltva, az engedélyezést az
[email protected] címen lehet igényelni az elvégzendő munka
leírásával
d) a VPN elérés engedélyezése az adott munkanapra szól, a Támogatáskezelői
munkaidőhöz igazítva
e) Többtényezős hitelesítést kell alkalmazni a különleges jogosultsághoz kötött –
úgynevezett privilegizált – felhasználói fiókokhoz való, hálózaton keresztüli
hozzáféréshez
JEI/119/2018. Hatályos: 2018. 05. 25. 34
f) a VPN elérés csak Támogatáskezelői munkaidőben érhető el, az ezen kívüli
használatot külön igényelni kell az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály vezetőjétől.
(5) Rendszer- és információsértetlenségre vonatkozó védelmi intézkedések
Rendszer- és információsértetlenségre vonatkozó védelmi intézkedéseket a
Támogatáskezelő saját üzemeltetésű elektronikus információs rendszerein be kell
vezetni. Amennyiben az érintett rendszert külső szervezet üzemelteti, jelen védelmi
intézkedésekre vonatkozó követelményeket az. Üzemeltetési szolgáltatási szerződés
esetén szerződéses kötelemként kell érvényesíteni és azokat a szolgáltatónak kell
biztosítania.
A rendszer- és információsértetlenségre vonatkozó eljárások részletszabályozásait az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetője, az osztályra
vonatkozó belső munkadokumentumként fogalmazza meg. Az általános alapelvek az
informatikai biztonsági szabályzatnak részét képezik.
Az elektronikus információs rendszerek hibáit fel kell tárni és tervezetten meg kell
javítani. Ennek kapcsán:
a) a Támogatáskezelő valamennyi munkatársának kötelezettsége, hogy az
elektronikus információs rendszerek észlelt hibáit az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály felé bejelentsék.
b) Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály a bejelentéseket
értékeli, a hibák javítását azok súlyossága alapján priorizálja, majd megtervezi,
megrendeli vagy saját hatáskörben elvégzi a hibajavítást.
c) Telepítés előtt a hibajavítással kapcsolatos szoftverfrissítéseket tesztelni kell a
feladatellátás hatékonysága, a szóba jöhető következmények szempontjából.
26. § (1) Rendszer frissítések kezelése:
a) az operációs rendszerek, hálózatkezelő eszközök szoftverei, adatbázis-kezelők,
egyéb dobozos és egyedi fejlesztésű szoftverek biztonsági frissítéseit a gyártó által
történő kiadáskor kockázati értékelésnek kell alávetni. Meg kell állapítani a valós
fenyegetettség mértékét és annak függvényében kell dönteni a frissítések
bevezetéséről.
b) A kiszolgálók és a munkaállomások operációs rendszereinek frissítései
ütemezhetők, kockázatkezelést és tesztelést követően tervezett határidőn belül
telepítésre kell, hogy kerüljenek.
JEI/119/2018. Hatályos: 2018. 05. 25. 35
c) Egyedi és dobozos feldolgozó szoftverek (számviteli alkalmazások, bér program
stb.) frissítéseit a szoftver fejlesztőjével/támogatójával egyeztetett módon kell
bevezetni.
d) Nagyobb, több rendszert érintő rendszerfrissítéseket – például adatbázis kezelők
frissítései – körültekintően meg kell tervezni, figyelembe véve az összes
kapcsolódó rendszerre gyakorolt esetleges hatásait. Amennyiben
inkompatibilitási okokból nem valósítható meg a frissítés rövid határidőn belüli
telepítése, akkor helyettesítő intézkedéseket (kompenzációs kontrollt) kell
bevezetni a végleges megoldásig (például alkalmazás tűzfal telepítése).
A hibajavítást a konfigurációkezelési folyamatba be kell építeni és annak szabályai szerint
kell kezelni.
27. § (1) Kártékony kódok elleni védelem
a) Ki kell alakítani a kártékony kódok elleni védelmet olyan módon, hogy az
elektronikus információs rendszert annak belépési és kilépési pontjain védje a
kártékony kódok ellen, derítse fel és semmisítse meg azokat.
b) A kártékony kódok elleni védelmi mechanizmusokat frissíteni kell minden
olyan esetben, amikor kártékony kódirtó rendszeréhez frissítések jelennek
meg. A frissítéseket a konfigurációkezelési szabályaival és eljárásaival
összhangban kell elvégezni.
c) A kártékony kódok elleni védelmi mechanizmusokat úgy, kell konfigurálni, hogy
a védelem eszköze:
ca.) rendszeres ellenőrzéseket hajtson végre az elektronikus információs
rendszeren, és hajtsa végre a külső forrásokból származó fájlok valós
idejű ellenőrzését a végpontokon, a hálózati belépési, vagy kilépési
pontokon, a biztonsági szabályzatnak megfelelően, amikor a fájlokat
letöltik, megnyitják, vagy elindítják,
cb.) a kártékony kód észlelése esetén blokkolja vagy helyezze
karanténba azt; és riassza a kijelölt rendszeradminisztrátort és a
meghatározott további személy(eke)t.
d) Ellenőrizni kell a téves riasztásokat a kártékony kód észlelése és
megsemmisítése során, valamint figyelembe veszi ezek lehetséges kihatását az
elektronikus információs rendszer rendelkezésre állására.
28. § (1) Az elektronikus információs rendszer felügyelete
JEI/119/2018. Hatályos: 2018. 05. 25. 36
a) Ki kell alakítani az elektronikus információs rendszer felügyeleti rendszerét, amely
alkalmas arra, hogy észlelje a kibertámadásokat, vagy a kibertámadások jeleit a
meghatározott figyelési céloknak megfelelően, és feltárja a jogosulatlan lokális,
hálózati és távoli kapcsolatokat;
b) Azonosítani kell az elektronikus információs rendszer jogosulatlan használatát;
c) Felügyeleti eszközöket kell alkalmazni a meghatározott alapvető információk
gyűjtésére; és a rendszer ad hoc területeire a potenciálisan fontos, speciális típusú
tranzakcióknak a nyomon követésére;
d) A többi naplóinformációhoz hasonlóan, védeni kell a behatolás-felügyeleti
eszközökből nyert információkat a jogosulatlan hozzáféréssel, módosítással és
törléssel szemben;
e) Meg kell erősíteni az elektronikus információs rendszer felügyeletét minden olyan
esetben, amikor fokozott kockázatra utaló jelek észlelhetők;
f) Biztosítani kell, hogy az elektronikus információs rendszer felügyeleti
információkat a kijelölt felelős személyek meghatározott gyakorisággal
megkapják.
29. § (1) Biztonsági riasztások és tájékoztatások
a) A kiberbiztonság fenntartása, a biztonsági események és sérülékenységek
hatékony kezelése érdekében együtt kell működni a kormányzat elektronikus
biztonságért felelős szerveivel:
b) Folyamatosan figyelni kell a kormányzati eseménykezelő központ (GovCert) által
a kritikus hálózatbiztonsági eseményekről és sérülékenységekről közzétett
figyelmeztetéseket;
c) Folyamatosan figyelemmel kell kísérni a Nemzeti Elektronikus
Információbiztonsági Hatóságtól (NEIH) érkező értesítéseket;
d) Szükség esetén belső biztonsági riasztást és figyelmeztetést kell kiadni, melyet el
kell juttatni a szervezeten belül az illetékes személyekhez;
e) Ki kell alakítani és működtetni a jogszabályban meghatározott esemény
bejelentési kötelezettség rendszerét, folyamatosan fenn kel tartani a kapcsolatot
az érintett, jogszabályban meghatározott szervekkel (GovCert, NEIH);
f) Meg kell hozni a megfelelő ellenintézkedéseket és válaszlépéseket.
30. § (1) A kimeneti információ kezelése és megőrzése
A Támogatáskezelő gondoskodik róla, hogy az elektronikus információs rendszerinek
kimeneti információit a jogszabályokkal, szabályzatokkal és az üzemeltetési
követelményekkel összhangban kerüljenek kezelésre és megőrzésre. A kimeneti
információkra vonatkozó megőrzési kötelezettségeket a szakmai és jogi területek
JEI/119/2018. Hatályos: 2018. 05. 25. 37
állapítják meg, az információk megőrzéséről és kezelésről pedig az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály gondoskodik.
Biztonsági helyzet és eseményértékelés eljárási rendje
Jelentés az informatikai biztonsági eseményekről és gyengeségekről
Minden alkalmazottnak és a Hivatal számára szolgáltatást nyújtó szerződött felek
munkatársainak ismerniük kell az információbiztonsági események kezelési eljárását,
ezzel kapcsolatos saját kötelezettségeit.
31. § Adatvédelmi incidens
Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni
vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a
személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos
megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való
visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév
sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas
jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős
gazdasági vagy szociális hátrányt. Amint az adatkezelő tudomására jut az adatvédelmi
incidens, azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután,
hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes
felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani
tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes
személyek jogaira és szabadságaira nézve. Ha a bejelentés 72 órán belül nem tehető meg,
abban meg kell jelölni a késedelem okát, az előírt információkat pedig – további
indokolatlan késedelem nélkül – részletekben is közölni lehet.
