256=É*26,'(*78'20É1<,,17e=(7 1145 Budapest, XIV. Amerikai út. 57.
,1)250$7,.$,%,=7216È*, 6=$%È/<=$7 %XGDSHVW
Felülvizsgálva a felügyeleti szerv 2009. évi ellenĘrzése alapján
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
Tartalomjegyzék: 1. Az Informatikai Biztonsági Szabályzat célja ............................................................. 3 2. Az Informatikai Biztonsági Szabályzat hatálya ........................................................ 3 2.1. Személyi hatálya ..................................................................................................... 3 2.2. Tárgyi hatálya.......................................................................................................... 4 3. Az adatkezelés során használt fontosabb fogalmak .................................................. 4 4. Az IBSZ biztonsági fokozata ....................................................................................... 6 5. Kapcsolódó szabályozások........................................................................................... 7 5.1 Üzemeltetési nyilvántartás vezetése.......................................................................... 7 6. Védelmet igénylĘ, az informatikai rendszerre ható elemek ..................................... 7 6.1. A védelem tárgya .................................................................................................... 7 6.2. A védelem eszközei................................................................................................. 8 7. A védelem felelĘse......................................................................................................... 8 7.1. Az informatikai biztonsági felelĘs általános feladatai ............................................ 8 7.2. Az informatikai biztonsági felelĘs ellenĘri feladatai .............................................. 8 7.3. Az informatikai biztonsági felelĘs jogai ................................................................. 8 7.4. Az informatikai biztonsági felelĘs kiválasztása ...................................................... 9 7.5. Az informatikai biztonsági felelĘs megbízatása...................................................... 9 8. Az Informatikai Biztonsági Szabályzat alkalmazásának módja.............................. 9 8.1. Az Informatikai Biztonsági Szabályzat karbantartása ............................................ 9 8.2. A védelmet igénylĘ adatok és információk osztályozása, minĘsítése, hozzáférési jogosultság...................................................................................................................... 9 9. Az informatikai eszközbázist veszélyeztetĘ helyzetek............................................. 10 9.1. Környezeti infrastruktúra okozta ártalmak............................................................ 10 9.2. Emberi tényezĘre visszavezethetĘ veszélyek........................................................ 11 10. Az adatok tartalmát és a feldolgozás folyamatát érintĘ veszélyek ...................... 11 11. Az informatikai eszközök környezetének védelme ............................................... 12 11.1. Vagyonvédelmi elĘírások.................................................................................... 12 11.2. Adathordozók ...................................................................................................... 12 11.3. TĦzvédelem ......................................................................................................... 12 12. Az informatikai rendszer alkalmazásánál felhasználható védelmi eszközök és módszerek ....................................................................................................................... 12 12.1. Hardver védelem ................................................................................................. 12 12.2. Az informatikai feldolgozás folyamatának védelme........................................... 13 12.3. Adathordozók védelme ....................................................................................... 13 12.4. Szoftver védelem................................................................................................. 14 12.5. Adatvédelem........................................................................................................ 15 12.6. Szoftverek, mint szerzĘi jogvédelem alá esĘ termékekre vonatkozó rendelkezések ............................................................................................................... 15 12.7 A licencek ellenĘrzése, illegális programok használatának megszüntetése......... 16 12.8 A szoftverek beszerzése ....................................................................................... 16 12.9 A szoftverek raktárba történĘ bevételezése, leltárba vétele , selejtezése ............. 17 13. KülsĘ szervezet által történĘ karbantartás és telepítés......................................... 17 14. A központi számítógépek és munkaállomások mĦködésbiztonsága.................... 17 14.1. Központi számítógépek (Server) ......................................................................... 17 14.2. Aktív hálózati elemek.......................................................................................... 17 14.3. Munkaállomások (felhasználók számítógépei) ................................................... 18 15. A felhasználói kézikönyv ....................................................................................... 18 16. EllenĘrzés .................................................................................................................. 19 17. Záró rendelkezések..................................................................................................... 19
2/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Az Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzatát (továbbiakban IBSZ) a személyes adatok védelmérĘl és a közérdekĦ adatok nyilvánosságáról szóló többször módosított 1992. évi LXIII. törvény, a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló többször módosított 1992. évi LXVI. törvény, valamint az államtitok és szolgálati titok számítástechnikai védelmérĘl szóló 3/1988. (XI.22.) KSH rendelkezés alapján a következĘk szerint határozom meg:
1. Az Informatikai Biztonsági Szabályzat célja Az Informatikai Biztonsági Szabályzat alapvetĘ célja, hogy az informatikai rendszer alkalmazása során biztosítsa az intézetnél az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek az érvényesülését, megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát. Az Informatikai Biztonsági Szabályzat célja továbbá: -
az üzemeltetett informatikai rendszerek rendeltetésszerĦ használata, az informatikai rendszerek zavartalan mĦködésének biztosítása, az adatok informatikai feldolgozása és azok további hasznosítása során az illetéktelen felhasználásból származó hátrányos következmények megszüntetése, illetve minimális mértékre való csökkentése, az adatállományok tartalmi és formai épségének megĘrzése, az üzembiztonságot szolgáló karbantartás és fenntartás, a titok-, vagyon- és tĦzvédelemre vonatkozó védelmi intézkedések betartása, az alkalmazott programok és adatállományok dokumentációinak nyilvántartása, a felhasználók által lekérdezhetĘ adatok - az adatvédelmi felelĘs által meghatározott körének - informatikai eszközökkel történĘ biztosítása és védelme, a feldolgozás folyamatát fenyegetĘ veszélyek megelĘzése, és lehetĘség szerinti elhárítása, az adatvédelem és adatbiztonság feltételeinek megteremtése, az adatállományok biztonságos mentése.
A szabályzatban meghatározott védelemnek mĦködnie kell a rendszerek fennállásának egész idĘtartama alatt a megtervezésüktĘl kezdve az üzemeltetésükön keresztül a felhasználásig. A jelen Informatikai Biztonsági Szabályzat az adatvédelem általános érvényĦ elĘírását tartalmazza, meghatározza az adatvédelem és adatbiztonság feltételrendszerét.
2. Az Informatikai Biztonsági Szabályzat hatálya 2.1. Személyi hatálya Az IBSZ személyi hatálya az intézet valamennyi fĘ- és részfoglalkozású dolgozójára, megbízottjára, alvállalkozójára, közremĦködĘjére, illetve az informatikai eljárásban 3/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
résztvevĘ más szervezetek dolgozóira egyaránt kiterjed, akik munkájuk kapcsán bármely számítógépes alkalmazást, vagy hálózati szolgáltatást használnak.
2.2. Tárgyi hatálya -
kiterjed a védelmet élvezĘ adatok teljes körére, felmerülésük és feldolgozási helyüktĘl, idejüktĘl és az adatok fizikai megjelenési formájuktól függetlenül,
-
kiterjed az intézet tulajdonában lévĘ, illetve az általa bérelt valamennyi informatikai berendezésre, valamint a gépek mĦszaki dokumentációira is,
-
kiterjed az informatikai folyamatban szereplĘ összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési),
-
kiterjed a rendszer- és felhasználói programokra,
-
kiterjed az adatok felhasználására vonatkozó utasításokra,
-
kiterjed az adathordozók tárolására, felhasználására.
