Koordinációs Irányító Hatóság

Koordinációs Irányító Hatóság EMIR Informatikai Biztonsági Szabályzat

Tartalomjegyzék 1.

2.

3.

A dokumentum keretei ................................................................................................. 4 1.1.

Dokumentum hatálya ..................................................................................................... 4

1.2.

Kapcsolódó dokumentumok .......................................................................................... 4

1.3.

Fogalomtár....................................................................................................................... 4

1.4.

Szerepkörök..................................................................................................................... 8

Az informatikai biztonsági rendszer mőködtetése..................................................... 10 2.1.

Megfelelés a jogszabályoknak és a belsı szabályzatoknak........................................ 10

2.2.

Kockázat menedzsment ................................................................................................ 10

Védelmi intézkedések meghatározása........................................................................ 13 3.1. 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5.

3.2. 3.2.1. 3.2.2. 3.2.3. 3.2.4.

3.3. 3.3.1. 3.3.2. 3.3.3.

3.4. 3.4.1. 3.4.2. 3.4.3. 3.4.4. 3.4.5. 3.4.6.

3.5. 3.5.1. 3.5.2. 3.5.3. 3.5.4. 3.5.5.

3.6. 3.6.1. 3.6.2.

3.7.

4.

Az adatok biztonsági besorolása.................................................................................. 13 Adathalmaz felmérése ..............................................................................................................13 Adatcsoportok kialakítása ........................................................................................................13 Folyamatok felmérése ..............................................................................................................13 Adatosztályba sorolás...............................................................................................................14 Adatok nyilvántartásba vétele ..................................................................................................14

Szervezeti és személyi biztonság .................................................................................. 15 EMIR biztonsági fórum............................................................................................................15 Az IT biztonság szervezeti felépítése .......................................................................................15 Informatikai biztonsági feladatkörök .......................................................................................16 Az IT biztonság személyi vonatkozásai ...................................................................................19

Fizikai és környezeti biztonság .................................................................................... 20 Informatikai biztonsági zónák kialakítása ................................................................................21 IT biztonsági zónákba történı belépés és munkavégzés ..........................................................21 Eszközök kivitele .....................................................................................................................21

IT folyamatok biztonsága............................................................................................. 22 Informatikai rendszerek tervezése és jóváhagyása ...................................................................22 IT eszközök beszerzésének biztonsága ....................................................................................22 Az EMIR alkalmazásfejlesztés biztonsága...............................................................................23 Az üzemeltetés biztonsága .......................................................................................................24 Biztonsági incidensek kezelése ................................................................................................25 (Operátori) Tevékenységek naplózása .....................................................................................27

Adatvédelmi eljárások menedzsmentje....................................................................... 28 A határvédelemmel kapcsolatos védelmi intézkedések............................................................28 Nem kívánatos kódok elleni védekezés....................................................................................29 A jogosultság kezelés ...............................................................................................................34 Mentés, archiválás, visszatöltés................................................................................................40 Kriptográfiai óvintézkedések ...................................................................................................43

IT szolgáltatások biztonsága ........................................................................................ 44 Az Internet elérés biztonsága ...................................................................................................44 Fájl kezelés / Címtár kezelés ....................................................................................................44

Üzemmenet-folytonosság menedzsment...................................................................... 44

A biztonsági szint mérése, monitorozása ................................................................... 46 4.1.

A biztonsági szint mérésének feltételei........................................................................ 46

EMIR Informatikai Biztonsági Szabályzat

4.2. 4.2.1. 4.2.2. 4.2.3. 4.2.4. 4.2.5.

5.

A biztonsági szint mérésének eszközei és módszerei.................................................. 46 Technikai szintő auditok ..........................................................................................................46 Személyi biztonság szintjének mérése (Social Enginering) .....................................................46 DRP tesztek..............................................................................................................................47 IT rendszer monitorozása .........................................................................................................47 A mérési adatok feldolgozása, visszacsatolása.........................................................................47

4.3.

Ellenırzési irányelvek................................................................................................... 49

4.4.

Biztonsági rendszerek felülvizsgálata.......................................................................... 49

Záró rendelkezések ..................................................................................................... 51

3. oldal


1.

A dokumentum keretei

1.1.

Dokumentum hatálya

Jelen IT Biztonsági Szabályzat hatálya az EMIR és kiszolgáló környezet üzemeltetésével és fejlesztésével kapcsolatos biztonsági feladatok követelmény szintő szabályozására terjed ki. 1.2.

Kapcsolódó dokumentumok

Üzleti hatáselemzés: az NFÜ üzleti folyamatainak kiesési hatásait vizsgáló dokumentum. Jogosultságkezelési szabályzat: a Nemzeti Fejlesztési Ügynökség elnökének 24/2007. (10.26.) utasítása az EMIR Jogosultságkezelési Szabályzatának kiadásáról. Alkalmazásfejlesztési szabályzat: a Nemzeti Fejlesztési Ügynökség elnökének 15/2007. (VII.9.) utasítása az EMIR Alkalmazásfejlesztési Szabályzatának kiadásáról. 1.3.

Fogalomtár

Jelen szabályzat alkalmazásában: Adat: a hivatalos küldemények azon része, amelynek elektronikus eszköz az információ hordozója (pl.: floppy, e-mail üzenet a képernyın), függetlenül attól, hogy az információ szöveges vagy számszerő. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mővelet vagy a mőveletek összessége, így például győjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása (1992. évi LXIII. tv., 2. § 9. pont). Adatállomány: valamely informatikai rendszerben (e szabályzat esetében az EMIR-ben) lévı adatok logikai összefogása, amelyet egy névvel jelölnek. Ezen a néven keresztül lehet hozzáférni a rendszer által tartalmazott adatokhoz. Adatgazda: az ügyviteli, mőködési folyamatokhoz tartozó adatok kezeléséért felelıs személy. Adatátvitel: elektronikus adatok szállítása összeköttetéseken, összekötı utakon keresztül. (Például számítógépek között hálózaton keresztül, e-mailben, Interneten.) Adatbiztonság: az adat bizalmasságának, integritásának és rendelkezésre állásának biztonságos megırzése. Adatbiztonsági szint: az adat sértetlenségét és bizalmasságát jellemzı minıségi (kvalitatív) osztályozás. Adathordozó: az adat tárolására és terjesztésére alkalmas eszköz.

4. oldal


Adatvédelemi szint: az adat rendelkezésre állását jellemzı minıségi (kvalitatív) osztályozás. Az osztályozás meghatározza, hogy a szóban forgó adat rendelkezésre állása milyen mértékben befolyásolja az általa érintett folyamatok végrehajtását, illetve az NFÜ tevékenységét tekintve mennyire fontos ügyviteli, mőködési folyamathoz tartozik. Bekövetkezési valószínőség: annak az esélye, hogy a veszélyforrás képezte fenyegetettség támadás formájában bekövetkezik. Bizalmasság: az EMIR ügyfeleire, illetve ügyletmenetére vonatkozó adatok védelme illetéktelen hozzáférés, illetve felhasználás ellen. Az információkhoz, adatokhoz csak az arra jogosítottak és csak az elıírt módokon férhetnek hozzá. Ez vonatkozhat programokra, mint szélesebb értelemben vett információkra is. (Például, ha valamely eljárás elıírásai egy programmal kerülnek leírásra, és azt szükséges titokban tartani.) Biztonság: az informatikával kapcsolatban, az informatikai rendszerekben olyan elıírások és szabványok betartását jelenti, amelyek a rendszer mőködıképességét, az adatok rendelkezésre állását, sértetlenségét, bizalmasságát és hitelességét erısítik. Biztonsági szint: a rendszerek megbízhatóságát és érzékenységét jellemzı minıségi (kvalitatív) osztályozás. A megbízhatóság a rendszer azon jellemzıje, amely megadja, hogy az üzemeltetési feltételek zavartalan fennállása esetén milyen mértékben várható el a hibátlan és rendeltetésszerő mőködés. Az érzékenység pedig meghatározza, hogy az adott rendszer elemei mennyire védettek és ellenállóak a különbözı hatásokkal és károkozásokkal szemben. Elektronikus aláírás: személyek és/vagy digitális adatok elektronikus úton történı hitelesítésére alkalmas módszer. Két részbıl áll: a személyhez kötött aláírást generáló részbıl, és az ellenırzést bárki számára lehetıvé tevı részbıl. Esemény: az EMIR rendszerben elıálló idıleges kiesést vagy zavarokat, és akár – gazdasági, reputációs, személyi vagy dologi – kárt is okozó, illetve törvényi következményekkel járó történés. Fenyegetettség: az EMIR informatikai infrastruktúráját fenyegetı azon veszélyforrások összessége, amelyek bekövetkezése esetén az informatikai rendszer nem tudja teljesíteni a vállalt rendelkezésre állást, akadályozva ezzel a normális üzemmenet folytonosságát, illetve az adatok sértetlensége és bizalmassága sérül. Fenyegetettség-hatáselemzés: az egyes informatikai szolgáltatásokkal kapcsolatban a kiesés lehetséges okainak, az egyes okok bekövetkezési valószínőségének felmérése. (A vizsgálatot követıen lehetıvé válik a kiesés legvalószínőbb okaival szemben a hatékony, célzott védekezés.) Fenyegetı tényezı: azon esemény, amelynek bekövetkezése közvetlenül vagy közvetve a kritikus informatikai szolgáltatások kiesését eredményezi. Fizikai biztonság: az erıforrások bizalmassága és sértetlensége, valamint rendelkezésre állása sérelmére bekövetkezı szándékos vagy véletlen fizikai támadásokkal, veszélyforrásokkal szembeni védettség. Hitelesség: a rendszerben kezelt adat bizonyíthatóan hiteles forrásból származik. (Az entitás olyan tulajdonsága, amely egy vagy több hozzá kapcsolódó tulajdonságot más entitás számára bizonyíthatóvá tesz.)

5. oldal


Információ: egy adatküldemény tartalma, függetlenül az információ hordozójától. Informatikai katasztrófa: az informatikai szolgáltatások olyan kiesése, amelynek következtében megszakad az EMIR rendszer folyamatos és rendeltetésszerő mőködése, és ez jelentıs hatást gyakorol a normál ügyviteli, illetve mőködési tevékenységek folyamatosságára és mőködıképességére. Informatikai katasztrófahelyzet: az az állapot, amikor az informatikai rendszer utolsó mőködıképes állapotát az üzemeltetési szabályok elıírásszerő betartásával és végrehajtásával, a meghatározott erıforrások felhasználásával, a megállapított helyreállítási idın belül, nem lehet visszaállítani. IT erıforrások: az ügyviteli folyamatok mőködéséhez nélkülözhetetlen elektronikus adatok, informatikai alkalmazások, technológiai eszközök, környezeti infrastruktúra és humán erıforrások összessége. Jelentıs szolgáltatás-kiesés: az informatikai szolgáltatások olyan kiesése, amelynek következtében megszakad az EMIR rendszer folyamatos és rendeltetésszerő mőködése, és ez jelentıs hatást gyakorol a normál ügyviteli, illetve mőködési tevékenységek folyamatosságára és mőködıképességére. Jogi következmények: a jogszabályi rendelkezések esetleges megszegésébıl eredı következmények, amelyek egy adott informatikai szolgáltatás kiesésébıl következhetnek. Katasztrófaesemény: azon esemény, amelynek bekövetkezése krízishelyzetet teremt. A katasztrófaeseménynek több, egymástól független, vagy egymással összefüggı oka lehet. Az okok azon releváns fenyegetési tényezık, amelyek az adott esemény kiváltásához vezetnek különbözı valószínőségekkel. A normál ügyvitelre történı visszaállás várható határideje meghaladja az üzemzavarnál leírtakat, illetve a probléma nem csupán az NFÜ tevékenységeinek egyes elemeit, részlegeit érinti, hanem az NFÜ ügyviteli tevékenységének jelentıs körénél problémát okoz. Katasztrófahelyzet kezelés tervezése (DRP – Disaster Recovery Planning): a káreseményeknek az informatikai rendszerek kritikus elemeire vonatkozó hatásait elemzi és tervet ad olyan globális helyettesítı megoldásokra, valamint megelızı és elhárító intézkedésekre, amelyekkel a bekövetkezett káresemény után az informatikai rendszer funkcionalitása eredeti állapotában visszaállítható. Kockázat: annak veszélye, hogy egy esemény, fenyegetettség bekövetkezése vagy intézkedés hátrányosan befolyásolja az NFÜ lehetıségeit céljainak és stratégiájának megvalósítása során. Kockázattal arányos védelem: a lehetséges védelmi intézkedések olyan hatékony alkalmazása, amikor egy kellıen nagy idıintervallumban a védelem költségei arányosak a potenciális kárértékekkel. Kockázatelemzés: az információs folyamatokra és az adatra hatással lévı veszélyek felbecsülése. A kockázatfelmérés és kockázatfelbecsülés általános folyamata. Kritikus ügyviteli folyamat: az EMIR által kezelt olyan ügyviteli folyamat, amely mőködıképességének fenntartása elengedhetetlen az NFÜ stratégiai céljainak elérése, teljesíthetısége érdekében.

6. oldal


Kritikus üzemmeneti szint: a kritikus ügyviteli folyamatok mőködése megszakadt oly módon, hogy a probléma a folyamatot mőködtetık, illetve az informatikai üzemeltetés hatáskörében közvetlenül, a folyamat mőködésének – a sebezhetıségi ablakban meghatározott értéknél – hosszabb szüneteltetése nélkül, nem megoldható. A kritikus üzemmeneti szint esetén az elhárítást külön e célra létrehozott szervezet szervezi, aki jogosult az intézkedések végrehajtásához szükséges döntéseket meghozni. Maximális kiesési idı: azon idıintervallum, amelyen belül a kiesést szenvedett kritikus informatikai szolgáltatást a helyreállítási/visszaállítási eljárás végrehajtásának eredményeként ismételten mőködıvé kell tenni, mert ellenkezı esetben az NFÜ már nem elviselhetı károkat szenvedne. Megelızı védelem: azon technikai, szervezeti és adminisztratív intézkedések halmaza, amelyek célja a fenyegetı tényezıkbıl fakadó események/katasztrófaesemények bekövetkezését megelızni, vagy annak esélyét csökkenteni, valamint a helyettesítı folyamat beindítását lehetıvé tenni. Minimális szolgáltatás: az EMIR által kezelt ügyviteli folyamatok közül azon elıre definiált, belsı szabályzatban rögzített tevékenységek, amelyeket az adott szervezeti egységnek akkor is nyújtania kell, ha üzemzavar, krízishelyzet áll elı. Normál üzemmenet szint: a napi mőködés során nem történik rendkívüli helyzet, az informatikai rendszerekbe épített belsı ellenırzı funkciók hibát nem jeleznek, az ügyfelek és a felhasználók nem tapasztalnak az EMIR szolgáltatásaival kapcsolatos rendellenességet. Normál üzemi állapotnak tekintett az az eset is, ha az ügyfél a saját üzemeltetésében lévı informatikai rendszer meghibásodása miatt nem képes igénybe venni az EMIR szolgáltatásait. A normál üzemmenet esetén az NFÜ Szervezeti és Mőködési Szabályzataiban rögzített hatás- és jogkörök érvényesek, külön intézkedésre, beavatkozásra, hatáskör túllépésre nincs szükség. Rendelkezésre állás: az a tényleges állapot, amikor az informatikai rendszer eredeti rendeltetésének megfelelı szolgáltatásokat – amely szolgáltatások különbözık lehetnek – nyújtani tudja (funkcionalitás) meghatározott helyen és idıben (elérhetıség), és a rendszer mőködıképessége sem átmenetileg, sem pedig tartósan nincs akadályozva. Ebben az összefüggésben jelentısége van az információ vagy adatok rendelkezésre állásának, elérhetıségének is. Rendszer-monitorozó eszközök: az EMIR rendszerrıl, vagy valamilyen csoportosító szempont szerint a rendszer egyes részeirıl győjtenek folyamatos információkat. Reputációs (társadalmi, image) kár: az NFÜ és az EMIR megbízhatóságába, hitelességébe, illetve az NFÜ által az EMIR-en keresztül és azzal kapcsolatosan nyújtott szolgáltatásokba vetett hit szempontjából mérhetı hatások. Sebezhetıségi ablak: azon idıtartam, amely alatt a helyettesítı megoldás fenntartható az ügyviteli tevékenységek és a jogszabályok által elıírt kötelezettségek komolyabb sérülése nélkül. Az adott informatikai szolgáltatás megszakadását követı idıtartam, amelyet normális mőködési rendjének és tevékenységének megszakadása nélkül képes az NFÜ elviselni. Sértetlenség (integritás): az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Az információkat, adatokat, 7. oldal


