2699 OKTATÁSI ÉS KULTURÁLIS KÖZLÖNY évi 9. szám

2699

O K T A T Á S I É S K U L T U R Á L I S K Ö Z L Ö N Y • 2015. évi 9. szám

Utasítások

2/2015. (VI. 30.) KLIK elnöki utasítás a Klebelsberg Intézményfenntartó Központ Informatikai Biztonsági Szabályzata kiadásáról A Klebelsberg Intézményfenntartó Központ Szervezeti és Működési Szabályzatáról szóló 22/2013. (VII. 5.) EMMI utasítás 1. melléklet II. fejezet 4. § (5) bekezdés a) pontja alapján az alábbi utasítást adom ki: 1. § A Klebelsberg Intzéményfenntartó Központ (a továbbiakban: KLIK) Informatikai Biztonsági Szabályzatát (a továbbiakban: Szabályzat) jelen utasítás Melléklete tartalmazza. 2. § A Szabályzat személyi hatálya kiterjed a KLIK központi szerve valamennyi szervezeti egységére, a KLIK területi szerveire, tankerületeire, intézményeire, illetőleg a KLIK valamennyi kormánytisztviselőjére, kormányzati ügykezelőjére, munkavállalójára, köznevelési intézmény igazgatójára, közalkalmazottjára, valamint a KLIK-kel szerződéses vagy egyéb munkavégzésre irányuló jogviszonyban álló személyekre. 3. § A KLIK valamennyi elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében, kockázatkezelésében, karbantartásában vagy javításában a Szabályzatban foglaltak alapján kell eljárni. 4. § A Szabályzatot a KLIK belső elektronikus rendszerén (intranet) is közzé kell tenni. 5. § Ez az utasítás a közzétételét követő napon lép hatályba.

Hanesz József s. k.,

elnök

Melléklet a 2/2015. (VI. 30.) KLIK elnöki utasításhoz A Klebelsberg Intézményfenntartó Központ Informatikai Biztonsági Szabályzata

I. ÁLTALÁNOS RENDELKEZÉSEK 1. A Szabályzat célja

1.1. Az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ) célja a Klebelsberg Intézményfenntartó Központ (a továbbiakban: KLIK) által használt informatikai rendszerek/alkalmazások, továbbá az informatikai rendszerek/ alkalmazások által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása, ennek érdekében az informatikai rendszerekkel/alkalmazásokkal összefüggő tevékenységekre vonatkozó szervezeti, személyi, fizikai, informatikai és adminisztratív biztonsági követelmények meghatározása, illetve ezen követelmények teljesítésével összefüggő felelősségi előírások rögzítése. 1.2. Az IBSZ általános célja, hogy a KLIK által használt informatikai rendszerek/alkalmazások biztonságát garantáló eljárásokat és előírásokat átlátható és nyomon követhető formában egységes keretbe foglalva rögzítse az informatikai biztonság magasabb fokú kialakításának további szabályozása érdekében, továbbá dokumentumai, komplex, átfogó és széles körű informatikai biztonságot alkossanak. 1.3. Az IBSZ kiadásának célja továbbá a KLIK által használt informatikai rendszerek alkalmazásának biztonsági szempontból történő szabályozása.

2700


2. Az IBSZ hatálya

2.1. Az IBSZ-ben meghatározott előírás, feladat, magatartási szabály – munkakörre való tekintet nélkül – kötelező érvényű, és hatálya kiterjed: a) a KLIK központi szervének, tankerületeinek, jogi személyiséggel rendelkező szervezeti egységeinek (a továbbiakban: köznevelési intézmények) foglalkoztatottjaira (továbbiakban: belső felhasználók); b) a 2.1. a) pont alá nem tartozó, a KLIK-el egyéb jogviszonyban álló személyek (továbbiakban: külső felhasználók), akik feladataik teljesítése során vagy egyéb céllal, jogosultsággal, vagy annak hiányában felhatalmazással, az IBSZ tárgyi hatálya alá tartozó eszközöket, szoftvereket, informatikai rendszereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, valamint azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak; az a)–b) pont alattiak a továbbiakban együtt: a felhasználók. 2.2. A felhasználókkal kötendő valamennyi jogviszony vonatkozásában biztosítani kell az IBSZ rendelkezéseinek érvényesülését. 2.3. Az IBSZ rendelkezéseit alkalmazni kell a külső munkavégzéshez használt eszközökre is, amennyiben azok az IBSZ tárgyi hatálya alá tartoznak. 2.4. Az IBSZ-t alkalmazni kell a KLIK informatikai rendszereire, alkalmazásaira és azok moduljaira (a továbbiakban együtt: rendszer), az informatikai rendszerekhez csatlakoztatható informatikai, irodatechnikai, multimédiás eszközökre és adathordozókra, az informatikai rendszerekben kezelt, feldolgozott, tárolt adatokra, valamint az előzőekben felsoroltakkal kapcsolatos informatikai és biztonsági tevékenységre. 2.5. Az IBSZ tárgyi hatálya kiterjed: a) Nemzeti Infokommunikációs Szolgáltató Zrt. (továbbiakban: NISZ) által üzemeltetett, a KLIK adatait feldolgozó, tároló vagy továbbító információhordozó eszközre, informatikai eszközökre és berendezésekre (ezek különösen: számítógépek, mobil eszközök, laptopok, IP telefonok, táblagépek, „okos” telefonok, nyomtatók, külső adattároló eszközök, aktív hálózati elemek, elektronikus adathordozók), b) az a) pontban meghatározott eszközökre vonatkozó minden dokumentációra (ezek különösen: fejlesztési, szervezési, programozási, üzemeltetési dokumentumok), függetlenül azok formátumától (papír vagy elektronikus), c) az 2.1. pontban meghatározott felhasználók által bármely okból használt információhordozó eszközökre és berendezésekre, amennyiben azok a KLIK informatikai környezetével vagy a NISZ által üzemeltetett – a KLIK részére biztosított – informatikai eszközzel kapcsolatot létesítenek, d) az a) pontban felsorolt informatikai eszközökön használt vagy tárolt szoftverekre és adatokra (ezek különösen: rendszerprogramok, alkalmazások, adatbázisok), ideértve az üzemelő rendszerek adatain kívül az oktatási, teszt és egyéb célra használt adatokat is, e) a KLIK által kezelt és a NISZ által a KLIK részére üzemeltetett eszközökön tárolt adatok teljes körére, felmerülésüktől, feldolgozási és tárolási helyüktől függetlenül. 2.6. Nem terjed ki az IBSZ hatálya a minősített adatokra, illetve a minősített adatokat kezelő rendszerekre, melyekről a KLIK minősített adatok védelméről szóló szabályzata rendelkezik.

3. A Szabályzat jogi háttere és kapcsolódó belső irányítási eszközök

3.1. Az IBSZ jogi alapját az alábbi jogszabályok, közjogi szervezetszabályozó eszközök és belső irányítási eszközök képezik: a) 2013. évi L. törvény (a továbbiakban: Ibtv.) az állami és önkormányzati szervek elektronikus információbiztonságáról, b) 233/2013. (VI. 30.) Korm. rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről, c) 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról, d) 26/2013. (X. 21.) KIM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról, e) 73/2013. (XII. 4.) NFM rendelet az elektronikus információbiztonságról szóló törvény hatálya alá tartozó egyes szervezetek hatósági nyilvántartásba vételének, a biztonsági események jelentésének és közzétételének rendjéről,

2701


f )

3.2.

3.3.

3.4.

3.5.

77/2013. (XII. 19.) NFM rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről, g) a KLIK Szervezeti és Működési Szabályzata, h) a KLIK Egyedi Iratkezelési Szabályzata, i) a KLIK Adatvédelmi és Adatbiztonsági Szabályzata. A KLIK egészére egységes, általánosan és kötelezően követendő informatikai biztonsági irányelveket a KLIK Informatikai Biztonsági Politikája tartalmazza (1. függelék). Az informatikai biztonság területén érvényesítendő védelmi célkitűzéseket a KLIK Informatikai Biztonsági Stratégiája tartalmazza (2. függelék). Az IBSZ-el kapcsolatos KLIK rendelkezések áttekintő táblázata az IBSZ 3. függelékét képezi, amelyet a KLIK információs rendszer biztonságáért felelős személye folyamatosan aktualizál. Az informatikai biztonságra vonatkozó KLIK rendelkezések elkészítése és előkészítése során az MSZ ISO/IEC 27000 szabványcsaládra kell figyelemmel lenni (lásd: https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:en).

4. Értelmező rendelkezések

4.1. Az IBSZ-ben alkalmazott, az IBSZ értelmezését, továbbá az informatikai biztonság tárgykörét érintő informatikai fogalmak az Ibtv. figyelembe vételével: Adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas. Adatállomány: egy nyilvántartásban kezelt adatok összessége. Adatátvitel: elektronikus adatok informatikai rendszerek közötti továbbítása, amely lehet párbeszédre épülő (online) vagy nem párbeszédre épülő (offline) elektronikus kapcsolat. Adatbázis: azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyet a tárolására, lekérdezésére és szerkesztésére alkalmas szoftvereszköz kezel. Adatfeldolgozás: az adatkezeléshez kapcsolódó technikai feladatok elvégzése. Adatgazda: az a vezető, aki egy meghatározott adatcsoport tekintetében az adatok fogadásában, tárolásában, feldolgozásában, vagy továbbításában érintett szervezeti egységet képviseli és az adott adatcsoport felhasználásának kérdéseiben (például felhasználói jogosultságok engedélyezésében vagy megvonásában) elsődleges döntési jogkörrel rendelkezik. Adathordozó: az elektronikus adatkezelő rendszerhez csatlakoztatható vagy abba beépített olyan eszköz, amelynek segítségével az elektronikus adatok tárolása, terjesztése megvalósítható. Pl. CD, DAT, DVD, floppy, merevlemez, USB-memória, cloud (felhő). Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adminisztratív biztonsági követelmények: az informatikai rendszer használata, üzemeltetése vagy fejlesztése során az adatok és a munkafolyamatok nyilvántartását, nyomon követhetőségét, továbbá az ezzel kapcsolatos feladatok ellátásának ellenőrzését lehetővé tevő segédletek és eljárásrendek meglétére, alkalmazására vonatkozó elvárások. Pl. naplók, nyilvántartások vezetése, ellenőrzése, ennek rendje. Archiválás: a ritkán használt, meghaladottá vált, de nem selejtezhető adatok, adatbázisrészek változatlan tartalmi formában történő hosszú távú megőrzése. Autentikáció (azonosítás): informatikai eljárás, amelynek során a felhasználó az informatikai rendszerben az autorizáció megszerzése érdekében igazolja személyazonosságát. Lehet tudás alapú (pl. jelszavas), birtoklás alapú (pl. tokenes) vagy tulajdonság alapú (pl. biometrikus), illetve ezek kombinációi. Autorizáció (feljogosítás): azonosításra épülő informatikai eljárás, amelynek eredményeként egyértelműen azonosított személy (eszköz) a feladatai ellátásához meghatározott hozzáférési, eljárási vagy egyéb jogosultságokat kap. Belső felhasználó: a KLIK központi szerve és a KLIK tankerületei valamennyi foglalkoztatottja. Belső hálózat (intranet): a KLIK saját, védett hálózata, mely belső telefonkönyvet szolgáltat, emellett, az itt található menükből strukturáltan, kereshető formában teszi elérhetővé a KLIK feladataival összefüggő adatbázisokat, KLIK belső utasításokat és nyomtatványokat.

2702


Bizalmasság: az elektronikus információs rendszer azon tulajdonsága, hogy a benne tárolt adatot, információt csak az arra jogosultak és csak a jogosultságuk szintje szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról. Biztonság: egy adott infrastruktúra, infrastruktúra elem, vagy elemek olyan – az érintett számára kielégítő mértékű – állapota, amelyben zárt, teljes körű, folytonos és a kockázatokkal arányos védelem valósul meg. Részei a fizikai, környezeti, személyi, szervezeti, valamint az információbiztonság, az infokommunikációs infrastruktúrákban kezelt elektronikus adatok és információk biztonsága Biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül. Biztonsági intézkedések: illetéktelen személyek információs infrastruktúrához, vagy információkhoz való szándékos, vagy véletlen fizikai hozzáférése elleni eszközök használatát szabályozó, valamint az illetékes személyek jogosulatlan tevékenységével szemben fellépő előírások, tervek és útmutatások összessége. Biztonsági kockázat: az informatikai rendszerrel szembeni fenyegetés, amely a rendszer rendeltetésszerű működését és/vagy a rendszerben kezelt adatok bizalmasságát, rendelkezésre állását, sértetlenségét veszélyezteti vagy veszélyeztetheti. Biztonsági követelmények: a kockázatelemzés eredményeként megállapított, elfogadhatatlan mértékű veszély mérséklésére, vagy megszüntetésére irányuló szükségletek együttese. Biztonsági megfelelőség: az informatikai rendszer mennyiben, milyen mértékben felel meg az informatikai biztonsági követelményeknek. Biztonsági osztály: az elektronikus információs rendszer védelmének elvárt erőssége. Biztonsági szint: a szervezet felkészültsége az Ibtv.-ben és a végrehajtására kiadott jogszabályokban meghatározott biztonsági feladatok kezelésére. Demilitarizált zóna (továbbiakban: DMZ): összekapcsolt hálózatok megbízhatatlan külső és megbízható belső részei között elhelyezkedő terület. A DMZ a benne elhelyezkedő hálózati eszközökhöz mind a megbízható belső, mind pedig a megbízhatatlan külső területről szabályozott mértékben engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen hozzáférési kísérlet eljusson a belső hálózatra. Elektronikus információs rendszer: az adatok, információk kezelésére használt eszközök, eljárások, valamint az ezeket kezelő személyek együttese, továbbá az azonos adatkezelő és adatfeldolgozó által, egymással kapcsolatban álló eszközökön, egymással összefüggő eljárásokkal azonos célból kezelt, kiszolgált, illetve felhasznált adatok, az ezek kezelésére használt eszközök, eljárások, valamint az ezeket kezelő, kiszolgáló és felhasználó személyek együttese. Értékelés: az infokommunikációs rendszerekkel kapcsolatos biztonsági intézkedések, eljárásrendek, Magyarországon elfogadott technológiai értékelési szabványok, követelményrendszerek és ajánlások, illetve jogszabályok szerinti megfelelőségi vizsgálata. Fejlesztői rendszer: olyan informatikai rendszer vagy alkalmazás, amelynek felhasználói informatikusok. Célja felhasználói programok vagy alkalmazások kifejlesztésének támogatása. Felhasználók: a 2.1. pontban meghatározott személyek. Fizikai biztonság: illetéktelen személyek információs infrastruktúrához, vagy információkhoz való szándékos, vagy véletlen fizikai hozzáférése elleni intézkedések összessége, valamint az illetéktelen személyek, vagy illetékes személyek jogosulatlan tevékenységével szemben az adott struktúrák ellenálló képességét növelő tervek és útmutatások összessége. Folytonos védelem: az időben változó körülmények és viszonyok között is megszakítás nélkül megvalósuló védelem. Funkcionális rendszer: a KLIK működését támogató informatikai rendszer vagy alkalmazás. Hardver: az informatikai rendszer vagy számítógép fizikai elemei Hálózat: számítógépek és hozzájuk kapcsolódó eszközök meghatározott szabályok szerinti összekapcsolása, amely adat- és információcserét tesz lehetővé. Helyreállítás: valamilyen behatás következtében megsérült, eredeti funkcióját ellátni képtelen, vagy ellátni csak részben képes infrastruktúra-elem eredeti állapotának és működőképességének biztosítása, eredeti helyen. Hitelesítés: a rendszerbe kerülő, ott lévő és onnan kikerülő adatok forrásának (az adat közlőjének), megbízható azonosítása. Hitelesség: annak biztosítása, hogy a rendszerbe kerülő adatok és információk eredetiek, a megadott forrásból az abban tárolttal azonos, változatlan tartalommal származnak.

2703


Hozzáférés: az infokommunikációs rendszer, vagy rendszerelem használója számára a rendszer szolgáltatásainak, vagy a szolgáltatások egy részének ellenőrzött és szabályozott biztosítása. Illetéktelen személy: olyan személy, aki az adathoz, információhoz, az informatikai infrastruktúrához való hozzáférésre nem jogosult. Infokommunikáció: az informatika és a telekommunikáció, mint konvergáló területek együttes neve. Informatikai alkalmazás: számítógépen, illetve egyéb informatikai eszközön futó program. Informatikai biztonság: az informatikai rendszer olyan állapota, amikor a rendszer rendeltetésszerűen működik és a rendszerben kezelt adatok bizalmassága, rendelkezésre állása, sértetlensége biztosított. Informatikai biztonsági incidens: az informatikai rendszerrel szemben olyan külső, vagy belső előre tervezett, szándékos károkozású, vagy nem szándékos cselekmény, melynek célja a KLIK kezelésében lévő adatok, dokumentumok és egyéb információk jogosulatlan megismerése, megszerzése, módosítása valamint további károkozással kapcsolatos felhasználása. Informatikai biztonsági követelmények: az informatikai rendszer használatával, üzemeltetésével és fejlesztésével kapcsolatos elvárások. Részterületei: a számítógépes biztonság, a kommunikációs biztonság, a kisugárzás biztonság és a rejtjelbiztonság. Informatikai biztonsági politika: a biztonsági célok, alapelvek és a szervezet vezetői elkötelezettségének bemutatása meghatározott biztonsági feladatok irányítására és támogatására. Informatikai biztonsági stratégia: az informatikai biztonságpolitikában kitűzött célok megvalósításának útja, módszere. Informatikai infrastruktúra: a KLIK-hez kapcsolódó feladatokat ellátó, illetve a KLIK működését biztosító hálózatba kapcsolt hardverelemek, az azokon futó szoftverek és a rajtuk megtalálható adatok együttese, amely jól körülhatárolható, önmagában is működőképes, önálló szolgáltatás nyújtására képes infrastruktúra elemekből áll. Informatikai rendszer: a számítógépek és a hozzájuk kapcsolódó eszközök (hálózat), a számítógépeken futó programok, valamint a számítógépeken kezelt, feldolgozott adatok együttese. Informatikai vészhelyzet: a KLIK információs infrastruktúrájának leállása, szolgáltatások megszakadása, elérhetetlensége, a KLIK nemzeti információs vagyonának jelentős mértékű sérülése, illetve az ezekkel fenyegető rendellenes működés. Információ: bizonyos tényekről, tárgyakról vagy jelenségekről hozzáférhető formában megadott megfigyelés, tapasztalat vagy ismeret, amely valakinek a tudását, ismeretkészletét, annak rendezettségét megváltoztatja, átalakítja, alapvetően befolyásolja, bizonytalanságát csökkenti vagy megszünteti. Információbiztonság: az adatok és információk szándékosan, vagy gondatlanul történő jogosulatlan gyűjtése, károsítása, közlése, manipulálása, módosítása, elvesztése, felhasználása, illetve természeti vagy technológiai katasztrófák elleni védelmének koncepciói, technikái, technikai, illetve adminisztratív intézkedései. Az információbiztonság része az informatikai biztonság is, melynek alapelvei a bizalmasság, sértetlenség, rendelkezésre állás. Információvédelem: szervezeti, személyi, fizikai, informatikai és adminisztratív előírások kidolgozása és intézkedések végrehajtása az információbiztonság érdekében. Jogosultság: az arra felhatalmazott által adott hozzáférési lehetőség valamely információs infrastruktúrához. KLIK kapcsolattartó: a KLIK informatikáért felelős szervezeti egysége, amely a NISZ által üzemeltetett informatikai rendszerrel kapcsolatban felmerülő igényeket összesíti és a NISZ felé továbbítja. Ebbe az igénycsoportba nem tartoznak a folyamatban levő szolgáltatással kapcsolatos igények (alkalmazási teendők, hibaelhárítás, hibabejelentés, javítás, informatikai eszközök költöztetése). Kockázat: a fenyegetettség mértéke, amely egy fenyegetés bekövetkezése gyakoriságának (bekövetkezési valószínűségének) és az ez által okozott kár nagyságának a függvénye. Kockázatelemzés: az elektronikus információs rendszer értékének, sérülékenységének (gyenge pontjainak), fenyegetéseinek, a várható károknak és ezek gyakoriságának felmérése útján a kockázatok feltárása és értékelése. Kockázattal arányos védelem: az elektronikus információs rendszer olyan védelme, amelynek során a védelem költségei arányosak a fenyegetések által okozható károk értékével. Következmény: valamely esemény, baleset, beavatkozás, vagy támadás hatása, amely tükrözi a belőle eredő veszteséget, valamint a hatás jellegét, szintjét és időtartamát. Külső felhasználó: a KLIK-kel szerződéses jogviszonyban álló magánszemélyek, jogi személyek és jogi személyiséggel nem rendelkező egyéb szervezetek és ezek alkalmazottai.

