1. számú melléklet
Nemzeti Fejlesztési Ügynökség
EMIR Informatikai Biztonsági Szabályzat
2010.06.29.
KÉSZÍTETTE:
JÓVÁHAGYTA:
KÜRT ZRT.
Verzió
Módosítást végzı neve
HATÁLYBALÉPÉS IDİPONTJA:
FELÜLVIZSGÁLAT TERVEZETT IDİPONTJA:
2010.07.01.
2011.07.01.
Szervezeti egység
Dátum
SZERZİDÉSSZÁM
Megjegyzés AZ NFÜ
0 P0
NFÜ
NFÜ
ÁLTAL
SZÁMÁRA
A
KÜRT
ÁTADOTT,
FELÜLVIZSGÁLATRA
1 P0
ADAMKÓ PÉTER, TÓTHMAJOR MÁTÉ KÜRT
2010.05.19.
MUNKAANYAG
2 P0
ADAMKÓ PÉTER, TÓTHMAJOR MÁTÉ KÜRT
2010.06.07.
ÉSZREVÉTELEK MÓDOSÍTÁSA
3 P0
ADAMKÓ PÉTER, KÜRT TÓTHMAJOR MÁTÉ
2010.06.10.
ÉSZREVÉTELEK MÓDOSÍTÁSA
4 P0
ADAMKÓ PÉTER
2010.06.29.
ÉSZREVÉTELEK MÓDOSÍTÁSA
KÜRT
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
2/23
Adatosztályozás Módosított Adatvagyon leltár Osztályozott, adatkategóriákba
iz iób ác orm Inf
rendezett adatcsoportok
IDS rendszer bevezetése az EMIR rendszer környezetében - jelentések
Jogosultságok Felülvizsgálata Valós és szükséges jogosultságok eltérés mátrixa Auditjelentés
Kockázatelemzés: Informatikai rendszerelemek listája Releváns fenyegetések listája Kockázatelemzési módszertani útmutató
Biztonságos Azonosítás és Hitelesítés Megvalósíthatósági tanulmány
tok za cká ko gi sá ton
Informatikai Biztonsági és Adatvédelmi Felelőshöz tartozó szabályzati környezet kialakítása IBF/AVF kinevezésének eljárása IBF feladatok intézkedési terve AVF feladatok intézkedési terve
se zé lem se eé rés mé fel
Kockázatelemzés:
Kockázatelemzés jelentés A dokumentum készítésekor zajló Információbiztonsági projekt eredménytermékeit mutatja.
Kockázatkezelési Javaslatok
KÜRT, IBB - 2010
A dokumentum készítésekor az NFÜ számára rendelkezésre álló vagy előálló (új) szabályzók
NFÜ IBSz EMIR IBSz
lő ze tke za cká Ko
NFÜ IBP 2010. második negyedév
Adatvédelmi szabályzat
k se dé ke éz int
Adatkezelési és biztonsági szabályzat
Jogosultságkezelési szabályzat EMIR
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
re ze ds en
Jogosultságkezelési szabályzat NFÜ
r ók
Alkalmazásfejlesztési szabályozás (tesztelési szabályzattal) Üzemeltetési szabályzatok (EMIR, NFÜ) DRP tervek EMIR (Mentési rend, DRP terv) DRP tervek NFÜ (Mentési rend, DRP terv)
lyz bá za -s
Informatikai Biztonsági és Adatvédelmi Felelőshöz tartozó szabályzati környezet kialakítása
Informatikai Oktatás Oktatási Terv Oktatási anyag Oktatási jegyzőkönyv
3/23
Tartalomjegyzék 1. Az EMIR Informatikai Biztonsági Szabályzat célja és hatálya.............................. 5 1.1. A szabályzat célja.......................................................................................... 5 1.2. A szabályzat hatálya...................................................................................... 5 2. Szervezeti biztonság ............................................................................................ 6 2.1. Szerepkörök .................................................................................................. 6 2.2. EMIR biztonsági fórum .................................................................................. 6 2.3. A Projekt Operatív Bizottság (továbbiakban: POB) ....................................... 6 2.4. NFÜ feladatkörök........................................................................................... 7 2.5. Felhasználó szervezetek feladatkörei.......................................................... 10 2.6. Felhasználók feladatai, kötelességei ........................................................... 10 2.7. Fegyelmi eljárás, szankcionálások .............................................................. 12 3. Fizikai és infrastrukturális biztonság .................................................................. 14 4. Logikai védelem ................................................................................................. 15 4.1. Jogosultságkezelés ..................................................................................... 15 4.2. Zárolás, Jelszóhasználat ............................................................................. 15 4.3. Internetes biztonság .................................................................................... 16 5. Személyi biztonság ............................................................................................ 17 5.1. Felhasználó szervezetek feladatai .............................................................. 17 5.2. Külsı személy EMIR rendszerben történı és helyszíni munkavégzése...... 17 5.3. Szoftverhasználat ........................................................................................ 17 6. Védelmi intézkedések ........................................................................................ 18 6.1. Vírusvédelem .............................................................................................. 18 6.2. Határvédelem .............................................................................................. 19 6.3. Mobil eszközök használata.......................................................................... 19 7. Melléklet – Felhasználói nyilatkozat ................................................................... 21
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
4/23
