Borsod-Abaúj-Zemplén Megyei Kormányhivatal
Ügyiratszám: BO/07/40-6/2015.
33/2015. számú Kormánymegbízotti utasítás Melléklete
A Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Biztonsági Szabályzatáról
2. oldal
TARTALOMJEGYZÉK 1.
PREAMBULUM .......................................................................................................................... 11
1.1.
AZ IBSZ META-ADATAI ............................................................................................................ 11
1.2.
AZ IBSZ TÁRGYA ...................................................................................................................... 11
1.3.
AZ IBSZ CÉLJA.......................................................................................................................... 11
1.4.
AZ IBSZ KIADÁSA ..................................................................................................................... 11
2.
SZABÁLYOZÁSI PORTFÓLIÓ .................................................................................................. 11
2.1.
SZABÁLYOZÁSI PORTFÓLIÓ .................................................................................................. 11
2.2.
AZ IBSZ SZABÁLYOZÁSI PORTFÓLIÓBAN ELFOGLALT HELYE ......................................... 11
2.3.
INFORMÁCIÓBIZTONSÁGI POLITIKA ..................................................................................... 11
2.4.
INFORMÁCIÓBIZTONSÁGI STRATÉGIA ................................................................................. 12
2.5.
AZ IBSZ RÖVIDÍTÉS JEGYZÉKE ............................................................................................. 12
2.6.
AZ IBSZ MELLÉKLETEI ............................................................................................................ 12
3.
A SZABÁLYZAT HATÁLYA ....................................................................................................... 13
3.1.
TÁRGYI HATÁLY ....................................................................................................................... 13
3.2.
SZERVEZETI HATÁLY .............................................................................................................. 13
3.3.
SZEMÉLYI HATÁLY .................................................................................................................. 13
3.4.
TERÜLETI HATÁLY ................................................................................................................... 13
3.5.
IDŐBELI HATÁLY ...................................................................................................................... 13
3.6.
AZ IBSZ TOVÁBBI HATÁLYA.................................................................................................... 13
4.
A SZABÁLYZAT KAPCSOLÓDÁSAI, VÉGREHAJTÁSA ÉS FELÜLVIZSGÁLATA.................. 13
4.1.
AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ SZABÁLYOZÁSI FELADATOK ............................ 13
4.1.1. AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, KÖZPONTI HIVATALOK SZABÁLYZATAI ......... 13 4.1.2. AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, RENDSZERENKÉNT KÜLÖN ELKÉSZÍTENDŐ SZABÁLYZATOK ................................................................................................................................. 13 4.1.3. AZ IBSZ KAPCSOLATI RENDSZERÉHEZ TARTOZÓ, AZZAL ÖSSZEHANGOLANDÓ SZABÁLYOZÁSOK .............................................................................................................................. 14 4.2.
ÁLTALÁNOS HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK ............................................... 14
4.2.1. A SZABÁLYZAT KIDOLGOZTATÁSA, ELLENŐRZÉSE ÉS KARBANTARTATÁSA................ 14 4.2.2. A SZABÁLYZAT HATÁLYBA LÉPTETÉSE, A VÉGREHAJTÁS ELLENŐRZÉSE .................... 14 4.2.3. A SZABÁLYZAT BETARTÁSA ÉS BETARTATÁSA ................................................................. 15 4.2.4. A SZABÁLYZAT ELLENŐRZÉSE.............................................................................................. 15 4.3.
AZ IBSZ VÉGREHAJTÁSA ........................................................................................................ 15
4.3.1. A VÉGREHAJTÁS SZABÁLYAI ................................................................................................. 15
3. oldal
4.3.2. A VÉGREHAJTÁS ESZKÖZEI................................................................................................... 15 4.4.
AZ IBSZ FELÜLVIZSGÁLATA ................................................................................................... 16
4.4.1. IDŐSZAKOS FELÜLVIZSGÁLATOK ......................................................................................... 16 4.4.2. VÁLTOZÁS MIATTI FELÜLVIZSGÁLAT ................................................................................... 16 4.4.3. MEGFELELŐSÉGI VIZSGÁLAT ................................................................................................ 16 4.4.4. A VÉDELEM SZERVEZETI SZABÁLYAI ................................................................................... 16 5.
INFORMATIKAI BIZTONSÁGI FELADAT-, FELELŐSSÉGI- ÉS KOMPETENCIA KÖRÖK ..... 16
5.1.
INFORMATIKAI BIZTONSÁGI FELÜGYELET .......................................................................... 16
5.1.1. INFORMATIKAI SZERVEZET ÉS INFORMATIKUSOK ............................................................ 16 5.1.2. INFORMATIKAI BIZTONSÁGI FELELŐS ................................................................................. 18 5.1.3. BIZTONSÁGI SZOLGÁLAT ....................................................................................................... 19 5.1.4. SPECIÁLIS ÜZEMELTETÉSI SZOLGÁLAT A KIEMELT VÉDETTSÉGŰ IDŐSZAKRA ........... 19 5.2.
KÜLSŐ SZEMÉLYEK HOZZÁFÉRÉSÉNEK INFORMATIKAI BIZTONSÁGA .......................... 20
5.2.1. KÜLSŐ SZEMÉLYEK FOGALMÁNAK MEGHATÁROZÁSA .................................................... 20 5.2.2. BIZTONSÁGI KÖVETELMÉNYEK KÜLSŐ FELEK FELÉ ......................................................... 21 5.2.3. TECHNIKAI SPECIFIKÁCIÓK ................................................................................................... 22 5.2.4. A SZOLGÁLTATÁSOK FOLYAMATOSSÁGA ........................................................................... 22 5.2.5. FELADATMEGOSZTÁS ............................................................................................................ 22 5.2.6. A SZOLGÁLTATÁSOK BIZTONSÁGA ...................................................................................... 22 5.2.7. FELÜGYELET ............................................................................................................................ 23 5.2.8. A SZOLGÁLTATÁSOK ELLENŐRZÉSE, SZANKCIÓK ............................................................ 23 5.2.9. BESZERZÉSEK, KAPCSOLÓDÓ DOKUMENTUMKEZELÉS .................................................. 23 6.
AZ INFORMÁCIÓ VAGYON VÉDELMÉNEK SZABÁLYAI ........................................................ 23
6.1.
AZ INFORMÁCIÓ VAGYON ELSZÁMOLTATHATÓ KEZELÉSE ............................................. 23
6.1.1. TITOKVÉDELEM ....................................................................................................................... 23 6.1.2. ADATVÉDELEM ........................................................................................................................ 24 6.1.3. INFORMÁCIÓVÉDELEM ........................................................................................................... 24 6.1.4. IT BIZTONSÁG .......................................................................................................................... 24 6.2.
INFORMÁCIÓ BIZTONSÁG KÖVETELMÉNYEI ....................................................................... 24
6.2.1. BIZALMASSÁG .......................................................................................................................... 24 6.2.2. SÉRTETLENSÉG ...................................................................................................................... 25 6.2.3. RENDELKEZÉSRE ÁLLÁS........................................................................................................ 25 6.3.
AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSA ........................................................................ 25
6.3.1. ÚTMUTATÓ AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSÁHOZ............................................ 25 4. oldal
6.3.2. INFORMÁCIÓ VAGYON OSZTÁLYAI ....................................................................................... 25 6.3.3. INFORMÁCIÓ VAGYON NYILVÁNTARTÁSA........................................................................... 26 6.4.
ADATKEZELÉS.......................................................................................................................... 26
6.4.1. KÜLÖNLEGES ADATOK KEZELÉSE ....................................................................................... 26 6.4.2. SZEMÉLYES ADATOK KEZELÉSE .......................................................................................... 26 6.4.3. KÖZÉRDEKŰ ADATOK KEZELÉSE ......................................................................................... 26 6.4.4. KÖZÉRDEKBŐL NYILVÁNOS ADATOK KEZELÉSE ............................................................... 26 6.4.5. NYILVÁNOS ADATOK KEZELÉSE ........................................................................................... 26 6.5.
VÉDELEM MÓDSZEREI ............................................................................................................ 26
6.5.1. ÁLTALÁNOS VÉDELEM ............................................................................................................ 26 6.5.2. PROAKTÍV VÉDELEM ............................................................................................................... 27 6.5.3. DEFENZÍV VÉDELEM ............................................................................................................... 27 7.
A HR ERŐFORRÁSOKRA VONATKOZÓ BIZTONSÁGI SZABÁLYOK ................................... 28
7.1.
MUNKAKÖRI BIZTONSÁGI ELŐÍRÁSOK ................................................................................. 28
7.1.1. ÁLTALÁNOS BIZTONSÁGI KÖTELEZETTSÉGEK .................................................................. 28 7.1.2. A JELSZÓKEZELÉS ÁLTALÁNOS SZABÁLYAI ....................................................................... 29 7.1.3. KEZELŐI TITOKTARTÁSI NYILATKOZAT ............................................................................... 30 7.2.
FELHASZNÁLÓK OKTATÁSA, KÉPZÉSE ................................................................................ 30
7.2.1. INFORMATIKAI BIZTONSÁGI OKTATÁS ÉS KÉPZÉS ............................................................ 30 7.2.2. INFORMATIKAI BIZTONSÁG ÉRTÉKELÉSE ........................................................................... 30 8.
AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE .................................................. 30
8.1.
IT BIZTONSÁGI INCIDENSEK JELENTÉSI KÖTELEZETTSÉGE ........................................... 30
8.2.
IT BIZTONSÁGI INCIDENSEK JELENTÉSÉNEK MÓDJA ....................................................... 31
8.3.
IT BIZTONSÁGI HIÁNYOSSÁGOK JELENTÉSI KÖTELEZETTSÉGE .................................... 31
8.4.
INCIDENSEK NYILVÁNTARTÁSA ÉS KIVIZSGÁLÁSA ........................................................... 31
8.5.
VISSZAJELZÉS A BIZTONSÁGI INCIDENSEKRŐL ................................................................ 31
8.6.
ELJÁRÁS A BIZTONSÁGI ELŐÍRÁSOK MEGSÉRTŐIVEL SZEMBEN ................................... 31
9.
A FIZIKAI ÉS KÖRNYEZETI INFRASTRUKTÚRA BIZTONSÁGA ........................................... 33
9.1.
VÉDETT, BIZTONSÁGOS TERÜLETEK ................................................................................... 33
9.1.1. FIZIKAI BIZTONSÁGI ELKÜLÖNÍTÉS ...................................................................................... 33 9.1.2. KIEMELTEN VÉDENDŐ TERÜLETEK ...................................................................................... 33 9.1.3. MUNKAVÉGZÉS SZABÁLYAI A SZÁMÍTÓKÖZPONTOKBAN ................................................ 33 9.1.4. KONTROLLOK ........................................................................................................................... 34 9.1.5. ELLENŐRZÉS............................................................................................................................ 34 5. oldal
9.2.
ESZKÖZBIZTONSÁG ................................................................................................................ 34
9.2.1. ESZKÖZÖK ................................................................................................................................ 34 9.2.2. ESZKÖZÖK ÉLETCIKLUSA ...................................................................................................... 34 9.2.3. ESZKÖZÖK ELHELYEZÉSE ÉS VÉDELME ............................................................................. 34 9.2.4. TÁPELLÁTÁS............................................................................................................................. 35 9.2.5. KÁBELEZÉS BIZTONSÁGA ...................................................................................................... 36 9.2.6. ESZKÖZÖK KARBANTARTÁSA ............................................................................................... 36 9.2.7. ESZKÖZÖK HASZNÁLATA A KORMÁNYHIVATAL TERÜLETÉN KÍVÜL ............................... 36 9.2.8. ESZKÖZKIVONÁSI BIZTONSÁGI INTÉZKEDÉSEK, ÚJRAFELHASZNÁLÁS ......................... 38 9.2.9. KONTROLLOK ........................................................................................................................... 38 9.2.10. ELLENŐRZÉS .......................................................................................................................... 39 9.2.11. ÁLTALÁNOS BIZTONSÁGI ELŐÍRÁSOK ............................................................................... 39 10.
A HÁLÓZAT ÉS RENDSZER ÜZEMELTETÉS BIZTONSÁGA ................................................. 40
10.1.
AZ ÜZEMELTETÉS FOLYAMATAI ÉS A FELELŐSSÉGEK .................................................... 40
10.1.1. DOKUMENTÁLT ÜZEMELTETÉSI FOLYAMATOK ................................................................ 40 10.1.2. AZ ÜZEMELTETÉSI FOLYAMAT VÁLTOZÁSAINAK KEZELÉSE .......................................... 41 10.1.3. HIBAKEZELÉSI, HIBAELHÁRÍTÁSI RENDSZER ................................................................... 41 10.1.4. A FEJLESZTÉS ÉS AZ ÉLES KÖRNYEZET ELKÜLÖNÍTÉSE .............................................. 42 10.1.5. KÜLSŐ ERŐFORRÁSOK KEZELÉSE .................................................................................... 42 10.1.6. KONTROLLOK ......................................................................................................................... 42 10.1.7. ELLENŐRZÉS .......................................................................................................................... 42 10.2.
VÉGPONT VÉDELEM ............................................................................................................... 43
10.2.1. VÉGPONTVÉDELEM KÖVETELMÉNYEI ............................................................................... 43 10.2.2. VÉGPONTVÉDELEM ALÁ ESŐ VÉGPONTI ESZKÖZÖK ...................................................... 43 10.2.3. VÉGPONTVÉDELEM SZABÁLYOZÁSA ................................................................................. 43 10.2.4. KONTROLLOK ......................................................................................................................... 43 10.2.5. ELLENŐRZÉS .......................................................................................................................... 44 10.3.
ADATMENTÉSI ÉS NAPLÓZÁSI FELADATOK ........................................................................ 44
10.3.1. ADATMENTÉS ......................................................................................................................... 44 10.3.2. NAPLÓZÁS .............................................................................................................................. 45 10.3.3. NAPLÓK KEZELÉSÉNEK SZABÁLYAI ................................................................................... 45 10.3.4. KONTROLLOK ......................................................................................................................... 45 10.3.5. ELLENŐRZÉS .......................................................................................................................... 46 10.4.
HÁLÓZAT MENEDZSMENT ...................................................................................................... 46 6. oldal
10.4.1. HÁLÓZAT FELÜGYELETE ...................................................................................................... 46 10.4.2. DOKUMENTÁLÁS .................................................................................................................... 46 10.4.3. KONTROLLOK ......................................................................................................................... 46 10.4.4. ELLENŐRZÉS .......................................................................................................................... 46 10.5.
ADATHORDOZÓK KEZELÉSE ÉS BIZTONSÁGA ................................................................... 46
10.5.1.ADATHORDOZÓK TÁROLÁSA ................................................................................................ 46 10.5.2.MENTÉSEK TÁROLÁSA .......................................................................................................... 46 10.5.3. DOKUMENTÁLÁS .................................................................................................................... 47 10.5.4. KONTROLLOK ......................................................................................................................... 47 10.5.5. ELLENŐRZÉS .......................................................................................................................... 47 10.6. 11.
ADATHORDOZÓK SELEJTEZÉSÉNEK BIZTONSÁGI SZABÁLYAI........................................ 47 A RENDSZEREK HOZZÁFÉRÉSI JOGOSULTSÁGAINAK KEZELÉSE .................................. 48
11.1.
HOZZÁFÉRÉS KEZELÉSI SZABÁLYOK .................................................................................. 48
11.1.1. ÁLTALÁNOS SZABÁLYOK ...................................................................................................... 48 11.1.2. AUTENTIKÁCIÓ ....................................................................................................................... 49 11.1.3. AUTORIZÁCIÓ ......................................................................................................................... 49 11.1.4. SZEREPKÖRÖK ...................................................................................................................... 49 11.1.5. JOGOSULTSÁGI MÁTRIX ....................................................................................................... 49 11.2.
A FELHASZNÁLÓK HOZZÁFÉRÉSI JOGAINAK KEZELÉSE .................................................. 50
11.2.1. FELHASZNÁLÓ NYILVÁNTARTÁS ......................................................................................... 50 11.2.2. FELHASZNÁLÓI PRIVILÉGIUMOK KEZELÉSE ..................................................................... 50 11.2.3. FELHASZNÁLÓI JOGOSULTSÁG- ÉS JELSZÓKEZELÉS .................................................... 50 11.2.4. FELHASZNÁLÓI ELÉRÉSI JOGOK FELÜLVIZSGÁLATA ...................................................... 50 11.2.5. AZ ADMINISZTRÁTORI/ÜZEMELTETŐI JOGOK ÉS FELÜLVIZSGÁLATUK ........................ 50 11.2.6. FELÜGYELET NÉLKÜL HAGYOTT FELHASZNÁLÓI ESZKÖZÖK FELELŐSSÉGE ............ 51 11.2.7. DOKUMENTÁLÁS .................................................................................................................... 51 11.2.8. KONTROLLOK ......................................................................................................................... 51 11.2.9. ELLENŐRZÉS .......................................................................................................................... 51 11.3.
A HÁLÓZATI HOZZÁFÉRÉS VÉDELME ................................................................................... 51
11.3.1. HÁLÓZATI SZOLGÁLTATÁSOK HASZNÁLATÁNAK POLITIKÁJA........................................ 51 11.3.2. KÖTELEZŐ ELÉRÉSI ÚTVONAL ............................................................................................ 52 11.3.3. TÁVOLI DIAGNOSZTIKAI PORT VÉDELME .......................................................................... 52 11.3.4. HÁLÓZATI RÉSZEK ELVÁLASZTÁSA .................................................................................... 52 11.3.5. HÁLÓZATI KAPCSOLATOK ÉS A ROUTOLÁS VEZÉRLÉSE ............................................... 52 7. oldal
11.3.6. HÁLÓZATI BIZTONSÁG A KIEMELT VÉDETTSÉGŰ IDŐSZAKBAN .................................... 52 11.3.7. DOKUMENTÁLÁS .................................................................................................................... 52 11.3.8. KONTROLLOK ......................................................................................................................... 52 11.3.9. ELLENŐRZÉS .......................................................................................................................... 52 11.4.
AZ OPERÁCIÓS RENDSZER HOZZÁFÉRÉS VÉDELME ........................................................ 53
11.4.1. FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS ........................................................................... 53 11.4.2. SINGLE SIGN-ON (SSO) ......................................................................................................... 53 11.4.3. BIZTONSÁGI POLICY ............................................................................................................. 53 11.4.4. JOGOSULTSÁGIGÉNYLÉS .................................................................................................... 53 11.4.5. DOKUMENTÁLÁS .................................................................................................................... 53 11.4.6. KONTROLLOK ......................................................................................................................... 53 11.4.7. ELLENŐRZÉS .......................................................................................................................... 53 11.5.
AZ ALKALMAZÁSOK HOZZÁFÉRÉS VÉDELME ..................................................................... 54
11.5.1. FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS ........................................................................... 54 11.5.2. SINGLE SIGN-ON (SSO) ......................................................................................................... 54 11.5.3. BIZTONSÁGI POLICY ............................................................................................................. 54 11.5.4. JOGOSULTSÁGIGÉNYLÉS .................................................................................................... 54 11.5.5. DOKUMENTÁLÁS .................................................................................................................... 54 11.5.6. KONTROLLOK ......................................................................................................................... 54 11.5.7. ELLENŐRZÉS .......................................................................................................................... 54 11.6.
A TÁVMUNKA HOZZÁFÉRÉS SZABÁLYOZÁSA ..................................................................... 54
11.6.1. A TÁVMUNKA SZABÁLYAI ..................................................................................................... 54 11.6.2. A BELSŐ ÉS KÜLSŐ FELHASZNÁLÓK ................................................................................. 54 11.6.3. A TÁVMUNKA BIZTONSÁGI KÖVETELMÉNYEI.................................................................... 55 11.6.4. A TÁVMUNKA BIZTONSÁGI ESZKÖZEI ................................................................................ 55 11.6.5. DOKUMENTÁLÁS .................................................................................................................... 55 11.6.6. KONTROLLOK ......................................................................................................................... 55 11.6.7. ELLENŐRZÉS .......................................................................................................................... 55 11.7.
A RENDSZER HOZZÁFÉRÉS ÉS HASZNÁLAT MONITOROZÁSA ........................................ 55
11.7.1. A RENDSZER HASZNÁLAT MONITOROZÁSA...................................................................... 55 11.7.2. ESEMÉNYNAPLÓ .................................................................................................................... 55 11.7.3. A RENDSZER ÓRÁK SZINKRONIZÁLÁSA ............................................................................ 55 11.7.4. DOKUMENTÁLÁS .................................................................................................................... 56 11.7.5. KONTROLLOK ......................................................................................................................... 56 8. oldal
11.7.6. ELLENŐRZÉS .......................................................................................................................... 56 12.
A RENDSZERFEJLESZTÉS ÉS KÖVETÉS BIZTONSÁGI SZABÁLYAI .................................. 56
12.1.
A RENDSZEREK BIZTONSÁGI KÖVETELMÉNYEI ................................................................. 56
12.1.1. AZ ELEMZÉS ÉS A SPECIFIKÁCIÓ BIZTONSÁGI KÖVETELMÉNYEI ................................. 56 12.1.2. A RENDSZERFEJLESZTÉS BIZTONSÁGI KÖVETELMÉNYEI ............................................. 56 12.1.3. A RENDSZER VÁLTOZÁSKEZELÉSÉNEK BIZTONSÁGI KÖVETELMÉNYEI ...................... 57 12.1.4. VÁLTOZÁSKÖVETÉSI FOLYAMATOK ................................................................................... 58 12.1.5. AZ OPERÁCIÓS RENDSZER VÁLTOZÁSAINAK TECHNIKAI FELÜLVIZSGÁLATA ............ 58 12.1.6. SZOFTVER CSOMAGOK VÁLTOZTATÁSÁNAK KORLÁTOZÁSA ........................................ 58 12.1.7. ÁLCÁZOTT CSATORNÁK ÉS „TRÓJAI” PROGRAMOK ........................................................ 58 12.1.8. KÜLSŐ CÉG ÁLTAL VÉGZETT (VÁLLALKOZÓI SZERZŐDÉS KERETÉBEN) SZOFTVERFEJLESZTÉS .................................................................................................................... 58 12.1.9. DOKUMENTÁLÁS .................................................................................................................... 58 12.1.10. KONTROLLOK ....................................................................................................................... 58 12.1.11. ELLENŐRZÉS ........................................................................................................................ 59 12.2.
TITKOSÍTÁSI TEVÉKENYSÉGEK............................................................................................. 59
12.2.1. TITKOSÍTÁS SZABÁLYAI ........................................................................................................ 59 12.2.2. NYÍLT KULCSÚ TITKOSÍTÁS.................................................................................................. 59 12.2.3. FILE RENDSZER TITKOSÍTÁSA............................................................................................. 59 12.2.4. ADATÁTVITEL TITKOSÍTÁSA ................................................................................................. 59 12.2.5. ELEKTRONIKUS ALÁÍRÁS ..................................................................................................... 60 12.2.6. KONTROLLOK ......................................................................................................................... 60 12.2.7. ELLENŐRZÉS .......................................................................................................................... 60 13.
BIZTONSÁGI KOCKÁZATMENEDZSMENT ............................................................................. 60
13.1.
IT KOCKÁZATELEMZÉS ........................................................................................................... 60
13.2.
IT KOCKÁZATÉRTÉKELÉS ...................................................................................................... 60
13.3.
IT KOCKÁZATKEZELÉS ........................................................................................................... 61
13.4.
IT KOCKÁZATMENEDZSELÉS SZABÁLYAI ............................................................................ 61
14.
ELLENŐRZÉS............................................................................................................................ 61
14.1.
AZ IT BIZTONSÁG DOKUMENTÁLÁSA ................................................................................... 61
14.1.1. AZ IT BIZTONSÁG DOKUMENTÁLÁS SZABÁLYAI ............................................................... 61 14.1.2. A DOKUMENTUM PORTFÓLIÓ .............................................................................................. 61 14.1.3. KONTROLLOK ......................................................................................................................... 62
9. oldal
14.1.4. ................................................................................................................ ELLENŐRZÉS 62 14.2.
AZ IT BIZTONSÁG ELLENŐRZÉS SZABÁLYAI ....................................................................... 62
14.2.1. AZ ALKALMAZANDÓ SZABÁLYOK MEGHATÁROZÁSA ...................................................... 62 14.2.2. A BIZTONSÁGI ELLENŐRZÉS RENDSZERE ........................................................................ 62 14.2.3.JOGSZABÁLYI TÉNYÁLLÁSOK ÉS SZANKCIÓK ................................................................... 62 14.2.4. KÁRTÉRÍTÉSI FELELŐSSÉG ................................................................................................. 63 14.2.5.FEGYELMI FELELŐSSÉG ....................................................................................................... 63 15. ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK NYILVÁNTARTÁSI ÉS BIZTONSÁGI SZABÁLYAI ............................................................................................................................................... 63 15.1.
AZ ELEKTRONIKUS INFORMÁCIÓS RENDSZER MEGHATÁROZÁSA ................................ 63
15.2.
KORMÁNYHIVATAL ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI BESOROLÁS ................ 63
15.3.
ELEKTRONIKUS INFORMÁCIÓ BIZTONSÁGÉRT FELELŐS SZEMÉLY ............................... 63
15.4.
ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK BIZTONSÁGI SZABÁLYAI ....................... 63
15.5.
ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK NYILVÁNTARTÁSA .................................. 63
16. 16.1.
ZÁRÓ RENDELKEZÉSEK ......................................................................................................... 65 ÁTMENETI RENDELKEZÉSEK ................................................................................................. 65
10. oldal
1. PREAMBULUM 1.1.
AZ IBSZ META-ADATAI
Szervezet:
Borsod-Abaúj-Zemplén Megyei Kormányhivatal
Székhely:
3525 Miskolc, Városház tér 1.
1.2.
AZ IBSZ TÁRGYA
Borsod-Abaúj-Zemplén Megyei Kormányhivatal (a továbbiakban: Kormányhivatal) Informatikai Biztonsági Szabályzata (a továbbiakban: IBSZ) a Kormányhivatal által használt, üzemeltetett illetve felügyelt informatikai rendszerekre vonatkozóan tartalmazza a legfontosabb informatikai biztonsági feladatokat és meghatározza azokat a tevékenységeket, intézkedéseket, amelyek a Kormányhivatal biztonságos működése érdekében szükségesek. 1.3.
AZ IBSZ CÉLJA
A Kormányhivatal informatikai rendszereinek működtetése, üzemeltetése során biztosítsa az adatvédelem elveinek és az információbiztonság követelményeinek érvényesülését:
1.4.
−
az informatikára vonatkozó jogszabályi előírások érvényesítése;
−
folyamatos informatikai üzembiztonság betartása;
−
az adatvagyon védelme;
−
a hálózati infrastruktúra integritásának védelme.
AZ IBSZ KIADÁSA
Az IBSZ-ben foglalt rendelkezéseket a Kormányhivatal Pénzügyi és Gazdálkodási Főosztály Informatikai Osztálya (továbbiakban: Informatikai Osztály) készítette, együttműködve az érintett szervezeti egységekkel. 2. SZABÁLYOZÁSI PORTFÓLIÓ 2.1.
SZABÁLYOZÁSI PORTFÓLIÓ
KEK KH 04/2012 szakmai ajánlása alapján készített, a szabályzat mellékleteként csatolt táblázatban látható az IBSZ elhelyezkedése a szabályozási portfólióban. Az IBSZ alapja a Kormányhivatal Informatikai Biztonsági Politikája (a továbbiakban: IBP), és az Informatikai Biztonsági Stratégiája (a továbbiakban: IBS). Az IBSZ rendelkezéseit a Kormányhivatal egyéb belső jogi normáival összhangban kell alkalmazni. 2.2.
