Melléklet a(z) 37/2013. EMET főigazgatói belső utasításhoz
Az Emberi Erőforrás Támogatáskezelő Adatvédelmi és Informatikai Biztonsági Szabályzata [A 18/2014. EMET főigazgatói utasítás szerinti módosítással egységes szerkezetben]
I.
ÁLTALÁNOS RENDELKEZÉSEK
1. Az Adatvédelmi és Informatikai Biztonsági Szabályzat célja, hatálya
1.1.
Az Adatvédelmi és Informatikai Biztonsági Szabályzat célja
Az Adatvédelmi és Informatikai Biztonsági Szabályzat (a továbbiakban: AIBSZ) célja, hogy az Emberi Erőforrás Támogatáskezelőnél (a továbbiakban: Támogatáskezelő) a szervezeti egységek és munkatársaik egymás közötti és a Támogatáskezelőhöz nem tartozó külső szervekkel, személyekkel fenntartott kapcsolatokban biztosítható legyen: a) a Támogatáskezelő informatikai rendszereinek (a továbbiakban: rendszerek) és a rendszerekben tárolt adatok megfelelő rendelkezésre állása; b) az adatállományok formai és tartalmi helyességének, épségének megőrzése; c) az adatok és információk bizalmassága, megfelelő védelme; d) a Támogatáskezelő tevékenysége során keletkezett személyes adatok védelme; e) a vagyon-, munka- és tűzvédelemre vonatkozó előírások betartása; f) a számítógépes feldolgozások és az eredményadatok további hasznosítása során az illetéktelen hozzáférésből és felhasználásból eredő hátrányos következmények megszűntetése, illetve minimális mértékre való csökkentése; g) az informatikai szoftver eszközökkel kapcsolatos jogbiztonság, jogtisztaság; h) a jogszabályi szinten rögzített adatvédelmi és adatbiztonsági elvárásoknak való megfelelés. A vázolt célok elérése érdekében a védelemnek működnie kell a rendszerek fennállásának teljes ciklusa alatt – a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül – a felszámolásukig. Az AIBSZ alkalmazásánál figyelembe kell venni, hogy a Támogatáskezelő különböző szervezeti egységei használatában működő telekommunikációs és informatikai rendszerek tervezése, bevezetése, üzemeltetése és ellenőrzése vonatkozásában meghatározott feladatok elsősorban a törvényesség betartásával, másodsorban a védelem hiányából eredő lehetséges károk értékével legyenek arányosak. 1.2.
Az AIBSZ hatálya
1.2.1. Az AIBSZ személyi hatálya kiterjed a Támogatáskezelő valamennyi kormánytisztviselői-, valamint kormányzati ügykezelői jogviszonyban, továbbá munkaviszonyban foglalkoztatott munkatársára (a továbbiakban együtt: munkatársak). Az AIBSZ személyi hatálya kiterjed továbbá min-
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
2
den személyre, aki a Támogatáskezelő informatikai vagy azzal összefüggő rendszerét, szolgáltatásait igénybe veszi, informatikai struktúráját és annak eszközeit üzemelteti vagy használja, függetlenül a Támogatáskezelőhöz kapcsolódó jogviszonyától. Más természetes személyeket az AIBSZ csak a külön adatvédelmi megállapodásokban (pl. adatszolgáltatás, hozzáférés, titoktartás) rögzítettek szerint érint. 1.2.2. Az AIBSZ tárgyi hatálya kiterjed a) valamennyi (a Támogatáskezelő tulajdonában lévő, vagy általa bérelt) informatikai és telekommunikációs berendezésre, vagy a Támogatáskezelő használatában álló épületben található, leltári jelzéssel ellátott, továbbá a Támogatáskezelő megbízásából a Támogatáskezelő munkatársai számára harmadik személy által biztosított informatikai eszközre, beleértve a berendezések műszaki dokumentációját is; b) a Támogatáskezelő eszközein működtetett rendszerprogramokra és a felhasználói programokra; c) amennyiben a Támogatáskezelő működésére irányadó egyéb szabályzat – így különösen az Iratkezelési Szabályzat, az Infokommunikációs Eszközökről szóló Szabályzat, az EMET Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzata, a Tűzvédelmi Szabályzatban és a Közszolgálati Szabályzat – eltérően nem rendelkezik az informatikai folyamatot leíró valamennyi dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési dokumentációk); az adathordozók tárolására és felhasználására, beleértve a feldolgozásra beérkezés és a felhasználókhoz történő eljuttatás folyamatait is, kivéve; az adatok felhasználására; a védelmet élvező adatok teljes körére, keletkezésük és felhasználásuk, valamint feldolgozásuk helyétől, továbbá a megjelenési formájuktól (bizonylatok, tablók, mágneses adathordozók, stb.) függetlenül; minden olyan adatkezelésre és adatfeldolgozásra, amely az Infotv. szerinti személyes, különleges, közérdekű, vagy közérdekből nyilvános adatra vonatkozik, és az adatkezelés, illetve adatfeldolgozás teljesen vagy részben automatizált eszközzel történik. 1.2.3. Az AIBSZ rendelkezéseit értelemszerűen alkalmazni kell minden olyan adatkezelésre, amelyet az AIBSZ 1.2.4. pontjában megnevezett adatkezelő szerv vezetőjének meghatalmazása alapján külső szervezet végez, valamint a beléptető rendszerben történő adatkezelésre is. 1.2.4. Az adatvédelmi és adatbiztonsági előírások alkalmazása szempontjából adatkezelő szerv vezetőjének kell tekinteni a főigazgatót, a főigazgató-helyettest és az igazgatót. 1.2.5. Az adatkezelő szerv vezetőjének felelősségi körébe tartozik a) az SZMSZ szerint irányítása alá tartozó szerv, szervezeti egység adatvédelmi és adatbiztonsági intézményrendszerének kiépítése és működtetése, ennek keretében a szerv, illetve szervezeti egység által – az ellátott ügykörhöz igazodóan – kezelt, védelmet élvező Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
3
adatok biztonságát biztosító személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtétele;
b) az irányítása alá tartozó szerv, illetve szervezeti egység tevékenységének rendszeres adatvédelmi ellenőrzése, az ennek során esetlegesen feltárt hiányosságok, esetleges jogszabálysértő körülmények megszüntetése, a személyi felelősség megállapításához szükséges eljárás kezdeményezése, illetve lefolytatása. 2. Az AIBSZ-hez kötődő egyéb szabályozások 2.1 Az AIBSZ a jogszabályok előírásainak alkalmazásán alapul, és az információvédelemre vonatkozó jogszabályi szintű rendelkezésekkel – így különösen az alábbiakban felsorolt törvényekben és a végrehajtásukra kiadott jogszabályokban foglaltakkal – együtt értelmezendő: a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról [a továbbiakban: Ibtv.]; a 2012. évi LXIII. törvény a közadatok újrahasznosításáról; 2012. évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről; 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról [a továbbiakban: Infotv. ]; 2011. évi CXCV. törvény az államháztartásról; a 2011. évi CXCIX. törvény a közszolgálati tisztviselőkről; 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről; 2007. évi CLXXXI. törvény a közpénzekből nyújtott támogatások átláthatóságáról; 2007. évi CVI. törvény az állami vagyonról; 2009. évi CLV. törvény a minősített adat védelméről; a 2000. évi C. törvény a számvitelről; 1995. évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről; 1992. évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról; 45/2012. (III. 20.) Korm. rendelet a közszolgálati tisztviselők személyi irataira, a közigazgatási szerveknél foglalkoztatott munkavállalók személyi irataira és a munkaügyi nyilvántartásra, a közszolgálati alapnyilvántartásra és közszolgálati statisztikai adatgyűjtésre, valamint a tartalékállományra vonatkozó egyes szabályokról; a 368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény végrehajtásáról, 90/2010. (III. 26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről; 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól; 161/2010. (V. 6.) Korm. rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól;
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
4
335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről; 305/2005. (XII. 25.) Korm. rendelet a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról; 18/2005. (XII. 27.) IHM rendelet a közzétételi listákon szereplő adatok közzétételéhez szükséges közzétételi mintákról.