1. Az EMIR Informatikai Biztonsági Szabályzat célja és hatálya 1.1. A szabályzat célja Az EMIR Informatikai Biztonsági Szabályzat (továbbiakban: IBSZ) célja a Nemzeti Fejlesztési Ügynökség (továbbiakban: NFÜ) által üzemeltetett Egységes Monitoring Információs Rendszer (továbbiakban: EMIR) szabályozott, ellenırizhetı, biztonságos üzemeltetéséhez szükséges feltételek megteremtése és fenntartása. Az ebben a szabályzatban leírtak a minimálisan betartandó követelményeket fogalmazzák meg, minden EMIR-t használó szervezetnek, saját, egyéni igényeihez igazított Informatikai Biztonsági Szabályzatot kell alkalmaznia, mely megfelel az itt leírtaknak, vagy ennél szigorúbb. 1.2. A szabályzat hatálya Jelen szabályzat hatálya az Európai Unió által nyújtott egyes pénzügyi támogatások felhasználásával megvalósuló, és egyes nemzetközi megállapodások alapján finanszírozott programok monitoring rendszerének kialakításáról és mőködésérıl szóló 102/2006. (IV. 28.) Kormányrendelet alapján mőködı EMIR rendszer valamennyi felhasználójára, a felhasználókat foglalkoztató szervezetekre kiterjed. A szabályzat a közzétételét követı 5. munkanapon lép hatályba. Bármely, az IBSZ hatálya alá tartozó szervezet az IBSZ illetve módosításának hatályba lépését követı 3 hónapon belül érvényesíteni köteles annak elıírásait saját IBSZ-ére vonatkozóan. Az NFÜ az IBSZ módosításáról és a hatályos szabályzat elérhetıségérıl az EMIR menedzsereket elektronikus úton is értesíti. Az IBSZ-t legalább évente szükséges felülvizsgálni (az EMIR Informatikai Biztonsági Felelıs felelıssége), illetve ha az EMIR rendszer vagy a felhasználói kör változása ezt indokolja.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
5/23
2. Szervezeti biztonság 2.1. Szerepkörök Belsı ellenırzés: az NFÜ belsı ellenırzéssel foglalkozó szervezeti egysége, illetve az ezen szervezeti egység által a leírt feladatok ellátásával megbízott külsı vagy belsı ellenırök. EMIR Informatikai Biztonsági Felelıs: (továbbiakban: EMIR IBF) az NFÜ elnöke, mint adatgazda által kijelölt személy. EMIR Adatvédelmi Felelıs: az NFÜ elnöke, mint adatgazda által kijelölt személy. Informatikai (IT) vezetı: az NFÜ Informatikai osztályának vezetıje. EMIR üzemeltetési vezetı: Az Informatikai vezetı által kijelölt személy. EMIR fejlesztési vezetı: Az Informatikai (IT) vezetı által kijelölt személy. EMIR felhasználók: az EMIR Jogosultságkezelési szabályzat alapján az EMIR rendszerhez hozzáféréssel rendelkezı személyek. 2.2. EMIR biztonsági fórum Az IT biztonsággal kapcsolatos szakmai stratégiai döntések meghozatala az IT biztonsági fórum feladata. A fórumon résztvevı személyek az alábbiak: • EMIR Informatikai Biztonsági Felelıs, • Informatikai (IT) vezetı, • EMIR üzemeltetési vezetı, • EMIR fejlesztési vezetı. Az IT biztonsági fórum évente legalább egy alkalommal ülésezik. Az ülésen született döntéseket, megállapodásokat jegyzıkönyvben kell dokumentálni. A fórumot az EMIR IBF hívja össze, minden év elsı negyedévében. Az IT biztonsági fórum fı feladatai: • az IT biztonsági felelıs éves beszámolójának meghallgatása, • az IT biztonságának növeléséhez szükséges döntések meghozatala, elhanyagolható kockázatok felvállalása, • az IT biztonsági stratégia kialakítása/módosítása. A biztonsági fórumot jelentısebb, az EMIR-t érintı informatikai biztonsági változások és incidensek esetén is szükséges összehívni. Szükség esetén külsı szakértıt is be lehet vonni nem állandó tagként. 2.3. A Projekt Operatív Bizottság (továbbiakban: POB)
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
6/23
A POB feladata, hogy ülésein döntési javaslatot tegyen egyes fejlesztések szakmai szükségességérıl és megrendelésérıl. A POB tagjai két csoportba sorolhatók. Ezek az állandó tagok és a meghívott tagok. A POB állandó tagjai az alábbi személyek: • Fejlesztési vezetı • Fejlesztı képviselıje • ÚMFT IH szakreferensek (1-1 fı) • PM NAO • Koordinációs IH • Elnöki kabinet A POB állandó tagjai jogosultak meghívni ideiglenes tagokat a bizottsági ülésekre. A meghívott tagok a meghívást nem kötelesek elfogadni, ebben az esetben helyettük nem kerül más szervezet képviselıje meghívásra. A POB ülések hetente, minden hétfın kerülnek megtartásra. A POB üléseken azok a fejlesztési igények kerülnek elbírálásra, amelyek nem projektszerő fejlesztések. Ebben az esetben az Informatikai (IT) vezetı rendeli meg a fejlesztést és annak végrehajtásakor a nem projektszerő fejlesztések módszertanát kell követni. Amennyiben a fejlesztés projektszerő, az Informatikai (IT) vezetı, illetve a fejlesztési vezetı csak tájékoztatja azokról a POB tagjait, a fejlesztés végrehajtására projektet kell alapítani és a projektszerő fejlesztések módszertana szerint kell eljárni. Mind a projektszerő, mind a nem projektszerő fejlesztések módszertanát az EMIR Projektvezetési Szabályzat szabályozza. 2.4. NFÜ feladatkörök Belsı ellenırzés IT biztonsági feladatai különösen: • A 193/2003. sz. korm. rend. alapján a belsı ellenırzés informatikai rendszerellenırzést végez kockázatelemzéssel alátámasztott ellenırzési tervnek megfelelıen, ennek keretén belül: o a költségvetési szervnél mőködı informatikai rendszerek megbízhatóságának, biztonságának, valamint a rendszerben tárolt adatok teljességének, megfelelıségének, szabályosságának és védelmének vizsgálata; Informatikai (IT) vezetıfeladatai: • megtervezi, végrehajtja és dokumentálja a tervezett belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket szükség szerint az EMIR IBF, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával, • megtervezi, végrehajtja és dokumentálja a meglepetésszerő belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket, szükség szerint az EMIR IBF, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával, • gondoskodik az általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl szóló jelentések készítésérıl, EMIR Informatika Biztonsági Szabályzat 2010.06.29.
7/23
•
•
általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl megfelelıen tájékoztatja az érintett vezetıt, továbbá az ellenırzésbe bevont személyt, illetve a biztonsági eseményeket jelenti az elnöknek és intézkedési javaslatot tesz, A Szolgáltatás folytonossági szabályzatok szerint meghatározott vészhelyzetek felmerülése esetén dönt a vészhelyzet elrendelésérıl.