AZ IBSZ SZABÁLYOZÁSI PORTFÓLIÓBAN ELFOGLALT HELYE
Az IBSZ az IBP alapvetései és az IBS szellemében hivatott szabályozni az informatikai rendszerek működését, figyelembe véve a törvényi előírásokat. 2.3.
INFORMÁCIÓBIZTONSÁGI POLITIKA
A Kormányhivatal célja az ügyfelek adatainak megvédése, a jogtalan adatfelhasználás és az adatvesztés megakadályozása. Az informatikai biztonság úgy kerül megszervezésre, hogy a hatékony, körültekintő ügyintézési tevékenységet támogassa. Az IBP az alapja valamennyi további, részletesebb informatikai biztonsági szabályozásnak és ezek megvalósításának.
11. oldal
2.4.
INFORMÁCIÓBIZTONSÁGI STRATÉGIA
Az IBS célja, hogy a szervezet szakmai működési igényeinek jövőbeni változásaival összhangban meghatározza az információbiztonság fejlesztésének tervét. Az IBS kapcsot jelent az informatikai stratégia és a biztonsági stratégia között, összehangolja az információtechnológiai célokat a szervezet átfogó kockázat alapú biztonsági céljaival, és meghatározza a közös működési területeket. A stratégia alapelvei: −
A Kormányhivatalban egységes és közös elvek mentén kerül kialakításra az információbiztonság szabályozása.
−
A hatósági munkavégzés számára biztosításra kerül az adatok pontos, megbízható tárolása, a nyilvántartások vezetése és ezek hiteles, bizalmas és sértetlen továbbítása.
−
A stratégia kiterjed az informatikai, az infrastrukturális, a fizikai és az emberi tényezőkre.
−
Az egységes szabályozás megvalósítását követően folyamatosan fejlesztésre kerülnek az információbiztonsági szabályozás és a kapcsolódó eljárások.
2.5.
AZ IBSZ RÖVIDÍTÉS JEGYZÉKE
Az IBSZ IBNY11 melléklete tartalmazza. 2.6.
AZ IBSZ MELLÉKLETEI −
IBNY01
melléklet:
tárolási
nyilatkozat
(mobil
informatikai
eszközigénylésre
és
nyilvántartásra); −
IBNY02 melléklet: felhasználói hozzáférés, jogosultság, eszközigénylő és változásjelentő adatlap;
−
IBNY03 melléklet: rendszeres mentési napló (tűzvédelmi mentésekhez);
−
IBNY04 melléklet: mentési és archiválási nyilvántartás (egyedi mentések nyilvántartása);
−
IBNY05 melléklet: mentési és archiválási adatlap (egyedi mentések adataihoz);
−
IBNY06 melléklet: mobil adathordozó eszköz engedélyezése;
−
IBNY07 melléklet: adathordozó nyilvántartás;
−
IBNY08 melléklet: szoftvernyilvántartás;
−
IBNY09 melléklet: jogosultság nyilvántartás (hálózati mappák, alkalmazások, eszközök);
−
IBNY10 melléklet: mentési eljárásokhoz használt adathordozó típusok és kezelésük;
−
IBNY11 melléklet: IBSZ rövidítések jegyzéke;
−
IBNY12 melléklet: eseménynapló (szerverekhez);
−
IBNY13 melléklet: belépési napló (informatikai központokba történő belépéshez);
−
IBNY14 melléklet: eszköz átadás-átvételi adatlap;
−
IBNY15 melléklet: kilépő dolgozó informatikai igazolása;
−
IBNY16 melléklet: belépő dolgozó megismerési nyilatkozata;
−
IBNY17 melléklet: biztonsági zónák és követelmények;
−
IBNY18 melléklet: mentési rend (rendszeres és egyedi mentések ütemterve);
−
IBNY19
melléklet:
Kormányhivatalok
és
megyei
intézményfenntartó
központok
Informatikai Szabályozási Portfóliója; −
IBNY20 melléklet: Elektronikus információs rendszerek nyilvántartása és a biztonsági osztály szerinti besorolása.
12. oldal
3. A SZABÁLYZAT HATÁLYA 3.1.
TÁRGYI HATÁLY
Kiterjed a Kormányhivatal tulajdonában, kezelésében lévő valamennyi informatikai rendszerre és azok elemeire: −
alkalmazásokra,
−
adatbázisokra,
−
keletkeztetett, feldolgozott, tárolt, továbbított valamennyi adatra és információra.
3.2.
SZERVEZETI HATÁLY
Kiterjed a Kormányhivatal valamennyi szervezeti egységére. 3.3.
SZEMÉLYI HATÁLY
Kiterjed
a
Kormányhivatalban
foglalkoztatott
valamennyi
közszolgálati
tisztviselőre
és
munkavállalóra. 3.4.
TERÜLETI HATÁLY
Kiterjed a Kormányhivatal valamennyi ingatlanára és telephelyére. 3.5.
IDŐBELI HATÁLY
A hatályba lépéstől a visszavonásig. 3.6.
AZ IBSZ TOVÁBBI HATÁLYA
Idegen, vagy vegyes tulajdonú, illetve kezelésű eszközök, rendszerek használata során figyelembe kell venni a tulajdonos/társtulajdonos szervezet ide vonatkozó rendelkezéseit és előírásait, illetve a megkötött érvényes megállapodásokat. Az IBSZ azokat a szabályokat tartalmazza, amelyek betartását a Kormányhivatal kötelező jelleggel elrendeli a dokumentum elfogadásával, és amelyeket alkalmazni kell a vonatkozó informatikai rendszerek fejlesztése, telepítése és üzemeltetése során, a meghatározott biztonsági szint elérése és fenntartása érdekében. 4. A SZABÁLYZAT KAPCSOLÓDÁSAI, VÉGREHAJTÁSA ÉS FELÜLVIZSGÁLATA 4.1.
AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ SZABÁLYOZÁSI FELADATOK 4.1.1.AZ
IBSZ
HATÓKÖRÉHEZ
KAPCSOLÓDÓ,
KÖZPONTI
HIVATALOK
SZABÁLYZATAI −
A szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szervei informatikai ajánlásai és szabályzatai.
−
Magyar Informatikai Biztonsági Ajánlások (MIBA – a Közigazgatási Informatikai Bizottság 25. számú ajánlása).
−
E-közigazgatási Keretrendszer.
4.1.2.AZ
IBSZ
HATÓKÖRÉHEZ
KAPCSOLÓDÓ,
RENDSZERENKÉNT
KÜLÖN
ELKÉSZÍTENDŐ SZABÁLYZATOK −
Informatikai Katasztrófa-elhárítási Terv (IKT): Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), amelynek célja, hogy katasztrófa bekövetkezése
esetén
meghatározza
kockázatcsökkentés szabályait. 13. oldal
a
megelőzés,
helyreállítás
és
−
Üzletmenet Folytonossági Terv (ÜFT): Az üzletfolytonosság tervezés célja, hogy az ilyen esetek ne érjék váratlanul a szervezetet, ezekben az esetekben is működőképesek maradjanak az intézményi tevékenység szempontjából kritikus folyamatok. Folyamatos kockázatértékelés.
−
Adatvédelmi szabályzat (AvSz): Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), melynek célja, hogy katasztrófa bekövetkezése esetén meghatározza a megelőzés, helyreállítás és kockázatcsökkentés szabályait.
−
Üzemeltetési szabályzat (ÜSz): Célja az intézmény informatikai üzemeltetésének, HelpDesk-jének szolgáltatás biztosítása és szolgáltatás támogatásának, eszköz nyilvántartásának (CMDB) szabályozása.
−
Üzemeltetési kézikönyv üzemeltetésével
(ÜK): Amíg az üzemeltetési kézikönyv a rendszer
kapcsolatos
technikai
információkat
tartalmazza,
addig
az
üzemeltetési szabályzatnak az üzemeltetési folyamat, és annak szabályozása a tárgya. −
Felhasználói kézikönyv: Az intézmény feladat- és hatáskörébe tartozó feladatok közvetlen vagy közvetett ellátását az informatikai alkalmazások közreadásával és üzemeltetésével
támogatja.
A
felhasználók
az
eredményes
támogatás
igénybevételének szabályait a felhasználói kézikönyvből tudják meg, különösen a jogszabálykövetett
alkalmazások
esetében.
Célja
a
felhasználó
személyzet
támogatása. −
Mentési és archiválási szabályzat: A mentés, archiválás lehetővé teszi a katasztrófa helyzetekből adódó adatvesztés kockázatának minimalizálást, valamint az üzletmenet folytonosság biztosítási garanciáinak a növelését.
−
Külső
partner
együttműködés
szabályzata:
A
kiszervezett
tevékenységek
(outsourcing), az alkalmazásszolgáltatás keretében igénybevett szolgáltatások (ASP), valamint a külső üzemeltetést, fejlesztést támogató partnerek, belső üzemeltetéssel történő összhangjának megteremtése. 4.1.3.AZ
IBSZ
KAPCSOLATI
RENDSZERÉHEZ
TARTOZÓ,
AZZAL
ÖSSZEHANGOLANDÓ SZABÁLYOZÁSOK Az IBSZ kapcsolati rendszeréhez tartozó, azzal összehangolandó, illetve ezen szabályzatban nem szabályozott kérdésekben érvényes szabályozások: −
A fővárosi és megyei kormányhivatalok szervezeti és működési szabályzatáról szóló 3/2013. (I. 18.) KIM utasítás (a továbbiakban: SZMSZ);
4.2.
−
Kormányhivatal szervezeti egységeinek ügyrendjei;
−
Kormányhivatal vonatkozó szabályzatai;
−
Kormányhivatal munkaköri leírásai.
ÁLTALÁNOS HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK 4.2.1.A SZABÁLYZAT KIDOLGOZTATÁSA, ELLENŐRZÉSE ÉS KARBANTARTATÁSA Az IBSZ kidolgoztatása, ellenőrzése, majd karbantartatása az Informatikai Osztály vezetőjének feladata és hatásköre. 4.2.2.A SZABÁLYZAT HATÁLYBA LÉPTETÉSE, A VÉGREHAJTÁS ELLENŐRZÉSE Az IBSZ hatályba léptetése kihirdetésével történik meg, végrehajtásának ellenőrzése az Informatikai Osztály feladata.
14. oldal
4.2.3.A SZABÁLYZAT BETARTÁSA ÉS BETARTATÁSA A szabályzat alkalmazásáért és betartásáért a hivatali szervezet minden egysége, minden felhasználója felelős. IBSZ hatálya alá vont informatikai eszközök és rendszerek kezelése és a szabályok érvényesítése, betartatása az Informatikai Osztály feladata. Az IBSZ betartatásában az Informatikai Osztály minden munkatársának munkaköri kötelessége részt venni a napi munkája során. 4.2.4.A SZABÁLYZAT ELLENŐRZÉSE A szabályzat betartásának ellenőrzése, az Informatikai Osztály minden munkatársának munkaköri kötelessége a napi munkavégzése során. 4.3.
AZ IBSZ VÉGREHAJTÁSA 4.3.1.A VÉGREHAJTÁS SZABÁLYAI −
Az IBSZ betartása és betartatása a Kormányhivatal minden felhasználójának és szervezeti egység vezetőjének munkaköri kötelessége.
−
Az IBSZ személyi hatálya alá tartozó valamennyi személynek ismernie kell azokat a követelményeket és feladatokat, amelyeket az IBSZ számára meghatároz.
−
A Kormányhivatal valamennyi szervezeti egységének vezetője az utasítás hatályba lépését követően haladéktalanul köteles gondoskodni arról, hogy a vezetése alatt álló szervezeti egység munkatársai az utasításban foglaltakat megismerjék.
−
A szervezeti egységek vezetőinek gondoskodniuk kell jelen utasítás függelékében lévő megismerési záradék kitöltéséről és a hatályba lépéstől számított 30 napon belül a Jogi és Koordinációs Főosztály részére történő eljuttatásáról.
−
A külső felek a hivatali kapcsolattartón keresztül ismerhetik meg a szabályokat.
−
Az IBSZ személyi hatálya alá tartozó valamennyi személy köteles az Informatikai Osztály vezetőjét, illetve az informatikai biztonsági megbízottat minden olyan tényről, eseményről értesíteni, amely az IBSZ rendelkezéseinek végrehajtását akadályozza, illetőleg ellentétes az IBSZ rendelkezéseivel.
4.3.2.A VÉGREHAJTÁS ESZKÖZEI −
Az egyes informatikai rendszerek oly módon történő kialakítása, beállítása, hogy az informatikai rendszer kikényszerítse az IBSZ rendelkezéseinek betartását;
−
ismeretek oktatása, megismertetése és az ismeretek számonkérése;
−
IBSZ kötelező betartatása;
−
IBSZ betartását célzó rendszeres és időszaki ellenőrzések átfogó, vagy cél jelleggel (tételes, vagy szúrópróbaszerű ellenőrzési módszerekkel);
−
a hálózat és a szerverek rendszeres monitorozása a naplók és nyilvántartások pontos és naprakész vezetése, azok rendszeres ellenőrzése;
−
a szervezeti egység vezetőjének tájékoztatása a szervezeti egységet érintő ellenőrzési tapasztalatokról, fegyelmi, vagy biztonsági eseményekről, az elkészített jegyzőkönyvek, jelentések, feljegyzések másolatának megküldése révén;
−
IBSZ rendszeres megsértőivel szemben fegyelmi eljárás alkalmazása.
15. oldal
4.4.
AZ IBSZ FELÜLVIZSGÁLATA 4.4.1.IDŐSZAKOS FELÜLVIZSGÁLATOK IBSZ tartalmát az Informatikai Osztály köteles és jogosult időközönként, de legalább évente felülvizsgálni és szükség esetén módosítani. 4.4.2.VÁLTOZÁS MIATTI FELÜLVIZSGÁLAT Az IBSZ tartalmát az alábbiakban felsoroltak előfordulását követően Informatikai Osztály köteles felülvizsgálni és szükség esetén módosítani: −
minden olyan szervezeti változás esetén, amely a benne hivatkozott szervezeti egység bármelyikének megszűnésével, vagy jelentős átalakulásával jár;
−
súlyos informatikai biztonsági események után, azok tanulságait figyelembe véve;
−
minden olyan jogszabályváltozás esetén, amely a benne foglaltak érvényességét módosíthatja.
4.4.3.MEGFELELŐSÉGI VIZSGÁLAT Évente egyszer az Informatikai Osztály köteles megfelelőségi vizsgálatot végezni és ha szükséges, az IBSZ-t módosítani. A vizsgálatnak ki kell terjednie: −
az IBSZ betartásával kapcsolatos ellenőrzések eredményére;
−
a HelpDesk rendszer működésére, a felmerülő problémák és hibák jellegére és következményeire;
−
az időközben felmerülő informatikai és adatvédelmi eseményekre és az ezekkel összefüggő biztonsági következményekre.
4.4.4.A VÉDELEM SZERVEZETI SZABÁLYAI A védelem szervezeti szabályai kiterjednek a következő témakörökre: −
A megfelelő szervezet és felelősség megosztás működésére (mely magába foglalja a védelemért felelős munkaköröket);
−
az informatikai biztonsági kérdésekben történő koordinációra;
−
bármely harmadik fél hozzáférésének szabályozott felügyeletére, a vonatkozó kockázatok csökkentését célzó szerződéses megállapodásokra.
5. INFORMATIKAI BIZTONSÁGI FELADAT-, FELELŐSSÉGI- ÉS KOMPETENCIA KÖRÖK 5.1.
INFORMATIKAI BIZTONSÁGI FELÜGYELET 5.1.1.INFORMATIKAI SZERVEZET ÉS INFORMATIKUSOK Informatikai Osztály vezetője: −
ellátja a felettes vezető által meghatározott informatikai munkaterületeket, feladatokat és célfeladatokat;
− −
elvégzi a felettes vezető által a részére kijelölt egyéb feladatokat; ellátja a hatályos Szervezeti és Működési Szabályzatban, Ügyrendben, Munkaköri leírásokban és Kormánymegbízotti utasításokban meghatározott informatikai feladatokat.
Informatikai ügyintézők:
16. oldal
−
ellátja a felettes vezető által meghatározott informatikai munkaterületeket, feladatokat és célfeladatokat;
− −
elvégzi a felettes vezető által a részére kijelölt egyéb feladatokat; ellátja a hatályos Szervezeti és Működési Szabályzatban, Ügyrendben, Munkaköri leírásokban és Kormánymegbízotti utasításokban meghatározott informatikai feladatokat.
Felhasználó: −
a munkavégzés során a rábízott eszközöket, szoftvereket felelősséggel, és az előírások, leírások, utasítások szerint használja és megőrzi;
−
IBSZ-t megismeri és betartja;
−
részt vesz az informatikai oktatásokon;
−
a számítógépes munkavégzése során tiszteletben tartja a felhasználói csoportjára vonatkozó szabályokat és korlátozásokat, valamint a számítógépére megállapított házirendet;
−
a számítógépes rendszerekhez használt hozzáféréseit biztonságos módon megőrzi, a hozzáférésével elkövetett visszaélésekből és károkból származó következményekért felelősséggel tartozik;
−
jelzi az észrevételeit;
−
informatikai segítséget kérhet, ha olyan jellegű feladatot kell ellátnia, amelyhez nincs meg a megfelelő informatikai tapasztalata;
−
a munkájához szükséges eszközöket, alkalmazásokat és szolgáltatásokat a szervezeti egysége vezetőjének engedélyével igényelheti.
Szervezeti egység vezetője: −
a szervezeti egység közszolgálati tisztviselőjének felvétele, távozása, vagy munkakör változása esetén az IBSZ-ben meghatározott módon értesíti a változásról az Informatikai Osztályt;
−
gondoskodik arról, hogy a vezetése alatt álló személyek megismerjék és
−
ellenőrzi, hogy a vezetése alatt állók betartják-e az IBSZ-t;
−
informatikai kérdésekben dönt az IBSZ-ben részére delegált területeken
munkavégzésük során alkalmazzák az IBSZ-t;
(igénylések, engedélyek). Pénzügyi és Gazdálkodási Főosztály Beszerzési, Beruházási és Üzemeltetési Osztálya: −
biztosítja az informatikai eszközök és berendezések megfelelő működéséhez szükséges fizikai környezetet és a közműszolgáltatások, valamint egyéb szolgáltatások
(vízhálózat,
villamoshálózat,
légkondicionálás,
biztonsági
berendezések, őrszolgálat stb.) biztosításával a feltételeket; −
az Informatikai Osztály kérésére közreműködik az informatikai rendszerrel kapcsolatos átalakítási, építési, szerelési és karbantartási munkákban;
−
egyeztet az Informatikai Osztállyal az Informatikai Osztály hatáskörébe tartozó kérésekben.
Jogi és Koordinációs Főosztály Humánpolitikai Osztály: −
tájékozatja az Informatikai Osztályt a kilépő, vagy belépő dolgozó, illetve munkakör változás esetén a dolgozók és informatikai rendszerrel kapcsolatos jogosultságainak változásáról; 17. oldal
−
igazolást kérhet a dolgozó informatikai státuszával kapcsolatban.
Jogi és Koordinációs Főosztály: − −
igazolást kérhet a dolgozó informatikai státuszával kapcsolatban; elvégzi az ügyiratkezelő rendszer kialakításával, működtetésével kapcsolatos koordinációs tevékenységet.
5.1.2.INFORMATIKAI BIZTONSÁGI FELELŐS A Kormányhivatalnál a vezetők informatikai biztonsággal összefüggő tevékenységét az informatikai biztonsági megbízott támogatja, aki részt vesz a biztonsággal kapcsolatos vezetői döntések előkészítésében, kivizsgálja az informatikai rendkívüli eseményeket, elvégzi a rendszeres biztonsági ellenőrzéseket és hatáskörében intézkedik, vagy javaslatot tesz a hibák kijavítására. Munkája során szorosan együttműködik a biztonság megvalósításában résztvevő informatikai és egyéb szakemberekkel. Az alábbi feladat és hatáskörökkel rendelkezik: −
Gondoskodik az ellenőrzés módszereinek és rendszerének kialakításáról és működtetéséről.
−
Feladata
a
Kormányhivatal
informatikai
rendszerének
olyan
mértékű
megismerése, hogy annak elemeit hatékonyan ellenőrizni tudja. −
Összehangolja a biztonságot meghatározó, befolyásoló területek tevékenységét az informatikai biztonság érdekében.
−
Informatikai
biztonsági
szempontból
ellenőrzi
az
informatikai
rendszer
szereplőinek tevékenységét. −
Az informatikai
rendkívüli
eseményeket,
az esetleges
rossz szándékú
hozzáférési kísérletet, illetéktelen adatfelhasználást, visszaélést kivizsgálja, javaslatot tesz a szervezet vezetőjének a további intézkedésekre, a felelősségre vonásra. −
Új informatikai központ tervezése és kialakítása során ellenőrzi az IBSZ-ben megfogalmazott, a helyiségek fizikai paramétereire vonatkozó követelmények kielégítését és a meglevő helyiségek paramétereinek értékét.
−
Ellenőrzi az informatikai központba való beléptetési eljárást és a belépő személyek körének jogosultságát.
−
Az SZMSZ rendelkezései és a munkaköri leírások alapján ellenőrzi az informatikai rendszer szereplőinek jogosultsági szintjét.
−
Ellenőrzi a fejlesztő rendszerek elkülönítésének megfelelősségét az éles
−
Felügyeli az informatikai központokat, eszközöket és infrastruktúrát érintő
rendszertől. karbantartási terveket. −
Felügyeli a beruházásokat, a fejlesztéseket és az üzemvitelt informatikai biztonsági szempontból, illetve azokra javaslatot tesz.
−
Az új biztonságtechnikai eszközök és szoftverek tesztelésére ajánlást ad.
−
Szúrópróbaszerűen ellenőrzi: o
az egyes felhasználói gépek hardverkonfigurációját, és a telepített szoftvereket összeveti a felhasználónak engedélyezett szoftverek listájával;
18. oldal
o
hogy a rendszerben aktuálisan beállított felhasználói jogosultságok megegyeznek-e a jóváhagyott – a jogosultsági nyilvántartásban is szereplő – jogosultságokkal;
o
hogy a javításra kiszállított eszközökön adat ne kerüljön ki;
o
az adathordozók selejtezését.
−
Értékeli a rendszer eseménynaplóit.
−
Ellenőrzi a víruskereső programok használatát.
−
Ellenőrzi a dokumentációk meglétét és megfelelősségét (teljes körű, aktuális).
−
Ellenőrzi, hogy a vonatkozó informatikai biztonsági követelményeket a rendszerek fejlesztési és az alkalmazási dokumentációiban is megjelenítik-e.
−
Amennyiben
új
fenyegetéseket
észlel,
vagy
hatékonyabb
biztonsági
intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem erősítését. −
Az
adott
szakterületek
feladatkörökhöz
vezetőivel
tartozóan
az
egyeztetve
informatikai
meghatározza
biztonsággal
az
egyes
kapcsolatosan
elsajátítandó ismeretek körét, és ellenőrzi az elsajátítás tényét. −
Javaslatot tesz az informatikai biztonságot erősítő továbbképzésre.
−
Az IBSZ-t évente felülvizsgálja, és javaslatot tesz a gyakorlati tapasztalatok, előfordult informatikai rendkívüli események, a jogszabályi környezet változásai, a
technikai
fejlődés,
az
alkalmazott
új
informatikai
eszközök,
új
programrendszerek, fejlesztési és védelmi eljárások miatt szükségessé váló módosításokra. −
Javaslattételi joga van a fokozott és kiemelt védelmi osztályba sorolt informatikai rendszerek hozzáférési jogosultságainak kiadásában.
5.1.3.BIZTONSÁGI SZOLGÁLAT A
biztonsági
szolgálat
feladatait,
jogait
és
kötelezettségeit
a
Kormányhivatal
objektumvédelmi szabályzatában kell meghatározni. 5.1.4.SPECIÁLIS ÜZEMELTETÉSI SZOLGÁLAT A KIEMELT VÉDETTSÉGŰ IDŐSZAKRA Kiemelt védettségű időszakra (pl. választás) a Kormánymegbízott, vagy az Informatikai Osztály vezetője jogosult elrendelni speciális üzemeltetési szolgálatot. A szolgálatban résztvevő (külső és belső) személyek, illetve cégek körét és a szolgálati feladatok ütemezését az Informatikai Osztály vezetője határozza meg. A
szolgálat
feladata,
hogy
a
kiemelt
időszakban
a
hibákra
(leállás,
teljesítménycsökkenés stb.) történő reagálás a lehető leggyorsabban megtörténjen. Ezen belül a hiba megállapítása és javítása, illetve szükség esetén a tartalékmegoldások üzembe állítása minél előbb megtörténjen. A speciális üzemeltetési szolgálatot úgy kell megszervezni, hogy biztonsági incidensek, vagy azok gyanúja esetén a szolgálat képes legyen a legnagyobb kockázatot jelentő biztonsági incidensek (pl. betörési kísérlet, DOS támadás) azonnali kezelésére is. A speciális üzemeltetési szolgálat résztvevőiről előre listát kell készíteni, amelyet az Informatikai Osztály vezetője hagy jóvá. Gondoskodni kell arról, hogy a kiemelt időszakban az informatikai központokba kizárólag a listán szereplő személyek léphessenek be. Ennek esetleges változtatásait szintén az Informatikai Osztály vezetőjének kell engedélyeznie.
19. oldal
5.2.
KÜLSŐ SZEMÉLYEK HOZZÁFÉRÉSÉNEK INFORMATIKAI BIZTONSÁGA 5.2.1.KÜLSŐ SZEMÉLYEK FOGALMÁNAK MEGHATÁROZÁSA Külső fél meghatározás alatt azon természetes, jogi személy értendő, akiknek a Kormányhivatallal, illetve a szakmai irányító szervekkel kötött szerződéses kapcsolat keretében az Informatikai Osztály által kezelt, vagy felügyelt területen a Kormányhivatal, illetőleg szakmai irányító szervek megrendelésére informatikával kapcsolatos munkát, vagy tevékenységet végez. A munka során az Informatikai Osztály gondoskodik a támogatás és felügyelet biztosításáról. A szakmai irányító szervek körét a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (a továbbiakban: KEK KH), a Miniszterelnökség szakmai informatikai szervezeti egységei, valamint a szakigazgatási feladatot ellátó szervezeti egységek központi szakmai irányító szervei alkotják. KEK KH feladatai: −
Szakmai irányítást gyakorol a kormányhivatalok informatikai tevékenysége felett, melynek keretében gondoskodik az informatikai üzemeltetés feltételeinek meghatározásáról, valamint egyetértési jogot gyakorol az informatikai tárgyú szerződések megkötése során.
−
Közreműködik a közigazgatás korszerűsítésével és az e-közigazgatással összefüggő kormányzati stratégiai célok megvalósításában.
−
Biztosítja a 276/2006. (XII. 23.) Korm. rendeletben meghatározott feladatainak ellátásához az okmányirodákba és kormányablakokba telepített technikai eszközöket.
−
Működteti az Elektronikus Anyakönyvi Rendszert.
−
Gondoskodik a kezelésében lévő, a nemzeti adatvagyon körébe tartozó nyilvántartások fokozott védelméről, valamint a vonatkozó adatvédelmi és adatbiztonsági rendelkezések betartásáról.
