Információbiztonsággal összefüggő kódexet bocsátott ki a Belügyminisztérium (BM), amelynek hatálya kiterjed majd a BM hivatali szerveire, az önálló belügyi szervekre, illetve a Nemzeti Szakértői és Kutató Központra is. A kódex hivatalos elnevezése „Az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódex” lett.
A kódexet hatályba létető norma szerint a belügyi szervek vezetőinek gondoskodniuk kell arról, hogy a foglalkoztatottak:
- ismerjék meg az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódexet,
- alkalmazzák a belügyi szerv vezetője által jóváhagyott elektronikus információbiztonsági eljárásrendeket,
- a személyes információk interneten történő megosztása során a jogszabályokban és a belügyi szerv normáiban előírtak betartásával teljes mértékben kerüljék az érzékeny, vagy a munkahelyre hátrányos információk megosztását,
- és a munkavégzés során tapasztalt szokatlan, nem üzemszerű működést jelezzék a kijelölt informatikai üzemeltetőnek és a kijelölt információbiztonsági felelősnek.
A belügyi szervnél foglalkoztatottaknak legalább évente, dokumentáltan részt kell venniük elektronikus információbiztonsági tudatosító képzéseken, amelyek kidolgozásába a BM Rendészeti Vezetőkiválasztási, Vezetőképzési és Továbbképzési Főosztályát, a Nemzeti Közszolgálati Egyetemet, valamint a Nemzetbiztonsági Szakszolgálatot kell bevonni.
Általános szabály, hogy a kódexben megfogalmazott viselkedési szabályoknál szigorúbb részletszabályok bevezetése a belügyi szervek hatáskörébe tartozik majd. A belügyi szervnél továbbá elő kell mozdítani a biztonságtudatos magatartást, miközben korlátozni szükséges a munkavégzéssel közvetlenül nem összefüggő felhasználói informatikai tevékenységeket.
A belügyi szerv köteles továbbá meghatározni a belügyi szervről közzétehető információk körét. A foglalkoztatottaknak kerülniük kell az érzékeny, vagy a munkahelyre hátrányos információk megosztását, továbbá nyilvános fórumokon, közösségi oldalakon a munkahelyi e-mail címük megadását.
Felhasználói tudatosság
A belügyi szerv információbiztonsági felelőse köteles a foglalkoztatottak részére időszakos információbiztonsági képzést szervezni. A belügyi szerv köteles olyan Informatikai Biztonsági Szabályzatot alkotni, amely alkalmas arra, hogy az informatikai hálózat tekintetében a használhatóság és a biztonság szempontjait is érvényesítve – a vonatkozó jogszabályokkal harmonizálva – megfelelő normatív hátteret nyújtsanak a foglalkoztatottak részére.
Elektronikus információs rendszerek hozzáférése és a levelezés
A belügyi szervnél kötelező a felhasználói jelszavak meghatározott időközönkénti megváltoztatásának kikényszerítése. A jelszavak tekintetében irányadónak tekintendők az „erős”, legalább 10 karakter hosszú, számot, kis- és nagybetűt tartalmazó jelszavak. Amennyiben egy elektronikus levél feladója, tartalma vagy csatolmánya gyanús, a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé.
Belső hálózati infrastruktúra védelme
Minden foglalkoztatott esetében úgy kell kialakítani a hozzáférési jogosultságokat, hogy csak azok a hálózati erőforrások kerüljenek használatra, amelyek az adott foglalkoztatott feladataihoz feltétlenül szükségesek. A munkáltató által biztosított eszközökkel, beleértve a mobil eszközöket is, tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni. Magánhasználatú mobilinformatikai eszköznek az intézmény hálózatára való csatlakoztatása kizárólag engedéllyel, a megadott módon és helyen lehetséges.
Káros kódok elleni védelem
Tilos megnyitni gyanúsnak tűnő hivatkozásokat és fájlokat. Ha a belügyi foglalkoztatott ilyet észlel, köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé. Munkahelyi számítógépbe magántulajdonú vagy ismeretlen forrásból származó eszközöket csak engedély birtokában, előzetes ellenőrzést követően helyezhet be a foglalkoztatott.
Tilos ismeretlen, gyanús alkalmazásokra vagy felugró ablakokra kattintani. Kérdéses esetben a foglalkoztatott köteles azt jelenteni a kijelölt információbiztonságért felelős személy vagy szervezeti egység felé. Munkahelyi informatikai eszközön tilos használni más forrásból vagy letöltésből származó szoftvert.
Vagyontárgyak és elavult eszközpark
A foglalkoztatottak nem használhatják magáncélra a belügyi szerv által biztosított informatikai eszközöket. A foglalkoztatottak kötelesek a rájuk bízott informatikai eszközöket a belső szabályoknak megfelelően használni, kezelni, megóvni. A belügyi szerv a hatályos információbiztonsági, illetve adatvédelmi jogszabályokkal összhangban jogosult az elektronikus információs rendszereiben titkosítási eljárásokat alkalmazni. A belügyi szerv köteles az informatikai rendszereik hardveres és szoftveres frissítéséről gondoskodni.
Vezeték nélküli hálózatok biztonsága és távoli munkavégzés
A belügyi szerv által biztosított mobil informatikai eszközökkel tilos ismeretlen és/vagy nyílt (nem titkosított) WiFi hálózatokhoz csatlakozni. Publikus vezeték nélküli hálózatot tilos munkavégzésre használni. Tilos hozzáférést adni a belügyi szervi adatokhoz a foglalkoztatottak családtagjai számára. Az otthoni munkavégzéshez biztosított eszközöket a munkavégzés szüneteltetésekor jelszóval védetten kell
zárolni.
A belügyi szerv által biztosított eszközökre nem tölthetők le és nem telepíthetők a munkafeladattal össze nem függő tartalmak, alkalmazások. Otthoni munkavégzés esetén meg kell akadályozni, hogy betekintést nyerhessen a hivatali adatokba illetéktelen személy. A belügyi szerv a külföldi munkavégzéshez külön eszközt biztosít, ami kizárólag a levelezőrendszerhez való hozzáférésre alkalmas.
Magántulajdonú eszközök és fizikai biztonság
A magántulajdonú informatikai eszközök használatának lehetőségét a belügyi szerv saját hatáskörben szabályozhatja. Ha lehetővé teszi ilyen eszközök használatát, úgy annak minden részletét köteles szabályozni. A belügyi szerv köteles továbbá az információbiztonság lehető legmagasabb szintjének eléréséhez a fizikai biztonsági kérdéseket részletekbe menően szabályozni.
A kérdéskör több okból is különösen aktuális lehet. A sajtót például nemrég körbejárta a hír, hogy a Budapesti Rendőr-főkapitányság egyik munkatársa később elveszettnek hitt személyes adatokat magáncélra használt adathordozóra másolta át. Az adathordozó később megkerült. A másikról én is írtam, miszerint az Alapvető Jogok Biztosának Hivatala (AJBH) szerint aggályos, hogy idejétmúlt operációs rendszeren fut a Robotzsaru Neo, mivel bűnügyi személyes adatokat kezelnek a rendőrségi eljárások során.
Első ránézésre mindkét problémát megelőzhette volna egy ilyen kódex betartása. A hivatali pendrive például titkosítható lett volna (nyilván a magáncélú is, csak az talán kevésbé jellemző), az érintett belügyi szerv pedig gondoskodhatott volna az informatikai rendszereinek hardveres és szoftveres frissítéséről. Más kérdés, hogy utóbbi olyan adottságként is értelmezhető, amelyre az átlagos foglalkoztatottaknak aligha van ráhatásuk.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