32. § Jelentés biztonsági eseményekről
Az információbiztonsági eseményeket a lehető leggyorsabban jelenteni kell az
informatikusnak vagy a munkahelyi vezetőnek.
Biztonsági sértésre utalhat, melyet a felhasználóknak azonnal jelenteniük kell, ha
a) szolgáltatás, a berendezés vagy az eszközök elvesztése történik,
b) rendszer rendellenes működését észlelik,
c) a szabályzatoknak vagy irányelveknek való nem-megfelelés válik nyilvánvalóvá,
d) észlelhető a fizikai biztonsági rendelkezések megsértése,
e) nem ellenőrzött rendszerbeli változásokat tapasztalnak,
f) a szoftver vagy hardver hibás működése lép fel,
g) hozzáférési sértések történnek.
JEI/119/2018. Hatályos: 2018. 05. 25. 38
A felhasználók tudatossági oktatásában ki kell térni arra, hogy hogyan kell válaszolniuk
egy-egy felmerült incidensre, s milyen módon kell elősegíteniük a bizonyítékok gyűjtését.
33. § (1) Jelentés a biztonsági sérülékenységekről
Minden alkalmazott és a külső munkatárs kötelessége, hogy az informatikai
rendszerekben általa észlelt rendellenességet, gyaníthatóan gyenge pontot vagy
sérülékenységet jelentse az informatikusnak. Ezek a gyenge pontok támadásra,
visszaélésre adnak lehetőséget, a védelmi intézkedések meghozatala szükséges.
A munkatársak csak jelentsék az észlelt problémát. de ne kíséreljék meg ellenőrizni vagy
javítani a feltárt problémát, mert esetlegesen azzal is kárt okozhatnak. 10.13 A
biztonsági eseményekre és incidensekre adott válasz és fejlesztés
Az észlelt információbiztonsági eseményekre és gyengeségekre mielőbb
válaszintézkedéseket kell hozni. Az események követését és a megoldási javaslatok,
fejlesztések kidolgozását az informatikus végzi, a jegyzőnek írásban beszámol az ezzel
kapcsolatos tevékenységéről. Amennyiben az esemény komplexebb és speciális
szakértelmet igényel, a megoldás kidolgozásához külső szakértőt kell igénybe venni.
(2) Tipikusan információbiztonsági incidensek közé kell sorolni:
a) információrendszer-hibáit és a szolgáltatás megszakadását,
b) rosszindulatú kód, vírustámadás fellépését,
c) DOS támadást (szolgáltatás megtagadása),
d) a nem teljes vagy nem pontos működési adatokból eredő hibákat,
e) a bizalmasság és sértetlenség megsértését,
f) az információrendszerekkel való visszaélést.
(3) Információbiztonsági incidensek esetén az elektronikus információs rendszerek
biztonságáért felelős személy irányítja az intézkedéseket:
a) incidens megoldó team összehívása – informatikusok és az érintett területi
vezetők bevonása
b) incidens okának felderítése,
c) bizonyítékok gyűjtése,
d) incidens behatárolása és megszüntetése, helyreállítás,
e) előfordulás okának meghatározása és megszüntetése,
f) helyesbítő tevékenység az újbóli előfordulás megakadályozására,
g) tevékenységek dokumentálása,
h) adatközlés az érintettek felé,
i) jelentés a főigazgató felé
(4) Okulás a biztonsági eseményekből
JEI/119/2018. Hatályos: 2018. 05. 25. 39
A biztonsági események elemzése alkalmas arra, hogy a fennálló védelmi intézkedéseket
hatékonyan felül lehessen vizsgálni és javítani.
A kiértékelés jelezheti az ellenőrzések és eszközök kiegészítésének szükségességét, hogy
a jövőben előfordulások valószínűségét csökkenteni lehessen, megelőzve az anyagi és
erkölcsi károkozást.
(5) Bizonyítékok gyűjtése
Információbiztonsági események, visszaélések esetén, fegyelmi felelősségre vonás,
polgári- vagy büntetőjogi eljárás kezdeményezése csak akkor lehetséges, amennyiben
bizonyító erejű dokumentálás történik.
A dokumentálás akkor bizonyító erejű, amennyiben az hiteles és megváltoztathatatlan.
Meg kell őrizni a vonatkozó naplóbejegyzéseket, adathordozókat és a papír alapú
dokumentumokat is, gondoskodva a bizonyítékok megváltoztathatatlanságáról.
XIII. Fejezet
Ügymenet folytonosság tervezése
34. § (1) Az informatikai szolgáltatások, vagy azok egy részének elvesztése a
Támogatáskezelő számára katasztrófát jelenthet.
Az informatikai katasztrófa egy olyan nem tervezett esemény, amely az adatfeldolgozó
képesség elvesztését okozza hosszabb, legalább 1 munkanap időre. Az ügymenet
folytonosság tervezésének az a feladata, hogy a szervezet kritikus információ-feldolgozó
képességeit helyre lehessen állítani elfogadhatóan rövid idő alatt a szükséges aktuális
adatokkal egy informatikai katasztrófa után.
Tekintettel a Támogatáskezelő munkafolyamatainak informatikai támogatottságára, az
informatikai szolgáltatások elvesztése az érintett munkafolyamatok szinte teljes
leállásával jár. Katasztrófa esetén a Támogatáskezelő adatvagyona is sérülhet. Elsődleges
prioritás az adatvagyon megőrzése, másodlagos az ügyfélfogadás és az azzal kapcsolatos
ügymenetek biztosítása. Minden további feladat harmadlagos jellegű.
(2) Tevékenység-sorozat katasztrófa esetén:
a) Az esemény bekövetkezte.
b) A katasztrófa-elhárítási csapat riasztása.
c) A károk enyhítése.
d) A helyreállítási folyamat megindítása.
e) Az alaptevékenység visszaállítása.
JEI/119/2018. Hatályos: 2018. 05. 25. 40
f) Tényleges helyreállítás.
g) A tanulságok levonása.
(3) Kritikus informatikai szolgáltatások tekintettel arra, hogy a Támogatáskezelőben lévő
alkalmazások és munkafolyamatok folyamatosan változnak és rendkívül széles körűek, definiálni
kell, hogy milyen alkalmazások tekinthetők kritikusnak.
a) Egy adott informatikai szolgáltatás akkor kritikus, ha leállása esetén egyes
ügyfelekkel kapcsolatos ügyek nem bonyolíthatók még papír alapú
nyilvántartások segítségével sem az előírt Támogatáskezelői határidőn vagy az
ügyfél által megszokott ügyintézési határidőn belül. Egy ilyen alkalmazás leállása
akkor informatikai katasztrófa, ha:
nem tervezett a leállása;
tervezett leállása túllépte a maximális 1 nap vagy 1 hétvége időtartamot.
b) Kritikus informatikai szolgáltatás továbbá az, mely az 1. pontba nem tartozik, de
nyilvántartása a Támogatáskezelői adatvagyon részét képezi, és ez az adatvagyon
rész nem érhető el legalább 3 napon keresztül. Ekkor a 3. nap után a szolgáltatás
leállása szintén informatikai katasztrófának minősül.
(4) Az informatikai szolgáltatás visszaállításának időtávja
Informatikai katasztrófa bekövetkezése esetén a katasztrófa elhárítását azonnal meg kell
kezdeni. Amennyiben az informatikai szolgáltatás nem állítható helyre 2 napon belül,
abban az esetben további 3 napon belül meg kell oldani az informatikai vagy papír alapú
ideiglenes szolgáltatást. Az ideiglenes szolgáltatás időtávja addig tart, amíg az
informatikai szolgáltatás helyreállítása be nem fejeződik, melynél törekedni kell arra,
hogy 2 héten belül fejeződjön be.
35. § (1) A szolgáltatás fenntartásának/helyreállításának eszközei
a) Munkaerő
Informatikai katasztrófa bekövetkezése esetén az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály minden munkatársának és az érintett szervezeti egységek
vezetőinek munkaidőn kívül és munkaszüneti napokon is azonnal be kell jönnie a
Támogatáskezelőbe és meg kell kezdenie a szolgáltatás fenntartását/helyreállítását. A
helyreállítási munka vezetője az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály vezetője. Szükség esetén az érintett szervezeti egységek vezetői a vezetésük alatt
lévő szervezeti egység személyi állományából további munkatársakat is behívhatnak,
akiknek ez esetben szintén kötelező megjelenni. A katasztrófa elhárításáig a munkatársak
JEI/119/2018. Hatályos: 2018. 05. 25. 41
munkaideje napi 10 óra, munkaszüneti napokon is. Ez alól felmentést vagy engedményt
csak a Főigazgató adhat.
b) Ideiglenes nyilvántartások
A katasztrófa elhárításának elhúzódó időtartama alatt amennyiben lehetséges és nem
veszélyezteti a leállt szolgáltatás adatvagyonának jövőbeli integritását, ideiglenes
nyilvántartást kell létrehozni a szolgáltatás helyettesítésére, mely lehet informatikai, de
papír alapú is. Az elhárítás befejezése után az ideiglenes nyilvántartás adatainak a
helyreállított szolgáltatásba történő integrálását azonnal meg kell kezdeni.
