No title

1. PREAMBULUM AZ IBSZ META-ADATAI Szervezet:

Borsod-Abaúj-Zemplén Megyei Kormányhivatal

Székhely:

3525 Miskolc, Városház tér 1.

AZ IBSZ TÁRGYA Borsod-Abaúj-Zemplén Megyei Kormányhivatal (továbbiakban: Kormányhivatal) Informatikai Biztonsági Szabályzata (továbbiakban: IBSZ) a Kormányhivatal által használt, üzemeltetett illetve felügyelt informatikai rendszerekre vonatkozóan tartalmazza a legfontosabb informatikai biztonsági feladatokat és meghatározza azokat a tevékenységeket, intézkedéseket, amelyek a Kormányhivatal biztonságos működése érdekében szükségesek. AZ IBSZ CÉLJA A Kormányhivatal informatikai rendszereinek működtetése, üzemeltetése során biztosítsa az adatvédelem elveinek és az információbiztonság követelményeinek érvényesülését: −

az informatikára vonatkozó jogszabályi előírások érvényesítése;

−

folyamatos informatikai üzembiztonság betartása;

−

az adatvagyon védelme;

−

a hálózati infrastruktúra integritásának védelme.

AZ IBSZ KIADÁSA A jelen szabályzatban foglalt rendelkezéseket a Kormányhivatal Informatikai Főosztálya készítette, együttműködve az érintett szervezeti egységekkel. 2. SZABÁLYOZÁSI PORTFÓLIÓ SZABÁLYOZÁSI PORTFÓLIÓ KEK KH 04/2012 szakmai ajánlása alapján készített, a szabályzat mellékleteként csatolt táblázatban látható az IBSZ elhelyezkedése a szabályozási portfólióban. Az IBSZ alapja a Kormányhivatal Informatikai Biztonsági Politikája (továbbiakban: IBP), és az Informatikai Biztonsági Stratégiája (továbbiakban: IBS). Az IBSZ rendelkezéseit a Kormányhivatal egyéb belső jogi normáival összhangban kell alkalmazni. AZ IBSZ, A SZABÁLYOZÁSI PORTFÓLIÓBAN ELFOGLALT HELYE Az IBSZ az IBP alapvetései és az IBS szellemében hivatott szabályozni az informatikai rendszerek működését, figyelembe véve a törvényi normatívákat. INFORMÁCIÓBIZTONSÁGI POLITIKA Célunk, hogy a Kormányhivatalban az ügyfelek adatait megvédjük, a jogtalan adatfelhasználást és az adatvesztést megakadályozzuk. Az informatikai biztonságot úgy szervezzük meg, hogy a hatékony, körültekintő ügyintézési tevékenységet támogassa. Az IBP az alapja valamennyi további, részletesebb informatikai biztonsági szabályozásnak, és ezek implementálásainak. INFORMÁCIÓBIZTONSÁGI STRATÉGIA 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

10.oldal

Az IBS célja, hogy a szervezet szakmai működési igényeinek jövőbeni változásaival összhangban meghatározza az információbiztonság fejlesztésének tervét. Az IBS kapcsot jelent az informatikai stratégia és a biztonsági stratégia között. Összehangolja az információtechnológiai célokat a szervezet átfogó kockázat alapú biztonsági céljaival, és definiálja a közös működési területeket. A stratégia alapelvei: −

A Kormányhivatalban egységes és közös elvek mentén alakítjuk ki az információbiztonság szabályozását.

−

A hatósági munkavégzés számára biztosítjuk az adatok pontos, megbízható tárolását, nyilvántartások vezetés és ezek hiteles, bizalmas

és sértetlen

továbbítását. −

A stratégia kiterjed az informatikai, az infrastrukturális, a fizikai és az emberi tényezőkre.

−

Az egységes szabályozás megvalósítását követően folyamatosan fejlesztjük az információbiztonsági szabályozást és a kapcsolódó eljárásokat.

AZ IBSZ RÖVIDÍTÉS JEGYZÉKE Az IBSZ IBNY11 számú melléklete tartalmazza. AZ IBSZ MELLÉKLETEI −

IBNY01

melléklet:

tárolási

nyilatkozat

(mobil

informatikai

eszközigénylésre

és

nyilvántartásra); −

IBNY02 melléklet: felhasználói hozzáférés, jogosultság, eszközigénylő és változásjelentő adatlap;

−

IBNY03 melléklet: rendszeres mentési napló (tűzvédelmi mentésekhez);

−

IBNY04 melléklet: mentési és archiválási nyilvántartás (egyedi mentések nyilvántartása);

−

IBNY05-ős melléklet: mentési és archiválási adatlap (egyedi mentések adataihoz);

−

IBNY06-os melléklet: mobil adathordozó eszköz engedélyezése;

−

IBNY07 melléklet: adathordozó nyilvántartás;

−

IBNY08-as melléklet: szoftvernyilvántartás;

−

IBNY09 melléklet: jogosultság nyilvántartás (hálózati mappák, alkalmazások, eszközök);

−

IBNY10 melléklet. mentési eljárásokhoz használt adathordozó típusok és kezelésük;

−

IBNY11 melléklet: IBSZ rövidítések jegyzéke;

−

IBNY12 melléklet: eseménynapló (szerverekhez);

−

IBNY13-as melléklet: belépési napló (informatikai központokba történő belépéshez);

−

IBNY14 melléklet: eszköz átadás-átvételi adatlap;

−

IBNY15-ös melléklet: kilépő dolgozó informatikai igazolása;

−

IBNY16-os melléklet: belépő dolgozó megismerési nyilatkozata;

−

IBNY17 melléklet: biztonsági zónák és követelmények;

−

IBNY18-as melléklet: mentési rend (rendszeres és egyedi mentések ütemterve).

3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

11.oldal

3. A SZABÁLYZAT HATÁLYA TÁRGYI HATÁLY Kiterjed a Kormányhivatal tulajdonában, kezelésében lévő valamennyi informatikai rendszerre és azok elemeire: −

alkalmazásokra

−

adatbázisokra

−

keletkeztetett, feldolgozott, tárolt, továbbított valamennyi adatra és információra.

SZERVEZETI HATÁLY Kiterjed a Kormányhivatal valamennyi szervezeti egységére SZEMÉLYI HATÁLY Kiterjed

a

Kormányhivatalban

foglalkoztatott

valamennyi

közszolgálati

tisztviselőre

és

munkavállalóra. TERÜLETI HATÁLY Kiterjed a Kormányhivatal valamennyi ingatlanára és telephelyére. IDŐBELI HATÁLY A hatályba lépéstől a visszavonásig. AZ IBSZ TOVÁBBI HATÁLYA Idegen vagy vegyes tulajdonú, illetve kezelésű eszközök, rendszerek használata során figyelembe kell venni a tulajdonos / társtulajdonos szervezet ide vonatkozó rendelkezéseit és előírásait, illetve a megkötött érvényes megállapodásokat. Az IBSZ azokat a szabályokat tartalmazza, amelyek betartását a Kormányhivatal kötelező jelleggel elrendeli a dokumentum elfogadásával, és amelyeket alkalmazni kell a vonatkozó informatikai rendszerek fejlesztése, telepítése és üzemeltetése során, a meghatározott biztonsági szint elérése és fenntartása érdekében. 4. A SZABÁLYZAT KAPCSOLÓDÁSAI, VÉGREHAJTÁSA ÉS FELÜLVIZSGÁLATA AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ SZABÁLYOZÁSI FELADATOK AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, KÖZPONTI HIVATALOK SZABÁLYZATAI −

A szakigazgatási szervek

szakmai irányító szervei informatikai ajánlásai és

szabályzatai. −

Magyar Informatikai Biztonsági Ajánlások (MIBA – a Közigazgatási Informatikai

−

E-közigazgatási Keretrendszer.

Bizottság 25. számú ajánlása).

AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, RENDSZERENKÉNT KÜLÖN ELKÉSZÍTENDŐ SZABÁLYZATOK −

Informatikai Katasztrófa-elhárítási Terv (IKT): Az informatikai üzemeltetéssel és biztonsággal

összefüggő

bekövetkezése

esetén

terv

(szabályzat),

meghatározza

amelynek a

célja,

megelőzés,

hogy katasztrófa helyreállítás

és

kockázatcsökkentés szabályait.


12.oldal

−

Üzletmenet Folytonossági Terv (ÜFT): Az üzletfolytonosság tervezés célja, hogy az ilyen

esetek

ne

érjék

váratlanul

a

szervezetet,

ezekben

az

esetekben

is

működőképesek maradjanak az intézményi tevékenység szempontjából kritikus folyamatok. Folyamatos kockázatértékelés. −

Adatvédelmi szabályzat (AvSz): Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), melynek célja hogy katasztrófa bekövetkezése esetén meghatározza a megelőzés, helyreállítás és kockázatcsökkentés szabályait.

−

Üzemeltetési szabályzat (ÜSz): Célja az intézmény informatikai üzemeltetésének, HelpDesk-jének,

szolgáltatásbiztosítása

és

szolgáltatástámogatásának,

eszköz

nyilvántartásának (CMDB) szabályozása. −

Üzemeltetési

kézikönyv

üzemeltetésével

(ÜK):

kapcsolatos

Amíg

az

technikai

üzemeltetési

kézikönyv

információkat

a

tartalmazza,

rendszer addig

az

üzemeltetési szabályzatnak az üzemeltetési folyamat, és annak szabályozása a tárgya. −

Felhasználói kézikönyv: Az intézmény feladat- és hatáskörébe tartozó feladatok közvetlen vagy közvetett ellátását az informatikai alkalmazások közreadásával és üzemeltetésével

támogatja.

A

felhasználók

az

eredményes

támogatás

igénybevételének szabályait a felhasználói kézikönyvből tudják meg, különösen a jogszabálykövetett

alkalmazások

esetében.

Célja

a

felhasználó

személyzet

támogatása. −

Mentési és archiválási szabályzat: A mentés, archiválás lehetővé teszi a katasztrófa helyzetekből adódó adatvesztés kockázatának minimalizálást, valamint az üzletmenet folytonosság biztosítási garanciáinak a növelését

−

Külső partner együttműködés szabályzata: A kiszervezett tevékenységek (outsourcing), az alkalmazásszolgáltatás keretében igénybevett szolgáltatások (ASP), valamint a külső üzemeltetést, fejlesztést támogató partnerek, belső üzemeltetéssel történő összhangjának megteremtése.

AZ

IBSZ

KAPCSOLATI

RENDSZERÉHEZ

TARTOZÓ,

AZZAL

ÖSSZEHANGOLANDÓ

SZABÁLYOZÁSOK Az IBSZ kapcsolati rendszeréhez tartozó, azzal összehangolandó illetve ezen szabályzatban nem szabályozott kérdésekben érvényes szabályozások: −

Borsod-Abaúj-Zemplén

Megyei

Kormányhivatal

Szervezeti

és

Működési

Szabályzata; −

Borsod-Abaúj-Zemplén Megyei Kormányhivatal szervezeti egységeinek az ügyrendje;

−

Borsod-Abaúj-Zemplén Megyei Kormányhivatal vonatkozó szabályzatai;

−

Borsod-Abaúj-Zemplén Megyei Kormányhivatal munkaköri leírásai.

ÁLTALÁNOS HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK A SZABÁLYZAT KIDOLGOZTATÁSA, ELLENŐRZÉSE ÉS KARBANTARTATÁSA Az IBSZ kidolgoztatása, ellenőrzése, majd karbantartatása az Informatikai Főosztály vezetőjének feladata és hatásköre. A SZABÁLYZAT HATÁLYBA LÉPTETÉSE, A VÉGREHAJTÁS ELLENŐRZÉSE Az IBSZ hatályba léptetése kihirdetésével történik meg, végrehatásának ellenőrzése az Informatikai Főosztály feladata. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

13.oldal

A SZABÁLYZAT BETARTÁSA ÉS BETARTATÁSA A szabályzat alkalmazásáért és betartásáért a hivatali szervezet minden egysége, minden felhasználója felelős. IBSZ hatálya alá vont informatikai eszközök és rendszerek kezelése, és a szabályok érvényesítése, betartatása az Informatikai Főosztály feladata. Az IBSZ betartatásában az Informatikai Főosztály minden munkatársának munkaköri kötelessége részt venni a napi munkája során. A SZABÁLYZAT ELLENŐRZÉSE A szabályzat betartásának ellenőrzése, az Informatikai Főosztály minden munkatársának munkaköri kötelessége a napi munkavégzése során. AZ IBSZ VÉGREHAJTÁSA A VÉGREHAJTÁS SZABÁLYAI −

Az IBSZ betartása és betartatása a Kormányhivatal minden felhasználójának és szervezeti egység vezetőjének munkaköri kötelessége.

−

Az IBSZ személyi hatálya alá tartozó valamennyi személynek ismernie kell azokat a követelményeket és feladatokat, amelyeket az IBSZ számára meghatároz.

−

A Kormányhivatal valamennyi szervezeti egységénekvezetője az utasítás hatályba lépését követően haladéktalanul kötelesgondoskodni arról, hogy a vezetése alatt álló szervezeti egység munkatársai az utasításban foglaltakat megismerjék.

−

A szervezeti egységek vezetőinek gondoskodniuk kell jelen utasítás függelékében lévő megismerési záradék kitöltéséről és a hatályba lépéstől számított 30 napon belül a Koordinációs és Szervezési Főosztály részére történő eljuttatásáról.

−

A külső felek a hivatali kapcsolattartón keresztül ismerhetik meg a szabályokat.

−

Az IBSZ személyi hatálya alá tartozó valamennyi személy köteles az Informatikai Főosztály vezetőjét, illetve az informatikai biztonsági megbízottat minden olyan tényről, eseményről értesíteni, amely az IBSZ rendelkezéseinek végrehajtását akadályozza, illetve ellentétes az IBSZ rendelkezéseivel.

A VÉGREHAJTÁS ESZKÖZEI −

Az egyes informatikai rendszerek oly módon történő kialakítása, beállítása, hogy az informatikai rendszer kikényszerítse az IBSZ rendelkezéseinek betartását;

−

ismeretek oktatása, megismertetése és az ismeretek számonkérése;

−

IBSZ kötelező betartatása;

−

IBSZ betartását célzó rendszeres és időszaki ellenőrzések átfogó vagy cél jelleggel (tételes vagy szúrópróba szerű ellenőrzési módszerekkel);

−

a hálózat és a szerverek rendszeres monitorozása a naplók és nyilvántartások pontos és napra kész vezetése, azok rendszeres ellenőrzése;

−

a szervezeti egység vezető tájékoztatásaa szervezeti egységet érintő ellenőrzési tapasztalatokról, fegyelmi vagy biztonsági eseményekről, az elkészített jegyzőkönyvek, jelentések, feljegyzések másolatának megküldése révén;

−

a szabályzat rendszeres megsértőivel szemben fegyelmi eljárás alkalmazása.


14.oldal

AZ IBSZ FELÜLVIZSGÁLATA IDŐSZAKOS FELÜLVIZSGÁLATOK Jelen szabályzat tartalmát az Informatikai Főosztály köteles és jogosult időközönként, de legalább évente felülvizsgálni, és a szükség esetén módosítani VÁLTOZÁS MIATTI FELÜLVIZSGÁLAT Az IBSZ tartalmát az alábbiakban felsoroltak előfordulását követően Informatikai Főosztály köteles felülvizsgálni és szükség esetén módosítani: −

minden olyan szervezeti változás esetén, amely a benne hivatkozott szervezeti egységek bármelyikének megszűnésével vagy jelentős átalakulásával jár;

−

súlyos informatikai biztonsági események („incidensek”) után, az esemény tanulságait figyelembe véve;

−

minden olyan jogszabályváltozás esetén, amely a benne foglaltak érvényességét módosíthatja.

MEGFELELŐSÉGI VIZSGÁLAT Évente egyszer az Informatikai Főosztály köteles megfelelőségi vizsgálatot végezni, és ha szükséges, az IBSZ-t módosítani. A vizsgálatnak ki kell terjednie: −

az IBSZ betartásával kapcsolatos ellenőrzések eredményére;

−

a HelpDesk rendszer működésére, a felmerülő problémák és hibák jellegére és konklúzióira;

az időközben felmerülő informatikai és adatvédelmi eseményeket és az ezekkel összefüggő biztonsági vonzatokat. A VÉDELEM SZERVEZETI SZABÁLYAI A védelem szervezeti szabályai kiterjednek a következő témakörökre: −

A megfelelő szervezet és felelősség megosztás működésére (mely magába foglalja a védelemért felelős munkaköröket);

−

az informatikai biztonsági kérdésekben történő koordinációt;

−

bármely harmadik fél hozzáférésének szabályozott felügyeletét, a vonatkozó kockázatok csökkentését célzó szerződéses megállapodásokat.

5. INFORMATIKAI BIZTONSÁGI FELADAT-, FELELŐSSÉGI- ÉS KOMPETENCIA KÖRÖK INFORMATIKAI BIZTONSÁGI FELÜGYELET INFORMATIKAI SZERVEZET, ÉS INFORMATIKUSOK Informatikai Főosztály vezetője: −

meghozza a Kormányhivatal informatikai rendszerével kapcsolatos szakmai döntéseket;

−

megteszi a külső szervezetek számára a szakmai nyilatkozatokat és tájékoztatást;

−

kijelöli az általános, illetve feladathoz kötött helyettesét;

−

irányítja a szervezeti egység dolgozóit;

−

kijelöli és meghatározza az informatikusok általános és speciális feladatait;

−

meghatározza az informatikai felelőségi köröket;


15.oldal

−

meghatározza

az

informatikai

oktatási

irányokat

és

gondoskodik

megvalósításukról; − −

gondoskodik a Kormányhivatal informatikai stratégiájának megalkotásáról; gondoskodik

a

Kormányhivatal

informatikai

eszköz

és

adatvagyonának

védelméről az eljárások és folyamatok szabályozása útján. Informatikus: −

ellátja az Informatikai Főosztály vezetője által meghatározott informatikai

−

ellátja a Kormányhivatal meghatározott telephelyeinek informatikai feladatait;

−

elvégezi az Informatikai Főosztály vezetője által a részére kijelölt egyéb

munkaterületeket, feladatokat és célfeladatokat;

feladatokat; −

munkakapcsolatot tart a szakigazgatási szervek központi szerveinek és a Kormányhivatal

szervezeti

egységeinek

dolgozóival

és

vezetőivel,

az

üzemeltetési feladatokat ellátó külső szervezetek munkatársaival; −

a Kormányhivatal érdekében érvényesíti az informatikai előírásokat;

−

eljár és intézkedik az Informatikai Főosztály vezetője részéről ráosztott feladat érdekében az előírások betartása mellett;

−

részt vesz az informatikai képzésen.

