A büntetés-végrehajtás országos parancsnokának
1-1/13/2011. (III. 22.) OP

i n t é z k e d é s e

a büntetés-végrehajtási szervezet informatikai biztonsági szabályainak kiadásáról

A büntetés-végrehajtási szervezetről szóló 1995. évi CVII. törvény 4.§. (2) c) pontja szerinti felhatalmazó rendelkezés alapján a büntetés-végrehajtási szervezet informatikai rendszere homogenizálásának, egyenszilárd kialakításának, szabványos és biztonságos működésének kialakítása érdekében, figyelemmel az EKOP-1.1.6-09-2009-0001 kódjelű informatikai fejlesztés stratégiai célkitűzéseire (pályázat Előzetes Megvalósíthatósági Tanulmány) az informatikai rendszer használatának szabályairól az alábbiak szerint

i n t é z k e d e m:

1. Az intézkedés mellékleteként kiadom a büntetés-végrehajtási szervezet informatikai rendszerének biztonságos üzemeltetése és fenntartása érdekében az Informatikai Biztonsági Szabályzatot (továbbiakban: BV IBSZ).

2. A BV IBSZ hatálya kiterjed a büntetés-végrehajtási szervezet informatikai rendszereiben és az Elektronikus Kormányzati Gerinchálózathoz (továbbiakban: EKG) csatlakozott rendszerben - együtt: informatikai rendszer - alkalmazott adatátviteli, adatfeldolgozó eszközökre és programokra, azok üzemeltetőire és felhasználóira, valamint a forgalmazásra kerülő adatokra.

3. A BV IBSZ tartalmazza mindazokat az informatikai biztonsági követelményeket, amelyek alkalmasak az informatikai rendszerben kezelt adatok védelmére, így az intézetek, intézmények számára önálló biztonsági szabályzat kiadása kizárólag jelen intézkedéssel kiadott szabályzat lényegi és érdemi pontosítása esetén szükséges.

4. Az intézkedésben foglaltakat 2011. április 1-től kell alkalmazni. Ezzel egyidejűleg az 1-1/19/2003. (IK.BV.Mell.3.), az 1-1/22/2004/IK Bv. Mell. 4 /OP intézkedést visszavonom.

Dr. Kökényesi Antal bv. altábornagy, bv. főtanácsos
a büntetés-végrehajtás országos parancsnoka



BV IBSZ

A büntetés-végrehajtási szervezet
Informatikai Biztonsági Szabályzata

Készült: 2011. március 22.


Tartalom

  1. Áttekintés
    1.1. IBSZ minősítése
    1.2. IBSZ célja
    1.3. IBSZ alapelvei
       1.3.1. Hitelesség
       1.3.2. Bizalmasság
       1.3.3. Sértetlenség
       1.3.4. Megbízható működés és rendelkezésre állás
       1.3.5. Elérhetőség, visszaállíthatóság
       1.3.6. Bizonyítékbiztosítás és nyomon követés
    1.4. IBSZ hatóköre
       1.4.1. Szervezeti hatály:
       1.4.2. Személyi hatály:
       1.4.3. Tárgyi hatály:
    1.5. Kapcsolódó szabályozások
    1.6. Felülvizsgálati előírások és kockázatelemzés
    1.7. Veszélyforrások és kockázatelemzés
    1.8. Értelmező definíciók
    1.9. Normatívák érvényesítése
       1.9.1. Az érvényesítés területei
       1.9.2. Az érvényesítés személyi vonatkozásai
       1.9.3. Az érvényesítés szervezethez kapcsolódó vonatkozásai
       1.9.4. A tartományi működés során alkalmazott konvenciók
           1.9.4.1. Intézeti azonosító:
           1.9.4.2. Gépnév (host - szerver, nyomtató, munkaállomás stb.):
           1.9.4.3. Felhasználói azonosítók:

  2. Rendszertechnológiai és szakmai védelmi intézkedések
       2.1. A védelem alanya, tárgya és eszköze

  3. Infrastruktúra
       3.1. Gépterem és technikai helyiség
       3.2. Új infrastrukturális rendszer fejlesztése, beruházása
       3.3. Gépazonosítás
       3.4. On-line hardver és szoftver leltár
       3.5. Hálózati nyomtatók
       3.6. Fájl megosztás

  4. Hardverhez kapcsolódó védelmi intézkedések
       4.1. Munkaállomások hardver vonatkozásai
          4.1.1. Hardver elemek védelme, hozzáférési jogosultság
          4.1.2. Mobil végponti eszközökre vonatkozó különös szabályok
          4.1.3. Használatból bevont munkaállomások kezelése
       4.2. Hardver karbantartás szabályai
       4.3. A hibabejelentés, HelpDesk szolgáltatás
       4.4. Szerverek hardver vonatkozásai
       4.5. Szoftverhez kapcsolódó védelmi intézkedések
          4.5.1. Munkaállomások szoftver vonatkozásai
       4.6. Felhasználói hozzáférés általános szabályai
       4.7. Szoftvernyilvántartás
       4.8. Szoftverkarbantartás
       4.9. Naplózás
       4.10. Operációs rendszer részeként használt célalkalmazások
       4.11. Szerverek szoftver vonatkozásai
       4.12. Alkalmazások és adatbázisok

  5. Dokumentációhoz kapcsolódó védelmi intézkedések
          5.1.1. Infrastrukturális nyilvántartások és okmányok
       5.2. Egyéb dokumentumokkal kapcsolatos előírások
       5.3. Egyéb kapcsolódó szabályzatok, előírások és dokumentumok

  6. Adathordozókhoz kapcsolódó védelmi intézkedések

  7. Selejtezés, megsemmisítés

  8. Kommunikáció és hálózatok védelmi intézkedései
       8.1. Hálózati átviteli eszközök kezelése, elérése, beállítása
       8.2. A gerinchálózatra való kapcsolódás

  9. Szervezethez és személyekhez kapcsolódó védelmi intézkedések
       9.1. Szervezettel kapcsolatos biztonsági kérdések
       9.2. Személyekkel kapcsolatos biztonsági kérdések
       9.3. Szolgáltatási Szerződések (SLA)
       9.4. Biztonság és védelem szintjének tesztelése
       9.5. Rendkívüli helyzetek kezelése
       9.6. A BVOP informatikai katasztrófa- elhárításának módja, lehetőségei

1. Számú Melléklet - Kritikus Alkalmazások Listája
2. Számú Melléklet - Kritikus alkalmazások mátrixa
3. Számú melléklet: angol-magyar nyelvű szógyűjtemény
4. Számú Melléklet - Átmeneti rendelkezések:
5. Számú Melléklet - Licenszek


1.   Áttekintés


     1.1.   IBSZ minősítése

Az elektronikus hírközlésről szóló 2003. évi C. törvény, valamint a végrehajtásával kapcsolatosan kiadott 346/2010. (XII. 28.) kormányrendelet a kormányzati célú hálózatokról, figyelemmel a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (továbbiakban: Avtv.), valamint a személyes és a közérdekű adatok belügyi igazgatási területen való kezelésének és védelmének egyes szabályairól szóló 33/1999. (BK. 22.) BM utasítás által az adatkezelő kötelességeként az adatok biztonsága érdekében szükséges technikai, szervezési és eljárási intézkedések meghatározására és érvényesülésére a büntetés-végrehajtási szervezet megalkotta jelen Informatikai Biztonsági Szabályzatát (továbbiakban: BV IBSZ).

A BV IBSZ tartalmazza mindazokat a normatívákat, amelyeket az informatikai rendszerek biztonsága érdekében jogszabály, az állami irányítás egyéb jogi eszköze, a Magyar Informatikai Biztonsági Ajánlások, az MSZ ISO/IEC 15408 számú szabvány (Common Criteria), az MSZ ISO/IEC 17799 számú szabvány, a COBIT ajánlása, vagy a büntetés-végrehajtási szervezet más belső szabályzója e témakörben az informatikai rendszerek biztonsága-, adatvédelme-, illetve az informatikai rendszer által kezelt információvagyon bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának, és funkcionalitásának megőrzése, fenntartása érdekében külön szabályozni ajánl, vagy rendel.

Az informatikai rendszert úgy kell kialakítani, hogy biztosított legyen a megbízható működés, az egyes alrendszer vagy rendszerelem funkcionalitásának megfelelő zavartalan és/vagy folyamatos működés. Ennek érdekében az egyes alrendszerek, rendszerelemek tekintetében végre kell hajtani azok biztonsági osztályba sorolását, a biztonsági osztálynak megfelelő követelmény szerinti rendelkezésre állást. A rendelkezésre álláson azt a valószínűséget kell érteni, amellyel a definiált időintervallumban, az alkalmazás tervezésekor meghatározott funkcionalitási szintek megfelelően a felhasználók által használhatóak.

A rendelkezésre állás során külön hangsúlyt kell fektetni az újraindítási képességre, a hibaáthidalás folyamatára, valamint a rendszerkonfigurációk hatékony menedzselésére. A fokozott biztonsági osztályban szükséges az alapszolgáltatások redundáns, meleg- vagy hidegtartalékos biztosítása. Az outsourcing szerződések során biztosítani kell a szerződő fél megfelelő reakcióidejét.

Az információvédelmi fokozott biztonsági osztály követelményei az ITSEC biztonsági osztályozási rendszerében ITSEC F-B1 osztály követelményeinek felel meg. Az információbiztonság követelménye szerint az informatikai rendszerben biztosítani kell az azonosítás és hitelesítés-, a hozzáférés-szabályozás-, az elszámoltathatóság és az auditálhatóság logikai védelmi funkcióit.


     1.2.   IBSZ célja

A BV IBSZ célja meghatározni azokat az általános és konkrét szabályokat, amelyekkel a büntetés-végrehajtási szervezetnél működtetett - elsősorban a szervezet feladatai elvégzésének szempontjából kritikusnak tekintett - informatikai rendszerek, az azokban rögzített, tárolt, feldolgozott, kiértékelt és felhasznált adatok, információk biztonsága szavatolható. A BV IBSZ meghatározza az informatikai rendszer fejlesztésében, működésében, a működés fenntartásában, a felhasználásban betöltött helyük és szerepük szerint a szervezeti egységek, személyek rezsim-, és szolgálati feladatait, mindazokat a normatívákat, szervezési és eljárási rendet, amellyel a felhasználással járó jogok és kötelezettségek biztosíthatók.

A BV IBSZ figyelemmel az informatikai rendszerben lévő adatok bizalmas jellegére, minősítésére, a jogszerűen védett adatokra vonatkozóan biztosítja azokat a védelmi eljárásokat, amelyek ellenőrizhetővé teszik a folyamatokat, lehetővé teszik a normasértő cselekmények felderítését, a felelősség megállapítását. A BV IBSZ az adatot, információt és egyéb szellemi tulajdont a szervezet számára jelentkező értékével arányos módon rendeli védeni az illetéktelen betekintéstől, módosítástól, a sérüléstől, megsemmisüléstől és a nyilvánosságra kerüléstől. Célja továbbá úgy biztosítani az informatikai rendszer folyamatos és zavartalan működését, hogy a fenyegető káresemények bekövetkezésekor, annak elhárítása, hatásuk csökkentése, lokalizálása, és a kárenyhítés biztosítható legyen, valamint a helyre állítás a lehető legrövidebb üzemidő kiesés mellett legyen biztosítható.


     1.3.   IBSZ alapelvei

Jelen Informatikai Biztonsági Szabályzat a Kormányzati és ágazati szintű Informatikai Biztonsági Politikára épül, figyelemmel az informatikai biztonság nemzetközi elméletének és gyakorlatának, valamint a releváns Kormányrendeletek ajánlásaira.

A szabályzat kifejezett célja a felhasználói tudatosság megteremtése az informatikai védelem és biztonság témakörében, nemcsak az egységes értelmezés, hanem a jelen szabályozásból fakadó szellemiség érvényesülése érdekében is. A felhasználók az alapelvek, a szabályzatban rögzített normatívák és az ezekből fakadó szellemiség alapján kötelesek felelősen végezni szolgálati feladataikat, és törekedni arra, hogy mások is e szerint járjanak el.

          1.3.1.   Hitelesség

Az informatikai rendszerben biztosítani kell a hitelességet annak érdekében, hogy a Belügyminisztérium és szervezetei között, vagy a belső, egymás közötti kapcsolatokban a partnerek kölcsönösen és kétségtelenül felismerjék egymást, és ezt az állapotot a kapcsolat egész idejére változatlanul fenntartsák.

A büntetés-végrehajtási szervezet zárt informatikai rendszert alkalmaz, amelyben az adatok kezelése a bizalmasság elvén alapszik. A büntetés-végrehajtási szervezet az egyes alrendszerek kapcsolatait meghatározott jogforrás alapján, meghatározott eljárási rendben, megfelelő rendszertechnológiai dokumentáltság mellett, meghatározott üzemeltetési és fenntartási környezetben valósítja meg. Ennek okán a teljes informatikai rendszerben a kezelt adatok hitelesek, a hitelesség vizsgálata csak akkor szükséges, ha a hitelességgel szemben kétség merül fel. A hitelességgel szemben felmerült kétség esetén az központi informatikai szervezeti egység vezetőjének intézkedni kell az informatikai felhasználás ideiglenes szüneteltetésére, a hitelesség helyreállításáig. A hitelességgel szemben felmerült kétség minden körülményét rögzíteni kell az központi informatikai szervezeti egységnél és azt szükség esetén a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (továbbiakban: Avtv.) 31/A.§.(2) szerinti belső adatvédelmi felelősnek, a minősített adat védelméről szóló 2009. évi CLV. törvény (továbbiakban: Mavtv) 23.§.(2) szerinti biztonsági vezetőnek, és a Központi informatikai szervezeti egység vezetőjének további intézkedések megtételére fel kell terjeszteni.

          1.3.2.   Bizalmasság

Az információk vagy adatok esetében a bizalmasság azt jelenti, hogy azokhoz csak az arra jogosítottak és csak az előírt módokon férhetnek hozzá, és nem fordulhat elő úgynevezett jogosulatlan információszerzés. Ez vonatkozhat programokra, mint szélesebb értelemben vett információkra is.

Az informatikai rendszeren biztosítani kell a felhasználás bizalmasságát az adatokhoz történő hozzáférés tekintetében. A bizalmasságot első sorban a szervereken és a felhasználói munkaállomásokon tárolt adatok kezelése során kell biztosítani, de ez a követelmény az adattárolókhoz való hozzáférés és a kommunikáció során is fennáll.

A bizalmasság biztosítása érdekében az informatikai rendszerben alkalmazott, használt alrendszert, rendszer elemet, eszközt, berendezést saját védelmi mechanizmusának, lehetőségeinek használatával védeni kell az illetéktelen hozzáféréstől, lehetőség szerint PIN kód, vagy felhasználói név, jelszó páros, vagy egyéb pl.: biometrikus azonosítás, vagy ezek kombinációja alkalmazásával.

A végponti eszköz esetében a bizalmasság fenntartása érdekében a superuser jogosultságot (a végponti eszköz beállításával, hangolásával, további felhasználói jogosultságok kiadásával és beállításával rendelkező kivételezett felhasználó - root, admin, sysadm, supervisor, administrator, rendszergazda stb. továbbiakban: superuser) az informatikai fenntartó szervezet nem adhatja ki, e szerepkörben végrehajtandó feladatokat az informatikai fenntartó szervezet látja el. Egyes végponti eszközök tekintetében - ha a végponti eszköz által biztosított felhasználás jól körülhatárolható, lokalizált, és/vagy a superuser feladat ellátására a felhasználó szervezet rendelkezik megfelelő végzettséggel és képzettséggel rendelkező humán erőforrással, valamint a tevékenység ellátása szakirányítói feladatkörben megfelelő módon ellenőrizhető és szabályozott -, a superuser szerepkörből adódó feladatok egy része, vagy egésze a büntetés-végrehajtási szervezet országos parancsnokának, helyetteseinek, a büntetés-végrehajtási szervezet parancsnokának parancsával kiadott üzemeltetési utasításban delegálható.

          1.3.3.   Sértetlenség

Az informatikai rendszerben biztosítani kell az adatok és információk sértetlenségét. Ez jelenti egyrészt a pontos, helyes információ feldolgozást, az adatok pontos, torzításmentes továbbítását, tárolását, valamint a tárolt adatok pontos megőrzését. A megőrzés nemcsak a tárolt adatok azonos minőségű és mennyiségű, folyamatos rendelkezésre állást, hanem a megsemmisítés vagy megsemmisülés, módosítás vagy módosulás, törlés elleni védekezést, valamint a helyreállíthatóság érdekében végzett rendszeres mentést, mentés helyreállíthatósági ellenőrzést, a rendszer naplózását is jelenti.

          1.3.4.   Megbízható működés és rendelkezésre állás

Megbízható működésen értjük az informatikai rendszerben az alkalmazói rendszernek (felhasználói programok és adatok) a tervezés és megvalósítás során kialakított funkcionalitását. Az informatikai rendszer megbízható működésű, ha a hardver és az alapszoftver az adott biztonsági osztály követelményeinek eleget tesz és megfelelő szintű rendelkezésre állással biztosítja a felhasználó részére a kialakított funkcionalitásnak megfelelő alkalmazást

Rendelkezésre álláson azt a valószínűséget értjük, amellyel egy definiált időintervallumon belül az alkalmazás a tervezéskor meghatározott funkcionalitási szintnek megfelelően a felhasználó által használható. Gyakorlati megközelítéssel a rendelkezésre állást a következő formulával lehet meghatározni:

ahol Tüz az üzemidő periódus,amelyre a rendelkezésre állást értelmezzük és Tki a kiesési idő egy alkalomra.

A megbízható működés szempontjából értelmezett biztonsági osztályokra jellemző paraméterként a rendelkezésre állást, a kiesési időt és az ezen belül egy alkalomra megengedett maximális kiesési időt adjuk meg a következő táblázatban. A paraméterek számításánál napi 24 órás üzemet és 1 hónapos üzemidőt tételeztünk fel.

Tüz = 1 hónap

Rendelkezésre állás (R)

Megengedett kiesési idő (STki)

Megengedett legnagyobb kiesési idő egy alkalomra (maxTki)

A megbízható működési alapbiztonsági
(MM-A) osztály

95,5 %

23,8 óra

-

A megbízható működési fokozott biztonsági
(MMF) osztály

99,5 %

2,6 óra

30 perc

A megbízható működési kiemelt biztonsági
(MMK) osztály

99,95 %

16 perc

1 perc

A hiba bekövetkezésétől számított kiesési időt a rendszeren belüli megoldásokkal és a rendszeren kívül foganatosított intézkedésekkel állíthatjuk be az adott biztonsági osztály követelményeinek megfelelő értékre.

A kiesési időt befolyásolják:

A fenti tulajdonságokat a megbízható működés biztonsági osztályának megfelelő követelményekkel arányosan kell megvalósítani.

          1.3.5.   Elérhetőség, visszaállíthatóság

Az informatikai rendszert úgy kell kialakítani, működését biztosítani, hogy az abban tárolt adatok, a nyújtott szolgáltatások maradéktalanul biztosítsák a szolgálati feladatok végrehajtását. A szükséges mértékben tegyék lehetővé a differenciált hozzáférést, az adatok és szolgáltatások folyamatos és zavartalan elérhetőségét. Az elérhetőség biztosítása mellett az informatikai rendszert úgy kell konfigurálni, hogy megakadályozza az illetéktelen hozzáférést, legyen képes a betekintések és feladat végrehajtások naplózására, szükség esetén azok rekonstruálására. Az elérhetőség biztosítása magában foglalja az egyes munkaállapotok időbeli archiválását, a visszaállíthatóságot, rendkívüli esetben a helyreállíthatóságot is.

          1.3.6.   Bizonyítékbiztosítás és nyomon követés

Az informatikai rendszer egészében biztosítani kell a rendszer működésével kapcsolatos állapotok és rendszerjelentések-, valamint a felhasználói tevékenységek rögzítését. A bizonyítékbiztosítást, mint alapfunkciót, úgy kell biztosítani, hogy a felhasználóra ruházott jogokkal való visszaélés-, vagy a nem megengedett jogok alkalmazásának kísérletét ki lehessen mutatni, fel lehessen tárni. A naplóban rögzített adatok biztosítsák az esemény rekonstrukció során, vagy az éppen bekövetkező esemény monitorozása esetén mind forrás, mind célirányban a nyomon követhetőséget.


     1.4.   IBSZ hatóköre

          1.4.1.   Szervezeti hatály:

A BV IBSZ szervezeti hatálya kiterjed a büntetés-végrehajtási szervezet Országos Parancsnokságára, intézeteire és intézményeire, a BV alá tartozó gazdasági társaságokra (a fogvatartással kapcsolatos informatikai működésükben) valamint a büntetés-végrehajtási szervezet ideiglenes szolgálati tevékenységei során létrehozott (pl.: műveletirányítás) ideiglenes szervezeti egységeire (továbbiakban: büntetés-végrehajtási szervezet).

          1.4.2.   Személyi hatály:

A BV IBSZ személyi hatálya kiterjed a büntetés-végrehajtási szervezet teljes személyi állományára, valamint az informatikai rendszert fejlesztő, üzemeltető, fenntartó és felhasználó vezetőre, ügykezelőre, ügyintézőre, illetve az e tevékenységeket kiszolgáló személyzetre (továbbiakban: belső munkakapcsolat). Ezen kívül a BV IBSZ személyi hatályát a büntetés-végrehajtási szervezettel és szervezeteivel együttműködési megállapodás- (pl.: közvetlen hozzáférés biztosítása valamely adateléréshez), vagy szerződéses jogviszonyban (pl.: szolgáltatói szerződés) lévő személyekre (továbbiakban: külső munkakapcsolat) is ki kell terjeszteni olyan módon, hogy az együttműködési megállapodásba vagy szerződésbe a BV IBSZ tartalmának megfelelő előírásokat be kell építeni.

          1.4.3.   Tárgyi hatály:

A BV IBSZ tárgyi hatálya kiterjed a büntetés-végrehajtási szervezet által működtetett és használt informatikai rendszerre, annak valamennyi alrendszerére (számítástechnikai, távközlési és biztonságtechnikai alrendszerek), amely feldolgozza, továbbítja, tárolja, felhasználja, illetve felügyeli, ellenőrzi a büntetés-végrehajtási szervezetnél keletkező, illetve felhasznált adatokat, információkat.


     1.5.   Kapcsolódó szabályozások

A BV IBSZ koherens egészet alkot a büntetés-végrehajtási szervezet adatvédelmi és adatbiztonsági, valamint a minősített adat védelmének szabályzataival, az informatikai alrendszerek üzemeltetési utasításaival (műszaki- és telepítési leírások, felhasználói kézikönyvek), biztonsági kérdésekben alapszabályzat. Tartalmazza az adatvédelmi és adatbiztonsági, valamint a minősített adatok kezeléséhez szükséges szabályok betartásához rendelt informatikai, információs technológiai kiegészítéseket, de nem tér ki részletesen az üzembiztonság minden aspektusára, így nem helyettesíti az alrendszerek üzemeltetési utasításait. Szerves része az őt körülvevő szabályzói környezetnek, illeszkedik a külső jogszabályi feltételekhez, bizonyos részekben kiegészíti az ott meghatározott normatívát.


    1.6.   Felülvizsgálati előírások és kockázatelemzés

Az informatika gyors fejlődése következtében a BV IBSZ-t évente felül kell vizsgálni, szükség esetén aktualizálni, kiegészíteni. Az informatikai rendszert érintő jelentős, vagy alapvető változás - szervezeti, személyi, tárgyi, információs, stb. - esetében a BV IBSZ-t soron kívül felül kell vizsgálni. Új rendszerek bevezetése esetén meg kell határozni a kockázati kategóriájukat és ennek megfelelően a BV IBSZ-en belül meg kell határozni a szerepüket és kezelési módjukat. Az egyes informatikai alrendszerek tekintetében a speciális biztonsági előírásokat, amelyekről a BV IBSZ csak általánosságban rendelkezik, az üzemeltetési utasítás részeként biztonsági kézikönyv, vagy biztonsági fejezet formájában kell meghatározni.


     1.7.   Veszélyforrások és kockázatelemzés

A veszélyforrások után, zárójelben található három betűhöz tartozó magyarázat:

E: elviselhető; K: közepes; N: nagy. A három betű együtt: első: maximális kár becslése arra az esetre, amikor a veszélyforrás kifejtette hatását. A második: előfordulás valószínűségének becslése. A harmadik: előző kettő alapján a kockázat mértékének becslése.

Veszélyforrás:

Becslés:

Intézkedés:

1. Műszaki hiba

Nem szabványos áramellátás

(KKK)

A szabványoknak való megfelelőséget ellenőriztetni kell (földelés, érintésvédelem, feszültségingadozás)

Tűz- és füstjelző rendszer hibái

(NEK)

Rendszeres ellenőrzés, teszt

Beléptető rendszer leállása

(EEE)


Informatikai szerelvények, vezetékek károsodása

(KEK)

Rendszeres ellenőrző bejárások

Telefonos hálózat meghibásodása

(EKE)


Informatikai berendezések műszaki hibái

(KKK)

Rendszeres karbantartás, szerződés

Adathordózok gyártási hibái, későbbi sérülései, visszaolvashatatlanság

(NKK)

Rendszeres visszaolvasás, CD-re való biztonsági mentések.

2. ”Vis major”, kiesések

Áramszünet az egész intézetben vagy a parancsnoki épületben

(KKK)

Rendszeres, szünetmentes tápegységek telepítése, tesztelése

Személyek váratlan távolléte (pl.: betegség, baleset)

(KEE)


Földrengés

(NEE)


Árvíz

(KKK)


Orkán

(KEE)


Villámcsapás

(NKK)

Villámvédelem

Robbantásos merénylet, fegyveres behatolás

(NEE)


Gyújtogatás, vandalizmus, betörés

(NKK)

Belépés ellenőrzése, egyéb fizikai védelmi megoldások (rácsok felszerelése)

3. Kezelési hiba

Eltérés a gyári kezelési előírástól

(KKK)

A gyári kezelési előírást be kell tartatni, és oktatni kell

Programok használatakor (kezelési ismeretek, gyakorlat hiánya, hiányossága)

(KNN)

Oktatás

Kézikönyvek, használati utasítások, dokumentumok megléte

(KEE)


Biztonsági másolat hibás elkészítése

(NEN)

A másolatok készítését és tárolását külön OP intézkedés szabályozza

Sikertelen az olvasás, szakszerűtlen tárolás, demagnetizálódás

(NNN)

Előírás szerinti tárolás, optikai adathordozóra írás, időszakonkénti újra beolvasása

Engedély nélküli mozgatás, szerelés, szállítás

(NKK)

Tiltás

Munkahelyi hardverek használata

(KKK)

Kioktatás

Privát hardverek használata

(KKK)

Tiltás

4. Szoftverek hibája

Belenyúlás”, illetéktelen módosítás

(NEK)

Tiltás

Vírus hatása, ellenőrizetlen bevitel

(NNN)

Karantén” gépen vírus ellenőrzés PC-gépeken és szervereken rendszeres vírus ellenőrzés

5. Hálózat „megcsapolása”

Hozzáférési jogokkal, jelszavakkal való visszaélés

(NEK)

Tiltás

További hardverek észrevétlen csatlakozása a hálózathoz

(NEK)

Tiltás

6. Segédszemélyzet, vendégek

Takarítás

(NKK)

A szerver és kliens gépeket ki kell kapcsolni, takarítás után vezetékek állapotát ellenőrizni kell

Vendégek, látogatók

(KKK)

Folyamatos felügyelet

7. Munkahelyi terhelés, egészségügy

Káros környezeti hatások által kiváltott rendellenességek

(EEE)


Munkaegészségügyi, munkavédelmi eszközök, eljárások hiánya

(NEK)

Munkahelyek bejárása, állapotfelmérés évente legalább egyszer

8. Hibás magatartás

Privát szoftverek, adatok használata munkahelyen

(NKN)

Tiltás

Lopás (fizikai - eszköz; logikai - adat)

(NKK)

Biztonsági berendezések, védelmi intézkedések

Informatikával kapcsolatos iratok elvesztése

(KKE)


Hanyag adminisztrálás rendszeradminisztráláskor és nyilvántartások vezetésekor

(KKK)

Előírások, eljárások pontosítása, elkészítése, nyilvántartás az BVOP hardvereszközeiről


     1.8.   Értelmező definíciók

Active Directory: központi címjegyzék, a Microsoft® Windows Server operációs rendszerek része, amely a hálózat erőforrásait azonosítja, és hierarchikus rendszerben tárolja. Alkalmazásával, függetlenül a hálózat fizikai elhelyezkedésétől és kiterjedésétől, a teljes hálózatot központosított és biztonságos módon lehet menedzselni.