−
Közreműködik a fővárosi és megyei kormányhivatalok integrált ügyfélszolgálatai működésének megszervezésében, részt vesz azok fejlesztésében.
−
Az elektronikus ügyintézési felügyeletnek a közigazgatási szervek hatósági eljárásaiban
használt,
elektronikusan
kitölthető
űrlapok
engedélyezésére
irányuló eljárásában – az űrlapok logikai és formai ellenőrzése, valamint minőségbiztosítása szakkérdésben – szakhatóságként közreműködik.
20. oldal
A szakigazgatási feladatot ellátó szervezeti egységek központi szakmai irányító szerveinek feladatai: −
Irányítják a szakigazgatási feladatot ellátó szervezeti egységek szakmai munkáját,
biztosítják
a
tevékenységek
ellátásához
szükséges
szakmai
alkalmazások rendelkezésre állását, fejlesztését. −
Támogatást adnak a szakmai feladatok ellátásához szükséges egységes szakmai követelményrendszer, dokumentáció, szakanyag, jogszabályi háttér biztosításával.
−
Javaslatot
adnak
a
berendezések
és
műszerek
beszerzésével
és
−
A közös munka során együttműködnek a Kormányhivatallal a megkötött
üzemeltetésével kapcsolatban. megállapodásokra tekintettel, figyelembe véve egymás érdekeit. Társhatóságok feladatai: −
A Kormányhivatal ellenőrzését és felülvizsgálatát végzik az érintett területeken (pl.: katasztrófavédelem stb.). Az Informatikai Osztály képviselője segíti az ellenőrzési tevékenységüket, kíséri és tájékoztatja szakértőiket a felmerülő informatikai kérdésekben.
Nemzeti Infokommunikációs Szolgáltató ZRT (NISZ) feladatai: −
A kormányzati célú hírközlési szolgáltató feladata az elektronikus kormányzati szolgáltatások centrális hálózatának, a Központi Rendszernek az üzemeltetése, valamint az elektronikus kormányzás alapinfrastruktúrájának működtetése.
−
Biztosítja a kormányhivatali infokommunikációs hálózat csatlakoztatását a Nemzeti Távközlési Gerinchálózaton keresztül az egységes kormányzati hálózatra.
−
Gondoskodik a felhordó hálózatok fizikai kialakításáról (migrálás, létesítés, változtatás).
5.2.2.BIZTONSÁGI KÖVETELMÉNYEK KÜLSŐ FELEK FELÉ A társhatóságokkal a Kormányhivatal megállapodás, vagy törvényi előírások szerint működik együtt, ezért a működés biztonsági szabályait ezen keretek szabályozzák. A külső fél munkavégzése során – a társhatóságok kivételével – az Informatikai Osztály szerződéses kötelezettség alapján és személyes ellenőrzésen keresztül (kapcsolattartó) gondoskodik az alábbi követelmények teljesüléséről: −
Az informatikai rendszer integritása és az adatvédelem elvei nem sérülhetnek.
−
A hozzáférési jogot kapott partnerek (szervezetek, személyek) ezt a jogot tovább nem adhatják.
−
A hozzáférési azonosítókat (behívószám, login név, jelszó stb.) a külső félnek titkosan kell kezelnie, biztosítania szükséges, hogy azokhoz illetéktelenek ne férhessenek hozzá.
−
A külső félnek garantálnia kell, hogy azokon a gépeken, amelyeken keresztül a rendszerhez hozzáférnek, nincsenek backdoor programok. Ha ezek a gépek hálózatba vannak kötve, akkor a hálózat valamennyi gépére ki kell terjeszteni ezt a garanciát.
21. oldal
−
Rögzíteni kell, hogy a hozzáférés bármely, a rendszer integritását sértő célból történő
felhasználási
kísérlete
a
hatályos
jogszabályok
szerint
bűncselekménynek minősül. −
Ha külső fél távolról éri el a Kormányhivatal hálózatát, illetve valamely informatikai rendszerét, akkor a biztonságos elektronikus adatcsere kapcsolat érdekében a külső fél köteles a Kormányhivatal által előírt biztonsági megoldásokat (pl. VPN kapcsolatot) megvalósítani mindazon saját eszközein, amelyekről a távoli elérés lehetséges.
Bizalmas adatforgalom a Kormányhivatal és a külső fél között csak megfelelő titkosítási eljárás alkalmazása mellett történhet. 5.2.3.TECHNIKAI SPECIFIKÁCIÓK Amennyiben a külső fél az IBSZ hatálya alá tartozó rendszerek, vagy rendszerelemek vonatkozásában szolgáltatást nyújt, akkor 1. első lépésben részletesen meg kell határozni az érintett rendszerelemeket és az érintett folyamatokat; 2. ezt követően meg kell határozni azokat a paramétereket (normál üzemmódban minimálisan rendelkezésre álló eszközök számát, egyidejűleg működőképes eszközöket és operációs rendszer szoftvereket (típusonként), alkalmazások használóinak (típusonként) minimális számát, a maximális egyedi és átlagos kiesési időket, az üzemszerű módosítások átvezetésének maximális idejét, upgrade-ek követési idejét), amelyeket a külső partnernek el kell érnie ahhoz, hogy igazolható legyen a teljesítés. Arra az esetre, ha a teljesítés nem érte el a kitűzött paramétereket, a szerződésben meg kell határozni az alkalmazható szankciókat. 5.2.4.A SZOLGÁLTATÁSOK FOLYAMATOSSÁGA Az Informatikai Osztály vezetőjének mérlegelnie kell a külső féllel kapcsolatos rendelkezésre állási kockázatokat is. Amennyiben ez a Kormányhivatal által nyújtott szolgáltatások folyamatosságához szükséges, a külső féllel olyan szerződést kell kötni, amely a megfelelő rendelkezésre állási kötelezettségeket tartalmazza. 5.2.5.FELADATMEGOSZTÁS Eszköz és alkalmazás csoportonként, ezen belül feladatokra lebontva részletesen és pontosan rögzíteni kell a szolgáltatást nyújtó külső partner és a belső munkatársak közötti feladat és felelősség megosztást, az egymás tájékoztatásának és a munkák átadásának, illetve átvételének folyamatát, az események dokumentálását. 5.2.6.A SZOLGÁLTATÁSOK BIZTONSÁGA A külső szolgáltatások igénybevételénél mérlegelni kell, hogy a külső partner által nyújtott szolgáltatásnak milyen informatikai biztonsági vonatkozásai, kockázatai vannak. Ezzel
arányosan
kell
meghatározni
a
külső
fél
által
teljesítendő
biztonsági
kötelezettségeket, amelyeket írásos megállapodásban a szerződés szerves részeként kell rögzíteni. A külső (harmadik) féllel, a szolgáltatást nyújtókkal kialakított kapcsolatnál a Kormányhivatalnak biztosítania kell a biztonsági megállapodások (pl. titoktartási
22. oldal
nyilatkozat) megfogalmazását, egyértelmű kinyilatkoztatását és elfogadását, és azt, hogy ezek a megállapodások feleljenek meg az általános igazgatási normáknak, álljanak összhangban a jogi és szabályozási követelményekkel, beleértve a kötelezettségeket is. Az így létrejött megállapodásokat (ezen belül minden titoktartási nyilatkozatot) biztonságos helyen, könnyen azonosítható, előkereshető módon kell tárolni, melyről az Informatikai Osztály vezetője köteles gondoskodni. 5.2.7.FELÜGYELET Az Informatikai Osztály vezetőjének
a külső (harmadik) fél részéről nyújtott
szolgáltatások figyelésére olyan folyamatot kell kialakítania, amely biztosítani tudja a szerződéses megállapodások folyamatos, pontos betartatását. 5.2.8.A SZOLGÁLTATÁSOK ELLENŐRZÉSE, SZANKCIÓK A külső felek által nyújtott szolgáltatások ellenőrzését rendszeresen kell végezni, és bármely felmerülő együttműködési probléma esetén ki kell deríteni annak okát. A hiba okának gyors és hatékony orvoslása érdekében meg kell tenni a szükséges intézkedéseket. A külső féllel kötött szerződésben meg kell határozni, hogy a szolgáltatást nyújtó külső partner
nem
teljesítése,
hibája,
vétkessége
esetén
a
Kormányhivatal
milyen
kompenzációra, illetve kártérítésre tarthat igényt, és azt milyen módon érvényesítheti, külön meghatározva a biztonsági előírások megsértése esetére vonatkozó szabályokat. 5.2.9.BESZERZÉSEK, KAPCSOLÓDÓ DOKUMENTUMKEZELÉS A beszerzési folyamathoz kapcsolódó dokumentumkezelés és minőségbiztosítás biztonsági vonatkozásait az IBSZ 14. fejezete tartalmazza. 6. AZ INFORMÁCIÓ VAGYON VÉDELMÉNEK SZABÁLYAI 6.1.
AZ INFORMÁCIÓ VAGYON ELSZÁMOLTATHATÓ KEZELÉSE 6.1.1.TITOKVÉDELEM A Kormányhivatal informatikai adatfeldolgozással és kezeléssel, valamint közzététellel foglalkozó minden munkatársának informatikai munkája során kötelessége betartani a Kormányhivatalnak az adatkezelés és az adatvédelem általános szabályairól szóló szabályzatát, valamint a közérdekű adatok elektronikus közzétételére vonatkozó tevékenységről szóló szabályzatát. A Kormányhivatal informatikai rendszeréről és eszközeiről – a KEK KH-val egyeztetve – kizárólag az Informatikai Osztály szolgáltathat adatokat. A Kormányhivatal döntése alapján bevezetett alkalmazói rendszerek bevezetésében és felhasználásában közreműködő külső fél munkatársai és vezetői a Hivatalnál rendszeresített titoktartási nyilatkozat tételére kötelesek. A titoktartási kötelezettség kiterjed az alkalmazói rendszerekkel kapcsolatos, illetve ezek bevezetése során tudomásra jutó információkra. Az alkalmazói rendszerek bevezetése és működtetése kapcsán a rendszerekkel kapcsolatba kerülő külső szervezetek, személyek felelősségi köre a tudomásukra jutott információk vonatkozásában kiterjed:
23. oldal
−
kizárólagosan
a
Kormányhivatal
által
meghatározott
célokra
történő
felhasználásra; −
harmadik személy részére a Kormányhivatal képviselőjének írásos engedélye
−
a hivatali tevékenységre vonatkozó információknak a Kormányhivatal írásos
nélküli továbbítás tilalmára; engedélye nélküli rögzítése tilalmára. 6.1.2.ADATVÉDELEM Minden felhasználó (adatfeldolgozó) az általa végzett elektronikus adatfeldolgozás során személyesen felelős az adatvédelmi szabályok és információbiztonsági előírások betartásáért. Külső fél munkavégzése során törekedni kell arra, hogy a feladatához szükségtelen hivatali adat, információ ne kerüljön tudomására, valamint csak a feltétlenül szükséges adat birtoklásáról és az információ megismeréséről nyilatkozzon, és ha szükséges titoktartási nyilatkozatot tegyen. 6.1.3.INFORMÁCIÓVÉDELEM A Kormányhivatal számítógépeiről, szervereiről – a munkahelyi célú felhasználás kivételével
–
nem
engedélyezett
programok,
minősített
adatot
tartalmazó
adatállományok, illetve a munkavégzés során szerzett egyéb adatok, információk másolása, azok más, illetéktelen személyekkel történő megismertetése. A minősített adatok kezelésére a Kormányhivatal minősített adatok védelmére irányadó rendelkezései vonatkoznak. Nyomatképző berendezések (fénymásoló, nyomtató stb.) használata során gondoskodni kell a felesleges, vagy rontott iratpéldányok megsemmisítéséről. Az eszközök (monitorok, nyomtatók, fénymásolók) elhelyezése során biztosítani kell, hogy bizalmas információ illetéktelen tudomására ne juthasson. Adathordozók és nyomtatványok tárolása során gondoskodni kell az illetéktelen személyek elleni hozzáférés megakadályozásáról. 6.1.4.IT BIZTONSÁG Az IT biztonsággal szemben választott követelmények az informatikai rendszerek által kezelt adatok −
hitelességének (az információ megbízhatóságának és a közlő egyértelmű
−
bizalmasságának (az információ jogosulatlan felhasználóktól való védelme),
−
sértetlenségének (az információ pontosságának és teljességének megtartása),
−
rendelkezésre állásának (annak biztosítása, hogy az információ hozzáférhető
azonosításának biztosítása),
legyen az arra jogosult felhasználók számára, amikor azt igénylik) megőrzésére irányulnak. 6.2.
INFORMÁCIÓ BIZTONSÁG KÖVETELMÉNYEI 6.2.1.BIZALMASSÁG A Kormányhivatal területén végzett minden ügyfélforgalmi és ügyfél kiszolgálási tevékenység során szem előtt kell tartani az ügyfelek adatainak és információinak, az 24. oldal
ügyük elemeinek bizalmas jellegét, ezért az informatikai struktúrát és környezetett ennek megfelelően kell kialakítani.
6.2.2.SÉRTETLENSÉG Számítógép-,
vagy
programhibából
eredő
adatvesztés
gyanúja
esetén
az
-
adatfeldolgozás szüneteltetése mellett – a kijelölt informatikust haladéktalanul értesíteni kell. Az értesítés módja személyes, vagy telefonos értesítés, vagy az intranetes portál HelpDesk alkalmazásában tett bejelentés. A probléma tisztázása után az informatikus útmutatása szerint kell folytatni az adatrögzítést, illetve adatfeldolgozást. Az alkalmazások használata során az adatok felvitelét, módosítását, törlését kizárólag csak az Informatikai Osztály által elfogadott és biztosított, a feldolgozásra készült programmal – szigorúan követve a felhasználói dokumentáció útmutatását – lehet elvégezni. Az
alkalmazásokhoz és
hálózati
mappákhoz (könyvtárakhoz)
való
hozzáférés
(jogosultságok) dokumentált engedélyeztetése útján gondoskodni kell arról, hogy jogosulatlan felhasználó azokat ne módosíthassa és ne törölhesse. A mentések és archívumok tárolása, valamint őrzése során biztosítani kell az adatok sértetlenségét. 6.2.3.RENDELKEZÉSRE ÁLLÁS Az Informatikai Osztály feladata biztosítani az informatikai rendszerek folyamatos rendelkezésre állását az alábbi eszközök felhasználásával: −
preventív módon a rendszeres adatmentések és szoftvertelepítő készletek megfelelő biztosításával és tárolásával, valamint a szükséges karbantartási tevékenységek elvégzésével;
−
tartalék eszközök és alkatrészek biztosításával, helyreállítási módszerleírások, vészforgatókönyvek naprakész biztosításával.
6.3.
AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSA 6.3.1.ÚTMUTATÓ AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSÁHOZ A rendszerek információvagyonának biztonsági szempontú osztályozása az adatok bizalmassága, megőrzési követelményei és hitelessége szempontjából történik, alkalmazva az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 7-10. §-aiban foglaltakat. 6.3.2.INFORMÁCIÓ VAGYON OSZTÁLYAI −
A közérdekű, illetve a közérdekből nyilvános adatokat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) határozza meg.
−
A közérdekű adat nyilvánosságához fűződő jogok minősítéssel történő korlátozását a minősített adat védelméről szóló 2009. évi CLV. törvény szabályozza.
−
A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú
25. oldal
információs
rendszerek
és
rendszerelemek
biztonságával
kapcsolatos
rendelkezéseket az Ibtv. határozza meg. −
Az üzleti titok körébe tartozó adatokat a Polgári Törvénykönyvről szóló 2013. évi V.
−
Az adatok minősítője, amennyiben azt jogszabály nem szabályozza, annak a
törvény határozza meg. szervezeti egységnek a vezetője, amelynek érdekkörébe az adat tartozik. −
A rendszerekben nyilvánosnak csak a Kormányhivatal által egyértelműen annak minősített információ tekinthető.
−
A nyilvános adatok kivételével valamennyi adatot legalább érzékeny adatnak kell tekinteni és bizalmasként (védendő nem titkos adat) kell kezelni.
6.3.3.INFORMÁCIÓ VAGYON NYILVÁNTARTÁSA Az adatkezelésre vonatkozó szabályokat az Info tv. tartalmazza. Az informatikai adatkezelés és adatfeldolgozási munka során a Kormányhivatalnak az adatkezelés és adatvédelem általános szabályaira vonatkozó szabályzata szerint kell eljárni. 6.4.
ADATKEZELÉS 6.4.1.KÜLÖNLEGES ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről szóló szabályzatában foglaltakat kell alkalmazni. 6.4.2.SZEMÉLYES ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről szóló szabályzatában foglaltakat kell alkalmazni. 6.4.3.KÖZÉRDEKŰ ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről, a közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni. 6.4.4.KÖZÉRDEKBŐL NYILVÁNOS ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről, a közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni. 6.4.5.NYILVÁNOS ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről, a közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni.
6.5.
VÉDELEM MÓDSZEREI 6.5.1.ÁLTALÁNOS VÉDELEM A Kormányhivatal informatikai hálózatában az internet kijárat védelme érdekében biztonsági és védelmi megoldásokat kell alkalmazni. Gondoskodni kell a hálózat fizikai elemeinek védelméről:
26. oldal
−
a
vezetékek
és
végpontok
illetéktelenek
általi
hozzáférésének
megakadályozásáról, −
vezeték nélküli kapcsolatok megfelelő titkosításáról,
−
eszközhöz való illetéktelen hozzáférés megakadályozásáról.
6.5.2.PROAKTÍV VÉDELEM Az Informatikai Osztály gondoskodik a Kormányhivatal informatikai rendszerének behatolás elleni védeleméről (tűzfal), az erre vonatkozó szakmai előírások és a biztonsági szabályok betartása mellett. Az informatikai rendszert automatikus vírusvédelmi rendszerrel kell ellátni, üzemeltetését és felügyeletét a központi szervekkel együttműködve az Informatikai Osztály látja el. Az Informatikai Osztály feladata a vírusvédelmi rendszer oly módon történő konfigurálása, hogy −
minden kimeneti és bemeneti eszköz és csatorna esetében folyamatos legyen a valósidejű vírusfigyelés;
−
a vírusvédelmi szoftver vírustalálat esetén a vírust távolítsa el az érintett fájlból, vagy a fájlt helyezze karanténba;
−
a vírusvédelmi szoftver vírusincidens esetén küldjön értesítést az Informatikai
−
a kliens gépeken teljes víruskeresés történjen legalább havi egy alkalommal
Osztálynak; olyan időszakban, amikor a legtöbb kliens gép be van kapcsolva, de a gépek leterheltsége a lehető legkisebb. Szerverek esetén alkalmazandó vírusvédelmi eljárások: −
Minden
szerverhez,
amelyhez
kereskedelmi
forgalomban
beszerezhető
vírusvédelmi szoftver, azt be kell szerezni, és telepíteni kell. −
Biztosítani kell, hogy a szerveroldali vírusvédelmi szoftver, víruskereső motor és
−
A levelező szerver esetében a levelezésért felelős alkalmazásba beépülő, a
vírusminta adatbázisa automatikusan frissüljön. levélforgalom vizsgálatát végző vírusvédelmi szoftvert kell alkalmazni. Az elektronikus levelezés biztonsági irányelveinek érvényesítéséről a levelező rendszer üzemeltetője felelős. Az irányelvek a következők: −
a folyamatos üzembiztonság megvalósítása;
−
az elektronikus küldemények adatintegritásának megtartása;
−
a levelezőrendszer vírusvédelmének biztosítása és folyamatos frissítése;
−
az elektronikus levelező eszközök, elsősorban a szerverek fizikai és logikai védelme (szoftverfrissítések, szerviz csomagok és biztonsági hibajavítások telepítése).
6.5.3.DEFENZÍV VÉDELEM Az Informatikai Osztály által felügyelt területen és szervezeti egységeknél informatikai hálózatot, illetve vezetékes, vagy mobil internet kapcsolatot csak az Informatikai Osztály engedélyezhet, hagyhat jóvá és hozhat létre. Az NTG kapcsolat mellett egy időben másik hálózati kapcsolatot létesíteni tilos.
27. oldal
A használatra kapott számítógép rendszerszintű beállításainak módosítása nem engedélyezett. (Ebbe nem értendők bele az irodai programok felhasználói beállításai). A
felhasználónak
a
vírusvédelmi
programot
inaktívvá
tenni,
a
beállításokat
megváltoztatni, a vírusvédelmet eltávolítani nem engedélyezett. Vírussal fertőzött fájlt, vagy elektronikus adathordozót bármilyen formában továbbítani, továbbadni, illetve fertőzött állománnyal munkát végezni nem engedélyezett. A Kormányhivatalban az elektronikus levelezést Miniszterelnökség által kijelölt szervnél, vagy a szakigazgatási feladatot ellátó szervezeti egységek központi szerveinél üzemeltetett levelező szerverek biztosítják. Más levelező rendszer használata hivatalos levelezésre nem alkalmazható. Az Informatikai Osztály más levelező rendszer használatát biztonsági okból korlátozhatja, vagy letilthatja. A Kormányhivatal informatikai rendszerébe és informatikai eszközén csak azon szoftvert szabad telepíteni és használni, amelyik: −
a Kormányhivatal által jóváhagyott, telepítésre kiadott és engedélyezett nyílt forráskódú szoftver;
−
szerzői jog szerint biztosított licencigazolással, illetve más jogi igazolással rendelkező, illetve tulajdonosi, vagy használói szerződéssel biztosított hivatalos forrásból származó jogtiszta szoftver;
−
a szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szervei felelősségi körébe tartózó és részükről rendelkezésre bocsátott telepítési utasítással, vagy más megállapodással kiadott szoftver.
7. A HR ERŐFORRÁSOKRA VONATKOZÓ BIZTONSÁGI SZABÁLYOK 7.1.
MUNKAKÖRI BIZTONSÁGI ELŐÍRÁSOK 7.1.1.ÁLTALÁNOS BIZTONSÁGI KÖTELEZETTSÉGEK −
Az informatikai rendszerek használata csak hivatalos célokra engedélyezett.
−
A használt informatikai eszközpark kezelésével kapcsolatos kezelési és biztonsági ismereteket el kell sajátítani és készség szintjére kell fejleszteni.
−
A rendszerekbe csak szabályszerűen, a személyes felhasználó-azonosító kóddal szabad bejelentkezni.
−
Az informatikai rendszerekben kizárólag azokat a feladatokat szabad elvégezni, amelyek a felhasználó, vagy üzemeltető munkájának ellátásához szükségesek, függetlenül attól, hogy a rendszer esetleg ennél szélesebb körű tevékenységet enged meg.
−
Minden
személynek
biztosítania
kell,
hogy
felhasználó-azonosítóját
más
felhasználók ne tudják használni. −
A képernyőket, nyomtatókat úgy kell elhelyezni, hogy azok minél kevesebb lehetőséget biztosítsanak illetéktelen betekintésre.
−
A Kormányhivatal által rendszeresített biztonsági funkciókat (például automatikus képernyővédő-aktiválás) kikapcsolni, megkerülni tilos.
−
A Kormányhivatal eszközein csak a Kormányhivatal által engedélyezett eszközöket és programokat szabad használni.
−
Tartózkodni kell minden olyan tevékenységtől, amely az informatikai rendszerben kárt okoz a biztonság, a sértetlenség és teljesítmény terén.
28. oldal
−
Az információtechnológiai biztonságra és az adatvédelemre vonatkozó minden egyéb utasítást és jogszabályt be kell tartani.
−
Esetleges meghibásodás eseten törekedni kell a további károsodás megelőzésére (a hiba jelentésével, a további használat mellőzésével stb.).
−
A felhasználónak, vagy üzemeltetőnek ismernie kell a segítségkérés és hibajelentés módját. Amennyiben ez az ismeret nem áll rendelkezésére, hiba esetén értesítenie kell a munkahelyi vezetőjét, külső személyek esetén a Kormányhivatal kijelölt kapcsolattartóját.
−
Az informatikai biztonságot veszélyeztető eseményről, vagy ennek gyanújáról értesíteni kell az informatikust és a munkahelyi vezetőt, külső személyek esetén a Kormányhivatal kijelölt kapcsolattartóját.
−
A közvetlen munkahelyi vezető (külső személyek esetén a Hivatal kijelölt kapcsolattartója) a felelős azért, hogy a fenti szabályokat az érintettekkel ismertesse.
7.1.2.A JELSZÓKEZELÉS ÁLTALÁNOS SZABÁLYAI A felhasználó, illetve informatikus a számítógépre csak saját nevében és jelszavával léphet be, és az alkalmazásokat csak saját nevében használhatja. Ettől eltérően indokolt esetben, az illetékes szervezeti egység vezetőjének kérésére, az Informatikai Osztály vezetőjének egyedi írásos engedélyének birtokában járhat el. A jelszó érvényességi idejét, ezzel együtt a jelszócsere gyakoriságát az informatikai rendszer központi szabályozása, vagy a használt rendszer működése határozza meg. A jelszó cseréjét ezen értesítés hiányában legalább 90 naponta kötelező elvégezni. Ha az informatika
rendszer
lehetővé
teszi,
törekedni
kell
arra,
hogy
a
jelszócsere
kikényszerítésre kerüljön, illetve a felhasználó elektronikus értesítést kapjon a jelszó cseréjének szükségességéről. A felhasználó jelszókezelési szabályai: −
jelszavak nem hozhatók nyilvánosságra;
−
a jelszavak biztonságának megőrzéséért a felhasználó személyesen felel;
−
a felhasználó a jelszavát nem oszthatja meg senkivel;
−
ha a felhasználónak a legkisebb gyanúja is felmerül, a jelszó biztonságának integritása felől, azt köteles azonnal megváltoztatni és gyanújáról az Informatikai Osztályt értesíteni;
−
más felhasználó azonosítóját átmeneti jelleggel sem szabad használni;
−
a felhasználó
köteles
a jelszavát
az előírt
gyakorisággal
és
módon
megváltoztatni. A felhasználói azonosító kialakításáról és az informatikai rendszerbe történő felvételéről az
Informatikai
Osztály
informatikusai
gondoskodnak.
Az
Informatikai
Osztály
alapértelmezett jelszóval adja át az első belépéshez szükséges információt a felhasználónak, akinek
a jelszót
az első
belépés
után kötelessége
azonnal
megváltoztatni. Új belépő, vagy új hozzáférés kiosztása esetén a kijelölt informatikus szóban, vagy írásban ismerteti a felhasználóval a munkájához szükséges felhasználó nevét és induló jelszavát és az első belépést követően elkészíti az informatikai eszközein a szükséges beállításokat.
29. oldal
Ha a felhasználónak tudomása, vagy gyanúja van arról, hogy jelszava valakinek tudomására jutott, akkor erről a tényről az Informatikai Osztály kijelölt informatikusát tájékoztatni kell és a jelszót azonnal meg kell változtatnia.
7.1.3.KEZELŐI TITOKTARTÁSI NYILATKOZAT Ha a Kormányhivatal, vagy a központi szervek üzemeltetési megállapodásai előírják, akkor az alkalmazások használóinak (felhasználóknak) titoktartási nyilatkozatot kell tenniük, hogy jogosultságot kapjanak az alkalmazásokhoz. 7.2.
