Az Emberi Erőforrás Támogatáskezelő Adatvédelmi és Informatikai Biztonsági Szabályzata

Átírás

1 Melléklet a(z) 37/2013. EMET főigazgatói belső utasításhoz Az Emberi Erőforrás Támogatáskezelő Adatvédelmi és Informatikai Biztonsági Szabályzata [A 18/2014. EMET főigazgatói utasítás szerinti módosítással egységes szerkezetben]

2 I. ÁLTALÁNOS RENDELKEZÉSEK 1. Az Adatvédelmi és Informatikai Biztonsági Szabályzat célja, hatálya 1.1. Az Adatvédelmi és Informatikai Biztonsági Szabályzat célja Az Adatvédelmi és Informatikai Biztonsági Szabályzat (a továbbiakban: AIBSZ) célja, hogy az Emberi Erőforrás Támogatáskezelőnél (a továbbiakban: Támogatáskezelő) a szervezeti egységek és munkatársaik egymás közötti és a Támogatáskezelőhöz nem tartozó külső szervekkel, személyekkel fenntartott kapcsolatokban biztosítható legyen: a) a Támogatáskezelő informatikai rendszereinek (a továbbiakban: rendszerek) és a rendszerekben tárolt adatok megfelelő rendelkezésre állása; b) az adatállományok formai és tartalmi helyességének, épségének megőrzése; c) az adatok és információk bizalmassága, megfelelő védelme; d) a Támogatáskezelő tevékenysége során keletkezett személyes adatok védelme; e) a vagyon-, munka- és tűzvédelemre vonatkozó előírások betartása; f) a számítógépes feldolgozások és az eredményadatok további hasznosítása során az illetéktelen hozzáférésből és felhasználásból eredő hátrányos következmények megszűntetése, illetve minimális mértékre való csökkentése; g) az informatikai szoftver eszközökkel kapcsolatos jogbiztonság, jogtisztaság; h) a jogszabályi szinten rögzített adatvédelmi és adatbiztonsági elvárásoknak való megfelelés. A vázolt célok elérése érdekében a védelemnek működnie kell a rendszerek fennállásának teljes ciklusa alatt a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül a felszámolásukig. Az AIBSZ alkalmazásánál figyelembe kell venni, hogy a Támogatáskezelő különböző szervezeti egységei használatában működő telekommunikációs és informatikai rendszerek tervezése, bevezetése, üzemeltetése és ellenőrzése vonatkozásában meghatározott feladatok elsősorban a törvényesség betartásával, másodsorban a védelem hiányából eredő lehetséges károk értékével legyenek arányosak Az AIBSZ hatálya Az AIBSZ személyi hatálya kiterjed a Támogatáskezelő valamennyi kormánytisztviselői-, valamint kormányzati ügykezelői jogviszonyban, továbbá munkaviszonyban foglalkoztatott munkatársára (a továbbiakban együtt: munkatársak). Az AIBSZ személyi hatálya kiterjed továbbá min- Hatályos: november 1. 2

