8/2009. (II. 20.) KHEM utasítás
8/2009. (II. 20.) KHEM utasítás
a Közlekedési Hírközlési és Energiaügyi Minisztérium Információ Biztonsági Szabályzatáról*
2009.02.20.
1. § A Közlekedési Hírközlési és Energiaügyi Minisztérium Információ Biztonsági Szabályzatát jelen utasítás mellékleteként kiadom.
2. § Jelen utasítás a közzététel napján lép hatályba.
Dr. Molnár Csaba s. k.,
közlekedési, hírközlési és energiaügyi miniszter
Melléklet a 8/2009. (II. 20.) KHEM utasításhoz
A Közlekedési Hírközlési és Energiaügyi Minisztérium
Információ Biztonsági Szabályzata
Információ Biztonsági Szabályzata
Az Információ Biztonsági Szabályzat célja
Jelen Információ Biztonsági Szabályzat (a továbbiakban: IBSz) célja a Közlekedési, Hírközlési és Energiaügyi Minisztérium (a továbbiakban: KHEM) által használt, – a KHEM és a Nemzeti Fejlesztési és Gazdasági Minisztérium (továbbiakban: NFGM) közötti IT megállapodás szerint –, illetve a KHEM és a Központi Szolgáltató Főigazgatóság (a továbbiakban: KSzF) közötti szolgáltatási megállapodás szerint üzemeltetett – informatikai rendszerekben lévő és e rendszerekben kezelt KHEM-es információk bizalmasságát, hitelességét és rendelkezésre állását biztosító tevékenységek szabályozása.
Az IBSz általános iránymutatással, fogalmi keretrendszerrel és irányelvekkel szolgál a KHEM által használt informatikai rendszerekben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása és az ezt elősegítő védelmi intézkedések megteremtése érdekében.
Az IBSz célja továbbá, hogy átlátható és nyomon követhető formában rögzítse azon célokat és irányelveket, amelyek segítségével az információbiztonság magasabb fokú kialakításának további szabályozása, dokumentumai komplex, átfogó és széles körű információbiztonságot alkossanak.
1. Az IBSz hatálya
1.1. Tárgyi hatály
Az IBSz tárgyi hatálya kiterjed:
a) a KHEM bármely szervezeti egysége vagy a KHEM-mel közszolgálati jogviszonyban, illetve egyéb jogviszonyban álló személy által munkavégzéssel kapcsolatban használt, illetve a KHEM adatait feldolgozó, tároló vagy továbbító információhordozó eszközre. Az informatikai eszközök és berendezések (számítógépek, nyomtatók, külső adattároló eszközök, aktív hálózati elemek, elektronikus adathordozók stb.) tekintetében minden olyan eszközre, amelyet a KSzF üzemeltet,
b) a fenti 1. pontban meghatározott eszközökre és rendszerekre vonatkozó minden dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési stb. dokumentumok), függetlenül azok formátumától (papír vagy elektronikus),
c) az IBSz tárgyi hatálya alá eső területen bármely okból használt információhordozó eszközökre és berendezésekre, amennyiben azok a KHEM hálózatával vagy a KSzF által üzemeltetett informatikai eszközzel adatkapcsolatot létesítenek,
d) az informatikai eszközökön használt vagy tárolt szoftverekre és adatokra (rendszerprogramok, alkalmazások, adatbázisok stb.), ideértve az üzemelő rendszerek adatain kívül az oktatási, teszt és egyéb célra használt adatokat is,
e) a KHEM által kezelt és a KSzF által üzemeltetett eszközökön tárolt adatok teljes körére, felmerülésüktől, feldolgozási és tárolási helyüktől függetlenül.
Nem tartoznak az IBSz tárgyi hatálya alá a kizárólag nyilvános adatokat kezelő, feldolgozó eszközök, berendezések, szoftverek, illetve az ilyen adatokat tartalmazó dokumentumok.
1.2. Területi hatály
Az IBSz területi hatálya kiterjed a KHEM székhelyére továbbá mindazon objektumokra és helyiségekre, amelyekben az IBSz tárgyi hatálya alatt meghatározott eszközöket, szoftvereket, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak.
Nem tartoznak az IBSz területi hatálya alá azon helyiségek, ahol nem kerülnek felhasználásra, illetve nem keletkeznek olyan információk, amelyekben a nyilvánosnál magasabb biztonsági besorolású adatok szerepelnének; valamint a KHEM azon helyiségei, amelyekben a KSzF nem üzemeltet eszközöket, berendezéseket.
1.3. Személyi hatály
Az IBSz személyi hatálya kiterjed mindazon személyekre, akik munkájuk végzése során vagy egyéb céllal az IBSz tárgyi hatálya alá tartozó eszközöket, szoftvereket használnak, adatokat vagy dokumentumokat, információkat hoznak létre, tárolnak, használnak vagy továbbítanak, illetve azokra, akik ilyen tevékenységekkel kapcsolatosan döntéseket hoznak.
Nem tartoznak az IBSz személyi hatálya alá azon személyek, akik nem férnek hozzá nyilvánosnál magasabb biztonsági besorolású adatokhoz és nem használják a KSzF által üzemeltetett eszközöket, berendezéseket.
2. Az IBSz-hez kapcsolódó függelékek jegyzéke
Dokumentum neve |
Dokumentum típusa, jellege |
Felhasználói tevékenységek összefoglalása |
Munkautasítás |
Jogosultság kezelése |
Munkautasítás |
Jogosultságigénylő |
Űrlap |
3. Információbiztonság fogalma, alapvetések
Az információbiztonság alatt azt a dinamikusan változó állapotot értjük, amelyben az informatikai rendszerek által kezelt adatok, szolgáltatások bizalmassága, hitelessége, teljessége, sértetlensége és rendelkezésre állása olyan védelemmel biztosított, amely teljes körű, zárt, folyamatos, a kockázatokkal arányos, valamint a hatályos jogszabályoknak megfelelő.
A fogalom rövid értelmezése a következő:
a) az információk vagy adatok bizalmassága azt jelenti, hogy azokhoz csak az arra jogosítottak, kizárólag az előírt módokon férhetnek hozzá, és nem fordulhat elő úgynevezett jogosulatlan információszerzés,
b) a hitelesség azt jelenti, hogy a KHEM belső vagy más szervezetekkel fenntartott kapcsolataiban a partnerek kölcsönösen és kétségtelenül felismerik egymást és ezt az állapotot a kapcsolat egész idejére változatlanul fenntartják,
c) az információk vagy programok sértetlensége alatt azt értjük, hogy az információkat (programokat) csak az arra jogosultak változtathatják meg, és azok véletlenül sem módosulhatnak. A sértetlenség fogalma alatt értendő a sérthetetlenségen túli teljesség, továbbá az ellentmondás-mentesség és a korrektség, együttesen: integritás. Az integritás ebben az összefüggésben azt jelenti, hogy az információ valamennyi része rendelkezésre áll, elérhető,
d) rendelkezésre állás alatt azt az állapotot értjük, hogy az adatok, információk vagy egy informatikai rendszer különböző szolgáltatásai állandóan, illetve egy meghatározott időben rendelkezésre állnak és az adatokhoz való jogosulti hozzáférés, illetve a rendszer működőképessége nincs akadályozva,
e) teljes körű védelem: a védelmi intézkedések a rendszer összes elemére kiterjednek,
f) zárt védelem: az összes releváns fenyegetést figyelembe vevő védelmi rendszer kerül kialakításra,
g) folyamatos védelem: a védelem az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul,
h) kockázattal arányos védelem: az informatikai szolgáltatás védelme minden esetben összhangban áll a szolgáltatás fenyegetettségével.
4. Megfelelés a jogszabályoknak, szabványoknak, ajánlásoknak
Az IBSz-be foglalt szabályoknak és a KHEM működésének meg kell felelnie a vonatkozó törvényi előírásoknak és jogszabályoknak. Az IBSz figyelemmel van a vonatkozó szabványokra és ajánlásokra is.
4.1. Jogszabályok
2005. évi XC. törvény az elektronikus információszabadságról;
2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól;
1995. évi CXXV. törvény a nemzetbiztonsági szolgálatokról;
1995. évi LXV. törvény az államtitokról és a szolgálati titokról;
1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról;
1992. évi XXIII. törvény a köztisztviselők jogállásáról;
1978. évi IV. törvény a Büntető Törvénykönyvről;
233/2001. (XII.10.) Korm. rendelet a közszolgálati jogviszonnyal összefüggő adatkezelésre és közszolgálati nyilvántartásra vonatkozó szabályokról;
218/1999. (XII. 28.) Korm. rendelet az egyes szabálysértésekről;
79/1995. (VI. 30.) Korm. rendelet a minősített adatok kezelésének rendjéről.
4.2. Szabványok
MSZ EN ISO 17799;
MSZ ISO/IEC 27001:2006.
4.3. Ajánlások, irányelvek
A Kormányzati Informatikai Egyeztető Tárcaközi Bizottság informatikai rendszerek biztonsági követelményeire vonatkozó 12. számú ajánlásának megfelelő biztonsági elvárások, az alábbiak szerint:
– az adatok védelmére vonatkozó II/5. fejezet,
– az informatikai biztonsággal összefüggő védelmi intézkedésekre vonatkozó III. fejezet, kiemelve a 8.2.3. pont informatikai környezetre vonatkozó, illetve a 8.2.4. pont informatikai rendszerekkel kapcsolatos előírásai.
A Miniszterelnöki Hivatal – Közigazgatási Informatikai Bizottság 25. számú ajánlása.
5. Az információbiztonság szervezeti struktúrája, szerepkörök
A KHEM egyes informatikai rendszereinek működtetésével kapcsolatos feladatokat a KSzF, illetve az NFGM – a KHEM részére – informatikai szolgáltatásokat nyújtó szervezeti egységei (továbbiakban: NFGM IT) látják el.
Az információbiztonság megfelelőségéért az IBSz-ben foglaltak megtartásáért és annak megvalósításával kapcsolatos feladatok végrehajtásáért a KHEM, illetve a KHEM–KSzF szolgáltatási megállapodásban foglaltak szerint részben a KSzF, a KHEM–NFGM IT megállapodásban foglaltak szerint részben az NFGM IT a felelős(ek).
5.1. Az NFGM IT oldali szervezet
Jelen szabályzatban az NFGM IT meghatározás összefoglalja az NFGM támogató tevékenységet nyújtó szervezeteit.
Az NFGM–KHEM részére nyújtott informatikai szolgáltatásában érintett – szervezeti egységeinek vezetői határozzák meg részletesen az NFGM IT szervezetén belül az informatikai biztonsággal kapcsolatos egyes feladatok felelőseit. Ennek megfelelően az IBSz nem foglalkozik a felelősségek NFGM IT szervezetén belüli megosztásával.
A KHEM felé az informatikai biztonsággal kapcsolatos kérdésekben, illetve az általa nyújtott szolgáltatások megfelelő szintű biztonságának megteremtéséért – az informatikai megállapodásban részletezettek szerint – az NFGM IT kapcsolattartója a felelős.