FELHASZNÁLÓK OKTATÁSA, KÉPZÉSE 7.2.1.INFORMATIKAI BIZTONSÁGI OKTATÁS ÉS KÉPZÉS A Kormányhivatal rendszereit csak olyan személyek használhatják, akik megfelelő informatikai ismeretekkel rendelkeznek. Az új belépő közszolgálati tisztviselőt az illetékes szervezeti egység vezetője utasítja a szükséges informatikai ismeretek megismerésére. Ezt követően a kijelölt informatikus tájékoztatja a felhasználót az informatikai rendszer használatához szükséges alapvető ismeretekről és eljárásokról, a rá vonatkozó informatikai szabályzatok
elérhetőségéről, és
felkéri annak
megismerésére és
betartására. A szükséges informatikai ismeretek és az informatikai szabályzatok megismerésének tényét a dolgozó aláírásával igazolja (IBNY16 melléklet). A
belső
informatikai
biztonsági
oktatások
és
továbbképzések
tematikájának
kidolgozásáért, a szükséges tájékoztató anyagok biztosításáért az informatikai biztonsági megbízott a felelős. Az oktatáson, illetve továbbképzésen való részvétel az informatikai rendszerek felhasználói számára kötelezőek. A megjelenést a résztvevők aláírásukkal igazolják. Minden
felhasználó
köteles
a
vonatkozó
informatikai-szakmai
szabályzatokat
megismerni és betartani, illetve köteles ezek betartása során az informatikai rendszer használatát irányító személyekkel együttműködni. 7.2.2.INFORMATIKAI BIZTONSÁG ÉRTÉKELÉSE Az informatika biztonsági megbízott évente egyszer köteles jelentést készíteni az Informatikai Osztály vezetője részére a felhasználók oktatásáról. Az informatika biztonsági megbízott évente egyszer köteles jelentést készíteni az IBSZ szabályainak figyelembevételével az informatikai folyamatok felhasználókat érintő ellenőrzéséről. 8. AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE 8.1.
IT BIZTONSÁGI INCIDENSEK JELENTÉSI KÖTELEZETTSÉGE
Az informatikai rendszereket érintő,
vagy azokkal összefüggésbe
hozható bármilyen
bekövetkezett, illetve előre látható biztonsági eseményt (betörés, lopás, tűz, víz, villámcsapás, balesetveszélyes eszköz, eszköz elvesztése, vagy eltűnése stb.) az Informatikai Osztály felé az eseményt észlelőnek azonnal jeleznie kell. A felhasználó köteles jelezni az Informatikai Osztálynak bármely, az informatikai biztonságot érintő gyanús eseményt (pl.: előző nap lekapcsolt, de reggel bekapcsolva talált gépet), vagy ezzel kapcsolatos gyanúját. 30. oldal
8.2.
IT BIZTONSÁGI INCIDENSEK JELENTÉSÉNEK MÓDJA
Felhasználói hiba észlelés: haladéktalanul értesíteni kell telefonon, vagy személyesen az Informatikai Osztály
−
munkatársát; az eseményt, bekövetkezése után lehetőség szerint azonnal, vagy rövid időn belül,
−
írásban (e-mail, levél), vagy a Kormányhivatal HelpDesk rendszerében is jelezni kell, központi
−
üzemeltetésű
szakmai
alkalmazással
kapcsolatos
probléma
esetén
a
Kormányhivatal szakigazgatási feladatot ellátó szervezeti egységek ügyintézője a hibát közvetlenül a központi szakigazgatási szerv szakmai HelpDesk rendszerébe is bejelentheti. Biztonsági esemény esetén: Haladéktalanul telefonon értesíteni kell az Informatikai Osztály vezetőjét, vagy helyettesét,
−
aki az esemény jellegétől függően intézkedik, indokolt esetben tájékoztatja a főigazgatót. Az eseményt követően az eseményről jegyzőkönyvet kell készíteni, és azt az Informatikai
−
Osztály részére írásban meg kell küldeni. A jegyzőkönyvben rögzíteni kell az esemény részleteit, valamint az informatikai központban tartózkodók nevét, a tartózkodás időtartamát és okát. 8.3.
IT BIZTONSÁGI HIÁNYOSSÁGOK JELENTÉSI KÖTELEZETTSÉGE
Az informatikai rendszer bármely felhasználói pontján jelentkező, a hálózattal, eszközzel, illetve adott alkalmazással kapcsolatban felmerülő rendellenes működés, jelenség, vírusjelzés, futási hiba esetén használója köteles a tapasztalt jelenséget, és ha van, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni a kijelölt informatikus felé. 8.4.
INCIDENSEK NYILVÁNTARTÁSA ÉS KIVIZSGÁLÁSA
Az informatikai incidenseket az Informatikai Osztály munkatársai, illetve a felhasználók az Kormányhivatal HelpDesk rendszerében rögzítik, vagy rögzíttetik, és az incidenseket ott tartják nyilván. Az Informatikai Osztály kijelölt szakembere, vagy az informatikai biztonsági megbízott a rendelkezésre álló nyilvántartásokat (HelpDesk adatbázis alkalmazás digitális adatait, papíralapú eseménynaplókat, belépési naplókat) negyedévente elemzi és a tanulságokat felhasználja:
8.5.
−
beszerzések tervezésénél;
−
selejtezések tervezésénél;
−
biztonsági konzekvenciák levonásakor;
−
beszámoló készítésekor;
−
IBSZ felülvizsgálatakor.
VISSZAJELZÉS A BIZTONSÁGI INCIDENSEKRŐL
A kijelölt informatikus a hiba elhárítása érdekében intézkedik, vagy a probléma elhárítását elvégzi, a hiba megszüntetéséről és a további teendőkről a felhasználót folyamatosan tájékoztatja, helyettesítő eszköz biztosításával gondoskodik a felhasználó munkavégzési lehetőségéről. 8.6.
ELJÁRÁS A BIZTONSÁGI ELŐÍRÁSOK MEGSÉRTŐIVEL SZEMBEN
Az informatikai rendszer rendellenes működése, vagy a biztonságot veszélyeztető esemény elhárítása érdekében az informatikai eszközök használatát, a hálózat működését, az internet és 31. oldal
levelezés használatát az Informatikai Osztály részben, vagy egészében korlátozhatja, illetve leállíthatja a szervezeti egység vezetőjével történt egyeztetést követően. A Kormányhivatal jogkövetkezményeket alkalmazhat az internethasználat és elektronikus levelezés szabályainak megszegése esetén, ha a felhasználó az internetezés során a figyelmeztetését követően is szándékosan és rendszeresen: −
megszegi az internethasználat szabályait;
−
olyan magatartást tanúsít, melyek által súlyosan vét a hivatásetikai szabályok ellen;
−
tiltott tartalmú kategóriába sorolt oldalakat látogat (kivéve egyedi írásos engedéllyel);
−
tiltott tevékenységet folytat.
Az IBSZ szándékos, vagy az ismeret hiányából eredő megszegőjével szemben az Informatikai Osztály
az
érintett
felhasználó
közvetlen
kezdeményezhet.
32. oldal
vezetője
felé
figyelmeztető
felszólítást
9. A FIZIKAI ÉS KÖRNYEZETI INFRASTRUKTÚRA BIZTONSÁGA 9.1.
VÉDETT, BIZTONSÁGOS TERÜLETEK 9.1.1.FIZIKAI BIZTONSÁGI ELKÜLÖNÍTÉS A Kormányhivatal informatikai infrastruktúra elemeinek
és a helyiségeknek
a
kockázatokkal és a tágabb értelemben vett értékükkel arányos fizikai védelmet kell biztosítani. Az informatikai rendszer kritikussága és az abban kezelt adatok besorolásának kockázata alapján a helyiségeket a függelékben lévő IBNY17 melléklet táblázatának segítségével biztonsági zónák szerint kell besorolni. A biztonsági követelményeknek megfelelően úgy kell a helyiségeket kialakítani, hogy a rendszerek és adatok megfelelő fizikai és környezeti védelmét garantálni tudják. A kialakított információbiztonsági zónákban
történő
munkavégzésre
–
a
zónát
veszélyeztető
fenyegetettségek
függvényében – más-más informatikai biztonsági követelmények vonatkoznak. 9.1.2.KIEMELTEN VÉDENDŐ TERÜLETEK Informatikai központoknak minősülnek azon helyiségek, melyek működő szerverek illetve hálózati elosztó elemek (router, switch) elhelyezésére és működtetésére szolgálnak, kivételt képeznek azon egyéb helyiségek, melyekben zárt, kulccsal biztosított rack szekrény található. Az informatikai biztonsági zónákba való belépési jogosultságot személyre szólóan, az adott személy feladata alapján kell meghatározni. Állandó, vagy egyedi belépési jogosultságot az informatikai központba az Informatikai Osztály vezetője adhat. 9.1.3.MUNKAVÉGZÉS SZABÁLYAI A SZÁMÍTÓKÖZPONTOKBAN A belépési jogosultsággal nem rendelkezők az informatikai központban csak az arra jogosultak felügyelete mellett tartozódhatnak. Az informatikai központokba belépési jogosultsággal nem rendelkező személyek esetén, ha belépés munkavégzés, szemle, felmérés, ellenőrzés céljából történik, az eseményt a belépési naplóban (IBNY13 melléklet) rögzíteni kell. Abban az esetben, ha az informatikai központba (pl.: szerverszoba) valamilyen okból (szemle, ellenőrzés, szerelés stb.) belépési jogosultsággal nem rendelkező személynek be kell jutni, arról előzetes egyeztetés mellett a kijelölt informatikus gondoskodik. A szerverszobában nem engedélyezett: −
állandó jelleggel munkát végezni;
−
az eszközök közelében ételt, italt fogyasztani;
−
tűz, vagy robbanásveszélyes anyagot tárolni.
Törekedni kell arra, hogy az informatikai központban a helyiség funkciójától eltérő anyagot, illetve eszközt ne tároljanak. Az informatikai központ helyiségeiben elhelyezett szerver- és nem szerverként működő számítógépeket,
hálózati
eszközöket,
az
informatikai
központokban
használt
klímaberendezéseket és biztonsági berendezéseket az év minden napján, a nap 24 órájában folyamatosan kell üzemeltetni.
33. oldal
Az informatikai központok számítógépeire telepített szoftverek karbantartását kijelölt informatikusok végzik. Az Informatikai Osztályt értesíteni kell az informatikai központok területén érzékelt, különös jelentőséggel bíró egyéb események bekövetkezéséről (pl.: betörési kísérlet). A hálózati eszközök üzemeltetése és felügyelete a szakmai irányító központi szervekkel együttműködve történik. 9.1.4.KONTROLLOK A szerverek üzemeltetéséről az Informatikai Osztály eseménynaplót vezet (IBNY12 melléklet) papír alapon, vagy digitális formában, lehetőség szerint a Kormányhivatal HelpDesk alkalmazásában. Az informatikai központok belépési naplóinak kötelező vezetése az ellenőrzött körülmények kikényszerítésének eszköze. 9.1.5.ELLENŐRZÉS Az informatikai központok üzemeltetési feltételeit és az ott készült naplókat az informatikai biztonsági megbízott legalább évente egyszer szúrópróbaszerű ellenőrzés során megvizsgálja és jelentést készít a tapasztalatairól az Informatikai Osztály vezetőjének. 9.2.
ESZKÖZBIZTONSÁG 9.2.1.ESZKÖZÖK Az informatikai eszközök nyilvántartásáért az Informatikai Osztály tartozik felelősséggel. A kijelölt informatikus az eszközöket az informatikai eszköznyilvántartásban tartja nyilván és a változásokat lehetőség szerint azonnal, de legkésőbb három napon belül aktualizálja. 9.2.2.ESZKÖZÖK ÉLETCIKLUSA Az informatikai eszközök üzembe helyezésére és selejtezésére kizárólag az Informatikai Osztály kijelölt informatikusa jogosult a Kormányhivatal leltározási és selejtezési szabályzatának előírásait betartva. Az eszközök használata és tárolása során a felhasználónak biztosítani kell annak fizikai védelmét. Az eszközök teljes életciklusa alatt kötelező annak nyilvántartása és mozgatásának dokumentálása (üzembe helyezési dokumentum, átadás-átvétel nyomtatvány, szállítók, selejtezési bizonylat). 9.2.3.ESZKÖZÖK ELHELYEZÉSE ÉS VÉDELME Az informatikai berendezéseket, eszközöket fizikai állapotukban is védeni kell a biztonságot fenyegető veszélyektől és a káros környezeti hatásoktól. A környezeti veszélyek és kockázatok mérséklése érdekében: −
a berendezéseket úgy kell elhelyezni, hogy lehetőleg megakadályozza az illetéktelen hozzáférést;
−
a különleges védelmet igénylő, fokozott és kiemelt biztonsági osztályba tartozó eszközöket elkülönítetten kell elhelyezni és használni; 34. oldal
−
a környezeti hatások és a lehetséges veszélyforrások folyamatos vizsgálatával és elemzésével törekedni kell a szükséges működési feltételek biztosítására.
Az informatikai eszközök rendeltetésszerű használatáért a számviteli leltárban az eszköz használójaként kijelölt kormányhivatali alkalmazott a felelős, vagy az a személy, aki vezetői utasításra és engedéllyel azt használta. Közös használatú eszköz esetén az eszközök rendeltetésszerű használatáért az a személy a felelős, akit a vezető adott esetben kijelöl eszközök felügyeletére (csoportvezető, ügyeletes, munkafelelős stb.). A munkája során számítógépet használó felhasználó köteles az általa működtetett számítógépet és az ahhoz csatlakoztatott eszközöket: −
a rendeltetésnek megfelelően;
−
munkavégzés céljából, szakszerűen, a Kormányhivatal érdekeit szem előtt tartva az IBSZ által meghatározott módon használni;
−
kikapcsolni, ha előre láthatóan hosszabb – 1 órát meghaladó – ideig nem
−
a munka befejezésével valamennyi eszközt kikapcsolni (kivéve akkor, ha ezzel
használja; ellentétes állandó, vagy egyedi írásos utasítást, illetve tájékoztatást nem kap). Az informatikai eszközök használata során nem engedélyezett: −
az eszközt illetéktelen személynek átengedni;
−
az eszköz közelében folyadékot, éghető anyagot, illetve felette, alatta vagy rajta az eszköz rendeltetésétől eltérő anyagot, tárgyat elhelyezni és tárolni;
−
nem engedélyezett az eszközt a telepítési helyéről elmozdítani és elvinni a kijelölt informatikus engedélye és közreműködése nélkül (kivételt képeznek a mobil eszközök).
Az informatikai eszközöknek a munkafeladattól eltérő célra történő használatához a szervezeti egység vezetőjének engedélye és az Informatikai Osztály vezetőjének hozzájárulása szükséges. Az informatikai eszközökhöz bármilyen külső eszközt, illetve kábelt csatlakoztatni csak a kijelölt informatikus engedélyével, vagy közreműködésével lehet. Az informatikus által már
csatlakoztatott
és
beüzemelt
eszköz
további
használata
visszavonásig
engedélyezett (pl.: pendrive, fényképezőgép). Címkét, jelölést, feliratot kizárólag a kijelölt informatikus helyezhet az informatikai eszközökre, illetve távolíthat el azokról. Az eszközök burkolatát megbontatni nem engedélyezett. Alkatrészt csak a kijelölt informatikus helyezhet be az eszközbe, illetve szerelhet ki az eszközből. Az ügyfélszolgálatot bonyolító helyiségekben az informatikai eszközöket (pl.: monitor, billentyűzet, nyomtató) lehetőleg úgy kell elhelyezni, hogy illetéktelen ne lásson rá, megelőzve ezzel a jelszavak és bizalmas információk kiáramlását. 9.2.4.TÁPELLÁTÁS Az
informatikai
eszközök
a
vonatkozó
szabványnak
megfelelően
kizárólag
védőföldeléssel ellátott 230 V feszültségű elektromos hálózati dugaszoló aljzatba csatlakoztathatók.
35. oldal
Az Informatikai Osztálynak törekedni kell arra, hogy a szervezeti szintű alkalmazások működését
befolyásoló
informatikai
és
távközlési
eszközök
szünetmentes
tápegységekkel legyenek ellátva. 9.2.5.KÁBELEZÉS BIZTONSÁGA A
Kormányhivatal
területén
az
informatikai
rendszert,
áramellátó
hálózatot,
telefonhálózatot érintő bármilyen beavatkozást, építést, karbantartást, átalakítást csak az Informatikai Osztály tájékoztatása után, annak jóváhagyásával és felügyeletével lehet végezni. A kábeleket a kábelrendező és a csatlakozó aljzatok között rögzített csatornában kell vezetni, a lengőkábelek nem keresztezhetnek közlekedési utat. A hálózat valamennyi elemét olyan környezetben kell elhelyezni, ahol a jogosulatlan fizikai hozzáférés megakadályozott. 9.2.6.ESZKÖZÖK KARBANTARTÁSA Az informatikai eszközök rendelkezésre állásának biztosítása érdekében az Informatikai Osztály kijelölt informatikusai szükség szerint, illetve tervezett és a felhasználókkal egyeztetett módon karbantartást végeznek. Az informatikai eszközök és berendezések folyamatos használata és rendelkezésre állásának biztosítása érdekében: −
a specifikációban javasolt időközönként el kell végezni a berendezések karbantartását;
−
a berendezések kezelését, illetve javítását csak megfelelő szakképzettséggel rendelkező személyek végezhetik;
−
az informatikai eszközök külső helyszínen történő javítása, karbantartása esetén gondoskodni kell az eszközön tárolt adatok végleges (visszaállíthatatlan) törléséről, vagy az adathordozó eltávolításáról.
9.2.7.ESZKÖZÖK HASZNÁLATA A KORMÁNYHIVATAL TERÜLETÉN KÍVÜL A
Kormányhivatal
vagyonkezelésében
lévő
mobil
informatikai
eszközöket
a
Kormányhivatal területén kívül csak az érintett szervezeti egység vezetőjének írásos engedélyével
rendelkező
személyek
használhatják
az
Informatikai
Osztály
hozzájárulásával, a nyilvántartási előírások betartása mellett. A mobil informatikai eszközről az arra felhatalmazott személy részére történő átadáskor az Informatikai Osztály kijelölt informatikusa tárolási nyilatkozatot (IBNY01 melléklet) készít, mely tartalmazza az eszköz műszaki adatait, az átadás-átvétel adatait és az eszközön telepített szoftverek adatait. Az Informatikai Osztály kijelölt informatikusa köteles az eszköz átadása során felvilágosítani a dolgozót a mobil informatikai eszközök használatának veszélyeiről, kockázatairól, amit a dolgozó a tárolási nyilatkozaton (IBNY01 melléklet) aláírásával igazol, és az eszközért felelősséget vállal. Nem titkosított, nyílt hálózati kapcsolatok (Wi-Fi, Bluetooth) használata biztonsági szempontok miatt nem engedélyezett. Az eszközön a vezeték nélküli kapcsolatot alapértelmezésben kikapcsolt állapotban kell tartani.
36. oldal
A felhasználó köteles a mobil informatikai eszközt lehetőleg hetente (de hosszabb távollét esetén lehetőleg havonta) a Kormányhivatal hálózatához csatlakoztatni abból a célból, hogy a biztonsági és vírusvédelmi frissítések települhessenek, megőrizve ezzel a biztonság integritását. A felhasználó a szervezeti egység vezetője engedélyével (IBNY02 melléklet) igényelheti, hogy a hivatali SIM kártyát tartalmazó mobil infokommunikációs eszközét, illetve okos telefonját az internetes szolgáltatások elérése céljából vezeték nélküli hálózathoz csatlakoztathassa az alábbi feltételek betartásával: −
az eszköznek rendelkeznie kell frissített, az Informatikai Osztály által jóváhagyott vírusvédelemmel;
−
az eszköz kizárólag legalább WPA2-PSK kódolással csatlakoztatható vezeték nélküli hálózathoz, nem megfelelő szinten tikosított illetve nyílt hálózati kapcsolatok használata nem engedélyezett;
−
a hivatali vezeték nélküli hálózatra való csatlakozás esetén az eszköz hálózathoz történő csatlakoztatási beállításait és első csatlakoztatását az Informatikai Osztály munkatársa végzi;
−
az eszközt időszakonkénti, minimum évenkénti ellenőrzés céljából a felhasználó bemutatja az Informatikai Osztály megbízott munkatársának a beállítások és vírusvédelem ellenőrzése céljából.
A mobil eszközöket használó személyeknek: −
nem engedélyezett az eszközt gépjárműben, idegen helyen felügyelet nélkül hagyni;
−
a repülés, vagy vonatút alatt a személyi számítógépet kézipoggyászként kell
−
a Kormányhivatal területén kívül, idegen helyen történő tárolás esetén (szálloda,
szállítani; lakás) fokozott figyelmet kell fordítani a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása, vagy ellopása elleni védelemre; −
nem engedélyezett az eszköz engedély nélküli átruházása, vagy adatainak közlése;
−
nem engedélyezett megfelelő védelem nélkül idegen hálózathoz csatlakoztatni az eszközt;
−
nem engedélyezett a gépet bármilyen indokolatlan veszélynek kitenni, vagy nem rendeltetésszerűen használni.
Mobil adathordozót a felhasználók számára az adott szervezeti egység vezetője a „Mobil adathordozó engedélyezése” adatlapon kérhet (IBNY06 melléklet) az Informatikai Osztálytól. Ezen az adatlapon kérheti a külső adathordozó eszközök hozzáférésének egyedi engedélyezését is. Az engedélyezést és az eszköz átadását követően az adatlapot az adathordozó nyilvántartáshoz (IBNY07 melléklet) kell csatolni. Az adatokat a mobil adathordozóról a feladat elvégzése után, védett hálózati meghajtóra való felmásolást követően le kell törölni és az adathordozót a tároló helyre vissza kell adni az esemény dokumentálása mellett. A kódolatlan mobil adathordozó eszközök rendkívül nagy kockázati veszélyforrást jelentenek, ezért a felhasználók csak informatikai ellenőrzés mellett használhatják. A hivatali adathordozón magánjellegű adatot tárolni nem engedélyezett, magánjellegű
37. oldal
adathordozót hivatali célra használni nem engedélyezett, azon hivatali adatot tárolni nem szabad. A Kormányhivatal informatikai rendszerébe kapcsolt munkaállomásokon csak olyan adathordozót lehet használni, arról adatokat beolvasni, amelyen előtte a rendszeresített és telepített víruskereső programmal vírusellenőrzést végeztek. A mobil infokommunikációs eszközök, mobil adathordozók felhasználói felelősek az eszközön található adatok esetleges kiszivárgásáért, az eszköz elvesztéséért, eltűnéséért, megsérüléséért. A mobil infokommunikációs eszközök, mobil adathordozók eltűnése, ellopása esetén annak tényét haladéktalanul az Informatikai Osztály felé jelenteni kell a szükséges intézkedések megtétele érdekében. A felhasználók
egyes
feladatok
elvégzése érdekében, a
részükre biztosított,
nyilvántartott és egyedi azonosítóval ellátott, hivatali tulajdonú mobil adathordozóra kimenthetik a feladathoz kapcsolódó állományaikat. 9.2.8.ESZKÖZKIVONÁSI BIZTONSÁGI INTÉZKEDÉSEK, ÚJRAFELHASZNÁLÁS Megsemmisítésre kijelölt informatikai eszközöket és kellékanyagokat megsemmisítésig a használatban lévő eszközöktől az Informatikai Osztálynak elkülönítetten kell tárolni és kezelni figyelembe véve: −
a veszélyes anyagok tárolására és a megsemmisítésre vonatkozó szabályokat (fizikai védelem, szállítás);
−
a leltározási és selejtezési szabályzat előírásait;
−
az adatvédelem biztonsági követelményeit (hozzáférés elleni védelem).
Az olyan hivatali helyiségeket, ahol informatikai eszközökkel történik a munkavégzés, vagy informatikai eszközt tárolnak, zárral kell ellátni, és a helyiséget távollét esetén vagyonvédelmi és biztonsági okokból zárva kell tartani. Az informatikai berendezések végleges használaton kívül helyezése előtt gondoskodni kell az összes adat, szoftver visszaállíthatatlan eltávolításáról és felülírásáról, vagy a beépített adathordozó eltávolításáról és megfelelő tárolásáról. Külső fél által javításra, megsemmisítésre elszállított informatikai eszközből el kell távolítani a beépített adathordozót, ha ez nem megoldott a külső fél, arra felhatalmazott képviselője a külső fél nevében jogi érvényességű nyilatkozatot köteles tenni az adatvédelemi és titoktartási szabályok betartására vonatkozóan. 9.2.9.KONTROLLOK Informatikai
eszközökkel
kapcsolatos
eszközmozgatást,
csatlakoztatást,
lecsatlakoztatást, szerelést, eszközátadást, selejtezést és üzembe helyezést csak az Informatikai Osztály végezhet. Az informatikai eszközökkel kapcsolatos minden telephelyen belüli és kívüli mozgatásról az informatikai osztálynak, illetve a mozgatást végzőknek dokumentumot kell készíteni: −
tárolási nyilatkozat (IBNY01 melléklet),
−
mobil adathordozó engedélyezése (IBNY06 melléklet),
−
adathordozó nyilvántartás (IBNY07 melléklet),
−
átadás-átvételi adatlap (IBNY14 melléklet),
−
szállítói kísérőlapok, 38. oldal
−
munkalapok,
−
üzembe helyezési dokumentum,
−
selejtezési dokumentum.
9.2.10.
ELLENŐRZÉS
Az informatikai eszközök biztonsági beállításait, illetve háttértárolóinak tartalmát a kijelölt informatikusnak évente ellenőriznie kell. A felhasználónak az eszköz átadásával az ellenőrzés elvégzését segítenie kell. Az informatikusnak az ellenőrzés tényét mobil informatikai eszközök esetén a tárolási nyilatkozat második oldalán tett bejegyzéssel kell dokumentálnia. Az ellenőrzés során fokozott figyelmet kell fordítani a következőkre: −
az adott eszközön a biztonsági beállítások, vírusvédelmi és egyéb biztonsági rendszerek beállításai megfelelnek-e az előírtaknak;
−
az állományok lokális tárolására vonatkozó szabályokat a felhasználók betartjáke;
−
az eszközön fellelhető
naplóállományokban nincs-e nyoma rendellenes
műveleteknek, jogosulatlan használatnak. 9.2.11.
ÁLTALÁNOS BIZTONSÁGI ELŐÍRÁSOK
Az Informatikai Osztály és a Pénzügyi és Gazdálkodási Főosztály Beszerzési, Beruházási és Üzemeltetési Osztály vezetője közös felelősséggel gondoskodik: −
a szerverszoba és a benne elhelyezett eszközök fizikai védelmét biztosító eszközök és berendezések meglétének és működőképességének rendszeres ellenőrzéséről, a tervezett karbantartásról;
−
a szerverek működéséhez szükséges megfelelő fizikai környezeti biztosításáról;
−
a megfelelő elektromos hálózat, villám és túlfeszültség, valamint érintésvédelmi berendezések meglétéről és működésének biztosításáról;
−
a behatolás elleni védelem és riasztórendszer kialakításáról (pl.: beléptető rendszer, elektromos behatolás jelző, mozgás érzékelő, belső térvédelem);
−
a megfelelő tűzvédelmi rendszerről füstjelző és riasztó rendszer kialakítása mellett lehetőség szerint automata tűzoltó rendszer kialakításáról, vagy – automata rendszer hiányában – kézi tűzoltó készülékek (elektromos berendezések tűzének oltására alkalmas gázzal oltó készülék) elhelyezéséről;
−
a szerverszobák klímájáról oly módon, hogy az információtechnológiai eszközök környezeti hőmérséklete működés közben 15–25 C°, tárolási hőmérséklete 5–40 C° között maradjon, a relatív páratartalom pedig ne haladja meg a 40%-ot.