Felhasználó: −

a munka végzés során a rábízott eszközöket, szoftvereket felelősséggel, és az előírások, leírások, utasítások szerint használja és megőrzi;

−

az informatikai biztonsági szabályzatot megismeri és betartja;

−

részt vesz az informatikai oktatásokon;

−

a számítógépes munkavégzése során tiszteletben tartja a felhasználói csoportjára vonatkozó szabályokat és korlátozásokat, valamint a számítógépére megállapított házirendet;

−

a számítógépes rendszerekhez használt hozzáféréseit biztonságos módon megőrzi, a hozzáférésével elkövetett visszaélésekből és károkból származó következményekért felelősséggel tartozik;

− −

jelzi az észrevételeit; informatikai segítséget kérhet, ha olyan jellegű feladatot kell ellátnia, amelyhez nincs meg a megfelelő informatikai tapasztalata;

−

a munkájához szükséges eszközöket, alkalmazásokat és szolgáltatásokat a szervezeti egysége vezetőjének engedélyével igényelheti.

Szervezeti egység vezető: −

a szervezeti egység közszolgálati tisztviselőjének felvétele, távozása, vagy munkakör változása esetén a szabályzatban meghatározott módon értesíti a változásról az Informatikai Főosztályt;

−

gondoskodik

arról,

hogy

a

neki

beosztott

személyek

megismerjék,

és

munkavégzésük során alkalmazzák az Informatikai Biztonsági Szabályzatot; −

ellenőrzi, hogy a neki beosztott személyek betartják-e az Informatikai Biztonsági Szabályzatot,

−

informatikai kérdésekben dönt az Informatikai Biztonsági Szabályzatban részére delegált területeken (igénylések, engedélyek).


16.oldal

Pénzügyi Főosztály Üzemeltetési Osztálya: −

biztosítja az informatikai eszközök és berendezések megfelelő működéséhez szükséges fizikai környezetet és a közműszolgáltatások, valamint egyéb szolgáltatások

(vízhálózat,

villamoshálózat,

légkondicionálás,

biztonsági

berendezések, őrszolgálat stb.) biztosításával a feltételeket; −

az Informatikai Főosztály kérésére közreműködik az informatikai rendszerrel kapcsolatos átalakítási, építési, szerelési és karbantartási munkákban;

−

tájékoztatja és egyeztet az Informatikai Osztállyal az Informatikai Főosztály hatáskörébe tartozó kérésekben.

Humánpolitikai Főosztály: −

tájékozatja az Informatikai Főosztályt a kilépő vagy belépő dolgozó illetve munkakör változás esetén a dolgozók és informatikai rendszerrel kapcsolatos jogosultságainak változásáról;

−

igazolást kérhet a dolgozó informatikai státuszával kapcsolatban;

Koordinációs és Szervezési Főosztály: − −

igazolást kérhet a dolgozó informatikai státuszával kapcsolatban; elvégzi az ügyiratkezelő rendszer kiépítésével, működtetésével kapcsolatos koordinációs tevékenységet.

INFORMATIKAI BIZTONSÁGI FELELŐS A Kormányhivatalnál a vezetők informatikai biztonsággal összefüggő tevékenységét az informatikai biztonsági megbízott támogatja. Részt vesz a biztonsággal kapcsolatos vezetői döntések előkészítésében, kivizsgálja az informatikai rendkívüli eseményeket, elvégzi a rendszeres biztonsági ellenőrzéseket, és hatáskörében intézkedik, vagy javaslatot tesz a hibák kijavítására. Munkája során szorosan együttműködik a biztonság megvalósításában résztvevő informatikai és egyéb szakemberekkel. Az alábbi feladat és hatáskörökkel rendelkezik: −

Gondoskodik az ellenőrzés módszereinek és rendszerének kialakításáról és működtetéséről.

−

Feladata

a

Kormányhivatal

informatikai

rendszerének

olyan

mértékű

megismerése, hogy annak elemeit hatékonyan ellenőrizni tudja. −

Összehangolja a biztonságot meghatározó, befolyásoló területek tevékenységét az informatikai biztonság érdekében.

−

Informatikai

biztonsági

szempontból

ellenőrzi

az

informatikai

rendszer

szereplőinek tevékenységét. −

Az informatikai rendkívüli eseményeket, az esetleges rossz szándékú hozzáférési kísérletet, illetéktelen adatfelhasználást, visszaélést kivizsgálja, javaslatot tesz a szervezet vezetőjének a további intézkedésekre, a felelősségre vonásra.

−

Új informatikai központ tervezése és kialakítása során ellenőrzi a jelen IBSZ-ben megfogalmazott, a helyiségek fizikai paramétereire vonatkozó követelmények kielégítését és a meglevő helyiségek paramétereinek értékét.

−

Ellenőrzi az informatikai központba való beléptetési eljárást és a belépő személyek körének jogosságát.

−

Az SZMSZ rendelkezései és a munkaköri leírások alapján ellenőrzi az informatikai rendszer szereplőinek jogosultsági szintjét.


17.oldal

−

Ellenőrzi a fejlesztő rendszerek elkülönítésének megfelelősségét az éles rendszertől.

−

Felügyeli az informatikai központokat, eszközöket és infrastruktúrát érintő

−

Felügyeli a beruházásokat, a fejlesztéseket és az üzemvitelt informatikai

karbantartási terveket. biztonsági szempontból, illetve javaslatot tesz rájuk. −

Az új biztonságtechnikai eszközök és szoftverek tesztelésére ajánlást ad.

−

Szúrópróba-szerűen ellenőrzi: o

az egyes felhasználói gépek hardverkonfigurációját, és a telepített szoftvereket

összeveti

a

felhasználónak

engedélyezett

szoftverek

listájával; o

hogy a rendszerben aktuálisan beállított felhasználói jogosultságok megegyeznek-e a jóváhagyott (a jogosultsági nyilvántartásban is szereplő) jogosultságokkal;

o

hogy a javításra kiszállított eszközökön adat ne kerüljön ki;

o

az adathordozók selejtezését.

−

Értékeli a rendszer eseménynaplóit.

−

Ellenőrzi a víruskereső programok használatát.

−

Ellenőrzi a dokumentációk meglétét és megfelelősségét (teljes körű, aktuális).

−

Ellenőrzi, hogy a vonatkozó informatikai biztonsági követelményeket a rendszerek fejlesztési és az alkalmazási dokumentációiban is megjelenítik-e.

−

Amennyiben új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem erősítését.

−

Az

adott

szakterületek

feladatkörökhöz

vezetőivel

tartozóan

az

egyeztetve

informatikai

meghatározza

biztonsággal

az

egyes

kapcsolatosan

elsajátítandó ismeretek körét, és ellenőrzi az elsajátítás tényét. −

Javaslatot tesz informatikai biztonságot erősítő továbbképzésre.

−

Az IBSZ-t évente felülvizsgálja, és javaslatot tesz a gyakorlati tapasztalatok, előfordult informatikai rendkívüli események, a jogszabályi környezet változásai, a technikai fejlődés, az alkalmazott új informatikai eszközök, új programrendszerek, fejlesztési és védelmi eljárások miatt szükségessé váló módosításokra.

−

Javaslattételi joga van a fokozott és kiemelt védelmi osztályba sorolt informatikai rendszerek hozzáférési jogosultságainak kiadásában.

BIZTONSÁGI SZOLGÁLAT A

biztonsági

szolgálat

feladatait

és

jogait

a

Kormányhivatal

objektumvédelmi

szabályzatában kell meghatározni. SPECIÁLIS ÜZEMELTETÉSI SZOLGÁLAT A KIEMELT VÉDETTSÉGŰ IDŐSZAKRA Kiemelt védettségű időszakra (pl. választás) a Kormánymegbízott vagy az Informatikai Főosztály vezetője jogosult elrendelni speciális üzemeltetési szolgálatot. A szolgálatban résztvevő (külső és belső) személyek illetve cégek körét és a szolgálati feladatok ütemezését az Informatikai Főosztály vezetője határozza meg. A szolgálat feladata, hogy a kiemelt időszakban a hibákra (leállás, teljesítménycsökkenés stb.) történő reagálás a lehető leggyorsabban megtörténjen. Ezen belül a hiba


18.oldal

diagnosztizálása és javítása, illetve szükség esetén a tartalékmegoldások üzembe állítása minél előbb megtörténjen. A speciális üzemeltetési szolgálatot úgy kell megszervezni, hogy biztonsági incidensek vagy azok gyanúja esetén a szolgálat képes legyen a legnagyobb kockázatot jelentő biztonsági incidensek (pl. betörési kísérlet, DOS támadás) azonnali kezelésére is. A speciális üzemeltetési szolgálat résztvevőiről előre listát kell készíteni, amelyet az Informatikai Főosztály vezetője hagy jóvá. Gondoskodni kell arról, hogy a kiemelt időszakban az informatikai központokba kizárólag a listán szereplő személyek léphessenek be. Ennek esetleges változtatásait szintén az Informatikai Főosztály vezetőjének kell engedélyeznie. KÜLSŐ SZEMÉLYEK HOZZÁFÉRÉSÉNEK INFORMATIKAI BIZTONSÁGA KÜLSŐ SZEMÉLYEK FOGALMÁNAK MEGHATÁROZÁSA Külső fél meghatározás alatt azon természetes vagy jogi személy értendő, akiknek a Kormányhivatallal vagy a szakmai irányító szervekkel kötött szerződéses kapcsolat keretében, az Informatikai Főosztály által kezelt vagy felügyelt területen a Kormányhivatal vagy szakmai irányító szervek megrendelésére informatikával kapcsolatos munkát vagy tevékenységet végez. A munka során az Informatikai Főosztály gondoskodik a támogatásáról és felügyeletéről. Szakmai irányító szervek körét a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEK KH) valamint a szakigazgatási szervek központi szakmai irányító szervei alkotják. Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEK KH): −

Szakmai irányítást gyakorol a kormányhivatalok törzshivatala és szakigazgatási szerveinek informatikai tevékenysége felett, ennek keretében gondoskodik az informatikai üzemeltetés feltételeinek meghatározásától, valamint egyetértési jogot gyakorol az informatikai tárgyú szerződések megkötése során.

−

Közreműködik a közigazgatás korszerűsítésével és az e-közigazgatással összefüggő kormányzati stratégiai célok megvalósításában.

−

Biztosítja az okmányirodák feladatainak ellátásához a rendeletben meghatározott technikai eszközöket.

−

Működteti az Anyakönyvi Szolgáltató Alrendszert.

−

Gondoskodik a kezelésében lévő, a nemzeti adatvagyon körébe tartozó nyilvántartások fokozott védelméről, valamint a vonatkozó adatvédelmi és adatbiztonsági rendelkezések betartásáról.

−

Közreműködik

a

ügyfélszolgálatának

fővárosi

és

működésének

megyei

kormányhivatalok

megszervezésében,

részt

vesz

integrált annak

fejlesztésében. −

Az elektronikus ügyintézési felügyeletnek a közigazgatási szervek hatósági eljárásaiban használt, elektronikusan kitölthető űrlapok engedélyezésére irányuló eljárásában

–

az

űrlapok

logikai

és

formai

ellenőrzése,

valamint

minőségbiztosítása szakkérdésében – szakhatóságként közreműködik. A szakigazgatási szervek központi szakmai irányító szervei:


19.oldal

−

Irányítják a helyi szakigazgatási szervek szakmai munkáját, biztosítják a tevékenységek ellátásához szükséges szakmai alkalmazások rendelkezésre állását, fejlesztését.

−

Támogatást adnak a szakmai feladatok ellátásához szükséges egységes szakmai követelményrendszer, dokumentáció, szakanyag, rendeleti háttér biztosításával.

−

Javaslatot adnak a berendezések és műszerek beszerzésével és üzemeltetésével kapcsolatban.

−

A közös munka során együttműködnek a Kormányhivatallal, a megkötött megállapodások szellemében, figyelembe véve egymás érdekeit.

Társhatóságok: −

A Kormányhivatal ellenőrzését és felülvizsgálatát végzik az őket érintő területeken (pl.: katasztrófavédelem stb.). Az Informatikai Főosztály képviselője segíti az ellenőrzési tevékenységüket, kíséri és tájékoztatja szakértőiket a felmerülő informatikai kérdésekben.

Nemzeti Infokommunikációs Szolgáltató ZRT (NISZ): −

A kormányzati célú hírközlési szolgáltató feladata az elektronikus kormányzati szolgáltatások centrális hálózatának, a Központi Rendszernek az üzemeltetése, valamint az elektronikus kormányzás alapinfrastruktúrájának működtetése.

−

Biztosítja a kormányhivatali infokommunikációs hálózat csatlakoztatását a Nemzeti Távközlési Gerinchálózaton keresztül az egységes

kormányzati

hálózatra. −

Gondoskodik a felhordó hálózatok fizikai kialakításáról (migrálás, létesítés, változtatás).

BIZTONSÁGI KÖVETELMÉNYEK KÜLSŐ FELEK FELÉ A társhatóságokkal a Kormányhivatal megállapodás, vagy törvényi előírások szerint működik együtt, ezért a működés biztonsági szabályait ezen keretek szabályozzák. A külső fél munkavégzése során (kivéve társhatóságok) az Informatikai Főosztály szerződéses kötelezettség által és személyes ellenőrzésen keresztül (kapcsolattartó) gondoskodik az alábbi követelmények teljesüléséről: − −

Az informatikai rendszer integritása és az adatvédelem elvei nem sérülhetnek. A hozzáférési jogot kapott partnerek (szervezetek, személyek) ezt a jogot tovább nem adhatják.

−

A hozzáférési azonosítókat (behívószám, login név, jelszó stb.) a külső félnek titkosan kell kezelnie, biztosítania kell, hogy azokhoz illetéktelenek

ne

férhessenek hozzá. −

A külső félnek garantálnia kell, hogy azokon a gépeken, amelyeken keresztül a rendszerhez hozzáférnek, nincsenek backdoor programok. Ha ezek a gépek hálózatba vannak kötve, akkor a hálózat valamennyi gépére ki kell terjeszteni ezt a garanciát.

−

Rögzíteni kell, hogy a hozzáférés bármely, a rendszer integritását sértő célból történő felhasználási kísérlete a hatályos jogszabályok szerint bűncselekménynek minősül.

−

Ha külső fél távolról éri el a Kormányhivatal hálózatát, illetve valamely informatikai rendszerét, akkor a biztonságos elektronikus adatcsere kapcsolat érdekében a


20.oldal

külső fél köteles a Kormányhivatal által előírt biztonsági megoldásokat (pl. VPN kapcsolatot) megvalósítani mindazon saját eszközein, amelyekről a távoli elérés lehetséges. Bizalmas adatforgalom a Kormányhivatal és a külső fél között csak megfelelő titkosítási eljárás alkalmazása mellett történhet. TECHNIKAI SPECIFIKÁCIÓK Amennyiben a külső fél a jelen szabályzat hatálya alá tartozó rendszerek, vagy rendszerelemek vonatkozásában szolgáltatást nyújt, akkor 1. első lépésben részletesen meg kell határozni az érintett rendszerelemeket és az érintett folyamatokat; 2. ezt követően meg kell határozni azokat a paramétereket (normál üzemmódban minimálisan rendelkezésre álló eszközök számát, egyidejűleg működőképes eszközöket és operációs rendszer szoftvereket (típusonként), alkalmazások használóinak (típusonként) minimális számát, a maximális egyedi és átlagos kiesési időket, az üzemszerű módosítások átvezetésének maximális idejét, upgrade-ek követési idejét), amelyeket a külső partnernek el kell érnie ahhoz, hogy igazolható legyen a teljesítés. Arra az esetre, ha a teljesítés nem érte el a kitűzött paramétereket, a szerződésben meg kell határozni az alkalmazható szankciókat. A SZOLGÁLTATÁSOK FOLYAMATOSSÁGA Az Informatikai Főosztály vezetőjének mérlegelnie kell a külső féllel kapcsolatos rendelkezésre állási kockázatokat is. Amennyiben ez a Kormányhivatal által nyújtott szolgáltatások folyamatosságához szükséges, a külső féllel olyan szerződést kell kötni, amely a megfelelő rendelkezésre állási kötelezettségeket tartalmazza. FELADATMEGOSZTÁS Eszköz és alkalmazás csoportonként, ezen belül feladatokra lebontva részletesen és pontosan rögzíteni kell a szolgáltatást nyújtó külső partner és a belső munkatársak közötti feladat és felelősség megosztást, az egymás tájékoztatásának és a munkák átadásának illetve átvételének folyamatát, az események dokumentálását. A SZOLGÁLTATÁSOK BIZTONSÁGA A külső szolgáltatások igénybe vételénél mérlegelni kell, hogy a külső partner által nyújtott szolgáltatásnak milyen informatikai biztonsági vonatkozásai, kockázatai vannak. Ezzel arányosan kell meghatározni a külső fél által teljesítendő biztonsági kötelezettségeket, amelyeket írásos megállapodásban a szerződés szerves részeként kell rögzíteni. A külső (harmadik)

féllel, a szolgáltatást nyújtókkal kialakított kapcsolatnál a

Kormányhivatalnak biztosítania kell a biztonsági megállapodások (pl. titoktartási nyilatkozat) megfogalmazását, egyértelmű kinyilatkoztatását és elfogadását, és azt, hogy ezek a megállapodások feleljenek meg az általános igazgatási normáknak, legyenek összhangban a jogi és szabályozási követelményekkel, beleértve a kötelezettségeket is. Az így létrejött megállapodásokat (ezen belül minden titoktartási nyilatkozatot) biztonságos helyen, könnyen azonosítható, előkereshető módon kell tárolni. Ennek felelőse az Informatikai Főosztály vezetője. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

21.oldal

FELÜGYELET Az Informatikai Főosztály vezetőjének a külső (harmadik) fél részéről nyújtott szolgáltatások figyelésére olyan folyamatot kell kialakítania, amely biztosítani tudja a szerződéses megállapodások folyamatos, pontos betartatását. A SZOLGÁLTATÁSOK ELLENŐRZÉSE, SZANKCIÓK A külső felek által nyújtott szolgáltatások ellenőrzését rendszeresen kell végezni, és bármely felmerülő együttműködési probléma esetén ki kell deríteni annak okát. A hiba okának gyors és hatékony kiküszöbölése érdekében meg kell tenni a szükséges lépéseket. A külső féllel kötött szerződésben meg kell határozni, hogy a szolgáltatást nyújtó külső partner

nem

teljesítése,

hibája,

vétkessége

esetén

a

Kormányhivatal

milyen

kompenzációra illetve kártérítésre tarthat igényt, és azt milyen módon érvényesítheti,külön meghatározva a biztonsági előírások megsértése esetére vonatkozó szabályokat.