2704


Mentés (biztonsági mentés): biztonsági másolat készítése az informatikai rendszerben tárolt adatokról, adatállományokról, illetve az informatikai rendszerben használt alkalmazásokról. A másolat célja az elsődleges adattároló megsérülése esetén az adatok helyreállíthatóságának biztosítása. Mobil eszköz: asztali munkaállomásnak nem minősülő egyes informatikai és kommunikációs feladatok ellátására használható, operációs rendszerrel, kommunikációs szolgáltatásokkal rendelkező, hordozható elektronikus eszköz. Ide tartoznak: laptopok, notebookok, táblagépek, mobiltelefonok és okostelefonok. Munkaállomás: a felhasználó számára biztosított számítógép; lehet asztali vagy hordozható (laptop, notebook). Napló: az informatikai rendszerben bekövetkező eseményeket, felhasználói tevékenységeket és ezek időpontját rögzítő, a rendszer által automatikusan kezelt adatállomány, amely a változások észlelését és a számon kérhetőséget biztosítja. Naplózás: az informatikai rendszerben bekövetkező események, felhasználói tevékenységek és ezek időpontjának automatikus rögzítése a változások észlelése és a számon kérhetőség biztosítása érdekében. NISZ: a központosított informatikai és elektronikus hírközlési szolgáltatásokról szóló 309/2011. (XII. 23.) Korm. rendeletben meghatározott központi szolgáltató. NISZ kapcsolattartó: NISZ által működtetett Ügyfélszolgálat, illetve helyi hibaelhárítás során a közvetlen technikai támogató, illetve a fejlesztési és egyéb, rendszerszintű jelentősebb változáskezelések esetében az ezzel megbízott ügyfélmenedzser. Osztályozás: adatok, információk, információs infrastruktúra elemek, információs infrastruktúrák biztonsági szempontból való osztályainak kialakítása és ez alapján osztályokba sorolása. Program: számítógépes nyelven megírt utasítássorozat. Állhat egyetlen programmodulból vagy programmodulok halmazából. Rendelkezésre állás: annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek. Rendszerelem: információs infrastruktúra elem. Sebezhetőség: olyan fizikai tulajdonság, vagy működési jellemző, amely az adott információs infrastrukturális elemet egy adott veszéllyel szemben érzékennyé vagy kihasználhatóvá teszi. Személyi biztonság: az adott rendszerrel/erőforrással kapcsolatba kerülő személyekre vonatkozó, alapvetően a hozzáférést, annak lehetőségeit és módjait szabályozó biztonsági szabályok és intézkedések összessége a kapcsolat felvétel tervezésétől, annak kivitelezésén keresztül a kapcsolat befejezéséig, valamint a kapcsolat folyamán a személy birtokába került információk vonatkozásában. Szervezeti biztonság: egy adott szervezet strukturális felépítéséből adódó biztonsága és bevezetett biztonsági szabályainak és intézkedéseinek összessége a védendő rendszerhez/erőforráshoz való hozzáférés védelme érdekében. Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az az elvárt forrásból származik (hitelesség) és a származás ellenőrizhetőségét, bizonyosságát (letagadhatatlanságát) is, illetve az elektronikus információs rendszer elemeinek azon tulajdonságát, amely arra vonatkozik, hogy az elektronikus információs rendszer eleme rendeltetésének megfelelően használható. SLA: szolgáltatási szint megállapodás (Service Level Agreement), amely a megrendelő (KLIK) és a szolgáltató (NISZ) között létrejött egyedi szolgáltatási megállapodás része, és amely fő tartalmi elemei: a) a szolgáltatótól elvárt feladatok, a szolgáltatás terjedelme, b) a szolgáltató rendelkezésre állása, c) ügyfél- és rendszertámogatás, d) változáskezelés, e) felelősségi viszonyok, f ) adatvédelmi követelmények Szoftver: a számítógép, az informatikai rendszer logikai elemei; a működtető programok (rendszerprogramok, operációs rendszerek) és a felhasználói programok (alkalmazások) összefoglaló neve. Teljes körű védelem: azon bármilyen típusú aktív, vagy passzív védelmi intézkedések, melyek a rendszer összes elemére kiterjednek. Tesztrendszer: olyan informatikai rendszer (környezet), amelynek célja a fejlesztés vagy bevezetés alatt álló program kipróbálásának, oktatásának támogatása. Titkosítás: az informatikai rendszerben kezelt adatok bizalmasságának biztosítására szolgáló, nem a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének

2705


részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet hatálya alá tartozó olyan tevékenység vagy eljárás, amelynek során az adatot úgy alakítják át, hogy annak eredeti állapota a megismerésére illetéktelenek számára rejtve maradjon, de a megismerésre jogosultak számára az adat az eredeti formájába visszaállítható legyen. Veszély (fenyegetés): természeti vagy mesterséges esemény, személy, szervezet vagy tevékenység, amely potenciálisan káros a jelen szabályzatban védett tárgyakra. Védelem: a biztonság megteremtésére fenntartására, fejlesztésére tett intézkedések, amelyek lehetnek elhárító, megelőző, ellenálló képességet fokozó tevékenységek, vagy támadás, veszély, fenyegetés által bekövetkező kár kockázatának csökkentésére tett intézkedések. Visszaállítás: az eredeti infokommunikációs rendszer kiesése esetén a szolgáltatások további biztosítása, korábbi mentésből való visszaállítása. Zárt védelem: az összes számításba vehető fenyegetést figyelembe vevő védelem.

II. AZ INFORMÁCIÓBIZTONSÁG SZERVEZETI STRUKTÚRÁJA, FELELŐSSÉGI KÖRÖK 5. KLIK elnökének feladatai

5.1. Felügyeli az informatikai biztonsági feladatok ellátását, felelős azok betartásáért. 5.2. Felelős a KLIK informatikai tevékenységének jogszerűségéért, beleértve az informatikai biztonsági tevékenységet is. 5.3. Kijelöli az információs rendszer biztonságáért felelős személyt, akit az elvégzett feladatokról és ellenőrzésekről évente beszámoltat. 5.4. Kivizsgáltatja az ellenőrzések során feltárt hiányosságokat, gondoskodik a jogszabálysértő körülmények megszüntetéséről. 5.5. Együttműködik a Nemzeti Elektronikus Információbiztonsági Hatósággal (továbbiakban: NEIH) és tájékoztatást nyújt a NEIH részére az elektronikus információs rendszer biztonságáért felelős személyről.

6. Elektronikus információs rendszer biztonságáért felelős személy

6.1. Az informatikai biztonsági szabályok betartásáról a KLIK elnöke által kijelölt elektronikus információs rendszer biztonságáért felelős személy gondoskodik. 6.2. Az elektronikus információs rendszer biztonságáért felelős személy feladata ellátása során az elnöknek közvetlenül adhat tájékoztatást, jelentést. 6.3. Amennyiben a NEIH a KLIK-hez informatikai biztonsági felügyelőt jelöl ki, akkor biztonsági kérdésekben a koordinációt az elektronikus információs rendszer biztonságáért felelős személy az informatikai biztonsági felügyelővel együttműködve biztosítja. 6.4. Az elektronikus információs rendszer biztonságáért felelős személy felel a KLIK-nél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért. Ennek körében: – gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról; – elvégzi, illetve irányítja az előző pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését; – a KLIK és szervei vonatkozásában ellátja az informatikai biztonsági szakmai irányítási és felügyeleti feladatokat; – elkészíti a KLIK elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot, gondoskodik naprakészen tartásáról és oktatásáról; – elkészíti a KLIK elektronikus információs rendszereinek informatikai biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását, gondoskodik a besorolások aktualizálásáról; – közreműködik az informatikai biztonsággal összefüggő döntések előkészítésében az informatikai biztonsági szempontok meghatározásával; – véleményezi az elektronikus információs rendszerek biztonsága szempontjából a KLIK e tárgykört érintő szabályzatait, szerződéseit; – kapcsolatot tart a NEIH-el és a kormányzati eseménykezelő központtal; – a KLIK munkaállomásai informatikai biztonsági felügyeletével összefüggésben működtetési korlátozásokat írhat elő és ellenőrizheti azok betartását;

2706


– informatikai biztonsági ellenőrzéseket hajt végre, az ellenőrzés során, annak tárgyában a KLIK szerveinek (amennyiben arról jogszabály másként nem rendelkezik) valamennyi – nem minősített – nyilvántartásába, iratába betekinthet, azokról másolatot készíthet, azzal kapcsolatban felvilágosítást kérhet, valamennyi helyiségébe beléphet munkaidőben és munkaidőn kívül, – az informatikai biztonság megsértésének észlelése esetén javaslatot tesz az érintett szervezeti egység vezetőjének a szükséges intézkedésekre vonatkozóan, – ellátja az informatikai biztonsági képzéssel, továbbképzéssel és tájékoztatással kapcsolatos, az IBSZ-ben számára meghatározott feladatokat. 6.5. Az elektronikus információs rendszer biztonságáért felelős személy biztosítja az Ibtv.-ben meghatározott követelmények teljesülését a KLIK valamennyi elektronikus információs rendszerének a tervezésében, fejlesztésében, létrehozásában, üzemeltetésében, auditálásában, vizsgálatában, kockázatelemzésében és kockázatkezelésében, karbantartásában vagy javításában közreműködők, illetve – ha a KLIK az adatkezelési vagy az adatfeldolgozási tevékenységhez közreműködőt vesz igénybe –, a közreműködők Ibtv. hatálya alá tartozó elektronikus információs rendszereit érintő, biztonsággal összefüggő tevékenysége esetén. 6.6. Egyes szervezeti egységekre vagy rendszerekre kiterjedő, rendkívüli (eseti jellegű) informatikai biztonsági ellenőrzést az elektronikus információs rendszer biztonságáért felelős személy végez vagy rendel el a KLIK elnökének jóváhagyásával.

7. Felhasználók

7.1. Általános felhasználók a KLIK foglalkoztatottjai (ideértve a gyakornokokat is), illetve a külső felhasználók, akik az SLA-ban meghatározott alapjogosultságokat használják. 7.2. A kiemelt felhasználók rendelkeznek az általános felhasználókhoz kapcsolódó jogokkal, valamint azon túlmenően a feladatkörüktől és a szakmai területtől függő további egyedi jogosultságokkal is. A kiemelt felhasználókat – az elektronikus információs rendszer biztonságáért felelős személy tájékoztatása mellett – a munkáltató jogokat gyakorló vezető, a szerződéskötést kezdeményező szervezeti egység vezetője jelöli ki. 7.3. Külső felhasználók hozzáférése: a) A KLIK igénybe vehet állományába nem tartozó külső felhasználókat általános, vagy kiemelt felhasználói jogosultságokkal időszakos, illetve folyamatos feladatok végrehajtására. b) A KLIK külső felhasználóval való szerződéskötésével kapcsolatos eljárását a vonatkozó megállapodások szabályozzák. c) Egyéb esetben a külső felhasználóval szerződést kötő KLIK szervezeti egység vezetője felelős a külső felhasználó bevonása által okozott informatikai, valamint az informatikai biztonsági követelmények betartásának ellenőrzéséért, szükség esetén a felelősségre vonás (illetve jogkövetkezmények bevezetésének) kezdeményezéséért, továbbá az IBSZ szerinti követelmények kommunikálásáért és a vonatkozó szerződésbe történő beépítéséért, az alábbiak szerint: a. a KLIK rendszereivel kapcsolatos vagy azokat érintő munkavégzés céljából érkező külső felhasználó a KLIK területén a szerződés létrejötte után kizárólag a szerződéskötést kezdeményező szervezeti egység vezetőjének tudtával és az általa kijelölt személy felügyelete mellett tartózkodhat, b. a külső felhasználó a munkafolyamat egyeztetése során minden olyan munkafolyamatról köteles beszámolni a szerződéskötést kezdeményező szervezeti egység vezetőjének, amely bármilyen módon érinti az informatikai rendszer biztonságát, c. amennyiben az a munkavégzéshez feltétlenül szükséges, a KLIK informatikai rendszereihez való hozzáféréshez ideiglenes, meghatározott időre és személyre szóló hozzáférési jogosultságot kell biztosítani, amelyről a szerződést kötő szervezeti egység vezetője gondoskodik, a KLIK személyügyekért felelős főosztálya útján bejelenti igényét a NISZ kapcsolattartó felé, d. a KLIK külső felhasználóval csak olyan szerződést köthet, amely a külső felhasználó tekintetében biztosítja a vonatkozó titokvédelmi szabályok érvényesülését. A szerződéskötés során figyelembe kell venni az IBSZ előírásait, a jogszabályi előírásokat (különös tekintettel a szellemi alkotásokhoz fűződő, illetve szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jogokra).

2707


III. INFORMATIKAI BIZTONSÁGRA VONATKOZÓ FŐBB SZABÁLYOK 8. A felhasználókra vonatkozó szabályok

8.1. A KLIK-ben valamennyi felhasználó – jogosultságtól és állományba tartozástól függetlenül –: a) felelős az általa használt, az IBSZ hatálya alá eső eszközök rendeltetésszerű használatáért, b) a rá vonatkozó szabályok – elsősorban a KLIK-kel fennálló munkavégzésre, foglalkoztatásra irányuló jogviszonyt szabályozó jogszabályi rendelkezésekben foglaltak – szerint felelős az általa elkövetett informatikai vonatkozású szabálytalanságokért, valamint a keletkező károkért és hátrányért, különös tekintettel az informatikai biztonsági incidens fogalomkörébe tartozó cselekményekért, c) köteles az IBSZ-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában az informatikai rendszer használatát irányító személyekkel együttműködni, d) köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni, e) köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni, f ) köteles a belépési jelszavát (jelszavait) az előírt időben megváltoztatni, biztonságosan kezelni, g) felügyelet nélkül a munkahelyen (munkaállomáson) személyes adatot vagy minősített adatot tartalmazó dokumentumot, adathordozót nem hagyhat, h) a számítógépét (a munkahelyi munkaállomást) a helyiség elhagyása esetén zárolni köteles oly módon, hogy ahhoz csak jelszó vagy hardveres azonosító eszköz használatával lehessen hozzáférni, i) információ biztonságot érintő esemény gyanúja esetén az észlelt rendellenességekről köteles tájékoztatni a közvetlen felettesét és elektronikus információs rendszer biztonságáért felelős személyt, j) köteles a folyó munka során nem használt hivatalos adatokat, dokumentumokat, nem nyilvános anyagokat, adathordozókat elzárni, k) köteles a munkahelyről történő eltávozáskor az addig használt – kivéve, ha ez a rendszer(ek) más által történő használatát, vagy a karbantartást akadályozza – eszközt szabályszerűen leállítani, l) az elektronikus levelezés és az internet használat során tartózkodik a biztonság szempontjából kockázatos tevékenységektől. 8.2. A KLIK informatikai rendszerét használó valamennyi felhasználónak tilos: a) az általa használt eszközök biztonsági beállításait megváltoztatni, b) a saját használatra kapott számítógép rendszerszintű beállításait módosítani (ide nem értve az irodai programok felhasználói beállításait), c) a munkaállomására telepített aktív vírusvédelmet kikapcsolni, d) belépési jelszavát (jelszavait), hardveres azonosító eszközét más személy rendelkezésére bocsátani, hozzáférhetővé tenni, e) a számítógép-hálózatot fizikailag megbontani, számítástechnikai eszközöket lecsatlakoztatni, illetve bármilyen számítástechnikai eszközt rácsatlakoztatni a hálózatra az informatikai rendszert üzemeltetők jóváhagyása nélkül, f ) a számítástechnikai eszközökből összeállított konfigurációkat megbontani, átalakítani, g) bármilyen szoftvert installálni, internetről letölteni, külső adathordozóról merevlemezre másolni az elektronikus információs rendszer biztonságáért felelős személy engedélye, illetve az üzemeltető közreműködése nélkül, a munkaállomásokon nem a KLIK-ben rendszeresített, vagy engedélyezett szoftvereket (szórakoztató szoftverek, játékok, egyéb segédprogramok) installálni és futtatni, h) online játékokat használni, i) bármilyen eszközt számítástechnikai eszközökbe szerelni és használni, j) az általa használt adathordozó (pl. CD, DVD, pendrive stb.) eszköz számítógépben hagyni a munkaállomásáról való távozás esetén, k) ellenőrizetlen forrásból származó adatokat tartalmazó adathordozót az eszközökbe helyezni, l) más szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jogát vagy jogos érdekét sértő dokumentumokat, tartalmakat (zenéket, filmeket, stb.) az eszközökön tárolni, oda le-, illetve onnan a hálózatra feltölteni, m) láncleveleket továbbítani, levélszemetet, továbbá azok mellékleteit, vagy linkjeit megnyitni,

2708


8.3.

8.4.

8.5.

8.6.

rendszer biztonságáért felelős személy külön engedélye nélkül – feliratkozni, kivéve a munkavégzéshez szükséges: n.i. a KLIK által megrendelt, működtetett, vagy előfizetett szolgáltatásokat, n.ii. belső információs rendszereket, n.iii. közigazgatási, illetve nemzetközi, vagy uniós szervek/szervezetek által biztosított szolgáltatásokat, n.iv. közigazgatási szervek által felügyelt szervek, vagy szervezetek által biztosított szolgáltatások levelező listáit. A munkaállomás illetéktelen hozzáférés elleni védettségéért, a munkaállomáson végzett minden tranzakcióért a bejelentkezéstől a kijelentkezésig a bejelentkezett felhasználó a felelős. Ez a felelősség akkor is fennáll, ha a tranzakciókat harmadik személy hajtotta végre, amennyiben erre az IBSZ előírásainak felhasználó általi be nem tartása miatt kerülhetett sor. Amennyiben a munkaállomást több személy is használhatja, a felhasználó a munkaállomást csak akkor hagyhatja el, ha minden futó programból, azonosított kapcsolatból és az operációs rendszerből is kijelentkezett. A felhasználó dokumentum nyomtatásakor köteles biztosítani, hogy az általa kinyomtatott irathoz illetéktelen személy ne férjen hozzá. Közös használatú hálózati nyomtató esetében a kinyomtatott iratot köteles a nyomtatóból eltávolítani, sikertelen nyomtatás esetén köteles meggyőződni – amennyiben szükséges, informatikus munkatárs segítségével – arról, hogy a nyomtató memóriájában nem maradt nyomtatandó dokumentum. A felhasználó a rendelkezésére bocsátott, hordozható informatikai, irodatechnikai, multimédiás eszközt vagy adathordozót köteles megőrizni, az illetéktelen hozzáféréstől személyes felügyelettel vagy az eszköz, adathordozó elzárásával megvédeni.

9. Vezetőkre vonatkozó szabályok

9.1. A KLIK szervezeti egységeinek vezetője (a továbbiakban: vezető) jogosult és köteles meghatározni az irányítása alá tartozó foglalkoztatottak munkavégzéséhez szükséges: a) informatikai, irodatechnikai, multimédiás és kommunikációs eszközök körét, b) a használandó informatikai rendszerek és az ahhoz szükséges jogosultságok körét. 9.2. A KLIK szervezeti egységének vezetője köteles együttműködni az elektronikus információs rendszer biztonságáért felelős személlyel annak informatikai biztonsági feladatai ellátása során. 9.3. A használatra kiadott informatikai, irodatechnikai, multimédiás vagy adathordozó eszközöknek a feladat végrehajtásra vonatkozó indokoltságát, meglétét az engedélyező vezetőnek évente felül kell vizsgálnia és az indokoltság megszűnése esetén gondoskodnia kell az eszköz visszavétele felől. 9.4. A vezető jogosult és köteles az informatikai eszközök munkavégzéshez szükséges használatának biztosítása érdekében a szükséges informatikai eszköz és jogosultság igénylési eljárásokat kezdeményezni a KLIK informatikáért felelős szervezeti egysége felé. 9.5. A vezető köteles gondoskodni az irányítása alá tartozó foglalkoztatottak informatikai biztonsági ismereteinek naprakészen tartásáról, beleértve az IBSZ és az IBSZ-el kapcsolatos KLIK rendelkezések szükséges mértékű ismeretét is. 9.6. A vezető az informatikai biztonsági előírások megsértésének észlelése esetén köteles a) azonnal megtenni a szükséges intézkedéseket a biztonság helyreállítása érdekében, b) kivizsgálni a biztonsági esemény körülményeit, különös tekintettel a személyes felelősség megállapítására, c) a személyes felelősség megállapítását követően felelősségre vonást kezdeményezni. 9.7. A vezető jogosult az irányítása alá tartozó szerv vagy szervezeti egység tevékenységével kapcsolatos informatikai biztonsági feltételrendszerre vagy azok szabályozására vonatkozó javaslatot tenni a KLIK elektronikus információs rendszer biztonságáért felelős személye felé.

10. Külső felhasználókra vonatkozó szabályok

10.1. A KLIK informatikai rendszereihez és eszközeihez külső felhasználó csak érvényes szerződés alapján, dokumentáltan férhet hozzá. 10.2. A KLIK informatikai rendszereihez és eszközeihez hozzáférő külső felhasználó egyedileg köteles nyilatkozatot tenni arról, hogy az IBSZ-ben foglaltakat megismerte és az abban foglaltakat magára nézve kötelezőnek ismeri el. 10.3. A KLIK informatikai rendszereihez és eszközeihez hozzáférést biztosító szerződés csak olyan külső felhasználóval köthető, aki/amely az IBSZ-ben foglaltakat magára nézve kötelezőnek ismeri el.

2709


10.4. Informatikai fejlesztések során a projekt teljes életciklusára nézve az egyes részeket oly módon kell dokumentálni (pl. fejlesztői dokumentáció, rendszerterv (logikai, fizikai, biztonsági), tesztelési dokumentáció, üzemeltetési dokumentáció), hogy azokból a biztonsági követelmények megvalósulása ellenőrizhető legyen. 10.5. Amennyiben a szerződés egyedi szoftverfejlesztési tevékenységre irányul, úgy csak olyan szerződés köthető, amely alapján a fejlesztett szoftver kellő mélységben kommentezett forráskódját a KLIK részére átadják, és a szerzői jogi védelem alá eső szoftver esetén a vagyoni jogokat a jogszabályok által engedélyezett legszélesebb körben átruházzák. Ettől csak különösen indokolt esetben lehet eltérni azzal, hogy a szerzői jogi védelem alá eső szoftver kizárólagos felhasználási joga a jogszabályok által engedélyezett legszélesebb körben a KLIK részére ebben az esetben is átruházásra kerül. 10.6. Az informatikai rendszerek üzemeltetése során külső felhasználó – a NISZ kivételével – kizárólag a KLIK kijelölt munkatársának jelenlétében férhet hozzá a KLIK informatikai rendszereihez. 10.7. A NISZ által történő központi üzemeltetés a KLIK munkatárs felügyelete nélkül történik. A KLIK intézményében történő helyszíni munkavégzés felügyelet mellett történhet. 10.8. Az informatikai rendszerek fejlesztése során külső felhasználó a teszt környezetben lévő, informatikai rendszerhez az elektronikus információs rendszer biztonságáért felelős személy engedélyével távoli eléréssel hozzáférhet. Az engedélyt elektronikus írásbeli formában a fejlesztést végző KLIK szervezeti egység vezetője igényli a fejlesztés kezdetekor.

IV. INFORMÁCIÓBIZTONSÁGI KÖVETELMÉNYEK TELJESÜLÉSE 11. Szervezeti biztonsági követelmények

11.1. Az egyes informatikai rendszerekkel és adathordozókkal kapcsolatos fejlesztési, üzemeltetési és biztonsági tevékenységet úgy kell megtervezni és végrehajtani, a fejlesztési, működtetési és védelmi terveket, dokumentumokat, előírásokat úgy kell elkészíteni, hogy azok a biztonsági osztályozási előírások figyelembevételével garantálják az információbiztonság szükséges és elégséges szintjét. Ezen elvek alapján kockázatarányos, differenciált, többszintű informatikai védelmi rendszert kell kialakítani és működtetni. 11.2. A 2.3. pontban említettek felügyelete és üzemeltetése vonatkozásában érvényesíteni kell az összeférhetetlenség elvét oly módon, hogy a feladategyesítésből eredő hibák és rosszindulatú tevékenységek kockázatát kizárják, vagy elfogadható szintre csökkentsék. 11.3. Minimális összeférhetetlenségi szabályok különösen: a) Az KLIK informatikáért felelős szervezeti egysége az informatikával összefüggő feladatain kívül nem láthat el más szakmai (például köznevelés-igazgatási, szakképzés-szervezési stb.) feladatokat. b) Szakmai és funkcionális informatikai alkalmazás szakmai felügyeletét kizárólag a KLIK központi szervének főosztálya láthatja el. c) A fejlesztési, a minőségbiztosítási és az üzemeltetési feladatokat ellátó egységeket a visszaélések megelőzése érdekében szervezeti szinten el kell különíteni egymástól. d) Az informatikai szerepkörök/feladatok személyre (véglegesen vagy átmeneti időszakra történő) telepítését belső felhasználók esetében úgy kell végrehajtani, hogy az üzemeltetési, fejlesztési, változáskezelési, minőségbiztosítási, információbiztonság felügyeleti feladatok ellátásának egymástól való függetlensége biztosított legyen. e) Az informatikai szerepkörök/feladatok személyre telepítésekor kötelező gondoskodni a helyettesítésről oly módon, hogy e feladatokat is KLIK foglalkoztatott tudja ellátni. f ) A feladatok és felelősségek személyekhez rendelésekor biztosítani kell a felelősségi viszonyok egyértelmű megállapíthatóságát.

