INFORMATIKAI BIZTONSÁGI POLITIKA
SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL
Verziószám: 1.0 Hivatkozási szám: K1314-0102-150608-01-E Dátum: 2015. június 08.
TARTALOM 1.
INFORMATIKAI BIZTONSÁGI NYILATKOZAT
3
2.
VEZETÉS ELKÖTELEZETTSÉGE
3
3.
FELELŐSSÉG ÉS HATÁSKÖRÖK
4
3.1.
Szervezeti háttér
4
3.2.
Az informatikai biztonsági felelősség
5
4.
AZ INFORMATIKAI FELÜLVIZSGÁLATA
BIZTONSÁGI
POLITIKA 5
5.
BIZTONSÁGI ALAPELVEK
5
6.
BIZTONSÁGTUDATOSSÁG
6
7.
MEGFELELŐSÉG
7
2/7
1. Informatikai biztonsági nyilatkozat Szombathely Megyei Jogú Város Polgármesteri Hivatala (továbbiakban: Hivatal) teljes mértékben elkötelezett a helyi közszolgáltatások magas színvonalon történő megvalósításában és a szolgáltatásokat igénybevevő polgárok igényeinek korszerű és szakszerű kiszolgálásában, ami ma már elképzelhetetlen informatikai rendszerek széleskörű használata nélkül, amelyek biztosíthatják az eredményes és a hatékony döntések előfeltételeit. A Hivatalnál folyó tevékenység keretében a vonatkozó jogszabályok, szabványok, előírások betartása, az azokban meghatározott követelmények kielégítése elsődleges szempont, mivel ez az állampolgárok elvárása is, ezért a Hivatal közigazgatási feladatainak ellátása során a szolgáltatási szemléletű gondolkodásmód maximális szem előtt tartása mellett meg kell felelni a központi és helyi jogszabályok előírásainak is, mert a Hivatal törvényes eredményes és hatékony tevékenységével kívánja elérni a lakosság igényeinek kielégítését. Ma már társadalmi elvárás a település és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. Annak érdekében, hogy a Hivatal szolgáltatásait a lakosság teljes bizalommal vegye igénybe a Hivatal kiemelt prioritásának tekinti az elektronikus információs rendszereiben kezelt adatok védelmét, amit jelen informatikai biztonsági politika (továbbiakban Politika) megfogalmazásával is hangsúlyozni kíván, tudva, hogy ehhez a Hivatal valamennyi dolgozójának összehangolt, biztonságtudatos munkájára van szükség. Jelen dokumentum célja, hogy a Hivatal szükségletihez és lehetőségeihez mérten – a kibertérben létező kockázatok kezelésére, az elektronikus információs rendszerek védelmére alkalmazható szabályzati környezet kialakításával, a bevezetett kontrollok folyamatos és tervszerű alkalmazásával, amelyek a kibertérben létező kockázatok elfogadható szintjét biztosítják – a kiberteret megbízható környezetté alakítsa a Hivatal számára. A Hivatal az elektronikus információs rendszereinek védelmét támogató szabályzati környezetét és folyamatait az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényre, illetve a annak végrehajtására kiadott jogszabályokra, különös tekintettel az alkalmazandó logikai, fizikai és adminisztratív védelmi intézkedéseket előíró, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről szóló 77/2013. (XII. 19.) NFM rendeletre alapozva építi fel és működteti.
2. Vezetés elkötelezettsége Hivatal elkötelezett, hogy az elektronikus információs rendszerei által kezelt adatok biztonságát kockázatokkal arányosan, a Hivatal lehetőségeihez mérten, a jogszabályi követelményeknek megfelelően garantálja, a kockázatok rendszeres újraértékelésével képes legyen mindenkor szükséges megelőző lépéseket megtenni, továbbá a külső fenyegetések által okozható kár mértékét azonnali és korrektív eljárások működtetésével csökkentse. A Hivatal vállalja, hogy az elektronikus információs rendszerek védelmének szervezeti kereteit, szabályzati környezetét, folyamatait a vonatkozó jogszabályi 3/7
előírásokkal összhangban építi fel, azt a felügyelő hatóság számára transzparens módon működteti. E cél érdekében meghatározza
a
Hivatal
informatikai
biztonsági
szabályzati
környezete
az elektronikus információs rendszerekkel és az információvédelemmel
kapcsolatos felelősségeket, az információ biztonságos kezelését, az elektronikus információs rendszerek védelmét, a biztonsági események kezelésének rendjét, a számonkérés formáját és módját.