EMIR IBF feladatai különösen: • felelıs az informatikai kockázatkezelési feladatok rendszeres végrehajtásáért, a feltárt kockázatok csökkentésére vonatkozó akciótervek végrehajtásának ellenırzéséért, • javaslatot tesz az IT Biztonsági fórumon a felvállalható rendszer biztonsági kockázatokra, felhívja a figyelmet a nem felvállalható kockázatokra, • gondoskodik az adatosztályozási folyamat végrehajtásáról, illetve az adatosztályozási nyilvántartások vezetésérıl, • kezeli, és rendszeresen felülvizsgálja a biztonsági alapdokumentumokat (stratégia, politika, szabályzat, katasztrófaterv). Kijelöli az alacsonyabb szintő, eljárás- vagy eszköz / technológia – specifikus biztonsági dokumentumok elkészítéséért felelıs szervezeti egységeket, • együttmőködik az informatikai rendszerfejlesztıkkel az informatikai rendszerek védelmére megvalósítandó rendszer biztonsági követelmények kialakításában, és ellenırzi a követelmények teljesülését, • együttmőködik az informatikai üzemeltetéssel az IT biztonság fokozása, a biztonsági incidensek elhárítása érdekében, • ellenırzi az informatikai rendszer-fejlesztések, beszerzések, ezekre vonatkozó szolgáltatási és más egyéb (pl. szállítási) szerzıdések rendszer és hálózat biztonsági szempontból való megfelelıségét, • véleményezi a jogosultság kezelés folyamatát a Logikai hozzáférési eljárás fejezetben meghatározott jogosultsági elıírások, továbbá az IBSZ más fejezetei, illetve az EMIR Jogosultságkezelési Szabályzata alapján, • véleményezi a fejlesztıi, adminisztrátori, belsı és külsı informatika biztonsági ellenıri hozzáférés kéréseket és technikai megoldásokat, • felügyeli a belsı és külsı informatika biztonsági ellenırzések végrehajtását, együttmőködik az adatvédelmi felelıssel és a létesítmény biztonságáért az NFÜ SzMSz-e szerint felelıs személyekkel az informatikai biztonsághoz kapcsolódó meghatározási feladatokban, • részt vesz a rendszer biztonsági oktatások és éberségi programok tematikájának meghatározásában, szakmai felügyeletében, • felelıs az EMIR és infrastruktúrája jogosultsági rendszerének meghatározott idıközönkénti, de legalább éves felülvizsgálatáért, ennek során ellenırzi, hogy a jogosultságok adminisztrációja a szabályzatban foglaltak szerint történik-e, A jogosultság felülvizsgálat részeként elıírja a kötelezetteknek a felhasználók jogosultságának felülvizsgálatát. • felelıs az EMIR informatikai rendszerében tárolt elektronikus adatok mentésének, archiválásának rendszeres, elıírásszerő végrehajtásának, és a visszatöltés folyamatának ellenırzéséért,
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
8/23
•
az EMIR fejlesztések során jelentkezı feladatait az EMIR Fejlesztési Szabályzat tartalmazza.
EMIR adatvédelmi felelıs feladatai különösen: • közremőködik, illetıleg segítséget nyújt az adatkezeléssel összefüggı döntések meghozatalában, valamint az érintettek jogainak biztosításában; • ellenırzi az adatkezelésre vonatkozó jogszabályok, valamint a belsı adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; • kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelıt vagy az adatfeldolgozót; • elkészíti a belsı adatvédelmi és adatbiztonsági szabályzatot; • vezeti a belsı adatvédelmi nyilvántartást; • gondoskodik az adatvédelmi ismeretek oktatásáról; • az EMIR fejlesztések során jelentkezı feladatait az EMIR Fejlesztési Szabályzat tartalmazza. EMIR üzemeltetési vezetı feladatai különösen • gondoskodik arról, hogy az IT biztonsági feladatok és követelmények beépüljenek az üzemeltetési folyamatokba, • részt vesz az IT biztonsági fórum határozataiban, • részt vesz az IT biztonsággal kapcsolatos incidensek kivizsgálásában, az esetleges felelısök felelısségre vonásában, • a beszerzésekben érvényesíti a biztonsági szempontokat, • érvényesíti az IT biztonsági követelményeket a külsı szolgáltatókkal kötött szerzıdésekben, • A Szolgáltatás folytonossági és Katasztrófa elhárítási terveknek megfelelıen vészhelyzetek felmerülése esetén gondoskodik az elhárítás koordinálásáról, • gondoskodik ún. vészhozzáférések elhelyezésérıl (lepecsételt boríték, páncélszekrény), • intézkedik a mentési stratégia kialakításáról, ellenırzéseket végez a mentések elvégzésérıl, intézkedik az ezzel kapcsolatos incidensek kezelésérıl. Gondoskodik a mentések tárgyi- személyi feltételeirıl, • rendszeresen – a szolgáltatás folytonossági szabályzatokban leírtak szerint – végeztet katasztrófahelyzet kezeléssel kapcsolatos teszteket. NFÜ HelpDesk • fogadja az EMIR rendszerrel kapcsolatos incidens jellegő bejelentéseket, • végrehajtja azoknak a biztonsági incidenseknek az elhárítását, amelyekhez kompetenciája van, • kezdeményezi a kompetenciáján kívül esı incidensek elhárítását, értesíti az incidensek kezeléséért felelıs szakértıket, • dokumentálja a biztonsági incidensek kezelésének teljes ciklusa alatt felmerült problémákat, tevékenységeket, megoldásokat, • valamennyi biztonsági incidensrıl jelentést tesz az EMIR IBF-nek. EMIR Informatika Biztonsági Szabályzat 2010.06.29.