2.2 Az AIBSZ-ben nem rendezett kérdésekben a fentiekben említett hatályos jogszabályok rendelkezéseit, továbbá a Támogatáskezelő egyéb belső szabályzataiban, így különösen a Szervezeti és Működési Szabályzatban, az Egyedi Iratkezelési Szabályzatban, az Infokommunikációs Eszközökről szóló Szabályzatban, az EMET Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzatban, a Tűzvédelmi Szabályzatban és a Közszolgálati Szabályzatban foglaltak az irányadók. 3. Értelmező rendelkezések 3.1 Az AIBSZ alkalmazása során: a) adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas; b) adatállomány: az informatikai rendszerben logikailag összetartozó, együtt kezelt adatok összessége; c) adatátvitel: adatok informatikai rendszerek, rendszerelemek közti továbbítása; d) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni technikai, szervezési megoldások és eljárási szabályok összessége, az adatkezelésnek azon állapota, amelyben a fenyegetettséget jelentő kockázati tényezőket különböző műszaki, szervezési megoldások és intézkedések a lehető legkisebb mértékűre csökkentik; e) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik; f) adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; g) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, adat tárolására alkalmas, továbbá adatot tartalmazó anyag;
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
5
h) adatvédelem: a személyes adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának biztosítása és érvényesítése érdekében; i) alapszolgáltatások: azok az informatikai szolgáltatások, amelyek minden felhasználó számára rendelkezésre állnak; j) alkalmazás: a szoftver és minden egyéb olyan számítógépes program, amelyet egy feladat vagy feladatkör végrehajtására terveztek; k) authentikáció: az adatcsere során a kommunikációban résztvevő felek identitása megállapításának és ellenőrzésének folyamata; l) azonosító eszköz: olyan eszköz, amely a felhasználó egyértelmű azonosítására szolgál (pl. mágneskártya, Proximity kártya; m) biztonsági esemény: bármilyen olyan esemény, ami az érvényben lévő biztonsági szabályokat sérti, vagy a biztonsági szabályok sérülésének gyanúját vetik fel, így különösen az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben tárolt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült, vagy megsérülhet; n) érintett: bármely meghatározott, személyes adat alapján azonosított, vagy – közvetlenül vagy közvetve – azonosítható természetes személy; o) biztonsági rendszer: az épületek betörés és vagyonvédelmi rendszere, valamint az ehhez kapcsolódó beléptető rendszerek; p) fájl: számítógépen tárolt információtárolási egység. Egy fájl tartalma a gép szempontjából vagy adat, vagy program, amely a processzor által végrehajtható utasításokat tartalmaz; q) felhasználó: meghatározott jogosultságokkal bíró olyan személy, aki a Támogatáskezelő informatikai rendszerét, hálózatát, szolgáltatásait authentikációt követően igénybe veszi; r) hálózat: informatikai eszközök közti adatátvitelt megvalósító logikai és fizikai eszközök összessége; s) hitelesség: az adat olyan tulajdonsága, amely arra vonatkozik, hogy az adatbizonyítottan vagy bizonyíthatóan az elvárt forrásból származik; t) információs önrendelkezési jog: az Alaptörvény VI. cikkének (2) bekezdésében biztosított, mindenkit megillető, „személyes adatai védelméhez” való jognak azon alapvető tartalma, hogy minden természetes személy maga rendelkezik személyes adatainak feltárásáról és felhasználásáról; u) informatikai szolgáltatások: a Támogatáskezelő által biztosított számítástechnikai, információ-feldolgozási, és kommunikációs szolgáltatások; v) kapcsolószekrény: a Támogatáskezelő informatikai és telekommunikációs hálózatának működtetéséhez szükséges eszközök elhelyezésére szolgáló szekrények; w) központi rendszer: a Támogatáskezelő szerverei, kommunikációs eszközei, központi nyomtatói; x) különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat; az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint az Infotv. 3. § 4. pontja szerinti bűnügyi személyes adat;
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
6
y) rosszindulatú alkalmazás: a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok, férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (rootkit); z) személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés; aa) szerverterem: a központi informatikai rendszereket, szolgáltatásokat működtető számítógépek elhelyezésére szolgáló elkülönített helyiség.
II.
1.
AZ INFORMATIKAI BIZTONSÁGHOZ KAPCSOLÓDÓ RENDELKEZÉSEK
A Támogatáskezelő működése szempontjából kritikus, kiemelt, normál és egyéb rendszerek
1.1. A Támogatáskezelő működése szempontjából kritikus az a rendszer, amely a Támogatáskezelő egészére kiterjed, vagy amely összefügg a Támogatáskezelő alaptevékenységével, vagy amely személyes adatot tartalmaz. A kritikus rendszerek adatbiztonsági szempontból kiemelt védelmet igényelnek. E körbe tartoznak különösen az alábbi rendszerek: a) b) c) d) e) f) g) h)
bér- és munkaügyi rendszer; gazdasági, ügyviteli rendszer; iratkezeléssel összefüggő rendszerek; támogatással, pályáztatással összefüggő rendszerek; EU információs rendszer; központi levelező kiszolgálók; központi tárhely kiszolgálók; intézményi authentikációs rendszerek.
1.2. A Támogatáskezelő szempontjából kiemelt rendszerek azok, melyek elsősorban technikai jellegűek, a rajtuk tárolt adatok nem személyes jellegűek. E körbe különösen az alábbi rendszerek tartoznak: a) telekommunikációs rendszer és hálózat; b) kommunikációs rendszerek; c) technológiai rendszerek. 1.3. Normál rendszerek a kritikus és kiemelt rendszerek körébe nem sorolt, de a Támogatáskezelő napi működése szempontjából kritikus, továbbá a Támogatáskezelő egészére nem, csak egyes részeire kiterjedő olyan rendszerek, amelyek használatához szükséges a személyes authentikáció. 1.4. A kritikus, kiemelt és normál rendszerek körébe nem sorolt rendszerek. Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
7
2. Kockázatkezelés 2.1. Minden kritikus rendszer és kiemelt rendszer besorolású szolgáltató rendszer esetében rendelkezni kell olyan kockázatelemzéssel, ami a rendszer által nyújtott szolgáltatások részleges vagy teljes kimaradásának a Támogatáskezelő működőképességére tett hatásait tartalmazza. Külön kell kezelni a szolgáltatás elérhetetlenségéből, illetőleg az adatbázis sérülésből származó hatásokat. A kockázatelemzési dokumentum előállítása és karbantartása a szolgáltatás üzemeltetőjének a feladata. 2.2. Kritikus rendszer és kiemelt rendszer üzemeltetése a Támogatáskezelő működési területein kizárólag a főigazgató engedélyével, míg normál rendszer és egyéb rendszer üzemeltetése a Támogatáskezelő területén a gazdálkodási és üzemeltetési igazgató engedélyével történhet.
3. Infrastruktúrához kapcsolódó védelmi intézkedések 3.1. A Támogatáskezelő épületeiben Biztonsági Szolgálat működik. 3.2. A Támogatáskezelő a használt épületekben biztonsági zónákat hoz létre, és meghatározza az egyes biztonsági zónák követelményeit. A Támogatáskezelőben megvalósított biztonsági zónák:
Számítógépterem, kapcsolószekrények Raktárak, szerviz helyiségek területe irodák, folyosók
(kiemelt védelem) (fokozott védelem) (alap védelem)
3.3.
A Támogatáskezelőnél a munkatársak belépéskor történő azonosítása a Biztonsági Szolgálat feladata. A fokozott és kiemelt védelemmel ellátott biztonsági zónákba csak az arra jogosult személyek kapnak belépési jogosultságot. A kiemelt védelemmel ellátott biztonsági zónákba a belépési jogosultsággal rendelkező munkatársak mágneskártya vagy Proximity kártya használatával léphetnek be (belépéseket a biztonsági rendszer naplózza).
3.4.
A biztonsági rendszer riasztást ad, ha a biztonsági zónában, annak élesített állapotában, bárki tartózkodik. Riasztás esetén a Biztonsági Szolgálat a számára kiadott szolgálati utasításban meghatározott módon jár el. Biztonsági zónára kiadott mágneskártyát, Proximity kártyát és/vagy belépési kódot az Informatikai Osztály vezetőjenek a munkatárs kilépésekor azonnal meg kell vonnia, a jogosultságot azonnal le kell tiltatni a beléptető rendszerben. A kiadott, letiltott jogosultságokat és azonosító eszközöket az Informatikai Osztály vezetője dokumentálja.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
8
A Támogatáskezelő a központi rendszerei védelmére szervertermet alakít ki és a számítástechnikai folyamatok üzemeltetéséhez szükséges fontos eszközöket oda telepíti. A szerverterem kialakításának szabályai:
3.5.