alkalmazásokat csak az arra jogosultak változtathatják meg, és azok véletlenül sem módosulhatnak. (A sértetlenséget általában az információkra, adatokra, illetve alkalmazásokra is értelmezik, mivel az adatok sértetlenségét csak rendeltetésszerő feldolgozás és átvitel esetén lehet biztosítani.) Személyi kár: az NFÜ alkalmazottainak testi épségét, egészségét érintı hatás, következmény. Tesztelés: a kialakított üzemmenet folytonossági cselekvési tervek gyakorlati értékelése; a megfogalmazott felkészülési, helyettesítési és helyreállítási tevékenységek szükségességének és megfelelıségének vizsgálata, a szabályozás bármilyen hiányosságának feltárása, az üzemmenet folytonossági tevékenységek alapját adó (informatikai) helyreállítási eljárások vizsgálata, illetve a külsı partnerekkel kötött egyezmények betartásának és használhatóságának vizsgálata. Teszt (gyakorló) környezet: az informatikai rendszer azon elkülönített része, amelyben többek között az éles üzembe állítás elıtti tesztelések az éles környezethez hasonló körülmények között történnek. Türelmi idı: az az idıtartam, amelynek keretén belül a szolgáltatás kiesése esetén az NFÜ-nek még nem szükséges semmilyen lépést tennie az alternatív mőködés elrendelésére. Ügyviteli folyamat: olyan tevékenységek összessége, amelyek értéket állítanak elı az NFÜ ügyfelei számára egy szervezeti egységen belül, vagy azok között a kapcsolódó folyamatok által szolgáltatott információk felhasználásával. (Egy NFÜ-s szolgáltatás nyújtásához szükséges tevékenységek, feladatok összessége.) Üzemmenet folytonosság: az EMIR zavartalan mőködését, az ügyviteli folyamatokat támogató – elsısorban informatikai, de emellett telekommunikációs, emberi és infrastrukturális – erıforrások egy hosszabb idın át folyamatosan, megszakítás nélkül üzemelnek, illetve a megkívánt mértékben és funkcionalitási szinten rendelkezésre állnak. Üzemmenet folytonosság tervezés (BCP – Business Continuity Planning): a káresemények, krízishelyzetek által elıidézett mőködési kiesések megelızését, minimalizálását, illetve a helyreállítási idıben alkalmazható, helyettesítı részfolyamat életbe léptetését és visszavonását célzó tervezési lépések összessége. Üzemmeneti szint: a folyamatok mőködési zavartalanságának mérésére szolgáló mutató, amelynek kapcsán az egyes üzemmeneti szintekhez egyértelmően hozzárendelésre kerülnek a döntési felelısségek és jogkörök. Vagyoni kár: az NFÜ eszközeiben, fizikai vagyontárgyaiban közvetlenül bekövetkezı kár vagy veszteség. 1.4.

Szerepkörök

Az e dokumentumban definiált szerepkörhöz rendelt feladatok meghatározását a 3.2-es pont, az NFÜ-n belüli megfeleltetést a 2. számú Melléklet tartalmazza. 1) IT biztonsági felelıs: az EMIR üzemeltetési és fejlesztési csoporttól független, a szakmai és biztonsági szempontok érvényesüléséért felelıs személy. 8. oldal


2) EMIR fejlesztési vezetı: az NFÜ szervezetén belül az EMIR szoftver fejlesztésével kapcsolatos feladatok koordinálásáért felelıs személy. 3) EMIR üzemeltetési vezetı: az NFÜ szervezetén belül az EMIR szoftver infrastruktúrájának üzemeltetéséért, illetve a rendszer elérhetıségéért felelıs személy. 4) Határvédelmi rendszergazda: az EMIR infrastruktúrájának külsı támadások, illetéktelen behatolások elleni védelmét biztosító informatikus szakember. 5) Vírusvédelmi rendszergazda: az EMIR infrastruktúrájának vírusokkal, kártékony kódokkal szembeni védelmét biztosító informatikus szakember. 6) Mentésért felelıs rendszergazda: az Üzemeltetési tervben szereplı biztonsági mentési feladatok elvégzéséért felelıs informatikus szakember. 7) Jogosultságkezelı rendszergazda: a Jogosultságkezelési szabályzatban foglalt eljárásrend alapján a jogosultságokkal kapcsolatos feladatok ellátásáért felelıs személy.

9. oldal


2.

Az informatikai biztonsági rendszer mőködtetése

2.1.

Megfelelés a jogszabályoknak és a belsı szabályzatoknak

Az NFÜ-ben az IT biztonság mőködésének követni kell a rá vonatkozó törvényi elıírásokat és jogszabályokat, valamint a jelen IBSZ-en túl a belsı szabályzatokat. 2.2.

Kockázat menedzsment

Annak érdekében, hogy az NFÜ-ben a kockázatarányos védelem elve érvényesüljön, kockázatmenedzsment kell kialakítani. Az információ kockázatmenedzsment célja, hogy az információk bizalmasságát, sértetlenségét, valamint rendelkezésre állását veszélyeztetı kockázati tényezık azonosításával, a kockázatok csökkentésével biztosítsa az információbiztonság szinten tartását, növelését. A kockázat menedzsment rendszerét az alábbi ábra mutatja:

Kockázat kezelés

Kockázat felmérés

• Tervezés • Megoldás • Maradék kockázatok felvállalása

• Fenyegetettség felmérés • Hatás- és kockázat elemzés • Kockázatok priorizálása

Kockázat Menedzsment Kockázat riporting • Monitoring • Trendelemzés • Helyesbítés

1. ábra

Az NFÜ-nél az információbiztonság szinten tartása érdekében ki kell alakítani a kockázatok felmérésére, kezelésére, és csökkentésére irányuló folyamatokat. Az információ kockázatmenedzsmentnek az alábbi tevékenységekre kell kiterjednie: • Kockázat felmérés: célja, a kockázatok azonosítása, bekövetkezési valószínőségeinek, hatásainak és kockázati szintjeinek meghatározása. − Fenyegetettség felmérés: célja, az adatok bizalmasságát, sértetlenségét, rendelkezésre állását veszélyeztetı tényezık azonosítása.

10. oldal


−

Hatáselemzés és kockázatanalízis: célja, a fenyegetettségek elıfordulási valószínőségének, hatásainak meghatározása. − Kockázatok priorizálása: célja, a kockázat mértékének meghatározása. • Kockázat kezelés: célja, a kockázatok csökkentésére irányuló akciók kidolgozása. − Tervezés: célja, a kockázatok csökkentésére irányuló megoldási lehetıségek keresése, tervezése. − Megoldás: célja, a kockázatok csökkentésére irányuló döntések meghozatala, tevékenységek végrehajtása. − Maradék kockázatok felvállalása: cél, hogy azon kockázatok köre, amelyek csökkentésére nem kerülnek intézkedések megfogalmazásra, azok az NFÜ vezetıi számára ismertek legyenek. • Kockázat riporting: célja, a kockázatok, illetve azok csökkentésére tett intézkedések kommunikálása az érintett személyek felé, valamint az elemzések alapján az információbiztonsági rendszer karbantartása és fejlesztése. − Monitoring: célja, a kockázatok mérése, és nyomon követése. − Trendelemzés: célja, a biztonsági incidensek illetve a fenyegetettségek elıfordulási gyakoriságának elemzése. − Helyesbítés: célja, a monitorozásra és a trendelemzésre alapozva helyesbítı és megelızı intézkedések meghozatala az információbiztonsági rendszer továbbfejlesztése érdekében. Teljes körő kockázatfelmérést rendszeresen, de legalább kétévente kell végrehajtani az informatikai rendszer minden elemére (technikai eszközök, személyek, eljárások, szabályok). A fenti kockázatfelmérésen túl részleges kockázatfelmérést kell végrehajtani a bevezetésre tervezett rendszerek (fejlesztések, beszerzések, stb.) vonatkozásában, a tervezési idıszakban. A felmerült kockázatok kezelésére akcióterveket kell készíteni, melyek a feltárt kockázatok függvényében az alábbiakat tartalmazzák: • A kockázatok csökkentésére tett javaslatok a technikai eszközök megváltoztatására, vagy fejlesztésére (pl.: új védelmi eszközök alkalmazását, vagy a jelenlegi átkonfigurálását). • A kockázatok csökkentésére tett javaslatok valamely eljárásrend megváltoztatására. • A kockázatok csökkentésére tett javaslatok az érvényben lévı szabályozás megváltoztatására. • A kockázatok csökkentésére tett javaslatok a személyi állományra vonatkozóan (pl.: motiváció, a fegyelmi eljárások szigorítása, oktatás, stb.) • A kockázatok tudatos felvállalását, ha a védelmi intézkedés anyagi vonzata nagyobb, vagy közel azonos, mint a fenyegetettség által elszenvedhetı anyagi kár. A felmerült kockázatokat, illetve a csökkentésükre tett védelmi intézkedéseket dokumentálni kell. 11. oldal


Az EMIR rendszer biztonsági szintjét folyamatosan mérni kell annak érdekében, hogy a fenyegetettség változásokról az IT biztonság tervezéséért felelıs személyek reális képet alkothassanak. A kockázatmenedzsment teljes területe az IT biztonsági felelıs felelısségi körébe tartozik, azonban munkája elvégzését az NFÜ teljes személyi állománynak támogatnia kell.

12. oldal


3.

Védelmi intézkedések meghatározása

3.1.

Az adatok biztonsági besorolása

Az adatnyilvántartás bıvítésére és a nyilvántartásba újonnan bekerült adatcsoportok besorolására különösen a következı esetekben kerülhet sor: • új alrendszer kerül bevezetésre az EMIR-ben, • új modul kerül kifejlesztésre a már létezı alrendszerekben, • a paraméterezési folyamat során új adatcsoport megjelenése, jogszabályi változás során új adatcsoport megjelenése. 3.1.1. Adathalmaz felmérése Az elızı bekezdésben részletezett okok miatt az EMIR-ben jelentkezı új adathalmazt fel kell mérni, ami azt jelenti, hogy azonosítani kell és összegyőjteni a létezı adat elemeket. Az adatelemek különösen a következı módszerekkel azonosíthatók: • kinyerhetık a rendszerbıl lekérdezéssel, • kinyerhetık a közzétett eljárásrendbıl és funkciójegyzékbıl, • kinyerhetık az alrendszerhez kapcsolódó adatstruktúrából. 3.1.2. Adatcsoportok kialakítása Az azonosított adatelemeket adatcsoportokba kell sorolni a könnyebb kezelhetıség érdekében. Az adatok jellegétıl függıen az adatok besorolhatók a jelenleg is létezı adatcsoportok valamelyikébe, illetve ha nem létezik még az adatelemnek megfelelı adatkategória, ki kell alakítani. Az adatcsoportok kialakításánál figyelembe kell venni, hogy bizalmasság és rendelkezésre állás szempontjából hasonló védelmet igénylı adatok kerüljenek egy csoportba. 3.1.3. Folyamatok felmérése Ahhoz, hogy az adatokkal szemben támasztott rendelkezésre állási követelményeket meg tudjuk fogalmazni, szükséges felmérni az újonnan keletkezett folyamatokat is. A folyamatok felmérése történhet mőködési kézikönyvek, audit trail-ek, eljárásrendek segítségével, illetve a folyamat szereplıivel késztett interjú során. A folyamatok azonosítását és rögzítését követıen szükséges megállapítani a folyamat maximálisan megengedhetı kiesési idejét és a kiesési idıszak alatt bekövetkezı veszteségek mértékét. A veszteség realizálódhat anyagiakban, okozhat hírnévbeli csorbulást, mőködésbeli fennakadást, illetve vonhat maga után jogi problémákat. A veszteség mértéke négyfokú skálán (elhanyagolható, jelentıs, súlyos, katasztrofális) határozható meg. A skála pontos meghatározását az Üzleti hatáselemzés jelentés tartalmazza. A folyamatok felmérését és a kiesési hatások megállapítását követıen kell elvégezni az üzleti hatáselemzést, melynek eredményeként elıállnak a kritikus folyamatok. A folyamatok által kezelt és/vagy felhasznált adatcsoportok a 13. oldal


folyamat üzletre gyakorolt hatásának függvényében besorolhatók a következı fejezet által meghatározott információ védelmi kategóriákba. Az üzleti hatáselemzés módját a szabályzatot megalapozó Üzleti hatáselemzés jelentés tartalmazza. 3.1.4. Adatosztályba sorolás A kialakított adatcsoportokat védelmi igényüknek megfelelıen be kell sorolni az alább részletezett adatosztályokba. Az EMIR által tárolt adatok bizalmassági és rendelkezésre állási igényeit figyelembe véve négy információbiztonsági és két információvédelmi osztály különböztethetı meg. Az információ biztonsági osztályok a bizalmasság és sértetlenség elve alapján szervezıdnek, melyek a következık: 1) Publikus (nyilvános) adatok: ezen adatosztályba kerülnek azok adatok, amelyek az államháztartásról szóló 1992. évi XXXVIII. törvény (a továbbiakban: Áht.), az államháztartás mőködési rendjérıl szóló 217/1998. (XII. 30.) Korm. rendelet (Ámr.), az adatvédelemrıl szóló 1992. évi LXIII. törvény (Avtv.), a Polgári Törvénykönyvrıl szóló 1959. évi IV. törvény (Ptk.), illetve az eljárási rendeletek szerint nyilvános (közérdekő) adatnak minısülnek. Ezek az adatok közzétehetık az NFÜ honlapján és minden korlátozás nélkül megoszthatók a külsı adatkérıkkel. 2) Belsı adatok: azok az adatok, amelyek felhasználásra kerülnek az EMIR felhasználói által megfelelı jogosultság kiosztás mellett. A belsı adatok szükség szerint az adatgazda jóváhagyásával bizalmas adattá minısíthetık. 3) Bizalmas adat: minden olyan adat, amelynek nyilvánosságra kerülése az NFÜ számára hátrányos erkölcsi, jogi és anyagi következményeket von maga után. Bizalmas adatnak tekintendık a személyes adatok is. 4) Titkos adatok: minden olyan adat, amely az EMIR rendszerben kezelendı és beletartozik a Ptk, a tıkepiacról szóló 2001. évi CXX. törvény (Tpt.), valamint az adózás rendjérıl szóló 2003. évi XCII. Törvény (Art.) által meghatározott államtitok, üzleti titok, banktitok és adótitok fogalomkörbe. Az információ védelmi osztályok a rendelkezésre állás elve alapján szervezıdnek, ezek a következık: 1) Kritikus adatok: azok az adatok, amelyek kiesése rövid idın (1-3 nap) belül jelentıs kárt okoz az NFÜ számára. 2) Nem kritikus adatok: azok az adatok, amelyek kiesése hosszabb idın keresztül, jelentıs veszteség nélkül elviselhetı. 3.1.5. Adatok nyilvántartásba vétele Az egyes adatosztályokba tartozó adatcsoportokat, és az adatcsoportokat alkotó adatelemeket nyilvántartásba kell venni. A nyilvántartás tartalmazza az adatcsoportok információ biztonsági és információ védelmi besorolását, az adatgazda nevét, illetve az adatcsoporthoz kapcsolódó folyamat kódját.

14. oldal


A nyilvántartás célja, hogy az adatok bizalmasságuknak és rendelkezésre állási szintjüknek megfelelıen kerüljenek kezelésre. Ennek feltétele, hogy a nyilvántartás folyamatosan naprakész legyen. A nyilvántartás folyamatos karbantartásáról és naprakészségérıl az adatgazdának kell gondoskodnia, akinek személyérıl és feladatairól az EMIR tekintetében a 102/2006. (IV. 28.) Korm. rendelet rendelkezik. Az adatosztályokhoz rendelt kezelési intézkedéseket ezen szabályzat tartalmazza. 3.2.