3. Az adatkezelés során használt fontosabb fogalmak Számítógép: számítógép minden olyan berendezés, amely képes adatok tárolására, visszakeresésére, feldolgozására emberi beavatkozás nélkül a gépben korábban elhelyezett utasítássorozat segítségével. Hardver: A hardver a számítógép mĦködését lehetĘvé tevĘ elektromos, elektromágneses egységek összessége. A számítástechnikában hardvernek hívják magát a számítógépet és minden megfogható tartozékát. Szoftver: A számítógép hardver elemeinek mĦködtetését végzĘ programokat nevezzük szoftvernek. Felhasználó: az a személy, aki a megfelelĘ jogosultságok birtokában a hardver és szoftver elemeket munkájához használja, adatokat rögzít, feldolgoz Legális szoftver: az a kereskedelmi forgalomban vásárolt program, amelyhez a felhsználó érvényes licence jogokkal rendelkezik, valamint a Végfelhasználói LicencszerzĘdésben (EULA) foglaltakat elfogadta Szoftver licence: A számítógépes programokat szerzĘi jogi törvény védi, amely kimondja, hogy az ilyen mĦveket a szerzĘi jog tulajdonosának engedélye nélkül tilos másolni. A szoftver licenc jogosítja fel a vásárlót a szoftver használatára. A vásárló csak a használat jogát birtokolja, és nem magát a szoftvert. Upgrade licence: egy már megvásárolt, jogosan birtokolt program frissítését szabályozza Szoftver, licence könyvtár: a programok telepítĘ készleteinek, licence másolatainak biztonságos tárolására kialakított hely az Informatikai Osztály helyiségében.
4/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
Freeware: Ingyenesen használható szoftver EULA: A Végfelhasználói LicencszerzĘdés (EULA) a felhasználó és a Microsoft (vagy annak a berendezésnek a gyártója, amelyre az adott szoftvert elĘzetesen telepítették) közötti szerzĘdés. Az EULA a szoftver használatával kapcsolatos jogokat tartalmazza. Az EULA: elĘírhatja, hogy a felhasználó milyen változtatásokat végezhet a szoftveren: • • • •
korlátozhatja a szoftverrĘl a felhasználó által készíthetĘ másolatok számát engedélyezheti, hogy a szoftvert a felhasználó áttelepítse vagy áttöltse egy hordozható eszközre elĘírhatja, hogy a szoftver frissíthetĘ-e vagy a korábbi verziók használhatók-e a hálózatok használatával kapcsolatos jogokat is adhat.
OEM: Ha a szoftver új asztali számítógépre elĘzetesen telepítve lett, a felhasználónak a számítógép elsĘ indításakor el kell fogadnia a Végfelhasználói LicencszerzĘdést (EULA). Ez a licenctípus a számítógép gyártója és a felhasználó közötti megállapodás. A legális és eredeti elĘtelepített szoftverhez a gyártó mindig mellékeli a szükséges dokumentációt és a szoftver adathordozóit (lemezeket). A gyártó a számítógép házára ragasztja az Eredetiséget Igazoló Tanúsítvány (COA) matricáját is. Személyes adat: a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megĘrzi e minĘségét, amíg kapcsolata az érintettel helyreállítható; Különleges adat: a) a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyĘzĘdésre, b) az egészségi állapotra, a kóros szenvedélyre, a büntetett elĘéletre vonatkozó személyes adat; KözérdekĦ adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévĘ, a személyes adat fogalma alá nem esĘ adat; MinĘsített adat: az államtitokról és a szolgálati titokról szóló 1995. évi LXV. Törvény 2. § (1) bek. 2. pontjában felsorolt adatokat nevezzük, de a minĘsítés kifejezést szélesebb értelemben, az adatok védelmi szintjének meghatározására is használjuk. Adatkezelés: az alkalmazott eljárástól függetlenül az adatok gyĦjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is. Adatfeldolgozás: az adatkezelési mĦveletek, technikai feladatok elvégzése, függetlenül a mĦveletek végrehajtásához alkalmazott módszertĘl és eszköztĘl, valamint az alkalmazás helyétĘl. Adattovábbítás: ha az adatot meghatározott harmadik fél számára hozzáférhetĘvé teszik. AdatkezelĘ: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezĘ szervezet, aki, vagy amely az adatok kezelésének célját meghatározza, az
5/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetĘleg a végrehajtással adatfeldolgozót bízhat meg. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezĘ szervezet, aki, vagy amely az adatkezelĘ megbízásából személyes adatok feldolgozását végzi. Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetĘvé teszik; Adatbiztonság: az adatkezelĘ, illetĘleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Szellemi tulajdon: Az 1999. évi LXXVI. a szerzĘi jogról szóló törvény szerint a számítógépi programalkotás és a hozzá tartozó dokumentáció (a továbbiakban: szoftver) akár forráskódban, akár tárgykódban vagy bármilyen más formában rögzített minden fajtája ideértve a felhasználói programot és az operációs rendszert is – szerzĘi jogi védelem alá tartozik, ezért az ilyen mĦvek engedély nélküli másolása törvénybe ütközĘ cselekedet. Szoftver licencszerzĘdés: Egy adott szoftver esetében a licencszerzĘdés határozza meg a szerzĘi jog tulajdonosa által megengedett szoftverhasználat feltételeit. A szoftverhez adott licencszerzĘdésre külön utalás történik a szoftver dokumentációjában, és/vagy a program indításakor megjelenĘ képernyĘn. A szoftver ára tartalmazza a szoftver licencét, és megfizetése kötelezi a vevĘt, hogy a szoftvert kizárólag a licencszerzĘdésben leírt feltételek szerint használja. Jogosulatlan másolás A szoftver licencszerzĘdés, amennyiben eltérĘen nem rendelkezik, a vevĘnek csak egyetlen biztonsági másolat készítését engedélyezi, arra az esetre, ha az eredeti szoftver adathordozója meghibásodna vagy megsemmisülne. Az eredeti szoftver bármely további másolása jogosulatlan másolásnak minĘsül, és megsérti a szoftvert védĘ és használatát szabályozó licencszerzĘdést, valamint a szerzĘi jogi törvényt. Illegális szoftverhasználat Az illegális szoftverhasználat azt jelenti, hogy valaki egy számítógépes programot jogosulatlanul másol le és használ, ezzel megsértve a szerzĘi jogi törvényt, valamint a szerzĘnek a szoftver licensz-szerzĘdésben leírt feltételeit. Aki szoftvert illegálisan használ, az a szerzĘi jogi törvény értelmében büntetĘjogi törvénybe ütközĘ cselekedetet követ el. Szoftvergazdálkodás Szoftverlicenchez való hozzájutás szoftvernyilvántartás felfektetése és folyamatos vezetése. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetĘleg sérülés vagy a megsemmisülés ellen.
4. Az IBSZ biztonsági fokozata Az Országos Idegtudományi Intézet információvédelem szempontjából alapbiztonsági fokozatba tartozik. Intézetünk általános informatikai feldolgozást végez. A kezelt adatok az érzékeny (védendĘ), de nem minĘsített adatok körébe tartoznak. 6/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
5. Kapcsolódó szabályozások Az Informatikai Biztonsági Szabályzatot az alábbiakban felsorolt elĘírásokkal összhangban kell alkalmazni: -
Szervezeti és MĦködési Szabályzat, Bizonylati rend, Leltárkészítési és leltározási szabályzat, Felesleges vagyontárgyak hasznosításának és selejtezésének szabályzata, Adatvédelmi szabályzat.