3 den személyre, aki a Támogatáskezelő informatikai vagy azzal összefüggő rendszerét, szolgáltatásait igénybe veszi, informatikai struktúráját és annak eszközeit üzemelteti vagy használja, függetlenül a Támogatáskezelőhöz kapcsolódó jogviszonyától. Más természetes személyeket az AIBSZ csak a külön adatvédelmi megállapodásokban (pl. adatszolgáltatás, hozzáférés, titoktartás) rögzítettek szerint érint Az AIBSZ tárgyi hatálya kiterjed a) valamennyi (a Támogatáskezelő tulajdonában lévő, vagy általa bérelt) informatikai és telekommunikációs berendezésre, vagy a Támogatáskezelő használatában álló épületben található, leltári jelzéssel ellátott, továbbá a Támogatáskezelő megbízásából a Támogatáskezelő munkatársai számára harmadik személy által biztosított informatikai eszközre, beleértve a berendezések műszaki dokumentációját is; b) a Támogatáskezelő eszközein működtetett rendszerprogramokra és a felhasználói programokra; c) amennyiben a Támogatáskezelő működésére irányadó egyéb szabályzat így különösen az Iratkezelési Szabályzat, az Infokommunikációs Eszközökről szóló Szabályzat, az EMET Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzata, a Tűzvédelmi Szabályzatban és a Közszolgálati Szabályzat eltérően nem rendelkezik az informatikai folyamatot leíró valamennyi dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési dokumentációk); az adathordozók tárolására és felhasználására, beleértve a feldolgozásra beérkezés és a felhasználókhoz történő eljuttatás folyamatait is, kivéve; az adatok felhasználására; a védelmet élvező adatok teljes körére, keletkezésük és felhasználásuk, valamint feldolgozásuk helyétől, továbbá a megjelenési formájuktól (bizonylatok, tablók, mágneses adathordozók, stb.) függetlenül; minden olyan adatkezelésre és adatfeldolgozásra, amely az Infotv. szerinti személyes, különleges, közérdekű, vagy közérdekből nyilvános adatra vonatkozik, és az adatkezelés, illetve adatfeldolgozás teljesen vagy részben automatizált eszközzel történik Az AIBSZ rendelkezéseit értelemszerűen alkalmazni kell minden olyan adatkezelésre, amelyet az AIBSZ pontjában megnevezett adatkezelő szerv vezetőjének meghatalmazása alapján külső szervezet végez, valamint a beléptető rendszerben történő adatkezelésre is Az adatvédelmi és adatbiztonsági előírások alkalmazása szempontjából adatkezelő szerv vezetőjének kell tekinteni a főigazgatót, a főigazgató-helyettest és az igazgatót Az adatkezelő szerv vezetőjének felelősségi körébe tartozik a) az SZMSZ szerint irányítása alá tartozó szerv, szervezeti egység adatvédelmi és adatbiztonsági intézményrendszerének kiépítése és működtetése, ennek keretében a szerv, illetve szervezeti egység által az ellátott ügykörhöz igazodóan kezelt, védelmet élvező Hatályos: november 1. 3

4 adatok biztonságát biztosító személyi, tárgyi és technikai feltételek biztosítását célzó, hatáskörébe tartozó intézkedések megtétele; b) az irányítása alá tartozó szerv, illetve szervezeti egység tevékenységének rendszeres adatvédelmi ellenőrzése, az ennek során esetlegesen feltárt hiányosságok, esetleges jogszabálysértő körülmények megszüntetése, a személyi felelősség megállapításához szükséges eljárás kezdeményezése, illetve lefolytatása. 2. Az AIBSZ-hez kötődő egyéb szabályozások 2.1 Az AIBSZ a jogszabályok előírásainak alkalmazásán alapul, és az információvédelemre vonatkozó jogszabályi szintű rendelkezésekkel így különösen az alábbiakban felsorolt törvényekben és a végrehajtásukra kiadott jogszabályokban foglaltakkal együtt értelmezendő: a évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról [a továbbiakban: Ibtv.]; a évi LXIII. törvény a közadatok újrahasznosításáról; évi CLXVI. törvény a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről; évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról [a továbbiakban: Infotv. ]; évi CXCV. törvény az államháztartásról; a évi CXCIX. törvény a közszolgálati tisztviselőkről; évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről; évi CLXXXI. törvény a közpénzekből nyújtott támogatások átláthatóságáról; évi CVI. törvény az állami vagyonról; évi CLV. törvény a minősített adat védelméről; a évi C. törvény a számvitelről; évi LXVI. törvény a köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről; évi LXVI. törvény a polgárok személyi adatainak és lakcímének nyilvántartásáról; 45/2012. (III. 20.) Korm. rendelet a közszolgálati tisztviselők személyi irataira, a közigazgatási szerveknél foglalkoztatott munkavállalók személyi irataira és a munkaügyi nyilvántartásra, a közszolgálati alapnyilvántartásra és közszolgálati statisztikai adatgyűjtésre, valamint a tartalékállományra vonatkozó egyes szabályokról; a 368/2011. (XII. 31.) Korm. rendelet az államháztartásról szóló törvény végrehajtásáról, 90/2010. (III. 26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről; 92/2010. (III. 31.) Korm. rendelet az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól; 161/2010. (V. 6.) Korm. rendelet a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól; Hatályos: november 1. 4