Az iktatórendszer üzemzavara esetén követendő eljárásrendet, így különösen az
ideiglenes nyilvántartás vezetésére vonatkozó részletes szabályokat a Támogatáskezelő
Egyedi Iratkezelési Szabályzata tartalmazza.
(2) Katasztrófa elhárítási gyakorlat
Katasztrófa elhárítási gyakorlatot kell évente egyszer az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály, hogy az nem ronthatja le az eredetileg
tervezett és megvalósított biztonsági védelmeket.
XIV. Fejezet
Naplózás és elszámoltathatóság
36. § Monitorozás
Az elektronikus információs rendszerek figyelemmel kísérésének eszköze az
eseménynaplók adatainak gyűjtése és feldolgozása. Be kell vezetni a felhasználói
tevékenységekre és a technikai eseményekre vonatkozó naplózást is.
A naplógyűjtést és feldolgozást oly mértékben automatizálni kell, hogy a kritikus
események nyomán riasztás keletkezzen és a rendszeradminisztrátorok haladéktalanul
tudjanak intézkedni.
37. § Naplózási eljárásrend
Létre kell hozni az Informatikai területen a naplózás részletszabályait tartalmazó
naplózási eljárásrendet, amelyben a naplózás és a hozzá tartozó ellenőrzések
megvalósulását segíti.
38. § (1) A rendszer használat monitorozása
JEI/119/2018. Hatályos: 2018. 05. 25. 42
Az informatikai infrastruktúra működésének és felhasználásának ellenőrzésére
felügyeleti eszközöket kell alkalmazni, amelyek probléma esetén meghatározott módon
riasztást adnak az illetékes rendszergazda számára. A megfigyelendő paramétereket és
riasztási értékeket kockázatértékelés alapján kell meghatározni, meg kell határozni a
naplózható és naplózandó eseményeket, s erre fel kell készíteni az elektronikus
információs rendszert. A napló funkciókat az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály technikai és rendszer hozzáférési oldalról tervezi meg, a szakmai
területek pedig az általuk felügyelt alkalmazás sajátosságainak figyelembe vételével állítja
össze az igényét a naplózható eseményekre.
(2) A megfigyelések terjedjenek ki technikai paraméterek ellenőrzésére, továbbá az
eszközökhöz és szolgáltatásokhoz történő hozzáférésre is.
Az alábbi események naplózását feltétlenül be kell állítani, amennyiben az alkalmazás ezt
lehetővé teszi:
a) a felhasználók tevékenysége,
b) az adatállományok (adatbázisok) módosítása az alkalmazói rendszerekben,
c) lekérdezések és jogosulatlan lekérdezési kísérletek,
d) az üzemeltetők operációs rendszerbe történő be-és kijelentkezése,
e) az üzemeltetők tevékenysége az operációs rendszerben,
f) a hozzáférési jogosultságok módosítása,
g) operációs rendszer események, esetleges hibák,
h) hálózati menedzsment riasztások,
i) konfigurációs beállítások módosítása,
j) jogosulatlan hozzáférési kísérletek, az egyes rendszerek detektálási képességein
belül.
A naplózható események fedjék le az alkalmazások működését és az alapinfrastruktúrát
oly mélységben, hogy megfelelőek legyenek a biztonsági eseményeket követő tényfeltáró
vizsgálatok támogatásához.
A naplóbejegyzésekben legyen elegendő információt ahhoz, hogy ki lehessen mutatni,
hogy milyen események történtek, miből származtak ezek az események, és mi volt ezen
események kimenetele.
(3) Napló információk védelme
A naplóinformációk keletkezésük után is szükségesek lehetnek az üzemeltetési vagy
információbiztonsági incidensek utólagos kiértékelése céljából, továbbá illegális
beavatkozások esetén azok bizonyítására is felhasználhatók.
JEI/119/2018. Hatályos: 2018. 05. 25. 43
A naplóinformációkat a naplókezelő eszközöket meg kell védeni a jogosulatlan
hozzáféréstől és az utólagos megváltoztatástól vagy törléstől. Meg kell oldani, hogy a
rendszeradminisztrátorok ne tudják utólagosan módosítani a naplóbejegyzéseket, és
ezzel a saját tevékenységükre vonatkozó információkat megmásítani.
A naplóbejegyzéseket napi gyakorisággal ellenőrizni és elemezni kell a nem megfelelő
vagy szokatlan működésre utaló jelek keresése céljából. Rendellenes jelenség esetén azt
jelenteni kell az illetékes vezetőknek. (informatikai, gazdasági)
Amennyiben jogszabály egyes esetekben másképp nem rendelkezik, a naplóállományokat
legalább egy évig meg kell őrizni.
(4) Naplógenerálás és ellenőrzés
A naplózó funkcionalitásnak biztosítania kell naplóbejegyzés generálását az előre
meghatározott, naplózható eseményekre. A naplózott eseményeket az arra feljogosított
rendszeradminisztrátorok állíthatják be.
A normálistól eltérő működési jellemzők megállapítása az üzemeltető feladata.
Az egyes naplók tartalmának ellenőrzését, kiértékelését előre meghatározott
ütemtervnek megfelelően kell végezni, a feljegyzésre kerülő események mennyisége
alapján megállapított gyakorisággal. Az ellenőrzéseket az adott rendszerek üzemeltetői
végzik. Az ellenőrzések elvégzését dokumentálni kell. Az ellenőrzés végrehajtását az
informatikai vezető háromhavonta felülvizsgálja. A felülvizsgálat tényét, és az esetleges
megállapításokat jegyzőkönyvben kell rögzíteni.
(5) Naplózási hibák kezelése
Az elektronikus információs rendszerek naplózó funkciójának alkalmasnak kell lennie
arra, hogy az informatikai alkalmazás és infrastruktúra naplózási hibája esetén
riasztást küldjön az illetékes rendszergazdának, s ezzel párhuzamosan végrehajtsa
azokat a tevékenységeket, amelyeket a rendszer biztonságának fenntartása érdekében
el kell végezni (például rendszer leállítás, régi naplóbejegyzések felülírása, naplózás
leállítása)
(6)Időszinkronizálás
A Támogatáskezelő információ-feldolgozó rendszerének óráit egymással, illetve egy
hiteles külső időforrással szinkronizálni kell.
A rendszeres szinkronizálás azért szükséges, mert a berendezések belső órái
eltolódnak, továbbá más módon nem biztosítható azok együttes működése.
JEI/119/2018. Hatályos: 2018. 05. 25. 44
Ez szükséges lehet üzemeltetési események kivizsgálásánál, vagy bizonyítékként jogi
vagy fegyelmi esetekben. A nem szinkronizált bejegyzések akadályozhatják ezeket a
kivizsgálásokat és árthatnak az ilyen bizonyíték hitelességének.
A szervezeten belül ki kell jelölni egy pontos idő szervert, vagy szervereket,
amelyekhez a többi berendezést szinkronizál. Az idő-szerver a pontos időt lehetőség
szerint valamelyik hitelesített külső NTP szerverről kérje le.
XV. Fejezet
Adatvédelmi rendelkezések
39. § (1) A Támogatáskezelő főigazgatója
a) kiadja az Adatvédelmi és Informatikai Biztonsági Szabályzatot;
b) kiadja a Közérdekű adatok megismerésére irányuló kérelmek intézésének,
továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről
szóló Szabályzatot;
c) felügyeli az adatvédelmi feladatok ellátását;
d) felelős a közérdekű, és közérdekből nyilvános adatok szolgáltatására vonatkozó
kötelezettség teljesítéséért, annak teljességéért és hitelességéért.
(2) A jogi és ellenőrzési igazgató
a) szakmailag irányítja, felügyeli és ellenőrzi a Támogatáskezelő adatvédelmi
tevékenységét;
b) közreműködik és segítséget nyújt az adatvédelemmel kapcsolatos döntések
meghozatalában;
c) ellenőrzi az adatvédelemmel kapcsolatos jogszabályok és belső szabályzatok
rendelkezéseinek és az adatbiztonsági követelmények érvényesülését;
d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése
esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót.
