Adminisztratív védelmi intézkedések eljárásrendje IB

Adminisztratív védelmi intézkedések eljárásrendje

Adminisztratív védelmi intézkedések eljárásrendje IB-05-2015 Kiadva: Baja, 2015 06. 01.

Készítette: Braun Ferenc

Az eljárásrendet jóváhagyom és annak alkalmazását jelen változat hatálybalépési dátumával elrendelem:

__________________________________ Székelyhidi András Ügyvezető ig.

Információbiztonsági osztályozás Szigorúan bizalmas

 

Szig. bizalmas osztályozás esetén, annak időbeli hatálya:

Bizalmas



Időszaki hatály: ____________________ Év vagy Hónap

Belső



Nyilvános



Eseményhez kötött: ______________________________

Szerzői jogi nyilatkozat Jelen dokumentum a BAJAVÍZ Kft. tulajdona. A dokumentum amennyiben nem „Nyilvános” besorolású, nem sokszorosítható és nem ismertethető meg harmadik felekkel (az érintett hatóságokon kívül) csak a felső vezetés engedélyével.

BAJAVÍZ Kft.


0.1 TARTALOMJEGYZÉK 0.1 0.2 0.3

TARTALOMJEGYZÉK ................................................................................................................... 2 Módosítások nyomon követése................................................................................................. 3 Mellékletek ................................................................................................................................ 3

1. Az eljárásrend célja .............................................................................................................. 4 2. Az eljárásrend hatálya ........................................................................................................ 4 2.1 2.2 2.3 2.4

Szervezeti-személyi hatály ......................................................................................................... 4 Tárgyi hatály .............................................................................................................................. 4 Területi hatály ............................................................................................................................ 4 Időbeni hatály ............................................................................................................................ 4

3. Az eljárásrendek felülvizsgálata ..................................................................................... 5 4. Hatásköri és illetékességi szabályok ............................................................................. 5 5. Kapcsolódó dokumentumok .................................................................................................. 5 5.1 5.2 5.3

Jogszabályok .............................................................................................................................. 5 Szabványok, ajánlások ............................................................................................................... 5 Belső szabályzatok ..................................................................................................................... 6

6. Kockázatelemzési eljárásrend ......................................................................................... 6 6.1 6.2

A Kockázatelemzés célja ............................................................................................................ 6 A kockázatelemzés folyamata ................................................................................................... 6

7. Kockázatelemzési módszertan ........................................................................................ 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 7.10 7.11

Vagyonleltár ............................................................................................................................... 7 Helyzetfelmérés ......................................................................................................................... 7 Gyenge pontok meghatározása ................................................................................................. 8 Fenyegetettségek elemzése ...................................................................................................... 8 Sérülékenységek elemzése ........................................................................................................ 8 Kárérték szintek kialakítása, károk rávetítése a vagyonelemekre ............................................. 8 A bekövetkezési valószínűségek meghatározása ...................................................................... 8 Kockázatok meghatározása ....................................................................................................... 9 Elviselhető kockázatok meghatározása ..................................................................................... 9 Kockázatok kezelése ................................................................................................................ 9 Kockázatcsökkentő intézkedések .......................................................................................... 10

8. Biztonsági osztályba és szintbe sorolás ..................................................................... 10 8.1 Elektronikus információs rendszerek biztonsági osztályba sorolása ....................................... 10 8.2 A szervezet biztonsági szintbe sorolása ................................................................................... 11 8.3 Biztonsági osztályba sorolás felülvizsgálata ............................................................................ 11 8.4 Cselekvési tervek ..................................................................................................................... 11 8.4.1 Cselekvési tervek végrehajtása, felkészülési idők ............................................................. 12 8.5 Hatósági adatszolgáltatás ........................................................................................................ 12

9. Képzési eljárásrend .......................................................................................................... 12

BAJAVÍZ Kft.

