országos rendőr-főkapitányság · web viewaz orfk-fado rendszer felhasználói az orfk-fado...

ORFK Tájékoztató (OT) 2009/9. 2009. április 02.

ORFK Tájékoztató (OT) 2009/9. szám Budapest, 2009. április 02.

Szám: 12064/2009. ált.

AZ ORSZÁGOS RENDŐR-FŐKAPITÁNYSÁG HIVATALOS LAPJA

ORFKTÁJÉKOZTATÓ

Tartalomjegyzék

Utasítások:

1. 16/2009. (OT 9.) ORFK utasítás a Rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott díjkitűzéssel kapcsolatos eljárás szabályairól

Intézkedések:

1. 1/2009. (OT 9.) ORFK intézkedés az Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszerének (ORFK-FADO) Üzemeltetés Biztonsági Szabályzata kiadásáról

ORFK Tájékoztató (OT) 2009/9. szám Budapest, 2009. április 02.

ORFK Tájékoztató (OT)2009/9. 2009. április 02.

1


I. részUTASÍTÁSOK

Szám: 16/2009.

AZ ORSZÁGOS RENDŐRFŐKAPITÁNY

16/2009. (OT 9.) ORFK

UTASÍTÁSA

a Rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott díjkitűzéssel kapcsolatos eljárás szabályairól

A Rendőrségről szóló 1994. évi XXXIV. törvényben meghatározott díjkitűzéssel kapcsolatos feladatok végrehajtására kiadom az alábbi

u t a s í t á s t :

I. Az utasítás hatálya

1. Az utasítás hatálya kiterjed az Országos Rendőr-főkapitányságra (a továbbiakban: ORFK), a Nemzeti Nyomozó Irodára, a Repülőtéri Rendőr Igazgatóságra, a megyei (fővárosi) rendőr-főkapitányságokra (a továbbiakban együtt: területi szervek), valamint a rendőrkapitányságokra és a határrendészeti kirendeltségekre (a továbbiakban együtt: helyi szervek).

II. Díjkitűzési jogosultság, javaslattétel és a díjkitűzés kezdeményezése, a kitűzhető összeg

2. Díjkitűzésre jogosult:a) az országos rendőrfőkapitány;b) a területi szervek vezetői (a továbbiakban együtt: elrendelő).

3. Díjkitűzésre javaslatot tehet:a) az ORFK bűnügyi, valamint rendészeti főigazgatója;b) a területi szervek vezetőinek helyettesei;c) a helyi szervek vezetői (a továbbiakban együtt: javaslattevő).


2


4. Kitűzhető összeg:a) az ORFK hatáskörébe tartozó ügyekben ötmillió forintig;b) a területi szervek hatáskörébe tartozó ügyekben hárommillió forintig;c) a helyi szervek hatáskörébe tartozó ügyekben egymillió forintigterjedhet azzal, hogy az országos rendőrfőkapitány – hatáskörtől függetlenül – korlátlan összegű díjat tűzhet ki.

5. Díjkitűzést az ügyben eljáró nyomozó szerv tagja vagy vezetője az elrendelésre jogosult vezetőhöz címzett írásbeli előterjesztésben kezdeményezhet, amelyet szolgálati úton a javaslattételre jogosulthoz haladéktalanul továbbítani kell. Az előterjesztést a javaslattevő megvizsgálja és javaslatával, vagy ellenvéleményével az elrendelőhöz továbbítja.

6. Az előterjesztésnek tartalmaznia kell a tényállás rövid leírását, bűncselekmény esetén annak jogi minősítését, a díjkitűzés szükségességének indokait, valamint a díj összegére vonatkozó javaslatot. A díj összegének igazodnia kell a bűncselekmény, vagy az esemény tárgyi súlyához és az információ fontosságához.

7. Ha az eset körülményei indokolják, a helyi szerv hatáskörébe tartozó ügyben a területi szerv vezetője a 4. pont b) alpontjában meghatározott összegű, a területi szerv hatáskörébe tartozó ügyben az országos rendőrfőkapitány korlátlan összegű díjat tűzhet ki. Erre vonatkozóan a helyi, illetve a területi szervek vezetői – a 6. pontban meghatározottakat is tartalmazó – külön előterjesztést tesznek.

8. Rendőrségen kívüli más szerv, szervezet vagy magánszemély (a továbbiakban együtt: külső kezdeményező) kezdeményezése alapján a rendőri vezetők nagyobb pénzösszeget is kitűzhetnek, amennyiben az utasítás 11. pontjában foglalt feltételek teljesülnek.

9. A díjat kitűző szerv a díjkitűzésben meghatározott feltételt teljesítő részére a kifizetését a szervre irányadó szabályok szerint teljesíti.

10. A díjkitűzés összegét a díjkitűző saját költségvetése terhére állapítja meg és fizeti ki, ennek érdekében a díjkitűzésre feljogosított szerv költségvetésében a díjkitűzés kifizetése érdekében – az előre látható igények figyelembevételével – megfelelő összeget kell elkülöníteni.

III. Díjkitűzés Rendőrségen kívüli más szerv, szervezet vagy magánszemély kezdeményezésére

11. Külső kezdeményező kezdeményezésére akkor lehet díjat kitűzni, ha a Rendőrség általi díjkitűzésnek egyébként is helye lenne, és a díjkitűzésre szánt, valamint az azután fizetendő adó és a díjkitűzéssel járó költségek, valamint kiadások összegét a külső kezdeményező a Rendőrség beleegyezését követően a Rendőrség által meghatározott pénzintézeti számlára haladéktalanul befizeti, vagy átutalja.

12. A beleegyezést megelőzően vizsgálni kell, hogy a felajánlás az eljárás céljával összeegyeztethető-e, valamint az elfogadás nem sérti-e a Rendőrség objektív és pártatlan működésébe vetett közbizalmat.


3


IV. A díjkitűzés módja

13. A díjkitűzésta) az interneten;b) valamely sajtótermék (hivatalosan bejegyzett napilap, folyóirat, plakát, televíziós

vagy rádiós hírműsor, stb.) útján;c) hirdetmény útján;d) a helyileg szokásos más módon kell közzétenni, amennyiben indokolt több

alkalommal; a megjelentetés módját, idejét és szövegét dokumentálni kell.

14. A Rendőrség köteles a díjat kifizetni annak, aki a díjkitűzésben meghatározott feltételt teljesítette. A díjkitűzésben a feltételt olyan módon - a teljesítés kritériumait pontosan körülhatárolva – kell megfogalmazni, hogy a feltétel teljesítése egyértelműen eldönthető legyen.

15. Díjkitűzésnek csak olyan feltétel meghatározása mellett van helye, amelynek teljesítése meghatározó mértékben elősegíti az alapügy eredményes befejezését. Ha a megszabott követelménynek többen együttesen tesznek eleget, a díjat közöttük közreműködésük arányában, ha pedig azt nem lehet megállapítani, vagy a követelménynek többen, külön-külön tettek eleget, egyenlő arányban kell megosztani.

16. A díjkitűzés visszavonásának jogát a díjkitűzésben fel kell tüntetni. A díjkitűzés visszavonását legalább ugyanolyan nyilvánosan kell közzétenni, mint a díjkitűzést. Ennek megtörténtét dokumentálni kell.

V. A díjkitűzés hatálya

17. A nyilvánosságra hozott díjkitűzés mindaddig hatályban marad, amíg azt az elrendelő vissza nem vonja.

18. A díjkitűzés hatálya fenntartásának szükségességét az eljárás során folyamatosan vizsgálni kell. A díjkitűzés nyomozás befejezése utáni fenntartásának csak különösen indokolt esetben, de legfeljebb a bűncselekmény elévüléséig, eltűnés esetén – ha az eltűnt nem került elő – a holttá nyilvánításról, vagy a halál tényének bírósági megállapításáról hozott bírósági határozat jogerőre emelkedéséig van helye, egyéb esetben a díjkitűzést vissza kell vonni.

19. A díjkitűzést a 17. pontban meghatározott visszavonásának időpontjától kell visszavontnak tekinteni. Amennyiben a bűncselekmény nem évül el, úgy a díjkitűzés fenntartásának szükségességét évente felül kell vizsgálni.

20. A díjkitűzés eredményességére vagy eredménytelenségére vonatkozó információ nem hozható nyilvánosságra.


4


VI. A díjkitűzések nyilvántartása

21. Az elrendelésre jogosult vezető gondoskodik az általa kitűzött díjakkal kapcsolatos nyilvántartás folyamatos, időszerű vezetéséről.

22. A díjkitűzéssel kapcsolatos központi nyilvántartás folyamatos és időszerű vezetése az ORFK Rendészeti Főigazgatóság Ügyeleti és Védelmi Igazgatási Osztály (a továbbiakban: Főügyelet) feladata.

23. A díjkitűzés engedélyezésével, illetőleg visszavonásával egyidejűleg a Főügyeletet telefaxon tájékoztatni kell, amely kiterjed:a) a díjat kitűző/visszavonó hatóság megnevezésére telefonszámára, a szerv vezetőjére;b) az ügy számára és előadójára, a díjkitűzés tartalmára, a rövid tényállásra;c) a díjkitűzés hatályának kezdő/befejező időpontjára.

24. A Főügyelet más rendőri szervek ügyeletét, valamint a díjkitűzésre jelentkező személyeket kérelemre tájékoztatja a díjkitűzés hatályosságáról, valamint az eljárást folytató szervről és az ügy számáról. A rendőri szerv ügyeletének nyújtott tájékoztatás szükség esetén kiterjedhet az ügy tényállására is.

25. Az a rendőri szerv, amelynél a díjkitűzésre jelentkeznek, köteles rögzíteni a jelentkezés tényét, annak pontos időpontját, a jelentkező adatait és az általa elmondottakat, majd haladéktalanul, szóban és írásban (faxon) egyaránt felvenni a kapcsolatot a Főügyelettel, és közölni, hogy a kiírt díjkitűzés feltételének teljesítésére jelentkeztek.

26. Amennyiben az eljáró rendőri szerv nem azonos a díjat kitűzővel, a megkeresés általános szabályai szerint jár el. A feltétel teljesítésére jelentkező személy ki-, illetve meghallgatásáról készült jegyzőkönyvet köteles a díjat kitűzőnek haladéktalanul megküldeni. Ez utóbbi szerv köteles az információ ellenőrzését késedelem nélkül megkezdeni, ennek érdekében más szervet megkereshet.

27. A díjkitűzésről és annak visszavonásáról szóló iratokat a bűnügyi, eltűnt személy megtalálása érdekében folytatott eljárás esetén a közigazgatási hatósági ügyben keletkezett iratok között kell elhelyezni.

VII. A díjkitűzésben meghatározott feltételek teljesítése

28. A kitűzött díjra jelentkező kizárólag a díjkitűzés visszavonásáig történt teljesítés esetén tarthat igényt a kitűzött díj összegére. A díjkitűzés feltételének teljesítéséről, illetve a visszavonásáról a Főügyelet ad tájékoztatást.

29. Ha a díjkitűzésre büntetőeljárás keretében került sor, és a bejelentő nevének, illetve személyi adatainak zártan történő kezelését kéri, akkor – kérelmére – a büntetőeljárásról szóló 1998. évi XIX. törvény tanúvédelemre vonatkozó szabályainak alkalmazhatósága érdekében a bejelentő tanúként hallgatható ki. A személyes adatok zárt kezelésének lehetőségéről a bejelentőt előzetesen tájékoztatni és nyilatkoztatni kell.


5


30. A díjkitűzés egységes pénzügyi, számviteli előírásoknak megfelelő végrehajtása érdekében a kitűzött díjak, valamint az azokat terhelő költségvetési befizetési kötelezettségek (személyi jövedelemadó, egészségügyi hozzájárulás) fedezetére – az utasítás 10. pontjában foglaltak szerint – a díjkitűzésre feljogosított szervek költségvetésében, az előre látható igények és pénzügyi lehetőségek figyelembevételével éves keretet kell képezni az alábbiak szerint:a) a kitűzött díj bruttó fedezete a kitűző szerv költségvetésében erre a célra

elkülönített keretet terheli;b) a díjkitűzés kötelezettségvállalásnak minősül, annak előterjesztése és kifizetése

során a kitűző szervre vonatkozó kötelezettségvállalási szabályok szerint kell eljárni;c) az információszolgáltatót előre tájékoztatni kell arról, hogy részére a kifizetendő

díjról, annak adóelőlegéről az adójogszabályokban előírt – pénzügyi szerv által kiállított – igazolás kerül kiadásra;

d) a díjkitűzés számviteli elszámolása a külső személyi juttatások terhére, az „Egyéb juttatások előirányzatainak teljesítése” jogcímen történik.

VIII. Záró rendelkezések

31. Az utasítás a közzétételét követő napon1 lép hatályba, ezzel egyidejűleg hatályát veszti:a) a Rendőrségről szóló 1994. évi XXXIV. törvény 27. §-ában meghatározott

díjkitűzéssel kapcsolatos eljárás szabályainak kiadásáról szóló 3/2001. (II. 23.) ORFK utasítás;

b) a Rendőrségről szóló 1994. évi XXXIV. törvény 27. §-ában meghatározott díjkitűzéssel kapcsolatos eljárás szabályaira vonatkozó pénzügyi, számviteli előírásokról szóló 22/2001. (VII. 4.) ORFK GF intézkedés.