BESZERZÉSEK, KAPCSOLÓDÓ DOKUMENTUMKEZELÉS A beszerzési folyamathoz kapcsolódó dokumentumkezelés és minőségbiztosítás biztonsági vonatkozásait jelen dokumentum 14. fejezete tárgyalja. 6. AZ INFORMÁCIÓ VAGYON VÉDELMÉNEK SZABÁLYAI AZ INFORMÁCIÓ VAGYON ELSZÁMOLTATHATÓ KEZELÉSE TITOKVÉDELEM A Kormányhivatal informatikai adatfeldolgozással és kezeléssel valamint közzététellel foglalkozó minden munkatársának informatikai munkája során kötelessége betartani a Kormányhivatalaz

adatkezelés

és

az

adatvédelem

általános

szabályairól

szóló

szabályzatát, valamint a közérdekű adatok elektronikus közzétételére vonatkozó tevékenységről szóló szabályzatát. A Kormányhivatal informatikai rendszeréről és eszközeiről – a Közigazgatási és elektronikus Közszolgáltatások Központi Hivatalával egyeztetve – csak az Informatikai Főosztály szolgáltathat adatokat. A Kormányhivatal döntése alapján bevezetett alkalmazói rendszerek bevezetésében és felhasználásában

közreműködő

külső

fél

munkatársai

és

vezetői

a

Hivatalnál

rendszeresített titoktartási nyilatkozat tételére kötelesek. A titoktartási kötelezettség kiterjed az alkalmazói rendszerekkel kapcsolatos, illetve ezek bevezetése során tudomásra jutó információkra. Az alkalmazói rendszerek bevezetése és működtetése kapcsán a rendszerekkel kapcsolatba kerülő külső szervezetek, személyek felelősségi körük a tudomásukra jutott információkvonatkozásában kiterjed: −

kizárólagos Kormányhivatal által meghatározott célokra történő felhasználásra;

−

harmadik személy részére a Kormányhivatal képviselőjének írásos engedélye nélkül továbbítás tilalmára;

−

a hivatal tevékenységére vonatkozó információk rögzítésére a Kormányhivatal írásos engedélye nélküli rögzítés tilalmára.


22.oldal

ADATVÉDELEM Minden felhasználó (adatfeldolgozó) az általa végzett elektronikus adatfeldolgozás során személyesen

felelős

az

adatvédelmi

szabályok

és

információbiztonsági

előírásokbetartásáért. Külső fél munkavégzése során törekedni kell arra, hogy a feladatához szükségtelen hivatali adat, információ ne kerüljön tudomására valamint a feltétlenül szükséges adat birtoklásáról és az információ megismeréséről nyilatkozzon,és ha szükséges titoktartási nyilatkozatot tegyen. INFORMÁCIÓVÉDELEM A Kormányhivatal számítógépeiről, szervereiről – a munkahelyi célú felhasználás kivételével –nem engedélyezett programok, minősített adatot tartalmazó adatállományok, illetve a munkavégzés során szerzett egyéb adatok, információk másolása, azok más, illetéktelen személyekkel történő megismertetése. A minősített adatok kezelésére a Kormányhivatal minősített adatok védelméről szóló szabályzatának rendelkezései vonatkoznak. Nyomatképző berendezések (fénymásoló, nyomtató stb.) használata során gondoskodni kell a felesleges vagy rontott iratpéldányok megsemmisítéséről. Az eszközök (monitorok, nyomtatók, fénymásolók) elhelyezése során biztosítani kell, hogy bizalmas információ illetéktelen tudomására ne juthasson. Adathordozók és nyomtatványok tárolása során gondoskodni kell az illetéktelen személyek elleni hozzáférés megakadályozásáról. IT BIZTONSÁG Az IT biztonsággal szemben választott követelmények az informatikai rendszerek által kezelt adatok −

hitelességének (az információ megbízhatóságának és a közlő egyértelmű azonosításának biztosítása),

−

bizalmasságának (az információ jogosulatlan felhasználóktól való védelme),

−

sértetlenségének (az információ pontosságának és teljességének megtartása),

−

rendelkezésre állásának (annak biztosítása, hogy az információ hozzáférhető legyen az arra jogosult felhasználók számára, amikor azt igénylik)

megőrzésére irányulnak. INFORMÁCIÓ BIZTONSÁG KÖVETELMÉNYEI BIZALMASSÁG A Kormányhivatal területén végzet minden ügyfélforgalmi és ügyfél kiszolgálási tevékenység során szem előtt kell tartani az ügyfelek adatainak és információinak,az ügyük elemeinek bizalmas jellegét, ezért az informatikai struktúrát és környezetett ennek megfelelően kell kialakítani. SÉRTETLENSÉG Számítógép vagy programhibából eredő adatvesztés gyanúja esetén az - adatfeldolgozás szüneteltetése mellett – a kijelölt informatikust haladéktalanul értesíteni kell. Az értesítés 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

23.oldal

módja személyes, vagy telefonos értesítés, vagy az intranetes portál HelpDesk alkalmazásában tett bejelentés. A probléma tisztázása után az informatikus útmutatása szerint kell folytatni az adatrögzítést, illetve adatfeldolgozást. Az alkalmazások használata során az adatok felvitelét, módosítását, törlését kizárólag csak az Informatikai Főosztály által elfogadott és biztosított, a feldolgozásra készült programmal - szigorúan követve a felhasználói dokumentáció útmutatását – lehet elvégezni. Az

alkalmazásokhoz

és

hálózati

mappákhoz

(könyvtárakhoz)

való

hozzáférés

(jogosultságok) dokumentált engedélyeztetése útján gondoskodni kell arról, hogy jogosulatlan felhasználó azokat ne módosíthassa, és ne törölhesse. A mentések és archívumok tárolása és őrzése során biztosítani kell az adatok sértetlenségét. RENDELKEZÉSRE ÁLLÁS Az Informatikai Főosztály feladata biztosítani az informatikai rendszerek folyamatos rendelkezésre állását az alábbi eszközök felhasználásával: −

preventív módon a rendszeres adatmentések és szoftvertelepítő készletek megfelelő biztosításával és megfelelő tárolásával, valamint a szükséges karbantartási tevékenységek elvégzésével;

−

tartalék eszközök és alkatrészek biztosításával, helyreállítási módszerleírások, vészforgatókönyvek naprakész biztosításával.

AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSA ÚTMUTATÓ AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSÁHOZ A rendszerek információvagyonának biztonsági szempontú osztályozása az adatok bizalmassága,

megőrzési

követelményei

és

hitelessége

szempontjából

történik,

alkalmazva a 2013. évi L törvény 7-10. §-ban rögzítetteket. INFORMÁCIÓ VAGYON OSZTÁLYAI −

A közérdekű illetve a közérdekből nyilvános adatokat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény határozza meg.

−

A közérdekű adat nyilvánosságához fűződő jogok minősítéssel történő korlátozását a minősített adat védelméről szóló 2009. évi CLV. törvény szabályozza.

−

A nemzet érdekében kiemelten fontos – napjaink információs társadalmát érő fenyegetések miatt – a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs

rendszerek

és

rendszerelemek

biztonságával

kapcsolatos

rendelkezéseket a 2013. évi L törvény határozza meg. −

Az üzleti titok körébe tartozó adatokat az 1959. évi IV. Törvény (Ptk) 81. § határozza

−

Az adatok minősítője, amennyiben azt jogszabály nem szabályozza, annak a

meg. szervezeti egységnek a vezetője, amelynek érdekkörébe az adat tartozik. −

A rendszerekben nyilvánosnak csak a Kormányhivatal által egyértelműen annak

−

A nyilvános adatok kivételével, valamennyi adatot legalább érzékeny adatnak kell

minősített információ tekinthető. tekinteni és bizalmasként (védendő nem titkos adat) kell kezelni. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

24.oldal

INFORMÁCIÓ VAGYON NYILVÁNTARTÁSA Az adatkezelésre vonatkozó szabályokat az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény tartalmazza. Az informatikai adatkezelés és adatfeldolgozási munka során a Kormányhivatal adatkezelés és adatvédelem általános szabályairól szóló szabályzata szerint kell eljárni. ADATKEZELÉS KÜLÖNLEGES ADATOK KEZELÉSE A Kormányhivatal adatkezelés rendjéről szóló szabályzatában foglaltakat kell alkalmazni. SZEMÉLYES ADATOK KEZELÉSE A Kormányhivatal adatkezelés rendjéről szóló szabályzatában foglaltakat kell alkalmazni. KÖZÉRDEKŰ ADATOK KEZELÉSE A Kormányhivatal adatkezelés rendjéről, közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni. KÖZÉRDEKBŐL NYILVÁNOS ADATOK KEZELÉSE A Kormányhivataladatkezelés rendjéről, közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni. NYILVÁNOS ADATOK KEZELÉSE A Kormányhivatal adatkezelés rendjéről, közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni. VÉDELEM MÓDSZEREI ÁLTALÁNOS VÉDELEM A Kormányhivatal informatikai hálózatában az internet kijárat védelme érdekében biztonsági és védelmi megoldásokat kell alkalmazni. Gondoskodni kell a hálózat fizikai elemeinek védelméről: −

a

vezetékek

és

végpontok

illetéktelenek

általi

hozzáférésének

megakadályozásáról, −

vezeték nélküli kapcsolatok megfelelő titkosításáról,

−

eszközhöz való illetéktelen hozzáférés megakadályozásáról.

PROAKTÍV VÉDELEM Az Informatikai Főosztály gondoskodik a Kormányhivatal informatikai rendszerének behatolás elleni védeleméről (tűzfal), az erre vonatkozó szakmai előírások és a biztonsági szabályok betartása mellett. Az informatikai rendszer automatikus vírusvédelmi rendszerrel kell ellátni, üzemeltetését és felügyeletét a központi szervekkel együttműködve az Informatikai Főosztály látja el


25.oldal

Az Informatikai Főosztály feladata a vírusvédelmi rendszer oly módon történő konfigurálása, hogy −

minden kimeneti és bemeneti eszköz és csatorna esetében folyamatos legyen a valósidejű vírusfigyelés;

−

a vírusvédelmi szoftver vírustalálat esetén a vírust távolítsa el az érintett fájlból,

−

a vírusvédelmi szoftver vírusincidens esetén értesítést küldjön az Informatikai

vagy a fájlt helyezze karanténba; Főosztálynak; −

a kliens gépeken teljes víruskeresés történjen legalább havi egy alkalommal olyan időszakban, amikor a legtöbb kliens gép be van kapcsolva, de a gépek leterheltsége a lehető legkisebb.

Szerverek esetén alkalmazandó vírusvédelmi eljárások: −

Minden

szerverhez,

amelyhez

kereskedelmi

forgalomban

beszerezhető

vírusvédelmi szoftver, azt be kell szerezni, és telepíteni kell. −

Biztosítani kell, hogy a szerveroldali vírusvédelmi szoftver, víruskereső motor és vírusminta adatbázisa automatikusan frissüljön.

−

A levelező szerver esetében a levelezésért felelős alkalmazásba beépülő, a levélforgalom vizsgálatát végző vírusvédelmi szoftvert kell alkalmazni.

Az elektronikus levelezés biztonsági irányelveinek érvényesítéséről a levelező rendszer üzemeltetője felelős. Az irányelvek a következők: −

a folyamatos üzembiztonság megvalósítása;

−

azelektronikusküldeményekadatintegritásánakmegtartása;

−

alevelezőrendszervírusvédelménekbiztosítása és folyamatos frissítése;

−

azelektronikuslevelezőeszközök,elsősorbanaszerverekfizikaiéslogikaivédelme (szoftverfrissítések,szerviz csomagokésbiztonsági hibajavításoktelepítése).

DEFENZÍV VÉDELEM Az Informatikai Főosztály által felügyelt területen és szervezeti egységeknél informatikai hálózatot, illetve vezetékes vagy mobil internet kapcsolatot csak az Informatikai Főosztály engedélyezhet, hagyhat jóvá és hozhat létre. Az NTG kapcsolat mellett egy időben másik hálózati kapcsolatot létesíteni tilos. A használatra kapott számítógép rendszerszintű beállításainak módosítása nem engedélyezett. (Ebbe nem értendők bele az irodai programok felhasználói beállításai). A felhasználónak a vírusvédelmi programot inaktívvá tenni, a beállításokat megváltoztatni, a vírusvédelmet eltávolítani nem engedélyezett. Vírussal fertőzött fájlt vagy elektronikus adathordozót bármilyen formában továbbítani, továbbadni, illetve fertőzött állománnyal munkát végezni nem engedélyezett! A Kormányhivatalban az elektronikus levelezést a Közigazgatási és Igazságügyi Minisztérium által kijelölt szervnél vagy a szakigazgatási szervek központi szerveinél üzemeltetett levelező szerverek biztosítják. Más levelező rendszer használata hivatalos levelezésre nem alkalmazható. Az Informatikai Főosztály más levelező rendszer használatát biztonsági okból korlátozhatja, vagy letilthatja.


26.oldal

A Kormányhivatal informatikai rendszerébe és informatikai eszközén csak azon szoftvert szabad telepíteni és használni, amelyik: −

a kormányhivatal által jóváhagyott, telepítésre kiadott és engedélyezett nyílt forráskódú szoftver;

−

szerzői jog szerint biztosított licencigazolással, illetve más jogi igazolással rendelkező, illetve tulajdonosi vagy használói szerződéssel biztosított hivatalos forrásból származó jogtiszta szoftver;

−

a szakigazgatási szervek szakmai irányító szervei felelőségi körébe tartózó és részükről

rendelkezésre

bocsátott

telepítési

utasítással

vagy

más

megállapodással kiadott szoftver. 7. A HR ERŐFORRÁSOKRA VONATKOZÓ BIZTONSÁGI SZABÁLYOK MUNKAKÖRI BIZTONSÁGI ELŐÍRÁSOK ÁLTALÁNOS BIZTONSÁGI KÖTELEZETTSÉGEK −

Az informatikai rendszerek használata csak hivatalos célokra engedélyezett.

−

A használt informatikai eszközpark kezelésével kapcsolatos kezelési és biztonsági ismereteket el kell sajátítani, és készség szintjére kell fejleszteni.

−

A rendszerekbe csak szabályszerűen, a személyes felhasználó-azonosító kóddal szabad bejelentkezni.

−

Az informatikai rendszerekben csak azokat a feladatokat szabad elvégezni, amelyek a felhasználó vagy üzemeltető munkájának ellátásához szükségesek, függetlenül attól, hogy a rendszer esetleg ennél szélesebb körű tevékenységet enged meg.

−

Minden személynek biztosítania kell, hogy felhasználó-azonosítóját más felhasználók ne tudják használni.

−

A képernyőket, nyomtatókat úgy kell elhelyezni, hogy azok minél kevesebb lehetőséget biztosítsanak illetéktelen betekintésre.

−

A Kormányhivatal által rendszeresített biztonsági funkciókat (például automatikus képernyővédő-aktiválás) kikapcsolni, megkerülni tilos.

−

A Kormányhivatal eszközein csak a Kormányhivatal által engedélyezett eszközöket és

−

Tartózkodni kell minden olyan tevékenységtől, amely az informatikai rendszerben kárt

programokat szabad használni. okoz a biztonság, a sértetlenség és teljesítmény terén. −

Az információtechnológiai biztonságra és az adatvédelemre vonatkozó minden egyéb

−

Esetleges meghibásodás eseten törekedni kell a további károsodás megelőzésére (a

utasítást és jogszabályt be kell tartani. hiba jelentésével, a további használat mellőzésével stb.). −

A felhasználónak vagy üzemeltetőnek ismernie kell a segítségkérés és hibajelentés módját. Amennyiben ez az ismeret nem áll rendelkezésére, hiba esetén értesítenie kell a munkahelyi vezetőjét, külső személyek esetén a Kormányhivatal kijelölt kapcsolattartóját.

−

Az informatikai biztonságot veszélyeztető eseményről vagy ennek gyanújáról értesíteni kell az informatikust és a munkahelyi vezetőt, külső személyek esetén a Kormányhivatal kijelölt kapcsolattartóját.

−

A közvetlen munkahelyi vezető (külső személyek esetén a Hivatal kijelölt kapcsolattartója) a felelős azért, hogy a fenti szabályokat az érintettekkel ismertesse.


27.oldal

A JELSZÓKEZELÉS ÁLTALÁNOS SZABÁLYAI A felhasználó, illetve informatikus a számítógépre csak saját nevében és jelszavával léphet be, és az alkalmazásokat csak saját nevében használhatja. Ettől eltérően indokolt esetben, az illetékes szervezeti egység vezetőjének kérésére, az Informatikai Főosztály vezetőjének egyedi írásos engedélyének birtokában járhat el. A jelszó érvényességi idejét, ezzel együtt a jelszócsere gyakoriságát az informatikai rendszer központi szabályozása vagy a használt rendszer működése határozza meg. A jelszó cseréjét ezen értesítés hiányában legalább 90 naponta kötelező elvégezni. Ha az informatika

rendszer

lehetővé

teszi,

törekedni

kell

arra,

hogy

a

jelszócsere

kikényszerítésre kerüljön, illetve a felhasználó e-mailes értesítést kapjon a jelszó csere szükségességéről A felhasználó jelszókezelési szabályai: −

jelszavak nemhozhatóknyilvánosságra;

−

ajelszavakbiztonságánakmegőrzéséértafelhasználószemélyesenfelel;

−

afelhasználóajelszavátnemoszthatjamegsenkivel;

−

haafelhasználónakalegkisebbgyanújaisfelmerül,ajelszóbiztonságánakintegritásafe löl,aztkötelesazonnalmegváltoztatni és gyanújáról az Informatikai Főosztályt értesíteni;

−

másfelhasználóazonosítójátátmenetijelleggelsemszabadhasználni;

−

a felhasználó köteles a jelszavát az előírt gyakorisággal és módon megváltoztatni.

A felhasználói azonosító kialakításáról, és az informatikai rendszerbe történő felvételéről az Informatikai Főosztály informatikusai gondoskodnak. Az Informatikai Főosztály alapértelmezett jelszóval adja át az első belépéshez szükséges információt a felhasználónak, akinek a jelszót az első belépés után kötelessége azonnal megváltoztatni.