12. Személyi biztonsági követelmények, oktatás, jogosultságkezelés

12.1. A foglalkoztatottakat a KLIK-ben végzendő tevékenység megkezdése előtt informatikai biztonsági képzésben kell részesíteni. 12.2. Az informatikai biztonságra vonatkozó jogszabályi környezet megváltozásakor, továbbá ha a KLIK informatikai biztonságát, illetve az IBSZ tartalmát érintő jelentős változás következik be, az IBSZ hatályba lépését, illetve a

2710


jelentős változását követő 60 napon belül a felhasználókat informatikai biztonsági továbbképzésben, a külső felhasználókat informatikai biztonsági tájékoztatásban kell részesíteni (a továbbiakban együtt: oktatás). 12.3. Az oktatás tematikájának összeállításáért a KLIK információs rendszer biztonságáért felelős személye, az oktatás megszervezéséért, végrehajtásáért a szervezeti egység vezetője a felelős. A KLIK központi szervében az oktató a KLIK információs rendszer biztonságáért felelős személye, a KLIK tankerületeiben a szervezeti egység vezetője által kijelölt személy látja el az oktatási feladatot. 12.4. Az oktatáson történt részvételt a megjelent személyek az IBSZ oktatásán való részvételről szóló nyilatkozat (5. függelék) aláírásával igazolják. Az IBSZ oktatásán való részvételről szóló nyilatkozatban az oktatáson történt részvétel igazolása mellett kötelesek nyilatkozni arról, hogy az informatikai biztonsági előírásokat megismerték és azok betartását magukra nézve kötelezőnek fogadják el. Az IBSZ oktatásán való részvételről szóló nyilatkozatot foglalkoztatottak esetében a személyügyi anyaggal együtt, külső felhasználó esetében a polgári jogi szerződéssel együtt kell őrizni. 12.5. Az oktatást végző személy az oktatáson részt vett személyekről olvashatóan kitöltött Jelenléti ívet (6. függelék) készít, melyet a KLIK központi szerve Elnöki Titkárságára megküld. 12.6. A KLIK informatikai rendszereihez, a rendszerekben tárolt adatokhoz kizárólag az IBSZ oktatásában részesült személyek férhetnek hozzá. Az oktatás hiányában hozzáférési jogosultság nem kérhető. 12.7. A külső felhasználók IBSZ-szel való megismertetése a szerződéskötést kezdeményező szervezeti egység vezetőjének feladata és felelőssége. 12.8. Amennyiben egy felhasználó minősített adatok elérésére, olvasására vagy kezelésére kap jogosultságot, akkor e tekintetben a KLIK minősített adatok védelméről szóló szabályzata szerint kell eljárni. 12.9. Új felhasználó hozzáférési rendszerbe való illesztését a NISZ végzi. Az új felhasználói jogosultság létrehozása a Kinevezési dokumentumok aláírását, valamint a Szolgáltatási és Ellátási Alapadat Tár (továbbiakban: SZEAT)-ba történő felvételt követően, a KLIK informatikáért felelős szervezeti egysége közreműködésével történik. 12.10. A jogosultság létrehozásának irányelveit az SLA és a KLIK Logikai Hozzáférési Szabályzata rögzíti. 12.11. A jogosultságok kiosztása előtt, amennyiben az adott munkakör, tevékenység megköveteli a tipikus jogoktól – ide nem értve a munkavégzéshez szükséges adatbázisok elérését – történő eltérést a szervezeti egység vezetőjének az elektronikus információs rendszer biztonságáért felelős személy egyetértését kell kérnie. 12.12. A hozzáférési jogosultság – a KLIK központi szerve személyzeti ügyekért felelős főosztálya adatszolgáltatása alapján – zárolásra, megszüntetésre kerül a felhasználó hozzáférést megalapozó jogviszonyának azonnali hatályú megszüntetésekor. A jogviszony más jogcím alapján történő megszüntetése, illetve megszűnése esetén a hozzáférési jogosultság a jogviszony megszűnése – vagy amennyiben előbb bekövetkezik a munkavégzési kötelezettség alóli mentesítés – napjától kerül zárolásra. 12.13. A hozzáférési jogosultság a foglalkoztatotti jogviszony fennállása alatt zárolásra, megszüntetésre vagy módosításra kerül a KLIK szervezeti egysége vezetőjének – a KLIK informatikáért felelős szervezeti egysége felé tett – erre irányuló kérése esetén is. 12.14. A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a munkáltatói jogkör gyakorlója, illetve a szerződéskötést kezdeményező szervezeti egység (KLIK központi szervének szervezeti egysége, KLIK tankerülete) vezetője a felhasználó tájékoztatása mellett köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség). 12.15. Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is a KLIK-hez köti pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony) a felhasználói jogosultságokat meg kell szüntetni és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend alapján. 12.16. Amennyiben a foglalkoztatási jogviszony, – amely alapján valamely személy hozzáféréssel rendelkezett a KLIK nem nyilvános besorolású adataihoz – bármely okból megszűnik, akkor: a) a jogosultság kiadásáért felelős vezetőnek legkésőbb a felhasználó foglalkoztatotti jogviszonyának megszűnésével egyidejűleg, illetve a munkavégzés alóli mentesülés napján kezdeményeznie kell a jogosultságok megvonását a KLIK személyügyekért felelős főosztálya felé. b) a KLIK személyügyekért felelős főosztálya a jogviszony megszűnéséről értesíti a NISZ-t annak érdekében, hogy az érintett személy által használt, a NISZ vagyonkezelésében lévő informatikai eszközök a NISZ raktárába vagy más felhasználó használatába kerüljenek, továbbá az adatokhoz és rendszerekhez való hozzáférési jogosultságának törlése iránt a NISZ haladéktalanul intézkedhessen. 12.17. Kérés esetén mind a KLIK informatikáért felelős szervezeti egysége, mind a NISZ a saját maga által kezelt rendszerekkel kapcsolatban elvégzi az ezeken az adathordozókon tárolt nem nyilvános adatok megfelelő kezelését.

2711


13. Fizikai biztonsági követelmények

13.1. Az informatikai eszközöket úgy kell telepíteni és tárolni, hogy azokhoz a foglalkoztatottakon, külső felhasználókon kívüli más személy hozzáférése kizárt legyen. 13.2. A KLIK tulajdonát képező vagy az általa használt informatikai, irodatechnikai, multimédiás eszközt vagy adathordozót a KLIK objektumaiból kivinni csak hivatali feladat ellátására, a közvetlen vezető elektronikus írásbeli engedélyével (e-mail) lehet.

14. Informatikai biztonsági követelmények

14.1. Az informatikai rendszerekben csak jogtiszta szoftver telepíthető. 14.2. A hivatali feladatok ellátásához szükséges felhasználáson kívül informatikai, irodatechnikai, multimédiás eszközt vagy adathordozót az informatikai rendszerekhez csatlakoztatni tilos. 14.3. Nem a KLIK tulajdonát képező informatikai, irodatechnikai, multimédiás eszközt az informatikai rendszerekhez vagy azok elemeihez csatlakoztatni tilos. Kivételt képeznek a KLIK alap- vagy funkcionális tevékenységével összefüggésben a KLIK-kel együttműködő partnereitől hivatalos tevékenységük során átvett eszközök. 14.4. A KLIK területén a KLIK által kezelt adatok védelmére vonatkozó rendelkezéseket vagy személyiségi jogokat sértő, továbbá a KLIK működésére vonatkozó magáncélú adatrögzítés – beleértve a hang- és képfelvétel készítését is – tilos. 14.5. Az informatikai rendszerekben végrehajtott műveleteket a felhasználó azonosítását lehetővé tevő módon naplózni kell.

15. Adminisztratív biztonsági követelmények

15.1. Az informatikai rendszerek teljes életciklusát dokumentálni kell, így a tervezés, a fejlesztés és továbbfejlesztés, a tesztelés és ellenőrzés, az üzemeltetés és karbantartás, valamint a megszüntetés fázisait is. 15.2. A dokumentáció teljességéért és naprakészségéért az informatikai rendszert fejlesztő, a rendszer üzemeltetésének megkezdésétől a szakmai felügyeletet ellátó szervezeti egység vezetője felel. 15.3. Az informatikai rendszer dokumentációja akkor teljes, ha tartalmazza mind a funkcionális, mind a biztonsági megfelelőségre vonatkozó valamennyi lényeges adatot. 15.4. Az elektronikus adatokat tároló eszközöket a rajtuk tárolt vagy tárolandó adatokat a jogszabályi előírásoknak megfelelően kell kezelni. 15.5. Az elektronikus adatokat tároló eszközök azonosítását, mozgásuk nyomon követhetőségét az átadás-átvétel, továbbítás, selejtezés, megsemmisítés dokumentálásával biztosítani kell. 15.6. Az elektronikus adathordozók kezelése vonatkozásában az IBSZ-ben nem szabályozott kérdésekben az Iratkezelési Szabályzat előírásai értelemszerűen irányadóak. 15.7. A papír alapú dokumentumok előállítására alkalmas eszközök (nyomtató, plotter, fax) használatára az informatikai eszközökre vonatkozó szabályozások érvényesek. A felhasználók számára tiltott tevékenységek a KLIK adatait nyomtatott formában megjelenítő eszközök esetén is irányadóak.

V. AZ INFORMÁCIÓBIZTONSÁG MŰKÖDTETÉSE 16. Megfelelés az IBSZ-nek, fenyegetettségek

16.1. A KLIK információbiztonsági fenyegetettségének elemzését és a kockázatok meghatározását évente el kell végezni. 16.2. Az IBSZ-nek megfelelő működést igény szerint, de legalább évente teljes körűen ellenőrizni kell. 16.3. A fenyegetettségek elemzését és a kockázatok meghatározását az elektronikus információs rendszer biztonságáért felelős személy hajtja végre, szükség szerint független külső szakértő bevonásával.

17. Az IBSZ felülvizsgálata, aktualizálása

17.1. Az IBSZ-t szükség szerint – de legalább évente – felül kell vizsgálni és aktualizálni kell, így különösen:

2712


– súlyos informatikai biztonsági eseményeket (incidensek) követően, az esemény tanulságaira figyelemmel, – a szabályozási környezet változása esetén, amennyiben az az IBSZ-ben foglaltakat érinti. 17.2. Amennyiben az IBSZ rendkívüli módosítása szükséges – a szükséges módosítás jellegétől vagy terjedelmétől függetlenül – az információs rendszer biztonságáért felelős személy közvetlenül jelzi ezt a KLIK elnökének.

18. Az informatikai biztonsági események felismerése, jelentése

18.1. Minden felhasználó kötelessége – amennyiben kellő gondossággal eljárva azt felismerhette – a lehetséges legrövidebb időn belül közvetlen vezetőjén keresztül bejelenteni az elektronikus információs rendszer biztonságáért felelős személy részére minden olyan veszélyforrást, amely az elektronikus információbiztonságra nézve érdemi fenyegetést jelent vagy jelenthet. 18.2. A felhasználó részéről különösen a következő veszélyforrások jelzése kötelező: a) az IBSZ-ben, a vonatkozó jogszabályokban előírt elektronikus információbiztonsági rendszabályok lényeges megszegése, illetve ennek gyanúja, b) a felismert vagy felismerni vélt, az elektronikus információbiztonságot lényegesen veszélyeztető esemény, ezen belül különösen: b.i. nem nyilvános adat illetéktelen személy általi megismerése, b.ii. informatikai rendszerekben tárolt adatok illetéktelen személyek általi megváltoztatása, törlése vagy hozzáférhetetlenné tétele, b.iii. informatikai rendszer működésének, használatának jogosulatlan akadályozása, b.iv. nem engedélyezett vagy licenc-szel nem rendelkező szoftver telepítése, b.v. felhasználói jelszavak egymás közötti megosztása, hozzáférhetővé tétele, b.vi. vírusfertőzés, kémprogramok, billentyűzetleütést figyelő alkalmazások megjelenése, b.vii. mobil eszköz elvesztése, ellopása esetén, b.viii. fentiek bármelyikére tett kísérlet (a továbbiakban együtt: biztonsági események). 18.3. Nem számít informatikai biztonsági eseménynek az informatikai hiba, meghibásodás vagy rendszeresemény, amely nem érinti az informatikai szolgáltatások minőségét és azt az üzemeltetők képesek megoldani. 18.4. A bejelentés során minimálisan megadandó információk: a) az informatikai biztonsági esemény pontos leírása, b) érintett informatikai szolgáltatás pontos megnevezése, c) érintett informatikai eszköz gyári száma, leltári száma, típusa, d) telephely neve, pontos címe (emelet, ajtó), e) észlelő neve, elérhetősége (opcionális), f ) KLIK szervezeti egység vezetője által kijelölt helyszíni kapcsolattartó neve, elérhetősége.

19. Biztonsági események kivizsgálása

19.1. A biztonsági eseményeket soron kívül ki kell vizsgálni. A vizsgálatot az elektronikus információs rendszer biztonságáért felelős személy folytatja le, szükség szerinti mértékben bevonva a NISZ által a vizsgálat támogatására kijelölt képviselőit. 19.2. A vizsgálat eredményét az elektronikus információs rendszer biztonságáért felelős személy írásban dokumentálja, amelyből 1-1 példányt kap az elektronikus információs rendszer biztonságáért felelős személy, illetve a biztonsági eseményben közvetlenül érintett(ek).

20. Biztonsági események nyilvántartása

20.1. A biztonsági események kapcsán tett bejelentések, a lefolytatott vizsgálatok, valamint a végrehajtott intézkedések adatait külön nyilvántartás, a Biztonsági Nyilvántartás tartalmazza, amelyet az elektronikus információs rendszer biztonságáért felelős személy és a biztonsági vezető közösen vezet. 20.2. A Biztonsági Nyilvántartás adatait fel kell használni: a) a bekövetkezett biztonsági esemény következményeinek enyhítésére, b) a jövőben várható hasonló biztonsági események megelőzésére, bekövetkezési gyakoriságának csökkentésére,

2713


21. A biztonsági szabályok megszegésének következményei

21.1. Az informatikai biztonsággal kapcsolatos szabályok megszegése esetén a szabályszegőkkel szemben érvényesítendő jogkövetkezmények tekintetében elsősorban annak súlyosságára tekintettel vagy etikai, vagy munkáltatói fegyelmi jogkörben kell eljárni. 21.2. Az információbiztonsággal kapcsolatos szabályok súlyos megszegése vagy annak gyanúja esetén az elektronikus információs rendszer biztonságáért felelős személy javaslatára – érintett foglalkoztatott közvetlen vezetője, illetve az utasítási joggal rendelkező vezető véleményének kikérésével – az elnök jogosult a megfelelő jogkövetkezmények érvényesítése érdekében eljárást indítani, illetőleg eljárás megindítását kezdeményezni.

22. Adatok mérése, kiértékelése, mérési pontok meghatározása

22.1. Az informatikai biztonság szempontjából kritikus pontokon – lehetőség szerint – mérési és ellenőrzési rendszert kell kiépíteni, továbbá a mérési eredmények tárolását ki kell alakítani és az évente elvégzendő felülvizsgálat elősegítése érdekében a vizsgálatban részt vevő személyek részére hozzáférhetővé kell tenni. 22.2. Az ellenőrzési rendszer technikai feltételeinek biztosításáig az IBSZ személyi hatálya alá tartozók tekintetében az elektronikus információs rendszer biztonságáért felelős személy – szükség esetén a NISZ bevonásával – az alábbi táblázat szerinti kontrollpontokon végez eseti ellenőrzést.

IT-tevékenység (inf. biztonsági esemény, inf. bizt. ellenőrzés előkészítéséhez eseti jelleggel)

rendszerbe történő belépési jogosultságok ellenőrzése internet-hozzáférések elemzése észlelt behatolási kísérletek száma észlelt kártékony kódok száma

vírusvédelem

mentési rendszer

hatástalanított kártékony kódok száma nem internetről beérkezett vírustámadások, spyware-ek száma illetve a megtett intézkedések (tiltás, karantén, törlés), mentési logok, a tesztvisszatöltések eredményei rendszerek kieséseinek száma, időtartama,

rendelkezésre állás (hálózat, IT)

ezek oka, javítási költsége (eseti jelleggel)

eszközinformációk:

kliens elhelyezési információk (Eszközök darabszáma, valamint típusa, az egyes Felhasználókhoz rendelten)

kapacitásinformációk

tárolóegységek kapacitásainak kihasználtságára vonatkozó információk

2714


IT-biztonsággal kapcsolatos

az IT-rendszer szintjére vonatkozó megállapítások, javaslatok

fegyelemsértések

IT-biztonságot megsértő személyekre vonatkozó fegyelmi statisztikák

az IT-biztonsági rendszer összesített értékelése

az IT-rendszer szintjére vonatkozó megállapítások, javaslatok

javaslatok

javaslatok kidolgozása a hiányosságok megszüntetésére, a biztonsági szint emelésére 23. Azonosítás és feljogosítás az informatikai rendszer használatára

23.1. A felhasználó az informatikai rendszert csak egyértelmű azonosítást követően, a számára meghatározott és biztosított jogosultságok keretei között használhatja. 23.2. Az informatikai rendszer használata során a felhasználók egyértelmű azonosítását folyamatosan biztosítani kell. 23.3. Minden felhasználót kizárólagos személyi használatú egyedi azonosítóval kell ellátni, amelyhez minimálisan egyedi jelszót kell rendelni. További azonosítási lehetőségek is elfogadottak, melyek az elektronikus információs rendszer biztonságáért felelős személy engedélyével vezethetők be. 23.4. A felhasználók azonosítójának a felhasználói nevet tartalmaznia kell. Kivételt képeznek az operációs rendszerek különleges, előre rögzített azonosítói és a különleges informatikai feladatkört ellátók által használt speciális és teszt felhasználói nevek. A felhasználói névben törekedni kell a családi és utónév használatára, névazonosság esetén harmadik név vagy emelkedő számozás szolgáljon a felhasználói nevek megkülönböztetésére. 23.5. A felhasználói jelszónak legalább az alábbi követelményeket teljesítenie kell: a) legalább 6 karakter hosszú, b) kis- és nagybetűket és számokat vegyesen tartalmaz, c) nem tartalmazhat könnyen kitalálható, ismétlődő karaktersorozatot, d) nem utalhat a felhasználó személyére, e) érvényességi ideje legfeljebb 90 nap, f ) az utolsó négy jelszó használata tiltott g) maximum 5 téves próbálkozás után a fiók/munkaállomás zárolási ideje 15 perc. 23.6. A jelszó megváltoztatása kötelező: a) a felhasználói azonosító informatikai rendszerbe történt felvételét követő első bejelentkezéskor, b) az informatikai üzemeltető szervezeti egység munkatársa általi újbóli jelszóbeállítást, felülírást követően, c) ha a jelszó illetéktelen személy tudomására juthatott vagy bármilyen módon nyilvánosságra kerülhetett, d) az érvényességi idő lejártakor. 23.7. A felhasználó köteles a jelszót bizalmasan őrizni, illetéktelenek általi megismerését kizárni. 23.8. Tilos a jelszót más által megismerhető módon feljegyezni, azt mással bármilyen formában közölni. 23.9. A jogosultságok ellenőrzését a KLIK informatikáért felelős szervezeti egységének évente legalább egyszeri alkalommal el kell végeznie. Ennek során a KLIK szervezeti egységének vezetője a KLIK informatikáért felelős szervezeti egysége részére – a KLIK Logikai Hozzáférési Szabályzatában foglalt rend szerint – megküldi a felhasználók munkaköri, illetve szerződéses kötelezettségeinek ellátásához igényelt és szükségesnek tartott informatikai jogosultságok listáját. 23.10. A KLIK informatikáért felelős szervezeti egysége ellenőrzi, és vezetője felel azért, hogy a felhasználók kizárólag a vezetőjük által igényelt és megjelölt informatikai jogosultsággal rendelkezzenek. Szükség esetén gondoskodnia kell a jogosultság törléséről. 23.11. A felhasználót, annak vezetőjét a felhasználó élesített jogosultságairól, illetve azok részleges vagy teljes megszűnéséről e-mailben tájékoztatni kell. A tájékoztatási kötelezettség a jogosultság technikai beállítóját terheli.

24. Szoftverek telepítése, internethasználat

2715


24.2. A hálózathoz csatlakozó munkaállomásra csak a munkavégzéshez szükséges adatállományok, programok tölthetők le, illetve telepíthetők. 24.3. A hálózathoz csatlakozó munkaállomásra nem telepíthető, nem másolható – ideiglenesen sem –, illetve a belső hálózaton nem tehető közzé olyan adatállomány, információ, amely a) jogszabályt sért, így különösen adatvédelmi, szerzői jogvédelmi, személyiségvédelmi előírásba ütközik, b) a hálózat rendeltetésszerű működését, biztonságát veszélyezteti vagy veszélyeztetheti, így különösen annak erőforrásait indokolatlanul, vagy szándékosan túlzott mértékben, pazarló módon veszi igénybe. 24.4. Az internet felhasználása csak a KLIK ügymenete érdekének megfelelően kialakított és betartott szabályok alapján történhet. 24.5. Az internet-szolgáltatás minőségének szinten tartása és a KLIK érdekeinek biztosítása céljából a NISZ – az elektronikus információs rendszer biztonságáért felelős személy javaslatára vagy engedélyével – korlátozásokkal élhet. A korlátozások a következőkre terjedhetnek ki: a) bizonyos fájl-típusok letöltésének korlátozása, b) az alapvető etikai normákat sértő oldalak látogatásának tiltása, c) a látogatható weboldalak körének behatárolása és a maximális fájl-letöltési méret korlátozása. 24.6. A KLIK központi szerve szervezeti egységének vezetője, valamint a KLIK tankerületi igazgatója – amennyiben ezt indokoltnak tartja – a szervezeti egység, tankerület munkatársainak, egyes felhasználó(k) internet-hozzáférésének letiltását kezdeményezheti írásban az elektronikus információs rendszer biztonságáért felelős személytől. A felhasználók csak az elektronikus információs rendszer biztonságáért felelős személy által ismert és a NISZ által biztosított internet kijáratokon keresztül csatlakozhatnak az internethez. Bármely egyéb módon történő internetelérés létesítése az azt kialakító felhasználó felelősségre vonását eredményezi. 24.7. Felhasználók internet használatára vonatkozó általános szabályok: a) csak a munkavégzéshez, szakmai tájékozottság bővítéséhez szükséges vagy általános tájékozottságot biztosító információt, segítséget nyújtó oldalak látogathatók, b) tilos a jó ízlést, közerkölcsöt sértő, rasszista, uszító és más, a véleménynyilvánítás kereteit meghaladó oldalak szándékos látogatása, online játékok, fogadási oldalak felkeresése, bármely tartalommal kapcsolatos magánvélemény kinyilvánítása (pl. privát blog és chat), c) a felhasználók nem tölthetnek fel egyénileg – a felelős jóváhagyása nélkül – a KLIK-kel kapcsolatos adatot az internetre, d) az internetről csak a munkavégzéshez szükséges adatállományok, táblázatok, tölthetők le, alkalmazások, programok nem, e) a látogatott oldal nem szokványos működése (pl.: folyamatos újratöltődés, kilépés megtagadása, ismeretlen oldalak látogatására történő kényszerítés, ismeretlen program futásának észlelése, stb.) esetén a közvetlen technikai támogató segítségét kell kérni.