5 335/2005. (XII. 29.) Korm. rendelet a közfeladatot ellátó szervek iratkezelésének általános követelményeiről; 305/2005. (XII. 25.) Korm. rendelet a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról; 18/2005. (XII. 27.) IHM rendelet a közzétételi listákon szereplő adatok közzétételéhez szükséges közzétételi mintákról. 2.2 Az AIBSZ-ben nem rendezett kérdésekben a fentiekben említett hatályos jogszabályok rendelkezéseit, továbbá a Támogatáskezelő egyéb belső szabályzataiban, így különösen a Szervezeti és Működési Szabályzatban, az Egyedi Iratkezelési Szabályzatban, az Infokommunikációs Eszközökről szóló Szabályzatban, az EMET Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzatban, a Tűzvédelmi Szabályzatban és a Közszolgálati Szabályzatban foglaltak az irányadók. 3.1 Az AIBSZ alkalmazása során: 3. Értelmező rendelkezések a) adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas; b) adatállomány: az informatikai rendszerben logikailag összetartozó, együtt kezelt adatok összessége; c) adatátvitel: adatok informatikai rendszerek, rendszerelemek közti továbbítása; d) adatbiztonság: a személyes adatok jogosulatlan kezelése, így különösen megszerzése, feldolgozása, megváltoztatása és megsemmisítése elleni technikai, szervezési megoldások és eljárási szabályok összessége, az adatkezelésnek azon állapota, amelyben a fenyegetettséget jelentő kockázati tényezőket különböző műszaki, szervezési megoldások és intézkedések a lehető legkisebb mértékűre csökkentik; e) adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik; f) adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; g) adathordozó: bármely alakban, bármilyen eszköz felhasználásával és bármilyen eljárással előállított, adat tárolására alkalmas, továbbá adatot tartalmazó anyag; Hatályos: november 1. 5

6 h) adatvédelem: a személyes adatok kezelésének normatív szabályozása az érintett információs önrendelkezési jogának biztosítása és érvényesítése érdekében; i) alapszolgáltatások: azok az informatikai szolgáltatások, amelyek minden felhasználó számára rendelkezésre állnak; j) alkalmazás: a szoftver és minden egyéb olyan számítógépes program, amelyet egy feladat vagy feladatkör végrehajtására terveztek; k) authentikáció: az adatcsere során a kommunikációban résztvevő felek identitása megállapításának és ellenőrzésének folyamata; l) azonosító eszköz: olyan eszköz, amely a felhasználó egyértelmű azonosítására szolgál (pl. mágneskártya, Proximity kártya; m) biztonsági esemény: bármilyen olyan esemény, ami az érvényben lévő biztonsági szabályokat sérti, vagy a biztonsági szabályok sérülésének gyanúját vetik fel, így különösen az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, melynek hatására az informatikai rendszerben tárolt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült, vagy megsérülhet; n) érintett: bármely meghatározott, személyes adat alapján azonosított, vagy közvetlenül vagy közvetve azonosítható természetes személy; o) biztonsági rendszer: az épületek betörés és vagyonvédelmi rendszere, valamint az ehhez kapcsolódó beléptető rendszerek; p) fájl: számítógépen tárolt információtárolási egység. Egy fájl tartalma a gép szempontjából vagy adat, vagy program, amely a processzor által végrehajtható utasításokat tartalmaz; q) felhasználó: meghatározott jogosultságokkal bíró olyan személy, aki a Támogatáskezelő informatikai rendszerét, hálózatát, szolgáltatásait authentikációt követően igénybe veszi; r) hálózat: informatikai eszközök közti adatátvitelt megvalósító logikai és fizikai eszközök összessége; s) hitelesség: az adat olyan tulajdonsága, amely arra vonatkozik, hogy az adatbizonyítottan vagy bizonyíthatóan az elvárt forrásból származik; t) információs önrendelkezési jog: az Alaptörvény VI. cikkének (2) bekezdésében biztosított, mindenkit megillető, személyes adatai védelméhez való jognak azon alapvető tartalma, hogy minden természetes személy maga rendelkezik személyes adatainak feltárásáról és felhasználásáról; u) informatikai szolgáltatások: a Támogatáskezelő által biztosított számítástechnikai, információ-feldolgozási, és kommunikációs szolgáltatások; v) kapcsolószekrény: a Támogatáskezelő informatikai és telekommunikációs hálózatának működtetéséhez szükséges eszközök elhelyezésére szolgáló szekrények; w) központi rendszer: a Támogatáskezelő szerverei, kommunikációs eszközei, központi nyomtatói; x) különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat; az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint az Infotv pontja szerinti bűnügyi személyes adat; Hatályos: november 1. 6