Új belépő, vagy új hozzáférés kiosztása esetén a kijelölt informatikus szóban, vagy írásban ismerteti a felhasználóval a munkájához szükséges felhasználó nevét és induló jelszavát és az első belépést követően elkészíti az informatikai eszközein a szükséges beállításokat. Ha a felhasználónak tudomása vagy gyanúja támad arról, hogy jelszava valakinek tudomására jutott, akkor erről a tényről az Informatikai Főosztály kijelölt informatikusát tájékoztatni kell és a jelszót azonnal meg kell változtatnia. KEZELŐI TITOKTARTÁSI NYILATKOZAT Ha a Kormányhivatal vagy a központi szervek üzemeltetési megállapodásai előírják, akkor az alkalmazások használóinak (felhasználóknak) titoktartási nyilatkozatot kell tenniük, hogy jogosultságot kapjanak az alkalmazásokhoz. FELHASZNÁLÓK OKTATÁSA, KÉPZÉSE INFORMATIKAI BIZTONSÁGI OKTATÁS ÉS KÉPZÉS A Kormányhivatal rendszereit csak olyan személyek használhatják, akik megfelelő informatikai ismeretekkel rendelkeznek. Az új belépő közszolgálati tisztviselőt az illetékes szervezeti egység vezetője utasítja a szükséges informatikai ismeretek megismerésére. Ezt követően a kijelölt informatikus tájékoztatja a felhasználót az informatikai rendszer 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

28.oldal

használatához szükséges alapvető ismeretekről és eljárásokról, a rá vonatkozó informatikai

szabályzatok

elérhetőségéről,

és

felkéri

annak

megismerésére

és

betartására. A szükséges informatikai ismeretek és az informatikai szabályzatok megismerésének tényét a dolgozó aláírásával igazolja (IBNY16. melléklet). A

belső

informatikai

biztonsági

oktatások

és

továbbképzések

tematikájának

kidolgozásáért, a szükséges tájékoztató anyagok biztosításáért az informatikai biztonsági megbízott felelős. Az oktatáson, illetve továbbképzésen való részvétel az informatikai rendszerek felhasználói számára kötelezőek. A megjelenést a résztvevők aláírásukkal igazolják. Minden felhasználó köteles a vonatkozó informatikai-szakmai szabályzatokat megismerni és betartani, illetve köteles ezek betartása során az informatikai rendszer használatát irányító személyekkel együttműködni. INFORMATIKAI BIZTONSÁGÉRTÉKELÉSE Az informatika biztonsági megbízott évente egyszer köteles jelentést készíteni az Informatikai Főosztály vezetője részére a felhasználók oktatásáról. Az informatika biztonsági megbízott évente egyszer köteles jelentést készíteni az IBSZ szabályait

figyelembe

véve

az

informatikai

folyamatok

felhasználókat

érintő

ellenőrzéséről. 8. AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE IT BIZTONSÁGI INCIDENSEK JELENTÉSI KÖTELEZETTSÉGE Az informatikai rendszereket érintő (vagy vele összefüggésbe hozható) bármilyen bekövetkezett, vagy előre látható biztonsági eseményt (betörés, lopás, tűz, víz, villámcsapás, balesetveszélyes eszköz, eszköz elvesztése vagy eltűnése stb.) az Informatikai Főosztály felé az eseményt észlelőnek azonnal jelezni kell. A felhasználó köteles jelezni az Informatikai Főosztálynak bármely, az informatikai biztonságot érintő gyanús eseményt (pl.: előző nap lekapcsolt, de reggel bekapcsolva talált gépet), vagy ezzel kapcsolatos gyanúját. IT BIZTONSÁGI INCIDENSEK JELENTÉSÉNEK MÓDJA Felhasználói hiba észlelés: −

haladéktalanul értesíteni kell telefonon vagy személyesen az Informatikai Főosztály munkatársát;

−

az eseményt, bekövetkezte után, lehetőleg azonnal, vagy rövid időn belül, írásban (e-mail, levél), vagy ha lehetőség van rá, a Kormányhivatal HelpDesk rendszerében is jelezni kell,

−

központi

üzemeltetésű

szakmai

alkalmazással

kapcsolatos

probléma

esetén

a

kormányhivatal szakigazgatási szervének ügyintézője a hibát közvetlenül a központi szakigazgatási szerv szakmai HelpDesk rendszerébe is bejelentheti. Biztonsági esemény esetén: −

Haladéktalanul telefonon értesíteni kell az Informatikai Főosztály vezetőjét vagy helyettesét, aki az esemény jellegétől függően intézkedik, indokolt esetben tájékoztatja a Főigazgatót.

−

Az eseményt követően az eseményről jegyzőkönyvet kell készíteni, és azt az Informatikai Főosztály részére írásban meg kell küldeni. A jegyzőkönyvben rögzíteni kell az esemény


29.oldal

részleteit, valamint az informatikai központban tartózkodók nevét, a tartózkodás időtartamát és okát. IT BIZTONSÁGI HIÁNYOSSÁGOK JELENTÉSI KÖTELEZETTSÉGE Az informatikai rendszer bármely felhasználói pontján jelentkező, a hálózattal, eszközzel, illetve adott alkalmazással kapcsolatban felmerülő rendellenes működés, jelenség, vírusjelzés, futási hiba esetén használója köteles a tapasztalt jelenséget, és ha van, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni a kijelölt informatikus felé. INCIDENSEK NYILVÁNTARTÁSA ÉS KIVIZSGÁLÁSA Az informatikai incidenseket az Informatikai Főosztály munkatársai, illetve a felhasználók az Kormányhivatal HelpDesk rendszerében rögzítik vagy rögzíttetik, és az incidenseket ott tartják nyilván. Az Informatikai Főosztály kijelölt szakembere vagy az informatikai biztonsági megbízott a rendelkezésre álló nyilvántartásokat (HelpDesk adatbázis alkalmazás digitális adatait, papíralapú eseménynaplókat, belépési naplókat) negyedévente elemzi, és a tanulságokat felhasználja: −

beszerzések tervezésénél;

−

selejtezések tervezésénél;

−

biztonsági konzekvenciák levonásakor;

−

beszámoló készítésekor;

−

IBSZ felülvizsgálatakor.

VISSZAJELZÉS A BIZTONSÁGI INCIDENSEKRŐL A kijelölt informatikus a hiba elhárítása érdekében intézkedik, vagy a probléma elhárítását elvégzi, a hiba megszüntetéséről és a további teendőkről a felhasználót folyamatosan tájékoztatja. Helyettesítő eszköz biztosításával gondoskodik a felhasználó munkavégzési lehetőségéről. ELJÁRÁS A BIZTONSÁGI ELŐÍRÁSOK MEGSÉRTŐIVEL SZEMBEN Az informatikai rendszer rendellenes működése vagy a biztonságot veszélyeztető esemény elhárítása érdekében az informatikai eszközök használatát, a hálózat működését, az internet és levelezés használatát az Informatikai Főosztály részben vagy egészében korlátozhatja vagy leállíthatja a szervezeti egység vezetőjével történt tájékoztatást vagy egyeztetést követően. A Kormányhivatal szankciókat alkalmazhat az internethasználat és elektronikus levelezés szabályainak megszegése esetén, ha a felhasználó az internetezés során a figyelmeztetését követően is szándékosan és rendszeresen: −

megszegi az internethasználat szabályait;

−

olyan magatartás tanúsít, melyek által súlyosan vét a munkahelyi etikai szabályok ellen;

−

tiltott tartalmú kategóriába sorolt oldalakat látogat (kivéve egyedi írásos engedéllyel);

−

tiltott tevékenységet folytat.

Az IBSZ szándékos, vagy az ismeret hiányából eredő megszegőjével szemben az Informatikai Főosztály az érintett felhasználó felettese felé figyelmeztető felszólítást vagy fegyelmi eljárást kezdeményezhet.


30.oldal

9. A FIZIKAI ÉS KÖRNYEZETI INFRASTRUKTÚRA BIZTONSÁGA VÉDETT, BIZTONSÁGOS TERÜLETEK FIZIKAI BIZTONSÁGI ELKÜLÖNÍTÉS A

Kormányhivatal

informatikai

infrastruktúra

elemeinek

és

a

helyiségeknek

a

kockázatokkal és a tágabb értelemben vett értékükkel arányos fizikai védelmet kell biztosítani. Az informatikai rendszer kritikussága és a benne kezelt adatok besorolásának kockázata alapján a helyiségeket a függelékben lévő IBNY17. melléklet táblázatának segítségével biztonsági zónák szerint kell besorolni. A biztonsági követelményeknek megfelelően úgy kell a helyiségeket kialakítani, hogy a rendszerek és adatok megfelelő fizikai és környezeti védelmét

garantálni

tudják.

A

kialakított

információbiztonsági

zónákban

történő

munkavégzésre – a zónát veszélyeztető fenyegetettségek függvényében – más-más informatikai biztonsági követelmények vonatkoznak. KIEMELTEN VÉDENDŐ TERÜLETEK Informatikai központoknak minősülnek azon helyiségek, melyek működő szerverek illetve hálózati elosztó elemek (router, switch) elhelyezésére és működtetésére szolgálnak, kivételt képeznek azon egyéb helyiségek, melyekben zárt, kulccsal biztosított rack szekrény található. Az informatikai biztonsági zónákba való belépési jogosultságot személyre szólóan, az adott személy feladata alapján kell meghatározni. Állandó vagy egyedi belépési jogosultságot az informatikai központba az Informatikai Főosztály vezetője adhat. MUNKAVÉGZÉS SZABÁLYAI A SZÁMÍTÓKÖZPONTOKBAN A belépési jogosultsággal nem rendelkezők az informatikai központban csak az arra jogosultak felügyelete mellett tartozódhatnak. Az informatikai központokba belépési jogosultsággal nem rendelkező személyek esetén, ha belépés munkavégzés, szemle, felmérés, ellenőrzés céljából történik, az eseményt a belépési naplóban (IBNY13. melléklet) rögzíteni kell. Abban az esetben, ha az informatikai központba (pl.: szerverszoba) valamilyen okból (szemle, ellenőrzés, szerelés stb.) belépési jogosultsággal nem rendelkező személynek be kell jutni, arról előzetes egyeztetés mellett a kijelölt informatikus gondoskodik. A szerverszobában nem engedélyezett: −

állandó jelleggelmunkátvégezni;

−

az eszközök közelében ételt,italtfogyasztani;

−

tűz vagy robbanásveszélyes anyagot tárolni.

Törekedni kell arra, hogy az informatikai központban a helyiség funkciójától eltérő anyagot vagy eszközt ne tároljanak. Az informatikai központ helyiségeiben elhelyezett szerver- és nem szerverként működő számítógépeket,

hálózati

eszközöket,

az

informatikai

központokban

használt

klímaberendezéseket és biztonsági berendezéseket az év minden napján, a nap 24 órájában folyamatosan kell üzemeltetni.


31.oldal

Az informatikai központok számítógépeire telepített szoftverek karbantartását kijelölt informatikusok végzik. Az Informatikai Főosztályt értesíteni kell az informatikai központok területén érzékelt, különös jelentőséggel bíró egyéb események bekövetkezéséről (pl.: betörési kísérlet). A hálózati eszközök üzemeltetése és felügyelete a szakmai irányító központi szervekkel együttműködve történik. KONTROLLOK A szerverek üzemeltetéséről az Informatikai Főosztály eseménynaplót vezet (NY12-es melléklet) papír alapon vagy digitális formában, lehetőség szerint a Kormányhivatal HelpDesk alkalmazásában. Az informatikai központok belépési naplóinak kötelező vezetése az ellenőrzött körülmények kikényszerítésének eszköze. ELLENŐRZÉS Az informatikai központok üzemeltetési feltételeit és az ott készült naplókat az informatikai biztonsági megbízott legalább évente egyszer szúrópróba szerű ellenőrzés során megvizsgálja, és jelentést készít a tapasztalatairól az Informatikai Főosztály vezetőjének. ESZKÖZBIZTONSÁG ESZKÖZÖK Az informatikai eszközök nyilvántartásáért az Informatikai Főosztály tartozik felelősséggel. A kijelölt informatikus az eszközöket az informatikai eszköznyilvántartásban tartja nyilván, és a változásokat lehetőség szerint azonnal, de legkésőbb három napon belül aktualizálja. ESZKÖZÖK ÉLETCIKLUSA Az informatikai eszközök üzembe helyezésére és selejtezésére, csak az Informatikai Főosztály kijelölt informatikusa jogosult a Kormányhivatal leltározási és selejtezési szabályzatai előírásait betartva. Az eszközök használata és tárolása során a felhasználónak biztosítani kell annak fizikai védelmét. Az eszközök teljes életciklusa alatt kötelező annak nyilvántartása, és mozgatásának dokumentálása (üzembe helyezési dokumentum, átadás-átvétel nyomtatvány, szállítók, selejtezési bizonylat). ESZKÖZÖK ELHELYEZÉSE ÉS VÉDELME Az informatikai berendezéseket, eszközöket fizikai valójukban is védeni kell a biztonságot fenyegető veszélyektől és a káros környezeti hatásoktól. A környezeti veszélyek és kockázatok mérséklése érdekében: −

a berendezéseket úgy kell elhelyezni, hogy lehetőleg megakadályozza az illetéktelen hozzáférést;

−

a különleges védelmet igénylő, fokozott és kiemelt biztonsági osztályba tartozó eszközöket elkülönítetten kell elhelyezni és használni;

−

a környezeti hatások és a lehetséges veszélyforrások folyamatos vizsgálatával és elemzésével kell törekedni a szükséges működési feltételek biztosítására.


32.oldal

Az informatikai eszközök rendeltetésszerű használatáért a számviteli leltárban az eszköz használójaként kijelölt kormányhivatali alkalmazott a felelős, vagy az a személy, aki vezetői utasításra és engedélyével azt használta. Közös használatú eszköz esetén az eszközök rendeltetésszerű használatáért, az a személy a felelős, akit a vezető adott esetben kijelöl eszközök felügyeletére (csoportvezető, ügyeletes, munkafelelős stb.). A munkája során számítógépet használó felhasználó köteles az általa működtetett számítógépet és az ahhoz csatlakoztatott eszközöket: −

a rendeltetésnek megfelelően;

−

munkavégzés céljából, szakszerűen, a kormányhivatal érdekeit szem előtt tartva az Informatikai Biztonsági Szabályzatban meghatározott módon használni;

−

kikapcsolni, ha előre láthatóan hosszabb - 1 órát meghaladó - ideig nem

−

a munka befejeztével valamennyi eszközt kikapcsolni (kivéve akkor, ha ezzel

használja; ellentétes állandó vagy egyedi írásos utasítást, illetve tájékoztatást nem kap). Az informatikai eszközök használata során nem engedélyezett: −

az eszközt illetéktelen személynek átengedni;

−

az eszköz közelében folyadékot, éghető anyagot, illetve felette, alatta vagy rajta az eszköz rendeltetésétől eltérő anyagot, tárgyat elhelyezni és tárolni;

−

nem engedélyezett az eszközt a telepítési helyéről elmozdítani és elvinni a kijelölt informatikus engedélye és közreműködése nélkül (kivételt képeznek a mobil eszközök).

Az informatikai eszközöknek a munkafeladattól eltérő célra történő használatához a szervezeti

egység

vezetőjének

engedélye

és

az

informatikai

főosztályvezető

hozzájárulása szükséges. Az informatikai eszközökhöz bármilyen külső eszközt, illetve kábelt csatlakoztatni csak a kijelölt informatikus engedélyével vagy közreműködésével lehet. Az informatikus által már csatlakoztatott és beüzemelt eszköz további használata visszavonásig engedélyezett (pl.: pendrive, fényképezőgép). Címkét, jelölést, feliratot csak a kijelölt informatikus helyezhet az informatikai eszközökre, illetve távolíthat el onnét. Az eszközök burkolatát megbontatni nem engedélyezett. Alkatrészt csak a kijelölt informatikus helyezhet be az eszközbe, illetve szerelhet ki az eszközből. Az ügyfélszolgálatot bonyolító helységekben az informatikai eszközöket (pl.: monitor, billentyűzet, nyomtató) lehetőleg úgy kell elhelyezni, hogy illetéktelen ne lásson rá, megelőzve ezzel a jelszavak és bizalmas információk kiszivárgását. TÁPELLÁTÁS Az informatikai eszközök a vonatkozó szabványnak megfelelően kizárólag védőföldeléssel ellátott 230 V feszültségű elektromos hálózati dugaszoló aljzatba csatlakoztathatók. Az Informatikai Főosztálynak törekedni kell arra, hogy a szervezeti szintű alkalmazások működését befolyásoló informatikai és távközlési eszközök szünetmentes tápegységekkel legyenek ellátva.


33.oldal

KÁBELEZÉS BIZTONSÁGA A

Kormányhivatal

területén

az

informatikai

rendszert,

áramellátó

hálózatot,

telefonhálózatot érintő bármilyen beavatkozást, építést, karbantartást, átalakítást csak az Informatikai Főosztály tájékoztatása után, annak jóváhagyásával, és felügyeletével lehet végezni. A kábeleket a kábelrendező és a csatlakozó aljzatok között rögzített csatornában kell vezetni, a lengőkábelek nem keresztezhetnek közlekedési utat. A hálózat valamennyi elemét olyan környezetben kell elhelyezni, ahol a jogosulatlan fizikai hozzáférés megakadályozott. ESZKÖZÖK KARBANTARTÁSA Az informatikai eszközök rendelkezésre állásának biztosítása érdekében az Informatikai Főosztály kijelölt informatikusai szükség szerint, illetve tervezett és a felhasználókkal egyeztetett módon karbantartást végeznek. Az informatikai eszközök és berendezések folyamatos használata és rendelkezésre állásának biztosítása érdekében: −

a specifikációban javasolt időközönként el kell végezni a berendezések karbantartását;

−

a berendezések kezelését, illetve javítását csak megfelelő szakképzettséggel

−

az informatikai eszközök külső helyszínen történő javítása, karbantartása esetén

rendelkező személyek végezhetik; gondoskodni kell az eszközön tárolt adatok végleges (visszaállíthatatlan) törléséről, vagy az adathordozó eltávolításáról. ESZKÖZÖK HASZNÁLATA A HIVATAL TERÜLETÉN KÍVÜL A Kormányhivatal tulajdonát képező mobil informatikai eszközöket a Kormányhivatal területén kívül csak az érintett szervezeti egység vezetőjének írásos engedélyével rendelkező személyek használhatják az Informatikai Főosztály hozzájárulásával, a nyilvántartási előírások betartása mellett. A mobil informatikai eszköz az arra felhatalmazott személy részére történő átadásakor az Informatikai Főosztály kijelölt informatikusa tárolási nyilatkozatot (IBNY01. melléklet) készít, mely tartalmazza az eszköz műszaki adatait, az átadás-átvétel adatait és az eszközön telepített szoftverek adatait. Az Informatikai Főosztály kijelölt informatikusa köteles az eszköz átadása során felvilágosítani a dolgozót a mobil informatikai eszközök használatának veszélyeiről, kockázatairól, amit a dolgozó a tárolási nyilatkozaton (IBNY01. melléklet) aláírásával igazol, és az eszközért felelősséget vállal. Nem tikosított, nyílt hálózati kapcsolatok (Wi-Fi, Bluetooth) használata biztonsági szempontok miatt nem engedélyezett. Az eszközön a vezeték nélküli kapcsolatot alapértelmezésben kikapcsolt állapotban kell tartani. A felhasználó köteles a mobil informatikai eszközt lehetőleg hetente (de hosszabb távollét esetén lehetőleg havonta) a Kormányhivatal hálózatához csatlakoztatni abból a célból, hogy a biztonsági és vírusvédelmi frissítések települhessenek, megőrizve ezzel a biztonság integritását. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

34.oldal

A felhasználó a szervezeti egység vezetője engedélyével (IBNY02-es adatlap)igényelheti, hogy a hivatali SIM kártyát tartalmazó mobil infokommunikációs eszközét, illetve okos telefonját az internetes szolgáltatások elérése céljábólvezeték nélküli hálózathoz csatlakoztathassa az alábbi feltételek betartásával: −

az eszköznek rendelkeznie kell frissített, az Informatikai Főosztály által

−

az eszköz kizárólag legalább WPA2-PSK kódolással csatlakoztatható vezeték

jóváhagyott vírusvédelemmel; nélküli hálózathoz, nem megfelelő szinten tikosított illetve nyílt hálózati kapcsolatok használata nem engedélyezett; −

a hivatali vezeték nélküli hálózatra való csatlakozás esetén az eszköz hálózathoz történő csatlakoztatási beállításait és első csatlakoztatását az Informatikai Főosztály munkatársa végzi;

−

az eszközt időszakonkénti, minimum évenkénti ellenőrzés céljából a felhasználó bemutatja az Informatikai Főosztály megbízott munkatársának (beállítások és vírusvédelem ellenőrzése céljából).

