INFORMATIKAI ÉS ADATVÉDELMI SZABÁLYZAT Városi Művelődési Központ Veszprém
Hatályos 2014. november 3-tól.
A szabályzat célja: A szabályzat célja, hogy írásban rögzítse azokat az irányelveket, amelyeket az intézményben az információs biztonság érdekében be kell tartani. A szabályzat „ A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról” szóló 1992. évi LXIII. törvény előírásainak figyelembe vételével készült. A szabályzat célja, hogy e törvény által előírtak teljes mértékben teljesüljenek intézményünkben. A szabályzat további célja, hogy egyértelműen tudatosítsa valamennyi, az intézményben dolgozó munkatársunkkal, hogy az információs biztonság megteremtése és fenntartása mindenki elemi érdeke. A szabályzat leírja az informatikai rendszer működéséből az adatkezelésre és adatbiztonságra vonatkozó szabályokat, s a dolgozókra vonatkozó, ezzel kapcsolatos elvárásokat. A vonatkozó törvény legfontosabb elemei: 1. Személyes adat: bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha ót – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet. 2. A személyes adatok kezelése a) Személyes adatot kezelni csak meghatározott célból, hogy gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. b) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. 3. Adatbiztonság a) Az adatkezelő illetőleg tevékenységi körben az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. b) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés valamit a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.
Érvényesség: A szabályzat érvényessége kiterjed: a Városi Művelődési Központ számítógépes erőforrásaival kapcsolatos adatokra (hardver, szoftver), bármilyen, az intézmény számítógépes rendszerében vagy egyéb tárolóeszközön őrzött információra (tárolt, futtatott, nyomatatott formában megjelenő adatokra), a Városi Művelődési Központ valamennyi dolgozójára, illetve azokra akik megbízási, vállalkozási szerződéssel az intézmény tevékenységében részt vesznek, mindazokra, akik közvetve vagy közvetlenül használják, kezelik, illetve fejlesztik a számítógépes adatokat és szolgáltatásokat. Az információs biztonság meghatározása: Az információs biztonság négy alapelve: Bizalmasság: az információhoz csak a jogosultak férhetnek hozzá, és csak olyan mértékben, amennyire szükséges. Védeni kell az információt a belső és a külső illetéktelen hozzáférésektől. Sértetlenség: az adott információ pontos és teljes. Nincs információvesztés, véletlenül vagy szándékosan nem módosították az információt. Rendelkezésre állás: ha az információra szükség van, akkor legyen elérhető. Letagadhatatlanság: lehessen tudni, hogy a lényeges információkat érintő változásokat ki, mikor és miért végezte el, illetve nem végezte el. Felelősség: Az intézmény dolgozói a munkakörükkel összefüggő adatokért felelősek. Felelősséggel tartoznak továbbá minden egyéb információért, amely az intézmény tevékenységével, a külsőkkel megkötött szerződésekkel ( ahol a szerződésben a felek annak tartalmával kapcsolatban titoktartást kötnek ki), vagy annak dolgozóival kapcsolatosan tudomásukra jutott, függetlenül attól, hogy az említett adatok hivatalos illetve személyes adatok. Ha bármelyik dolgozó az adatvédelmi szabályzat megsértését észleli, az köteles jelezni az illetékes vezetőnek. Szankcionálás: A szabályzat tudatos vagy véletlen megszegése következményekkel jár. Ez lehet: - szóbeli vagy írásbeli figyelmeztetés, - elbocsátás, - polgári per indítása, - büntetőjogi felelősségre vonás indítása.