-
Kiemelten fontos szempontok a szerverterem tervezésénél, kialakításánál és átalakításánál:
a.) a statikai követelmények (várható maximális födémterhelés, eszközök száma, azok várható súlya) figyelembe vétele b.) a környezetből adódó rezgések, környezeti zavarok (pl. nagy-frekvenciás hálózat) figyelembe vétele c.) a klimatizálás biztosítása d.) a szünetmentes tápellátás biztosítása e.) a géptermet kerüljék el a közműhálózati vezetékek (víz, gáz, csatorna, stb.); a szerverterem felett és a határoló falfelületei mellett vizes blokkot tartalmazó helyiség nem lehet, felette és mellette a falban gáz vagy vízcsövek nem haladhatnak f.) a szerverterem ajtói rendelkezzenek legalább 30 perces (mű. bizonylatolt) tűzállósággal g.) a géptermen belül automatikus betörés- és tűzjelző rendszert kell telepíteni, ami mozgás-, nyitás-, füst-, üvegtörés és vízérzékelőkkel rendelkezzen; az érzékelők és a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok előírásainak, rendelkezzenek a hazai minősítő intézetek forgalomba-hozatali engedélyével h.) törekedni kell a szerverteremben az ablakok elfalazásáról, de ha ablakok mégis megmaradnak, akkor azokon legyen belülről átlátszó fólia i.) a padlóburkolatok, berendezési tárgyak tűzálló és antisztatikus anyagból legyenek j.) az épület villámvédelme elégítse ki a kommunális- és lakóépületekre vonatkozó előírásokat; az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron túlfeszültség elleni védelembe be kell vonni az árnyékolást megtestesítő, a helységhez tartozó összes fémszerkezetet (az elektromos hálózatot, víz, gáz, távfűtés, csatornahálózatokat, antenna bevezetéseket, adatátviteli és távbeszélő hálózatokat stb.) k.) a szerverszobán kívül legyen kialakítva külön operátor szoba, és szervizszoba
-
A szerverterem védelme minimálisan elégítse ki az alábbi követelményeket:
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
9
a.) a nyílászárók (ajtók, ablakok) rendelkezzenek nyitottság és zártság ellenőrző eszközzel b.) a belső terek védelme mozgásérzékelővel legyen biztosított; a védelem ki és bekapcsolása a bejáraton kívül elhelyezett minimum 6 számjegyes kóddal működtetett tasztatúráról történjék c.) megfelelő kapacitású klíma és szünetmentes tápellátó rendszer álljon rendelkezésre d.) automatikus tűzjelző és halonnal oltó tűzoltórendszer folyamatosan álljon rendelkezésre e.) a szerverterembe belépni szándékozók belépés előtti automatikus azonosításának lehetősége (pl. mágneskártya, proximity kártya) álljon rendelkezésre
-
A szerverterembe történő be- és kilépés rendjének szabályozása a.) A szerverterembe történő belépéshez szükséges kártyák vagy kódazonosítók kiadását és visszavonását az IO vezetője engedélyezi. b.) Látogató kizárólag csak a benntartózkodáshoz engedéllyel rendelkező személy jelenlétében tartózkodhat a szerverteremben, és a belépését a szerverterem vendégkönyvében regisztrálnia kell. c.) Külső munkatárs csak a benntartózkodáshoz engedéllyel rendelkező személy jelenlétében és felügyelete mellett végezhet munkát. A külső munkatárs ilyen esetben a végzett munkát (pl. hibajavítás, takarítás) a Géptermi eseménynaplóban dokumentálni köteles. d.) Az IO vezetője nyilvántartást köteles vezetni az aktuálisan érvényes géptermi belépési jogosultságokról.
-
A szervertermi munkavégzés, a terem zárása/nyitása: a.) A szerverterem biztonságilag kiemelten védett terület, munkaszünet esetén a szerverterem zárását/nyitását csak a terem üzemeltetését végző felelős személyek végezhetik. b.) A géptermi munka befejezése után a szerverterem zárása saját kulccsal, majd a biztonsági rendszer élesítésével történik. A biztonsági rendszert csak a szerverteremben munkát végző és felhatalmazott operátor élesítheti. A szerverterem nyitására ugyanez vonatkozik, csak fordított sorrendben. c.) A számítógépeket és a kisegítő berendezéseket (perifériák) munkaszünet alkalmával bekapcsolt állapotban lehet hagyni.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
10
d.) A szerverek zárási és indítási eljárásait munkautasítás (Üzemeltetés rendje) tartalmazza.
-
A szerverterem bezárása előtt: a.) ellenőrizni kell a klíma hőfokszabályzó állását (max. 24 °C-ra lehet állítva), b.) az ablakokat zárt állapotban kell hagyni, c.) a szalagfüggönyöket a belátás megakadályozására el kell fordítani. d.) A szerverterem biztonsági (tartalék) kulcsát és a belépő kódot lezárt és aláírt borítékban a Biztonsági Szolgálat őrzi. e.) A szerverterem zárásakor, ill. nyitásakor észlelt bármilyen rendellenességet az IO vezetője felé azonnal jelenteni kell. f.) A szerverterem zárására/nyitására jogosultsággal rendelkező munkatársakról nyilvántartást kell vezetni. Minden ilyen jogosultság megadását az IO vezetője engedélyezi.
-
Szerverteremre vonatkozó egyéb előírások:
a.) A szerverterem biztonsági (betörés- és tűzjelző) rendszere szünetmentes áramellátásról működjön, eseménykor az épület Biztonsági Szolgálatára, valamint a Rendőrségre, ill. a Tűzoltóságra adjon riasztást. b.) A szerverterem összes ajtaját folyamatosan – munkavégzés alatt is – csukva kell tartani. Ennek érdekében az ajtókat automatikus csukó szerkezettel kell ellátni. c.) A szerverterembe történő ki- és bejárás céljára egy és csakis egy ajtó álljon rendelkezésre d.) A szerverterembe üzemelő informatikai eszközök legyenek ellátva a villámlás másodlagos hatásai elleni védelemmel.
4.
Hardverekre és szoftverekre vonatkozó előírások
4.1. A Támogatáskezelő a központi rendszerekhez kiemelt védelmet biztosít. Minden esetben, amikor a szerverteremben, illetve vele egyenrangú védelemmel rendelkező más területen szerverek és kommunikációs eszközök telepítése történik, biztosítani kell ezen eszközök biztonságos elkülönítését és védelmét (pl. szerver szoba és operátori szoba kialakítással). A szervereket és a kommunikációs eszközöket (router, switch), azok fizikai védelme céljából, erre a célra kialakított jól szellőző, zárható szekrényben elzárva kell üzemeltetni. A szervereknél és a kommunikációs eszközöknél (router, switch) biztosítani kell a személyre szóló azonosítás alapján történő logikai hozzáférést. Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
11
A központi rendszer elemei telepítésének, áttelepítésének végrehajtása minden esetben az Informatikai Osztály vezetőjének a feladata és felelőssége. Szerver vagy kommunikációs eszköz nem az AIBSZ által előírt körülmények közötti elhelyezésére csak az Informatikai Osztály vezetője előzetes és egyedi engedélye mellett van lehetőség és csak átmeneti jelleggel. A központi rendszerek telepítésénél az Informatikai Osztály vezetőjenek minden esetben kiemelten kell gondoskodni a berendezések biztonságáról, az illetéktelen hozzáférés megelőzéséről, megakadályozásáról. A központi rendszerekhez sem a rendszereket szállítók sem a rendszert fejlesztők nem rendelkezhetnek közvetlen hozzáférési jogosultsággal. Minden egyes külső beavatkozás (verzió-frissítés, programhiba javítás, egyedi fejlesztés stb.) során dokumentálni kell a program-változásokat, az elvégzett ellenőrzéseket, teszteléseket. A központi rendszerekhez tartozó helyi hálózat megbízhatóságának növelésére, annak túlterhelését, hálózatrészek kiesését megelőző, a helyi adottságoknak megfelelően kiválasztott rendszertechnikai megoldásokat (redundáns átviteli utak, illetve aktív elemek, dinamikus átkonfigurálás, osztott hálózatvezérlés stb.) kell alkalmazni. A számítástechnikai eszköz telepítésének részét képezi az eszköz verifikálása (ellenőrzés). A verifikálás eredményét, azaz hogy az eszköz a meghatározott biztonsági követelményeknek eleget tesz, az Informatikai Osztály köteles írásban rögzíteni. 4.2. Munkaállomások, laptopok telepítése, konfigurációkezelése során az alábbiakat kell figyelembe venni: a) Minden munkaállomás telepítést, módosítást, cserét az igénylő kezdeményez az Infokommunikációs Eszközökről szóló Szabályzatban foglalt eljárásrend szerint. b) A munkaállomásokról nyilvántartását kell vezetni. A nyilvántartás tartalmazza a munkaállomás hardver konfigurációját és a munkaállomásra telepített szoftvereket. A nyilvántartások vezetése, azok aktualizálása az Informatikai Osztály feladata. c) A munkaállomásokat csak a feladat ellátásához szükséges beállításokkal és programokkal szabad telepíteni. d) A munkaállomások elhelyezésénél (fizikai telepítés) minden esetben kiemelten kell gondoskodni a berendezések biztonságáról, az illetéktelen hozzáférés megelőzéséről, megakadályozásáról. Azon irodahelyiségeket, ahol munkaállomás működik tilos felügyelet nélkül hagyni, ha a helyiségben senki sem tartózkodik, azt be kell zárni. e) A munkaállomáson egyedi hozzáférést kell biztosítani, ezáltal lehetővé téve, hogy a munkaállomást csak az arra jogosult Felhasználók használhassák. 4.3. A Támogatáskezelő biztosítja az informatikai rendszerének egészére kiterjedő rendszeres és folyamatos vírusvédelmet. Vírusellenőrzés történik a helyi hálózaton, a levelező szerveren, valamint az összes munkaállomáson. Az Informatikai Osztály gondoskodik arról, hogy a vírusellenőrző programnak mindig a legújabb verziója működjön. A frissítéseknek maximum 1 munkanapon belül meg kell történniük. Csak jogtiszta és megfelelő dokumentációval ellátott vírusellenőrző Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