7 y) rosszindulatú alkalmazás: a rosszindulatú számítógépes programok összefoglaló neve. Ide tartoznak a vírusok, férgek (worm), kémprogramok (spyware), agresszív reklámprogramok (adware), a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (rootkit); z) személyes adat: az érintettel kapcsolatba hozható adat különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret, valamint az adatból levonható, az érintettre vonatkozó következtetés; aa) szerverterem: a központi informatikai rendszereket, szolgáltatásokat működtető számítógépek elhelyezésére szolgáló elkülönített helyiség. II. AZ INFORMATIKAI BIZTONSÁGHOZ KAPCSOLÓDÓ RENDELKEZÉSEK 1. A Támogatáskezelő működése szempontjából kritikus, kiemelt, normál és egyéb rendszerek 1.1. A Támogatáskezelő működése szempontjából kritikus az a rendszer, amely a Támogatáskezelő egészére kiterjed, vagy amely összefügg a Támogatáskezelő alaptevékenységével, vagy amely személyes adatot tartalmaz. A kritikus rendszerek adatbiztonsági szempontból kiemelt védelmet igényelnek. E körbe tartoznak különösen az alábbi rendszerek: a) bér- és munkaügyi rendszer; b) gazdasági, ügyviteli rendszer; c) iratkezeléssel összefüggő rendszerek; d) támogatással, pályáztatással összefüggő rendszerek; e) EU információs rendszer; f) központi levelező kiszolgálók; g) központi tárhely kiszolgálók; h) intézményi authentikációs rendszerek A Támogatáskezelő szempontjából kiemelt rendszerek azok, melyek elsősorban technikai jellegűek, a rajtuk tárolt adatok nem személyes jellegűek. E körbe különösen az alábbi rendszerek tartoznak: a) telekommunikációs rendszer és hálózat; b) kommunikációs rendszerek; c) technológiai rendszerek Normál rendszerek a kritikus és kiemelt rendszerek körébe nem sorolt, de a Támogatáskezelő napi működése szempontjából kritikus, továbbá a Támogatáskezelő egészére nem, csak egyes részeire kiterjedő olyan rendszerek, amelyek használatához szükséges a személyes authentikáció A kritikus, kiemelt és normál rendszerek körébe nem sorolt rendszerek. Hatályos: november 1. 7