2 / 17


9.1 9.2 9.3

A képzések célja ....................................................................................................................... 12 A képzés témakörei ................................................................................................................. 12 A képzések szervezése, lebonyolítása ..................................................................................... 13

1. számú melléklet: Oktatási tematika............................................................................... 14 2. számú melléklet: Oktatási jegyzőkönyv ....................................................................... 17

0.2 Módosítások nyomon követése Verzió szám

A módosítás leírása

Dátum

V1.0

Első eredeti változat

2015 06. 01.

0.3 Mellékletek Verzió szám Melléklet száma Melléklet neve

BAJAVÍZ Kft.

Dátum

3 / 17


1. AZ ELJÁRÁSREND CÉLJA Az Adminisztratív védelmi intézkedések eljárásrendjének célja (továbbiakban: az eljárásrend), hogy biztosítsa a Társaságnál azokat az adminisztratív intézkedéseket, melyek a technológiai vhr 1-es biztonsági szintjén előírásként jelennek meg.

2. AZ ELJÁRÁSREND HATÁLYA Az eljárásrend hatálya a következőkre terjed ki:

2.1 Szervezeti-személyi hatály Az eljárásrend szervezeti hatálya a Társaság valamennyi olyan szervezeti egységére kiterjed, amely a Társaság számlázó rendszerét használja, üzemelteti, fejleszti, továbbá ilyen tevékenységeket irányít és ellenőriz. Az eljárásrend személyi hatálya kiterjed a Társasággal munkavégzésre irányuló bármely jogviszonyban álló természetes és jogi személyre, tehát azokra, akik kapcsolatba kerülnek a Társaság számlázó rendszerét (használják, fejlesztik, telepítik, üzemeltetik, javítják stb.), így: a)

a munkaviszony alapján foglalkoztatott munkatársakra,

b) a Társasággal szerződéses kapcsolatban álló természetes és jogi személyekre, c)

más szervezetek képviseletében a Társaság munkahelyein tartózkodó személyekre.

2.2 Tárgyi hatály Az eljárásrend tárgyi hatálya kiterjed az Társaság számlázó rendszerére, így a számlázó rendszert alkotó a)

környezeti infrastruktúra elemeire,

b) hardver elemekre, készülékekre, berendezésekre, c)

szoftver elemekre,

d) dokumentáció elemre,

valamint a számlázó rendszerben kezelt adatokkal összefüggésben használt bármilyen adatrögzítésre, tárolásra, feldolgozásra vagy továbbításra képes elektronikus információs rendszerre és ezek működési környezetére. A tárgyi hatály kiterjed továbbá az ezen rendszerek működéséhez alkalmazott szoftverekre, illetve az ezekkel rögzített, tárolt, feldolgozott vagy továbbított adatokra és információkra.

2.3 Területi hatály Az eljárásrend rendelkezéseinek teljes körű és értelemszerű alkalmazása a BAJAVÍZ KFT.-nél található összes telephelyre (lásd az IBSz 8. számú mellékletét(IB-03-2015)) nézve kötelező.

2.4 Időbeni hatály Jelen eljárásrend a számlázó rendszer által érintett információs rendszert érintően a kiadás napján lép hatályba, míg az egyéb rendszereket illetően folyamatosan kerül bevezetésre 2016 június 01.-éig.

BAJAVÍZ Kft.

4 / 17


3. AZ ELJÁRÁSRENDEK FELÜLVIZSGÁLATA Az eljárásrend eseti módosítására kerül sor, ha a benne szereplő adatok megváltoztak, illetve ha az eljárásrend olyan kisebb mértékű kiegészítésekre szorul, amelyek nem érintik az aktuális biztonsági követelményeket. Az eljárásrend módosítására van szükség, ha a számlázó rendszer működésében vagy a számlázó rendszer működését meghatározó jogszabályi környezetben jelentős változások következnek be. Az eljárásrendet legalább évente egy alkalommal felül kell vizsgálni. Az eljárásrend eseti módosításának, felülvizsgálatának kezdeményezése és a felülvizsgálat, valamint a módosítás elvégzése az információbiztonsági vezető feladata. A módosítások engedélyezése és az újabb változat jóváhagyása az ügyvezető hatásköre.

4. HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK Az eljárásrend belső használatú dokumentum: a számlázó rendszer felhasználói, illetve egyéb érintettek (a Társasággal szerződéses kapcsolatban álló természetes és jogi személyek, más szervezetek képviseletében a BAJAVÍZ munkahelyén tartózkodó személyek) megismerhetik és birtokolhatják, de illetékteleneknek nem adhatják tovább.

5. KAPCSOLÓDÓ DOKUMENTUMOK Az eljárásrendhez a következő dokumentumok kapcsolódnak:

5.1 Jogszabályok a)

2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (továbbiakban: Ibtv.);

b) 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (továbbiakban: Info tv.); c)

77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről (továbbiakban: technológiai vhr);

d)

26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról.

5.2 Szabványok, ajánlások a)

MSZ ISO/IEC 27002:2011: Az információbiztonság irányítási gyakorlatának kézikönyve;

b) MSZ ISO/IEC 27001:2006: Az információbiztonság irányítási rendszerei. Követelmények; c)

A Közigazgatási Informatikai Bizottság 25. számú ajánlása: Magyar Informatikai Biztonsági Ajánlások;

d) A Közigazgatási Informatikai Bizottság 28. számú ajánlása: Az E-Közigazgatási Keretrendszer projekt eredményeként létrehozott Követelménytár.

BAJAVÍZ Kft.

5 / 17


5.3 Belső szabályzatok a)

Információbiztonsági Politika

b) Információbiztonsági Stratégia c)

Adminisztratív védelmi intézkedések eljárásrendje

d) Fizikai védelmi intézkedések eljárásrendje e)

Logikai védelmi intézkedések eljárásrendje

f)

Számviteli Politika

g)

Szervezeti és Működési Szabályzat

h) Munkáltatói szabályzat i)

Felügyelő Bizottsági ügyrend

j)

Porta szabályzat

6. KOCKÁZATELEMZÉSI ELJÁRÁSREND 6.1 A Kockázatelemzés célja Az információbiztonsági kockázatelemzés célja, hogy feltárja a számlázó rendszerre ható fenyegető tényezők, veszélyforrások (fenyegetettség elemzés), vizsgálja a számlázó rendszer gyenge pontjait (sérülékenység vizsgálat), elemezze a veszélyforrások által a gyenge pontokon keresztül bekövetkező sikeres támadások bekövetkezési valószínűségét és az általuk okozott kár nagyságát (kockázatelemzés), valamint kezelje a Társaság által el nem fogadható kockázatokat (kockázatkezelés).

6.2 A kockázatelemzés folyamata A Társaságnak évente el kell végeznie a számlázó rendszer információbiztonsági kockázatelemzését a jelen eljárásrendben foglalt módszertannak megfelelően. A kockázatelemzés eredményét kockázatelemzési jelentésben kell dokumentálni, melyet jóváhagyás céljából be kell terjeszteni az ügyvezető igazgató részére. Jóváhagyás után a nem tolerálható kockázatokra kockázatkezelési tervet kell készíteni, melyet ügyvezetői igazgatói jóváhagyás után, ütemezett és dokumentált módon végre kell hajtani. A kockázatkezelő intézkedések végrehajtása után maradványkockázat elemzést szükséges végrehajtani, melynek célja, hogy kimutassa a kockázatkezelő intézkedések eredményességét és feltárja az esetlegesen megmaradó kockázatokat. A kockázatelemzést ismételten el kell végezni, ha a számlázó rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), továbbá olyan körülmények esetén, amelyek befolyásolják a számlázó rendszer biztonsági állapotát. Gondoskodni kell a kockázatelemzés és a hozzá kapcsolódó kiegészítő dokumentumok megfelelő védelméről. A kockázatelemzési dokumentumokat kizárólag az érintettek kezelhetik, illetékteleneknek nem adhatják tovább.

BAJAVÍZ Kft.