9/23
Informatikai biztonság tudatosítása A felhasználók IT biztonsági tudatosítása érdekében az alábbi feladatokat kell végrehajtani: • a személyi kockázatok csökkentése érdekében meg kell oldani az EMIR rendszer felhasználóinak, valamint üzemeltetıinek, és fejlesztıinek biztonsággal kapcsolatos tudatosítását; • az IT biztonság tudatosítása az EMIR felhasználók esetében oktató anyagok terjesztésével és képzések útján történik, melyrıl az Informatikai (IT) vezetı gondoskodik. Az oktatási tematikákat és anyagokat az EMIR IBF-nek véleményeznie kell. EMIR IBF és az Informatikai (IT) vezetı jogosultságai Az EMIR IBF és az Informatikai (IT) vezetı, illetve az általuk e feladatok ellátásával megbízott személyek jogosultak bármely felhasználói adatot - beleértve a felhasználók rendszerben végzett tevékenységére, illetve a jelen szabályzat betartására vonatkozó személyes szintő adatokat - a rendszerben megismerni és ezen adatokat kezelni, elemezni, illetve ezek alapján intézkedéseket kezdeményezni. 2.5. Felhasználó szervezetek feladatkörei Minden felhasználó szervezet feladata: • az EMIR biztonságos üzemeltetésének elısegítése, a biztonsági kockázatot jelentı események azonnali jelentése az EMIR IBF felé az NFÜ által megjelölt biztonságos csatornán, amely a biztonsági kockázatot nem teszi elérhetıvé a feladón és a címzetten kívül másoknak, • az EMIR-hez kapcsolódó szabályzatok ismerete, betartatása, felhasználókkal való megismertetése (EMIR IBSZ, EMIR Jogosultságkezelési szabályzat), • az EMIR fejlesztését koordináló Projekt Operatív Bizottság munkájának támogatása. 2.6. Felhasználók feladatai, kötelességei A személyekhez kapcsolódó biztonsági elıírások Az IT biztonság szintjének fenntartása, mint kiemelt feladat, az EMIR felhasználók teljes állományának felelıssége. A felhasználó felelısséggel tartozik: • az NFÜ EMIR-re vonatkozó szabályzataiban (EMIR IBSZ, EMIR jogosultságkezelési szabályzat) megfogalmazott elıírások betartásáért; • a tudomására jutó, a jogszabályokban, szabályzatokban megfogalmazott elıírások bárki által történı megszegésének jelentéséért; • az IT biztonságért felelıs személyekkel való együttmőködésért; • a használatában lévı informatikai eszközök rendeltetésszerő használatáért;
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
10/23
• • • •
• •
• • • • •
a biztonságos tárolásért és a személyén keresztül vagy más alkalmazáson keresztül történı jogtalan hozzáférés megakadályozásáért mobil-eszköz és adat esetén is, különösen a kiexportált adatok esetén; köteles a szoftver, és hardver beállításokat megtartani; jelszavának bizalmas kezeléséért (azt nem oszthatja meg mással; jelszavát semmilyen körülmények között nem jelenítheti meg a különbözı adathordozókon: jelentéseken, képernyın, papíron stb.); amennyiben jelszava kompromittálódik (más tudomására jut) azt haladéktalanul jelentenie kell közvetlen felettesének, valamint az NFÜ Helpdesknek elektronikus levélben, vagy telefonon). A jelszó megváltoztatása ez esetben kötelezı; más személy felhasználói azonosítóját és jelszavát nem használhatja, ezek megszerzésére nem törekedhet; tevékenységei során gondosan járjon el és igyekezzen megakadályozni illetéktelen személy hozzáférését az informatikai rendszerekhez, illetve az abban tárolt adatokhoz. Ebbıl következıen az export funkciókkal kinyert adatok csak olyan személyek számára adhatók át akár direkt módon, akár más alkalmazásokon keresztül, akik azok megismerésére jogosultak. Az export funkcióval kinyert adatokat bizalmasságuk szerint kell kezelni; köteles elkerülni, hogy családtagjai, ismerısei bizalmas információk birtokába jussanak otthoni munkája során; nem tárolhat, vagy továbbíthat az EMIR-ben magán célú fájlokat; nem élhet vissza a tudomására jutott elıforduló szoftver és védelmi hiányosságokkal és azokat köteles jelenteni az illetékesnek; tilos a rendszernek az elıírttól eltérı, bármilyen más módon történı használata; az itt felsoroltakon felül a felhasználó felelısséggel tartozik az NFÜ Adatkezelési és biztonsági Szabályzat és Adatvédelmi Szabályzatában foglaltak betartásáért és az attól történı eltérések jelentéséért az adatvédelmi felelıs felé.
Az EMIR Jogosultságkezelési szabályzat értelmében: A felhasználók feladata, hogy az EMIR alkalmazáshoz szerzett jogosultságukat, szakszerően, indokoltan, a kapcsolódó szabályzatoknak megfelelıen használják, munkaköri vagy jogviszony változás esetén a szervezeti egységük jogosultság adminisztrátorainál haladéktalanul kezdeményezzék jogosultságuk módosítását, törlését. Ezt az eHD rendszerén keresztül tehetik meg. Minden felhasználónak haladéktalanul jelentenie kell jogosultságigény engedélyezınek, ha azt tapasztalja, hogy az ı vagy más jogosultságával visszaéltek, ha illetéktelen jogosultságokhoz jutott vagy az ıt megilletı jogosultságokkal nem rendelkezik, valamint amennyiben meglévı jogosultságai nem a leadott igények szerint változtak. Az EMIR-rel kapcsolatba kerülı minden felhasználó köteles értesíteni a közvetlen vezetıjét, és az EMIR IBF-et az általa észlelt biztonsági incidensekrıl. • felismert, vagy felismerni vélt biztonsági esemény; EMIR Informatika Biztonsági Szabályzat 2010.06.29.
11/23
• • •
tapasztalt, informatikai biztonsági szempontból nem megfelelı magatartás; bármilyen bizalmas információ kiszivárgása; felismert, vagy felismerni vélt védelmi gyengeség, biztonsági rés, sérülékenység, hiányos, pontatlan szabályozás.
A felhasználó ezzel kapcsolatos bejelentéseit az NFÜ által megjelölt biztonságos csatornán keresztül teheti meg. Az EMIR IBF a bejelentéseket értékeli, és az azonnali intézkedést igénylı bejelentéseket az Informatikai (IT) vezetınek továbbítja. A felhasználónak joga van: • a rendelkezésükre bocsátott informatikai eszközök szabályszerő, rendeltetésszerő használatára a saját munkájuk támogatása érdekében; • az EMIR használata során felmerült problémák, akadályok elhárításához támogatási kapni. A segítségnyújtáshoz az igényt az NFÜ HelpDesk-nek kell küldenie; • a reá vonatkozó törvények, és szabályzatok megismeréséhez; • az EMIR-ben végzett munkájához szükséges IT biztonsági eljárások, ismeretek megismeréséhez. Jelen szabályzattal kapcsolatos értelmezési probléma esetén a felhasználó közvetlen vezetıjéhez vagy az EMIR IBF-hez fordulhat; • megtagadni az EMIR-rel végzett munkát, ha: - véleménye szerint az EMIR használata súlyos törvénysértéshez, vagy bőncselekményhez vezet; - a tevékenység veszélyezteti az EMIR rendelkezésre állását, hitelességét, megbízhatóságát. A felhasználók tudatosításának részeként az EMIR rendszerbe történı elsı belépéskor minden felhasználó köteles igazolni a jogosultsági szabályzat és az IBSZ megismerését, illetve elfogadni az IBSZ 1.sz. mellékletét képezı felhasználói nyilatkozatot. Bármely szabályzat követelmények vagy elıírásokban történı változása esetén a nyilatkozatot meg kell ismételni. A szabályzatok és a nyilatkozat a vonatkozó elnöki utasítás elektronikus verziójából is elérhetı, illetve letölthetı az Interaktív Mőködési Kézikönyv portálról is, mely az NFÜ honlapján keresztül érhetı el regisztrációt követıen. Az elektronikus nyilatkozattétel hiányában a belépés nem engedélyezett. Az elektronikus nyilatkozatban vállaltak teljesítését az NFÜ informatikai osztálya jogosult folyamatosan felügyelni, ebbıl a célból informatikai eszközök segítségével nyomon követi az egyes felhasználók rendszerben végzett tevékenységeit és eljár azok kapcsán, amennyiben biztonsági kockázatot, vagy a hatályos szabályzatok megsértését észleli. 2.7. Fegyelmi eljárás, a szankciók rendszere Az EMIR biztonsági elıírások súlyos megsértése esetén fegyelmi eljárás indítható a szabálysértı személyével szemben, különösen ha: EMIR Informatika Biztonsági Szabályzat 2010.06.29.