A büntetés mértékéről a felelős személy meghallgatása után az igazgató dönt. A szabályzat ismeretének hiánya nem mentesít annak betartása alól. Informatikai adatvédelemmel kapcsolatos elvárások a felhasználókkal szemben: Alapelv: egy informatikai rendszer csak annyira biztonságos, mint amennyire a leggyengébb eleme, ami/aki lehet szoftver, hardver vagy ember! 1. Jelszóvédelem A jelszavak a számítógépes biztonság alapvető elemei, védelmük rendkívül fontos. A rosszul megválasztott jelszó a teljes hálózatot veszélyeztet(het)i. Az intézmény minden alkalmazottja felelős a jelszava megválasztásáért és védelméért. Szabályok, tiltások és ajánlások: Ugyanazt az azonosító/jelszó párost (akár egy vagy több gépen) nem használhatja több ember. Ez alól a szabály alól – a rendszergazda tudtával és beleegyezésével – kivétel lehetséges. Ha egy felhasználó jelszavát feltörték, vagy ilyen kétsége támad a jelszót azonnal cserélje le és az esetet jelentse a rendszergazdának. Tilos bármilyen jelszót illetéktelennek (idegennek, kollégának, főnöknek, rendszergazdának stb.) továbbadni, továbbítani (pl: e-mailben), illetve számokra elérhető helyen tárolni. Tilos a jelszó formájára/tartalmára utalni (pl: „egyik macskám neve”). Tilos a jelszót bármilyen kérdőíven vagy formanyomtatványon kitölteni. a külső rendszerekhez (pl: freemail) használt jelszó ne egyezzen meg a saját gépen a hivatali programokhoz használt jelszavak egyikével sem. Ha jelszavát írásban rögzíteni kívánja, akkor azt lezárt borítékban, kulccsal elzárt helyen őrizze. A jelszó elzárása kérésre a pénztári páncélszekrényben történik. 2. A számítástechnikai eszközök kezelése: Az intézményi számítógépek használatával kapcsolatos alapvető tudnivalók az adatbiztonság szempontjából. Szabályok, tiltások és ajánlások: Az intézményi munkaállomásokat és a rájuk feltelepített szoftvereket rendeltetésszerűen kell használni. (Nem csak biztonsági szempontok miatt.) A számítástechnikai eszközök telepítése, elhelyezése az előírásoknak megfelelő üzembe helyezése kizárólag a rendszergazda feladata. Ezáltal érvényesíthető a beszerzéssel kapcsolatos garancia és jótállás.
A géphez a szoftvereihez tartozó telepítőlemezeket és dokumentációkat a rendszergazda köteles megőrizni, kezelni. Ha a felhasználó a számítógépén (számítógépével) számítógépéről az adatvédelmi szabályzat megsértését tapasztalja (pl: külső/belső behatolás, adatok nem kívánt megváltozása) vagy erre vonatkozó gyanúja van, azt köteles haladéktalanul jelenteni a rendszergazdának, illetőleg az illetékes vezetőnek aki megteszi a megfelelő lépéseket. Az intézményi gépeken a munkához szükséges összes szoftver telepítve van. További programok telepítéséhez a rendszergazda hozzájárulása szükséges. Tilos nem jogtiszta szoftvert telepíteni a munkaállomásokra. 3. Vírusvédelem A vírusok károkozási célból készített számítógépes programok. Az intézményi számítógépeken vírus- és kémprogram ellenőrző programokat telepítettek, de a fertőzések biztos elkerüléséhez megfelelő felhasználói magatartás is szükséges. Szabályok, tiltások és ajánlások: A vírusok legnagyobb része a letöltött weboldalakkal illetve e-mailben érkezik a számítógépre. Kerüljük az internet böngészése közben felajánlkozó (legtöbbször káros / vírusos) szoftverek telepítését. A legtöbb vírus és egyéb kártékony program az illegális tartalmakat (mp3, filmek, feltört programok) elérhetővé tévő ún. „warez” oldalakról valamint a pornográf tartalmú oldalakról származik, ezért tilos ilyen oldalak böngészése. Ha a munkaállomáson telepített vírus – (kémprogram figyelő) tűzfal fertőzést észlel, értesíteni kell a rendszergazdát. Ha vírusfertőzésről nincs értesítés, de a számítógép mégis erre utaló jeleket ad (indokolatlanul lassú / lefagy / elfogy a szabad tárolóhely stb.), értesíteni kell a rendszergazdát. Tilos idegen nyelvű, sejthetően számunkra haszontalan e-mailek megnyitása. Vírust tartalmazhatnak. A felhasználónak rendszeresen vírusellenőrzést kell végrehajtani. A vírusellenőrzéssel és vírusirtással kapcsolatban az IK segítséget nyújt. Elektronikus levelezés Az elektronikus levelezés az Internet egyik legnépszerűbb szolgáltatása, az írott kommunikáció egyik formája. Az intézmény lehetővé teszi, hogy munkatársai elektronikus leveleket küldjenek és fogadjanak. Szabályok, tiltások és ajánlások: Az intézményi postafiókját mindenki köteles rendszeresen ellenőrizni.