Adat: tények, elképzelések, nem értelmezett, de értelmezhető közlési forma informatikai feldolgozására alkalmas reprezentációja.

Adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége (Avtv. 2 §).

Adatátvitel: adatok szállítása összeköttetéseken, összekötő utakon (például számítógépek között).

Adatbiztonság: az adatok jogosulatlan megszerzése, feldolgozása, kezelése, megváltoztatása és megsemmisítése elleni szervezési, technikai megoldások, valamint eljárási szabályok összessége, az adatkezelés azon állapota, amelyben a kockázati tényezőket és ez által a fenyegetettséget, a szervezési, műszaki megoldásokkal és intézkedésekkel minimálisra csökkentik. Fokozatait az adat jellegéből adódó biztonsági igény és a rendelkezésre álló erőforrások határozzák meg (ITB. 12. sz. ajánlás alapján)

Adatfeldolgozás: az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.

Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatkezelő megbízásából - beleértve a jogszabály rendelkezése alapján történő megbízást is - személyes adatok feldolgozását végzi (Avtv. 2 §).

Adatforrás: az a szerv vagy személy, amelyet (vagy akit) jogszabály az adat szolgáltatására elsődlegesen kötelezett, illetve amelynél (vagy akinél) az adatfelhasználás illetőleg a további feldolgozás céljára átadásra kerülő adatok eredetileg keletkeztek, továbbá aki azt önmaga szolgáltatta.

Adathordozó: bármely eszköz, amin az adatot rögzítik.

Adatigénylő: az érintett kivételével az a szerv vagy személy, akinek a részére az adatkezelő jogszabály kötelezése, vagy kérelem teljesítése alapján adatokat szolgáltat, továbbít vagy átad.

Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy műveletek összessége, így például gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS minta, íriszkép) rögzítése is (Avtv. 2 §).

Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja (Avtv. 2 §).

Adatmegsemmisítés: az adatok vagy az azokat tartalmazó adathordozó teljes fizikai megsemmisítése (Avtv. 2 §).

Adattovábbítás: ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik (Avtv. 2 §).

Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges (Avtv. 2 §).

Adatvédelem: a természetes személyre vonatkozó személyes adatok kezelésének jogi szabályozása, az érintett információs önrendelkezési jogának érvényre juttatása.

Adatzárolás: az adatok továbbításának, megismerésének nyilvánosságra hozatalának, átalakításának, megváltoztatásának, megsemmisítésének, törlésének, összekapcsolásának vagy összehangolásának és felhasználásának véglegesen vagy meghatározott időre történő lehetetlenné tétele (Avtv. 2 §).

Algoritmikus védelem: matematikai algoritmusok alapján működő védelem, amely egyedi számítógépen és hálózaton is lehetővé teszi a használó azonosítását, a jogosultság ellenőrzését. Magába foglalhat szoftver módon történő rejtjelezést is. Algoritmikus védelmet minden olyan információs rendszemek biztosítani kell, amely azonosítható természetes személyre vonatkozó adatot dolgoz fel és hálózat is csak algoritmikus védelem alatt üzemeltethető.

Alkalmazás rendszergazda: az a személy, aki az adatfeldolgozás érdekében működtetett számítógépeket és/vagy a számítógéprendszereket, valamint kommunikációs hálózatot és eszközöket használatra alkalmas állapotban tartja, és a működésükért felelős. Minden tevékenységet a rendszerirányító megbízása alapján végez.

Automatizált egyedi döntés: az érintett személyes jellemzőinek olyan értékelését jelenti, amikor adatait kizárólag számítástechnikai eszközzel végrehajtott, automatizált módszerrel dolgozzák fel. Alkalmazásakor is szükséges az érintett kifejezett hozzájárulása, vagy törvényi felhatalmazás. Az érintett számára biztosítani kell, hogy álláspontját kifejthesse, kérelmére tájékoztatni kell az alkalmazott matematikai (logikai) módszerről is. (Avtv. 9/A.§.)

Backup rendszer: az adatbiztosítás során az adatok rendelkezésre állását lehetővé tevő másolatokat őrző rendszer. Rendszerint minimális tartalékkal rendelkező informatikai rendszert is értenek alatta.

Bejelentkezés: a számítógépes információrendszerek alkalmazása során végzett olyan műveletsor, amellyel lehetővé válik az informatikai rendszer alkalmazása, szolgáltatásainak igénybe vétele, illetve a felhasználó azonosítása. A legtöbb esetben ehhez egy felhasználói azonosító és jelszó szükséges.

Betekintési jogosultság: adott adatbázis logikailag önálló, egységes részének engedélyhez kötött közvetlen fizikai igénybevétele. A betekintési jogosultság mindig feladat- és hatáskörhöz kapcsolódó jogosítvány.

Bizonyítható azonosítás: a hozzáférési folyamat jogosultság ellenőrzése során olyan azonosítási eljárás, amelynek segítségével kétséget kizáróan, utólag is bizonyítható a felhasználó illetve a szolgáltatást igénybevevő kiléte.

Biztonsági követelmények: a kockázatelemzés eredményeként megállapított fenyegető tényezők ellen irányuló biztonsági szükségletek együttese.

Biztonsági mechanizmus: eljárási módszer vagy megoldási elv, ami azt a célt szolgálja, hogy egy vagy több biztonsági követelményt teljesítsen. Így azután a biztonsági mechanizmusok az intézkedések részét képezik, ám egyben megvalósításukat is érintik.

Biztonsági vezető: a minősített adatot kezelő szervnél a minősített adat védelmével kapcsolatos feladatok végrehajtását és koordinálását a minősített adatot kezelő szerv vezetője által kinevezett biztonsági vezető végzi. A biztonsági vezető szerepkör összeférhetetlen a rendszergazda szervezet és a rendszerirányító szerepkörrel.

Bűnügyi személyes adat: a büntető eljárás során, vagy azt megelőzően a bűncselekménnyel vagy a büntető eljárással összefüggésben, a büntető eljárás lefolytatására, illetőleg a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat (Avtv. 2 §). A meghatározás nemcsak a büntetett előéletre vonatkozó adatot, hanem a bűnmegelőzéssel és a bűnüldözéssel összefüggésben keletkezett információkat is magába foglalja.

DHCP (Dynamic Host Configuration protokoll): egy TCP/IP-szabvány, amelyet arra terveztek, hogy csökkentse a címkonfigurációk felügyeleti feladatainak összetettségét egy olyan kiszolgáló-számítógép segítségével, amellyel megvalósítható az IP-címek és egyéb kapcsolódó konfigurációs részletek központi kezelése a hálózaton.

DNS (Domain Name System): tartománynév-rendszer a TCP/IP hálózatokon, például az interneten is használt névfeloldási protokoll. A DNS-kiszolgálók tárolják azokat az adatokat, amelyek lehetővé teszik az ügyfélszámítógépek számára, hogy a megjegyezhető, alfanumerikus DNS-neveket IP-címekké oldják fel, amelyeket a számítógépek az egymással való kommunikáció során használnak.

EGT állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Közösség és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez;

Érintett: az a természetes-, jogi-, vagy jogi személyiséggel nem bíró személy, akinek jogát, vagy jogos érdekét az adatkezelés érinti (Avtv. 2.§. 1.).

Érzékeny adatok: érzékeny, de nem minősített adatok körébe tartoznak a jogszabályok által védendő adatok (személyes, illetve különleges adatok, az üzleti titkot, a banktitkot képező adatok, az orvosi, az ügyvédi és egyéb szakmai titkok, a posta és a távközlési törvény által védett adatok stb.) és az egyes szervezetek, intézmények illetékesei által, belső szabályozás alapján védendő adatok. (Informatikai Tárcaközi Bizottság ajánlásai - Informatikai rendszerek biztonsági követelményei 12. sz. ajánlás 5.1. Az adatok minősítése)

Ethernet: a leggyakrabban használt és legnépszerűbb hálózati protokoll, amely protokollt kezelni képes megoldás segítségével a számítógép hálózatokra tud rácsatlakozni és segítségével számítógépeket és eszközöket lehet kommunikációs célból összekötni.

Feladatok elkülönítése, szegregáció: egy olyan szabályozás, ami alapján egyetlen személy sem képes rosszindulatú cselekedeteket leleplezés veszélye nélkül végrehajtani.

Felhasználó: az a személy vagy szervezet, aki, (amely) egy vagy több informatikai rendszert használ feladatai megoldásához.

Fenyegető tényező: olyan körülmény vagy esemény, amely az adat, illetve információ valamely informatikai rendszerben történő feldolgozásának rendelkezésre állását, sértetlenségét, bizalmasságát vagy hitelességét illetve a rendszernek és a rendszer elemeinek működőképességét fenyegetheti. A fenyegető tényezők közé soroljuk nemcsak a személyektől eredő támadásokat, amelyek valamely informatikai rendszer ellen irányulnak, hanem valamennyi szélesebb értelemben vett fenyegetést, mint például véletlen eseményeket, külső tényezők általi behatásokat és olyan körülményeket, amelyek általában magának az informatikának a sajátosságaiból adódnak. (Például: a tűz, az áramkimaradás, az adat beviteli hiba, a hibás kezelés, a hardver tönkremenetele, a számítógépes vírusok és programhibák.)

Fizikai védelem: olyan eszközök alkalmazása, amelyekkel azok a helyiségek védhetők, ahol számítástechnikai erőforrásokat használnak, vagy az adatmegőrzés szempontjából fontosak.

Folyamatos ügymenet biztosítása: az informatikai rendszerek folyamatos rendelkezésre állása.

Freeware (szabadszoftver): szabadon terjeszthető és felhasználható szoftverek jelölésére használt gyűjtőfogalom. A freeware licencek lényege, hogy azokban tulajdonos korlátozás és díjfizetési kötelezettség nélküli terjesztési és felhasználási jogot biztosít mindenki számára, bizonyos értelemben "közkinccsé" téve azt. Jelen szabályzat értelmezésében szabadszoftverként kezeljük az egyéb, valamilyen célból szabadon terjeszthető, vagy részben korlátozott (időbeli, térbeli korlátozással ellátott) ingyenesen felhasználható alkalmazásokat is (abandonware, shareware, opensource stb.).

FTP - File Transfer Protocol: egy fájl átviteli módszer, aminek segítségével az interneten keresztül fájlokat lehet a helyi számítógépre letölteni.

Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, amely, vagy aki nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval (Avtv. 2.§.19.).

Harmadik ország: minden olyan állam, amely nem EGT állam (Avtv. 2.§.21.) .

Hardver: egy digitális berendezés, illetve a felépítő alkatrészei, pl. számítógép, technikai és fizikai tulajdonságainak összessége

Hibás adat: helytelen, pontatlan vagy időszerűtlen adat. Az időszerűtlen adat nem hibás, ha törvény vagy az érintett felhatalmazása alapján kezelik, mert korábbi állapotot tükröz.

Hírközlő eszköz: távbeszélő, rádió és telefax készülék.

Hozzáférés: olyan eljárás, amely valamely adatkezelés jogosult felhasználója számára elérhetővé, megismerhetővé teszi az adatokat.

Hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok - teljes körű, vagy egyes műveletekre kiterjedő - kezeléséhez (Avtv. 2.§.6.).

Informatikai biztonság: olyan előírások, szabványok betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét, bizalmasságát, valamint mentését és visszaállíthatóságát eredményezik, és amelyeket az informatikai rendszerben, vagy annak alkalmazása során biztonsági megelőző intézkedésekkel lehet elérni. Az informatikai biztonság alatt az informatikai rendszer azon állapota értendő, amelyben a kockázatok és a bekövetkezett kár mértéke, az informatikai rendszer bevezetésekor felmért fenyegető tényezők alapján adott, azonban elfogadható, a biztonság érdekében hozott intézkedésekkel, az elviselhető mértékűre csökkenthető.

Informatikai Biztonsági Felelős: a szervezetben az informatikai szervezettől független személy, akinek feladata az informatikai biztonsági feladatok koordinálása, irányítása és ellenőrzése.

Informatikai Biztonsági Politika: olyan felső szintű utasítás, amely az egész szervezetre kiterjedően informatikai biztonsági irányelveket tartalmaz.

Informatikai biztonsági utasítások, eljárások: a kritikus alrendszer területek egyes üzemeltetési eljárásainak részletes leírása.

Informatikai rendszer: a hardverek és szoftverek olyan kombinációjából álló rendszer, amit az adat- illetve információfeldolgozás különböző feladatainak teljesítésére alkalmazunk. Az informatikai rendszerek különleges tulajdonsága a szabad programozhatóság.

Informatikai alrendszer, rendszerelem: az informatikai rendszer jól elkülöníthető fizikai és/vagy logikai egységei (számítástechnikai-, távközlési-, biztonságtechnikai alrendszer). A büntetés-végrehajtási szervezet informatikai rendszerelemei: szoftver eszközök, adatbázisok, hardver eszközök, helyi hálózatok (LAN), távoli hálózatok (WAN), kommunikációs eszközök (vezetékes és mobil távbeszélő-, rádió-távközlő rendszerek), az informatikai rendszert működtető humán erőforrás, normatív szabályozói környezet.

Információs vagyon: adatok, információk, szellemi, erkölcsi javak összessége.

Információvédelem területei:

- azonosítás, hitelesítés
- jogosultság kiosztás, ellenőrzés
- hitelesség garantálása
- sértetlenség garantálása
- elérhetőség garantálása (mentéssel és visszaállíthatósággal)
- Bizonyítékok rendszerének és folyamatának kialakítása

Infrastruktúra rendszergazda: az informatikai rendszerek működésében privilegizált jogosultsággal rendelkező személy (admin, root, supervisor, rendszergazda stb.), akit a rendszerelem, vagy alrendszer beállításával, felügyeletével, működtetésével megbíztak. Feladatának ellátása során személyes adatkezelést nem végez.

Katasztrófakezelés, tervezés: lehetővé teszi, hogy egy esetleges katasztrófa bekövetkezte után az informatikai szolgáltatások ellenőrzött módon, egy előre megállapított szinten helyreállíthatók legyenek, oly módon, hogy előre meghatározzák a helyreállítás során érvényes személyi felelősségeket, illetve a követendő tevékenységeket.

Kontrollok-óvintézkedések: mindazok a fizikai, adminisztratív, technikai/ technológiai módok, eljárások, jogi és személyzeti intézkedések, amelyeket védelmi célból terveztek és a kockázatot csökkentik.

Kriptográfia: a kriptográfia matematikai algoritmusokat és összefüggéseket használ az érthető nyílt szövegek érthetetlen rejtjelezett szöveggé való át- és visszaalakítására

Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, valamint a tevékenységére vonatkozó, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől (Avtv. 2 §).

Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli (Avtv. 2.§.5.). A közérdekből nyilvános adat azokat a magánadatokat foglalja magában, amelyeket akár természetes személyre, akár jogi személyre vagy jogi személyiséggel nem rendelkező szervezetre vonatkozóan törvény közérdekből nyilvánosnak minősít, de amelyek nem esnek a közérdekű adat fogalma alá, mivel nem állami vagy helyi önkormányzati feladatot vagy egyéb közfeladatot ellátó szerv tevékenységére vonatkoznak. Közérdekből nyilvános adat például a magánszemélyek vagy szervezetek közpénzek felhasználásával kapcsolatos adata vagy a gazdasági tevékenységükkel kapcsolatos környezetvédelmi adatok, de e körbe tartozik a közszereplő személyek nyilvánosság számára megismerhető személyes adata is. Személyes adatot közérdekből nyilvánossá csak törvényi rendelkezés tehet.

Közvetlen hozzáférési jogosultság: adott informatikai alkalmazás engedélyhez kötött közvetlen fizikai igénybevétele. Lényegében technikai eljárás, mely módot ad arra, hogy a teljes adatbázisból megkötés, vagy feltételek nélkül (vagy előre egzakt módon definiált megkötések és feltételek érvényesítésével) közvetlen lekérdezéssel válogassuk ki és szükség esetén rögzítsük a releváns információkat vagy adatokat.

Kód: olyan jelsorozat, amely egyértelmű azonosítására alkalmas. A jelsorozat állhat betűkből, számokból, írás és műveleti jelekből, vagy mindezek kombinációjából.

Kezelői kód (személyazonosító jelsorozat): az informatikai alkalmazást közvetlenül igénybe vevő személy olyan azonosító jelsorozata, amely a felhasználó személy regisztrálását és későbbi azonosítását teszi lehetővé.

Különleges adat: (Avtv. 2.§. 2.).

a) a faji eredetre, a nemzeti és etnikai kisebbséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra,
b) az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat

A különleges adatok fokozottabb törvényes védelemben részesülnek, jogvédelmük azon az elven alapul, hogy a magánszféra leginkább védelemre szoruló adataihoz az illetéktelen hozzáférés a legnagyobb sérelmet okozhatja.

LAN (Local Area Network): helyi szintű hálózat, kis kiterjedésű, általában egy objektumban, munkahelyen kialakított számítógépes hálózat.

Log (naplóbejegyzés): egy szervezett nyilvántartó rendszerbe bekerülő információ vagy események feljegyzése. Általában időrendi és bekövetkezési sorrendben tárolva.

MAC - Media Access Control: a számítógép hálózatra kapcsolódó eszközének (ethernet alapú kártya) a gyártó által beállított egyedi azonosítója, ami alapján egy számítógépes csatlakozás egyértelműen beazonosítható.

Megelőző szabályozások: azok a szabályozások, amelyek egy hibát, hiányosságot vagy biztonsági probléma bekövetkezését előzik meg vagy gátolják meg.

Modem: az informatikai eszköz digitalizált adatait a telefonvonalon való továbbíthatóság érdekében hangjelekké alakító (moduláló), illetve a telefonvonalon érkező analóg hangjelet az informatikai eszköz számára értelmezhető digitális jellé visszaalakító (demoduláló) berendezés.

Naplózás: az adatfeldolgozáshoz kapcsolódó többcélú, differenciált hozzáféréssel védett adminisztratív megoldás. A napló tartalmazza az adatfeldolgozó vagy adatigénylő azonosítóját, tevékenységét, az adatkezelés idejét, jogalapját, az adatváltozás forrását és eredményét, valamint az adatkezelési nyilvántartási rendszer azonosítóját.

Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetővé teszik (Avtv. 2 §).

Operációs rendszer: a számítógép azon fő vezérlő programcsomagja, aminek segítségével a számítógép a felhasználók részére készített alkalmazói programokat tud működtetni.

PIN (Personal Identity Number): személyes azonosító szám/kód, a felhasználó hozzáférési jogosultságát azonosító jelszó, általában négyjegyű szám

Port: digitális eszközök, berendezések fizikai és logikai hálózati csatlakozási lehetősége

Rejtjelezés: minden olyan tevékenység, eljárás, amelynek során valamely minősített adatot abból a célból alakítanak át, hogy annak eredeti állapota a megismerésére illetéktelenek számára rejtve maradjon és ennek következtében a minősített adat minősítés nélküliként kezelhető legyen, valamint a rejtjelzett adat eredeti állapotba történő visszaállítása (A minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V.6.) Kormányrendelet 1.§.14.).

Rendszergazda szervezet: az informatikai rendszer rendelkezésre állásáért és működő képességéért felelős szervezet. A rendszergazda szervezet szerepkör összeférhetetlen a rendszerirányító és a biztonsági vezető szerepkörrel.

Rendszerirányító: az a személy, aki jogszabály, vagy államigazgatás egyéb jogi eszközei, vagy belső normatív szabályozás szerint meghatározott felelősségi körében kötelezett a számára meghatározott, feladat és hatáskörébe utalt adatkezelések dokumentációjának elkészítésére, jogosultsági rendszerének kialakítására és irányítására, rendeltetésszerű működtetésére. Felelős az irányított információs rendszer tekintetében, a biztonsági fokozatnak megfelelő védelmi és biztonsági szabályok gyakorlati érvényesüléséért. Részt vesz a biztonsági fokozatnak megfelelő védelmi és biztonsági módszerek megtervezésében, a módszerek alkalmazásának megszervezésében, javaslatot tesz a szervezeti és működési feltételek és követelmények biztosítására. A rendszerirányító szerepkör összeférhetetlen a rendszergazda szervezet és biztonsági vezető szerepkörrel.

Router: egy hálózati eszköz, amely csomagokat küld - irányít - keresztül a hálózaton. Az OSI hálózati modell 3. rétegéhez tartozó eszköz.

Rizikó: egy lehetőség, amely kapcsán egy adott fenyegetés egy erőforrás vagy erőforrás csoport gyengeségét kihasználva az adott erőforrásban veszteséget vagy kárt okoz.

Sávszélesség: a legkisebb és legnagyobb átvihető frekvencia közötti sáv. Egy elektronikus adatátviteli vonal átviteli kapacitását jelöli, amit a másodpercenként átküldött vagy átvitt bájtok számával mérünk.

Sértetlenség, integritás: a sértetlenséget általában az információkra, adatokra illetve a programokra értelmezik. Az információk sértetlensége alatt azt a fogalmat értjük, hogy az információkat csak az arra jogosultak változtathatják meg, és azok véletlenül sem módosulnak. Ez az alap-veszélyforrás a programokat is érinti, mivel az adatok sértetlenségét csak rendeltetésszerű feldolgozás és átvitel esetén lehet biztosítani. A sértetlenség fogalma alatt gyakran értik a sérthetetlenségen túli teljességet, továbbá az ellentmondás mentességet és a korrektséget, együttesen: integritást. Az integritás ebben az összefüggésben azt jelenti, hogy az információ valamennyi része rendelkezésre áll, elérhető. Korrektek azok az információk, amelyek a valós dologi vagy - pl. modellezésnél - feltételezett állapotot helyesen írják le.

Scope: a hálózati csatlakozást lehetővé tevő Internet Protocol (IP) tartomány

Superuser: különleges jogosultságokkal rendelkező felhasználó vagy rendszergazda, aki az adott hardverhez vagy szoftverhez teljes és korlátozásmentes jogosultságokkal fér hozzá.

Személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt - közvetlenül, vagy közvetve - név, azonosító jel, illetőleg egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet (Avtv. 2.§.1.) . A személyes adatok körébe tartozik a kép és hangfelvétel, DNS minta, íriszkép stb. A meghatározás értelmezése szerint azok az adatok is személyes adatnak tekintendők, amelyek önmagukban ugyan nem, de az adatkezelő birtokában lévő egyéb személyes adatokkal összevetve az érintettel kapcsolatba hozhatók.

Személyesadat-nyilvántartó rendszer (nyilvántartó rendszer): személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető (Avtv. 2.§.17.).

Szerv kód: valamely szerv, szervezeti egység azonosításra alkalmas jelsorozata.

Szoftver: a digitális berendezések és számítógépek működését lehetővé tevő programok és dokumentációk összessége. A hardver programozott használatát lehetővé tevő alkalmazás, algoritmus.

Technikai adatállomány: a jogszerűen kezelt adatokból adatbiztonsági vagy technikai célból létrehozott - legfeljebb az adatok jogszabályban előírt törlési határidejéig kezelt - ideiglenes adatállomány, melyet nem továbbítanak, tartalmát nem hozzák nyilvánosságra. A technikai adatállományt úgy kell képezni, hogy abban közvetlen módon adatmanipulációt (létrehozás, módosítás, törlés) - funkciójának ellátása során - ne lehessen végrehajtani.

Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja és adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri (Avtv. 2.§.7.).

Titkosírás: a titkosírás olyan tudomány, amely az adat-átalakítás elveit, eszközeit és módszereit foglalja magába, az adat információ-tartalmának elrejtése, fel nem ismerhető módosításának és/vagy jogosulatlan használatának megakadályozása céljából.

Tűzfal - Firewall: egy megoldás vagy berendezés, aminek segítésével a különböző hálózatokat elkülöníthetjük egymástól, segítségével érvényre juttatva a megcélzott biztonsági politikát.

Switch: egy hálózati eszköz, amely hálózati szegmenseket hoz létre és köt össze. Az OSI hálózati modell 2. rétegéhez tartozó eszköz.

Utility: segédprogramok összefoglaló, gyűjtő neve, amelyek segítségével különféle, alkalmazásokhoz nem köthető feladatokat végezhetünk el. Példák: tömörítő programok, víruskereső programok, kép és grafika megjelenítő programok, stb.

Ügyviteli védelem: az információ rendszer felelőseinek (rendszerirányító, rendszergazda, üzemeltető) és az adatkezeléssel kapcsolatos tevékenységnek szervezési és adminisztratív módon történő nyomon követése, a felelősség körülhatárolása. Kiterjed az információ rendszerre és annak szolgáltatásaira, valamint az adathordozók kezelésére, beleértve a hozzáférési jogosultság és a betekintés dokumentálását is. Ahol annak technikai feltételei adottak, a hozzáférési jogosultság ellenőrzésére és dokumentálására digitális aláírás vagy ujjnyomat felismerő eszköz is alkalmazható.

Üzemeltető: az a személy, aki az informatikai struktúra működtetésével kapcsolatos üzemeltetési, fenntartási, fejlesztési feladatok ellátására az SZMSZ alapján kötelezett szervezeti egység vezetője.

Üzleti rizikó: az üzleti célok elérését és az ehhez szükséges működést veszélyeztető potenciális kár vagy veszteség

Végponti eszköz: az informatikai rendszerben a felhasználó által használt, az informatikai rendszer szolgáltatásának alkalmazását lehetővé tevő végberendezés, eszköz, illetve ezek működéshez szükséges alkotó elemei és alkatrészei (mint például telefonkészülék, rádiókészülék, számítógép és perifériái, személyazonosító kártya stb.)

WAN (World Area Network): nagy kiterjedésű (világméretű) hálózat, ilyen az Internet, vagy az Internet technológiára épülő, zárt Intranet hálózat, pl.: országos kiterjedésű büntetés-végrehajtási szervezeti informatikai rendszer

Összefoglaló ábra az adatvédelmi szerepkörökről és viszonyukról:


     1.9.   Normatívák érvényesítése

A BVOP az informatikai biztonsági kérdésekben jogosult - megfelelő biztonsági garanciák és írásos nyilatkozatok megléte mellett - külső szakértőket bevonni a fejlesztés, karbantartás, auditálás és biztonsági tesztelés céljából a teljes vagy rész informatikai rendszert érintően.

          1.9.1.   Az érvényesítés területei

A normatívák érvényesülését az informatikai rendszer és annak részei vonatkozásában a teljes életciklusra vonatkozóan biztosítani kell, így:

- az informatikai rendszer tervezése;
- az informatikai rendszer fejlesztése;
- az informatikai rendszer bevezetése, illetve üzembe helyezése;
- az informatikai rendszer üzemeltetése, fenntartása;
- az informatikai rendszer megszüntetése, felszámolása vagy rekonstrukciója során.

          1.9.2.   Az érvényesítés személyi vonatkozásai

A BV IBSZ személyi hatálya alá tartozó személyek kötelesek a BV IBSZ rendelkezései szerint eljárni, illetve kötelesek megőrizni az informatikai rendszer szolgáltatásainak minőségét, a büntetés-végrehajtási szervezet jó hírét, szellemi és vagyoni értékeit, kötelesek a munkavégzésük során betartani a jogszabályokban, az állami irányítás egyéb jogi eszközeiben, illetve a büntetés-végrehajtási szervezet belső szabályzóiban meghatározottak szerint felelősséggel eljárni.

A biztonsági szabályok megsértése esetén a BV IBSZ személyi hatálya alá tartozó személyekkel szemben felelősségre vonást kell kezdeményezni.

A biztonsági előírások betartásának ellenőrzése érdekében a büntetés-végrehajtási szervezet jogosult a saját munkáltatói vagy szerződéses jogkörében - tértől és időtől függetlenül - minden, az informatikai rendszerében működtetett végponti eszközön, előre be nem jelentett módon ellenőrzést végrehajtani. A végponti eszközön végzett felhasználói tevékenység naplózása felhasználható ellenőrzési célra.

A biztonsági előírások be nem tartásából következő káresemény, vagy veszélyhelyzet esetén az informatikai fenntartást végző szervezet jogosult a normasértő cselekmény megszakítására - a körülmények rögzítése mellett - ideiglenes korlátozások bevezetésére, szolgáltatások ideiglenes, vagy végleges megszüntetésére, a normatíva szerinti működés helyreállítására.

A személyi hatály érvényesíthetősége érdekében, a külső szervezetekkel és személyekkel történő szerződés kötése esetén, a szerződésnek tartalmaznia kell, hogy a szerződő fél tudomásul veszi a BV IBSZ-ben megfogalmazott szabályokat, azokat magára nézve kötelezőnek fogadja el és azok szerint jár el.