A Hivatal jegyzője gondoskodik arról, hogy az elektronikus információs rendszerek védelmével kapcsolatos szervezeti keretek, szabályzatok, feladat- és felelősségi körök, technológiai megoldások bevezetésének és működtetésének személyi és egyéb feltételei a Hivatal lehetőségeihez mérten mindenkor rendelkezésre álljanak.
3. Felelősség és hatáskörök 3.1. Szervezeti háttér Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben nevesített elektronikus információs rendszer biztonságáért felelős személy feladatainak ellátásával a Hivatal a köztisztviselő jogviszonyban foglalkoztatott Informatikai, Minőségügyi és Gondnoksági Kabinet Osztályvezetőt bízta meg. Az elektronikus információs rendszer biztonságáért felelős személy szerepet vállal:
a Hivatal elektronikus információs rendszereinek biztonságával összefüggő
tevékenységek jogszabályokkal való összhangjának megteremtésével és fenntartásával kapcsolatos tevékenységek tervezésben, szervezésében, koordinálásában és ellenőrzésében; az elektronikus információs rendszerek biztonsági osztályba sorolásában, illetve a szervezet biztonsági szintbe történő besorolásában; a Hivatal informatikai biztonsági szabályzatainak elkészítésében; a külső partnerek tevékenysége fölötti kontroll megvalósításában; az esetleges biztonsági események kiértékelésében; a Hivatal elektronikus információs rendszerek védelmével kapcsolatos tevékenységének a felügyeleti, ellenőrzési feladatiban.
Az elektronikus információs rendszer biztonságáért felelős személy az elektronikus információs rendszerek védelmével kapcsolatos feladatait a Hivatal vezetőjével egyezteti, ugyanakkor a napi munka során szorosan együttműködik az érintett felekkel, első sorban az elektronikus információs rendszerek üzemeltetésében résztvevőkkel. Az elektronikus információs rendszer biztonságáért felelős személy az elektronikus információs rendszerek védelmével kapcsolatos tevékenységről, az ellenőrzési, felügyeleti feladatok tapasztalatairól, a vezetőségi átvilágítás keretében számol be a Hivatal vezetőjének. A jegyző feladata, hogy az elektronikus információs rendszer biztonságáért felelős személy rendelkezzen a feladatainak ellátásához szükséges speciális, a törvény által előírt képzettséggel, illetve szakmai gyakorlattal. A jegyző felelőssége, hogy az elektronikus információs rendszer biztonságáért felelős személy és az elektronikus információs rendszer biztonságával összefüggő feladatok ellátásában részt vevő személyek a miniszteri rendeletben meghatározott rendszeres szakmai képzésen, továbbképzésen részt vegyenek.
4/7
3.2. Az informatikai biztonsági felelősség A Hivatal elektronikus információs rendszereinek biztonsága, az elektronikus információs rendszerek védelmének megteremtése és fenntartása a jegyző felelőssége, aki jelen informatikai biztonsági politikában deklarálja az elkötelezettségét a Hivatal elektronikus információs rendszereinek biztonsági osztálya és a szervezet biztonsági szintje alapján előírt jogszabályi követelmények teljesítése, az elektronikus információs rendszerek védelmét biztosító adminisztratív, fizikai és logikai védelmi intézkedések bevezetése és folyamatos működtetése érdekébent. A jegyző a törvényi elvárásokkal összhangban elektronikus információs rendszerek biztonságáért felelős személyt bíz meg, aki a vonatozó jogszabályokban számára előírt feladatok végrehajtása mellett a Hivatal tevékenységével kapcsolatos informatikai biztonsági kérdésekben szakmai támogatást nyújt a jegyzőnek, döntéselőkészítő, döntéstámogató tevékenységgel segíti a jegyző elektronikus információs rendszerek védelmével kapcsolatos feladatait. A jegyző feladata az elektronikus információs rendszer biztonságáért felelős személy támogatásával, hogy jelen politikában megfogalmazott célok elérése érdekében
meghatározza és kijelölje az informatikai biztonság fejlődési irányát; meghatározza az informatikai biztonságot érintő felelősségeket; kiadja, felülvizsgálja és jóváhagyja a Hivatal adminisztratív védelmét alkotó dokumentumokat;
felülvizsgálja és figyelemmel kísérje a biztonsági eseményeket, illetve az azok kezelésére tett lépéseket és azok eredményét;
vezetői szintű felügyeletet gyakoroljon az elektronikus információs rendszerek
védelmével kapcsolatos feladatok fölött, vezetői átvilágítás keretében értékelje a Hivatal informatikai biztonsággal kapcsolatos tevékenységét, döntsön az esetlegesen szükséges helyesbítő intézkedésekről; erőforrásokat allokáljon a feladatok elvégzésére. A Hivatal az informatikai biztonsági kérdésekkel dedikáltan foglalkozó szervezeten belüli egyeztető testületet, fórumot nem hoz létre, de a jegyző az informatikai biztonsággal kapcsolatos kérdésekbe konzultációs jelleggel bevonja az elektronikus információs rendszer biztonságáért felelős személyt, az elektronikus információs rendszerek üzemeltetéséért felelős személyeket, az érintett szervezeti egységek vezetőit, illetve egyéb érintett feleket.