5.2. A KSzF oldali szervezet
A KSzF üzemeltetésszervezetének élén a KSzF Informatikai és Telekommunikációs Főosztályának vezetője áll, aki összehangolja és irányítja a KSzF által nyújtott informatikai szolgáltatások tervezését, a szolgáltatásnyújtáshoz szükséges folyamatok kialakítását, végrehajtását és ellenőrzését.
A KSzF Informatikai és Telekommunikációs Főosztályának vezetője határozza meg részletesen a KSzF szervezetén belül az informatikai biztonsággal kapcsolatos egyes feladatok felelőseit. Ennek megfelelően az IBSz nem foglalkozik a felelősségek KSzF szervezetén belüli megosztásával.
A KHEM felé az informatikai biztonsággal kapcsolatos kérdésekben, illetve az általa nyújtott szolgáltatások megfelelő szintű biztonságának megteremtéséért – a szolgáltatási megállapodásban részletezettek szerint – a KSzF Informatikai és Telekommunikációs Főosztályának vezetője felelős.
5.3. Rendszergazda (meghatározás)
A rendszergazdai munkakört a KHEM által használt, egyes rendszerek esetében a vonatkozó szolgáltatási megállapodások szerint a KSzF, illetve az NFGM IT, esetenként külső szerződő fél (szolgáltató) látja el. Tevékenységét SLA szabályozza.
A rendszergazda a feladatait és jogait és az IBSZ hatálya alá tartozó minden olyan területen végzi, illetve gyakorolja, amelynek felügyelete a rá kiszabott számítástechnikai rendszer üzemeltetéséhez szükséges.
5.4. A KHEM oldali szervezet
5.4.1. Információ Biztonsági Fórum
A KHEM egy olyan döntéshozatali jogkörrel rendelkező vezetőkből álló testületet hoz létre (Információ Biztonsági Fórum), amely az információbiztonság feladatkörében jelentkező feladatok összehangolását (a fizikai, logikai, személyzeti és informatikai biztonsággal kapcsolatos területek összefogását) és stratégiai irányítását végzi, valamint irányítja a biztonsági incidensek kivizsgálását.
Az Információ Biztonsági Fórum legalább negyedévente ülésezik, illetve abban az esetben, ha olyan esemény történik, mely indokolttá teszi az Információ Biztonsági Fórum összehívását.
Az Információ Biztonsági Fórum üléseinek napirendjén szerepel:
– az IBSz által megfogalmazott ellenőrzési és egyéb feladatok elvégzésének értékelése,
– az IBSz-ben rögzített szabályok megszegéséből, illetve be nem tartásából adódó felelősségre vonási eljárások kezdeményezése,
– egyes biztonsági kérdések megvitatása, KHEM-re való hatásuk megvizsgálása és a megfelelő válaszlépésekhez szükséges döntések meghozatala,
– biztonsági feladatok tervezése, koordinálása, megfelelő biztonsági környezet tulajdonságainak meghatározása,
– rendkívüli biztonsági események megvitatása.
Az Információ Biztonsági Fórum tagjai:
– Információ Biztonsági igazgató (az Információ Biztonsági Fórum elnöke);
– Információ Biztonsági megbízott;
– a KHEM gazdasági és ágazatfinanszírozási szakállamtitkára vagy az általa írásban meghatalmazott személy;
– az NFGM által írásban meghatalmazott személy;
– a KSzF telekommunikációs főosztályvezető vagy az általa írásban meghatalmazott személy.
Az NFGM képviselője, illetve a KSzF telekommunikációs főosztályvezetője – vagy annak meghatalmazottja – nem állandó résztvevői az Információ Biztonsági Fórum üléseinek. Azon esetekben indokolt a jelenlétük, amikor olyan eseményről van szó, amely az NFGM IT, illetőleg a KSZF által kezelt informatikai rendszerek biztonságát érinti, illetve olyan esetben, amikor az Információ Biztonsági igazgató indokoltnak találja a jelenlétüket.
Az Információ Biztonsági Fórum ülésén a konkrét biztonsági intézkedés okán egyéb meghívottak (vezető, szakértő, tanácsadó stb.) vesznek, illetve vehetnek részt.
Az információbiztonsággal összefüggő kockázatokat, az azok csökkentésére szolgáló ellenőrzéseket az Információ Biztonsági Fórum értékeli. Az információbiztonsági szabályok betartatását az Információ Biztonsági Fórum, illetve az Információ Biztonsági Megbízott monitorozza. Menedzsment szinten az Információ Biztonsági igazgató biztosítja ezen feladatok ellátásához szükséges felsővezetői támogatást.
A biztonsági ellenőrzés annak feltárására irányul, hogy maga az IBSz, a tényleges folyamatok és a szervezet elfogadhatóan biztosítja-e az üzleti funkciók ellátásának biztonságát, a nem kívánt események megelőzését, felismerését, elhárítását, azaz a biztonsági kockázatok megfelelő kezelését.
5.4.2. Információ Biztonsági igazgató
Az Információ Biztonsági igazgató szerepkört a KHEM kabinetfőnöke tölti be.
Feladatai:
– felelős a KHEM és érdekeltségei komplex módon értelmezett biztonsági tevékenységének (objektumvédelem, vagyonvédelem, információbiztonság, titokvédelem, humán védelem, rendkívüli és krízishelyzetek kezelése, tűzvédelem, biztonsági oktatások) szakmai irányításáért, végrehajtásáért, ellenőrzéséért, a KHEM biztonságpolitikai érdekeinek és törekvéseinek érvényesítéséért,
– felelős a KHEM működését, üzletmenetét közvetlenül vagy közvetve érintő adatok és információk rendelkezésre állásának, integritásának, bizalmasságának és sértetlenségének, biztonságvédelmének, az adatkezelések jogszerűségének és minőségének biztosításáért,
– feladata a KHEM biztonságának, mint állapotnak a fenntartását szolgáló és garantáló műszaki-technikai, fizikai, jogi és adminisztratív, tervezési, szervezési, vezetési, oktatási, végrehajtási feladatok és intézkedések irányítása, összehangolása, kidolgoz(tat)ása, ezek folyamatos korszerűsít(tet)ése, valamint az e területet érintő jog- és belső szabályok betartásának, illetve betartatásának ellenőrzése,
– feladata a KHEM-mel közszolgálati illetve egyéb munkavégzésre irányuló jogviszonyban állók és más személyek KHEM területén vagy a KHEM-mel kapcsolatba hozható módon veszélyeztető, jogsértő magatartása megelőzése, felderítése, illetve folytatásának megakadályozása, ezen események kivizsgálásának kezdeményezése, a vizsgálatot folytató belső ellenőrzés támogatása.
5.4.3. Információ Biztonsági megbízott
Az Információ Biztonsági megbízott a KHEM gazdasági és ágazatfinanszírozási szakállamtitkára által írásban kijelölt személy.
A KHEM-ben a vezetők biztonsággal összefüggő tevékenységét az Információ Biztonsági megbízott támogatja. Részt vesz a biztonsággal kapcsolatos vezetői döntések előkészítésében, kivizsgálja az informatikai rendkívüli eseményeket, elvégzi a rendszeres biztonsági ellenőrzéseket, és hatáskörében intézkedik, vagy javaslatot tesz a hibák kijavítására. Munkája során szorosan együttműködik a biztonság megvalósításában részt vevő informatikai és egyéb szakemberekkel.
Feladatai:
– a KHEM informatikai rendszerének olyan mértékű megismerése, hogy annak szereplőit hatékonyan ellenőrizni tudja,
– összehangolja a biztonságot meghatározó, befolyásoló területek tevékenységét az informatikai biztonság érdekében,
– véleményezi a katasztrófavédelmi tervet,
– véleményezi a jogszabály-tervezeteket azok biztonsági kihatásainak vonatkozásában,
– informatikai biztonsági szempontból ellenőrzi az informatikai rendszer szereplőinek tevékenységét,
– az informatikai rendkívüli eseményeket, az esetleges rossz szándékú hozzáférési kísérletet, illetéktelen adatfelhasználást, visszaélést kivizsgálja, javaslatot tesz az Információ Biztonsági igazgatónak a további intézkedésekre, a felelősségre vonásra,
– ellenőrzi a KSzF, illetve az NFGM IT információbiztonsággal kapcsolatos KHEM-et érintő intézkedéseit,
– ellenőrzi a KHEM mindenkor hatályos Szervezeti és Működési Szabályzatának (a továbbiakban: SzMSz) rendelkezései és a munkaköri leírások alapján az informatikai rendszer szereplőinek jogosultsági szintjét,
– ellenőrzi a fejlesztő rendszerek elkülönítésének megfelelősségét az éles rendszertől,
– felügyeli az IT helyiségeket, eszközöket és infrastruktúrát érintő karbantartási terveket,
– felügyeli a beruházásokat, a fejlesztéseket és az üzemvitelt informatikai biztonsági szempontból, illetve javaslatot tesz rájuk,
– az új biztonságtechnikai eszközök és szoftverek tesztelésére ajánlást ad,
– szúrópróba-szerűen ellenőrzi az egyes felhasználói gépek hardverkonfigurációját és a telepített szoftvereket összeveti a felhasználónak engedélyezett szoftverlistával, azt, hogy a rendszerben aktuálisan beállított felhasználói jogosultságok megegyeznek-e a jóváhagyott (a jogosultsági naplóban is szereplő) jogosultságokkal, hogy a javításra kiszállított eszközökön adat ne kerüljön ki, az adathordozók selejtezését,
– ellenőrzi az információ biztonságban érintett dokumentációk meglétét és megfelelősségét (teljes körű, aktuális), intézkedik a dokumentációk pótlása iránt,
– ellenőrzi, hogy a vonatkozó információbiztonsági követelményeket a rendszerek fejlesztési és az alkalmazási dokumentációiban is megjelenítik-e,
– közreműködik minden olyan eset kivizsgálásában, ahol a KHEM biztonsághoz fűződő érdeke sérelmet szenved,
– az érintett szervezeti egységek vezetőivel együtt évente felülvizsgálja az információvédelmi osztályba sorolásokat, és javaslatot tesz a szükséges módosításokra,
– amennyiben új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem megerősítését,
– az adott szakterületek vezetőivel egyeztetve meghatározza az egyes feladatkörökhöz tartozóan az információbiztonsággal kapcsolatosan elsajátítandó ismeretek körét, és ellenőrzi az elsajátítás tényét,
– javaslatot tesz információbiztonságot erősítő továbbképzésre.
– az IBSZ-t és annak munkautasításait évente felülvizsgálja, és a gyakorlati tapasztalatok, előfordult informatikai rendkívüli események, a jogszabályi környezet változásai, a technikai fejlődés, az alkalmazott új informatikai eszközök, új programrendszerek, fejlesztési és védelmi eljárások stb. okán szükségessé váló módosítására javaslatot tesz,
– javaslattételi joga van a fokozott és kiemelt védelmi osztályba sorolt informatikai rendszerek hozzáférési jogosultságainak kiadásában, jogosult minden olyan megbeszélésen részt venni (arra képviselőt delegálni), amelynek információbiztonsági, adatvédelmi vonatkozása van, az ülésen jogosult észrevételt, javaslatot tenni,
– a felügyelete alá tartozó teljes rendszer komplex biztonságával összefüggésben a vonatkozó megállapodások, illetve az IBSz be nem tartása, illetve az informatikai rendszer működőképességét veszélyeztető fenyegetés esetén javaslatot tesz az Információ Biztonsági igazgató felé,
– az egyes alkalmazásokhoz való hozzáférések, jogosultsági rendszerek kialakításában véleményezési joggal rendelkezik.