6 / 17


7. KOCKÁZATELEMZÉSI MÓDSZERTAN A Társaságnál alkalmazott kockázatelemzési módszertan a következő:

7.1 Vagyonleltár A számlázó rendszerre ható fenyegetettségek különbözőek, attól függően, hogy az elektronikus információs rendszer melyik összetevőjét fenyegetik. A fenyegetettségek megfelelő azonosítása érdekében a következő vagyonelem csoportokat kell létrehozni: a)

Környezeti infrastruktúra

b) Hardver c)

Szoftver

d) Adatok e)

Dokumentumok

f)

Humán erőforrások

7.2 Helyzetfelmérés A számlázó rendszer kockázatelemzésének elvégzéséhez fel kell mérni, meg kell ismerni az számlázó rendszert és annak környezetét, valamint a jelenlegi információbiztonsági szintjét. A következő területeket kell a dokumentációk bekérésével, illetve szakmai interjúk lefolytatásával megismerni: a)

Adminisztratív védelmi intézkedések 1)

A társaságra vonatkozó jogszabályok, szabályzatok

2)

A számlázó rendszerre vonatkozó szabályzatok

3)

Szerződések, külső felek kezelése

4)

Alkalmazásfejlesztés, változáskezelés

5)

Jogosultságigénylés

6)

Biztonsági események kezelése

7)

Üzemeltetési eljárások

8)

Szervizelés, eszközcsere, selejtezés

b) Logikai védelmi intézkedések 1)

Mentési megoldások

2)

Kártékony kód elleni védekezés

3)

Biztonsági frissítések telepítése

4)

Hálózat felépítése

5)

Biztonsági rendszerek

6)

Kriptográfiai megoldások

BAJAVÍZ Kft.

7 / 17


c)

Fizikai biztonság i.

Beléptetés

ii.

Számítógépterem kialakítása

iii. Épületben történő közlekedés iv. Irodák kialakítása, tiszta asztal, üres képernyő politika.

7.3 Gyenge pontok meghatározása A helyzetfelmérés alapján megszerzett információk birtokában meg kell határozni az egyes vagyonelemek gyenge pontjait.

7.4 Fenyegetettségek elemzése Az egyes vagyonelemek gyenge pontjaira bizonyos fenyegetettségek hatnak. Az informatikai erőforrásokra ható fenyegetettségek vagy fenyegető tényezők (például: üzleti hírszerzés, rosszindulatú hackerek, természeti katasztrófák) mindig a sérülékeny pontokon keresztül fejtik ki hatásukat, így az ellenük való védekezés legfőbb eleme a sérülékenységek azonosítása és megszüntetése. Az egyes vagyonelemek gyenge pontjait és fenyegetettségeit KIB 25. számú ajánlása: 25/1-3. kötet: Az Információbiztonság Irányításának Vizsgálata (IBIV) 1.0 verzió a „gyenge pontok” és a „fenyegetettségek” segédletei alapján érdemes azonosítani.

7.5 Sérülékenységek elemzése A sérülékenység egy bizonyos gyenge pont kihasználása a rá ható fenyegetettség által. Meg kell vizsgálni, hogy a beazonosított gyenge pontokon keresztül mely fenyegetettségek tudják kifejteni a káros hatásukat.

7.6 Kárérték szintek kialakítása, károk rávetítése a vagyonelemekre A számlázó rendszer 3-as biztonsági osztályba sorolt, ezért a kárérték szintek 1-3 skálán kerültek kialakításra. A kockázatok megállapításához a számlázó rendszer vagyonelemeire rá kell vetíteni a kárérték szinteket.

7.7 A bekövetkezési valószínűségek meghatározása Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét. A bekövetkezési valószínűséghez a következő értékeket kell használni. 

"3" - gyakori,



"2" - közepes,



"1" – ritka.

BAJAVÍZ Kft.

