Biztonsági vezetők figyelmébe


A biztonsági vezető kinevezése

A biztonsági vezető kinevezésével kapcsolatban a Nemzeti Biztonsági Felügyelet egyetértési jogot gyakorol. Az egyetértés megszerzését a Nemzeti Biztonsági Felügyelet részére írt átiratban lehet kezdeményezni.

A biztonsági vezető foglalkoztatásának feltételeit a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III.26.) Korm. rendelet (a továbbiakban: R.) 5.§-a tartalmazza. Felhívjuk a figyelmet arra, hogy a biztonsági vezetői feladatok ellátására kijelölt személynek érvényes nemzetbiztonsági ellenőrzéssel kell rendelkeznie, amennyiben az érintett szervezet „Bizalmas!” vagy annál magasabb minősítési szintű adatok kezelését végzi vagy ilyen adatok kezelését tervezi. Ennek hiányában az egyetértést a Nemzeti Biztonsági Felügyelet elnöke megtagadja.
A minősített adat védelméről szóló 2009. évi CLV. törvény (a továbbiakban: Mavtv.) 23. § (2) bekezdése alapján a minősített adatot kezelő szervnél, ha a minősített adatok mennyisége indokolja, helyettes biztonsági vezető foglalkoztatható, aki a biztonsági vezető tartós távolléte vagy akadályoztatása esetén, a minősített adatot kezelő szerv vezetőjének jóváhagyásával gyakorolja a biztonsági vezető minősített adat védelmére vonatkozó jogosítványait. A helyettes biztonsági vezető jogai és kötelezettségei tekintetében a biztonsági vezetőre vonatkozó rendelkezéseket kell alkalmazni. A helyettes biztonsági vezető kinevezésével kapcsolatban azonban a Nemzeti Biztonsági Felügyelet nem gyakorol egyetértési jogot, kinevezését követően csak nevét és elérhetőségét (telefon, fax, e-mail) kérjük bejelenteni.

A helyi biztonsági felügyelet / biztonsági vezető feladatai

A minősített adat védelméről szóló 2009. évi CLV. törvény (Mavtv.), továbbá a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Korm. rendelet (R.), továbbá a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet (a továbbiakban: Elektronikus r.) alapján.

A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2) bek.)

A biztonsági vezető a minősített adatot kezelő szerv vezetőjének átruházott hatáskörében eljárva utasítási joggal gyakorolja az őt erre a feladatra kinevező vezető minősített adat védelmére vonatkozó jogosítványait. (R. 6.§ (1) bek.)

A Mavtv., továbbá az R. valamint a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet (a továbbiakban: Elektronikus r.) alapján.
A helyi biztonsági felügyelet / biztonsági vezető feladata a minősített adatok védelmével kapcsolatos feladatok végrehajtása és koordinálása. (Mavtv. 23.§ (2) bek.)
A biztonsági vezető a minősített adatot kezelő szerv vezetőjének átruházott hatáskörében eljárva utasítási joggal gyakorolja az őt erre a feladatra kinevező vezető minősített adat védelmére vonatkozó jogosítványait. (R. 6.§ (1) bek.)
Ennek keretében a minősített adatok védelmével kapcsolatos szabályozási, ellenőrzési, illetve a személyi, a fizikai, az adminisztratív és az elektronikus biztonság körébe tartozó feladatai, valamint teendői a minősített adat biztonságának megsértése esetén a következők:

1. Szabályozási feladatok:

Előkészíti a biztonsági szabályzatot, majd annak kiadmányozását követően gondoskodik a biztonsági szabályzat naprakész állapotban tartásáról és betartatásáról. (R. 58.§ (2) bek.)

Intézkedik arról, hogy a reagáló erő számára a biztonsági területtel és az adminisztratív zónával kapcsolatos feladatok írásban meghatározásra kerüljenek. (R.28.§ (1) bek.)

2. Ellenőrzési feladatok:

Intézkedik a minősített adat védelmére vonatkozó személyi, fizikai, adminisztratív biztonsági rendelkezések megtartásának minden év február 28-ig, jegyzőkönyv felvétele mellett történő ellenőrzéséről és az előző évben a minősített adatot kezelő szervhez érkezett vagy ott készített minősített adatok iratforgalmi statisztikájának minősítési szintenkénti bontásban történő elkészítéséről. Az ellenőrzés kiterjed a minősített adatot kezelő szervnél kezelt minősített adatok felhasználására és tárolására. (R. 6.§ (2) bek.)