Az informatikai objektumok közüzemi ellátását (áramellátás, fűtés, szellőzés, vízszolgáltatás stb.) a vonatkozó szabályzatok és hatósági előírások szerint kell biztosítani. A szerverszobában vizesblokk kialakítása nem engedélyezett. A szerverszobát védeni kell szennyvíz, illetve esővíz bejutása ellen. A kialakítás során törekedni kell arra, hogy felette vizesblokk ne helyezkedjen el. Az informatikai központokban (szerverszobákban) végzett építési és karbantartási munkákat az Informatikai Osztály és a Pénzügyi és Gazdálkodási Főosztály Beszerzési, Beruházási és Üzemeltetési Osztály egy-egy, a szervezeti egység vezetője által kijelölt munkatársa felügyeli, az érintettek előzetes értesítése és az időpontok egyeztetése után.
39. oldal
Az üzemeltetés és hibaelhárítás során jelentkező alkatrészbeszerzések, javítások és a rendszer fejlesztésére irányuló beszerzések szakmai előkészítése az Informatikai Osztály feladata. Amennyiben a javítás, fejlesztés kivitelezése építési munkával jár, az építési munkálatok ellenőrzése a Pénzügyi és Gazdálkodási Főosztály Beszerzési, Beruházási és Üzemeltetési Osztály feladata. A teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. Az informatikai központok üzemeltetése során a Kormányhivatalnak biztosítani kell a mechanikai (építészeti) és a technikai (elektronikai) védelmet: −
elektromos, vagy fizikai (rács) védelmi eszközöket kell alkalmazni a nyílászárókon keresztül történő bejutás megakadályozása érdekében, beltéri, vagy földszinti, illetve könnyen elérhető kültéri nyílászárók esetében egyaránt;
−
gondoskodni kell arról, hogy a szerverszobába kívülről nyitott nyílászárón, vagy szellőzőn keresztül idegen anyagot bedobni ne lehessen;
−
a szerverszobára kívülről lehetőleg ne lehessen rálátni (pl. ablakon);
−
az ajtónak kulccsal és/vagy mágneskártyával, illetve kóddal zárhatónak kell lennie, valamint: o
egy kulcsot, vagy mágneskártyát, illetve kódot a portán kell elhelyezni lezárt, hitelesítéssel ellátott borítékban, vagy lepecsételhető kulcs dobozban,
o
a kulcshoz, vagy a mágneskártyához, illetve kódhoz való hozzáférés csak naplózottan történhet, az Informatikai Osztály – vészhelyzetet, rendkívüli helyzetet
kivéve
–
előzetes
értesítésével
és
tudomásával
(aláírással,
keltezéssel), o
a borítékon meg kell jelölni a felvételére jogosultak nevét és beosztását,
o
a doboz, vagy boríték rendkívüli felnyitásáról telefonon és feljegyzésben
kulcsdoboz esetén a használható pecsét számát, értesíteni kell az Informatikai Osztály vezetőjét, o
a boríték felnyitását, a kód használatát követően a kódot meg kell változtatni.
10. A HÁLÓZAT ÉS RENDSZER ÜZEMELTETÉS BIZTONSÁGA 10.1. AZ ÜZEMELTETÉS FOLYAMATAI ÉS A FELELŐSSÉGEK 10.1.1.
DOKUMENTÁLT ÜZEMELTETÉSI FOLYAMATOK
A rendszer napi üzemeltetéséhez tartozik a működés felügyelete, a mentések elvégzése és hiba esetén az eszközök javítása. A rendszer üzemeltetését ellátó Informatikai Osztályhoz tartozó informatikusoknak ismerniük kell a Kormányhivatal rendszereszközeinek, operációs rendszereinek, adatbázisainak működését, az operációs és alkalmazói rendszerek hibaüzeneteit és a behatolás detektáló rendszerfigyelmeztető üzeneteit. A rendszer felügyelete a felhasználói programok és adatbázisok, a szerverek és alapszoftverek és a hálózat működésének folyamatos figyelemmel kísérését kívánja meg. A felelős informatikai munkatársaknak rendszeresen el kell végezniük azokat az üzemeltetési dokumentációban részletesen felsorolt tevékenységeket, amelyek alapján meggyőződhetnek arról, hogy a rendszer üzemszerűen működik. A rendszer valamennyi hardver, illetve szoftver eleméről az Informatikai Osztálynak nyilvántartást kell
vezetnie.
A
nyilvántartásnak
40. oldal
tartalmaznia
kell
a szerverek,
munkaállomások pontos és naprakész hardver konfigurációját, a működtető szoftverek egyedi beállításait és elhelyezkedését, az azokért felelős személy nevét. Készítendő és naprakészen vezetendő nyilvántartások: −
tárolási nyilatkozat (IBNY01 melléklet),
−
mobil adathordozó engedélyezése (IBNY06 melléklet),
−
szoftvernyilvántartás (IBNY08 melléklet),
−
jogosultság nyilvántartás (IBNY09 melléklet),
−
szerverek esemény naplója (IBNY12 melléklet),
−
eszköz átadás-átvételi adatlap (IBNY14 melléklet).
Az üzembiztonság érdekében a szerverek operációs rendszereit – a beállításokkal együtt – lehetőség szerint tartalék adathordozón is tárolni kell, amely szükség esetén azonnal betölthető. 10.1.2.
AZ ÜZEMELTETÉSI FOLYAMAT VÁLTOZÁSAINAK KEZELÉSE
Szoftvert a számítógépre kizárólag kijelölt informatikus tölthet le, másolhat és telepíthet, valamint a számítógépről csak kijelölt informatikus távolíthat el. A felhasználó a munkaállomás használata során a munkaállomásra telepített alkalmazásokat
használhatja.
Új
alkalmazások
telepítését,
vagy
a
meglévő
alkalmazásokat illető jogosultság változást a szervezeti egység vezetője engedélyével, az erre szolgáló és az IBSZ mellékletét képező IBNY02 melléklet alapján igényelhet. Az Informatikai Osztály jogosult az igény felülvizsgálatára, és ha szükséges, biztonsági okból annak elutasítására. A felhasználó a számítógépre telepített alkalmazásokat a felhasználói leírás szerinti módon, szakszerűen köteles használni. A központ hivatalok, illetve szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szervei által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket, változásjelentőket és levelezéseket – amennyiben azt nem az Informatikai Osztály intézi – a szervezeti egységek vezetői kötelesek másodpéldányban megküldeni az Informatikai Osztálynak. A központilag, szolgáltatásként biztosított alkalmazások használatánál, valamint a szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szervei által kiadott és üzemeltetett alkalmazások használata során a szolgáltatást biztosító szervezet által kibocsátott és az Informatikai Osztály által elfogadott előírások szerint kell eljárni. A szoftvereket és adatokat harmadik fél számára másolni és továbbadni nem engedélyezett. Kivételt képez a szoftverekről és adatokról való biztonsági másolatok kijelölt
informatikus
által
történő
elkészítése,
mely
a
rendelkezésre
állás
folyamatosságának biztosítását segíti elő. A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licenc dokumentációját az Informatikai Osztály tárolja és tartja nyilván. 10.1.3.
HIBAKEZELÉSI, HIBAELHÁRÍTÁSI RENDSZER
A kormányhivatali HelpDesk alkalmazás, hibajegy kezelő rendszer kialakításának célja, hogy a felhasználói oldalon jelentkező működési problémák rendezetten, dokumentáltan
41. oldal
és hatékonyan, ügyviteli fennakadások elkerülésével, minimalizált módon kerüljenek kezelésre. Hiba, hibajavítás dokumentálása: a hiba bejelentéseket és a javításuk érdekében végzett tevékenységeket az Informatikai Osztály kijelölt dolgozójának naplóznia kell a Kormányhivatal HelpDesk rendszerében. A hibadokumentációt a kormányhivatali HelpDesk rendszerben úgy kell vezetni, hogy annak alapján pontosan követhető legyen a hibaelhárítási folyamat. Bejelentés:
a
bejelentéseket
kijelölt
informatikusok
személyes,
telefonos
megkeresésével, illetve vele párhuzamosan e-mailben, vagy a Kormányhivatal HelpDesk rendszerében lehet elvégezni. Hibaelhárítás: A kijelölt informatikus feladata, hogy szükség esetén gondoskodjon az eszköz javításáról, helyettesítéséről, vagy szervizbe szállításáról. Tájékoztatás: A kijelölt informatikus feladata, hogy folyamatosan tájékoztassa az érintett felhasználót az eszköz javítási folyamatáról, illetve sorsáról. Súlyos hibák kezelése: olyan esetben, ha a hiba a Kormányhivatal rendszereinek működésére komoly kihatással van (pl. üzembiztonságot veszélyeztető helyzet, katasztrófahelyzet áll fenn), vagy más jellegű, de rendkívül fontos eset következik be (pl. bűncselekmény gyanúja áll fenn), az észlelő köteles haladéktalanul értesíteni az Informatikai Osztály munkatársát, vagy az Informatikai Osztály vezetőjét. 10.1.4.
A FEJLESZTÉS ÉS AZ ÉLES KÖRNYEZET ELKÜLÖNÍTÉSE
Fejlesztés során az éles környezet mellett külön fejlesztői, külön teszt és külön oktatói környezet kialakítása szükséges az Informatikai Osztály részéről. A teszt környezetnek tartalmaznia kell mindazon elemeket, amelyekben valamely módosításra kerül sor. A teszt környezetnek, a tesztelni kívánt elem kivételével, lehetőleg ugyanolyan beállításúnak kell lennie, mint az éles környezet. A fejlesztői környezetből tesztelés nélkül semmilyen elem sem kerülhet át az éles környezetbe. Nem éles környezetben csak olyan próbaadatok használhatók, amelyek nem sértik az éles környezetbeli adatokra vonatkozó adatvédelmi szabályokat. 10.1.5.
KÜLSŐ ERŐFORRÁSOK KEZELÉSE
A külső üzemeltetői erőforrások (harmadik fél) bevonása esetén pontosan meg kell határozni a feladatok és a felelősségek megosztását, a korábban meghatározott biztonsági követelmények rögzítése mellett. 10.1.6.
KONTROLLOK
A fejlesztési folyamatok teljes szakasza alatt az Informatikai Osztály kijelölt kapcsolattartója felügyeli és ellenőrzi a munkálatokat, minden kritikus lépésről köteles tájékoztatni az Informatikai Osztály vezetőjét. 10.1.7.
ELLENŐRZÉS
Az informatikai biztonsági megbízott ellenőrzi a fejlesztési folyamatok alatt eseti jelleggel, hogy megfelel-e az ügymenet az IBSZ szabályainak.
42. oldal
10.2. VÉGPONT VÉDELEM 10.2.1. A
VÉGPONTVÉDELEM KÖVETELMÉNYEI Kormányhivatalban
alkalmazott
végpontvédelmi
megoldásokkal
szembeni
követelmények a következők: −
központilag menedzselhető;
−
proaktív védelem;
−
vírusok és kémprogramok elleni védelem;
−
fejlett felügyeleti eszközkészlet;
−
hálózati védelem;
−
naponta frissülő vírus-adatbázis;
−
több platformos kliens és szerver kliensek.
10.2.2.
VÉGPONTVÉDELEM ALÁ ESŐ VÉGPONTI ESZKÖZÖK
Minden olyan asztali, vagy hordozható számítógépet, mobiltelefont végpont védelemmel kell ellátni, amely alkalmas: −
hálózathoz csatlakozásra;
−
adatok kimásolására és továbbítására;
−
adathordozó eszköz csatlakozásra;
−
vezeték nélküli kapcsolatok létesítésére.
A vírusvédelmi rendszert a Kormányhivatal minden számítógépére telepíteni kell, nem engedélyezett olyan eszközt az informatikai hálózathoz csatlakoztatni, amelyen nincs telepítve proaktív vírusvédelem. A használaton kívül helyezett informatikai berendezés és a Kormányhivatal összes hálózata közötti összeköttetést meg kell szüntetni. Bármilyen eszközt kizárólag a kijelölt informatikus csatlakoztathat az informatikai hálózatra. Bármilyen eszközt (kivéve a mobil eszköz) csak a kijelölt informatikus távolíthat el az informatikai hálózatról. Idegen, nem kormányhivatali tulajdonú, nem a Kormányhivatal által bérelt, használt eszköz csatlakoztatása nem engedélyezett. 10.2.3.
VÉGPONTVÉDELEM SZABÁLYOZÁSA
A végpontvédelmi intézkedések nem akadályozhatják az alapvető működési feladatokat, ezért biztosítani kell a munka során használt engedélyezett (nyilvántartott) és a feladat végrehajtásához szükséges eszközök (nyomtató, szkenner, fényképezőgép, kamera stb.) zavartalan működését. Az Informatikai Osztály feladata, hogy legalább havonta minden, víruskereső szoftverrel ellátott szerveren és kliensen teljes víruskeresés fusson le, de lehetőség szerint különböző időpontokban. 10.2.4.
KONTROLLOK
Az Informatikai Osztály vezetője által kijelölt informatikus jogosult a vírusvédelmi rendszer
telepítésére,
beállítására,
eltávolítására,
ellenőrzésére,
frissítésére
a
munkaállomásokon és szervereken. Az informatikusnak kötelessége gondoskodni a vírusvédelmi rendszer naprakészen tartásáról és működtetéséről. 43. oldal
10.2.5.
ELLENŐRZÉS
A kijelölt informatikus általános feladatai: −
elvégzi
a
vírusvédelmi
szoftverek
megfelelő
beállítását,
a
rendszer
−
ellenőrzi a vírusvédelmi rendszerek rendszeres frissítését;
−
listát készít a rendszeresen manuálisan frissítendő számítógépekről (pl.
konfigurálását;
mobileszközökről, a nyilvántartás szerinti eszközöket frissíti, és a frissülés megtörténtét ellenőrizi a számítógépeken és a vírusvédelmi szoftver program nyilvántartásaiban); −
megbizonyosodik
arról,
hogy
az
informatikai
rendszerébe
kapcsolt
munkaállomáson, szerveren, egyéb informatikai eszközön a vírusvédelmi program telepítve van-e, és a vírusdefiníciós adatbázisa naprakész-e; −
tájékoztatja
a
felhasználókat
a
vírusvédelmi
eszközök
működéséről,
használatáról; − −
megvizsgálja a felhasználók jelzése alapján a vírusgyanús eseteket; elvégzi a vírusfertőzés bekövetkezése esetén a szükséges vírusmentesítési lépéseket;
−
figyelemmel kíséri a vírusvédelem hatékonyságát.
10.3. ADATMENTÉSI ÉS NAPLÓZÁSI FELADATOK 10.3.1.
ADATMENTÉS
A mentési és visszaállítási eljárásokat az Informatikai Osztálynak úgy kell kialakítani, hogy az üzemeltetett rendszerek előre nem látható esemény (katasztrófa, vagy hardver, illetve szoftver meghibásodása, emberi mulasztás) bekövetkezése után, szükség esetén helyreállíthatók legyenek, biztosítva a folyamatos napi működést. Biztosítani kell, hogy az üzemidő kiesés, adatsérülés, adatvesztés minimális legyen. Az Informatikai Osztálynak az IBSZ mellékletét képező mentési rendet (IBNY18 melléklet) kell készítenie és folyamatosan naprakészen kell tartania. A mentési rendet legalább évente egyszer, január hó 31. napjáig felül kell vizsgálnia. A mentési rendet mentési egységenként kell készíteni és táblázatba kell foglalni. A kinyomtatott mentési rendet az érintett szervezeti egység vezetőjének és az Informatikai Osztály vezetőjének kézjegyével kell hitelesítenie. A mentés ütemezését mentési egységenként lehetőleg úgy kell kialakítani, hogy a mentés a munkafolyamatokat, a munkafolyamatok a mentési eljárást ne akadályozzák. Biztonsági mentés a napi adatbiztonságot szolgáló rendszeresen készülő mentésfajta (szerveren, vagy munkaállomáson), amely biztosítja a napi munka során felmerülő kisebb meghibásodásokból származó adatvesztések, adatbázis konzisztencia hibák megszüntetését a lehető legkisebb idő ráfordítással. Ezen esetben a mentés: −
egy másik szerverre (azonos tűzszakaszban elhelyezett),
−
vagy az adott szerverbe beépített tartalék HDD-re,
−
vagy a szerverhez kapcsolt külső HDD-re valósul meg.
Ellenőrizni szükséges a mentésről készített digitális naplót, vagy meg kell győződni a mentés megtörténtéről. E mentésfajta használata mellett biztosítani kell egy tűzvédelmi mentést is. 44. oldal
Tűzvédelmi mentés a napi adatbiztonságot szolgáló rendszeresen készülő mentésfajta (szerveren vagy munkaállomáson). Biztosítja a súlyosabb meghibásodásokból származó –
katasztrófa,
hardver,
illetve
szoftver
meghibásodás
esetén
történő
–
rendszerösszeomlások, adatvesztések, adatbázis konzisztencia hibák megszüntetését, a lehető legkisebb idő ráfordítással. A tűvédelmi mentés történhet egy másik szerverre, ha az nem azonos tűzszakaszban található a mentett eszközzel (hálózaton keresztül történő mentés). Használata esetén a következőket kell biztosítani: −
a munkanap kezdetén az előző napi mentés sikerességét ellenőrizni kell,
−
ha a mentés adathordozóra történik, akkor biztosítani kell:
−
a mentési adathordozók rendszeres váltott cseréjét,
−
figyelemmel kell lenni az adathordozók felhasználhatóságának paramétereire (pl.: hányszor írható),
−
az adathordozók előírás szerinti tárolását.
Egyedi mentéssel kell biztosítani azon munkaállomások és mobil eszközök háttértárolóin keletkezett alkalmazások és felhasználói állományok mentését, melyekről −
nem történik rendszeres napi mentés a hálózatra,
−
vagy az eszközzel kapcsolatban egyedi mentési igény merül fel,
−
azon hálózati közös meghajtók rendkívüli mentését, melyre vonatkozó igény a tárkapacitás túlterheltsége miatt merült fel.
A hálózaton
tárolt
telepítő készletek
és
programok
mentéséről folyamatosan
gondoskodni kell. A mentéssel összefüggő – az egyedi gépen tárolt felhasználói adatok kivételével – feladatok ellátását az Informatikai Osztály végzi. 10.3.2.
NAPLÓZÁS
Tűzvédelmi mentésről rendszeres mentési naplót kell vezetni a mentési feladatban részvevő informatikusnak (IBNY03 melléklet). Egyedi mentésnél a mentés elvégzéséről mentési és archiválási adatlapot (IBNY05 melléklet) kell készíteni, és a mentési és archiválási nyilvántartáshoz kell csatolni (IBNY04 melléklet). A mentett állomány törlését – ha szükséges – csak ez után lehet elvégezni. A naplózással összefüggő feladatok elvégzésért az Informatikai Osztály a felelős. 10.3.3.
NAPLÓK KEZELÉSÉNEK SZABÁLYAI
Tűzvédelmi mentésről rendszeresen a napi mentés és adathordozó csere után azonnal bejegyzést kell tenni a naplóba (IBNY03 melléklet). Egyedi mentésnél a mentés elvégzésével, illetve az adathordozó elhelyezésével egy időben kell kitölteni az adatlapot (IBNY05 melléklet), és ezt követően az adatlapot a mentési és archiválási nyilvántartáshoz felvezetni (IBNY04 melléklet). Az adatlapokat és a nyilvántartást a mentés helyétől és az adathordozók tárolási helyétől különböző helyen kell elhelyezni. 10.3.4.
KONTROLLOK
Az adatlapok tartalmi változásakor (mentés, selejtezés) a mentett állomány szakmai felelősét tájékoztatni kell, és ennek tényét rögzíteni az adatlapon (aláírással igazolja a tudomásul vételt). 45. oldal
10.3.5.
ELLENŐRZÉS
A mentéssel kapcsolatos adatlapokat és nyilvántartást az informatikai biztonsági megbízott legalább évente egyszer szúrópróbaszerűen ellenőrzi és a főigazgatót jelentésben tájékoztatja az ellenőrzés eredményéről. 10.4. HÁLÓZAT MENEDZSMENT 10.4.1.
HÁLÓZAT FELÜGYELETE
A hálózat felügyeletét az Informatikai Osztály informatikusai látják el, együttműködve a NISZ, KEK KH és a szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szerveinek munkatársaival. 10.4.2. A
DOKUMENTÁLÁS hálózat
felügyelettel
kapcsolatos
események
a
Kormányhivatal
HelpDesk
rendszerében kerülnek dokumentálásra. 10.4.3.
KONTROLLOK
A hálózat feletti kontrollt az Informatikai Osztály vezetője, a NISZ, KEK KH és a szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szerveinek munkatársai közösen gyakorolják. 10.4.4.
ELLENŐRZÉS
A hálózat feletti ellenőrzést az Informatikai Osztály vezetője, a NISZ, KEK KH és a szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szerveinek munkatársai közösen gyakorolják. 10.5. ADATHORDOZÓK KEZELÉSE ÉS BIZTONSÁGA 10.5.1.
ADATHORDOZÓK TÁROLÁSA
A mobil adathordozó eszközök (pl. pendrive, külső HDD) kiadása, állapotváltozása, visszavétele során az Informatikai Osztály kijelölt informatikusának az igénylő által benyújtott, kitöltött és engedélyezett „Mobil adathordozó eszköz engedélyezése adatlapot” (IBNY06 melléklet) az „Adathordozó nyilvántartáshoz” (IBNY07 melléklet) kell felvezetni és csatolni. A mentés elkészítéséhez használt adathordozó típusok kiválasztásánál az alábbiakat kell figyelembe venni: −
a mentendő adatmennyiségnek megfelelő tárolókapacitás,
−
a megfelelő adatmegőrzési idő (legalább 5 év, különleges beavatkozás, speciális eljárások alkalmazása nélkül),
−
megfelelő ellenállás a környezeti viszonyoknak (hőmérséklet, páratartalom, fény
−
adatvisszaállítás esetére szükséges eljárások és eszközök rendelkezésre állása.
stb.), 10.5.2.
MENTÉSEK TÁROLÁSA
A Kormányhivatal elektronikus szoftvereinek telepítő készletei, illetve adatainak mentésére és archiválására használt adathordozói, a mentés dokumentuma, a helyreállítást biztosító leírások:
46. oldal
−
biztonságos módon, a mentés helyétől (telepítés helyétől) különböző helyen elhelyezett tűzbiztos fémszekrényben;
−
vagy
a
mentés
helyétől
(telepítés
helyétől)
különböző
tűzszakaszban
elhelyezkedő helyiségben tárolandók és az elhelyezésükre: o
megfelelő mechanikai védelemmel (pl. ablakráccsal, biztonsági zárral) ellátott;
o
elektronikus védelemmel (riasztórendszerbe integrált, füst-, illetve hő érzékelővel) ellátott;
10.5.3.
o
lehetőség szerint regisztrált kulcsfelvétellel hozzáférhető;
o
közművezetékektől mentes helyiséget kell kijelölni.
DOKUMENTÁLÁS
A mobil adathordozó eszközöket az engedélyezési adatlapokon (IBNY06 melléklet) és a kapcsolódó nyilvántartásban (IBNY07 melléklet) kell nyilvántartani. Az informatikai rendszerek offline adatszolgáltatásához (hagyományos postai, illetve futár általi szállítás) használatba vett adathordozókat adathordozó nyilvántartásba (IBNY07 melléklet) kell venni. Az operációs rendszerek, programok, eszközkezelők telepítő állományait tartalmazó adathordozóiról szoftvernyilvántartást kell vezetni (IBNY08 melléklet), mely történhet digitális formában, illetve az informatikai nyilvántartás keretében. A fenti dokumentálással összefüggő feladatokat az Informatikai Osztály végzi. 10.5.4.
KONTROLLOK
A mentések, archívumok tárolási ideje alatt az adatok integritásának megőrzése az Informatikai Osztály feladata. 10.5.5.
ELLENŐRZÉS
Az Informatikai Osztály feladata az adattárolók műszaki állapotának, tárolásának, ellenőrzése.
Az
ellenőrzés
szúrópróbaszerűen,
megfelelő
mennyiségű
minta
kiválasztásával, rendszeres időközönként történik. 10.6. ADATHORDOZÓK SELEJTEZÉSÉNEK BIZTONSÁGI SZABÁLYAI Az Informatikai Osztálynak az adathordozó típusától, valamint a rögzítés módjától függően eltérő időközönként, de évente legalább egyszer ellenőrizni kell az adathordozó használhatóságának mértékét. Az adathordozók természetes fizikai romlása és elhasználódása következtében előálló biztonságcsökkenés miatt a működtetendő programokról és hasznos adatokat tartalmazó adathordozókról, ha az adathordozó megközelíti (élettartam -10%) a gyártó által javasolt felhasználási időtartamot, és az adathordozót nem lehet selejtezni, akkor másolatot kell készíteni. Ha az adathordozó selejtezhető, a selejtezéshez az érintett szakterület képviselőjének hozzájárulása szükséges, melyet az adathordozóhoz kapcsolódó mentési és archiválási adatlapon (IBNY05 melléklet) aláírásával hitelesít. A selejtezés tényét a mentési és archiválási nyilvántartásban is be kell jegyezni. Az archiválásra kerülő adatok körét és rendszerét a mentési rend határozza meg.
47. oldal
11. A RENDSZEREK HOZZÁFÉRÉSI JOGOSULTSÁGAINAK KEZELÉSE 11.1. HOZZÁFÉRÉS KEZELÉSI SZABÁLYOK 11.1.1.
ÁLTALÁNOS SZABÁLYOK
A szervezeti egység vezetője írásban (IBNY02 melléklet) köteles tájékoztatni az Informatikai
Osztályt
a
felhasználókra
vonatkozó
minden
változásról
(felvétel,
munkakörváltozás, kormányzati szolgálati jogviszony megszűnés), mely az informatikai, vagy kommunikációs rendszert érinti. Szervezeti egység vezetője kormányzati szolgálati jogviszonyának megszűnésekor a munkáltatói jogkör gyakorlója gondoskodik a jogosultságok törléséről. A felhasználóval kapcsolatban felmerülő egyéb informatikai igényeket is az IBNY02 mellékleten kell benyújtani pl.: −
informatikai beavatkozás igénylés;
−
informatikai eszközigénylés, mozgatás, áthelyezés és átvezetés;
−
informatikai rendszerhez hozzáférési változási igény (igénylés, módosítás, vagy törlés);
−
alkalmazástelepítési, vagy eltávolítási igény;
−
inaktívvá válás esetén újra aktiválás kérése;
−
munkavégzési hely, vagy feladat változása esetén egyedi, illetve tömeges eszközmozgatási és telepítési igény;
− −
hálózattal kapcsolatos igény (kiépítés, bővítés, elbontás); informatikai szolgáltatáshoz, alkalmazáshoz, hálózati mappához (könyvtár) való hozzáférés, valamint ezekkel kapcsolatos jogosultság változása (igénylés, módosítás vagy törlés).