Dr. Bencze Józsefr. altábornagy sk.

1 Hatályba lépés napja: 2009. április 03.ORFK Tájékoztató (OT)2009/9. 2009. április 02.

6


II. részINTÉZKEDÉSEK

Szám: 1/2009.

A ORSZÁGOS RENDŐRFŐKAPITÁNY

1/2009. (OT 9.)

INTÉZKEDÉSE

az Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszerének (ORFK-FADO) Üzemeltetés Biztonsági Szabályzata kiadásáról

A Tanács Biztonsági Szabályzatának elfogadásáról szóló 2001/264/EK Tanácsi Határozat (a továbbiakban: 2001/264/EK Határozat) és az ehhez kapcsolódó dokumentumokban meghatározott követelményekkel összhangban, az Európai Unió minősített anyagainak az Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszerében (a továbbiakban: ORFK-FADO rendszer) történő feldolgozásának biztonsági szabályai meghatározása céljából kiadom az alábbi

i n t é z k e d é s t.

1. Ezen intézkedés hatálya az Országos Rendőr-főkapitányság (a továbbiakban: ORFK) által üzemeletetett ORFK-FADO rendszerre és az ORFK állományába tartozó, az ORFK-FADO rendszer üzemeltetésében részt vevő, és az ORFK-FADO rendszert felhasználó személyekre terjed ki.

Általános rendelkezések

Értelmező rendelkezések

2. Az utasítás alkalmazásábana) biztonsági megbízott: a külföldi minősítéssel és jelöléssel ellátott adat védelmével

kapcsolatos biztonsági feladatok végrehajtására és koordinálására az Országos Rendőr-főkapitány által – a Nemzeti Biztonsági Felügyelet (a továbbiakban: NBF) elnökének egyetértésével – kinevezett személy,

b) elektronikus adatkezelés: adat elektronikus, elektromagnetikus vagy optikai úton történő feldolgozása (készítése, megjelenítése, tárolása, módosítása, törlése), illetve továbbítása,

c) elektronikus biztonság: a kommunikációs, informatikai és más elektronikus rendszerekben alkalmazott biztonsági intézkedések összessége, amelyek biztosítják az elektronikusan kezelt külföldi minősítéssel és jelöléssel ellátott adat bizalmasságát, sértetlenségét és rendelkezésre állását; összetevői a számítógép- és hálózatbiztonság (hardver, szoftver és firmver biztonság), kommunikációs biztonság (rejtjel-, átvitel- és


7


kompromittáló kisugárzás biztonság), valamint a személyi, fizikai és dokumentum biztonságnak a rendszerre vonatkozó különös szabályok,

d) fenyegetés: a biztonság véletlen vagy szándékos megsértésének lehetősége, az elektronikus biztonság három biztonsági célkitűzése, a bizalmasság, a sértetlenség és a rendelkezésre állás közül egy vagy több elem elvesztése,

e) rendszer: külföldi minősítéssel és jelöléssel ellátott adat elektronikus kezelésére alkalmas berendezés - a rejtjelző eszköz kivételével -, módszer és eljárás együttese,

f) rendszerbiztonsági felelős: a biztonsági megbízott felügyelete mellett a rendszer alkalmazási területén felelős a rendszer személyi, fizikai, dokumentum, hardver, szoftver biztonsági feltételek érvényesüléséért, a biztonsági beállítások és hozzáférési jogosultságok beállításáért,

g) üzemeltetés-biztonsági felelős: a rendszerbiztonsági felelős irányítása mellett a rendszer alkalmazási területén felelős a rendszer üzemeltetéséért, a hardver és szoftver konfiguráció folyamatos karbantartásáért,

h) veszélyeztetés: ha fennáll annak a lehetősége, hogy a külföldi minősítéssel és jelöléssel ellátott adat részben vagy egészben illetéktelen személy részére hozzáférhetővé válik, vagy megsemmisül, továbbá veszélyeztetettnek tekintendő minden ideiglenesen eltűnt külföldi minősítéssel és jelöléssel ellátott adat beleértve az időszaki ellenőrzés során fel nem lelt iratokat is, mindaddig, amíg a vizsgálat mást nem állapít meg.

A biztonság adminisztrációja és szervezése

3. Az ORFK-FADO rendszer Üzemeltetési Biztonsági Szabályzatától (a továbbiakban: Szabályzat) történő olyan eltérés vagy módosítás, amely kisebb biztonságot eredményezhet, nem megengedett. A Szabályzatban meghatározott, de a biztonságot nem érintő egyéb változtatást engedélyeztetni kell az NBF-fel. Ebben az esetben az engedélyt az intézkedés módosítását megelőzően kell beszerezni.

4. Az ORFK-FADO rendszer valamennyi felhasználójának a rendszerrel összefüggő információkhoz hozzáférési joggal kell rendelkeznie, a Szabályzatban meghatározottakat tudnia, alkalmaznia, aláírásával igazolnia kell. Az ORFK-FADO rendszer valamennyi rendszer szintű felhasználójának EU CONFIDENTIAL (EU Bizalmas) Biztonsági Tanúsítvánnyal kell rendelkeznie.

5. Valamennyi, a rendszeren kezelt adatot, a kinyomtatott dokumentumokkal együtt EU KORLÁTOZOTT TERJESZTÉSŰ (a továbbiakban: RESTREINT UE) minősítésűként kell kezelni mindaddig, amíg azt a kibocsátója másként nem határozza meg. A minősített információ csak azon személyek által lehet megismerhető, akiknek a munkájához az feltétlenül szükséges (a továbbiakban: „ismernie szükséges elv”).

6. A fizikai, személyi, adminisztratív és elektronikus biztonsági feltételekben a szintre vonatkozó követelményeket kell teljesíteni, tekintettel arra, hogy a rendszeren feldolgozott adatok legmagasabb minősítési szintje RESTREINT UE.

Az ORFK-FADO rendszer szerepe

7. A munkaállomásnak biztonságos számítógépes adatfeldolgozást kell biztosítania a RESTREINT UE legmagasabb minősítési szintig az országos rendőrfőkapitány által kijelölt és felhatalmazott felhasználóknak.


8


Az ORFK-FADO rendszer felépítése

8. Az ORFK-FADO rendszernek olyan dedikált RESTREINT UE szintű rendszerként működő alaprendszernek kell lennie, amely:a) egy szerverből, egy Switch-ből, a csatlakozó négy számítógépből és egy nyomtatóból,

valamint a FADO közösség által biztosított vonalkapcsolati eszközökből (SINA BoxS titkosító, modemek, routerek, stb.) áll,

b) nem tartalmaz más rendszerrel csomóponti kapcsolatot, azaz nem kapcsolódik egyetlen más elektronikus információkezelő rendszerhez sem.

9. Az ORFK-FADO rendszer a brüsszeli központú FADO eléréséhez nyújt biztonságos környezetet és adatfeldolgozási lehetőséget: a) Microsoft® Windows® XP Professional operációs rendszerrel,b) Adobe® Readerrel®,c) Microsoft® Windows® XP Professional operációs rendszerbe beépített zip tömörítő

szoftverrel,d) Microsoft® Excel programmal,e) Symantec® Antivirus Norton Corporate Edition vírusellenőrző programmal (1. számú

melléklet).

10. Az ORFK-FADO rendszernek lehetővé kell tennie az adatok kezelését és cseréjét (floppy lemezes, CD-s, valamint USB csatolóval ellátott adattárolón keresztüli adatcsere más rendszerekkel). A biztonságos üzemeltetéshez szükséges tulajdonságoknak adottaknak kell lenniük (adminisztratív és funkcionális alkalmazások). A rendszernek a kereskedelmi forgalomban kapható (COTS) hardver és szoftver elemekből kell állnia.

Az ORFK-FADO rendszer-minősítése és működési módja

11. Az ORFK-FADO rendszerén legfeljebb RESTREINT UE minősítésű információkat lehet feldolgozni dedikált működési módban.

12. Az ORFK-FADO rendszer hardver és szoftver biztonsági tulajdonságainak biztosítania kell a dedikált hozzáférést és az „ismernie szükséges elv” szerinti szelektálást. Az ORFK-FADO rendszer bejelentkezési eljárással biztosítja:a) hogy az egyes felhasználók egyénileg felelősek a tetteikért és a biztonsággal összefüggő

események ellenőrzéséért,b) az ORFK-FADO rendszer biztonsági tulajdonságait a jogosulatlan hozzáférés, módosítás

vagy rongálás megakadályozása érdekében.

13. A 11. és 12. pontban meghatározottakon kívül a követelményekhez illeszkedő fizikai, személyi és adminisztratív védelmi intézkedésekkel kell biztosítani a rendszeren kezelt EU minősített információ védelmét.

Az ORFK-FADO rendszer felhasználói

14. Az ORFK-FADO rendszer-szintű hozzáféréssel rendelkező személyeknek EU CONFIDENTIAL (a továbbiakban: EC) szintű biztonsági tanúsítvánnyal kell rendelkezniük,


9


és nem kell általános áttekintéssel rendelkezniük a rendszerben tárolt, feldolgozott továbbított információról. Minden felhasználói szinten lévő, hozzáféréssel rendelkező személynek általános áttekintéssel kell rendelkeznie a rendszerben tárolt, feldolgozott továbbított információról.

15. Az ORFK-FADO rendszer-szintű hozzáféréssel rendelkező és/vagy a rendszeren kezelt információk biztonságáért felelős felhasználók az országos rendőrfőkapitány által a konkrét feladatokra kijelölt és felhatalmazott azon munkatársak lehetnek, akik „B” típusú nemzetbiztonsági ellenőrzéssel és NBF által nyilvántartásba vett, minimum EC szintű személyi biztonsági tanúsítvánnyal és az erről szóló igazolással rendelkeznek.

16. Minden felhasználónak legalább az „ismernie szükséges elv” alapján kiadott megbízással kell rendelkeznie, ami nem jelenti azt, hogy minden felhasználónak szüksége van az összes rendszerben tárolt adat ismeretére.

17. A ORFK-FADO rendszer a következő négy hozzáférési/felhasználói kategóriából áll:a) rendszerbiztonsági felelős, b) üzemeltetés-biztonsági felelős, c) informatikai és SINA BoxS üzemeltetés-biztonsági felelős,d) felhasználó.

18. A biztonsági funkciók folyamatos működése érdekében minden biztonsági pozícióra ki kell nevezni egy helyettesítő személyt (2. számú melléklet).

19. A felhasználó az a személy, aki érvényes munkaállomás hozzáféréssel rendelkezik, és jogosult a rendszer használatára. A felhasználó felelős a bejelentkezési neve és jelszava használatáért, titokban tartásáért, valamint az általa elérhető adatok biztonságos tárolásáért és felhasználásáért.

A rendszer helye

20. Az ORFK-FADO rendszer eszközei, felszerelései és anyagai a 3. számú mellékletben meghatározott helyeken találhatók.

A rendszer szerkezete

21. Az ORFK-FADO rendszer telephelye a következőket tartalmazza:a) a szervert,b) a switch-et,c) a munkaállomásokat,d) a különféle perifériákat (nyomtató, billentyűzet, egér, stb.),e) a szokványos hardver- és szoftverelemeket,f) a külső adatcseréhez hordozható mágneses és optikai adattárolókat (floppy lemez,

CD/DVD),g) a FADO közösség által biztosított eszközöket, tartalék eszközöket.

A biztonsági körülmények meghatározása

A rendszerre vonatkozó információk minősítése


10


22. Az ORFK-FADO rendszer létének ténye, megnevezése és célja NYILVÁNOS információ.

23. A FADO közösség tulajdonát képező, az ORFK-FADO rendszer helyiségében telepített SINA BoxS típusú titkosító berendezések minősítési jelölését a 4. számú melléklet tartalmazza.

Kockázatkezelés

24. Az ORFK-FADO rendszer elleni támadások lehetséges célja, hogy: a) beazonosítsák az információ kezelés helyszínét és a külső kapcsolatokat,b) akadályozzák az üzemeltetést,c) megrongálják az eszközöket,d) megszerezzék az információt.

25. Az ORFK-FADO rendszer elleni támadások következménye lehet: a) a bizalmasság elvesztése (a rendszerbe történő jogosulatlan belépéssel a

munkaállomáson feldolgozott vagy kezelt adatok felfedése),b) a sértetlenség elvesztése (a rendszer információinak jogosulatlan módosítása miatt a

rendszer forrásainak hibás működése vagy a rendszeren kezelt információk valódiságának megszűnése),

c) a rendelkezésre állás elvesztése (a jogosult bejelentkezés megtagadása vagy a rendszer szolgáltatásainak hozzáférhetetlenné tétele).

26. Az ORFK-FADO rendszer kockázati tulajdonságai:a) a rendszerre vonatkozó legfőbb veszély a felhasználói hozzáférés, mind a titkosság, a

sértetlenség és a rendelkezésre állás vonatkozásában (ezért a hozzáférést szigorú adminisztratív eljárásokkal kell szabályozni),

b) a rendszer sérülékeny, mivel magában foglalja a minden felhasználó által használt közös szolgáltatásokat (a kizárólagos hozzáférés ellenőrzési eljárások ezért korlátozzák a hozzáférési jogokat a különböző felhasználói típusoknak megfelelően),

c) a sebezhetőséget növelheti a kereskedelmi eszközök használata, amelyeket általában nem minősítenek a biztonsági hatóságok. A biztonsági követelmények teljesítése érdekében bevizsgált és hitelesített termékeket kell használni. Az alapelv az, hogy a rendszer a lehető legnagyobb mértékben megfeleljen az EU (vagy annak nemzeti/nemzetközi megfelelője, például ISO normák) biztonsági értékelési kritériumainak.