Szervezeti és személyi biztonság

3.2.1. EMIR biztonsági fórum Az IT biztonsággal kapcsolatos stratégiai döntések optimális meghozatalára IT biztonsági fórumot kell létrehozni. A fórumon résztvevı személyek az alábbiak: • a KIH vezetıje, illetve az általa kijelölt személy, • IT biztonsági felelıs, • IT üzemeltetési vezetı, • EMIR alkalmazásért felelıs vezetı, • EMIR Fejlesztési vezetı. Az IT biztonsági fórum évente egy alkalommal ülésezik. Az ülésen született döntéseket, megállapodásokat jegyzıkönyvben kell dokumentálni, azokat a fórumon résztvevı minden szervezet magára nézve kötelezınek kell elfogadnia. A fórumot az IT biztonsági felelıs javaslatára a KIH vezetıje hívja össze, minden év elsı negyedévében. Az IT biztonsági fórum fı feladatai: • Az IT biztonsági felelıs éves beszámolójának meghallgatása. • Az IT biztonság növeléséhez szükséges döntések meghozatala, elhanyagolható kockázatok felvállalása. • Az IT biztonsági stratégia kialakítása/módosítása. 3.2.2. Az IT biztonság szervezeti felépítése A biztonsági szervezet szerepköreinek valós pozíciókkal való megfeleltetése a 2. számú mellékletben található hatályos szervezeti ábra alapján történik. Az IT biztonsági folyamatok koordinálása, végrehajtása, és ellenırzése az alábbi struktúrában valósul meg:

15. oldal


Belsı ellenır (független felügyelet) IT biztonsági felelıs (független szakmai felügyelet)

IT üzemeltetés Határvédelmi rendszergazda (végrehajtó)

Vírusvédelmi rendszergazda

Mentésért felelıs rendszergazdák (végrehajtó)

Jogosultság kezelı rendszergazda (végrehajtó)

EMIR Help Desk 2. ábra

3.2.3. Informatikai biztonsági feladatkörök Belsı ellenır IT biztonsági feladatai • Megtervezi, végrehajtja és dokumentálja a tervezett belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket szükség szerint az IT biztonsági felelıs, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával. • Megtervezi, végrehajtja és dokumentálja a meglepetésszerő belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket, szükség szerint az IT biztonsági felelıs, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával. • Létrehozza az általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl készített jelentéseket. • Általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl megfelelıen tájékoztatja az érintett vezetıt, továbbá az ellenırzésbe bevont személyt, illetve a biztonsági eseményeket jelenti az elnöknek. IT biztonsági felelıs feladatai • Felelıs a kockázatkezelési feladatok rendszeres végrehajtásáért, a feltárt kockázatok csökkentésére vonatkozó akciótervek végrehajtásának ellenırzéséért. 16. oldal


•

• •

•

• •

•

• •

•

Javaslatot tesz az IT Biztonsági fórumon a felvállalható rendszer biztonsági kockázatokra, felhívja a figyelmét a nem felvállalható kockázatokra. Felelıs az adatosztályozási folyamat fenntartásáért, illetve az adatosztályozási nyilvántartások vezetéséért. Kezeli, és rendszeresen felülvizsgálja a biztonsági alapdokumentumokat (stratégia, politika, szabályzat, katasztrófaterv). Kijelöli az alacsonyabb szintő, eljárás- vagy eszköz / technológia – specifikus biztonsági dokumentumok elkészítéséért felelıs szervezeti egységeket. Együttmőködik az informatikai rendszerfejlesztıkkel az informatikai rendszerek védelmére megvalósítandó rendszer biztonsági követelmények kialakításában. Együttmőködik az informatikai üzemeltetéssel az IT biztonság fokozása, a biztonsági incidensek elhárítása érdekében. Ellenırzi az informatikai rendszer-fejlesztések, beszerzések, ezekre vonatkozó szolgáltatási és más egyéb (pl. szállítási) szerzıdések rendszer és hálózat biztonsági szempontból való megfelelıségét. Véleményezi a rendszer szintő és hálózati eszköz hozzáférési jogosultságokra, eszköz / objektum hozzáférésekre vonatkozó üzleti területi, alkalmazotti, fejlesztıi, adminisztrátori, belsı és külsı informatika biztonsági ellenıri kéréseket és technikai megoldásokat a Logikai hozzáférési eljárás fejezetben meghatározott jogosultsági elıírások, továbbá az IBSZ más fejezetei, illetve a rendszer specifikus fejlesztıi dokumentációk alapján. Felügyeli a belsı és külsı informatika biztonsági ellenırzések végrehajtását. Együttmőködik az adatvédelmi felelıssel és a létesítmény biztonságáért az NFÜ SzMSz-e szerint felelıs személyekkel az informatikai biztonsághoz kapcsolódó meghatározási feladatokban. Részt vesz a rendszer biztonsági oktatások és éberségi programok tematikájának meghatározásában, szakmai felügyeletében.

IT üzemeltetési vezetı feladatai • Gondoskodik arról, hogy az IT biztonsági feladatok és követelmények beépüljenek az üzemeltetési folyamatokba. • Részt vesz az IT biztonsági fórum határozataiban. • Részt vesz a IT biztonsággal kapcsolatos incidensek kivizsgálásában, az esetleges felelısök felelısségre vonásában. • A beszerzésekben érvényesíti a biztonsági szempontokat. • Érvényesíti az IT biztonsági követelményeket a külsı szolgáltatókkal kötött szerzıdésekben. • Vírus-vészhelyzetben gondoskodik a vészhelyzet elrendelésérıl és az elhárítás koordinálását végzi. • Gondoskodik ún. vészhozzáférések elhelyezésérıl (lepecsételt boríték, páncélszekrény). • Intézkedik a mentési stratégia kialakításáról, ellenırzéseket végez a mentések elvégzésérıl, intézkedik az ezzel kapcsolatos incidensek kezelésére. Gondoskodik a mentések tárgyi- személyi feltételeirıl. 17. oldal


•

Rendszeresen – a szabályzatban leírtak szerint katasztrófahelyzet kezeléssel kapcsolatos teszteket.

–

végeztet

Vírusvédelmi rendszergazda feladatai • Naponta figyeli a megjelenı vírusokról és sérülékenységekrıl szóló jelentéseket, szükség esetén javaslatokat tesz az IT biztonsági felelısnek a védelmi szint emelésére. • Szükség esetén értesíti a vírusvédelmi rendszer támogatását végzı céget, a vírusvédelmi rendszer felmerült üzemeltetési problémáinak, illetve vírusvédelmi vészhelyzet elhárítása miatt. • Napi rendszerességgel ellenırzi a vírusvédelmi rendszer állapotát, a vírusvédelmi eszközök vírusadatbázisát. • Statisztikákat készít a vírusvédelmi incidensekrıl, és azokat háromhavonta jelenti az IT biztonsági felelısnek. • Szükség esetén végrehajtja a mentesítést. • Javaslatokat tesz a szabályzat vírusvédelmi fejezeteinek módosítására. Határvédelmi rendszergazda feladatai • Naponta figyeli a megjelenı sérülékenységekrıl szóló jelentéseket, szükség esetén javaslatokat tesz az IT biztonsági felelısnek a védelmi szint emelésére. • Végzi a tőzfalrendszer napi rutinszerő üzemeltetési, és ellenırzési feladatait. • Szükség esetén elhárítja a tőzfalrendszer üzemeltetési problémáit. • Végzi a tőzfalrendszer biztonsági frissítéseinek telepítését. • IT Biztonsági felelıs jóváhagyása esetén végzi a tőzfal szabályok szükséges módosítását, illetve gondoskodik azok rendszeres felülvizsgálatáról. • Javaslatokat tesz a szabályzat határvédelmi fejezeteinek módosítására. • Végzi az EMIR környezetben használt szoftverek, alkalmazások biztonsági frissítéseit. Mentésért felelıs rendszergazda • Részt vesz a mentési, archiválási rend kialakításában. • Rendszeresen ellenırzi a beállított automata mentések végrehajtását. Szükség esetén végrehajtja a kézi mentéseket. • Az archiválási rendnek megfelelıen végrehajtja az adatok archiválását, illetve a mentési, archiválási médiák biztonságos tárolását. • DR tervek aktiválása esetén végzi az adatok visszatöltését. • Követi a mentési médiák életciklusát, szükség esetén másolással hosszabbítja meg az adatok visszaállíthatóságát. • Gondoskodik a mentési médiák rotálásának, újrahasznosításának szakszerő végrehajtásáról. Jogosultság kezelı rendszergazda • Részt vesz a jogosultsági rendszer kialakításában. • Végrehajtja a szabályzatnak megfelelı jogosultság kezelési feladatokat (kiadás, módosítás, felfüggesztés, visszavonás). 18. oldal


• •

Végrehajtja a jogosultságok nyilvántartásával adminisztratív feladatokat. Rendszeresen felülvizsgálja a kiadott jogosultságokat.

kapcsolatos

EMIR HelpDesk • Fogadja az EMIR rendszerrel kapcsolatos incidens jellegő bejelentéseket. • Végrehatja azoknak a biztonsági incidenseknek az elhárítását, amelyekhez kompetenciája van. • A kompetenciáján kívül esı incidensek elhárítására, értesíti az incidensek kezeléséért felelıs szakértıket. • Dokumentálja a biztonsági incidensek kezelésének teljes ciklusa alatt felmerült problémákat, tevékenységeket, megoldásokat. • Valamennyi biztonsági incidensrıl jelentést tesz az IT biztonsági felelısnek. 3.2.4. Az IT biztonság személyi vonatkozásai A személyekhez kapcsolódó biztonsági elıírások Az IT biztonság szintjének fenntartása, mint kiemelt feladat, az EMIR felhasználók teljes állományának felelıssége. Az IT biztonság minimálisan betartandó elıírásait az IBSZ 1. számú mellékletében található „Felhasználói nyilatkozat” tartalmazza. A felhasználói nyilatkozat tudomásulvétele és aláírása az EMIR jogosultság kiadásának feltétele. Informatikai biztonság tudatosítása A felhasználók IT biztonsági tudatosítása érdekében az alábbi feladatokat kell végrehajtani: • A személyi kockázatok csökkentése érdekében meg kell oldani az EMIR rendszer felhasználóinak, valamint üzemeltetıinek, és fejlesztıinek biztonsággal kapcsolatos tudatosítását. • Az IT biztonság oktatása az EMIR esetében oktató anyagok terjesztésével történik, melynek terjesztésérıl az EMIR alkalmazásért felelıs vezetı gondoskodik. Fegyelmi eljárások, szankcionálások Az EMIR biztonsági elıírások súlyos megsértése esetén fegyelmi eljárás indítható a szabálysértı személyével szemben, különösen ha: • a szabályzat elıírásainak megsértése EMIR hozzáférési adatainak illetéktelen személynek történı tudomására hozatalával (pl.: személyes jelszó elmondása, vagy hozzáférhetı helyre történı feljegyzése) kapcsolatos; • a szabályzat elıírásainak megsértése következtében az EMIR biztonsági rendszerének védelmi megoldásai illetéktelenek kezébe jutottak; • a szabályzat elıírásainak megsértése következtében bekövetkezett vagyoni hátrány (vagyoni kár, többletköltség) esete áll elı; • törvénysértés esetén; 19. oldal


−

a szabályzat megsértésének következtében súlyosan sérülnek a személyes adatok védelmérıl, és nyilvánosságra hozataláról szóló jogszabályok. − bőncselekmény gyanúja áll fenn. Az IT biztonsággal kapcsolatos fegyelmi eljárás lefolytatásához az IT biztonsági felelıst, illetve az IT üzemeltetés vezetıt be kell vonni. Ha a felhasználó által okozott szabálysértés anyagi kárral is jár, anyagi felelısséget is meg kell állapítani, és az okozott kárt a törvényeknek megfelelıen ki kell fizettetni a kár okozójával. A felhasználók jogai • A felhasználóknak joga van a rendelkezésükre bocsátott informatikai eszközök szabályszerő, rendeltetésszerő használatára a saját munkájuk támogatása érdekében. • A felhasználóknak joga van az EMIR használata során felmerült problémák, akadályok elhárításához támogatási kapni. A segítségnyújtáshoz az igényt az EMIR HelpDesk szolgálatnál kell bejelenteni • A felhasználónak joga van a reá vonatkozó törvények, és szabályzatok megismeréséhez. • A felhasználónak joga van az EMIR-ben végzett munkájához szükséges IT biztonsági eljárások, ismeretek megismeréséhez. • A felhasználóknak joga van megtagadni az EMIR-rel végzett munkát, ha: − az EMIR használata súlyos törvénysértéshez, vagy bőncselekményhez vezet. − a tevékenység veszélyezteti az EMIR rendelkezésre állását. A felhasználói felelısségek A felhasználó általában felelısséggel tartozik: • a törvények betartásáért, • az NFÜ szabályzataiban megfogalmazott elıírások betartásáért; • A „Felhasználói nyilatkozatban” felelısséget vállalt elıírások betartásáért; • a törvényekben, szabályzatokban megfogalmazott elıírások bárki által történı megszegésének jelentéséért; • Az IT biztonságért felelıs személyekkel való együttmőködésért. 3.3.

Fizikai és környezeti biztonság

Az EMIR infrastruktúráját kiszolgáló IT eszközök idı elıtti elhasználódásából, meghibásodásából, megrongálódásából eredı kockázatainak csökkentésére az alábbi követelményeknek kell megfelelni: • biztosítani kell az IT eszközök biztonsági besorolásuknak megfelelı fizikai hozzáférés védelmét; • biztosítani kell az IT eszközök rendeltetésszerő használatát; • biztosítani kell az IT eszközök megfelelı környezeti mőködtetését. 20. oldal


3.3.1. Informatikai biztonsági zónák kialakítása Annak érdekében, hogy az EMIR IT eszközeinek fizikai védelme több fokozatban valósuljon meg, az NFÜ-ben biztonsági zónák kerültek kialakításra. IT biztonság szempontjából az alábbi zónákat kell megkülönböztetni: • szerverszoba(k), • hálózati rendezık. 3.3.2. IT biztonsági zónákba történı belépés és munkavégzés A szerverszobába belépésre jogosultak: • az NFÜ elnöke; • IT biztonsági felelıs; • belsı ellenır; • IT üzemeltetés vezetı; • rendszergazdák; • az IT üzemeltetés vezetı, illetve szolgáltatási szerzıdésben meghatározott személyek. Az NFÜ egyéb alkalmazottai, illetve megbízottjai a szerverszobába csak a fent felsoroltak kíséretében, kizárólag munkavégzés céljából léphetnek be. Idegenek a szerverszobába csak az IT biztonsági felelıs és az IT üzemeltetés vezetı együttes engedélyével, kizárólag csak munkavégzés céljából léphetnek be. A szerverszobában tilos a munkavégzéstıl eltérı tevékenységet folytatni, így például tilos: • ételt, és italt fogyasztani, • dohányozni, • szemetelni, • mobil telefont használni, • a szerverszobát mőhelyként használni, • a szerverszobát raktárként használni, • a szerverszobát pihenı helyiségnek használni. 3.3.3. Eszközök kivitele A lenti pontok rendelkezésein túl az NFÜ egyéb hatályos szabályozásait is be kell tartani. Az eszközök átmeneti kivitele Az EMIR szerverszobából kiszállítandó informatikai berendezésekre vonatkozó szabályok: • minden informatikai eszköz a szerverszobából történı kivitele csak az IT üzemeltetési vezetı – távollétében helyettese – engedélyével lehetséges, • a ki- és beszállításokat minden esetben dokumentálni kell szállítólevél alkalmazásával, amelyen az adott informatikai eszköz egyedi azonosítóját fel kell tüntetni (típus, gyári szám, leltári szám), illetve

21. oldal


•

nagy mennyiség esetén csatolt mellékletben kell felsorolni az egyedi azonosító adatait. a szállítólevelet a kiinduló és a fogadó helyen a szállítást engedélyezı és a szállítmányt fogadó személynek kézjegyével ellen kell jegyeznie, ezáltal nyomon követhetıvé válik az eszköz útja.

Az eszközök végleges kivitele Az EMIR szerverszobából véglegesen (pl. értékesítés miatt) kikerülı informatikai eszközökre vonatkozó szabályok: • az informatikai eszközökön tárolt adatokat visszaállíthatatlanul törölnie kell, • a kiszállítást dokumentálni kell szállítólevél alkalmazásával, • a szállítólevél kiállításának feltétele a kiegyenlített számla, vagy a selejtezési jegyzıkönyv, • amennyiben szükséges, az eszköz pótlásáról gondoskodni kell annak végleges kivitelét megelızıen. 3.4.