A mobil eszközöket használó személyeknek: −

nem engedélyezett az eszközt gépjárműben, idegen helyen felügyelet nélkül hagyni;

−

a repülés, vagy vonatút alatt a személyi számítógépet kézipoggyászként kell szállítani;

−

a Kormányhivatal területén kívül, idegen helyen történő tárolás esetén (szálloda, lakás) fokozott figyelmet kell fordítani a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása, vagy ellopása elleni védelemre;

−

nem engedélyezett az eszköz engedély nélküli átruházása vagy adatainak

−

nem engedélyezett megfelelő védelem nélkül idegen hálózathoz csatlakoztatni az

közlése; eszközt; −

nem engedélyezett a gépet bármilyen indokolatlan veszélynek kitenni vagy nem rendeltetésszerűen használni.

Mobil adathordozót a felhasználók számára az adott szervezeti egység vezetője a „Mobil adathordozó engedélyezése” adatlapon kérhet (IBNY06. melléklet) az Informatikai Főosztálytól. Ezen az adatlapon kérheti a külső adathordozó eszközök hozzáférésének egyedi engedélyezését is. Az engedélyezést és az eszköz átadását követően az adatlapot az Adathordozó nyilvántartáshoz (IBNY07. melléklet) kell csatolni. Az adatokat a mobil adathordozóról a feladat elvégzése után, védett hálózati meghajtóra való felmásolást követően, le kell törölni és az adathordozót a tároló helyre vissza kell adni az esemény dokumentálása mellett. A kódolatlan mobil adathordozó eszközök rendkívül nagy kockázati veszélyforrást jelentenek, ezért a felhasználók csak informatikai ellenőrzés mellett használhatják. A hivatali adathordozón magánjellegű adatot tárolni nem engedélyezett, magánjellegű adathordozót hivatali célra használni nem engedélyezett, azon hivatali adatot tárolni nem szabad.


35.oldal

A Kormányhivatal informatikai rendszerébe kapcsolt munkaállomásokon csak olyan adathordozót lehet használni, arról adatokat beolvasni, melyen előtte a rendszeresített és telepített víruskereső programmal vírusellenőrzést végeztek. A mobil infokommunikációs eszközök, mobil adathordozókfelhasználói felelősek az eszközön eltűnéséért,

található

adatok

esetleges

megsérüléséért.

A

kiszivárgásáért,

mobil

az

eszköz

infokommunikációs

elvesztéséért,

eszközök,

mobil

adathordozókeltűnése, ellopása esetén annak tényét haladéktalanul az Informatikai Főosztály felé jelentenie kell a szükséges intézkedések megtétele érdekében. A felhasználók egyes feladatok elvégzése érdekében, a részükre biztosított, nyilvántartott és egyedi azonosítóval ellátott, hivatali tulajdonú mobil adathordozóra kimenthetik a feladathoz kapcsolódó állományaikat. ESZKÖZKIVONÁSI BIZTONSÁGI INTÉZKEDÉSEK, ÚJRAFELHASZNÁLÁS Megsemmisítésre kijelölt informatikai eszközöket és kellékanyagokat megsemmisítésig a használatban lévő eszközöktől az informatikai főosztálynak elkülönítetten kell tárolni és kezelni figyelembe véve: −

a veszélyes anyagok tárolására és a megsemmisítésre vonatkozó szabályokat

−

a leltározási és selejtezési szabályzat előírásait;

−

az adatvédelem biztonsági követelményeit (hozzáférés elleni védelem).

(fizikai védelem, szállítás);

Az olyan hivatali helyiségeket, ahol informatikai eszközökkel történik a munkavégzés, vagy informatikai eszközt tárolnak, zárral kell ellátni, és a helyiséget távollét esetén vagyonvédelmi és biztonsági okokból zárva kell tartani. Az informatikai berendezések végleges használaton kívül helyezése előtt gondoskodni kell az összes adat, szoftver visszaállíthatatlan eltávolításáról és felülírásáról, vagy a beépített adathordozó eltávolításáról és megfelelő tárolásáról. Külső fél által javításra, megsemmisítésre elszállított informatikai eszközből el kell távolítani a beépített adathordozót, ha ez nem megoldott a külső fél, arra felhatalmazott képviselője a külső fél nevében jogi érvényességű nyilatkozatot köteles tenni az adatvédelemi és titoktartási szabályok betartására vonatkozóan. KONTROLLOK Informatikai eszközökkel kapcsolatos eszközmozgatást, csatlakoztatást, lecsatlakoztatást, szerelést, eszközátadást, selejtezést és üzembehelyezést csak az Informatikai Főosztály végezhet. Az informatikai eszközökkel kapcsolatos minden telephelyen belüli és kívüli mozgatásról az informatikai főosztálynak, illetve a mozgatást végzőknek dokumentumot kell készíteni: −

tárolási nyilatkozat (IBNY01-es melléklet),

−

mobil adathordozó engedélyezése (IBNY06-os melléklet),

−

adathordozó nyilvántartás (IBNY07. melléklet),

−

átadás-átvételi adatlap: (IBNY14. melléklet),

−

szállítói kísérőlapok,

−

munkalapok,

−

üzembe helyezési dokumentum,


36.oldal

−

selejtezési dokumentum.

ELLENŐRZÉS Az informatikai eszközök biztonsági beállításait, illetve háttértárolóinak tartalmát a kijelölt informatikusnak évente ellenőriznie kell. A felhasználónak az eszköz átadásával az ellenőrzés elvégzését segítenie kell. Az informatikusnak az ellenőrzés tényét mobil informatikai eszközök esetén a tárolási nyilatkozat második oldalán tett bejegyzéssel kell dokumentálnia. Az ellenőrzés során fokozott figyelmet kell fordítani a következőkre: −

az adott eszközön a biztonsági beállítások, vírusvédelmi és egyéb biztonsági rendszerek beállításai megfelelnek-e az előírtaknak;

−

az állományok lokális tárolására vonatkozó szabályokat a felhasználók betartjáke;

−

az

eszközön

fellelhető

naplóállományokban

nincs-e

nyoma

rendellenes

műveleteknek, jogosulatlan használatnak. ÁLTALÁNOS BIZTONSÁGI ELŐÍRÁSOK Az Informatikai Főosztály és az Üzemeltetési Osztály vezetője közös felelősséggel gondoskodik: −

aszerverszoba és a benne elhelyezett eszközök fizikaivédelmétbiztosítóeszközök és berendezések meglétének és működőképességének rendszeres ellenőrzéséről, a tervezett karbantartásáról;

−

a szerverek működéséhez szükséges megfelelő fizikai környezeti biztosításáról;

−

a megfelelő elektromos hálózat, villám és túlfeszültség, valamint érintésvédelmi berendezések meglétéről és működésének biztosításáról;

−

a

behatolás

elleni

védelem

és

riasztórendszer

kialakításáról

(pl.:

beléptetőrendszer,elektromosbehatolásjelző, mozgás érzékelő,belsőtérvédelem); −

a megfelelő tűzvédelmirendszerrőlfüstjelző és riasztó rendszer kialakítása mellett lehetőség szerint automata tűzoltó rendszer kialakításáról, vagy – automata rendszer hiányában - kézitűzoltókészülékek (elektromos berendezések tűzének oltására alkalmas gázzal oltó készülék) elhelyezéséről;

−

aszerverszobák

klímájáról

oly

módon,hogyazinformációtechnológiaieszközökkörnyezetihőmérsékleteműködésközben15 –25C°,tárolásihőmérséklete

5–

40C°közöttmaradjon,arelatívpáratartalompedignehaladjamega40%-ot. Az informatikai objektumok közüzemi ellátását (áramellátás, fűtés, szellőzés, vízszolgáltatás stb.) a vonatkozó szabályzatok és hatósági előírások szerint kell biztosítani. A szerverszobában vizesblokk kialakítása nem engedélyezett. A szerverszobát védeni kell szennyvíz, illetve esővíz bejutása ellen. A kialakítás során törekedni kell arra, hogy felette vizesblokk ne helyezkedjen el. Az informatikai központokban (szerverszobákban) végzett építési és karbantartási munkákat az Informatikai Főosztály és az Üzemeltetési Osztály egy-egy, a szervezeti egység vezetője által kijelölt munkatársa felügyeli, az érintettek előzetes értesítése és az időpontok egyeztetése után. Az üzemeltetés és hibaelhárítás során jelentkező alkatrészbeszerzések, javítások és a rendszer fejlesztésére irányuló beszerzések szakmai előkészítése az Informatikai Főosztály feladata. Amennyiben a javítás, fejlesztés kivitelezése építési munkával jár az építési munkálatok ellenőrzése az Üzemeltetési Osztály feladata. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

37.oldal

A teljes körű védelemről már a helyiségek kialakítása során gondoskodni kell. Az informatikai központok üzemeltetése során a kormányhivatalnak biztosítani kell a mechanikai (építészeti) és a technikai (elektronikai) védelmet: −

elektromosvagyfizikai(rács)védelmieszközöketkellalkalmaznia nyílászárókonkeresztültörténőbejutásmegakadályozásaérdekében, beltéri vagy földszinti, illetve könnyenelérhető kültéri nyílászárók esetében egyaránt;

−

gondoskodni kell arról, hogy a szerverszobába kívülről nyitott nyílászárón vagy szellőzőn keresztül idegen anyagot bedobni ne lehessen;

−

a szerverszobára kívülről lehetőleg ne lehessen rálátni (pl. ablakon);

−

azajtónakkulccsal és/vagy mágneskártyával, illetve kóddal zárhatónakkelllennie, valamint: o

egykulcsot

vagy

mágneskártyát,

illetve

kódot

aportánkellelhelyeznilezárt,

hitelesítésselellátottborítékbanvagylepecsételhetőkulcsdobozban, o

a kulcshoz vagy a mágneskártyához, illetve kódhoz való hozzájutás csak naplózottan történhet, az Informatikai Főosztály – vészhelyzetet, rendkívüli helyzetet kivéve előzetes – értesítésével és tudtával (aláírással,keltezéssel),

o

a

borítékon

meg

kell

jelölni

a

felvételérejogosultaknevétésbeosztását,kulcsdobozeseténahasználhatópecsétszá mát, o

a doboz vagy boríték rendkívüli felnyitásáról telefonon és feljegyzésben értesíteni kell az Informatikai Főosztály vezetőjét,

o

a boríték felnyitását, a kód használatát követően a kódot meg kell változtatni.

10. A HÁLÓZAT ÉS RENDSZER ÜZEMELTETÉS BIZTONSÁGA AZ ÜZEMELTETÉS FOLYAMATAI ÉS A FELELŐSSÉGEK DOKUMENTÁLT ÜZEMELTETÉSI FOLYAMATOK A rendszer napi üzemeltetéséhez tartozik a működés felügyelete, a mentések elvégzése, és hiba esetén az eszközök javítása. A rendszer üzemeltetését ellátó Informatikai Főosztályhoz tartozó informatikusoknak ismerniük

kell

a

Kormányhivatal

rendszereszközeinek,

operációs

rendszereinek,

adatbázisainak működését, az operációs és alkalmazói rendszerek hibaüzeneteit és a behatolás detektáló rendszerfigyelmeztető üzeneteit. A rendszer felügyelete a felhasználói programok és adatbázisok, a szerverek és alapszoftverek és a hálózat működésének folyamatos figyelemmel kísérését kívánja meg. A felelős informatikai munkatársaknak rendszeresen el kell végezniük azokat az – üzemeltetési dokumentációban részletesen felsorolt – tevékenységeket, amelyek alapján meggyőződhetnek arról, hogy a rendszer üzemszerűen működik. A

rendszer

nyilvántartást

valamennyi kell

hardver/szoftver

vezetni.

A

eleméről

nyilvántartásnak

az

informatikai

tartalmaznia

kell

főosztálynak a

szerverek,

munkaállomások pontos és naprakész hardver konfigurációját, a működtető szoftverek egyedi beállításait és elhelyezkedését, az értük felelős személy nevét. Készítendő és naprakészen vezetendő nyilvántartások: −

tárolási nyilatkozat (IBNY01-es melléklet),

−

mobil adathordozó engedélyezése (IBNY06-os melléklet),

−

szoftvernyilvántartás (IBNY08-as melléklet),


38.oldal

−

jogosultság nyilvántartás (IBNY09-es melléklet),

−

szerverek esemény naplója (IBNY12-es melléklet),

−

eszköz átadás-átvételi adatlap (IBNY14-es melléklet).

Az üzembiztonság érdekében a szerverek operációs rendszereit (a beállításokkal együtt) lehetőség szerint tartalék adathordozón is tárolni kell, amely szükség esetén azonnal betölthető. AZ ÜZEMELTETÉSI FOLYAMAT VÁLTOZÁSAINAK KEZELÉSE Szoftvert a számítógépre csak kijelölt informatikus tölthet le, másolhat és telepíthet, valamint a számítógépről csak kijelölt informatikus távolíthat el. A

felhasználó

a

munkaállomás

használata

során

a

munkaállomásra

telepített

alkalmazásokat használhatja. Új alkalmazások telepítését vagy a meglévő alkalmazásokat illető jogosultság változást a szervezeti egység vezetője engedélyével az erre szolgáló és a szabályzat mellékletét képező IBNY02-es adatlapon igényelhet. Az Informatikai Főosztály jogosult az igény felülvizsgálatára, és ha szükséges, biztonsági okból annak elutasítására. A felhasználó a számítógépre telepített alkalmazásokat a felhasználói leírás szerinti módon, szakszerűen köteles használni. A központ hivatalok, illetve szakigazgatási szervek szakmai irányító szervei által üzemeltetett alkalmazásokhoz kapcsolódó jogosultságokra vonatkozó igényléseket, változásjelentőket és levelezéseket – amennyiben azt nem az Informatikai Főosztály intézi – a szervezeti egységek vezetői kötelesek másodpéldányban megküldeni az Informatikai Főosztálynak. A központilag, szolgáltatásként biztosított alkalmazások használatánál, valamint a szakigazgatási szervek szakmai irányító szervei által kiadott és üzemeltetett alkalmazások használata során a szolgáltatást biztosító szervezet által kiadott és az Informatikai Főosztály által elfogadott előírások szerint kell eljárni A szoftvereket és adatokat harmadik fél számára másolni és továbbadni nem engedélyezett. Kivételt képez a szoftverekről és adatokról való biztonsági másolatok kijelölt informatikus által történő elkészítése, mely a rendelkezésre állás folyamatosságát hivatott biztosítani. A szoftverek adathordozóit, üzemeltetési és felhasználói dokumentációját, licenc dokumentációját az Informatikai Főosztály tárolja és tartja nyilván. HIBAKEZELÉSI, HIBAELHÁRÍTÁSI RENDSZER A Kormányhivatali HelpDesk alkalmazás, hibajegy kezelő rendszer kialakításának célja, hogy a felhasználói oldalon jelentkező működési problémákat rendezetten, dokumentáltan és hatékonyan, ügyviteli fennakadások elkerülésével, minimalizálásával lehessen kezelni. Hiba, hibajavítás dokumentálása: a hiba bejelentéseket és a javításuk érdekében végzett tevékenységeket az informatikai főosztály kijelölt dolgozójának Kormányhivatal

HelpDesk

rendszerben.

A

hibadokumentációt

naplózni kell a a

Kormányhivatali

HelpDesk rendszerben úgy kell vezetni, hogy annak alapján pontosan követhető legyen a hibaelhárítási folyamat.


39.oldal

Bejelentés: a bejelentéseket kijelölt informatikusok személyes, telefonos megkeresésével illetve vele párhuzamosan e-mailben vagy Kormányhivatal HelpDesk rendszerében lehet elvégezni. Hibaelhárítás: A kijelölt informatikus feladata, hogy szükség esetén gondoskodjon az eszköz javításáról, az eszköz helyettesítéséről az eszköz szervizbe szállításáról. Tájékoztatás: A kijelölt informatikus feladata, hogy folyamatosan tájékoztassa az érintett felhasználót az eszköz javítási folyamatáról, illetve sorsáról. Súlyos hibák kezelése: olyan esetben, ha a hiba a Kormányhivatal rendszereinek működésére komoly kihatással van (pl. üzembiztonságot veszélyeztető helyzet, katasztrófahelyzet áll fenn), vagy más jellegű, de rendkívül fontos eset következik be (pl. bűncselekmény gyanúja áll fenn) az észlelő köteles haladéktalanul értesíteni az Informatikai Főosztály munkatársát vagy az Informatikai Főosztály vezetőjét. A FEJLESZTÉS ÉS AZ ÉLES KÖRNYEZET ELKÜLÖNÍTÉSE Fejlesztés során az éles környezet mellett külön fejlesztői, külön teszt és külön oktatói környezet kialakítása szükségesaz informatikai főosztály részéről. A teszt környezetnek tartalmaznia kell mindazon elemeket, amelyekben valamely módosításra sor kerül. A teszt környezetnek, a tesztelni kívánt elem kivételével, lehetőleg ugyanolyan beállításúnak kell lennie, mint az éles környezet. A fejlesztői környezetből tesztelés nélkül semmilyen elem sem kerülhet át az éles környezetbe. Nem éles környezetben csak olyan próbaadatok használhatók, amelyek nem sértik az éles környezetbeli adatokra vonatkozó adatvédelmi szabályokat. KÜLSŐ ERŐFORRÁSOK KEZELÉSE A külső üzemeltetői erőforrások (harmadik fél) bevonása esetén pontosan meg kell határozni a feladatok és a felelősségek megosztását, a korábban meghatározott biztonsági követelmények rögzítése mellett. KONTROLLOK A fejlesztési folyamatok teljes szakasza alatt az Informatikai Főosztály kijelölt kapcsolattartója felügyeli és ellenőrzi a munkálatokat. Minden kritikus lépésről tájékoztatja az Informatikai Főosztály vezetőjét. ELLENŐRZÉS Az informatikai biztonsági megbízott ellenőrzi a fejlesztési folyamatok alatt eseti jelleggel, hogy megfelel-e az ügymenet az IBSZ szabályainak. VÉGPONT VÉDELEM VÉGPONTVÉDELEM KÖVETELMÉNYEI A

Kormányhivatalban

alkalmazott

végpontvédelmi

megoldásokkal

szembeni

követelmények a következők: −

központilag menedzselhető;

−

proaktív védelem;

−

vírusok és kémprogramok elleni védelem;

−

fejlett felügyeleti eszközkészlet;

−

hálózati védelem;


40.oldal

−

naponta frissülő vírus-adatbázis;

−

több platformos kliens és szerver kliensek.