25. Elektronikus levelezőrendszer használata

25.1. A KLIK feladatainak végrehajtásához alkalmazott elektronikus levelezésben kizárólag a klik.gov.hu végződésű, hivatali levelezési cím használható. Magán e-mail címről hivatali információt továbbítani, azon a hivatali munkavégzéshez kapcsolódó küldeményt fogadni tilos. A KLIK tevékenységével össze nem függő célra a hivatali postafiók, levelezési cím nem használható. 25.2. A KLIK-kel közszolgálati jogviszonyban vagy munkaviszonyban álló személy kaphat levelezési címet, személyes postafiókot. Külsős munkavállaló esetén a foglalkoztató szervezeti egység vezetője egyedi elbírálás alapján postafiók beállítást igényelhet. 25.3. A levelezőrendszerek használata során a vírusvédelmi előírásokat folyamatosan érvényesíteni kell. 25.4. A hivatali levelezőrendszeren kizárólag hivatali célú üzenetek továbbíthatók. Magáncélú üzenetet nem nevesített felhasználóknak (pl. csoport, mindenki) küldeni tilos. 25.5. A 24–25. pontokban foglalt előírások betartását a KLIK szervezeti egységének vezetője köteles ellenőrizni. 25.6. Az elektronikus levelezés biztonságának, működőképességének, stabilitásának és rendelkezésre állásának biztosítása a NISZ feladata. 25.7. Csoportos e-mail cím létrehozását papír alapú vagy elektronikus levélben lehet igényelni az igénylő munkatárs szervezeti egysége vezetőjének jóváhagyásával a NISZ kapcsolattartótól.

2716


25.8. Az igénylésben meg kell jelölni legalább egy felelős munkatársat (a továbbiakban: felelős), aki a létrehozás után a csoportos e-mail cím karbantartásához szükséges információkat igény esetén biztosítja az üzemeltetés részére, illetve kezdeményezi a csoportos e-mail cím alá történő felhasználói e-mail cím beállítását. 25.9. A csoportos email címeket a felelősök félévente felülvizsgálják és szükség esetén gondoskodnak azok módosításáról vagy megszüntetéséről. A csoportos e-mail címek módosításáról vagy megszüntetéséről a felelősök e-mail útján tájékoztatják a tagokat. 25.10. Az elektronikus információs rendszer biztonságáért felelős személy évente felülvizsgálja a csoportos e-mail címek fenntartásának indokoltságát.

26. Informatikai fejlesztések és beszerzések általános követelményei

26.1. Az informatikai fejlesztések és beszerzések során betartandó informatikai biztonsági követelmények teljesüléséért a fejlesztést, beszerzést lebonyolító KLIK szervezeti egység vezetője felel. 26.2. A KLIK informatikai rendszereit, az informatikai rendszerekhez csatlakoztatható informatikai, irodatechnikai, multimédiás eszközöket és adathordozókat, valamint az előzőekben felsoroltakkal kapcsolatos informatikai és biztonsági tevékenységet érintő fejlesztések és beszerzések megkezdése előtt, a KLIK informatikáért felelős szervezeti egységét és az elektronikus információs rendszer biztonságáért felelős személyt a fejlesztés és a beszerzés célját, tartalmát rögzítő, valamint a funkcionális és biztonsági megfelelőség biztosítására tervezett intézkedéseket tartalmazó dokumentum megküldésével tájékoztatni kell. 26.3. Szakterületet érintő informatikai rendszer fejlesztése során a fejlesztés folyamatába az adott szakterületet érintő KLIK szervezeti egység vezetőjét kötelező bevonni. 26.4. Fejlesztési, továbbá tesztelési tevékenység csak ilyen rendeltetésű informatikai rendszerekben végezhető. E pont rendelkezései alól az elektronikus információs rendszer biztonságáért felelős személy javaslata alapján a KLIK elnöke indokolt esetben felmentést adhat. 26.5. A tesztelési tevékenységek meg kell, hogy előzzék az átadás-átvételeket. A tesztek lezárása csak akkor történhet meg, ha az adott szakterület KLIK szervezeti egységének vezetője, a KLIK informatikáért felelős szervezeti egysége és az elektronikus információs rendszer biztonságáért felelős személy azt jóváhagyta. 26.6. A fejlesztés és beszerzés során – beleértve a közbeszerzési eljárásokat is – folyamatosan biztosítani kell, hogy az elektronikus információs rendszer biztonságáért felelős személy a beszerezni tervezett eszközök és a megrendelt tevékenység informatikai biztonsági aspektusait ellenőrizhesse. 26.7. A fejlesztésekre és beszerzésekre vonatkozó szerződéseket aláírás előtt az elektronikus információs rendszer biztonságáért felelős személy részére informatikai biztonsági szempontból történő véleményezésre meg kell küldeni. 26.8. A központi, valamint az európai uniós forrásból megvalósuló fejlesztési projektek informatikai biztonsági követelményeinek teljesítése során a projekt vezetője a projekt tervezési szakában a NEIH részére véleményezésre megküldi a vonatkozó biztonsági osztályba sorolást és biztonsági szint meghatározást, továbbá mindazon dokumentációkat, amelyek alapján a biztonsági, és termékminősítési követelmények megvalósulása ellenőrizhető a projekt teljes életciklusára nézve, ideértve az átvétel vagy teljesülés után az elektronikus információs rendszer használata során érvényesítendő elvárásokat is. 26.9. A központi, valamint az európai uniós forrásból megvalósuló fejlesztési projektek informatikai biztonsági követelményeinek teljesítése során a projekt mérföldköveinek figyelembevételével, az adott projekt szakasz zárását megelőző legkevesebb harminc nappal a projekt vezetője a NEIH rendelkezésére bocsátja a kapcsolódó elektronikus információbiztonsági dokumentációt, hogy annak észrevételei vagy kifogásai a projekt terveken vagy a projekt tárgyán átvezethető és alkalmazható legyen. 26.10. Új szoftver rendszerbe állítását, új informatikai rendszerek, rendszerelemek üzembe állítását a KLIK informatikáért felelős szervezeti egysége és az elektronikus információs rendszer biztonságáért felelős személy javaslata alapján a NISZ végzi. 26.11. Egyes informatikai rendszerek, alkalmazások, modulok vonatkozásában a fejlesztés és az üzemeltetés tekintetében az IBSZ-szel kapcsolatos rendelkezések külön szabályokat állapíthatnak meg. 26.12. Az informatikai rendszerek fejlesztésének első lépéseként a szakmai oldal elvárásai alapján el kell készíteni a rendszerspecifikációs dokumentumot, amelynek elkészítése során a jogszabályi és az informatikai biztonsági elvárásoknak történő megfelelést is figyelembe kell venni.

2717


rendszer biztonságáért felelős személy javaslatai alapján a kapcsolódó fejlesztési projekt vezetőjének feladata. A követelményrendszert az alaprendszerbe való illesztéséből adódóan – a rendszerspecifikációs dokumentum kialakítása során – egyeztetni szükséges a NISZ-szel. 26.14. A követelményrendszer elkészítése során figyelembe kell venni: a) a fejlesztendő rendszer bemenő adatait, annak adatvédelmi és adatbiztonsági besorolási szintjeit, b) a rendszer elvárt rendelkezésre állási idejét, c) a rendszer azon elemeit, ahol hozzáférési jogosultságok kialakítása szükséges, d) a rendszer gyenge, betörésre alkalmat adó pontjait, e) a mentési rendbe való illesztését, f ) a fejlesztői, teszt és éles rendszer elkülönítését. 26.15. Informatikai rendszerek és eszközök fejlesztése és beszerzése során a projektek egyes életciklusaira vonatkozóan elvárt dokumentációk, követelmények táblázata az IBSZ függelékét képezi (8. függelék). 26.16. A követelmények alól csak kivételes esetekben lehet eltérni (pl. szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő, vagy egyéb személyhez fűződő jog), melyet a fejlesztést, beszerzést lebonyolító KLIK szervezeti egység vezetőjének indokolnia kell. 26.17. Az alkalmazásfejlesztés teljes időintervalluma alatt kiemelt szerepet kell kapnia az információbiztonságot erősítő intézkedéseknek. Mind a szakmai, mind az informatikai követelmények összeállítása során, mind dokumentálás, a teszt és az éles időszak alatt törekedni kell erre. Azon alkalmazások esetében, amelyeket külső fél üzemeltet, a fejlesztés tervezése során egyeztetni szükséges a külső féllel. 26.18. A vásárolt és fejlesztett programok esetében figyelembe kell venni a szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogra vonatkozó hatályos szabályozást. A tulajdonjogot a licencszerződések szabályozzák. 26.19. Biztonsági előírások a vásárolt és fejlesztett programokkal kapcsolatban: a) a KLIK által vásárolt vagy számára kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik személy részére – ha a licencszerződés ezt nem teszi lehetővé – szigorúan tilos, b) a felhasználók/programozók – az elektronikus információs rendszer biztonságáért felelős személy jóváhagyása nélkül – nem készíthetnek olyan alkalmazásokat, programokat, amelyek a KLIK adatbázisait igénybe veszik, ahhoz kapcsolódnak, c) a KLIK adatbázisából csak úgy hozható létre önálló adatbázis, ha azt az adatgazda írásban jóváhagyta. 26.20. Informatikai rendszerek bevezetése előtt gondoskodni kell a KLIK belső felhasználóinak olyan ismeretanyagot átadó oktatásáról, amely birtokában a rendszer átvételét követően képesek lesznek további KLIK felhasználók oktatására (train to train oktatás). Az oktatást követően az elsajátított anyagot a KLIK belső felhasználóktól számon kell kérni.

27. Üzemeltetés-biztonság általános követelményei

27.1. Az informatikai rendszerek rendeltetésszerű működéséért, folyamatos rendelkezésre állásáért a NISZ az egyedi szolgáltatási szerződésében foglaltak szerint felel. 27.2. A távoli segítségnyújtás (távsegítség) során a kliensoldali programot, amely bármilyen módon lehetővé teszi a felhasználó képernyőjén lévő információk távoli elérését vagy input eszközeinek távvezérlését, csak a felhasználó indíthatja el, azt automatikusan induló programként telepíteni tilos. A távsegítség bevezetése és alkalmazása előtt a szolgáltatás tartalmáról, továbbá a távsegítség során elvégzett beavatkozásról a felhasználókat tájékoztatni kell. 27.3. Az informatikai rendszerekben kezelt és tárolt adatok rendelkezésre állását rendszeres és indokolt esetben soron kívüli mentéssel kell biztosítani. 27.4. Az informatikai rendszerekben kezelt adatállományokat, amennyiben azok elérése a felhasználók számára napi munkavégzésük során nem szükséges, azonban őrzésük indokolt, archiválni kell. 27.5. A mentésre, illetve az archiválásra vonatkozó szabályokat a KLIK Mentési és Archiválási Szabályzata tartalmazza. 27.6. Az informatikai rendszerek adattárolást megvalósító elemei, a hozzájuk csatlakoztatható, adattárolást is megvalósító informatikai, irodatechnikai, multimédiás eszközök, továbbá az adathordozók külső felhasználó általi karbantartásra, javításra, cserére csak a tárolt adatállomány biztonságos törlését követően adhatók át. A törlés megvalósításáért a karbantartás, javítás, csere esetén eljáró szervezeti egység vezetője felel.

2718


28. Vírusvédelem

28.1. A vírusvédelmi eljárásokat, a vírusvédelemre vonatkozó szabályozást, beleértve az intézkedési rendet, úgy kell kialakítani, hogy az a) a folyamatos vírusvédelmi felügyelet ellátását lehetővé tegye, b) támogassa a valós riasztások kiszűrését, c) alkalmas legyen a súlyos gondatlanságot, szándékosságot jelentő esetek felismerésére, d) tegye lehetővé az általános vírusbiztonsági helyzet értékelését, e) biztosítsa az új fenyegetések időben történő felismerését. 28.2. A vírusvédelemmel kapcsolatos üzemeltetési, üzemeltetés-felügyeleti, informatikai biztonsági felügyeleti feladatokat a NISZ látja el. 28.3. A hálózat esetében a vírusvédelem központilag biztosított. 28.4. A KLIK elektronikus információs rendszer biztonságáért felelős személye az általános vírusbiztonsági helyzet értékeléseként az előző naptári év vírusriasztásainak statisztikai jellemzőiről és a megtett intézkedésekről tájékoztatást kérhet a NISZ-től. 28.5. A vírusvédelmi előírások súlyos, szándékos vagy sorozatos megsértése rendkívüli információbiztonsági eseménynek (incidens) minősül.

29. A működésfolytonosság biztosítása és informatikai katasztrófa-elhárítás A működésfolytonosság biztosítására vonatkozó szabályokat a KLIK informatikai Működésfolytonossági Terve, az informatikai katasztrófa-elhárítási feladatokat a KLIK Informatikai Katasztrófa-elhárítási Terve tartalmazza.

VI. ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK BIZTONSÁGI OSZTÁLYBA SOROLÁSA 30. Biztonsági szint meghatározás és biztonsági osztályba sorolás

30.1. A KLIK-nek, mint az Ibtv. hatálya alá tartozó központi államigazgatási szervnek a biztonsági osztályba sorolást a bizalmasság, a sértetlenség, a rendelkezésre állás kockázata alapján minden egyes elektronikus információs rendszer esetében önbesorolás útján 1-től 5-ig terjedő számozással ellátott skálán kell elvégezni azzal, hogy a számozás emelkedésével a védelmi előírások fokozatosan szigorodnak az Ibtv. 7. § (2) bekezdésének megfelelően. 30.2. A KLIK biztonsági szintje a szervezet elektronikus információs rendszereinek legmagasabb biztonsági osztályával azonos besorolásúnak, de legalább 3-as biztonsági szintűnek kell lenni az Ibtv 9. § (2) bekezdésnek megfelelően. 30.3. Amennyiben a rendszer és/vagy az eszköz közvetlenül nem kapcsolódik adatokhoz, illetve csak technológiai használatú adatokhoz kapcsolódik, a KLIK feladatteljesítésben betöltött szerepe alapján kell osztályba sorolni. 30.4. A rendszerek osztályba sorolását az informatikai rendszer szakmai felügyeletét ellátó szervezeti egységek vezetőinek kötelező együttműködésével a KLIK információs rendszer biztonságáért felelős személye végzi. 30.5. A biztonsági besorolást tartalmazó táblázat az IBSZ függelékét képezi (4. függelék), amelyet a KLIK információs rendszer biztonságáért felelős személye folyamatosan aktualizál. 30.6. A biztonsági osztályba sorolást szükség szerint, de legalább három évenként felül kell vizsgálni. Az informatikai rendszer vagy a benne kezelt adat biztonságát érintő változás esetén a biztonsági osztályba sorolást soron kívül meg kell ismételni. 30.7. Az informatikai rendszer szakmai felügyeletét ellátó szervezet vezetője az informatikai rendszer alkalmazását megelőzően köteles tájékoztatni a KLIK információs rendszer biztonságáért felelős személyét.

31. Az információvagyon felmérése és osztályozása

31.1. Annak érdekében, hogy az adatok, információk (információs vagyon) bizalmasságának megfelelően differenciált védelmi intézkedések kerüljenek kialakításra, az informatikai rendszerekben kezelt adatokat, információkat megfelelő információvédelmi kategóriák szerint kell csoportosítani (biztonsági osztályba sorolás). 31.2. Az osztályozás alapját a bizalmasság, a sértetlenség, és a rendelkezésre állás sérüléséből vagy elvesztéséből keletkező, a KLIK számára kimutatható lehetséges hátrány nagysága képezi.

2719


31.3. A besorolást az adatgazdák végzik, az ő feladatuk és felelősségük, hogy felmérjék a kezelt adatvagyon helytelen osztályozásából eredő károkat. 31.4. A biztonsági osztályba sorolást minden, a KLIK központi szervének szervezeti egységei, valamint a KLIK tankerületei által tárolt vagy feldolgozott adatcsoport tekintetében el kell végezni. 31.5. Az olyan informatikai rendszerek vagy adatbázisok esetén, amelyek több adatcsoportot együtt tárolnak vagy dolgoznak fel, a rendszerben előforduló legmagasabb biztonsági osztály követelményeit kell érvényesíteni. 31.6. Amennyiben valamely adat több jellemzőnek is eleget tesz, akkor az előfordulható legmagasabb kár szerint kell osztályba sorolni. Amennyiben egy informatikai rendszeren belül több különböző védelmi osztályba tartozó adat tartozik, akkor a rendszer védelmét az előforduló legmagasabb védelmi osztály szerint kell kialakítani és fenntartani. 31.7. Az informatikai rendszerek különböző környezetei (pl. éles-, teszt-, oktatórendszer) más-más biztonsági osztályba sorolhatók. 31.8. Amennyiben a kezelt adatok köre bővül, az osztályozást az új adatcsoportokra is végre kell hajtani. 31.9. Az egyes rendszerek, rendszerelemek, adatbázisok előírt rendelkezésre állását az SLA tartalmazza. 31.10. Az osztályba sorolás alapja a kárértékek meghatározása, melynek során a Közigazgatási Informatikai Bizottság 25. számú ajánlásában meghatározott szinteket kell figyelembe venni. E szerint a következő osztályok használhatók:

Elhanyagolható jelentéktelen kár

közvetlen anyagi kár: 0–10.000,– Ft, közvetett anyagi kár 1 embernappal állítható helyre, nincs bizalomvesztés, a probléma a szervezeti egységen belül marad, nyilvános adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

Alap csekély kár

közvetlen anyagi kár: 10.001–100.000,– Ft, közvetett anyagi kár 1 emberhónappal állítható helyre, társadalmi-politikai hatás: kínos helyzet a szervezeten belül, személyes adatok bizalmassága vagy hitelessége sérül, csekély jelentőségű hivatali információ, adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

Fokozott közepes kár

Kiemelt

közvetlen anyagi kár: 100.001–1.000.000,– Ft, közvetett anyagi kár 1 emberévvel állítható helyre, társadalmi-politikai hatás: bizalomvesztés a szervezet középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel, személyes adatok bizalmassága, sértetlensége, vagy rendelkezésre állása sérül, közepes jelentőségű hivatali információ vagy egyéb jogszabállyal (orvosi, ügyvédi, biztosítási, banktitok, stb.) védett bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

2720


Rendkívüli kiemelkedően nagy kár

közvetlen anyagi kár: 10.000.001–100.000.000,– Ft, közvetett anyagi kár 10-100 emberévvel állítható helyre, társadalmi-politikai hatás: súlyos bizalomvesztés, a szervezet felső vezetésén belül személyi konzekvenciák, nagy tömegű különleges személyes adat bizalmassága, sértetlensége, vagy rendelkezésre állása sérül, kiemelt jelentőségű hivatali információ bizalmassága, sértetlensége, vagy rendelkezésre állása sérül.

4+Rendkívüli+ különösen nagy kár

A „kiemelkedően nagy kár” értéket meghaladó, vagy visszafordíthatatlanul súlyos kár, amely közvetlenül és tartósan sérti vagy veszélyezteti Magyarország szuverenitását, területi integritását, törvényes rendjét, belső stabilitását, az államháztartás működését, az ország honvédelmi, nemzetbiztonsági, bűnüldözési, igazságszolgáltatási, központi pénzügyi és gazdasági érdekeit, külügyi és nemzetközi kapcsolatait, a szövetséges tagállamokkal közös biztonsági érdekeit.

32. Elektronikus információs rendszerek nyilvántartása és kezelése

32.1. A KLIK informatikai rendszereinek nyilvántartásának az alábbiakra kell kiterjednie: a) az adat vagy adatcsoport (rendszer) megnevezése, alapfeladata; b) az érintett rendszerhez tartozó licenc szám (amennyiben az a KLIK kezelésében van); c) az adatosztályozási szint bizalmasság, sértetlenség és rendelkezésre állás szerint; d) a rendszer felett felügyeletet gyakorló személy személyazonosító és elérhetőségi adatai; e) a rendszert szállító, fejlesztő és karbantartó szervezetek azonosító és elérhetőségi adatai, valamint ezen szervezetek rendszer tekintetében illetékes kapcsolattartó személyeinek személyazonosító és elérhetőségi adatai. 32.2. A nyilvántartás vezetéséért az elektronikus információs rendszer biztonságáért felelős személy, míg a nyilvántartáshoz szükséges információk szolgáltatásáért az adatgazdák felelősek. 32.3. A KLIK informatikai rendszereinek hatókörébe tartozó szoftver és hardver elemekről leltárt kell vezetni, melynek az alábbiakra kell kiterjednie: a) informatikai eszközt használatba vevő személy neve, b) eszközök megnevezése, darabszáma, c) leltári szám, gyári szám, d) tárolási hely megnevezése, címe 32.4. Az elektronikus információs rendszerek hardver és szoftver elemeiről szóló nyilvántartás vezetéséért a KLIK informatikáért felelős szervezeti egysége felel. A nyilvántartást szükség szerint rendszeres időközönként, de legalább évente aktualizálnia kell.

VII. INFORMÁCIÓBIZTONSÁGI ELJÁRÁSOK 33. Általános irányelvek

33.1. A KLIK épületeiben üzemeltetett eszközök logikai védelmét az egyedi szolgáltatási szerződésben foglaltak alapján a NISZ látja el. 33.2. Az azonosítók képzését, azok nyilvántartását, a jogosultságok kezelését az SLA alapján a NISZ végzi.