5.1 Üzemeltetési nyilvántartás vezetése Az Informatikai Osztálynak hardware-, software üzemeltetési nyilvántartást kell vezetnie, melynek összhangban kell lennie az intézeti tárgyi eszköz-nyilvántartással. A software nyilvántartásban szerepeltetni kell az operációs rendszereken és az irodai csomagokon kívül minden egyéb telepített software-t is az alkalmazások jellegétĘl függetlenül. A nyilvántartás aktualizált változatát minden szervezeti egység leltárfelelĘse számára elérhetĘvé kell tenni. A nyilvántartásnak tartalmaznia kell: - a gép IP címét - a gép MAC címét - az operácíós rendszer nevét - az operációs rendszer termék kulcsát - a gép elhelyezkedését - a gép leltári számát
6. Védelmet igénylĘ, az informatikai rendszerre ható elemek Az informatikai rendszer egymással szervesen együttmĦködĘ és kölcsönhatásban lévĘ elemei határozzák meg a biztonsági szempontokat és védelmi intézkedéseket. Az informatikai rendszerre az alábbi tényezĘk hatnak: -
a környezeti infrastruktúra, a hardver elemek, az adathordozók, a dokumentumok, a szoftver elemek, az adatok, a rendszerelemekkel kapcsolatba kerülĘ személyek.
6.1. A védelem tárgya A védelmi intézkedések kiterjednek: -
A rendszer elemeinek elhelyezésére szolgáló helyiségekre. Az alkalmazott hardver eszközökre és azok mĦködési biztonságára. Az informatikai eszközök üzemeltetéséhez szükséges dokumentációkra.
7/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
-
Az adatokra és adathordozókra, a megsemmisítésükig, illetve a törlésre szánt adatok felhasználásáig. Az adatfeldolgozó programrendszerekre, valamint a feldolgozást támogató rendszer szoftverek tartalmi és logikai egységére, elĘírásszerĦ felhasználására, reprodukálhatóságára. A személyhez fĦzĘdĘ és vagyoni jogokra.
6.2. A védelem eszközei A mindenkori technikai fejlettségnek megfelelĘ mĦszaki, szervezeti, programozási, jogi intézkedések azok az eszközök, amelyek a védelem tárgyának különbözĘ veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elĘsegítik, illetve biztosítják.
7. A védelem felelĘse A jelen szabályzatban foglaltak szakszerĦ végrehajtásáról az intézmény informatikai biztonsági felelĘsének kell gondoskodnia.
7.1. Az informatikai biztonsági felelĘs általános feladatai -
ellátja az adatfeldolgozás felügyeletét, felelĘs az informatikai rendszerek üzembiztonságáért, biztonsági másolatok készítéséért, gondoskodik a rendszer kritikus részeinek újra indíthatóságáról, illetve az újra indításhoz szükséges paraméterek reprodukálhatóságáról, feladata a védelmi eszközök mĦködésének, szerviz ellátás biztosításának folyamatos ellenĘrzése, a veszélyforrások körében bekövetkezett változások folyamatos követése és a szükséges intézkedések kezdeményezése, az adatvédelmi tevékenységet segítĘ nyilvántartási rendszer kialakítása, az IBSZ kezelése, naprakészen tartása, módosítások átvezetése, a felhasználók évente egyszer történĘ oktatása folyamatosan figyelemmel kíséri és vizsgálja az informatikai rendszer mĦködését a biztonság szempontjából a lényeges paraméterek alakulását, a védelmi rendszer érvényesülésének ellenĘrzése, javaslatokat készít a védelem növelésének lehetĘségeire, és tevékenységérĘl rendszeresen beszámol az intézmény vezetĘjének.
7.2. Az informatikai biztonsági felelĘs ellenĘri feladatai -
rendszeresen ellenĘrzi a rendszer adminisztrációját, és a védelmi rendszerek érvényesülését, ellenĘrzi a védelmi eszközökkel való ellátottságot, elĘzetes bejelentési kötelezettség nélkül ellenĘrzi az informatikai munkafolyamat bármely részét, évente egy alkalommal részletesen ellenĘrzi az IBSZ elĘírásainak betartását, évente egy alkalommal ellenĘrzi a beszerzett, illetve üzemeltetett hardver és szoftver eszközök nyilvántartását.
7.3. Az informatikai biztonsági felelĘs jogai
8/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
-
az elĘírások ellen vétĘkkel szemben felelĘsségre vonási eljárást kezdeményezhet az intézmény vezetĘjénél, bármely érintett szervezeti egységnél jogosult ellenĘrzésre, betekinthet valamennyi iratba, ami az informatikai feldolgozásokkal kapcsolatos, javaslatot tesz az új védelmi, biztonsági eszközök és technológiák beszerzésére illetve bevezetésére, adatvédelmi szempontból az informatikai beruházásokat véleményezi.
7.4. Az informatikai biztonsági felelĘs kiválasztása Az informatikai biztonsági feladatok végrehajtásához az informatikai biztonsági felelĘsnek az alábbi követelményeknek kell megfelelnie: -
erkölcsi feddhetetlenség, összeférhetetlenség - az informatikai biztonsági felelĘs funkció összeférhetetlen minden olyan vezetĘi munkakörrel, amelyben adatvédelmi kérdésekben a napi munka szintjén dönteni, intézkedni kell. az informatika szintjén: o az informatikai hardver eszközök és a védelmi technikai berendezések ismerete, o üzemeltetésben jártasság, o szervezĘkészség. o a szakterületre vonatkozó jogi szabályozás ismerete.
7.5. Az informatikai biztonsági felelĘs megbízatása Az informatika biztonsági felelĘst az intézet vezetĘje bízza meg és nevezi ki. Az Adatvédelmi Szabályzat (továbbiakban AVSZ) szerint kinevezett adatvédelmi felelĘs és az informatikai biztonsági felelĘs (körültekintĘ kiválasztás után) feladat- és felelĘsségi körét, valamint a kompetenciáit is tartalmazó írásbeli meghatalmazás alapján jogosult ellátni.
8. Az Informatikai Biztonsági Szabályzat alkalmazásának módja Az Informatikai Biztonsági Szabályzat megismerését az érintett dolgozók részére az az informatikai biztonsági felelĘs oktatás formájában biztosítja. ErrĘl nyilvántartást vezet.
8.1. Az Informatikai Biztonsági Szabályzat karbantartása Az IBSZ-t az informatikában - valamint az intézménynél - a fejlĘdés során bekövetkezĘ változások miatt idĘközönként aktualizálni kell. Az Informatikai Biztonsági Szabályzat folyamatos karbantartása az informatikai biztonsági felelĘs feladata.
8.2. A védelmet igénylĘ adatok és információk osztályozása, minĘsítése, hozzáférési jogosultság Az adatokat és információkat jelentĘségük és bizalmassági fokozatuk szerint osztályozzuk: •
közlésre szánt, bárki által megismerhetĘ adatok,
9/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
•
érzékeny, vagy minĘsített adatok, amelyek magán-, orvosi-, kutatási-, hivatali titoknak minĘsülnek.