(3) Az önálló szervezeti egység vezetője
a) felelős azért, hogy az irányítása alatt álló szervezeti egység(ek)nél az adatkezelés
a jogszabályokban és az AIBSZ-ben előírt módon történjék;
b) a főigazgató útján gondoskodik a szervezeti egység(ek) által kezelt, az Infotv.
hatálya alá tartozó adatoknak az adatvédelmi nyilvántartásba történő
bejelentéséről a jogszabályban meghatározott módon;
JEI/119/2018. Hatályos: 2018. 05. 25. 45
c) felelős azért, hogy a szervezeti egység(ek) által történő adatfeldolgozás során az
adatbiztonsági előírások maradéktalanul teljesüljenek.
(4) Az adatkezelést végző személy
a) kezeli és megőrzi a feladata ellátása során birtokába került adatokat;
b) ügyel a nyilvántartások biztonságos kezelésére és tárolására;
c) tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért,
törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá az adatok pontos,
követhető dokumentálásáért;
d) gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen
személy ne férhessen hozzá.
(5) Adatvédelmi tisztviselő
a) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a
személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben
bekapcsolódjon.
b) Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a feladatai
ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok
végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való
hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek
fenntartásához szükségesek.
c) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a
feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy
az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem
bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az
adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
d) Az érintettek a személyes adataik kezeléséhez és az általános adatvédelmi rendelet
szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi
tisztviselőhöz fordulhatnak.
e) Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami
jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére
vonatkozó kötelezettség köti.
f) Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az
adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
(6) Az adatvédelmi tisztviselő feladatai
a) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
JEI/119/2018. Hatályos: 2018. 05. 25. 46
aa) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az
adatkezelést végző alkalmazottak részére az általános adatvédelmi rendelet, valamint
az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel
kapcsolatban;
ab) ellenőrzi az általános adatvédelmi rendeletnek, valamint az egyéb uniós vagy
tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az
adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való
megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő
személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint
nyomon követi az általános adatvédelmi rendeletben szereplő hatásvizsgálat 35. cikk
szerinti elvégzését;
d) együttműködik a felügyeleti hatósággal; és
e) az adatkezeléssel összefüggő ügyekben – ideértve az általános adatvédelmi rendelet 36.
cikkében említett előzetes konzultációt is – kapcsolattartó pontként szolgál a
felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt
folytat vele.
f) Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat
megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és
céljára is tekintettel végzi.
40. § (1) Az adatkezelés általános szabályai
a) A papír alapon kezelt adatokat keletkezésükkor megfelelő minőségű adathordozóra
kell rögzíteni.
b) Az adatok olvashatóságáért az azokat felvevő, illetve rögzítő személy felel. Az adatok
jogosulatlan megismerésének megakadályozása érdekében az adathordozókat
folyamatos felügyelet alatt kell tartani, vagy el kell zárni.
c) Az adatok őrzési, törlési határidejét a jogszabályi előírásoknak megfelelően kell
megállapítani, a személyes adatok esetén biztosítani kell a célhoz kötöttség elvének
érvényesülését.
d) A Támogatáskezelő nem kezel olyan adatot, amely a közadatok újrahasznosításáról
szóló törvény alapján továbbítható.
JEI/119/2018. Hatályos: 2018. 05. 25. 47
(2) A kezelt személyes adatok köre
a) A pályázatokkal, támogatási kérelmekkel kapcsolatosan felmerülő adatok
kezelése, így különösen név, képviselő neve, lakcím, székhely, születési idő,
születési hely, személyigazolvány szám, taj szám, adószám, bankszámlaszám,
anyja neve, szenzitív adatok stb. Egységes elektronikus pályázatkezelési
rendszerben történik a pályázatok beadása, elbírálása és a jogosultságok,
folyósítás ellenőrzése, nyilvántartása, csakúgy, ahogy a személyes adatok
kezelése is
b) KIRA illetményszámfejtő rendszerén keresztül bérszámfejtéssel kapcsolatos személyes adatok
c) A közszolgálati tisztviselőkről szóló 2011. évi CXCIX. Törvény (Kttv.) 176. § - 188. §, 2-6
melléklet, valamint a munka törvénykönyvéről szóló 2012. évi I. törvény (mt.) 9.§ - 11.§-
ai rendelkezési alapján a munkavállalók személyes adatainak kezelése
d) Fenntartás alatt lévő projektek érintettjeinek neve, e-mail címe, telefonszáma stb.
XVI. Fejezet
A személyes adatok kezelésére vonatkozó különös szabályok
41. § Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő
cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli
nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű
hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez.
Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap
megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs
társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó
technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy
cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes
adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt
négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az
ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre
kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az
összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását
elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek
kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét,
amely vonatkozásában a hozzájárulást kérik.
JEI/119/2018. Hatályos: 2018. 05. 25. 48
42. § A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A
természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó
személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy
milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes
adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve
megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve
kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt
világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen
az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való
tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen
az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a
tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni
a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével
összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell,
valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.
A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon
megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok
gyűjtésének időpontjában meghatározottaknak kell lenniük. A személyes adatoknak
a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét
pedig a célhoz szükséges minimumra kell korlátozni. Ehhez pedig biztosítani kell
különösen azt, hogy a személyes adatok tárolása a lehető legrövidebb időtartamra
korlátozódjon. Személyes adatok csak abban az esetben kezelhetők, ha az adatkezelés
célját egyéb eszközzel észszerű módon nem lehetséges elérni. Annak biztosítása
érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon,
az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapít meg. A
pontatlan személyes adatok helyesbítése vagy törlése érdekében minden észszerű
lépést meg kell tenni. A személyes adatokat olyan módon kell kezelni, amely biztosítja
azok megfelelő szintű biztonságát és bizalmas kezelését, többek között annak
érdekében, hogy megakadályozza a személyes adatokhoz és a személyes adatok
kezeléséhez használt eszközökhöz való jogosulatlan hozzáférést, illetve azok
jogosulatlan felhasználását
43. § Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek
nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint
hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően –
szükség esetén vizuálisan is megjelenítsék. Az ilyen tájékoztatás nyújtható elektronikus
formátumban is, így például a nyilvánosságnak szánt tájékoztatás közölhető valamely
honlapon keresztül.
JEI/119/2018. Hatályos: 2018. 05. 25. 49
44. § Az érintettek az általános adatvédelmi rendeletben biztosított jogainak gyakorlását
megkönnyítő intézkedéseket kell biztosítani, ideértve olyan mechanizmusok biztosítását,
amely által többek között az érintettnek lehetősége van díjmentesen kérelmezni, illetve
adott esetben megkapni különösen a személyes adatokhoz való hozzáférést, azok
helyesbítését és törlését, valamint gyakorolja a tiltakozáshoz való jogát. Az adatkezelő
ennek megfelelően biztosítja a kérelmek elektronikus benyújtását lehetővé tevő
eszközöket is különösen, ha a személyes adatok kezelése elektronikus úton történik. Az
adatkezelőt kötelezni kell arra, hogy az érintett kérelmére indokolatlan késedelem nélkül,
de legkésőbb egy hónapon belül válaszoljon, és ha az adatkezelő az érintett bármely
kérelmének nem tesz eleget, indokolnia kell azt.
45. § A tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett
tájékoztatást kapjon az adatkezelés tényéről és céljairól. Az adatkezelő olyan további
információt is az érintett rendelkezésére bocsát, amelyek a tisztességes és átlátható
adatkezelés biztosításához szükségesek, figyelembe véve a személyes adatok kezelésének
konkrét körülményeit és kontextusát.
46. § Az adathordozhatósághoz való jog alapján az érintett jogosult arra, hogy a rá
vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat géppel
olvasható formátumban megkapja és ezeket az adatokat egy másik adatkezelőnek
továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat
a rendelkezésére bocsátotta.
47. § Bármely érintett számára akkor is biztosítani kell a jogot arra, hogy az egyedi
helyzetükre vonatkozó adatok kezelése ellen tiltakozzon, ha a személyes adatok
jogszerűen kezelhetők, mert az adatkezelésre közérdekből vagy az adatkezelőre ruházott
közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához, illetve az
adatkezelő vagy egy harmadik fél jogos érdekei alapján van szükség. Az adatkezelő
bizonyítja, hogy az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben
az ő kényszerítő erejű jogos érdeke elsőbbséget élvezhet.
48. § Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha
az általános adatvédelmi rendelet 18. cikkében felsorolt feltételek valamelyike teljesül.
49. § Különleges adat kezelésére kizárólag akkor jogosult a Támogatáskezelő, ha ahhoz az
érintett írásban hozzájárul. Az érintett hozzájárulását vélelmezni kell, ha az
adatkezeléssel összefüggő eljárás az érintett kérelmére indul meg. Erre a tényre az
érintettet figyelmeztetni kell.
50. § Olyan adatkezelés esetén, amelynél számolni kell külföldre irányuló
adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele
JEI/119/2018. Hatályos: 2018. 05. 25. 50
előtt fel kell hívni. Az érintett írásbeli felhatalmazása nélkül személyes adat külföldre
nem továbbítható, kivéve, ha ezt törvény lehetővé teszi.