IT folyamatok biztonsága

3.4.1. Informatikai rendszerek tervezése és jóváhagyása Az informatikai rendszerek tervezésénél és átvételekor, jóváhagyásakor a funkcionalitáson, a gazdaságosságon túl teljesülnie kell a rendszer biztonságos mőködéséhez szükséges minden olyan követelménynek, melyet meghatároztak. Biztosítani kell, hogy a jóváhagyott rendszerek megfeleljenek a kapacitás tervezés során megfogalmazott követelményeknek, és ezek rendszeresen ellenırzésre kerüljenek. Az IT biztonsági felelısnek a teljes tervezési ciklust felügyelni kell annak érdekében, hogy tervezéskor a biztonsági megoldások is hangsúlyt kapjanak. A tervezés során általában az alábbi biztonsági szempontokat kell figyelembe venni: • a rendszer együttmőködése a meglévı rendszerelemekkel; • beépített biztonsági megoldások; • az EMIR hozzáférési megoldásai (jogosultság kezelés, titkosítás, stb.); • az EMIR rendelkezésre állást támogató megoldásai (karbantarthatóság, javíthatóság, üzemeltetıi support, mentések végrehajthatósága, stb.); • az EMIR menedzselhetısége (központilag menedzselhetı, vagy helyileg); • az EMIR ellenırizhetısége (naplózhatók-e a kritikus folyamatok, távoli elérés biztosított-e, stb.). 3.4.2. IT eszközök beszerzésének biztonsága Az EMIR IT eszközeinek (hardver, szoftver) beszerzése biztonsága érdekében az NFÜ-re központilag, valamint az EMIR-re speciálisan kidolgozott szabályokat, eljárásokat kell kialakítani annak érdekében, hogy biztosítható

22. oldal


legyen az eszközök funkcionalitása, homogenitása, illetve a rendszer elıírt biztonsága. A beszerzéseket illetıen minden esetben ki kell kérni az IT biztonsági felelıs véleményét. Törekedni kell a felhasználó oldali informatikai környezet lehetı legnagyobb mértékő egységesítésére annak érdekében, hogy a központi infrastruktúra és a rendszerfejlesztések a költségek, a funkcionalitás és a biztonság legoptimálisabb keretében valósulhasson meg. Ahol lehetséges a felhasználói platformok egységesítését kell megvalósítani a rendszer megbízható funkcionalitásának érdekében. A beszerzésekre vonatkozó igényeket a fejlesztési vezetı és az IT üzemeltetési vezetı közösen határozza meg. Az eszközök (hardver, szoftver) kiválasztásánál a gazdasági tényezık mellett figyelembe kell venni az adott eszköz által nyújtott biztonsági funkciókat, megoldásokat is. A hardver eszközök beszerzéséhez az alábbi tényezık figyelembevétele szükséges: • a hardver funkcionalitása, erıforrásai; • a hardver várható rendelkezésre állása (megbízhatóság); • a hardver garanciális támogatása (garancia idı, tartalom); • a hardver support támogatása (tanácsadás, alkatrész biztosítás). A szoftver megoldásoknál az alábbi tényezık figyelembevétele szükséges: • a szoftver funkcionalitása; • a szoftver platformfüggısége; • támogatja-e a szoftver a homogenitási törekvéseket; • a szoftver biztonsági megoldásai (jogosultság kezelés, titkosítás, stb.); • a szoftver menedzselhetısége; • a szoftverhez biztosított support. 3.4.3. Az EMIR alkalmazásfejlesztés biztonsága A biztonságos fejlesztés érdekében ki kell dolgozni az EMIR fejlesztési folyamatot, a hozzátartozó feladatokkal, és felelısségekkel annak érdekében, hogy az IT biztonsági elvárások maximálisan érvényesíthetık legyenek a fejlesztés folyamatában, és a fejlesztett rendszerekben. A fejlesztés lépéseit, feladatok elhatárolását, szükséges dokumentumok elıállítását az érvényben lévı EMIR alkalmazásfejlesztési szabályzat alapján kell lefolytatni. Az IT biztonsági elıírásokat érvényesíteni kell a fejlesztéssel kapcsolatos szerzıdésekben, megállapodásokban. Gondoskodni kell a szerzıdésekben foglalt kötelezı érvényő biztonsági záradékok, mint titoktartási nyilatkozat kialakításáról. A fejlesztési dokumentációk elkészítéséért a fejlesztési szabályzatban meghatározott felelıs gondoskodik.

23. oldal


3.4.4. Az üzemeltetés biztonsága A megbízható és biztonságos üzemeltetés érdekében szabályokat, eljárásokat kell kidolgozni az informatikai rendszerhez kapcsolódó folyamatok - javítások, karbantartások, szoftvertelepítések és beállítások, stb. - végrehajtására. A szabályokat, eljárásokat össze kell hangolni az érvényben lévı IT biztonsági szabályokkal, eljárásokkal. Az üzemeltetési eljárásokat dokumentálni szükséges annak érdekében, hogy az elvégzett feladatok nyomon követhetıek legyenek. Az informatikai rendszerterveket, és a biztonsági megoldásokat tartalmazó egyéb dokumentumokat „Bizalmas” információként kell kezelni. Az üzemeltetési dokumentációk elkészítésérıl az IT üzemeltetési vezetı gondoskodik, a fejlesztési vezetıvel együttmőködve. Ha az üzemeltetés feladata külsı szolgáltató bevonásával történik, a szolgáltatási szerzıdés követelményeinek megfelelı üzemeltetési dokumentációk elkészítése és naprakészen tartása a szolgáltató feladata. Az IT biztonsági felelıs feladata a dokumentációk félévenkénti felülvizsgálata. Üzemeltetési folyamatok biztonsági elıírásai Az üzemeltetési folyamatokhoz ki kell alakítani a tevékenység-felelısség mátrixot, amelyben az alábbi felelısségeket kell megállapítani: • döntési felelısség, • koordinálási / felügyeleti felelısség, • végrehajtási felelısség, • ellenırzési felelısség. A feladatkörök, felelısségi körök kialakításánál ügyelni kell arra, hogy az adott feladat végrehajtását, és ellenırzését ne végezze ugyanaz a személy. Az EMIR, vagy rendszerelemeinek változása (verzióváltás, frissítések) csak elızetesen sikeres tesztelés után történhet meg. A kritikus eszközökön történı változás esetén, amely veszélyeztetheti az eszköz rendelkezésre állását, a változás elıtt mentést kell végrehajtani. A javítási, karbantartási és szolgáltatási szerzıdésekben az eszközök által kezelt adatok rendelkezésre állási követelményeihez igazodó rendelkezésre állási idıket kell érvényesíteni. Az EMIR-t folyamatosan monitorozni kell. A monitorozás eredményébıl, valamint az incidensek kezelésébıl származó információkból statisztikákat, kimutatásokat kell készíteni, hogy a rendszerek megbízhatósága, rendelkezésre állása mérhetı legyen. A rendszer és az adatok biztonsága érdekében az alábbi üzemeltetési feladatokat kell a rendszert üzemeltetı csoportnak, valamint a külsı hosting cégnek ellátni. A szerzıdött fél tevékenysége eredményeirıl jelentést készíteni az IT biztonsági felelıs számára: • Napi / rendszeres üzemeltetési feladatok: − naplóállományok ellenırzése, − mentés végeredményének ellenırzése, − erıforrás monitorozó eszköz felügyelete, logok vizsgálata, − felügyeleti rendszer riasztásainak, üzeneteinek átvizsgálása, − vírusvédelem ellenırzése, 24. oldal


− mentési média rendszeres cseréje. • Havi feladatok: − havi mentés elkészítése, és átadása az Üzembentartó részére, − havi jelentés elkészítése és átadása az Üzembentartónak, − havi teljesítményadatok kiértékelése, és az összegzés feltüntetése a havi jelentésben. • Karbantartási feladatok: − hibaelhárítás a felügyeleti rendszer riasztása, vagy az EMIR Helpdesk bejelentése alapján, − a rendszert érintı javítások megjelenésének követése, − szükséges Windows és Oracle javítások (SP, patch) tesztelése, telepítése, − felhasználói adminisztrációs feladatok (profilok létrehozása, karbantartása), − felhasználói házirend konfigurálása, − Oracle adatbázis adminisztráció, − nyomtató driver-ek karbantartása (Tricerat ScrewDriver). A szabályzatban nem részletezett, az EMIR infrastruktúrát érintı (hardver és szoftver infrastruktúra üzemeltetése és a hosting szolgáltatás) üzemeltetési feladatok tekintetében az érvényben lévı szolgáltatói szerzıdés rendelkezései kötelezı érvényőek. 3.4.5. Biztonsági incidensek kezelése Biztonsági incidensnek számít minden, az informatikával kapcsolatba hozható rendellenes mőködés, fenyegetés, amely az EMIR adatainak bizalmasságát, sértetlenségét, vagy rendelkezésre állását veszélyezteti. Minden felhasználó számára ismert, hivatalos riasztási eljárást kell kialakítani és mőködtetni, mely biztosítja az incidensek azonosításának, feljegyzésének és elhárításának lehetı leggyorsabb lefolytatását. A biztonsági incidensek következményeirıl, elhárításának eredményeirıl értesíteni kell a felhasználói közösséget. A biztonság incidensek kezelésére alkalmazott eljárások folyamatos fejlesztését és ellenırzését kell megvalósítani, ami az IT biztonsági felelıs feladata. Továbbá az IT biztonsági felelıs feladata az incidensek következményeinek értékelése, számszerősítése, tapasztalatok levonása, valamint a bizonyítékok összegyőjtése. Biztonság incidens bejelentése Az EMIR-rel kapcsolatba kerülı minden felhasználó köteles értesíteni az EMIR HelpDesket az általa észlelt biztonsági incidensekrıl. A EMIR HelpDeskre érkezı biztonsági incidensek (felhasználó, vagy biztonsági rendszer által generált) információit a legrövidebb idın belül továbbítani kell az elhárításért felelıs csoportoknak. A bejelentéshez szükséges paraméterek az alábbiak:

25. oldal


• •

HelpDesk készenlét: 8:00 – 16:30 HelpDesk elérhetısége: − E-mail: [email protected] − Webcím: http://emir.nfu.hu/helpdesk A felhasználónak minden esetben kötelessége az EMIR HelpDesket értesíteni, ha az alábbi incidensek valamelyikével találkozik: • informatikai eszközöket érintı lopás vagy más anyagi kár; • adatvesztés, adatok ismeretlen eredető változása; • a rendszerbıl származó „Titkos”, vagy „szigorúan bizalmas” adatok a rendszeren kívüli azonosítása. Incidens típusok felelısei • Vírusvédelmi incidensek: Vírusvédelmi felelıs • Határvédelmi incidensek: Határvédelmi felelıs • Jogosultsági incidensek: Jogosultság kezelési felelıs − EMIR alkalmazás – Fejlesztésért felelıs vezetı − EMIR infrastruktúra – IT üzemeltetési vezetı • Rendelkezésre állási incidensek: Adott rendszer/eszköz rendszergazdája • Törvény-, szabály-, és eljárássértések: IT üzemeltetési vezetı Biztonsági incidensek kezelésének folyamata • A HelpDesknek bejelentett incidensrıl szükséges minden rendelkezésre álló információt elkérni a felhasználótól/bejelentıtıl. Minden vonatkozó információt szükséges rögzíteni HelpDesk alkalmazásban. • Amennyiben a HD saját hatáskörben nem tudja megoldani a bejelentett incidenst, azonnal értesíteni kell a felelıst/csoportot, illetve az IT biztonsági felelıst. • A probléma további megoldására az IT biztonsági felelıs az érintett területek felelıseivel együttmőködve hozza meg a további lépéseket meghatározó döntést: − A probléma súlyosságát mérlegelve vészhelyzetet kell elrendelni és a vészhelyzeti terveknek megfelelıen a normál mőködésre történı visszaállítást (DRP, Vírusvészhelyzet, stb.). − A probléma súlyosságát mérlegelve fejlesztések, vagy beszerzések elindítása. − Az incidens okozta kockázatokat csak az IT Biztonsági Fórum vállalhatja fel az IT biztonsági felelıs javaslata alapján. − Az incidensek elhárítására a HelpDesk hatáskörén kívül tett intézkedéseket a HelpDesk-nek jelenteni kell, aki a szükséges információkat dokumentálja. Incidensek priorizálása Az incidensek prioritását a bekövetkezett incidens alaptevékenységre gyakorolt hatása alapján kell meghatározni, ahol 1-es prioritás a legmagasabb, 4-es pedig a legalacsonyabb fontossági osztály jelöli:

26. oldal


1. prioritású incidensek Az incidensek kivizsgálását és elhárítását azonnal meg kell kezdeni az alábbi esetekben: • határsértés, és illegális tevékenység észlelése (behatolás); • vírus-vészhelyzet (tömeges fertızés), vagy központi vírusvédelmi eszköz kiesése; • adminisztrátori jogosultságok sérülése; • kritikus rendszer, vagy rendszer elemek kiesése; • „szigorúan titkos” információk bizalmasságának, sértetlenségének elvesztése; • törvénysértések. 2. prioritású incidensek Az incidensek kivizsgálását azonnal meg kell kezdeni ha azt egy 1. prioritású incidens elhárítása nem akadályozza: • ismétlıdı vírusfertızés, vagy vírusdefiníciós állomány nem frissülése; • felhasználói jogosultságok sérülése; • kiemelten fontos rendszer, vagy rendszer elemek kiesése; • „titkos” információk bizalmasságának, sértetlenségének elvesztése. 3. prioritású incidensek: Az incidensek kivizsgálását két órán belül meg kell kezdeni: • egyszeri vírusfertızés, vagy helyi vírusvédelmi eszköz kiesése; • fontos rendszer, vagy rendszer elem kiesése; • „szolgálati titok” minısítéső információk bizalmasságának, sértetlenségének elvesztése; • kisebb jogosultsági incidensek (felhasználó elfelejtette a jelszavát, vagy az lejárt, stb.). 4. prioritású incidensek: Az incidensek kivizsgálását kezelését a folyamatban levı magasabb prioritású incidensektıl függıen kell megkezdeni (vírusvédelmi menedzsment eszközök kiesése): • nem fontos rendszer, vagy rendszer elem kiesése; • munkaállomás mőködésével kapcsolatos mőködési hibák; • szabály-, és eljárássértések; • felhasználói hibák. 3.4.6. (Operátori) Tevékenységek naplózása Az NFÜ-nél operátori tevékenységként értelmezzük az NFÜ EMIR-t és támogató informatikai rendszerének üzemeltetését, javítását, karbantartását rendszergazdai, illetve rendszer szintő jogosultsággal végzı tevékenységeket. Naplózási eljárásokat kell kialakítani a fenti tevékenységek nyomon követetésére, melyek eredményét rendszeres idıközönként ellenırizni kell. A rögzített információk lehetıvé kell tegyék az elkövetı személyének, a tevékenység idejének, eredményének azonosítását. A rögzített naplókat 27. oldal


meghatározott ideig, de legalább az ellenırzési periódus idıtartamára meg kell ırizni. Az operátori tevékenységek követése és naplózása részletességének meghatározását az érintett rendszer fontossági besorolása, a kezelt adatok érzékenysége, ellenırzés technikai korlátai figyelembe vételével kell végrehajtani. A naplókat védeni kell az illetéktelen hozzáférés, módosítás, törlés lehetıségétıl. Az operátori tevékenységek naplózásának beállítása az IT üzemeltetési vezetı által támasztott követelmények szerint a hosting szolgáltató feladata. Naplók tartalma Az operátori naplók által jegyzett információk elegendı adatot kell tartalmazzanak a késıbbi ellenırzés alapjához, ezért az alábbi adatokat kell legalább tartalmaznia: • Jogosult hozzáférés: − Felhasználói ID, esemény típusa, esemény ideje, érintett adatállományok. • Magas jogosultságú felhasználók tevékenysége (rendszergazda): − Felhasználó ID, esemény típusa, esemény ideje, érintett adatállományok. • Jogosulatlan hozzáférés: − Visszautasított mővelet, hozzáférési szabályok megszegése, elérni kívánt adatok köre, IDS rendszer riasztása. • Biztonsági beállítások változtatása, vagy arra tett kísérlet. • Rendszerhibák: − Hálózati monitoring eszköz riasztása, beléptetı rendszer által generált hibák. 3.5.