27. Az ORFK-FADO rendszer szerverének vírusvédelmét minden adatcsere során alkalmazni kell. A rendszerre vonatkozó vírusvédelmi irányelvek az 1. számú mellékletben találhatók meg.

Rendszerspecifikus sebezhetőségek

28. Az általános sebezhetőségek mellett az ORFK-FADO rendszerre jellemző sebezhetőségek a következők: a) a személyzet tagjainak azon része, akik potenciális hozzáféréssel rendelkeznek

közvetlenül az ORFK-FADO rendszerhez,b) a hardverbe, illetve a szoftverbe véletlenül vagy szándékosan beépített hibák vagy

számítógép-vírusok,c) a hardver és a szoftver hibás működése, meghibásodása, tervezési hiba vagy szándékos

rongálás,d) a rendszer kompromittáló kisugárzása az NBF által nem hitelesített eszközök használata

miatt,


11


e) az „ismernie szükséges elv” megsértése az ORFK-FADO rendszer szintű hozzáféréssel rendelkező felhasználók részéről (rendszergazdai hozzáférés) vagy jogosulatlan hozzáférés a rendszer erőforrásaihoz,

f) az ORFK-FADO rendszeren kezelt információk téves kezelése a címkézés hiánya miatt.

A biztonsági körülmények összefoglalása

29. Az ORFK-FADO rendszer biztonsági elemeinek a következőkből kell állniuk:a) a szervert, a Switch-et, a munkaállomásokat és a nyomtatót adminisztratív biztonsági

területen kell telepíteni,b) minden ORFK-FADO rendszerszintű felhasználónak „B” típusú nemzetbiztonsági

ellenőrzéssel és az NBF által kiadott EC szintű biztonsági tanúsítvánnyal kell rendelkeznie,

c) az ORFK-FADO rendszerben használt operációs rendszernek az EU előírások szerinti beállításokkal kell működnie,

d) a telepítés biztonsági beállításait hathavonta ellenőrizni szükséges,e) a hitelesítéshez szükséges adatok (naplófájlok) összegyűjtését, felülvizsgálatát,

archiválását hathavonta el kell végezni,f) az ORFK-FADO rendszer minden elemének meg kell felelnie az EU R szintre előírt EU

kisugárzás biztonsági követelményeknek.

Biztonsági környezet meghatározása

Általános Biztonsági Környezet

30. Az ORFK-FADO rendszer telepítés helyszínét az 5. számú melléklet tartalmazza.

31. Az ORFK-FADO rendszer kizárólag olyan környezetébe telepíthető, ahol ellenséges/felforgató személy vagy szervezet nem ismert.

32. A Rendőrség biztonsági megbízottja a „külső” biztonságért is felelős, utasítási jogokkal rendelkező (pl. beléptetési rend, fizikai/személyi biztonság, hozzáférési ellenőrzés, stb.) személy lehet.

33. Az ORFK-FADO rendszerben olyan eszközök használhatók, amit a kijelölt biztonsági telepítési helyszínen történő használatra terveztek. Az ORFK-FADO rendszer és rendszer eszközöket tartalmazó telephelynek béke- és minősített időszakban történő használatra egyaránt megfelelőnek kell lenni.

Helyi Biztonsági Környezet

34. Az ORFK-FADO rendszer II. osztályú biztonsági terület.a) A telepítés helyszíne:

1139-Budapest, Teve utca 4-6. „A”. épület (a továbbiakban: irodaépület) 3. emeletén a 330. iroda / EU Ellenőrző pontként jelzett II. osztályú biztonsági területen belül kialakított számítógépes munkahelyek.

b) A telepítés környezete:az irodaépület a) alpontban meghatározott helyisége a Rendőrség tulajdonába tartozik, más, nem a Rendőrség tulajdonban lévő épületek 20-30 méteres, illetve annál nagyobb távolságban találhatók. A területen a Rendőrség által biztosított őrszolgálat működik,


12


mely a külső területeket is folyamatosan felügyeli. A területre elektronikus beléptető rendszeren keresztül vagy kísérettel lehet belépni.

35. Az ORFK-FADO rendszer telephelyének és az ORFK-FADO rendszernek saját, helyi védelmi infrastruktúrával szükséges rendelkeznie. Az üzemeltetés-biztonsági utasítás ennek megfelelően a konkrét telephelyhez igazodik.

36. A helyszínnek meg kell felelnie a szükséges fizikai és eljárási biztonsági követelményeknek. A helyi, fizikai biztonsági környezetnek ellen kell állnia a fizikai biztonsági fenyegetéseknek.

37. Az ORFK-FADO rendszer telepítésére vonatkozó adatok a 6. számú mellékletben találhatók.

Elektronikus Biztonsági Környezet

38. A kompromittáló kisugárzás elleni védelmet a vonatkozó EU szabályzók előírásai szerint kialakított helyi környezet, és az ugyanezen szabályzók szerint a feldolgozható RESTREINT UE legmagasabb minősítési szintnek megfelelő rendszerelemek alkalmazásának kell biztosítania.

Felhasználók

39. Az országos rendőrfőkapitány által konkrét feladat elvégzésére kijelölt felhasználókat a „Rendszer hozzáférési kérelem” nyomtatványon (7. számú melléklet) kell a rendszerbiztonsági felelősnek lejelenteni. A felhasználók érvényes névjegyzékét a rendszer biztonsági felelős kezeli és tartja naprakészen.

40. Az üzemeltetés-biztonsági felelős köteles gondoskodni arról, hogy csak a feljogosított felhasználók tudják használni a rendszert.

41. A rendszerbiztonsági felelős köteles gondoskodni arról, hogy minden feljogosított felhasználó megismerje, és felelősségi körében betartsa a Szabályzatban előírtakat, és mindezek tényét a nyilatkozatban aláírásával igazolja (8. számú melléklet). Ezen túlmenően a rendszerbiztonsági felelős köteles biztosítani azt is, hogy szükség szerint valamennyi felhasználó bármikor és korlátozás nélkül hozzáférjen a Szabályzathoz.

Rendszerbiztonsági események jelentése

42. A felhasználók az általuk biztonsági eseménynek ítélt bármilyen körülményt kötelesek az üzemeltetés-biztonsági felelősnek és ezzel egyidejűleg a rendszerbiztonsági felelősnek a „Jelentés biztonsági eseményről” nyomtatványon (9. számú melléklet) jelenteni. A rendszerbiztonsági felelős értesíti a Rendőrség biztonsági megbízottját, aki haladéktalanul jelentést tesz az NBF elnökének.

Vírus események jelentése

43. Az ORFK-FADO rendszeren talált bármilyen vírust vagy a rendszer bármilyen rendellenes viselkedését a további vizsgálatok és a dokumentálás céljából azonnal jelenteni kell az üzemeltetés-biztonsági felelősnek és a rendszerbiztonsági felelősnek a „Jelentés vírus eseményről” nyomtatványon (10. számú melléklet).


13


Felelősség

Biztonsági Akkreditáló Hatóság

44. Az ORFK-FADO rendszer esetében, – mint EU minősített információt kezelő hazai elektronikus rendszernél – az NBF tölti be az akkreditáló hatóság szerepét. Meg kell keresni az NBF-et minden engedélyezés tárgyában, így az ORFK-FADO rendszer létesítésével, üzemeltetésével, működésének meghosszabbításával, más rendszerekkel történő összekapcsolásával, módosításával, megszüntetésével kapcsolatban. Az NBF határozza meg az újra-akkreditálás feltételeit is.

45. Az NBF tölti be a koordinátori szerepet minden biztonsági, üzemeltetési és kommunikációs hatóság között. Az NBF valamennyi az ORFK-FADO rendszerre vonatkozó biztonsággal kapcsolatos tevékenységet meghatározhat és ellenőrizhet, ideértve azoknak a teljes rendszerre vonatkozó speciális részleteit is, az alábbiak szerint:a) meghatározhatja az ORFK-FADO rendszerrel kapcsolatos biztonsági feltételeket,b) szükség esetén segítség kérhető az NBF-től a rendszer létesítéséhez, üzemeltetéséhez,

módosításához az akkreditálás hatékony végrehajtásához,c) a biztonsági megbízott feladata, hogy biztosítsa az NBF ORFK-FADO rendszer által

felhasznált szoftver és hardver biztonsági szempontjainak, az adminisztratív és fizikai biztonsági irányelveknek és szabályzatoknak kidolgozásával és életbe léptetésével, a kiadott helyi biztonsági intézkedések következetes betartatásával kapcsolatos felügyeleti és ellenőrzési tevékenységét.

Biztonsági megbízott

46. A biztonsági megbízott felelős a szükséges általános biztonsági feltételek kidolgozásáért, végrehajtatásáért és felügyeletéért.

47. A biztonsági megbízott – együttműködve az NBF-el és a rendszerbiztonsági felelőssel – meghatározza a rendszerrel kapcsolatban alkalmazandó valamennyi biztonsági intézkedést. Ezek magukban foglalják az alábbiakat:a) az ORFK-FADO rendszer biztonságos üzemeltetését, a biztonsági megbízott a

Szabályzatban foglaltak betartása érdekében kijelöli a rendszer hozzáférési jogokkal rendelkező rendszerbiztonsági felelőst és az üzemeltetés-biztonsági felelőst (rendszeradminisztrátor),

b) a biztonsági megbízott gondoskodik arról, hogy az ORFK-FADO rendszer felhasználói rendelkezzenek az általuk feldolgozásra kijelölt információ minősítési szintjének megfelelő, illetve a részükre meghatározott minősítési szintű biztonsági tanúsítvánnyal,

c) a biztonsági megbízott határozza meg az ORFK-FADO rendszerre vonatkozó biztonsági irányelveket,

d) a biztonsági megbízott határozza meg a szükséges műszaki biztonsági jellemzőket,e) a biztonsági megbízott határozza meg és tartatja be az ORFK-FADO rendszer

fejlesztésére, telepítésére és tesztelésére vonatkozó biztonsági szabályokat,f) a biztonsági megbízott gondoskodik az ORFK-FADO rendszer fizikai, műszaki,

dokumentációs biztonsági feltételeinek teljesítéséről,g) a biztonsági megbízott minősített adatok feldolgozása előtt meghatározza a működés

során alkalmazandó biztonsági eljárásokat, felelősségeket, és ellenőrzi az előírások betartását,

h) a biztonsági megbízott gondoskodik a Szabályzat előkészítéséről,


14


i) a biztonsági megbízott előkészíti az akkreditálást, és részt vesz az akkreditálási eljárásban,

j) a biztonsági megbízott javaslatot tesz az üzemeltetés-biztonsági felelősnek a szoftver, hardver, firmware vagy eljárás tervezett módosításainak biztonságára vonatkozóan.

48. Az ellenőrző pontot üzemeltető szervezeti egység vezetője felelős és köteles gondoskodni arról, hogy a „Rendszer hozzáférési kérelem” (7. számú melléklet) nyomtatványon megjelölt személyek valóban érvényes biztonsági tanúsítvánnyal rendelkezzenek.

Rendszerbiztonsági felelős

49. Az rendszerbiztonsági felelős felelősséggel tartozik a Rendőrség biztonsági megbízottja felé a Szabályzat alkalmazásáért. Biztonsági szempontból, a biztonsági megbízott nevében az ORFK-FADO rendszer valamennyi biztonsági feltételének teljesítéséért és betartatásáért, valamennyi hardver és szoftver eleméért felel. Kötelessége:a) előkészíteni a helyszíneket, és részt venni a helyszínek akkreditálási eljárásában,b) előkészíteni az üzemeltetés-biztonsági felelőssel közösen a Szabályzatot,c) tárolni és karbantartani a Szabályzatot, és kezelni az annak elolvasását és

tudomásulvételét igazoló nyilatkozatokat (8. számú melléklet); a nyilatkozatokról vezetett naprakész nyilvántartást megküldeni a biztonsági megbízottnak,

d) ellenőrizni, hogy az ORFK-FADO rendszert az első használatbavétel előtt megfelelően regisztrálták-e a „Regisztrációs kérelem” (11. számú melléklet) kitöltésével,

e) naprakész állapotban tartani a biztonsági megbízott által elkészített jogosult felhasználók jegyzékét, és ellenőrzi annak valódiságát,

f) ellenőrizni az ORFK-FADO rendszerhez hozzáférő személyek hozzáférési feltételeit, valamint a biztonsági előírások ismeretét és betartását,

g) szúrópróbaszerű ellenőrzéseket végeznie, és ezekről nyilvántartást vezetni (12. számú melléklet) a területen levő hardverelemekről; az ellenőrzésekről készült jelentések egy példányát a biztonsági megbízottnak félévente továbbítani,

h) a helyi nyilvántartóval közösen ellenőrizni a minősített adathordozók és kinyomtatott dokumentumok nyilvántartásait,

i) hetente ellenőrizni az eseménynaplót, és az NBF-fel koordináltan elvégzi a helyszín éves ellenőrzéseit,

j) felügyelni az üzemeltetés-biztonsági felelős munkáját,k) az ORFK-FADO rendszer biztonsági körülményeinek valamennyi aspektusáért

felelősséget vállalni.