Az intézmény tevékenységével kapcsolatos leveleket csak az intézmény levelezési szervereiről szabad küldeni (tilos pl: freemail. yahoo, gmail használata). Az elektronikus levélben a „tárgy”/”subject” mezőt lehetőleg ki kell tölteni. Tilos az intézményi postafiókból nem az intézmény tevékenységével kapcsolatos üzleti jellegű levelek küldése. Tilos többeket újabb levél írására/továbbküldésére budító „lánclevél” küldése. Tilos a köznapi életben elfogadott etikai normákat megsértő tartalmú (pl: rágalmazó, obszcén,pornográf, gyalázkodó, törvénysértésre bátorító, faji, nemzeti, vallási stb. különbség okán hátrányosan megkülönböztető stb. ) levelek küldése. Tilos más felhasználó levelének engedély nélküli elolvasása. A levelezéssel kapcsolatos vírusvédelmi előírásoknak lásd a „Vírusvédelem” pontban. 4. Adatvédelem Az adatfájlokat, dokumentumokat és adatbázisokat az adathordozó sérülésének veszélye miatt több különböző adathordozón ajánlott tárolni. A szervezeti egységeknél a szükséges mentési tervet a rendszergazda írásban dolgozza ki.
Mentési és Archiválási rendelkezés 1. A mentési és visszaállítási eljárásokat úgy kell kialakítani, hogy a Művelődési Központ által üzemeltetett rendszerek előre nem látható esemény bekövetkezte után szükség esetén helyreállíthatók legyenek, ezáltal ne sérüljenek az információk, adatok, rendszerek rendelkezésre állásának kritériumai. Ki kell jelölni azokat a személyeket, akiknek a biztonsági mentéseket illetve archiválásokat el kell végezniük. Az adatok mentésének és archiválásának az időrendjét és az adatmentés vagy archiválás felelősét az adatmentési melléklet tartalmazza. 2. Az adatmentésnek és archiválásnak mindig a lehető legfrissebbnek kell lennie. Egy rendszerösszeomlásnál annyi adatot fogunk elveszíteni, amennyi a legutóbbi mentés óta keletkezett. A mentés gyakoriságát ennek megfelelően kell meghatározni. 3. A mentett adatoknak mindig visszaolvashatónak kell lennie. Triviálisnak tűnik, de előfordul, hogy a mentéshez olyan szoftvert használnak, amellyel nehéz más rendszeren visszaolvasni a mentést. Ha az eredeti rendszer üzemképtelen, szükség lehet időlegesen visszaállítani más rendszerre a mentést. Célszerű időnként próba visszatöltést tartani. 4. A mentéseket mindig biztos helyen kell tárolni. A biztonsági mentés nem ér semmit, ha csőtörés, tűz vagy lopás során az eredeti rendszerrel együtt megsemmisül! Tartsuk más helyiségben vagy tűzbiztos páncélszekrényben. Ugyanakkor a Művelődési
Központi rendszerek mentése biztosan tartalmaz olyan adatokat, amelyek jogszabályi előírás alapján adatvédelmi szempontból érzékenyek. Szükség esetén használjunk olyan megoldást, amely a mentést titkosítva tárolja, vagy tároljuk és szállítsuk fizikailag biztos módon! 