Az informatikai feldolgozás során keletkezĘ adatok minĘsítĘje annak a szervezeti egységnek a vezetĘje, amelynek védelme az érdekkörébe tartozik. A védelmi utasítások és szabályozások nem mondhatnak ellent a törvények és a jogszabályok mindenkori elĘírásainak. A hivatali titoknak minĘsülĘ adatok feldolgozásakor meg kell határozni írásban és névre szólóan a hozzáférési jogosultságot. A kijelölt dolgozók elĘtt a titokvédelmi és egyéb szabályokat, a betekintési jogosultság terjedelmét, gyakorlási módját és idĘtartamát ismertetni kell. Alapelv, hogy mindenki csak ahhoz az adatokhoz férhessen hozzá, amire a munkájához szüksége van. Az információhoz való hozzáférést a tevékenység naplózásával dokumentálni kell, ezáltal bármely számítógépen végzett tevékenység – adatbázisokhoz való hozzáférés, a fájlba vagy mágneslemezre történĘ mentés, a rendszer védett részeibe történĘ illetéktelen behatolási kísérlet – utólag visszakereshetĘ. A naplófájlokat havonta át kell tekinteni, s a jogosulatlan hozzáférést vagy annak a kísérletét az intézmény vezetĘjének azonnal jelenteni kell. A naplófájlok áttekintését, értékeléséért a hálózati rendszergazda köteles elvégezni. Minden dolgozóval, aki az adatok gyĦjtése, felvétele, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése során információkhoz jut, adatkezelési nyilatkozatot kell aláíratni. (1.sz. melléklet) Az adatkezelési nyilatkozat naprakészen tartása az adatvédelmi felelĘs feladata. A titkot képezĘ adatok védelmét, a feldolgozás – az adattovábbítás, a tárolás - során az operációs rendszerben és a felhasználói programban alkalmazott logikai matematikai, illetve a hardver berendezésekben kiépített technikai megoldásokkal is biztosítani kell (szoftver, hardver adatvédelem).
9. Az informatikai eszközbázist veszélyeztetĘ helyzetek Az információk elĘállítására, feldolgozására, tárolására, továbbítására, megjelenítésére alkalmas informatikai eszközök fizikai károsodását okozó veszélyforrások ismerete azért fontos, hogy felkészülten megelĘzĘ intézkedésekkel a veszélyhelyzetek elháríthatók legyenek.
9.1. Környezeti infrastruktúra okozta ártalmak Elemi csapás: -
földrengés, árvíz, tĦz, villámcsapás, stb.
Környezeti kár: -
légszennyezettség, 10/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
-
nagy teljesítményĦ elektromágneses térerĘ, elektrosztatikus feltöltĘdés, a levegĘ nedvességtartalmának felszökése vagy leesése, piszkolódás (pl. por).
Közüzemi szolgáltatásba bekövetkezĘ zavarok: -
feszültség-kimaradás, feszültségingadozás, elektromos zárlat, internet szolgáltatás kimaradása csĘtörés.
9.2. Emberi tényezĘre visszavezethetĘ veszélyek Szándékos károkozás: -
behatolás az informatikai rendszerek környezetébe, illetéktelen hozzáférés (adat, eszköz), adatok- eszközök eltulajdonítása, rongálás (gép, adathordozó), megtévesztĘ adatok bevitele és képzése, a feldolgozások és munkafolyamatok zavarása és késleltetése.
Nem szándékos, illetve gondatlan károkozás: -
figyelmetlenség (ellenĘrzés hiánya), szakmai hozzá nem értés, a gépi és eljárásbeli biztosítékok beépítésének elhanyagolása, a jelszó esetenkénti (vagy havi) megváltoztatásának az elmulasztása, a megváltozott körülmények figyelmen kívül hagyása, vírusfertĘzött adathordozó behozatala, biztonsági követelmények és gyári elĘírások be nem tartása, adathordozók megrongálása (rossz tárolás, kezelés),
A szükséges biztonsági-, jelzĘ és riasztó berendezések karbantartásának elhanyagolása veszélyezteti a feldolgozás folyamatát, alkalmat ad az adathoz való véletlen vagy szándékos illetéktelen hozzáféréshez, rongáláshoz.
10. Az adatok tartalmát és a feldolgozás folyamatát érintĘ veszélyek Tervezés és elĘkészítés során elĘforduló veszélyforrások -
a rendszerterv nem veszi figyelembe az alkalmazott hardver eszköz lehetĘségeit, adatvédelmi szempontokat nem minden részletre kiterjedĘen veszik figyelembe.
A rendszerek megvalósítása során elĘforduló veszélyforrások -
hibás adatállomány, helytelen adatkezelés, programtesztelés elhagyása.
A mĦködés és fejlesztés során elĘforduló veszélyforrások
11/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
-
emberi gondatlanság, képzetlenség, szervezetlenség, szándékosan elkövetett illetéktelen beavatkozás, illetéktelen hozzáférés, üzemeltetési dokumentáció hiánya.
11. Az informatikai eszközök környezetének védelme 11.1. Vagyonvédelmi elĘírások 1. A különbözĘ irodahelyiségekben elhelyezett számítástechnikai eszközöket csak a kinevezett, illetve kijelölt személyek használhatják. 2. A felhasználó a géphasználat ideje alatt egyszemélyben felelĘs a számítástechnikai eszköz rendeltetésszerĦ mĦködtetéséért. 3. Számítógépet, számítógéphez kapcsolt hardver eszközt, hálózatot, számítógép hálózati kábelt csak az informatikai osztály munkatársainak jelenlétében és hozzájárulásával lehet áthelyezni, módosítani, megváltoztatni. 4. Az intézet tulajdonát képezĘ számítógépet, számítástechnikai eszközt az Intézet területérĘl kivinni csak az érintett szervezeti egység vezetĘjének engedélyével az informatikai osztály egyidejĦ értesítése mellett lehet.
11.2. Adathordozók -
könnyen tisztítható, jól zárható szekrényben kell elhelyezni úgy, hogy tárolás közben ne sérüljenek, károsodjanak, az adathordozókat a gyors hozzáférés érdekében azonosítóval kell ellátni, melyrĘl nyilvántartást kell vezetni, a használni kívánt adathordozót (floppy, CD) a tárolásra kijelölt helyrĘl kell kivenni, és oda kell vissza is helyezni, adathordozót más szervezetnek átadni csak engedéllyel szabad, a munkák befejeztével a használt berendezést és környezetét rendbe kell tenni.
11.3. TĦzvédelem A szerverszoba a „D” tĦzveszélyességi osztályba tartozik, amely mérsékelt tĦzveszélyes üzemet jelent. A tĦzvédelem feladatait, sajátos elĘírásokat a szerverszobára vonatkozóan az intézet TĦzvédelmi szabályzata tartalmazza. Az intézmény (hivatal) azon helyiségeiben, ahol informatikai eszközöket használnak vagy tárolnak, a bejárat elĘtt min. 1-1 db 2-5 kg-os poroltó tĦzoltó készüléket kell elhelyezni. Az informatikai eszköz elhelyezésére szolgáló helyiségben elektromos vagy más munkát csak a tĦzvédelmi vezetĘ tudtával, ill. engedélyével szabad végezni.