Minden év március 5-ig intézkedik a NATO és EU minősített adatok tekintetében lefolytatott éves ellenőrzés eredményének és a minősített adatot kezelő szervhez érkezett vagy ott készített NATO és EU minősített adatok iratforgalmi statisztikájának minősítési szintenkénti bontásban a NATO Központi Nyilvántartó, valamint az EU Központi Nyilvántartó részére történő megküldéséről. (R. 6.§ (3) bek.)

A biztonsági vezetőnek minden évben legkésőbb március 31-ig intézkednie kell a nemzeti minősített adatok tekintetében lefolytatott éves ellenőrzés eredményének és az előző évben a minősített adatot kezelő szervhez érkezett vagy ott készített nemzeti minősített adatok iratforgalmi statisztikájának minősítési szintenkénti bontásban a Nemzeti Biztonsági Felügyeletre történő megküldéséről. (R. 6.§ (4) bek.) Az ellenőrzés eredményéről készített tájékoztatás teljesíthető az ellenőrzésről készített, a honlapon szereplő minta Jegyzőkönyv kitöltésével és megküldésével.

3. A személyi biztonság körébe tartozó feladatok:

Csak az állami szerv biztonsági vezetőjének hatásköre:

A minősített adatot kezelő állami szerv biztonsági vezetője a nemzeti minősített adatot felhasználó, valamint ilyen adatot felhasználó közreműködő részére egy példányban kiadja a nemzeti minősített adatra érvényes személyi biztonsági tanúsítványt. (R.10.§ (1) bek.)

A szükséges biztonsági feltételek hiánya vagy megszűnése esetén a nemzeti minősített adatra érvényes személyi biztonsági tanúsítványt visszavonja (Mavtv. 17.§ (2) b) pontja), majd a visszavonást követően intézkedik a személyi biztonsági tanúsítvány selejtezéséről. (R. 10.§ (5) bek.)

Kezdeményezi a Nemzeti Biztonsági Felügyeletnél a külföldi minősített adatra érvényes személyi biztonsági tanúsítvány kiadását a NATO és az EU minősített adatokhoz hozzáférő felhasználók és közreműködők részére. (R. 11.§ (1) bek.). A kezdeményezés úgy történik, hogy a Nemzeti Biztonsági Felügyelet honlapján közzétett adatlapot, annak kitöltése után a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott hozzájárulás vagy szakvélemény másolatával együtt megküldi a Nemzeti Biztonsági Felügyelet részére. (R. 11.§ (5) bek.)

A Nemzeti Biztonsági Felügyeletet írásban értesíti, ha az érintett személy tekintetében a szükséges biztonsági feltételek nem állnak fenn és ezt követően intézkedik a külföldi minősített adatra érvényes személyi biztonsági tanúsítvány selejtezéséről. (R. 12.§ (3) bek.)

Csak a gazdálkodó szervezet biztonsági vezetőjének hatásköre:

A minősített adatot kezelő gazdálkodó szervezet biztonsági vezetője a nemzeti és a külföldi minősített adathoz hozzáférő felhasználók részére kezdeményezi a Nemzeti Biztonsági Felügyeletnél a nemzeti és a külföldi minősített adatra érvényes személyi biztonsági tanúsítvány kiadását. (R. 11.§ (3) bek.) A kezdeményezés úgy történik, hogy a Nemzeti Biztonsági Felügyelet honlapján közzétett adatlapot, annak kitöltése után megküldi a Nemzeti Biztonsági Felügyelet részére.

A Nemzeti Biztonsági Felügyeletet írásban értesíti, ha az érintett személy tekintetében a szükséges biztonsági feltételek nem állnak fenn és ezt követően intézkedik a nemzeti és a külföldi minősített adatra érvényes személyi biztonsági tanúsítvány selejtezéséről. (R. 12.§ (3) bek.)

A telephely biztonsági tanúsítvánnyal rendelkező gazdálkodó szervezet biztonsági vezetője minden év június 30-ig az ismételten kitöltött Cég-adatlapot az előző év mérlegével és eredmény-kimutatásával eljuttatja a Nemzeti Biztonsági Felügyeletre.