51. § Az adattovábbítás papír alapon vagy elektronikus úton történhet. Abban az esetben,
ha az adattovábbítás elektronikus adatfeldolgozással hatékonyabban teljesíthető,
akkor az adattovábbításról az irattár részére kísérőlevelet kell készíteni, amely
tartalmazza az adattovábbítást kérő megkeresésében felsorolt adatokat.
52. § A Támogatáskezelő szervezetén belül a kezelt személyes adat - a feladat
elvégzéséhez szükséges mértékben és ideig - csak az üggyel érintett szervezeti
egységhez továbbítható, feltéve, hogy a személyes adatok megismerése nélkül az
ügyben érdemben eljárni nem lehet.
53. § A Támogatáskezelő szervezetén belül a különböző célú adatkezelések csak törvényes
cél érdekében, indokolt esetben, ideiglenesen kapcsolhatók össze.
54. § Az adatkezelések összekapcsolásával, valamint a megkeresés alapján teljesített
adatszolgáltatással kapcsolatos alábbi tényeket, körülményeket jegyzőkönyvben kell
rögzíteni:
a) az adatkérő (az összekapcsolt adatkezelések) megnevezése;
b) az adattovábbítás (összekapcsolás) célja, rendeltetése;
c) a továbbított (összekapcsolt) adatok köre;
d) az adattovábbítás (összekapcsolás) jogszabályi alapja;
e) az adattovábbítás (összekapcsolás) módja.
55. § Az érintett az adatkezeléssel kapcsolatos jogainak megsértése esetén az illetékes
szervezeti egység vezetőjéhez fordulhat
56. § A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal
összefüggő szolgáltatások vonatkozásában.
Ha az általános adatvédelmi rendelet 6. cikk (1) bekezdésének a) pontja alkalmazandó,
a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő
szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a
gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a
gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a
hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve
engedélyezte.
JEI/119/2018. Hatályos: 2018. 05. 25. 51
XVII. Fejezet
A közérdekű adatok kezelésével kapcsolatos adatvédelmi rendelkezések
57. § A közérdekű adatok kezelése során értelemszerűen alkalmazni kell az AIBSZ XV.
Fejezet 40. § (1) bekezdése szerinti általános adatkezelési szabályokat.
58. § A kötelezően közzéteendő közérdekű adatok közzétételének részletes eljárásrendjét,
továbbá a közérdekű adatok megismerésére irányuló kérelmek intézésének rendjét
külön szabályzat, nevezetesen az EMET Közérdekű adatok megismerésére irányuló
kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra
hozatalának rendjéről szóló Szabályzata tartalmazza.
XVII. Fejezet
Záró rendelkezések
59. § (1) Az AIBSZ felülvizsgálatát el kell végezni
a) Az AIBSZ tárgykörét érintő jogszabály módosítása esetén,
b) Minden olyan esetben, amikor az elektronikus információs rendszerekben, vagy a
működési környezetben jelentős változás történik,
c) Három évente, tervezetten.
(2) Az Elektronikus Pályázatkezelési és Együttműködési Rendszer (EPER) rendszer
hibáinak bejelentése, valamint a rendszerben történő fejlesztések jóváhagyásával
kapcsolatosan a Támogatáskezelőnél a 4. számú függelékben foglaltakat kell alkalmazni.
JEI/119/2018. Hatályos: 2018. 05. 25. 52
Függelékek jegyzéke
1. számú függelék: A Támogatáskezelő elvárt biztonsági szintje, továbbá az egyes
elektronikus információs rendszerek elvárt biztonsági osztálya
2. számú függelék: Időszaki felülvizsgálati kötelezettségek
3. számú függelék: Katasztrófa Elhárítási Terv
4. számú függelék: Eljárásrend az EPER rendszer hibáinak bejelentéséről, valamint a
rendszerben történő fejlesztések jóváhagyásáról
Kiegészítések jegyzéke
1. számú kiegészítés: Az Emberi Erőforrás Támogatáskezelő Informatikai
Biztonságpolitikája
2. számú kiegészítés: Az Emberi Erőforrás Támogatáskezelő Informatikai Biztonsági
Stratégiája
JEI/119/2018. Hatályos: 2018. 05. 25. 53
1. számú függelék a(z) /2018. (V. 25.) EMET főigazgatói utasításhoz
A Támogatáskezelő elvárt biztonsági szintje, továbbá az egyes elektronikus
információs rendszerek elvárt biztonsági osztálya.
A Támogatáskezelő szervezeti biztonsági szintje
Az Ibtv. meghatározza a hatálya alá tartozó szervezetek, köztük a Hivatal számára előírt
biztonsági szint besorolásának szabályait. Az egyes költségvetési szervek központi
hivatali jogállásáról szóló 259/2010. (XI. 16.) Korm. rendelet, továbbá a Kormány tagjai
és az államtitkárok jogállásáról rendelkező 2010. évi XLIII. törvény értelmében az Emberi
Erőforrás Támogatáskezelő központi államigazgatási szervnek minősül.
A központi államigazgatási szervek esetén, a szervezet biztonsági szintje a szervezet
elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos
besorolású, de legalább 3-as.
A Támogatáskezelő nem rendelkezik 3-asnál magasabb besorolású elektronikus
információs rendszerrel, ezért a jogszabály szerinti biztonsági osztálya a 3-as.
A Támogatáskezelő egyes elektronikus információs rendszerek elvárt biztonsági
osztálya
Az egyes üzemeltetett rendszerek besorolása külön dokumentumban került részletezésre.
A megállapítások alapján az EMET rendszerei az alábbi biztonsági osztályba tartoznak:
Megnevezés Osztály Funkció Tranzakciók típusa Kezelt adatok
jellege
1 Ellátási Portál 2 Foglalkoztatási adatok nyilvántartás nyilvántartás
2 Intranet telefonkönyv
1 Munkakör, fénykép, telefonszám tájékoztatás tájékoztatás
3
WinTiszt személyügyi nyilvántartó rendszer
2
Pályázatkezelő rendszerek esetében: adatrögzítés, módosítás, törlés a pályázati adatkezelés, pályázók adatkezelése, pályázatkezelés státuszai, pályázatkezelési folyamatai, regisztráció, dokumentumkezelés folyamataiban.
személyügyi személyügyi
JEI/119/2018. Hatályos: 2018. 05. 25. 54
4 EPER 2
Pályázatkezelő rendszerek esetében: adatrögzítés, módosítás, törlés a pályázati adatkezelés, pályázók adatkezelése, pályázatkezelés státuszai, pályázatkezelési folyamatai, regisztráció, dokumentumkezelés folyamataiban.
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
5 EPER-BURSA 2
Pályázatkezelő rendszerek esetében: adatrögzítés, módosítás, törlés a pályázati adatkezelés, pályázók adatkezelése, pályázatkezelés státuszai, pályázatkezelési folyamatai, regisztráció, dokumentumkezelés folyamataiban.