12
program használata megengedett. A vírusellenőrző programot csak speciális esetekben, csak az Informatikai Osztály vezetője utasítására lehet kikapcsolni. A rendszergazda kötelessége, hogy a vírusvédelmet a lehető legrövidebb időn belül visszakapcsolja. A vírusirtó leállítását és újraindítását az Informatikai Osztálynak űrlapon dokumentálnia kell. A felhasználók a vírusvédelmet semmilyen körülmények között sem kapcsolhatják ki. A hatékony vírusvédelem érdekében a Támogatáskezelő munkatársaihoz kívülről érkező leveleken kiterjesztés és tartalom szerinti szűrést kell végezni, és a vírus gyanús leveleket azonnal karanténba kell helyezni. 4.4. Amennyiben a vírusellenőrzések ellenére a felhasználók vírusra utaló hibás, vagy furcsa működést tapasztalnak, a vírusfertőzés gyanújáról azonnal értesíteni kell az Informatikai Osztályt. A felhasználó köteles haladéktalanul jelenteni az Informatikai Osztálynak, ha rosszindulatú alkalmazás jelenlétének gyanúját észleli az informatikai eszközön. Rosszindulatú alkalmazás jelenlétére utaló jelek különösen: a) rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás névvel azonosított rosszindulatú alkalmazást jelez; b) fájl másolása esetén a forrásfájl és a célfájl mérete, neve eltérő; c) szokatlan és váratlan képernyő tevékenység; d) szokatlan alkalmazás-tevékenység: felhasználói beavatkozás nélkül elinduló alkalmazások, a megszokottól eltérően viselkedő alkalmazások, elérhetetlen funkciók, stb.; e) jelentősen lassult működés, amely többszöri újraindítás során sem javul. Külső adathordozó használata előtt az adathordozó adatállományát a rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás használatával ellenőrizni kell. A vírusdetektálás (vagy vírusgyanú felmerülése) és a víruseltávolítás biztonsági eseménynek számít, ezért minden vírusdetektálást és víruseltávolítást haladéktalanul jelenteni kell az Informatikai Osztály vezetője felé. Az ilyen eseményt az Informatikai Osztálynak ki kell vizsgálnia, és dokumentálnia. Az Informatikai Osztály vezetője időszakosan ellenőrizni köteles, hogy az aktuálisan használt vírusellenőrző program megegyezik a kiadott legfrissebb változattal. A biztonsági kockázatot jelentő elektronikus küldemények kezelése során az Iratkezelési Szabályzat rendelkezéseit is figyelembe kell venni. 4.5. A Támogatáskezelőbe új rendszer fejlesztésével, létező rendszerek továbbfejlesztésével, az új rendszerek, verziók bevezetésével és szükséges dokumentációival kapcsolatos biztonsági elvárásokat az Informatikai Osztály által készített és évente karbantartott követelményjegyzék tartalmazza. A követelményjegyzéket a Támogatáskezelő minden rendszerfejlesztés, rendszerbevezetés tartalmú pályázatának, szerződésének mellékleteként csatolni kell, a benne foglaltakat a szállítóktól meg kell követelni.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
13
5. Dokumentációkhoz kapcsolódó védelmi intézkedések 5.1.
Minden nyilvántartott szoftverhez nyilván kell tartani a szoftver dokumentációját, ami magába foglalja legalább az alábbiakat: a) felépítésének, funkcióinak és adatkapcsolatainak felső szintű leírását, valamint alapvető jellemzőit (mérete, nyelve, működési környezet, készítőjét), leírását; b) felhasználói és üzemeltetői kézikönyveket, különösképpen a felhasználói jogosultság rendszer leírását; c) a rendszer telepítőkészletét, telepítési segédleteit; d) a tesztelést igazoló, valamint az üzemeltetésre átvétel jegyzőkönyveit; e) az üzemi, konfigurációs beállítások leírását; f) a rendszert üzemeltetésével, támogatásával kapcsolatos partneri megállapodásokat (pl.: licencek, support szerződések, elérhetőségek).
A felsorolt dokumentumok őrzése az Informatikai Osztály feladata. A rendszerleírási és rendszerprogram dokumentációinak első példányát az Informatikai Osztály informatikai könyvtárában kell tárolni elektronikus formában. A leírások és dokumentációk másodpéldányát papíron (és lehetőség szerint elektronikus formában is) tűzbiztos lemezszekrényben, kell tárolni. A dokumentációkat minden esetben úgy kell elhelyezni, hogy azok a tárolás közben ne sérüljenek vagy károsodjanak. 5.2. A rendszerleírások és rendszerprogram dokumentációinak frissítését minden olyan esetben, amikor a rendszeren változtatás (rendszerkonfiguráció változtatás, javítás, verzióváltás, stb.) az üzembe állítás (üzemeltetésre átadás) előtt frissíteni kell. A dokumentációk naprakészségért az Informatikai Osztály felelős. A rendszerleírásokról és rendszerprogram dokumentációkról űrlapon kell pontos nyilvántartást vezetni, a verziószámoknak és a telepítés időpontjainak a feltüntetésével. A nyilvántartásnak biztosítania kell, hogy legalább 1 évre visszamenőleg meghatározható legyen minden, az egyes rendszerekkel kapcsolatos változás ideje, oka, mibenléte. A nyilvántartás vezetése és annak folyamatos aktualizálása az Informatikai Osztály feladata. 5.3. A felhasználói dokumentációk folyamatos rendelkezésre állása megköveteli, hogy a dokumentumokat gyorsan és egyszerűen el lehessen érni. A felhasználói dokumentációkat javasolt elektronikusan, nyilvános mappában, vagy intraneten (Itiner) tárolni.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
14
6. Elektronikus kommunikációhoz kapcsolódó védelmi intézkedések 6.1. Általános rendelkezések A Támogatáskezelő hálózatát, vagy munkaállomásait csak ellenőrzött kapcsolaton keresztül lehet más hálózatokhoz csatlakoztatni. Engedély nélkül tilos bármilyen egyéni kommunikációs eszköz (pl. mobiltelefon, fax-modem, másik hálózathoz csatlakozni képes számítógép) csatlakoztatása a Támogatáskezelői munkaállomásokhoz. A fentiek biztosítása érdekében a Támogatáskezelő munkaállomásainak technikai beállításait úgy kell elvégezni, hogy a mindennapi munkához nem szükséges kommunikációs lehetőségek (pl. IRDA, BlueTooth, beépített modem) tiltva legyenek. E mellett a telefonhálózaton legyenek tiltva azok a körzetszámok (pl. 51-es), amelyeken internetszolgáltatók érhetők el. 6.2. E-mail használattal kapcsolatos előírások Az e-mail használatával kapcsolatos, jelen pont alatti előírásokat akkor kell alkalmazni, ha a Támogatáskezelő működésére irányadó egyéb szabályzat, így különösen az Iratkezelési Szabályzat másként nem rendelkezik. Az elektronikus levelezés célja a gyors ügyintézés és a papír alapú dokumentumok mennyiségének csökkentése. A Támogatáskezelő minden munkatársával szemben elvárás az elektronikus levelezéssel kapcsolatban a körültekintő és etikus viselkedés. A Támogatáskezelő munkatársaira az alábbi, az elektronikus levelező rendszerre vonatkozó jogok és kötelezettségek vonatkoznak: a) a belső elektronikus levelező rendszerben továbbított üzenet, levél, vagy csatolt fájl egyenértékű az üzenet, levél, vagy csatolt fájl személyes, papír alapon történő átadásával; b) az elektronikus levelező rendszerből kifelé továbbított üzenet nem vonatkozhat kötelezettség vállalásra; c) az elektronikus levelező rendszerből kifelé továbbított bizalmasan kezelendő üzenet csak titkosítva küldhető; d) az elektronikus levelező rendszerből kifelé továbbított levélben és üzenetben minden esetben biztosítani kell a Támogatáskezelő jó hírét; e) elektronikus levelezéskor az elektronikus levelezési címet csak az arra jogosult személy használhatja, más nevében elektronikus levél küldése nem engedélyezett; f) az elektronikus levelező rendszer használata során minimálisra kell csökkenteni annak személyes célokra történő használatát, az elektronikus levelező rendszerrel személyes üzleti tevékenység nem végezhető; g) a téves címzés miatt megkapott levelet bizalmasan kell kezelni, és azt haladéktalanul az eredeti címzettjének vagy a feladójának kell továbbítani; h) a Támogatáskezelő elektronikus levelező rendszerében továbbított üzenetben vagy levélben nem alkalmazható kézi aláírás szkennelt változata.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