Az Információ Biztonsági megbízott jogait és kötelességeit az IBSz hatálya alá tartozó területeken gyakorolja.
Az Információ Biztonsági megbízott gondoskodik az IBSz egységes szerkezetbe foglalásáról és – a miniszter útján – közzétételükről.
5.4.4. Felhasználók
5.4.4.1. A felhasználókra vonatkozó általános előírások
Minden felhasználó:
– felelős az általa használt, az IBSz hatálya alá eső eszközök rendeltetésszerű használatáért,
– a rá vonatkozó szabályok – elsősorban a KHEM-mel fennálló munkavégzésre irányuló jogviszonyt szabályozó törvényi rendelkezésekben foglaltak – szerint felelős az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért,
– köteles a vonatkozó informatikai-szakmai és az IBSz-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában az informatikai rendszer használatát irányító személyekkel együttműködni,
– köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni,
– köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni,
– köteles a belépési jelszavát (jelszavait) az előírt időben változtatni, kezelni,
– a számítógépét a helyiség elhagyása esetén olyan állapotban köteles hagyni, hogy azt illetéktelen ne használhassa, a munkaállomásokat lezárni szükséges, hogy azokhoz csak jelszó vagy hardveres authentikációs eszköz használatával lehessen hozzáférni,
– biztonsági esemény gyanúja esetén az észlelt rendellenességekről köteles tájékoztatni a közvetlen felettesét és az Információ Biztonsági megbízottat,
5.4.4.2. Kiemelt felhasználók
A kiemelt felhasználók rendelkeznek az általános felhasználókhoz kapcsolódó jogokkal és kötelezettségekkel is. Ezzel együtt, a kiemelt felhasználók jogosultságai a feladatkörüktől és a szakmai területtől függően meghaladják az általános felhasználói jogosultságokat.
A kiemelt felhasználókat – az Információ Biztonsági megbízott tájékoztatása mellett – a munkáltató jogokat gyakorló vezető, a szerződéskötést kezdeményező szervezeti egység vezetője – jelöli ki. A szervezeti egység vezetője felelős a beosztottjaiként dolgozó kiemelt felhasználók számára általa kért jogosultságok megfelelőségéért, és a kért jogosultságokból fakadó károkért.
5.4.5. A KHEM informatikai rendszerét használó minden felhasználónak TILOS:
– a saját használatra kapott számítógép rendszerszintű beállításainak módosítása (ide nem értve az irodai programok felhasználói beállításait),
– a munkaállomására telepített aktív vírusvédelem kikapcsolása,
– belépési jelszavát (jelszavait) harmadik személy rendelkezésére bocsátani,
– a számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása, illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra az informatikai rendszert üzemeltetők tudta nélkül,
– a számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása,
– bármilyen szoftver installálása, internetről való letöltése, külső adathordozóról merevlemezre való másolása a rendszergazda engedélye nélkül,
– bármilyen eszköz számítástechnikai eszközökbe szerelése és annak használata,
– az általa használt eToken biztonsági eszköz számítógépben való hagyása a munkaállomásáról való távozása esetén,
– belső bizalmas és titkos adatok KHEM-ből való kijuttatása vagy magáncélú felhasználása, harmadik személy rendelkezésére bocsátása.
5.5. Speciális előírások a külső személyek – mint felhasználók – általi hozzáférésekkel kapcsolatban
A KHEM megbízásából mind az NFGM IT, mind a KSzF –, illetve maga a KHEM is – igénybe vehet külső személyeket (nem a KHEM vagy az NFGM IT vagy a KSzF állományába tartozó köztisztviselő) időszakos vagy folyamatos feladatok végrehajtására. Az NFGM IT, illetve a KSzF külső személlyel való szerződéskötésével kapcsolatos eljárását a vonatkozó megállapodások szabályozzák. További esetben a külső személlyel szerződést kötő fél (a szerződéskötést kezdeményező szervezeti egység vezetője) felelős:
– a külső személy bevonása által okozott informatikai biztonsági kockázatok felméréséért és értékeléséért,
– az informatikai biztonsággal kapcsolatos jelen IBSz szerinti követelmények meghatározásáért, kommunikálásáért és a vonatkozó szerződésbe történő beépítéséért,
– a vonatkozó jogszabályok és belső szabályok megismertetéséért,
– az informatikai biztonsági követelmények, jog– és belső szabályok betartásának ellenőrzéséért, szükség esetén a felelősségre vonás kezdeményezéséért.
A külső személyeknek – karbantartók, tanácsadók stb. – a KHEM informatikai rendszeréhez való hozzáférése veszélyeztetheti a KHEM adatainak bizalmasságát, sértetlenségét.
A külső személyek KHEM-en belüli munkavégzésének információbiztonsági szabályai a következők:
– a KHEM IT rendszereivel kapcsolatos vagy azokat érintő munkavégzés céljából érkező külső személy a KHEM területén a szerződés létrejötte után kizárólag a szerződéskötést kezdeményező szervezeti egység vezetőjének tudtával és az általa kijelölt személy felügyelete mellett tartózkodhat,
– a külső személy a munkafolyamat egyeztetése során minden olyan munkafolyamatról köteles beszámolni a szerződéskötést kezdeményező szervezeti egység vezetőjének, amely bármilyen módon érinti az informatikai rendszer biztonságát,
– amennyiben az a munkavégzéshez feltétlenül szükséges, a KHEM informatikai rendszereihez való hozzáféréshez ideiglenes és személyre szóló hozzáférési jogosultságot kell biztosítani, amelyről a szerződéskötést kezdeményező szervezeti egység vezetője gondoskodik, a KHEM-KSzF kapcsolattartó útján bejelenti igényét a KSzF felé,
– a KHEM külső személlyel csak olyan szerződést köthet, amely a külső személy tekintetében biztosítja a KHEM-re vonatkozó titokvédelmi jogszabályok érvényesülését. A szerződéskötés során figyelembe kell venni az informatikára vonatkozó előírásokat, az IBSz javaslatait, a törvényi és egyéb jogi előírásokat, valamint a szellemi és szerzői jogokra vonatkozó előírásokat.
A fentiek végrehajtásáért, illetve a megszegésükkel okozott károkért a külső személlyel szerződést kötő szervezeti egység vezetője tartozik felelősséggel.
6. Információbiztonság működtetése
6.1. Felülvizsgálati rendszer
6.1.1. Megfelelés az IBSz-nek, fenyegetettségek
A KHEM információbiztonsági fenyegetettségének elemzését és kockázatok meghatározását évente el kell végezni. Az IBSz-nek megfelelő működést igény szerint, de legalább évente teljeskörűen ellenőrizni kell. A fenyegetettségek elemzését és a kockázatok meghatározását az Információ Biztonsági megbízottnak kell végrehajtania; a munkába szükség szerint független külső szakértő is bevonható.
6.1.2. Az IBSz felülvizsgálata, aktualizálása
Az IBSz-t felül kell vizsgálni és aktualizálni kell az alábbi esetekben:
– szükség szerint rendszeres időközönként, de legalább évente,
– minden olyan szervezeti változás esetén, amely az IBSz-ben hivatkozott szervezeti egységek bármelyikének megszűnésével vagy jelentős átalakulásával jár,
– súlyos informatikai biztonsági eseményeket („incidensek”) követően, az esemény tanulságaira figyelemmel,
– minden olyan jogszabályváltozás esetén, amely az IBSz-ben foglaltak érvényességét érinti.
Az IBSz felülvizsgálata keretében – a szükséges módosítás jellegétől vagy terjedelmétől függetlenül – össze kell hívni az Információ Biztonsági Fórumot. Az Információ Biztonsági Fórum megvitatja a tervezett módosítást és javaslatai alapján, valamint a biztonsági igazgató egyetértése esetén a miniszter hagyja jóvá az aktualizált IBSz-t.
Olyan módosítás esetén, amely az IBSz-t gyökeresen megváltoztatja, megfelelő időt kell biztosítani az új IBSz közzététele és hatályba lépése között, annak érdekében, hogy a KHEM információvagyonának felhasználói és gazdái, illetve az IBSz hatálya alá tartozó minden érintett fel tudjon készülni annak alkalmazására.
6.2. Helyesbítő-megelőző intézkedések rendszere, az informatikai biztonsági események jelentése
Minden, az IBSz hatálya alá tartozó személy kötelessége az ésszerűen lehetséges legrövidebb időn belül jelezni az Információ Biztonsági megbízottnak minden olyan veszélyforrást, amely az információbiztonságra nézve érdemi fenyegetést jelent vagy jelenthet, ezen belül különösen a következőket:
a) az IBSz-ben, a vonatkozó jog- és egyéb szabályokban előírt információbiztonsági rendszabályok lényeges megszegése, illetve ennek gyanúja;
b) a felismert vagy felismerni vélt, az információbiztonságot lényegesen veszélyeztető esemény, ezen belül különösen:
– nem nyilvános adat illetéktelen személy általi megismerése,
– informatikai rendszerekben tárolt adatok illetéktelen személyek általi megváltoztatása, törlése vagy hozzáférhetetlenné tétele,
– informatikai rendszer működésének, használatának jogosulatlan akadályozása,
– nem engedélyezett vagy licence-szel nem rendelkező szoftver telepítése,
– fentiek bármelyikére tett kísérlet, például felhasználói jelszavak egymás közötti megosztása, vírusfertőzés (a továbbiakban együtt: biztonsági események).
6.3. Biztonsági események kivizsgálása
A biztonsági eseményeket soron kívül, késedelem nélkül ki kell vizsgálni, felhasználva a rendelkezésre álló bizonyítékokat. A vizsgálatot az Információ Biztonsági Fórum folytatja le, szükség szerinti mértékben bevonva a KSzF, illetve az NFGM IT kijelölt képviselőit. A vizsgálat eredményét írásban kell dokumentálni, amely dokumentációból az érintettek másolatot kapnak.
6.4. Biztonsági események nyilvántartása
A biztonsági események kapcsán tett bejelentések, a lefolytatott vizsgálatok, valamint a végrehajtott intézkedések adatait külön nyilvántartás, a Biztonsági Nyilvántartás tartalmazza, amelyet az Információ Biztonsági megbízott vezet.
A Biztonsági Nyilvántartás adatait fel kell használni:
– a bekövetkezett biztonsági esemény következményeinek enyhítésére,
– a jövőben várható hasonló biztonsági események megelőzésére, bekövetkezési gyakoriságának csökkentésére,
– a vizsgálat során feltártakhoz hasonló védelmi gyengeségek kezelésére, a védelmi intézkedések fejlesztésére.