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
6 GrantSys 2 páyázatkezelés, döntés, hatályosítás szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
7 EFFECTOR 2 páyázatkezelés, döntés, hatályosítás, szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
8 UKIR 2 páyázatkezelés, döntés, hatályosítás, szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
9 EMIR 2 páyázatkezelés, döntés, hatályosítás, szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
10 Educatio 2 páyázatkezelés, döntés, hatályosítás, szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
11 SBNT Fejezeti Kezelésű Pályáztatás
2 páyázatkezelés, szerződéskészítés, pénzügy
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
12 Effector 2 regisztráció, pályázatkezelés, kollégiumi tag értékelés, elszámolás
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
személyes adatok
13
TÉR rendszer, titkosítás, visszaállíthatatlan törlés;
2 Személyes adatok, foglalkoztatási adatok
személyes adat, teljesítmény értékelés nyilvántartás
személyes adat, teljesítmény értékelés nyilvántartás
14 MKK portál Személyes adatok, gyermekek adatai, korábbi foglalkoztatás adatai,
Személyes adatok, gyermekek adatai, korábbi foglalkoztatás adatai,
Személyes adatok, gyermekek adatai, korábbi foglalkoztatás adatai,
JEI/119/2018. Hatályos: 2018. 05. 25. 55
15 OTP SZÉP kártya portál
2 Személyes adatok, lakcím személyes adat személyes adat
16
Probono továbbképzési és vizsga portál
2 Személyes adatok, végzettségi és továbbképzési adatok
személyes adat személyes adat
17 Poszeidon 2 ügyiratkezelés, iktatás, ügyiratok elektronikus aláírása, hivatali kapu kezelés
személyes adat személyes adat
18 Beléptetőrendszer
2 Be- és kiléptetési adatok nyilvántartása
belépési időpontok és személyek rögzítése
személyes adat
19 Intranet 2 Általános belső információs és dokumentum kezelő rendszer
személyes adat, dokumentum, képek
személyes adat, név, munkahely, beosztás, szabályzatok, fotók
20 Windows Active Directory
2 Felhasználók adatbázisa, jogosultság kezelés
személyes adat, jogosultságok kezelése
személyes adat, jogosultságok
21 UKIR kiegészítő adatbázis
2 UKIR támogató adatbázis, pályázatkezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
22 Moodle 2 e-learning, EUPPI mentori oktatás személyes adat, dokumentum
személyes adat, dokumentum
23 EUPP FORM 2 ukir CF kiértékelése személyes adat, dokumentum
személyes adat, dokumentum
24 SCCM 2 kliens menedzsment személyes adat, jogosultságok
személyes adat, jogosultságok
25 Elearning 2 belső e-learning oktatás oktatás
26 Forrás és Forrás archív
2 Pénzügyi, gazdasági nyilvántartás, könyvelési adatok
személyes, pénzügyi, gazdasági adatok
személyes, pénzügyi, gazdasági adatok
27 WINTISZT 2 Személyügyi nyilvántartó program személyes adat, jogosultságok kezelése
személyügyi, személyes adatok
28 FEKPO 2 pályázatkezelés, döntés, hatályosítás, szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
29 NKAHONLAP 2 pályázati honlap tájékoztatás, személyes adatkezelés (login, jelszó), nyilvántartás
tájékoztatás, személyes adatkezelés (login, jelszó), nyilvántartás
30 SpiceWorks 1 hibabejelentés, ticketing informatikai hibabejelentések kezelése
informatikai hibabejelentések kezelése
JEI/119/2018. Hatályos: 2018. 05. 25. 56
31 CSINI PR 2 pályázatkezelés, döntés, hatályosítás, szerződéskezelés, pénzügy, elszámoláskezelés, követeléskezelés
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
pályázatkezelés, nyilvántartás, adatkezelés, pénzügy
32 CENTREX 1 Vezetékes telefonkezelés nyilvántartás nyilvántartás
33 KIRA 2 Bérszámfejtő rendszer bérszámfejtési, személyes
bérszámfejtési, személyes
34 Takarnet Földhivatal nyilvántartó rendszere nyilvántartás, földhivatali adatok kezelése
nyilvántartás, földhivatali adatok kezelése
2. számú függelék a(z) /2018. (V. 25.) EMET főigazgatói utasításhoz
Időszaki felülvizsgálati kötelezettségek
Az Ibtv. a szabályozások és nyilvántartások, tervek rendszeres felülvizsgálatát írja elő. A
megadott gyakorisággal felül kell vizsgálni az alábbiakban részletezett dokumentumokat
és folyamatokat:
Időszaki felülvizsgálati kötelezettség Gyakoriság Felelős
3.1.1.1.1.2. Informatikai biztonságpolitika
felülvizsgálata és frissítése 3 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.1.2.1.2. Informatikai biztonsági stratégia
felülvizsgálata és frissítése 3 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály 3.1.1.3.1.2. Adatvédelmi és Informatikai
Biztonsági Szabályzat felülvizsgálata és
frissítése. 3 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.1.6.1.2. Az Ibtv. szerint létrehozott
intézkedési terv felülvizsgálata és frissítése. 3 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály, de a
tervben meghatározott
ütemezésben is.
JEI/119/2018. Hatályos: 2018. 05. 25. 57
3.1.1.7. Az elektronikus információs
rendszerek nyilvántartásának ellenőrzése és
aktualizálása. (Az Ibtv. szerinti feldolgozó
rendszerek táblázatának aktualizálása)
1 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.1.10.1.2. Kockázatkezelési stratégia
felülvizsgálata és frissítése. 3 év
Főigazgatói
Titkárság
3.1.1.12.1.2. Tesztelési, képzési és
ellenőrzési tervek felülvizsgálata a
kockázatkezelési stratégia és a lehetséges,
vagy bekövetkezett biztonsági események
súlya alapján.
2 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály / Humánerőforrás Osztály
3.1.2.1.1.2. Kockázatelemzési eljárásrend
felülvizsgálata és frissítése. 3 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
elektronikus inf. rendszerekre
3.1.2.3.1.3. A kockázatelemzési
eljárásrendnek megfelelően felül kell
vizsgálni a kockázatelemzések eredményét –
Ibtv. osztályba sorolási megfelelést
3 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.3.1.1.2. A biztonságtervezési eljárásrend
felülvizsgálata és frissítése. (A
rendszerbiztonsági terv részeként kezelve) 2 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.3.2.1.8. Az elektronikus információs
rendszer rendszerbiztonsági tervének
felülvizsgálata és frissítése. (Rendszer
architektúra leírások frissítése)
1 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.3.3.1.3. Az elektronikus információs
rendszerhez hozzáférési jogosultságot
igénylő személyekkel, felhasználókkal
szembeni elvárások felülvizsgálata
(Infokommunikációs szabályzat
felülvizsgálata). A felhasználókra vonatkozó
szabályok, felelősségek, az adott
rendszerhez kapcsolódó kötelező, vagy
tiltott tevékenységek és a viselkedési
szabályok betartásának ellenőrzése.
2 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály /Jogi
Igazgatóság
JEI/119/2018. Hatályos: 2018. 05. 25. 58
3.1.4.2.1.2. Beszerzési eljárásrend,
beszerzések IT biztonsági szabályainak és a
beszerzésekre vonatkozó előírások
felülvizsgálata. A szabályok az AIBSZ-ben
kerültek rögzítésre.
3 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.5.1.1.2. Biztonságértékelési eljárásrend
felülvizsgálata és frissítése. (A
biztonságelemzési tervek része) 1 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.1.6.2.1.2. A személybiztonsági
eljárásrendek felülvizsgálata és frissítése
(Az AIBSZ, a Közszolgálati szabályzat és az
Infokommunikációs Szabályzat tartalmazza
az általános követelményeket)
3 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály /
Humánerőforrás Osztály
3.1.6.3.1.3. Munkakörök és feladatok
biztonság szempontú besorolásának
felülvizsgálata és frissítése. 1 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
/Humánerőforrás Osztály /szakmai területek
3.1.7.1.1.2. Képzési eljárásrend
felülvizsgálata és frissítése. 3 év
Humánerőforrás Osztály /
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.2.1.2.1.2. Fizikai védelmi eljárások
felülvizsgálata és frissítése. (A fizikai
védelmi intézkedések az AIBSZ 3. pontjában,
az "Infrastruktúrához kapcsolódó védelmi
intézkedések" fejezetében kerültek
meghatározásra.)
1 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.2.1.3.1.3. A belépésre jogosult személyek
listájának felülvizsgálata (IT helyiségek); 1 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.3.1.1.1.2. Konfigurációkezelési eljárásrend
felülvizsgálata és frissítése.
(Változáskezelési szabályzatba foglalva) 2 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.3.2.1.1.2. Üzletmenet folytonosságra
vonatkozó eljárásrend felülvizsgálata és
frissítése. 3 év AIBSZ Szerint
3.3.2.2.1.3. Üzletmenet-folytonossági terv
felülvizsgálata és frissítése. 1 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály /szakmai
területek
JEI/119/2018. Hatályos: 2018. 05. 25. 59
3.3.3.1.1.2. Rendszer karbantartási
eljárásrend felülvizsgálata és frissítése. 1 év AIBSZ része
3.3.4.1.1.2. Adathordozók védelmére
vonatkozó eljárásrend felülvizsgálata és
frissítése 3 év AIBSZ része
3.3.5.1.1.2. Azonosításra és hitelesítésre
vonatkozó eljárásrend felülvizsgálata és
frissítése 3 év AIBSZ
3.3.6.1.1.2. A hozzáférések védelmére
vonatkozó eljárásrend felülvizsgálata és
frissítése. 3 év AIBSZ
3.3.6.2.1.9. A felhasználói fiókok
felülvizsgálata és frissítése, a fiókkezelési
követelményekkel való összhang
ellenőrzése
1 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály / szakmai területek
3.3.7.2.1.2. Rendszer- és
információsértetlenségre vonatkozó
eljárásrend felülvizsgálata és frissítése.