15
6.3. Kommunikáció biztonságának szabályozása Behatolás védelmi szabályok, tűzfal: a) A Támogatáskezelő a Központi rendszereit tűzfallal vagy azzal egyenértékű tűzfal jellegű berendezéssel (továbbiakban: Tűzfal) köteles védenie annak megakadályozására, hogy kívülről illetéktelen személy a rendszerbe behatolhasson. Az ilyen védelmi feladatot ellátó berendezést a Központi rendszerek részének kell tekinteni. b) A Támogatáskezelő hálózatáról szigorúan tilos bármilyen, a tűzfalat megkerülő kapcsolatot létesíteni nyilvános hálózatokkal (pl.: Internetet modemen keresztül használni). c) Nem nyilvános hálózatokat (pl. banki átutalásokhoz bankterminál használata, BM hálózata) csak ellenőrzött kapcsolaton keresztül szabad használni. d) Az alkalmazott Tűzfal auditáltatását, annak üzembe helyezését követően, külső szakértővel el kell végeztetni. e) Az alkalmazott Tűzfalon változtatást csak a hálózati eszközök Rendszergazdája végezhet, ha azt az IO vezető előzetesen engedélyezte. f) Az alkalmazott Tűzfal berendezésen végrehajtott változásokat a Rendszergazdának dokumentálnia kell (ki és mikor végezte a beavatkozást, mit módosított), és erről a IO vezetőt haladéktalanul értesíteni köteles. g) Az alkalmazott Tűzfal működőképes konfigurációjáról olyan biztonsági másolatot kell készíteni, amelynek segítségével a korábbi működő állapot - szükség esetén - gyorsan előállítható. A biztonsági másolatot a normál mentésekkel együtt tűzbiztos széfben kell eltárolni. h) A Központi rendszereken végzett bármilyen olyan beállítás, amihez Rendszergazdai jogosultság szükséges, csak a Támogatáskezelő területén végezhető. i) Ha a Központi rendszerekhez - rendkívüli esetben - távoli helyről válik szükségessé Rendszergazdai beavatkozás, akkor ez - a megfelelő óvintézkedések (egyszeri jelszó, hívás-viszszahívás eljárás stb.) megtétele mellett végezhető el. j) Biztosítani kell, hogy a Támogatáskezelő Informatikai rendszerének bármely elemén kizárólag csak az arra felhatalmazott Rendszergazda végezhessen Rendszergazdai jogosultsághoz kötött módosításokat. Felhasználók még átmenetileg sem kaphatnak ilyen jogosultságot, kivéve, ha erre az Informatikai vezető vagy az érintett Területi vezető eseti felmentést ad. A felmentésnek tartalmaznia kell a megadásának indokát, érvényességének
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
16
időtartamát és a megszüntetéséért felelős személy nevét. A felmentésről - mielőtt a jogosultság érvénybe lépne - az üzemeltető cégnek az IO vezetőt értesíteni kell, valamint miután a jogosultság visszavonása végre lett hajtva. k) Megtörtént, vagy folyamatban levő biztonsági incidens észlelésekor a felhasználó haladéktalanul köteles értesíteni az Informatikai Osztályt. A felhasználó nem kísérelheti meg a támadó felderítését, nem tehet ellenlépéseket, kivéve, ha az Informatikai Osztály erre kifejezett utasítást ad. Titkosítás, elektronikus aláírás: a) A Támogatáskezelő tervezi PKI eszközök használatba vételét, ugyanakkor jelenleg nem használ semmilyen titkosítási, vagy elektronikus aláírási megoldást. Amennyiben ilyen eszközök használatát bevezeti a Támogatáskezelő, úgy itt kell leírni az erre vonatkozó rendelkezéseket.
7. Személyekhez kapcsolódó védelmi intézkedések, jogosultsági rendszer előírása 7.1. Általános előírások A Támogatáskezelő biztosítja, hogy minden munkatársa megfelelő hozzáféréssel rendelkezzen a munkaköréhez szükséges informatikai alapszolgáltatásokhoz. A Támogatáskezelő minden munkatársa számára biztosítja a munkakör ellátásához szükséges Alkalmazói szoftverek, illetve az Alkalmazói szoftverek meghatározott részeinek rendeltetésszerű használatát. A jogosultságok felhasználókhoz kötődnek. A felhasználó számára biztosított jogosultság alapján az adatokon végzett minden tevékenységgel és az adatok felhasználásával kapcsolatos minden felelősség a felhasználót terheli. Azon Alkalmazói szoftverek esetében, ahol a szolgáltató egy intézmény részére csak egy (általában az intézmény vezetőjéhez kapcsolt) hozzáférési jogosultságot biztosít, ott a jogosultság továbbadásával érintett felhasználót terhel minden felelősség az adatokon végzett minden tevékenységgel és az adatok felhasználásával kapcsolatban. A Támogatáskezelő gondoskodik arról, hogy az informatikai rendszerében tárolt adatokhoz illetéktelen ne férjen hozzá, adatolvasást, adatmegsemmisítést, adathamisítást ne tudjon végrehajtani. 7.2. A felhasználók kötelezettségeként előírt védelmi intézkedések A Támogatáskezelő informatikai eszközein és hálózati meghajtóin kizárólag a felhasználó munkakörével és munkájával kapcsolatos adatok tárolhatók. A felhasználó saját, munkájával összefüggésbe nem hozható adatait az Informatikai Osztály, vagy a Támogatáskezelő által ezzel megbízott külső személy előzetes felszólítás nélkül törölheti. A felhasználó felel az általa használt informatikai eszközökön tárolt adatok védelméért, így különösen köteles: a)
a bizalmasan kezelendő és belső használatú információkat hordozható eszközökön titkosítva tárolni;
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
17
b) c) d) e) f)
tartózkodni a bizalmasan kezelendő és belső használatú információk kódolatlan külső hálózaton történő küldésétől; tartózkodni a jelszavak titkosítás nélküli tárolásától; a mobil eszközök valamennyi biztonsági szolgáltatását használni; az asztali számítógépet és a hordozható számítógépet jelszóval védeni; a felügyelet nélkül hagyott asztali számítógépet és a hordozható számítógépet zárolni.
A felhasználó adatkezelését, ideértve különösen az adatok másolását, áthelyezését, továbbítását, fel- és letöltését az Informatikai Osztály a Támogatáskezelő adatbiztonsága érdekében naplófájlban rögzítheti és tárolhatja. 7.3. A Támogatáskezelő informatikai rendszereihez az alábbi hozzáférési csoportokat határozza meg: a)
Az Alapszolgáltatás hozzáférés a Támogatáskezelő által meghatározott irodarendszerekhez való hozzáférést biztosítja, ami minden felhasználói munkaállomáson rendelkezésre áll. b) Az Alkalmazói szoftver hozzáférés az Alkalmazói szoftver használatát biztosítja, ami a felhasználói terület erre jogosult munkatársának munkaállomásán rendelkezésre áll. c) Speciális IT szolgáltatás hozzáférés a speciális informatikai szolgáltatások (pl. Internet, Laptop használat) igénybe vételét biztosítja. d) A Rendszergazda hozzáférés a Rendszerszoftverekhez (operációs rendszerek) és a rétegszoftverekhez (adatbázis-kezelők) való hozzáférést biztosítja, ilyen jogosultsággal a kinevezett Rendszergazdák rendelkeznek. e) A Rendszerüzemeltető hozzáférés a Felhasználók Alkalmazói szoftverbeli hozzáférési jogosultság beállítását teszi lehetővé, ilyen jogosultsággal a kinevezett Rendszerüzemeltetők rendelkeznek. 7.3.1. Név és jelszó konvenciók A Felhasználó név megadását (Felhasználónév) minden alaprendszernél a munkatárs vezetéknevéből és a keresztnevének első karakteréből kell létrehozni, több azonos keresztnevű munkatárs esetében a szükséges megkülönböztetés érdekében a keresztnév további karaktereit kell használni. Ettől az előírástól csak indokolt esetben szabad eltérni. A jelszavakkal kapcsolatos rendelkezéseket (jelszavakkal kapcsolatos biztonsági feltételek, elfelejtett jelszó esetén követendő szabályok) az Infokommunikációs Eszközökről szóló Szabályzat tartalmazza. 7.3.2. Jogosultságok kiadása A Támogatáskezelő munkatársai számára az egyes rendszerekhez történő hozzáférési jogosultságokat az ITINER-ben kell igényelni, a jogosultságok kiadásával kapcsolatos részletes rendelkezéseket az Infokommunikációs Eszközökről szóló Szabályzat tartalmazza.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
18
7.3.3. Jogosultságok módosítása, letiltása Egy munkatárs jogosultságainak bővítése, szűkítése az illetékes területi vezető kezdeményezésére, a főigazgató engedélyével történhet. Meg kell különböztetni, hogy a bővítés vagy szűkítés csak egy adott munkatársat, vagy minden, adott munkakörben dolgozó munkatársat érint-e, és szükség esetén a munkakörökhöz tartozó jogosultsági listát is módosítani kell. A kilépett munkatárs személyes dokumentumainak (pl. levelezés, személyes könyvtár tartalma) CD-re másolásáról a kilépés napjáig a felhasználó kérésére az Informatikai Osztály gondoskodik, és biztosítja, hogy csak a személyes dokumentumok kerülhessenek másolásra. A Felhasználók és Rendszergazdák jogosultságainak megváltoztatását előíró, az Informatikai Osztály vezetője jóváhagyását tartalmazó leveleket, dokumentumokat az Informatikai Osztály lefűzi.