Az IBNY02 melléklet tartalma alapján az Informatikai Osztály kijelölt informatikusa elvégzi az informatikai rendszerben: −
az adatok átvezetését, a szükséges beállításokat;
−
letiltja, vagy engedélyezi az informatikai szolgáltatásokat (pl.: levelezés, internet, hálózati mappa elérése, nyomtatás stb.);
−
szükség esetén továbbítja az illetékes szervezetek, a szakigazgatási feladatot ellátó szervezeti egységek központi szervei, központi informatikai szolgáltatók felé az előírt információkat;
−
elvégzi a jogosultságok nyilvántartását: o
amennyiben az adott rendszerből az informatikus által lekérdezhető, akkor a jogosultságok rendszerben történő átvezetésével;
o
egyéb esetben külön (elektronikus, vagy papíralapú)
jogosultsági
nyilvántartás vezetésével (IBNY09 melléklet); −
a kijelölt informatikus átadja, átveszi, átvezeti, beállítja, törli, az informatikai eszközöket és jogokat a belépő, kilépő, meglévő felhasználóknak;
−
elvégzi az informatikai eszközök nyilvántartására vonatkozó alábbi teendőket: o
az eszközök mozgásáról eszköz átadás-átvételi adatlapot (IBNY14.
o
a kinyomtatott adatlapot az érintett felhasználókkal aláírattatja;
o
az aláírt adatlapot 1 munkanapon belül digitalizálja, és e-mailben elküldi
melléklet) nyomtat az eszköznyilvántartásból;
az
érintett
nyilvántartáson
felhasználóknak, történő
valamint
átvezetése
48. oldal
a
változások
érdekében
a
analitikus
Pénzügyi
és
Gazdálkodási
Főosztály
Beszerzési,
Beruházási
és
Üzemeltetési
Osztályának; −
kilépő dolgozó, vagy munkakör változás esetén elvégzi, és a szervezet vezetője, illetve a Jogi és Koordinációs Főosztály felé a megfelelő adatlapon igazolja a nyilvántartás szerint a dolgozó nevén lévő eszközök átvezetését, továbbá jogosultságainak kivezetését a rendszerből.
11.1.2.
AUTENTIKÁCIÓ
A Kormányhivatal informatikai rendszerét úgy kell kialakítani és olyan szoftvereket szabad
használni,
hogy
a
rendszerébe
felhasználó
csak
autentikáció
után
jelentkezhessen be.
11.1.3.
AUTORIZÁCIÓ
A Kormányhivatal informatikai rendszerébe csak az Informatika Osztály által adatlapon (IBNY02 melléklet) engedélyezett felhasználónak lehet azonosítót és jelszót adni. 11.1.4.
SZEREPKÖRÖK
Hálózati rendszergazdai jogosultság kizárólag az Informatikai Osztály vezetőjének engedélyével adható. Hálózati felhasználói jogosultságot a szervezeti egység vezetőjének írásban (IBNY02 adatlapon) tett kérelmére az Informatikai Osztály informatikusa adja meg. Számítógépen helyi (lokális) rendszergazdai jog csak az Informatikai Osztály egyedi írásos engedélyével, nem személyhez kötött módon adható kizárólag üzemeltetési indok alapján. 11.1.5.
JOGOSULTSÁGI MÁTRIX
Hálózati rendszergazdai jogosultság kizárólag az Informatikai Osztály rendszergazdai feladatokat ellátó munkatársai részére adható. Az azonosítónak egyedinek, személyhez kapcsolhatónak kell lennie. Az induló jelszó kiosztására, az adminisztrátori jelszó kezelésére ugyanazok a szabályok érvényesek, mint a felhasználói jelszó kezelésére. Az Informatikai Osztály vezetőjének egyedi engedélye alapján kap valamely belső, vagy külső munkatárs adminisztrátori/üzemeltetői jogokat. A nem személyhez köthető adminisztrátori (root, superuser, teljes jogú adminisztrátor stb.) azonosító ne legyen napi használatban, az csak olyankor használható, amikor elengedhetetlen. A nem személyhez köthető adminisztrátori azonosítókat és jelszavakat lezárt, és az adminisztrátor által aláírt borítékban az Informatikai Osztály vezetője őrzi zárt szekrényben.
49. oldal
11.2. A FELHASZNÁLÓK HOZZÁFÉRÉSI JOGAINAK KEZELÉSE 11.2.1.
FELHASZNÁLÓ NYILVÁNTARTÁS
A Kormányhivatal informatikai rendszerében felvett (IBNY02 melléklet) és ott jogosultságokat kapott felhasználókat, a jogosultság nyilvántartás segítségével (IBNY09 melléklet) az Informatikai Osztály tartja nyilván és naprakészen. 11.2.2.
FELHASZNÁLÓI PRIVILÉGIUMOK KEZELÉSE
A felhasználók hálózati mappákhoz való hozzáférésének jogosultsági szintjeit az adott felhasználó szervezeti egységének vezetője állapítja meg (adja, módosítja, elveszi) a benyújtott kérelemben (IBNY02 melléklet), melyet az Informatikai Osztály kijelölt informatikusa a dokumentum szerint beállít. Az informatikai eszközöket, ha hozzáférhetősége, vagy fontossága miatt indokolt (számítógép, nyomtató, multifunkciós eszköz, switch stb.), és ha az eszköz operációs rendszere megengedi, valamint a hálózathoz való hozzáférést minden esetben felhasználói azonosítóval (felhasználói név + jelszó) kell védeni.
11.2.3.
FELHASZNÁLÓI JOGOSULTSÁG- ÉS JELSZÓKEZELÉS
A felhasználók részére jogosultságot kizárólag a 11. fejezetben, az általános szabályok részben leírtak szerint lehet igényelni és kiosztani, valamint beállítani. Jelszavak kezelésének szabályait a 7. fejezetben „A jelszókezelés általános szabályai” rész tartalmazza. A felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas, úgynevezett
felhasználói
azonosító
használatával
valósul
meg
az
informatikai
képzésének
szabálya:
rendszerben (felhasználói azonosító = felhasználói név + jelszó). A
javasolt
névkonvenció,
a
felhasználói
név
„vezeteknev.keresztnev” ékezet nélkül. Ha felhasználónak három neve van, akkor keresztnév helyére az általa választott, használni kívánt nevet kell írni. Név előtagot, illetve titulust nem kell szerepeltetni. Azonos nevű emberek esetén a keresztnév utáni sorszámmal kell egyedivé tenni a felhasználói nevet. 11.2.4.
FELHASZNÁLÓI ELÉRÉSI JOGOK FELÜLVIZSGÁLATA
A felhasználói jogosultságokat az Informatikai Osztály kijelölt informatikusának az érintett szervezeti egységek vezetőivel együttműködve évente felül kell vizsgálnia. Az érintett szervezeti egység vezetőjének bejelentési jogosultsága van, ha a felhasználóval kapcsolatban munkaköri, vagy munkafeladat változás merül fel. Változás esetén az általános szabályok értelmében bejelentést kell tennie. 11.2.5.
AZ ADMINISZTRÁTORI/ÜZEMELTETŐI JOGOK ÉS FELÜLVIZSGÁLATUK
Az adminisztrátori jogokat személyi változás, munkaköri változás esetén, valamint évente felül kell vizsgálni. Az Informatikai Osztály vezetőjének engedélye alapján kap valamely belső, vagy külső munkatárs adminisztrátori/üzemeltetői jogokat.
50. oldal
11.2.6.
FELÜGYELET
NÉLKÜL
HAGYOTT
FELHASZNÁLÓI
ESZKÖZÖK
FELELŐSSÉGE A nem használt (tartalék, javításra váró, vagy javításból érkezett) informatikai eszközök tárolásáról az Informatikai Osztály gondoskodik. Ezen eszközök és kellékanyagok tárolása csak az Informatikai Osztály által felügyelt zárt, betörés elleni védelemmel biztosított, a tároló helységekre vonatkozó előírásoknak megfelelő helyiségben történhet. A rövid, eltávozással járó szünet (1 óra, vagy kevesebb) idejére a számítógépet a felhasználónak a hozzáférés ellen zárolni kell. A munkaállomást illetéktelen személy (pl. ügyfél) jelenléte mellett a felhasználó nem hagyhatja felügyelet nélkül. A használaton kívüli állapotban lévő (lekapcsolt) eszközöket a felhasználó csak illetéktelen személy elől elzárt helyen hagyhatja. 11.2.7.
DOKUMENTÁLÁS
Felhasználó igények és jogosultságok bejelentése IBNY02 melléklet szerinti adatlapon történik. Az adatlapokat (IBNY02 melléklet) a kapcsolódó jogosultsági nyilvántartásban kell felvezetni (IBNNY09 melléklet).
11.2.8.
KONTROLLOK
Az Informatikai Osztály feladata az informatikai rendszerek oly módon történő konfigurálása, hogy a belépések és a belépési kísérletek a teljes adattartalommal naplózásra kerüljenek. A szervereken és számítógépen tárolt naplókat az informatikus a rendszer karbantartása során szúrópróbaszerűen, illetve rendszeresen ellenőrizheti. Biztonsági eseményt követően a naplókat az eseménnyel egyező időszakra vonatkozóan ellenőrizni és archiválni kell. 11.2.9.
ELLENŐRZÉS
A jogosultságok nyilvántartását és a jelszókezelést a főigazgató által kijelölt dolgozó, illetve szervezeti egység évente egyszer szúrópróbaszerűen ellenőrzi, és az Informatikai Osztály vezetőjét jelentésben tájékoztatja az ellenőrzés eredményéről. 11.3. A HÁLÓZATI HOZZÁFÉRÉS VÉDELME 11.3.1.
HÁLÓZATI SZOLGÁLTATÁSOK HASZNÁLATÁNAK POLITIKÁJA
A Kormányhivatal informatikai rendszerének elemeit adminisztrálási célból az internet felől elérni csak titkosított kapcsolaton keresztül, legalább kétkomponensű autentikáció után megengedett. Az ilyen kapcsolat kiépítésére az informatikai Osztály vezetője adhat engedélyt. Minden adminisztrátori tevékenységnek egyértelműen személyhez köthetőnek kell lennie.
51. oldal
11.3.2.
KÖTELEZŐ ELÉRÉSI ÚTVONAL
Külső hálózatról az informatikai rendszerek kizárólag erre a célra dedikált védelmi rendszeren (tűzfalak, zónák stb.) keresztül lehetnek elérhetők. 11.3.3.
TÁVOLI DIAGNOSZTIKAI PORT VÉDELME
Kiemelt védettségű időszak alatt, kizárólag a védett környezetű helyszíneken engedélyezett a hozzáférés, minden egyéb távdiagnosztikai/menedzselési kapcsolat használata és létesítése szigorúan tilos. 11.3.4.
HÁLÓZATI RÉSZEK ELVÁLASZTÁSA
Az internet és a hivatali rendszerek különböző zónái között az Informatikai Osztály és a szakmai irányító szervek közösen gondoskodnak arról, hogy a tűzfalak biztosítsák az elválasztást. 11.3.5.
HÁLÓZATI KAPCSOLATOK ÉS A ROUTOLÁS VEZÉRLÉSE
Az internet és az informatikai rendszerek különböző zónái között a hálózaton routolás/útválasztás
ellenőrzött
módon,
az
informatikai
biztonsági
szempontok
figyelembevételével kell, hogy történjen. 11.3.6.
HÁLÓZATI BIZTONSÁG A KIEMELT VÉDETTSÉGŰ IDŐSZAKBAN
A kiemelt védettségű időszak alatt a rendszert speciális, úgynevezett „Illetéktelen hozzáférés elleni” szolgálattal kell folyamatos védelemben részesíteni. Az illetéktelen hozzáférés elleni szolgálat üzemeltetési rendjét ki kell alakítani, melynek alapvető szempontjai: −
a rendszer képes legyen az internet felőli támadások minél teljesebb detektálására;
−
a rendszer biztosítsa a hálózat belső elemei felől érkező támadások
−
a rendszer rendelkezzen előre kidolgozott akciótervekkel a legtipikusabb és
detektálását; legvalószínűbb támadások kezelésére; −
a rendszer biztosítsa az eseti támadás-elhárítási módszerek alkalmazását oly módon, hogy azok szabályozott körülmények között legyenek végrehajthatók.
11.3.7.
DOKUMENTÁLÁS
A hálózati hozzáféréseket érintő döntésekről és eseményekről, valamint beállításokról írásos feljegyzést kell készíteni az Informatikai Osztály vezetője részére az érintett informatikusnak. 11.3.8.
KONTROLLOK
A hálózati hozzáférések felett az Informatikai Osztály és a szakmai irányító szervek közösen gyakorolnak felügyeletet. 11.3.9.
ELLENŐRZÉS
Az informatikai biztonsági megbízott, vagy az Informatikai Osztály vezetője által megbízott más személy évente legalább egyszer, gyakorlati szúrópróbaszerű auditot végez. Ennek során az IBSZ hatálya alá tartozó területeken (telephelyen) a rendszer sebezhetőségére
irányuló
támadáspróbával
meggyőződik
a
hálózati
állapotáról. Az audittal megbízott személy a teszt eredményét dokumentálja. 52. oldal
integritás
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a hálózattal kapcsolatos dokumentumokat és azok lényeges elemeit éves jelentésében szerepelteti. 11.4. AZ OPERÁCIÓS RENDSZER HOZZÁFÉRÉS VÉDELME 11.4.1.
FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS
Felhasználó helyi (lokális) felhasználói névvel közvetlenül egyik gép operációs rendszerébe sem jelentkezhet be. A számítógép-programokhoz, rendszerprogramokhoz és adatokhoz csak az arra jogosult informatikusok számára megengedett hozzáférés biztosítása. Ezt a megfelelően konfigurált operációs rendszerek védelmi rendszerének kell biztosítania és csak ennek megfelelő operációs rendszereket szabad használni. Az informatikai központban működő rendszerek rendszergazdai és adminisztrátori jogait nyilvántartó dokumentumot az Informatikai Osztály vezetője hagyja jóvá. Ebből egy-egy példányt kell tárolni minden érintett informatikai központban. 11.4.2.
SINGLE SIGN-ON (SSO)
Az operációs rendszerbe belépő felhasználókhoz kapcsolt Single sing-on (hálózati autentikáció, egypontos bejelentkezés több alkalmazásba) biztosítása az érintett alkalmazások üzemeltetőjének és a hálózat üzemeltetőjének megállapodása alapján történik.
11.4.3.
BIZTONSÁGI POLICY
Az informatikai rendszerbe belépő
felhasználókhoz rendelt
biztonsági
policy-k
meghatározása és beállítása az Informatikai Osztály és a szakmai irányító szervek közös döntése és akarata szerint valósul meg. 11.4.4.
JOGOSULTSÁGIGÉNYLÉS
A jogosultságok
igénylését a
11.1.1. fejezetben meghatározottak
szerint kell
megvalósítani. 11.4.5.
DOKUMENTÁLÁS
A jogosultság igényléseket az IBNY02 melléklet tartalma alapján az Informatikai Osztály kijelölt informatikusa továbbítja az alkalmazás üzemeltetője felé (a szükséges formában), majd az adatlapokat a jogosultsági nyilvántartásba (IBNY09 melléklet) felvezeti. 11.4.6.
KONTROLLOK
A jogosultságok engedélyezési folyamata során az engedélyező és jóváhagyó személyek gyakorolnak kontrollt az engedélyek jogossága és megfelelősége felett. 11.4.7.
ELLENŐRZÉS
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi
a
jogosultság
igénylések
jogosságát
és
megfelelőségét,
valamint
a
nyilvántartások naprakész korrekt vezetését, és tesz jelentést az Informatikai Osztály vezetője felé az ellenőrzések tapasztalatairól.
53. oldal
11.5. AZ ALKALMAZÁSOK HOZZÁFÉRÉS VÉDELME 11.5.1.
FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS
A felhasználó csak a számára meghatározott információkhoz férhet hozzá. Minden egyéb hozzáférési kísérletet biztonsági eseményként kell kezelni. A jogosultságokat a 11.1.1. pont alatti részben leírtak szerint kell megvalósítani. 11.5.2.
SINGLE SIGN-ON (SSO)
Az informatikai rendszerbe belépő felhasználókhoz kapcsolt Single sing-on (hálózati autentikáció, egypontos bejelentkezés több alkalmazásba) biztosítása az érintett alkalmazások üzemeltetőjének és a hálózat üzemeltetőjének megállapodása alapján történik. A megállapodásban kell rögzíteni a beállítással kapcsolatos feltételeket. Új fejlesztésű rendszerek bevezetésekor a Single Sign-On módszer alkalmazására kell törekedni. 11.5.3.
BIZTONSÁGI POLICY
Az informatikai rendszerbe belépő
felhasználókhoz rendelt
biztonsági
policy-k
meghatározása és beállítása az Informatikai Osztály és a szakmai irányító szervek közös döntése és akarata szerint történik. 11.5.4.
JOGOSULTSÁGIGÉNYLÉS
A jogosultságok
igénylését a
11.1.1. fejezetben meghatározottak
szerint kell
megvalósítani. 11.5.5.
DOKUMENTÁLÁS
A jogosultság igényléseket az IBNY02 adatlap tartalma alapján az Informatikai Osztály kijelölt informatikusa továbbítja az alkalmazás üzemeltetője felé (a szükséges formában), majd az adatlapokat a jogosultsági nyilvántartásba (IBNY09 melléklet) felvezeti. 11.5.6.
KONTROLLOK
A jogosultságok engedélyezési folyamata során az engedélyező és jóváhagyó személyek gyakorolnak kontrolt az engedélyek jogossága és megfelelősége felett. 11.5.7.
ELLENŐRZÉS
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi
az
alkalmazáshoz
igényelt
jogosultság
igénylések
jogosságát
és
megfelelőségét, valamint a nyilvántartások naprakész korrekt vezetését és tesz jelentést az Informatikai Osztály vezetője felé az ellenőrzések tapasztalatairól. 11.6. A TÁVMUNKA HOZZÁFÉRÉS SZABÁLYOZÁSA 11.6.1.
A TÁVMUNKA SZABÁLYAI
A Kormányhivatal hálózatában távmunka végzést az Informatikai Osztály vezetője engedélyezhet a megfelelő IT biztonság biztosítása mellett, indokolt esetben írásbeli kérelem alapján. 11.6.2.
A BELSŐ ÉS KÜLSŐ FELHASZNÁLÓK
A Kormányhivatal hálózatába bejelentkező személyek (külső és belső felhasználó) felett az Informatikai Osztály gyakorol kontrollt a nyilvántartásain és ellenőrzésein keresztül. 54. oldal
11.6.3.
A TÁVMUNKA BIZTONSÁGI KÖVETELMÉNYEI
A Kormányhivatal hálózatában csak az Informatikai Osztály engedélyével, az általa biztosított
eszközökkel,
az
általa
megadott
módon
és
az
alábbi
biztonsági
követelmények betartása mellett végezhető távmunka: −
a távmunkához a Kormányhivatal tulajdonában lévő eszközt kell használni, és az eszközt védeni kell a megfelelő biztonsági és vírusvédelmi szoftverekkel;
− 11.6.4.
nem engedélyezett a távmunkához használt eszközt más célra használni. A TÁVMUNKA BIZTONSÁGI ESZKÖZEI
A távmunka eszközeinek és beállításainak feltételei meg kell, hogy feleljenek a Kormányhivatalon belüli használatra előírt biztonsági előírásoknak. 11.6.5.
DOKUMENTÁLÁS
A távmunka igénylések és engedélyezések levelezései és a megfelelő adatlapok képezik a távmunka dokumentációját. 11.6.6.
KONTROLLOK
A távmunka engedélyezési folyamata során az engedélyező és jóváhagyó személyek gyakorolnak kontrolt a távmunka jogossága és megfelelősége felett. 11.6.7.
ELLENŐRZÉS
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi
a
távmunka
igénylések
jogosságát
és
megfelelőségét,
valamint
a
dokumentációt, megszemléli a távmunkához biztosított eszközt, és jelentést tesz az Informatikai Osztály vezetője felé az ellenőrzések tapasztalatairól. 11.7. A RENDSZER HOZZÁFÉRÉS ÉS HASZNÁLAT MONITOROZÁSA 11.7.1.
A RENDSZER HASZNÁLAT MONITOROZÁSA
Az Informatikai Osztály a Kormányhivatal informatikai rendszerének megfelelő működése és biztonsága érdekében a számítógépes hálózatot, valamint az internet szolgáltatást monitorozhatja. Az internet használat ellenőrzése csak a Kormányhivatal adatkezelésének rendjéről szóló szabályzat előírásai szerint valósulhat meg. 11.7.2.
ESEMÉNYNAPLÓ
A rendszerekben az operációs rendszerek, az adatbázis kezelő és az alkalmazás esemény és hiba naplózását aktív állapotban kell tartani. Minden szerverről a kijelölt informatikusnak digitális, vagy papír alapú eseménynaplót kell vezetnie (IBNY12 melléklet), melyben rögzíti a szerverrel kapcsolatos szoftveres és hardveres beavatkozásokat és eseményeket (telepítés, frissítés, hibajelzés, riasztás, leállás, lemerevedés, szerelés, javítás, bővítés stb.). 11.7.3.
A RENDSZER ÓRÁK SZINKRONIZÁLÁSA
A rendszer valamennyi, időinformáció kezelésére alkalmas elemének egységes időalapot kell biztosítani.
55. oldal
11.7.4.
DOKUMENTÁLÁS
A rendszer monitorozása során jegyzőkönyvet kell készíteni a vizsgált időszak és terület, valamint a tapasztalatok tekintetében. Az informatikai központok belépési naplóit és a szerver eseménynaplókat naprakészen kell vezetni. 11.7.5.
KONTROLLOK
A rendszer monitorozása során be kell tartani az adatvédelemre és a személyiségi jogokra vonatkozó törvényi előírásokat. 11.7.6.
ELLENŐRZÉS
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a naplókat és jegyzőkönyveket. Az ellenőrzés megállapításairól jelentést tesz a főigazgatónak. 12. A RENDSZERFEJLESZTÉS ÉS KÖVETÉS BIZTONSÁGI SZABÁLYAI 12.1. A RENDSZEREK BIZTONSÁGI KÖVETELMÉNYEI 12.1.1.
AZ ELEMZÉS ÉS A SPECIFIKÁCIÓ BIZTONSÁGI KÖVETELMÉNYEI
A meglévő szoftverek továbbfejlesztését, vagy új programok bevezetését az érintett szakmai területek vezetője írásos fejlesztési igénnyel kezdeményezheti. A Kormányhivatal számára szoftverek bevezetését, fejlesztését és az általa használt szoftverek továbbfejlesztését az Informatikai Osztály engedélyével és hozzájárulásával lehet végezni. Az integrált szolgáltatást nyújtó kész szoftvereknek a Kormányhivatal döntése alapján történő vásárlásánál, valamint a Kormányhivatal saját fejlesztésű alkalmazásai esetében az erre épülő informatikai rendszerek bevezetésének tervezésénél az alábbiak szerint kell eljárni: 1. Írásban meg kell határozni a tervezett rendszer által nyújtandó szolgáltatások körét. 2. Meg kell tervezni a rendszer biztonsági modelljét, amelyben az alapvető védelmi igényeket szövegesen is rögzítik. 3. A
hardver
és
szoftver
komponensekkel,
valamint
az
adatfeldolgozás
folyamatával kapcsolatos adatbiztonsági elvárásokat meg kell fogalmazni. 4. Meg kell tervezni az információbiztonsági rendszer működtetéséhez szükséges feltételrendszert. El kell készíteni az adatok mentésének és meghatározott idejű megőrzésének előírását. 5. A biztonsági szempontok figyelembevételével megvalósítási tanulmányt és rendszertervet kell készíteni, amit a megbízó, a fejlesztő és az Informatikai Osztály vezetője egyeztetés után elfogad. 12.1.2.
A RENDSZERFEJLESZTÉS BIZTONSÁGI KÖVETELMÉNYEI
A Kormányhivatal szervereihez és alkalmazásaihoz hozzáférést külső, vagy belső fejlesztőnek fejlesztési, tesztelési célból az Informatikai Osztály adhat.
56. oldal
A Kormányhivatal hálózatán a központi szervek által fejlesztett szoftverek tervezésében, fejlesztésében, tesztelésében, bevezetésében a Kormányhivatal munkatársai az Informatikai Osztály vezetőjének tudomásával és engedélyével vehetnek részt. A szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szerveinek, illetve a szakigazgatási feladatot ellátó szervezeti egységek a Kormányhivatal hálózatában és eszközein történő új szakmai rendszer bevezetése esetén a szoftvertelepítéssel kapcsolatos igényeket az Informatikai Osztály felé kell benyújtani, mellékelve: −
a szoftver dokumentációját,
−
a licenc igazolását,
−
a telepítési leírást,
−
a központi szerv szoftvertelepítésre vonatkozó levelét,
−
a telepítő lemez, vagy állomány másolatát (az eredeti példány a szakigazgatási feladatot ellátó szervezeti egységeknél marad).
12.1.3.
A RENDSZER VÁLTOZÁSKEZELÉSÉNEK BIZTONSÁGI KÖVETELMÉNYEI
Az informatikai rendszerben változtatások az alábbi elvek érvényesítése mellett végezhető: −
A Kormányhivatal által üzemeltetett rendszerprogramok (alapszoftver), illetve a felhasználói programok telepítését a központi számítógépekre (szerverekre) és munkaállomásokra kizárólag az erre feljogosított informatikusok végezhetik el. Jogosultságot az Informatikai Osztály vezetője engedélyezhet.
−
Az alapszoftverrel kapcsolatos bármely konfigurációs műveletet csak az Informatikai Osztályhoz tartozó informatikus, illetve – előzetes jóváhagyása mellett – az erre felhatalmazott üzemeltető végezhet.
−
Az alkalmazói szoftvereken végzendő, azok bármely funkcióját megváltoztató művelethez az Informatikai Osztály vezetőjének és az érintett szakmai terület vezetőjének
engedélye
beavatkozást
igénylő
szükséges. hangolás
A
verzióváltás
elvégzéséhez
az
egyéb,
jelentős
Informatikai
és
Osztály
vezetőjének engedélye szükséges. −
A felmerült változtatási igényeket kielégítő beállításokat teszt környezetben az Informatikai
Osztály
vezetője
által
meghatározott
időszakon
át,
munkarendszerűen tesztelni és üzemeltetni kell. −
Teljes körű tesztelési eljárásokkal kell megbizonyosodni a biztonsági modellben megfogalmazott elvárások érvényesüléséről új rendszer bevezetése előtt.
−
Próbaüzem és terhelési próbák során meg kell vizsgálni az új rendszer üzembiztonságát és megbízhatóságát még a bevezetés előtt.
−
A tesztelésről készített jelentés felhasználásával dönt az Informatikai Osztály vezetője a beállítások, illetve alkalmazások bevezetéséről.
−
A Kormányhivatal informatikai rendszerébe beállításokat, illetve alkalmazásokat helyi előzetes tesztelés nélkül csak a központi szakmai irányító szervek alkalmazási igazolása mellett szabad alkalmazni.
−
Alapszoftvert és alkalmazói szoftvert kizárólag érvényes, arra vonatkozó licenc alapján szabad felhasználni.
57. oldal
12.1.4.
VÁLTOZÁSKÖVETÉSI FOLYAMATOK
A Kormányhivatal rendszerében a változtatásokat csak a változás folyamatainak dokumentált követésével és a döntési pontoknál előzetes hatásvizsgálatok (biztonsági, költség) elvégzése után, annak figyelembevételével lehet végrehajtani az Informatikai Osztály vezetőjének írásos engedélyével. 12.1.5.
AZ
OPERÁCIÓS
RENDSZER
VÁLTOZÁSAINAK
TECHNIKAI
FELÜLVIZSGÁLATA A Kormányhivatal rendszerében az operációs rendszer verzióváltásait, illetve a szerviz csomagok telepítését, frissítéseket meg kell, hogy előzze az operációs rendszer változásának hatásfelmérése, figyelembe véve a Kormányhivatal munkafeladatait, eszközparkját és hálózati adottságait. 12.1.6.