(Változáskezelési Szabályzat része)
2 év Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály
3.3.8.1.1.2. Naplózási eljárásrend
felülvizsgálata és frissítése. 3 év
Keretek az AIBSZ-ben, de külön
dok. kell
3.3.8.2.2. Naplózandó események
felülvizsgálata és frissítése. 1 év
Üzemeltetési és
Dokumentumkezelési Osztály /
Informatikai Osztály /szakmai
területek 3.3.9.1.1.2. Rendszer- és
kommunikációvédelmi eljárásrend
felülvizsgálata és frissítése. 3 év AIBSZ
3.3.10.1.1.2. Biztonsági eseménykezelési
eljárásrend felülvizsgálata és frissítése 3 év AIBSZ, de 3-as szint
3.3.10.8.1.3. Eseménykezelési terv
felülvizsgálata és frissítése 3 év AIBSZ, de 3-as szint
JEI/119/2018. Hatályos: 2018. 05. 25. 60
3. számú függelék a(z) /2018. (V. 25.) EMET főigazgatói utasításhoz
AZ EMBERI ERŐFORRÁS TÁMOGATÁSKEZELŐ Katasztrófa Elhárítási Terve
Jelen katasztrófa elhárítási terv a Támogatáskezelőben esetlegesen bekövetkező
informatikai katasztrófa körülményeit és megoldását ismerteti. A dokumentum célja egy
használható, egyszerű és világos elhárítási terv létrehozása. Az informatikai katasztrófa
egy olyan nem tervezett esemény, amely az adatfeldolgozó képesség elvesztését okozza
hosszabb, legalább 1 munkanap időre. Jelen terv feladata, hogy a szervezet kritikus
információ-feldolgozó képességeit helyre lehessen állítani elfogadhatóan rövid idő alatt a
szükséges aktuális adatokkal egy informatikai katasztrófa után.
A Támogatáskezelőnél használt szerverek főbb jellemzői és ezeken futó operációs
rendszerek
A Támogatáskezelő jelenleg 6 db szerver számítógépet használ feladatainak precíz
ellátásához, azonosításuk adatait (a szerverek neve, típusa, felépítése és a rajtuk futó
operációs rendszer) az alábbi táblázat tartalmazza.
JEI/119/2018. Hatályos: 2018. 05. 25. 61
Név Típus Processzor Ram Merevlemez Operációs rendszer
EMETSESX01 HP DL380G4 Intel Xeon 3,2GHz 4GB 6x146GB ESX4.1
EMETSINTRA IBM x3650 Intel Xeon 5160 5GB 4x146GB Windows 2008R2 Std
EMETSWIN02 HP DL380G5 Intel Xeon 3,2GHz 4GB 6x146GB Windows 2008R2 Std
EMETSDC01 HP DL380G4 Intel Xeon 3,2GHz 4GB 2x73GB 4x146GB
Windows 2008R2 Std
M-PENZUGY Virtuális gép Intel Xeon 3,2GHz 4GB 126GB Windows 2008R2 Std
EMETSPOS01 Virtuális gép Intel Xeon 3,2GHz 8GB 60GB Windows 2008R2 Std
A szerverek funkciói és a rajtuk futó programok
Az előző részben felsorolt szerverekre való hivatkozás ezentúl a név oszlopban szereplő
megnevezés alapján történik.
EMETSESX01: Virtuális gépeket futtató szerver.
EMETSINTRA: Intranet szerver. A belső weboldal található rajta és az oldalhoz tartozó
adatbázis. Az adatbázis szerver egy Microsoft SQL 2008R2. Mentő szerver. Symantech
Backupexec alkalmazással.
EMETSWIN02: Frissítő szerver.
EMETSDC1:
Tartományvezérlő, file szerver és nyomtató szerver.
M-PENZUGY:
A „Forrás” pénzügyi rendszert kiszolgáló virtuális szerver. SQL
EMETSPOS01:
A „Poszeidon” iratkezelési rendszert kiszolgáló alkalmazás virtuális szerver.
Tevékenység-sorozat katasztrófa esetén:
1.) Az esemény bekövetkezte
2.) A katasztrófa-elhárítási csapat riasztása
3.) A károk enyhítése
4.) A helyreállítási folyamat megindítása
5.) Az alaptevékenység visszaállítása
6.) Tényleges helyreállítás
JEI/119/2018. Hatályos: 2018. 05. 25. 62
7.) A tanulságok levonása
Az informatikai szolgáltatások, vagy azok egy részének elvesztése a
Támogatáskezelő számára
Tekintettel a Támogatáskezelő munkafolyamatainak informatikai támogatottságára az
informatikai szolgáltatások elvesztése az érintett munkafolyamatok szinte teljes
leállásával jár. Ma már csak kevés munkafolyamat végezhető informatikai támogatás
nélkül és jellemzően egyetlen teljes ügy sem végezhető el annak hiányában, mivel minden
ügynek legalább egy olyan munkafolyamata van, mely informatikai eszközöket igényel (pl.
iktatás). Katasztrófa esetén a Támogatáskezelő adatvagyona is sérülhet. Elsődleges
prioritás az adatvagyon megőrzése, másodlagos az ügyfélfogadás és az azzal kapcsolatos
ügymenetek biztosítása. Minden további feladat harmadlagos jellegű.
Kritikus informatikai szolgáltatások
Tekintettel arra, hogy a Támogatáskezelőben lévő alkalmazások és munkafolyamatok
folyamatosan változnak és rendkívül széles körűek, definiálni kell, hogy milyen
alkalmazások tekinthetők kritikusnak.
1.) Egy adott informatikai szolgáltatás akkor kritikus, ha leállása esetén egyes
ügyfelekkel kapcsolatos ügyek nem bonyolíthatók még papír alapú
nyilvántartások segítségével sem az előírt Támogatáskezelői határidőn vagy az
ügyfél által megszokott ügyintézési határidőn belül. Egy ilyen alkalmazás leállása
akkor informatikai katasztrófa, ha:
• nem tervezett a leállása;
• tervezett leállása túllépte a maximális 1 nap vagy 1 hétvége időtartamot.
2.) Kritikus informatikai szolgáltatás továbbá az, mely az 1. pontba nem tartozik, de
nyilvántartása a Támogatáskezelői adatvagyon részét képezi, és ez az adatvagyon
rész nem érhető el legalább 3 napon keresztül. Ekkor a 3. nap után a szolgáltatás
leállása szintén informatikai katasztrófának minősül.
Az informatikai szolgáltatás visszaállításának időtávja
Informatikai katasztrófa bekövetkezése esetén a katasztrófa elhárítását azonnal meg kell
kezdeni. Amennyiben az informatikai szolgáltatás nem állítható helyre 2 napon belül,
abban az esetben további 3 napon belül meg kell oldani az informatikai vagy papír alapú
ideiglenes szolgáltatást. Az ideiglenes szolgáltatás időtávja addig tart, amíg az
informatikai szolgáltatás helyreállítása be nem fejeződik, melynél törekedni kell arra,
hogy 2 héten belül fejeződjön be.
JEI/119/2018. Hatályos: 2018. 05. 25. 63
A szolgáltatás fenntartásának/helyreállításának eszközei
Munkaerő
Informatikai katasztrófa bekövetkezése esetén az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály minden munkatársának és az érintett szervezeti egységek
vezetőinek munkaidőn kívül és munkaszüneti napokon is azonnal be kell jönnie a
Támogatáskezelőbe és meg kell kezdenie a szolgáltatás fenntartását/helyreállítását. A
helyreállítási munka vezetője az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztály vezetője. Szükség esetén az érintett szervezeti egységek vezetői a vezetésük alatt
lévő szervezeti egység személyi állományából további munkatársakat is behívhatnak,
akiknek ez esetben szintén kötelező megjelenni. A katasztrófa elhárításáig a munkatársak
munkaideje napi 10 óra, munkaszüneti napokon is. Ez alól felmentést vagy engedményt
csak a Főigazgató adhat.
Informatikai eszközök
Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztálynak legalább 2 db tartalék
szervert és 10 db tartalék munkaállomást kell készenlétben tartani informatikai
katasztrófák elhárítására. A készenléti hardvereszközök teljesítményének a mindenkor
használatban lévő eszközállomány átlagos teljesítményének minimum meg kell felelnie.
Amennyiben további eszközök szükségesek, akkor a katasztrófa elhárítása esetén
Főigazgatói engedéllyel felhasználhatók a nem kritikus szolgáltatásokat biztosító
hardvereszközök is.
Ideiglenes nyilvántartások
A katasztrófa elhárításának elhúzódó időtartama alatt amennyiben lehetséges és nem
veszélyezteti a leállt szolgáltatás adatvagyonának jövőbeli integritását, ideiglenes
nyilvántartást kell létrehozni a szolgáltatás helyettesítésére, mely lehet informatikai, de
papír alapú is. Az elhárítás befejezése után az ideiglenes nyilvántartás adatainak a
helyreállított szolgáltatásba történő integrálását azonnal meg kell kezdeni.
Az iktatórendszer üzemzavara esetén követendő eljárásrendet, így különösen az
ideiglenes nyilvántartás vezetésére vonatkozó részletes szabályokat a Támogatáskezelő
Egyedi Iratkezelési Szabályzata tartalmazza.
Katasztrófa elhárítási gyakorlat
Katasztrófa elhárítási gyakorlatot kell évente egyszer az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály vezető által javasolt időpontban tartani. A
gyakorlat során tetszőleges mentett állományból vissza kell állítani egy konkrét fájlt, egy
adatbázist, egy komplett kiszolgálót.