5. Ne keverjük össze a nagy rendelkezésre állást a biztonsági mentéssel. Az olyan megoldások, mint pl. a lemezegységek tükrözése, RAID alrendszerek, stb. Növelik a rendelkezésre állás nagyságát és az adatbiztonságot, mert pl. egy lemezegység meghibásodása esetén is működőképes marad a 4 rendszer, de nem helyettesítik a biztonsági mentést. Egy teljes RAID lemezegység is teljesen tönkre tud menni, pl. tűz, villámcsapás stb. esetén, ekkor a rajta tárolt adatok elvesznek, vagyis mentésre ekkor is szükség van! 6. Az adattárolásra szolgáló adathordozók meg kell hogy feleljenek az adatok, információk biztonsági osztályba sorolási modellben meghatározott időn belüli működőképesség követelményének. Üzemeltetői feladatok 1. Teljes biztonsági mentést és archiválást kell végezni a munkaállomásokon a mellékletében kijelölt elektronikus adatokról. Az adatok mentésének és archiválásának időrendjét és felelősét az adatmentési melléklet tartalmazza. 2. Havonta, évente teljes rendszerarchiválást kell készíteni, és ezeket megőrizni. Ehhez biztosítani kell a megfelelő számú adathordozó egységet. 3. A mentéseket lehetőleg úgy kell elvégezni, hogy azzal a felhasználók munkáját ne akadályozzák.On-line rendszerek esetén hideg mentést kell alkalmazni. 4. A biztonsági mentéseket és archiválásokat tartalmazó adathordozókat minden esetben a szervertől elkülönített helyiségben elzárva kell őrizni. 5. A mentéseket tartalmazó adathordozókon jól láthatóan fel kell tüntetni a mentett rendszer nevét, a mentés típusát és idejét. 6. A biztonsági eseménynaplókat 1 évre visszamenőleg, a teljes mentéseket pedig a törvényben foglalt ideig meg kell őrizni. 7. Legalább évente visszatöltési kísérletet kell végezni a technika megfelelőségének ellenőrzése érdekében. 8. A rendszergazda feladata ellenőrizni, hogy a meghatározott mentési rend alapján az adatminősítésnek megfelelően a visszaállítási eljárások során is csak az arra jogosult személyek férhessenek hozzá a visszaállítandó adatokhoz. Munkaállomások adatainak mentése 1. Minden olyan felhasználónak, aki munkája kapcsán adatkezeléssel, adatmódosítással foglalkozik, gondoskodnia kell a munkaállomásokon az általa létrehozott, kezelt állományok mentéséről. 2. A felhasználó felelős a saját munkaállomásán bekövetkezett adatvesztésekért és az adatok sérüléséből keletkezett károkért.
3. A felhasználó felelős azért, hogy: a) a mentésből visszaállíthatók legyenek az adatok, b) a mentéseket a rendszergazda által kijelölt tárhelyekre / mappákba kell készíteni, c) a mentések mindig a mentési mellékletben leírt módón és időben történjenek A mentési és archiválási szabályzat betartása
(1) E szabályzatban foglaltak betartatásáért a Művelődési Központ igazgatója és a Művelődési Központ intézményvezetői felelősek. (2) Az 1. pontban meghatározott vezetők a szabályzat előírásainak ellenőrzését a rendszergazda útján végzi. (3) E szabályzat be nem tartása miatt keletkezett problémák miatt az érintett fegyelmi felelősséggel tartozik. Melléklet: Adatmentő eszközök: elzártan a rack szekrényben található, Hálózati adattároló (NAS - Synology), egyéni felhasználói fiókok létrehozva, jelszóval védett Mentés helye a munkaállomásokon: Asztal/Cloud Station mappa Mentési időrend: naponta a felhasználó által Ellenőrzés: havonta a rendszergazda által