8 / 17


7.8 Kockázatok meghatározása Az információbiztonsági kockázatokat a sérülékenység bekövetkezésének a valószínűsége és az okozott kár szorzata fogja megadni. A kockázatok minősítéséhez a következő kockázati mátrixot kell definiálni: Bekövetkezés valószínűsége Kárérték

1

2

3

1

NA

A

K

2

A

K

M

3

K

M

NM

A kockázatok jelölése a következő: 

NA - Nagyon alacsony



A – Alacsony



K – Közepes



M – Magas



NM – Nagyon magas

7.9 Elviselhető kockázatok meghatározása A Társaság azt a döntést hozta, hogy minden közepes, illetve közepesnél nagyobb kockázatot kezelni kíván. Ennek megfelelően a toleranciamátrix a következő: Bekövetkezés valószínűsége Kárérték

1

2

3

1

T

T

NT

2

T

NT

NT

3

NT

NT

NT

A táblázatban alkalmazott jelölések értelmezése a következő: 

T – Tolerálható



NT – Nem tolerálható

7.10 Kockázatok kezelése A Társaság a kockázatokat a következőképpen kezeli: a)

Megfelelő intézkedésekkel csökkenti a fenyegetés bekövetkezési gyakoriságát vagy hatását (Kockázat csökkentés);

b) Tudatosan, a következményeket felmérve elfogadja a kockázatot (Kockázat elfogadás);

BAJAVÍZ Kft.

9 / 17


c)

Elkerüli a kockázatot azáltal, hogy az érintett tevékenységet felfüggeszti (Kockázat elkerülés);

d) Áthárítja a kockázatot például biztosítással, vagy megfelelő beszállítói szerződésekkel. (Kockázat áthárítás);

7.11 Kockázatcsökkentő intézkedések A PreDeCo elv alapján a kockázatcsökkentés három szemszögből közelíthető meg: a)

Megelőző jellegű (preventív kontrollok)

A hibák, gyengeségek, sérülékenységek, illetve ezek kihasználására való lehetőségek kiküszöbölése. b) Korlátozó vagy javító (korrektív kontrollok)

Egy veszély hatását csökkentő, enyhítő óvintézkedések, további tevékenységek szükségessége nélkül. c)

Észlelő és reagáló (detektív kontrollok)

A sebezhetőségek támadásának észlelése, ártalmas kihatások enyhítésére, illetve válaszreakciók kidolgozása. Az el nem viselhető kockázatok kezelésére a Társaság intézkedési tervet készít az egyes feladatok mellé rendelt felelős, határidő és esetleg költség feltüntetésével.

8. BIZTONSÁGI OSZTÁLYBA ÉS SZINTBE SOROLÁS Az Ibtv.) 7. §-ának (1) bekezdése, illetve a 9. §-ának (1) bekezdése alapján a Társaság elektronikus információs rendszereit, illetve a Társaságot a kockázatarányos, költséghatékony védelem megvalósítása érdekében biztonsági osztályba, a Társaságot pedig biztonsági szintbe kell sorolni. A biztonsági osztályba sorolás és a biztonsági szintbe sorolás útmutatóját a technológiai vhr tartalmazza. A biztonsági osztályba és szintbe sorolást a információbiztonsági vezető készíti elő és az ügyvezető igazgató hagyja jóvá. A biztonsági osztályba sorolás és a biztonsági szintbe sorolás eredményét rögzíteni kell a Társaság Információbiztonsági Szabályzatában.

8.1 Elektronikus információs rendszerek biztonsági osztályba sorolása Az elektronikus információs rendszereket 1-5-ig terjedő skálán az elektronikus információs rendszerben kezelt adatok bizalmassága, a sértetlensége és a rendelkezésre állása, illetve az elektronikus információs rendszer sértetlensége és rendelkezésre állása elvesztéséből fakadó jogi, társadalmi-politikai, közvetlen, illetve közvetett anyagi kár vagy hatás szempontjából külön-külön kell biztonsági osztályba sorolni.

BAJAVÍZ Kft.