JEI/119/2018. Hatályos: 2018. 05. 25. 64
JEI/119/2018. Hatályos: 2018. 05. 25. 65
4. számú függelék a(z) /2018. (V. 25.) EMET főigazgatói utasításhoz
Eljárásrend az EPER rendszer hibáinak bejelentéséről, valamint a
rendszerben történő fejlesztések jóváhagyásáról
1. Az eljárásrend hatálya
1.1. Jelen eljárásrend hatálya az Emberi Erőforrás Támogatáskezelő Hazai Programok
Igazgatósága, a Stratégiai, Koordinációs és Módszertani Igazgatóságra, valamint az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztályra terjed ki.
2. Értelmező rendelkezések
a) Javítás: minden olyan hiba elhárítása, amely rendeltetésszerű használat közben
felmerül, és amelynek oka a rendszer működésének diszfunkciója.
b) Fejlesztés: olyan képességek kialakítása, amellyel a rendszer korábban nem
rendelkezett.
c) Bejelentő: az elektronikus pályázatkezelési referens, továbbá a területért felelős
vezető által az Üzemeltetési, Dokumentumkezelési és Informatikai Osztályhoz
előzetesen bejelentett személy, aki jogosult a hibák jelzésére az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály felé.
d) Jóváhagyó: a területért felelős vezető, és az általa az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztályhoz előzetesen bejelentett személy,
aki jogosult a fejlesztéseket az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztályon keresztül megrendelni.
e) Adminisztrátor: az EPER-ben adminisztrációs jogokkal rendelkező személy. (Az
EMET Üzemeltetési, Dokumentumkezelési és Informatikai Osztályán az erre a
feladatra kijelölt kormánytisztviselő.)
f) ITINER: A Támogatáskezelő belső hálózatának hibabejelentő felülete.
g) Mantisz: A GEOVIEW Kft. bejelentés-kezelő rendszere.
3. A bejelentő és a jóváhagyó bejelentése és módosítása
3.1. A bejelentőket és a jóváhagyókat az illetékes osztályvezető jelöli ki, és jelenti be az
Üzemeltetési, Dokumentumkezelési és Informatikai Osztálynak az ITINER-en
JEI/119/2018. Hatályos: 2018. 05. 25. 66
keresztül, amelyben meg kell jelölni a bejelentő vagy jóváhagyó nevét, e-mail címét,
illetve a jóváhagyó hierarchiáját. A bejelentők és jóváhagyók személyét az illetékes
igazgató módosíthatja az Üzemeltetési, Dokumentumkezelési és Informatikai
Osztályhoz intézett elektronikus üzenettel, amelyben meg kell jelölni az új
bejelentő
vagy jóváhagyó nevét, e-mail címét, a jóváhagyó hierarchiáját, valamint –
amenynyiben személycsere történik – a leváltott bejelentő vagy jóváhagyó nevét.
3.2. A jóváhagyókat hierarchikus sorrendben kell bejelenteni, elsődleges, másodlagos,
harmadlagos pozíciójukat megjelölve. A jóváhagyó döntést mindig a sorban
legmagasabb pozícióban lévő, döntésképes jóváhagyó hozza meg.
3.3. Az igazgatók bejelentés nélkül elsődleges jóváhagyóknak minősülnek.
3.4. Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály kizárólag a jelen
eljárásrend alapján bejelentett személyek bejelentését, valamint jóváhagyását
fogadhatja el. A jóváhagyás kizárólag akkor fogadható el, ha a jóváhagyó jelzi, hogy
a hierarchikus sorban előtte elhelyezkedő jóváhagyók miért nem hozhattak
döntést.
3.5. A bejelentők és jóváhagyók listája nyilvános.
4. Javítás
4.1. Az EPER rendszerben észlelt hibajelenség bejelentésére a bejelentő jogosult. A
hibát az ITINER-ben szükséges bejelentenie.
4.2. A bejelentett hibát az adott feladattal megbízott Adminisztrátor haladéktalanul
megvizsgálja és egyezteti bejelentővel, szükség esetén az érintett szervezeti egység
vezetőjével. Az egyeztetés keretében az Adminisztrátor többek között feltárja,
hogy informatikai szempontból hasonló vagy egyező hibát más jelentett-e, és
amennyiben igen, úgy ezen bejelentéseket egységesen kezeli. Az Adminisztrátor -
amennyiben lehetséges – saját hatáskörben megkezdi a bejelentett hiba kijavítását.
A javítás megtörténtéről üzenetet küld a bejelentőnek az ITINER-ben.
4.3. Amennyiben a hibát a feladat végzésre kijelölt Adminisztrátor nem tudja javítani,
abban az esetben a hiba jelzését haladéktalanul továbbítja a Mantisz felületen a
Geoview Kft. felé, ennek megtörténtéről az ITINER-en keresztül tájékoztatja a
bejelentőt. A javítás megtörténtéről az Adminisztrátor a Mantiszon keresztül
küldött üzenetből értesül. Az értesítést követően az Adminisztrátor teszteli a
javítást, és amennyiben a hiba elhárítása maradéktalanul megtörtént, ezt
haladéktalanul jelzi a bejelentőnek.
JEI/119/2018. Hatályos: 2018. 05. 25. 67
4.4. Nagyobb hiba, akadály vagy összeomlás esetén, továbbá minden olyan hiba esetén,
amely az EPER rendszer részleges vagy teljes leállását eredményezi, az
Adminisztrátor haladéktalanul értesíti a támogatási főigazgató-helyettes útján a
főigazgatót. Amennyiben az EPER rendszer részleges vagy teljes leállítása
szükséges a hiba feltárásához, elhárításához vagy egyéb okból, a leállásról a
főigazgató-helyettes javaslata mérlegelésével a főigazgató dönt.
4.5. Amennyiben a Geoview Kft. azt jelzi vissza, hogy a javításra küldött probléma
megoldása érdekében fejlesztés szükséges, erről árajánlat megküldésével -
Mantiszon keresztül - értesíti az Adminisztrátort, aki továbbítja az illetékes
jóváhagyónak az ajánlatot, valamint a hiba pontos leírását, és az ajánlat
előzményeit
5. Fejlesztés
5.1. Fejlesztést kizárólag a jóváhagyásra jogosult személy kezdeményezhet az ITINEREN
keresztül a fejlesztési dokumentáció és – szükség esetén specifikáció -
felcsatolásával. A kezdeményezést az illetékes Adminisztrátor a lehető
leghamarabb megvizsgálja, szükség esetén pontosítja a fejlesztési igényt, majd a
Mantiszon keresztül - bejelentés keretében továbbítja a Geoview Kft. részére.
5.2. A fejlesztéssel kapcsolatosan felmerülő kérdésekre adott válaszokat, a megoldási
lehetőségeket, a dokumentáció és specifikáció pontosítását az Adminisztrátor
minden esetben egyezteti a jóváhagyásra jogosult személlyel.
5.3. Az ajánlattal kapcsolatban az Adminisztrátor ITINER-en keresztül tájékoztatja a
jóváhagyót, aki 3 munkanapon belül dönt az ajánlat elfogadásáról. Amennyiben az
ajánlatot elfogadja, úgy döntéséről értesíti az Üzemeltetési, Dokumentumkezelési
és Informatikai Osztály vezetőjét és az ITINER-en keresztül - az adott bejelentésben
is - megerősíti ezen szándékát. Az Üzemeltetési, Dokumentumkezelési és
Informatikai Osztály vezetője a fejlesztési igényt haladéktalanul felvezeti az erre
rendszeresített, ITINER felületen lévő táblázatba, és erről haladéktalanul értesíti a
jóváhagyókat. Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály
vezetője a jóváhagyott fejlesztési igényt a Mantiszon keresztül haladéktalanul
megrendeli.
6. Fejlesztési igények ütközése
6.1. Amennyiben a fejlesztési igények teljes mértékben kimerítik a vonatkozó
szerződésben meghatározott órakeretet, vagy a fejlesztések elkészítési
határidejének priorizálása szükséges, ezt bármely igazgató, illetve az Üzemeltetési,
JEI/119/2018. Hatályos: 2018. 05. 25. 68
Dokumentumkezelési és Informatikai Osztály vezetője jelezheti a főigazgató-
helyettesnek.
6.2. A 6.1. pontban jelzett prioritási sorrendet a támogatási főigazgató-helyettes határozza
meg. Az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály vezetője a
főigazgató-helyettes által meghatározott prioritási sorrend alapján rendeli meg a
fejlesztéseket a Geoview Kft-től.
7. Egyeztetés
Jelen eljárásrend alkalmazásának tapasztalatairól kéthavonta egyeztetést kell tartani. Az
egyeztetést az Üzemeltetési, Dokumentumkezelési és Informatikai Osztály és a Hazai
Programok Igazgatósága közötti kapcsolattartás érdekében a hazai programigazgató által
megbízott koordinátor hívja össze. Az egyeztetésen részt vesznek az Üzemeltetési,
Dokumentumkezelési és Informatikai Osztály illetékesei, a Hazai Programok Igazgatója, a
koordinátor és a támogatási osztályok vezetői.