6.5. A biztonsági szabályok megszegésének következményei
Az informatikai biztonsággal kapcsolatos jogszabályok, illetve a vonatkozó belső szabályok megszegése esetén az elkövetőkkel szemben a felelősség érvényesítésének alábbi lehetséges esetei között kell mérlegelni:
a) büntetőjogi vagy szabálysértésért való felelősség a hatályos jogszabályok, ezen belül különösen a Büntető Törvénykönyvről szóló 1978. évi IV. törvény, illetve a szabálysértésekről szóló 1999. évi LXIX. törvény és az egyes szabálysértésekről szóló 218/1999. (XII. 28.) Korm. rendelet szerint,
b) kártérítési felelősség a Polgári Törvénykönyvről szóló 1959. évi IV. törvény szerint,
c) fegyelmi és kártérítési felelősség a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény szerint,
d) szerződésszegésért való felelősség a Polgári Törvénykönyvről szóló 1959. évi IV. törvény és szerződésben foglaltak szerint.
Az információbiztonsággal kapcsolatos jogszabályok, illetve a vonatkozó belső szabályok megszegése vagy annak gyanúja esetén a KHEM köztisztviselői esetében a munkáltatói jogokat gyakorló vezető, a KHEM-mel szerződött külső felek esetében a szerződéskötést kezdeményező szervezeti egység vezetője, egyéb személy esetén a KHEM érintett vezetője, jogosult a megfelelő jogkövetkezmények érvényesítése érdekében eljárást indítani, illetőleg eljárás megindítását kezdeményezni.
6.6. Adatok mérése, kiértékelése, mérési pontok meghatározása
Az IT biztonság szempontjából kritikus pontokon mérési és ellenőrzési rendszert kell bevezetni. A pontok kijelölésénél figyelembe kell venni a KHEM adatvédelmi követelményeit és elvárásait.
A mérési eredmények tárolását ki kell alakítani és az évente elvégzendő felülvizsgálat elősegítése érdekében a vizsgálatban részt vevő személyek részére hozzáférhetővé kell tenni. A hozzáférési jogosultságokat az Információ Biztonsági megbízott hagyja jóvá.
A KHEM esetében a minimálisan szükséges kontrollpontokat az alábbi táblázat tartalmazza, mely pontok teljesülésének vizsgálatáról az Információ Biztonsági megbízott dönt, a kontrollpontok ellenőrzése esetén az Információ Biztonsági megbízott a KSzF-hez fordul.
Mérendő terület |
Mérendő mennyiség |
|---|---|
IT-tevékenység |
szerverszobába való belépések naplózása |
hozzáférések (logikai) naplózása |
|
internet-hozzáférések statisztikái |
|
illegális |
észlelt behatolási kísérletek száma |
nem a KHEM állományába tartozó köztisztviselő által végzett tevékenység teljes körű naplózása |
|
vírusvédelem |
beérkezett vírusok száma |
hatástalanított vírusok száma |
|
nem internetről beérkezett vírustámadások száma, ezek módja |
|
mentési |
a tesztvisszatöltések eredményei |
rendelkezésre |
rendszerek kieséseinek száma, ezek oka, időtartama, javítási költsége |
kapacitásinformációk |
kritikus rendszerekre vonatkozó teljesítményadatok jelentős változása |
tárolási kapacitásokra vonatkozó információk |
|
ellenőrzések |
feltárt hiányosságok, és azok megszüntetésére vonatkozó intézkedések |
oktatás |
IT biztonsági oktatásban részt vett személyek száma, a beszámoltatás eredményei |
IT-biztonsággal kapcsolatos |
IT-biztonságot megsértő személyekre vonatkozó fegyelmi statisztikák |
az IT-biztonsági rendszer összesített értékelése |
az IT-rendszer szintjére vonatkozó megállapítások, javaslatok |
javaslatok |
javaslatok kidolgozása a hiányosságok megszüntetésére, a biztonsági szint emelésére |
7. Személyzeti biztonság
7.1. Munkaerő-felvétel informatikai biztonsági vonatkozásai
Minden informatikai rendszert igénybe vevő felhasználóval belépésekor a KHEM Humánigazgatási Főosztálya köteles az IBSz felhasználókra vonatkozó részeit és az informatikai rendszer kezelésével, az informatikai rendszer használatával kapcsolatos általános szabályokat megismertetni és azok elfogadásáról nyilatkozatot aláíratni. A külső személyek IBSz-szel való megismertetése a szerződéskötést kezdeményező szervezeti egység vezetőjének feladata és felelőssége. Amennyiben egy új felhasználó olyan adatok elérésére, illetve olvasására vagy kezelésére kap jogosultságot, amelyek titkos/bizalmas minősítéssel rendelkeznek, a vonatkozó belső szabályozás szerint kell eljárni.
7.2. Munkavégzésre irányuló jogviszony megszűnése
Amennyiben az a jogviszony, amely alapján valamely személy hozzáféréssel rendelkezett a KHEM nem nyilvános besorolású adataihoz bármely okból megszűnik, akkor:
a) a szervezeti egység vezetőjének legkésőbb a felhasználó jogviszonyának megszűnésével egyidejűleg kezdeményeznie kell a jogosultságok megvonását,
b) a munkáltatói jogkört gyakorló vezetőnek, illetve a szerződéskötést kezdeményező szervezeti egység vezetőjének gondoskodnia kell arról, hogy legkésőbb a jogviszony megszűnéséig az érintett személy által használt, a KSzF vagyonkezelésében lévő informatikai eszközök visszaszolgáltatásra kerüljenek,
c) az adatokhoz hozzáférést engedélyező szervezeti egység erre jogosult vezetőjének, az NFGM IT által kezelt rendszerek esetében az NFGM IT-nek, a KSzF által kezelt rendszerek esetében – a KHEM–KSzF kapcsolattartó útján – a KSzF-nek szükséges jeleznie a megszűnést,
d) ilyen esetekben mind az NFGM IT mind a KSzF, a saját maga által kezelt rendszerekkel kapcsolatban a szolgáltatási megállapodások szerint végzi el ezeken az adathordozókon tárolt nem nyilvános adatok megfelelő kezelését.
7.3. Hatáskörök elhatárolása
Az érintett vezetőknek biztosítaniuk kell, hogy a felhasználók csak a munkakörükhöz, illetve a beosztásukhoz, a szerződés szerinti tevékenységükhöz tartozó feladatokat láthassák el.
8. Az információvagyon felmérése és osztályozása
Annak érdekében, hogy az adatok, információk (információs vagyon) bizalmasságának megfelelően differenciált védelmi intézkedések kerüljenek kialakításra, az informatikai rendszerekben kezelt adatokat, információkat megfelelő információvédelmi kategóriák szerint kell csoportosítani (biztonsági osztályba sorolás). Az osztályozás alapját a bizalmasság, a sértetlenség, és a rendelkezésre állás sérüléséből vagy elvesztéséből keletkező, a KHEM számára kimutatható lehetséges hátrány nagysága illetve a törvényi szabályzás képezi. A biztonsági osztályba sorolást minden, a KHEM bármely szervezeti egysége által tárolt vagy feldolgozott adatcsoport tekintetében el kell végezni. A besorolást az adatgazdák végzik, az ő feladatuk és felelősségük, hogy felmérjék a kezelt adatvagyon helytelen osztályozásából eredő károkat.
Az adatgazda olyan intézkedési, döntési jogkörrel rendelkező vezető, aki egy meghatározott adatcsoport tekintetében az adatok fogadásában, tárolásában, feldolgozásában, vagy továbbításában érintett szervezeti egységet képviseli és az adott adatcsoport felhasználásának kérdéseiben (például felhasználói jogosultságok engedélyezésében vagy megvonásában) elsődleges döntési jogkörrel rendelkezik Amennyiben a kezelt adatok köre bővül, az osztályozást az új adatcsoportokra is végre kell hajtani.
Az osztályba sorolás során a következő kategóriák használhatók:
– Nyilvános
– Alap Információvédelmi osztály (rövid jele: IV-A) – Belső adatok;
– Fokozott Információvédelmi osztály (rövid jele: IV – F) – Titkos adatok;
– Kiemelt Információvédelmi osztály (rövid jele: IV–K) – Kiemelten titkos adatok.
Az adatok és információk információvédelmi biztonsági osztályait részben a hatályos jogszabályok, részben az adatok illetéktelen személyek általi megismerése esetén fenyegető kárérték alapján kell meghatározni, az alábbiak szerint:
Információvédelmi |
Az adott biztonsági osztályra jellemző adattípusok |
Nyilvános |
A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény szerinti közérdekű adatok. |
Alap |
Olyan adatok, amelyeknek illetéktelen személyek általi megismerése legfeljebb 2. kategóriás („közepes”) kárt okozhat, ezen belül különösen: |
Fokozott |
Olyan adatok, amelyeknek illetéktelen személyek általi megismerése legfeljebb 3. kategóriás („nagy”) kárt okozhat, ezen belül különösen: |
Kiemelt |
Olyan adatok, amelyeknek illetéktelen személyek általi megismerése a 3. kategóriás („nagy”) kárnál jelentősebb, tehát 4. vagy 4+ kategóriás kárt okozhat, ezen belül különösen: |
A kárértékek meghatározásakor az Informatikai Tárcaközi Bizottság 12. számú ajánlásában meghatározott szinteket kell figyelembe venni, azzal az eltéréssel, hogy a forintban meghatározott kárértékek az ajánlásban szereplőhöz képest tízzel szorzandók – tekintettel az ajánlás közzététele óta bekövetkezett infláció mértékére.
Ennek megfelelően a kárérték kategóriák a következőképpen határozandók meg:
„0”: jelentéktelen kár
– közvetlen anyagi kár: 100 000 Ft alatt,
– közvetett anyagi kár legfeljebb 1 embernapos munkaráfordítással állítható helyre,
– nincs bizalomvesztés, a probléma a szervezeti egységen belül marad,
– testi épség jelentéktelen sérülése egy-két személynél,
– nem védett adat bizalmassága vagy hitelessége sérül.
„1”: csekély kár
– közvetlen anyagi kár: 1 000 000 Ft-ig,
– közvetett anyagi kár 1 emberhónappal állítható helyre,
társadalmi-politikai hatás: kínos helyzet a szervezeten belül,
– könnyű személyi sérülés egy-két személynél,
– belső (intézményi) szabályozóval védett adat bizalmassága vagy hitelessége sérül.
„2”: közepes kár
– közvetlen anyagi kár: 10 000 000 Ft-ig, közvetett anyagi kár 1 emberévvel állítható helyre,
– társadalmi-politikai hatás: bizalomvesztés a tárca középvezetésében, bocsánatkérést és/vagy fegyelmi intézkedést igényel,
– több könnyű vagy egy-két súlyos személyi sérülés,
– személyes adatok bizalmassága vagy hitelessége sérül,
– egyéb jogszabállyal védett (pl. üzleti, orvosi) titok bizalmassága vagy hitelessége sérül.
„3”: nagy kár
– közvetlen anyagi kár: 100 000 000 Ft-ig,
– közvetett anyagi kár 1–10 emberévvel állítható helyre,
– társadalmi-politikai hatás: bizalomvesztés a tárca felső vezetésében, a középvezetésen belül személyi konzekvenciák,
– több súlyos személyi sérülés vagy tömeges könnyű sérülés,
– szolgálati titok bizalmassága vagy hitelessége sérül,
– szenzitív személyes adatok, nagy tömegű személyes adat bizalmassága vagy hitelessége sérül,
– banktitok, közepes értékű üzleti titok bizalmassága vagy hitelessége sérül.