Mind az állami szerv, mind a gazdálkodó szervezet biztonsági vezetőjének hatásköre:

Intézkedik a személyi biztonsági tanúsítványok kezeléséről és tárolásáról. (R.10.§ (3) bek., 12.§ (2) bek.)

Gondoskodik arról, hogy a titkos ügykezelő naprakész és pontos információval rendelkezzen a minősített adatot kezelő szervnél minősített adat felhasználására jogosult személyekről. (R. 10.§ (6) bek.)

Mindazon rendezvény esetében, ahol NATO, illetőleg EU minősített adatok válnak hozzáférhetővé és ezt a rendezvényre vonatkozó előírások megkövetelik, a rendezvényen résztvevőnek a Nemzeti Biztonsági Felügyeletnél nyilvántartásba vett személyi biztonsági tanúsítványáról egy példányban - nemzetközi rendezvény esetén angol nyelvű - igazolás kiadását kezdeményezi a Nemzeti Biztonsági Felügyeletnél. (R. 13.§ (1) bek.)

A biztonsági vezető felelőssége, hogy az a felhasználó, akinek a feladata ellátásához ez szükséges, felhasználói engedéllyel és általa aláírt titoktartási nyilatkozattal rendelkezzen, kivéve, ha a Mavtv. szerint ilyen engedélyre és nyilatkozatra nincs szükség. (R. 14.§ (1) bek.)

Intézkedik a felhasználói engedély és a titoktartási nyilatkozat kezeléséről, valamint tárolásáról. (R. 14.§ (3) bek.)

A biztonsági vezető felelőssége, hogy a minősített adatot kezelő szervnél tárolt felhasználói engedély és titoktartási nyilatkozat a felhasználói engedély visszavonását követően a visszaélés minősített adattal bűncselekményre a büntető törvénykönyvben meghatározott büntetési tétel felső határának megfelelő ideig (8 év) fellelhető legyen. Ezt követően intézkedik ezen okmányok selejtezési jegyzőkönyv felvétele mellett történő megsemmisítéséről. (R. 14.§ (4) bek.)

Gondoskodik arról, hogy a titkos ügykezelői munkakörben foglalkoztatott személyek a kinevezésük előtt a minősített adat védelméről szóló törvény és az R. ismeretéből, gyakorlati alkalmazásából oktatásban részesüljenek és vizsgát tegyenek. (R. 7.§ (1) bek.)

Amennyiben a minősített adatot kezelő szerv vezetőjének döntése alapján a biztonsági vezető a minősített adatot kezelő szervnél foglalkoztatott titkos ügykezelők elméleti és gyakorlati oktatása, vizsgáztatása céljából tananyagot és vizsgakövetelményeket készít, akkor azokat előzetes jóváhagyás céljából megküldi a Nemzeti Biztonsági Felügyelet részére. A titkos ügykezelők részére szervezett vizsga tervezett időpontjáról a Nemzeti Biztonsági Felügyelet elnökét előzetesen írásban tájékoztatja. (R. 7.§ (2), (3) bek.)

4. A fizikai biztonság körébe tartozó feladatok:

Intézkedik a biztonsági területre telepített biztonságtechnikai eszközöknek és rendszereknek a gyártó előírása szerinti gyakorisággal, de legalább évente egy alkalommal történő karbantartásáról. (R. 32.§)

Minősített adat felhasználásával tartandó rendezvény előkészítésekor a lebonyolításért felelős biztonsági vezető biztosítási tervet készít. (R. 59.§ (1) bek.)

A biztonsági vezető gondoskodik arról, hogy azok a biztonsági területek, ahol „Titkos!” vagy ennél magasabb minősítési szintű minősített adatokról rendszeresen tárgyalnak, lehallgatás mentesek legyenek. (R. 59. § (2) bek.)

Engedélyezheti a személyi biztonsági tanúsítvánnyal rendelkező látogatók azonosító kártya viselése melletti önálló, kíséret nélkül mozgását a biztonsági területen, amennyiben a biztonsági területre érkező látogató biztonsági vezetője írásban igazolja, hogy a látogató személyi biztonsági tanúsítvánnyal rendelkezik. (R. 26.§ (6) bek.)