SZOFTVER CSOMAGOK VÁLTOZTATÁSÁNAK KORLÁTOZÁSA
A kiemelt védettségű időszak alatt a szoftvereken módosítani nem szabad. Ezen időszakok között bármely módosítást kizárólag az Informatikai Osztály vezetője engedélyezhet. 12.1.7.
ÁLCÁZOTT CSATORNÁK ÉS „TRÓJAI” PROGRAMOK
A rendszerben használt szoftvereket csak megbízható forrásból (ismert szállítótól) szabad beszerezni az álcázott csatornán keresztüli beavatkozás és Trójai programok bejuttatásának kivédésére. 12.1.8.
KÜLSŐ CÉG ÁLTAL VÉGZETT (VÁLLALKOZÓI SZERZŐDÉS KERETÉBEN)
SZOFTVERFEJLESZTÉS A külső céggel végeztetett szoftverfejlesztés esetén a megrendelőnek rögzíteni kell a tulajdonosi, használati és licenc jogokat. Rögzíteni kell a követés módját, formáját és minimális időtartamát. A Kormányhivatal rendszerében végzett, külső cég általi szoftverfejlesztés esetén vizsgálni kell: −
az IT biztonsági veszélyeket és kockázatokat a fejlesztés során;
−
a fejlesztő szervezet megbízhatóságát;
−
a fejlesztésre vonatkozó szerződésben a fejlesztőnek garanciát kell vállalnia arra, hogy a fejlesztett alkalmazás nem jelent kockázatot az IT biztonságra.
12.1.9.
DOKUMENTÁLÁS
A Kormányhivatal rendszerében végzett rendszerfejlesztés minden Kormányhivatalt érintő elemét (felmérés, javaslat, tesztelés, döntés, bevezetés, monitoring) az Informatikai Osztálynak és a fejlesztőnek dokumentálni kell. A külső cég által végzett fejlesztést csak szigorú szerződési feltételek között szabad végezni. 12.1.10.
KONTROLLOK
A Kormányhivatal rendszerében végzett rendszerfejlesztés felett az Informatikai Osztály vezetője gyakorol felügyelet, szükség esetén kapcsolattartónak informatikust jelöl ki.
58. oldal
12.1.11.
ELLENŐRZÉS
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a naplókat és jegyzőkönyveket. Az ellenőrzés megállapításairól jelentést tesz a főigazgatónak. 12.2. TITKOSÍTÁSI TEVÉKENYSÉGEK 12.2.1.
TITKOSÍTÁS SZABÁLYAI
Az informatikai rendszerek által is használt belső hálózaton történő adatforgalom védelmére, az NTG (EKG) végponttal rendelkező telephelyek közötti kommunikációs vonalon rejtjelezéssel védett VPN-t kell az üzemeltetőnek kialakítani. Telephelyek közötti belső adatátvitelre nyílt internet még rejtjelezés esetén sem vehető igénybe. Az alkalmazott kriptográfiai eszközöknek meg kell felelniük a hatályos vonatkozó jogszabályi előírásoknak. 12.2.2.
NYÍLT KULCSÚ TITKOSÍTÁS
Nyílt kulcsú titkosítást csak az Informatikai Osztály vezetőjének engedélyével lehet alkalmazni. A titkosítási rendszer kialakítása és a rendszer nyilvántartása a kijelölt informatikus feladata. A nyílt kulcsú titkosítás eszközeinek és jelszavainak kezeléséért és megőrzéséért a kulcsot alkalmazó felhasználó felelős. A nyílt kulcsú titkosítás azonosítóit és a titkos kulcsok jelszavait az Informatikai Osztály kezelésében lévő páncélszekrényben, zárt borítékban kell tárolni. A boríték az Informatikai Osztály vezetőjének utasítására bontható fel. 12.2.3.
FILE RENDSZER TITKOSÍTÁSA
A fájlrendszereket tikosítását az Informatikai Osztály vezetőjének engedélyével lehet alkalmazni a mobil adathordozóknál és mobil informatikai eszközöknél. A rendelkezése álló szoftver telepítése és beállítása, és a titkosított rendszer használatának nyilvántartása a kijelölt informatikus feladata. A fájlrendszer titkosítás eszközeinek és jelszavainak kezeléséért és megőrzéséért a felhasználó felelős. A fájlrendszer titkosításának
azonosítóit és jelszavait az Informatikai Osztály
kezelésében lévő páncélszekrényben, zárt borítékban kell tárolni. A boríték az Informatikai Osztály vezetőjének utasítására bontható fel. 12.2.4.
ADATÁTVITEL TITKOSÍTÁSA
Az informatikai rendszerek által is használt belső hálózaton történő adatforgalom védelmére, a telephelyek közötti kommunikációs vonalon rejtjelezéssel védett VPN-t kell az üzemeltetőnek kialakítani. Telephelyek közötti belső adatátvitelre Internet még rejtjelezés esetén sem vehető igénybe. Az alkalmazott kriptográfiai eszközöknek meg kell felelniük a hatályos vonatkozó jogszabályi előírásoknak.
59. oldal
12.2.5.
ELEKTRONIKUS ALÁÍRÁS
Elektronikus aláírást kizárólag az Informatikai Osztály vezetőjének engedélyével lehet alkalmazni. A hitelesítési rendszer kialakítása és a rendszer nyilvántartása a kijelölt informatikus feladata. Az elektronikus aláírás eszközeinek és jelszavainak kezeléséért és megőrzéséért az alkalmazó felhasználó a felelős. 12.2.6.
KONTROLLOK
Kontrollokat a titkosítási és hitelesítési rendszerek felett az Informatikai Osztály vezetője gyakorol. 12.2.7.
ELLENŐRZÉS
A titkosítási és hitelesítési rendszerek alkalmazását az informatikai biztonsági megbízott évente ellenőrzi. 13. BIZTONSÁGI KOCKÁZATMENEDZSMENT 13.1. IT KOCKÁZATELEMZÉS A Kormányhivatal informatikai biztonsági megbízottja évente egyszer a rendelkezésre álló információk alapján kockázatelemzést köteles készíteni. A kockázatelemzés során az egyes veszélyforrások által képviselt kockázatokat kell megállapítani, illetve feltárni. A kockázat meghatározása a veszély megvalósulásának valószínűsége és az okozható kár, vagy más nézőpontból az adott veszélyt képviselő sérülékenység kihasználhatósága és ennek hatása alapján történik. A Kormányhivatal
informatikai biztonsági
megbízottja
elemzés
során
a kockázatokat
kategóriákba sorolja. A tapasztalatokat jelentésben tárja az Informatikai Osztály vezetője elé. 13.2. IT KOCKÁZATÉRTÉKELÉS A kockázat elemzésről szóló jelentés alapján az Informatikai Osztály vezetője a kockázatokat értékeli és gondoskodik az azok megelőzéséhez szükséges intézkedések meghozataláról.
60. oldal
13.3. IT KOCKÁZATKEZELÉS A kockázatkezelési folyamatok során az Informatikai Osztály vezetője igénybe veszi a Pénzügyi Üzemeltetési Osztály, illetve külső felek közreműködését. A kockázatkezelés lépései: −
kockázatok feltárása, csoportosítása és hatáselemzése;
−
szükséges lépések, módszerek meghatározása és hatáselemzés;
−
megoldási tervek és alternatívák készítése;
−
döntés és megvalósítás;
−
monitoring és utóellenőrzés.
13.4. IT KOCKÁZATMENEDZSELÉS SZABÁLYAI −
A körülmények teljes körű feltérképezését követően a valós kockázatokat kell figyelembe venni.
− −
A súlyosság mértéke szerint kell haladni a kockázat megoldása és elhárítása során. A megoldások közül azt a módszert (eszköz) kell választani, amelyik a legnagyobb eredményt hozza a legkisebb erőforrás ráfordítással.
−
A kockázatkezelésre fordított erőforrásoknak, a védekezés költségeinek arányosnak kell lennie a kockázat mértékével.
14. ELLENŐRZÉS 14.1. AZ IT BIZTONSÁG DOKUMENTÁLÁSA 14.1.1.
AZ IT BIZTONSÁG DOKUMENTÁLÁS SZABÁLYAI
Rendelkezésre állás: a jogosultságok engedélyeztetése és nyilvántartása révén biztosítja a hozzáférést. Sértetlenség: Adatintegritás biztosítása a mentési és archiválási nyilvántartások naprakész vezetésével és a mentések megfelelő tárolásával. Rendszerintegritás fenntartása a megfelelő ellenőrzött szoftverek használatával és a szoftvernyilvántartások vezetésével. Bizalmasság: az adatok illetéktelen kiszivárgása megelőzhető a mentési adatlapok és nyilvántartások vezetésével, a mentések előírt tárolási szabályainak betartásával, az adatvédelmi szabályok betartásával. Felelősség: bármely entitás cselekvései követhetőek és egyértelműen visszavezethetőek a mentések, a számítógép naplók, valamint a szervernaplók elemzéséből. Megbízhatóság: az IBSZ intézkedései a rendszer megbízhatóságának biztosítására törekednek. A megbízhatóság az alapvető szabályok betartása mellett biztosítható. 14.1.2.
A DOKUMENTUM PORTFÓLIÓ
Az IBSZ szabályai által előírt és naprakészen vezetett adatlapok, naplók és nyilvántartások. Az informatikai munka során készített feljegyzések, jelentések, jegyzőkönyvek. Beszerzések során keletkezett dokumentumok.
61. oldal
14.1.3.
KONTROLLOK •
Dokumentált eszközkezelés (üzembe helyezési, eszközátadási, eszközszállítási, leltározási és selejtezési események dokumentálása).
•
A jogosultságok és hozzáférések adatlapokkal történő dokumentálása.
•
Ellenőrzött
szoftverkezelés
(jogtisztaság,
tesztelt
szoftverek,
szoftvernyilvántartás vezetése, telepítés jogosultság szabályozása). •
Mentések és archívumok készítésére és tárolására vonatkozó előírások és kapcsolódó nyilvántartások vezetése.
•
A
munkahelyek,
üzemeltetésére
hálózatok,
vonatkozó
informatikai
előírások
központok
betartása,
kialakítására
kapcsolódó
és
események
naplózása. •
Az IT biztonsági többszintű ellenőrzése, hibakezelési rendszer alkalmazása.
•
Vezetői döntések megjelenése az egyes engedélyezési eljárások során.
14.1.4.
ELLENŐRZÉS
Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi az IT biztonsági dokumentumokat és jelentés formájában a főigazgatót tájékoztatja. 14.2. AZ IT BIZTONSÁG ELLENŐRZÉS SZABÁLYAI 14.2.1.
AZ ALKALMAZANDÓ SZABÁLYOK MEGHATÁROZÁSA
Az informatikai biztonsági ellenőrzésének szabályait az Informatikai Osztály vezetője, az informatikai biztonsági felügyelő a felettes szakmai iránymutatás alapján határozza meg. 14.2.2.
A BIZTONSÁGI ELLENŐRZÉS RENDSZERE
Az IT ellenőrzések területei: −
Környezeti veszélyek – pl. természeti károk, tűz stb.
−
Fizikai veszélyek – lopás, rongálás, fizikai betörés.
−
Informatikai veszélyek – vírusok, számítógépes betörés stb.
−
Humán veszélyek – szabotázs, gondatlanság, tudatlanság, felelőtlenség stb.
−
Szervezeti veszélyek – szervezeti problémák, irányítási gondok stb.
Az IT ellenőrzések rendszere a Kormányhivatalban: −
Alapszintű ellenőrzés: az Informatikai Osztály informatikusai által.
−
Középszintű ellenőrzés: o
a szervezeti egységek vezetőinek személyes részvételével,
o
az Informatikai Osztály vezetője, vagy az őt képviselő informatikai
o
a Belső Ellenőrzési Osztály ellenőrzései,
biztonsági megbízott ellenőrzései, −
Felsőszintű
ellenőrzés:
központi
szakmai
irányító
szervek,
hatóságok
ellenőrzései, felügyeleti kontrolja. 14.2.3.
JOGSZABÁLYI TÉNYÁLLÁSOK ÉS SZANKCIÓK
Ha a Kormányhivatal alkalmazottja az informatikai biztonsági szabályok megszegésével olyan magatartást tanúsít, amely bűncselekmény gyanúját veti fel, az Informatikai Osztály vezetőjének jelzése alapján a munkáltatói jogkör gyakorlója – a tudomására jutást követően haladéktalanul – feljelentést tesz az illetékes nyomozóhatóságnál. 62. oldal
14.2.4.
KÁRTÉRÍTÉSI FELELŐSSÉG
Ha a Kormányhivatal alkalmazottja az informatikai biztonsági szabályokat vétkesen megszegve a Kormányhivatalnak kárt okoz, a Pénzügyi és Gazdálkodási Főosztály vezetőjének jelzése alapján a főigazgató kártérítési eljárást kezdeményez vele szemben. 14.2.5.
FEGYELMI FELELŐSSÉG
Ha a Kormányhivatal alkalmazottja az informatikai biztonsági szabályokat vétkesen megszegi, az Informatikai Osztály vezetőjének jelzése alapján indokolt esetben a főigazgató fegyelmi eljárást kezdeményez vele szemben. A fegyelmi és kártérítési eljárás lefolytatására a Kormányhivatal Közszolgálati Szabályzatának a fegyelmi és kártérítési felelősségre vonatkozó rendelkezéseit kell alkalmazni. 15. ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK NYILVÁNTARTÁSI ÉS BIZTONSÁGI SZABÁLYAI 15.1. AZ ELEKTRONIKUS INFORMÁCIÓS RENDSZER MEGHATÁROZÁSA A szabályzat alkalmazásában az elektronikus információs rendszer fogalma megegyezik az Ibtv.-ben meghatározottal. 15.2. KORMÁNYHIVATAL ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI BESOROLÁS Az Ibtv. II. fejezete rendelkezik az elektronikus információs rendszerrel rendelkező szervezetek biztonsági szintjéről. Az Ibtv. 9. § (1) bekezdése szerint a kockázatokkal arányos, költséghatékony védelem kialakítása érdekében a szervezetet az elektronikus információs rendszerek védelmére való felkészültsége alapján biztonsági szintekbe kell sorolni. Az Ibtv. 9. § (2) bekezdése b) pontja értelmében a Kormányhivatal (továbbiakban: Kormányhivatal) minimális besorolási szintje 3. 15.3. ELEKTRONIKUS INFORMÁCIÓ BIZTONSÁGÉRT FELELŐS SZEMÉLY A Kormányhivatal vezetője felelős személyt nevez ki az Ibtv-nek megfelelően az elektronikus információs rendszerek biztonsági feladatainak ellátására. Az elektronikus információs rendszerek biztonságáért felelős személy feladatai és hatásköre az Ibtv.-ben kerültek megjelölésre. A felelős személy adatait, elérhetőségét és végzettségét a nyilvántartó hatóság részére meg kell küldeni. Ha a feladat ellátására kijelölt személyében változás következik be, azt a nyilvántartó hatóság részére 15 napon belül jelezni kell. 15.4. ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK BIZTONSÁGI SZABÁLYAI A Kormányhivatal által használt, illetve az IBNY20 mellékletében biztonsági osztályba sorolt elektronikus információs rendszerek kezelése vonatkozásában irányadónak kell tekinteni a hatályos jogszabályokat és a belső eljárásrendeket. 15.5. ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK NYILVÁNTARTÁSA A Kormányhivatalnak az elektronikus információs rendszerekről nyilvántartást kell vezetni, illetve meghatározni a rendszerek biztonsági besorolását. A nyilvántartás az IBSZ mellékletét képezi. (IBNY20 melléklet)
63. oldal
64. oldal
16. ZÁRÓ RENDELKEZÉSEK 16.1. ÁTMENETI RENDELKEZÉSEK Az IBSZ-ben foglaltak ellenőrzési módszertanát ki kell dolgozni annak hatályba lépésétől számított 12 hónapon belül. Jelen IBSZ-ben előírt nyilvántartásokat – figyelemmel a nagy tömegű utólagos adatgyűjtésre és manuális munkára – annak hatályba lépésétől számított 12 hónapon belül kell elkészíteni. Az elkészítendő visszamenőleges nyilvántartások: −
tárolási nyilatkozat (IBNY01 melléklet): elkészítendő az összes jelenleg felhasználónál található mobil eszközre,
−
mentési nyilvántartás (IBNY04 melléklet): elkészítendő az ez évben készült és jelenleg is
−
mentési adatlap (IBNY05 melléklet): elkészítendő az ez évben készült és jelenleg is
meglévő mentésekre, meglévő mentésekre, −
mobil adathordozó engedélyezése (IBNY06 melléklet): elkészítendő az összes jelenleg
−
szoftvernyilvántartás (IBNY08 melléklet): elkészítendő az összes jelenleg érvényes és
felhasználónál található mobil adathordozóra, alkalmazott szoftver telepítőkészletére, −
jogosultság nyilvántartás (IBNY09 melléklet): elkészítendő az összes jelenlegi felhasználó minden olyan jogosultságára, ami a rendszerekből nem kérdezhető le,
−
belépő dolgozók oktatásának igazolása (IBNY16 melléklet): elkészítendő az összes jelenlegi felhasználó számára,
−
mentési rend (IBNY18 melléklet): elkészítendő az összes jelenlegi mentési rendszerre vonatkozóan.
Az informatikai központok fizikai környezetének kialakítására vonatkozó előírásoknak való megfelelést és a szervezeti szintű alkalmazások működését befolyásoló informatikai és távközlési eszközök szünetmentes tápegységgel való ellátottságát meg kell vizsgálni. Nem megfelelőség esetén intézkedési tervet kell készíteni az IBSZ hatályba lépésétől számított 6 hónapon belül. A mentések technikai, műszaki hátterének meglétét, a tűzvédelmi terveket, a tűzszakaszok elhelyezkedését meg kell vizsgálni. Nem megfelelőség esetén intézkedési tervet kell készíteni az IBSZ hatályba lépésétől számított 6 hónapon belül. A Kormányhivatal szakigazgatási feladatot ellátó szervezeti egységek vonatkozásában az eltérő informatikai rendszerek sajátosságai miatt a Kormányhivatal szakigazgatási feladatot ellátó szervezeti egységeinek központi szakmai irányító szervei által kiadott informatikai és biztonsági szabályzatokat a Kormányhivatali egységes hálózat kialakításáig a hálózatot érintő és az eszközökkel kapcsolatos pontokban figyelembe kell venni.
65. oldal
1. számú függelék B.-A.-Z. Megyei Kormányhivatalt vezető Kormánymegbízott 33/2015. számú utasításához Megismerési záradék Sorszám
Szervezeti egység
Dolgozó neve
Megismerés
Dolgozó
dátuma
aláírása
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. Jelen utasítást a vezetésem alatt álló valamennyi kormánytisztviselő, kormányzati ügykezelő, illetve munkavállaló megismerte.
……………………………… szervezeti egység vezetője
66. oldal
IBNY01-es melléklet:
MOBIL ESZKÖZRE VONATKOZÓ TÁROLÁSI NYILAKOZAT
IBNY 01 1 oldal
Eszköz megnevezése és típusa:
Gyári száma: MAC címe: Leltári száma:
Átadáskor az eszközön található programok, adatok felsorolása:
KÉRELMEZŐ
ENGEDÉLYEZŐ
Neve:
Neve:
Dátum:
Dátum:
Aláírás:
Aláírás: ÁTADÁSKOR AZ ÁTADÓ
ÁTADÁSKOR AZ ÁTVEVŐ
Szervezeti egység megnevezése:
Szervezeti egység megnevezése:
Átvevő neve:
Átadó neve: Az átvevő nyilatkozata átadás-átvételkor:
Alulírott nyilatkozom arról, hogy a fentnevezett eszközt, ép és használatra alkalmas állapotban átvettem. Megismertem a mobil eszközökkel kapcsolatos Informatikai Biztonsági Szabályzatban meghatározott szabályokat és az eszközzel kapcsolatos veszélyeket, kockázatokat. Az Informatikai Biztonsági Szabályzatban felsoroltakat betartom, és az eszközt ennek ismeretében használom, kezelem és megőrzöm. Dátum: 20 .év hó. nap ___________________________ átadó aláírása Megjegyzés:
___________________________ átvevő aláírása
VISSZAVÉTELKOR AZ ÁTADÓ Szervezet és Osztály/Főosztály megnevezése:
VISSZAVÉTELKOR AZ ÁTVEVŐ Szervezet és Osztály/Főosztály megnevezése:
Átadó neve:
Átvevő neve:
Az átvevő nyilatkozata visszavételkor: Az visszaadott eszköz állapotát ellenőriztem, az eszközt működő képes és ép állapotban visszavettem. ___________________________ átadó aláírása Megjegyzés:
Dátum: 20
.év
hó. nap
___________________________ átvevő aláírása
IBNY02-es melléklet:
FELHASZNÁLÓI HOZZÁFÉRÉS, JOGSULTSÁG, ESZKÖZIGÉNYLŐ ÉS VÁLTOZÁS JELENTŐ ADATLAP
IBNY 02 Sorszám:
Kinek a számára történik az igénylés (neve): Beosztása /munkaköre: Szervezeti egység megnevezése: VÁLTOZÁS
J
MEGNEVEZÉS Hálózati belépés, X Levelezés, internet, Intranet Hálózati mappa (könyvtár) hozzáférés Eszköz hozzáférés
Oka: Jellege:
Dátuma:
elvétel
kilépés
feladatváltozás
igénylés
törlés
módosulás
Kérjük a szükséges hozzáférési (jogosultsági) szintet bekarikázni: R-olvasás, W-írás, T-törlés
Eszköz áthelyezése Eszköz használati igény
Igény részletezése: mappa (könyvtár), szoftver, eszköz, szolgáltatás, igény megnevezése. (Több tétel esetén kérjük a 2. lap használatát.)
Alkalmazás (szoftver) telepítés, frissítés, hozzáférés Alkalmazáshoz (szoftverhez) való jogosultság Adathordozó eszközök csatlakoztatása (jog) Egyéb igény: Kérjük megjelölni, hogy a hozzáférések felsorolása a további lapon folytatódnak: IGEN / NEM IGÉNYLÉS ÉS INDOKLÁSA Igénylő szervezeti egység vezetője: Indoklás: Kelt: …………, Dátum: 20
.év
hó.
nap
____________________________ aláírás ENGEDÉLYEZŐ
Neve: Beosztása: Kelt: …………….., Dátum: 20
.év
hó.
nap
____________________________ aláírás
INFORMATIKAI FŐOSZTÁLY Hozzájárulás: Kelt: …………….., Dátum: 20
.év
hó.
nap
____________________________ aláírás
IBNY 02
FELHASZNÁLÓI HOZZÁFÉRÉS, JOGSULTSÁG, ESZKÖZIGÉNYLŐ, ÉS VÁLTOZÁS JELENTŐ ADATLAP
Név: SZ=Szoftver M=Mappa E= Eszköz
Lap sorszám:
Változás dátuma: Megnevezés / Leírás / Útvonal
hozzáférési szint / egyéb
Kérjük megjelölni, hogy a hozzáférések felsorolása a további lapon folytatódnak: IGEN / NEM
IBNY03-as melléklet:
IBNY 03
Szervezeti egység megnevezése:
RENDSZERES (NAPI) MENTÉSI NAPLÓ
Mentés helye:
Lap sorszáma:
Mentett eszköz megnevezése: Adathordozó megnevezése
ADATHORDOZÓ BEHELYEZÉSE Dátum
Végrehajtó neve
Aláírás
Kérjük megjelölni, hogy a lista a további lapon folytatódik-e: IGEN / NEM
ADATHORDOZÓ ELTÁVOLÍTÁSA Eredmény (OK / HIBA)
Dátum
Végrehajtó neve
Aláírás
IBNY04-as melléklet:
Szervezet neve: Sorsz.
Dátum
LAP sorsz.:
Tárolási hely:
Mentés megnevezése, célja
Mentést végző neve
Kérjük megjelölni, hogy a hozzáférések felsorolása a további lapon folytatódnak: IGEN / NEM
SELEJT
MENTÉSI ÉS ARCHIVÁLÁSI NYILVÁNTARTÁS
IBNY 04
IBNY05-ös melléklet:
IBNY 05 Nyilvántartási sorszám:
MENTÉSI ÉS ARCHIVÁLÁSI ADATLAP
MENTÉS, ARCHÍVÁLÁS Szervezet megnevezése:
Dátum:
Mentés célja, tartalma:
Mentés helye:
Mentés végző neve:
Mentést jóváhagyó, elrendelő, megbízó neve és osztálya vagy főosztálya:
A mentés készült ______ példányban ________ adathordozóra. Adathordózók azonosítói:
A mentett adat eredeti helyről törölve lett / nem lett törölve.(Nem kívánt rész áthúzandó). A mentés tárolási helye: OLVASHATÓSÁGI ELLLENŐRZÉSEK: Dátuma
Ellenőrző neve
Aláírása
MEGSEMMISÍTÉS, SELEJTEZÉS Tervezett dátuma: Jelenlévők neve
Megvalósítás dátuma: Osztály/Főosztály
Aláírása
IBNY06-os melléklet:
MOBIL ADATHORDOZÓ ESZKÖZ ENGEDÉLYEZÉSE
IBNY 06 Sorszám:
Eszköz megnevezése és típusa: Adathordozó azonosítója: Tároló kapacitása: Engedélyező neve: Dátum: 20
.év
hó. nap
________________________________ aláírása
Szervezet neve:
Szervezet neve:
Osztály/Főosztály megnevezése:
Osztály/Főosztály megnevezése:
Átadó neve:
Átvevő neve:
Az átvevő nyilatkozata átadás-átvételkor: Alulírott nyilatkozom arról, hogy a fentnevezett eszközt, ép és használatra alkalmas állapotban átvettem. Megismertem a mobil eszközökkel kapcsolatos Informatikai Biztonsági Szabályzatban meghatározott szabályokat és az eszközzel kapcsolatos veszélyeket, kockázatokat. Az Informatikai Biztonsági Szabályzatban felsoroltakat betartom, és az eszköz ennek ismeretében használom, kezelem és megőrzöm. Dátum: 20
.év
hó. nap
Megjegyzés:
__________________________________ átvevő
Szervezet neve:
Szervezet neve:
Osztály/Főosztály megnevezése:
Osztály/Főosztály megnevezése:
Visszaadó neve:
Visszavevő neve:
Az átvevő nyilatkozata visszavételkor: Az visszaadott eszköz állapotát ellenőriztem, az eszközt működő képes és ép állapotban visszavettem. Dátum: 20 Megjegyzés:
.év
hó. nap
________________________________ átvevő
IBNY07-es melléklet:
IBNY07
ADATHORDOZÓ NYILVÁNTARTÁS
LAP sorszám:
Tárolási hely:
Adathordozó típusa:
Sorszám
Adathordozó azonosítója
Dátum
Mérete:
Használat célja
KIADÁS VISSZAVÉTEL KIADÁS VISSZAVÉTEL KIADÁS VISSZAVÉTEL KIADÁS VISSZAVÉTEL KIADÁS VISSZAVÉTEL KIADÁS VISSZAVÉTEL KIADÁS VISSZAVÉTEL
Kérjük megjelölni, hogy a lista a további lapon folytatódik-e: IGEN / NEM
Átadó
Átvevő
SELEJTEZÉS DÁTUMA
Szervezet neve:
IBNY08-es melléklet:
IBNY SZOFTVERNYILVÁNTARTÁS
08 LAP sorszám:
Sorsz.