10 / 17


A Társaság a 2013 évi L. törvény és a 77/2013. (XII. 19.) NFM rendelet iránymutatásait alapul véve a következők szerint sorolta biztonsági osztályokba informatikai rendszereit: Biztonsági osztály Védelmi intézkedések

LIBRA Számlázó rendszer

A többi informatikai rendszer

Adminisztratív védelmi intézkedések

1

1

Fizikai védelmi intézkedések

2

1

Logikai védelmi intézkedések

3

2

A 3. biztonsági osztály esetében közepes káresemény következhet be, mivel 

különleges személyes adat, vagy nagy tömegű személyes adatok sérülhetnek;



az üzlet-, vagy ügymenet szempontjából közepes értékű, vagy az érintett szervezet szempontjából érzékeny folyamatokat kezelő elektronikus információs rendszer, információt képező adat, vagy egyéb, jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett adat sérülhet;



a lehetséges társadalmi-politikai hatás: bizalomvesztés állhat elő az érintett szervezeten belül, vagy szervezeti szabályokban foglalt kötelezettségek sérülhetnek;



a közvetlen és közvetett anyagi kár az érintett szervezet költségvetéséhez, szellemi és anyagi erőforrásaihoz képest közepes.

8.2 A szervezet biztonsági szintbe sorolása A biztonsági osztályba sorolás elvégzése után biztonsági szintbe kell sorolni a Társaság szervezetét. A Társaság minimum biztonsági szintjét az Ibtv. határozza meg, de alapszabály, hogy legalább a legmagasabb biztonsági osztályba sorolt elektronikus információs rendszerrel azonos szintűnek kell lennie.

8.3 Biztonsági osztályba sorolás felülvizsgálata A biztonsági osztályba és szintbe sorolás eredményét dokumentált módon legalább 3 évente, de a következő esetekben soron kívül felül kell vizsgálni: a)

Amennyiben változik az elektronikus információs rendszer biztonságát érintő jogszabály;

b) Új elektronikus információs rendszer bevezetése esetén; c)

A szervezet státuszában változás áll be;

d) A Társaság által kezelt vagy feldolgozott adatok vonatkozásában változás következik be.

8.4 Cselekvési tervek A biztonsági osztályba és szintbe sorolás elvégzése után meg kell vizsgálnia a szervezetnek, hogy milyen hiányosságai vannak az adminisztratív, a fizikai és a logikai védelmi intézkedései területén, és ha hiányosságokat tapasztal, akkor 90 napon belül cselekvési terveket kell készítenie az elvárt biztonsági osztályok, illetve biztonsági szint elérésére. A vizsgálat elvégzésének megkönnyítése érdekében a Nemzeti elektronikus Információbiztonsági Hatóság (továbbiakban: a Hatóság) segédletet készített, melynek kitöltésével megállapítható a

BAJAVÍZ Kft.

11 / 17


szervezet jelenlegi biztonsági szintje, illetve az elektronikus információs rendszereinek jelenlegi biztonsági osztálya.

8.4.1 Cselekvési tervek végrehajtása, felkészülési idők Az elvárt biztonsági osztályok és az elvárt biztonsági szint elérésére az Ibtv. felkészülési időt ad. A felkészülési idő a vizsgálat elvégzésétől számítódik. A felkészülési idő a biztonsági osztályoknál osztályonként két év, a biztonsági szint esetében az 1es biztonsági szint esetén 1 év, a 2-es szinttől kezdve szintenként 2 év.

8.5 Hatósági adatszolgáltatás Az Ibtv. előírja, hogy a biztonsági osztályba sorolás eredményét 2014. július 1-ig, a hiányosságok pótlására készített cselekvési terveket pedig 2014. szeptember 28-ig meg kell küldeni a Hatóság részére.

9. KÉPZÉSI ELJÁRÁSREND A számlázó rendszerrel kapcsolatba kerülő személyek képzésére vonatkozóan a következő képzési eljárásrendben foglaltak a mérvadók.

9.1 A képzések célja A képzés célja, hogy a felhasználói képesek legyenek biztonságosan használni a számlázó rendszert , legyenek tudtában a rendszerre ható fenyegetettségeknek, ezáltal a szervezet minimalizálni tudja a felhasználókra ható veszélyforrások bekövetkezéséből fakadó károk hatásait. A képzés célja továbbá, hogy a felhasználók megismerjék a rájuk vonatkozó szabályokat, legyenek tisztában a jogaikkal, a kötelességeikkel és a felelősségükkel.