A biztonsági vezető vagy az általa írásban kijelölt személy őrzi – lezárt és lepecsételt borítékban – a biztonsági tárolók és a biztonsági terület tartalékkulcsait és számkombinációit, valamint a biztonsági vezetői kódot:

a) olyan – legalább a védendő minősített adat minősítési szintjének megfelelő – biztonsági területen, amely nem azonos a tartalékkulccsal és kóddal érintett biztonsági területtel vagy

b) zárható helyiségben található, a 24. § (1) bekezdés a) pontjában előírt 4. kategóriájú biztonsági tárolóban vagy

c) az e rendelet 28. § (4) bekezdésben előírtaknak megfelelő, legalább 3. kategóriájú reagáló erőnél vagy

d) zárható helyiségben található, legalább 3. kategóriájú elektronikai jelzőrendszerrel védett helyszínen elhelyezett 1. kategóriájú tárolóban. (R. 33.§ (2) bek.)

A biztonsági vezető vagy az általa írásban kijelölt személy kezeli a számkombinációk és kódok megváltoztatásának tényét és időpontját rögzítő nyilvántartást. (R. 33.§ (6) bek.)

Őrzés céljából a biztonsági vezetőnek vagy az általa írásban kijelölt személynek a biztonsági terület tartalékkulcsainak, számkombinációinak és a biztonsági vezetői kódnak az átadása és visszavétele dokumentált módon, az erre a célra megnyitott nyilvántartásban történik. (R. 33.§ (7) bek.)

5. Az adminisztratív biztonság körébe tartozó feladatok:

A szakmai alárendeltségébe tartozó Nyilvántartó(k) és Kezelő pont(ok) szakmai felügyelete. (R. 36.§ (1) bek.)

A más szervtől kapott, valamint a saját készítésű minősített adatot tartalmazó adathordozó, ügyviteli érdeket nem képviselő többes példánysorszámú példányai megsemmisítésének előzetes jóváhagyása, amennyiben erre a minősített adatot kezelő szerv vezetője felhatalmazta. (R. 56.§ (2) bek.)

6. Az elektronikus biztonság körébe tartozó feladatok:

Kezdeményezi az elektronikus biztonsághoz és a rejtjeltevékenységhez előírt engedélyek beszerzését és gondoskodik azok nyilvántartásáról. (Elektronikus r. 8.§ a) pontja)

Irányítja a rendszerbiztonsági felügyelő vagy a rendszerbiztonsági felügyelet és a rendszeradminisztrátor tevékenységét, valamint ellenőrzi az elektronikus biztonsági előírások betartását. (Elektronikus r. 8.§ b) pontja)

Gondoskodik a rendszerbiztonsági dokumentumok elkészítéséről. (Elektronikus r. 8.§ c) pontja)

Minden év február 28-áig tájékoztatja a Nemzeti Biztonsági Felügyeletet a szervezet rejtjeltevékenységéről, a Nemzeti Biztonsági Felügyelet által megadott szempontok alapján. (Elektronikus r. 8.§ d) pontja)

Irányítja a rejtjelfelügyelő vagy a rejtjelfelügyelet tevékenységét. (Elektronikus r. 8.§ e) pontja)

Gondoskodik arról, hogy a rejtjeltevékenységgel kapcsolatos, védelem alá eső információkat csak azok a személyek ismerhessék meg, akiknek a munkájához az feltétlenül szükséges, és arra a megfelelő engedélyekkel rendelkeznek. (Elektronikus r. 8.§ f) pontja)

Folyamatos kapcsolatot tart a Nemzeti Hálózatbiztonsági Központ jogutódjával a Kormányzati Eseménykezelő Központtal a használt rendszerek hálózati biztonsága vonatkozásában. (Elektronikus r. 8.§ g) pontja)

Kivizsgálja a rendszerbiztonsági eseményeket. (Elektronikus r. 8.§ h) pontja)

7. Feladatok a minősített adat biztonságának megsértése esetén:

A minősített adat biztonságának megsértése esetén intézkedik a minősített adat biztonságának megsértése kapcsán felmerülő kár felméréséről és enyhítéséről, valamint - ha ez lehetséges - a jogszerű állapot helyreállításáról. (R. 60.§ (1) bek.)