2721


33.5. Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör, feladat ellátásához szükséges minimális funkcióelérést biztosíthatják. 33.6. A hozzáférési jogosultságok kezelését, a jogosultságigénylés folyamatának részleteit – annak kiadását követően – a jogosultságkezelési szabályzat tartalmazza. 33.7. A felhasználók a hozzáférésüket megalapozó jogviszonyuk létrejöttét követően (a lehető legrövidebb időn belül) megkapják felhasználói azonosítójukat. 33.8. A kiosztott felhasználói azonosítót haladéktalanul használatba kell venni. Ennek első lépéseként az induló (alapértelmezett) jelszót meg kell változtatni. 33.9. Amennyiben a felhasználó jogviszonya előreláthatólag három hónapot meghaladóan szünetel vagy a felhasználó a munkavégzésben előreláthatóan ennyi ideig nem vesz részt, a hozzáférést megalapozó jogviszonyából eredő feladatát tartósan nem látja el, a felhasználói azonosítóját fel kell függeszteni (inaktiválni kell) a munkába állás, az adott tevékenység folytatása napjáig. Az inaktiválást a közvetlen vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – a KLIK személyügyekért felelős főosztálya útján – a NISZ kapcsolattartótól. A felhasználói azonosító újraaktiválási igényének felmerülésekor a hozzáférés helyreállítását szintén a közvetlen vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kérheti. 33.10. A felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat a felhasználó közvetlen vezetője, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – a KLIK személyügyekért felelős főosztálya útján – a NISZ kapcsolattartótól. 33.11. Külső felhasználó csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Külső felhasználó azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetője a KLIK személyügyekért felelős főosztálya útján kezdeményezi a NISZ kapcsolattartónál. 33.12. Gyakornokok esetén a hozzáférési jogosultságok – hasonlóan a külső felhasználók számára létrehozott azonosítókhoz –, csak bizonyos, a munkavégzésükhöz feltétlenül szükséges területekhez való hozzáférést tehetnek lehetővé. A hozzáférési jogosultság megadását a gyakornokot alkalmazó szervezeti egység vezetője vagy a gyakornok közvetlen vezetője – a KLIK személyügyekért felelős főosztálya útján – igényelheti a NISZ kapcsolattartótól.

34. Munkaállomások hozzáférésére vonatkozó minimális előírások

34.1. A számítógépes munkaállomások képernyőit (monitor) úgy kell elhelyezni, hogy az azon megjelenő információkat illetéktelen személy ne láthassa. 34.2. A munkaállomás beállításait adminisztrátori jelszóval kell védeni módosítás ellen. 34.3. A képernyőt automatikus védelemmel kell ellátni (munkaállomás zárolás). 34.4. Szenzitív adatbázisokat és programokat – amennyiben megoldható – hardveres azonosítást biztosító eszközzel kell védeni.

35. Szoftvereszközök használatának szabályozása

35.1. Az informatikai biztonság teljes körű megvalósításához hozzájárul a jogtiszta szoftverek és a szoftvereszközök jogszerű használata, valamint a szoftverek biztonságos kezelése. 35.2. A KLIK által használt szoftvereket az elektronikus információs rendszer biztonságáért felelős személy ellenőrizheti. 35.3. A rendszeres szoftvervizsgálat során ellenőrizni kell: a) a használatban lévő szoftverek rendelkeznek-e licence-szel (ide nem értve az engedélyezett freeware szoftvereket), b) a megvásárolt licencek száma arányos-e a használt szoftverek mennyiségével, c) a használt szoftverek verziószámát, d) a ténylegesen használt szoftverek megegyeznek-e az engedélyezett szoftverek listájával. 35.4. A szoftvereszközök telepítésére és használatára vonatkozó általános szabályok: a) a KLIK munkaállomásaira csak eredményesen tesztelt szoftverek telepíthetők – a telepítéshez a NISZ közreműködése szükséges, b) tilos a munkaállomásokra licence-szel nem rendelkező vagy a kereskedelmi forgalomban beszerezhető nem engedélyezett vagy nem a KLIK által fejlesztett szoftvert telepíteni,

2722


c) d) e)

a KLIK által vásárolt és kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik fél részére tilos, kivéve ha a licencszerződés ezt külön szabályozza és lehetővé teszi, a felhasználók csak a NISZ által telepített szoftvereket, ide értve az engedélyezett freeware szoftvereket is (7. függelék) használhatják, a felhasználók rendelkezésére bocsátott hardver és szoftver eszközök ellenőrzését az elektronikus információs rendszer biztonságáért felelős személy bejelentés nélkül bármikor kezdeményezheti.

36. Tűzfalakkal kapcsolatos szabályozások, betörésvédelem, betörés detektálás A tűzfalakkal kapcsolatos szabályozások és biztonsági beállítások megtétele egyedi szolgáltatási szerződés alapján a NISZ feladata.

37. Távoli hozzáférés szabályozása

37.1. A távoli hozzáférések engedélyezésével, korlátozásával és felügyelet alatt tartásával a KLIK és a NISZ közös célja a távoli hozzáférés jellegéből következő információbiztonsági és IT szolgáltatás biztonsági kockázatok csökkentése, valamint a távoli hozzáférések és az azok által elérhető funkcionalitások számosságának a lehető legalacsonyabb szinten való tartása. A KLIK informatikai rendszerének távoli elérésére csak egyedileg azonosított felhasználók számára lehetséges. 37.2. A KLIK informatikai környezetében jelenleg az alábbi pontokban feltüntetett szolgáltatások sorolhatók távoli elérés alá: a) WebMail-szolgáltatás – OWA elérésen keresztül b) Távsegítség nyújtása (Kizárólag NISZ alkalmazottakon keresztül)

38. Mobil IT tevékenység, hordozható informatikai eszközök használata

38.1. A mobil eszközök használatával kapcsolatban a következő biztonsági eljárásokat kell alkalmazni: a) a mobil eszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni; b) mobiltelefonok, tabletek esetén legalább PIN kód beállítása a feloldáshoz; c) valamennyi hordozható személyi számítógépet rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni. Rendszeres időközönként (lehetőleg hetente 1 alkalommal) a munkahelyi hálózatához kell csatlakoztatni az eszközt az operációs rendszer biztonsági és vírusvédelmi frissítéseinek végrehajtása érdekében. A mobil eszközt szállító felhasználók: c.i. kötelesek azt a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni, c.ii. nem hagyhatják őrizetlenül gépjárműben, c.iii. repülés vagy vonatút, valamint autóbuszon történő utazás ideje alatt kézipoggyászként kötelesek szállítani. 38.2. Azokban az esetekben, amikor az eszközök nem a KLIK épületeiben (szálloda, lakás) találhatók, fokozott figyelmet kell szentelni a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása vagy ellopása elleni védelemnek. 38.3. Tilos a mobil eszközök: a) engedély nélküli átruházása vagy adatainak közlése, lementése, b) megfelelő védelem nélkül nem biztonságos hálózathoz csatlakoztatása, c) bármilyen indokolatlan veszélynek történő kitétele vagy nem rendeltetésszerű használata. 38.4. A KLIK adataiból csak azon adatokat szabad mobil eszközön tárolni: a) amely adatokról központi biztonsági mentés készül, b) amelyekkel kapcsolatban biztosítani lehet a jogszabályban vagy belső szabályban előírt adatbiztonságot és adatvédelmet.

2723


VIII. ELLENŐRZÉSEK, RENDSZERES FELÜLVIZSGÁLATOK 39. Ellenőrzésekre vonatkozó szabályok

39.1. Az információbiztonságot folyamatosan kontrollálni kell. A kontroll eljárások kialakításánál elsődlegesen azt kell figyelembe venni, hogy azok által az információbiztonság szintje mérhető legyen. 39.2. Ennek érdekében meg kell határozni az ellenőrzések területeit, és minden területhez külön-külön meg kell fogalmazni az ellenőrzési célkitűzéseket. Az ellenőrzési célkitűzések ismeretében meg kell jelölni az ellenőrzés eszközeit (dokumentumok, naplók, szoftverek, adatok, amelyek a biztonsági rendszerről hiteles képet tudnak adni), azok tartalmi követelményeit. 39.3. Az ellenőrzés eredményét minden esetben ki kell értékelni és a megfelelő következtetéseket le kell vonni, illetve vissza kell csatolni a biztonsági folyamatra. Szükség esetén felelősségre vonási eljárást kell kezdeményezni. 39.4. Az ellenőrzéseket dokumentumok, dokumentációk, személyes beszámoltatás és helyszíni szemlék alapján lehet végrehajtani. 39.5. Az informatikai biztonsággal kapcsolatos ellenőrzések területei az alábbiak lehetnek: a) megfelelőségi vizsgálat – célja felderíteni, hogy a KLIK rendelkezik-e az elégséges személyi, eljárási, tárgyi feltételekkel és azok megfelelően dokumentáltak-e, b) információbiztonság szintjére vonatkozó vizsgálat – célja felderíteni, hogy az információbiztonság szintje megfelel-e a meghatározott védelmi szintnek, c) információbiztonsági szabályok betartásának ellenőrzése – célja felderíteni, hogy a KLIK információbiztonsági szabályait a felhasználók ismerik-e, illetve betartják-e,- ez az ellenőrzés az informatikai biztonság egy-egy területére is leszűkíthető, d) biztonsági dokumentumrendszer felülvizsgálata – célja a KLIK belső szabályrendszerét képező hatályos eljárások felülvizsgálata, hogy azok megfelelnek-e az elvárt jogi, informatikai, szakmai elvárásoknak és az általuk szabályozott területen megfelelő szabályok betartására alkalmazhatóak. 39.6. Az ellenőrzések során elsősorban az alábbiakat kell vizsgálni: a) az IT biztonsági rendszer működése megfelel-e a biztonsági követelményeknek, az IT-rendszer előírt dokumentumai léteznek-e, illetve naprakészek-e, b) az IT biztonsági rendszer felépítése, tartalma megfelel-e a vonatkozó szabványnak, c) az IT biztonsági szabályok érvényesülnek-e a folyamatokban; d) az IT-személyzet, illetve a felhasználók rendelkeznek-e a megfelelő IT-biztonsági ismeretekkel, e) az adatokra és a rendszerekre vonatkozó kezelési szabályok betartását, f ) a naplózási rendszer megfelelő alkalmazását, g) a biztonsági események kezelésének, a szükséges mértékű felelősségre vonás gyakorlatát, h) a mentési rendszer megfelelő alkalmazását, i) a hozzáférési jogosultságok naprakészségét, a kiadott jogosultságok szükségességét, j) a dokumentációk pontosságát, naprakészségét, a változások követését, megfelelő kezelését, nyilvántartását, k) az alkalmazott szoftverek jogtisztaságát, l) a szerződések megfelelőségét, m) a fizikai biztonsági előírások betartását.

40. Biztonsági rendszerek felülvizsgálata Az elektronikus információbiztonsági rendszert, illetve annak egyes elemeit rendszeresen felül kell vizsgálni, a következő ütemezés szerint:

Felülvizsgálat tárgya

Felülvizsgálat ciklikussága

Megfelelőségi vizsgálat

1 év

Az információbiztonság szintjére vonatkozó vizsgálat

1 év

2724


1. függelék a 2/2015. (VI. 30.) KLIK elnöki utasításhoz

A Klebelsberg Intézményfenntartó Központ Informatikai Biztonsági Politikája A Klebelsberg Intézményfenntartó Központ (továbbiakban: KLIK) vezetése teljes mértékben elkötelezett a szervezet informatikai biztonsága iránt, tekintettel arra, hogy a KLIK informatikai rendszerei, alkalmazásai, illetve az ezekben kezelt adatok az állami köznevelési közfeladatok ellátását, az állami fenntartású köznevelési intézmények fenntartói feladatainak biztosítását támogatják. Figyelemmel a fentiekre a KLIK vezetése elkötelezett az informatikai biztonság megvalósításához szükséges erőforrások biztosítása iránt. A KLIK informatikai stratégiája az egyes konkrét döntéseknél és eseteknél alkalmazott elvekből áll össze, amelyet minden beszerzés folyamán, továbbá a már meglévő folyamatok és rendszerek esetében is érvényesíteni kell. A KLIK olyan informatikai biztonsági szervezetrendszert működtet, amely képes biztosítani a KLIK egészére kiterjedő, teljes körű informatikai biztonság hatékony megvalósítását. Az informatikai biztonság területén egy olyan teljes körű szabályozó rendszert kell kialakítani, amely hosszú távon képes teljesíteni a KLIK informatikai biztonsági céljait. Ezen informatikai biztonsági céloknak a bizalmasság, a sértetlenség és a rendelkezésre állás alapelveit kell tekinteni. A KLIK, mint szervezet köteles az elektronikus információs rendszereit biztonsági osztályba sorolni, a szervezet biztonsági szintjét meghatározni, azokat rendszeresen felülvizsgálni. Az informatikai biztonság területén létrehozott szabályozó rendszer a KLIK foglalkoztatottjain kívül a szervezettel kapcsolatba kerülő más személyeknek/gazdálkodó szervezeteknek is bemutatja azokat az alapelveket és normákat, amelyeket a KLIK e körben követ, és elvár mind a foglalkoztatottjaitól, mind a vele kapcsolatba kerülő más személyektől/szervezetektől. Az informatikai biztonság megteremtése elsődlegesen a KLIK vezetőinek a feladata, mindazonáltal az informatikai rendszerek, alkalmazások és eszközök biztonságáért és hatékony felhasználásáért valamennyi foglalkoztatott felelős. A KLIK elkötelezett olyan védelmi eljárások és előírások alkalmazása iránt, amelyek garantálják a KLIK hatékony működését katasztrófahelyzet esetén is. Az informatikai rendszereket, alkalmazásokat és eszközöket a bennük kezelt adatok jellemzői (sértetlenség, bizalmasság stb.) alapján, a hatályos jogszabályok figyelembe vétele mellett biztonsági osztályba kell sorolni. A KLIK adatkezelése, informatikai rendszereinek, alkalmazásainak és eszközeinek a használata minden esetben jogszabályokon alapul és a jogszabályok adta keretek között valósul meg. Ezt biztosítják a KLIK rendelkezéseiben rögzített előírások is. A KLIK által üzemeltetett és használt elektronikus információs rendszerben kezelt adatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását valamint az elektronikus információs rendszer és elemeinek sértetlenségét és rendelkezésre állását zárt, teljes körű, folytonos és kockázatokkal arányos védelem elve alapján kell garantálni. A KLIK által az informatikai rendszerekben és alkalmazásokban kezelt adatokra vonatkozóan olyan védelmi megoldásokat és eljárásokat kell alkalmazni, amelyek lehetővé teszik a hozzáférések akár utólagos ellenőrzését és a jogosulatlan hozzáférések felderítését, valamint a felelősök személyének megállapítását.

2725



A Klebelsberg Intézményfenntartó Központ Informatikai Biztonsági Stratégiája Az Informatikai Biztonsági Stratégia (továbbiakban: IBS) célja a KLIK Informatikai Biztonsági Politikájában meghatározott irányelvek és definíciók alapján az informatikai biztonság területén az alábbi alapelveket és védelmi célkitűzéseket érvényesítse: a) Bizalmasság: az adat tulajdonsága, amely arra vonatkozik, hogy az adatot csak az arra jogosultak és csak a jogosultságuk szerint ismerhetik meg, használhatják fel, illetve rendelkezhetnek a felhasználásáról. b) Sértetlenség: az adat tulajdonsága, amely arra vonatkozik, hogy az adat tartalma és tulajdonságai az elvárttal megegyeznek, ideértve a bizonyosságot abban, hogy az elvárt forrásból származik, és a származás megtörténtének bizonyosságát (letagadhatatlanság) is, illetve a rendszerelem tulajdonsága, amely arra vonatkozik, hogy a rendszerelem rendeltetésének megfelelően használható. c) Rendelkezésre állás: az adat, illetve az informatikai rendszer elemeinek tulajdonsága, amely arra vonatkozik, hogy az arra jogosultak által a szükséges időben és időtartamra használható. A rendelkezésre állás fenntartása elsősorban a KLIK adatvagyonára vonatkozik, amelyet biztosítani kell mind a külső, mind pedig a belső adatkérések során. d) Hitelesség biztosítása, annak érdekében, hogy a KLIK belső, vagy egymás közötti kapcsolataiban a partnerek kölcsönösen és kétségtelenül felismerjék egymást és ezt az állapotot a kapcsolat egész idejére változatlanul fenntartsák. f ) Működőképesség fenntartása a KLIK informatikai rendszereire és rendszerelemeire vonatkozóan, amely az adott informatikai eszköz vagy rendszer elvárt és igényelt üzemelési állapotban való fennmaradását jelenti. Ennek elérése céljából biztosítani kell a megfelelően képzett személyzetet és technikai feltételeket. g) Az informatikai infrastruktúrák elleni támadások hatékony megelőzése, kivédése és kezelése. Az IBS alapját képezi az informatikai vagyontárgyakhoz kapcsolódó rendszerszintű informatikai biztonsági szabályzatnak, ugyanakkor nem rendelkezik az egyes informatikai rendszerekre vonatkozó speciális, egyedi szabályokról. A rendszerszintű informatikai biztonsági szabályzatoknak ugyanakkor összhangban kell állniuk a KLIK központ és szervezeti egységei egyéb szabályzataival. Az IBS meghatározza a KLIK informatikai rendszereiben előállított, tárolt, használt és továbbított információk elégséges biztonságának stratégiai céljait, és megteremtéséhez szükséges intézkedéseket.

A jelenlegi informatikai helyzet A KLIK-ben az informatikai biztonság megteremtése kiemelt feladat, mivel a KLIK olyan adatvagyonnal rendelkezik, amely illetéktelen személy általi megismerése hátrányosan érintheti érdekeit. A KLIK elektronikus információs rendszer biztonságáért felelős személye látja el az informatikai biztonsággal kapcsolatos feladatokat. Az informatikai biztonság mindenkor előbbre való a költséghatékonyságnál mind az üzemeltetés, mind a fejlesztések területén.

Általános célkitűzések Minden KLIK szervezeti egység vezetőjének intézkedéseket kell tennie a tulajdonát képező adatvagyon tulajdonviszonyainak rendezésére, kezelésére, karbantartására. A KLIK adatvagyonának stratégiailag fontos mentését az adat forrásától fizikailag elkülönítetten kell tárolni. A KLIK-ben egy olyan adatmentési, archiválási rendszert kell létrehozni, amely minden a kijelölt adatvagyon mentését, archiválását elektronikusan tárolja. A KLIK-nél az informatika szakterületen olyan azonos szintű és mélységű normatív szabályozást kell bevezetni, melyet minden szervezeti egység azonosan értelmez. A KLIK szervei közötti szermélyes adatok kommunikációját titkosítási eljárással kell védeni.

2726


A KLIK informatikai hálózatán határtűzfalakat kell létesíteni. Ki kell jelölni a szervezet informatikai hálózatának határát. A KLIK minden szervertermét és a hozzá kapcsolódó rendszerelemét, az ott tárolt adatok, rendszerek minősítési szintjének megfelelő biztonsági fokozatba kell sorolni, és a vonatkozó szabályok szerinti fizikai védelmet kell biztosítani. A biztonsági rés csökkentése, és az üzembiztonság növelése érdekében az informatikai eszközpark életkorát folyamatosan figyelemmel kell kísérni és szükség esetén az amortizációs cserék segítségével el kell érni, hogy egyetlen eleme se legyen az adott eszközre vonatkozó gyártói élettartamnál idősebb.

Fő irányok A KLIK informatikai hálózatának védelme érdekében az informatikai szakterületre kell koncentrálni az elektronikus adatok archiválását, szervezetenként központilag rendezett címtárak létrehozatalát, kezelését, az informatikai rendszerekhez való hozzáférés nyilvántartás vezetését, az elektronikus és papíralapú másolás, továbbá nyomtatási folyamatok naplózását. A KLIK-nél keletkezett személyes, nem nyilvános adatok védelme érdekében az alábbi informatikai biztonsági feltételeket kell megteremteni: a) Az informatikai biztonsági szabályok folyamatos integrálása a munkafolyamatokba. b) Informatikai rendszerek biztonsági osztályba sorolását követően, a biztonsági osztálynak történő folyamatos megfelelés. c) Informatikai eszközleltár kialakítása, karbantartása

Rövidtávú feladatok Cselekvési terv kialakítása az esetleges a biztonsági osztály meghatározásánál tapasztalt hiányosságok csökkentésére vagy megszüntetésére A KLIK-nél egységes vírusvédelmi rendszer alkalmazását kell megvalósítani.

Középtávú feladatok Oktatás, képzés és a biztonságtudatosság fokozása A biztonsági követelmények maradéktalan teljesülése érdekében oktatást, képzést kell biztosítani minden KLIK munkatárs számára az informatikai biztonságtudatosságának fejlesztésével kapcsolatban, valamint a rendszerek üzemeltetéséhez és rendeltetésszerű használatához szükséges biztonsági követelmények elsajátítása érdekében. A KLIK-nél szükséges az időszakos informatikai biztonsági oktatás. Ezen belül a jogszabályok változásának és a technológiai környezet fejlődésének követése, bemutatása és készségszintű elsajátítása szükséges.

A folyamatos működés biztosítása A KLIK-nél évente legalább egyszer informatikai belső biztonsági auditot kell végezni. Az informatikai belső biztonsági audit eredményei alapján a folyamatos működést tervezni és biztosítani kell. Célja, hogy az ügymenet tevékenységében bekövetkezett zavarokat ellensúlyozni lehessen és a kritikus folyamatok védettek legyenek a nagyobb hibák és katasztrófák következményeitől. Az audit eredményét figyelembe véve javító intézkedéseket kell hozni, melynek eredményeképpen a kockázatokat csökkenteni lehet. Az ügymenet-folytonosság tervezésével, bevezetésével és tesztelésével el kell érni, hogy káresemény, vagy katasztrófa esetén a biztonság és a folyamatos működés ne sérüljön. Ennek célja, hogy a szolgáltatások egy előre meghatározott szinten folyamatosan működőképesek legyenek. Az ügymenet-folytonosságot megelőző és visszaállítási eljárások összehangolt bevezetésével kell elérni. A bekövetkezett katasztrófák következményeit, és az azokat kiváltó magatartásokat, tevékenységeket kell vizsgálni, és a levont következtetések alapján meg kell tenni a szükséges intézkedéseket.

2727


Az Informatikai Katasztrófa-elhárítási Terv, illetve az Informatikai Működésfolytonossági Terv bevezetésével és fejlesztésével kell biztosítani, hogy az ügymenet szempontjából kritikus folyamatok visszaállíthatóak legyenek egy meghatározott időintervallumon belül. Tételesen meg kell határozni azokat a szolgáltatási területeket, melyekkel szemben felmerül a folyamatos működés igénye. Új rendszerek használatbavétele esetén gondoskodni kell a rendszer működésével szemben támasztott igények felméréséről és azok teljesítési lehetőségéről.