12. Az informatikai rendszer alkalmazásánál felhasználható védelmi eszközök és módszerek 12.1. Hardver védelem A számítástechnikai berendezések hibátlan és üzemszerĦ mĦködését biztosítani kell. 1. Az informatikai rendszer állásidĘt eredményezĘ hardver hibáinál a szakmai erĘket úgy kell csoportosítani, hogy a hiba elhárítása a lehetĘ legrövidebb idĘ alatt
12/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
megtörténjen. A munkák szervezésénél figyelembe kell venni a gyártó elĘírásait, ajánlatait, a tapasztalatokat, a hardver tesztek által feltárt hibákat. 2. Minden hardver vagy hálózati hibát, illetve a megszokottól eltérĘ mĦködést, a lehetĘ legrövidebb idĘn belül jelezni kell az informatikai osztály munkatársainak. 3. Számítógép konfigurációt, hardvert, hálózatot a felhasználók nem módosíthatnak, és nem szerelhetnek szét. 4. Számítógépet és egyéb hardver eszközt csak 230V feszültségĦ, 50Hz frekvenciájú villamos hálózatról szabad üzemeltetni. 5. A munka befejeztével a számítógépet és a perifériákat ki kell kapcsolni, áramtalanítani kell. 6. TĦz keletkezésekor, látható füst, erĘsen éget szag esetén a gépet és a perifériákat azonnal áramtalanítani kell. Számítástechnikai eszközöket csak az erre alkalmas oltóanyaggal szabad oltani. Víz használata tilos. 7. Számítógépet, illetve perifériákat érintĘ lopás esetén az illetékes vezetĘk értesítése mellett érteni kell az informatikai osztályt is.
12.2. Az informatikai feldolgozás folyamatának védelme 1. Az adatok bevitele hibátlan mĦszaki állapotú berendezésen történjen. 2. A bizonylatokat és mágneses adathordozókat csak e célra kialakított és megfelelĘ tároló helyeken szabad tartani. 3. A programokat ellenĘrzĘ funkciókkal kell ellátni ellenĘrzĘ számok, kontroll-összegek, értéktáblák használatával. Biztosítani kell továbbá a rögzített tételek visszakeresésének és javításának lehetĘségét is. 4. Hozzáférési lehetĘség: - a bejelentkezési azonosítók használatával kell szabályozni, hogy ki milyen szinten férhet hozzá a kezelt adatokhoz. (Alapelv: a tárolt adatokhoz csak az illetékes szervezeti egységek személyei férjenek hozzá). A hozzáférési jogosultságok meghatározása a szervezeti egységek vezetĘinek feladata. - az adatok bevitele során alapelv: azonos állomány rögzítését és ellenĘrzését ugyanaz a személy nem végezheti. 5. A szerverek és a rendszerkarbantartó programok rendszergazda jelszavait lezárt borítékban, zárható szekrényben kell tárolni. A boríték felbontását dokumentálni kell.
12.3. Adathordozók védelme 1. Az adathordozók logikai védelmét az operációs rendszer és az ehhez tartozó ellenĘrzĘ, fájlkezelĘ rutinok alkalmazásával lehet biztosítani. 2. Tilos a privát adathordozókat munkahelyi célra igénybe venni, illetve tilos intézeti adathordozókat magáncélra igénybe venni.
13/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
3. Az adathordozók tárolására a géptermen kívüli mĦszaki-, tĦz- és vagyonvédelmi elĘírásoknak megfelelĘ helyiséget kell kijelölni, illetve kialakítani. 4. Az adathordozók megĘrzési idejét a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelmérĘl szóló többször módosított 1995. évi LXVI. törvényben foglaltak, továbbá az intézet Bizonylati rendjében és Iratkezelési szabályzatában foglaltak alapján az adatkezelĘ határozza meg. 5. Olyan mágneses adathordozót, amelyet javíthatatlan fizikai károsodás ért selejtezni kell. Az alkalmatlan mágneslemezeket, CD-ket fizikai roncsolással használhatatlanná kell tenni. Bizalmas adatokat, felhasználói és rendszerprogramokat tartalmazó adathordozókról, törlĘ programokkal kell az adatokat törölni, vagy fizikailag kell megsemmisíteni az adathordozót. A selejtezést az intézet Felesleges vagyontárgyak hasznosításának és selejtezésének szabályzata, valamint Iratkezelési szabályzata alapján kell lefolytatni. 6. Sokszorosítást, másolást csak az érvényben lévĘ rendeletek szerint szabad végezni. (Az üzemi másolás nem minĘsül másolásnak.) Biztonsági illetve archív adatállomány elĘállítása másolásnak számít. 7. Az adathordozókat a Leltárkészítési és leltározási szabályzatban foglaltaknak megfelelĘen kell leltározni. Az adatállományok fájlvédelme során gondoskodni kell arról, hogy azok ne károsodjanak. A fontosabb fájlokat tartalmazó adathordozókról másolatot kell idĘnként készíteni. Dokumentálni kell, hogy ki és mikor végezte el a mentést. A másolt lemezek csak az illetékes vezetĘ engedélyével adhatók ki.
12.4. Szoftver védelem Az Intézetben csak ”jogtiszta”, azaz a megfelelĘ felhasználói engedéllyel (licence) rendelkezĘ, vagy freeware szoftvert szabad használni és csak a felhasználói szerzĘdésben meghatározott példányban. 1. Rendszerszoftver védelem A szervereken futó rendszerprogramokat kizárólag az informatikai osztály dolgozói, illetve a rendszerek szállítói – az informatikai osztály dolgozójának tudtával és belegyezésével, valamint az intézmény és a szállítók között megkötött szerzĘdésekben meghatározottak szerint – módosíthatják. Az üzemeltetésért felelĘs vezetĘnek biztosítani kell, hogy a szerverek és a programkönyvtárak hozzáférhetĘk legyenek a felhasználók számára. A módosítással egy idĘben, a dokumentációban is át kell vezetni a változásokat. 2. Felhasználói programok védelme -
Lokális gépekre programot, csak az informatikai osztály értesítése mellett lehet telepíteni. Új program használatát elĘzĘleg az informatikai osztály munkatársaival egyeztetni kell.
14/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
-
-
-
Az intézeti számítógép-hálózaton annak rendeltetésszerĦ mĦködésére veszélyt jelentĘ, az informatikai osztály által nem engedélyezett idegen eredetĦ szoftvert futtatni tilos. Az intézeti hálózatról üzemeltetett központi programjairól az informatikai osztály köteles biztonsági másolatot készíteni, és azt biztonságosan tárolni. Az egyedi szoftverekrĘl a felhasználó köteles másolatot készíteni és Ęrizni. A biztonsági másolatok épségét rendszeresen ellenĘrizni kell. Idegen adathordozót csak vírusellenĘrzés után szabad használni. A feldolgozás biztonságának megvalósításához naprakész állapotban kell tartani a program dokumentációt. A programokról nyilvántartást kell vezetni. A nyilvántartásból egyértelmĦen megállapítható legyen a program azonosítására és kezelésére vonatkozó adatok. A programok használata során az illetéktelen hozzáférést meg kell akadályozni, az illetéktelen próbálkozást ki kell zárni. (Jelszóvédelem használata) Új programrendszerek kidolgozásakor a feldolgozás folyamatában az adatvédelmet elĘre meg kell tervezni és egy esetleges szerzĘdésbe kötelezĘ jelleggel be kell építeni az alkalmazandó védelmi eszközök és eljárások elvárt szintjét és megoldásait.