4. Az Informatikai biztonsági politika felülvizsgálata Az informatikai biztonsági politika dokumentumát, jelentős, az informatikai biztonsági szervezetet, a Hivatal működési környezetét érintő változás, első sorban az elektronikus információs rendszerek védelmével kapcsolatos jogszabályi követelmények változása esetén azonnal, de legalább 3 évente felül kell vizsgálni. Az informatikai biztonsági politika kiadása, felülvizsgálata a Jegyző felelőssége az elektronikus információs rendszer biztonságáért felelős személy szakmai támogatása mellett.
5. Biztonsági alapelvek A Hivatal az alábbi biztonsági alapelvek mentén alakítja elektronikus információs rendszereinek védelmét:
5/7
A Hivatal az elektronikus információs rendszerek megfelelő védelme
érdekében a vonatkozó jogszabályi követelményekkel összhangban álló logikai, fizikai és adminisztratív védelmi intézkedéseket foganatosít. A Hivatal elektronikus információs rendszereinek adminisztratív biztonságát egy háromszintű szabályzati struktúra - magas szintű szervezeti célok, a célokat kifejtő rendszerfüggetlen szervezeti szabályok rendszere, valamint ezek részletes végrehajtását meghatározó rendszerspecifikus eljárási utasítások – szerint felépített informatikai biztonsági szabályzati környezet kialakításával kívánja biztosítani, mely minimálisan az alábbi dokumentumokból áll: informatikai biztonsági politika, informatikai biztonsági stratégia, informatikai biztonsági szabályzat, informatikai felhasználói szabályzat, ügymenet-folytonossági keretrendszer, üzemeltetési eljárásrendek, illetve a fentiekhez kapcsolódó műszaki nyilvántartások, üzemeltetői és felhasználói leírások. A Hivatal elektronikus információs rendszerei számára zárt, teljes körű, folytonos és kockázatokkal arányos védelmet kell biztosítani. A Hivatalnak biztosítania kell az elektronikus információs rendszereiben kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását. A Hivatal a törvényi elvárásoknak megfelelően elektronikus információs rendszereit biztonsági osztályba sorolja. A Hivatal az elektronikus információs rendszereinek biztonsági osztályozása alapján meghatározza a Hivatal biztonsági szintjét, melyhez kapcsolódó kötelezően betartandó biztonsági követelmények szerint alakítja ki informatikai biztonsági szabályzati környezetét, konfigurálja biztonsági rendszereit, üzemelteti elektronikus információs rendszereit. A Hivatal rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén meggyőződik arról, hogy a Hivatal elektronikus információs rendszereinek biztonsága megfelel-e a jogszabályoknak és a kockázatoknak. Ha a Hivatal elektronikus információs rendszereinek létrehozásában, üzemeltetésében, auditálásában, karbantartásában vagy javításában, illetve adatkezelési és adatfeldolgozási tevékenységében közreműködőt vesz igénybe, gondoskodni kell arról, hogy az informatikai biztonsággal kapcsolatos törvényi követelmények szerződéses kötelemként teljesüljenek a közreműködővel szemben. A Hivatal biztonsági esemény bekövetkezésekor minden szükséges és rendelkezésére álló erőforrás felhasználásával gondoskodik a biztonsági eseményre történő gyors és hatékony reagálásról, és ezt követően a biztonsági események kezeléséről. A Hivatalnak tervezetten kell reagálnia az ügymenet-folytonosságot befolyásoló eseményekre és szabályzati szinten rögzíteni kell a követendő eljárásrendet. A Hivatalnak rendszeres időközönként ellenőriznie szükséges a Hivatal biztonsági szintjéhez kapcsolódó kötelező biztonsági kontrollok gyakorlati működését, és nemmegfelelőség esetén javító intézkedést kell bevezetnie.