          1.9.3.   Az érvényesítés szervezethez kapcsolódó vonatkozásai

Az informatikai rendszer elemei, különösen az adatkezelések vonatkozásában, a büntetés-végrehajtási szervezet Adatvédelmi Szabályzata szerint ki kell jelölni a rendszerirányító és a rendszergazda szervezeti egységet.

Az egyes informatikai rendszer elemek üzemeltetési tevékenységéért, annak megszervezéséért a rendszerirányító szervezet vezetője felel.

Az informatikai rendszer elemek rendelkezésre állásáért és működő képességéért a rendszergazda szervezet vezetője felel. A rendszergazda szervezet, a rendszerirányító szervezet állományában megfelelő végzettséggel és képzettséggel rendelkező rendszergazdájának, vagy munkaköri leírásában rendszergazdai feladatokkal megbízott személyének az alrendszer üzemeltetési utasításában rögzített alkalmazás rendszergazdai feladatokat átruházhatja.

Az informatikai rendszer fejlesztéséért, bevezetéséért, fenntartásáért, megszüntetéséért, felszámolásáért és rekonstrukciójáért az informatikai szervezet vezetője felel.

          1.9.4.   A tartományi működés során alkalmazott konvenciók

A büntetés-végrehajtási szervezet informatikai rendszerében kizárólag a bv.hu tartományba léptetett központi kiszolgálók és munkaállomások működtethetőek.

A tartományban működtetett eszközöknek az alábbi névkonvenció szerint képzett elnevezést kell biztosítani:

               1.9.4.1.   Intézeti azonosító:

Az informatikai rendszerben az egyes intézetek és intézmények négy karakteres betűszóval kerülnek azonosításra. Az azonosítók:

Büntetés-végrehajtási Országos Parancsnokság

BVOP

Állampusztai Országos Büntetés-végrehajtási Intézet

APTA

Bács-Kiskun Megyei Büntetés-végrehajtási Intézet

KECS

Békés Megyei Büntetés-végrehajtási Intézet

GYUL

Kalocsai Fegyház és Börtön

KFBT

Szegedi Fegyház és Börtön

SZGD

Baranya Megyei Büntetés-végrehajtási Intézet

PECS

Somogy Megyei Büntetés-végrehajtási Intézet

KVAR

Tolna Megyei Büntetés-végrehajtási Intézet

SZEK

Hajdú-Bihar Megyei Büntetés-végrehajtási Intézet

DBRC

Jász-Nagykun-Szolnok Megyei Büntetés-végrehajtási Intézet

SZOL

Szabolcs-Szatmár-Bereg Megyei Büntetés-végrehajtási Intézet

NYRH

Tiszalöki Országos Büntetés-végrehajtási Intézet

TSZL

Balassagyarmati Fegyház és Börtön

BALA

Borsod-Abaúj-Zemplén Megyei Büntetés-végrehajtási Intézet

MISK

Heves Megyei Büntetés-végrehajtási Intézet

EGER

Sátoraljaújhelyi Fegyház és Börtön

SAUJ

Közép-Dunántúli Országos Büntetés-végrehajtási Intézet

KDBV

Pálhalmai Országos Büntetés-végrehajtási Intézet

PLHM

Veszprém Megyei Büntetés-végrehajtási Intézet

VESZ

Budapesti Fegyház és Börtön

PEST

Büntetés-végrehajtás Központi Kórház (Tököl)

KORH

Büntetés-végrehajtási Szervezet Oktatási Központja

BVOK

Büntetés-végrehajtási Szervezet Továbbképzési és Rehabilitációs Központja (Pilisszentkereszt)

PILS

Fiatalkorúak Büntetés-végrehajtási Intézete (Tököl)

FTOK

Fővárosi Büntetés-végrehajtási Intézet

FVRS

Igazságügyi Megfigyelő és Elmegyógyító Intézet (Budapest)

IMEI

Márianosztrai Fegyház és Börtön

MARI

RTF Büntetés-végrehajtási Tanszák (Budapest)

RTFT

Váci Fegyház és Börtön

VACI

Győr-Moson-Sopron Megyei Büntetés-végrehajtási Intézet

GYOR

Sopronkőhidai Fegyház és Börtön

SKFB

Szombathelyi Országos Büntetés-végrehajtási Intézet

SZOM

Zala Megyei Büntetés-végrehajtási Intézet

ZALA

               1.9.4.2.   Gépnév (host - szerver, nyomtató, munkaállomás stb.):

Az informatikai rendszerben használt eszközt (mind saját, mind idegen eszköz vonatkozásában) a négy karakteres intézeti azonosító, „-” (kötőjel) és a nagy értékű eszközazonosító számból képzett névvel kell ellátni (pl.: BVOP-A28G002109). A gépnév maximális hossza 15 karakter és csak az angol „ABC”-nek megfelelő nagybetűket, számokat és a kötőjelet tartalmazhatja.

               1.9.4.3.   Felhasználói azonosítók:

a) Fő szabályként a felhasználói neveket a természetes személy vezeték és keresztnevéből kell képezni oly módon, hogy az angol „ABC” kisbetűit kell alkalmazni, a vezeték és keresztnév, „.” ponttal történő elválasztásával (pl.: teszt.elek).

Név előtagok esetében (ifj., id., dr.), ha a felhasználó felhasználói nevében alkalmazni kívánja azt, akkor a név előtagot a felhasználói név végére „.” ponttal elválasztva kell megadni. (pl.: teszt.elek.dr)

Név utótag esetében a „né” alkalmazását, kizárólag a vezetéknévvel együtt írott formában, ékezet nélkül lehet alkalmazni, egyéb utótagokat (Ph.D., MBA) a felhasználói név nem tartalmazhat.

A felhasználói név maximális hossza a PreWindows 2000 együttműködés biztosítása miatt, 20 karakter.

A felhasználói név hosszának korlátozása miatt a második vezeték-, vagy keresztnév használata is korlátozott. A felhasználói név kialakítását a felhasználóval egyeztetni kell. A képzett felhasználói névben alkalmazott második vezeték-, vagy keresztnevet „.” ponttal kell elválasztani a vezeték és a keresztnévtől is. Kötőjel („-”) a felhasználói névben kizárólag akkor alkalmazható, ha az anyakönyvezett név azt tartalmazza. (pl.: teszt-elek.gabor; teszt.elek.sandor; teszt-elek.istvan.e; tinodi.lantos.s; tinodi.l.sebestyen; t.lantos.sebestyen; t.l.sebestyen)

b) A felhasználói név foglaltsága esetén az új azonosítót egyeztetni kell a felhasználóval és lehetőség szerint kerülni kell az összetéveszthetőségre okot adó megnevezés alkalmazását. Ebben az esetben is alkalmazni kell a természetes személy felhasználói név képzésének névkonvencióit. Javasolt a névben „.” ponttal elválasztva a telephelyi hivatkozás elhelyezése (teszt.elek; teszt.elek.eger; teszt.elek.bp; t.l.sebestyen.szhely; teszt2.elek)

c) A szervizfiókok esetében a felhasználói nevet „_” aláhúzás karakterrel kell kezdeni, majd ezt a négybetűs azonosító követi, amelyet „-” kötőjel és szolgáltatásnév követ. A szervizfiókok esetében az angol „ABC” nagybetűit kell alkalmazni, „_” aláhúzás karaktert, „-” kötőjelet és számokat tartalmazhat. (pl.: _BVOP-DHCPUPD)

d) DNS alias nevek esetében főszabályként minden szolgáltatáshoz önálló DNS alias nevet kell rendelni, amely a négybetűs azonosítóval kezdődik, majd a szolgáltatás rövid megnevezése, rövidítése következik „-” kötőjellel elválasztva. Az alias nevet kettő karakter pozíción sorszámmal kell ellátni Az alias név az angol „ABC” nagybetűit, „-” kötőjelet és számokat tartalmazhat. (pl.: BVOP-SQL01)

A helyi hálózati infrastrukturális szolgáltatások egységesítése érdekében az alábbi DNS alias neveket a site-on, vagyis az OU-ban (Organization Unit - szervezeti egység) biztosítani kell.

szolgáltatás

IP cím

DNS alias név

tartományvezérlő
symantec frissítés
állomány megosztás
nyomtató megosztás
frissítő szerver
terminálszerver
adatbázisszerver
alkalmazásszerver

172.17.x.1
172.17.x.1
172.17.x.2
172.17.x.2
172.17.x.2
172.17.x.3
172.17.x.4
172.17.x.4

négybetűs azonosító DC01
négybetűs azonosító SEPGUP01
négybetűs azonosító FILE01
négybetűs azonosító PRINT01
négybetűs azonosító WSUS01
négybetűs azonosító TS01
négybetűs azonosító SQL01
négybetűs azonosító APP01

e) Csoport nevek

A bv.hu tartományban a globális csoportok (kettő, vagy több OU-t érintő) beállítását, kezelését a tartományi rendszergazdák, illetve a BVOP OU rendszergazdák végzik az központi informatikai szervezeti egység vezetőjének jóváhagyásával, az OU csoportjainak kezelése OU rendszergazdai feladat. A csoport név a négybetűs azonosító, „-” kötőjel és a szerepkör, vagy funkció megnevezéséből áll. A csoport neve az angol „ABC” betűiből, számokból és a „-” kötőjelből állhat. (pl.: ugykezelo; informatikusok; OUAdmins; BVOP-informatika; BVOP-OUAdmin).

f) E-mail nevek

A bv.hu tartományi felhasználói jogosultak elektronikus levelezési fiók igénylésére, amely kérelmük munkáltatói jóváhagyását követően részükre a felhasználói nevükkel azonos elektronikus levelezési nevet (e-mail címet) kell létrehozni.

Az elektronikus levelezési címhez a felhasználó kérése alapján alias nevek rendelhetőek, amelyek kialakítása során úgy kell eljárni, hogy az eleget tegyen a büntetés-végrehajtási szervezet jó híre megőrzésének, ne legyen dehonesztáló.


2.   Rendszertechnológiai és szakmai védelmi intézkedések


     2.1.   A védelem alanya, tárgya és eszköze

a) a felhasználásban alkalmazott eszközök és berendezések (hardver), valamint azok működési biztonsága

b) a digitális és számítógépes alkalmazás rendszerek és operációs rendszerkörnyezetük, biztonsági és archiválási rendszerük, továbbá ezek rendeltetésszerű felhasználása, újra előállíthatósága

c) az alkalmazói programok és a működtetésükhöz és ellenőrzésükhöz szükséges kiegészítő programok (alkalmazói szoftver és utility)

d) az informatikai rendszer működéséhez szükséges bármilyen formátumú (írott, nyomtatott, elektronikus, stb.) dokumentációk

e) az adatok és információk, törlésükig

f) az adathordozók, érvénytelenítésükig és selejtezésükig (törlés, formattálás, megsemmisítés)

g) a személyhez fűződő jogok (a Ptk., az Avtv., és a büntetés-végrehajtási szervezet adatvédelmi és adatbiztonsági szabályzata alapján)

h) a minősített adatok felhasználása, tárolása (90/2010. (III.26.) Korm. rendelet, 161/2010. (V.6.) Korm. rendelet alapján)

i) az informatikai rendszerben iratként kezelt adatok ügyvitele (a büntetés-végrehajtási szervezet Iratkezelési Szabályzata alapján)

j) a vagyoni jogok (a büntetés-végrehajtási szervezet Gazdálkodási Szabályzata alapján)

k) az alkalmazott általános és konkrét biztonsági intézkedések, eljárások, normatívák

l) A védelem eszközei a BV IBSZ-ben megfogalmazott informatikai védelmi szabályok, a büntetés-végrehajtási szervezet mindenkori technikai fejlettségi szintjének megfelelő műszaki, szervezési, adminisztratív és ügyrendi intézkedések, amelyek a védelem tárgyának védelmét a különböző veszélyforrásokból származó hatások, cselekmények ellen megóvják, és a megelőzést elősegítik.


3.   Infrastruktúra


     3.1.   Gépterem és technikai helyiség

a) Az informatikai rendszer funkcionális elemeit (vonalrendező; digitális rendező; átviteltechnikai berendezés; aktív hálózati eszközök - router, switch; számítógép központ; távbeszélő központ; rádió bázisállomás; szünetmentes tápellátást biztosító rendszer; rendszerfelügyeleti végberendezések) fizikailag védeni kell az illetéktelen hozzáféréstől, ennek érdekében az ezek elhelyezésére szolgáló helyiségekbe való belépést, a tároló szekrényekhez (RACK) való hozzáférést korlátozni kell. A korlátozás tényét, és a belépésre, hozzáférésre jogosultak nevét vagy beosztását a korlátozás alá vont helyiségen vagy tároló szekrényen fel kell tüntetni. Amennyiben a korlátozás alatt álló helyiség zárt láncú videó rendszerrel védett, a felvételek készítéséről, felhasználásáról és a tárolásáról szóló tájékoztatót is el kell helyezni.

b) A korlátozás alatt álló helyiségbe jogosultsággal nem rendelkező személy csak felügyelet mellett léphet be, amelynek tényét minimálisan a belépő személyének, a belépés pontos idejének, a belépés okának, munkavégzés esetén annak rövid leírásának, és időtartamának rögzítésével dokumentálni kell. A dokumentálást ügyeleti szolgálat által végrehajtott felügyelet esetén az ügyeleti nyilvántartásban, valamint az erre a célra a korlátozott helyiségben tárolt javítások könyvében kell végrehajtani. A dokumentálásért a felügyeletet ellátó személy a felelős.

c) Minimálisan a telefonközpontot, a számítógépközpontot, a géptermet és az ezek rendeltetésszerű működéséhez szükséges átviteltechnikai berendezéseket szünetmentesített tápellátással kell ellátni, lehetőség szerint úgy, hogy tartós áramszünet esetén aggregátor biztosítson számukra tápellátást. A tápellátást úgy kell kialakítani, hogy ezeken a berendezéseken kívül más fogyasztó a tápellátó rendszerhez ne csatlakozzon, illetve a tápellátást egy főkapcsolóval ki lehessen kapcsolni. Ezt a főkapcsolót a korlátozás alatt álló helyiségben kell elhelyezni.

d) A szünetmentes tápellátási rendszert úgy kell felépíteni, hogy a kritikus alkalmazásokat futtató szerverek tápellátása áramszünet esetén minimálisan 15 percig biztosítsa a tápellátást a szerverek szabályos automatikus leállításának vagy kézi lekapcsolásának idejére, az aggregátor üzembe helyezéséig.

e) A távfelügyeleti rendszerrel üzemeltethető szünetmentes tápellátó rendszert, amely alkalmas távoli szoftveres leállításra, tilos védelem nélkül nyilvános hálózati rendszerhez csatlakoztatni. A védelemnek minimálisan pont - pont között fönnálló egyedi azonosítást igénylő, de lehetőség szerint algoritmikus, a rácsatlakozást detektáló és oldó megoldásnak kell lennie (pl.: VPN, 3DES, IPSec, stb.).

f) A szervereket lehetőség szerint gépteremben kell elhelyezni, ennek hiányában elsődlegesen az egyéb informatikai eszközök elhelyezését szolgáló technikai helyiségekben, vagy külön e célra kialakított helyiségben (számítógépközpontban).

g) A számítógépközpontot úgy kell kialakítani, hogy minimálisan biztosítsa a szerverek géptermi elhelyezését és a felügyeletet, távoli konzol feladatok elvégzését biztosító operátori helyiséget, vagy feldolgozót.

h) A gépteremnek biztosítania kell a benne elhelyezett informatikai eszközök üzemeltetési feltételeinek megfelelő kialakítást, így többek között a 15-30ºC közötti hőmérsékletet biztosító fűtő és hűtő berendezéseket.

i) A gépteremnek biztosítania kell, hogy a benne elhelyezett informatikai eszközök kisugárzása illetéktelen személy által nyilvánosan hozzáférhető illetve elérhető helyről ne legyen fogható.

j) A géptermet úgy kell kialakítani, hogy a helyiség egy ajtóval rendelkezzen, és az nem nyílhat közvetlenül korlátozás alatt nem álló területre.

k) A központi géptermet úgy kell kialakítani, hogy lehetőség szerint megfelelő fizikai védelmekkel ellátva a földszinten legyenek, a géptermek fölött és mellett ne legyenek közművek és a közművek ne veszélyeztessék semmilyen formában az ott működtetett végponti berendezéseket. A közműhálózat hibájából bekövetkező veszélyhelyzet esetén azt haladéktalanul jelenteni kell további intézkedésre az informatikai szervezet vezetőjének. Amennyiben a közműrendszer hibájából bekövetkezett veszélyhelyzet a gépteremben üzemelő informatikai eszközökre káros hatással jár, meg kell kísérelni az eszközök szabályos kikapcsolását, mentését. Erre vonatkozóan a szabályzat 4. pontja részletes rendelkezéseket tartalmaz.

l) A gépteremben, a technikai helyiségekben az informatikai szervezet vezetőjének minimálisan zártcélú távbeszélő szolgáltatás hozzáférést kell biztosítania.

m) A légkondicionáló rendszert úgy kell kialakítani, hogy biztosítsa a teljes helyiségre vonatkozó fűtési-, hűtési teljesítmény rotálását, kieső eszköz esetén a maradék eszköz legyen képes a funkció ellátására a meghibásodott eszköz javításáig, vagy cseréjéig. A meghibásodás tényét az üzemeltetésért felelős vezetőnek írásban kell megküldeni, az informatikai szervezet vezetőjének tájékoztatása mellett.

n) A számítógép- és a telefonközpontot, a gépteremet és a technikai helyiséget a fizikai behatolás ellen védeni kell. Ajtaját vasráccsal, vagy biztonsági ajtóval (minimálisan több ponton záródó és biztonsági zárral felszerelt) kell ellátni, földszinti elhelyezés esetén ablakait vasráccsal kell ellátni. A vasrácsot úgy kell kialakítani, hogy nem akadályozhatja a helyiség szellőztetését, valamint nem zárhat el menekülési útvonalat.

o) A számítógépközpontot, a telefonközpontot, a gépteremet, az technikai (átviteltechnikai) helyiséget úgy kell kialakítani, hogy tűz-, baleset-, és munkavédelmi okokból nem lehet azzal közös elhelyezésben raktár, irodai munkahely, illetve ezekben a helyiségekben nem valósulhat meg készlet- és egyéb az informatikai működéshez szükséges un. fogyóanyag tárolása.

p) Az informatikai rendszer, egyes infrastrukturális eleméhez való superuser hozzáférés adatait dokumentálni és egymástól elkülönítetten, központilag tárolni kell. A superuser hozzáférés adataihoz az infrastruktúra rendszergazda, a helyettesítésével munkaköri leírásban megbízott személy és a rendszergazda szervezet vezetője jogosult hozzáférni. A hozzáférést megismerő köteles ideiglenes hozzáférési adatokat elhelyezni, és arról az infrastruktúra rendszergazdát tájékoztatni, aki gondoskodik a hozzáférések újbóli elhelyezéséről. A hozzáférés megismerését, az új hozzáférési adatok elhelyezését minimálisan a megismerés, elhelyezés dátum, időpont adatainak és a megismerő, elhelyező személy adatainak rögzítésével dokumentálni kell a javítások könyvében.


     3.2.   Új infrastrukturális rendszer fejlesztése, beruházása

a) Új infrastrukturális rendszer fejlesztésével kapcsolatos feladatokat az központi informatikai szervezeti egység fejlesztési szakterülete, a rendszerintegrációs feladatokat az informatikai szervezet végzi. Az infrastrukturális beruházás előkészítésében, végrehajtásában informatikai szakértőt, vagy szakértőket kell kijelölni, akinek feladata a rendszerintegráció megvalósíthatóságának biztosítása. A gazdaságilag jóváhagyott beruházást a rendszerterv és a fejlesztési leírás alapján az központi informatikai szervezeti egység vezetője engedélyezi. Amennyiben a rendszertervezési feladat a beruházás része, akkor a beruházást kezdeményező szakmai, vagy funkcionális szerv vezetője rendszerelképzelést készít, amely megvalósíthatósági tanulmány minimálisan tartalmazza a rendszer szakmai indokolását és költség igényét. A megvalósíthatósági tanulmánynak minden olyan adatot tartalmaznia kell, amely lehetővé teszi az informatika főosztály számára a fejlesztési tervben való szerepeltetést, és a szakirányítónak való adatszolgáltatást. Figyelemmel a költségvetési évre, a fejlesztési igényt a következő év költségvetésének tervezése előtt (július 15-ig) kell benyújtani.

b) Az új infrastrukturális rendszert a büntetés-végrehajtási szervezet Országos Parancsnokának parancsával kell rendszerbe állítani, amelynek tartalmaznia kell a rendszer egyértelmű azonosítását lehetővé tevő megnevezést, a rendszer felhasználásában, üzemeltetésében és fenntartásában résztvevő szervezeti egységek munkamegosztási rendszerét, a felhasználók és szakbeosztású személyek funkcióit és ehhez kapcsolódó jogosultsági rendszerüket, valamint az ezen rendelkezések rögzítésének kötelezettségét az SZMSZ és/vagy a munkaköri leírások rendszerében. Amennyiben a rendszeresítési parancs nem rendelkezik a felhasználás, üzemeltetés és fenntartás rendszeréről, vagy ezek valamelyikéről, akkor az arról szóló rendelkezést kell tartalmaznia, a hatálybalépést követő határidő, felelős megjelölésével. A rendszeresítést megelőző fejlesztési, tesztelési és rendszerintegrációval kapcsolatos bevezetési feladatok ellátásában ideiglenes jelleggel - legkésőbb a rendszeresítésig - a központi informatikai szervezeti egység vezetője jogosult szabványosítani, szolgáltatást bevezetni, vagy időszakosan, ideiglenesen korlátozni, vagy a rendszerből való kivonással megszüntetni.

c) Az új infrastrukturális rendszer fejlesztésével, integrálásával, az üzemeltetés támogatásával, illetve a fenntartási tevékenység során a karbantartó-javító tevékenység végzésével kapcsolatosan Szolgáltatói Szerződést (SLA) kell kötni, amelynek tartalmi elvárásait a szervezethez és személyekhez kapcsolódó védelmi intézkedések rész részletesen meghatároz.

d) A SLA megkötésével kapcsolatosan érvényesíteni kell a közbeszerzési, vagyongazdálkodási szabályokat, amely végrehajtásával kapcsolatos feladatokat a büntetés-végrehajtási szervezet Gazdálkodási Szabályzata tartalmaz.


     3.3.   Gépazonosítás

Az informatikai infrastruktúrában csak azonosított munkaállomás üzemeltethető. Az idegen gép elleni védelmet a technikai feltételek megléte esetén, több szinten biztosítani kell, így:

a) minden hálózatra kötött számítógépet MAC címe alapján azonosítani kell a csatlakoztatás helyén (switch - port security), nem azonosított gép nem csatlakozhat a hálózathoz. Minden használaton kívüli porton tiltani kell a hálózati csatlakozást.

b) a DHCP szerveren csak MAC címhez rendelt IP szám osztható ki (reservation IP). Tilos a hálózaton nem azonosított, vagy azonosítást nem végző DHCP szerver, vagy IP tartomány (scope) használata. A MAC cím hiányában (pl.: kapcsolt vonali csatlakozás) a fogadó eszköznek vagy szolgáltatásnak biztosítania kell a hardver szinten azonosított csatlakozást.

c) a hálózati szolgáltatásokat úgy kell biztosítani, hogy az erőforráshoz csak tartományi felhasználói név és jelszó azonosítást követően lehessen hozzáférni. Amennyiben szükséges un. vendég funkcióval, kizárólag Internet elérésére alkalmas hozzáférés mellett végponti eszköz elhelyezhető szabad használatú helyiségben (könyvtár, folyosó, oktató terem, aula stb.)

d) a szervereket, a TCP/IP hálózati nyomtatókat és hálózati aktív elemeket lehetőség szerint fix IP címmel kell ellátni az informatikai szervezet által meghatározott adatok alapján. Az IP számtartomány kezeléséről és szabályairól az központi informatikai szervezeti egység vezetője a hatálybalépést követő 30 napon belül rendelkezik.


     3.4.   On-line hardver és szoftver leltár

A tartományi munkaállomásokat úgy kell telepíteni, hogy folyamatosan szolgáltassák a vagyon nyilvántartás alapadatait, a hardver és szoftvernyilvántartáshoz. Ennek érdekében helyi-, területi- és központi szinten telepíteni és működtetni kell a System Management Servert (későbbiekben: SMS) vagy ennek megfelelő funkciójú alternatív szolgáltatást.

Az SMS szervert lehetőség szerint alkalmazni kell az idegengép védelmi funkciókban oly módon, hogy az on-line nyilvántartástól eltérő tartományi munkaállomás használata esetén azt a hálózati erőforrások használatából zárja ki (automatikus shutdown), végezzen riasztást. Az on-line hardver és szoftver leltár 2013. január 01-i bevezetésére az központi informatikai szervezeti egység vezetője intézkedik.


     3.5.   Hálózati nyomtatók

a) A tartományi környezetben lehetőség szerint kerülni kell a lokálisan telepített nyomtatók alkalmazását (az BV IBSZ hatálybalépését követően kizárólag TCP/IP hálózati nyomtatási képességgel rendelkező, PCL6 szabványos, dupla oldalas nyomtatásra képes nyomtató beszerzése engedélyezett), törekedni kell nagy teljesítményű, közös felhasználású nyomtatók elhelyezésére.

b) Lokálisan telepített nyomtatót tilos megosztani. A rendszertechnológiai hibák kiküszöbölése érdekében a nyomtató konszolidáció megvalósításáig az központi informatikai szervezeti egység vezetője írásbeli engedéllyel kivételt tehet.

c) A hálózati nyomtatókat csak nyomtatószerverre telepített módon lehet használni úgy, hogy a nyomtatási lehetőség felhasználói jogosultsághoz legyen rendelhető. Lehetőség szerint a nyomtatási adatokat logolni kell. (A nyomtatási naplózást a Primon alkalmazás biztosítja, amely bevezetésére a BV IBSZ hatálybalépését követő 90 napon belül az informatikai szervezet vezetője intézkedik.)

d) A hálózati nyomtatók rendelkezhetnek egyéb funkciókkal (fénymásolás, szkennelés, fax stb.), amelyek használatát lehetőség szerint szintén felhasználói azonosításhoz kell rendelni (ID kártya, PIN kód stb.).

e) A távfelügyelettel vezérelhető nyomtatókat (http config) úgy kell beállítani, hogy a távfelügyeleti funkció csak felhasználói név/jelszó azonosítás mellett legyen elérhető. Kerülni kell minden általánosan alapértelmezettként (default) rögzített beállítást, figyelemmel a szükséges és elégséges mértékre.


     3.6.   Fájl megosztás

A hálózati környezetben csak nem minősített adat osztható meg úgy, hogy szerzői- vagy szomszédos jog, személyes- vagy különleges adat, illetve üzleti-, vagy magán titok nem sérülhet. Az adatok védelméért az adatot elhelyező is felelős.

A tartományi munkaállomáson a felhasználó számára tilos állományokat, alkönyvtárakat, vagy egyéb erőforrásokat megosztani.

A fájl megosztó szerveren a megosztást úgy kell kialakítani, hogy a hozzáférés a „vendég” felhasználó (guest) és a „mindenki” csoport (everyone), valamint a létrehozó tulajdonos (creator owner) számára tiltott legyen.

A fájl megosztó szerveren a megosztásnak az alábbi funkcionalitást kell biztosítani:

user – felhasználó
group - csoport, szervezeti egység
other - egyéb, nem a szervezeti egység, vagy a szervezeti egységhez tartozó felhasználó
admin - superuser, infrastrukturális rendszergazda, informatikai fenntartó szervezet

sorszám

struktúra azonosító

user jog

group jog

other jog

admin jog

megjegyzés

1.

\user\user

RW

-

-

-

user magán iratai
nem kerül mentésre

2.

\group\home

RW

RW

-

R

szervezeti működés iratai
központosítottan kerül mentésre

3.