9.2 A képzés témakörei A képzésen a következő témaköröket kell minimálisan érinteni: 

Információbiztonsági alapfogalmak



Vonatkozó jogszabályok



Támadási formák



o

Számítógépes károkozók

o

Ember által elkövetett támadások fajtái

A számlázó rendszer felhasználói házirendjének ismertetése

BAJAVÍZ Kft.

o

Felhasználók jogai, kötelességei, felelőssége

o

Eljárás incidens esetén

o

Biztonságos munkavégzés szabályai 

társasági környezetben



otthoni környezetben

12 / 17


9.3 A képzések szervezése, lebonyolítása A képzések megszervezéséért az információbiztonsági vezető a felelős. A számlázó rendszert csak olyan személyek használhatják, akik megfelelő számítástechnikai, informatikai ismeretekkel rendelkeznek. Rendszeres belső oktatásokkal gondoskodni kell arról, hogy a felhasználókban tudatosodjanak az alapvető információbiztonsági fogalmak, illetve ismerjék meg a munkájuk során felmerülő, a számlázó rendszerre ható információbiztonsági fenyegetettségeket. Gondoskodni kell arról is, hogy a napi feladatok végzése során a felhasználók kellőképpen felkészültek legyenek a Felhasználói Biztonsági Szabályzatban foglaltak betartására. Új dolgozó munkába lépésekor a dolgozóval a munkába állás előtt az információbiztonsági előírásokat meg kell ismertetni. Ennek végrehajtására évente frissítő oktatást kell szervezni. A kiemelt jogosultságokkal rendelkező munkatársak részére külön oktatást kell tartani. Az információbiztonsági oktatások és továbbképzések tematikájának kidolgozása, a szükséges szakirodalom és tájékoztató anyagok biztosítása, valamint a képzés megtartása az informatikus feladata. A képzésen, illetve továbbképzésen való részvétel a számlázó rendszerrel kapcsolatba kerülő személyek számára kötelező és a megjelenést a résztvevők aláírásukkal kötelesek tanúsítani. A képzésen a munkatársak vizsgát tesznek. A vizsga véletlenszerűen válogatott tesztkérdésekből áll. A vizsga a kérdések 75 %-ának sikeres megválaszolása esetén számít teljesítettnek. Sikertelen vizsga esetén a vizsgaszervező pótvizsga lehetőséget biztosít. 3 sikertelen vizsga esetén az ügyvezető igazgató dönt a munkatárs további alkalmazásának módjáról.

BAJAVÍZ Kft.

13 / 17


1. SZÁMÚ MELLÉKLET: OKTATÁSI TEMATIKA

Oktatási tematika újbelépők információbiztonsági oktatása

1) Az BAJAVÍZ Kft. elektronikus információs rendszerének általános ismertetése. 2) Általános információbiztonsági ismeretek, alapfogalmak. 3) Jogszabályi követelmények áttekintése: - 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról (továbbiakban: Ibtv.); - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (továbbiakban: Info tv.); - 77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről (továbbiakban: technológiai vhr); - 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról. - 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről (adatszolgáltatási vhr). - 2011. évi CCIX. trv. 4) Információbiztonsági politika oktatása. 5) Belső szabályzatok elérhetőségének és céljainak ismertetése. 6) Alapkonfigurációk, konfigurációváltozások felügyelete, változáskezelési előírások. Változáskezelési űrlap/kérelem formanyomtatvány elérési útvonalának megadása. 7) A szoftverhasználat korlátozásai. 8) Üzletmenet-folytonosság: üzletmenet-folytonosság célja. Üzletmenet folytonossági terv ismertetése. 9) A folyamatos működésre felkészítés - A számlázó rendszerre ható főbb fenyegetések; - A fenyegetések minimalizálása érdekében megtett kockázatkezelő intézkedések; - A konfigurációkezelési eljárások megfelelő használata; - A változáskezelési eljárások megfelelő használata; - A mentési eljárások; - A katasztrófa esetén szükséges lépések, riadólánc;

BAJAVÍZ Kft.