Adatvédelmi eljárások menedzsmentje

3.5.1. A határvédelemmel kapcsolatos védelmi intézkedések Az EMIR informatikai rendszere és az Internet között határvédelmi technikai megoldások biztosítják a biztonság megfelelı szinten tartását. A biztonsági szint fenntartása érdekében az alább felsorolt elıírások szükségesek. A határvédelmi eszközöknek (tőzfal, IDS) meg kell határozni az optimális életciklusát, melyen belül még megfelelı védelmet nyújt. A megállapított életciklus leteltével a határvédelmi eszköz fejlesztése szükséges. Az életcikluson belül a határvédelmi eszközök biztonsági frissítéseit (esetleg szignatúra frissítéseit) rendszeresen el kell végezni. Biztosítani kell, hogy a határvédelmi eszközökhöz csak kiemelt felhasználók (erre a célra kijelölt rendszergazdák) férjenek hozzá. A rendszer biztonsága érdekében gondoskodni kell arról, hogy csak is a megbízható mőködéshez szükséges adatforgalom legyen engedélyezve, minden további csatorna zárva legyen. Az ehhez szükséges beállítások

28. oldal


megvalósítása, rögzítése és esetleges módosításainak jóváhagyott, átlátható módon történı frissítése a Határvédelmi felelıs feladata. Külsı szolgáltatókkal kötött megállapodásokban rögzített követelmények ellenırzéséhez való jogot érvényesíteni és gyakorolni kell. Távoli elérés (VPN kapcsolat) létesítésére vonatkozó szabályok tekintetében a szolgáltatási szerzısében foglaltak az irányadóak. A határvédelmi eszközökön minden kritikus tevékenységet naplózni kell. A határvédelmi eszközöket rendszeresen monitorozni kell. A monitorozás eredményét minden esetben vissza kell csatolni, ha szükséges fejlesztést, vagy szabályozást kell végrehajtani A határvédelem dokumentációját úgy kell tárolni, hogy az indokolatlan hozzáférés, illetve az illetéktelen kezekbe jutásuk elkerülhetı legyen. Betörésvédelmi intézkedések Amennyiben a tőzfal VPN végpontként is szolgál, képesnek kell lennie IP cím alapján a végpontok engedélyezésére, illetve a nem engedélyezett tartományok kizárására. A rendszer elérését port szőréssel kell korlátozni. A nyitott portok beállítását a rendszer mőködéséhez elengedhetetlen szolgáltatások köre határozza meg, melyet a Határvédelmi felelısnek rendszeresen ellenırizni, az IT biztonsági felelıssel nyugtáztatni kell. A beállítások változtatásáról minden esetben naplót kell vezetni. Az EMIR környezetbıl kifelé név alapján korlátozni kell az elérhetı web és ftp site-okat. A naplózást be kell kapcsolni, és olyan szintőre kell állítani, hogy abból a betörési kísérletek és események egyértelmően beazonosíthatóak legyenek, forrásuk és módjuk visszakereshetı legyen. A napló állományokat nem elegendı a tőzfalon tárolni, azokat a védett hálózat egyik szerverére is továbbítani kell. A tőzfal naplókról az egyéb naplókhoz hasonlóan naponta mentést kell készíteni. A tőzfal naplókat naponta elemezni kell, és ki kell szőrni a betörésgyanús eseményeket, az esetleges illetéktelen bejutási lehetıségeket le kell zárni. A Határvédelmi felelısnek a betörési kísérletekrıl havonta kimutatást kell készítenie, és azt a havi jelentéssel együtt az IT üzemeltetési vezetınek át kell adnia. Betörésrıl legkésıbb az esemény detektálása valamint a betörés megállítása és a további betörések megakadályozására tett sürgıs lépések elvégzése után 1 órán belül a Határvédelmi felelıs köteles az IT üzemeltetési vezetıt írásban értesíteni. 3.5.2. Nem kívánatos kódok elleni védekezés Rosszindulatú kódok ellen óvintézkedéseket kell tenni, hogy megelızésük, felismerésük és elhárításuk biztosított legyen. Az óvintézkedések elengedhetetlen része a felhasználók tudatosságának folyamatos fejlesztése. A rendszert védeni kell az engedély nélkül telepített szoftverek, külsı forrásból érkezı kártékony állományok hatásaival szemben. Csak részletesen tesztelt és jóváhagyott kódok bevezetése engedélyezett az éles környezetbe. Ennek érdekében gondoskodni kell arról, hogy minden szoftver, kód csak a 29. oldal


szabályzatban meghatározott módon, az illetékes IT üzemeltetési vezetı jóváhagyásával kerülhessen be a rendszerbe. A futtatható állományok feltöltésére, illetve azok indítására vonatkozó korlátozó óvintézkedéseket kell alkalmazni, hogy csak az arra hivatalosan is felhatalmazott felhasználók élhessenek ezekkel a jogokkal. A fenti követelmények megvalósulását rendszeres gyakorlat keretében ellenırizni kell. Az óvintézkedések kötelezıen magukba foglalják a rendszeresen elvégzett manuális és idızített vírusellenırzési gyakorlatot, a valósidejő védelem alkalmazását, az eredmények visszakereshetı módon történı dokumentálását és a bekövetkezett események elhárítására vonatkozó terveket, melyek karbantartása a Vírusvédelmi felelıs feladata. A Vírusvédelmi felelısnek, egyéb feladatai mellett, biztosítani kell az IT biztonsági felelıs számára minden szükséges információt a vírusvédelmi feladatok tervezéséhez és ellenırzéséhez, vírusriadó esetén a vezetık tájékoztatásához. Rosszindulatú kódok elleni védelem keretei A fertızés nagyságától függıen az alábbi területeket különböztetjük meg: • Elszigetelt: ha az EMIR rendszerét kiszolgáló környezetben, 24 órán belül legfeljebb egy-két eszközön fordul elı, és egy védendı eszközön sem ismétlıdött a fertızés. • Ismétlıdı: ha az EMIR rendszerét kiszolgáló környezetben egy bizonyos eszköz egy nap többször, vagy több egymás utáni napon megfertızıdik. • Sorozatos: ha 24 órán belül az EMIR rendszerét kiszolgáló környezetében számos (5-10) eszközben fertızés történt. • Tömeges: fentieknél nagyobb 24 órán belüli fertızésszám. Fertızésként kell értékelni azt is, amit nem a vírusvédelmi eszközök jeleznek, hanem ami a felhasználók és rendszergazdák jelzései alapján valószínősíthetı. Vírusvédelmi események szintjei 1. szintő: 1. szintő vírusvédelmi eseménynek minısül, ha a víruskeresı elszigetelt fertızést észlelt, és az elıírt vírusmentesítést elvégezte. 2. szintő: 2. szintő vírusvédelmi eseménynek minısülnek a következık: • A vírusvédelem elszigetelt fertızést észlel, de nem tudja a vírusmentesítést elvégezni. • A vírusvédelem sorozatos vagy ismétlıdı vírust észlelt, és a vírusmentesítést elvégezte. • A vírusvédelmi menedzsment munkaállomás azt észleli, hogy valamelyik kiemelt eszközön nem fut a vírusvédelem. • Az adatvédelmi munkaállomás azt észleli, hogy valamelyik szerveren 3 napja nem fut a vírusvédelem. • A vírusvédelmi eszköz jelzi, hogy egy szerveren 7 napnál régebbi a szignatúra. Kivételt képez az az eset, amikor a menedzsmentfelület a saját 30. oldal


• •

adatbázisa alapján azért mutat régi szignatúrákat, mert az adott számítógép több napja nincs bekapcsolva vagy már nem a hálózat része. A központi vírusvédelmi eszközök valamelyikének 1 napnál hosszabb üzemképtelensége. Itt fel nem sorolt egyéb esetek, amikor a vírusvédelmi rendszerbe bármi okból illetéktelenül beavatkoznak.

3. szintő: 3. szintő vírusvédelmi eseménynek (vírusriadó) minısül: • Tömeges vírusfertızés. Sikertelen vírusmentesítés sorozatos vagy ismétlıdı fertızés esetén. Vírusriadó kezelése 3. szintő vírusvédelmi esemény esetén vírusriadót kell kihirdetni, melynek lépései a következık: 1) 2) 3) 4) 5) 6) 7)

Vírusriadó elrendelése – IT üzemeltetési vezetı Tájékoztatás IT biztonsági fórum felé – IT biztonsági felelıs Riadó hatókörének meghatározása – Vírusvédelmi felelıs Erıforrás becslés – IT biztonsági felelıs Vírusmentesítés végrehajtása – Vírusvédelmi felelıs Vírusriadó visszavonása – IT üzemeltetési vezetı Vírusriadó napló elkészítése – Vírusvédelmi felelıs

Valósidejő védelem alkalmazása A védendı eszközök hatékony védelmének érdekében valósidejő védelmet kell kialakítani. A szervereken a valósidejő védelemnek folyamatosan bekapcsolva kell lennie, hogy biztosítsa a felhasználói munka során igénybevett állományok (adatok, programok) használat elıtti vírusellenırzését. Amennyiben a valósidejő védelem a detektált vírus eltávolítására nem képes, a vírusvédelmi rendszer automatikus értesítést küld az IT üzemeltetési vezetı számára, és a fertızés gyanús állományt a rendszer automatikusan karanténba helyezi. Manuális, illetve automatikus teljes rendszer ellenırzés A védendı eszközökön a teljes állományrendszer vírusellenırzését legalább heti egy alkalommal végre kell hajtani. A vírusellenırzést ütemezve minden szerveren el kell indítani. Ennek érdekében a vírusvédelmi eszközöket úgy kell konfigurálni, hogy a vírusvédelmi ellenırzés abban az idıszakban kerüljön végrehajtásra, amikor a napi munkát a legkisebb mértékben gátolja. A vírusvédelmi eszközöknél biztosítani kell, hogy a felhasználók az ütemezett feladatokat ne tudják megváltoztatni. A szerveren talált vírusgyanú esetén a teljes fájlrendszer ellenırzésének elindítása kötelezı. A teljes fájlrendszer átvizsgálásának manuális elindítása a Vírusvédelemi felelıs feladata.

31. oldal


Vírusvédelmi szignatúrák frissítése A hatékony vírusvédelem érdekében a vírusadatbázist rendszeresen, legalább napi gyakorisággal frissíteni, és az összes védendı eszközre alkalmazni kell. Kritikus vírusadatbázis frissítések esetére biztosítani kell az automatikus gyakorlatnál gyakoribb, manuális frissítés végrehajtását. A szignatúrák frissességének állapotát rendszeresen és visszakereshetı módon dokumentálni kell. Biztonsági frissítések alkalmazása Az eszközökre a biztonsági frissítéseket és riasztási mintákat a megjelenésüktıl számított 48 órán belül fel kell telepíteni. Gondoskodni kell a frissítések körültekintı tesztelésérıl, a szabályzat 3.4.4-es pontjában rögzített eljárás szerinti alkalmazásról. Felelısségi körök meghatározása 1)

Az IT biztonsági felelıs feladatai az alábbi területre terjednek ki:

Háttérfeladatok: • Rendszeresen felülvizsgálja jelen vírusvédelmi szabályzatot, szükség esetén módosítja azt. • Elkészíti a vírusvédelmi rendszer mőszaki dokumentációját, szükség esetén elvégzi a szükséges módosításokat. • Részt vesz a vírusvédelmi eszközök kiválasztásában, felügyeli azok rendszeresítését, és telepítését. • Részt vesz a vírusvédelemmel kapcsolatos oktatási és tudatosítási feladatok szervezésében, és lebonyolításában. Védelmi feladatok: • Folyamatosan ellenırzi a vírusvédelmi szabályzat betartását, szükség esetén javaslatot tesz a hiányosságok megszüntetésére, vagy felelısségre vonás kezdeményezésére. • Jóváhagyja a vírusvédelmi eszközök Vírusvédelmi felelıs által meghatározott beállításait. • Rendszeresen értékeli a vírusvédelmi események emlékeztetıit, szükség esetén javaslatot tesz fegyelmi vizsgálat lefolytatására. • Felügyeli a vírusvédelmi eszközök mőködıképességét. Feladatok vírusriadó esetén: • Indokolt esetben javaslatot tesz a vírusriadó elrendelésére. • Információkat győjt a vírusfertızés fıbb jellemzıirıl (fertızés módja, mértéke, stb.). • Meghatározza a vírusmentesítéshez szükséges mentesítési eljárásokat, megbecsüli azok erıforrásigényét, idejét. • Felügyeli a vírusmentesítés folyamatát, szükség esetén kapcsolatot tart fenn a vírusvédelmi cégek tanácsadóival • Folyamatosan tájékoztatja a szervezeti egységek vezetıit.

32. oldal


•

•

2)

Felügyeli a visszaállítás folyamatát. Amennyiben minden rendszert sikerült visszaállítani normál mőködésre, javaslatot tesz a vírusriadó visszavonásáról. Kivizsgálja a fertızés okait, szükség esetén javaslatokat tesz a vírusvédelmi rendszer módosításaira, illetve a fegyelmi eljárások végrehajtására. A Vírusvédelmi felelıs feladatai az alábbi területre terjednek ki:

Háttérfeladatok • Folyamatosan tájékozódik az újabb vírusfenyegetettségekrıl, és vírusvédelmi eszközökrıl. • Rendszeresen felülvizsgálja a vírusvédelmi eszközök beállításait, szükség esetén javaslatokat tesz azok módosítására. • Az NFÜ vírusvédelmét ellátó cég szakértıjének jóváhagyásával meghatározza a vírusvédelmi eszközök rezidens keresési, idızített keresési, frissítési, és riasztási beállításait. • Végrehajtja a vírusvédelmi eszközök telepítését, végrehajtja a jóváhagyott beállításokat. • Tartja a szakmai kapcsolatot a vírusvédelmi szoftverek szállítójával. Ha indokoltnak látja, tanfolyam elvégzését javasolja a vírusvédelemben résztvevı szereplıknek. • Tervezi és nyomon követi vírusvédelmi eszközök optimális életciklusát, szükség esetén javaslatokat tesz az eszközök fejlesztésére Védelmi feladatok • Megoldja a vírusvédelemben elıforduló váratlan vagy tisztázatlan technikai problémákat. Együttmőködik az IT biztonsági felelıssel azoknak a vírusforrások minimalizálására, amelyek többször is fertızést okoztak vagy okozhatnak. • Szükség esetén az Internetrıl elıírt rendszerességgel letölti a vírusszignatúrákat a kijelölt tároló helyre. • 2. szintő vírusvédelmi eseménykor indokolt esetben, 3. szintő eseménykor minden esetben végrehajtja a mentesítést. Szükség esetén értesíti a vírusvédelmet ellátó cég szakembereit. • Rendszeresen, de legalább naponta minden védendı eszközön ellenırzi vírusvédelem mőködıképességét, illetve a vírusszignatúrák frissességék. • 1. szintő eseménynél kivizsgálja a vírus eredetét és amennyiben lehetséges mentesíti azt. Amennyiben a fertızést emberi mulasztás okozta, vagy a jelenséget trójai vagy kémprogram okozta, azt jelenti az IT biztonsági felelısnek. • A 2. vagy magasabb szintő eseményekrıl emlékeztetıt készít, mely tartalmazza a − az esemény fajtáját a Vírusvédelmi események szerint, − az elhárítással foglalkozók nevét, − az érintett eszközöket, − az esemény észlelésének és az elhárítás befejezésének az idejét, 33. oldal


−

az esemény valószínő okát.