\group\public

RW

RW

R

R

szervezeti egység posta kifelé
központosítottan kerül mentésre

R - read, olvasási és az olvasási jogosultsághoz kötődő jog (pl.: tallózás)
W - write, írási és az íráshoz kötődő jogosultságok (pl.: módosítás, törlés)

Az egyes funkciók részletezve:

a) személyes dokumentumok - a rendszergazda sem jogosult az alkönyvtárakat tallózni (azaz a tartalmát olvasni), annak tartalma nem kerül mentésre, csak személyes anyagok tárolhatók benne. Az adatok rendelkezésre állását redundáns adattároló rendszerek biztosítják. Csak a felhasználó (user) olvashatja (Read) és írhatja (Write), rendszergazda (admin) nem olvashatja (R-) és nem írhatja (W-). A tárhely felhasználónként 50Mbyte méretben maximált. (A tárhelynek nem része a felhasználói profile, amely ettől független további felhasználónkénti 30Mbyte maximális méretben korlátozott.)
\Documents and Settings\user\Documents          - user RW - admin R-W-

b) szervezeti egységen belül megosztott dokumentumok (a szervezet tagjai a group)
\szervezeti egység\Home          - user RW - group RW - admin RW-
A szervezeti egység (group) számára a \szervezeti egység\Home alkönyvtár struktúra biztosítja, hogy a szervezeti egység tagjai a szolgálati feladatok ellátása során készített, a szolgálati feladatokhoz köthető állományait a szervezeti munkamegosztás rendszerében a szervezeti egység számára megosztott módon tudják tárolni. A szervezeti egységek \szervezeti egység\Home alkönyvtárainak összessége a büntetés-végrehajtási szervezet irodai alkalmazásaival előállított adatvagyona, amely központi, generációs mentését az informatikai szervezetnek biztosítania kell. A szervezeti működés érdekében megosztott szolgálati dokumentumok, amelyek a mentési - archiválási tervben meghatározottak szerint un. növekményes mentéssel (incremental backup) kerülnek mentésre.

c) A szervezetek külső kapcsolatait biztosító megosztott alkönyvtárak
\szervezeti egyseg1\Public           - group1 RW - groupx RW- - admin RW
-
\szervezeti egysegx\Public          - groupx RW - group1 RW- - admin RW-

1. A szervezeti egység (group) számára a \szervezeti egység\Public alkönyvtár struktúra biztosítja, hogy a szervezeti egység kizárólag olvasási jogosultsággal más szervezeti elemek részére a helyi hálózaton állományokat osszon meg (publikáljon). A megoldás szolgálja az egyes szervezeti egységek közötti közvetlen adatcsere lehetőségét úgy, hogy az eredetileg megosztott dokumentum más szervezeti egységek számára nem szerkeszthető, azaz az eredeti dokumentum védelme biztosított. Amennyiben szükséges más szervezet számára a dokumentum módosítása, úgy azt a saját szervezeti egység\Public könyvtárában szerkesztett és elhelyezett módon szintén képes megosztani.

2. A szervezeti alkönyvtárak tárolókapacitása szervezeti egységenként, az ügyforgalom és az alkalmazotti létszám függvényében változhat, maximális mérete 25Gbyte. (A helyi hálózatokban alkalmazott méretkorlátozást - quota - a rendelkezésre álló kapacitás alapján, az informatikai szervezet vezetője javaslatára a büntetés-végrehajtási szerv vezetője hagyja jóvá.)

3. A fájlmegosztások rendszerét a szolgálati helyek közötti adatcserében úgy kell kialakítani, hogy a kártékony programok távoli hálózatokban való terjedését ne tegye lehetővé. Ennek érdekében az Intranet rendszerben a Windows tallózáshoz szükséges portokat tiltani kell. A fájlmegosztás rendszerére épülő szolgálati adatcserét a DFS technológia mellett az FTP protokoll és szolgáltatás alkalmazásával kell biztosítani. Az eseti, egyedi megosztási igények engedélyezése a központi informatikai szervezeti egység vezetőjének hatásköre.

4. Az informatikai infrastruktúrát úgy kell kialakítani, hogy a szervezeti működéshez szükséges adatok tárolása magas rendelkezésre állású, központi adattárolón valósuljon meg, amelynek napi rendszeres mentése, időszakos archiválása és archív adattárban történő elhelyezése az informatikai szervezet kötelessége. Infrastruktúra szintű szolgáltatások esetében az informatikai szakterület beépített rendszerszolgáltatásokat alkalmazhat (system, backup, technikai másolat stb.)

5. Lokális adattárolás a tartományi felhasználó számára tilos, az erőforrások elérésének és alkalmazásának korlátozását tartományi, vagy szervezeti egységre vonatkozó házirend szintjén (domain, OU policy) biztosítani kell. Azokon a munkaállomásokon, ahol a lokális adattárolás, vagy archiválás az igénybevett szolgáltatás korlátaiból következően engedélyezett, a fájl műveleteket naplózni kell. A központi tárolást úgy kell biztosítani, hogy megvalósuljon a felhasználói adatok és hozzáférések gépfüggetlen elérése. A tartományi működésre alkalmatlan szolgáltatásokat a központi informatikai szervezeti egység vezetője a BV IBSZ hatálybalépését követő 180 napon belül mérje fel és a hatálybalépést követő 36 hónapon belül tegye alkalmassá a tartományi működésre, illetve gondoskodjon a kiváltásukról.


4.   Hardverhez kapcsolódó védelmi intézkedések


     4.1.   Munkaállomások hardver vonatkozásai

          4.1.1.   Hardver elemek védelme, hozzáférési jogosultság

a) Az informatikai rendszerben működő végponti eszközöket a szolgálati feladatok ellátására, személyre szólóan kell kiadni. Ügyeleti szolgálatok, vagy közös felhasználású végponti eszköz esetén a felhasználásért felelős szervezeti egység vezetője köteles a végponti eszközt átvételéről és felügyeletéről gondoskodni. A közös felhasználású végponti eszközt az ügyeleti szolgálatok nyilvántartásában rögzíteni kell, a szolgálatok átadás-átvétele során meg kell győződni meglétéről, működőképességéről. Ennek tényét, vagy a működőképességben bekövetkezett változást a szolgálati okmányban az átadás-átvétellel együtt rögzíteni kell.

b) A végponti eszközt a megbontás ellen lehetőség szerint védeni kell (az eszköz kulccsal való zárásával, a rögzítő csavar plombálásával, pecsételéssel, záró szalaggal, vagy más a megbontást jelző megoldással). Az informatikai szervezet a féléves karbantartások alkalmával köteles ellenőrizni az eszköz eredeti felépítését, az alkalmazott jelző megoldás sértetlenségét, a működőképességet. Az ellenőrzést szúrópróbaszerűen, előre be nem jelentett módon, valamint rendszeresen is végre kell hajtani. Az ellenőrzést hibajavítások alkalmával kötelező elvégezni. Normasértés esetén intézkedni kell a személyes felelősség megállapítására.

c) A felhasználó nem jogosult a végponti eszköz, vagy valamely perifériája áthelyezésére, amennyiben az más helyiségbe történő áthelyezéssel, vagy hálózati csatlakozás módosításával jár. A felhasználó önállóan nem változtathatja meg a végponti eszköz szolgálati feladatát, vagy a szolgálati feladatra való alkalmasság tulajdonságait.

d) A végponti eszköz üzembe állítását, ide értve az operációs rendszer és az alkalmazás rendszerek telepítését is, az informatikai szervezet végezheti. Célalkalmazások telepítési feladatait az erre a feladatra felkészített és munkakörében alkalmazás rendszergazdai feladatokkal megbízott szakértő is elláthatja. Az üzembe állítási feladat jogosultságának biztosítása, illetve az illetéktelen végrehajtás megakadályozása érdekében az informatikai szervezet jogosult és köteles minden olyan infrastrukturális beállítás elvégzésére, amely az illetéktelen hozzáférést, a szolgálati feladattól eltérő alkalmazást lehetővé tenné.

e) A végponti eszköz csak a műszaki leírásban, illetve a felhasználói kézikönyvben meghatározott módon, rendeltetésszerűen csatlakoztatható és használható, kizárólag a szolgálati feladat ellátása céljából.

f) A végponti eszközzel közös áramforrásról csak annak perifériája működtethető, egyéb fogyasztó működtetése a közös áramforrásról tilos.

g) A végponti eszköz és perifériája részeinek és tartozékainak cseréjét csak erre a feladatra felkészített, ezzel a feladattal megbízott személy, az informatikai szervezet munkatársa vagy a szolgáltatási szerződés hatálya alatt dolgozó külső munkavállaló végezheti.

h) A számítógépes végponti eszközön gondoskodni kell a felhasználó hosszabb inaktivitása során a kikényszerített kijelentkezésről, vagy az eszköz használhatóságának korlátozásáról (billentyűzetblokkolás, jelszavas képernyő védelem stb.). A szükséges beállításokat a rendszergazda szervezet végzi, a felhasználó azokat nem módosíthatja.

i) Működő számítógépes végponti eszköz üzemképes állapotban, felügyelet nélkül nem maradhat. A felhasználó a helyiség elhagyásakor köteles a számítógépét zárolni, vagy kikapcsolni, illetve gondoskodni arról, hogy adathordozó ne maradjon felügyelet nélkül.

j) Végponti eszköz a nap 24 órájában csak folyamatos felügyelet mellett üzemeltethető. Folyamatos felügyeletet jelent a végponti eszköz rendszeres, egy órát meg nem haladó rendszerességgel való ellenőrzése is. A 24 órában üzemeltetett végponti eszköz elhelyezését a tűz- és vagyonvédelmi követelményeknek megfelelő ügyeleti helyiségben, gépteremben, központban, vagy technikai helyiségben célszerű megvalósítani.

k) A tanintézetekben oktatási célból telepített végponti eszközöket úgy kell üzembe helyezni és tárolni, hogy biztosított legyen az illetéktelen hozzáférés megakadályozása, az oktatási, képzési célon túl ne legyen lehetőség az eszköz, működési tulajdonságainak-, módjának- és módszereinek megismerésére.

l) A végponti eszközök rendszerbe állítása során kerülni kell a legújabb, még ki nem próbált eszközök tömeges beszerzését, törekedni kell redundáns, hibatűrő konfigurációk, megoldások alkalmazására.

m) A végponti eszközök tekintetében törekedni kell olyan rendszertechnológiai megoldások alkalmazására, amely az eszköz kritikus hibája esetén, rövidtávon biztosítja az alkatrészellátást, vagy az eszköz kapacitásában legalább azonos minőségű, funkcionalitásában kompatibilis megoldást.

n) A végponti eszközök rendszerbe állítása során törekedni kell az ergonómiai tulajdonságokkal rendelkező eszközök előnyösebb megítélésére, a takarékos üzemmódot támogató eszközök beszerzésére.

o) Webkamera, digitáliskamera és egyéb kép-, hangrögzítésre alkalmas eszköz csak szolgálati céllal használható, az általuk rögzített képek, információk csak szolgálati úton terjeszthetőek. Használatuk általában tiltott, ahol külön rendelkezés szerint megengedett ott naplózott és ellenőrizhető módon, a személyes adatok védelmének maradéktalan érvényesülése mellett alkalmazható.

p) Külső támadás, vagy betörési kísérlet észlelése esetén (végponti eszköz működési rendellenessége, vagy napló állományok analizálása során), haladéktalanul fel kell deríteni a támadás, vagy betörési kísérlet összes körülményét, azt blokkolni kell.

          4.1.2.   Mobil végponti eszközökre vonatkozó különös szabályok

a) A mobil végponti eszköz alkalmazása során is érvényesíteni kell a tartományi működés biztonságos megvalósítása érdekében működő megoldásokat. A felhasználó dönthet úgy, hogy a mobil végponti eszközt a tartományi környezettől távol, mint egyedi gép kívánja alkalmazni. Ilyen alkalmazási terület lehet például a munkaidőn kívüli, külső helyszínen végzett felhasználás, (például külföldi kiküldetés), vagy például a minősített adatkezelés. Ezekben az esetekben ideiglenesen, vagy időszakosan a mobil végponti eszköz helyi rendszergazdai jogosultsága átadható a felhasználónak azzal, hogy a tartományi környezetben a további felhasználása tiltott lesz mindaddig, amíg a tartományi működéshez szükséges biztonsági rendszabályok érvényesítése meg nem történik (vírus ellenőrzés, vírusvédelem, policy, helyi erőforrások korlátozása stb.). Az egyedi eszközt a zárt célú informatikai hálózatban kizárólag a tartományi működésre alkalmassá tételt követően lehet alkalmazni. Az egyedi gép funkcionalitása során a hálózati hozzáférést idegengép hozzáféréseként kell értelmezni a vendég funkciók biztosításával (Internet).

b) Az egyedi gépként alkalmazott mobil végponti eszköz karbantartása és szoftver felügyelete a helyi rendszergazdai joggal rendelkező felhasználót terheli, az informatikai szervezet a helyre állító tevékenységben kizárólag a szolgálati feladatok ellátásának biztosítása mellett, azok prioritásával működhet közre.

c) Az egyedi gépként alkalmazott mobil végponti eszköz tartományi újra illesztését biztonsági szempontok alapján a gép mentése nélküli formatálásával, és újratelepítésével kell végrehajtani. A felhasználó köteles az újratelepítést megelőzően gondoskodni szükséges állományainak mentéséről.

          4.1.3.   Használatból bevont munkaállomások kezelése

a) A munkaviszony megszűnése során a felhasználó által használt informatikai szakanyagokat be kell vonni. A bevont, vagy minőségi cserével kiváltott számítógépes végponti berendezés adathordozóját az eszköz leadását megelőzően törölni kell. A felhasználó köteles a leadást megelőzően minimálisan 5 munkanappal előre jelezni szándékát, és igényt jelenteni be a tárolt adatainak törlésére. A munkaviszony megszűnése esetén az informatikai szervezet az munkaviszony megszűnésével egy időben köteles a hozzáférési jogosultság megszüntetésére, a címjegyzékből történő törlésre, egyéb az informatikai szakterületet is érintő szolgáltatásainak igénybevételét biztosító jogosultságok. megszüntetésére.

b) A bevont számítógépes végponti berendezés raktári elhelyezést megelőzően szükség szerint a felhasználói adatok törlésével egy időben előtelepíteni kell (SysPrep) és az informatikai raktárban kell elhelyezni. Az előtelepítést legkésőbb a raktárba helyezést követő 10 munkanapon belül végre kell hajtani.

c) A szervezeti egység vezetője dönthet a bevonásra szánt számítógépes végponti berendezés szervezeti egységen belüli átcsoportosításáról, de ez az igény nem gátolhatja a korábbi személyes adatok törlését, a végponti eszköz mozgásával kapcsolatos adminisztratív feladatok végrehajtását.

d) Minősített adatot tartalmazó bevont számítógépes végponti berendezés esetén annak adathordozóját a törlést követően ki kell szerelni és új adathordozóval kell pótolni. A kiszerelt és törölt adathordozót annak selejtezéséig elkülönítve kell tárolni, nem kerülhet vissza felhasználásra, illetve a használatból történő kivonás során nem kerülhet értékesítésre. A selejtezésével kapcsolatos külön szabályokat az adathordozókra vonatkozó fejezet részletesen tartalmazza.


     4.2.   Hardver karbantartás szabályai

a) A felhasználó köteles ismerni és alkalmazni az informatikai végponti eszköz használatára vonatkozó szabályokat úgy, hogy az eszköz rendeltetésszerű használata mellett biztosított legyen annak állagmegőrzése.

b) A végponti eszköz napi, heti, havi karbantartása a felhasználó feladata. A napi, heti karbantartás a végponti eszköz tisztán-, működőképes állapotban tartását tartalmazza, illetve mind azokat a megelőző tevékenységeket, amelyek a végponti eszköz állagmegóvását, működőképességének fenntartását jelentik.

c) A felhasználó anyagi felelősséggel tartozik a számára biztosított végponti eszköz meglétéért, állagmegóvásáért, rendeltetésszerű használatáért, a neki felróható magatartásból bekövetkezett működésképtelenségért.

d) A végponti eszközöket évente legalább két alkalommal az informatikai szervezetnek ellenőriznie és karbantartania kell. A karbantartó tevékenységbe külső vállalkozót Szolgáltatási Szerződés keretében igénybe vehet. A kötelező karbantartási feladatokat (pl.: az eszköz burkolatának megbontásával végzett tisztítás) az informatikai szervezet a javító tevékenység során elvégezheti.

e) Karbantartás csak felhasználói felügyelet mellett végezhető. A karbantartás során nem működhet felhasználói azonosításhoz kötött szolgáltatás, vagy annak szüksége esetén (működőképesség megállapítása) a betekintési jogosultság figyelembevételével vehet részt abban a karbantartást végző. Betekintési jogosultsághoz kötött adatokat tartalmazó eszköz működés közbeni karbantartását kizárólag betekintési engedéllyel rendelkező személy végezheti.


     4.3.   A hibabejelentés, HelpDesk szolgáltatás

a) A napi normális üzemviteltől eltérő esemény bekövetkezése esetén (az eszköz eddig szokatlan hangot ad, szagot áraszt, kigyullad vagy füstöl, szikrázik stb.) a felhasználó köteles az informatikai végponti eszközt áramtalanítani, vagy a lehetőségek szerint szabályosan leállítani. Köteles minden olyan tőle elvárható intézkedést megtenni, amely biztosítja, hogy az esemény által okozott rendkívüli, vagy veszélyhelyzet nem ölt ellenőrizhetetlen méretet. A hibaesemény kezelése során a felhasználó köteles betartani a tűzvédelmi és munkavédelmi szabályokat. A hibadetektálás, lokalizálás és kárenyhítési feladatokon túlmenően a felhasználót egyéb intézkedési és jelentési kötelezettség is terheli egy térben és időben elosztott hibakezelési rendszerben.

b) A hibát főszabályként a keletkezés helyén kell kijavítani, vagy kijavíttatni elsősorban a keletkezés helyén rendelkezésre álló erőforrások igénybevételével.

c) Hibaesemény bekövetkezésekor az azt észlelő személy köteles a hibát lokalizálni, a hibaeseményt és körülményeit rögzíteni, a kieső szolgáltatás, vagy eszköz pótlására intézkedni, vagy az erre vonatkozó intézkedést kezdeményezni. Ezt követően köteles a jelentési kötelezettségének a meghatározott módon eleget tenni.

d) A felhasználó tudásának megfelelő mértékben köteles a hiba kijavítását megkezdeni, elégtelen tudása esetén ahhoz segítséget igénybe venni. A hiba kijavítása során a hierarchikus rendszerként rendelkezésre álló informatikai szolgáltatási környezetet kell igénybe venni. A felhasználó nem jogosult az alkalmazás- és az infrastruktúra rendszergazda igénybevételén túli erőforrások alkalmazására, az informatikai alrendszer, rendszer működését befolyásoló hibajavítási tevékenység végzésére.

e) A hibaesemény un. második szintű support tevékenységét a központi informatikai szervezeti egység szakértői látják el, igénybevételét az infrastruktúra rendszergazda, illetve a szakterület vezetője kezdeményezheti. Outsourcing szerződés hiányában, a külső szakértelem (harmadik szintű support) igénybevételét kizárólag a központi informatikai szervezeti egység vezetője engedélyezheti. Outsourcing szerződés hatálya alatt, az abban meghatározott eljárási rendet kell követni.

f) A hibaeseményeket az informatikai szervezet köteles nyilvántartásba venni a hibaesemény releváns körülményeinek nyilvántartásával. Ennek érdekében a hibabejelentésnek az alábbi adatokat minimálisan tartalmaznia kell:

- a hiba bekövetkezésének pontos idejét, helyszínét és helyét
- a hibát észlelő személy azonosítását biztosító adatokat
- a hibabejelentést végző személy azonosítását biztosító adatokat
- szükség esetén a viszont értesítéshez, kiszálláshoz szükséges pontos adatokat (postai cím, távbeszélő- vagy telefax készülék száma stb.)
- a hiba által érintett eszközt, szolgáltatást
- a hiba jelenséget, azonosított hiba esetén a hibakódot és a teljes hibaszöveget
- a hiba bekövetkezésének és megjelenésének körülményeit
- a hiba kijavítása érdekében eddig tett javítási lépéseket, eljárásokat
- az azonnali hibajavítás megkezdésére vonatkozó igényt, vagy a kiváltásra, pótlásra történt intézkedés tényét és formáját
- második, vagy harmadik típusú support igénybevételének szükségességét, tényét

g) A szolgáltatási szerződésben, vagy az alkalmazás üzemeltetési utasításában rögzített hibabejelentő adattartalma eltérhet az itt meghatározott adatoktól.

h) A büntetés-végrehajtási szervezet informatikai ügyeleti és/vagy készenléti rendszerének engedélyezését a központi informatikai szervezeti egység vezetőjének javaslatára az országos parancsnoknak előterjesztett engedély kérelemmel kell előterjeszteni.

i) Az informatikai ügyeleti és/vagy készenléti rendszer működésének hiányában a felhasználó hivatali munkaidőben a hiba kijavítására segítséget kérhet az informatikai szervezettől, aki saját erő-eszköz számvetése alapján köteles együttműködni a hiba lokalizálásában, kijavításában vagy a kijavításhoz szükséges intézkedések és jelentések megtételében. A hivatali munkaidő kereteit meghaladó hibakezelést a büntetés-végrehajtási szerv ügyeleti szolgálata saját informatikai szervezeti egységének vezetője útján kezdeményezi.

j) A büntetés-végrehajtási szervezet hibaeseményeinek regisztrálására és kezelésére un. HelpDesk szolgáltatást kell kialakítani és működtetni, amely feladat végrehajtásáért a BV IBSZ hatálybalépését követő 180 napon belül a központi informatikai szerv vezetője felelős. A HelpDesk szolgáltatást országos hatáskörű jogosultsággal, külön szabályzóban meghatározott normák mellett kell létrehozni.

k) Az alkalmazás- vagy infrastruktúra rendszergazda által észlelt, az informatikai rendszerre vonatkozó hibaeseményeket a hiba körülményeinek pontos dokumentálásával a HelpDesk nyilvántartás hiányában a szerver gépkönyvében kell rögzíteni. A rendszergazda köteles a hiba kijavítását legjobb tudása szerint elvégezni, tudáshiány esetén köteles segítséget igénybe venni. Kapcsolódó szolgáltatások esetén köteles a társszervet a hiba tényéről tájékoztatni. Csatlakozó infrastrukturális hiba esetén köteles a hiba bekövetkezésének tényét haladéktalanul jelezni a külső szerv, vagy szolgáltató felé az együttműködési megállapodásban, vagy Szolgáltatási Szerződésben rögzített forma szerint. A géptermi szerverek hibája esetén köteles a hiba kijavíthatósága érdekében a tőle elvárható minden intézkedést megtenni, jogosult az alrendszer rendszergazdájával konzultálni, javaslatot tenni a hiba kijavítására teendő intézkedések megtételére.

l) Az alkalmazás- vagy infrastruktúra rendszergazda az informatikai infrastruktúra hibájáról szóló jelzést köteles kivizsgálni és annak megalapozottságáról vagy megalapozatlanságáról a bejelentőt viszont tájékoztatni. Az egyes szerverek és alkalmazásrendszerekkel kapcsolatos különleges eljárásokat a rendkívüli helyzetek kezeléséről szóló fejezet részletesen tartalmazza.

m) A felhasználó hibajavítás okán sem jogosult a végponti eszköz, perifériája vagy alkalmazása tekintetében módosításokat, konfigurációváltoztatásokat, rendszerhangolást végezni. Amennyiben a hiba szándékos felhasználói tevékenységből, vagy mulasztásból történt, úgy az informatikai szervezet köteles hibajegyzőkönyvet felvenni, majd a hibát elhárítani. A jegyzőkönyvet a felhasználóval (munkahelyi vezetőjével) is alá kell íratni, addig a hiba javítása nem kezdhető meg.


     4.4.   Szerverek hardver vonatkozásai

A büntetés-végrehajtási szervezet informatikai infrastruktúrájában az elmúlt évtized Kormányzati-, ágazati- és a büntetés-végrehajtás szervezeti változásaiból következően heterogén, a rendszertechnológiai fejlődést nem követő, elavult, eszközök és egyes alrendszerek tekintetében többszörösen amortizálódott informatikai rendszer alakult ki.

Az informatikai rendszer megújításának lehetőségét a „Felelősen, felkészülten a büntetés-végrehajtásban” program infrastruktúra fejlesztés keretében megvalósuló EKOP-1.1.6-09-2009-0001 kódú kiemelt projekt alapozza meg, amelynek Előzetes Megvalósíthatósági Tanulmánya a büntetés-végrehajtási szervezet rövidtávú (5 éves 2014. december 31-ig szóló) informatikai stratégiája.

a) A stratégiai célok érvényesítése érdekében az informatikai rendszert homogenizálni és integrálni kell. A központi kiszolgálók tekintetében Microsoft Windows Server 2008 R2 64bit ENG alapú tartományi rendszer kialakítása a követelmény. Ezen a platformon kell létrehozni és fenntartani az állomány és nyomtató megosztást, a központi címtárszolgáltatást, egységes helyi hálózat oldali DNS és DHCP szolgáltatást.

b) A korábbi SCO UNIX/Recital alapú Fogvatartotti Alrendszer működtetése terminál emuláció virtualizálásával valósul meg, a FŐNIX rendszer moduláris bevezetésével az egyes alrendszer szolgáltatásokat meg kell szüntetni. A UNIX/Recital platform működését 2012. június 30-ig véglegesen meg kell szüntetni.

c) Stratégiai cél a CISC alapú processzorok használata, szerver oldalon a RACK-elhető szerverek, munkaállomás oldalon a vékonykliens technológiai bevezetése. A asztali munkaállomások számát a vékonykliensek bevezetésével csökkenteni kell. A vékonykliensek számának emelésével folyamatosan ki kell váltani az asztali munkaállomásokat. Az asztali munkaállomások minimum követelménye a Pentium IV. processzor 1.3GHz, 2Gb RAM, 30Gb HDD, 1024*768/16bit XVGA, USB és 10/100Mb Ethernet port.

d) Az alkalmazások tekintetében a táv-adatátviteli hálózat kapacitására érzékeny módon vékony kliens technológia alkalmazását (terminál-szerver kliens, virtualizáció), vagy szerver oldalon futó böngésző alapú célalkalmazás fejlesztésének kizárólagosságát kell biztosítani (.Net, Java környezetben). A célalkalmazásnak úgy kell futnia a munkaállomás oldalon, hogy működése során átmeneti állományokat kizárólag a felhasználó jogosultságával írható alkönyvtárstruktúrában képezhet, és ennek kapacitása nem haladhatja meg a 30Mbájt méretet, ide értve például a Java futtató környezet jelenlétét is.

e) A szervert szakszerűen kell elhelyezni figyelemmel a fizikai védelemre. A fizikai védelmi megoldásoknak a jogosulatlan hozzáférés megakadályozás mellett, biztosítania kell a rendelkezésre állás és működőképesség megőrizhetőségének követelményeit, így a helyes hálózatba kötést is (áramellátás, adathálózat stb.).

f) A szabályzat hatályba lépését követő 180 napon belül az informatikai szervezeti egységeknél táblázatos formában fel kell mérni a szerver eszközök specifikációját. Az üzemeltetési és fenntartási tevékenységnek része a táblázatban rögzített információk naprakész vezetése. A szerver mellé gépkönyvet kell felfektetni, amely minimálisan az alábbi adatokat tartalmazza:

- a szerver egyedi eszközazonosító száma, gyártási száma, üzembe helyezés ideje
- alkatrész listája, pontos típus megjelöléssel, telepített driverek (meghajtó programok), esetleges firmware (hardver közeli vezérlő program)
- telepített operációs rendszer, rendszer közeli alkalmazások, szolgáltatások, verziói
- telepített célalkalmazások, verziók, a speciális rendszerhangolási beállítások, paraméterek
- a telepített alkalmazások superuserei és elérhetőségük, helyettesítők
- a szerverre vonatkozó garanciális, vagy szolgáltatói szerződéses viszony adatait
- az üzemben tartásban és fenntartásban résztvevő külső fél adatai, elérhetősége
- a szerver hardver kapcsolódási pontjai, a kapcsolódási pont adatai (portok, switch, router, stb.) a kapcsolódási pont felügyeletével megbízott adatai, elérhetősége
- a szerver szoftver kapcsolódási pontja, más alkalmazás rendszerekkel történő egymásra utaltság, a kapcsolódás adatai, a kapcsolódási pont felügyeletével megbízott adatai, elérhetősége
- a szerver adatkezelését, funkcióját leíró rendszeresítési parancs, kapcsolódó dokumentációk másolata (pl.: fejlesztési koncepció, megvalósíthatósági tanulmány; rendszerterv, műszaki dokumentáció; rendszergazdai segédlet, telepítési, üzemeltetési leírás; felhasználói leírás; hardver dokumentációk)
- külső felhasználók adatai, a napló állományok elérhetősége, azonosító adatai
- a szerver által nyújtott hálózati szolgáltatások protokolljai (pl.: http = TCP80)

Amennyiben a nyilvántartások elektronikus formában kerülnek vezetésre, akkor a nyilvántartásokat verzió szám megjelöléssel kell ellátni. A vezetésért felelős személynek rendelkeznie kell az elektronikus nyilvántartások aktuális verzió számát, a vezetést végző személy nevét és a nyilvántartás elérhetőségét tartalmazó listával.

g) A gépkönyv nem nyilvános irat. Betekintésre, a belépési korlátozás figyelembe vételével, az ezekkel kapcsolatos szolgálati feladatokat ellátó személyek jogosultak. Külső szolgáltató munkavállalója csak a feladat végrehajtáshoz szükséges mértékben ismerheti meg, amely betekintési engedélyt az informatikai szervezeti egység vezetője adhat. Ennek tényét a Gépkönyvben a felügyelettel megbízott személy köteles minimálisan a betekintési engedélyt adó, a betekintés időpontja, a betekintő azonosítását biztosító adatok, és a betekintés tárgya adattartalommal rögzíteni.

h) A szerverek lajstromba vételével egy időben a központi informatikai szervezeti egység vezetőjének meg kell határoznia a szerver szolgáltatások kockázati tényezőinek és működési fontosságának vizsgálatával a kritikus alkalmazás mátrixot, figyelemmel a jelen szabályzat mellékletében szereplő központi szerver szolgáltatások kritikus alkalmazás mátrixára.

i) Minden alkalmazás rendszernél fel kell mérni a csatlakozó felhasználó számot és számvetést kell készíteni a hardver kapacitással kapcsolatosan.

j) Amennyiben a szerver elhelyezése nem korlátozott hozzáférésű helyiségben, vagy 24 órás felügyelettel védett helyiségben kerül elhelyezésre használaton kívül a szerver konzolt lockolni kell, a szerveren nem lehet bejelentkezett aktív felhasználó. Ezek a korlátozásokat a 24 órás felügyelet mellett is alkalmazni kell a helyiség ideiglenes elhagyása esetén, és alkalmazni javasolt korlátozott hozzáférésű helyiségben is.

k) A szerver kikapcsolásával járó tervezett karbantartó tevékenységről legalább két munkanappal annak végrehajtása előtt az érintett állományt tájékoztatni kell. Törekedni kell arra, hogy a karbantartás ne essen hivatali munkaidőre, vagy az alkalmazásrendszer felhasználása szempontjából kritikus időszakra (pl.: munkaügyi nyilvántartásnál a felvétel, a munkaviszony megszűnésének időpontjára; illetmény nyilvántartásnál számfejtési időszakra).

l) A szerverek hálózati terhelését a kritikus alkalmazás mátrixnak megfelelő prioritás mellett kell hangolni. A WAN átviteli hálózatokban a fájl megosztásos adatátvitelnek, a HTTP és HTTPS protokollnak, az SMTP protokollnak alacsony prioritást kell biztosítani. A WAN és LAN hálózatokban alkalmazott szolgáltatások használatának engedélyezését a központi informatikai szervezeti egység vezetőjének hatáskörébe utalom (HTTP, STMP, POP3, IMAP, SQL net, telnet, FTP, RDP, LDAP, email stb.).

m) A szerverek beszerzése, bővítése, vagy cseréje esetén törekedni kell a magas rendelkezésre állást biztosító szerverek rendszerben tartására, a RACK szerver kapacitás bővítésével a gépen belüli redundancia kialakításával, adathordozó tekintetében elsősorban hardveres, vagy szoftveres tükrözési megoldásokkal, esetleg gépek, vagy gépcsoportok közötti fürtözéses, vagy replikációs megoldások alkalmazásával.