14 / 17


10) Mentések 11) Adathordozók használata. 12) Jelszavakkal összefüggő szabályozások ismertetése 13) A felhasználó felelősségi köre a jelszó használat során - Az azonosítókat a kijelölt rendszergazda hozza létre oly módon, hogy kezdeti jelszót állít be a fiók részére. - A jelszót az első bejelentkezéskor meg kell változtatni. - a felhasználó a jelszavát köteles titokban tartani; - a jelszószabályok betartása minden felhasználónak jól felfogott érdeke. A felhasználó felelőssége, ha jelszavának megismerése révén valaki a nevében visszaélést követ el a számlázó rendszerben; - a felhasználói jelszót TILOS leírni; - ha bármilyen jel mutat arra, hogy a jelszó illetéktelen kézbe jutott, azonnal meg kell változtatni és értesíteni kell az IBF-et; - nem tehető a jelszó egy automatikus bejelentkezési folyamat részévé, pl. makróra, vagy funkció billentyűre; - a jelszó minél komplexebb, annál kisebb a valószínűsége, hogy nevünkben visszaélést követnek el. Ennek érdekében az alábbi szempontokat kell betartani: - könnyen megjegyezhető, és nehezen kitalálható legyen; - semmi olyasmin ne alapuljon, aminek alapján valaki kitalálhatja, ilyenek a nevek, telefonszámok, születési dátumok, stb.; - ne legyen a gépnévre vagy a felhasználói névre utaló; - ne legyen sorozat. - a jelszó legalább nyolc karakter hosszú legyen, és tartalmazzon a kisbetűkön kívül nagybetűt és számot vagy speciális karaktert is; - a jelszavakat 60 naponta meg kell változtatni; - a jelszavakat két napon belül nem szabad megváltoztatni; - az előző jelszavak újra használatát kerülni kell; - zárolás esetén előre beállított időtartam eltelte után engedélyezze vissza a felhasználói fiókot. 14) Hozzáférési jogok igénylése 15) Új hozzáférés igénylése 16) Hozzáférési jog módosítása 17) Hozzáférési jog visszavonása 18) Biztonsági riasztások és tájékoztatások 19) Képzés a biztonsági események kezelésére 20) A jellemző információbiztonsági események: - a szolgáltatás, a berendezés vagy az eszközök elvesztése; - a rendszer hibás működése vagy túlterhelések (Dos-támadás); - emberi hibák; - a szabályzatoknak vagy irányelveknek való nem megfelelés; - a fizikai biztonsági rendelkezések megsértése; - nem ellenőrzött rendszerbeli változások;

BAJAVÍZ Kft.

15 / 17


-

a szoftver vagy hardver hibás működése; hozzáférési előírások megsértése; kártékony kód általi fertőzés; a nem teljes vagy nem pontos működési adatokból eredő hibák; a bizalmasság és sértetlenség megsértése; a számlázó rendszerrel való visszaélés;

21) Az észlelt biztonsági eseményeket jelentési kötelezettsége. A hibaüzenetet (vagy az incidensre utaló jeleket) törlési tilalma. 22) Biztonsági eseménykezelési terv 23) A fizikai belépési engedélyek 24) Fizikai belépési kérelem űrlap

BAJAVÍZ Kft.

16 / 17


2. SZÁMÚ MELLÉKLET: OKTATÁSI JEGYZŐKÖNYV

Oktatási jegyzőkönyv Oktatás témája, tematikája: Biztonság tudatosság képzés, mellékelt tematika szerint Oktatás dátuma: Oktatást tartotta:

Oktatás helyszíne: Visszakérdezés eredménye

Ssz.

Név

Aláírás

( megfelelő részt az oktató tölti ki) Megfelel

Nem felelt meg

1.

□

□

2.

□

□

3.

□

□

4.

□

□

5.

□

□

6.

□

□

7.

□

□

8.

□

□

9.

□

□

10.

□

□

11.

□

□

12.

□

□

13.

□

□

14.

□

□

15.

□

□

16.

□

□

17.

□

□

18.

□

□

19.

□

□

20.

□

□

Oktató aláírása:

< A dokumentum vége>

BAJAVÍZ Kft.

17 / 17

Adminisztratív védelmi intézkedések eljárásrendje IB

Recommend Documents