Archiválással kapcsolatos kérdések

 Mely adatokra terjed ki az adattrezor-archiválási kötelezettség?

Az adattrezor-archiválási kötelezettség az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (E-ügyintézési tv.) 25. § (4a) bekezdése szerinti, az elektronikus ügyintézést biztosító szervnek az ügyek intézésével kapcsolatos, elektronikus információs rendszereiben és nyilvántartásaiban tárolt nem minősített adatai biztonsági mentését jelenti. Ügyek alatt az E-ügyintézési tv. 2. § (1) bekezdésben meghatározottakat kell érteni.

Mely szerveket terheli az adattrezor-archiválási kötelezettség?

Az adattrezor-archiválási kötelezettség az e-ügyintézést biztosító szervet, továbbá a központi elektronikus ügyintézési szolgáltatást, valamint szabályozott elektronikus ügyintézési szolgáltatást nyújtó szervet (a továbbiakban együtt: adatkezelő) terheli az általa saját szoftverkörnyezetben kezelt adatok tekintetében.

Adatfeldolgozó igénybevétele esetén ki az adattrezor-archiválással összefüggő feladatok kötelezettje?

Ha az adatkezelő szerződés alapján adatfeldolgozót vesz igénybe, az adatfeldolgozással érintett adatok tekintetében az adattrezor-archiválást és az ahhoz kapcsolódó, az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról szóló 466/2017. (XII. 28.) Korm. rendeletben (a továbbiakban: 466/2017. (XII. 28.) Korm. rendelet) meghatározott feladatokat az adatkezelő – a közte, és az adatfeldolgozó között létrejött szerződés alapján – az adatfeldolgozó útján látja el.

Milyen formátumban kell az adattrezor-archiválást elvégezni?

Az adattrezor-archiválást olyan formátumban kell elvégezni, hogy abból értelmezhető adatot csak az adatkezelő, és csak az archiválás visszaállítását követően tudjon előállítani. Amennyiben az archiváló szoftver rendelkezik titkosítási lehetőséggel, akkor azt be kell kapcsolni, ellenkező esetben a mentett állományokat, vagy az adathordozót titkosítani kell valamilyen - lehetőleg ingyenes - titkosítási eljárással (pl. 7zip).

A biztonsági mentés kiváltható-e az adattrezor-archiválási kötelezettséggel?

Az elektronikus információbiztonságra vonatkozó szabályokból következő biztonsági mentési kötelezettség nem váltható ki az adattrezor-archiválási kötelezettséggel.

Az adattrezor-archiváláshoz szükséges titkosítás mit jelent, mikortól kell alkalmazni?

A titkosítás azt jelenti, hogy az adattrezor-archiválást olyan formátumban kell elvégezni, hogy abból értelmezhető adatot csak az adatkezelő, és csak az archiválás visszaállítását követően tudjon előállítani. Titkosítást az archiválás megkezdésétől minden esetben alkalmazni kell. A titkosító kulcs Információs Hivatal által történő előállításáig az adatkezelő választja meg a titkosítás módját annak figyelembevételével, hogy az adattrezor-archiválást az adatkezelőnek úgy kell elvégeznie, hogy abból az adatkezelőnél működtetett elektronikus információs rendszerek külön-külön is visszaállíthatóak legyenek. 

A későbbiekben az adattrezor-archiváláshoz szükséges titkosító kulcsot az Információs Hivatal állítja elő két példányban, és egy példányt eljuttat az adatkezelőhöz.

 Az Információs Hivatal valamennyi adatkezelő szervet saját, egyéni kulccsal látja majd el. A kulcs nem hozható harmadik szerv vagy személy tudomására, csak az adatkezelőnek vagy jogutódjának, vagy törvényben kijelölt szervnek adható ki. Az Információs Hivatal által átadott kulcsról az adatkezelő másolatot készít és azt biztonságos helyen tárolja.

A titkosított adattrezor-archiválás átadása milyen módokon történhet?

A titkosított adattrezor-archiválás átadása történhet

          a) az archivált adatállományokat tartalmazó fizikai adattároló eszköz rendelkezésre bocsátásával vagy

          b) hálózati kapcsolat útján.

Ha az adattrezor-archiválás mérete miatt az adattrezor-archiválás átadása aránytalan terhet ró az adatkezelőre, az adattrezor-archiválás átadása az adatkezelő által biztosított fizikai adattároló eszköz rendelkezésre bocsátásával történik.

Kisméretű archív állomány esetén az adattrezor-archiválás átadása hálózati kapcsolat útján történik.

A nemzetbiztonsági szolgálatok hatósági feladatokhoz kapcsolódó, minősített adatot nem tartalmazó elektronikus információs rendszerei esetében az adattrezor-archiválás átadását kizárólag az adatkezelő által biztosított fizikai adattároló eszköz alkalmazásával lehet végrehajtani.

Mit tartalmazzon a Futárszolgálatnak átadandó szállítódoboz?