     4.5.   Szoftverhez kapcsolódó védelmi intézkedések

           4.5.1.   Munkaállomások szoftver vonatkozásai

a) Az informatikai végponti eszköz felhasználója nem rendelkezhet olyan jogosultsággal, rendelkezés esetén nem élhet olyan jogosultsággal, amely a végponti rendszer beállításait, használati paramétereit, működési jellemzőit változtatja meg. A szolgálati feladatra biztosított informatikai végponti eszköz, kizárólag a szolgálati feladat ellátására alkalmazható.

b) A számítógépes végponti eszközökön, a tartományi hálózatba csatlakoztatott munkaállomásokon (továbbiakban: hálózati munkaállomások) csak a büntetés-végrehajtási szervezetnél rendszeresített, jogtiszta alkalmazás működtethető, figyelemmel a szerzői és szomszédos jogok érvényesülésére.

c) Szabad felhasználású és terjesztésű alkalmazások (FreeWare, ShareWare, AbandonWare, OpenSource stb.), próba verziók (trial, demo), és fájl cserélő szolgáltatások telepítése, futtatása tilos. FreeWare alkalmazást a központi informatikai szervezeti egység vezetője javaslatára az országos parancsnok állít rendszerbe. A rendszeresített FreeWare alkalmazások listája a BV IBSZ melléklete.

d) Tilos külső adatkapcsolatban közvetlen adatmegosztást lehetővé tevő hálózati szolgáltatásokat igénybe venni, így különösen a Messenger, chat, FTP, fórumszolgáltatások, on-line rádió és televízió szolgáltatás, video megosztás, egyéb video stream szolgáltatás. Ezeknek a szolgáltatásoknak külső adatkapcsolatban való használatát lehetőség szerint a hálózati kapcsolódási szinteken tiltani kell (tűzfal, router)

e) A tartományi hálózatba csatlakoztatott hálózati munkaállomás felhasználója, tartományi felhasználói jogosultsággal rendelkezhet. Nem rendelkezhet a hálózati munkaállomás lokális felhasználói fiókjával, sem szervezeti egység (OU) rendszergazdai joggal.

f) Amennyiben a felhasználó munkaköréből következően lokális és/vagy alkalmazás rendszergazdai jogkörrel rendelkezik a teljes felhasználói tevékenységét naplózó hálózati munkaállomáson használhatja ezt a jogosultságát. A felhasználó bármely superuser jogosultságát a tartományi működés kiterjesztésével egy időben, de legkésőbb 2011. december 31-ig meg kell szüntetni.

g) A felhasználó a számára biztosított hálózati munkaállomáson a feladatköréhez rendelt és a tartományi házirend alapján érvényesített jogosultságokkal rendelkezhet, lokális erőforrások fölött rendszergazdai jogosultságot nem szerezhet, azt nem alkalmazhat, így különösen nem használhat lokális adathordozókat, nem telepíthet alkalmazásokat, oszthat meg erőforrásokat.

h) A felhasználó szolgálati feladatainak ellátásához köteles a rendszeresített alkalmazásokat használni, és köteles tűrni a hálózat biztonsága érdekében alkalmazott programok funkcionális működését, időszakosan központilag indított futtatásokat (pl.: vírusellenőrzés minden hétfőn 12.00-kor).

i) Microsoft alapú hálózati munkaállomáson telepíteni kell az informatikai szervezet által előírt irodai szoftver csomagot (Microsoft Windows 7 Professional HUN 32 bit környezetben Microsoft Office 2010 Standard HUN 32bit). Telepíteni kell továbbá az informatikai szervezet által előírt vírusvédelmi kliens programot (SEP) a vírusdefiníciós állományok menedzselt, automatikus letöltésével, valamint az operációs rendszer és alkalmazásai javítócsomagjának menedzselt, automatikus letöltését lehetővé tevő frissítő szolgáltatást (WSUS). Lehetőség szerint érvényesíteni kell a lokális gép tűzfal védelmét és kém programok elleni védekezési módot.

j) Tilos az informatikai infrastruktúrában, személyes felszerelésként alkalmazott hálózati munkaállomáson megosztott távoli asztali alkalmazást futtatni (pl.: VNC, Ultr@VNC, gtOrenoPC stb.), erre a célra kizárólag a felhasználó által kezdeményezett hibajavítás érdekében a Microsoft távoli asztal kapcsolattal (Remote Desktop) létesített távoli segítségnyújtás (Remote Assistance) funkció alkalmazható. Az informatikai szervezet a távfelügyeleti és táv-segítségnyújtási feladatainak ellátása során a Remotely Anywhere alkalmazást használhatja, amely része a munkaállomás oldali szoftverkörnyezetnek. Távmenedzselés és táv-segítségnyújtás során tilos a felhasználó munkafolyamatába rejtett módon csatlakozni, tilos az alkalmazást rejtett üzemmóddal telepíteni.

k) A munkaállomás üzembe helyezését, ide értve az operációs rendszer és az alkalmazás rendszerek telepítését is, kizárólag az informatikai szervezet végezheti a rendszeresített alkalmazásokkal. A telepítő készleteket olyan azonosító adattal (egyedi kulccsal, jelszóval) kell ellátni, hogy annak kikerülése esetén a személyes felelősség kizárólagosan megállapítható legyen.

l) Alkalmazások verzió váltása során kerülni kell az alkalmazás közvetlen használatba vételét, tulajdonságainak, működőképességének igazolására teszt rendszerben, vagy erre a célra kialakított karanténban azt üzemszerű használat során vizsgálni kell. A teszt üzemet az informatikai szervezet minimálisan 5 munkanap időintervallumban hajtja végre, amely szükség esetén a működőképesség igazolásáig meghosszabbítható. A tesztelési eljárás eredményes végrehajtását kell feltételezni a szakirányító által megküldött alkalmazásverziók telepítése során.

m) Saját fejlesztésű, vagy saját felügyeletű fejlesztés mellett végzett fejlesztés és rendszerintegrációs tevékenység során, az üzemelő informatikai rendszertől függetlenített teszt rendszert kell kialakítani a fejlesztési feladatok eredménytermékeinek tesztelésére. Tilos tesztelést végezni „éles” alkalmazás és „éles” adatállomány használata mellett. Fejlesztési feladatok kizárólag a központi informatikai szervezeti egység vezetője írásbeli engedélye alapján végezhető.

n) Kerülni kell a legújabb, nagyszámú felhasználói tapasztalat hiányában álló alkalmazás bevezetését és használatát. Dobozos termék esetén is törekedni kell a megjelenést követő 1 éves türelmi időt követő beszerzésre és bevezetésre.

o) A hálózati munkaállomás alkalmazás rendszerében okozott szándékos, vagy a felhasználónak felróható magatartás mellett okozott kár is káresemény. A kártérítési eljárás során, ha a kár kizárólag az alkalmazás rendszerben következett be, a kárérték a helyreállításban résztvevő(k) munkaideje alapján számított költség.

p) Az informatikai rendszerben működtetett számítógépes végponti eszközön a központi informatikai szervezeti egység vezetőjének engedélye és az informatikai fejlesztési szakterület felügyelete nélkül - a központi informatikai szervezeti egység által fejlesztési célból telepített eszközök kivételével - alkalmazásfejlesztés nem végezhető.

q) A féléves karbantartás, a hibajavítások, valamint az előre tervezett szúrópróbaszerű ellenőrzések során az informatikai szervezet köteles ellenőrizni a számítógépes végponti eszköz állományrendszerét. Illegális alkalmazás felfedése esetén annak tényét jegyzőkönyvben kell rögzíteni, és a szervezeti egység vezetőjének tájékoztatása mellett, azt jelenteni kell a központi informatikai szervezeti egység vezetőjén keresztül az informatikai biztonsági felelősnek. Az illegális alkalmazást ezt követően törölni kell. Ha az illegális alkalmazás jogsértő használatával kár keletkezik, a kárviselés a jogsértő magatartást tanúsító felhasználót terheli.

r) A tanintézetekben oktatási célból telepített alkalmazás rendszereket a szolgálati feladat során alkalmazott biztonsági és védelmi eljárásokkal kell védeni és működtetni úgy, hogy az oktatási, képzési célon túl ne legyen lehetőség, az alkalmazás működési tulajdonságainak-, módjának- és módszereinek megismerésére. Az oktatási verzióban csak teszt adatok alkalmazhatók, az alkalmazás funkcionalitását az oktatási, képzési cél figyelembevételével korlátozni kell.

s) A büntetés-végrehajtási szervezet informatikai rendszerében használt alkalmazások otthoni felhasználása - amennyiben azt az alkalmazás licensze kimondottan nem engedélyezi - tilos.


     4.6.   Felhasználói hozzáférés általános szabályai

a) A büntetés-végrehajtási szervezet informatikai rendszerében kezelt adatok, különösen a személyes és különleges adatok, üzleti- vagy banktitkok (továbbiakban: érzékeny adatok) kezelése során biztosítani kell a betekintési jogosultság megfelelő korlátozását, terjesztését és megismerését biztosító szerepkör alapú differenciált hozzáférést. Ilyen adatok csak törvényben meghatározott célból, a feladat végrehajtásához szükséges mértékben kezelhetők. Az adatkezelés teljes életciklusában biztosítani kell ezeknek a követelményeknek érvényesülését. Korlátozott terjesztésű adatok kezelését úgy kell megvalósítani, hogy az adatokba való betekintés illetéktelen személy által képernyőn, eredmény listán se valósulhasson meg.

b) A differenciált hozzáférést több lépcsős ellenőrzési lehetőség kihasználásával kell megvalósítani (ez minimálisan jelenti az informatikai végponti eszköz fizikai hozzáférésének, az eszköz erőforrásai használatának és a célalkalmazás funkciói és adatai elérésének ellenőrzését, korlátozását). Az erőforrásokhoz való hozzáférés és a célalkalmazás által kezelt adatokhoz és funkciókhoz rendelt azonosítást úgy kell megvalósítani, hogy biztosított legyen a felhasználó egyedi és kizárólagos azonosítása. Az egyedi felhasználói nevet jelszóval kell védeni.

c) Az erőforrásokhoz való hozzáférést biztosító szerepkör alapú differenciált hozzáférést a Microsoft tartományi környezetre alapozott központi címjegyzékkel (Active Directory, továbbiakban: AD) kell megvalósítani. A központi címjegyzék kezelését az informatikai szervezetnek megfelelően hierarchikusan kell kialakítani OU struktúra biztosításával. Az egyes OU-hoz az informatikai szervezet állományából rendszergazdát és helyettest kell kijelölni, akinek ez irányú feladatát a munkaköri leírásában rögzíteni kell.

d) Az erőforrásokhoz való hozzáférést úgy kell biztosítani, hogy az ne korlátozza a munkavégzést, ugyanakkor a lehető legkisebb kockázatot jelentse illetéktelen behatolási, vagy hozzáférési kísérlet ellen. Ennek biztosítása érdekében célszerű a hozzáféréseket időben is korlátozni a felhasználói feladatok függvényében. A hivatali munkaidőben dolgozók hozzáférését úgy javasolt biztosítani, hogy a hozzáférés a hivatali munkaidőt megelőző és követő időszakban plusz 1 óra időtartamban engedélyezze azt. Az ettől eltérő igényeket lehetőség szerint két munkanappal a munkavégzést megelőzően írásban (login kérelem), a rendszerirányító engedélyével kell a rendszergazda szervezet vezetője számára megküldeni, aki köteles a hozzáféréseket a meghatározottak szerint biztosítani.

e) A tartományi rendszerben a superuser felhasználói fiók (administrator és rendszergazda), a vendég fiók (guest, vendég) és a mindenki csoport (everyone, mindenki) használatát le kell tiltani (disabled) és a superuser jogosultságot személyhez kötött felhasználói névhez kell kötni. A hozzáférések kialakítása során alapértelmezetten hozzáférést korlátozó beállításokat kell alkalmazni (restrict default) minden azonosítatlan felhasználó által is elérhető hozzáféréshez (pl.: SMTP szerver).

f) A telepítési rendszergazda jelszót legalább az általános felhasználói és a szerver szintű, valamint a lokális munkaállomások esetében meg kell különböztetni. Minden telepítés során ennek a differenciálásnak megfelelő az általános superuser névtől különböző rendszergazdai jogosultsággal rendelkező általános felhasználót kell létrehozni, amely a rendkívüli helyzetben való hozzáférést biztosítja. Jelszavát az informatikai üzemeltetésért felelős személy köteles beállítani, majd egyedileg lezárni és felügyelet mellett hozzáférhető helyen elhelyezni. Ez a felhasználói fiók a napi normális üzemviteli időszakban nem használható.

g) Az informatikai rendszer védelme érdekében a telepítési rendszergazdai jelszót minimálisan OU szinten különböző, a jelszóházirendnek eleget tevő jelszavakkal kell kialakítani.

h) A tartományi jelszó:

- a felhasználó és kiemelt felhasználó esetében minimálisan 6 karakter hosszú karakter sort kell alkalmazni
- a superuser jogosultsággal rendelkező felhasználó esetében minimálisan 8 karakter hosszú, kis- és nagybetűt, valamint számot tartalmazó karakter sort kell alkalmazni

i) a nem egyedi felhasználóhoz rendelt superuser (az általános superuser helyett létrehozott) felhasználó esetében minimálisan 10 karakter hosszú, kis- és nagybetűt, valamint számot tartalmazó véletlen generált karakter sort kell alkalmazni

j) A superuser jogosultsággal rendelkező felhasználó csak az e feladatkörében végrehajtott szakfeladatai során alkalmazhatja a superuser jogosultsággal rendelkező felhasználót, számára az egyéb munkavégzéshez általános felhasználói jogosultsággal kell felhasználót létrehozni.

k) A 30 napja inaktív felhasználási jogosultságot a tartományban zárolni (lock-olni) kell, és 90 napos ciklusidővel kikényszerített jelszóváltást kell végrehajtatni úgy, hogy a jelszó 2 generációt követően legyen újra felhasználható.

l) A jelszót minden felhasználó úgy köteles kezelni, hogy ahhoz illetéktelen személy hozzá ne férhessen, azt a napi használat során meg ne szerezhesse, ki ne figyelhesse. A felhasználó a tudomására jutott illetéktelen hozzáférés esetén köteles azt szolgálati előljárója útján az informatikai szervezet felé bejelenteni, aki köteles intézkedni a felhasználó azonnali korlátozására, a hozzáférési adatok megváltoztatására.

m) A hozzáférési adatok megváltoztatását (pl.: jelszócserét) a felhasználó indokolás nélkül kérheti a superusertől, illetve jogosult azt önmaga, bármikor, külön egyéb eljárás, vagy jelentési kötelezettség terhe nélkül megváltoztatni.

n) A felhasználó létrehozása esetén a kezdeti jelszó, illetve a jelszó reset során képzett új jelszó kizárólag egyedileg generált jelszóval biztosítható, amelyet a felhasználó az első bejelentkezéskor köteles a jelszó házirendnek megfelelő követelmények érvényesítésével megváltoztatni.

o) A felhasználói hozzáférés nyilvántartása nem terjedhet ki a felhasználói névhez tartozó jelszó tárolására, vagy a superuser által való megismerésére.

p) Tilos a felhasználó számára kiadott azonosító adatokat, mással szóban, írásban vagy más módon (pl.: távbeszélőn, rádióeszközön) közölni, továbbítani, rögzíteni, megosztani.

q) A superuser az informatikai rendszer, alrendszer, vagy rendszerelem védelme, jogsértő magatartás megelőzése, megakadályozása vagy megszakítása érdekében jogosult azonnali intézkedésként felhasználói tevékenységet külön értesítés nélkül korlátozni, vagy megszüntetni. Ezen intézkedés foganatosítását követően köteles a korlátozás vagy megszüntetés tényéről, az azonnali döntését indokoló körülményekről, és az azonnali intézkedésként foganatosított cselekményekről jelentést tenni. Szükség esetén jelentését írásba kell foglalni, amelyet a rendszerirányító, infrastruktúrát érintő esetben a központi informatikai szervezeti egység vezetőjének, címezve a vezetője útján köteles megküldeni.

r) A számítógépes végponti eszközön gondoskodni kell a felhasználó hosszabb inaktivitása során a kikényszerített kijelentkezésről, vagy az eszköz használhatóságának korlátozásáról (billentyűzet blokkolása, jelszavas képernyő védelem stb.). A szükséges beállításokat a rendszergazda szervezet végzi, a felhasználó azokat nem módosíthatja.

s) Informatikai végponti eszközön csak szolgálati célú feladatok hajthatók végre. A magán titokhoz való hozzáférés korlátozásával kapcsolatos követelmények a differenciált hozzáférés szabályai miatt érvényesülnek a teljes informatikai infrastruktúrában, de nincsenek külön a magántitok védelme érdekében foganatosított intézkedések vagy szabályok. Ezt a tényt a szolgálati célú eszközön magán felhasználást végző személy köteles tudomásul venni és ez szerint megalapozottan nem élhet kifogással a büntetés-végrehajtási szervezet felé magán titkának sérülése miatt. Az informatikai szervezet köteles minden olyan napló adatot és egyéb szakirányú segítséget megadni, amely más jogok sérülése nélkül biztosítható és a betekintési jogsérelmet elkövető azonosítását, felelősségre vonását segítheti.

t) A superuser hozzáférések során meg kell különböztetni infrastruktúra és alkalmazás rendszergazdai szerepköröket, amely szerepkörökhöz mindkét funkció egyidőben nem rendelhető és nem alkalmazható. A superusert minden olyan adatkezelésből alapértelmezetten ki kell zárni, amely szerepkörében végzett feladatai ellátásához nem szükséges. A superuser jogosult halaszthatatlan javítási feladatok végrehajtása, rendkívüli helyzet kezelése érdekében szerepkörét meghaladó mértékben jogosultságával élni, jogosultságot szerezni, állományokat, alkönyvtár struktúrákat, erőforrásokat saját neve alatt birtokba venni (take ownership). A szerepkörét meghaladó birtokba vételt követően köteles a hibaelhárítás befejezése után a korlátozásokat érvényesíteni. Köteles továbbá a rendszerirányítót és vezetőjét haladéktalanul értesíteni állományok birtokbavételéről, a tett intézkedésekről, annak körülményeiről. Az eseményt a rendkívüli helyzetnek, vagy a hibakezelésnek megfelelő módon dokumentálni kell.

u) A központi informatikai szervezeti egység esetében a superuser jogosultságok közül meg kell különböztetni az OU és a tartományi (domain) rendszergazdai jogosultságot. Az EKOP-1.1.6 fejlesztés, bevezetés és rendszerintegráció ideje alatt az üzemeltetési és fenntartási feladatot ellátó állomány kizárólag a BVOP OU rendszergazdai jogosultságával rendelkezhet, a tartomány rendszergazdai jogosultságot a fejlesztési szakterületen kell ellátni a rendszerintegrációt követő üzemeltetés átadásig.

v) A rendszerirányító által meghatározott jogosultságok alapján, a rendszergazda szervezet köteles az adatkezeléseket és az adatokhoz való hozzáférési jogosultsági táblákat naprakészen vezetni. A hozzáférési jogosultsági táblákat évente egy alkalommal teljes körűen felül kell vizsgálni. A jogosultsági táblák naprakész vezetésének kötelezése, amennyiben az az informatikai szervezettől független alkalmazás rendszergazdai szerepkörrel megbízott személy feladata, az alkalmazás rendszergazdát terheli.

w) Az informatikai szervezetnek a superuser jogosultság használatával kapcsolatos belső működés mellett végzett ellenőrzésén túl, az informatikai biztonsági felelős köteles évente legalább két alkalommal tervezetten ellenőrzést végrehajtani, amelynek tapasztalatait a központi informatikai szervezeti egység vezetőjének is tájékoztatásul meg kell küldenie.

x) A jogosultságok, szerepkörök definiálása (a kiemelt alkalmazói programok jogosultsági rendszeréről szóló felhasználói kézikönyvek és a kapcsolódó intézkedések, utasítások figyelembe vételével) a központi szakirányító szervezeti egység vezetőjének bevonásával a központi informatikai szervezeti egység vezetőjének jogköre.

y) Illetéktelen hozzáférés, illetve jogosultságokkal való visszaélés esetén a felhasználót azonnal ki kell tiltani a rendszerből.


     4.7.   Szoftvernyilvántartás

a) A büntetés-végrehajtási szervezet informatikai rendszerében rendszeresített minden alkalmazást a központi informatikai szervezeti egységnél nyilvántartásba kell venni és reprodukálhatóság érdekében arról három példányban másolatot kell készíteni, amely egyik példányát (Master példány) az informatikai raktárban, másik példányát az informatikai üzemeltetési szervnél (Archive példány), harmadik példányát pedig az alkalmazás telepítésével megbízott superusernél kell elhelyezni (telepítő példány). A példányok másolása során a másolati példányokra is át kell vezetni az eredeti média használatára, vagy azonosítására szolgáló azonosító adatokat (kibocsátó, sorozatszám, licensz és aktiváló kulcs stb.) Amennyiben jelenleg is rendelkezésre áll az eredeti telepítő készlet, az Master példányként felhasználható. A Master és Archive példányok tárolását szakirányított szervezeti egységeknél nem kell elvégezni, munkapéldány másolata a szükséges mértékben reprodukálható. A reprodukálás nem sérthet szerzői és szomszédos jogot, nem terjedhet ki magán célú felhasználásra, csak abban az esetben, ha ezt a licensz jog kifejezetten engedi.

b) Az alkalmazás verzióinak raktárban és archív adattárban történő elhelyezéséért a verziót átvevő személy felelős. Az alkalmazás munka példányainak elkészítése a rendszergazda felelőssége, aki köteles a tesztelési eljárásnak megfelelő tesztelést követően az alkalmazás verzió telepítésére, szükség esetén terítésére intézkedni. A büntetés-végrehajtási szervezet informatikai rendszerében csak az országos hatáskörű superuser által végrehajtott, vagy a központi informatikai szervezeti egység vezetője által kiadmányozott intézkedés szerint megküldött verziófrissítés telepíthető.

c) Telepítő készlettel el nem látott (General Licence) alkalmazás esetében a központi informatikai szervezeti egység vezetője felelős a termék telepíthető verziójának a licensz kiállítójától való beszerzésért, vagy az Internetes forrásról való letöltéséért. Ez esetben is el kell készíteni és el kell helyezni a Master, Archive és telepítő készleteket.

d) A Master példányról törzskartont kell vezetni, amelyen dokumentálni kell az egyes alkalmazások verzióinak beérkezését, a telepítő példány elkészítésének és a rendszergazda szervezetnek történt átadás időpontját, a telepítés határidejét.

e) A Master és Archive példányok tárolását úgy kell biztosítani, hogy az adathordozóban kár ne keletkezhessen, biztosított legyen állaguk hosszú távú megőrzése. Az elhelyezett adathordozók használhatóságát legalább évente ellenőrizni kell, amely során meg kell győződni az alkalmazás reprodukciós lehetőségéről. Az ellenőrzést a központi informatikai szervezeti egység vezetője köteles tervezni és végrehajtatni úgy, hogy a Master és Archive példányok külön-külön egymáshoz képest félév eltéréssel kerüljenek ellenőrzésre. Használhatatlan, vagy hibás példány esetén az adathordozót a másik példány felhasználásával újólag el kell készíteni és el kell helyezni.

f) A telepített alkalmazások eredetiségét igazoló OEM matricát a felhasználó köteles megóvni, annak azonosító adatait az eszköz tartozékaként rögzíteni kell. Amennyiben az OEM matricához képest új alkalmazás kerül telepítésre, gondoskodni kell az analitikus nyilvántartásban is a korábban az eszközhöz rendelt alkalmazás kivezetéséről és a valótlan adatokat tartalmazó matrica eltávolításáról. A büntetés-végrehajtási szervezetnél a Microsoft licenszek aktiválása fő szabályként a Key Management Service (továbbiakban: KMS) szolgáltatás használatával történhet.

g) A fejlesztett, vagy vásárolt alkalmazások rendszeresítése során a rendszeresítési parancsnak mellékletként tartalmaznia kell az alkalmazási jogosultság igazolásának másolatát (licensz). Az eredeti licensz engedélyeket a Master példány törzskartonja mellett kell tárolni, és annak másolatát az Archive másolat mellett is el kell helyezni.

h) A licensz jogosultságokat a Jogtiszta szoftverek listája dokumentumban telepítési helyek és felhasználói számok adatokkal lajtstromozni kell (a lajstrom az egyes alrendszerek automatikus, elektronikus nyilvántartásával is biztosítható). A dokumentációnak a szabályzat hatálybalépését követő 90 napon belüli felfektetéséért, naprakésszé tételéért a központi informatikai szervezeti egység vezetője felel.


