A múlt csütörtökön kiadott Hivatalos Értesítőben olvasható, hogy információbiztonsággal kapcsolatos kódexet adott ki a Belügyminisztérium, mely kódex az alkalmazottak biztonságtudatos viselkedésére koncentrál, azzal kapcsolatban ír elő szabályokat – hívta fel a figyelmet Gyömbér Béla IT-szakjogász a joggalappal.hu című blogjában.
A miniszteri utasítás bevezetőjében szerepel, hogy „Az elektronikus információbiztonsággal összefüggő biztonságtudatos viselkedési kódex” című dokumentummal kapcsolatban a belügyi szervek vezetőinek kötelessége, hogy a foglalkoztatottak megismerjék a kódexet, alkalmazzák az előírt eljárásrendeket, a törvényeket betartva kerüljék „az érzékeny, vagy a munkahelyre hátrányos információk megosztását” (a belügyi szerv köteles továbbá meghatározni a belügyi szervről közzétehető információk körét), illetve a szokatlan, nem üzemszerű működéseket jelentsék.
Emellett a belügyi szervnél foglalkoztatottaknak legalább évente, dokumentáltan részt kell venniük elektronikus információbiztonsági tudatosító képzéseken, amelyek kidolgozásába a BM Rendészeti Vezetőkiválasztási, Vezetőképzési és Továbbképzési Főosztályát, a Nemzeti Közszolgálati Egyetemet, valamint a Nemzetbiztonsági Szakszolgálatot kell bevonni.
Általános szabály, hogy a kódexben megfogalmazott viselkedési szabályoknál szigorúbb részletszabályok bevezetése a belügyi szervek hatáskörébe tartozik majd.
Részletes szabályok
A kódex előírásai döntő részben jól ismert információbiztonsági evidenciák, egybefoglalásuk célja feltehetően a hiány pótlása, illetve az egységesítés lehetett.
Az Értesítő szövegében részletesen el lehet olvasni a rendelkezéseket, itt csak néhány példát emelünk ki a kategóriákba sorolt szabályokból:
- a belügyi szerv köteles olyan Informatikai Biztonsági Szabályzatot alkotni, amely alkalmas arra, hogy az informatikai hálózat tekintetében a használhatóság és a biztonság szempontjait is érvényesítve – a vonatkozó jogszabályokkal harmonizálva – megfelelő normatív hátteret nyújtsanak a foglalkoztatottak részére.
- a belügyi szervnél kötelező az (erős) felhasználói jelszavak meghatározott időközönkénti megváltoztatásának kikényszerítése
- a gyanús leveleket jelenteni kell
- a hozzáférések szigorú korlátozása
- tilos a munkáltató által biztosított eszközzel ismeretlen vagy nyílt Wi-Fi hálózatra csatlakozni
- magán mobileszköz használata csak engedéllyel lehetséges
- tilos megnyitni gyanúsnak tűnő hivatkozásokat és fájlokat
- tilos ismeretlen, gyanús alkalmazásokra vagy felugró ablakokra kattintani
- a foglalkoztatottak nem használhatják magáncélra a belügyi szerv által biztosított informatikai eszközöket
- a belügyi szerv köteles az informatikai rendszereik hardveres és szoftveres frissítéséről gondoskodni
- tilos hozzáférést adni a belügyi szervi adatokhoz a foglalkoztatottak családtagjai számára, az otthoni munkavégzéshez biztosított eszközöket a munkavégzés szüneteltetésekor jelszóval védetten kell zárolni
- a belügyi szerv által biztosított eszközökre nem tölthetők le és nem telepíthetők a munkafeladattal össze nem függő tartalmak, alkalmazások