17/2019. (VIII. 15.) BM utasítás a Belügyminisztérium és a belügyminiszter által irányított szervek elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexe kiadásáról

„…
3. § (1) A belügyi szerv vezetője gondoskodjon, hogy a belügyi szervnél foglalkoztatottak

a) ismerjék meg az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexet,

b) alkalmazzák a belügyi szerv vezetője által jóváhagyott elektronikus információbiztonsági eljárásrendeket,

c) a személyes információk interneten történő megosztása során a jogszabályokban és a belügyi szerv normáiban előírtak betartásával teljes mértékben kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását,

d) a munkavégzés során tapasztalt szokatlan, nem üzemszerű működést jelezzék a kijelölt informatikai üzemeltetőnek és a kijelölt információbiztonsági felelősnek.

(2) A belügyi szerv vezetője önállóan szabályozza a munkavégzéssel közvetlenül nem összefüggő tevékenységeknek a munkahelyi számítógépen vagy a munkahely által biztosított mobil eszközön (telefon, tablet, notebook) történő korlátozására, indokolt esetekben tiltására vonatkozó rendelkezéseket.

(3) A belügyi szerv vezetője gondoskodjon, hogy a belügyi szervnél foglalkoztatottak legalább évente dokumentáltan részt vegyenek elektronikus információbiztonsági tudatosító képzéseken, amelyek kidolgozásába a BM Rendészeti Vezetőkiválasztási, Vezetőképzési és Továbbképzési Főosztályát, a Nemzeti Közszolgálati Egyetemet, valamint a Nemzetbiztonsági Szakszolgálatot a belügyi szerv köteles bevonni.

1. melléklet a 17/2019. (VIII. 15.) BM utasításhoz

Az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódex

1. A belügyi szervnél kötelező végrehajtani a belső felhasználók képzését, tudatosítását, a felhasználói jogosultságok felülvizsgálatát és az elvárt, helyes magatartás különböző biztonsági kontrollokkal történő kikényszerítését.

a) A belügyi szerv esetében jóváhagyott eljárásrendek alapján járhatnak el a felhasználók a belügyi szerv egészének informatikai biztonsága érdekében. A kódexben megfogalmazott viselkedési szabályoknál szigorúbb részletszabályok bevezetése a belügyi szerv hatáskörébe tartozik.

b) A belügyi szervnél elő kell mozdítani a biztonságtudatos magatartást, a belügyi szerv foglalkoztatottai esetében fel kell hívni a figyelmet arra, miszerint nem egyértelmű információbiztonsági kérdéseknél forduljanak a kijelölt információbiztonságért felelős személyhez vagy szervezeti egységhez.

c) Korlátozni szükséges a belügyi szerv esetében a munkavégzéssel közvetlenül nem összefüggő felhasználói informatikai tevékenységeket.

d) A belügyi szerv köteles meghatározni a belügyi szervről közzétehető információk körét. A foglalkoztatottak kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását.

e) A foglalkoztatottak kerüljék a nyilvános fórumokon, közösségi oldalakon a munkahelyi e-mail-cím megadását.

Felhasználói tudatosság

2. A foglalkoztatott köteles a munkahelyén információ-biztonságtudatos, felelős, körültekintő, valamint a belső szabályoknak megfelelő magatartást tanúsítani. Minden foglalkoztatott számára, aki hozzáfér a belügyi szerv informatikai hálózatához, megfelelő alapképzés kerüljön biztosításra, amelynek keretében kerüljön ismertetésre a vonatkozó belső biztonsági képzés, valamint az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ). Az IBSZ-t a munkaviszony során oktatni, az abban foglaltak betartását ellenőrizni szükséges.

a) A belügyi szerv köteles olyan IBSZ-t alkotni, amely alkalmas arra, hogy az informatikai hálózat tekintetében a használhatóság és a biztonság szempontjait is érvényesítve – a vonatkozó jogszabályokkal harmonizálva – megfelelő normatív hátteret nyújtsanak a foglalkoztatottak részére.

b) A belügyi szerv információbiztonsági felelőse köteles a foglalkoztatottak részére időszakos információbiztonsági képzést szervezni.

Elektronikus információs rendszerek hozzáférése és a levelezés

3. A belügyi szerv a foglalkoztatottak elektronikus levelezése tekintetében megfelelő információbiztonsági szabályokat köteles alkotni:

a) A belső elektronikus információs rendszerek tekintetében tiltani szükséges a rendszerhozzáférésekhez használt jelszavak átadását.

b) A belügyi szervnél kötelező a felhasználói jelszavak meghatározott időközönkénti megváltoztatásának kikényszerítése. A jelszavak tekintetében irányadónak tekintendők az „erős”, legalább 10 karakter hosszú, számot, kis- és nagybetűt tartalmazó jelszavak.

c) A belügyi szervnél a biztonsági képzésen kiemelt hangsúlyt kell helyezni a beérkező e-mailekkel és csatolmányokkal összefüggő elvárt felhasználói magatartásra.

d) Amennyiben a levél feladója, tartalma vagy csatolmánya gyanús, a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.