„4”: kiemelkedően nagy kár
– katonai szolgálati titok bizalmassága vagy hitelessége sérül,
– közvetlen anyagi kár: 1 000 000 000 Ft-ig,
– közvetett anyagi kár 10–100 emberévvel állítható helyre,
– társadalmi-politikai hatás: súlyos bizalomvesztés, a tárca felső vezetésén belül személyi konzekvenciák,
– egy-két személy halála vagy tömeges sérülések,
– államtitok bizalmassága vagy hitelessége sérül.
– nagy tömegű szenzitív személyes adat bizalmassága vagy hitelessége sérül,
– nagy értékű üzleti titok bizalmassága vagy hitelessége sérül.
„4+”: katasztrofális kár
– közvetlen anyagi kár: 1 000 000 000 Ft felett,
– közvetett anyagi kár több mint 100 emberévvel állítható helyre,
– társadalmi-politikai hatás: súlyos bizalomvesztés, a kormányon belül személyi konzekvenciák,
– tömeges halálesetek,
– különösen fontos (nagy jelentőségű) államtitok bizalmassága vagy hitelessége sérül.
Amennyiben valamely adat több jellemzőnek is eleget tesz, akkor az előfordulható legmagasabb kár szerint kell osztályba sorolni. Amennyiben egy informatikai rendszeren belül több különböző védelmi osztályba tartozó adatot tárol a KHEM, akkor a rendszer védelmét az előforduló legmagasabb védelmi osztály szerint kell kialakítani és fenntartani. Az ezzel kapcsolatos intézkedések megtétele – az érintett szervezeti egység vezetőjének bevonásával – az Információ Biztonsági megbízott feladata.
8.1. Rendelkezésre állás (megbízható működés) szerinti osztályozás
Az egyes rendszerek, rendszerelemek, adatbázisok előírt rendelkezésre állását a KHEM és a KSzF, illetve a KHEM és az NFGM IT közötti szolgáltatási megállapodások tartalmazzák.
Ennek megfelelően a KHEM adatvagyonának rendelkezésre állás (megbízható működés) szerinti osztályozására nem kerül sor.
8.2. Az információvagyon nyilvántartása és kezelése
Az olyan informatikai rendszerek vagy adatbázisok esetén, amelyek több adatcsoportot együtt tárolnak vagy dolgoznak fel, a rendszerben előforduló legmagasabb biztonsági osztály követelményeit kell érvényesíteni. Az informatikai rendszerek különböző környezetei (pl. éles-, teszt-, oktatórendszer) más-más biztonsági osztályba sorolhatók. Az „Alap”-nál magasabb információvédelmi osztályba tartozó adatok, dokumentumok esetén egyértelművé kell tenni azok besorolását a dokumentum, illetve adathordozó megfelelő (fizikai vagy elektronikus) feliratozásával. Ez a dokumentumot vagy adathordozót készítő, illetve kezelő személy felelőssége.
8.3. Adatok nyilvántartása és kezelése
A KHEM adatnyilvántartásának az alábbiakra kell kiterjednie:
– az adat vagy adatcsoport (rendszer) megnevezése;
– az adatosztályozási szint bizalmasság, sértetlenség és rendelkezésre állás szerint;
– az adatgazda megnevezése;
– az adatokat kezelő eszközök megnevezése.
A nyilvántartás vezetéséért az információbiztonsági megbízott felel, a nyilvántartáshoz szükséges információk szolgáltatásáért pedig az adatgazdák felelősek. Az adatok kezelésének és tárolásának meg kell felelniük a Kormányzati Informatikai Egyeztető Tárcaközi Bizottság 12. számú ajánlása II/5. pontjának, az alábbiak szerint:
|
Publikus adatok |
Belső adatok (IV-A) |
Titkos adatok (titkos és szigorúan titkos |
|---|---|---|---|
Jelölés |
Nincs |
A belső adatokat tartalmazó adathordozókat „belső használatú” vagy „szolgálati használatra” jelöléssel kell ellátni. |
A titkos adatokat tartalmazó adathordozókat „titkos” jelöléssel kell ellátni. |
A szigorúan bizalmas adatokat tartalmazó adathordozókat „szigorúan titkos” jelöléssel kell ellátni. |
|||
Tárolás |
Nincs |
Az adathordozókat zárható szekrényben vagy asztalfiókban kell tárolni. Az informatikai rendszerben biztosítani kell az adatokhoz való hozzáférés vezérlését. |
A titkos adatokat tartalmazó adathordozókat páncélszekrényben kell tárolni. Az informatikai rendszerben biztosítani kell a hozzáférés hitelesítésen alapuló vezérlését (pl. digitális kulcsok használata, PKI megoldás). |
A szigorúan titkos adatokat tartalmazó adathordozókat biztonságosan zárt helyiségben és páncélszekrényben kell tárolni. Az adatokhoz való hozzáférés csak bizonyos személyek számára biztosított. |
|||
Adatátvitel |
Nincs speciális |
Belső hálózaton való továbbításkor nincs speciális követelmény. Külső kommunikáció esetén fájltitkosítást kell alkalmazni. |
Titkos adatokat titkosított csatornán szabad küldeni. |
Szigorúan titkos adatokat csak titkosított csatornán, hitelesített felhasználónak szabad küldeni, vagy csak helyi hozzáférés lehetséges. |
|||
Adatmegosztás |
Nincs speciális |
Adatmegosztás csak az adatgazda engedélyével lehetséges. |
Titkos adatok esetén adatmegosztás csak az adatgazda engedélyével lehetséges. |
Szigorúan bizalmas adatok megosztása tilos! |
|||
Megsemmisítés, |
Nincs speciális |
Megsemmisítés az adatgazda engedélyével. |
Megsemmisítés az adatgazda engedélyével. Megsemmisítés előtt az adatot visszaállíthatatlanul törölni kell (mind a titkos és mind a szigorúan titkos adatokra érvényes). Titkos adatok esetén az adathordozókat demagnetizálni szükséges. |
9. Információ Biztonsági eljárások
9.1. Biztonsági szintektől függő intézkedések és eljárások
9.1. 1. Berendezések fizikai védelme – fizikai és környezeti biztonság
A KHEM épületeiben a berendezések fizikai védelmét a KHEM–KSzF szolgáltatási megállapodás alapján a KSzF látja el.
9. 2. Hozzáférések kezelése, hozzáférések védelme
9.2.1. A hozzáférés követelményrendszere
Az informatikai rendszerekhez hozzáféréssel rendelkező felhasználók/kiemelt felhasználók konkrétan meghatározott szerep(munka-)körbe sorolandók, és a közvetlen vezetőjük –, illetve a szerződéskötést kezdeményező szervezeti egység vezetője – kezdeményezésére a – KHEM–KSzF kapcsolattartó útján – KSzF-től (egyes rendszerek esetében az NFGM IT-től) megkapják a vonatkozó hozzáférési jogosultságokat, illetve a hozzáférést biztosító hardveres authentikációs eszközöket.
A jogosultságok kiosztása előtt indokolt esetben, (például a munkakörre, tevékenységre jellemző tipikus jogoktól történő eltérés esetén) a szervezeti egység vezetőjének az Információ Biztonsági megbízott egyetértését kell kérnie.
Azon szerepkörök (munkakör, feladatok) változásának tényéről, amely hozzáférésijogosultság-változással jár, haladéktalanul tájékoztatni szükséges a – KHEM–KSzF kapcsolattartó útján – KSzF-et (egyes rendszerek esetében az NFGM IT-t),
Egyes szervezeti egységekre vagy rendszerekre kiterjedő, rendkívüli (eseti jellegű) ellenőrzést az információbiztonsági megbízott és az adott szervezeti egység vezetője vagy az Információ Biztonsági Fórum kezdeményezhet.
9.2.2. Hozzáférési jogosultságok nyilvántartása
A felhasználók azonosítása alatt az informatikai rendszerhez hozzáférő felhasználók személyazonosságának (identitásának) a rendszerben történő egyedi, egyértelmű és hiteles megjelenítését értjük. Az azonosítók képzésének módját, azok nyilvántartását, a jogosultságok kezelését a vonatkozó megállapodás alapján a KSzF végzi.
Általános irányelvek
– Az egyedi felhasználói azonosítót a hozzáférések (jogosultságok) szabályozására, az adatvédelemre és a hitelesítés támogatására kell használni.
– A felhasználó azonosítónak meg kell felelnie az egyediség kritériumának: különböző felhasználók számára egyazon azonosító nem adható ki. Kivételt képez a szervezeti egységhez kötött csoport e-mailek használata, amelyekhez az adott szervezeti egység vezetőjének írásos felhatalmazásában megnevezett felhasználók férhetnek hozzá.
– Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör, feladatellátásához szükséges minimális funkcióelérést biztosíthatják.
– A hozzáférési jogosultságok kezelését, a jogosultságigénylés folyamatát a jogosultságkezelési, -kiadásai munkautasítás szabályozza (2. függelék).
– A felhasználók a hozzáférésüket megalapozó jogviszonyuk létrejöttét követően (a lehető legrövidebb időn belül) megkapják felhasználói azonosítójukat. Ennek megtörténtéig jelenlegi vagy korábbi felhasználói azonosító használata – akár átmeneti jelleggel is – szigorúan tilos.
– A kiosztott felhasználói azonosítót haladéktalanul használatba kell venni. Ennek első lépéseként az induló (alapértelmezett) jelszót meg kell változtatni.
– Amennyiben a felhasználó jogviszonya huzamosabb ideig szünetel, illetőleg a felhasználó a munkavégzésben hosszabb ideig nem vesz részt, a hozzáférést megalapozó jogviszonyából eredő feladatát tartósan nem látja el, a felhasználói azonosítóját fel kell függeszteni (inaktiválni kell) a munkába állás, az adott tevékenység folytatása napjáig. Az inaktiválást a közvetlen vezető –, illetve a szerződéskötést kezdeményező szervezeti egység vezetője – kéri – a KHEM–KSZF kapcsolattartó útján – a KSzF-től. A felhasználói azonosító újraaktiválási igényének felmerülésekor a hozzáférés helyreállítását szintén a közvetlen vezető, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kérheti.
– A felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat a felhasználó közvetlen vezetője, illetve a szerződéskötést kezdeményező szervezeti egység vezetője kéri – a KHEM–KSZF kapcsolattartó útján – a KSzF-től.
– Külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Általános elvárás, hogy a külső személy részére kiadott azonosítóról legyen egyértelműen megállapítható, hogy az külső felhasználóhoz tartozik. Külső személy azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetője kezdeményezi – a KHEM–KSZF kapcsolattartó útján – a KSzF-nél.