Üzemeltetés-biztonsági felelős

50. Az üzemeltetés-biztonsági felelős látja el az ORFK-FADO rendszer mindazon felelősségi köreit és adminisztratív tevékenységét, amelyek az ORFK-FADO rendszer üzemeltetése során a biztonsági támogatáshoz, irányításhoz, valamint a nyilvántartási adatbázisok karbantartásához szükségesek.

51. Az üzemeltetés-biztonsági felelős specifikus feladatai a következők:a) a rendszerbiztonsági felelőssel előkészíti a Szabályzatot,b) gondoskodik a Szabályzat betartásáról,c) a felhasználók részére biztonsági és üzemeltetési ügyekben segítséget nyújt,


15


d) vezeti és karbantartja az ORFK-FADO rendszer elemeinek helyi nyilvántartását az egyedi azonosító számok szerint, és a nyilvántartás egy példányát megküldi a rendszerbiztonsági felelősnek,

e) elkészíti, és folyamatosan vezeti a karbantartási naplót, amelyből egy példányt a rendszerbiztonsági felelősnek továbbít,

f) egyezteti az ORFK-FADO rendszer biztonságával kapcsolatos intézkedéseket a felhasználókkal, a rendszerbiztonsági felelőssel és a biztonsági megbízottal,

g) koordinálja az ORFK-FADO rendszer konfiguráció minden változtatását vagy módosítását a „Feljegyzés konfiguráció változásáról” (13. számú melléklet) és a „Kérelem telepítés/áthelyezés engedélyezésére” (14. számú melléklet) segítségével,

h) az ORFK-FADO rendszerhez nem tartozó eszközöket, azonosíthatatlan vagy ismeretlen forrásból származó adatokat tartalmazó adathordozókat (hardver vagy akár szoftverbővítések) átadja a rendszerbiztonsági felelősnek,

i) elvégzi az ORFK-FADO rendszer rendszeres (havi) eseménynapló ellenőrzését,j) beszámol a rendszerbiztonsági felelősnek az ORFK-FADO rendszeren észlelt

valamennyi biztonsági hiányosságról, a biztonság megsértéséről és a felfedezett sebezhetőségi pontokról, és javaslatot tesz a hiányosságok megszüntetéséhez szükséges intézkedésekre,

k) beszámol a rendszerbiztonsági felelősnek és a biztonsági megbízottnak az EU minősített információt érintő biztonsági szabályok megsértésének minden gyanújáról.

Informatikai és SINA BoxS üzemeltetés-biztonsági felelős

52. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelős biztosítja a helyi hálózat folyamatos működését, az ORFK-FADO rendszer zökkenőmentes üzemeltetését.

53. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelős ellátja a titkosító eszközök mindazon felelősségi köreit és adminisztratív tevékenységét, amelyek a folyamatos működéshez szükségesek.

54. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelős specifikus feladatai: a) a folyamatos működés érdekében szorosan együttműködik a FADO közösséggel

szerződésben álló szolgáltató technikai támogató csoporttal, valamint a FADO Helpline-nal,

b) üzemkiesés esetén tájékoztatja a rendszerbiztonsági felelőst és az üzemeltetés-biztonsági felelőst,

c) elvégzi a titkosító eszközökkel kapcsolatos technikai teendőket, így végzi az eszközök esetleges cseréjét, vonal átállítását tartalék eszközre, valamint további, a FADO közösség által meghatározott, üzemeltető által elvégzendő technikai feladatokat,

d) gondoskodik a tikosító eszközök kódlapjainak szabályszerű tárolásáról,e) gondoskodik az eszközök kezelésére jogosult felhasználók oktatásáról.

55. Az informatikai és SINA BoxS üzemeltetés-biztonsági felelősnek rendelkeznie kell „EC” szintű betekintési engedéllyel.

Rendszer felhasználók felelőssége

56. Az ORFK-FADO rendszer felhasználói kötelesek a Szabályzat előírásait betartani. Ez a kötelezettség vonatkozik a rendszerbiztonsági események jelentési kötelezettségére is.


16


Személybiztonság

Általános követelmények

57. Mindenkinek, aki olyan területre lép be, ahová az ORFK-FADO rendszer elemeit és berendezéseit telepítették, tudatában kell lennie annak, hogy közvetlenül kapcsolatba kerülhet az ORFK-FADO rendszerrel, kárt okozhat az ORFK-FADO rendszerben, és közvetlenül hozzáférhet az ORFK-FADO rendszeren kinyomtatott vagy a képernyőn megjelenő minősített információkhoz. Az ORFK-FADO rendszert csak betekintési engedéllyel rendelkező személy használhatja. A betekintési engedély feltétele a „Rendszer hozzáférési kérelem” (7. számú melléklet), mely a betekintési engedély megszerzését nem helyettesíti, hanem annak feltétele.

58. Az ORFK-FADO rendszer fenyegetettsége az ORFK-FADO rendszerhez hozzáférési joggal, megfelelő szakértelemmel, ismeretekkel vagy bármilyen okból szükséges hozzáférési joggal rendelkező személytől is származhat, ebből következően az ORFK-FADO rendszer helyszíneire engedélyezett belépési joggal rendelkező személynek lehetősége van arra, hogy jogosulatlanul vagy nem megengedett módon információt szerezzen, illetve nem feljogosított személyek részére lehetővé tegye az információ megismerését.

Biztonsági Tanúsítvány

59. Az ORFK-FADO rendszer valamennyi biztonságért felelős felhasználójának Biztonsági Tanúsítvánnyal kell rendelkeznie. A Biztonsági Tanúsítvány önmagában nem ad felhatalmazást a minősített információhoz való hozzáféréshez.

Felhasználók

60. Az ORFK-FADO rendszer hozzáférést a „Rendszer hozzáférési kérelem” (7. számú melléklet) kitöltésével a felhasználó kezdeményezi. A kitöltött nyomtatványt a szervezeti egység/részleg vezetőjének javaslatával az rendszerbiztonsági felelős terjeszti fel a biztonsági megbízottnak. Amennyiben minden biztonsági feltétel teljesült, az üzemeltetés-biztonsági felelős felhasználói nevet és az első bejelentkezéshez szükséges ideiglenes jelszót ad a felhasználónak.

61. Az ORFK-FADO rendszer felhasználóit a „Rendszer hozzáférési kérelem” (7. számú melléklet) kiállításával kell azonosítani, ezen kívül az „ismernie szükséges” elvet szigorúan be kell tartani és tartatni.

Látogatók

62. A személyi biztonsági tanúsítvánnyal rendelkező látogatók az ORFK-FADO rendszer elemeinek elhelyezésére szolgáló helyiségekbe kizárólag belépési engedéllyel, míg személyi biztonsági tanúsítvánnyal nem rendelkező látogatók kizárólag kísérettel, a belépés tényének dokumentálásával léphetnek be.

63. Az ORFK-FADO rendszer területen munkát végző szerződéses partnerek és eseti munkatársak (takarítók, stb.) csak kíséret mellett végezhetnek bármilyen tevékenységet.

64. A rendszerbiztonsági felelős, az üzemeltetés-biztonsági felelős és bármely felhasználó az adott rendszer és munkaállomásai helyszínén köteles biztosítani, hogy a látogatók engedély nélkül


17


ne láthassák a minősített nyomtatott dokumentumokat vagy a képernyőt. A nyomtatókat és a képernyőket úgy kell elhelyezni, hogy azokat az eseti látogatók ne láthassák, és meg kell akadályozni, hogy a rendszerhez, annak bármely eleméhez és a rendszerben található bármilyen információhoz hozzáférjenek.

Fizikai biztonság

Általános követelmények

65. A fizikai biztonsági intézkedések célja:a) megakadályozni a minősített információhoz való jogosulatlan hozzáférést,b) megakadályozni az engedély nélküli üzemeltetést/működést,c) megakadályozni a forrásokhoz és szolgáltatásokhoz való jogosult hozzáférés

megtagadását,d) védeni az értékes és sérülékeny rendszert.

Munkaállomások és adathordozók biztonsága

66. A munkaállomás telepítési helyszínén: a) biztonsági ajtózárat kell felszerelni,b) használaton kívül a helyszínt zárva kell tartani,c) a környezet által jól látható helyen a jogosultságokat feltüntető listát kell ki függeszteni,d) a munkaállomás bekapcsolt állapotban maximum 30 percig maradhat felügyelet nélkül,

amennyiben az ajtó zárva van és a munkaállomás jelszavas védelme aktív,e) amennyiben a munkaállomás 30 percnél hosszabb ideig marad felügyelet nélkül, az

állomást ki kell kapcsolni (a gép leállítása után a hálózati áramellátást le kell kapcsolni),f) a munkarendnek megfelelően a munkaidő végén minden kivehető adathordozót

RESTREINT UE anyagok tárolására engedélyezett tárolóba kell elzárni, és onnan csak a munkaidő kezdetekor szabad elővenni.

Környezeti károk elleni védelem

67. Az eszközöket, berendezéseket meg kell védeni, és távol kell tartani a lehetséges környezeti ártalmaktól. Ezek az ártalmak lehetnek: por, magas páratartalom, folyadékok, aeroszolok (például a közvetlen környezetben használt festékszóró), intenzív hő és elektromos kisugárzásra alkalmas eszközök (például hősugárzó, rádiótelefon), amelyek a rendszerben vagy az adathordozókban kárt okozhatnak.

68. Amennyiben súlyos természeti csapás veszélye fenyeget (például zivatar), meg kell tenni a szükséges intézkedéseket a rendszer nagyfeszültség elleni védelme érdekében. A mentéseket a helyszínen tűzálló tárolókazettában, vagy más helyszínen kell biztonságba helyezni és tárolni.

Az ORFK-FADO rendszer és a SINA BoxS titkosító eszközök fizikai védelme

69. Az ORFK-FADO rendszer és a SINA BoxS titkosító eszközök fizikai biztonsági intézkedései a következők:a) elektronikus biztonsági ajtózárat, naplózással ellátott beléptető rendszert kell működtetni,b) a beléptető rendszer naplózásához a biztonsági megbízott és az objektum biztonságáért

felelős személyzet férhet hozzá,


18


c) a helyszínt folyamatosan zárva kell tartani, az ajtó nyitása csak ki-, illetve belépés idejére engedélyezhető,

d) a környezet által jól látható helyen a jogosultságokat feltüntető listát kell ki függeszteni,e) a helységbe csak a személyes azonosító kód megadásával lehet be-, illetve kilépni, f) egy ajtónyitás ideje alatt több személy belépése csak a rendszerbiztonsági felelős külön

engedélyével lehetséges,g) a beléptető rendszer meghibásodása esetén a biztonságos kijutás érdekében az ajtót úgy

kell kialakítani, hogy belülről vésznyitóval nyitható legyen, a vésznyitóval történő nyitásról írásban értesíteni kell a rendszerbiztonsági felelőst,

h) a beléptető rendszer tartós üzemkimaradása esetén a rendszerbiztonsági felelős engedélyével az ajtó kulccsal is nyithatónak kell lennie,

i) a titkosító berendezést arra alkalmas zárható szekrényben kell elhelyezni,j) a szekrény kulcsát az ORFK-FADO helység kulcsdobozában kell tárolni, amelyhez a

biztonsági felelős, a rendszerbiztonsági felelős, az üzemeltetés-biztonsági felelős, és az informatikai és SINA BoxS üzemeltetés-biztonsági felelős férhetnek hozzá,

k) a titkosító eszközhöz tartozó felhasználói kártyákat minősítésüknek megfelelően kell kezelni és tárolni.

Dokumentumbiztonság

Meghatározás

70. A ”Dokumentum” meghatározás alá tartozik minden olyan, a rendszeren felhasznált, készített vagy kezelt elem, anyag (például szöveg, kép), amely minősített információt tartalmazhat, és amelyet a rendszeren szándékosan vagy bármilyen más módon készítettek vagy kezeltek. Ebbe tartozik a papíron vagy az elektronikus formában levő adat, bármilyen rendszerű cserélhető mágneses adathordozó (floppy lemez, kivehető merevlemez, stb.), beépített adathordozó (merevlemez), tároló memória, kinyomtatott anyag.

Adatfájl csere

71. Amennyiben egy felhasználónak a floppy/CD/DVD meghajtót használnia szükséges, meg kell keresnie az üzemeltetés-biztonsági felelőst. Az üzemeltetés-biztonsági felelős kéri a rendszerbiztonsági felelőstől a floppy/CD/DVD használatának az engedélyezését. A kérelem tartalmazza a munkaállomás nevét, számát, a floppy/CD/DVD használat indokát, a kapcsolati személyeket és a floppy/CD/DVD használat szükségességét igazoló záradékot (15. számú melléklet). A rendszerbiztonsági felelős ellenőrzi a feltételeket és véleményezi a kérelem jogosságát. Amennyiben a kérelemmel a döntési jogkörrel felruházott illetékes vezető is egyetértett, a rendszerbiztonsági felelős megteszi a floppy/CD/DVD használathoz szükséges intézkedéseket.