Dátum
Szoftver megnevezése
Tárolási hely: Nyilvántartásba vevő, mentést végző neve
Kérjük megjelölni, hogy a lista a további lapon folytatódik-e: IGEN / NEM
SELEJT
Szervezet neve:
IBNY09-es melléklet:
IBNY 09
JOGOSULTSÁG NYILVÁNTARTÁS
(Szoftver, hálózati jogosultságok, mappákhoz való hozzáférések, eszköz hozzáférés, egyéb) Témánként külön-külön kell a nyilvántartási lapokat kezelni.
LAP sorszám:
SORSZÁM
Szervezet neve: Tárolási hely: Nyilvántartás megnevezése: Dátum
Felhasználó neve
Jogosultság mire vonatkozik
Kérjük megjelölni, hogy a lista a további lapon folytatódik-e: IGEN / NEM
IBNY10-es melléklet: MENTÉSI ELJÁRÁSOKHOZ HASZNÁLT ADATHORDOZÓ TÍPUSOK ÉS KEZELÉSÜK
Adatátírás időpontja Selejtezés utáni /adatfelírás dátuma megsemmisítési eljárás + hónap szám/
Kód
Adathordozó
Típus
Rögzítési eljárás
Élettartam /hónap/
HD
HDD
magnetizálható bevonat fém korongon
mágnesezés
60
57
Demagnetizáslás vagy teljes roncsolás
MK
Mágnesszalag kazetta
magnetizálható bevonat polimer alapú szalagon
mágnesezés
60
57
Demagnetizáslás vagy teljes roncsolás
CR
CD - R
Laser fényre érzékeny felület műanyag korongon
optikai
120
114
Teljes roncsolás
CW
CD - RW
Laser fényre érzékeny felület műanyag korongon
optikai
120
114
Teljes roncsolás
DR
DVD -R
Laser fényre érzékeny felület műanyag korongon
optikai
120
114
Teljes roncsolás
DW
DVD -RW
Laser fényre érzékeny felület műanyag korongon
optikai
120
114
Teljes roncsolás
DL
DVD -R DL
Laser fényre érzékeny felület műanyag korongon
optikai
120
114
Teljes roncsolás
FL
Floppy lemez
magnetizálható bevonat polimer alapú korongon
mágneses
60
57
Teljes roncsolás
PD
PenDrive
mikro áramköri memória
digitális
60
60
Törlés
IBNY11-es melléklet: Alkalmazás: Informatikai program (szoftver), melynek feladata valamely informatikai feladat elvégzése. Backdoor (hátsóajtó) program: olyan, a felhasználó számára általában nem látható elem, amely telepítése után teljes kontrollt adhat a számítógép felett egy vagy több távoli személynek. Biztonsági Policy: Csoportházirend, biztonsági beállítások összessége, mely meghatározz a rendszer működésének körülményeit. Elektronikus postafiók: a munkahelyi feladatok korszerű és hatékony ellátása érdekében az elektronikus levelek fogadása, küldése valamint továbbítása céljából a Kormányhivatalnak és a szervezeti egységeknek hivatalos, a közszolgálati tisztviselőknek és munkavállalóknak személyhez kötött elektronikus üzenetkezelő rendszere. Elektronikus dokumentum: elektronikus eszköz útján értelmezhető adategyüttes, ideértve az elektronikus küldeményt és az elektronikus levelet is. Elektronikus küldemény: a Biztonságos Elektronikus Dokumentumtovábbító Szolgáltatás útján küldött, illetve érkezett elektronikus űrlap(ok) és az azokhoz csatolt egyéb elektronikus dokumentum(ok) és hivatalos iratok. Elektronikus levél: a központi rendszeren kívüli számítógépes hálózaton keresztül, egyedi levelezési címek között levelezőprogram segítségével küldhető és fogadható adategyüttes. Lehetnek hivatalos és magánjellegűek. Felhasználói leírás: Tartalmazza az alkalmazás (szoftver) használatához, működtetéséhez, kezeléséhez, felhasználásához szükséges feltételeket és ismereteket. Hardver: Az informatikai rendszer eszközei, fizikai elemei. Hálózati végpont: Az informatikai eszközök informatikai hálózathoz való csatlakozását szolgáló fizikai és logikai csatlakozási pont. Hivatali kapu: A Központi Elektronikus Szolgáltató Rendszer (központi rendszer, KR) része. Kormány által kötelezően nyújtott azonosítási és biztonságos kézbesítési szabályozott elektronikus ügyintézési szolgáltatás. A hivatali kapun keresztül az igénybevevő szervezetek hitelesen tudnak fogadni elektronikus üzeneteket, illetve a hivatalok elektronikus üzenetei a hitelesen azonosított ügyfelekhez (állampolgár) vagy csatlakozott hivatalhoz eljuttathatók. Helpdesk alkalmazás: A felhasználó eszközeinek és programjainak hibája esetén ezek jelzésére és követésére létrehozott informatikai alkalmazás. Honlap: a weben megjelenő egyedi szolgáltató rendszer, amely információkat tartalmaz az adott helyről, szervezetről, és amelyen megtalálhatók a további kapcsolódások, oldalak kiindulópontjai. Informatikai eszköz: Az információs tevékenységek végrehajtását, folyamatát támogató, vagy megvalósító eszköz. Informatikai központ: Informatikai központoknak minősülnek azon helyiségek, melyek működő szerverek és hálózati elosztó elemek (router, switch) elhelyezésére és működtetésére szolgálnak. Informatikai rendszer: A hardverek és szoftverek olyan kombinációjából álló rendszer, amit az adat- illetve információ feldolgozás különböző feladatainak teljesítésére alkalmazunk. Internet: Nyílt hálózatok (számítógépek és adatátviteli kapcsolóeszközök) illesztésével létrejött világméretű számítógépes hálózat, mely a használója részére információs és kommunikációs lehetőséget kínál. Internet kijárat: Zárt hálózatok azon csomópontja, amely lehetőséget biztosít az internet információs és kommunikációs szolgáltatásainak elérésére. Ez a csomópont magában foglalja az eléréshez szükséges vonalat, ha ez analóg vonal, akkor a digitális átvitelhez szükséges modemet, a forgalomirányítást végző routert és a belső hálózat védelmét biztosító tűzfalat. Internet végpont: Az internet használatára alkalmassá tett személyi számítógép. Az alkalmassá tétel történhet műszaki bővítéssel (modem beépítésével vagy csatlakoztatásával) és/vagy speciális hálózati szoftverek telepítésével. Intranetes portál: A Kormányhivatal internetes szabványokra épülő, zárt, belső használatú portálja, amely belső információk tárolására, továbbítására, elérésére szolgál. Image: Adatállományokról, programokról, rendszerekről készített mentési állomány digitális bitkép formájában. IT: Information Technology, azaz információtechnológia. Kijelölt informatikus: Az Informatikai Főosztály által az adott munkaterület, szakigazgatási szerv, informatikai vagy speciális munkafeladat ellátására kijelölt informatikus. Kliens gép: Számítógép, munkaállomás, amelyen keresztül egy szerverről kérhetünk információt (adatokat), szolgáltatásokat. Munkaállomás: Azok a számítógépek, amelyeken az egyes felhasználók dolgoznak. Itt fut az alkalmazás, ezek a gépek használják a hálózat erőforrásait Nemzeti Távközlési Gerinchálózat (NTG): A kormányzati szerveket összekötő országos telekommunikációs hálózat. Rack szekrény: Informatikai berendezések elhelyezésére szolgáló zárt fémszekrény, melyekben a hálózat vagy a kommunikáció működéséhez szükséges elemek találhatóak. Rendszerszintű beállítások: Az operációs rendszerek vagy alkalmazások alapvető működést befolyásoló vagy szabályozó beállításai. A módosítás lehetőségei rendszerint csak megfelelő rendszergazdai jogosultsággal érhetők el. Router (útvonal irányító): Olyan eszköz, mely a hálózati kapcsolatok felépülését a központ, és/vagy végberendezés között kialakítandó kapcsolatok útvonalának kijelölésével irányítja, biztosítva a csatlakoztatott eszközök közötti adatcsomagok áramlását. Single sign-on (SSO): Webes rendszerek egyszeri bejelentkezési módszere, amely olyan speciális formája a szoftveres azonosításnak, ami lehetővé teszi a felhasználó számára, hogy egy adott rendszerbe való belépéskor mindössze csak egyszer azonosítsa magát és ezután a rendszer minden erőforrásához és szolgáltatásához további autentikáció nélkül hozzáfér. Szerver: Kiszolgáló gépek, általában nagy teljesítményű és tárolókapacitású, folyamatos üzemű számítógépek, amelyek a hálózatba kapcsolt többi gép számára szolgáltatásokat nyújtanak. Szoftver: Az informatikai rendszer olyan logikai része (alkalmazás), amely a működtetés vezérléséhez szükséges. Trójai programok: Egy olyan program, ami mást tesz a háttérben, mint amit a felhasználónak mutat.(A trójai falóról nevezték el.) Tűzfal: A hálózat(ok) illetéktelen hozzáférés, behatolás elleni szűrését, védelmét biztosító eszközökből álló rendszer. Tűzszakasz: Az építmény vagy szabadtér tűzvédelmi szempontból meghatározott olyan önálló egysége, amelyet a szomszédos egységektől – meghatározott éghetőségű és tűzállósági határértékű – tűzgátló szerkezetek, és a jogszabályban előírt tűztávolságok választanak el. VPN: Virtual Private Network. A virtuális magánhálózat Web (World Wide Web, WWW): nyílt dokumentumszerkesztési és dokumentum-átviteli eljárás. Interneten elérhető, hypertext kapcsolatra épülő információs rendszer, amely a honlapokhoz tartozó címek alapján ér el médiadokumentumokat és médiaállományokat.
IBNY12-es melléklet:
ESEMÉNYNAPLÓ
IBNY 12 Oldal száma:
Szervezeti egység: Elhelyezési hely: Eszköz megnevezése: ESEMÉNYEK Sorszám
Dátum
Megnevezése, leírása
Kérjük megjelölni, hogy a lista a további lapon folytatódik-e: IGEN / NEM
Aláírás
IBNY13-as melléklet:
BELÉPÉSI NAPLÓ
IBNY 13 Lap sorszáma:
Szervezeti egység:
Helyiség megnevezése: Helyiség címe:
BELÉPÉSI ESEMÉNY Sorszám
Dátum
Időpont Belépés
Távozás
Belépő(k) neve, belépő(k) munkáltatója, belépés indoka
Kérjük megjelölni, hogy a lista a további lapon folytatódik-e: IGEN / NEM
Informatikus neve és aláírása
IBNY14-es melléklet:
IBNY 14
ÁTADÁS-ÁTVÉTELI JEGYZÕKÖNYV
Oldal száma:
Átadó: NEVE SZERVEZETE TELEPHELYE Átvevő: NEVE SZERVEZETE TELEPHELYE Eszköz: Megnevezése: eszköz megnevetés, típus, modell Eszközazonosító: XXXX Gyári száma: YYYYYYYYYYYYYYY Leltári száma: ZZZZZZ DÁTUM ÁTADÓ (aláírások)
ÁTVEVŐ (aláírások)
Az eszközt az adatlap elkészítésekor ellenőriztem és rendben találtam.
………………, 20 .év
.hó
.nap
informatikus (aláírása)
IBNY15-ös melléklet:
KILÉPŐ DOLGOZÓ INFORMATIKAI IGAZOLÁSA
IBNY 15
Szervezeti egység megnevezése: Dolgozó neve: Felhasználó nyilatkozata: Az általam használt számítógép helyi adathordozóján található adatállományok mentéséről a hálózati személyes mappába gondoskodtam, az eszköz helyi meghajtóján sem személyes sem hivatalos adat nem maradt. A hálózati személyes mappában felesleges selejtezendő adat nem maradt. Gondoskodtam a Kormányhivatali személyes postafiókomban található levelek archiválásáról és folyamatban lévő ügyekkel kapcsolatos levelek továbbításról. Elektronikus postafiókomban a megfelelő válaszüzenet beállítását elvégeztem.
Dátum: 20
.év
hó. nap
________________________________ felhasználó
Informatikai Főosztály nyilatkozata: Informatikus neve:
A dolgozó nevén lévő informatikai eszközök, adathordozók visszavételét és átvezetését elvégeztem. A dogozó jogosultságainak elvételéről a kérésnek megfelelően gondoskodtam.
Dátum: 20
.év
hó. nap
________________________________ informatikus
IBNY16-os melléklet:
BELÉPŐ DOLGOZÓ MEGISMERÉSI NYILAKOZATA
IBNY 16
Szervezeti egység megnevezése: Dolgozó neve: Az ismertetett informatikai rendszerek felsorolása:
Hozzájárulási nyilatkozat: Alulírott nyilatkozom arról, hogy hozzájárulok az általam használt informatikai eszköz időnkénti átvizsgálásához, internet használatom és postafiókom az Informatikai Főosztály általi ellenőrzéséhet az adatkezelési és az adatvédelmi általános szabályzat előírásainak betartása mellett.
Dátum: 20
.év
hó. nap
________________________________ felhasználó aláírása
Megismerési nyilatkozat: Alulírott nyilatkozom arról, hogy a fentnevezett rendszerekről az általános tájékoztatót megkaptam. A rendelkezésemre bocsátott dokumentumokat rövid időn belül elolvasom, és az ismereteket elsajátítom. Az informatikai munkámat a dokumentumokban meghatározott szabályok szerint végzem.
Dátum: 20
.év
hó. nap
________________________________ felhasználó aláírása
Az ismertetést elvégző informatikus neve: Dátum: 20
.év
hó. nap
________________________________ informatikus aláírása
IBNY17-es melléklet:
BIZTONSÁGI ZÓNÁK ÉS KÖVETELMÉNYEK
Zónák
Felsorolások:
1. szintű biztonsági zóna Normál iroda Folyosók
2. szintű biztonsági zóna hálózati rendezők informatikai raktárak okmányiroda
IBNY 17 3. szintű biztonsági zóna Szerverszoba
Hozzáférési, belépési követelmények:
Belépés, beléptetés eszközei:
-
Belépési kör:
A belépés engedélyeztetése, naplózása:
Az BAZMKH területére érvényes, normál belépési engedélyeztetés szükséges. Az általános belépési követelményekhez kapcsolódó naplózások vonatkoznak rá.
Ennek a zónának a helyiségeit kulccsal zárhatóvá kell tenni, és állandóan zárva kell tartani.
A helyiségekbe történő belépés lehetőség szerint mágneskártyával, annak hiányában kulccsal történik.
A főosztályvezető által kijelölt dolgozók léphetnek be.
A főosztályvezető által kijelölt dolgozók léphetnek be.
A zónába való belépés kulcs felvételével és dokumentálásával lehetséges az Informatikai Főosztály engedélyével (kivéve rendkívüli helyzet, pl. tűzeset). A kulcsokból egy példány az Informatikai Főosztály munkatársánál, egy pedig lepecsételt borítékban a biztonsági szolgálatnál elhelyezendő.
A helyiségbe történő belépések engedélyezése az informatikai főosztályvezető hatásköre. A beléptető rendszer automatikus naplózását lehetőség szerint ki kell alakítani. A kulcsokból egy példányt lepecsételt borítékban vagy kulcsdobozban a biztonsági szolgálatnál el kell helyezni.
IBNY18-as melléklet:
IBNY 18
MENTÉSI REND Telephely, egység neve
A mentendő adatok köre
A mentendő számítógép típusa
A mentendő A mentés A mentés adat ütemezése időtartama mennyisége
A mentés típusa
A mentés gyakorisága, módja
A mentés megőrzési ideje
A mentés tárolási helyszíne
A mentés tárolási helye
A mentés naplózása, ennek helye
Az adathordozó azonosítója (típusa, megnevezése)
Oldalszám: A mentést végrehajtó szoftver/alkalmazás neve, verziója
IBNY19-es melléklet Kormányhivatalok és megyei intézményfenntartó központok Informatikai Szabályozási Portfóliója Nr
Szabályzat
Szabályzat értelmezése
Alapja
Megjegyzés
1
Szabályozási Portfólió
Informatikai szabályzatok, utasítások, kézikönyvek tartalmi, működési és működtetési rendszere, egy dokumentumtár
KEK KH ajánlás (x/2012. számú ajánlása)
A portfólió minden elemének összhangban kell lennie az ágazati releváns szabályozásokkal
2
Információbiztonsági Politika (IBP)
Az Információbiztonság Politika a legfelsőbb szintű, a vezetői elkötelezettséget megjelenítő dokumentum
KEK KH ajánlás (iránymutatást ad) (Lásd: 4. sz. melléklet)
Az egységes kormányhivatali és MIK rendszerre vonatkozó, a KEK KH Információbiztonság Politikájának kiterjesztése
Információbiztonsági Stratégia (IBS)
Az Információbiztonság Politika mentén az egyik legfontosabb dokumentum, amely közép és hosszú távú stratégiákat határoz meg. A stratégia általában a politika megfogalmazott célkitűzéseinek megvalósítási módszerét és érvényesítési módját deklarálja.
KEK KH ajánlás (iránymutatást ad) (Lásd: 4. sz. melléklet)
Információbiztonsági Stratégiát össze kell hangolni kormányzati szinten a kormányhivatalok, a MIK-ek, a KEK KH és központi hivatalok stratégiáival.
Informatikai Biztonsági Szabályzat (IBSz)
Az IBSZ alapvető célja, hogy az informatikai rendszer működtetése, üzemeltetése során biztosítsa az adatvédelem elveinek, az információbiztonság követelményeinek érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát.
KEK KH ajánlás (megadja a kereteket)
Az IBSZ tartalmazza a portfóliót, az IBP-t, és az IBS-t is. (Általában az IBP vezetői elkötelezés, a stratégia pedig az, hogy mit akarunk elérni.
5
Informatikai Katasztrófaelhárítási Terv (IKT)
Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), amelynek célja, hogy katasztrófa bekövetkezése esetén meghatározza a megelőzés, helyreállítás és kockázatcsökkentés szabályait.
Kormányhivatalonként, MIK-enként külön elkészítendő 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról Elektronikus Közigazgatási Keretrendszer ITB 15. számú ajánlása
ELHÁRÍTÁS eszközei A Portfóliónak tartalmaznia kell.
6
Üzletmenet Folytonossági Terv (ÜFT)
Az üzletfolytonosság tervezés célja, hogy az ilyen esetek ne érjék váratlanul a szervezetet, ezekben az esetekben is működőképesek maradjanak az intézményi tevékenység szempontjából kritikus folyamatok. Folyamatos kockázatértékelés.
Egységesen kell elkészíteni 223/2009. (X. 14.) Korm. rendelet az elektronikus közszolgáltatás biztonságáról Elektronikus Közigazgatási Keretrendszer
MEGELŐZÉS eszközei Alapvetően az alapinfrastruktúra és a funkcionális és szakmai alkalmazások, szolgáltatási szerződésben megfogalmazott SLA és SLO-k teljesítése (a HOGYAN kérdésre kell választ adni).
Adatvédelmi szabályzat (AvSz)
Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), melynek célja hogy katasztrófa bekövetkezése esetén meghatározza a megelőzés, helyreállítás és kockázatcsökkentés szabályait.
[Alaptörvény VI. cikk] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról; 1997. évi XLVII. törvény az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről (a továbbiakban: Eüak.);
Az adatvédelem összhangban van az informatikai és információbiztonsággal. Lényege a pontos lehatárolás. Az adatvédelem inkább jogi értelmezés.
3
4.
7
Nr
Szabályzat
Szabályzat értelmezése
Alapja
Megjegyzés
KEK KH ajánlás (x/2012. számú ajánlása) ITIL szabvány szerint, Szolgáltatásbiztosítás, Szolgáltatástámogatás, HelpDesk, CMDB
A Kormányhivatali üzemeltetési szabályzat tartalmi kérdései: • Törzshivatal • Szakigazgatási szervek A MIK üzemeltetési szabályzat tartalmi kérdései: MIK, MIK intézmények. Összhangban a KEK KH üzemeltetési szabályzatával. (Itt a központi hivatalok üzemeltetési szabályzatai már nem játszanak szerepet, csak az IBSz-ben)
Üzemeltetési kézikönyv (ÜK)
Amíg az üzemeltetési kézikönyv a rendszer üzemeltetésével kapcsolatos technikai információkat tartalmazza, addig az üzemeltetési szabályzatnak az üzemeltetési folyamat, és annak szabályozása a tárgya.
A szabályzat szabályozza, a kézikönyv pedig leírja, hogy mit és hogyan kell csinálni. Az üzemeltetés alapvető eszköze.
Az üzemeltetési kézikönyv az IBSz határain belül megmondja, hogy mi a dolga a központi hivatalnak mi a dolga a kormányhivatalnak és mi a dolga a MIK-nek. Tartalmaz minden olyan adatot, leírást, amely az üzemeltetést segíti. Alapvetően egy dokumentációs tár.
10
Felhasználói kézikönyv
Az intézmény feladat- és hatáskörébe tartozó feladatok közvetlen vagy közvetett ellátását az informatikai alkalmazások közreadásával és üzemeltetésével támogatja. A felhasználók az eredményes támogatás igénybevételének szabályait a felhasználói kézikönyvből tudják meg, különösen a jogszabálykövetett alkalmazások esetében. Célja a felhasználó személyzet támogatása.
A felhasználók ebből tudják meg, hogy mit hogyan kell és lehet használni, beleértve az alapinfrastruktúrát, az alkalmazásokat
A központi hivatalok kiadják a felhasználói kézikönyveket, amelyeket a felhasználóknak kell majd ismernie.
11
Mentési és archiválási szabályzat
A mentés, archiválás lehetővé teszi a katasztrófa helyzetekből adódó adatvesztés kockázatának minimalizálást, valamint az üzletmenet folytonosság biztosítási garanciáinak a növelését
Kormányhivatalonként, MIK-enként – egységes keretek között – külön kell elkészíteni.
A szakmai rendszerek esetében, ha központi szolgáltatásként biztosítják, akkor nem kell. A területi központok mentését kell keretek között megoldani.
12
Külső partner (3rd partner) együttműködés szabályzata
A kiszervezett tevékenységek (outsourcing), az alkalmazásszolgáltatás keretében igénybevett szolgáltatások (ASP), valamint a külső üzemeltetést, fejlesztést támogató partnerek, belső üzemeltetéssel történő összhangjának megteremtése.
Pl. a TÜSZ-ök esetében meghatározza a kereteket és határokat az üzemeltetés területén. Ki mit és milyen követelmények mentén üzemeltet, szállít, szolgáltat.
Mindenki 3rd partner, aki nem a kormányhivatal, a MIK, vagy a KEK KH szervezeti hatálya alá tartozik.
8
9
Üzemeltetési szabályzat (ÜSz)
Célja az intézmény informatikai üzemeltetésének, HelpDeskjének, szolgáltatásbiztosítása és szolgáltatástámogatásának, eszköz nyilvántartásának (CMDB) szabályozása.
IBNY20 - Elektronikus információs rendszerek nyilvántartása és a biztonsági osztály szerinti besorolása EIR megnevezése
TÖRV
Az EIR besorolása
2
EIR alapfeladata
EIR által biztosított szolgáltatások
Törvényességi nyilvántartó rendszer
Önkormányzati törzsadatok, 2014.II.28-ig beérkezett rendeleti, határozati és jegyzőkönyvi adatok, dokumentumok nyilvántartása
A rendszerhez tartozó licence számok
Főhatóság által biztosított
A rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatai; illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait. Archív rendszer, nincs fejlesztői és karbantartói kapcsolat; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. WSH Számítástechnikai Oktató és Szolgáltató Kft. 1117 Budapest, Budafoki út. 97., KEK
IRMA - Iktató
ELECTRA
Webcafe
2
2
2
Iktató rendszer
Pénzügyi banki utaló program
Közigazgatási Cafeteria Rendszer
Iktató rendszer
Pénzügyi banki utaló program
Közigazgatási Cafeteria Rendszer
szerződés alapján
szerződés alapján
szerződés alapján
KH; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. Cardinal Kft. 1025 Budapest, Pusztaszeri út 91.; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. Qualisoft Kft. 1118 Budapest, Brassó út 141.; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály.
EIR megnevezése
Az EIR besorolása
EIR alapfeladata
EIR által biztosított szolgáltatások
A rendszerhez tartozó licence számok
Wintiszt
3
Wintiszt személyzeti nyilvántartó program
Személyzeti nyilvántartó program
szerződés alapján
JWinSzoc
3
Szociális ellátások nyilvántartása, utalása
Szociális ellátások nyilvántartása, utalása
szerződés alapján
Wingyer
3
Gyámhatósági nyilvántartó
Gyámhatósági nyilvántartó
szerződés alapján
Fájlrendszeren tárolt állományok
3
Fájlrendszeren tárolt állományok
Fájlrendszeren tárolt állományok szolgáltatása a fájl formátumától függetlenül
natív fájlrendszer
NetRegister
2
NetRegister elektronikus dokumentumkezelő rendszer
NetRegister elektronikus dokumentumkezelő rendszer
főhatósági beszerzés
Lotus Notes
2
iktatás, levelezés
Integrált iktató és levelező rendszer
főhatósági beszerzés
OVA
2
Országos vadgazdálkodási adattár
főhatósági beszerzés
Földművelésügyi Igazgatóság
TROBI IKTATÓ 3.2
2 2
Trófeabírálati szoftver Iktató rendszer
főhatósági beszerzés főhatósági beszerzés
Földművelésügyi Igazgatóság Földművelésügyi Igazgatóság
Országos vadgazdálkodási adattár Trófeabírálati szoftver Iktató rendszer
A rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatai; illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait. Qualisoft Kft. 1118 Budapest, Brassó út 141.; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. Abacus Számítástechnikai Kft. 1211 Budapest, Kiss János alt. u. 50. VI. lph. fsz.11; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. Abacus Számítástechnikai Kft. 1211 Budapest, Kiss János alt. u. 50. VI. lph. fsz.11; Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály. Archív rendszer, nincs fejlesztői és karbantartói kapcsolat; Élelmiszerlánc-biztonsági és Állategészségügyi Igazgatóság Archív rendszer, nincs fejlesztői és karbantartói kapcsolat; Élelmiszerlánc-biztonsági és Állategészségügyi Igazgatóság
EIR megnevezése
Az EIR besorolása
EIR alapfeladata
EIR által biztosított szolgáltatások
A rendszerhez tartozó licence számok
FVM IKTATÓ
2
Iktató rendszer
főhatósági beszerzés
Digiterra Map
2
Komplex térinformatikai rendszer
főhatósági beszerzés
Erdészeti Igazgatóság.
Digiterra Explorer
2
Iktató rendszer Komplex térinformatikai rendszer Térinformatikai adatgyűjtő és feldolgozó rendszer
A rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatai; illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatait. Növény- és Talajvédelmi Igazgatóság.
Térinformatikai adatgyűjtő és feldolgozó rendszer
főhatósági beszerzés
Erdészeti Igazgatóság.
SEGELY
3
Egyszeri segélyek nyilvántartása
Egyszeri segélyek nyilvántartása
főhatósági beszerzés
Forrás Lims
2
Forrás Lims Professional laboratóriumi rendszer
Forrás Lims Professional laboratóriumi rendszer
főhatósági beszerzés
Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Főosztály; Egészségbiztosítási Pénztári Szakigazgatási Szerv Népegészségügyi Szakigazgatási Szerv.