12/23
• • • •
a szabályzat elıírásainak megsértése EMIR hozzáférési adatainak illetéktelen személynek történı tudomására hozatalával (pl.: személyes jelszó elmondása, vagy hozzáférhetı helyre történı feljegyzése) kapcsolatos; a szabályzat elıírásainak megsértése következtében az EMIR biztonsági rendszerének védelmi megoldásai illetéktelenek kezébe jutottak; a szabályzat elıírásainak megsértése következtében bekövetkezett vagyoni hátrány (vagyoni kár, többletköltség) esete áll elı; törvénysértés esetén.
Az IT biztonsággal kapcsolatos fegyelmi eljárás lefolytatásához az EMIR IBF-t, illetve az Informatikai (IT) vezetıt be kell vonni. Ha a felhasználó által okozott szabálysértés anyagi kárral is jár, anyagi felelısség is megállapítható a vonatkozó jogszabályoknak és a belsı szabályzatoknak megfelelıen.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
13/23
3. Fizikai és infrastrukturális biztonság Az EMIR megbízható mőködése érdekében minden felhasználó szervezetnek biztosítania kell a megfelelı felhasználó oldali infrastruktúrát. Ennek keretében köteles: • az intézmény ırzés-védelmét mind munkaidıben, mind azon túl biztosítani kell, az épület zárását, a belépést ezen idıszakoknak megfelelıen szabályozni és érvényesíteni, • az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva tartani, • az EMIR-bıl kinyert és elektronikus adathordozóra mentett dokumentációk tőz- és vagyonvédett tárolását, • EMIR adatokat akár hordozható adattárolón, akár más úton csak az adott adatkörre kinevezett jogosultság engedélyezı elızetes írásbeli engedélyével szabad külsı személynek átadni, • megfelelı archiválás után az adattárolók biztonságos, vissza nem állítható törlésérıl gondoskodni azok selejtezése, visszavétele, elidegenítése esetén, • a személyzet és a külsı személyek belépési és azonosítási rendjét szabályozott formában megvalósítani, • a szállítókkal és a szerviz cégekkel olyan garanciális, illetve garancián túli szerviz szerzıdést kötni, amely garantálja a megbízható rendelkezésre állási szint betarthatóságát, illetve ütemezett beszerzésekkel és raktáron tartott tartalék eszközökkel kell ezt biztosítani (szerviz számára adattároló egységet csak akkor szabad átadni, ha anélkül a javítás nem elvégezhetı. Ebben az esetben titoktartási nyilatkozatot kell a javítást végzıvel elfogadtatni), • a hálózati elemek rongálás és tőz elleni védelmét biztosítani, • az informatikai rendszer üzemeltetéséhez és karbantartásához biztosítani a megfelelı szaktudású és tapasztalatú személyzetet (Ha külsı cég látja el, akkor jelen szabályzat 5.2 „ Külsı személy EMIR rendszerben történı és helyszíni munkavégzése” pontjának betartásával.), • az informatikai infrastruktúrát úgy kell kialakítani, hogy megfeleljen az adott rendszerekre vonatkozó minimális technikai elıírásoknak, • biztosítani kell a hálózat erıforrásaihoz, a hálózaton elérhetı adatokhoz történı illetéktelen hozzáférés (lehallgatás) elleni védelmet. Tőzvédelmi elıírások A tőz elleni védelmet elsıdlegesen a személyi felügyelet, valamint a jelenlévı személyzet biztosítja a helyiségen belül készenlétben tartott, a tőzvédelmi elıírásoknak megfelelı kézi tőzoltó-készülékekkel. A készülékek típusát és darabszámát, illetve elhelyezését a helyi tőzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas, jól megközelíthetı pontjain kell elhelyezni. A helyiségben a vonatkozó EMIR Informatika Biztonsági Szabályzat 2010.06.29.
14/23
szabványok elıírásainak megfelelı tőzjelzı rendszert kell kiépíteni és üzemeltetni. Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok elıírásait, az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok elıírásainak. A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó elıírásokat.