     4.8.   Szoftverkarbantartás

a) A felhasználót külön szoftver karbantartási feladatok nem terhelik. Jogosult a számára futtatási jogosultsággal telepített segédprogramok (tools), hasznos kiegészítők (utility) felügyelet nélküli használatára, vírus kereső futtatására.

b) A lokális gépen a felhasználó adattárolást nem végez, így a töredezettség mentesítést számára tiltani kell.

c) A felhasználó köteles rendszeresen ellenőrizni és törölni az átmeneti fájlokat, így különösen a \cookie, \temp és \temporary internet files alkönyvtárak tartalmát. Köteles ellenőrizni a lokális adathordozók telítettségét, és hibajelzést adni, ha a felhasználás során nem indokolt terhelést, vagy kapacitás csökkenést észlel.

d) Az informatikai infrastruktúrát úgy kell kialakítani, hogy a munkaállomás oldali szolgáltatásokat biztosító szoftverek karbantartásával kapcsolatos frissítés feladatok (update, upgrade) automatikusan megtörténjenek a hálózati munkaállomáson.

e) Az évente végrehajtott ellenőrzés során a karbantartó köteles ellenőrizni az update-ek megtörténtét az operációs rendszer és részei és a vírus ellenőrző program kliense tekintetében, valamint ellenőriznie kell a rendszer töltési (boot) és kikapcsolási (shutdown) folyamat helyességét. A karbantartást végrehajtó köteles figyelmet fordítani a fájlrendszer állapotára, a kapacitás mutatókra, és az indokolatlan erőforrás igények jelenlétére. Lehetőség szerint alkalmazzon kémprogramok elleni ellenőrzést (SpyWare), mentesítést. A szoftverkarbantartásnak ki kell terjednie a szerzői és szomszédos jogokat sértő magatartások felfedésére.

f) A szerverek szoftver karbantartása és frissítése a superuserek feladata, törekedni kell a kézzel végrehajtott frissítésekre, amennyiben az automatikusan történik, a superuser köteles legalább hetente azok telepítettségét és a működés helyességét ellenőrizni.

g) Tilos automatikus frissítést engedélyezni a tartományvezérlő, tűzfal, levelező, központi vírus ellenőrző, terminál kiszolgáló, adatbázis kezelő és fájl megosztó szervereken az informatikai rendszer teljes egészében.


     4.9.   Naplózás

a) A számítógépes végponti eszközökkel végzett tevékenységek során a szerver szolgáltatások igénybevételét, a külső szolgáltatás igénybevételére irányuló adatforgalmat, a célalkalmazásban végzett tevékenységeket, valamint a szervereken végzett rendszergazdai tevékenységet szükség szerint naplózni kell.

b) A naplóállományok tárolását függetleníteni kell az azt létrehozó szolgáltatástól, vagy alkalmazástól, lehetőleg centralizált és statisztikailag menedzselhető tárhelyen Microsoft Operations Manager (továbbiakban: MOM) szerver vagy ezzel egyenértékű alternatív megoldás felügyelete alatt kell központosítani.

c) Naplóállományok adatait manipulálni (új adatot hozzáírni, módosítani, vagy törölni) tilos. Minősített, vagy korlátozott terjesztésű adatokat tartalmazó napló állományokat az adattartalomnak megfelelő eljárási rendben és védelmi intézkedések megléte mellett kell kezelni.

d) A naplófájlokat rendszeresen elemezni, értékelni kell, amely alapján felül kell vizsgálni és szükség esetén módosítani kell az informatikai rendszer paramétereit, beállításait.

e) A naplózási rendszert úgy kell kialakítani, hogy az informatikai biztonsági felelős külön értesítés és felügyelet nélkül képes legyen a napló adatok megtekintésére, elemzésére és értékelésére.

f) A szükséges napló állományok archív mentéseit az informatikai biztonsági felelős készíti és tárolja.

g) A központosításban nem érintett célalkalmazások naplóállományainak kezeléséről szóló speciális szabályokat az üzemeltetési utasításokban külön fejezetben kell rögzíteni.

h) Az infrastruktúra szinten képződő naplóállományokat a tároló kapacitás függvényében törölni kell. A törlési ciklus minimálisan 1 hét maximálisan 3 hónap, amely időtartamot követően az eseménymentes működés esetén törölhető a napló állomány.


     4.10.   Operációs rendszer részeként használt célalkalmazások

a) Az adminisztratív irodai munkakörök támogatására a büntetés-végrehajtási szervezet adott operációs rendszert és irodai alkalmazás csomagot rendszeresített, amely jelenleg a Microsoft Windows 7 Professional HUN 32bit operációs rendszer és az ehhez illeszkedő Office 2010 Standard HUN 32bit irodai alkalmazás csomag (Word, Excel, PowerPoint, PhotoEditor, Outlook). Az Access vagy ezzel egyenértékű alkalmazás felhasználói és kiemelt felhasználói körnek csak az informatikai szervezeti egység vezetőjének engedélyével telepíthető.

b) A hálózati csatlakozás biztosítására a Microsoft Networks ügyfél, a fájl- és nyomtatómegosztás Microsoft Networks-höz és a TCP/IP kapcsolati elemeket kell telepíteni, vagy szükség esetén ezzel egyenértékű alternatív megoldást. A hálózatban Netbeui, IPX/SPX protokoll alkalmazása 2011. december 31-et követően tilos.

c) Az Internet szolgáltatások (http, ftp) igénybevételére a Windows 7 Professional HUN 32bit Internet Explorer 8.x, vagy magasabb verzió számú alkalmazást, ezzel egyenértékű megoldást kell használni.

d) A büntetés-végrehajtási szervezet információ cseréhez levelező rendszert használ (MS Exchange/Outlook). A felhasználó személyes postafiókjának kiszolgálását kérheti az informatikai szervezeti egység vezetőjétől, aki engedélyezheti a levelezőrendszer konfiguráció módosítását egy alternatív levelező alkalmazás használatához. Külső levelező alkalmazás kiszolgálása esetén a levelező szerver SMTP kiszolgálását csak hitelesített felhasználó számára szabad engedélyezni (az SMTP kiszolgáló hitelesítést igényel beállítással).

e) Az adatok vírus védelme érdekében többszintű vírus védelmi rendszert kell működtetni. Minimálisan működtetni kell az Internet kijáratokon a teljes forgalmat ellenőrző vírus pajzsot, a levelezési szolgáltatást ellenőrző vírus szervert, és a számítógépes végponti eszközön vírus klienst. Törekedni kell arra, hogy az Internet kijáratokon üzemelő vírusvédelmi megoldás térjen el a klienseken alkalmazott megoldástól (lehetőség szerint két különböző platform vegyen részt a több lépcsős ellenőrzésben).

f) A rosszindulatú alkalmazások felderítése-, hatásuk, aktiválódásuk megelőzése, terjedésük korlátozása érdekében az informatikai szervezeti egységnek rendszeresen ellenőriznie kell a hálózati munkaállomások fájlrendszerét. Az ellenőrzésnek ki kell terjednie a vírus és kémprogram ellenőrző és eltávolító alkalmazásokra. Az ellenőrzést egyrészt a karbantartási, hibajavítási és felhasználó ellenőrzési folyamatba beépítve, másrészt ütemezett módon automatikusan kell végrehajtani.

g) A vírus ellenőrző program kliens programja az ütemezett ellenőrzését a felügyelt munkaállomásokon minden hét hétfőjén 12.00 órai kezdettel kell indítani úgy, hogy a felhasználó azt ne állíthassa le. A szervereken az automatikus vírus ellenőrzést havonta egy alkalommal, lehetőség szerint hétvégén, a tárolt adatok méretétől függően 01.00 - 05.00 óra között kell ütemezetten végrehajtani.

h) A levelező szerver működtetése esetén az operációs rendszer valós idejű védelmét ellátó kliens vagy szerveralkalmazást is telepíteni kell.

i) A vírus ellenőrző kliensprogramokat úgy kell konfigurálni, hogy a beállítások módosítását a felhasználó ne tudja megváltoztatni. Az alkalmazásnak valós idejű védelmi módban kell futniuk (File System RealTime Protection), és az eredményesen el nem távolítható vírus esetén a fertőzött állomány törlésével kell a vírust eltávolítania.

j) A vírusdefiníciós állományok terítési terhelésének csökkentése érdekében a vírus ellenőrző szerverrendszert úgy kell kialakítani, hogy a központi szervezet elsődleges szerveréről lehetőség szerint automatikusan frissüljenek a hajnali időszakban az alárendelt szervezet szintjén működő szerverek. Az alárendelt szerverek helyi hálózati kapcsolataikban automatikusan frissítsék az egyéb szervereket és munkaállomásokat. Az informatikai szervezeti egység vezetője a kiszolgálandó szerverek és munkaállomások számának, valamint a helyi hálózat szegmentáltságának figyelembevételével dönthet további frissítő szerver üzembeállításáról.


     4.11.   Szerverek szoftver vonatkozásai

a) Az EKOP-1.1.6 fejlesztéssel homogén szerver parkokat kell kialakítani Microsoft Windows 2008 R2 ENG 64bit típusú operációs rendszerekre alapozva. Az informatikai rendszerben 2011. december 31-et követően kizárólag rendszeresített alkalmazások használhatóak, így a rendszeresítési engedéllyel nem rendelkező alkalmazásokat az informatikai szervezeti egység vezetője mérje fel a BV IBSZ megjelenését követő 90 napon belül, amely felmérés eredményéről a központi informatikai szervezeti egység vezetőjének tegyen jelentést. A központi informatikai szervezeti egység vezetője a rendszeresítési eljárás lefolytatására, illetve a rendszeridegen alkalmazások megszüntetésére, vagy kiváltására a BV IBSZ hatálybalépését követő 180 napon belül készítsen ütemtervet a járulékos költségek bemutatásával.

b) Az informatikai rendszerben alkalmazott, de nem az büntetés-végrehajtási szervezet által üzemeltetett rendszerek vonatkozásában (bérelt alkalmazásszolgáltatások; ágazati, vagy kormányzati szinten biztosított alkalmazások; outsourcing adatfeldolgozó, vagy üzemeltető által működtetett alrendszerek stb.) a központi informatikai szervezeti egység vezetője 2011. december 31-ig vizsgálja felül a szolgáltatás insourcing lehetőségét, a működési környezet jogszabályi és rendszertechnológiai megfelelőségét, tegyen javaslatot az igénybevétel normalizálására, szabályozására.

c) A szerveralkalmazások tekintetében követelmény a Microsoft alapú homogenizálás, az egyes szolgáltatásokat a Microsoft megoldásaira kell építeni. Szerverszolgáltatásokat kizárólag eredeti angol, munkaállomás szolgáltatásokat magyar nyelven kell működtetni. A helyi fejlesztésű alkalmazások és adatbázisaik számát csökkenteni kell, az adatbázis kezelő homogenizálása érdekében az informatikai rendszerben a Microsoft Sql Server 2005 szolgáltatás kerül rendszeresítésre.

d) Elsősorban a kritikus rendszereket kiszolgáló szervereknél (de lehetőség szerint minden szerverszolgáltatásnál) a szerveroldali szolgáltatást duplikálni kell. A duplikálás során alkalmazható eljárás a fürtözés, a hálózati szinten elért NLB (Network Load Balacing) és FT (Fault Tolerance), valamint a hideg, vagy meleg tartalék biztosítása, egyéb on-line vagy off-line backup megoldás.

e) Új rendszerek bevezetése során a homogenizálás és a centralizálás elvét kell követni. Új alkalmazások fejlesztése során elsősorban vékony klienst kell használni, szerver oldalon futó megoldásra, elsősorban a WEB böngészőre épülő kliens oldali alkalmazással. A fejlesztésnek a tartományi környezetre és a Microsoft platform szolgáltatásaira kell alapulnia.

f) A BV IBSZ hatálybalépését követően kiszolgálói alkalmazás, figyelemmel a 3.2 a) és b) pontra, kizárólag a központi informatikai szervezeti egység vezetőjének írásbeli engedélye alapján végezhető.

g) A szabályzat hatálybalépését követő 60 napon belül fel kell mérni a szerver kiszolgálókat, a homogenitás és centralizálás elve alapján integrálni kell a kiszolgálói funkciókat, meg kell szüntetni a korábban engedély nélkül üzembe állított szervereket (pl.: Novell alapú állomány megosztást, MySQL-t, PHP motor-t, stb.)

h) Csak olyan eszköz és alkalmazás rendszer telepíthető szerverszolgáltatásnak, amely biztosítja a szerver magas rendelkezésre állását (gépen belüli, vagy eszközök közötti redundancia és terhelés megosztás, tükrözés és/vagy fürtözés, „meleg” vagy „hideg” tartalék).

i) A szervereket csak az informatikai szervezet munkatársa, vagy az informatikai szervezet által kijelölt, megbízott személy jogosult telepíteni. A telepítés menetéről telepítési jegyzőkönyvet kell készíteni, amely pontosan dokumentálja a konfigurációs változtatásokat.

j) A rendszerbe állított levelezési kiszolgálók mellett más levelező kiszolgáló nem működtethető, a levelező szolgáltatás során törekedni kell a WebMail felület használatára.

k) A tartományi konfiguráció mentését a központi informatikai szervezeti egységnél kell megvalósítani, a védelmet a hibatűrésre kell felkészíteni. Ez a gyakorlatban azt jelenti, hogy az összes Microsoft infrastruktúra szervertagok a konfigurációjukat az Active Directory adatbázisba mentik, amelyek aztán az összes vidéki telephelyre replikálódnak.


     4.12.   Alkalmazások és adatbázisok

a) Az informatikai szervezet elsődleges feladata és célja a büntetés-végrehajtási szervezet szolgálati feladatainak informatikai támogatása, magas fokú rendelkezésre állás, és magas szintű szakmai biztosítás mellett. A számítástechnikai támogatásban differenciáltan, a szolgálati feladatok hatékony és lehető leggyorsabb kiszolgálásával kell megvalósítani az adatok és adatbázisok elérését. Az informatikai rendszert úgy kell kialakítani, működésüket úgy kell hangolni, hogy a szolgálati feladatok ellátása szempontjából releváns alkalmazások és adatbázisok prioritást élvezzenek. A prioritásokat az alkalmazás lista összeállításával, naprakészen tartásával a kritikus alkalmazások kategóriákba sorolásával és a működési paraméterek ennek megfelelő beállításával kell biztosítani úgy, hogy a prioritás a teljes infrastruktúrában érvényesüljön.

b) A magas fokú rendelkezésre állás érdekében azért, hogy a hibaesemény bekövetkezése esetén a szolgáltatás kiesési idő a lehető legrövidebb legyen, meg kell határozni, minden szolgáltatásra vonatkozóan a rendszerirányítói feladatkört és a rendszergazda szervezetet függetlenül attól, hogy a szolgáltatásban megvalósul-e személyes adat kezelése. A rendszergazda szervezetben ki kell jelölni azt a személyt(eket), akinek feladata a rendszerirányító által meghatározott rezsim (differenciált hozzáférés, betekintés szabálya, korlátozások módja, módszere stb.) rendszertechnológiai rendszerben való érvényesítésének beállítása. A rendszergazda nevesítése mellett rögzíteni kell elérhetőségét, értesíthetőség adatait, az alkalmazás rendszerrel kapcsolatos azonnali intézkedések, hiba kezelések rendjét, valamint a helyettesítést azonos adatokkal.

c) Minden kritikus alkalmazás esetében egyértelműen azonosítani és dokumentálni kell a hibamentes működéshez elengedhetetlenül szükséges hardver és szoftver paramétereket. A kapcsolódó szervereket és szolgáltatásokat, a függőségi viszony tulajdonságait, a működés szempontjából kritikus környezeti hatásokat, elemeket (perifériák, szünetmentesítés, LAN, WAN hálózati környezet és interface-ok, redundancia jellemzők, együttműködők, érvényes outsourcing adatok stb.). Kritikus alkalmazás esetén a teljes alrendszerre vonatkozóan - minden egyes rendszer elemre, fejlesztési, hardver, szoftver karbantartási, kapcsolódó elemek -, belső erőforrásokat kell dokumentáltan allokálni, vagy külső szolgáltatásokkal kell biztosítani a magas fokú rendelkezésre álláshoz szükséges erőforrásokat.

d) Kritikus alkalmazások esetén meg kell határozni és rögzíteni kell a telepítési, működtetési, kezelési, mentési, módosítási, megújítási (patch-elési) szabályokat, amelyek hibamentes érvényesíthetősége érdekében, lehetőség szerint, teszt környezetet kell létrehozni.

e) Összhangban a 4.11. a) ponttal a szabályzat hatálybalépését követő 90 napon belül lokalizálni kell a Microsoft infrastruktúrával nem kompatibilis alkalmazásokat, vagy alkalmazás rendszereket és a központi informatikai szervezeti egység vezetőjének a hatálybalépést követő 180 napon belül ütemtervet kell készítenie az alkalmazások késztermékes vagy fejlesztéses kiváltásával kapcsolatos feladatok és pénzeszközök ütemezésére, biztosítására.

f) Az önállóan, vagy szigetszerűen működő címtárszolgáltatásokat, célalkalmazásokat, egyéb rendszerszintű szolgáltatásokat 2011. december 31-ig fel kell számolni a szolgáltatások tartományi környezetre történő rendszerintegrálásával.

g) A Microsoft tartományi rendszer kiépítése során fel kell mérni azokat a munkahelyeket, ahol nem rendszeresített alkalmazással valósítanak meg felhasználó támogatási funkciókat. A jogtiszta alkalmazás beszerzésének igényét a szervezeti egység vezetője köteles a szabályzat hatálybalépését követő 90 napon belül a központi informatikai szervezeti egység vezetőjének benyújtani, ennek elmulasztása esetén az informatikai szervezeti egység vezetője köteles a nem jogtiszta alkalmazást törölni, a jog- és norma szerinti állapotot helyreállítani.

h) A tartományi számítógépes munkaállomások telepítési és helyreállítási folyamatainak egyszerűsítése és gyorsítása érdekében un. lemezkép fájlok (image) készítésével kell azt előkészíteni (SEP drive image). Törekedni kell arra, hogy a homogén gépállományokról telepítő képfájlok készüljenek a különböző hardver és szoftver komponens szabvány, valamint minden definiált szerepkörhöz. Az egyes lemezkép fájlokat és azok későbbi verzióit az alkalmazások verzió követésének és tárolásának szabályai szerint kell kezelni. A lemezkép fájlkészítő alkalmazást a központi informatikai szervezeti egységnek kell biztosítania.


5.   Dokumentációhoz kapcsolódó védelmi intézkedések


     5.1.1.   Infrastrukturális nyilvántartások és okmányok

a) Az informatikai szervezet köteles az informatikai rendszerről, annak részeiről, az azt felépítő és működtető infrastruktúráról, valamint - kiemelten - a működés és szolgáltatás szempontjából kritikusnak tekintett elemekről naprakész nyilvántartást vezetni. A nyilvántartásnak alkalmasnak kell lennie a mennyiségi mutatókon kívül, a rendszertechnológiai sajátosságok, az infrastruktúra egyéb jellemző tulajdonságainak nyilvántartására (rendszer, alrendszer funkciója; a kapcsolódás műszaki leírása; rendszergazda, kapcsolattartók, együttműködők; jogforrás; mentés, helyreállítás; technikai jellemzők stb.).

b) A kritikus alkalmazások nyilvántartásának alapja a büntetés-végrehajtási szervezet belső adatvédelmi felelősének belső adatvédelmi nyilvántartása.

c) A büntetés-végrehajtási szervezetnél az informatikai rendszerek üzemeltetésével és fenntartásával kapcsolatosan a táblázatban szereplő okmányokat, elektronikus nyilvántartásokat kell naprakészen vezetni.

Okmány/rendszeresítési hely

OP-ság

Intézmények

Jogtiszta szoftverek listája (licenszek)

igen

nem

IP címek (számok) nyilvántartása

igen

igen

Gépkönyv (Szerver és szerver szolgáltatások nyilvántartása)

igen

igen

Távbeszélő központok számkiosztása

igen

igen

Informatikai végponti eszközök nyilvántartása

igen

igen

Alközponti, helyi hálózatok nyomvonalvázlatai

igen

igen

Telefonkönyv (távközlési szolgáltatók, EMÜ telefonkönyvei)

igen

igen

Számítástechnikai rendszerek logikai hálózatai

igen

igen

Javítások könyve

igen

igen

Kezelési, forgalmi utasítások

igen

igen

d) Az okmányok vezetéséért felelős személy a szabályzat hatálybalépését követő 90 napon belül gondoskodjon az okmányok naprakészségéről, szükség esetén intézkedjen felfektetésükről. Amennyiben a nyilvántartások elektronikus formában kerülnek vezetésre, akkor a nyilvántartásokat verzió szám megjelöléssel kell ellátni. A vezetésért felelős személynek rendelkeznie kell az elektronikus nyilvántartások aktuális verzió számát, a vezetést végző személy nevét és a nyilvántartás elérhetőségét tartalmazó listával. Azokat az elektronikus nyilvántartásokat, amelyek nyilvánossága nem jár biztonsági kockázattal, lehetőség szerint nyilvánosan megismerhető formában kell tárolni az Intraneten.

e) Az okmányok nem minősített adatokat tartalmazó dokumentumok, ugyanakkor az informatikai infrastruktúra működését tekintve bizalmas tartalmú, érzékeny adatokat tartalmazó rendszertechnológiai leírásokat, adatokat, rendszer-, alrendszer terveket foglalnak magukban, így illetéktelen személy betekintése ellen azokat védeni kell. A védelem biztosítására elegendő a védett helyiségben történő tárolásuk. A felügyelettel végzett munka során gondoskodni kell arról, hogy az illetéktelen személy az okmányokat, vagy annak részleteit nem legyen képes reprodukálható módon rögzíteni, illetve ne legyen alkalma az okmány alapján az infrastruktúrára vonatkozó összegzést, elemzést végezni.


     5.2.   Egyéb dokumentumokkal kapcsolatos előírások

f) Az informatikai rendszerben alkalmazott minden eszköznek, alkalmazásnak, rendszertechnológiai megoldásnak és folyamatnak dokumentáltnak kell lennie.

g) A dokumentációknak minimálisan négy példányban kell rendelkezésre állniuk. Az 1. számú példány a rendszerirányító szervezetnél, a 2. számú példány a rendszergazda szervezetnél, 3. számú példány az informatikai szervezeti egységnél, a 4. számú példány az informatikai raktárban kell tárolni, alkalmazás dokumentációja esetén közösen a Master példánnyal. Az informatikai szervezeti egység példányát az Országos Parancsnokságon az üzemeltetési szervnél kell tárolni, ahonnan az el nem vihető.

h) Elektronikus dokumentáció rendelkezésre állása esetében, annak másolatait - ha ez szerzői vagy szomszédos jogokat nem sért -, minimálisan az előző pontban rögzítettek számára rendelkezésre kell bocsátani, az eredeti példányt az informatikai raktárban kell tárolni.

i) A dokumentációk kezelése során az érvényes ügyirat kezelési szabályok szerint kell eljárni.

j) Az újonnan bevezetendő rendszerek esetében a fejlesztési eljárás részévé kell tenni a fejlesztési, telepítési és üzembe állítási, üzemeltetési, karbantartási és mentési előírásokat tartalmazó dokumentációk elkészítését, amelyek átadása a rendszer üzemszerű átadásának része. Az üzemeltetési leírásnak minimálisan műszaki leírást, rendszergazdai kézikönyvet és felhasználói leírást kell tartalmaznia.

k) A meglevő, jelenleg is működtetett kritikus alkalmazások hiányzó fejlesztői, üzemeltetési, karbantartási és mentési előírását tartalmazó dokumentációt haladéktalanul pótolni kell az alkalmazás fejlesztőjétől, vagy szükség esetén a rendszer működésének elemzése útján. A szükséges dokumentációk pótlását a hatálybalépést követő 1 éven belül be kell fejezni.

l) A kritikus alkalmazások tekintetében meg kell vizsgálni teszt környezet kialakításának és bevezetésének lehetőségét, a későbbi fejlesztések során a fejlesztés részévé kell tenni a teszt és az oktatási verzió készítését is. A kritikus alkalmazások esetében a módosításokat csak teszt környezetben való előzetes kipróbálást követően lehet átvezetni a működő rendszerre. A módosítások során alkalmazni kell a verzió nyilvántartásra vonatkozó szabályokat.

m) A szervezetből való kilépés során a „leszerelő lap” tartalmát úgy kell kialakítani, hogy az informatikai szakterületet érintően külön-külön szerepeljen a személyes felszerelésként korábban kiadott szakanyagokkal történő elszámolás-, a telefon- és mobiltelefon költségekkel, kedvezményes előfizetéssel kapcsolatos kötelezettségek teljesítésének- és az informatikai rendszerekhez történő hozzáférésnek, illetve betekintési jogosultságoknak törlésével kapcsolatos tudomásul vételnek a felelős szerinti szignalizációja. A hozzáférési jogosultságok törlését az informatikai szervezeti egység köteles haladéktalanul végrehajtani.


    5.3.   Egyéb kapcsolódó szabályzatok, előírások és dokumentumok

a) Üzemeltetési szabályzatok és karbantartási utasítások: a Kritikus alkalmazás rendszerek tekintetében a dokumentációkat a hatálybalépést követő 1 éven belül pótolni kell. A dokumentumok pótlásáért a központi informatikai szervezeti egység vezetője felelős.

b) Informatikai Biztonsági Szabályzat: Jelen dokumentum, amelynek felülvizsgálatát évente végre kell hajtani. A felülvizsgálat során nem csak a naprakészséget biztosító adatmódosításokat kell átvezetni, hanem szükség esetén aktualizálni kell az egyes rendszertechnológiai elemekre vonatkozó normát, módszert is (pl.: új védelmi lehetőségek megjelenése stb.)

c) Katasztrófa elhárítási terv (Ügymenet Folytonossági Terv): A kritikus alkalmazások, valamint a gépterem és egyéb informatikai központok tekintetében a hatálybalépést követő 180 napon belül fel kell fektetni a rendkívüli események során végrehajtandó feladatokat tartalmazó dokumentációt. A dokumentáció elkészítéséért a központi informatikai szervezeti egység vezetője felelős.

d) Mentési és Archiválási Terv: A kritikus alkalmazások tekintetében a hatálybalépést követő 90 napon belül meg kell határozni a mentési módszereket és időszakokat, majd a dokumentálást követően ki kell alakítani a normának megfelelő rendszertechnológiai rendszert. A dokumentáció és a mentési, archiválási rendszer kialakításáért a központi informatikai szervezeti egység vezetője felelős.

e) On-line hardver és szoftver leltár lista: Az Active Directory bevezetését követő egy éven belül telepíteni kell az SMS szervert és ahhoz integrálni kell a számítógépes munkaállomásokat úgy, hogy a SMS szerveren képződjön az on-line szoftver és hardver leltár lista. A rendszer kialakításáért a központi informatikai szervezeti egység vezetője felelős.

f) Kritikus alkalmazások és kapcsolódó szerverek listája: jelen szabályzat 1. számú „kritikus alkalmazások” és 2. számú „kapcsolódó szerverek” melléklete.

g) Hálózati nyilvántartások, topológia, jogosultsági táblák: a hatálybalépést követő 180 napon belül fel kell fektetni. A felfektetésért, naprakészen tartásáért az informatikai szervezeti egység vezetője felelős.

h) Szolgáltatási szerződés minta (SLA - template): a hatályba lépést követő 180 napon belül minta Szolgáltatási Szerződést kell létrehozni a fejlesztési, a karbantartási és/vagy a javítási szerződések kidolgozására. A szerződés mintának tartalmaznia kell az IBSZ szerinti normatívák érvényesítési módszereit, a Szerződés BV IBSZ-szel való kiegészítésére való hivatkozással. A minta szerződések kidolgozásáért a központi informatikai szervezeti egység vezetője felel.