Informatikai biztonsági események észlelése és kezelése A KLIK-nek érdeke, hogy a szervezet informatikai biztonságáért felelős vezetői mielőbb értesüljenek a bekövetkezett biztonsági eseményekről. Minden alkalmazottnak (külső vagy belső) ismernie kell azt az eljárást, amelyben jelenthetik az általuk felismert biztonsági eseményeket. A KLIK informatikai rendszereinek működését figyelemmel kell kísérni, naplózni kell és a folyamatokat ellenőrizni kell. Informatikai biztonsági esemény bekövetkezésekor a közvetlen munkahelyi vezetőt, a KLIK informatikáért felelős szervezeti egység vezetőjét és az elektronikus információs rendszer biztonságáért felelős személyét kell értesíteni, az eseményt ki kell vizsgálni, majd meg kell tenni a megfelelő válaszlépéseket. Kiértékelést követően – amennyiben szükséges – a belső szabályzók módosításával, illetve oktatással foganatosítani kell a megfelelő válaszintézkedéseket. Az informatikai biztonság terén a védekezés szempontjából fontos, hogy a korábban történt informatikai biztonsági eseményeket időben visszamenőleg tételesen, minden technikai körülményükkel együtt fel lehessen dolgozni.

Rendszerfejlesztések biztonsági követelményeinek meghatározása A rendszerek biztonsági követelményeinek meghatározása során rendszer alatt értjük többek között az infrastrukturális elemeket, objektumokat, alkalmazásokat. Informatikai biztonsági szempontból döntő, hogy a biztonság mint kritérium jelen legyen az alkalmazások és szolgáltatások tervezésétől kezdődően az ügymenet folyamataiba történő implementálásig. Az informatikai rendszerek fejlesztése során a biztonsági osztályba sorolásnak megfelelően meg kell határozni a biztonsági követelményeket, és rangsorolni kell őket. Egy informatikai projekt során minden biztonsági követelményt dokumentáltan meg kell határozni az adott projekt fázisára, azt meg kell indokolni, és el kell fogadtatni.

Szoftverfejlesztések biztonságának garantálása Külső és belső fejlesztéseket egyaránt az Informatikai Biztonsági Szabályzatban (továbbiakban: IBSZ) meghatározott műszaki, biztonsági elvárások betartásával szabad végezni. A fejlesztések biztonságának érdekében: a) Az IBSZ részletesen tartalmazza a fejlesztéshez szükséges dokumentumokhoz, és a fejlesztett eszközökhöz való hozzáférési jogosultságok kezelésének szabályait. b) Minden külső fejlesztés esetén a forráskód ellenőrzésével kell az informatikai biztonság konzisztenciáját megőrizni. c) A fejlesztett rendszerelemeket bevezetésük előtt a szükséges teszteléseknek (fejlesztői funkcionális és biztonsági tesztelés, performancia teszt, felhasználói teszt, üzemeltetési teszt stb.) alá kell vetni, amelynek eredményét dokumentálni kell.

2728


Tevékenység-kihelyezés szabályozása A KLIK informatikai rendszereinek üzemeltetése, vagy biztonsági szempontú felmérése és fenntartása során törekedni kell a saját erőforrások kihasználására, és a biztonsági követelmények megvalósulására. Bizonyos tevékenységek, vagy résztevékenységek elvégzésére külső szervezetek bízhatóak meg. Amely esetekben az informatikával kapcsolatos tevékenységeket külső szervezetek szerződés keretében végzik, a megállapodást úgy kell megkötni, hogy az a lehető legkisebb informatikai biztonsági kockázatot jelentse a KLIK számára. A szerződés során különös figyelmet kell fordítani a biztonsági folyamatokra és ellenőrzésükre. Amennyiben a tevékenységet ki kell helyezni, a KLIK biztonsági szintje és a rendszer vagy rendszerek biztonsági osztályának egyes feltételei a kihelyezés relevanciájában, mint szerződéses kötelem kerüljön bele és teljesüljön.

Mobil eszközök használata és távmunka biztonságának elősegítése A KLIK informatikai infrastruktúrájában szabályozni kell a mobil, a saját eszközök használatát és a távmunkát. A mobil és a saját eszközök használata, valamint a távmunka során az eszközök jellegüknél fogva speciális kockázatokat hordoznak magukban. A mobil eszközökön történő munkavégzés során nem biztosított a megfelelő védelemmel ellátott környezet, ezért ilyen esetekben speciális védelmet kell biztosítani. Távmunka, illetve a saját eszköz esetében pedig a szervezet feladata, hogy előírja a távmunkavégzés, valamint a saját eszközhasználat körülményeinek biztonsági követelményeit, és gondoskodjon az előírások betartásáról és ellenőrzéséről.

Meghatározza az újonnan induló fejlesztésekkel kapcsolatos alapelveket és a projektekkel kapcsolatos általános képviseleti, kötelezettségvállalalási, jóváhagyási szabályokat. Meghatározza a közbeszerzésekről szóló 2011. évi CVIII. törvény hatálya alá nem tartozó, az egybeszámítási szabály alapján a közbeszerzési értékhatárok alatti beszerzések előkészítésének, lebonyolításának, dokumentálásának rendjét. A KLIK informatikai rendszerén elektronikusan tárolt adatok mentési és archiválási rendje. Ügymenet folyamatosság menedzselő folyamatok eljárás rendje. A KLIK által működtetett informatikai rendszer, szoftver, e-mail és internet szolgáltatásra vonatkozó intézkedések szabályozása. A KLIK informatikai szolgáltatásainak egy nem várt esemény, katasztrófa bekövetkezéséből adódó megszakadása esetében végrehajtandó feladatok, illetve a helyreállítási folyamatokra vonatkozó információk.

2. 3/2013. (II. 11.) a KLIK beszerzéseinek lebonyolításával kapcsolatos eljárásrendről szóló szabályzata

3. 4/2014. (IV. 23.) KLIK elnöki utasítás a Klebelsberg Intézményfenntartó Központ Mentési és Archiválási Szabályzata kiadásáról

4. 5/2014. (IV. 23.) KLIK elnöki utasítás a Klebelsberg Intézményfenntartó Központ Informatikai Működésfolytonossági terve kiadásáról

5. 6/2014. (IV. 23.) KLIK elnöki utasítás a Klebelsberg Intézményfenntartó Központ Informatikai Szabályzata kiadásáról

6. 6/2014. (IV. 23.) KLIK elnöki utasítás a Klebelsberg Intézményfenntartó Központ Informatikai Katasztrófa-elhárítási Terve kiadásáról

Tárgy

1. 3/2013. (I. 18.) KLIK elnöki utasítás a Klebelsberg Intézményfenntartó Központ fejlesztéseinek bonyolításával kapcsolatos eljárás rendjéről

Megnevezés

A KLIK elnöke által kiadott, információbiztonságot érintő rendelkezések

3. függelék a 2/2015. (VI. 30.) KLIK elnöki utasításhoz 2729 O K T A T Á S I É S K U L T U R Á L I S K Ö Z L Ö N Y • 2015. évi 9. szám

Sorszám

Rend. azon

Rövid név

Alkalmazás hosszú neve

Rendszer azonosító adatai

Felettes alkalmazás

Az informatikai rendszer szakmai felügyeletét ellátó szervezeti egység neve Kezelt adatfajta

pont

Azonosítás formája

Bizalmasság

pont

Van-e a rendszernek külső kapcsolata? pont

Megváltozás esetén a kár mértéke

pont

Van-e naplózás az adat megváltozására? pont

Sértetlenség

Ibtv. Szerinti besorolás

Biztosított-e a manuális beavatkozás lehetősége? pont

Egyéb módon kiderül-e az adat helytelensége? pont

A rendszer kiesésének tűrési ideje

pont

A tűrési időn túli kiesés által okozott kár

Rendelkezésre állás

pont

Átlagos veszélyeztetettség az utolsó három év adatai alapján pont

Biztonsági osztályba sorolás

4. függelék a 2/2015. (VI. 30.) KLIK elnöki utasításhoz 2730 O K T A T Á S I É S K U L T U R Á L I S K Ö Z L Ö N Y • 2015. évi 9. szám

(vagy nem

adat

biometrikus

token

védett adat

minősített

jelszavas +

törvény által

alkalmazás)

adatkezelő

jelszavas

formája

adatfajta

nyilvános adat

Azonosítás

Kezelt

Bizalmasság

nem

igen

kapcsolata?

külső

rendszernek

Van-e a

nagy

közepes

kicsi

mértéke

esetén a kár

Megváltozás

telensége?

lehetősége?

változására?

nincs

nem

nem

igen

adat hely-

beavatkozás

adat meg-

igen

kiderül-e az

a manuális

naplózás az

van

Egyéb módon

Biztosított-e

Van-e

Sértetlenség

4 órán túl

magas

közepes

kicsi

okozott kár

tűrési ideje

4 órán belül

A tűrési időn túli kiesés által

A rendszer kiesésének

Rendelkezésre állás Átlagos

magas

közepes

kicsi

alapján

(Pillér)

tulajdonú

Idegen

tulajdonú

felügyelt

szervezet által

Idegen

felügyelt

Idegen

NAV által

Saját tulajdonú

felügyelete

viszonyok

év adatai

Alkalmazás

A tulajdoni

tetettség az utolsó három

veszélyez-

Zárt belső

Nyitott belső

való kapcsolat

A környezettel

2731 O K T A T Á S I É S K U L T U R Á L I S K Ö Z L Ö N Y • 2015. évi 9. szám

2732



Klebelsberg Intézményfenntartó Központ …………………………….. (szervezeti egység)

Nyilatkozat IBSZ oktatásán való részvételről Név: .............................................................................................................................................................................................................................. Szervezeti egység: . ................................................................................................................................................................................................. Alulírott elismerem, hogy az Informatikai Biztonsági Szabályzat oktatásán részt vettem, az ott elhangzottakat megértettem, betartását magamra nézve kötelezőnek fogadom el. Az informatikai és kommunikációs eszközök csak a Klebelsberg Intézményfenntartó Központ feladataival, céljaival kapcsolatos, a munkaköri feladatok elvégzéséhez szükséges tevékenység céljára használhatók. A biztonsági eljárásokat és a Klebelsberg Intézményfenntartó Központ által a munkához biztosított informatikai eszközök helyes használatát megismertem, elsajátítottam, a biztonsági szabályok megsértésének következményeit tudomásul vettem. Kelt: .......................................................................

................................................................................... (foglalkoztatott aláírása) (külső munkavállaló aláírása)

2733



Klebelsberg Intézményfenntartó Központ …………………………….. (szervezeti egység)

Jelenléti ív

Oktatás tárgya:

Informatikai Biztonsági Szabályzat

Oktatás időpontja: Oktatás helye: Oktató neve, beosztása:

Jelenlévők: Név

Szervezeti egység

Aláírás

................................................................................... (oktató aláírása)

2734


7. függelék a 2/2015. (VI. 30.) KLIK elnöki utasításhoz Program

License

Megjegyzés

CDBurnerXP

free

CD, DVD író program

e-Signó

free

Digitális aláírtó, és tartozéka egy scanner program, ami több oldalas TIFF dokuemtum megtekintésére alkalmas oldalra ugrási funkcióval. (KIM, NGM, KEF, NETZrt, ME, EMMI, VM, NISZ) https://srv.e-szigno.hu/ e-akta dokumentum megnyitásához szükséges: https://srv.e-szigno.hu/index.php?lap=eakta

Calibre

opensource

E-book olvasó, ami különböző formátumok közötti konvertálásra is alkalmas, és rendelkezik e-book könyvtár funkcióval is. Támogatott formátumok: LIT, MOBI, AZW, EPUB, AZW3, FB2, HTML, PRC, RTF, PDB, TXT, PDF Olvasási formátum: CBZ, CBR, CBC, CHM, DJVU, EPUB, FB2, HTML, HTMLZ, LIT, LRF, MOBI, ODT, PDF, PRC, PDB, PML, RB, RTF, SNB, TCR, TXT, TXTZ Mentési formátum: AZW3, EPUB, FB2, OEB, LIT, LRF, MOBI, HTMLZ, PDB, PML, RB, PDF, RTF, SNB, TCR, TXT, TXTZ

Free Commander

free

Ingyenes kétablakos fájlkezelő. Fájlok másolására, áthelyezésére, átnevezésére, törlésére, mappák kezelésére, törlésére szolgáló program. Windows intéző, Total Commander, Norton Commander helyettesítésére szolgál.

BizAgi Process Modeller

free

Ingyenes üzleti folyamatkészítő alkalmazás. regisztrációt igényel az emlékeztetők (Pro verzió vásárlása) elkerüléséhez A programmal egyszerűen és gyorsan lehet, BPMN szabvány alapján folyamat modellt készíteni. Felhő technológiát is támogat.

Dia

opensource

folyamatábra, áramköri ábra készítő, sematikus ábra (elvi kapcsolási rajz)

GanttProject

opensource

Gantt ábra készítő Project menedzsment program

Inkscape

opensource

Vektor grafikai program: képek létrehozására, szekesztésére, módosítására. SVG kiterjesztésű képek szerkesztéséhez.

Gimp

free

képszerkesztő Raszteres grafikai program: képek létrehozására, szekesztésére, módosítására Adobe Photoshop kiváltására szolgál.

JPEGview

free

Képnézegető

Scribus

opensource

Kiadványszerkesztő program Adobe Indesign szoftver kiváltására szolgál. http://www.scribus.net/canvas/Scribus

Dynare

opensource

Gazdasági (statisztikai) számítások (dinamikus sztochasztikus egyensúly (DSGE), egymást átfedő számítások (OLG)), és hipotézis vizsgálatra elvégzésére alkalmas.

Microsoft Silverlight

free

web-es video lejátszó

VLC videó lejátszó szoftver

free

video lejátszó

FreeMind

opensource

Csoportos ötletesést támogató alkalmazás. (http://freemind.sourceforge.net/wiki/index.php/Main_Page)

FirstPDF

free

Mihez kérték: Magyar közlöny www.magyarkozlony.hu, www.mhk.hu PDF dokumentumból készíthető vele Word, Rich Text dokumentum, Plain Text fájl, és kép. Szerkesztés után Word, kép, és TXT fájlba lehet menteni. (KIM (555,963) részére Omnibus program PDF-be tud csak menteni)

2735


Program

License

Megjegyzés

PDF Creator

free

PDF konverter: Word, PDF dokumentummá alakító program. A Microsoft Office PDF nyomtónak is felismeri. PDF dokumentumokat más kiterjesztésű dokumentummá tudja alakítani, mint TIFF, JPEG, GIF.

Free PDF to Word Converter

free

Kép PDF-ként scanner-elt dokumentum PDF fájlok konvertálása Wordbe ! Ha a pdf fájl kép, akkor azt nem tudja.

PDF Tools

free

PDF dokumentum szerkesztő program PDF fájlok összeillesztésére, szétválasztására alkalmas, és titkosítására

PDF to Excel converter

free

Táblázatos PDF dokumentumok Excel dokumentummá alakítása. (Van fizetős változata is, a telepítési állomány ingyenes így csökkentett funkcionalitású)

Shape Chollage

free

fényképekből formakészítő

Mpp Viewer

opensource

Microsoft Project dokumentumok (.mpp fájlok) megnézésére szolgál

DiffPDF

opensource

Telepítés nélkül Linux, Mac OS X, Windows, és OS/2 környezetben futtatható, nyílt forráskódú (GNU) PDF dokumentumok tartalmi összehasonlítására alkalmas program.

Demetra

opensource

http://en.wikipedia.org/wiki/Demetra%2B | http://joinup.ec.europa.eu/software/ demetraplus/description

GRETL

opensource

A GRETL (Gnu Regression, Econometrics and Time-series Library), egy C nyelven írt, nyílt forráskódú, felhasználóbarát ökonometriai szoftver.

Octave

opensource

A GNU Octave egy magasszintu nyelv, mely elsosorban numerikus számításokra használható. Egy olyan kényelmes parancssoros interfészt szolgáltat, lineáris és nemlineáris problémák numerikus megoldásához, illetve egyéb numerikus kísérletek véghezviteléhez, ami a Matlab-bal nagyrészt kompatibilis. Ugyanakkor felhasználható script-nyelvként is.

Statcan

free

Statisztikai program mikroszimulációs modellek futtatásához.

Cran R

opensource

Statisztikai programcsomag - ingyenes Matlab szintű, jobb az SPSS-nél

AAGISView

free

A Magyar Országos Levéltár Arcanum Adatbázis Kft. (http://mol.arcanum.hu/) DigiDat (web-es alkalmazás, ami a dokumentum adatbázisban történő keresésre és megtekintésére szolgál) alkalmazásának a része, amit a digitális dokumentumaik megtekintésére alkalmaznak. Nyilvános adatbázis.

ArcGIS Explorer Desktop

free

Ingyenes térinformatikai alkalmazás. GIS információkat lehet megosztani (fotó, riport, video) a térképhez történő hozzárendeléssel, az Online alap térkép és felület használatával. Kész speciális elemzéseket lehet használni vele, mint láthatóság, felépítés, közelség keresés.

QuantumGIS

opensource

Térinformatikai rendszer. Programba betöltött térképeken területek megjelölésére alkalmas.

AxCrypt

opensource

Windows platformra, nyílt forráskódú titkosító program. Zökkenőmentesen telepíthető a Windows környezetben, és az összevonás, titkosítás, visszafejtés, tárolás, küldés munka elvégezhető egyedi fájlokkal. \\kdmgmt01\install$\other\AxCrypt http://www.axantum.com/axcrypt/

7Zip

free

Tömörítő: bármilyen formátumú fájl tömörítésére alkalmas (7z, tar, wim, zip kiterjesztésű fájlokká alakítja). Egy vagy több kötegben is lehetséges a tömörítés. Tömörített fájlokat, akár jelszóval is el lehet látni (ZipCrypto, AES-256 titkosítási eljárással) Szöveges fájlokat nagyobb hatékonysággal lehet tömöríteni, mint video, vagy hang fájlokat, az utóbbiak már többségében tömörítettek.

2736



Informatikai rendszer átvételének követelményei 1. Az előíró dokumentumhoz csatolt mellékletek és felsorolások 1. Dokumentumok felsorolása 2. Rendszerátvilágítási szakaszban bekérendő minimum adatok 3. Dokumentációs követelmények 4. Erőforrásbecslést segítő kérdéslista 5. Alkalmazások üzemeltetésre történő átvétel követelményei 6. Architektúra követelmények – Egységes Infrastruktúra 7. Egyszerű hoszting szolgáltatások - Egységes Infrastruktúrán kívül 8. Komplex rendszerek, befogadásának kritériumai Egységes Infrastruktúrán kívül 9. Jogosultságok meghatározása és beállítása 10. Monitoring rendszer kialakításának lépései 11. Átadás - Átvételi jegyzőkönyv minta 12. Átadás-átvételi forgatókönyv minta 13. Tárolási nyilatkozat minta 14. Jelszavak megszüntetéséről jegyzőkönyv minta 15. Rendszer hozzáférési jelszavak átadás táblázat 16. Vállalkozói/Külső-üzemeltetői/Projekt/Fejlesztői kör számára átvétel utáni hozzáférések

2. Rendszerátvilágítási szakaszban bekérendő minimum adatok 1. Telephely adatok a. Intézményi kapcsolattartó neve, telefon: b. Intézményi kapcsolattartó elektronikus elérhetősége: c. Telephelyek címei d. Telephely technikai kapcsolattartójának neve e. Telephely technikai kapcsolattartójának közvetlen telefonszáma f. Telephely technikai kapcsolattartójának közvetlen e-mail címe 2. Műszaki adatok a. Hardverek (1) Számítógépek (a) asztali számítógép/notebook (b) gyártó (c) típus (d) part number (e) serial number (f) konfiguráció (típus) (g) perifériák (monitor, egér billentyűzet) (h) az eszközök tulajdonosa (i) az eszközök üzemeltetője (2) Szerverek (a) gyártó (b) típus (c) part number (d) serial number (e) beállítások (f) funkciók (g) használt portok

2737


(h) monitoring (i) mentés (j) az eszközök tulajdonosa (k) az eszközök üzemeltetője (3) Nyomtatók (a) Lokális/multifunkciós (b) gyártó (c) típus (d) part number (e) serial number (4) Support információk miden eszközzel kapcsolatban (garanciális hibajavítás feltételei, support lehívás, kapcsolattartók) b. Szoftverek/licencek (5) Kliens környezet (a) Operációs rendszer és azok licencei (b) Irodai szoftverek és azok licencei (c) Alap image tartalmának leírása (d) Egyéb a kormányzatban általánosan használ alkalmazások (i) OWA (ii) Activesync (iii) Communicator (iv) VPN (6) Alkalmazások és azok licencei (a) Dobozos szoftverek neve, verzió száma (b) Fejlesztett alkalmazások licencei (7) Szerver licencek c.