VÉGPONTVÉDELEM ALÁ ESŐ VÉGPONTI ESZKÖZÖK Minden olyan asztali vagy hordozható számítógépet, mobiltelefont végpont védelemmel kell ellátni, mely alkalmas: −

hálózathoz csatlakozásra;

−

adatok kimásolására és továbbítására;

−

adathordozó eszköz csatlakozásra;

−

vezeték nélküli kapcsolatok létesítésére.

A vírusvédelmi rendszert a Kormányhivatal minden számítógépére telepíteni kell, nem engedélyezett olyan eszközt az informatikai hálózathoz csatlakoztatni, amelyen nincs telepítve proaktív vírusvédelem. A használaton kívül helyezett informatikai berendezés és a Kormányhivatal összes hálózata közötti összeköttetést meg kell szüntetni. Bármilyen eszközt csak a kijelölt informatikus csatlakoztathat az informatikai hálózatra. Bármilyen eszközt (kivéve a mobil eszköz) csak a kijelölt informatikus távolíthat el az informatikai hálózatról. Idegen, nem kormányhivatali tulajdonú, nem a kormányhivatal által bérelt, használt eszköz csatlakoztatása nem engedélyezett. VÉGPONTVÉDELEM SZABÁLYOZÁSA A végpontvédelmi intézkedések nem akadályozhatják az alapvető működési feladatokat ezért biztosítani kell a munka során használt engedélyezett (nyilvántartott) és a feladat végrehajtásához szükséges eszközök (nyomtató, szkenner, fényképezőgép, kamera stb.) zavartalan működését. Az informatikai főosztály feladata, hogy legalább havonta minden, víruskereső szoftverrel ellátott szerveren és kliensen teljes víruskeresés fusson le, de lehetőleg különböző időpontokban. KONTROLLOK Az Informatikai Főosztály vezetője által kijelölt informatikus jogosult a vírusvédelmi rendszer

telepítésére,

beállítására,

eltávolítására,

ellenőrzésére,

frissítésére

a

munkaállomásokon és szervereken. Az informatikusnak kötelessége gondoskodni a vírusvédelmi rendszer naprakészen tartásáról és működtetéséről. ELLENŐRZÉS A kijelölt informatikus általános feladatai: −

elvégzi a vírusvédelmi szoftverek megfelelő beállítását, a rendszer konfigurálását;

−

ellenőrzi a vírusvédelmi rendszerek rendszeres frissítését;

−

listát készít a rendszeresen manuálisan frissítendő számítógépekről (pl. mobileszközökről, a nyilvántartás szerinti eszközöket frissíti, és a frissülés megtörténtét ellenőrizi a számítógépeken és a vírusvédelmi szoftver program nyilvántartásaiban;


41.oldal

−

megbizonyosodik

róla,

hogy

az

informatikai

rendszerébe

kapcsolt

munkaállomáson, szerveren, egyéb informatikai eszközön a vírusvédelmi program telepítve van, és a vírusdefiníciós adatbázisa naprakész; −

tájékoztatja

a

felhasználókat

a

vírusvédelmi

eszközök

működéséről,

használatáról; −

megvizsgálja a felhasználók jelzése alapján a vírusgyanús eseteket;

−

elvégzi a vírusfertőzés bekövetkeztekor a szükséges vírusmentesítési lépéseket;

figyelemmel kíséri a vírusvédelem hatékonyságát. ADATMENTÉSI ÉS NAPLÓZÁSI FELADATOK ADATMENTÉS A mentési és visszaállítási eljárásokat az informatikai főosztálynak úgy kell kialakítani, hogy az üzemeltetett rendszerek előre nem látható esemény (katasztrófa, vagy hardver, illetve szoftver meghibásodása, emberi mulasztás) bekövetkezte után, szükség esetén helyreállíthatók legyenek, biztosítva a folyamatos napi működést. Biztosítani kell, hogy az üzemidő kiesés, adatsérülés, adatvesztés minimális legyen. Az Informatikai Főosztálynak a Szabályzat mellékletét képező mentési rendet (IBNY18. melléklet) kell készítenie, és folyamatosan karban kell tartania. A mentési rendet legalább évente egyszer, január hó 31. napjáig felül kell vizsgálnia. A mentési rendet mentési egységenként kell készíteni, és táblázatba kell foglalni. A kinyomtatott mentési rendet az érintett szervezeti egység vezetőjének és az Informatikai Főosztály vezetőjének kézjegyével kell hitelesítenie. A mentés ütemezését mentési egységenként lehetőleg úgy kell kialakítani, hogy a mentés amunkafolyamatokat,amunkafolyamatokamentésieljárástneakadályozzák. Biztonsági mentés a napi adatbiztonságot szolgáló rendszeresen készülő mentésfajta (szerveren vagy munkaállomáson). Biztosítja a napi munka során felmerülő kisebb meghibásodásokból

származó

adatvesztések,

adatbázis

konzisztencia

hibák

megszüntetését a lehető legkisebb idő ráfordítással. Ezen esetben a mentés: −

egy másik szerverre (azonos tűzszakaszban elhelyezett),

−

vagy az adott szerverbe beépített tartalék HDD-re,

−

vagy a szerverhez kapcsolt külső HDD-re valósul meg.

Ellenőrizni szükséges a mentésről készített digitális naplót vagy meg kell győződni a mentés megtörténtéről. E mentésfajta használata mellett biztosítani kell egy tűzvédelmi mentést is. Tűzvédelmi mentésa napi adatbiztonságot szolgáló rendszeresen készülő mentésfajta (szerveren vagy munkaállomáson). Biztosítja a súlyosabb meghibásodásokból származó (katasztrófa,

hardver,

illetve

szoftver

meghibásodás

esetén

történő)

rendszerösszeomlások, adatvesztések, adatbázis konzisztencia hibák megszüntetése, a lehető legkisebb idő ráfordítással. A tűvédelmi mentés történhet egy másik szerverre, ha az nem azonos tűzszakaszban található a mentett eszközzel (hálózaton keresztül történő mentés). Használata esetén a következőket kell biztosítani: −

a munkanap kezdetén az előző napi mentés sikerességét ellenőrizni kell,

−

ha a mentés adathordozóra történik, akkor biztosítani kell:

−

a mentési adathordozók rendszeres váltott cseréjét,


42.oldal

−

figyelemmel kell lenni az adathordozók felhasználhatóságának paramétereire (pl.: hányszor írható),

−

az adathordozók előírás szerinti tárolását.

Egyedi mentéssel kell biztosítani: azon munkaállomások és mobil eszközökön háttértárolóin keletkezett alkalmazások és felhasználói állományok mentését, melyekről −

nem történik rendszeres napi mentés a hálózatra,

−

vagy az eszközzel kapcsolatban egyedi mentési igény merül fel.

−

azon hálózati közös meghajtók rendkívüli mentését, amire vonatkozó igény a tárkapacitás túlterheltsége miatt merült fel.

A hálózaton tárolt telepítő készletek és programok mentéséről folyamatosan gondoskodni kell. A mentéssel összefüggő – az egyedi gépen tárolt személyes felhasználói adatok kivételével –feladatok ellátását az informatikai főosztály végzi. NAPLÓZÁS Tűzvédelmi mentésrőlrendszeres mentésinaplótkellvezetni a mentést feladatban részvevő informatikusnak (IBNY03. melléklet). Egyedi mentésnél a mentés elvégzéséről mentési és archiválási adatlapot (IBNY05. melléklet) kell készíteni, és a mentési és archiválási nyilvántartáshoz kell csatolni (IBNY04. melléklet). A mentett állomány törlését, ha szükséges csak ez után lehet elvégezni. A naplózással összefüggő feladatok elvégzésért az informatikai főosztály a felelős. NAPLÓK KEZELÉSÉNEK SZABÁLYAI Tűzvédelmi mentésrőlrendszeresen a napi mentés és adathordozó csere után azonnal bejegyzést kell tenni a naplóba (IBNY03. melléklet). Egyedi mentésnél a mentés elvégzésével, illetve az adathordozó elhelyezésével egy időben kell kitölteni az adatlapot (IBNY05. melléklet), és ezt követően az adatlapot a mentési és archiválási nyilvántartáshoz felvezetni (IBNY04. melléklet). Az adatlapokat és a nyilvántartást a mentés helyétől és az adathordozók tárolási helyétől különböző helyen kell elhelyezni. KONTROLLOK Az adatlapok tartalmi változásakor (mentés, selejtezés) a mentett állomány szakmai felelősét tájékoztatni kell, és ennek tényét rögzíteni az adatlapon (aláírással igazolja a tudomásul vételt). ELLENŐRZÉS A mentéssel kapcsolatos adatlapokat és nyilvántartást az informatikai biztonsági megbízott legalább évente egyszer szúrópróbaszerűen ellenőrzi és a Főigazgatót jelentésben tájékoztatja az ellenőrzés eredményéről. HÁLÓZAT MENEDZSMENT HÁLÓZAT FELÜGYELETE A hálózatfelügyeletét az Informatikai Főosztály informatikusai látják el, együttműködve a NISZ, KEKKH és a szakigazgatási szervek szakmai irányító szerveinek munkatársaival. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

43.oldal

DOKUMENTÁLÁS A hálózatfelügyelettel kapcsolatos események a Kormányhivatal HelpDesk rendszerben kerülnek dokumentálásra. KONTROLLOK A hálózat feletti kontrollt az Informatikai Főosztály vezetője, a NISZ, KEKKH és a szakigazgatási szervek szakmai irányító szerveinek munkatársai közösen gyakorolják. ELLENŐRZÉS A hálózat feletti ellenőrzést az Informatikai Főosztály vezetője, a NISZ, KEKKH és a szakigazgatási szervek szakmai irányító szerveinek munkatársai közösen gyakorolják. ADATHORDOZÓK KEZELÉSE ÉS BIZTONSÁGA ADATHORDOZÓK TÁROLÁSA A mobil adathordozó eszközök (pl. pendrive, külső HDD) kiadása, állapotváltozása, visszavétele során az Informatikai Főosztály kijelölt informatikusának az igénylő által benyújtott, kitöltött és engedélyezett „Mobil adathordozó eszköz engedélyezése adatlapot” (NY06. melléklet) az „Adathordozó nyilvántartáshoz” (IBNY07. melléklet) kell felvezetni és csatolni. A mentés elkészítéséhez használt adathordozó típusok kiválasztásánál az alábbiakat kell figyelembe venni: −

a mentendőadatmennyiségnekmegfelelőtárolókapacitás,

−

a megfelelőadatmegőrzésiidő(legalább5év,különlegesbeavatkozás,speciáliseljáráso kalkalmazásanélkül),

−

megfelelőellenállásakörnyezetiviszonyoknak (hőmérséklet,páratartalom,fény stb.),

−

adat visszaállítás esetére szükséges eljárások és eszközök rendelkezésre állása.

MENTÉSEK TÁROLÁSA A Kormányhivatal elektronikus szoftvereinek

telepítő készletei, illetve adatainak

mentésére és archiválására használt adathordozói, a mentés dokumentuma, a helyreállítást biztosító leírások: −

biztonságos módon, a mentés helyétől (telepítés helyétől) különböző helyen elhelyezetttűzbiztos fémszekrényben;

−

vagy

a

mentés

helyétől

(telepítés

helyétől)

különböző

tűzszakaszban

elhelyezkedő helyiségben tárolandók és az elhelyezésükre: o

megfelelőmechanikaivédelemmel

(pl.

ablakráccsal,

biztonságizárral)

ellátott; o

elektronikusvédelemmel

(riasztórendszerbeintegrált,füst-

és

vagyhő

érzékelővel)ellátott; o

lehetőleg regisztráltkulcsfelvétellel hozzáférhető;

o

közművezetékektőlmentes helyiségetkellkijelölni.

DOKUMENTÁLÁS A mobil adathordozó eszközöket az engedélyezési adatlapokon (IBNY06. melléklet) és a kapcsolódó nyilvántartásban (IBNY07. melléklet) kell nyilvántartani. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

44.oldal

Az informatikai rendszerek offline adatszolgáltatásához (hagyományos postai, illetve futár általi

szállítás)

használatba

vett

adathordozókat

adathordozó

nyilvántartásba

(IBNY07.melléklet) kell venni. Az operációs rendszerek, programok, eszközkezelők telepítő állományait tartalmazó adathordozóiról szoftvernyilvántartást kell vezetni (IBNY08. melléklet), mely történhet digitális formában is, illetve az informatikai nyilvántartás keretében. A fenti, dokumentálással összefüggő feladatokat az informatikai főosztály végzi. KONTROLLOK A mentések, archívumok tárolási ideje alatt az adatok integritásának megőrzése az Informatikai Főosztály feladata. ELLENŐRZÉS Az Informatikai Főosztály feladata az adattárolók műszaki állapotának, tárolásának, ellenőrzése.

Az

ellenőrzés

szúrópróbaszerűen,

megfelelő

mennyiségű

minta

kiválasztásával, rendszeres időközönként történik. ADATHORDOZÓK SELEJTEZÉSÉNEK BIZTONSÁGI SZABÁLYAI Az Informatikai Főosztálynak, az adathordozó típusától, valamint a rögzítés módjától függően eltérő időközönként, de évente legalább egyszer ellenőrizni kell az adathordozó használhatóságának mértékét. Az adathordozók

természetes fizikai romlása és

elhasználódása következtében előálló biztonságcsökkenés miatt a működtetendő programokról és hasznos adatokat tartalmazó adathordozókról, ha az adathordozó megközelíti (élettartam -10%) a gyártó által javasolt felhasználási időtartamot, és az adathordozót nem lehet selejtezni, akkor másolatot kell készíteni róla. Ha az adathordozó selejtezhető, a selejtezéshez az érintett szakterület képviselőjének hozzájárulása szükséges, melyet az adathordozóhoz kapcsolódó mentési és archiválási adatlapon (IBNY05. melléklet) aláírásával hitelesít. A selejtezés tényét a mentési és archiválási nyilvántartásában is be kell jegyezni. Az archiválásra kerülő adatok körét és rendszerét a mentési rend határozza meg. 11. A RENDSZEREK HOZZÁFÉRÉSI JOGOSULTSÁGAINAK KEZELÉSE HOZZÁFÉRÉS KEZELÉSI SZABÁLYOK ÁLTALÁNOS SZABÁLYOK A szervezeti egység vezetője írásban (IBNY02-es adatlapon) köteles tájékoztatni az Informatikai Főosztályt a felhasználókra vonatkozó minden változásról (felvétel, munkakörváltozás, munkaviszony megszűnés), mely az informatikai vagy kommunikációs rendszert érinti. Szervezeti egység vezetője munkaviszonyának megszűnésekor a munkáltatói jogkör gyakorlója gondoskodik a jogosultságok törléséről. A felhasználóval kapcsolatban felmerülő egyéb informatikai igényeket is azIBNY02-es adatlapon kell benyújtani pl.: −

informatikai beavatkozás igénylés;

−

informatikai eszközigénylés, mozgatás, áthelyezés és átvezetés;

−

informatikai rendszerhez hozzáférési változási igény (igénylés, módosítás vagy törlés);

−

alkalmazástelepítési vagy eltávolítási igény;


45.oldal

−

inaktívvá válás esetén újra aktiválás kérése;

−

munkavégzési hely vagy feladat változása esetén egyedi vagy tömeges eszközmozgatási és telepítési igény;

−

hálózattal kapcsolatos igény (kiépítés, bővítés, elbontás);

−

informatikai szolgáltatáshoz, alkalmazáshoz, hálózati mappához (könyvtár) való hozzáférés, valamint ezekkel kapcsolatos jogosultság változása (igénylés, módosítás vagy törlés).

AzIBNY02 adatlap tartalma alapján az Informatikai Főosztály kijelölt informatikusa elvégzi az informatikai rendszerben: −

az adatok átvezetését, a szükséges beállításokat;

−

letiltja vagy engedélyezi az informatikai szolgáltatásokat (pl.: levelezés, internet,

−

szükség esetén, továbbítja az illetékes szervezetek, a szakigazgatási szervek

hálózati mappa elérése, nyomtatás stb.); központi szervei, központi informatikai szolgáltatók felé az előírt információkat; −

elvégzi a jogosultságok nyilvántartását: o

amennyiben az adott rendszerből az informatikus által lekérdezhető, akkor a jogosultságok rendszerben történő átvezetésével;

o

egyéb

esetben

külön

(elektronikus

vagy

papíralapú)

jogosultsági

nyilvántartás vezetésével (NY09.melléklet); −

a kijelölt informatikus átadja, átveszi, átvezeti, beállítja, törli, az informatikai eszközöket és jogokat a belépő, kilépő, meglévő felhasználóknak;

−

elvégzi az informatikai eszközök nyilvántartására vonatkozó alábbi teendőket: o

az

eszközök

mozgásáról

eszköz

átadás-átvételi

adatlapot

(NY14.

melléklet) nyomtat az eszköznyilvántartásból m o

a kinyomtatott adatlapot az érintett felhasználókkal aláírattatja;

o

az aláírt adatlapot 1 munkanapon belül digitalizálja, és e-mailben elküldi az érintett felhasználóknak, valamint a változások analitikus nyilvántartáson történő átvezetése érdekében a Számviteli Osztálynak;

−

kilépő dolgozó vagy munkakör változás esetén elvégzi, és a szervezet vezetője, illetve a Koordinációs, Humánpolitikai és Szervezeti Főosztály felé a megfelelő adatlapon) igazolja a nyilvántartás szerint a dolgozó nevén lévő eszközök átvezetését, valamint jogosultságainak kivezetését a rendszerből.