A szállítódoboznak tartalmaznia kell az adatkezelő által biztosított fizikai adattároló eszközt, valamint az adattrezor-archiválásnak tartalmaznia kell a visszaállításhoz szükséges dokumentációt is. A szállítódobozba az adathordozók gyári számát tartalmazó listát el kell helyezni, illetve meg kell őrizni későbbi azonosítás céljából.

Az adatkezelőnek jól beazonosítható módon meg kell jelölnie, hogy az átadott adatállomány mely adatkezelő, mely elektronikus információs rendszereinek archiválását tartalmazza.

Szükséges-e kísérőjegyzéket készíteni a trezorált állományokról?

Minden egyes adattrezor-archiválás beküldésével egyidejűleg a Felügyelet honlapján található táblázat segítségével szükséges a mentésekben szereplő minden egyes elektronikus információs rendszer tekintetében, majd azt a beküldött mentéssel egyidejűleg továbbítani a kat@nisz.hu e-mail címre.

A táblázatot tartalmazó fájlt az alábbiak szerint kell megnevezni a kísméretű archív állományok kivételével: 

törzsszám/cégjegyzékszám_ beküldési pont sorszáma_vonalkód_plombaszám_dátum.xls,

ahol 

  • törzsszám/cégjegyzékszám: gazdálkodó szervezetek esetén cégjegyzékszám, költségvetési szervek esetén törzsszám;
  • beküldési pont sorszáma: amennyiben egy szervezet több fizikai helyszínről küld be archívumot, úgy az adott fizikai helyszín szervezeti egyedi azonosítója;
  • plombaszám: a kapcsolódó mentést tartalmazó konténert záró plomba sorszáma;
  • vonalkód: a kapcsolódó mentést tartalmazó konténer vonalkódja;
  • dátum: a kapcsolódó mentés beküldésének napja, formátuma: év-hó-nap (20YY-MM-DD).

Hová kell feltölteni a kisméretű archív állományt?

A NISZ Zrt. által megjelölt hivatali kapu címre szükséges feltölteni. 

Cím: https://tarhely.gov.hu/

ADATTREZOR Hivatali kaput kell kiválasztani címzettként (KRID:446852734),

feltöltendő állományok:

kat_full_mentes_krrovidnev_datum_ido.7z fájl, valamint egy darabtartalom.txt titkosítatlan szöveg fájl, amely a mentett rendszerek felsorolását tartalmazza. A titkosított mentési állományt és a titkosítástalan tartalom.txt fájlt, egyetlen 7Zip fájlba tömörítve szükséges a hivatali kapura feltölteni. Hivatali kapu felhasználó kézikönyv elérhetősége: https://ugyintezes.magyarorszag.hu/dokumentumok/hep_hkp_felh  --> Hiteles elektronikus postafiók - Hivatali kapu c. felhasználói kézikönyv Dokumentum küldés fejezetében foglaltak szerint.

Milyen módon működnek együtt az adatkezelők a Futárszolgálattal?

Az illetékes futárszervet legkésőbb a KAT doboz továbbításának esedékességét megelőző napon értesíteni kell! (Kivétel: naponta történő mentés és továbbítása esetén.) Elérhetőségek és a formanyomtatványok a http://www.police.hu/futar címen elérhetőek.

Milyen módon kell a KAT dobozt előkészíteni átadásra, illetve szállításra? 

  1. Az adathordozót, az átadott adatállomány megjelölését és a visszaállításhoz szükséges dokumentációt bele kell helyezni a KAT dobozba, majd le kell azt zárni;
  2. Plombát kell felhelyezni a KAT dobozra;
  3. Futárjegyzéket kell készítni, a doboz kódszámának, a vonalkódos plomba számának, valamint a mentés típusának feltüntetésével;
  4. Gondoskodni kell a futár gépjármű parkolásáról és a futár akadálytalan beléptetéséről.

A nyomtatványok a http://www.police.hu/futar címről letölthetők.

Hogyan történik a KAT doboz átadása/átvétele a futárnak/futártól?

A KAT dobozt az adatkezelő által kijelölt személy adja, illetve veszi át. Első lépésben az adatkezelő által kijelölt személynek a személyazonosságát és a kijelölés tényét igazolnia kell (személyazonosság igazolására alkalmas fényképes igazolvánnyal és az átadó szervezet által kiállított meghatalmazással).

A futár – szolgálata teljesítése során – a futárszolgálat vezetője által a nevére kiállított futárigazolvánnyal igazolja magát, amely a rendőrségi szolgálati igazolvánnyal együtt érvényes. A futár futárigazolványa felmutatásával a mentésre kötelezett szerv épületébe és az ahhoz tartozó zárt helyre beléphet, valamint jogosult a szervezet rendelkezésére álló parkolóhely használatára.

Második lépésben a futárjegyzéken szereplő KAT doboz kódszámát és plombaszámát kell egyeztetni a dobozon lévő számmal; az átadandó KAT dobozt, a Futárszolgálattal előre egyeztetett időpontra el kell készíteni, mert a futár maximum csak 10 percet tud várakozni.