6.   Adathordozókhoz kapcsolódó védelmi intézkedések

a) A BV IBSZ figyelemmel a büntetés-végrehajtási szervezet Adatvédelmi és Adatbiztonsági Szabályzatára, az adathordozók közül az elektronikus, mágneses és optikai adathordozókkal kapcsolatos különleges szabályokat tartalmazza (továbbiakban: adathordozók).

b) A büntetés-végrehajtási szervezet informatikai rendszerében idegen adathordozó (privát eszköz) figyelemmel a 6. d) és e) pontra, nem csatlakoztatható, nem használható.

c) A számítógépes végponti eszközökön csak korlátozottan lehet floppy lemezt, USB tárolót használni, az informatikai rendszerben adattovábbítást a fájl megosztásokkal, levelezéssel, vagy az informatikai szervezeten keresztül kell biztosítani.

d) Az informatikai rendszerben az optikai lemezre, USB tárolóra történő másolás korlátozottan lehetséges, azt csak az informatikai szervezetben, vagy általa e célra kialakított és nyilvántartásba vett végponti eszközön engedélyezett. Magáncélú CD-DVD másolás semmilyen formában és célból nem engedélyezett. Azokon az eszközökön, ahol technikailag biztosított külső adathordozó írása, az eszközt az állomány mozgással járó tevékenységet naplózó alkalmazással kell ellátni.

e) Az informatikai rendszerben memória kártya alapú (flash ram, USB tároló) vagy mobil merevlemez vagy optikai alapú adatmentés, adattárolás és továbbítás - a rendszergazda szervezet telepítési, karbantartási, javítási, tárolási és adattovábbítási tevékenységén, valamint a társszervek ellenőrzött és felügyelt munkavégzésén kívül - nem engedélyezett.

f) A vezeték nélküli mentési eljárásokat (infra, WiFi stb.) az operációs rendszer biztonsági házirendjében az interfész használatnak tiltásával kell tiltani.

g) Az adathordozókat, amennyiben nem állandó telepítési helyen alkalmazzuk őket, tájékoztató felirattal kell ellátni adattartalmukra vonatkozóan.

h) Az adathordozók expediálását adatkísérő lappal kell végrehajtani, ahol az adatkísérő lapon minden, az adathordozóra és az azon tárolt adatra vonatkozó tájékoztató adatnak szerepelnie kell. Az adatkísérő lap adatai a kísérő iratban is rögzíthetők, ebben az esetben az adathordozót, mint mellékletet kell az iratban megjeleníteni.

i) Napi használatban lévő mágneses mentési adathordozó (hetente több alkalommal újraírt) fél évet meghaladó használata (100-150 alkalom) további, ilyen célú felhasználásra nem engedélyezett.

j) Archív adattárban, vagy elektronikus dokumentumként tárolt adatokat, ha 12 hónapon túl kerültek tárolásra, évente felül kell vizsgálni, amely során meg kell állapítani, hogy az eredeti állapot elérhető-e, mágneses adathordozó esetében történt-e demagnetizálódás. A felülvizsgálat eredményétől függetlenül a mágneses adathordozók esetében kettő évente az adatot fel kell frissíteni, vagy újra kell írni.

k) Mentések esetében rendszeresen, szúrópróbaszerűen helyreállítást kell végrehajtani a mentet állományból annak megállapítására, hogy a mentés sikerült-e. A mentés-helyreállítást tilos működő rendszer felhasználásával ellenőrizni.

l) A mentések során kizárólag a Mentési és Archiválási Tervben meghatározott eljárások, ütemezések és módszerek alkalmazhatók. Nem kritikus alkalmazások esetében a napi mentések végrehajtását pótolhatja a valós idejű másolat (replika, meleg tartalék stb.) alkalmazása. Mentés nem történhet a mentett eszközzel fizikálisan azonos tároló eszközre.


7.   Selejtezés, megsemmisítés

a) A használatból kivont, személyes és különleges, vagy érzékeny adatokat tartalmazó adathordozókat az informatikai szervezetnek selejtezésre, megsemmisítésre át kell adni. Az adathordozókat fizikailag alkalmatlanná kell tenni a további használatra, ezt követően lehet lefolytatni a selejtezési eljárást, a használatból történő kivonást.

b) Azt az adathordozót, amely fizikailag sérült, vagy javíthatatlan; gyártási hibából következően felhasználásra alkalmatlan; tároló kapacitása a felhasználás során úgy károsodott, hogy csak 75%-án, vagy annál kisebb területen képes adatot tárolni vagy véglegesen elhasználódott, megsemmisítéssel a használatból ki kell vonni.

c) A minősített adatokat tartalmazó adathordozó használata során a minősített adatok kezeléséről szóló 90/2010. (III. 26.) Kormány rendelet szerint kell eljárni.

d) Minősített adathordozó visszaminősítését csak a minősített adatok törlését és az adathordozó többszörös (minimálisan 3 alkalommal elvégzett) formattálását követően lehet végrehajtani. A visszaminősített adathordozó használatba történő visszaadása során nem kerülhet más szervezeti egységhez és alacsonyabb minősítésű adatok kezelését biztosító felhasználásra.

e) A kizárólag nyilvános, vagy közérdekből nyilvános adatok tárolását ellátó adathordozó többszörös formatálását követően más felhasználó számára munkavégzésre kiadható, illetve a többszörös formatálást követően adattartalom nélkül (ide értve az operációs rendszer hiányát is) a vonatkozó szabályok mellett a használatból történő kivonást követően értékesíthető.


8.   Kommunikáció és hálózatok védelmi intézkedései

a) A büntetés-végrehajtási szervezet adatátviteli útjait védeni kell illetéktelen rácsatlakozástól. Ennek biztosítása érdekében:

- a vonali rendezőhöz, központokhoz, LAN/WAN hálózati elosztókhoz, egyéb átvitel technikai eszközökhöz stb. való hozzáférés csak korlátozottan lehetséges. A korlátozást fenti műszaki berendezések elhelyezésére szolgáló helyiségbe való belépés korlátozásával is érvényesíteni kell.
- Nem engedélyezett az informatikai szervezet által telepített, dokumentált, és nyilvántartott végponti eszközre történő behívás, ilyen rendszertechnológiai megoldást biztosító adatkapcsolat kialakítása tilos.
- Végponti eszköz Internet, Intranet vagy behívásos adatkapcsolatának kialakításához írásos megkeresésre, a központi informatikai szervezeti egység vezetője előzetes írásos egyetértése szükséges, aki köteles gondoskodni a vonatkozó törvényi rendelkezések maradéktalan érvényesüléséről.

b) A LAN és WAN hálózat eszközeit úgy kell beállítani, hogy megakadályozza, vagy ellehetetlenítse az idegen végponti eszköz csatlakozását, forgalmazását. Ennek biztosítása érdekében, lehetőség szerint MAC cím szerinti alapnyilvántartást, és ez alapján beállított hozzáférési jogosultsági rendszert kell a kommunikáció során érvényesíteni.

c) Az adatvonali kapcsolat kialakítása során a rendszerelemek gyári alapértelmezett beállításait meg kell változtatni, a változásnak megfelelő beállításokat, hozzáféréseket, kapcsolódási és felelősi adatokat dokumentálni kell, és biztosítani kell az azokhoz való differenciált hozzáférést, megfelelő tájékoztatást.

d) Az adatvonali kapcsolatok védelme érdekében az egyes alrendszerek vonatkozásában logikai, technikai és adminisztratív védelmi eszközöket kell meghatározni. Az adatkapcsolatok kialakítása során a 346/2010. (XII.28.) kormányrendelet a kormányzati célú hálózatokról, valamint az ennek felhatalmazásával készült jelen BV IBSZ szerint kell eljárni.

e) Az adatvonali kapcsolat biztonsága érdekében halaszthatatlan esetben (behatolási kísérlet megakadályozása, vírusterjedés stb.) a központi informatikai szervezeti egység vezetője jogosult saját hatáskörben adatkapcsolatokat, alhálózatokat, alrendszereket ideiglenesen korlátozni, vagy működésüket szüneteltetni. Az azonnali intézkedések bevezetését követően haladéktalanul köteles jelentési és tájékoztatási kötelezettségeinek eleget tenni.

f) Az adatvonalakat úgy kell kiépíteni, hogy azokban jeltorzulás, jelvesztés redundanciából, interferenciából ne következhessen be, így különösen kerülni kell közüzemi vezetékek, nagy hálózati fogyasztók melletti vezetést, kábel koncentrációk kialakulását.

g) Az adatvonali kapcsolat során az egyes alrendszereket úgy kell kialakítani, hogy a kommunikációs kapcsolatban minden egyes szereplő számára biztosított legyen a hitelesség és a bizalmasság.

h) Az adatkapcsolatok során biztosítani kell az adatok továbbításának sorrendiségét, a pillanatnyi erőforrás elosztás monitorozását, a működés közbeni hangolást, a terhelés elosztás módosítását.

i) Az adatvonali rendszerben a hangátvitel prioritást élvez, e prioritása a hangátvitel rendszertechnológiai követelményeinek megfelelően nem módosítható.

j) A büntetés-végrehajtási szervezet informatikai rendszerében minősített adat továbbítása csak a rejtjel tevékenységről szóló jogszabályok maradéktalan alkalmazásával biztosítható.

k) A büntetés-végrehajtási szervezet informatikai rendszerében a rejtjel tevékenységen kívül, ahol a minősítése azt indokolja, ott algoritmikus védelemmel kell forgalmazni. Biztosítani kell az adatforgalom jellemzőinek, az adattartalomnak megfelelő bizalmasságot, hitelességet.

l) A büntetés-végrehajtási szervezet informatikai rendszerének továbbfejlesztése során érvényesíteni kell a digitális aláírás alkalmazásának, és bevezetésének rendszertechnológiai feltételeit. A rendszert úgy kell kialakítani, hogy alkalmas legyen a felhasználók beléptetésére és adattovábbítás, illetve a kommunikáció illetéktelen hozzáféréstől való megóvására egyaránt.

m) Az adatkapcsolatot úgy kell kialakítani, hogy az üzenet forrásának és kézbesülésének ténye igazolható legyen.

n) A büntetés-végrehajtási szervezet informatikai rendszerét úgy kell kialakítani, hogy hálózati topológiája, hálózati eszközei és menedzsmentje tegye lehetővé helyi és külső hálózatok közötti kommunikáció kontrollját (pl.: üzenet szűrésével, átjáró, tűzfal), zárt felhasználói csoportok létrehozását.

o) A büntetés-végrehajtási szervezet informatikai rendszerében csak rendszeresített végponti eszközök és szolgáltatások működtethetők, azokat az informatikai szervezet állíthatja üzembe és telepítheti.

p) Egyes informatikai rendszer szolgáltatások csak a központi informatikai szervezeti egység vezetőjének előzetes egyetértésével és írásbeli engedélyével működtethetők:

- telefon szolgáltatás
- rádió szolgáltatás
- adatátviteli hálózati szolgáltatás
- Intranet és Internet szerverszolgáltatás
- FTP szerverszolgáltatás
- mail szerverszolgáltatás (POP3, IMAP, SMTP stb.)
- chat és fórumszolgáltatás
- távoli terminálszolgáltatás
- adatbázis
kiszolgálói szolgáltatás

q) A vonali rendezőhöz, központokhoz, LAN hálózati elosztókhoz, egyéb átvitel technikai eszközökhöz stb. való hozzáférés csak korlátozottan lehetséges. A korlátozást a 3.1 műszaki berendezések elhelyezésére szolgáló helyiségbe való belépés korlátozásával is érvényesíteni kell.

r) A büntetés-végrehajtási szervek adatátviteli hálózatának sávszélességét és forgalmát úgy kell kialakítani, hogy a kritikus alkalmazások működtetése során a kapacitás korlátok ne befolyásolják a szolgálati feladatok maradéktalan végrehajtását. Az adatkapcsolatokban érvényesíteni kell a Qos csomagütemezést a kritikus alkalmazások prioritásának engedélyezésével. A hálózati forgalmat folyamatosan monitorozni kell, szükség esetén (folyamatos 80%-ot meghaladó terhelés mellett) az EKG szolgáltatónál kezdeményezni kell a sávszélesség ideiglenes vagy végleges sávszélesség bővítést.

s) GSM interface-től érkező adatkapcsolat úgy alakítható ki, ha a fogadó DHCP szerver képes a fogadó felet egyedileg azonosítani (SIM, telefonszám stb.), illetve a kapcsolat csak felhasználói név/jelszó párossal építhető ki, valamint az igényelt szolgáltatás további felhasználói azonosítást igényel.

t) Az informatikai rendszerben vezeték nélküli összeköttetés (pl.: WiFi, WiMax), vagy egyéb LAN meghosszabbítás (pl.: SHDSL) úgy használható, ha alapértelmezett beállításai módosítva lettek, minimálisan algoritmikus titkosítási eljárást alkalmaz a kapcsolat kialakítása és fenntartása idején (IpSec, 3DES stb.), illetve az eszköz beállításaihoz beállított felhasználói név/jelszó páros ismerete szükséges.

u) A vezeték nélküli, vagy LAN meghosszabbításra alkalmazott rendszertechnológiai megoldások kizárólag a központi informatikai szervezeti egység vezetőjének írásbeli engedélyével létesíthetőek.


     8.1.   Hálózati átviteli eszközök kezelése, elérése, beállítása

a) Biztosítani kell a telepített távközlési/adatátviteli eszközök távfelügyelhetőségét, lehetőség szerint kiterjesztve az informatikai eszközök és berendezések teljes körére (hálózati munkaállomás, hálózati aktív elem, intelligens periféria - hálózati nyomtató stb.). Ez a kiterjesztés azonban nem jelentheti a teljes informatikai rendszerben minden eszköz, vagy berendezés folyamatos, és esemény felügyelt működtetését. Egyrészt feladat a távfelügyeleti lehetőség biztosítása, az eszközök, berendezések monitorozása lehetőségének biztosítása, valamint a kritikus alkalmazás rendszerek, vagy az informatikai rendszer kritikus elemeinek hibája esetén a gyors reagáló és beavatkozó képesség biztosítása. Ennek érdekében a telepítéseket, üzembe állításokat, rendszerhangolásokat úgy kell végrehajtani, hogy a távfelügyelhetőség lehetőség szerint érvényesíthető legyen, meg kell határozni a kritikus eszközök, berendezések körét a teljes informatikai rendszerre vonatkozóan (a központi és az alárendelt informatikai szervezeti egység szintjén), és meg kell határozni a naplózás, monitorozás és rendszerfolyamatba való beavatkozás szabályait az egyes eszköz csoportra vonatkozóan.

b) Az IP/WAN hálózatot úgy kell kialakítani, hogy tegye lehetővé a hálózatfelügyeleti rendszer kialakítását a teljes informatikai rendszerben az SNMP protokoll használatával (ügynök program telepítését igényli), vagy az IP Polling funkcióval (nem igényel ügynök programot). Az informatikai rendszer és szolgáltatások szempontjából kiemelten fontos, folyamatos üzemelésű eszközöket távfelügyeletre alkalmas módon kell telepíteni és működtetni, biztosítani kell folyamatos monitorozásukat, a felügyeleti adatok alapján, folyamatosan ellenőrizni kell működési tulajdonságaikat (szerverek, hostok, kommunikációs csomópontok, hálózati kijáratok, tűzfalak, vírus pajzs stb.).

c) A routereket úgy kell beállítani, hogy a beállított protokoll használata mellett csak korlátozottan legyenek konfigurálhatóak. A konfigurációs paraméterek megváltoztatását egyéb, IP-re épülő alkalmazásokkal kell biztosítani.

d) A helyi hálózatok (LAN) kapcsolóit (switch) a beépített protokoll felhasználásával HTTP alapú felületen elérve kell beállítani úgy, hogy érvényesüljenek a differenciált hozzáférés szabályai (IP forráskorlátozás, felhasználói név/jelszó). A felügyeleti IP forgalom átvitele a felhasználói forgalommal együtt valósul meg „in.band” módon, ezért az eszközök helyi (V.24 interface) hozzáféréssel is beállíthatók. Ezekben az esetekben is a differenciált hozzáférés szabályait kell alkalmazni.

e) A hálózat felügyeleti funkciókat egy integrált hálózat menedzser alkalmazással kell biztosítani, minimálisan a hálózat felügyeleti, esemény kezelési, számítógépes munkaállomások hálózatmenedzsmentje, integrációs funkciók biztosítása mellett. A WAN (router) hálózat felügyelettel, és hálózat működtetéssel kapcsolatos feladatokat ebben az alkalmazás környezetben kell megvalósítani.


     8.2.   A gerinchálózatra való kapcsolódás

a) A büntetés-végrehajtási szervezet a Kormányzati gerinchálózathoz (optikai gyűrű) csatlakozik. A rendszer működtetése és fenntartása kormányzati feladat a büntetés-végrehajtási szervezet interface az EKG üzemeltető felügyelete alatt működő eszközökkel valósul meg. Az optikai gyűrű hibája, vagy leállása alapvetően érinti a büntetés-végrehajtási szervezet belső és külső kommunikációs lehetőségeit, amely működési kockázat ismert és elfogadott. A kritikus alkalmazások tekintetében a vizsgálni kell az alternatív útvonalak létesítésének és fenntartásának lehetőségét.

b) A nem a Belügyminisztérium ágazati irányítása alá tartozó államigazgatási szervezetekkel történő adatforgalmat, a szolgálati jellegű Internet elérést, az elektronikus levelezési szolgáltatást a központi EKG összeköttetésen keresztül kell biztosítani.

c) Az EKG szervezetek által egymás számára felkínált alkalmazások elérése, belső e-mail, távoli IPSEC titkosítással beérkező felhasználók forgalmának fogadása önállóan kialakított szegmensen történhet.


9.   Szervezethez és személyekhez kapcsolódó védelmi intézkedések


     9.1.   Szervezettel kapcsolatos biztonsági kérdések

a) Az EKOP-1.1.6-09-2009-0001 informatikai projekt Előzetes Megvalósíthatósági Tanulmánya és jelen Informatikai Biztonság Szabályzat a büntetés-végrehajtási szervezet rövidtávú informatikai koncepciója. A szabályzatban meghatározott homogenizálási és egyenszilárdsági követelményeket legkésőbb 2012. június 30-ig biztosítani kell.

b) A homogenizálás és rendszerintegrálás feladatainak ellátása során biztosítani kell a bv.hu tartomány egyenszilárd kiépítését, a Microsoft címtárszolgáltatásaira alapozva szerver oldalon a Microsoft Windows 2008 R2 ENG 64bit, munkaállomás oldalon a Microsoft Windows 7 Professional HUN 32bit és Office 2010 Standard HUN rendszerkörnyezetben. A szerver konszolidáció keretében egyenszilárd Microsoft kiszolgálói környezetet kell kialakítani az adatbázisszerver, egyéb Intranet és menedzsmentszolgáltatásokra vonatkozóan is.

c) Az informatikai rendszer megújítási stratégiájának fontos eleme az Active Directory címjegyzékkel biztosított szerepkör alapú, differenciált hozzáférés megvalósítása, amely a szolgálati feladatok szükséges és még elégséges ellátásának biztosításához megfelelő jogosultsági rendszert nyújt. A hozzáférés biztosítása a logikai rendszereken túl egyéb erőforrások allokálását is jelenti, így ki kell alakítani a szerepkör alapú norma ellátást (eszköz, szolgáltatás, hozzáférés mátrixban).

d) Fontos stratégia elemként kell kialakítani és működtetni a szervezeti elektronikus információ áramlás többszintű csatornáit, a szervezeti kohézió, kooperáció és közös munkavégzés hatékonyabbá tételében is. Ennek eszköze az Intranet szolgáltatás és az informatikai rendszer, alrendszer és rendszerelemek dokumentumai.

e) A kezelt adatok és szolgáltatások biztonsága, az informatikai rendszer integritása, a kompromittálás elleni védelem érdekében a központi informatikai szervezeti egység vezetője saját hatáskörben jogosult ideiglenesen, időszakosan, vagy véglegesen szolgáltatást, rendszer elem, vagy alrendszer működését korlátozni, felfüggeszteni, szüneteltetni vagy megszüntetni.

f) Az adatvonali kapcsolat biztonsága érdekében halaszthatatlan esetben (behatolási kísérlet megakadályozása, vírusterjedés stb.) a központi informatikai szervezeti egység vezetője azonnali intézkedésként jogosult saját hatáskörben adatkapcsolatokat, alhálózatokat, alrendszereket ideiglenesen korlátozni, vagy működésüket szüneteltetni. Az azonnali intézkedések bevezetését követően haladéktalanul köteles jelentési és tájékoztatási kötelezettségeinek eleget tenni.


     9.2.   Személyekkel kapcsolatos biztonsági kérdések

a) Az újonnan kialakított működés szervezeti változások indikálója is lehet, amennyiben az informatikai feladatok megfelelő szintű és minőségű végrehajtásához magasabban képzett és feladat orientált szakemberek kellenek, amely a meglevő állomány szakmai továbbképzését is jelenti.

b) A rendszer és alkalmazás fejlesztés valamint a működtetési feladatok és hatáskörök elkülönítése tovább fogja növelni az informatikai biztonságot. Az informatikai biztonsági felelős szerepkör mellett egyértelműen nevesíteni kell az egyes területek felelőseit (hardver, szoftver, infrastruktúra, alkalmazások, hálózati és kommunikációs ügyek, adatok/dokumentumok, stb.). A BV IBSZ szerint végrehajtott informatikai rendszerkonszolidáció következményeként felül kell vizsgálni a büntetés-végrehajtási szervezet belső normatív rendszerét, a munkaköri leírásokat. Szükség esetén a központi informatikai szervezeti egység vezetője a változtatási javaslatokat tartalmazó előterjesztését a BV IBSZ felülvizsgálatával egy időben évente legalább egy alkalommal az országos parancsnok felé tegye meg.

c) További lényeges biztonság növelő tényező a rendszergazdai tevékenység informatikai megoldással megtámogatott nyomon követése, naplózása, rendszeres ellenőrzése, a feladat és funkció rotálási rendszer bevezetése és a helyettesíthetőség biztosítása. Fontos lépés a rendszerirányító-, rendszergazda szervezet és a biztonsági vezető szerepkörök mellett a működéshez köthető alkalmazás- és infrastruktúra rendszergazdai szerepkör, valamint a szervezeti egység és tartományi rendszergazdai szerepkörök elkülönítése.

d) A bv.hu tartományban tartomány rendszergazdai szerepkör kizárólag a központi informatikai szervezeti egységnél, az OU rendszergazdai és az infrastruktúra rendszergazdai feladatok kizárólag az informatikai szervezeti egységeknél delegálhatóak. Alkalmazás rendszergazdai feladattal kizárólag informatikai ismerettel rendelkező, vagy a feladatra közvetlenül felkészített személy bízható meg, akinek e feladatát a munkaköri leírásban rögzíteni kell. Alkalmazás rendszergazdai feladatokra való megbízás során figyelemmel kell lenni az információbiztonsági szerepkörök összeférhetetlenségre.

e) Az informatikai oktatási tevékenység rendszeresítése mind használati, mind biztonsági szempontból tudatosabbá fogja tenni a felhasználókat. Ennek végrehajtásához rövidtávú képzési tervet kell összeállítani, amely elsődlegesen a meglevő munkaerő képzésére koncentrál. Az oktatás célja a minimálisan elvárható informatikai szint és tudás általános elérése (munkaállomás oldali alkalmazások, irodai környezet, hibadetektálás, hibakezelés, informatikai biztonság).

f) Biztonsági szempontból elsődleges a superuserek és kulcs felhasználók folyamatos és rendszeres továbbképzése, amelyet az éves képzési tervben önállóan kell szerepeltetni.

g) A BV IBSZ koherens normatív szabályzó az adatvédelmi- és adatbiztonsági, valamint a minősített adatok kezelésére vonatkozó szabályzatokkal együtt létrejövő biztonsági egységben. Ennek megfelelően felülvizsgálatát az másik kettő szabályzat módosulásakor is végre kell hajtani.


     9.3.   Szolgáltatási Szerződések (SLA)

a) Az ügymenet folytonossága és megfelelő minőségű színvonalának fenntartása céljából - elsősorban a kritikus alkalmazásokra és az azokat kiszolgáló eszközökre, berendezésekre és szoftverekre - belső erőforrásokat kell allokálni vagy külső szolgáltatói szerződést kell kötni.

b) Az informatikai rendszert, alrendszert vagy rendszerelemet érintő szolgáltatási szerződésben rögzíteni kell a BV IBSZ-ben foglalt normatívák megismerésével kapcsolatos kötelezést, és a szerződés hatálya alatti érvényesítés, érvényesülés követelményét. Ez mellett a szerződés részévé kell tenni, hogy a Szolgáltató felelősséggel tartozik munkavállalója, vagy alvállalkozója BV IBSZ-től eltérő, vagy ezeket a normákat sértő magatartásáért. A szerződésnek ki kell térnie a kötelezés, az érvényesítési követelmény és a felelősségvállalás kérdésében az adatvédelmi és a minősített adatok kezelésére vonatkozó szabályokra is.

c) A Szolgáltatási Szerződés preambulumában rögzíteni kell a szerződő felek pontos megnevezését (elnevezés, postai cím, cégjegyzék és adószám, a kötelezettség vállalásra jogosult személy), a szerződés célját, a létrejöttét megelőző eljárás, beszerzés, a kiválasztás módját és azonosító adatait, a szerződés hatálya alá tartozó dolgok, szolgáltatások felsorolását, a szerződéskötési jogosultságok tényét (az esetleges kizárások, vagy jogosultsági korlátok felsorolása mellett) és a szerződés tárgyát, díját. A preambulumban szereplő adatok és információk közérdekből nyilvános adatok, amelyre a szerződésben ki kell térni, és megfogalmazásánál úgy kell eljárni, hogy üzleti, vagy banktitkot, egyéb korlátozott terjesztésű, vagy nem nyilvános adatot ne tartalmazzon.

d) A szerződésben külön fejezetben kell szabályozni a Vállalkozó és a Megrendelő kötelezettségeit. Az általános szerződés szerinti teljesítésen túl, Vállalkozót kötelezni kell arra, hogy:

- a szerződésben számára kötelezettségként megfogalmazott követelményeket alkalmazottai és alvállalkozói tekintetében érvényesíti, azok érvényesüléséért felelősséget vállal.
- a büntetés-végrehajtási szervezet objektumaiban végrehajtott tevékenységébe csak olyan személyeket von be, akik személyes adataik kezeléséhez, az adatok szerinti ellenőrzésükhöz hozzájárulnak (szükség esetén erkölcsi bizonyítvánnyal igazolják büntetlen előéletüket), és titok- és adatvédelmi nyilatkozatot tesznek.

e) A szerződésnek tartalmaznia kell a hatálya alá tartozó információk átadásának, megosztásának kötelezettségét, az értesítések rendjét, így név szerint fel kell tüntetni, mind a Vállalkozó, mind a büntetés-végrehajtási szervezet részéről a kapcsolattartó és a műszaki téma felelőst(öket), elérhetőségeiket, és pontos címüket. Országos hatályú szerződés esetén a büntetés-végrehajtási szervezet köteles az alárendelt szinteken is kapcsolattartót kijelölni, akinek elérhetőségét és egyéb azonosító adatait a szerződésben rögzíteni kell.

f) A büntetés-végrehajtási szervezet köteles a szerződésben Vállalkozót biztosítani, hogy a munkavégzéshez szükséges engedélyeket (objektumba való be-, kilépés) biztosítja, valamint biztosítja azokat az infrastrukturális hálózatokat, amely a Vállalkozói tevékenység elvégzéséhez szükséges (fűtés, villamos áram, világítás, higiéniás szolgáltatások), illetve a szerződésben nevesíteni kell azokat a körülményeket, amelyeket a büntetés-végrehajtási szervezet a teljesítés idejére nem biztosít, vagy amelyek biztosításától elzárkózik.

g) A szerződésben külön fejezetekben kell rendelkezni a szolgáltatói díjról, a teljesítésigazolásról, és a szolgáltatási díj megfizetéséről, annak feltételeiről. Szintén külön fejezetnek kell rendelkeznie a késedelmes, vagy nem megfelelő teljesítésről, a Vis Maior esetekről, kötbérről és szükség esetén egyéb rendelkezésekről.

h) Amennyiben a szerződés hatálya alatt való teljesítés adatvédelmi, vagy biztonsági problémákat vethet fel, azokat a szerződésben rögzített formában, mint normát kell megjeleníteni (pl.: winchester hiba esetén a hibás eszközt a Vállalkozó köteles a helyszínen bevizsgálni, csere esetén a hibás winchestert a helyszínen köteles hagyni. A csere és a hibás alkatrész helyszínen hagyásának tényét a munkalapon köteles gyártási szám, típus és kapacitás megjelöléssel feltüntetni.).

i) Amennyiben a szerződés tárgya szerint a büntetés-végrehajtási szervezet a teljesítés során valamilyen dokumentációt kap, a szerződésben a dokumentáció elektronikus változatának átadásáról is rendelkezni kell. Ezen túlmenően meg kell határozni, hány papír alapú és hány elektronikusan tárolt dokumentum példányt kell átadni. A szerződésnek ez esetben tartalmaznia kell, hogy a dokumentumok a büntetés-végrehajtási szervezet szervezetén belül korlátozás nélkül terjeszthetők, illetve tetszőleges számú példányban reprodukálhatók. A büntetés-végrehajtási szervezet jogosult a dokumentumot a tanintézeteknek átadni, és a képzés során felhasználni.