12.5. Adatvédelem Az Intézetben nagy mennyiségĦ személyes és különleges adat kerül feldolgozásra, tárolásra. Ezeket és az egyéb adatokat védeni kell. 1. Az IntézetbĘl szoftvert, adatot bármilyen módon kijuttatni, csak az illetékes munkahelyi vezetĘ és az informatikai vezetĘ írásos engedélye alapján lehet. 2. Betegadatok, más személyes és különleges adatok, kutatási adatok tárolását az adott munkahelyen úgy kell megoldani, hogy az illetéktelen személyek számára ne legyen hozzáférhetĘ. Ennek elmulasztása fegyelmi vétség.
3. Az informatikai rendszerekhez történĘ hozzáférést, jelszavak kiosztását, módosítását, megszüntetését az Informatikai Osztály munkatársai jogosultak elvégezni, az erre a célra rendszeresített jogosultságkérĘ adatlapok kitöltésével, amelyeket az adott osztály vezetĘjének aláírásával kell ellátni. A programok nyilvántartásáért és mĦködĘképes állapotban való tartásáért az intézet rendszergazdája a felelĘs.
12.6. Szoftverek, mint szerzĘi jogvédelem alá esĘ termékekre vonatkozó rendelkezések Az Országos Idegtudományi Intézet szoftver használatának két módozata lehetséges: 1. Az OITI fejleszt ki szoftvert. Ebben az esetben az OITI saját jogon rendelkezik a licence-el, azaz tulajdonosa a szoftver(ek)nek, a teljes mértékben birtokolja a szoftver(ek)kel kapcsolatosan fennálló kizárólagos felhasználási jogot. Továbbá a szoftver további, akár harmadik személyek által történĘ felhasználása, megvásárlása stb. feletti teljes mértékĦ rendelkezés is az OITI-t illeti meg. A OITI saját szoftvere feletti bármilyen
15/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
rendelkezés esetén köteles a hatályos jogszabályi elĘírások szerint eljárni, gondoskodni annak szerzĘi jogi védelmérĘl, továbbá ezen jogokat licenc szerzĘdés keretében védeni harmadik személyekkel szemben. 2. Az OITI külsĘ cég(ek)kel, harmadik személyekkel köt szerzĘdést számítógépes szoftverek licencének felhasználása, megvásárlása tárgyában. Ebben az esetben az OITI kizárólag az adott szerzĘdés rögzített módon rendelkezik a felhasználás jogával, tulajdonjogot az érintett szoftver felett nem szerez. Az OITI köteles ezen szerzĘdésekben rögzített rendelkezések teljes mértékben történĘ betartására. A fentiek alapján akár szerzĘi jog, akár licenc szerzĘdések keretében: védett, és az OITI által használt szoftverek illegális használata és másolása törvénybe és jelen belsĘ szabályzatba ütközik. A szoftvermásolást és szoftverfelhasználást megakadályozására az OITI a következĘket rendeli el: • • •
•
Tilos az illegális szoftvermásolatok készítése és az OITI-ben történĘ bármilyen formában történĘ felhasználása. Minden indokolt szoftverigény kielégítésére a [Szervezet] jogtiszta szoftvert biztosít az összes számítógépre, a megfelelĘ idĘben, és a szükséges mennyiségben. Az OITI és valamennyi alkalmazottja, megbízottja eleget tenni minden olyan licenc vagy vásárlási feltételnek, törvényi elĘírásnak, amely az OITI által beszerzett vagy használt szoftverek felhasználását szabályozza. Az illegális szoftvermásolatok készítésének vagy használatának megakadályozása érdekében szigorú belsĘ ellenĘrzést végez az OITI, beleértve a fenti normák betartatására, és a normákat megszegĘk fegyelmi büntetésére vonatkozó intézkedéseket.
12.7 A licencek megszüntetése
ellenĘrzése,
illegális
programok
használatának
Az Informatikai Osztály a felhasználói jogok korlátozásával igyekszik megakadályozni, hogy a felhasználók saját maguk telepítsenek ellenĘrzés nélkül programokat a számítógépekre. Ennek ellenĘrzésére a rendszergazdák felhasználják az automatikusan készülĘ felhasználói kézikönyvek adatait (lásd 14-es pont), melyekben megtalálhatók az adott számítógépre telepített szoftverek listái, szoftverkulcsokkal együtt. Amennyiben illegális szoftver használatáról szereznek tudomást a rendszergazdák eltávolítják a programot azt az érintett számítógéprĘl.
12.8 A szoftverek beszerzése Az operációs rendszerek tekintetében törekedni kell arra, hogy a hardverrel együtt történjen a beszerzés ún. OEM verzió vásárlásával. Az irodai programcsomagok és antivírus szoftverek esetében törekedni kell a freeware kiadások telepítésére. Egyéb ügyviteli programok esetében a különbözĘ szoftvergyártók ajánlataiból kell az igényeknek leginkább megfelelĘ ajánlatot választani. A beszerzéseket az Informatikai Osztály kezdeményezésére, a gazdasági igazgató jóváhagyása alapján kell megvalósítani.
16/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
12.9 A szoftverek raktárba történĘ bevételezése, leltárba vétele , selejtezése A megrendelt hardverek, szoftverek raktárba történĘ bevételezése a szállítást követĘen a raktári dolgozók feladata. Amennyiben a szoftver hardvereszközzel együtt érkezik (OEM), a tárgyi-eszköz nyilvántartásba vétel azzal együtt történik meg. A raktárból történĘ kivételezéskor mielĘtt a számítógép, illetve a szoftver a felhasználóhoz kerül a rendszergazdák által végzett installálás, beállítások elvégzése történik meg. ErrĘl üzembehelyezési jegyzĘkönyvet állít ki az Informatikai Osztály munkatársa, és ekkor kerül kiosztásra a raktár által megadott leltári azonosítószám. Azokat a meghibásodott eszközöket, amelyek már nem javíthatók gazdaságosan, a rendszergazdák selejtezésre javasolják, errĘl selejtezési jegyzĘkönyvet állítanak ki. Ezután a számítógépen található szükséges adatok mentése után a merevlemez teljes biztonsági törlését elvégzik a rendszergazdák, majd a gép a raktárba leadásra kerül, ahol a tárgyi-eszköz nyilvántartásból kivezetésre kerül.
13. KülsĘ szervezet által történĘ karbantartás és telepítés Az OITI számítógépes rendszeréhez hálózaton keresztül kapcsolódó, vagy a helyszínen bármilyen beavatkozást végezni szándékozó külsĘ szervezet, szerzĘdéses partner, alvállalkozó, vagy annak képviselĘje által történĘ hozzáférés, szoftverinstallálás, vagy bármely szoftver beállításainak módosítása, karbantartási munkálatok kizárólag az intézet rendszergazdáinak tudomásával és hozzájárulásával végezhetĘ.
14. A központi számítógépek és munkaállomások mĦködésbiztonsága 14.1. Központi számítógépek (Server) Szünetmentes áramforrást célszerĦ használni, amely megvédi a berendezést a feszültségingadozásoktól, áramkimaradás esetén adatvesztéstĘl. A központi gépek háttértárairól naponta biztonsági mentést kell készíteni. A mentés heti felülírással készül, így mindig 6nappal korábbi állapotú adat-visszaállítást kell lehetĘvé tenni. Az alkalmazott hálózati operációs rendszer (pl. NOVELL) adatbiztonsági lehetĘségeit az egyes konkrét feladatokhoz igazítva kell alkalmazni. A vásárolt szoftver eszközökrĘl, (ha a program licenc megengedi) biztonsági másolatot kell készíteni. Az eredeti példányokat a másolatoktól fizikailag el kell különíteni.