Feladatok vírusriadó esetén • Végzi a vírus szignatúrák soron kívüli frissítését. Értesíti a vírusvédelmet ellátó cég szakembereit a fertızés tényérıl. • Végzi a fertızött rendszerek vírusmentesítését. • Támogatást nyújt a rendszergazdának a rendszerek visszaállításánál. • A visszaállítás után a kivizsgálja a fertızés okát, lokalizálja annak forrását, majd jelenti az IT biztonsági felelısnek. Felhasználói elıírások A felhasználóknak tilos a munkaállomásukon, hordozható számítógépükön alkalmazott vírusvédelmi szoftver aktív védelmének kikapcsolása, vagy a védelmi beállításának megváltoztatása. A vírusvédelem humán kockázatainak csökkentése érdekében a felhasználóknak meg kell ismernie, és alá kell írnia a „Felhasználói nyilatkozatot”. Csatolt állományok kezelésének biztonsága Tilos megnyitni, továbbítani olyan állományokat, melyeknek forrása ismeretlen, a munkakörrel nem összefüggı tartalommal bír. Tilos az EMIR rendszerét magánjellegő információk tárolására, megosztására, bármilyen kezelésére használni. A felhasználóknak jelenteniük kell az NFÜ infrastruktúráját üzemeltetı rendszergazdának a normális mőködéstıl eltérı eseményeket. Vírusvédelmi incidens esetén a felhasználónak a HelpDesk útmutatásai szerint kell eljárnia. 3.5.3. A jogosultság kezelés Az EMIR-ben meg kell valósítani a jogosultságok kezelésének egységes rendszerét, mely csak az arra jogosultak számára biztosítja az információhoz való hozzáférést, lehetıvé teszi a jogosultságok üzleti igényekkel való rendszeres összevetését, a felhasználók jogainak és felelısségeinek rögzítését. A jogosultságkezelési eljárások szabályait a hatályos EMIR jogosultságkezelési szabályzat és mellékletei rögzítik. Az egységes jogosultság kezelı és nyilvántartó rendszert úgy kell kialakítani, hogy az EMIR minden felhasználója számára biztosítsa a munkájához szükséges és elégséges hozzáféréseket. A jogosultság kezelı és nyilvántartó rendszernek az alábbiakra kell minimum kiterjednie: • alkalmazás szintő hozzáférések (modulok, projektek) körének meghatározása; • infrastruktúra szintő hozzáférések (szerverek, hozzáférései) körének meghatározása; • megosztott erıforrásokhoz való hozzáférések (mappák, nyomtatók) objektumonkénti meghatározása; • a jogosultsági objektumok hozzáférési politikájára, eszközeire; • a kiadott jogosultságok nyilvántartására.

34. oldal


A jogosultsági rendszernek biztosítani kell az adatok adatosztályozási szintjeinek megfelelı bizalmassági és sértetlenségi követelményeknek való megfelelést. A hozzáférések követelmény rendszere Jogosultság követelmények: • A hozzáférési jogosultságokat az adatcsoportok osztályozásával összhangban kell megállapítani. • Az optimális hozzáférési rendszer kialakításához minél kevesebb, a feladathoz kapcsolódóan minimális jogokkal rendelkezı felhasználói csoport kialakítása szükséges. A csoportok kialakítását az NFÜ által meghatározott EMIR egységes eljárásrend alapján kell meghatározni. A csoportokhoz rendelt jogosultságoknak összhangban kell lenniük a csoport tagjai által kezelt adatok osztályozásával. • A felhasználói csoportok jogosultsági körét az általuk végzett feladatokhoz képest úgy kell minimalizálni, hogy a felhasználónak csak a munkaköri feladataik elvégzéséhez szükséges minimális hozzáférési jogok álljanak rendelkezésre. • A jogosultsági konténereket (funkciókhoz és adatokhoz tartozó jogosultságok egy csoportja) egységes elvek alapján kell megalkotni. • A felhasználókat a rendszerben egyedileg azonosítani kell. • A felhasználók azonosítását egy egyedi, titkos információval kell hitelesíteni (legalább jelszó). • A jogosultsági rendszer kialakításánál figyelembe kell venni a védelemre vonatkozó szerzıdésszerő kötelezettségeket, melyben az adatokhoz, vagy alkalmazásukhoz való hozzáférésrıl esik szó. • Egyedi, személyre szabott hozzáférési jogokat kell alkalmazni, a felhasználói azonosítókat nem lehet megosztani a felhasználók között. • Ideiglenes jogok meghatározása külsı személyek számára csak a tevékenységükhöz szükséges mértékben történhet, kizárólag korlátozott idıtartamig. Munkájuk végén, vagy az elıre meghatározott idıtartam lejárta után a jogokat azonnal meg kell vonni A követelmény rendszert évente felül kell vizsgálni. A felülvizsgálatot az IT biztonsági felelıs végzi. Egységes jogosultságok rendszere Egységes jogosultságok rendszerét kell alkalmazni az EMIR-ben definiált hozzáférések átláthatósága, a feladatkörök elhatárolhatósága érdekében, melyet elıre meghatározott szerepkörök kialakításával, egységes eljárásrend/szabályzat bevezetésével kell megvalósítani. Az itt leírtak megvalósításáról az EMIR Jogosultságkezelési szabályzat rendelkezik. Jogosultságok nyilvántartása A hozzáférési jogosultságot írásban és névre szólóan kell meghatározni, és jogosultság nyilvántartásban kell nyilvántartani. Az EMIR-ben definiált jogosultságok központi nyilvántartása az IT biztonsági felelıs feladata.

35. oldal


Felhasználói jogosultságok létrehozása, megváltoztatása, megszüntetése Jogosultság létrehozása • Munkatárs EMIR felhasználói jogosultságának létrehozását, vagy jogosultsággal rendelkezı munkatárs jogosultság változási igényét a Jogosultságigénylı őrlap kitöltésével jelzi a munkatárs vezetıje felé. • A munkatárssal szemben munkáltatói jogot gyakorló, felelıs vezetıje, az igénylılap elbírálása után, a EMIR HelpDesken keresztül, illetve az aláírt igénylılap megküldésével igényli a kért jogosultságot. • KIH (Koordinációs Irányító Hatóság) a kérelem jogosságát megvizsgálva az adatok biztonsági besorolása és a munkavégzéshez szükséges minimum jogosultságok alapján dönt a kérelem elfogadásáról. • Pozitív elbírálás esetén a Jogosultságigénylı őrlap alapján beállításra kerülnek a jóváhagyott jogosultságok: − Ahol a rendszer lehetıvé teszi a beállítások elvégzését a KIH végezi. − Ahol a rendszer nem teszi lehetıvé az EMIR Fejlesztı végzi el a kérés beállítását, ezeket a Jogosultságkezelési felelıs ellenırzi. • Minden felhasználó definiálásánál biztosítani kell az 1 természetes személy = 1 felhasználói azonosító, egy-egy értelmő megfeleltetést, azaz nem lehet közösen használt felhasználói azonosító. Ettıl való eltérést az IT Biztonsági felelıs engedélyezheti írásban. Jogosultság megszüntetése: • Munkatárs kilépése esetén, illetve ha az alkalmazott vezetıje úgy ítéli meg, a jogosultság visszavonásra kerül, az erre vonatkozó igény alapján. A kilépı alkalmazott vezetıje minden esetben értesíteni köteles a Jogosultság kezelési felelıst a visszavonás igényérıl 5 munkanapon belül. • Határozott idejő felmondás esetén a jogosultság visszavonásának kezdeményezése a „Kilépı papír” aláírásával egy idıben történik. • Az IT biztonsági felelıs köteles rendelkezni a felhasználó adatairól, dokumentumairól (archiválás, törlés, 3. személy általi hozzáférhetıség). A felhasználói fiók törlésére az adatok sorsának rendezése után kerülhet sor. A szervezeti egység vezetıjének a szóban forgó adatokkal kapcsolatban rendelkeznie kell arról, hogy az adatokhoz a továbbiakban ki férhet hozzá, illetve archiválni, törölni kell-e az adatokat. Jogosultság módosítása: Amennyiben a felhasználó jogviszonyában változások következnek be, de a munkáltatói jogviszony továbbra is az intézményhez köti (áthelyezés más osztályra, munkakör vagy munkaköri leírás megváltozása) a felhasználói jogosultságokat meg kell szüntetni a munkaviszony megszőnésének eljárásrendje szerint, és új felhasználóként kell kezelni, az új belépıkre vonatkozó eljárásrend szerint. Jelszavas védelem felépítése A hozzáférés szintjeit az alábbiakban határozzuk meg:

36. oldal


Infrastruktúra / EMIR DB & alkalmazás

Egyéni

Csoportos

Rendszergazda

1

2

Felhasználó

3

4

1) Névre szóló rendszergazdai hozzáférés esetén, a rendszergazdai jogosítványt a rendszergazda a saját nevére szóló, kizárólagosan általa használt, megfelelı rendszergazdai jogkörrel felruházott felhasználói azonosító segítségével lehet használni. A beépített (root, administrator, stb.) rendszergazdai hozzáférés csak abban az esetben tekinthetı ilyennek, ha azt kizárólag egy személy használja. Ha a rendszerben van lehetıség személyhez kötött rendszergazdai jogosítványok kiadására, az említett beépített jogosultságokat általános rendszergazdai feladatok ellátása során használni tilos. Minden rendszergazdának rendelkeznie kell felhasználói hozzáféréssel is. 2) Csoportos rendszergazdai hozzáférés esetén, a rendszergazdai jogosítványt a rendszergazda egy csoportos, több rendszergazda által is használt, rendszergazdai jogkörrel felruházott felhasználói azonosító segítségével lehet használni. A beépített (root, administrator, technikai user stb.) rendszergazdai hozzáférés abban az esetben tekinthetı ilyennek, ha azt több személy használhatja. Speciális esetek számára (pl vészhozzáférés) létre kell hozni a kétemberes szabály alkalmazásával egy rendszergazdai jogosítványt. Egyéb esetben amennyire technikai és egyéb szempontok lehetıvé teszik, a csoportos rendszergazdai hozzáférést használni tilos. 3) Névre szóló felhasználói hozzáférés keretében a felhasználó külön, saját névre szóló, más által nem használt, kizárólag a munkája ellátása miatt elengedhetetlen jogosítványokkal rendelkezik az informatikai és telekommunikációs rendszerekhez és azok erıforrásaihoz, az üzleti folyamatok ellátásához kapcsolódó feladatok elvégzéséhez. 4) Csoportos felhasználói hozzáférés keretében több felhasználó azonos, a munkája ellátása miatt elengedhetetlen felhasználói hozzáférést használ az informatikai és telekommunikációs rendszerekhez és azok erıforrásaihoz, az üzleti folyamatok ellátásához kapcsolódó feladatok elvégzéséhez. Amennyire technikai és egyéb szempontok lehetıvé teszik, a csoportos felhasználói hozzáférést csak a védelmet nem igénylı adatokat tartalmazó rendszerek esetén szabad alkalmazni, az egyértelmőség és követhetıség miatt inkább a névre szóló felhasználói hozzáférést kell választani. Jelszókezelés: Az EMIR informatikai rendszeréhez való illetéktelen logikai hozzáférés megakadályozására jelszavas védelmet kell alkalmazni. Az EMIR informatikai rendszeréhez bejelentkezési névvel rendelkezı felhasználó köteles a bejelentkezı nevéhez tartozó jelszó megırzésére. A saját bejelentkezı névhez tartozó jelszót elárulni, mások által is elérhetı módon feljegyezni tilos. 37. oldal


Valamennyi informatikai rendszer esetén a hozzáférésekhez rendelt jelszavaknak, a hozzáférés szintjétıl függetlenül az alábbi alapkritériumoknak kell megfelelni: • Ne egyezzen meg a felhasználó nevével, felhasználói azonosítójával, egyik telefonszámával sem, engedélyének számával, személyi számával vagy dolgozói kódjával, valamint az aktuális hónappal, „jelszó” vagy „password” szóval, illetve a felhasználóhoz kötıdı bármely karaktersorozattal (pl. születési dátum, lakcím). • Ne egyezzen meg személynévvel. • Ne egyezzen meg irodalmi, színházi, televíziós, közéleti személyek nevével és egyéb közismert szavakkal, kifejezésekkel. • Ne tartalmazzon azonos, vagy ismert logika szerint egymást követı karaktereket (pl. 11111, aaaaa, qwert, asdfg, gegegeg). • Ne utaljon a felhasználóra, munkakörére, munkahelyére. Felhasználói hozzáférések (3, 4 típus) Azon informatikai rendszerek esetén, melyek rendelkeznek a megfelelı technikai feltételekkel, a hitelesítéshez használt felhasználói hozzáféréshez rendelt jelszavaknak az alábbi kritériumoknak kell megfelelni: • A felhasználói jelszavak minimális hossza 8 karakter. • A felhasználói jelszavak maximum 42 napig lehetnek érvényesek. • Egy jelszó minimum 1 napig érvényes (1 napon belül nem lehet kétszer megváltoztatni). • Az utolsó 10 jelszót nem lehet újra használni. • Sikertelen próbálkozások száma: 5. • Sikertelen próbálkozások utáni várakozási idı: 30 perc. • A felhasználóknak be kell jelentkezni a jelszó megváltoztatásához. • A felhasználóknak meg kell változtatniuk a jelszavukat, amikor elsı alkalommal használják felhasználói azonosítójukat. • Jelszónak nem kell komplexnek lennie, azaz nem kell hogy speciális karaktert, számot és kis-nagybetőt tartalmazzon. • Mind a sikeres, mind a sikertelen belépési és kilépési kísérleteket naplózni kell. • Az új felhasználóknak az elsı belépéskor kötelezıen meg kell változtatni a levélben kapott jelszavukat. • Ha egy felhasználói azonosító 72 napig inaktív, akkor azt a szervezeti egység vezetıjének tájékoztatása mellett a rendszert üzemeltetı rendszergazdának fel kell függeszteni. A fenti követelményekrıl minden felhasználót tájékoztatni kell, munkájának megkezdése elıtt. Rendszergazdai, alkalmazásgazdai hozzáférések (1, 2 típus) Azon informatikai rendszerek esetén, melyek rendelkeznek megfelelı technikai megoldásokkal, az azonosításhoz használt rendszergazdai hozzáféréshez rendelt jelszavaknak az alábbi kritériumoknak kell megfelelni: • Tartalmazzon vegyesen numerikus, kis és nagy alfanumerikus és különleges karaktereket. 38. oldal


• • • • • • • • •

Ne tartalmazzon önmagában bármilyen nyelvő szót szótári alakban. A rendszergazdai jelszavak minimális hossza 14 karakter. Az utolsó 10 jelszót nem lehet újra használni. Jelszó csere maximum 24 naponta. Jelszónak komplexnek (nagybető vagy szám a jelszóban) kell lennie. Sikertelen próbálkozások száma: 3. Sikertelen próbálkozások utáni várakozási idı: 30 perc. A rendszergazdának be kell jelentkezni a jelszó megváltoztatásához. Szabályozni és szőrı segítségével biztosítani kell a jelszavak összetettségét: szükséges nagybetők, kisbetők, számok és speciális karakterek együttes használata. • Mind a sikeres, mind a sikertelen belépési és kilépési kísérleteket naplózni kell. • Vészhozzáférések: a rendszergazdai hozzáféréseket a rendszerüzemeltetés számára nem ismert tartalommal, kinyomtatott formában, zárt borítékban el kell helyezni az Üzemeltetésért felelıs vezetı által használt tőzálló páncélszekrényben. A bejelentkezı névhez tartozó jelszót meg kell változtatni, • a felhasználói név rendszerbe történt felvételét követı elsı bejelentkezéskor, • ha a jelszó illetéktelen személy tudomására jutott, vagy bármilyen módon nyilvánosságra került. A vészhozzáférést biztosító jelszavakat tartalmazó borítékot az IT üzemeltetési vezetı, vagy távollétében helyettese jogosult felbontani. A felbontásnál meg kell határozni a felbontás elrendelésének okát, és a felbontás bekövetkeztérıl írásos feljegyzést kell készíteni,. A Jogosultság kezelési felelıs gondoskodik a vészhozzáférést biztosító jelszavak megváltoztatásáról és a zárt boríték páncélszekrénybe történt elhelyezésérıl. Ezekhez a beépített adminisztrátor felhasználókhoz komplex (kis- és nagybetőt, számot és speciális karaktert tartalmazó), legalább 15 karakter hosszú jelszót kell rendelni. Hozzáférési jogosultságok ellenırzése Az EMIR és infrastruktúrája jogosultsági rendszerét meghatározott idıközönként de legalább évente felül kell vizsgálni. A felülvizsgálat során összehasonlító vizsgálatot kell végezni, melynek felelıse a Belsı ellenır. Az ellenırzések megkezdése elıtt információkat kell győjteni: • az alkalmazások személyes biztonsági követelményeirıl, • az alkalmazások ki és bemenı adatairól, • az adatok bizalmassági/sértetlenségi szintbe sorolásáról, • az adott bizalmassági/sértetlenségi szinten meghatározott adatkezelésrıl, • a különbözı rendszerek és hálózatok összefüggéseirıl, • a vonatkozó törvényi, hatósági és szervezeti szabályozásokról, stb. A Belsı ellenır IT biztonsággal kapcsolatos feladatai: • felülvizsgálja a felhasználók jogosultságait évente egyszer minta alapján, melynek tárgya a Jogosultság kezelési szabályzatban 39. oldal


