A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA
1. Általános rendelkezések
1.1 Az Informatikai Biztonsági Szabályzat (IBSZ) célja
Szerződéses és leendő partnereink tájékoztatása a DFL Systems Kft. által üzemeltetett AllBestBid rendszer biztonsági és üzemeltetési folyamatainak kialakítása során alkalmazott szempontokról. A szabályzat tartalmazza azon alapelveket és feltételeket, melyeket betartása biztosítja a rendszer folyamatos és biztonságos üzemeltetését.
1.2 Az IBSZ kapcsolata a DFL Systems Kft. Információbiztonság Irányítási Rendszerével Az Információbiztonság Irányítási Rendszer tartalmaz nem publikus információkat, melyek veszélyeztetik annak fenntarthatóságát. A részletes eljárásokat a dokumentum hivatkozásai tartalmazzák.
1.3 A dokumentum hatálya
A szabályzat kiterjed: • • •
A DFL Systems Kft. valamennyi, üzemeltetési, adatkezelési feladatot ellátó munkatársára Szerződéses partnereinkre A társasággal kapcsolatba kerülő természetes vagy jogi személyre a megállapodás és a titoktartási nyilatkozat alapján.
2. Fogalmak és meghatározások
Alkalmazhatósági nyilatkozat Vizsgálati eredmény rögzítése arról, hogy a célok és a szabályozás egybeesnek a szervezet szükségleteivel. Intézkedés A kockázatkezelés eszközei, beleértve a szabályzatokat, eljárásokat, irányelveket, gyakorlatot vagy szervezeti felépítését, amelyek lehetnek adminisztratív, műszaki, irányítási vagy jogi természetűek. Információbiztonság Az információ bizalmasságának, biztosítása.
sértetlenségének
és
rendelkezésre
állásának
megőrzése,
Bizalmasság megőrzése Annak biztosítása, hogy az információ kizárólag az annak elérésére felhatalmazottak számára legyen hozzáférhető.
Érdekelt fél Személy, vagy csoport, amelynek érdeke fűződik egy szervezet teljesítményéhez vagy sikeréhez Hardcopy Papíron rögzített információ, adat.
Információbiztonság Az információ biztonságának, sértetlenségének és rendelkezésre állásának megőrzése, ezen kívül más tulajdonságok, mint hitelesség, számonkérhetőség, letagadhatatlanság és megbízhatóság. Információbiztonsági Irányítási Rendszer (ISMS) Az átfogó irányítási rendszernek az a része, amely- egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva - kialakítja, bevezeti, működteti, felügyeli, átvizsgálja fenntartja és fejleszti az információvédelmet. Kockázat Egy esemény
bekövetkezési
valószínűségének
és
következményének
kombinációja
Kockázat felmérés A veszélyek, azok hatásának és az információ, valamint az információ feldolgozási folyamat sebezhetőségének felmérése, továbbá ezek előfordulási valószínűségének meghatározása. Kockázatkezelés Az, az eljárás, amely meghatározza, ellenőrzi, minimalizálja, vagy kiküszöböli azokat a kockázatokat, amelyek az információs rendszert veszélyeztetik, elfogadható, gazdaságos költségráfordítás mellett.
Fenyegetés Egy nem kívánt incidens lehetséges oka, amely valamely rendszerben vagy szervezetben kárt okoz.
Rendelkezésre állás biztosítása Annak biztosítása, hogy az információ elérésére felhatalmazott felhasználók a szükség szerinti időben az információhoz és a kapcsolódó eszközökhöz hozzáférjenek. Sértetlenség megőrzése Az információ pontosságának, teljességének és a kapcsolódó feldolgozási eljárások védelme.
Vagyontárgy Bármi, ami a szervezet számára érték Valószínűség Annak mértéke, hogy egy esemény milyen eséllyel következik be.
3. Az informatikai biztonság alapelvei
Általános alapelvek A DFL Systems Kft. tevékenységét támogató informatikai rendszerek, és ezen rendszerek által kezelt adatok bizalmasságát, sértetlenségét, rendelkezésre állását fenyegető veszélyek feltárására, elhárítására, megelőzésére, vonatkozó alapelveket, feladatokat és intézkedéseket az Információbiztonság Irányítási Kézikönyv, az Információbiztonsági Szabályzat tartalmazza. Fizikai biztonság A DFL Systems Kft.-nél a fizikai biztonság megvalósításának alapelve, hogy megakadályozza a jogosulatlan vagy illetéktelen hozzáférést a társaság informatikai eszközeihez, információ vagyonához. A védelem kiterjed a területek, berendezések védelmére.