8. Mentés, archiválás 8.1. A hálózati meghajtókon tárolt adatok biztonsága érdekében az adatokról az Informatikai Osztály napi rendszerességgel mentést végez, vagy tükrözött merevlemezekkel (Raid) működő szervereket üzemeltet. 8.2. A legfontosabb adatokról az Informatikai Osztály legalább kéthetente optikai adathordozóra is teljes archiválást végez. Az adathordozókat azonosító sorszámmal látja el és azokról archiválási nyilvántartást vezet. 8.3. Az archiválásokat tartalmazó adathordozókon jól láthatóan és azonosíthatóan fel kell tüntetni a mentett rendszer (adatállomány) nevét, a mentés típusát és idejét, melyeket az archiválási nyilvántartásban is fel kell tüntetni. 8.4. Az archiválásokat tartalmazó adathordozókat a hálózati meghajtók és szerverek adatait tartalmazó adathordozókétól elkülönített helyiségben és épületben, zárt helyiségben vagy szekrényben kell őrizni.
9. Külső elérésekhez kapcsolódó védelmi intézkedések 9.1. A Támogatáskezelő hálózatát elérhetővé kell tenni külső telephelyekről, hogy az itt alkalmazott szoftvereket a fejlesztők, adminisztrátorok elérhessék és a különböző akadályokat, problémákat, hibákat elhárítsák, megoldhassák. VPN felhasználó létrehozásának rendje a következő:
A Támogatáskezelői hálózathoz való kapcsolódási szándékot jelezni kell az Informatikai Osztály vezetőjének Az adminisztrátor létrehozza a VPN felhasználót/ jelszót és megosztja az igénylővel
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
19
a VPN hozzáférés alaphelyzetben le van tiltva, az engedélyezést az
[email protected] címen lehet igényelni az elvégzendő munka leírásával a VPN elérés engedélyezése az adott munkanapra szól, a Támogatáskezelői munkaidőhöz igazítva a VPN elérés csak Támogatáskezelői munkaidőben érhető el, az ezen kívüli használatot külön igényelni kell az Informatikai Osztály vezetőjétől.
III. ADATVÉDELMI RENDELKEZÉSEK 1. Szervezetre vonatkozó előírások 1.1 A Támogatáskezelő főigazgatója a) kiadja az Adatvédelmi és Informatikai Biztonsági Szabályzatot; b) kiadja a Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzatot; c) felügyeli az adatvédelmi feladatok ellátását; d) felelős a közérdekű, és közérdekből nyilvános adatok szolgáltatására vonatkozó kötelezettség teljesítéséért, annak teljességéért és hitelességéért. 1.2 A jogi igazgató a) szakmailag irányítja, felügyeli és ellenőrzi a Támogatáskezelő adatvédelmi tevékenységét; b) közreműködik és segítséget nyújt az adatvédelemmel kapcsolatos döntések meghozatalában; c) ellenőrzi az adatvédelemmel kapcsolatos jogszabályok és belső szabályzatok rendelkezéseinek és az adatbiztonsági követelmények érvényesülését; d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót. 1.3 Az önálló szervezeti egység vezetője a) felelős azért, hogy az irányítása alatt álló szervezeti egység(ek)nél az adatkezelés a jogszabályokban és az AIBSZ-ben előírt módon történjék; b) a főigazgató útján gondoskodik a szervezeti egység(ek) által kezelt, az Infotv. hatálya alá tartozó adatoknak az adatvédelmi nyilvántartásba történő bejelentéséről a jogszabályban meghatározott módon; c) felelős azért, hogy a szervezeti egység(ek) által történő adatfeldolgozás során az adatbiztonsági előírások maradéktalanul teljesüljenek. 1.4 Az adatkezelést végző személy a) b)
kezeli és megőrzi a feladata ellátása során birtokába került adatokat; ügyel a nyilvántartások biztonságos kezelésére és tárolására;
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
20
c)
d)
tevékenységi körén belül felelős az adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért, továbbá az adatok pontos, követhető dokumentálásáért; gondoskodik arról, hogy az általa vezetett nyilvántartások adataihoz illetéktelen személy ne férhessen hozzá. 2. Az adatkezelés általános szabályai
2.1 A papír alapon kezelt adatokat keletkezésükkor megfelelő minőségű adathordozóra kell rögzíteni. 2.2 Az adatok olvashatóságáért az azokat felvevő, illetve rögzítő személy felel. Az adatok jogosulatlan megismerésének megakadályozása érdekében az adathordozókat folyamatos felügyelet alatt kell tartani, vagy el kell zárni. 2.3 Az adatok őrzési, törlési határidejét a jogszabályi előírásoknak megfelelően kell megállapítani, a személyes adatok esetén biztosítani kell a célhoz kötöttség elvének érvényesülését. 2.4 A Támogatáskezelő nem kezel olyan adatot, amely a közadatok újrahasznosításáról szóló törvény alapján továbbítható.
3. A személyes adatok kezelésére vonatkozó különös szabályok 3.1. Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt valamely jogszabály elrendeli, továbbá ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. 3.2. Különleges adat kezelésére kizárólag akkor jogosult a Támogatáskezelő, ha ahhoz az érintett írásban hozzájárul. Az érintett hozzájárulását vélelmezni kell, ha az adatkezeléssel összefüggő eljárás az érintett kérelmére indul meg. Erre a tényre az érintettet figyelmeztetni kell. 3.3. Az érintett az adatkezelőtől tájékoztatást kérhet személyes adatai kezeléséről, és az adatokba bele is tekinthet. A betekintést úgy kell biztosítani, hogy az érintett más személy adatait ne ismerhesse meg. 3.4. Az érintett kérelmére az adatkezelő tájékoztatást ad az általa kezelt adatairól, az adatkezelés céljáról, jogalapjáról, időtartamáról, továbbá arról, hogy kik és milyen célból kapták meg az adatokat. 3.5. Adatváltozás vagy téves adatrögzítés észlelése esetén az érintett írásban kérheti kezelt adatainak helyesbítését, illetve kijavítását. A téves adatot az adatkezelő 8 munkanapon belül helyesbíteni köteles. Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
21
3.6. Olyan adatkezelés esetén, amelynél számolni kell külföldre irányuló adattovábbítással, az érintettek figyelmét erre a körülményre már az adatok felvétele előtt fel kell hívni. Az érintett írásbeli felhatalmazása nélkül személyes adat külföldre nem továbbítható, kivéve, ha ezt törvény lehetővé teszi. 3.7. Az adattovábbítás papír alapon vagy elektronikus úton történhet. Abban az esetben, ha az adattovábbítás elektronikus adatfeldolgozással hatékonyabban teljesíthető, akkor az adattovábbításról az irattár részére kísérőlevelet kell készíteni, amely tartalmazza az adattovábbítást kérő megkeresésében felsorolt adatokat. 3.8. A Támogatáskezelő szervezetén belül a kezelt személyes adat - a feladat elvégzéséhez szükséges mértékben és ideig - csak az üggyel érintett szervezeti egységhez továbbítható, feltéve, hogy a személyes adatok megismerése nélkül az ügyben érdemben eljárni nem lehet. 3.9. A Támogatáskezelő szervezetén belül a különböző célú adatkezelések csak törvényes cél érdekében, indokolt esetben, ideiglenesen kapcsolhatók össze. 3.10. Az adatkezelések összekapcsolásával, valamint a megkeresés alapján teljesített adatszolgáltatással kapcsolatos alábbi tényeket, körülményeket jegyzőkönyvben kell rögzíteni: az adatkérő (az összekapcsolt adatkezelések) megnevezése; az adattovábbítás (összekapcsolás) célja, rendeltetése; a továbbított (összekapcsolt) adatok köre; az adattovábbítás (összekapcsolás) jogszabályi alapja; az adattovábbítás (összekapcsolás) módja. 3.11. Nem kötelező adatszolgáltatáson alapuló adatkezelés esetén, az érintett indokolás nélkül írásban kérheti kezelt adatainak törlését. A törlést 8 munkanapon belül el kell végezni. 3.12. Az érintett az adatkezeléssel kapcsolatos jogainak megsértése esetén az illetékes szervezeti egység vezetőjéhez fordulhat 3.13. A Támogatáskezelőnél foglalkoztatott kormánytisztviselők személyes adatainak kezelése során az AIBSZ III. fejezet 3.1.-3.12. pontjaiban foglaltakat a Közszolgálati Szabályzat és az Iratkezelési Szabályzat előírásait figyelembe véve kell alkalmazni. 4. A közérdekű adatok kezelésével kapcsolatos adatvédelmi rendelkezések 4.1. A közérdekű adatok kezelése során értelemszerűen alkalmazni kell az AIBSZ III. fejezet 2. pontja szerinti általános adatkezelési szabályokat. 4.2. A kötelezően közzéteendő közérdekű adatok közzétételének részletes eljárásrendjét, továbbá a közérdekű adatok megismerésére irányuló kérelmek intézésének rendjét külön szabályzat, nevezetesen az EMET Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzata tartalmazza.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
22
IV. ZÁRÓ RENDELKEZÉSEK 1. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény alapján az AIBSZ tekintetében fennálló adatszolgáltatási kötelezettségeket – az informatikai biztonsági felelősi feladatai körében – az Informatikai Osztály vezetője köteles teljesíteni az AIBSZ hatályba lépését követő 5 munkanapon belül. 2. Az AIBSZ tárgykörét érintő jogszabály módosítása esetén gondoskodni kell az AIBSZ felülvizsgálatáról. 3. az Elektronikus Pályázatkezelési és Együttműködési Rendszer (EPER) rendszer hibáinak bejelentése, valamint a rendszerben történő fejlesztések jóváhagyásával kapcsolatosan a Támogatáskezelőnél a 2. számú függelékben foglaltakat kell alkalmazni.