6. Biztonságtudatosság A Hivatal vezetése a Politika kiadásával fel kívánja hívni minden dolgozójának, illetve a Hivatal elektronikus információs rendszereihez hozzáféréssel rendelkező felhasználónak a figyelmét arra, hogy az informatikai biztonság megteremetéséhez elengedhetetlen a biztonságtudatos, felelősségteljes magatartás. Ennek biztosítása érdekében a Hivatali minden dolgozója köteles a napi tevékenységét a Politika, illetve
6/7
a Politika alapján kiadott szabályzatok iránymutatásait követve végezni, a tevékenysége során tapasztalt hiányosságokat, rendellenességeket közvetlen felettese és/vagy a jegyző felé jelezni. Hivatal elvárja dolgozóitól, hogy a Hivatal informatikai biztonsági szabályzataiban rögzített szabályokon túl azok szellemiségével összhangban tevékenykedjen. A Jegyző folyamatosan gondoskodik róla, hogy a Politikát és a biztonsági célokat, az elektronikus információs rendszerek védelmével kapcsolatos általános ismereteket minden munkatárs kellő mélységben megismerje. Ennek érdekében munkatársait különböző módon tájékoztatja, oktatja és folyamatos továbbképzésükről gondoskodik.
7. Megfelelőség A Hivatal vezetése jelen politikában leírt célok teljesítése és folyamatos fenntartása érdekében rendszeresen végrehajtott biztonsági kockázatelemzések, ellenőrzések, auditok lefolytatása révén kontrollt kíván gyakorolni az elektronikus információs rendszerek védelmével kapcsolatos tevékenységek fölött. Az ellenőrzések célja első sorban
a Hivatal elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának vizsgálata;
a Hivatal informatikai biztonsági szabályzati környezetének jogszabályokkal és kockázatokkal való összhangjának vizsgálata;
az elektronikus információs rendszerek biztonságának értékelése a jogszabályoknak és a kockázatoknak való megfelelés szempontjából;
a Hivatal belső szabályzataiban megfogalmazott kontrollok helyes gyakorlati alkalmazásának ellenőrzése.
Fentiek érdekében a Hivatal az elektronikus információs rendszer biztonságáért felelős személy szakmai irányításával, közreműködésével, koordinálásával felügyeleti és ellenőrzési programot működtet. A felügyeleti és ellenőrzési program keretében az elektronikus információs rendszer biztonságáért felelős személy éves audittervet készít, amely biztosítja, hogy minden releváns biztonsági terület ellenőrzése, auditálása a kapcsolódó kockázatok figyelembe vételével megtörténjen. Az ellenőrzéseket az éves terv ütemezésének megfelelően az arra kijelölt személyek az elektronikus információs rendszer biztonságáért felelős személy szakmai irányításával és felügyeletével hajtják végre. A jegyző felelőssége, hogy az ellenőrzések függetlenségének érdekében az összeférhetetlen szerepkörök szétválasztása biztosítható legyen. Amennyiben a Hivatal az elektronikus információs rendszerének tervezésébe, fejlesztésébe, üzemeltetésébe közreműködőt von be, az elektronikus információs rendszer biztonságáért felelős személy jogosult tájékoztatást kérni a közreműködőktől a Hivatal által megfogalmazott biztonsági követelmények teljesüléséről, továbbá a tevékenységgel kapcsolatos valamennyi adatot és dokumentumot bekérni annak érdekében, hogy ellenőrizni tudja a közreműködő vonatkozó jogszabályoknak és a Hivatal által előírt biztonsági követelmények megfelelő tevékenységét. A jegyző vezetőségi átvilágítás keretében értékeli a Hivatal elektronikus információs rendszerek védelmével kapcsolatos tevékenységét, indokolt esetben dönt a szükséges módosításokról.
7/7