Harmadik lépésben a KAT doboz és a plomba sértetlenségének ellenőrzése történik (sérülés esetén jegyzőkönyv felvétele!); a plomba sértetlenségét minden átadási ponton vizsgálni kell!

Végezetül a futárjegyzék aláírása történik az átadó és az átvevő részéről.

A nyomtatványok és a meghatalmazás minta a http://www.police.hu/futar címről letölthetők.

Milyen módon igényelhető további konténer?

Amennyiben a rendszeres KAT archív mentés szállító konténer mennyisége nem elegendő, illetve nagyobb méretű konténerre van szüksége, akkor az ehhez kapcsolódó űrlapot ( http://www.police.hu/futar oldalon megtalálható) aláírva, szkennelve a katkontener@nisz.hu e-mail címre elküldeni szíveskedjen.

Mikor kerülnek visszaszállításra a KAT archív mentést tartalmazó konténerek? Automatikusan kerülnek visszaküldésre, vagy külön igényelni szükséges a visszaküldésüket?

Fontos jelezni a futárszolgálat részére átadott archív mentéseket szállító konténerek futárjegyzékein a mentés típusát (növekményes, differenciális, teljes), ugyanis ez alapján történik a konténerek visszaszállíthatóságának megállapítása. A Kormányzati Adattrezorban elhelyezett konténerek akkor kerülhetnek visszaszállításra, ha a rendszer-visszaállításhoz szükséges újabb archív mentések már elhelyezésre kerültek. Például: teljes mentések esetén, ha 3 teljes archív mentés elhelyezésre került a trezorban, akkor a legrégebbi archív mentést tartalmazó konténer visszaszállításra kerül.

Az archiválási kategóriák meghatározása milyen módon történik?

Az adattrezor-archiválásra kötelezett adatkezelő archiválási szabályzatot készít, melynek EIR adatlapjain – saját döntése alapján - meghatározza az adott Elektronikus Információs Rendszer archiválási kategóriáját a 466/2017. (XII. 28.) Korm. rendelet 1. melléklete szerint.

Mit tartalmazzon az archiválási szabályzat?

Az archiválási szabályzat tartalmazza az adatkezelőnek az elektronikus ügyintézés biztosításához szükséges elektronikus információs rendszerei

       a) megnevezését,

       b) által tárolt adatok körét,

       c) 466/2017. (XII. 28.) Korm. rendelet szerinti archiválási kategóriába sorolását,

       d) vonatkozásában annak megjelölését, hogy csak egyes adatok vagy azzal együtt a teljes futtatási környezet archiválására van-e szükség.

Mintaszabályzat letölthető a Felügyelet https://euf.gov.hu/ honlapjáról.

Szükséges-e minden esetben önálló archiválási szabályzatot készíteni?

Nem.

Az archiválási szabályzat az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény szerinti informatikai biztonsági szabályzat részeként is elkészíthető.

Módosítható-e a Felügyelet részére megküldött archiválási szabályzat?

Igen.

Az archiválási szabályzatot, a benne foglalt információk változása esetén, a változást követő 3 napon belül frissíteni kell, és módosításakor a Felügyeletnek meg kell küldeni. A Felügyelet az archiválási szabályzat beérkezését követő 60 napon belül az archiválási szabályzatot felülvizsgálja, és álláspontjáról az adatkezelőt értesíti.

Mi a teendő az önkormányzati ASP rendszer és a Kormányzati Felhő szolgáltatás keretében működtetett információs rendszerek esetében az adattrezor-archiválás kötelezettségével kapcsolatban?

Az önkormányzati ASP rendszerhez rendszercsatlakozással csatlakozott önkormányzat esetében az adattrezor-archiválás, valamint az archiválási szabályzat készítésének kötelezettje az önkormányzati ASP rendszer üzemeltetője.

A Kormányzati Felhő szolgáltatás keretében működtetett információs rendszerek esetében az alábbi módokon történhet az adattrezor-archiválás és szabályzatkészítés:

    A.)  Amennyiben az adatkezelő szervezet csak Kormányzati Felhő (továbbiakban KOF) szolgáltatás keretében működtet informatikai rendszert és

  • hozzájárulást ad a KOF üzemeltetőjének – ekkor az archiválás és szabályzatkészítés kötelezettje a KOF üzemeltetője;
  • nem ad hozzájárulást a KOF üzemeltetőjének – ekkor az archiválás és szabályzatkészítés kötelezettje az adatkezelő szervezet.

    B.)  Amennyiben az adatkezelő szervezet Kormányzati Felhő szolgáltatás keretében és saját üzemeltetésben is működtet informatikai rendszert, akkor

  • saját rendszerei tekintetében archiválási és szabályzatkészítési kötelezettsége van,
  • KOF szolgáltatás igénybevétele esetén hozzájárulással a KOF üzemeltetője archivál, és az adatkezelő készíti a szabályzatot, továbbá az adatkezelő feltünteti ezt a tényt a szabályzatában.