Függelékek jegyzéke: 1. számú függelék: Katasztrófa Elhárítási Terv 2. számú függelék: Eljárásrend az EPER rendszer hibáinak bejelentéséről, valamint a rendszerben történő fejlesztések jóváhagyásáról
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
23
1. számú függelék a(z) 37/2013. EMET főigazgatói belső utasítás mellékletéhez AZ EMBERI ERŐFORRÁS TÁMOGATÁSKEZELŐ Katasztrófa Elhárítási Terve Jelen katasztrófa elhárítási terv a Támogatáskezelőben esetlegesen bekövetkező informatikai katasztrófa körülményeit és megoldását ismerteti. A dokumentum célja egy használható, egyszerű és világos elhárítási terv létrehozása. Az informatikai katasztrófa egy olyan nem tervezett esemény, amely az adatfeldolgozó képesség elvesztését okozza hosszabb, legalább 1 munkanap időre. Jelen terv feladata, hogy a szervezet kritikus információ-feldolgozó képességeit helyre lehessen állítani elfogadhatóan rövid idő alatt a szükséges aktuális adatokkal egy informatikai katasztrófa után.
A Támogatáskezelőnél használt szerverek főbb jellemzői és ezeken futó operációs rendszerek A Támogatáskezelő jelenleg 6 db szerver számítógépet használ feladatainak precíz ellátásához, azonosításuk adatait (a szerverek neve, típusa, felépítése és a rajtuk futó operációs rendszer) az alábbi táblázat tartalmazza.
Név
Típus
Processzor
EMETSESX01
HP DL380G4 Intel 3,2GHz
EMETSINTRA
IBM x3650
Ram Merevlemez Xeon 4GB
Operációs rendszer
6x146GB
ESX4.1
5GB
4x146GB
Windows Std
2008R2
EMETSWIN02 HP DL380G5 Intel 3,2GHz
Xeon 4GB
6x146GB
Windows Std
2008R2
EMETSDC01
HP DL380G4 Intel 3,2GHz
Xeon 4GB
2x73GB
Windows Std
2008R2
M-PENZUGY
Virtuális gép
Intel 3,2GHz
Xeon 4GB
126GB
Windows Std
2008R2
EMETSPOS01
Virtuális gép
Intel 3,2GHz
Xeon 8GB
60GB
Windows Std
2008R2
Intel Xeon 5160
4x146GB
A szerverek funkciói és a rajtuk futó programok Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
24
Az előző részben felsorolt szerverekre való hivatkozás ezentúl a név oszlopban szereplő megnevezés alapján történik.
EMETSESX01: Virtuális gépeket futtató szerver.
EMETSINTRA: Intranet szerver. A belső weboldal található rajta és az oldalhoz tartozó adatbázis. Az adatbázis szerver egy Microsoft SQL 2008R2. Mentő szerver. Symantech Backupexec alkalmazással.
EMETSWIN02: Frissítő szerver. EMETSDC1: Tartományvezérlő, file szerver és nyomtató szerver.
M-PENZUGY: A „Forrás” pénzügyi rendszert kiszolgáló virtuális szerver. SQL
EMETSPOS01: A „Poszeidon” iratkezelési rendszert kiszolgáló alkalmazás virtuális szerver.
Tevékenység-sorozat katasztrófa esetén: 1.) Az esemény bekövetkezte 2.) A katasztrófa-elhárítási csapat riasztása 3.) A károk enyhítése 4.) A helyreállítási folyamat megindítása 5.) Az alaptevékenység visszaállítása 6.) Tényleges helyreállítás 7.) A tanulságok levonása
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
25
Az informatikai szolgáltatások, vagy azok egy részének elvesztése a Támogatáskezelő számára Tekintettel a Támogatáskezelő munkafolyamatainak informatikai támogatottságára az informatikai szolgáltatások elvesztése az érintett munkafolyamatok szinte teljes leállásával jár. Ma már csak kevés munkafolyamat végezhető informatikai támogatás nélkül és jellemzően egyetlen teljes ügy sem végezhető el annak hiányában, mivel minden ügynek legalább egy olyan munkafolyamata van, mely informatikai eszközöket igényel (pl. iktatás). Katasztrófa esetén a Támogatáskezelő adatvagyona is sérülhet. Elsődleges prioritás az adatvagyon megőrzése, másodlagos az ügyfélfogadás és az azzal kapcsolatos ügymenetek biztosítása. Minden további feladat harmadlagos jellegű.
Kritikus informatikai szolgáltatások Tekintettel arra, hogy a Támogatáskezelőben lévő alkalmazások és munkafolyamatok folyamatosan változnak és rendkívül széles körűek, definiálni kell, hogy milyen alkalmazások tekinthetők kritikusnak. 1.) Egy adott informatikai szolgáltatás akkor kritikus, ha leállása esetén egyes ügyfelekkel kapcsolatos ügyek nem bonyolíthatók még papír alapú nyilvántartások segítségével sem az előírt Támogatáskezelői határidőn vagy az ügyfél által megszokott ügyintézési határidőn belül. Egy ilyen alkalmazás leállása akkor informatikai katasztrófa, ha:
nem tervezett a leállása;
tervezett leállása túllépte a maximális 1 nap vagy 1 hétvége időtartamot.
2.) Kritikus informatikai szolgáltatás továbbá az, mely az 1. pontba nem tartozik, de nyilvántartása a Támogatáskezelői adatvagyon részét képezi, és ez az adatvagyon rész nem érhető el legalább 3 napon keresztül. Ekkor a 3. nap után a szolgáltatás leállása szintén informatikai katasztrófának minősül. Az informatikai szolgáltatás visszaállításának időtávja Informatikai katasztrófa bekövetkezése esetén a katasztrófa elhárítását azonnal meg kell kezdeni. Amennyiben az informatikai szolgáltatás nem állítható helyre 2 napon belül, abban az esetben további 3 napon belül meg kell oldani az informatikai vagy papír alapú ideiglenes szolgáltatást. Az ideiglenes szolgáltatás időtávja addig tart, amíg az informatikai szolgáltatás helyreállítása be nem fejeződik, melynél törekedni kell arra, hogy 2 héten belül fejeződjön be.
A szolgáltatás fenntartásának/helyreállításának eszközei Munkaerő Informatikai katasztrófa bekövetkezése esetén az IO minden munkatársának és az érintett szervezeti egységek vezetőinek munkaidőn kívül és munkaszüneti napokon is azonnal be kell jönnie
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
26
a Támogatáskezelőbe és meg kell kezdenie a szolgáltatás fenntartását/helyreállítását. A helyreállítási munka vezetője az IO vezetője. Szükség esetén az érintett szervezeti egységek vezetői a vezetésük alatt lévő szervezeti egység személyi állományából további munkatársakat is behívhatnak, akiknek ez esetben szintén kötelező megjelenni. A katasztrófa elhárításáig a munkatársak munkaideje napi 10 óra, munkaszüneti napokon is. Ez alól felmentést vagy engedményt csak a Főigazgató adhat.
Informatikai eszközök Az IO-nak legalább 2 db tartalék szervert és 10 db tartalék munkaállomást kell készenlétben tartani informatikai katasztrófák elhárítására. A készenléti hardvereszközök teljesítményének a mindenkor használatban lévő eszközállomány átlagos teljesítményének minimum meg kell felelnie. Amennyiben további eszközök szükségesek, akkor a katasztrófa elhárítása esetén Főigazgatói engedéllyel felhasználhatók a nem kritikus szolgáltatásokat biztosító hardvereszközök is.
Ideiglenes nyilvántartások A katasztrófa elhárításának elhúzódó időtartama alatt amennyiben lehetséges és nem veszélyezteti a leállt szolgáltatás adatvagyonának jövőbeli integritását, ideiglenes nyilvántartást kell létrehozni a szolgáltatás helyettesítésére, mely lehet informatikai, de papír alapú is. Az elhárítás befejezése után az ideiglenes nyilvántartás adatainak a helyreállított szolgáltatásba történő integrálását azonnal meg kell kezdeni. Az iktatórendszer üzemzavara esetén követendő eljárásrendet, így különösen az ideiglenes nyilvántartás vezetésére vonatkozó részletes szabályokat a Támogatáskezelő Egyedi Iratkezelési Szabályzata tartalmazza.