Belső hálózati infrastruktúra védelme

4. A nagy kiterjedésű, belső, komplex hálózatokkal összefüggésben az alábbi iránymutatásokat kell figyelembe vennie a belügyi szervnek:

a) Minden foglalkoztatott esetében úgy kell kialakítani a hozzáférési jogosultságokat, hogy csak azok a hálózati erőforrások kerüljenek használatra, amelyek az adott foglalkoztatott feladataihoz feltétlenül szükségesek.

b) A munkáltató által biztosított eszközökkel, beleértve a mobil eszközöket is, tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni.

c) Magánhasználatú mobilinformatikai eszköznek az intézmény hálózatára való csatlakoztatása kizárólag engedéllyel, a megadott módon és helyen lehetséges.

Káros kódok elleni védelem

5. A káros kódokkal kapcsolatosan az alábbi normatív rendelkezéseket szükséges betartani:

a) Tilos megnyitni gyanúsnak tűnő hivatkozásokat és fájlokat. Ha a foglalkoztatott ilyet észlel, köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.

b) Munkahelyi számítógépbe magántulajdonú vagy ismeretlen forrásból származó eszközöket csak engedély birtokában, előzetes ellenőrzést követően helyezhet be a foglalkoztatott.

c) Tilos ismeretlen, gyanús alkalmazásokra vagy felugró ablakokra kattintani. Kérdéses esetben a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.

d) Munkahelyi informatikai eszközön tilos használni más forrásból vagy letöltésből származó szoftvert. A munkahelyi számítógépekre és mobil informatikai eszközökre kizárólag a belügyi szerv által biztosított vagy engedélyezett szoftverek az arra jogosított személy által kerülhetnek telepítésre.

Vagyontárgyak

6. Az informatikai vagyontárgyak kezelését a belügyi szervnek az IBSZ-ben kötelező szabályoznia. Ezzel összefüggésben a következőket szükséges figyelembe venni:

a) A foglalkoztatottak nem használhatják magáncélra a belügyi szerv által biztosított informatikai eszközöket.

b) A foglalkoztatottak kötelesek a rájuk bízott informatikai eszközöket a belső szabályoknak megfelelően használni, kezelni, megóvni.

c) A belügyi szerv a hatályos információbiztonsági, illetve adatvédelmi jogszabályokkal összhangban jogosult az elektronikus információs rendszereiben titkosítási eljárásokat alkalmazni.

Elavult eszközpark

7. A belügyi szerv köteles az informatikai rendszereik hardveres és szoftveres frissítéséről gondoskodni.

Vezeték nélküli hálózatok biztonsága

8. A belügyi szerv által biztosított mobil informatikai eszközökkel tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni.

Távoli munkavégzés

9. A távoli munkavégzéssel összefüggésben a következő rendelkezéseket szükséges betartani:

a) Publikus vezeték nélküli hálózatot tilos munkavégzésre használni.

b) Tilos hozzáférést adni a belügyi szervi adatokhoz a foglalkoztatottak családtagjai számára.

c) Az otthoni munkavégzéshez biztosított eszközöket a munkavégzés szüneteltetésekor jelszóval védetten kell zárolni.

d) A belügyi szerv által biztosított eszközökre nem tölthetők le és nem telepíthetők a munkafeladattal össze nem függő tartalmak, alkalmazások.

e) Otthoni munkavégzés esetén meg kell akadályozni, hogy betekintést nyerhessen a hivatali adatokba illetéktelen személy.

f) A belügyi szerv által rendelkezésre bocsátott informatikai eszközök esetén a hibaelhárítás csak a belügyi szerv által kijelölt, műszaki szervezeti egységével történhet.

g) A belügyi szerv a külföldi munkavégzéshez külön eszközt biztosít, ami kizárólag a levelezőrendszerhez való hozzáférésre alkalmas…”

Forrás:
17/2019. (VIII. 15.) BM utasítás a Belügyminisztérium és a belügyminiszter által irányított szervek elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexe kiadásáról; Nemzeti Jogszabálytár
A belügyminiszter 17/2019. (VIII. 15.) BM utasítása a Belügyminisztérium és a belügyminiszter által irányított szervek elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexe kiadásáról; Hivatalos Értesítő; 2019. évi 46. szám; 2019. augusztus 15.; 4543-4546. o. (PDF)

A bejegyzés kategóriája: informatika, közigazgatás:magyar, közigazgatási informatika, szervezet, törvények, határozatok
Kiemelt szavak: , , , , , .
Közvetlen link.