meghatározott témakörök, illetve jogosultság változást elıidézı eseménye (pl.: a felhasználó kilépésekor, áthelyezésekor, új munkatárs felvételekor). A vizsgálat során figyelni kell arra, hogy a felhasználónak csak olyan alkalmazásokhoz, rendszerekhez legyen hozzáférési joga, amiket valójában használ; • szúrópróbaszerően ellenırzi, hogy a jogosultságok adminisztrációja a Jogosultságkezelési szabályzatban foglaltak szerint történik-e, a rendszerek felhasználására és az adatok meghatározott mértékő elérésére csak a jogosultsági nyilvántartásban rögzített személyek jogosultak. • A vizsgálat során ki kell térni különös tekintettel a páncélszekrényben tárolt rendszergazdai jelszavak vizsgálatára is. A vizsgálatot végzı Belsı ellenır a páncélszekrényben található borítékok felbontása után meggyızıdik, hogy az ott tárolt jelszavak használhatóak, valamint gondoskodik arról, hogy a vizsgálat után a Jogosultság kezelési felelıs a rendszergazdai jelszót megváltoztassa, és leellenırzi, hogy ez nem egyezik a vizsgálat elején a borítékban talált jelszóval. A felbontott borítékokat és tartalmukat, a vizsgálatot követıen meg kell semmisíteni, és a Belsı ellenırnek gondoskodni kell arról, hogy az új jelszó elhelyezésre kerüljön a páncélszekrényben. A Belsı ellenır az ellenırzés eredményeirıl jelentést, feltárt hiányosságokról jegyzıkönyvet készít, és a szükséges eljárások megindítását kezdeményezi. 3.5.4. Mentés, archiválás, visszatöltés Az adatok rendelkezésre állásának biztosítása érdekében egységes mentési, archiválási, illetve visszatöltési rendszert kell kialakítani, mőködtetni. A mentési, archiválási, illetve visszatöltési rendszernek biztosítania kell az adatok adatosztályozási szintjének megfelelı rendelkezésre állási követelményeknek való megfelelést. Mentési renddel kapcsolatos felelısségek, feladatok A mentéssel kapcsolatos felelısségek az alábbi módon oszlanak meg az IT üzemeltetési vezetı, Mentésért felelıs rendszergazda és az IT biztonsági felelıs között. IT üzemeltetés vezetı: • Felelıs az EMIR és környezete mentési, archiválási rendjének kidolgozásáért. • Felelıs a mentési, archiválási rend rendszeres ellenırzéséért. • Felelıs a mentési rendet érintı változások követéséért, illetve a mentési rendrıl szóló dokumentációk felülvizsgálatáért. • Felelıs a mentési feladatokkal megbízott rendszergazda által jelentett incidensek kezelésére vonatkozó intézkedések foganatosításáért, illetve szükség esetén a kezeléshez szükséges erıforrások biztosításáért. Mentésért felelıs rendszergazda: • Felelıs az EMIR informatikai rendszerében tárolt elektronikus adatok mentésének, archiválásának rendszeres, elıírásszerő végrehajtásáért.

40. oldal


•

• • •

Felelıs a mentések, archiválások végrehajtása során feltárt incidensek IT üzemeltetés vezetınek történı jelentéséért, a meghatározott követelmények alapján az incidensek kezeléséért. Felelıs a mentések visszatöltéssel történı ellenırzések végrehajtásáért. Felelıs az archívumban elhelyezett médiák rendszeres ellenırzéséért, idıszakonként történı átcsévéléséért, vagy átmásolásáért. Felelıs a mentéssel, archiválással, illetve visszatöltéssel kapcsolatos dokumentálások elvégzéséért.

IT biztonsági felelıs: • Felelıs az informatikai rendszerben tárolt elektronikus adatok mentésének, archiválásának rendszeres, elıírásszerő végrehajtásának ellenırzéséért. • Felelıs a helyi mentések visszatöltéssel történı ellenırzések megvalósulásáért. • Felelıs a helyi archívumban elhelyezett médiák rendszeres ellenırzéséért. • Felelıs a helyi mentéssel, archiválással, illetve visszatöltéssel kapcsolatos adminisztráció ellenırzéséért. Mentések készítése A mentésre kerülı adatok alapján háromféle mentést különböztetünk meg: • Teljes mentés, amikor az adott szerver aktuális állapota teljes egészében (beleértve a mőködéshez szükséges komponenseket, a konfigurációs és felhasználói adatokat is) mentésre kerül. • Rendszerállapot mentés, amikor a konfigurációs adatok és a napló állományokról készül mentés. • Adatmentés, amikor a felhasználói adatokról készül mentés. A mentés idızítése és tartalma alapján az alábbi mentéseket különböztetjük meg: • Napi mentés. Naponta végre kell hajtani. Tartalmaznia kell a Rendszerállapot mentést és az Adatmentést. A napi mentéseket 2 hétig kell megırizni. • Heti mentés. Hetente kell végrehajtani. Tartalmaznia kell a Teljes mentést. A heti mentéseket 8 hétig kell megırizni. • Havi mentés. Havonta kell végrehajtani. Tartalmaznia kell a Teljes mentést. A havi mentéseket 12 hónapig kell megırizni. • Napközbeni mentés. 2 óránként kell végrehajtani. Tartalmaznia kell az Adatmentést. A napközbeni mentéseket 48 óráig kell megırizni. • Egyedi mentés. Szükség szerint kell végrehajtani (pl.: a frissítések telepítése elıtt minden esetben egyedi mentést kell készíteni). Tartalmaznia kell a Teljes mentést. A mentéseket 2 hétig, illetve addig kell megırizni, amíg a rendszeren végzett beavatkozás eredményének ellenırzése (tökéletes, hibátlan mőködés) meg nem történik. A két határidı közül azt kell alkalmazni, amelyik hosszabb. Havonta egyszer, minden hónap fordulónapján készítendı egy egyedi mentés, amit az IT üzemeltetés vezetınek kell eljuttatni.

41. oldal


A mentések készítését minden esetben naplózni kell, és a következı mentésnek a napló állományokat is tartalmaznia kell. A mentések után a naplóban szereplı adatok alapján a mentés sikerességét ellenırizni a Mentésért felelıs rendszergazda feladata. Ez alapján a mentés akkor tekinthetı sikeresnek, ha a futás során sem figyelmeztetés, sem hibaüzenet nem került a naplóba, a mentést végzı szoftver hibátlan eredményt jelez. Szalagra végzett mentés esetén meg kell jelölni, hogy az adott szalag hányadik alkalommal került felhasználásra. Mentések tárolása A mentések készíthetıek merevlemezre vagy közvetlenül szalagra is, de a Napi, Heti, Havi és Egyedi mentéseket minden esetben a mentést követı 12 órán belül szalagra kell írni. Minden szalagra pontosan egy mentés kerülhet és a szalagokat csak a mentés tárolási idejének lejárta után lehet újra felhasználni másik mentés tárolására. A mentéshez használt szalagokat az IT üzemeltetési vezetınek biztosítania kell, a mentések elkészítéséért a Mentésért felelıs rendszergazda felelıs. A szalagokat az adatvédelem érdekében zárható, tőzbiztos szekrényben kell tárolni (Tőzvédelem mágneses adathordozókra minimum 2 óra.), a szalagok tárolásáért az IT üzemeltetési vezetı felel. A tárolásra szolgáló szekrény nem lehet az infrastruktúra elhelyezésére szolgáló területtel (üzemi terület) azonos helyiségben, valamint a Heti és Havi mentések szalagjait az üzemi területtıl legalább 500 méter távolságban kell tárolni. Gondoskodni kell arról, hogy a legfrissebb adatokat tartalmazó mentési médiák, a mentést követıen a mőködési területtıl távol, tőzbiztos szekrényben legyenek tárolva. A merevlemezre készített mentéseket a mentést tartalmazó adatoktól különbözı fizikai eszközre (lehetıleg másik gépre) kell készíteni, illetve a mentést követıen azonnal át kell oda mozgatni. A szalagok megsemmisítésérıl jegyzıkönyvet kell készíteni és annak egy példányát az IT üzemeltetési vezetınek át kell adni. Visszatöltési teszt A mentések visszatöltési tesztjét havonta 1 alkalommal szúrópróbaszerően kell elvégezni. A visszatöltési tesztet normál üzemidın kívül esı idıpontban kell elvégezni. A próbavisszatöltés alkalmával tesztelésre kerül: • 1 db Havi mentés szalag (a legutolsó). • 1 db Heti mentés szalag (véletlenszerően kiválasztva a legutóbbi ellenırzés óta készült szalagok közül). • 1 db Napi mentés szalag (véletlenszerően kiválasztva). • 1 db Adatmentésbıl 1 db adatbázis (véletlenszerően kiválasztva). A szalagok ellenırzése során a visszatöltési teszt azt szolgálja, hogy ellenırizzük, a szalag valóban tartalmaz-e adatokat és az adatok olvashatóak, értelmezhetıek-e. A visszatöltési teszt során soha nem szabad a rendszer éles, mőködı komponenseit felülírni, az adatokat önálló állományként ideiglenes területre kell visszatölteni. Az adatbázis mentés ellenırzése során az adatbázis és a benne tárolt adatok visszatöltési tesztjét kell elvégezni. A teszt során soha nem szabad a

42. oldal


rendszerben éles adatokat felülírni, az adatokat más néven, teszt adatbázisba kell visszatölteni. A visszatöltési tesztrıl jegyzıkönyvet kell készíteni, aminek tartalmaznia kell • a teszt idıpontját, • a visszatöltést végzı személy(ek) nevét, • a kiválasztott szalagok azonosítóját, • a visszatöltés eredményét, • észrevételeket, megjegyzéseket. A visszatöltés akkor tekinthetı sikeresnek, ha a szalagon rajta vannak az adatok, olvashatóak, és ezáltal a visszatöltési folyamat hibaüzenet nélkül lefutott, és az adatállományok a fájlrendszerben illetve az adatbázisban létrejöttek. Archiválás rendje A rendszerben tárolt adatokat a törvényben elıírt idıtartam erejéig meg kell ırizni. Adatok csak ez idıtartam után törölhetıek. Archiválás céljával adathordozókra mentett információk kezelésében az éles rendszerrel megegyezı biztonsági követelményeket kell megvalósítani. Az archiválásra került adatok listáját minden archiválási periódus esetén az IT biztonsági felelıs részére át kell adni. 3.5.5. Kriptográfiai óvintézkedések A „Szigorúan bizalmas”, vagy „Titkos” adatok védelmérıl kriptográfiai eljárások segítségével kell gondoskodni. Az adatok idegen kézbe kerülésének megakadályozása érdekében a besorolási kategóriával arányos titkosítási eljárásokat kell alkalmazni az adatállományok tárolásakor és továbbításakor. A meghatározott besorolási kategóriákhoz az IT biztonsági felelıs által javasolt, az IT biztonsági fórum által jóváhagyott titkosítási megoldásokat kell hozzárendelni. Az EMIR által kezelt adatok esetében csak egységes titkosítási eljárás alkalmazható. Kriptográfiai eljárások bevezetésekor ki kell alakítani a titkosító kulcsok védelmének, és kezelésének eljárásait. A kriptográfiával kapcsolatos dokumentumokat, illetve a titkosító kulcsokat „Titkos” információként kell kezelni. A titkosító kulccsal rendelkezı, speciális kriptográfiai megoldások kulcsait védeni kell, az IT biztonsági felelıs számára elérhetıvé kell tenni. Az EMIR zárt rendszerben történı (virtuális munkaállomások és szerverek egy hálózati szegmensben) kliens-szerver felépítéső mőködésének változása esetén a kriptográfiai gyakorlatot haladéktalanul szigorítani kell. Jelen architektúra mellett a bináris állományok továbbítása és tárolása közben történı, tanúsítvány nélküli egyszerő, kulcsos titkosítás a követendı gyakorlat.

43. oldal


3.6.

IT szolgáltatások biztonsága

3.6.1. Az Internet elérés biztonsága Az EMIR rendszerébıl elérhetı web és ftp oldalak körét elıre rögzített lista alapján korlátozni kell. Az elérhetı oldalak listáját az IT biztonsági felelıs jóváhagyásával lehet módosítani. 3.6.2. Fájl kezelés / Címtár kezelés Az EMIR-ben kezelt (továbbított, tárolt) fájlok az NFÜ tulajdonát képezik. Tilos az EMIR-ben magán célú fájlokat továbbítani, vagy tárolni. A fájlok kezelése során törekedni kell, hogy a tároló rendszerben az adott fájlnak minél kevesebb példánya tárolódjon. Dokumentumok közzététele esetén célszerő a fájlt egy helyre letárolni, és a címzetteknek a fájl elérési útvonalát tartalmazó, a fájlra mutató linket megküldeni. 3.7.

Üzemmenet-folytonosság menedzsment

Az adatok és rendszerek elıírt rendelkezésre állásának biztosítása érdekében folytonossági tervezést kell végrehajtani, amely minimálisan magában foglalja: • Üzemmenet folytonossági keretszabályozás, • Karbantartási terv: − karbantartási ütemterv, − szerzıdéses karbantartó cégek nevei, elérhetıségei. • Javítási terv: − javítási, support szerzıdéses felek nevei, elérhetıségei, − készletezési, raktározási terv. • Beépített manuálisan indítható redundanciák aktivizálási terve (Pl.: BackUp Site kézi indítása). Az katasztrófa helyzetek esetén történı optimális helyreállítási idı, és költségek biztosítására DR terveket kell készíteni a kritikus ügyviteli folyamatokat kiszolgáló eszközökre. A DR tervek minimálisan az alábbiakat foglalják magukba: • A DR keretszabályozást: − értesítési rendet, − a helyreállítás központi irányítási feladatait, felelısségeit, − a helyreállítás logisztikai feltételeit, − a helyreállítási prioritásokat. • Az eszközpótlási politikát, és terveket: − készletezési, raktározási politikát, − eszközátcsoportosítási politikát, − szerzıdési, beszállítási feltételeket. • Adatmentési politikát, és terveket. 44. oldal


•

Helyreállítási politikát, és terveket: − az egyes rendszerek helyreállításért felelıs személyeinek neveit, kontaktjait, − a helyreállítandó eszközök fizikai helyét, hozzáférésének módját (pl.: kulcsok helye), − az optimális helyreállítási folyamatokat. A DR terveket rendszeresen felül kell vizsgálni, és rendszeresen tesztelni kell. A visszaállítás érdekében történt tartalékolások, mentések tartalmának és eljárásainak megváltoztatása csak a DR tervek felülvizsgálatával történhet meg. A DR tesztek karbantartásáért, teszteléséért, és felülvizsgálatáért az IT üzemeltetési vezetı felelıs.

45. oldal


4.

A biztonsági szint mérése, monitorozása

4.1.

A biztonsági szint mérésének feltételei

Az IT rendszer biztonsági szintjének hiteles méréséhez az alábbi feltételek biztosítása szükséges: • A mérés függetlenségének biztosítása: − A méréseket a mérésben érintettek elızetes értesítése nélkül kell végrehajtani, hogy ne tudjanak felkészülni, illetve ne tudják befolyásolni a mérés eredményét. − A méréseket a felhasználóktól, az üzemeltetés, és a fejlesztési területtıl független személy végezze. • A mérés hitelességének biztosítása: − Az IT rendszer elemeinek idıszinkronizálása szükséges a naplófájlok megbízható kiértékeléséhez. − A biztonsági szint mérésével megbízott személy rendelkezzen naplófájlok eléréséhez szükséges jogosultságokkal. − Biztosítani kell a naplófájlok sértetlenségét. A naplófájlokhoz csak olyan személyeknek legyen hozzáférése, akiknek a munkájához feltétlen szükséges. 4.2.

A biztonsági szint mérésének eszközei és módszerei

4.2.1. Technikai szintő auditok A biztonság szintjének mérésének egyik leghatásosabb módszere a technikai audit jellegő felmérések: • Az IT rendszer Internet felöli sérülékenységeinek vizsgálata. • Az IT rendszer Intranet felöli sérülékenységeinek vizsgálata. • Konfigurációs-; performancia- és kapacitásaudit. Technikai szintő auditot az NFÜ-nél kétévente, a fenyegetettségek felmérésével egy idıben kell elvégezni. 4.2.2. Személyi biztonság szintjének mérése (Social Enginering) A személyi biztonság szintjének mérését az NFÜ-nél kétévente, a fenyegetettségek felmérésével egy idıben kell elvégezni. A vizsgálat célja feltárni a felhasználók magatartásában, szokásaiban, tudatosságában rejlı alapvetı biztonsági hiányosságokat. A vizsgálatnak az alábbi területekre kell kiterjednie: • a felhasználók adat-tárolási szokásaira, • a felhasználók levelezési szokásaira, • a felhasználók internetezési szokásaira, • a felhasználók kompromittálhatóságára.