– Gyakornokok esetén a hozzáférési jogosultságok – hasonlóan a külső személyek számára létrehozott azonosítókhoz –, csak bizonyos, a munkavégzésükhöz feltétlenül szükséges területekhez való hozzáférést tehetnek lehetővé. Elvárás, hogy a gyakornok részére kiadott felhasználói azonosító egyértelműen megkülönböztethető legyen a KHEM állományába tartozó köztisztviselők és a külső személyek azonosítóitól is. A hozzáférési jogosultság megadását a gyakornokot alkalmazó szervezeti egység vezetője vagy a gyakornok közvetlen vezetője igényelheti – a KHEM–KSZF kapcsolattartó útján – a KSzF-nél.
9.2.2.1. Felhasználói jogosultságok létrehozása, megszűntetése, megváltoztatása
Új felhasználó hozzáférési rendszerbe való illesztését köztisztviselő, gyakornok esetén a szervezeti egység vezetője, külső személy esetén a szerződéskötést kezdeményező szervezeti egység vezetője jogosultságigénylő űrlap (3. függelék) kitöltése és elküldése útján írásban (feljegyzésben vagy e-mailben) igényelheti – a KHEM–KSzF kapcsolattartó útján – a KSzF-től. A jogosultságigénylés folyamata megvalósulhat elektronikus alapon is, amennyiben a rendszer azt támogatja.
A jogosultság létrehozásának, menedzselésének irányelveit a KHEM–KSzF szolgáltatási megállapodás rögzíti.
A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a hozzáférés zárolására kerül sor.
Ennek biztosítására:
– A köztisztviselői jogviszony azonnali hatályú megszüntetése esetén, illetve ha az érintett vezető úgy ítéli meg, valamint a külső személy hozzáférést megalapozó jogviszonya megszűnésekor a jogosultság azonnal visszavonásra kerül. Ezt a vezetőnek kell – a KHEM–KSzF kapcsolattartó útján – a KSzF felé jelezni.
– Ha a köztisztviselői jogviszony megszüntetése nem azonnali hatályú, a jogosultság visszavonása a „kilépési” vagy a „sétáló” lap aláírásával egy időben történik.
A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a munkáltatói jogkör gyakorlója, illetve a szerződéskötést kezdeményező szervezeti egység vezetője a felhasználó tájékoztatása mellett köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség). A felhasználó személyes adatainak kezelése során a személyes adatok védelméről és a közérdekű adatok nyilvántartásáról szóló 1992. évi LXIII. törvény vonatkozó rendelkezéseit szem előtt tartva kell eljárni.
Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is a KHEM-hez köti; pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony) a felhasználói jogosultságokat meg kell szüntetni és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend alapján.
9.2.2.2. Jelszómenedzsment
A KHEM számítógépes hálózatába bejelentkezési névvel rendelkező felhasználó köteles a bejelentkező nevéhez tartozó jelszó megőrzésére. A saját bejelentkező névhez tartozó jelszót elárulni, mások által is elérhető módon feljegyezni nem szabad.
A bejelentkező névhez tartozó jelszó kialakításának szabályait, a KHEM–KSzF szolgáltatási megállapodásban foglaltak alapján a KSzF határozza meg.
9.2.2.3. A munkaállomások hozzáférésére vonatkozó minimális előírások
– A számítógépes munkaállomások képernyőit (monitor) úgy kell elhelyezni, hogy az azon megjelenő információkat illetéktelen személy ne láthassa.
– A BIOS beállításait adminisztrátori jelszóval kell védeni módosítás ellen.
– A folyó munka során nem használt nem nyilvános anyagokat, adathordozókat el kell zárni.
– Felügyelet nélkül hagyott munkahelyen (munkaállomáson) személyes adatot vagy üzleti titkot tartalmazó dokumentum/adathordozó nem maradhat védelem nélkül.
– A számítógép-hálózatba bejelentkezett munkaállomásokon, nem a KHEM-ben nyilvántartott szoftverek (szórakoztató szoftverek, játékok, egyéb segédprogramok) installálása és futtatása nem megengedett.
10. Adat- és rendszermentések
Az archiválás célja az éles üzemű rendszerek által kezelt adatok csökkentése és az éles üzemű rendszerek adatai későbbi visszakereshetőségének biztosítása.
Az IBSz-szel összhangban, a mentési előírásokat és normákat a KHEM és a KSzF közötti megállapodás alapján a KSzF szabályozza, a mentési feladatokat a KSzF végzi. Az információbiztonsági megbízott, ezen előírások és normák felülvizsgálatát kérheti, illetve a mentési eljárások ellenőrzésében részt vehet.
10.1. Informatikai üzemmenet-folytonosság
Az üzemmenet-folytonosság menedzselésének célja a kritikus informatikai rendszerek igény szerinti rendelkezésre állásának és rendeltetésszerű működésének biztosítása.
Az informatikai üzemmenet folyamatos fenntartása érdekében a katasztrófahelyzet-kezelési terveket kell szem előtt tartani, amelyek tartalmazzák a valószínűsíthető fenyegetések bekövetkezése esetén elvégzendő tevékenységeket.
10.2. Informatikai katasztrófahelyzet-kezelési terv
Az informatikai katasztrófahelyzet-kezelési tervet a KHEM–KSzF megállapodás alapján a KHEM bevonásával a KSzF készíti el.
A katasztrófahelyzet-kezelési tervben foglaltak felülvizsgálatát – egyeztetve a KSzF-fel – az információbiztonsági megbízottnak évente legalább egyszer el kell végeznie és az információbiztonsági igazgató által jóváhagyott változtatásokat és javaslatokat meg kell tennie.
10.3. Biztonsági szintektől független intézkedések és eljárások
Vírusvédelem
A vírusvédelem célja a KHEM informatikai rendszerének rosszindulatú/kártékony programok elleni védelme biztosítása. A védelem kialakítását a KSzF végzi, a KHEM és a KSzF közötti megállapodás alapján.
10.4. Elektronikus levelezés biztonsága
Az elektronikus levelezés biztonságának, működőképességének, stabilitásának és rendelkezésre állásának biztosítása, – a szolgáltatási megállapodás alapján – a KSzF feladata. Az információbiztonsági megbízott munkája során ellenőrizheti a KSzF biztonsággal kapcsolatos tevékenységét így az elektronikus levelezés biztonságához szükséges tevékenységek és kapcsolódó dokumentációk meglétét is.
Ellenőrzése során vizsgálnia kell, hogy megvalósulnak-e az alábbiak:
– megfelelő felhasználó azonosítás,
– felhasználónkénti tár méret korlátozás,
– távoli elérés esetén titkosítás alkalmazása,
– távoli elérés esetén az egyes csatornák felhasználónkénti korlátozása.
10.5. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban
– A munkavégzéssel kapcsolatosan már nem használandó leveleket rendszeresen archiválni kell a felhasználó postafiókjából.
– Levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik. Nem szabad megnyitni például az angol nyelven írt, nyereményekre és ismeretlen, megrendelt küldeményekre utaló leveleket, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget a HelpDesk-től kérhet.
– A felhasználóknak tilos láncleveleket készíteniük és továbbítaniuk. Tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó vagy „szemét” („junk”) jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez a rendszergazda nyújthat segítséget.
– A tárterületek védelmének érdekében a KHEM informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl csak egy példányban legyen tárolva a rendszerben.
– A felhasználónak tilos a KHEM nevében olyan e-mailt küldenie, csatolt fájlt megjelentetnie elektronikus hirdetőtáblákon vagy egyéb fórumokon, amely:
a) a KHEM hírnevét vagy az ügyfelekkel való kapcsolatát ronthatja, illetve a KHEM ügyfeleinek érdekét sértheti,
b) jogszabályt vagy a KHEM belső szabályozását sérti,
c) a KHEM bizonyos álláspontját képviseli, fejezi ki,
d) szerzői jogokat sérthet,
e) vírusokkal fertőzhet meg bármely hálózatot.
10.6. Internetszolgáltatás szabályozása
A KHEM informatikai rendszerét fenyegető veszélyek száma nő az internetre való kapcsolódással. Az így keletkező veszélyforrások kiküszöbölése a szükséges technikai feltételek megteremtésével és az előírások betartásával lehetséges. Az internet felhasználása csak a KHEM ügymenete érdekének megfelelően kialakított és betartott szabályok alapján történhet.
Az internetszolgáltatás minőségének szinten tartása és a KHEM érdekeinek biztosítása céljából a KSzF – az információbiztonsági megbízott javaslatára és a KHEM–KSzF kapcsolattartó engedélyével – bizonyos korlátozásokkal élhet.
A korlátozások a következőkre térhetnek ki:
– bizonyos file-típusok letöltésének korlátozása,
– az alapvető etikai normákat sértő oldalak látogatásának tiltása,
– a látogatható weboldalak körének behatárolása és a maximális file-letöltési méret korlátozása.
A (szerződéskötést kezdeményező) szervezeti egység vezetője – amennyiben ezt indokoltnak tartja – a szervezeti egység munkatársainak, egyes felhasználó(k) internet- hozzáférésének letiltását kezdeményezheti írásban, a KHEM gazdasági és ágazatfinanszírozási szakállamtitkárától.
A felhasználók csak az információbiztonsági megbízott által ismert és a KHEM gazdasági és ágazatfinanszírozási szakállamtitkára által engedélyezett internetkijáratokon keresztül csatlakozhatnak az internethez. Bármely egyéb módon történő internetelérés létesítése az azt kialakító felhasználó felelősségre vonását eredményezi.
Felhasználók internet használatára vonatkozó általános szabályok:
– csak a munkavégzéshez, szakmai tájékozottság bővítéshez információt, segítséget nyújtó oldalak látogathatók,
– mindig szem előtt kell tartani a KHEM érdekeit, valamint a jog- és belső szabályok által szabott határokat,
– a felhasználók nem tölthetnek fel egyénileg a KHEM-mel kapcsolatos adatot az internetre,
– az internetről csak a munkavégzéshez szükséges adatállományok, táblázatok, programok tölthetők le, a hálózatra csatlakoztatott gépre, vagy a szerverre való telepítés előtt az internetről letöltött fájlt egyéni vírusellenőrzés alá kell vetni. Amennyiben a felhasználó a vírusellenőrzést nem tudja lefolytatni, köteles értesíteni a rendszergazdát.
10.7. Szoftvereszközök használatának szabályozása
Az informatikai biztonság teljes körű megvalósításához hozzájárul a jogtiszta szoftverek és a szoftvereszközök jogszerű használata, valamint a szoftverek biztonságos kezelése.
A KHEM által használt szoftverek nyilvántartását a KSzF vezeti, amelyet igény szerint az információbiztonsági megbízott ellenőrizhet.
A rendszeres szoftvervizsgálat során ellenőrizni kell:
– a használatban lévő szoftverek rendelkeznek-e licence-szel,
– a megvásárolt licencek száma arányos-e a használt szoftverek mennyiségével,
– a használt szoftverek verziószámát,
– a ténylegesen használt szoftverek megegyeznek-e a szoftverleltárban foglaltakkal.
A szoftvervizsgálat lebonyolításának – amit évente egyszer kell elvégezni – ellenőrzése (megtörtént-e a vizsgálat) az információbiztonsági megbízott felelőssége.
A szoftvereszközök telepítésére és használatára vonatkozó általános szabályok:
– A KHEM munkaállomásaira csak eredményesen tesztelt szoftverek telepíthetők. A telepítést minden esetben a KSzF végzi.