4. Logikai védelem 4.1. Jogosultságkezelés Az EMIR jogosultságkezelési rendszerének leírása és annak szabályozása külön dokumentumban, az EMIR Jogosultságkezelési Szabályzatban van rögzítve. 4.2. Zárolás, Jelszóhasználat Az EMIR rendszerben történı munkavégzés során különös figyelmet kell fordítani, hogy bejelentkezett felhasználó ne hagyja magára a munkaállomást. Ha a rövidebb idıre távozik munkahelyérıl a számítógép operációs rendszerének zárolás funkciójának használata kötelezı, oly módon, hogy csak jelszó megadása után lehessen a számítógéphez hozzáférni. Hosszabb szünet esetén jelentkezzen ki az EMIR rendszerbıl. Bizonyos felhasználó aktivitás nélküli idı eltelte után (maximum 10 perc) a munkaállomás automatikusan zárolásra kerüljön. Az EMIR informatikai rendszeréhez bejelentkezési névvel rendelkezı felhasználó köteles a bejelentkezı nevéhez tartozó jelszó megırzésére. A jelszavaknak meg kell felelniük az alábbi követelményeknek rendszertıl függetlenül: • ne egyezzen meg a felhasználó nevével, felhasználói azonosítójával, telefonszámával, engedélyének számával, személyi számával vagy dolgozói kódjával, valamint az aktuális hónappal, „jelszó” vagy „password” szóval, illetve a felhasználóhoz kötıdı bármely karaktersorozattal (pl. születési dátum, lakcím), személynévvel. Kerülni kell a szótárban megtalálható vagy az elterjedt európai nyelvekben használatos, jelentéssel bíró szavakat vagy kifejezéseket, • Ne tartalmazzon azonos, vagy ismert logika szerint egymást követı karaktereket (pl. 11111, 12345, aaaaa, qwert, asdfg, gegegeg), • ne utaljon a felhasználóra, munkakörére, munkahelyére, • tartalmazzon vegyesen numerikus, alfanumerikus és különleges karaktereket. Az EMIR architektúrájából adódóan a jogosultsági rendszer két szinten és két felhasználói körben jelenik meg: • • •
Infrastruktúra szint: a terminálszerverhez történı hozzáférés. Alkalmazás szint: az EMIR alkalmazáshoz történı hozzáférés. Intézményrendszeren belüli felhasználó
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
15/23
•
Intézményrendszeren kívüli felhasználó (a * -gal jelzett rövidebb idıtartamok érvényesek
Automatikusan letiltott állapotba kerül azon felhasználók profilja, akik valamely alrendszerbe 72/30* napnál régebben léptek be. Ez a szabály a terminál szervereken minden felhasználóra egységesen 72 nap. 4.3. Internetes biztonság • Tilos kikapcsolni, inaktiválni a munkaállomásra telepített biztonsági szoftvereket, eszközöket (vírusvédelem, belsı tőzfal, automatikus biztonsági frissítések). • Tilos tudatosan kihasználni az esetleges elıforduló szoftver hibákat, védelmi hiányosságokat. • Tilos a hálózat biztonságos mőködését zavaró vagy veszélyeztetı információk, programok terjesztése (pl. vírusok, trójai programok, hacker eszközök, férgek). • Tilos bármelyik számítógép-hálózat biztonságát rombolni, illetve gyengíteni, más felhasználó jogosultságát jogosulatlanul használni. • Tilos bármely végpont mőködését megzavarni igénybevételével szándékos túlterhelni (DOS támadás).
vagy
azt
annak
• Tilos a szolgáltatások blokkolását, lassítását célzó támadás, az azonosítási, illetve biztonsági intézkedések megsértésére irányuló kísérlet, valamint az egyéb azonosítóhoz, számítógéphez vagy hálózathoz történı illetéktelen hozzáférési kísérlet. • Tilos a hálózati forgalom lehallgatása, megfigyelése. Az EMIR alkalmazás böngészın keresztül elérhetı webes komponensei esetén a következı pontok követendık: • A webes belépés (http://www.nfu.hu) után a titkosított kapcsolat (https) kiépítésre kerültét ellenırizni kell. A titkosított csatorna kiépültét a böngészık alsó sorában megjelenı lakat ikon jelzi. • Az EMIR-hez tartozó jelszót ne mentsük el a böngészıben, ha az lehetıséget ad rá. Az EMIR rendszerhez kapcsolódóan jelszavak kiadása tilos. Erre vonatkozó kérést tilos teljesíteni, függetlenül a kérés módjától és csatornájától. Az EMIR üzemeltetés nem küld ki ilyen kéréseket. Az ilyen jellegő kérés adathalász támadás jele lehet, melyet jelenteni kell az NFÜ Helpdesken.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
16/23
5. Személyi biztonság 5.1. Felhasználó szervezetek feladatai A munkaerı kiválasztásakor különös gonddal kell eljárni, az EMIR rendszer súlyának megfelelıen, csak megfelelı képesítéssel, tapasztalattal rendelkezı személyeket szabad alkalmazni. Ennek során a megfelelı átvilágításon át kell esnie a célszemélynek, mely magában foglalja a képzettséget bizonyító tanúsítványok bekérését. Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos tájékoztatást, valamint az összes munkatárs számára a rendszeres továbbképzést.. Az intézmény belépési rendjét úgy kell kialakítani, hogy területén csak arra jogosultak tartózkodhassanak. A ki és belépéseket naplózni kell. Az informatikai rendszer biztonságát meghatározó munkatársak helyettesítési rendjét ki kell alakítani.
munkakörökben
dolgozó
A felhasználók tevékenységének szelektív szétválasztását az ellenırzés céljából biztosítani kell.