Katasztrófa elhárítási gyakorlat Katasztrófa elhárítási gyakorlatot kell évente egyszer az IO vezető által javasolt időpontban tartani. A gyakorlat során tetszőleges mentett állományból vissza kell állítani egy konkrét fájlt, egy adatbázist, egy komplett kiszolgálót.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
27
2. számú függelék a(z) 37/2013. EMET főigazgatói belső utasítás mellékletéhez Eljárásrend az EPER rendszer hibáinak bejelentéséről, valamint a rendszerben történő fejlesztések jóváhagyásáról 1. Az eljárásrend hatálya 1.1.
Jelen eljárásrend hatálya az Emberi Erőforrás Támogatáskezelő támogatási főigazgató-helyettesére, támogatási igazgatóságaira, a Folyamattámogatási Igazgatóságra, valamint az Informatikai Osztályra terjed ki. 2. Értelmező rendelkezések
a) b) c) d) e) f) g)
Javítás: minden olyan hiba elhárítása, amely rendeltetésszerű használat közben felmerül, és amelynek oka a rendszer működésének diszfunkciója. Fejlesztés: olyan képességek kialakítása, amellyel a rendszer korábban nem rendelkezett. Bejelentő: az elektronikus pályázatkezelési referens, továbbá a területért felelős vezető által az Informatikai Osztályhoz előzetesen bejelentett személy, aki jogosult a hibák jelzésére az Informatikai Osztály felé. Jóváhagyó: a területért felelős vezető, és az általa az Informatikai Osztályhoz előzetesen bejelentett személy, aki jogosult a fejlesztéseket az Informatikai Osztályon keresztül megrendelni. Adminisztrátor: az EPER-ben adminisztrációs jogokkal rendelkező személy. (Az EMET Informatikai Osztályán az erre a feladatra kijelölt kormánytisztviselő.) ITINER: A Támogatáskezelő belső hálózatának hibabejelentő felülete. Mantisz: A GEOVIEW Kft. bejelentés-kezelő rendszere. 3. A bejelentő és a jóváhagyó bejelentése és módosítása
3.1.
A bejelentőket és a jóváhagyókat az illetékes igazgató jelöli ki, és jelenti be az Informatikai Osztálynak az ITINER-en keresztül, amelyben meg kell jelölni a bejelentő vagy jóváhagyó nevét, e-mail címét, illetve a jóváhagyó hierarchiáját. A bejelentők és jóváhagyók személyét az illetékes igazgató módosíthatja az Informatikai Osztályhoz intézett elektronikus üzenettel, amelyben meg kell jelölni az új bejelentő vagy jóváhagyó nevét, e-mail címét, a jóváhagyó hierarchiáját, valamint – amennyiben személycsere történik – a leváltott bejelentő vagy jóváhagyó nevét.
3.2.
A jóváhagyókat hierarchikus sorrendben kell bejelenteni, elsődleges, másodlagos, harmadlagos pozíciójukat megjelölve. A jóváhagyó döntést mindig a sorban legmagasabb pozícióban lévő, döntésképes jóváhagyó hozza meg.
3.3.
Az igazgatók bejelentés nélkül elsődleges jóváhagyóknak minősülnek.
3.4.
Az Informatikai Osztály kizárólag a jelen eljárásrend alapján bejelentett személyek bejelentését, valamint jóváhagyását fogadhatja el. A jóváhagyás kizárólag akkor fogadható el, ha a jóváhagyó jelzi, hogy a hierarchikus sorban előtte elhelyezkedő jóváhagyók miért nem hozhattak döntést.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
28
3.5.
A bejelentők és jóváhagyók listája nyilvános. 4. Javítás
4.1.
Az EPER rendszerben észlelt hibajelenség bejelentésére a bejelentő jogosult. A hibát az ITINER-ben szükséges bejelentenie.
4.2.
A bejelentett hibát az adott feladattal megbízott Adminisztrátor haladéktalanul megvizsgálja és egyezteti bejelentővel, szükség esetén az érintett szervezeti egység vezetőjével. Az egyeztetés keretében az Adminisztrátor többek között feltárja, hogy informatikai szempontból hasonló vagy egyező hibát más jelentett-e, és amennyiben igen, úgy ezen bejelentéseket egységesen kezeli. Az Adminisztrátor - amennyiben lehetséges – saját hatáskörben megkezdi a bejelentett hiba kijavítását. A javítás megtörténtéről üzenetet küld a bejelentőnek az ITINER-ben.
4.3.
Amennyiben a hibát a feladat végzésre kijelölt Adminisztrátor nem tudja javítani, abban az esetben a hiba jelzését haladéktalanul továbbítja a Mantisz felületen a Geoview Kft. felé, ennek megtörténtéről az ITINER-en keresztül tájékoztatja a bejelentőt. A javítás megtörténtéről az Adminisztrátor a Mantiszon keresztül küldött üzenetből értesül. Az értesítést követően az Adminisztrátor teszteli a javítást, és amennyiben a hiba elhárítása maradéktalanul megtörtént, ezt haladéktalanul jelzi a bejelentőnek.
4.4.
Nagyobb hiba, akadály vagy összeomlás esetén, továbbá minden olyan hiba esetén, amely az EPER rendszer részleges vagy teljes leállását eredményezi, az Adminisztrátor haladéktalanul értesíti a támogatási főigazgató-helyettes útján a főigazgatót. Amennyiben az EPER rendszer részleges vagy teljes leállítása szükséges a hiba feltárásához, elhárításához vagy egyéb okból, a leállásról a támogatási főigazgató-helyettes javaslata mérlegelésével a főigazgató dönt.
4.5.
Amennyiben a Geoview Kft. azt jelzi vissza, hogy a javításra küldött probléma megoldása érdekében fejlesztés szükséges, erről árajánlat megküldésével - Mantiszon keresztül - értesíti az Adminisztrátort, aki továbbítja az illetékes jóváhagyónak az ajánlatot, valamint a hiba pontos leírását, és az ajánlat előzményeit. 5. Fejlesztés
5.1.
Fejlesztést kizárólag a jóváhagyásra jogosult személy kezdeményezhet az ITINEREN keresztül a fejlesztési dokumentáció és – szükség esetén specifikáció - felcsatolásával. A kezdeményezést az illetékes Adminisztrátor a lehető leghamarabb megvizsgálja, szükség esetén pontosítja a fejlesztési igényt, majd majd a Mantiszon keresztül - bejelentés keretében továbbítja a Geoview Kft. részére.
5.2.
A fejlesztéssel kapcsolatosan felmerülő kérdésekre adott válaszokat, a megoldási lehetőségeket, a dokumentáció és specifikáció pontosítását az Adminisztrátor minden esetben egyezteti a jóváhagyásra jogosult személlyel.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
29
5.3.
Az ajánlattal kapcsolatban az Adminisztrátor ITINER-en keresztül tájékoztatja a jóváhagyót, aki 3 munkanapon belül dönt az ajánlat elfogadásáról. Amennyiben az ajánlatot elfogadja, úgy döntéséről értesíti az Informatikai Osztály vezetőjét és az ITINER-en keresztül - az adott bejelentésben is - megerősíti ezen szándékát. Az Informatikai Osztály vezetője a fejlesztési igényt haladéktalanul felvezeti az erre rendszeresített, ITINER felületen lévő táblázatba, és erről haladéktalanul értesíti a jóváhagyókat. Az Informatikai Osztály vezetője a jóváhagyott fejlesztési igényt a Mantiszon keresztül haladéktalanul megrendeli. 6. Fejlesztési igények ütközése
6.1.
Amennyiben a fejlesztési igények teljes mértékben kimerítik a vonatkozó szerződésben meghatározott órakeretet, vagy a fejlesztések elkészítési határidejének priorizálása szükséges, ezt bármely igazgató, illetve az Informatikai Osztály vezetője jelezheti a támogatási főigazgató-helyettesnek.
6.2.
A 6.1. pontban jelzett prioritási sorrendet a támogatási főigazgató-helyettes határozza meg. Az Informatikai Osztály vezetője a támogatási főigazgató-helyettes által meghatározott prioritási sorrend alapján rendeli meg a fejlesztéseket a Geoview Kft-től. 7. Egyeztetés
Jelen eljárásrend alkalmazásának tapasztalatairól kéthavonta egyeztetést kell tartani. Az egyeztetést az Informatikai Osztály és a támogatási igazgatóságok közötti kapcsolattartás érdekében a támogatási főigazgató-helyettes által megbízott koordinátor hívja össze. Az egyeztetésen részt vesznek az Informatikai Osztály illetékesei, a támogatási főigazgató-helyettes, a koordinátor és a támogatási igazgatóságok vezetői.
Verziószám: v.2. Kiadva: 37/2013. EMET főigazgatói belső utasítással Módosítva: 18/2014. EMET főigazgatói belső utasítással Hatályos: 2014. november 1.
30