– Tilos a munkaállomásokra licence-szel nem rendelkező, a kereskedelmi forgalomban beszerezhető, vagy nem a KHEM által fejlesztett szoftvert telepíteni.
– A KHEM által vásárolt és kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik fél részére tilos, hacsak megfelelő licencszerződés ezt külön nem szabályozza és teszi lehetővé.
– A felhasználók csak a KSzF által telepített szoftvereket használhatják.
– A felhasználók rendelkezésére bocsátott hardver és szoftver eszközök ellenőrzését az információbiztonsági igazgató bejelentés nélkül bármikor kezdeményezheti.
10.8. Tűzfalakkal kapcsolatos szabályozások, betörésvédelem, betörésdetektálás
A tűzfalakkal kapcsolatos szabályozások és biztonsági beállítások megtétele a KSzF feladata, melyet a KHEM–KSzF szolgáltatási megállapodás alapján lát el, amelyet az információbiztonsági megbízott ellenőrizhet.
10.9. Távoli hozzáférés, wireless kapcsolat szabályozása
A KHEM informatikai rendszerének távoli elérését csak és kizárólag az egyedi engedélyezési eljáráson átesett authentikáció, illetve szerződésben meghatározott feltételekkel külső személyek (rendszerjavításához, karbantartáshoz) használhatják a rendszerek besorolásának függvényében.
A távoli hozzáférés kialakítása az alábbiak szerint történhet. Ezen megoldások fenntartását a KSzF végzi.
1. WebMail-szolgáltatás – OWA elérésen keresztül
2. VPN-kapcsolat
Az interneten keresztül felépített VPN-kapcsolatnál az IP-alapú kommunikáció titkosított adatcsatorna-kialakításán keresztül zajlik.
3. Extranet-kapcsolat
4. Hardver alapú authentikációs eszközök
A távoli eléréshez szükséges eszközök, beállítások igénylése, illetőleg használata a megfelelő biztonsági szint elérése érdekében a kapcsolódó munkautasítás (2. függelék) szerint történik.
10.10. Mobil IT tevékenység, hordozható informatikai eszközök
A laptopok használatával kapcsolatban a következő biztonsági paraméterek betartása ajánlott:
– a mobil eszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni;
– valamennyi hordozható személyi számítógépet rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni.
A személyi számítógépeket és az ahhoz kapcsolódó számítástechnikai berendezéseket szállító felhasználók:
– kötelesek a számítógépet a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni,
– a számítógépet nem hagyhatják gépjárműben,
– repülés vagy vonatút alatt a személyi számítógépet kézipoggyászként kötelesek szállítani.
Azokban az esetekben, amikor az eszközök nem a KHEM székhelyén, telephelyén (szálloda, lakás) találhatók, fokozott figyelmet kell szentelni a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása vagy ellopása elleni védelemnek.
Tilos a személyi számítógépek:
– engedély nélküli átruházása vagy adatainak közlése,
– megfelelő védelem nélkül idegen hálózathoz csatlakoztatása,
– bármilyen indokolatlan veszélynek történő kitétele vagy nem rendeltetésszerű használata.
A KHEM titkos adataiból csak azon adatokat szabad hordozható személyi számítógépen tárolni:
– amely adatokról központi biztonsági mentés készül,
– amelyekkel kapcsolatban biztosítani lehet a jog- vagy belső szabályban előírt adatbiztonságot és adatvédelmet,
– amelyeknek megoldott hordozható eszközön történő titkosított tárolása.
10.11. Papír alapú dokumentumokat előállító hálózati eszközök kezelése
A dokumentumok előállítására alkalmas eszközök (nyomtató, plotter, fax) használatára az egyéb informatikai eszközökre vonatkozó szabályozások érvényesek. A felhasználók számára tiltott tevékenységek a KHEM adatait nyomtatott formában megjelenítő eszközök esetén is hatályosak.
11. Informatikai rendszerek fejlesztésének információbiztonsági kérdései
11.1. Az informatikai rendszerek fejlesztése és karbantartása
Az informatikai rendszerek fejlesztésének első lépéseként a szakmai oldal elvárásai alapján el kell készíteni a rendszerspecifikációs dokumentumot, amelynek elkészítése során a jogszabályi és az informatikai biztonsági elvárásoknak történő megfelelést is figyelembe kell venni.
Az informatikai biztonság megőrzése érdekében ki kell dolgozni a rendszerspecifikációra vonatkozó biztonsági követelményrendszert. A követelményrendszer kidolgozásának végrehajtása az információbiztonsági megbízott, illetve a kapcsolódó fejlesztési projekt vezetőjének feladata. A követelményrendszert az alaprendszerbe való illesztéséből adódóan egyeztetni szükséges a KSzF-fel.
A követelményrendszer elkészítése során figyelembe kell venni:
– a fejlesztendő rendszer bemenő adatait, annak adatvédelmi és adatbiztonsági besorolási szintjeit,
– a rendszer elvárt rendelkezésre állási idejét,
– a rendszer azon elemeit, ahol hozzáférési jogosultságok kialakítása szükséges,
– a rendszer gyenge, betörésre alkalmat adó pontjait,
– a mentési rendbe való illesztését.
11.2. Alkalmazásfejlesztés
Az alkalmazásfejlesztés teljes időintervalluma alatt kiemelt szerepet kell kapnia az információbiztonságot erősítő intézkedéseknek. Mind a szakmai mind az informatikai követelmények összeállítása során, mind dokumentálás, a teszt és az éles időszak alatt törekedni kell erre.
11.3. Vásárolt és fejlesztett programokra vonatkozó előírások
A vásárolt és fejlesztett programok esetében figyelembe kell venni a szerzői jogra vonatkozó hatályos törvényi szabályozást. A tulajdonjogot a licencszerződések szabályozzák.
Biztonsági előírások a vásárolt és fejlesztett programokkal kapcsolatban:
– a KHEM által vásárolt vagy számára kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik személy részére – ha a licencszerződés ezt nem teszi lehetővé – szigorúan tilos,
– a felhasználók/programozók – az arra illetékes vezető jóváhagyása nélkül – nem készíthetnek olyan alkalmazásokat, programokat, amelyek a KHEM létfontosságú adatbázisait igénybe veszik, ahhoz kapcsolódnak,
– a KHEM adatbázisából csak úgy hozható létre önálló adatbázis, ha azt az erre illetékes vezető írásban jóváhagyta. Ezen adatbázisnak meg kell felelnie a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény előírásainak.
11.4. Ellenőrzések, rendszeres felülvizsgálatok
Az információbiztonság szinten tartása folyamatosan kontrollált. A kontrollok kialakításánál elsődlegesen azt kell figyelembe venni, hogy azok által az információbiztonság szintje mérhető legyen.
Ennek érdekében meg kell határozni az ellenőrzések területeit, és minden területhez külön-külön meg kell fogalmazni az ellenőrzési célkitűzéseket. Az ellenőrzési célkitűzések ismeretében meg kell jelölni az ellenőrzés eszközeit (dokumentumok, naplók, szoftverek, adatok, amelyek a biztonsági rendszerről hiteles képet tudnak adni), azok tartalmi követelményeit.
Az ellenőrzés eredményét minden esetben ki kell értékelni, és a megfelelő következtetéseket le kell vonni, illetve vissza kell csatolni a biztonsági folyamatra. Szükség esetén felelősségre vonási eljárást kell kezdeményezni.
Az ellenőrzéseket dokumentumok, dokumentációk, személyes beszámoltatás és helyszíni szemlék alapján lehet végrehajtani.
Az informatikai biztonsággal kapcsolatos ellenőrzések területei az alábbiak lehetnek:
– megfelelőségi vizsgálat – célja felderíteni, hogy a KHEM rendelkezik-e a törvényi előírásokban meghatározott személyi, eljárási, tárgyi feltételekkel, és azok megfelelően dokumentáltak-e,
– az információbiztonság szintjére vonatkozó vizsgálat – célja felderíteni, hogy az információbiztonság szintje megfelel-e a meghatározott védelmi szintnek,
az információbiztonsági szabályok betartásának ellenőrzése – célja felderíteni, hogy a KHEM információbiztonsági szabályait a felhasználók ismerik-e, illetve betartják-e. Ez az ellenőrzés az informatikai biztonság egy-egy területére is leszűkíthető,
– a biztonsági dokumentumrendszer felülvizsgálata – célja a KHEM belső szabályrendszerét képező hatályos eljárások felülvizsgálata, hogy azok megfelelnek-e az elvárt jogi, informatikai, szakmai elvárásoknak és az általuk szabályozott területen megfelelő szabályok betartására alkalmazhatóak.
Az ellenőrzések során elsősorban az alábbiakat kell vizsgálni:
– az IT biztonsági rendszer működése megfelel-e a törvényi előírásoknak, az IT-rendszer előírt dokumentumai léteznek-e, illetve naprakészek-e;
– az IT biztonsági rendszer felépítése, tartalma megfelel-e az ISO27001/BS 7799-2 szabványnak;
– az IT biztonsági szabályok érvényesítve vannak-e a folyamatokban;
– az IT-személyzet, illetve a felhasználók rendelkeznek-e a megfelelő IT-biztonsági ismeretekkel;
– az adatokra és a rendszerekre vonatkozó kezelési szabályok betartását;
– a naplózási rendszer megfelelő alkalmazását,
– a biztonsági események kezelésének, a szükséges mértékű felelősségre vonás gyakorlatát;
a mentési rendszer megfelelő alkalmazását;
– az informatikai rendszert fejlesztők, üzemeltetők és felhasználók információbiztonsággal kapcsolatos ismereteit;
– a hozzáférési jogosultságok nyilvántartásának naprakészségét, a kiadott jogosultságok szükségességét;
– a dokumentációk pontosságát, naprakészségét, a változások követését, megfelelő kezelését, nyilvántartását;
– az alkalmazott szoftverek jogtisztaságát;
– a szerződések megfelelőségét;
– a fizikai biztonsági előírások betartását.
11.5. Biztonsági rendszerek felülvizsgálata
Az információbiztonsági rendszert, illetve annak egyes elemeit rendszeresen felül kell vizsgálni.
A szükséges felülvizsgálatok az alábbiak:
Felülvizsgálat tárgya |
Felülvizsgálat ciklikussága |
Megfelelőségi vizsgálat |
2 év |
Az információbiztonság szintjére vonatkozó vizsgálat |
1 év |
Az információbiztonsági szabályok betartásának ellenőrzése |
2 év |
A biztonsági dokumentumrendszer felülvizsgálata |
1 év |
1. számú függelék a 8/2009. (II. 20.) KHEM utasítás mellékletéhez
A felhasználói tevékenységek összefoglalása, szabályozása
Jelen munkautasítás célja a KHEM informatikai rendszereinek felhasználóira vonatkozó, az IBSz-ben rögzített általános szabályok összefoglalása és részletezése.
I. A felhasználókra vonatkozó általános biztonsági elvárások
1. Minden felhasználó felelős az általa használt eszközök rendeltetésszerű használatáért.
2. Minden felhasználó a reá vonatkozó szabályok – elsősorban a KHEM-mel fennálló munkavégzésre irányuló jogviszonyt szabályozó törvényi rendelkezésekben foglaltak – szerint felelős az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.