Szoftverek/licencek adott rendszer esetén (8) Licencek megnevezése éles környezetre

A szerverek operációs rendszer neve (verzió számmal és javítócsomag számával) Alkalmazás szerverekhez szükséges licencek neve (verzió számmal és javítócsomag számával), licenc konstrukció típusa (user-alapú, konkurens user-szám, processzor-alapú). Adatbázis szerverekhez szükséges alkalmazás neve (verzió számmal és javítócsomag számával), licenc konstrukció típusa (user-alapú, konkurens user-szám, processzor-alapú). Szükséges egyéb komponensek neve (verzió számmal és javítócsomag számával) (9)

Licenci igazolások

d. Alkalmazások (10) Dobozos szoftverek neve, verzió száma (11) Fejlesztett alkalmazások neve, verzió száma (12) Fejlesztő, supportáló cég neve, kontaktok (13) Telepítő készletek (14) Függőségek

teszt környezetre

oktatói környezetre

fejlesztői környezetre

2738


e. Hálózatok (15) IP címzés koncepciója (16) VLAN kiosztás koncepciója (17) az összes használatban lévő VLAN és IP cím táblázatos formában (18) hálózati topológia ábrák (a) fizikai (L1) topológia (b) logikai (L2,L3) topológia (19) hálózati eszközök kiépítése (a) főeszközök, modulok, transceiverek (b) gyártó (c) típus (d) part number (e) serial number (f) szoftverek (g) licencek (h) vásárolt support (i) az eszközök tulajdonosa (j) az eszközök üzemeltetője (20) hálózati eszközök mentett konfigurációi (21) a központok külső kapcsolatainak listája (IPSec is) (a) kapcsolat célja (b) sávszélesség (c) a partnerrel történt megállapodás műszaki részletei (d) kapcsolattartó adatai a partnernél f. Tűzfalak, tároló eszközök felügyeletének átadás-átvételhez kapcsolódó dokumentumok (22) IP címzés koncepciója (23) VLAN kiosztás koncepciója (24) az összes használatban lévő VLAN és IP cím táblázatos formában (25) hálózati topológia ábrák (a) fizikai (L1) topológia (b) logikai (L2,L3) topológia (26) Tűzfalak fizikai kialakítása (a) főeszközök, modulok, interface-ek (b) gyártó (c) típus (d) part number (e) serial number (f) szoftverek (g) licencek (h) vásárolt support (i) az eszközök tulajdonosa (j) az eszközök üzemeltetője (27) Tűzfalak mentett konfigurációi (28) Tűzfalak out-of-band management elérésének dokumentációja (29) DMZ kialakítások leírása (30) A kialakított tűzfal szabályrendszer dokumentációja (átadás-átvételkori) (31) Mentési/visszaállítási tervek (32) Tűzfalak naplózó, loggyűjtő rendszerének kialakítása, időpecsét megoldás (33) Külső kapcsolódási pontok listája (IPSec is) (a) kapcsolat célja (b) sávszélesség (c) a partnerrel történt megállapodás műszaki részletei (d) kapcsolattartó adatai a partnernél

2739


(34) (35)

Tároló eszközök és SAN infrastruktúra kialakításának leírása Tároló eszközök és SAN infrastruktúra menedzseléséhez szükséges felhasználónév/jelszó páros, vagy kulcsos azonosítás esetén a szükséges kulcspárok g. WAN/Telephelyek közötti összeköttetések (36) Adat-internet kapcsolatok száma (37) Adat/Internet összeköttetés sávszélessége típusonként/telephelyenként (éles/ tartalék összekötés) (38) Az összeköttetések megvalósításának technológiáját (pl. mikro, monomódusú /multimódusú optika, stb.) (39) Szolgáltató megnevezése kapcsolatonként (40) Support szolgáltató megnevezése kapcsolatonként h. Internet (41) Van- e publikus IP címtartomány? (42) Naplózzák - e az internet forgalmat? (43) Korlátozzák - e az internet forgalmat (44) Milyen eszközzel végzik a korlátozást? i. Telefon (45) Mobil telefonok száma/típusa (46) Telefonkészülékek száma/típusa (47) SIM kártyák száma (48) Telefon központ típusa (49) Telefonalközpont típusa (50) Eszközök tulajdonosa (51) Eszközök üzemeltetője j. Egyéb infrastruktúrális környezet (52) Naplózott rendszerek listája (53) Monitoring rendszer teljes körű feltérképezése k. Adatok (54) mentett/archivált adatok (55) mentési rendszer (56) mentési terv (57) közös tárterület l. Jogosultságok (nevesített és nem nevesített accountok) (58) alkalmazásokhoz (a) szervezeten belüli felhasználók (b) vállalkozók (c) külső üzemeltetők (d) projekt tagok (e) fejlesztői kör (59) közös tárterülethez m. Nyilvántartások (60) Licence nyilvántartás (61) Eszköznyilvántartás n. Szolgáltatások (62) Szolgáltatás neve (63) Szolgáltatások rövid leírása (max 300 karakter) (64) Hozzá kapcsolódó egyéb szolgáltatások (65) Szolgáltatás üzemidő (szolgáltatási időablak) (66) Rendelkezésre állás (%-ban megadva) – (lásd még alkalmazásüzemeltetésre átvételi követelmények pont) (67) Intézkedési idő (bejelentés és teljesítés megkezdése közötti idő) (órában megadva) (68) Megoldási idő (bejelentés és a szolgáltatás visszaadása közötti idő) (órában megadva)

2740


o.

p. q.

r.

Dokumentációk (lásd bővebben Dokumentációs követelmények pontot) (69) Rendszer kialakításához kapcsolódó dokumentumok (a) Koncepcionális terv (b) Rendszer-, igényspecifikációs terv (c) Logikai rendszerterv (d) Fizikai rendszerterv (e) Forráskód/telepítőkészlet (f) Teszt-terv (g) Tesztelési jegyzőkönyv (h) Szerződések (70) Rendszer üzemeltetéshez kapcsolódó dokumentumok (a) Installációs dokumentum (b) Üzemeltetői kézikönyv (c) BCP/DRP (71) Használathoz kapcsolódó dokumentumok (a) Géptermi átadás-átvételhez kapcsolódó dokumentumok Korábban ügyfélszolgálati alkalmazásban tárolt hibajegyek listája Garancia és support (72) Garancia/Support információk minden eszközzel kapcsolatban (a) garancia lejárat, (b) garanciális hibajavítás feltételei, (c) support lehívás, (d) kapcsolattartók (73) support bejelentést átruházni (kinek, milyen telefon, át kell íratni bejelentőt) Jól ismert hibák

Típus adatok

Kiépítettség szint

1 Abban az esetben, ha a rendszer a NISZ gépterembe kerül nem szükséges kitölteni a táblázatot

Fal és nyílászáró határoló szerkezetek Álpadló EMC védelem (védelmi szint) Géptermi világítás Légkezelő rendszer Légnedvesítő rendszer Hűtési rendszer Erősáramú elektromos rendszer • Elkülönített merev és szünetmentes elektromos hálózat • Erősáramú elektromos leágazás mobil aggregátoros megtápláláshoz • Fix telepítésű aggregátor • Szünetmentes tápegység Automatikus tűzjelző rendszer Beépített tűzoltó rendszer (oltó anyag típusa)

Van/Nincs

s. Gépterem Gépteremmel kapcsolatban az alábbi táblázatokat kérjük kitölteni1: Tulajdonos

Üzemeltető

Technikai felügyeletet ellátó

Biztonsági szolgálat

Jelenlegi és előző karbantartó

Egyéb érintettek


Beléptető rendszer Behatolás jelző rendszer Video megfigyelő rendszer Rack szekrények és szerelvények Géptermi kábelhálózat és passzív panelek Van szabad hely valamely rack szekrénybe? Igény szerint elhelyezhető-e a helyiségben egy újabb rack szekrény? Amennyiben két helyiség között van -e távközlési átkérő rendszer? Milyen típusú az átkérő rendszer? Mekkora a szabad kapacitása az átkérő rendszernek? Engedélyezett -e új átkérő rendszert kiépíteni?

Van/Nincs

Típus adatok

Kiépítettség szint

Tulajdonos

Üzemeltető

Technikai felügyeletet ellátó

Biztonsági szolgálat

Jelenlegi és előző karbantartó

Egyéb érintettek


2743


3. Szervezeti a. Szervezeti ábra, amely mutatja a szervezeti hierarchiát b. Szervezeti vezetők névsora és elérhetősége területenként c. Felhasználók névsora és hiánytalanul kitöltött SZEAT adatkérő táblázat d. Informatikai kollégák létszáma, kompetenciája és feladatai

4. Gazdasági/Jogi a. Annak vizsgálata, hogy a szervezet ellátása nem ütközik jogi vagy gazdasági akadályokba. b. Támogatási (support) szerződések c. Olyan szerződések, amelyek bármilyen módon érintik az informatikai és telekommunikációs rendszert d. Eszközök tulajdonjoga e. Licencek tulajdonjoga

3. Dokumentációs követelmények 3.1. Rendszer Dokumentációs követelmények 3.1.1. Rendszer kialakításához kapcsolódó dokumentumok 1.

Koncepcionális terv Szolgáltatás definíció (alkalmazás célja, felhasználók száma, alkalmazás elérhetősége); l Felhasználói kör definiálása (személyek, szervezet); l Magas szintű megvalósítási terv; l

2.

Rendszer / Igényspecifikáció l funkcionális igények - mindegyiknek legyen hivatkozási száma és prioritása (kötelező, opcionális) l nem funkcionális igények - mindegyiknek legyen hivatkozási száma és prioritása (kötelező, opcionális) l biztonság (LDAP-nak megfelelő jogosultsági rendszer, felhasználó-kezelés, naplózás) l user interface l teljesítmény (válaszidők) kapacitás (pl.: felhasználó szám), skálázhatóság l menedzselhetőség l rendelkezésre állás l tervezési megszorítások (apriori adott dolgok) l interfészek l szabványok l siker kritériumok meghatározása

3.

Logikai rendszerterv l Rendszer-architektúra és működés bemutatása l A rendszerfunkcionalitásának, működésének (a feldolgozás menetének, időbeli lefolyásának) rövid, bevezető jellegű leírása. l Az alkalmazás modellje (pl.: kétrétegű kliens/szerver, batch feldolgozás) l Alkotóelemek (modulok) és kapcsolataik, szerepük szöveges leírása. l Interfészek rövid leírása, beleértve a külső és belső rendszerkapcsolatokat (RDBMS is ide tartozik) l Hardverplatformok l Szoftverkörnyezet (pl.: operációsrendszerek, adatbázis-kezelők, üzenetvivők, függvénytárak) l Fejlesztőeszközök, fejlesztési filozófia . l Fő tervezési elvek és szempontok, a megfelelő követelményekkel indokolva l Logikai hálózati terv l UI tervezés: képernyők, menürendszer l entity/relationship diagramok, adatbázis-szerkezet, normalizálás / denormalizálás l Objektum orientált programozás: l objektum modellek (pl UML-ben) n elemzési modell (domain model) n tervezési modell (design model) l use case-ek

2744


4.

Fizikai rendszerterv l Fizikai hálózati terv l Eszközök fizikai leírása (Szerverek, tűzfalak hálózati, egyéb eszközök leírása) l fogyasztás, csatlakozók, kábeltípusok, hőterhelés, stb. l rack beültetési terv, l kábelezési terv,

5. Forráskód/telepítőkészlet l A fejlesztői kommentekkel ellátott forráskód (az automatikusan generált kommentek nem elégségesek), olyan módon, hogy egy új kompetens fejlesztő a rendszerterveket és a kommenteket elolvasva, folytatni tudja a munkát. l Build környezet, +telepítési leírás (+ehhez szükséges licenszek) 6. Teszt-terv Minden, az igény specifikációban meghatározott követelményre kell szülessen teszt eset, meghatározva, hogy milyen feltételek teljesülés esetén tekintjük sikeresnek a tesztet. Minimálisan az alábbi teszteket kell elvégezni és jegyzőkönyvezni: l Terheléses teszt l Funkcionális teszt l Felhasználói teszt l Integrációs teszt l Betörési teszt l Redundancia teszt l Mentési/visszaállítási teszt 7. Tesztelési jegyzőkönyv Dokumentálja a rendszerelem alapfunkcionalitására vonatkozó megfelelőségét, amely alapja a rendszerelemek szabályozott módon történő átadásának. 8. Szerződések l Az alkalmazáshoz kapcsolódó külső fejlesztő vagy üzemeltetői szerződés. l Rendszer üzemeltetéshez kapcsolódó dokumentumok

3.1.2. Rendszer üzemeltetéshez kapcsolódó dokumentumok 9. Installációs dokumentum Az éles üzembe helyezés és tesztrendszer felépítésének lebonyolításához kapcsolódó tevékenységeket tartalmazó dokumentum, a következő tartalmi elemekkel: l A telepítéshez szükséges telepítő csomagok pontos neve, verziószáma; l Diszkterületek megosztása l File rendszer típusa, mérete l A telepítés szükséges előfeltételeit, a telepítendő egyéb szoftverkomponensek leírása; l A telepítés lépéseinek pontos leírása; l A telepítés utáni konfigurációs feladatok leírása; l Sikertelen telepítés esetére a visszaállítás lépéseinek leírása; l Az alkalmazás konfigurációja során használható összes konfigurációs paraméter leírása; l Az alkalmazás eltávolításának lépései. l Milyen funkcionalitás tesztelésével lehet ellenőrizni a telepítés sikerességét. 10. Üzemeltetői kézikönyv Az éles üzembe helyezés utáni zökkenőmentes működés biztosításához szükséges tevékenységeket tartalmazó dokumentum, a következő tartalmi elemekkel: l A működéshez szükséges általános üzemeltetési feladatok leírása; l A működés ellenőrzéséhez szükséges lépések;

2745


l l l l l l l l l l l l

A naplóállományok helye, kezelésük és ellenőrzésük módjai; Frissítések típusai és rendszeressége; A frissítések telepítésének lépései; A zavartalan működéshez szükségesek, rendszeresen végzendő feladatok leírása; Visszaállításhoz szükséges mentendő objektumok megnevezése, a mentés módjának megadásával; Rendszeresen elvégzendő tevékenységek a performancia optimális szinten tartásához; Konfigurálás Menedzsment funkciók ismertetése Mentés és visszaállítási terv, illetve ezen beállítások indokai Archiválás Váratlan események kezelése Az üzemeltetéshez javasolt dokumentációk felsorolása

11. BCP/DRP Katasztrófa akcióterv javaslat – fejlesztő részéről. Katasztrófa éves teszt jegyzőkönyv - üzemeltetőktől BCP akcióterv: l az alkalmazás helyettesítése a munka folyamatban, az intézmény feladat, l üzemeltetői tevékenységekre vonatkozó akcióterv, melyek szükségesek a folyamatos munkamenet fenntartásához.

3.1.3. Használathoz kapcsolódó dokumentumok 12. Felhasználói kézikönyv Az alkalmazást használó felhasználók számára készített részletes dokumentum, amely leírja az alkalmazás működését és ismerteti használatának módját. Az alkalmazás részletes leírása funkciónként, képernyő képekkel, példákkal illusztrálva, olyan módon, hogy annak a felhasználó számára is érhető legyen, aki nem rendelkezik magas szintű informatikai alapismereteket. A kézikönyv tartalmi elemei: l A felhasználói felületek (képernyők) és azok használatának leírása; l Alkalmazás által nyújtott funkciók és használatuk leírása; l Felhasználói konfigurációk lehetősége; l Esetleges hibalehetőségek és azok megoldásának felsorolása; l Felületen elvégezhető adminisztrátori tevékenységek és az azokhoz tartozó konfigurációs paraméterek leírása;

3.1.4. Rendszer átadás-átvételhez kapcsolódó dokumentumok 13. Rendszerterv 14. Implementációs terv 15. Elfogadott üzemeltetői kézikönyv 16. Elfogadott felhasználói kézikönyv 17. Üzemeltetéshez kapcsolódóan rendszeresen keletkező dokumentumok: heti jelentések, megbeszélés emlékeztetők, kockázatok elemzése, változáskérelmek, átadás-átvételi dokumentumok) 18. Az alkalmazáshoz kapcsolódó szabályzatok 19. Migrációs terv 20. Részletes rendszerbeállítások leírása (tűzfalszabály, rendszer és eszköz konfigurációk) 21. Riasztási terv (vagy eszkalációs mátrix) 22. Ismert és nyitott hibák listája

2746


3.2. Géptermi átadás-átvételhez kapcsolódó dokumentumok2 1. 2. 3. 4. 5. 6.

7.

Gépterem rendelkezésre állási követelményeit szabályozó dokumentum Objektum beléptetési protokoll gépteremig Biztonsági szabályzat Tűzriadó terv Katasztrófa elhárítási szabályzat Géptermi környezet alrendszereire (Minden alrendszerhez) l Üzemeltetési szerződések l Bérleti szerződések l Karbantartási szerződések l Engedményezési megállapodások l Garancia levelek l Biztosítási szerződések Műszaki dokumentációk (Minden alrendszerhez) l Hatósági eljárások határozatai l Engedélyeztetési tervek l Megvalósulási tervek l Mérési jegyzőkönyvek l Üzemeltetési és karbantartási utasítások l Kezelési kézikönyvek l Felülvizsgálati jegyzőkönyvek l Karbantartási jegyzőkönyvek l Hiba javítási jegyzőkönyvek l Hiba felvételezési jegyzőkönyvek

4. Erőforrásbecslést segítő kérdéslista Az ügyféllel és/vagy fejlesztővel kitöltetett rendszer kialakítási/fejlesztési/átvételi sablonon kívül az alábbi kérdéseket kell megválaszolni a megfelelő erőforrás becslés elkészítéséhez Hardver költségek: l A jelenlegi hardverek teljesítménye elegendő-e az alkalmazás futtatásához (Meglevő infrastruktúra szabad kapacitással rendelkezik-e)? o Szükséges-e újabb szerver beszerzése? (egyéb környezetekhez)? o Szükséges-e tárterület, memória bővítése? l Szükséges-e hálózat módosítása, vagy fejlesztése? l Szükséges-e a mentőrendszer bővítése, mentési adathordozók beszerzése? l Eszközigény költségfinanszírozása biztosított-e (support is)? l Az újonnan beszerzett hardver elemeknek, milyen éves fenntartási, karbantartási költségvonzata van? Szoftver költségek: l Milyen licensz vonzata van ezen rendszer kialakításnak/átvételnek? l Az alkalmazás licencei (beleértve a teszt/fejlesztő/oktatási/tartalék rendszert is) l A szerverek operációs rendszereinek a licencei, l Alkalmazásszerver licencei l Az adatbázis-kezelő szoftverkomponensek licencei, l A szerverek felügyeletéhez szükséges szoftverek (pl. SCOM, NAGIOS) licencei, l A mentési feladatokhoz szükséges Mentési szoftver licenceke, l A fenti szoftverek rendelkezésre állnak, vagy szükséges beszerezni őket?

2 Abban az esetben, ha a rendszer a NISZ gépterembe kerül nem a gépteremre vonatkozó adatokat megadni.

2747


Emberi erőforrást érintő kérdések l Meg kell határozni, hogy melyik szervezeti egység, milyen munkakört betöltő munkavállalója látja el az alábbi üzemeltetési feladatokat: l Az alkalmazás használatával kapcsolatos hibák l Fogadása, l Kezelése, megoldása l Az alkalmazás használatához kapcsolódó jogosultságok kezelése l Új felhasználó felvétele l Felhasználó törlése l „Felhasználó-szerepkör-funkció (tranzakció)” összerendelések kialakítása és módosítása l Az adott informatikai rendszer és más rendszerek közötti adatcsere folyamatának, az interfészek működésének felügyelete l A szervereken futó szoftverkomponensek felügyelete l A szerverkomponensek felügyelete l Az üzemeltető munkatársaknak van-e szabad kapacitása az új alkalmazás üzemeltetéséhez? l Az alkalmazás és alaprendszer üzemeltetéséhez van-e megfelelő szaktudás? l Amennyiben nincs: elegendő módosítani a képzési tervet, vagy új munkatárs felvétele szükséges? l Képzési terv módosítása esetén: milyen képzéseken kell az üzemeltetési munkatársaknak részt venni az alkalmazás megfelelő szintű üzemeltetéséhez? l Szükséges-e munkatársat felvenni az alkalmazás üzemeltetéséhez? l Szükséges-e az alkalmazás üzemeltetéséhez külső partnert bevonni? l Képes lesz-e az ügyfélszolgálat támogatni az új alkalmazást? l A végfelhasználók képesek lesznek-e az új alkalmazás használatára, illetve milyen költségvonzata van a felhasználók betanításának? Erőforrások ütemezése A megfelelő ütemezés kialakításához az ütemezési terv része kell legyen a következő táblázat: Szakasz

átfutási idő

Erőforrás igénye [embernap]:

[nap] Fejlesztők

Szerveresek

Alkalmazástám.

Hálózatosok

Mérföldkő

[dátum]

Helyi támogatók

Előkészítés Tervezés Megvalósítás Bevezetés Követés Üzemeltetés Tervezett Összesen Folyamatokat érintő kérdések l Hogyan integrálható be az új alkalmazás a jelenlegi Üzletmenet-folytonossági tervekbe? l Lefedik-e a jelenlegi szolgáltatási szerződések az új alkalmazással kapcsolatosan felmerülő igényeket? Egyéb költségek l Beszerzés - A szükséges új beszerzések (hw, sw) tervezett-e, benne van e az éves beszerzés tervben? A projekt fedezi e a fenntartási idő alatt a licencek éves díját? l Elhelyezés l Rendelkezésre áll-e elegendő tároló és kiszolgáló kapacitás az új hardverelemek beüzemeléséhez? Kell-e a szervertermek kiszolgáló kapacitást fejleszteni? l A NISZ számítógéptermében, vagy külső, bérelt gépteremben működjenek? Külső gépterem esetén a bérlés költségeit figyelembe kell venni.

2748


Amennyiben külső üzemeltetés: el kell dönteni, hogy a rendszert külső, vagy belső szakemberek üzemeltessék, vagy valamilyen megosztott üzemeltetés legyen, rögzített feladatelhatárolással. Menedzsment/felügyeleti – A hálózat, desktop számítógépek, szerverek, alkalmazások és tároló infrastruktúra menedzsmentjének közvetlen informatikai bérköltsége és outsourcing díja; Támogatási költségek – Hálózati végfelhasználók támogatásának közvetlen munkaerő költsége és díja; Hardver l Szerverekkel kapcsolatos költségek n Éles, teszt, fejlesztői, oktató környezet szerver költségei l Kliensekkel kapcsolatos költségek A kliens-számítógépekkel, szerverekkel, perifériákkal, hálózattal és alkalmazásokkal kapcsolatos éves hardver-és szoftvervásárlási tőkeköltségek, licencdíjak, rendelkezésre állási díjak; Kommunikációs vonalak költsége – A használt bérelt vonalak, távoli elérési szolgáltatások, internet szolgáltatás, WAN (Wide Area Network) hálózat költsége; Végfelhasználói támogatás költsége – Az éves végfelhasználói „termeléskiesés”, amely idő alatt a felhasználók olyan informatikai feladatokat végeznek, amelyek elvégzése nem az ő feladatuk lenne; Leállási (kiesési időkből származó) költségek – Az informatikai szolgáltatások (tervezett illetve nem tervezett) kiesése által okozott éves végfelhasználói termeléskiesés; l

l

l l

l

l

l

l

5. Alkalmazások üzemeltetésre történő átvétel követelményei A rendszerek tervezése során tisztázandó kérdések – üzemeltetési szempontok Élettartam Az alkalmazás várható életciklusa években

…….. év

Rendelkezésre állás Nyitvatartási idő:

……. óra és ……..óra között

Mekkora időtartamban történő leállás viselhető az üzleti folyamatok részéről jelentősebb anyagi károk, veszteségek nélkül?

……. óra és ……..óra között

Egy tervezett, vagy nem tervezett leállást követően mennyi időn belül kell, hogy újból működjön a rendszer?