AUTENTIKÁCIÓ A Kormányhivatal informatikai rendszerét úgy kell kialakítani és olyan szoftvereket szabad használni, hogy a rendszerébe felhasználó csak autentikáció után jelentkezhessen be. AUTORIZÁCIÓ A Kormányhivatal informatikai rendszerébe csak az Informatika Főosztály által adatlapon (IBNY02-es melléklet) engedélyezett felhasználónak lehet azonosítót és jelszót adni. SZEREPKÖRÖK Hálózati rendszergazdai jogosultság kizárólag az Informatikai Főosztály vezetőjének engedélyével adható. Hálózati felhasználói jogosultságot a szervezeti egység vezetőjének írásban (IBNY02-es adatlapon) tett kérelmére az Informatikai Főosztály informatikusa adja meg. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

46.oldal

Számítógépen helyi (lokális) rendszergazdai jog csak az Informatikai Főosztály egyedi írásos engedélyével, nem személyhez kötött módon adható kizárólag üzemeltetési indok alapján. JOGOSULTSÁGI MÁTRIX Hálózati rendszergazdai jogosultság kizárólag az Informatikai Főosztály rendszergazdai feladatokat ellátó munkatársai részére adható. Az azonosítónak egyedinek, személyhez kapcsolhatónak kell lennie. Az induló jelszó kiosztására, az adminisztrátori jelszó kezelésére ugyanazok a szabályok érvényesek, mint a felhasználói jelszó kezelésére. Az Informatikai Főosztály vezetőjének egyedi engedélye alapján kap valamely belső vagy külső munkatárs adminisztrátori/üzemeltetői jogokat. A nem személyhez köthető adminisztrátori (root, superuser, teljes jogú adminisztrátor stb.) azonosító ne legyen napi használatban, az csak olyankor használható, amikor elengedhetetlen. A nem személyhez köthető adminisztrátori azonosítókat és jelszavakat lezárt, és az adminisztrátor által aláírt borítékban az Informatikai Főosztályvezető őrzi lezárt szekrényben. A FELHASZNÁLÓK HOZZÁFÉRÉSI JOGAINAK KEZELÉSE FELHASZNÁLÓ NYILVÁNTARTÁS A Kormányhivatal informatikai rendszerében felvett (IBNY02-es melléklet) és ott jogosultságokat

kapott

felhasználókat,

a

jogosultság

nyilvántartás

segítségével

(IBNY09.melléklet) az informatikai főosztály tartja nyilván és naprakészen FELHASZNÁLÓI PRIVILÉGIUMOK KEZELÉSE A felhasználók hálózati mappákhoz való hozzáférésének jogosultsági szintjeit az adott felhasználó szervezeti egységének vezetője állapítja meg (adja, módosítja, elveszi) a benyújtott kérelemben (IBNY02-es melléklet), amit az Informatikai Főosztály kijelölt informatikusa a dokumentum szerint beállít. Az informatikai eszközöket, ha hozzáférhetősége vagy fontossága miatt indokolt (számítógép, nyomtató, multifunkciós eszköz, switch stb.), és ha az eszköz operációs rendszere megengedi, valamint a hálózathoz való hozzáférést minden esetben felhasználói azonosítóval (felhasználói név + jelszó) kell védeni. FELHASZNÁLÓI JOGOSULTSÁG- ÉS JELSZÓKEZELÉS A felhasználók részére jogosultságot, csak a 11. fejezetben, az általános szabályok részben leírtak szerint lehet igényelni és kiosztani, valamint beállítani. Jelszavak kezelése a 7. fejezetben A jelszókezelés általános szabályai részben leírtak szerint kell, hogy történjen. A felhasználók azonosítása egyedi, jellemző, ellenőrizhető és hitelesítésre alkalmas, úgynevezett

felhasználói

azonosító

használatával

valósul

meg

az

informatikai

rendszerben (felhasználói azonosító = felhasználói név + jelszó).


47.oldal

A

javasolt

névkonvenció,

a

felhasználói

név

képzésének

szabálya:

„vezeteknev.keresztnev” ékezet nélkül. Ha felhasználónak három neve van, akkor keresztnév helyére az általa választott, használni kívánt nevet kell írni. Név előtagot, illetve titulust nem kell szerepeltetni. Azonos nevű emberek esetén a keresztnév utáni sorszámmal kell egyedivé tenni a felhasználói nevet. FELHASZNÁLÓI ELÉRÉSI JOGOK FELÜLVIZSGÁLATA A felhasználói jogosultságokat az Informatikai Főosztály kijelölt informatikusának az érintett szervezeti egység vezetőkkel együttműködve évente felül kell vizsgálni. Az érintett szervezeti egység vezetőnek bejelentési jogosultsága van, ha a felhasználóval kapcsolatban munkaköri, vagy munkafeladat változás merül fel. Változás esetén az általános szabályok értelmében bejelentést kell tennie. AZ ADMINISZTRÁTORI/ÜZEMELTETŐI JOGOK ÉS FELÜLVIZSGÁLATUK Az adminisztrátori jogokat személyi változás, munkaköri változás esetén, valamint évente felül kell vizsgálni. Az Informatikai Főosztály vezetőjének engedélye alapján kap valamely belső vagy külső munkatárs adminisztrátori/üzemeltetői jogokat. FELÜGYELET NÉLKÜL HAGYOTT FELHASZNÁLÓI ESZKÖZÖK FELELŐSSÉGE A nem használt (tartalék, javításra váró vagy javításból érkezett informatikai eszközök) tárolásáról az Informatikai Főosztály gondoskodik. Ezen eszközök és kellékanyagok tárolása csak az Informatikai Főosztály által felügyelt zárt, betörés elleni védelemmel biztosított, a tároló helységekre vonatkozó előírásoknak megfelelő helyiségben történhet. A rövid, eltávozással járó szünet (1 óra vagy kevesebb) idejére a számítógépet a felhasználónak a hozzáférés ellen zárolni kell. A munkaállomást illetéktelen személy (pl. ügyfél) jelenléte mellett a felhasználó nem hagyhatja felügyelet nélkül. A használaton kívüli állapotban lévő (lekapcsolt) eszközöket a felhasználó csak illetéktelen személy elől elzárt helyen hagyhatja. DOKUMENTÁLÁS Felhasználó igények és jogosultságok bejelentése IBNY02 melléklet szerinti adatlapon történik. Az adatlapokat (IBNY02-es melléklet) a kapcsolódó jogosultsági nyilvántartásban kell felvezetni (IBNNY09. melléklet). KONTROLLOK Az Informatikai Főosztály feladata az informatikai rendszerek oly módon történő konfigurálása, hogy a belépések és a belépési kísérletek a teljes adattartalommal naplózásra kerüljenek. A szervereken és számítógépen tárolt naplókat az informatikus a rendszer karbantartása során szúrópróbaszerűen illetverendszeresen ellenőrizheti. Biztonsági eseményt követően a naplókat az eseménnyel egyező időszakra vonatkozóan ellenőrizni és archiválni kell. ELLENŐRZÉS


48.oldal

A jogosultságok nyilvántartását és jelszókezelést a Főigazgató által kijelölt dolgozó, illetve szervezeti egység évente egyszer szúrópróbaszerűen ellenőrzi, és az Informatikai Főosztály vezetőjét jelentésben tájékoztatja az ellenőrzés eredményéről. A HÁLÓZATI HOZZÁFÉRÉS VÉDELME HÁLÓZATI SZOLGÁLTATÁSOK HASZNÁLATÁNAK POLITIKÁJA A Kormányhivatal informatikai rendszerének elemeit adminisztrálási célból az internet felől elérni csak titkosított kapcsolaton keresztül, legalább kétkomponensű autentikáció után megengedett. Az ilyen kapcsolat kiépítésére az informatikai főosztályvezető adhat engedélyt. Minden adminisztrátori tevékenységnek egyértelműen személyhez köthetőnek kell lennie. KÖTELEZŐ ELÉRÉSI ÚTVONAL Külső hálózatról az informatikai rendszerek csak az erre a célra dedikált védelmi rendszeren (tűzfalak, zónák stb.) keresztül lehetnek elérhetők. TÁVOLI DIAGNOSZTIKAI PORT VÉDELME Kiemelt

védettségű

időszak

alatt,

kizárólag

a

védett

környezetű

helyszíneken

engedélyezett a hozzáférés, minden egyéb távdiagnosztikai/menedzselési kapcsolat használata és létesítése szigorúan tilos. HÁLÓZATI RÉSZEK ELVÁLASZTÁSA Az internet és a hivatali rendszerek különböző zónái között az Informatikai Főosztály és a szakmai irányító szervek közösen gondoskodnak arról, hogy a tűzfalak biztosítsák az elválasztást. HÁLÓZATI KAPCSOLATOK ÉS A ROUTOLÁS VEZÉRLÉSE Az internet és az informatikai rendszerek különböző zónái között a hálózaton routolás / útválasztásellenőrzött módon, az informatikai biztonsági szempontok figyelembevételével kell, hogy történjen. HÁLÓZATI BIZTONSÁG A KIEMELT VÉDETTSÉGŰ IDŐSZAKBAN A kiemelt védettségű időszak alatt a rendszert speciális, úgynevezett „Illetéktelen hozzáférés elleni” szolgálattal kell folyamatos védelemben részesíteni. Az illetéktelen hozzáférés elleni szolgálat üzemeltetési rendjét ki kell alakítani, melynek alapvető szempontjai: −

a rendszer képes legyen az internet felőli támadások minél teljesebb detektálására;

−

a rendszer biztosítsa a hálózat belső elemei felől érkező támadások detektálását;

−

a rendszer rendelkezzen előre kidolgozott akciótervekkel a legtipikusabb és legvalószínűbb támadások kezelésére;

−

a rendszer biztosítsa az eseti támadás-elhárítási módszerek alkalmazását oly módon, hogy azok szabályozott körülmények között legyenek végrehajthatók.


49.oldal

DOKUMENTÁLÁS A hálózati hozzáféréseket érintő döntésekről és eseményekről, valamint beállításokról írásos feljegyzést kell készíteni az Informatikai Főosztály vezető felé az érintett informatikusnak. KONTROLLOK A hálózati hozzáférések felett az Informatikai Főosztály és szakmai irányító szervek közösen gyakorolnak felügyeletet. ELLENŐRZÉS Az informatikai biztonsági megbízott, vagy az Informatikai Főosztályvezető által megbízott más személy évente legalább egyszer, gyakorlati szúrópróba-szerű auditot végez. Ennek során az IBSZ hatálya alá tartozó területeken (telephelyen) a rendszer sebezhetőségére irányuló támadáspróbával meggyőződik a hálózati integritás állapotáról. Az audittal megbízott személy a teszt eredményét dokumentálja. Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a hálózattal kapcsolatos dokumentumokat és azok lényeges elemeit éves jelentésében szerepelteti. AZ OPERÁCIÓS RENDSZER HOZZÁFÉRÉS VÉDELME FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS Felhasználó helyi (lokális) felhasználói névvel közvetlenül egyik gép operációs rendszerébe sem jelentkezhet be. A számítógép-programokhoz, rendszerprogramokhoz és adatokhoz csak az arra jogosult informatikusok számára megengedett hozzáférés biztosítása. Ezt a megfelelően konfigurált operációs rendszerek védelmi rendszerének kell biztosítania, és csak ennek megfelelő operációs rendszereket szabad használni. Az informatikai központban működő rendszerek rendszergazdai és adminisztrátori jogait nyilvántartó dokumentumot az Informatikai Főosztály vezetője hagyja jóvá. Ebből egy-egy példányt kell tárolni minden érintett informatikai központban. SINGLE SIGN-ON (SSO) Az operációs rendszerbe belépő felhasználókhoz kapcsolt Singlesing-on (hálózati autentikáció, egypontos bejelentkezés több alkalmazásba) biztosítása az érintett alkalmazások üzemeltetőjének és a hálózat üzemeltetőjének megállapodása alapján történik. BIZTONSÁGI POLICY Az

informatikai

rendszerbe

belépő

felhasználókhoz

rendelt

biztonsági

policy-k

meghatározása és beállítása az Informatikai Főosztály és a szakmai irányító szervek közös döntése és akarata szerint kell, hogy megvalósuljon. JOGOSULTSÁGIGÉNYLÉS A

jogosultságok

igénylését

a

11.1.1.

fejezetben

meghatározottak

szerint

kell

megvalósítani. DOKUMENTÁLÁS 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

50.oldal

A jogosultság igényléseket azIBNY02 adatlap tartalma alapján az Informatikai Főosztály kijelölt informatikusa továbbítja az alkalmazás üzemeltetője felé (a szükséges formában), majd az adatlapokat a jogosultsági nyilvántartásba (IBNY09.melléklet) felvezeti. KONTROLLOK A jogosultságok engedélyezési folyamata során az engedélyező és jóváhagyó személyek gyakorolnak kontrollt az engedélyek jogossága és megfelelősége felett. ELLENŐRZÉS Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi

a

jogosultság

igénylések

jogosságát

és

megfelelőségét,

valamint

a

nyilvántartások naprakész korrekt vezetését, és tesz jelentést az Informatikai Főosztály vezetője felé az ellenőrzések tapasztalatairól. AZ ALKALMAZÁSOK HOZZÁFÉRÉS VÉDELME FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS A felhasználó csak a számára meghatározott információkhoz férhet hozzá. Minden egyéb hozzáférési kísérletet biztonsági eseményként kell kezelni. A jogosultságokat a 11.1.1. pont alatti részben leírtak szerint kell megvalósítani. SINGLE SIGN-ON (SSO) Az informatikai rendszerbe belépő felhasználókhoz kapcsolt Singlesing-on (hálózati autentikáció, egypontos bejelentkezés több alkalmazásba) biztosítása az érintett alkalmazások üzemeltetőjének és a hálózat üzemeltetőjének megállapodása alapján történik. A megállapodásban kell rögzíteni a beállítással kapcsolatos feltételeket. Új fejlesztésű rendszerek bevezetésekor a SingleSign-On módszer alkalmazására kell törekedni. BIZTONSÁGI POLICY Az

informatikai

rendszerbe

belépő

felhasználókhoz

rendelt

biztonsági

policy-k

meghatározása és beállítása az Informatikai Főosztály és a szakmai irányító szervek közös döntése és akarata szerint kell, hogy megvalósuljon. JOGOSULTSÁGIGÉNYLÉS A

jogosultságok

igénylését

a

11.1.1.

fejezetben

meghatározottak

szerint

kell

megvalósítani. DOKUMENTÁLÁS A jogosultság igényléseket azIBNY02 adatlap tartalma alapján az Informatikai Főosztály kijelölt informatikusa továbbítja az alkalmazás üzemeltetője felé (a szükséges formában), majd az adatlapokat a jogosultsági nyilvántartásba (IBNY09.melléklet) felvezeti. KONTROLLOK A jogosultságok engedélyezési folyamata során az engedélyező és jóváhagyó személyek gyakorolnak kontrolt az engedélyek jogossága és megfelelősége felett. ELLENŐRZÉS


51.oldal

Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi az alkalmazáshoz igényelt jogosultság igénylések jogosságát és megfelelőségét, valamint a nyilvántartások naprakész korrekt vezetését és tesz jelentést az Informatikai Főosztály vezetője felé az ellenőrzések tapasztalatairól. A TÁVMUNKA HOZZÁFÉRÉS SZABÁLYOZÁSA A TÁVMUNKA SZABÁLYAI A Kormányhivatal hálózatában távmunka végzést az Informatikai Főosztály vezetője engedélyezhet a megfelelő IT biztonság biztosítása mellett, indokolt esetben, írásbeli kérelem alapján. A BELSŐ ÉS KÜLSŐ FELHASZNÁLÓK A Kormányhivatal hálózatába bejelentkező személyek (külső és belső felhasználó) felett az Informatikai Főosztály gyakorol kontrollt a nyilvántartásain és ellenőrzésein keresztül. A TÁVMUNKA BIZTONSÁGI KÖVETELMÉNYEI A Kormányhivatal hálózatában csak az Informatikai Főosztály engedélyével, az általa biztosított eszközökkel az általa megadott módon és az alábbi biztonsági követelmények betartása mellett végezhető távmunka: −

a távmunkához a Kormányhivatal tulajdonában lévő eszközt kell használni, és az eszközt védeni kell a megfelelő biztonsági és vírusvédelmi szoftverekkel;

−

nem engedélyezett a távmunkához használt eszközt más célra használni.

A TÁVMUNKA BIZTONSÁGI ESZKÖZEI A távmunka eszközeinek és beállításainak feltételei meg kell, hogy feleljenek a Kormányhivatalon belüli használatra előírt biztonsági feltételeknek. DOKUMENTÁLÁS A távmunka igénylések és engedélyezések levelezései és a megfelelő adatlapok képezik a távmunka dokumentációját. KONTROLLOK A távmunka engedélyezési folyamata során az engedélyező és jóváhagyó személyek gyakorolnak kontrolt az távmunka jogossága és megfelelősége felett. ELLENŐRZÉS Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a távmunka igénylések jogosságát és megfelelőségét, valamint a dokumentációt. Megszemléli a távmunkához biztosított eszközt, és jelentést tesz az Informatikai Főosztály vezetője felé az ellenőrzések tapasztalatairól. A RENDSZER HOZZÁFÉRÉS ÉS HASZNÁLAT MONITOROZÁSA A RENDSZER HASZNÁLAT MONITOROZÁSA Az Informatikai Főosztály a Kormányhivatal informatikai rendszerének megfelelő működése és biztonsága érdekében a számítógépes hálózatot, valamint az internet szolgáltatást monitorozhatja. Az internet használat ellenőrzése csak Kormányhivatal adatkezelés rendjéről szóló szabályzat előírásai szerint valósulhat meg. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

52.oldal

ESEMÉNYNAPLÓ A rendszerekben az operációs rendszerek, az adatbázis kezelő és az alkalmazás esemény és hiba naplózását aktív állapotban kell tartani. Minden szerverről a kijelölt informatikusnak digitális, vagy papír alapú eseménynaplót kell vezetnie (IBNY12-es melléklet), melyben rögzíti a szerverrel kapcsolatos szoftveres és hardveres beavatkozásokat és eseményeket (telepítés, frissítés, hibajelzés, riasztása, leállás, lemerevedés, szerelés, javítás, bővítés stb.). A RENDSZER ÓRÁK SZINKRONIZÁLÁSA A rendszer valamennyi, időinformáció kezelésére alkalmas elemének egységes időalapot kell biztosítani. DOKUMENTÁLÁS A rendszer monitorozása során jegyzőkönyvet kell készíteni a vizsgált időszak és terület, valamint a tapasztalatok tekintetében. Az informatikai központok belépési naplóit és a szerver eseménynaplókat naprakészen kell vezetni. KONTROLLOK A rendszer monitorozása során be kell tartani az adatvédelemre és a személyiségi jogokra vonatkozó törvényi előírásokat. ELLENŐRZÉS Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a naplókat és jegyzőkönyveket. Az ellenőrzés megállapításairól jelentést tesz a Főigazgatónak. 12. A RENDSZERFEJLESZTÉS ÉS KÖVETÉS BIZTONSÁGI SZABÁLYAI A RENDSZEREK BIZTONSÁGI KÖVETELMÉNYEI AZ ELEMZÉS ÉS A SPECIFIKÁCIÓ BIZTONSÁGI KÖVETELMÉNYEI A meglévő szoftverek továbbfejlesztését vagy új programok bevezetését az érintett szakmai területek vezetője írásos fejlesztési igénnyel kezdeményezheti. A Kormányhivatal számára szoftverek bevezetését, fejlesztését és az általa használt szoftverek továbbfejlesztését az Informatikai Főosztály engedélyével és hozzájárulásával lehet végezni. Az integrált szolgáltatást nyújtó kész szoftverek Kormányhivatal döntése alapján történő vásárlásánál, valamint a Kormányhivatal saját fejlesztésű alkalmazásai esetében az erre épülő informatikai rendszerek bevezetésének tervezésénél az alábbiak szerint kell eljárni: 1. Írásban meg kell határozni a tervezett rendszer által nyújtandó szolgáltatások körét. 2. Meg kell tervezni a rendszer biztonsági modelljét, amelyben az alapvető védelmi igényeket szövegesen is rögzítik. 3. A hardver és szoftver komponensekkel, valamint az adatfeldolgozás folyamatával kapcsolatos adatbiztonsági elvárásokat meg kell fogalmazni. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

53.oldal

4. Meg kell tervezni az információbiztonsági rendszer működtetéséhez szükséges feltételrendszert. El kell készíteni az adatok mentésének és meghatározott idejű megőrzésének előírását. 5. A biztonsági szempontok figyelembe vételével megvalósítási tanulmányt és rendszertervet kell készíteni, amit a megbízó, a fejlesztő és az informatikai főosztályvezető egyeztetés után elfogad. A RENDSZERFEJLESZTÉS BIZTONSÁGI KÖVETELMÉNYEI A Kormányhivatal szervereihez és alkalmazásaihoz hozzáférést külső vagy belső fejlesztőnek fejlesztési, tesztelési célból az Informatikai Főosztály adhat. A Kormányhivatal hálózatán a központi szervek által fejlesztett szoftverek tervezésében, fejlesztésében,

tesztelésében,

bevezetésében

a

Kormányhivatal

munkatársai

az

Informatikai Főosztály vezetőjének tudtával és engedélyével vehetnek részt. A szakigazgatási szervek szakmai irányító szerveinek, illetve a szakigazgatási szerveknek a Kormányhivatal hálózatában és eszközein történő új szakmai rendszer bevezetése esetén a szoftvertelepítéssel kapcsolatos igényüket az Informatikai Főosztály felé kell benyújtani, mellékelve: −

a szoftver dokumentációját,

−

alicenc igazolását,

−

atelepítésileírást,

−

aközpontiszerv szoftvertelepítésre vonatkozó levelét,

−

atelepítőlemezvagyállománymásolatát(azeredetipéldányaszakigazgatásiszervnél marad).