     9.4.   Biztonság és védelem szintjének tesztelése

A szervezet biztonságának tesztelése követi az IBSZ felépítését, amelyek a következő kérdéseket érinti:

- Munkaállomások védelmének tesztelése
- Munkaállomások csatlakoztatásának és azonosításának tesztelése, IP védelem
- Belépési hitelesítés tesztelése (felhasználónév, jelszavak rotálása)
- Gépterem és szerverszobának használat technikai helyiségek fizikai és logikai védelme
- Erőforrásokhoz való engedély nélküli hozzáférés védelmi rendszere, a próbálkozások detektálása, és az erre adott válasz szabályozások tesztelése
- Hálózatot és Internet kapcsolódást védő eszközök állapota, valamint a hálózatot ért támadások regisztrálása
- A sikeres behatolások és támadások nyomkövetése és az ellenük hozott rendelkezések
- A működés log és napló fájljainak módosíthatósága, törölhetősége, bizonyítékként való megjeleníthetőség vizsgálata
- Az alkalmazások módosíthatósága, patch-elhetősége
- Alkalmazásokhoz tartozó adatbázisok alkalmazáson kívüli elérhetősége, módosíthatósága, mentési algoritmusok kikerülhetősége
- Kritikus rendszerek hibatűrésének tesztelése
- Előírt dokumentációk megléte
- Informatikához tartozó szakemberek általános biztonsági ismereteinek tesztelése
- Helpdesk működési folyamatának ellenőrzése
- A BV IBSZ által előírt biztonsági intézkedések felhasználók általi megkerülésének módozatai
- Szolgáltatói szerződések előírt tartalmának megléte
- Az Üzletmenet folytonosság fenntartására való teljes, átfogó felkészültség


     9.5.   Rendkívüli helyzetek kezelése

A biztonsági szempontból a felhasználók biztonsági tudatossága és rendkívüli helyzet felismerési képessége alapvető fontosságú.
A normális üzemviteltől eltérő állapot, rendkívüli helyzet, amikor például

- A munkaállomás a korábbihoz képest lényegesen lassabban működik
- A merevlemez LED-je (lámpája) - a szokásos működéshez képest - sokkal gyakrabban villog
- A számítógépünk “lefagy”, azaz sem billentyűzet lenyomásra, sem egér kattintásra nem reagál
- Váratlanul ismeretlen ablakok, feliratok vagy ábrák jelennek meg a képernyőnkön
- Akaratunk ellenére elindulnak olyan programok, amelyeket nem mi indítottunk el
- A számítógép vagy annak egy programja akaratunk ellenére internetes csatlakozást keres vagy rácsatlakozik az internetre
- Amikor az egér “önálló életre kel”, azaz a akaratunktól függetlenül mozog a képernyőn, esetleg programokat indít el.
- A víruskereső program jelzi, hogy vírust talált a rendszerben, de nem tudta kiirtani
- Helpdesk segítségnyújtástól eltekintve, amikor ez a normális folyamat, felirat jelenik meg, hogy távolról rá kívánnak csatlakozni a gépünkre.
- A levelező programunk olyan emailt küld, amit nem mi készítettünk és indítottunk el.
- Az Office programcsomag egyes alkalmazásai, mint a Word, Excel, Powerpoint dokumentum betöltésekor makrók futtatását kívánja engedélyeztetni velünk és ezek létéről előzetesen nem értesítettek bennünket.
- Internetes böngészés kapcsán vagy után a gépünk működésében bármi szokatlant tapasztalunk.
- Egy adott pillanatban a számítógép rendszergazdai jelszót kér tőlünk egy telepítés folytatásához.


     9.6.   A BVOP informatikai katasztrófa- elhárításának módja, lehetőségei

          9.6.1.   Az informatikai katasztrófaterv

Az informatikai katasztrófaterv eljárás vagy tevékenység-lépések sorozata annak biztosítására, hogy a BVOP működés szempontjából kritikus információ-feldolgozó képességeit helyre lehessen állítani elfogadhatóan rövid idő alatt a szükséges aktuális adatokkal katasztrófa után. A számítógépes katasztrófa egy olyan esemény, amely az adatfeldolgozó képesség elvesztését okozza hosszabb időre.

Az informatikai katasztrófaterv részei:

1. a mentési (megelőzési) terv,
2. a helyreállítási terv,
3. tesztelési terv,
4. a karbantartási (üzemben tartási) terv.

A mentési terv olyan dokumentáció, amelynek lépéseit végrehajtva a keletkezett kár hatásai a legkisebbre csökkenthetők. A feltételrendszer megteremtése a normál üzemeltetésbe beépített tevékenységeknek, amelyek az ehhez szükséges eszközparkot biztosítják, azon lépések sorozata, amelyeket azért hajtanak végre a katasztrófát megelőzően (a normál üzem során), hogy lehetővé tegyék a szervezet számára a reagálást a katasztrófára. A mentési terv biztosít elmentett eszközöket a helyreállításhoz.

A helyreállítási terv eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre annak érdekében, hogy helyreállítsák az informatikai rendszert a tartalék központban vagy helyreállítsák az adatfeldolgozó központot.

A teszt terv azokat a tevékenységeket tartalmazza, amelyek a Katasztrófaterv működőképességét ellenőrzik és biztosítják.

A karbantartási tervet kell használni a Katasztrófaterv aktuális állapotban tartására a szervezet változása esetén.

          9.6.2.   A helyreállítási terv

A katasztrófa bekövetkezte utáni helyreállítási szakaszai:

1. Azonnali reakció
Válasz a katasztrófa-helyzetre, a veszteségek számbavétele, a megfelelő állomány értesítése és a katasztrófa-állapot megállapítása.

2. Környezeti helyreállítás
Az adatfeldolgozó rendszer helyreállítása: operációs rendszer, program termékek és a távközlési hálózat.

3. Funkcionális helyreállítás
Az informatikai rendszer alkalmazásainak és adatainak helyreállítása, az adatok szinkronizálása a tranzakció naplóval.

4. Helyreállítás
Az elvesztett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltetők, a rendszeradminisztrátorok, az alkalmazók és a végfelhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet.

5. Áttelepülés
Az informatikai rendszer kiépítése a hidegtartalék létesítményben, ha a melegtartalék létesítmények használata időben korlátozott.

6. Normalizáció
Az új állandó informatikai rendszer kiépítése és arra az üzemelő rendszer áttelepítése.

          9.6.3.   Az informatikai katasztrófatervben az alábbiakat kell meghatározni

1. rendelkezésre állási követelmények felállítása;

2. a katasztrófa vagy vészhelyzet események definíciója;

3. a katasztrófa kézikönyv tartalma, főbb elemei;

4. a korlátozott informatikai üzem fogalma (visszaesési fokozatok) és a hozzájuk tartozó funkcionalitási szintek;

5. javaslat a felelősségek szabályozására veszély vagy katasztrófa esetén;

6. riadóterv vázlat;

7. kiválasztott esetekre konkrét intézkedési terv, különösen az alábbi területen:

- a szükséges hardver és szoftver konfiguráció rögzítése szükségüzem esetére, beleértve az adatokat is,
- amennyiben lehetséges, a szükségüzem esetére manuális póteljárás rögzítése,
- szükség esetén backup-rendszer (például saját vagy külső tartalék központ),
- adatrekonstrukciós eljárások bevezetése,
- újraalkalmazhatóvá tevő intézkedések,
- az olyan informatikai rendszerek védelme, amelyeknek állandóan elérhetőeknek kell lenniük (például redundancia intézkedésekkel és a hibákat toleráló hardverekkel és szoftverekkel),
- az adatbiztosítási intézkedések megvalósítási szabályainak összeállítása (például háromgenerációs elv),
- az üzemi szempontból szükséges adatok biztonsági kópiáinak elkészítése rögzített időszakonként,
- a biztonsági másolatoknak biztos helyen, a munkaterületen, illetve a számítóközponton kívüli raktározása,
- az installált rendszerszoftverek és a fontosabb alkalmazói szoftverek referenciamásolatainak biztonságos raktározása,
- a fontosabb dokumentációk megkettőzése és raktározása,
- a megvalósított adatbiztosítás ellenőrizhető dokumentációja;

8. visszaállítási terv, amely magában foglalja az informatikai alkalmazások prioritásainak kijelölését és a célkitűzések megállapítása (például az X alkalmazás újraindítása Y napon belül);

9. követelmények beszállítói (szolgáltatói) szerződésekre katasztrófa események esetében, hogy katasztrófa helyzetben is biztosítani lehessen a rendelkezésre állást;

10. javasolt biztosítások katasztrófák, káresemények esetére.
Az intézkedések az alábbi területekre terjedjenek ki:

- intézkedések a kármegelőzésre és minimalizálásra az Informatikai Biztonsági Szabályzat alapján (pl.: belső vagy külső háttér, illetve tartalék számítógép-kapacitás előkészítése szükségüzem esetére a szükséges hardver és szoftver konfiguráció rögzítésével.);
- intézkedések a katasztrófák, veszélyhelyzetek bekövetkezésekor;
- intézkedések a katasztrófákat, káreseményeket követően a visszaállításra;
- intézkedés veszélyhelyzetek, katasztrófák eset-szimulálására, begyakorlásra, intézkedések kipróbálására.

           9.6.4.   Intézkedések az adatbiztosítás területén

1. Az informatikai katasztrófatervet el kell készíteni, írásban rögzíteni, és működését ellenőrizni, illetve a végrehajtását gyakorolni.

2. A rendszerszoftverről a biztonsági másolatokat rendszeresen, de módosítás előtt, illetve a sikeres (tesztelt) módosítás után közvetlenül el kell készíteni.

3. Az adatbázisokról legalább havonta kell másolatot készíteni.

4. Az adatokról legalább naponta kell másolatot készíteni.

5. A másolatokat a központi informatikai szervezeti egység titkárságán, illetve a számítógépközponton kívül kell tárolni.

6. A másolatok tárolásánál a háromgenerációs elvet kell alkalmazni és a nyomon-követhetőséget biztosító regisztrációt kell alkalmazni.

7. Az alkalmazott szoftverek és a dokumentációk referenciamásolatait biztonságos helyen, regisztrálva kell tárolni.

8. A rendszeren bármilyen változtatást csak feljogosított személy végezhet és a módosítást dokumentálni kell.

9. A (hardver és szoftver) szállítókkal vagy szerviz cégekkel olyan karbantartási (garancia, támogatási) szerződést kell kötni, amely minimálisan 6, maximálisan 12 órás reakcióidőt, illetve a szükséges rendelkezésre állási szintet biztosítja.

10. A rendszer működését érintő fontosabb események (megadva az Üzemeltetési Szabályzatban) naplózását biztosítani kell.

11. A rendszer kulcsfontosságú elemei rendelkezzenek tartalékolási lehetőséggel.

          9.6.5.   Intézkedések az újraindítás biztosítása területén

1. Az újraindítás általában az alábbi lépésekből áll:

- Azonnali válasz
Azonnali válasz a katasztrófahelyzetre, a veszteségek (meghibásodás, rongálódás) felmérése, a szükséges személyek értesítése és a katasztrófahelyzet kinyilvánítása.

- Környezet helyreállítás
Az adatfeldolgozó rendszer elemeinek: hardver elemek, operációs rendszer, programok és kommunikációs hálózat helyreállítása.

- Funkcionális helyreállítás
Adatok és alkalmazások helyreállítása, az adatok szinkronizálása a tranzakció naplóval.

- Üzembe helyezés
Az elvesztett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltető, az adminisztrátor és a felhasználó személyek együtt dolgoznak a normál munkamenet helyreállításán.

- Áttelepülés
Ha a melegtartalékot csak korlátozott ideig lehet elfoglalni, akkor ki kell építeni a rendszert a hidegtartalék létesítményben és annak elkészülte után a működő rendszert át kell telepíteni oda.

- Normalizálás
Helyre kell állítani, vagy új (állandó) rendszert kell kiépíteni és a működő rendszert véglegesen arra kell rátelepíteni.

2. A szükséges hardver, szoftver konfigurációt írásban rögzíteni kell, beleértve az adatokat és adatbázisokat is, szükségüzem esetére.

3. Amennyiben szükséges, úgy ki kell dolgozni a manuális póteljárásokat a szükségüzem idejére.

4. A rendelkezésre állási követelményeknek megfelelő tartalékolást kell biztosítani és az igénybevétel eljárását rögzíteni kell.

5. A tevékenységtől függően ki kell dolgozni a lehetséges adatrekonstrukciós eljárásokat.

6. A szükséghelyzet idejére meg kell tervezni és írásban rögzíteni a felelős személyeket és feladatkörüket.

7. Meg kell tervezni a szükséghelyzetek lehetséges fokozatait és ezekhez ki kell alakítani a megfelelő riasztási tervet.

8. Évente legalább egy alkalommal szükséghelyzet-gyakorlatot kell tartani.

9. A Katasztrófatervet rendszeresen kell ellenőrizni és a megváltozott körülményekhez igazítani.

10. Olyan üzemeltető személyzettel kell rendelkezni, amely képes az azonnali beavatkozásra (szükséghelyzet kialakulásának detektálása, az érintett terület behatárolása, az elhárítás megkezdése) és egyszerűbb esetekben egység vagy részegység cseréjével a helyreállításra.

11. A tartalék létesítményeket és a használatba vétel követelményeit az informatikai üzemeltető személyzetnek ismernie kell.

12. A tartalék létesítmények üzemkészségét rendszeresen ellenőrizni kell.


1. Számú Melléklet - Kritikus Alkalmazások Listája

Kockázati besorolás


        2.Számú Melléklet - Kritikus alkalmazások mátrixa



3. Számú melléklet: Angol-magyar nyelvű szógyűjtemény

A kritikus információs rendszereket fenyegető veszélyekkel kapcsolatos fontosabb fogalmak és szakkifejezések

Asymmetric strategy = aszimmetrikus stratégia, vagyis az ellenséggel nem szinkronfejlesztést követő hadászat
Authentication = adatok hitelessége (adatbiztonsági kategória)
Availability = adatok hozzáférhetősége, adatelérhetőség (adatbiztonsági kategória)
Back oriffice = hátsó vagy titkos ajtó (támadó információs hadviselési szakkifejezés), számos vírus irtó trójai programnak detektálja álcázási tulajdonságai miatt.
Baud = numerikus adatátvitel sebességének mérőszáma. 1 Baud másodpercenként 1 bit átvitelét jelenti.
Beyond class = osztályon kívüli adatvédelmi besorolás
Bits = Bitek, a bináris (kettes) számrendszer legkisebb elemei. 8 bit alkot egy byte-t
Bussiness Intelligence - BI = üzleti hírszerzés (legális); nyers adatok átalakítása hasznos információvá.
Change = paraméterek megváltoztatása külső beavatkozással: korlátozott működési zavarok előidézése
Coalition = koalíció, alkalmi szövetség
Collation = adatok osztályozása
Competitive and sustainable growth = versenyképes és fenntartható növekedés
Computer literacy =számítógépes, új írástudás
Computer Warfare - COMPUW = számítógép-hálózatok elleni hadviselés
Confidentiality = adatok bizalmas kezelése (adatbiztonsági kategória)
Conflict = államok közötti konfliktus, esetenként fegyveres összetűzés, de még nem háború
Conflict prevention = konfliktus -megelőzés
Conflict resolution = konfliktusmegoldás
Content industry = tartalomszolgáltató ipar
Content production = tartalom előállítás
Content providing = tartalomszolgáltatás
Controlled access protection = ellenőrzött adathozzáférés (adatbiztonsági kategória)
Convergence = konvergencia, egymáshoz való közeledés vagy összefonódás
Correlation = korreláció: az adatoknak korábbi adatokkal való kiegészítése, értékének információs értékhozzáadással történő növelése
Crisis = válság
Cyber agressor = kibertéri agresszor
Cyber assassin = kibertéri adatbérgyilkos
Cyber cracker = kibertéri biztonsági rendszer-betörő
Cyber criminals = kibertéri bűnöző, számítógépes fehérgalléros, intellektuális bűnöző
Cyber hacker = kibertéri behatoló
Cyber jerk (számítógp-hálózati vandál pusztító).
Cyber junky = kibertéri munkamániás, számítógépes kábítószer-élvező
Cyber phreakek (telefonvonal tolvaj)
Cyber pirate = számítógépes kalóz
Cyber sniper = kibertéri orvlövész
Cyber space = kibertér, azt a virtuális teret jelenti, amelyben az adatok a számítógépek között cirkulálnak. A fogalom szóképét William Gibson író alkotta meg.
Cyber terrorist = kibertéri terrorista
Cyber vandal = kibertéri vandál módon pusztító garázda
Data diddling = adatsértés: menetben levő adat támadása, megváltoztatása
Data market = adatpiac
Data mine = adatbánya
Data mining technology = adatbányászati technológia
Data warehouse = adatáruház
Deception = megtévesztés
Decisionable information = döntéshozatalt lehetővé tevő, fontos információ
Degradation = korlátozás, részleges pusztítás
Denial of service (DoS) = szolgáltatásblokkolás (szolgáltatás megtagadás)
Destroy = rombolás, teljes pusztítás
Digital Army = digitális hadsereg
Digital battlefield = digitálás harctér (harcmező)
Digital signature = digitális aláírás (adatbiztonsági kategória)
Digital soldiers = digitális katona
Digital units = digitális alakulat
Digital watermark = digitális vízjel
Discretional protection = szelektív és ajánlott adatvédelem (adatbiztonsági kategória)
Discretional security protection = korlátozott adatvédelem (adatbiztonsági kategória)
Dominance = uralom, döntő hatalmi fölény
Dual purpose devices, items = kettős felhasználhatóságú eszközök (katonai és polgári célokra egyaránt alkalmas eszközök)
Early warning = korai előrejelzés és riasztás
Eavesdropping = lehallgatás
E-bussines = elektronikus üzletvitel, gazdálkodás, többek között az Internetre alapozva
E-commerce = elektronikus kereskedelem, többek között az Internetre alapozva
Effects based planning = változás alapján történő tervező tevékenység
Electronic Warfare (EW) = elektronikai hadviselés
Emerging economy country = felzárkozó gazdaságú ország
Emerging technologies = kibontakozó új technológiák
Endstate = elérendő (kívánt) végállapot
Enemy force divider = az ellenség erejét, erőforrásait csökkentő tényező
E-mail = elektronikus levél számítógépes hálózaton keresztül
E-nfrastucture = elektronikus (digitális) infrastruktúra
Equal treatment = egyenlő bánásmód
E-security = elektronikus biztonság az informatikai rendszereknél
European Community = Európai Közösség
Evaluator = értékelő szakértő az EU-ban
Extranet = külső számítógép-hálózat
Extraordinary period = rendkívüli időszak
Fight brain to brain = agytól agyig terjedő kűzdelemgondolatok és akaratok harca
Fight hand to hand = kézitusával bővelkedő földi harchumán fizikai erők harca
Firewall = védőfal, tűzfal, számítógépes szoftveres biztonsági rendszer
First Shot, First Hit = egy lövés, biztos találat
Frame spoofing = átejtőkeret (vírusfajta)
Flora sensor = növényi alapú adatgyűjtő
Fusion = fúzió, az adatok értékelése során az adatok összeolvasztása
Gustatory sensing = ízérzékelés, ízfelderítés
Hacker = számítógépes behatoló,
Hard = kemény, pl. pusztító eszköz, csapás (szakkifejezés)
Hardwer Clipper =gyártó által a hardverbe beépített titkos ajtó (támadó információs hadviselési szakkifejezés)
High end methode = számítógépes információ feldolgozási eljárás
High technology weapons = csúcstechnológiával készült fegyverek
Human sensor = emberi érzékelő (1. látás, 2. hallás, 3. szaglás, 4. tapintás, 5. ízlelés, + 6. intúició/megérzés)
Humanitarian operations = humanitárius, segítségnyújtási műveletek
Industrial espionage - IE = ipari kémkedés (illegális)
Infoattack operations = információs támadó műveletek
Infoattack = információs roham
Infobattles = információs ütközetek
Infostrikes = információs csapások
Infocommunication = távközlési/híradó és informatikai rendszerek közös tevékenysége
Infodata highway = információs adatországút
Information advantage = információs előny
Information ahead = információs K+F elsőbbség
Information attack = információs csapás (támadás)
Information black hole effects = információs „feketelyuk”, információs „oxigénhiány” hatás
Information dominance = információs uralom
Information excess = információs és tudás többlet
Information owerload = információs túlterhelés
Information underload = alulinformáltság
Information superiority = információs fölény
Information superhighway = információs szupersztráda, az amerikai nemzeti információs infrastruktúra program elnevezése a médiában
Information supremacy = információs felsőbbség
Integrity = adatsértetlenség (adatbiztonsági kategória)
Interdepedence = interdepedencia, kölcsönös függőség
Interoperability = interoperábilitás, eszköz szintű vagy rendszeri együtt-működtethetőség
Intranet = belső számítógép-hálózat (telephelyi belső hálózat)
Joint = összhaderőnemi, (ritkán egyesített, vagy közös haderőnek fordítva)
Junk mail = kéretlen reklámlevél
Knowledge based economy = tudásra alapozott, tudás-alapú gazdaság
Labeled security protection = címkézett adatvédelem (adatbiztonsági kategória)
Lethal weapons = halált okozó, pusztító fegyverek
Links between administration = elektronikus (digitális) állam- és közigazgatás (szakkifejezés)
Local Area Network - LAN = helyi számítógép-hálózat
Low end methode = kis kapacitású, manuális (kézzel történő) információ feldolgozási módszer
Mandatory protection = címkézett adatvédelem (adatbiztonsági kategória)
Masquerading = színlelés, ámítás, számítógép-hálózati támadási forma; hálózati címfordítás (NAT)
Media pool = kijelölt újságíró csoport
Metropolitan Area Network - MAN = nagyvárosi számítógép-hálózat
Minimal protection = minimális adatvédelem (adatbiztonsági kategória)
Modem = MODulator-DEModulator = analóg jelről digitális jelre és vissza átalakító berendezés
Modify = külső módosítással történő működési korlátozás
Multi and hyper sensors = multi és hiper - több és igen sok érzékelési sávban - érzékelő műszerek, felderítő eszközök
Multinational = többnemzetiségű
Net dependent society = számítógép-hálózattól függő társadalom, információs társadalom
Netizien = Network Citizien = számítógép-hálózati polgár (szakkifejezés)
Netwar = Network War = számítógép-hálózati háború
Network centric warfare = számítógép-hálózat központú hadviselés
Neutralize = semlegesítés (az ellenség erői lefogásának egyik fokozata, szakkifejezés)
Non-repudiation = adatok vételének letagadhatatlansága (adatbiztonsági kategória)
Observation and verification = megfigyelés és ellenőrzés
Off-line = közvetett, vonalon kívüli hozzáférésű híradócsatorna
Off-the-record = nyilvánosan nem közölhető információ
On-line = digitális, közvetlen vonali hozzáférésű híradócsatorna
On-the-record = a nyílvánosság felé közölhető információk
Open Key = nyílt kulcsú rejtjelzés
Opinion leaders = véleményalakítók (sajtótudósítók, szerkesztők)
Peace building = békeépítés
Period of endangered = veszélyeztetési időszak
Personal paging = személyhívó készülék
Post conflict reconstruction = konfliktus utáni helyreállítás
Preventing or reducing conflicts and threats = konfliktusok és veszélyek megelőzése vagy csökkentése
Realtime = valósidejű
Recovery operation = helyreállítási művelet
Remote sensing systems = nagy távolságból vezérelt műszeres megfigyelő rendszerek
Renewable energy = megújuló energia
Rijndael = internetes titkosító szoftver
Script = HTML oldalakat támadó vírus
Secrecy = adatok titkosságának ellenőrzése (adatbiztonsági kategória)
Security chipering = az adatforrás hitelességének ellenőrzése (adatbiztonsági kategória)
Security domain = szeparált biztonsági egységekkel ellátott adatvédelem (adatbiztonsági kategória)
Security level = adatbiztonsági szint
Security operations = biztonsági műveletek
Sensor to shooter = az „érzékelőtől a tűzkiváltóig kapcsolat” = a felderítő érzékelőtől (humán vagy műszeres) a tűzkiváltó és csapásmérő eszközig terjedő kapcsolat
Server = nagyteljesítmányű számítógépes hálózatvezérlő kezelőközpont: kiszolgáló
Show of force operation = katonai erődemonstráció
Smaller-scale contingency operations = válsághelyzet kezelésére alkalmas, kisebb méretű katonai művelet
Smell sensing = illatok, szagok érzékelése, felderítése
Smurf = számítógépes bénító vírus (szakkifejezés); támadás hamis feladóval és címzettel
Snoofing = szimatolás, az adatforgalomba történő behallgatás
Spam = kéretlen üzenetek, rendszerint felesleges reklámanyagok küldése az interneten
Spoofing = címlopás, Ip csomagok generálása más forráscímet feltüntetve
Soft = lágy, puha csapás
Soft kill = lágy csapásokkal való pusztítás, korlátozás, pl. elektromágneses zavarással, számítógépes vírus fegyverrel, pszichológiai eszközökkel stb.
Soft kill devices = lágy csapásokkal pusztító, vagy működést korlátozó eszközök
State of emergency = szükségállapot
State-of-the-art = legkorszerűbb termék, áru, szolgáltatás
State-of-the-art knowledge = korszerű tudás
State of war = hadiállapot
Structured protection = struktúrált adatvédelem (adatbiztonsági kategória)
Suddenness = váratlanság
Superiority = fölény
Supremacy = felsőbbség
Suppress = lefogás (szakkifejezés)
Surgical strike = sebészeti pontosságú csapás, ahol csak a kijelölt katonai célpontot lehet és szabad eltalálni. Ilyen csapásokra csak a precíziós fegyverek képesek.
Surprise = meglepetés
Surveillance systems = műszerekre alapozott ellenőrző, monitoring rendszerek
Sustainable development = fenntartható fejlődés
Swarming = felesleges, kéretlen reklámanyag továbbítás az interneten
Targets files = célpontokat tartalmazó elektronikus listák, számítógépes célpont-jegyzékek
Telecommerce = számítógépre alapozott távkereskedelem
Telesociety = távolból, elektronikus úton intézhető ügyek társadalma, távtársadalom
Teleworking = számítógép-hálózatra alapozott távmunka
Time compressor and time longerer = időtömörítő (időcsökkentő), és időnövelő (időhosszabbító) tényező
Traffic padding = hamis forgalom
Validation = hitelesítés (adatbiztonsági kategória)
Venture capital = kockázati tőke
Verified design = bizonyított adatvédelmi rendszerrel tervezett védelmi rendszer (adatbiztonsági kategória)
Verified trusted protection = bizonyított adatvédelem (adatbiztonsági kategória)
Virtual Private Network - VPN = logikai magánhálózat
Wide Area Network - WAN = országos, régiós számítógépes távhálózat
Windows of opportunity = megvalósíthatósági időablak
Worm = számítógépvírus fajta, (eredeti jelentése: féreg, hernyó, fanyűvő szú)


4. Számú Melléklet - Átmeneti rendelkezések

a) A korábban munkacsoportos, vagy egyedülálló módon telepített számítógépeket (pl.: Win9x operációs rendszerrel telepített) a hatálybalépést követően 90 napon belül nyilvántartásba kell venni, azt követő 30 napon belül tervet kell készíteni a tartományi munkaállomásként való használhatóság elérésére (Windows 7 Professional HUN 32bit futtatásra alkalmasság), intézkedni kell az eszköz csere, vagy bővítés végrehajtására határidőire és a felelősre. A tartományi munkaállomások telepítését legkésőbb a hatálybalépést követő 180 napon belül végre kell hajtani.

b) A hatálybalépést követő 90 napon belül fel kell mérni a Unix terminálok kiváltásának lehetőségét és feladatait, az azt követő 30 napon belül az informatikai szervezeti egység vezetőjének ütemtervet kell készíteni a kiváltás végrehajtásához szükséges feladatokról.

c) Törekedni kell a hálózatba nem kötött számítógépeken is a Windows 7 Professional HUN 32bit operációs rendszer és Office 2010 Standard HUN 32bit telepítésére.

d) A tartományi munkaállomások telepítése során a telepítést végrehajtóknak jegyzőkönyvezniük kell a roaming elveknek nem megfelelően telepített munkaállomások, felhasználóik azonosítását lehetővé tevő adatokat, valamint az alkalmazás vagy szolgáltatás leírását, minden olyan a működéshez szükséges speciális szakmai tevékenységet, beállítást, amely a működőképesség helyreállításához szükséges lehet.

e) Az eszközök objektumból való kivitelét a munkahelyi vezető engedélyezi kettő példányban eredetben kiállított engedéllyel, amely 1. számú példányát az engedélyező az eszközök visszaérkezéséig köteles megőrizni, a 2. számú példányt pedig az eszközök szállítása során azokkal együtt kell mozgatni. Az objektumba való be- és kilépés során az eredetivel megegyező másolatot szükség esetén a szolgálatnál is el kell helyezni.



5. Számú Melléklet - Licenszek