5.2. Külsı személy EMIR rendszerben történı és helyszíni munkavégzése Külsı (EMIR hozzáféréssel munkakörébıl fakadóan nem rendelkezı, illetve az intézményrendszer tagjaival munkaviszonyban nem álló) személy EMIR rendszerben történı, valamint az EMIR rendszert elérı, illetve annak adatait kezelı vagy tartalmazó informatikai rendszerek eseti karbantartására irányuló munkavégzése csak akkor megengedett, ha: • a külsı személlyel titoktartási nyilatkozatot fogadtattak el, vagy az ıt alkalmazó partnerrel kötött szerzıdés a titoktartásról rendelkezik, • a külsı személy vállalja a szervezet és az EMIR informatikai szabályzatainak betartását, • eseti karbantartás, javítás esetén a külsı személy munkavégzése folyamatos személyes ellenırzés alatt áll. Külsı személyek jogosultságaira és jelszókezelésére vonatkozóan a jogosultsági szabályzat tartalmazhat a fentieken túl különleges vagy módosító rendelkezéseket. 5.3. Szoftverhasználat A szoftverhasználat során a felhasználó szervezeteknek a hatályos jogszabályoknak meg kell felelniük, különösen a szerzıi jogok tekintetében. Az EMIR rendszerbe csak legális, „jogtiszta” szoftverekkel telepített számítógépekrıl szabad bejelentkezni.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
17/23
6. Védelmi intézkedések 6.1. Vírusvédelem A számítógépes vírusok, férgek károkozásának megelızése érdekében a felhasználó szervezetek informatikai rendszerében vírusvédelemi rendszert kell mőködtetni. A vírusvédelmi rendszerrel szembeni követelmények: • a vírusvédelmi szoftvernek menedzselhetınek, bizonyítottan jó vírusfelismerı képességőnek, illetve nemzetközileg elfogadott minısítésőnek kell lennie; • a vírusvédelmi szoftvernek minden potenciális támadási ponton (gateway, szerver és kliens) aktívan üzemelnie kell; • a vírusvédelmi rendszer folyamatos frissítését és terméktámogatását garantálni kell. Vírusvédelmi rendszernek a következı védelmi szinteken kell mőködnie: • e-mail és internet kapcsolat védelme: a vírusvédelmi rendszer elsı szintő védelmét a tőzfalakon és a levelezı szervereken kell mőködtetni; • szerverek védelme: a bizalmas adatok védelme érdekében a másodlagos vírusvédelmi vonalat a fájl- és alkalmazásszervereken kell mőködtetni; • munkaállomások vírusvédelme: munkaállomások esetében minden lehetséges adatbeviteli pontot automatikusan ellenıriznie kell (floppylemez használat, CD és DVD, USB memóriák, hálózati kapcsolat, e-mail, Internet, stb.). Általános vírusellenırzési elıírások • A vírusvédelmi rendszernek valósidejő és manuálisan indítható, idızíthetı üzemmódokban is mőködıképesnek kell lennie. • A valósidejő ellenırzés feladata a számítógépes rendszer rendeltetésszerő mőködése közben használatba vett állományok és más objektumok valósidıben, közvetlenül a felhasználás elıtt történı ellenırzése. • Az újonnan megjelent vírusellenırzı eljárások által a korábban fel nem derített állományok felismerése érdekében a teljes fájlrendszert idıszakosan át kell vizsgálni. A felhasználó szervezet üzemeltetıje által szabályozott idıközönként a víruskeresı rendszer részeinek, vagy egészének frissítését követıen a vizsgálatot el kell végezni. • A valósidejő védelem kikapcsolását a felhasználói munkaállomásokon tiltani kell. • A vírusvédelmi rendszert úgy kell kialakítani, hogy a detektált vírus esetén az üzemeltetıt haladéktalanul értesítse. • A fertızés gyanús állományt a rendszernek automatikusan karanténba kell helyeznie. Az állomány eltávolítását az felhasználó szervezet üzemeltetıje végzi. • Az újonnan rendszerbe állított, illetve újratelepített munkaállomást, mobil informatikai eszközt és szervert víruskeresı rendszer telepítése és a gép teljes ellenırzése nélkül üzembe helyezni tilos.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
18/23
• •
A vírusvédelmi rendszer aktualizálását – a vírusminta szignatúrák és a keresı-motorok lehetı legrövidebb idın belül történı automatikus frissítéssel kell megoldani. Vírusfertızés gyanúja esetén a felhasználó köteles a felhasználó szervezet üzemeltetıjét azonnal értesíteni.
6.2. Határvédelem A felhasználó szervezeteknek biztosítaniuk kell hálózatuk védelmét központi tőzfal alkalmazásával. Hálózati munkaállomások az Internethez kizárólag a hivatalos Internet kijáraton (központi tőzfalon) keresztül csatlakozhatnak. Vezetékmentes hálózaton (pl. Wi-Fi) keresztül csak különösen indokolt esetben szabad az EMIR rendszerbe csatlakozni. Ilyen esetekben gondoskodni kell a hálózat megfelelı védelmérıl, legalább WPA2 vagy erısebb titkosítással. Vezetékmentes hálózati csatlakozással rendelkezı eszközökön, ha az nincs használatban, gondoskodni kell annak letiltásáról. Az Internetrıl letöltött állományokat csak vírusellenırzést követıen szabad megnyitni, amely vírusellenırzés lehet automatikus is. A nem megbízható forrásból származó információkat csak ellenırzést követıen szabad felhasználni. Tilos tudatosan kihasználni az Internet szolgáltatást biztosító rendszerekben esetlegesen elıforduló szoftver hibákat, védelmi hiányosságokat. 6.3. Mobil eszközök használata Mobil számítástechnikai eszközök, többek között notebook, palmtop, laptop és mobil telefon alkalmazása esetén meg kell elızni az üzleti információk jogosulatlan elérését. Körültekintıen kell eljárni minden olyan esetben, amikor nyilvános helyeken, tárgyalóhelyiségekben vagy más védtelen külsı helyszíneken használnak mobil számítástechnikai eszközöket. A notebook kivételével tilos EMIR-bıl exportált adatokat tárolni a mobil eszközön. Notebook esetén lehetıség szerint kerülni kell az eszközökön az EMIR-bıl exportált kapcsolódó adatok lokális tárolását. Amennyiben mégis sor kerülne rá, megfelelı védelmi eszközökkel, gondoskodni kell arról, hogy csökkentsék a mobil eszközön tárolt vagy feldogozott információ illetéktelen elérésének vagy nyilvánosságra kerülésének kockázatát. A mobil számítógépek kezelésében a következı irányelvek követendıek: • •
A mobil eszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni. Valamennyi a szervezet tulajdonát képezı hordozható személyi számítógépet rendszeres szoftver-, adat- és biztonsági ellenırzéseknek kell alávetni.
A személyi számítógépeket és az ahhoz kapcsolódó számítástechnikai berendezéseket szállító személyek: EMIR Informatika Biztonsági Szabályzat 2010.06.29.
19/23
• • • •
• • •
Kötelesek a számítógépet a szállítás idejére lehetıleg minél kevésbé szem elıtt lévı módon elhelyezni. Tilos a számítógépet a gépjármőben hagyni. Repülés, vagy vonatút alatt a személyi számítógépet kézipoggyászként kell szállítani. Azokban az esetekben, amikor az eszközöket nem a szervezet tulajdonában lévı telephelyen (szálloda, lakás) kell hagyni, fokozott figyelmet kell szentelni a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása, vagy ellopása elleni védelemnek. Tilos az eszköz engedély nélküli átruházása Tilos megfelelı védelem (aktív víruskeresı, és személyi tőzfal) nélkül idegen hálózathoz csatlakozni. Tilos a gépet bármilyen indokolatlan veszélynek kitenni vagy nem rendeltetésszerően használni.