14.2. Aktív hálózati elemek Az Intézet hálózatát kiszolgáló aktív elemeket (switch, router) valamint a hálózati passzív elemek (kábelrendezĘk) legyenek azok az intézet bármely helyén csak zárható helyiségben, vagy legalább zárható szekrényben (Rack) kell elhelyezni. A Rack szekrények kulcsait az informatika osztályon kell tárolni. A szekrényekbe csak az informatikai osztály dolgozói, illetve külsĘ szolgáltatók az intézeti informatikus jelenlétében nyúlhatnak be.
17/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
14.3. Munkaállomások (felhasználók számítógépei) A számítógépekre, hálózati tárhelyekre idegen programot, adatot másolni csak a rendszergazda, illetve a rendszergazda elĘzetes tájékoztatása mellett az informatikai szolgáltató jogosult. A hálózati tárhelyeken (bármely betĦjellel azonosított hálózati meghajtón) szigorúan tilos média fájlokat tárolni, amelyek a következĘ fájlkiterjesztések valamelyikével rendelkeznek: .mp3, mp4, .avi, .jpg, .jpeg, .m2t, .m2v, .mp2v, .mpa, .mpe, .mpv2, .nrd, .wav, .wave, .wma, .wmv, .wmx, .wvx Továbbá tilos lemezkép fájlok : .iso, .cue, cab tárolása. Ezek figyelmen kívül hagyása fegyelmi vétség. A fent felsorolt fájlokat a rendszergazda elĘzetes értesítés nélkül maradéktalanul törölheti. A rendszergazda külön kérésre, megfelelĘ indokok alapján kivételt tehet a felsorolt fájltípusok tárolására vonatkozó tilalom alól. VírusfertĘzés gyanúja esetén a rendszergazdát azonnal értesíteni kell. Új rendszereket használatba vételük elĘtt szükség szerint adaptálni kell, és tesztadatokkal ellenĘrizni kell mĦködésüket. Az intézmény informatikai eszközeirĘl programot illetve adatállományokat másolni a jogos belsĘ felhasználói igények kielégítésein kívül nem szabad. Az informatikai eszközt és tartozékait helyérĘl elvinni a rendszergazda tudta és engedélye nélkül nem szabad. Bármilyen magántulajdonban lévĘ számítástechnikai eszközt ( hordozható-, vagy asztali pc, monitor, nyomtató, scanner, digitalizáló tábla, switch, router, webkamera, külsĘ merevlemez) az intézeti számítógépes hálózathoz csatlakoztatni, azt a már használatban lévĘ eszközökhöz csatlakoztatni kizárólag a rendszergazda tudtával és engedélyével szabad. A bejelentés, engedélyeztetés elmulasztása fegyelmi vétségnek minĘsül.
15. A felhasználói kézikönyv A felhasználói kézikönyv egy software által rendszeresen frissített lista, amely tartalmazza egyebek mellett a számítógépek hardware és software elemeinek részletes listáját, valamint a operációs rendszerek licence kódjait, a víruskeresĘ típusát, verzió számát. A felhasználói kézikönyveket elektronikus formában minden intézeti számítógép felhasználó részére elérhetĘvé kell tenni. egy publikus könyvtárban. Ebben a könyvtárban kell elhelyezni a szakmai software leírásokat is. Az elektronikus nyilvántartást folyamatosan vezetni, aktualizálni kell, mely a rendszergazdák feladata.
18/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
16. EllenĘrzés Az intézet éves belsĘ ellenĘrzési ütemtervében rögzíti az ellenĘrzés módját. Az ellenĘrzésnek elĘ kell segíteni, hogy az informatikai rendszerben veszélyhelyzetek ne alakuljanak ki. A kialakult veszélyhelyzet esetén cél a károk csökkentése illetve annak megakadályozása, hogy az megismétlĘdjön. A munkafolyamatba épített ellenĘrzés során az IBSZ rendelkezéseinek betartását, az adatkezelést végzĘ szervezeti egység vezetĘi folyamatosan ellenĘrzik.
17. Záró rendelkezések Az Informatikai Biztonsági Szabályzatban érintett dolgozók munkaköri leírásába be kell építeni a szabályzatban elĘírt feladatokat. A fenti feladatokat: 2009. év 12. hó 31. napjáig kell elvégezni. Az Informatikai Biztonsági Szabályzat 2009.év 04. hó 01. napjával lép hatályba. _______________________ Gulyás Antal gazdasági fĘigazgató helyettes
19/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
1. sz. melléklet ………………………………………. intézmény (hivatal) megnevezése
ADATKEZELÉSI NYILATKOZAT
Alulírott ………………………………………………………………… (név) ……………………………………………………………………..……….. (lakcím) nyilatkozom, hogy a feladatellátás során tudomásomra jutott információkat megĘrzöm, azt illetéktelen személyek részére nem adom át. A munkavégzés során csak a részemre hozzáférhetĘ adatokkal dolgozom, más adatok hozzáférésére kísérletet sem teszek. Dátum: 200……………………….. ……………………………… aláírás
20/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
2. sz. melléklet GÉPTERMI REND A SZERVER-SZOBÁBAN Az intézet adatfeldolgozását kiszolgáló szervereket külön helyiségben (továbbiakban gépterem) kell elhelyezni. Itt kell elhelyezni az Internetes kapcsolatot kiszolgáló berendezéseket is. A gépterem feleljen meg az alábbi követelményeknek: -
-
-
-
A gépterem ajtaját folyamatosan zárva kell tartani és a kulcs egy példányát le kell adni, másik példányát az informatikai osztályon használják. A leadott kulcsot csak rendkívüli helyzet esetén szabad kiadni és a kiadást dokumentálni kell. A gépteremben folyamatos munkavégzés tilos. Oda csak az informatikai osztály munkatársai, illetve az informatikai osztály dolgozójának felügyelete mellett külsĘ szolgáltatók szakemberei, illetve az intézet vezetĘi léphetnek be. A gépterembe ételt, italt bevinni, és ott elfogyasztani tilos. SZIGORÚAN TILOS a gépteremben égĘ cigarettával belépni, illetve ott dohányozni! A gépterem takarítását csak az arra elĘzĘleg kioktatott személyek végezhetik. A gépterem folyamatos hĦtésérĘl klíma berendezés beszerelésével kell gondoskodni. Szünetmentes áramforrások segítségével kell biztosítani, hogy áramszünet esetén a szerverek legalább 10 percen keresztül mĦködĘképesek maradjanak. A gépterem elektromos hálózatába egyéb - nem a rendszerekhez, illetve azok kiszolgálásához tartozó - berendezéseket csatlakoztatni nem szabad. A gépteremben elhelyezett jelzĘberendezések (klíma, tĦz- és betörésjelzĘ) mĦszaki állapotát folyamatosan figyelni kell az ott dolgozóknak, és bármilyen rendellenességet észlelnek, azonnal jelenteni kell a mĦködésükért felelĘs megbízottaknak. A javításoknak, illetve bármilyen beavatkozásoknak minden esetben ki kell elégíteni a szükséges mĦszaki feltételeken kívül a balesetmentes használat, a szakszerĦség, a vonatkozó érintésvédelmi szabványok és az esztétikai követelményeket. Nem végezhetĘ olyan javítás, szerelés, átalakítás vagy bármilyen beavatkozás, amely nem elégíti ki a balesetvédelmi elĘírásokat. A fenti rendelkezések megsértése esetén fegyelmi felelĘsségre vonás kezdeményezhetĘ.