3. A felhasználó köteles a vonatkozó informatikai-szakmai és az IBSz-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában mind az információbiztonsági megbízottal, mind a KSzF-fel illetve az NFGM IT-vel együttműködni.
4. A felhasználó köteles a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni.
5. A felhasználó köteles a rendelkezésére bocsátott számítástechnikai eszközöket megóvni.
6. A felhasználó köteles a belépési jelszavát (jelszavait) az előírt időben változtatni, kezelni.
7. A felhasználó köteles a számítógépét (a munkahelyi munkaállomást) a helyiség elhagyása esetén olyan állapotban hagyni, hogy azt illetéktelen ne használhassa. A munkaállomást lezárni szükséges, hogy ahhoz csak jelszó vagy hardveres authentikációs eszköz használatával lehessen hozzáférni.
8. Biztonsági esemény gyanúja esetén köteles az észlelt rendellenességekről tájékoztatni a közvetlen vezetőjét (a szerződéskötést kezdeményező szervezeti egység vezetőjét) és az információbiztonsági megbízottat.
II. A KHEM informatikai rendszerét használó minden felhasználónak TILOS:
1. A saját használatra kapott számítógép rendszerszintű beállításainak módosítása (ebbe nem értendők bele az irodai programok felhasználói beállításai).
2. A munkaállomására telepített aktív vírusvédelem kikapcsolása.
3. A Belépési jelszó (jelszavak) harmadik személy rendelkezésére bocsátása.
4. A számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása, illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra a KSzF tudta nélkül.
5. A számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása.
6. Bármilyen szoftver installálása, internetről való letöltése, külső adathordozóról merevlemezre való másolása a rendszergazda engedélye nélkül.
7. Bármilyen eszköz beszerelése és annak használata.
8. Az általa használt eToken biztonsági eszköz számítógépben való hagyása a munkaállomásáról való távozása esetén.
9. A belső bizalmas és titkos adatok KHEM-ből való kijuttatása vagy magán célú felhasználása, harmadik személy rendelkezésére bocsátása.
III. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban
1. A munkavégzéssel kapcsolatosan már nem használandó leveleket rendszeresen archiválni kell a felhasználó postafiókjából.
2. Levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik. Nem szabad megnyitni például az angol nyelven írt, nyereményekre és ismeretlen, megrendelt küldeményekre utaló leveleket, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget a rendszergazdától kérhet.
3. A felhasználóknak tilos láncleveleket készíteniük és továbbítaniuk. Tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó vagy „szemét” („junk”) jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez a rendszergazda nyújthat segítséget.
4. A tárterületek védelmének érdekében a KHEM informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl csak egy példányban legyen tárolva a rendszerben.
5. A felhasználónak tilos a KHEM nevében olyan e-mailt küldenie, csatolt fájlt megjelentetnie elektronikus hirdetőtáblákon vagy egyéb fórumokon, amely:
a) a KHEM hírnevét, vagy az ügyfelekkel való kapcsolatát ronthatja, illetve a KHEM ügyfeleinek érdekét sértheti,
b) törvényt, illetve a KHEM belső szabályait sérti,
c) a KHEM álláspontját képviseli, fejezi ki,
d) szerzői jogokat sérthet,
e) vírusokkal fertőzhet meg bármely hálózatot.
IV. A felhasználók feladatai és kötelezettségei eToken biztonsági eszköz használata esetén
1. Az eszköz átvételét követően a KSzF-től kapott jelszót meg kell változtatni.
2. Az eToken eszközhöz tartozó tanúsítvány 1 évig érvényes. A tanúsítványt évenként meg kell újítani.
3. A felhasználónévhez tartozó jelszót a felhasználói fiók megszüntetéséig ez eToken-eszközzel rendelkező felhasználóknak nem kell megváltoztatni.
4. Az eszköz meghibásodása, illetve az eszköz elvesztése esetén a felhasználó köteles értesíteni a KSzF-et.
V. Munkahely és munkaadatok védelme
Minden felhasználó köteles a munkavégzés során használt dokumentumokat, adathordozókat olyan módon használni, amely az illetéktelen hozzáférést lehetőleg megakadályozza. A munkaidő leteltével a munkaanyagokat lehetőség szerint el kell zárni.
VI. Hardvereszközök és szoftverek javítása
A KHEM informatikai rendszerének meghibásodásait – legyen az hardver vagy szoftver meghibásodás – a felhasználó telefonon, e-mailben, vagy a KSzF által működtetett hibabejelentő felületen (továbbiakban HelpDesk rendszer) keresztül köteles bejelenteni.
A meghibásodás észlelését követően a KSzF, a KHEM és a KSzF között létrejött SLA megállapodás szerint jár el.
2. számú függelék a 8/2009. (II. 20.) KHEM utasítás mellékletéhez
Jogosultságok kezelésének folyamata
Jelen munkautasítás célja a KHEM informatikai rendszereihez való hozzáférési jogosultságok kiosztásának, változtatásának és elvételének folyamataira vonatkozó eljárások rögzítése.
1. Jogosultságigénylés folyamata
1.1. Új felhasználói igény esetén
Új felhasználó hozzáférési rendszerbe való illesztését a jogosultság igénylő űrlap (3. sz. függelék) kitöltése és elküldése útján az adott szervezeti egység vezetője – illetőleg a szerződéskötést kezdeményező szervezeti egység vezetője – írásban (feljegyzésben vagy elektronikus úton) igényelheti – a KHEM–KSZF kapcsolattartó útján – a KSzF-nél. A jogosultságigénylés folyamata megvalósulhat elektronikus alapon is, amennyiben a rendszer azt támogatja.
A jogosultságok létrehozását, menedzselését a KHEM–KSzF szolgáltatási megállapodás alapján a KSzF szabályozza.
1.2. Külső személyek jogosultságai
Külső személy csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphat. Elvárás, hogy a részére kiadott azonosítóról legyen egyértelműen megállapítható, hogy az külső személy felhasználóhoz tartozik. Külső személy azonosítójának létrehozását, számára jogosultságok megadását a szerződéskötést kezdeményező szervezeti egység vezetőjének kell kezdeményeznie – a KHEM–KSzF kapcsolattartó útján – a KSzF-nél.
1.3. Gyakornokok jogosultságai
Gyakornok esetén a hozzáférési jogosultságok csak bizonyos, a munkavégzéshez feltétlenül szükséges területekhez való hozzáférést tehetnek lehetővé. Elvárás, hogy a gyakornok felhasználói azonosítója egyértelműen megkülönböztethető legyen a KHEM köztisztviselői és a külső személyek azonosítóitól. A hozzáférési jogosultság megadását a gyakornokot alkalmazó szervezeti egység vezetője vagy a gyakornok közvetlen vezetője igényelheti – a KHEM-KSzF kapcsolattartó útján – a KSzF-nél.
2. Jogosultság megváltoztatásának folyamata
Abban az esetben, ha a felhasználó a KHEM-en belül más szervezeti egységhez kerül, akkor az alap jogosultságokon túli jogosultságok megvonásra kerülnek és az „új szervezeti egység” vezetője írásban kérheti az új munkakörhöz, feladathoz kapcsolódó jogosultságok megadását.
Amennyiben a felhasználó jogviszonya huzamosabb ideig szünetel, illetőleg a felhasználó a munkavégzésben hosszabb ideig nem vesz részt, a hozzáférést megalapozó jogviszonyából eredő feladatát tartósan nem látja el, a felhasználói azonosítóját fel kell függeszteni (inaktiválni kell) a munkába állás, az adott tevékenység folytatása napjáig. Az inaktiválást a közvetlen vezető – illetve a szerződéskötést kezdeményező szervezeti egység vezetője – a KHEM-KSzF kapcsolattartó útján –kéri a KSzF-től. Az azonosító újraaktiválási igényének felmerülésekor a hozzáférés helyreállítását szintén a közvetlen a közvetlen vezető – illetve a szerződéskötést kezdeményező szervezeti egység vezetője – kérheti.
A felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokról haladéktalanul tájékoztatni kell a KSzF-et.
Amennyiben a felhasználó hozzáférést megalapozó jogviszonya megszűnik, de a hozzáférés más formában továbbra is indokolt (valamely új jogviszony a felhasználót továbbra is a KHEM-hez köti; pl. távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony), a felhasználói jogosultságokat meg kell szüntetni, és a felhasználót új felhasználóként kell kezelni, az új jogviszonyra irányadó eljárásrend szerint.
3. Jogosultság megszűntetésének folyamata
A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a felhasználói azonosítóját haladéktalanul érvényteleníteni kell. Az igényt a KSzF felé a munkáltatói jogokat gyakorló vezető jelzi – a KHEM-KSzF kapcsolattartó útján – és a KSzF a megállapodás szerint eljár.
A köztisztviselői jogviszony azonnali hatályú megszüntetése esetén, illetve ha az érintett vezető úgy ítéli meg, valamint a külső személy hozzáférést megalapozó jogviszonya megszűnésekor a jogosultság azonnal visszavonásra kerül.
Ha a köztisztviselői jogviszony megszüntetése nem azonnali hatályú, a jogosultság visszavonása a „kilépési” vagy a „sétáló” lap aláírásával egy időben történik.
A felhasználó hozzáférést megalapozó jogviszonyának megszűnésekor a munkáltatói jogkör gyakorlója, illetve a szerződéskötést kezdeményező szervezeti egység vezetője – a felhasználó tájékoztatása mellett – köteles rendelkezni a felhasználó adatainak, munkavégzéssel kapcsolatos dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség), amelyről köteles tájékoztatni a KSzF-et a szükséges eljárások lefolytatása érdekében. A felhasználó személyes adatainak kezelése során a személyes adatok védelméről és a közérdekű adatok nyilvántartásáról szóló 1992. évi LXIII. törvény vonatkozó rendelkezéseit szem előtt tartva kell eljárni.
2. számú függelék a 8/2009. (II. 20.) KHEM utasítás mellékletéhez
Jogosultság igénylő/módosító lap |
|
|
|
|
|
Szervezeti egység2 neve: |
|
Iktatószám: |
|
|
|
A jogosult (felhasználó) neve: |
|
A felhasználó telephelye (épület, szoba): |
|
A felhasználó telefonszáma: |
|
A felhasználó felhasználói neve (username): |
|
|
|
Számítógép leltári száma: |
|
|
|
Szolgáltatás (alkalmazói rendszerek, adatállományok, hálózati tárterületek, külső adatbázis hozzáférés, speciális jogosultsági igények) megnevezése és a hozzáférés szintje (olvasási, írási, felülírási): |
|
|
|
|
|
|
|
Dátum: |
|
|
|
(szerződéskötést kezdeményező) |
(szerződéskötést kezdeményező) |
|
|
Engedélyezem: |
|
*
Az utasítást a 20/2013. (V. 24.) NFM utasítás 2. § (4) bekezdése hatályon kívül helyezte 2013. május 25. napjával.
- Hatályos
- Már nem hatályos
- Még nem hatályos
- Módosulni fog
- Időállapotok
- Adott napon hatályos
- Közlönyállapot
- Indokolás