A mobil eszközök biztonsági beállításait illetve háttértárolóinak tartalmát rendszergazdáknak és a szervezet biztonságért felelıs dolgozójának legalább félévente ellenıriznie kell. Az ellenırzés során fokozott figyelmet kell szentelni a következıknek: • • •
Az adott eszközön a biztonsági beállítások, vírusvédelmi és egyéb biztonsági eszközök beállításai megfelelnek-e az elıírtaknak. Az állományok lokális tárolására vonatkozó szabályok betartásra kerülnek-e. Az eszközön fellelhetı naplóállományokban nincs-e nyoma rendellenes mőveleteknek, jogosulatlan használatnak.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
20/23
7. Melléklet – Felhasználói nyilatkozat A nyilatkozat célja A nyilatkozat célja a felhasználókban tudatosítani, hogy munkájuk során a lehetı legnagyobb gondossággal járjanak el az EMIR rendszerekben tárolt információk használatakor annak érdekében, hogy az adatok bizalmassága, sértetlensége, és rendelkezésre állása a felhasználó szándékos, vagy gondatlan magatartásából ne sérüljön, illetve a felelısségük számon kérhetı legyen.
Felhasználói nyilatkozat Név: .................................................,dolgozó azonosító: ….……………………………. az EMIR felhasználója kijelentem, a feladataim ellátásához szükséges információbiztonsági ismeretekkel rendelkezem, a munkámra és az EMIR használatára vonatkozó hatályos szabályzatokat megismertem és megértettem, azokat munkám során alkalmazom. A mindenkori hatályos szabályzatokban foglaltakat betartom. Tudatában vagyok, hogy az informatikai eszközök megfelelı használata közvetve vagy közvetetten védelmet nyújt az információvesztés, a jogosulatlan információ módosítás vagy az információ jogosulatlan személyhez való kerülése ellen. Tudomásul veszem, hogy az EMIR rendszerben kezelt adatok, szoftverek, fájlok, levelek az NFÜ tulajdonát képezik, így azokat az NFÜ kijelölt szakemberei ellenırizhetik. Az informatikai eszközök rendeltetésszerő alkalmazása érdekében: • Ügyelek a használatomban lévı informatikai eszközök rendeltetésszerő használatára. • A biztonságos tárolásról mobil-eszköz esetén is gondoskodom. • Köteles vagyok a beállított szoftver, hardver állapotokat megtartani. Az informatikai eszközök és adatok biztonságos alkalmazása érdekében: • A jelszava(i)mat titkosan kezelem, az(oka)t nem osztom meg mással semmilyen jellegő megkeresés, kérés esetén sem. • A jelszava(i)mat semmilyen körülmények között nem jelenítem meg a különbözı adathordozókon: jelentéseken, képernyın, papíron stb. • Más személy felhasználói azonosítóját és jelszavát nem használom, ezek megszerzésére nem törekszem. Ha ilyen a tudomásomra jut, azt másnak át nem adom, hanem jelzem a jelszó tulajdonosának és közvetlen vezetımnek a titkosság megszőnését, saját jelszavam mások általi megismerése esetén elvégzem, vagy kérem írásban az azonnali jelszómódosítást.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
21/23
• • • • • •
Tevékenységem során gondosan járok el és igyekszem megakadályozni illetéktelen személy hozzáférését az informatikai rendszerekhez és az abban tárolt adatokhoz. Kerülöm az olyan tevékenységet, amelynek célja, vagy elırelátható következménye az EMIR hálózatának- vagy szoftverintegritásának bármely fokú és természető sérülése. Elkerülöm, hogy családtagjaim, ismerıseim bizalmas információk birtokába jussanak otthoni munkám során. Nem élek vissza a tudtomra jutott elıforduló szoftver és védelmi hiányosságokkal, ilyen információkat csak és kizárólag az EMIR IBF-nek adok tovább. Ügyelek arra, hogy illetéktelen személyek ne olvassák a monitoron megjelenı információkat. Azt a munkaállomást, melyen bejelentkeztem, csak abban az esetben hagyom felügyelet nélkül, ha a napi munkavégzés miatt ez indokolt, és − a munkaállomáson telepített jelszóvédelemmel rendelkezı képernyı-pihentetés (screen saver) telepítve van és ezt aktiváltam, − vagy a munkaállomásomat zároltam
Az informatikai eszközök, adatok magánhasználatra történı alkalmazásának elkerülése érdekében: • Nem használom öncélú gazdasági haszonszerzésre vagy játékra az NFÜ által rendelkezésemre bocsátott IT eszközöket. • Magáncélra adatokat nem rögzítek és rögzített céges adatokat engedély nélkül nem viszek és nem juttatok ki a munkavégzés területérıl, telephelyeirıl. Szoftverek jogtisztaságának megırzése: • Az NFÜ számos külsı cégtıl vásárolja meg a számítógépes szoftverek licenc engedélyét. Az NFÜ a szoftver felhasználói szerzıdéssel nem válik a szoftverek tulajdonosává, és azok dokumentációját és az adathordozókon tárolt program példányait a szoftver tulajdonosának külön engedélye nélkül nem áll jogomban reprodukálni, illetve harmadik személynek átadni. • Amennyiben tudomásomra jut, hogy a megvásárolt szoftvert, vagy azzal kapcsolatos dokumentációt nem a fentiek szerint használják, akkor azt a hibák mielıbbi kijavítása érdekében köteles vagyok jelenteni a közvetlen vezetımnek. • Tudomásul veszem, hogy a Büntetı Törvénykönyvrıl szóló 1978. évi IV. törvény 329/A §-a értelmében az illegális szoftvermásolásban részt vevı személy pénzbírsággal vagy akár 5 évig terjedı szabadságvesztéssel is sújtható, valamint a megfelelı összeg erejéig kártérítésre kötelezhetı. Jelentési kötelezettségeim: Amennyiben tudomásomra jut, hogy a fenti szabályokat bárki megsérti, azt köteles vagyok jelenteni a közvetlen vezetımnek. EMIR Informatika Biztonsági Szabályzat 2010.06.29.
22/23
Az EMIR használata során birtokomba kerülı üzleti titkokat és személyes adatokat (Személyes adatok védelmérıl szóló 1992. évi LXIII Törvény 5. §) megırzöm. Kijelentem, hogy az itt leírtakat megértettem és azokat magamra nézve kötelezınek elismerem. Tudomásul veszem, hogy amennyiben a „Felhasználói nyilatkozat”-ban leírtakat megszegem, úgy munkajogi, kártérítési és büntetıjogi felelısségem áll fenn és fegyelmi eljárás indulhat ellenem.
EMIR Informatika Biztonsági Szabályzat 2010.06.29.
23/23