21/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
3. sz. melléklet
NYILATKOZAT AZ ORSZÁGOS IDEGTUDOMÁNYI INTÉZETBEN HASZNÁLT SZERZėI JOG VÉDELME ALÁ ESė TERMÉKEK (SZOFFTVEREK) HASZNÁLATA, FELHASZNÁLÁSA KAPCSÁN
Alulírott Közalkalmazott/Megbízott/KözremĦködĘ nyilatkozom, hogy • Tudomásom van arról, hogy az OITI számos külsĘ cégtĘl vásárolja meg a számítógépes szoftverek licencét (szerez a szoftverekre felhasználási jogot). Az OITI a licencszerzĘdéssel nem válik e szoftverek tulajdonosává, a szoftverek dokumentációja és lemezei a szoftver szerzĘi jogi jogosultjának külön kifejezett engedélye nélkül, illetve a szerzĘi jogról szóló törvény külön kifejezett engedélye nélkül nem reprodukálhatók. • Tudomásom van arról, hogy a lokális hálózatokon, valamint az OITI-ben használatban lévĘ számítógépeken a szoftvereket kizárólag a licencszerzĘdésnek megfelelĘen használhatják, melynek részleteirĘl felvilágosítást ………………… (pozíció meghatározása – név nélkül) ad • Amennyiben tudomására jut, hogy a megvásárolt szoftvert, vagy azzal kapcsolatos dokumentációt bárki nem a fentiek szerint használja, akkor azt kötelesek vagyok jelenteni a közvetlen felettesem részére Tudomásom van arról, hogy a BüntetĘ Törvénykönyv 329/A. §-a szerint, aki a szoftver szerzĘi jogát haszonszerzés végett, vagy vagyoni hátrányt okozva megsérti (a szoftver engedély nélküli másolása minden esetben vagyoni hátrányt okoz), az szabadságvesztéssel, közérdekĦ munkával, vagy pénzbüntetéssel büntetendĘ. A szerzĘi jog megsértĘjét a fentieken túl kártérítési felelĘsség is terheli az okozott kár vonatkozásában. Az OITI tiltja a szoftverek illegális használatát és másolását. Tudomásom van arról, hogy azon közalkalmazottak, megbízottak, közremĦködĘk, akik illegális szoftvermásolatot készítenek, szereznek be, vagy használnak, az adott körülményeknek megfelelĘen szankcionálhatók. Ez a szankció fegyelmi eljárás keretében a közalkalmazotti jogviszony megszüntetéséhez is vezethet. Tudomásul veszem az OITI szoftverhasználatra vonatkozó rendelkezéseit, és betartását magamra nézve kötelezĘnek fogadom el. Kelt: Budapest, 2009. ………………….. ____________________ aláírás Közalkalmazott/ megbízott/közremĦködĘ olvasható neve: …………………………..
22/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
4. sz. melléklet
Üzembe-helyezési jegyzĘkönyv JegyzĘkönyvi szám
Leltári szám
S Z -
Megnevezés Típus Azonosító Üzembe helyezĘ ÜzemeltetĘ
Egyéb eszközök
Az üzembe helyezés lefolytatása: .LFVRPDJROiVDNpV]OpNHOOHQęU]pVHD]D]RQRVtWyDODSMiQ 'RNXPHQWXPRNPHJOpWpQHNHOOHQęU]pVH D PDJ\DUQ\HOYħKDV]QiODWLXWDVtWiV E WDQ~VtWYiQ\RNpVYDJ\J\iUWyLPHJIHOHOęVpJLQ\LODWNR]DW
7DUWR]pNRNPHQQ\LVpJLpVWtSXVV]HULQWLHOOHQęU]pVH 0ħN|GpVLHOOHQęU]pV]HPLSUyED
Szempontok
Eredmény IGEN
NEM
Eltérés található Üzemi próba során megfelelt Budapest, 2009.07.22 .......................................................
............................................................
üzembe helyezĘ
üzemeltetĘ
5. sz. melléklet
23/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
Selejtezési javaslat Sorszám
Leltári szám Megnevezés Indok Felhasználó Tartozék
Leltári szám Megnevezés Indok Felhasználó Tartozék
Budapest, 2010. május 3. .......................................................
............................................................
üzembe helyezĘ
üzemeltetĘ
24/25 oldal
Országos Idegtudományi Intézet Informatikai Biztonsági Szabályzata
NYILATKOZAT AZ ORSZÁGOS IDEGTUDOMÁNYI INTÉZETBEN HASZNÁLT SZERZėI JOG VÉDELME ALÁ ESė TERMÉKEK (SZOFFTVEREK) HASZNÁLATA, FELHASZNÁLÁSA KAPCSÁN
Alulírott Közalkalmazott/Megbízott/KözremĦködĘ nyilatkozom, hogy • Tudomásom van arról, hogy az OITI számos külsĘ cégtĘl vásárolja meg a számítógépes szoftverek licencét (szerez a szoftverekre felhasználási jogot). Az OITI a licencszerzĘdéssel nem válik e szoftverek tulajdonosává, a szoftverek dokumentációja és lemezei a szoftver szerzĘi jogi jogosultjának külön kifejezett engedélye nélkül, illetve a szerzĘi jogról szóló törvény külön kifejezett engedélye nélkül nem reprodukálhatók. • Tudomásom van arról, hogy a lokális hálózatokon, valamint az OITI-ben használatban lévĘ számítógépeken a szoftvereket kizárólag a licencszerzĘdésnek megfelelĘen használhatják, melynek részleteirĘl felvilágosítást ………………… (pozíció meghatározása – név nélkül) ad • Amennyiben tudomására jut, hogy a megvásárolt szoftvert, vagy azzal kapcsolatos dokumentációt bárki nem a fentiek szerint használja, akkor azt kötelesek vagyok jelenteni a közvetlen felettesem részére Tudomásom van arról, hogy a BüntetĘ Törvénykönyv 329/A. §-a szerint, aki a szoftver szerzĘi jogát haszonszerzés végett, vagy vagyoni hátrányt okozva megsérti (a szoftver engedély nélküli másolása minden esetben vagyoni hátrányt okoz), az szabadságvesztéssel, közérdekĦ munkával, vagy pénzbüntetéssel büntetendĘ. A szerzĘi jog megsértĘjét a fentieken túl kártérítési felelĘsség is terheli az okozott kár vonatkozásában. Az OITI tiltja a szoftverek illegális használatát és másolását. Tudomásom van arról, hogy azon közalkalmazottak, megbízottak, közremĦködĘk, akik illegális szoftvermásolatot készítenek, szereznek be, vagy használnak, az adott körülményeknek megfelelĘen szankcionálhatók. Ez a szankció fegyelmi eljárás keretében a közalkalmazotti jogviszony megszüntetéséhez is vezethet. Tudomásul veszem az OITI szoftverhasználatra vonatkozó rendelkezéseit, és betartását magamra nézve kötelezĘnek fogadom el. Kelt: Budapest, 2010. ………………….. ____________________ aláírás Közalkalmazott/ megbízott/közremĦködĘ olvasható neve: …………………………..
25/25 oldal