A RENDSZER, VÁLTOZÁSKEZELÉSÉNEK BIZTONSÁGI KÖVETELMÉNYEI Az informatikai rendszerben változtatások az alábbi elvek érvényesítése mellett végezhető: −

A Kormányhivatal által üzemeltetett rendszerprogramok (alapszoftver) illetve a felhasználói programok telepítését a központi számítógépekre (szerverekre) és munkaállomásokra csak az erre feljogosított informatikusok végezhetik el. Jogosultságot az Informatikai Főosztály vezetője engedélyezhet.

−

Az alapszoftverrel kapcsolatos bármely konfigurációs műveletet csak az Informatikai Főosztályhoz tartozó informatikus, illetve – előzetes jóváhagyása mellett – az erre felhatalmazott üzemeltető végezhet.

−

Az alkalmazói szoftvereken végzendő, azok bármely funkcióját megváltoztató művelethez az Informatikai Főosztály vezetőjének és az érintett szakmai terület vezetőjének

engedélye

beavatkozást

igénylő

szükséges. hangolás

A

verzióváltás

elvégzéséhez

az

és

egyéb,

Informatikai

jelentős Főosztály

vezetőjének engedélye szükséges. −

A felmerült változtatási igényeket kielégítő beállításokat teszt környezetben az Informatikai

Főosztály

vezetője

által

meghatározott

időszakon

át,

munkarendszerűen tesztelni és üzemeltetni kell. −

Teljes körű tesztelési eljárásokkal kell megbizonyosodni a biztonsági modellben megfogalmazott elvárások érvényesüléséről új rendszer bevezetése előtt.

−

Próbaüzem és terhelési próbák során meg kell vizsgálni az új rendszer üzembiztonságát és megbízhatóságát még a bevezetés előtt.


54.oldal

−

A tesztelésről készített jelentés felhasználásával dönt, az Informatikai Főosztály vezetője a beállítások, illetve alkalmazások bevezetéséről.

−

A Kormányhivatal informatikai rendszerébe beállításokat, illetve alkalmazásokat helyi előzetes tesztelés nélkül csak a központi szakmai irányító szervek alkalmazási igazolása mellett szabad alkalmazni.

−

Alapszoftvert és alkalmazói szoftvert csak érvényes, arra vonatkozó licenc alapján szabad felhasználni.

VÁLTOZÁSKÖVETÉSI FOLYAMATOK A Kormányhivatal rendszerében a változtatásokat csak a változás folyamatainak dokumentált követésével, és a döntési pontoknál előzetes hatásvizsgálatok (biztonsági, költség) elvégzése után, annak figyelembe vételével lehet végrehajtani, az Informatikai Főosztály vezetőjének írásos engedélyével. AZ OPERÁCIÓS RENDSZER VÁLTOZÁSAINAK TECHNIKAI FELÜLVIZSGÁLATA A Kormányhivatal rendszerében az operációs rendszer verzióváltásai, illetve szerviz csomagok telepítését, frissítéseket meg kell, hogy előzze az operációs rendszer változásának hatásfelmérése, figyelembe véve a Kormányhivatal munkafeladatait, eszközparkját és hálózati adottságait. SZOFTVER CSOMAGOK VÁLTOZTATÁSÁNAK KORLÁTOZÁSA A kiemelt védettségű időszak alatt a szoftvereken módosítani nem szabad. Ezen időszakok

között

bármely

módosítást

csak

az

Informatikai

Főosztály

vezetője

engedélyezhet. ÁLCÁZOTT CSATORNÁK ÉS „TRÓJAI” PROGRAMOK A rendszerben használt szoftvereket csak megbízható forrásból (ismert szállítótól) szabad beszerezni

az

álcázott

csatornán

keresztüli

beavatkozás

és

Trójai

programok

bejuttatásának kivédésére. KÜLSŐ

CÉG

ÁLTAL

VÉGZETT

(VÁLLALKOZÓI

SZERZŐDÉS

KERETÉBEN)

SZOFTVERFEJLESZTÉS A külső céggel végeztetett szoftverfejlesztés esetén a megrendelőnek rögzíteni kell a tulajdonosi, használati és licenc jogokat. Rögzíteni kell a követés módját, formáját és minimális időtartamát. A Kormányhivatal rendszerében végzett, külső cég általi szoftverfejlesztés esetén vizsgálni kell: −

az IT biztonsági veszélyeket és kockázatokat a fejlesztés során;

−

a fejlesztő szervezet megbízhatóságát;

−

a fejlesztésre vonatkozó szerződésben a fejlesztőnek garanciát kell vállalnia arra, hogy a fejlesztett alkalmazás nem jelent kockázatot az IT biztonságra.

DOKUMENTÁLÁS A Kormányhivatal rendszerben végzett rendszerfejlesztés minden kormányhivatalt érintő elemét (felmérés, javaslat, tesztelés, döntés, bevezetés, monitoring) az informatikai főosztálynak és a fejlesztőnek dokumentálni kell. A külső cég által végzett fejlesztést csak szigorú szerződési feltételek között szabad végezni. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

55.oldal

KONTROLLOK A Kormányhivatal rendszerben végzett rendszerfejlesztés felett az Informatikai Főosztály vezető gyakorol felügyelet, szükség esetén kapcsolattartónak informatikust jelöl ki. ELLENŐRZÉS Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi a naplókat és jegyzőkönyveket. Az ellenőrzés megállapításairól jelentést tesz a Főigazgatónak. TITKOSÍTÁSI TEVÉKENYSÉGEK TITKOSÍTÁS SZABÁLYAI Az informatikai rendszerek által is használt belső hálózaton történő adatforgalom védelmére, az NTG (EKG) végponttal rendelkező telephelyek közötti kommunikációs vonalon rejtjelezéssel védett VPN-t kell az üzemeltetőnek kialakítani. Telephelyek közötti belső adatátvitelre nyílt internet még rejtjelezés esetén sem vehető igénybe. Az alkalmazott kriptográfiai eszközöknek meg kell felelniük a hatályos vonatkozó magyar jogszabályi előírásoknak. NYÍLTKULCSÚ TITKOSÍTÁS Nyílt kulcsú titkosítást csak az Informatikai Főosztály vezetőjének engedélyével lehet alkalmazni. A titkosítási rendszer kialakítása és a rendszer nyilvántartása a kijelölt informatikus feladata. A nyílt kulcsú titkosítás eszközeinek és jelszavainak kezeléséért és megőrzéséért a kulcsot alkalmazó felhasználó felelős. A nyílt kulcsú titkosítás azonosítóit és a titkos kulcsok jelszavait az Informatikai Főosztály kezelésében lévő páncélszekrényben, zárt borítékban kell tárolni. A boríték az Informatikai Főosztály vezetőjének utasítására bontható fel. FILE RENDSZER TIKOSÍTÁSA A fájlrendszereket tikosítását az Informatikai Főosztály vezetőjének engedélyével lehet alkalmazni a mobil adathordozóknál és mobil informatikai eszközöknél. A rendelkezése álló szoftver telepítése és beállítása, és a titkosított rendszer használatának nyilvántartása a kijelölt informatikus feladata. A fájlrendszer titkosítás eszközeinek és jelszavainak kezeléséért és megőrzéséért a felhasználó felelős. A fájlrendszer titkosításának azonosítóit és jelszavait az Informatikai Főosztály kezelésében lévő páncélszekrényben, zárt borítékban kell tárolni. A boríték az Informatikai Főosztály vezetőjének utasítására bontható fel. ADATÁTVITEL TIKOSÍTÁSA Az informatikai rendszerek által is használt belső hálózaton történő adatforgalom védelmére, a telephelyek közötti kommunikációs vonalon rejtjelezéssel védett VPN-t kell az üzemeltetőnek kialakítani. Telephelyek közötti belső adatátvitelre Internet még rejtjelezés esetén sem vehető igénybe. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

56.oldal

Az alkalmazott kriptográfiai eszközöknek meg kell felelniük a hatályos vonatkozó magyar jogszabályi előírásoknak. ELEKTRONIKUS ALÁÍRÁS Elektronikus aláírást, csak az Informatikai Főosztály vezetőjének engedélyével lehet alkalmazni. A hitelesítési rendszer kialakítása és a rendszer nyilvántartása a kijelölt informatikus feladata. Az elektronikus aláírás eszközeinek és jelszavainak kezeléséért és megőrzéséért az alkalmazó felhasználó felelős. KONTROLLOK Kontrollokat a titkosítási és hitelesítési rendszerek felett az Informatikai Főosztály vezetője gyakorolja ELLENŐRZÉS A titkosítási és hitelesítési rendszerek alkalmazását az informatikai biztossági megbízott évente ellenőrzi. 13. BIZTONSÁGI KOCKÁZATMENEDZSMENT IT KOCKÁZATELEMZÉS A Kormányhivatal informatikai biztonsági megbízottja évente egyszer a rendelkezésre álló információk alapján kockázatelemzést köteles készíteni. A kockázatelemzés során az egyes veszélyforrások által képviselt kockázatokat kell megállapítani, illetve feltárni. A kockázat meghatározása a veszély megvalósulásának valószínűsége és az okozható kár alapján, vagy más nézőpontból az adott veszélyt képviselő sérülékenység kihasználhatósága és ennek hatása alapján történik. A Kormányhivatal informatikai biztonsági megbízottja elemzés során a kockázatokat kategóriákba sorolja. A tanulságokat jelentésben tárja az Informatikai Főosztály vezetője elé. IT KOCKÁZATÉRTÉKELÉS A kockázat elemzésről szóló jelentés alapján az Informatikai Főosztály vezetője a kockázatokat értékeli, és gondoskodik a megelőzésükhöz szükséges intézkedések meghozataláról. IT KOCKÁZATKEZELÉS A kockázatkezelési folyamatok során az Informatikai Főosztály vezetője igénybe veszi az Üzemeltetési Osztály, illetve külső felek közreműködését. A kockázatkezelés lépései: −

kockázatok feltárása, csoportosítása és hatáselemzése;

−

szükséges lépések, módszerek meghatározása és hatáselemzés;

−

megoldási tervek és alternatívák készítése;

−

döntés és megvalósítás;

−

monitoring és utóellenőrzés.

IT KOCKÁZATMENEDZSELÉS SZABÁLYAI 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

57.oldal

−

A körülmények teljes körű feltérképezését követően a valós kockázatokat kell figyelembe venni.

− −

A súlyosság mértéke szerint kell haladni a kockázat megoldása és elhárítása során. A megoldások közül azt a módszert (eszköz kell választani), amelyik a legnagyobb eredményt hozza a legkisebb erőforrás ráfordítással.

−

A kockázatkezelésre fordított erőforrások, a védekezés költségei arányosak kell, hogy legyenek a kockázat mértékével.

14. ELLENŐRZÉS AZ IT BIZTONSÁG DOKUMENTÁLÁSA AZ IT BIZTONSÁG DOKUMENTÁLÁS SZABÁLYAI Rendelkezésre állás: a jogosultságok engedélyeztetése és nyilvántartása révén biztosítja a hozzáférést. Sértetlenség: Adatintegritás biztosítása a mentési és archiválási nyilvántartások naprakész vezetésével és a mentések megfelelő tárolásával. Rendszerintegritás fenntartása a megfelelő ellenőrzött szoftverek használatával és a szoftvernyilvántartások vezetésével. Bizalmasság: az adatok illetéktelen kiszivárgása megelőzhető a mentési adatlapok és nyilvántartások vezetésével, a mentések előírt tárolási szabályainak betartásával, az adatvédelmi szabályok betartásával. Felelősség: bármely entitás cselekvései követhetőek és egyértelműen visszavezethetőek a mentések, a számítógép naplók, valamint a szervernaplók elemzéséből. Megbízhatóság: az IBSZ intézkedései a rendszer megbízhatóságának biztosítására törekednek. A megbízhatóság az alapvető szabályok betartása mellett biztosítható. A DOKUMENTUM PORTFÓLIÓ Az IBSZ szabályai által előírt és napra készen vezetett adatlapok, naplók és nyilvántartások. Az informatikai munka során készített feljegyzések, jelentések, jegyzőkönyvek. Beszerzések során keletkezett dokumentumok. KONTROLLOK •

Dokumentált eszközkezelés (üzembe helyezési, eszközátadási, eszközszállítási, leltározási és selejtezési események dokumentálása).

•

A jogosultságok és hozzáférések adatlapokkal történő dokumentálása.

•

Ellenőrzött szoftverkezelés (jogtisztaság, tesztelt szoftverek, szoftvernyilvántartás vezetése, telepítés jogosultság szabályozása).

•

Mentések és archívumok készítésére és tárolására vonatkozó előírások és kapcsolódó nyilvántartások vezetése.

•

A

munkahelyek,

üzemeltetésére

hálózatok,

vonatkozó

informatikai

előírások

központok

betartása,

kialakítására

kapcsolódó

és

események

naplózása. •

Az IT biztonsági többszintű ellenőrzése,hibakezelési rendszer alkalmazása.

•

Vezetői döntések megjelenése az egyes engedélyezési eljárások során.


58.oldal

ELLENŐRZÉS Az informatikai biztonsági megbízott az éves ellenőrzések során szúrópróbaszerűen ellenőrzi az IT biztonsági dokumentumokat és jelentés formájában a Főigazgatót tájékoztatja. AZ IT BIZTONSÁG ELLENŐRZÉS SZABÁLYAI AZ ALKALMAZANDÓ SZABÁLYOK MEGHATÁROZÁSA Az informatikai biztonsági ellenőrzésének szabályait az informatikai főosztályvezető, az informatikai biztonsági felügyelő a felettes szakmai iránymutatás alapján határozza meg. A BIZTONSÁGI ELLENŐRZÉS RENDSZERE Az IT ellenőrzések területei: −

Környezeti veszélyek – pl. természeti károk, tűz stb.

−

Fizikai veszélyek – lopás, rongálás, fizikai betörés.

−

Informatikai veszélyek – vírusok, számítógépes betörés stb.

−

Humán veszélyek – szabotázs, gondatlanság, tudatlanság, felelőtlenség stb.

−

Szervezeti veszélyek – szervezeti problémák, irányítási gondok stb.

Az IT ellenőrzések rendszere a Kormányhivatalban: −

Alapszintű ellenőrzés: az Informatikai Főosztály informatikusai által.

−

Középszintű ellenőrzés: o

a szervezeti egység vezetők személyes részvételével,

o

az Informatikai Főosztály vezetője, vagy az őt képviselő informatikai

o

a Belsőellenőrzési Osztály ellenőrzései,

biztonsági megbízott ellenőrzései, −

Felsőszintű ellenőrzés: központi szakmai irányító szervek, hatóságok ellenőrzései felügyeleti kontrolja, illetve ellenőrzése.

JOGSZABÁLYI TÉNYÁLLÁSOK ÉS SZANKCIÓK Ha a Kormányhivatal alkalmazottja az informatikai biztonsági szabályok megszegésével olyan magatartást tanúsít, amely bűncselekmény gyanúját veti fel, az Informatikai Főosztályvezető jelzése alapján a munkáltatói jog gyakorlója - a tudomására jutását követően haladéktalanul - feljelentést tesz ellene az illetékes nyomozóhatóságnál. KÁRTÉRÍTÉSI FELELŐSSÉG Ha a Kormányhivatal alkalmazottja az informatikai biztonsági szabályokat vétkesen megszegve a Kormányhivatalnak kárt okoz, az Informatikai-, vagy a Pénzügyi Főosztály vezetőjének jelzése alapján a főigazgató kártérítési eljárást kezdeményez vele szemben. FEGYELMI FELELŐSSÉG Ha a Kormányhivatal alkalmazottja az informatikai biztonsági szabályokat vétkesen megszegi, az Informatikai Főosztály vezetőjének jelzése alapján indokolt esetben a Főigazgató fegyelmi eljárást kezdeményez vele szemben. A fegyelmi és kártérítési eljárás

lefolytatására a Kormányhivatal Közszolgálati

Szabályzatának fegyelmi és kártérítési felelősségre vonatkozó rendelkezéseit kell alkalmazni. 3525 Miskolc, Városház tér 1. Telefon: (36-46) 512 900 Fax: (36-46) 512 [email protected] Honlap: www.kormanyhivatal.hu

59.oldal

No title

Recommend Documents