72. A RESTREINT UE dedikált üzemmódban működtetett rendszerektől eltérő biztonsági szintű rendszerekkel floppy lemezen vagy bármilyen más eltávolítható adathordozón (akár új, akár formatált) történő adatfájl csere esetén a felhasználó az alábbi szabályokat köteles betartani: a) az adatfájl cserét nem lehet rutinszerűen alkalmazni, alapesetben minden adathordozót,

amelyet az ORFK-FADO rendszeren használnak, RESTREINT UE minősítési jelzéssel kell ellátni,

b) adatok (kizárólag dokumentum fájlok) egy alacsonyabb minősítési szintű rendszerből is importálhatók az ORFK-FADO rendszerére, amennyiben a felhasználó fizikai módszerrel garantálni tudja, hogy az adathordozó írásvédett marad (például: floppy


19


esetében mindkét nyílás nyitott) attól a pillanattól, hogy a meghajtóba helyezik, addig, amíg onnan véglegesen el nem távolítják; ezen túlmenően, a 9. pont e) alpontjában meghatározott vírus ellenőrző szoftverrel ellenőrizni kell, hogy az adathordozó (például a floppy lemez) vírusmentes, még mielőtt használatba vennék; az adathordozó megőrzi az eredeti minősítési szintjét, amennyiben a fenti eljárást követték, egyébként RESTREINT UE minősítésű lesz, és a helyi EU nyilvántartó/ellenőrző pont ellenőrzése alá kerül,

c) adatok (kizárólag dokumentum fájlok) exportálhatók az ORFK-FADO rendszeréről egy alacsonyabb biztonsági szintű rendszerre, amennyiben a dokumentum tartalma szerinti minősítési szint (a fejléc és lábléc alapján azonosíthatóan) azonos vagy alacsonyabb, mint a cél rendszer minősítési szintje; a dokumentum fájlt kizárólag a megfelelő szintre minősített és a minősítési szintnek megfelelően védett adathordozón tárolható (például RESTREINT UE); az exportálandó dokumentum fájlt a csatolt alkalmazásból (például Adobe® Reader®) kell megnyitni, és közvetlenül az adathordozóra kell elmenteni (például a „Fájl/Mentés másként…” opció használatával); szigorúan tilos a dokumentum exportálása bármely más másolási funkcióval, a Windows® Intézővel vagy bármely hasonló fájl menedzserrel, illetve bármely más rendszereszközzel; ezen túlmenően az adathordozóra semmilyen más fajta adat (például alkalmazás fájl) nem írható,

d) az a)-c) pontokban meghatározott eljárással minősített dokumentum és/vagy adathordozó cseréje más szervezettel csak az EU nyilvántartókon keresztül történhet,

e) adathordozók továbbításához olyan hivatalos szervek részére, amelyeket EU minősített információ fogadására nem akkreditáltak, az NBF engedélye szükséges.

73. Magasabb minősítési szintű adatok importálása más rendszerekből (például: EU CONFIDENTIAL) szigorúan tilos.

74. A Rendőrség szervezetén belül, de nem az ORFK-FADO rendszerén történő adatfeldolgozáshoz a feldolgozásra kijelölt gép kizárólag a feldolgozandó információ minősítésének megfelelő biztonsági feltételeket és környezetet garantáló, az NBF által engedélyezett munkaállomás lehet, amely:a) távfelügyelettel nem érhető el,b) más gépről a merevlemezhez nincs hozzáférés,c) nem csatlakozik más rendszerhez (pl. Internet),d) operációs rendszere megegyezik az ORFK-FADO rendszer operációs rendszerével, és

beállításaival, illetve garantálja a megfelelő biztonsági szintet,e) a rendszerbiztonsági felelős jelölte ki, valamint kidolgozta a használatra vonatkozó

biztonsági feltételeket.

Adathordozó és dokumentum minősítés jelölése

75. Valamennyi cserélhető adathordozót, beleértve a nyomtatott dokumentumokat is, RESTREINT UE minősítési jelöléssel kell ellátni (amíg másként nem határozzák meg), és a 2001/264/EK határozatban, valamint az EU Nyilvántartókra vonatkozó utasításokban meghatározottak szerint kell kezelni. Általános szabályként alkalmazandó, hogy valamennyi floppyt, kivehető merevlemezt, – beleértve a rendszer lemezeket is – RESTREINT UE szintre kell minősíteni, kivéve az adatfájl csere eljárásban meghatározottak szerint történt alacsonyabb szintre minősítést.


20


Nyomtatott dokumentumokra vonatkozó szabályok

76. Az ORFK-FADO rendszer DEDIKÁLT üzemmódjára tekintettel, valamennyi kinyomtatott minősített dokumentumot a rendszeren futtatható legmagasabb szintnek megfelelően kell kezelni, kivéve, ha az adat tulajdonosa megerősítette, hogy alacsonyabb szintre minősíthető (például jelzi, hogy „Ezen dokumentum kinyomtatás után EU LIMITÉ”, vagy „FADO COMMUNITY ONLY”, vagy a megfelelő minősítési szintet meghatározó fejléccel és lábléccel látta el).

77. A RESTREINT UE kinyomtatott dokumentumot a Rendőrség EU/NATO nyilvántartó alárendeltségében működő Ellenőrzési Pont ügykezelőjének kell a lehető legrövidebb időn belül hivatalosan nyilvántartásba vennie. Az ilyen kinyomtatott dokumentum birtokosa felelős ezért a nyilvántartásba vételért és köteles a nyilvántartó utasításait betartani.

Hulladékra vonatkozó előírások

78. Minden selejtet és hulladékot az ORFK-FADO rendszer minősítési szintjével azonos legmagasabb minősítési szintnek megfelelő módon kell kezelni és tárolni, hacsak a minősítő nem minősítette vissza.

79. Az üzemeltetés-biztonsági felelős köteles biztosítani, és rendszeres időközönként ellenőrizni, hogy minden hulladékot az előírások szerint kezeljenek.

Elszámolhatóság

80. Valamennyi RESTREINT UE anyagot (például valamennyi RESTREINT UE minősítéssel ellátott felhasználói floppyt, CD/DVD lemezt, merevlemezt és kinyomtatott dokumentumot) az ORFK-FADO rendszer helyiségében nyilvántartásba kell venni, és az időszakos ellenőrzések során ellenőrizni kell.

Visszaminősítés és megsemmisítés

81. A szükségtelen adathordozó visszaminősíthető és újra felhasználható, amennyiben az adathordozó teljes területét (boot, fat, adat szektorok) minimum 3-szor legalább kétféle alfanumerikus karakterrel felülírták, majd újra formattálták. Használhatatlan adathordozót elégetéssel, szétzúzással vagy savas maratással kell megsemmisíteni. Floppylemezek az adathordozó felület iratkezelési szabályok szerinti lezúzásával is megsemmisíthetők.

82. Amennyiben az adathordozót meg kell semmisíteni, a megsemmisítési eljárást a rendszerbiztonsági felelős határozza meg.

Hardver és szoftver biztonság

Általános meghatározás

83. Hardver és szoftver külön-külön és együttesen szerves részét képezi az ORFK-FADO rendszer biztonságának. Az ORFK-FADO rendszerelemek szigorú ellenőrzésének hiánya miatt a biztonsági eljárások veszélyeztetése nem megengedhető.


21


Hardver és szoftver konfiguráció

84. A ORFK-FADO rendszer hardver konfigurációján bármilyen változtatást vagy módosítást, a tényleges változtatást megelőzően a „Feljegyzés konfiguráció változásáról” nyomtatványon (13. számú melléklet), illetve a „Kérelem a telepítés/áthelyezés engedélyezésére” nyomtatványon (14. számú melléklet) kell jóváhagyatni.

85. Szoftvert az ORFK-FADO rendszerbe a rendszerbiztonsági felelős jóváhagyása nélkül telepíteni tilos. A szoftver konfiguráció ellenőrzése érdekében az ORFK-FADO rendszerre telepített valamennyi szoftvert egyedi verziószámmal és/vagy sorozatszámmal kell azonosítani és nyilvántartani.

Adatcsere eszközök

86. Az ORFK-FADO rendszer floppy és CD/DVD meghajtóinak alapesetben kikapcsolt állapotban kell lennie. Amikor a floppy/CD/DVD használatra már nincs szükség, a floppy/CD/DVD meghajtót újra ki kell kapcsolni. Adatcserére (floppy lemez kivételével) kizárólag olyan adathordozó alkalmazható, amelyet többszörösen írni, felülírni nem lehet (például nem alkalmazható CD-RW, DVD±RW, és USB háttértár).

87. Az ORFK-FADO rendszeren kizárólag a rendszerbiztonsági felelős, illetve az üzemeltetés-biztonsági felelős által vírusmentesség szempontjából ellenőrzött olyan kivehető adathordozó használata engedélyezett, amely megfelel a minősítési szintre meghatározott szabályoknak.

88. A 87. pontnak megfelelően a rendszerbiztonsági felelősnek:a) adatcsere céljára megfelelő számú eltávolítható adathordozót kell előkészítenie,b) az előkészített adathordozókat biztonságos helyen, a Rendőrség EU nyilvántartóban vagy

– amennyiben a biztonsági feltételek teljesültek – a rendszerbiztonsági felelős felügyelete alatt kell őriznie,

c) előkészített adathordozókat kizárólag az adatfájl csere pontban meghatározott feltételek mellett, nyilvántartás szerinti átadás-átvétellel lehet felhasználnia.

89. Nem ellenőrzött adathordozók felhasználása a biztonság súlyos megsértésének minősül, ami az ORFK-FADO rendszer használatbavételi és üzemeltetési engedélyének visszavonását eredményezheti.

Hozzáférés rendje

90. A felhasználó, miután a hozzáférési jogot megkapta, köteles aláírásával igazolni, hogy megismerte és megértette a Szabályzat előírásait (8. számú melléklet).

91. Az ORFK-FADO rendszerhez a hozzáférés ellenőrzés az egyedi felhasználó azonosító (felhasználó név) és jelszó használatával történik.

92. A bejelentkezés után a felhasználó köteles biztosítani, hogy a munkaállomás/terminál ne maradjon felügyelet nélkül, és nyitva vagy kijelentkezéséig más személy részére ne legyen hozzáférhető.


22


93. Azokat a felhasználói neveket, amelyeket 120 napnál hosszabb ideig nem használtak, törölni kell a rendszerből.

94. Azokat a felhasználókat, akiknek hozzáférési engedélyük bármilyen okból érvényét veszítette, azonnal törölni kell a rendszerből.

95. Az ideiglenes hozzáférési engedéllyel felvett felhasználókat az engedély határidejének lejártakor azonnal törölni kell.

Jelszóhasználat

96. Az üzemeltetés-biztonsági felelős állítja be a felhasználói jogokat, és egy belépő jelszót generál. Az ORFK-FADO rendszernek a felhasználó első bejelentkezésekor kérnie kell a felhasználót a jelszó cseréjére.

97. Az ORFK-FADO rendszer szintű felhasználói azonosítókat és jelszavakat a rendszerbiztonsági felelős köteles zárt borítékban az EU nyilvántartóban vagy a biztonsági megbízott által kijelölt helyen tárolni, és RESTREINT UE minősítésű dokumentumként kell kezelni.

98. A – 97. pont kivételével – felhasználói jelszavakat nem szabad felírni. Ha a felhasználó elfelejtette a jelszavát, az üzemeltetés-biztonsági felelős új belépési jelszót generál részére.

99. A felhasználó köteles gondoskodni arról, hogy az ORFK-FADO rendszerbe belépéskor senki ne láthassa a billentyűzetet, amikor a jelszavát beírja. A felhasználói név vagy jelszó bárkivel való megosztása tilos.

100. A jelszavakat cserélni kell:a) a jelszó kompromittálásának gyanúja esetén,b) az ORFK-FADO rendszer biztonságáért felelős személyek jelszavát tartalmazó zárt

borítékok felnyitása (pl. helyettesítés miatt, vagy vészhelyzeti esemény következtében) esetén,

c) időszakonként, de legalább minden harmadik hónapban.

Napi ellenőrzés

101. A rendszeres használat során a napi első felhasználó köteles szemrevételezni az ORFK-FADO rendszert annak érdekében, hogy megállapítsa, illegálisan nem módosították. Ez magába foglalja az ORFK-FADO rendszer valamennyi hardver elemét és kommunikációs csatlakozásait. Minden rendellenességet azonnal közölni kell az üzemeltetés-biztonsági felelőssel.

Nyomtató biztonság

102. Az ORFK-FADO rendszerhez kapcsolt nyomtató memória pufferrel rendelkezik, amelyet a nyomtató kikapcsolásával ki kell üríteni. A puffer memóriában maradt nyomtatási feladatok törlése érdekében a nyomtatónak munkaidőn kívül kikapcsolt állapotban kell lennie. A nyomtató más rendszerekkel nem osztható meg.

Adattárolás


23


103. Az ORFK-FADO rendszer kizárólag az Eredeti és Hamis Okmányok Online Rendszerrel kapcsolatos hivatalos tevékenység céljára használható. Tilos az ORFK-FADO rendszeren egyénileg generált vagy betöltött adatok bárminemű feldolgozása, tárolása, kezelése, megjelenítése és használata (például különböző videó, kép, grafika).