4. Kommunikáció, az adatfeldolgozás és adatkezelés irányítása Biztosítani kell az információ technológiai eszközök pontos és biztonságos üzemeltetését. Meg kell határozni valamennyi információ technológiai eszköz üzemeltetési, karbantartási szabályai, valamint a kapcsolódó felelősségi köröket. A kommunikáció, adatfeldolgozás és adatkezelés irányítása az alábbi területekre terjed ki: • • • • • • • • • • • • • • • • •
Üzemeltetési eljárások és felelősségek Dokumentált üzemeltetési eljárások Változtatáskezelés Feladatkörök elhatárolása Rendszertervezés és elfogadás Kapacitáskezelés Rendszerelfogadás Rosszindulatú kód elleni intézkedések Mobil kód elleni intézkedések Mentés Információmentés Hálózatbiztonság kezelése Hálózati intézkedések Hálózati szolgáltatások biztonsága Adathordozók kezelése Az eltávolítható adathordozók kezelése Adathordozók selejtezése
• • • • • • • • • • •
Információkezelési eljárások A rendszerdokumentáció biztonsága Fizikai adathordozók szállítása Elektronikus üzenetküldés Üzleti információs rendszerek Auditnaplózás Rendszerhasználat figyelemmel kísérése Naplóinformációk védelme Adminisztrátori és kezelői napló Hibák naplózása Órajelek szinkronozása
5. Hozzáférés ellenőrzés A hozzáférési jogok kiadását a felhasználói jogosultság kezelés ISMS eljárás szabályozza. • • • • • • • • • • • • • • • • • •
Hozzáférés-ellenőrzés Működési követelmény a hozzáférés-ellenőrzéshez A használó hozzáférésének kezelése Jelszóhasználat A hálózati hozzáférés ellenőrzése Berendezések azonosítása a hálózatokban Távoli diagnosztikai és konfigurációs kapu védelme Elhatárolás a hálózatokban Hálózati csatlakozás ellenőrzése Hálózati útvonalválasztás ellenőrzése Biztonságos bejelentkezési eljárások Jelszókezelő rendszer Kapcsolati időtúllépés Az összeköttetési idő korlátozása Az alkalmazás és információ-hozzáférés ellenőrzése Információ-hozzáférés korlátozása Mobil számítógép használata és távmunka Mobil számítógép használata és kommunikáció
6. Információbiztonsági incidensek kezelése Az észlelt információbiztonsági incidenseket minden esetben dokumentálni kell a megelőző intézkedések meghozatala érdekében. Az információbiztonsági incidensek kezelését külön eljárásban szabályozzuk részletesen, mely az alábbi területekre terjed ki: • • • •
Az információbiztonsági incidensek és fejlesztések kezelése Felelősségek és eljárások Tanulságok az információbiztonsági incidensekből Bizonyítékok gyűjtése
7. A működés folytonosságának irányítása Az üzletmenet folytonosságának biztosítása érdekében a változó kockázatok szerint rendszeresen aktualizált üzletmenet folytonossági tervet kell kidolgozni és fenntartani. Az Üzletmenet Folytonossági és Informatikai Katasztrófaterv (továbbiakban BCPDRP) célja, hogy megvédje a szervezetet azoktól a váratlan hatásoktól, melyek az üzemszerű működést és/vagy az informatikai rendszert veszélyeztethetik. A Katasztrófaterv forgatókönyvet ad a felkészülésre és arra az esetre, hogy mit kell tenni, ha a nem várt esemény bekövetkezne.
A BCPDRP hatálya Személyi hatálya Személyi hatálya kiterjed a DFL Systems Kft. minden szervezeti egységére és dolgozójára, a DFL Systems Kft.-vel szerződéses kapcsolatban álló szervezetre, személyre, ha a szerződés tárgya az informatikai rendszert érinti.
Tárgyi hatálya Tárgyi hatálya kiterjed a DFL Systems Kft. kezelésében lévő minden informatikai eszközre és rendszerre, függetlenül attól, hogy az a DFL Systems Kft. tulajdonát képezi vagy sem. Amennyiben katasztrófa elhárítás során vagy rendkívüli helyzetben más helyszínen történik munkavégzés, az adott helyszínen is érvényesíteni kell az itt leírtakat. A szabályozás az alábbi területekre terjed ki: • • • • • •
A működésfolytonosság irányításának információbiztonsági szempontjai Az információbiztonság befoglalása a működésfolytonosság irányításának folyamatába Működésfolytonosság és kockázatfelmérés Az információbiztonságot magukba foglaló működésfolytonossági tervek kidolgozása és megvalósítása A működés folytonosságának tervezési keretrendszere A működésfolytonossági tervek vizsgálata, fenntartása és újra felmérése
8. Követelményeknek való megfelelés A társaság működésének alappillére a külső és belső szabályozás szerinti működés, a szabályzó rendszernek való megfelelés. Az informatikai rendszer megfelelésének szabályozása az alábbi területekre terjed ki: • • • • •
Megfelelés a jogi követelményeknek Az alkalmazandó jogszabályok meghatározása Szellemi tulajdonjogok (IPR) Szervezeti feljegyzések védelme Adatvédelem és a személyes adatok bizalmassága
• • • • • • • •
Információfeldolgozó eszközökkel való visszaélések megelőzése A kriptográfiai ellenőrzések szabályozása A biztonsági szabályzatoknak és szabványoknak való megfelelés és műszaki megfelelés Megfelelés a biztonsági szabályzatoknak és szabványoknak A műszaki megfelelés ellenőrzése Információs rendszerek auditálási szempontjai Információs rendszerek auditálási intézkedései Információs rendszerek auditálási eszközeinek védelme