46. oldal


4.2.3. DRP tesztek Az üzemmenet-folytonosság mérése érdekében a DR terveket évente, elemenként tesztelni kell. A tesztelés eredményét a tervezésbe, illetve üzemmenet-folytonosságot biztosító eljárásokba (mentés, karbantartás, stb.) vissza kell csatolni. A teszteket a DRP keretdokumentumai alapján kell végrehajtani. A tesztelés megtervezéséért, koordinálásáért az üzemeltetésért felelıs vezetı felelıs. 4.2.4. IT rendszer monitorozása Az IT rendszer kritikus elemeit, illetve biztonsági eszközeit folyamatosan monitorozni kell. A monitorozásnak minimálisan az alábbi témákra kell kiterjednie: • határvédelmi incidensek, és hálózati illegális tevékenység, • vírusvédelmi incidensek, • jogosultság kezelési incidensek (pl.: valaki 3-nál többszöri sikertelen belépések száma), • mentési feladatok sikeres/sikertelen végrehajtása, • védett adatok hozzáférésének naplózása, • hiba jellegő incidensek, • külsı felhasználók tevékenységei, távoli elérések naplózása, • rendszergazdák tevékenységei, • rendszer konfigurációjának megváltoztatása, • biztonsági riasztórendszerek naplózása (UPS, Tőzvédelem, stb.). 4.2.5. A mérési adatok feldolgozása, visszacsatolása Az IT biztonság szempontjából kritikus pontokon mérési és ellenırzési rendszert kell bevezetni. A mérések eredményérıl az IT biztonsági felelısnek fél évente írásban be kell számolnia az IT biztonsági fórumnak, hogy a központi rendszereket érintı esetlegesen felmerült kockázatok kezelése idıben megtörténjen. A minimálisan szükséges kontroll pontok az alábbiak:

47. oldal


Mérendı terület

Szerverszobába naplózása IT tevékenység

Illegális IT tevékenység

Vírusvédelem

Mentési rendszer Rendelkezésre állás

Beszámolóban szerepel

Mérendı mennyiség való

belépések

Hozzáférések (logikai) naplózása

-

Internet hozzáférések statisztikái

x

Észlelt behatolási kísérletek száma

x

Nem NFÜ dolgozó által végzett tevékenység teljes körő naplózása

-

Beérkezett vírusok száma

x

Hatástalanított vírusok száma

x

Nem Internetrıl beérkezett vírustámadások száma, ezek módja

x

A teszt visszatöltések eredményei

x

Rendszerek kieséseinek száma, ezek oka, idıtartama, javítási költsége

x

Kritikus rendszerekre teljesítményadatok Kapacitásinformációk változása

vonatkozó jelentıs

Tárolási kapacitásokra információk

vonatkozó

Feltárt hiányosságok, megszüntetésére intézkedések

és azok vonatkozó

Ellenırzések eredményei

-

kivonat

x

x

Oktatás helyzete

IT biztonsági oktatásban részt vett személyek száma, a beszámoltatás eredményei

x

IT biztonsággal kapcsolatos fegyelemsértések

IT biztonságot személyekre vonatkozó statisztikák

x

Az IT biztonsági rendszer összesített értékelése Javaslatok

megsértı fegyelmi

Az IT rendszer szintjére vonatkozó megállapítások, javaslatok

x

Javaslatok kidolgozása hiányosságok megszüntetésére, biztonsági szint emelésére

x

a a

48. oldal


4.3.

Ellenırzési irányelvek

Az informatikai biztonság szinten tartása érdekében megfelelı kontrollokat kell kialakítani. A kontrollok kialakításánál elsıdlegesen azt kell figyelembe venni, hogy azok által az információbiztonság szintje mérhetı legyen. Ennek érdekében meg kell határozni az ellenırzések területeit, és minden területhez külön-külön meg kell fogalmazni az ellenırzési célkitőzéseket. Az ellenırzési célkitőzések ismeretében meg kell jelölni az ellenırzés eszközeit (dokumentumok, naplók, szoftverek, adatok, amelyek a biztonsági rendszerrıl hiteles képet tudnak adni), azok tartalmi követelményeit. Az ellenırzés eredményét minden esetben ki kell értékelni, és a megfelelı következtetéseket le kell vonni, illetve vissza kell csatolni a biztonsági folyamatra. Szükség esetén felelısségre vonási eljárást kell kezdeményezni Az ellenırzéseket dokumentumok, dokumentációk, személyes beszámoltatás és helyszíni szemlék alapján lehet végrehajtani. Az informatikai biztonsággal kapcsolatos ellenırzések területei az alábbiak lehetnek: • Megfelelıségi vizsgálat. Célja felderíteni, hogy az NFÜ rendelkezik-e a törvényi elıírásokban meghatározott személyi, eljárási, tárgyi feltételekkel, és azok megfelelıen dokumentáltak-e. • Az informatikai biztonság szintjére vonatkozó vizsgálat. Célja felderíteni, hogy az informatikai biztonság szintje megfelel-e a meghatározott védelmi szintnek. • Az informatikai biztonsági szabályok betartásának ellenırzése. Célja felderíteni, hogy az NFÜ informatikai biztonsági szabályait az illetékes személyek ismerik-e, illetve betartják-e. Ez az ellenırzés az informatikai biztonság egy-egy területére is leszőkíthetı. Az ellenırzések során elsısorban a 2. számú mellékletben szereplı témákat kell vizsgálni. 4.4.

Biztonsági rendszerek felülvizsgálata

Az IT biztonsági rendszer, illetve annak egyes elemeit rendszeresen felül kell vizsgálni. A szükséges felülvizsgálatok az alábbiak:

49. oldal


A felülvizsgálat tárgya

A felülvizsgálat ciklikussága

Kockázatfelmérés

2 évente

IT biztonsági szabályzat

1 évente

IT biztonsági folyamatok

2 évente

Határvédelem

1 évente

Vírusvédelem

2 évente

Mentés, archiválási rend

1 évente

IT biztonsági oktatás

1 évente

50. oldal


5.

Záró rendelkezések

Az IBSZ szankcionálása A szabályzat által megfogalmazott szankciókat a jóváhagyástól számított egy év türelmi idı letelte után kell alkalmazni. Azok az elıírások, amelyek a bevezetéshez szükséges intézkedési tervben szerepelnek, de a tervtıl eltérıen, valamint a szankcionálási határidın belül valósultak meg, nem szankcionálhatók.

51. oldal


1. számú Melléklet - Felhasználói nyilatkozat A nyilatkozat célja a felhasználókban tudatosítani, hogy munkájuk során a lehetı legnagyobb gondossággal járjanak el az EMIR rendszerben tárolt információk használatakor annak érdekében, hogy az adatok bizalmassága, sértetlensége, és rendelkezésre állása a felhasználó szándékos, vagy gondatlan magatartásából ne sérüljön, illetve a felelısségük számon kérhetı legyen.

Felelısségi nyilatkozat

Név: .................................................,dolgozó azonosító: ….……………………………. az NFÜ munkavállalója kijelentem, a feladataim ellátásához szükséges információbiztonsági ismeretekkel rendelkezem.

Az informatikai eszközök megfelelı használata közvetve vagy közvetten védelmet nyújt az információvesztés vagy az információ jogosulatlan személyhez való kerülése ellen. Tudomásul veszem, hogy az NFÜ informatikai rendszerében kezelt szoftverek, fájlok, levelek az NFÜ tulajdonát képezik, így azokat az NFÜ kijelölt szakemberei ellenırizhetik. Az informatikai eszközök rendeltetésszerő alkalmazása érdekében: • • •

Ügyelek a használatomban lévı informatikai eszközök rendeltetésszerő használatára. A biztonságos tárolásról mobil-eszköz és adat esetén is gondoskodom. Köteles vagyok a beállított szoftver, hardver állapotokat megtartani.

Az informatikai eszközök és adatok biztonságos alkalmazása érdekében: • A jelszava(i)mat (munkacsoport-jelszót; a csoport jelszót) titkosan kezelem, az(oka)t nem osztom meg mással. • A jelszava(i)mat semmilyen körülmények között nem jelenítem meg a különbözı adathordozókon: jelentéseken, képernyın, papíron stb. • Más személy felhasználói azonosítóját és jelszavát nem használom, ezek megszerzésére nem törekszem. Ha ilyen a tudomásomra jut azt másnak át nem adom, hanem jelzem a jelszó tulajdonosának és közvetlen vezetımnek a titkosság megszőnését, és kérem írásban az azonnali jelszó módosítást. • A jelszavaimat rendszeresen megváltoztatom.

52. oldal


• •

• • • •

Tevékenységem során gondosan járok el és igyekszem megakadályozni illetéktelen személy hozzáférését az informatikai rendszerekhez. Kerülöm az olyan tevékenységet, amelynek célja, vagy elırelátható következménye az NFÜ hálózatának- vagy szoftverintegritásának bármely fokú és természető sérülése. Elkerülöm, hogy családtagjaim, ismerıseim bizalmas információk birtokába jussanak otthoni munkám során. Nem élek vissza a tudtomra jutott elıforduló szoftver és védelmi hiányosságokkal. Ügyelek arra, hogy illetéktelen személyek ne olvassák a monitoron megjelenı információkat. Azt a munkaállomást, melyen bejelentkeztem, csak abban az esetben hagyom szabad felügyelet nélkül, ha a napi munkavégzés miatt ez indokolt, és − a munkaállomáson telepített jelszóvédelemmel rendelkezı képernyı-pihentetés (screen saver) telepítve van és ezt aktiváltam, − vagy a munkaállomásomat zároltam − a megnyitott alkalmazásokat a használatot követıen bezárom.

Az informatikai eszközök, adatok magánhasználatra történı alkalmazásának elkerülése érdekében: • Nem használom öncélú gazdasági haszonszerzésre vagy játékra az NFÜ által rendelkezésemre bocsátott IT eszközöket. • Magáncélra adatokat nem rögzítek és rögzített céges adatokat engedély nélkül nem viszek ki az NFÜ területérıl, telephelyeirıl. • A szerverszoba területére személyi tulajdonú adatrögzítésre alkalmas eszközt (pl.: CD írót, DVD írót, pendrive-ot stb.) engedély nélkül nem viszek be.

Szoftverek jogtisztaságának megırzése: • Az NFÜ számos külsı cégtıl vásárolja meg a számítógépes szoftverek licenc engedélyét. Az NFÜ a szoftver felhasználói szerzıdéssel nem válik a szoftverek tulajdonosává, és azok dokumentációját és az adathordozókon tárolt program példányait a szoftver tulajdonosának külön engedélye nélkül nem áll jogomban reprodukálni. • Amennyiben tudomásomra jut, hogy a megvásárolt szoftvert, vagy azzal kapcsolatos dokumentációt nem a fentiek szerint használják, akkor azt a hibák mielıbbi kijavítása érdekében köteles vagyok jelenteni a munkáltatói jogkör gyakorlójának. • Tudomásul veszem, hogy a Büntetı Törvénykönyvrıl szóló 1978. évi IV. törvény 329/A §-a értelmében az illegális szoftvermásolásban részt vevı személy pénzbírsággal vagy akár 5 évig terjedı szabadságvesztéssel is sújtható, valamint a megfelelı összeg erejéig kártérítésre kötelezhetı.

53. oldal


Jelentési kötelezettségeim: Amennyiben tudomásomra jut, hogy a fenti szabályokat az NFÜ-ben bárki megsérti, azt köteles vagyok jelenteni a közvetlen vezetımnek és az IT biztonsági felelısnek. Az NFÜ információs rendszereinek használata során birtokomba kerülı üzleti titkokat és személyes adatokat (Személyes adatok védelmérıl szóló 1992. évi LXIII Törvény 5. §) megırzöm. Amennyiben munkakörömhöz szerzıi jogi oltalom alá esı szoftver(ek) fejlesztése tartozik és a szoftvert valóban a munkaviszonyból folyó kötelességem teljesítése során, vagy az NFÜ rendelkezése alapján hoztam létre úgy az NFÜ jogosult a szerzıi jogi oltalom alá esı szoftver(ek) minden gazdasági jogosultságának gyakorlására. Az NFÜ ezen jogai a munkaviszony megszőnése után is, - a szerzıi jogi védelem idıtartamára – fennmaradnak. (Szerzıi jogról szóló 1999. évi LXXVI. Törvény) Kijelentem, hogy az itt leírtakat megértettem és azokat magamra nézve kötelezınek elismerem. Tudomásul veszem, hogy amennyiben a „Felhasználói nyilatkozat”-ban leírtakat megszegem, úgy munkajogi, kártérítési és büntetıjogi felelısségem áll fenn.

Budapest, 20.............. hó …….. nap

................................................... munkavállaló

54. oldal


2. számú Melléklet A belsı ellenırzés feladatai: Feladat

Ciklikusság

Szükséges erıforrás

Téma

3 évente

Belsı/külsı

Az IT biztonsági rendszer mőködése megfelel-e a törvényi elıírásoknak.

2 évente

külsı

Megfelelıségi vizsgálat Megfelelıségi vizsgálat Kockázatmenedzsment Kockázatfelmérés Adatvédelem Jogosultságok és jogosultsági nyilvántartás

Jogosultságok ellenırzése

évente

Mentések ellenırzése

évente

belsı Jogosultság kezelés folyamata belsı

Mentések megléte, visszaállíthatósága

belsı

Az IT biztonsági felelıs által megküldött jelentések ellenırzése és visszacsatolása az ellenırzési tervbe

IT biztonság szintjének mérése

Riportok meglétének ellenırzése

Fél évente

Technikai auditok

2 évente

külsı

Sérülékenységek femérése, kapacitás-, performancia- és kapacitás audit

Katasztrófahelyzet kezelésével kapcsolatos képességek ellenırzése

2 évente

belsı

DR tesztek elvégzésének és dokumentáltságának ellenırzése

nincs

Belsı/külsı

A szabályzat betartásának ellenırzése

Váratlan ellenırzések A szabályzat tetszıleges témája

55. oldal


A váratlan ellenırzések témái lehetnek: • • • • • • • • • • • •

Az IT biztonsági szabályok érvényesítve vannak-e a folyamatokban. Az IT biztonsági rendszer elıírt dokumentumai léteznek-e, illetve naprakészek-e. Az IT személyzet, illetve a felhasználók rendelkeznek-e a megfelelı IT biztonsági ismeretekkel. Az adatokra és rendszerekre vonatkozó kezelési szabályok betartását. A naplózási rendszer megfelelı alkalmazását. A biztonsági események kezelésének, a szükséges mértékő felelısségre vonás gyakorlatát. A mentési rendszer megfelelı alkalmazását. Az informatikai rendszert fejlesztık, üzemeltetık, és felhasználók informatikai biztonsággal kapcsolatos ismereteit. A hozzáférési jogosultságok nyilvántartásának naprakészségét, a kiadott jogosultságok szükségességét. A dokumentációk pontosságát - naprakészségét, változás követését, megfelelı kezelését / nyilvántartását. Az alkalmazott szoftverek jogtisztaságát. A szerzıdések megfelelıségét. A fizikai biztonsági elıírások betartását.

IT biztonsági szerepkörök

Létrehozott szerepkör

Meglévı feladatkör (belsı felelıs)

IT biztonsági felelıs Határvédelmi rendszergazda Vírusvédelmi rendszergazda Mentésért felelıs rendszergazda Jogosultságkezelı rendszergazda HelpDesk

NFÜ SzMSz-ében kijelölt szervezeti egység EMIR üzemeltetési vezetı EMIR üzemeltetési vezetı EMIR üzemeltetési vezetı EMIR üzemeltetési vezetı EMIR üzemeltetési vezetı

Megjegyzés A feladatokat a Grepton ZRt. látja el A feladatokat a Grepton ZRt. látja el A feladatokat a Grepton ZRt. látja el A feladatokat egy részét a WELT2000 látja el. -

56. oldal

Koordinációs Irányító Hatóság

Recommend Documents