104. Valamennyi minősített adatot tartalmazó szoftvert és adathordozót – beleértve az új és még nem használt lemezeket – zárt tárolóban (a nyilvántartóban) kell biztonságba helyezni.

Szoftver ellenőrzés

105. Az ORFK-FADO rendszerre telepített minden szoftvert – függetlenül annak minősítési szintjétől – úgy kell ellenőrizni, hogy az adathordozókat az első használatkor a rendszeren feldolgozható legmagasabb minősítési szintnek megfelelően kell minősíteni, és a dokumentum nyilvántartási szabályok szerint kell nyilvántartásba venni és kezelni. Az operációs rendszer vagy más szoftver feltelepítése vagy frissítése előtt a szoftvert tartalmazó adathordozón – amennyiben az már nem rendelkezik az eredeti gyári védelemmel – különálló számítógépen vírusellenőrzést kell végezni.

106. A Brüsszeli FADO Központ hozzájárulása és a rendszerbiztonsági felelős kifejezett engedélye nélkül semmilyen szoftvert nem lehet az ORFK-FADO rendszerre telepíteni.

107. Az ORFK-FADO rendszeren engedély nélküli szoftvert tárolni, telepíteni vagy futtatni tilos.

108. A biztonsági felelősnek a szerveren használt valamennyi adathordozót azonosító számuk szerint negyedévente ellenőriznie kell.

Mesterpéldányok tárolása

109. Valamennyi program (operációs rendszer, programok, segédprogramok és szoftvercsomag) mesterpéldányát az üzemeltetés-biztonsági felelős felügyelete alatt vagy az EU/NATO nyilvántartóban kell tárolni.

A SINA BoxS titkosító eszköz kezelése

110. A SINA BoxS titkosító eszköz kezelésére jogosult:a) az informatikai és SINA BoxS üzemeltetés-biztonsági felelőse,b) amennyiben az informatikai és SINA BoxS üzemeltetés-biztonsági felelőse kioktatta az

eszköz kezeléséről:ba) a rendszerbiztonsági felelős,bb) az üzemeltetés-biztonsági felelős.

111. A SINA BoxS kezelési feladatai a be-, illetve kikapcsolás, újraindítás, kulcsolás, átállítás tartalék eszközre. Ezeken túl kizárólag az informatikai és SINA BoxS üzemeltetés-biztonsági felelőse jogosult eljárni.

112. Az eszköz működése folyamatos jelenlétet nem igényel.

113. Használatba vétel előtt, illetve munka megkezdésekor meg kell győződni az eszköz épségéről, a tapasztalt rendellenességről haladéktalanul értesíteni kell az informatikai SINA BoxS üzemeltetés-biztonsági felelősét, valamint a rendszerbiztonsági felelőst.


24


Karbantartás

Hardverkarbantartás

114. A hardver-karbantartási problémákat az üzemeltetés-biztonsági felelőssel kell közölni. Minden karbantartási tevékenységet a rendszerbiztonsági felelősnek vagy az üzemeltetés-biztonsági felelősnek kell jelenteni, és ezek engedélyével és felügyelete alatt lehet elvégezni. A rendszerbiztonsági-, üzemeltetés-biztonsági felelős a karbantartási munkák megkezdése előtt köteles meggyőződni arról, hogy: a) minden minősített kinyomtatott dokumentumot és adattárolót eltávolítottak a

rendszerből,b) a puffer memóriák törlése érdekében az ORFK-FADO rendszer hálózati csatlakozóit

kihúzták a fali csatlakozó aljzatokból.

115. A technikai személyzetet a karbantartás teljes időtartama alatt a rendszerbiztonsági felelős ellenőrzi annak érdekében, hogy ne legyen lehetőség illegális elemek beépítésére.

116. Hardver elemet a rendszerbiztonsági felelős engedélye nélkül kivenni tilos. Ez különösen fontos olyan elemek esetében, amelyek minősített információt tartalmazhatnak. Eltávolítás után az ilyen elemeket – az anyag mennyiségének és minősítésének megfelelően – ellenőrzés alatt kell tartani.

117. A rendszerbiztonsági felelős engedélye nélkül a technikai személyzet nem futtathat diagnosztikai programokat, szalagokat vagy lemezeket és nem viheti ki azokat a helyszínről.

Szoftverkarbantartás

118. Az ORFK-FADO rendszerének rendszer/alkalmazás szoftvereinek karbantartása, a kereskedelemben kapható alkalmazások szoftvereinek frissítése az üzemeltetés-biztonsági felelős feladata. Szoftverkarbantartást csak a biztonsági megbízott engedélyével, a rendszerbiztonsági felelős jelenlétében („kétemberes szabály”) lehet végrehajtani.

Karbantartás nyilvántartás

119. Minden karbantartást a rendszerbiztonsági felelősnek vagy az üzemeltetés-biztonsági felelősnek rögzítenie kell a „Karbantartás nyilvántartása” nyomtatványon (16. számú melléklet). Minden bejegyzésnek tartalmaznia kell a dátumot, a személyeket és a végzett tevékenységet, beleértve a telepített, kiszerelt, javított vagy eltávolított elem megnevezését és egyedi azonosító adatait.

Biztonsági ellenőrzés

Felhasználói felelősség

120. Az ORFK-FADO rendszer valamennyi felhasználója felelős a saját adatainak biztonságáért, és minden rendellenességet azonnal köteles jelenteni az üzemeltetés-biztonsági felelősnek.

Eseménynapló

121. Az ORFK-FADO rendszer eseménynaplót a rendszerbiztonsági felelősnek hetente kell ellenőriznie. Ezen túlmenően biztosítani kell, hogy igény szerint hivatalos helyszíni


25


ellenőrzést végezhessenek a biztonsági felügyeleti szervek (az NBF vagy az EU illetékes szervezetei).

Jelentési kötelezettség

122. Az eseménynapló ellenőrzése során feltárt minden rendellenességet vagy szabálytalan működést a biztonsági megbízottnak ki kell vizsgálnia, és jelentenie kell a rendszerbiztonsági felelősnek. Amennyiben az ORFK-FADO rendszer biztonsági dokumentumaiban meghatározott biztonsági követelmények megsértése történt, a rendszerbiztonsági felelősnek haladéktalanul kezdeményezni kell az utasítás szerinti ellenintézkedések végrehajtását.

Rekordok megőrzése

123. Az előző évek biztonsági ellenőrzéseinek jelentéseit korlátlan ideig meg kell őrizni. Az utolsó hat havi eseménynapló adatokat a rendszerben kell tárolni, és szükség szerint azonnal hozzáférhetővé kell tenni.

Biztonsági másolat, vészhelyzet és rendszerleállás

Biztonsági másolat

124. Az ORFK-FADO rendszeren tárolt EU információt tartalmazó fájlokról hetente biztonsági másolatot (back-up) kell készíteni. A biztonsági másolatok készítéséről nyilvántartást kell vezetni.

125. A nagyobb adatbiztonság érdekében a felhasználók az adataikat csak a rendszer merevlemezén tárolhatják. A mentett fájlokat az EU nyilvántartóban databoxban, illetve a megfelelő biztonsági feltételek megléte esetén, más helyszínen kell tárolni.

Vészhelyzet és helyreállítás

126. Az ORFK-FADO rendszerre a Rendőrség EU/NATO nyilvántartó vészhelyzeti evakuálási és megsemmisítési tervét kell alkalmazni. Ha lehetséges, a kivehető adathordozókat el kell távolítani a berendezésből, és a minősítési szintjüknek megfelelő őrzésükről kell gondoskodni. A berendezések hálózati csatlakozóját az elektromos hálózat fali csatlakozójából ki kell húzni.

127. Tűz esetén a helyi tűzvédelmi szabályokat kell alkalmazni. Ha lehetséges, a berendezéseket ki kell kapcsolni, és hálózati csatlakozókat az elektromos hálózat fali csatlakozójából ki kell húzni, a kivehető adathordozókat megfelelő tárolóba kell helyezni.

128. Az ORF-FADO rendszerét szünetmentes tápegységgel (UPS) kell védeni. Amennyiben a rendszer bármelyik eleme (például nyomtató) leáll, a felhasználónak meg kell várnia, amíg a karbantartás (üzemeltetés-biztonsági felelős) helyreállítja rendszert (ami nem haladhatja meg a 60 percet).

Vírusvédelem

Általános elvek


26


129. A kommunikációs vagy adatcsere igény potenciális lehetőséget ad bármilyen biztonságos környezetbe történő vírus behatolásra, ezért a 9. pont e) alpontjában meghatározott szoftvert kell beszerezni, valamint a teljes programot rendszeresen frissíteni, és alkalmazni kell minden esetben, amikor új operációs rendszert telepítenek vagy lemezes adatcsere történik. Minél nagyobb az ilyen természetű forgalom, annál nagyobb annak a veszélye, hogy vírus kerül az ORFK-FADO rendszerbe. A védelem megerősítésére fontos gyakorlati technikák: a) felhasználói tudatosság,b) vírusvédelmi szabályok,c) hozzáférés ellenőrzés.

Vírusvédelmi szabályok

130. A vírusfertőzés elleni tevékenység során rendszeresen ellenőrizni kell a vírusvédelmi szabályokat. A vírusfertőzések esélyének minimalizálása érdekében az ORFK-FADO rendszert korlátozott számú felhasználó használhatja, külső forrásból származó lemezek nem használhatóak. Ennek érdekében: a) nem használható Internet oldalakról letöltött szoftver,b) nem használható shareware/freeware program,c) ha további alkalmazásra van szükség, az ORFK-FADO rendszer üzemeltetés-biztonsági

felelős segítségét kell kérni.

131. A vírusfertőzés megelőzése érdekében csak a merevlemezről lehet az ORFK-FADO rendszert betölteni, és a további indítási lehetőségeket (floppy/CD/DVD meghajtó) a BIOS-ban le kell tiltani, valamint a BIOS jelszavas védelmi alkalmazását aktiválni kell. Ezt a helyi üzemeltetés-biztonsági felelős végzi el, amikor a munkaállomást üzembe helyezik. Tilos olyan szoftver tárolása, telepítése és futtatása, amelynek az alkalmazását nem engedélyezték.

132. Az ORFK-FADO rendszeren a 9. pont e) alpontjában meghatározott víruskereső programot kell telepíteni, és az üzemeltetés-biztonsági felelősnek kell biztosítani a folyamatos frissítését. A floppy és a CD/DVD lemezeket (adat lemezek) minden alkalommal ellenőrizni kell.

133. A vírusellenőrző program használatára vonatkozó rendelkezéseket az 1. számú melléklet tartalmazza. A 9. pont e) alpontjában meghatározott vírusellenőrző program naprakész és részletes felhasználói segédletét mindenkor a munkaállomások mellett kell tartani.

Vírus felfedezése és azt követő eljárások

134. A védelmi eszközök ellenőrzik a rendszert a rendszerindítási folyamat és a feldolgozás során. Ha vírust észlelnek, figyelmeztető jelzés jelenik meg, és leállítják a futó feldolgozási folyamatot. Ha ez történik, a felhasználónak úgy kell hagynia a rendszert, ahogy van, és hívnia kell az üzemeltetés-biztonsági felelőst.

135. Vírus esemény észlelésekor a rendszer- és üzemeltetés-biztonsági felelőst (távollétük esetén informatikai ügyeletest) kell értesíteni. Amennyiben a vírusellenőrzés során bármilyen vírust találnak, a „Jelentés Vírus Eseményről” formanyomtatványt (10. számú melléklet) kell kitölteni, és továbbítani kell az NBF-nek a további szükséges intézkedések megtétele érdekében.


27


Záró rendelkezés

136. Ez az intézkedés a közzétételét követő harmadik napon2 lép hatályba.

Dr. Bencze Józsefr. altábornagy sk.

2 Hatályba lépés napja: 2009. április 05.ORFK Tájékoztató (OT)2009/9. 2009. április 02.

28


1. számú melléklet az 1/2009. (OT 9.) ORFK intézkedéshez

Vírusvédelmi irányelvekAz ORFK-FADO rendszer vírusvédelmét a Symantec™ Antivirus Corporate Edition program végzi. A víruskereső és irtó program az ORFK-FADO munkacsoportba be van ágyazva.A szerveren található a vírusirtó Symantec™ Terméktámogatás előírásai szerint konfigurált Szerver (központi kiszolgáló) verziója, amellyel adminisztrálni lehet a munkacsoportban levő gépeken található vírusellenőrző programokat. A munkacsoport többi gépén a vírusellenőrző program kliens (felhasználói) verziója fut.

VírusellenőrzésA vírusfigyelés beállításai lehetővé teszik valamennyi file típusra kiterjedő állandó (real time) vizsgálatot. Ezen felül a program minden hét utolsó munkanapján egy teljes körű adminisztrátori vírusellenőrzést végez.A háttérben futó programot (RTS) a felhasználók gépein nem lehet deaktiválni, nem lehet az alapvető beállításait (állandó figyelés, összes fájltípus, stb.) módosítani, illetve törölni (uninstall), de lehet a felhasználói gépen önállóan is teljes körű vírusellenőrzést indítani.