…. órán belül kritikus időszakban ..... órán belül kritikus időszakon kívül

A rendszer karbantartáshoz szükséges tervezett leállításokat mely időszakra időzítheti a NISZ? Napi karbantartások lehetséges időablaka

…….órától ……óráig

Heti karbantartások lehetséges időablaka

…….. napon és/vagy ……...napon

Havi karbantartások lehetséges időablaka

…… (dátum)tól……….. (dátum)ig

l

l

l

Infrastruktúra/hálózat Az éles környezeten kívül szükség van e még teszt környezetre

Igen/Nem

oktatói környezetre

Igen/Nem

fejlesztői környezetre

Igen/Nem

l

l

l

Önálló eszközön működjenek a fenti környezetek vagy összevonhatók más, hasonló rendszerekkel? Alkalmazás hálózat/sávszélesség igénye (szerver-kliens / más rendszerekkel való adatcsere)

2749


Mely felügyeleti eszközzel működik együtt az alkalmazás (pl.: SCOM, Nagios)? Jogosultság A jogosultsági szerepkörök kialakítása (illetve szétválasztása) megoldott ennél a rendszernél? Mentés Mely adatokat kell menteni? Ezen adatok milyen biztonsági besorolásúak? A vonatkozó belső szabályzat milyen előírásai vonatkoznak rá? Szabályzat hiányában: milyen gyakorisággal kell menteni?

Külön dokumentumban kérjük elkészíteni, amennyiben nem áll rendelkezésre valamely más dokumentumban (üzemeltetési dokumentáció)

Hány mentést kell megőrizni visszamenőleg? Az éles környezeten kívül mely környezeteket kell menteni? Milyen gyakorisággal? Archiválás – Kötelező! Az alkalmazás archiválási megoldása

Ezt kérjük külön dokumentumban elkészíteni

Archív adatbázis keresési lehetőségeinek kifejtése Hardver komponensek leírása Diszk terület várható éves növekménye Adatcsere más rendszerekkel Rögzíteni kell, hogy milyen más rendszerekkel kell adatot cserélni. l Milyen adatokat? (ezeket Tábla és Mező szinten kell részletezni)

Milyen gyakorisággal?

l

Napi többszöri?

l

Napi egyszeri?

l

Eseti jellegű?

l

Az adatcsere időzítetten, vagy eseményvezérelten történjen. Meg kell határozni adattípusonként az adatmozgás irányát. Adattípusonként mekkora lesz várhatóan a mozgatandó adatmennyiség. Rögzíteni kell, hogy mely adattípusoknál szükséges teljes áttöltés és melynél ún. „delta” töltés. Milyen típusú interfész megoldás kerül kialakításra? Fájl csere? Mi lesz a fájlformátum? (text, csv, xml, egyéb) Middleware alapú? Ha middleware, akkor milyen mw termék alkalmazása szükséges?

Ezt kérjük külön dokumentumban elkészíteni

2750


6. Architektúra követelmények – Egységes Infrastruktúra Az alkalmazás architektúrájának a következő követelményeket kell teljesítenie:

a. Jogosultságkezelés, címtár követelmények A központosított, egységes infrastruktúrában Microsoft Active Directory (AD) lett telepítve. Az alkalmazásnak l AD authentikációt kell használnia; l képesnek kell lennie AD felhasználói csoportok kezelésére; l biztosítania kell különböző felhasználói jogosultsági szinteket (adminisztrátor, felhasználó, kiemelt felhasználó, stb.). Az alkalmazásnak képesnek kell lennie Microsoft Windows 2008 és 2008R2-ae AD funkcionalitási szint használatára.

l

Az alkalmazást érintő minden jogosultság esetében törekedni kell a szükséges minimum jogosultság kiadására („least privilege”).

b. Felügyeleti rendszerbe integrálhatósági követelmények A központosított, egységes infrastruktúrában SCOM 2012 és SCCM 2007R3 felügyeleti rendszer került telepítésre. l Az alkalmazásnak felügyeleti rendszerrel felügyelhetőnek kell lennie abban az esetben, ha az alkalmazásban rendszeres időközönként végrehajtandó eljárások kerültek implementálásra. l Az alkalmazás kliens oldalának SCCM segítségével telepíthetőnek, eltávolíthatónak és frissíthetőnek kell lennie. l SCCM leltározási funkció támogatása.

c. Levelezés követelmények A központosított, egységes infrastruktúrában Exchange 2010 kerül telepítésre. l Az alkalmazásból történő e-mail küldése csak az Exchange 2010 szerveren keresztül történhet MAPI vagy authentikált SMTP segítségével. l Az információk Exchange 2010-ből történő kinyerésére az Exchange Webservice-n keresztül történhet. (Public Folder használata nem preferált, új rendszer bevezetése esetén nem engedélyezett).

d. Adatmentés, archiválás követelmények A központosított, egységes infrastruktúrában Symantec NetBackup működik. l Magas rendelkezésre állású alkalmazás esetén szükséges az online mentés biztosítása, amelyhez VSS (Volume Shadow Service) writer megvalósítása szükséges.

e. Tűzfal és WebProxy követelmények A központosított, egységes infrastruktúrában több node-os MS Forefront TMG 2010 került bevezetésre. l Internet kapcsolat szükségessége esetén az alkalmazásnak támogatnia kell az authentikációs WebProxy-t. l Ha az alkalmazást internet felé publikálni szükséges, akkor a protokoll standard-oknak való megfelelést biztosítani kell (RFC standard-ok).

f. Adatbázisszerver követelmények A központosított, egységes infrastruktúrában MS SQL2008R2 került kialakításra, és az alkalmazások adatbázisait ezen kell elhelyezni. Az alkalmazás saját adatbázisához történő hozzáférés külön felhasználói accounttal történhet. A felhasználó csak AD felhasználó lehet. Az MS SQL hozzáférések ezen account használatán kell alapuljanak. Az alkalmazás l alkalmazás részére nem biztosított a default instance használata l adatbázis rétegének implementációja csak MS SQL 2008R2 adatbázis-kezelő használatával történhet, figyelembe véve az aktuálisan telepített verziót és patch szintet; l csak a saját adatbázisához rendelkezhet emelt jogosultságú hozzáféréssel. Más alkalmazás adatbázisához történő közvetlen hozzáférés nem engedélyezett. l azon adatainak eléréséhez, amelyekre más alkalmazásnak szüksége van, webservice szolgáltatást kell fejleszteni.

2751


Az alkalmazás adatbázisát meglévő adatbázisok mellé kell tervezni. Más alkalmazás adatainak elérését lehetőleg webservice híváson keresztül kell elérni. Nagy mennyiségű adat esetén a gyorsabb működés, illetve az adatok szétválasztása érdekében archív táblákat kell alkalmazni, mind az adat, mind a naplótáblák vonatkozásában. Adatbázis szerverre való egyéb komponensek telepítése nem engedélyezett. Az SQL hozzáférés paramétereinek utólagos módosíthatóságát biztosítani kell. Az adatbázis objektumok elnevezésekor törekedni kell a következetes, egyértelmű és egyszerű névkonvenció használatára.

g. Alkalmazásszerver / alkalmazás felépítés követelmények Webszerver verzió követelmény: IIS 7.5 - .NET 2.0,.NET 3.0. l Az alkalmazásnak IIS 7.5-ön futtathatónak kell lennie. l Az alkalmazás fejlesztésekor a kliens-szerver architektúrát vagy három, vagy több rétegű web alapú felépítést kell követni. l Az alkalmazás funkcióinak implementálására a webservice technológia használata is megengedett. l Az alkalmazásnak Microsoft platformon futtathatónak kell lennie l Minden alkalmazást külön Application poolba kell tervezni. l Az alkalmazásnak támogatnia kell az NLB (Network Load Ballance) működési módot. l A fejlesztett alkalmazásnak az aktuális web és alkalmazásszerver verziókkal kell kompatibilisnek lennie. A fejlesztett alkalmazás kliens felületének felépítése meg kell felelnie a következő szabályoknak: l Az alkalmazás fejlesztése során törekedni kell az átlátható és egyszerűen használható felületek kialakítására. l A fejlesztett alkalmazásnak l Windows 7 operációs rendszerrel és l MS Internet Explorer aktuális, telepített verziójával l konfigurált kliensekkel kell kompatibilisnek lennie. l Web alapú vékony kliens esetén integrated authentikáció-t kell használni belső tartományi használat esetén. Tartományon kívüli használat esetén ”form-based” authentikáció támogatása szükséges. l A futtatás csak felhasználói (user) jogosultsággal lehetséges az EI-ben központilag beállított korlátozások figyelembe vételével.

h. Tartalomvédelem követelmények A központosított, egységes infrastruktúrában Windows Server RMS került bevezetésre. Amennyiben az alkalmazás használ RMS-sel védett dokumentumokat, akkor az alkalmazást RMS-képessé kell fejleszteni.

i. Virtualizációs követelmények A központosított, egységes infrastruktúrában MS Hyper-V került bevezetésre. l Virtuális környezetben futatott alkalmazás esetén USB eszközök (SmartCard, USB kulcs, hardver kulcs) használata nem támogatott. l A Hyper-V által futtatott virtuális gépnek MS operációs rendszerrel kell rendelkeznie.

j. SharePoint környezet Az alkalmazásnak támogatnia kell az infrastruktúra által biztosított redundáns működési módot. Az Egységes infrastruktúrában üzemeltetett egy SPS2010 környezet az alábbiak szerint: l 2 node-os frontend NLB l 2 node-os alkalmazás szerver redundáns kialakítással Teszt rendszer rendelkezésre áll.

k. Vírus védelem Az egységes infrastruktúrába telepítésre került központilag menedzselhető módon Symantec Endpoint Protection 12 vírusvédelmi rendszer. l Az alkalmazásnak együtt kell működni az EI-ben beállításra került vírusvédelmi házirenddel l Csak indokolt esetben és a rendszer biztonságát nem veszélyeztető konfiguráció módosításra van lehetőség az alkalmazás használatához szerver, vagy kliens oldalon (pl.: kivétel listák bővítése esetén)

2752


7. Egyszerű hoszting szolgáltatások - Egységes Infrastruktúrán kívül A következő pontokban a NISZ hoszting rendszereiben elhelyezhető, általában egyszerűbb rendszerek elhelyezésére vonatkozó korlátokat, konform megoldásokat, és standardokat soroltuk fel. Ezek figyelembe vételével helyezhetőek el újabb elemek a rendszerben.

l. Jogosultságkezelés l Linuxos rendszerek Az Internet irányába szolgáltató, általában web szerverek tárterületének hozzáféréséhez SFTP protokollon keresztül van lehetőség. A publikus IP cím 2222 tcp portján lehet csatlakozni. Az azonosítás SSH kulccsal történik. A megrendelőnek el kell küldenie az üzemeltetéshez a kulcs publikus részét. A felhasználónevek tetszőlegesen megválaszthatóak. Ha nem tárterület jellegű a hozzáférés, hanem valamilyen webfelületen keresztül lehet adminisztrálni a tartalmat (pl.: CMS rendszer), akkor azt https protokolon lehet elérni. Törekedni kell rá, hogy ne a teljes Internetről legyen elérhető. A felhasználónév/jelszó alapú azonosítás megengedett, de javasolt a jelszó policy használata. Ha a hosztolt alkalmazás egy intézmény belső rendszeréhez nyújt valamilyen szolgáltatást, akkor a két rendszert VPN-en keresztül kell összekötni. Preferált VPN megoldások: Ipsecvpn, Openvpn. l Windows-os rendszerek Az Internet irányába szolgáltató szervereket RDP protokollon keresztül lehet elérni. Ha a hosztolt rendszer egy intézmény belső rendszeréhez nyújt valamilyen szolgáltatást, akkor a két rendszert VPN-en keresztül kell összekötni. Preferált VPN megoldások: Ipsecvpn, Openvpn.

m. Felügyeleti rendszerbe integrálhatóság l A hoszting rendszerben Nagios alapú felügyeleti rendszer került telepítésre. Az NRPE agentek minden VM-be automatikusan telepítésre kerülnek, az OS monitorozásához szükséges pluginekkel együtt. Az alkalmazás szintű monitoring az adott applikációtól függ. Az üzemeltetésen apache webszervehez, és java alapú rendszerekhez rendelkezésre áll megfelelő szintű kompetencia az alapos monitoring beállításához. l A windozos rendszerek monitorozásához host oldalon telepíteni kell egy nsclient nevű agentet. Ha a rendszer naplókat is központilag kell gyűjteni, esetleg feldolgozni, akkor kivi syslogd telepítésére is szükség van. Ha az alap OS check-eken kívül is szükség van monitoring információkra, akkor az ügyfélnek kell azokat definiálni. l A felügyeleti rendszerből érkező, előre meghatározott riasztásokat, az ügyfelek számára email-ben, és SMS-ben is továbbítani tudjuk. l Nagyobb rendszer esetén a monitoring rendszer web-es felületét elérhetővé tudjuk tenni az ügyfélnek.

n. Levelezés A hosztolt rendszerek, a kimenő levelek számára igénybe vehetik központi mail relay szolgáltatást. Az SMTP kapcsolatot nem szükséges azonosítani, a rendszerbe lévő összes VM jogosult rá. Bejövő levelek kezelésére több lehetőség is van: l Ha komplett VM-et bérel az ügyfél, akkor csak a hálózatos infrastruktúrát biztosítjuk, a levelek fogadására. A levelező rendszer telepítés, és konfigurálás az ügyfél feladata. Az alkalmazott implementációra nincsen megkötés (exchange, lotus domino, zimbra, horde, stb.). l Ha az ügyfél levelező rendszer szolgáltatást vesz igénybe, akkor lehetősége van Zimbra alapokon felépített, komplett rendszer bérlésére. Webmail, POP3S, és IMAPS protokollokon keresztül érheti el a rendszer. A SMTP levél küldés felhasználónév/jelszó azonosítás mellett vehető igénybe.

o. Adatmentés, archiválás l A hoszting rendszerben alapvetően VM szintű biztonsági mentések készülnek. Ezeket 7 napig tároljuk. l A központi adatbázisról is, naponta készülnek mentések, amit szintén 7 napig tárolunk. l A központi log szerveren 180 napig őrizzük meg a naplókat. l Archiválást esetileg végzünk. Az állományokat kérésre az ügyfelek is megkaphatják.

p. Biztonságtechnika l A rendszer front oldalán egy aktív-passzív üzemmódú proxy tűzfal fogadja a kéréseket. Ez a berendezés végződteti a VPN-eket, és bontja az SSL kapcsolatokat. A belső zónaelválasztást is ez a tűzfal végzi.

2753


A virtualizációs környezetben, az egyes rendszerek vlan szinten szeparáltak. A teszt és éles rendszereket fizikailag, interfész szinten is elválasztjuk. l A hoszting rendszer előtt IDS berendezés is működik. l

q. Adatbázis-kezelők l A hoszting rendszerben központilag igénybe vehető Oracle, MySQL, és postgresql adatbázis kezelők. Ezek egy magas rendelkezésre állású aktív-passzív RHEL clusteren helyezkednek el. l Oracle DB-ből 10, és 11-es verziójú is elérhető. Az egyes rendszerek séma, és táblatér (temp is!) szinten vannak elválasztva. l Más adatbázis-kezelő telepítésére, és használatára is van lehetőség, de akkor azt az ügyfélnek kell telepíteni, és konfigurálnia.

r. Alkalmazásszerver / alkalmazás felépítés követelmények A rendszerben gyakorlatilag bármilyen alkalmazás környezet kialakítható. Az alap infrastruktúra biztosítja a fenti adatbázis hátteret. NISZ oldalról a java alapú alkalmazás szerverek (pl.: tomcat, jboss) üzemeltetésében, és konfigurálásában lehet számítani némi kompetenciára. Az aktív-aktív alkalmazás fürtök felépítésében segítség lehet a központi terhelés elosztó.

s. Virtualizációs rendszer A hoszting rendszer vmware technológiára épül. A magas rendelkezésre állás biztosításához vmotion, és SRM szolgáltatások adottak.

t. Operációs rendszer A virtualizációs környezetben x86_32 és x86_64 architektúrákat tudunk biztosítani. Az ebben futó összes operációs rendszer telepíthető a környezetbe. Támogatást a NISZ csak a windows 2003 2008 szerver, RHEL, CentOS, Debian, Ubuntu rendszerekre tud biztosítani.

8. Jogosultságok meghatározása és beállítása a. Meg kell határozni NISZ üzemeltetésre való átvételét követően adott dátum után a jelenlegi Vállalkozói/ Külső-üzemeltetői/Projekt/Fejlesztői hozzáférésekből vállalkozói kör részére milyen eszközökben, szoftverekben milyen rendszerelemekhez, milyen nevesített account-okat kell felvenni, és milyen szintű jogosultsággal, és milyen időperiódusra, továbbá ennek indoklása is szükséges; b. service accountok teljes körű kigyűjtése, account/password páros, továbbá a funkció leírása, mely rendszer használja ill. érintett, kiemelten, hogy a password megváltoztatása okoz –e a rendszerben problémát, továbbá, hogy ki tud (szervezet és rendszergazda) az account jelszaváról; c. Minden az adott rendszerhez való külső hozzáférés, amelyen keresztül menedzsment tevékenység végezhető, összegyűjtése a Vállalkozói/Külső-üzemeltetői /Projekt/Fejlesztői kör részéről. d. Az alábbi jelszavakat kell bekérni: l Szerverek, keretek menedzseléséhez szükséges felhasználónév/jelszó páros, vagy kulcsos azonosítás esetén a szükséges kulcspárok l Virtuális gépek menedzsmentéjez szükséges hozzáférések l Virtualizációs infrastruktúrát kiegészítő gépek, operációs rendszerek, ill. appliance-ek menedzseléséhez szükséges összes hozzáférés. (pl.: DataRecovery OS, web-es és VC plugin felhasználónév/jelszó) l Fizikai ill. virtuális gépekre telepített operációs rendszerek és címtárak adminisztrátori (root/administrator/ domain administrator) hozzáféréséhez szükséges felhasználónév/jelszó páros, vagy kulcsos azonosítás esetén a szükséges kulcspárok l Operációs rendszerhez szorosan kötődő alkalmazások adminisztrátori hozzáféréséhez szükséges azonosítók l Az adatbázisok adminisztrációjához szükséges jelszavak. l A rendszerbe telepített összes alkalmazás menedzseléséhez, és az alkalmazások teszteléséhez szükséges hozzáférés. Pl.: webszerverek basic azonosításhoz tartozó lejszavak, alkalmazás szerverek (pl.: tomcat, jboss) alkalmazás-menedzseri jelszavai, weblogic szerverek konzol hozzáférései, webportál adminisztrációs jelszavak, stb. l Tároló eszközök és SAN infrastruktúra menedzseléséhez szükséges felhasználónév/jelszó páros, vagy kulcsos azonosítás esetén a szükséges kulcspárok

2754


Hálózati eszközök bejelentkezéshez szükséges jelszavak n IPSec kapcsolatok kulcsai n SNMP, NTP, BGP kulcsok l Tűzfalakt konfigurálásához szükséges felhasználónév/jelszó páros n IPSec kapcsolatok kulcsai n SNMP, NTP, BGP kulcsok l

9. Monitoring rendszer kialakításának lépései

a. Monitoring rendszer áttekintése, bekötése a NISZ-hez. l Virtuális gép létrehozása l Szerverenként monitorozandó szolgáltatások meghatározása l Monitoring rendszer tervezés l Monitoring rendszer telepítés l IPSec-en összekötni a központi monitoring rendszerrel l Monitoring rendszer Agentek felvétele amire lehet (központi monitorozás kialakítása) l Infrastruktúra-illesztés l Site-to-Site VPN kialakítása

10. Átadás - Átvételi jegyzőkönyv minta ÁTADÁS – ÁTVÉTELI JEGYZŐKÖNYV Ikt. sz.:

Pld. szám:

Átadó Átvevő Az átadás helyszíne, időpontja Átadó adatai: Név: Telephely címe: Szervezeti egység: Átvevő adatai: Név: Telephely címe: Szervezeti egység: Átadott dokumentáció

Példányszám

Átadás módja

Budapest, 201……….

_____________________________ Átadó

_____________________________ Átvevő

2755


11. Átadás-átvételi forgatókönyv minta Tevékenység: [.....] rendszer üzemeltetésének átvétele:

Dátum: 20éé. hh. nn.

1. Mentés

20éé.hh.nn óó:00–20éé.hh.nn óó:00

2. Mentés ellenőrzés


3. Mentés és az átadás közötti befagyasztott állapotról nyilatkozat


4. Szükség esetén változás részletes dokumentálása és jegyzőkönyv készítése


5. Nyitott ticketek átadása


6. Jogosultságok átadása és jegyzőkönyv készítése


7. Eszközök átadása és jegyzőkönyv készítése


8. Szerverterem ellenőrzés és jegyzőkönyv készítése


12. Tárolási nyilatkozat minta

Tárolási nyilatkozat A ………………………………………………………. részéről igazoljuk, hogy az alábbi szervereket átvettük és a felek között fennálló hatályos üzemeltetési szerződés rendelkezéseinek megfelelően a telephelyünkön tároljuk (cím:…………………………), illetve a szerződésben és annak mellékleteiben meghatározott, az eszközök üzembe helyezésével, illetve üzemeltetésével kapcsolatos szolgáltatásokat teljesítjük. Hardver neve

Típus

Budapest, ……………….. az [átadó szervezet neve] részéről: ……………………………… Aláírás ………………………………

Átadó

Leltári szám vagy gyári szám

az [átvevő szervezet neve] részéről: ……………………………… Aláírás ……………………………… Átvevő

S/N

2756


13. Jelszavak megszüntetéséről jegyzőkönyv minta

Átvételi nyilatkozat A …………………………………………………. részéről nyilatkozunk, hogy megszüntettük a [átadó cég vagy szervezet neve] által [XXXX] éles rendszerben használt xxx,xxx,xxx, valamint a backup site-on yyy,yyy accountok jogosultságát, valamint [XXXX] rendszerben [XXX] felhasználókhoz tartozó jelszavakat 20éé. hh.nn-án megváltoztatjuk. Budapest, ……………….. az [szervezet neve] részéről: ……………………………… Aláírás ………………………………

14.

az [átvevő szervezet neve] részéről: ……………………………… Aláírás ………………………………

Átadó

Átvevő

Rendszer hozzáférési jelszavak átadás táblázat

Felhasználó 1

Felhasználó 2

Felhasználó 3

Szerver (fizikai és virtuális) belépési jogosultság

Szerver menedzsment

Operációs rendszer

Operációs rendszerhez szorosan kötődő alkalmazások

Adatbázis eléréséhez szükséges tanúsítvány

SQL adatbázis hozzáférés

Tárolókhoz hozzáférés

SAN infrastruktúra

Hálózatos eszközök konfigurálásához jelszavak

Tűzfal hozzáférés

Alkalmazások menedzseléshez szükséges jelszavak

15.

Vállalkozói/Külső-üzemeltetői/Projekt/Fejlesztői kör számára átvétel utáni hozzáférések Eszköz 1 Felhasználó 1 Felhasználó 2

Eszköz 2

Eszköz 2

2699 OKTATÁSI ÉS KULTURÁLIS KÖZLÖNY évi 9. szám

Recommend Documents