A vírusellenőrző program frissítéseA lokális hálózat teljesen izolált a külvilágtól, ezért a frissítést (vírusadatbázis, program-kiegészítők) manuálisan, legalább hetente egy alkalommal kell elvégezni. A kliens programok minden egyes számítógép bekapcsoláskor automatikusan ellenőrzik a Szerveren található kiszolgáló vírusirtó verzióját és ha az frissebb, mint a sajátjuk, az esetben automatikusan és azonnal letöltik az új vírusinformációkat a szerverről.

Eljárás vírusfertőzés eseténA program alapértelmezett beállításai szerint a következőképpen jár el: tájékoztató üzenetet küld a támadásról, kísérletet tesz a fertőzött fájl átnevezésére, a fertőzött fájlt áthelyezi a karanténba. rákérdez a fájl törlésére.


29



Az ORFK-FADO rendszer helyi biztonsági személyeiFunkció Név Beosztás Elérhetőség Helyettesítő személy Beosztás Elérhetőség

biztonsági megbízott Bónácz Ibolya r. alezredesÜgykezelési-, Adat-és Titokvédelmi Osztály vezetője

[email protected]

rendszerbiztonsági felelős Tóth János ktv. EU – NATO nyilvántartó [email protected] Czibere József ka. EU – NATO

nyilvántartó[email protected]

üzemeltetés-biztonsági felelős Polt Balázs r. őrnagy kiemelt főreferens [email protected] Komár Béla r. hadnagy kiemelt

fő[email protected]

informatikai és SINA BoxS üzemeltetés-biztonsági felelős Sebestyén Péter ka. főelőadó [email protected]

30-946 Hapka Sándor r. alezredes kiemelt főreferens

[email protected]


30

mailto:[email protected]








Az ORFK-FADO rendszer telephely szerinti elhelyezkedése

Munkaállomások, nyomtatók és szerverek száma az ORFK-FADO rendszerbenOrszágos Rendőr-

főkapitányságMunkaállomás Szerver Nyomtató

szám jellemző szám jellemző szám jellemző4 db 1 db 1 db

A szerver helyeOrszágos Rendőr-főkapitányság

No. Objektum/épület Osztály Emelet Ajtó Zóna1. „A”. épület Dokumentációs Osztály III. 330 Admin

Aktív hálózati elem helyeOrszágos Rendőr-főkapitányság

No. Objektum/épület Osztály Emelet Ajtó Zóna1. ”A”. épület Dokumentációs Osztály III. 330 Admin

A munkaállomás helye Országos Rendőr-főkapitányság

No. Objektum/épület Osztály Emelet Ajtó Zóna1. „A” épület Dokumentációs Osztály III. 330 Admin2. „A” épület . Dokumentációs Osztály III. 330 Admin3. „A” épület Dokumentációs Osztály III. 330 Admin4. „A” épület Dokumentációs Osztály III. 330 Admin

NyomtatóOrszágos Rendőr-főkapitányság

No. Objektum/épület Osztály Emelet Ajtó Zóna1. „A” épület Dokumentációs Osztály III. 330 Admin


31



A SINA BoxS titkosító eszköz minősítési táblázata

Biztonsági Osztályok MegjegyzésConfidential

Restricted

Unclassified

1SINA BoxS

Smartcard/Token nélkül

X Az eszköz specifikus hozzáférést gátló burkolattal

2 SINA BoxScsatlakoztatottSmartcard/Token

–nel

X Egyéni hozzáférés

3 SINA BoxStartozékok és részegységek

X Egyéni hozzáférés

4

Felhasználói Smartcard/Token

X Egyéni hozzáférés/ szállítás és tárolás a PIN-kódoktól elkülönítve

5 Tartozék Smartcard/Token X Egyéni hozzáférés6 SINA S programok (CD-ROM-

on)X

7

PIN-kódok

X Egyéni hozzáférés/ szállítás és tárolás a Felhasználói Smartcard/Token-ektöl elkülönítve

8 Felhasználói kézikönyv X9 A SINA és összes tartozéka,

részegysége Smartcard/Token-ek szállítása

X Csak megbízható szállítóval


32



Az ORFK-FADO rendszer környezete, folyosói vázlatrajza.

Objektum „A” épület 3.emelet környezete.


33


Folyosó vázlatrajz:


34



Az ORFK-FADO rendszer összetételeAz 5 gép egy munkacsoportban van, neve: ORFK-FADO rendszer. Az ORFK-FADO rendszer teljesen izolált és független más hálózatoktól.Az ORFK-FADO rendszer szoftverkörnyezete:

Szerver

-Microsoft® Windows® 2000 Server (SP2)-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0

Munkaállomás 1

-Microsoft® Windows® XP Professional SP2-Microsoft® Excel (XP)-Adobe® Reader® 7.0 HUN-operációs rendszerbe épített zip tömörítő-Symantec™ Antivirus Corporate Edition 9.0

Munkaállomás 2


Munkaállomás 3


Munkaállomás 4



35


AZ ORFK- FADO RENDSZER HARDVERKÖRNYEZETE:

Munka-állomás neve Helye CPU

Memória

MbájtMonitor Billentyűzet HDD 1

HDD 2

„A”-meghajt

óNyomtató # Megjegyzés

Szerver 1 330. iroda

Intel Xeon3.2 Ghz

2 GBGABA 15”sn: CM1556CB41874

NEC TKB020sn: CCKB45002954

3 db Quantum 146 GB SCSI U320 10 K HS

1,44 FDD

HP Color Inkjet cp 1700sn: SG263411W9

sn: 803396020009

Munkaállomás 1

330. iroda

Intel P4 6303 GHz

1024 MB

FUS0548 B19-2sn: YEFP600447

Logitech Y-SU45sn: BTD35103982

Samsung HD120IJsn: S0AEJ1LY901364

1,44 FDD sn: 71652

Munkaállomás 2

330. iroda

Intel P4 6303 GHz

1024 MB

FUS0548 B19-2sn: YEFP600606

Logitech Y-SU45sn: BTD35103981

Samsung HD120IJsn: S0AEJ1LY901047

1,44 FDD sn: 71484

Munkaállomás 3

330.iroda

Intel P4A2 GHz

512 MB

SyncMaster 959 NFsn: AQ19H2RTB03880M

Mits. KFK-EA4XTsn: 87153

Seagate ST340810Asn: 5FBAW3KV

1,44 FDD

sn: 4573787007

Munkaállomás 4

330.iroda

Intel P4A2 GHz

512 MB

SyncMaster 959 NFsn: AQ19H2RTB03875Y

Mits. KFK-EA4XTsn: 87154

Seagate ST340810Asn: 5FBAWFZ6

1,44 FDD

sn: 4573787027




RENDSZER HOZZÁFÉRÉSI KÉRELEM

Rendszer hozzáférési kérelem

Kapja: Küldő: Rendszer: Dátum:

Intézkedés Teljes név Állam-polgárság

Besorolás Szervezeti egység/részleg azonosítója/megnevezése

Épület/iroda telefon Felvétel /Törlés dátum

Bizt szint

Jogos (AMT)

Különleges előírások vagy megjegyzések:rendszer- üzemeltetés-biztonsági felelős: Aláírás: Dátum:rendszerbiztonsági felelős: Aláírás: Dátum:biztonsági megbízott: Aláírás: Érkeztetés dátuma: Teljesítés dátuma:



Kitöltési útmutató az ORFK-FADO Rendszer Hozzáférési KérelemhezKapja: üzemeltetés-biztonsági felelős Küldő: Kérelmező szervezetRendszer: A rendszer neve, amelyhez a hozzáférést kérik (pl.: ORFK-FADO Rendszer ) Dátum: A kitöltés dátuma Intézkedés: Az alábbiak közül valamelyik lehet:

A új felhasználó felvételeC hozzáférési információ változásD hozzáférés törléseT hozzáférési jog más felhasználó részére átadása

Teljes név: A hozzáférést kérő személy teljes neve, (vezetéknév, első keresztnév, második keresztnév) Állampolgárság/Nemzetiség: A személy állampolgársága és nemzetisége Szervezet azonosítója: Az intézkedést kérő személy szervezeti egység megnevezéseSzervezet megnevezése: Szervezet/részleg hivatalos rövidítése Épület/iroda: Telefonszám: Belső telefonszám Felvétel/törlés dátuma: Az adott személy felvételének/törlésének kért dátuma Biztonsági Tanúsítvány: Az adott személy biztonsági tanúsítványának szintje (legalább azonos, vagy magasabb, mint a rendszer

minősítési szintje!) Jogosult (AMT - Automated Message Traffic): Szükség szerint egy vagy több jogosultságot lehet megjelölni (pl: R, RA, A):

R Receive Message Traffic (üzenetet fogadhat – kiegészíthető, milyen tárgyú üzeneteket fogadhat, a Biztonsági Tanúsítvány szintjével összhangban)

A Authorised Releaser (jogosult kibocsátó – minősített üzenetet készíthet és továbbíthat)Különleges előírások vagy megjegyzések: Itt kell megadni a különleges hozzáférési jogokat vagy egyéb megjegyzéseket (például új felhasználó,

új rendszerbiztonsági felelős, ideiglenes hozzáférési jogot kér a rendszer üzemeltetés-biztonsági funkcióihoz, stb.)

rendszerbiztonsági felelős: Igazolja valamennyi felhasználó hozzáférési jogának szükségességét. A tényleges végrehajtást megelőzően ellenőrzi, hogy a nyomtatványon szereplő adatokat helyesen adták meg és valamennyi szükséges rovatot kitöltötték.




NYILATKOZAT A SZABÁLYZAT MEGISMERÉSÉRŐL

Alulírott kijelentem, hogy teljes egészében elolvastam és megértettem az Üzemeltetés-biztonsági Szabályzatot. Az abban foglaltakat betartom és betartatom.

Felhasználói név:

Név/beosztás:

Iroda/tel. szám:

Biztonsági ellenőrzés érvényessége:

Dátum:

Felhasználó aláírása

Felhasználói fiók aktiválás dátuma:

Aláírás (rendszerbiztonsági felelős):

Kitöltés után a biztonsági megbízottnak továbbítandó.




JELENTÉS BIZTONSÁGI ESEMÉNYRŐL

Kapja: Nemzeti Biztonsági Felügyelet

Küldő: Név Beo. Egység Részleg Iroda Tel

Miért és hogyan következett be az esemény?

Milyen intézkedéseket tettek?

Kit értesítettek vagy vontak be?

Egyéb info:

Állomás azonosító száma:

Számítógép telepítési helye

Számítógép azonosító

rendszerbiztonsági felelős

Tel:

Hardver Info: Számítógép Monitor Billentyűzet Egér Printer EgyébGyártmány

Gyártási szám:




JELENTÉS VÍRUS ESEMÉNYRŐL3

Kapja: Nemzeti Biztonsági FelügyeletKüldő: Név Egység Részleg Iroda Telefon

Vírus Info: Vírus neve Vírus felfedezésének dátuma

Vírusfertőzés dátuma

Vírus működésbe lépésének dátuma

Fertőzött fájl/lemez száma

Intézkedések: Fertőzött adathordozót biztonságba helyezték?

Vírust eltávolították?

Felhasznált szoftver?

Ki végezte?

Miért és hogyan történt az esemény?

Honnan származik a vírus?

Egyéb Info:

Állomás azonosító száma:

Számítógép telepítési helye

Számítógép azonosító


Tel:

Hardver Info:

Számítógép Monitor Billentyűzet Egér Printer Egyéb

Gyártmány típus:Gyártási sz.:

3 A további intézkedések megtétele érdekében vegye fel a kapcsolatot az Üzemeltetés-biztonsági felelőssel!ORFK Tájékoztató (OT)2009/9. 2009. április 02.



REGISZTRÁCIÓS KÉRELEM(1. oldal)

Beérkezés dátuma:

ÁLTALÁNOS INFORMÁCIÓKÉpület Szoba Részleg biztonsági

felelős tel:

HARDVER LEÍRÁSProcesszor Gyártó Típus Sorozat sz.Monitor Gyártó Típus Sorozat sz.Billentyűzet Gyártó Típus Sorozat sz.Nyomtató Gyártó Típus Sorozat sz.BIZTONSÁGI ELEMEKRendszer típusa Központi egység Önálló Hálózati4

Üzemmód Dedikált Magas szintű Több szintűA feldolgozható információ legmagasabb minősítési szintje EU EU TS EU S EU C EU R EU U

NEMZETI SZT T B KT NMNYILATKOZAT: (A rendszer nyilvántartásba vétele után kitöltése kötelező amennyiben a rendszeren feldolgozni kívánt információ minősítési szintje RESTREINT UE vagy magasabb.) ”Kijelentem, tudatában vagyok annak, hogy a fentiekben részletezett rendszeren kizárólag és legfeljebb RESTREINT UE minősítési szintű információk feldolgozását engedélyezték mindaddig, amíg magasabb szintű információ feldolgozását a Biztonsági Akkreditáló Hatóság hivatalosan nem hagyta jóvá.”Aláírás TelNév Dátum

4 Hálózat esetén a hálózat valamennyi hardverelemét szerepeltetni kellORFK Tájékoztató (OT)2009/9. 2009. április 02.



HARDVER ELLENŐRZÉSE ÉS VIZSGÁLATA5

Munka-állomás

neve

Helye CPU Monitor Billentyűzet HDD 1HDD 2

„A”-meghajtó

Nyomtató Megjegyzés

Dátum: _____ ____ Aláírás:

5 A Rendszerbiztonsági Felelős kitöltés után a Biztonsági megbízottnak küldje megORFK Tájékoztató (OT)2009/9. 2009. április 02.

43



FELJEGYZÉS KONFIGURÁCIÓ VÁLTOZÁSÁRÓL

Beérkezés dátuma:

A HARDVER JELENLEGI TELEPÍTÉSI HELYEÉPÜLET SZOBA RÉSZLEG BIZTONSÁGI

FELELŐS TEL

HARDVER LEÍRÁSPROCESSZOR Gyártó Típus Sorozat sz.MONITOR Gyártó Típus Sorozat sz.BILLENTYŰZET Gyártó Típus Sorozat sz.NYOMTATÓ Gyártó Típus Sorozat sz.HARDVERTELEPÍTÉSI HELYSZÍN FELÜLVIZSGÁLATÉPÜLET SZOBA RÉSZLEG

KONFIGURÁCIÓ VÁLTOZÁS RÉSZLETES LEÍRÁSA

Aláírás: Tel:Név: Dátum:


44


KITÖLTÉSI ÚTMUTATÓ A KONFIGURÁCIÓ VÁLTOZÁSÁRÓL KÉSZÜLT FELJEGYZÉSHEZ

A konfiguráció minden változását, beleértve a rendszer telepítési helyszínének változását is a tényleges változtatást megelőzően a Nemzeti Biztonsági Akkreditáló Hatóságnak kell benyújtani. Figyelembe kell venni, hogy az EU minősített információk feldolgozására eredetileg engedélyezett rendszeren történő mindennemű engedély nélkül végzett változtatás az engedély azonnal érvényét veszti. A rendszer biztonságáért felelős valamennyi kijelölt személy egyénileg is felelős a megfelelő engedélyek megszerzéséért még a tervezett változtatások végrehajtása előtt.Minden érintett rendszerre ki kell tölteni a „Feljegyzés konfiguráció változásáról” formanyomtatványt. Például, a printer javasolt áthelyezéséhez két nyomtatvány szükséges: az egyik arra a rendszerre vonatkozik, ahonnan eltávolítják, a másik arra a rendszerre, amelyikhez hozzá kapcsolják.Hiányosan kitöltött, aláírás nélküli vagy nem jogosulatlanul kiállított „Feljegyzés konfiguráció változásáról” formanyomtatványt a Biztonsági Akkreditáló Hatóság nem fogad el és a beterjesztő szervezet vezetőjének visszaküldi.A „Feljegyzés konfiguráció változásáról” formanyomtatványt a konfiguráció változtatásra jogosult személynek kell kitöltenie. Figyelembe kell venni azonban, hogy a rendszer hiányosságainak vizsgálata a rendszer biztonsági felelős közreműködésével történik, ezért javasolt, hogy a tervezett változtatásokról a biztonsági felelőst is időben, még a formanyomtatvány kitöltése előtt, időben tájékoztassák.A rendszer biztonságáért felelős valamennyi kijelölt személy egyénileg is felelős azért, hogy a rendszer hardver elemeinek tényleges adatai azonosak legyenek a „Feljegyzés konfiguráció változásáról” nyomtatványban feltüntetett adatokkal. Bármilyen eltérést írásban kell megindokolni, amit a biztonsági felelősnek kell benyújtani.A rendszerből kivont vagy az adott részlegből fizikailag áthelyezett merevlemezeket is nyilván kell tartani. Azokat csak a minősítési szintjüknek megfelelően lehet megsemmisíteni vagy bármilyen módon áthelyezni. Azokat a merevlemezeket, amelyeket RESTREINT UE szintre minősítettek, minősített dokumentumként kell kezelni és kizárólag a vonatkozó szabályok szerint lehet megsemmisíteni. A kibocsátónak a„Feljegyzés konfiguráció változásáról” formanyomtatványhoz csatolnia kell a merevlemez „Kérelem telepítés/áthelyezés engedélyezésére” formanyomtatványát. Amennyiben szükséges, a merevlemez tényleges megsemmisítéséig a tárolás helyét pontosan meg kell jelölni a „Kérelem telepítés/áthelyezés engedélyezésére” formanyomtatványon. A megfelelő Megsemmisítési Tanúsítványt el kell készíteni.


45



KÉRELEM TELEPÍTÉS/ÁTHELYEZÉS ENGEDÉLYEZÉSÉRE6

1. ÁTHELYEZÉS RÉSZLETEZÉSEa. Áthelyezés típusa: : Ideiglenes/Véglegesb. Áthelyezés kért dátuma: : c. Visszahelyezés kért dátuma: : 2. JELENLEGI FELHASZNÁLÓ ADATAIa. Név: b. Mellék:c. Egység: d. Részleg:e. Épület: f. Szoba:g. Rendszer

típusa:h. Gyártási

sz.3. ÚJ FELHASZNÁLÓ ADATAIa. Név: b. Mellék:c. Egység: d. Részleg:e. Épület: f. Szoba:g. Javasolt használat: Hálózati / Önálló h. biztonsági felelős neve és melléke: ______________________________________(új

helyszín)j. Legmagasabb biztonsági szint: EU R / EU U k. Biztonsági ellenőrzést kértek: rendszerbiztonsági felelős aláírása/dátum

4. BIZTONSÁGI AKKREDITÁLÓ HATÓSÁG ENGEDÉLYEa. Név: b. Dátum :c. Aláírás:5. RENDSZER BIZTONSÁGI FELELŐS ENGEDÉLYEa. A szoftver engedélyezett: Hálózati rendszerre/Önálló rendszerre* b. Konfiguráció formanyomtatvány

sorszáma:c. Név: d. Dátum:e. Aláírás:6. ÜZEMELTETÉS-BIZTONSÁGI FELELŐS INTÉZKEDÉSEa. Kérelem beadás dátuma: Név :b. Áthelyezés dátuma: Név:

6 a 6. pont kitöltését követően a nyomtatványt a Rendszerbiztonsági Felelősnek kell visszaküldeni.ORFK Tájékoztató (OT)2009/9. 2009. április 02.

46



ENGEDÉLY HAJLÉKONY-LEMEZ MEGHAJTÓ HASZNÁLATÁHOZ

Kérelmező felhasználó:

Munkaállomás helye:

Indokolás:

Használat tervezett dátuma, időpontja:

Másolást végrehajtó személy:

Külső munkaállomás:

(Keltezés)

Felhasználó rendszerbiztonsági felelős

biztonsági megbízott döntése:

Engedélyező

Nyilvántartási szám:

KITÖLTÉSI ÚTMUTATÓ AZ „ENGEDÉLY HAJLÉKONY-LEMEZ MEGHAJTÓ HASZNÁLATÁHOZ” NYOMTATVÁNYHOZ

Kérelmező felhasználó: felhasználó neveMunkaállomás helye: objektum, épület, szobaszám megjelöléseIndoklás: a fájlok másolásának rövid indoklásaMásolás tervezett dátuma, időpontja:a) Másolást végrehajtó személy: neve, funkciója a rendszer vonatkozásában: b) A kérelmező felhasználó és a másolást végrehajtó személyek aláírása.Biztonsági megbízott döntése: engedélyezés, vagy nem engedélyezésKülső munkaállomás: ahol a kimásolt dokumentum feldolgozását végrehajtják Nyilvántartási szám: a másolt dokumentum nyilvántartási száma


47



KARBANTARTÁS NYILVÁNTARTÁSA(A munkaállomásnál kell tárolni)

Dátum Hiba leírás/karbantartás oka Végzett munka leírása




MEREVLEMEZ NYILVÁNTARTÓ ŰRLAPMerevlemez nyilvántartási száma:………………………………………………………………Tárolási hely: (objektum, épület, helység): ………………………………………………………..

Sorsz.Átvétel VisszaadásIdő Aláírás Idő Aláírás



KITÖLTÉSI ÚTMUTATÓ A „MEREVLEMEZ NYILVÁNTARTÓ ŰRLAP” NYOMTATVÁNYHOZ

Merevlemez nyilvántartási száma: a merevlemezen, illetve a kísérő lapon feltüntetett nyilvántartási számTárolási hely: (objektum, épület, helység): a merevlemez tárolására szolgáló páncélszekrény helységének meghatározása Sorszám: értelemszerűen, további lapok hozzáadása esetén folytatólagosanÁtvétel dátum idő: naptári nap, óra, perc feltüntetésévelÁtvevő: az átvevő neve olvashatóanAláírás: az átvevő aláírásaVisszaadás idő: óra, percAláírás: a visszavétel igazolása


50



KÍSÉRŐLAP MÁGNESES ADATHORDOZÓHOZNyilvántartási száma:……………………. Használatba véve:………….…………Típusa:…………………………………... Méret (kapacitás):……………….…….

Fsz.

Feladat/munkaszám

Adatállomány azonosítója, Felírás kelte

TárgyMinősítés érv. ideje

Felülírás, törlés végrehajtása (dátum, aláírás)

Nyomtatás

Pld. számLap szám

Átvétel (dátum, aláírás )


51

ORFK Tájékoztató (OT) 52 2009/9. 2009. április 02.


HIBÁS BEJELENTKEZÉS NYILVÁNTARTÁSAMunkaállomás megnevezése: ………………………………………………………………………Hely: (objektum, épület, helység): ………………………………………………………………….

Fsz. Dátum, idő Felh. név Hibás bejelentkezés oka Aláírás



KITÖLTÉSI ÚTMUTATÓ A „HIBÁS BEJELENTKEZÉS NYILVÁNTARTÁSA” NYOMTATVÁNYHOZ

Munkaállomás megnevezése: a munkaállomás azonosító neve:Hely: (objektum, épület, helység): Folyószám: folytatólagosan, emelkedő sorrendbenDátum idő: a sikertelen bejelentkezés és a bejegyzés készítésének pontos ideje percnyi pontossággal!Felhasználói név: a sikertelen bejelentkezést végrehajtó felhasználói neve, amelyet a bejelentkezéskor használHibás bejelentkezés oka: a jogosulatlan bejelentkezési kísérlet oka (pl. a jelszó elgépelése, elfelejtése)Aláírás: a bejegyzést készítő aláírásaMegjegyzés: a rendszerbiztonsági felelős az előírt Esemény Napló (Audit Trail) ellenőrzése során kötelesek ezt a nyilvántartást is ellenőrizni és a bejegyzéseket egyeztetni.




Az ORFK-FADO rendszer megnevezése

A rendszer teljes neve: Országos Rendőr-főkapitányság Eredeti és Hamis Okmányok Online Rendszere (False and Authentic Documents Online /FADO/). A rendszer rövid neve: ORFK-FADO.




Az ORFK-FADO Rendszer biztonság-felügyeleti struktúrája.


Nemzeti BiztonságiAkkreditáló

Hatóság

biztonsági megbízott

üzemeltetés-biztonsági Felelős

felhasználó

EU Információ Biztonsági Hivatal

INFOSEC


HelyszíniRendszerbiztonsági

felelősök

EU biztonsági / felügyeleti

szervezetek

informatikai és SINA BoxS

üzemeltetés-biztonsági felelős

SHAPE rendszer biztonsági felelős

NACOSA

Nemzetibiztonsági szervezetek



Kapcsolódó dokumentumok jegyzéke

1. Az ORFK-FADO rendszer Nemzeti Biztonsági Felügyelet által kiadott használatbavételi engedélye2. Az Európai Unió Tanácsának 2001/264/EK határozata a Tanács Biztonsági Szabályzatának elfogadásáról3. Az Európai Unió Tanácsának 2004/194/EK határozata a 2001/264/EK tanácsi határozat módosítására4. Az Európai Unió Tanácsa Információ Biztonsági Hivatala (INFOSEC) által kiadott útmutató a Windows 2000/XP operációs rendszerek biztonsági beállításához (ISP 418 – RESTREINT UE)5. Az Európai Unió Tanácsa Főtitkárságának Minősített Kommunikációs és Információs Rendszerek (Sensitive CIS) Koordinátora által kiadott Akkreditációs Segédlet a Minősített Dokumentumok Minősített Kommunikációs és Információs Rendszeren történő kezelésére (1.0 Változat – 2004. június)6. Az Európai Unió Tanácsa Főtitkárságának Minősített Kommunikációs és Információs Rendszerek (Sensitive CIS) Koordinátora által kiadott Akkreditációs segédlet a Minősített Kommunikációs és Információs Rendszer kialakítását végző csoport részére 7. Az Európai Unió Tanácsának útmutatója az Információs Rendszerek Gyakorlati Biztonságának Kialakítására (ISP 401 – 6.2 Változat/2002. június)8. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a Minősített Elektronikus Információk Visszavonására (ISP 420 – 1.2 Változat/2004. február)9. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a FADO Elérési Pont Általános Rendszerbiztonsági Szabályzatára (ISP 424 – 1.2 Változat/2005. március10. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a FADO Rendszer Rendszerspecifikus Biztonsági Szabályzatára (ISP 417 – 1.1 Változat/2003. szeptember)11. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának (INFOSEC) útmutatója a FADO Rendszer Üzemeltetés-biztonsági Szabályzatára (ISP 432 – 1.3 Változat/2005. március „FADO COMMUNITY ONLY”)12. AC/35-D/2004. Az Európai Unió Tanácsa Információ Biztonsági Hivatalának megalakítására13. AC/35-D/2005 INFOSEC Management Directive