8 2. Kockázatkezelés 2.1. Minden kritikus rendszer és kiemelt rendszer besorolású szolgáltató rendszer esetében rendelkezni kell olyan kockázatelemzéssel, ami a rendszer által nyújtott szolgáltatások részleges vagy teljes kimaradásának a Támogatáskezelő működőképességére tett hatásait tartalmazza. Külön kell kezelni a szolgáltatás elérhetetlenségéből, illetőleg az adatbázis sérülésből származó hatásokat. A kockázatelemzési dokumentum előállítása és karbantartása a szolgáltatás üzemeltetőjének a feladata Kritikus rendszer és kiemelt rendszer üzemeltetése a Támogatáskezelő működési területein kizárólag a főigazgató engedélyével, míg normál rendszer és egyéb rendszer üzemeltetése a Támogatáskezelő területén a gazdálkodási és üzemeltetési igazgató engedélyével történhet. 3. Infrastruktúrához kapcsolódó védelmi intézkedések 3.1. A Támogatáskezelő épületeiben Biztonsági Szolgálat működik A Támogatáskezelő a használt épületekben biztonsági zónákat hoz létre, és meghatározza az egyes biztonsági zónák követelményeit. A Támogatáskezelőben megvalósított biztonsági zónák: Számítógépterem, kapcsolószekrények (kiemelt védelem) Raktárak, szerviz helyiségek területe (fokozott védelem) irodák, folyosók (alap védelem) 3.3. A Támogatáskezelőnél a munkatársak belépéskor történő azonosítása a Biztonsági Szolgálat feladata. A fokozott és kiemelt védelemmel ellátott biztonsági zónákba csak az arra jogosult személyek kapnak belépési jogosultságot. A kiemelt védelemmel ellátott biztonsági zónákba a belépési jogosultsággal rendelkező munkatársak mágneskártya vagy Proximity kártya használatával léphetnek be (belépéseket a biztonsági rendszer naplózza) A biztonsági rendszer riasztást ad, ha a biztonsági zónában, annak élesített állapotában, bárki tartózkodik. Riasztás esetén a Biztonsági Szolgálat a számára kiadott szolgálati utasításban meghatározott módon jár el. Biztonsági zónára kiadott mágneskártyát, Proximity kártyát és/vagy belépési kódot az Informatikai Osztály vezetőjenek a munkatárs kilépésekor azonnal meg kell vonnia, a jogosultságot azonnal le kell tiltatni a beléptető rendszerben. A kiadott, letiltott jogosultságokat és azonosító eszközöket az Informatikai Osztály vezetője dokumentálja. Hatályos: november 1. 8

9 3.5. A Támogatáskezelő a központi rendszerei védelmére szervertermet alakít ki és a számítástechnikai folyamatok üzemeltetéséhez szükséges fontos eszközöket oda telepíti. A szerverterem kialakításának szabályai: - Kiemelten fontos szempontok a szerverterem tervezésénél, kialakításánál és átalakításánál: a.) a statikai követelmények (várható maximális födémterhelés, eszközök száma, azok várható súlya) figyelembe vétele b.) a környezetből adódó rezgések, környezeti zavarok (pl. nagy-frekvenciás hálózat) figyelembe vétele c.) a klimatizálás biztosítása d.) a szünetmentes tápellátás biztosítása e.) a géptermet kerüljék el a közműhálózati vezetékek (víz, gáz, csatorna, stb.); a szerverterem felett és a határoló falfelületei mellett vizes blokkot tartalmazó helyiség nem lehet, felette és mellette a falban gáz vagy vízcsövek nem haladhatnak f.) a szerverterem ajtói rendelkezzenek legalább 30 perces (mű. bizonylatolt) tűzállósággal g.) a géptermen belül automatikus betörés- és tűzjelző rendszert kell telepíteni, ami mozgás-, nyitás-, füst-, üvegtörés és vízérzékelőkkel rendelkezzen; az érzékelők és a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok előírásainak, rendelkezzenek a hazai minősítő intézetek forgalomba-hozatali engedélyével h.) törekedni kell a szerverteremben az ablakok elfalazásáról, de ha ablakok mégis megmaradnak, akkor azokon legyen belülről átlátszó fólia i.) a padlóburkolatok, berendezési tárgyak tűzálló és antisztatikus anyagból legyenek j.) az épület villámvédelme elégítse ki a kommunális- és lakóépületekre vonatkozó előírásokat; az MSZ 274-5T:1993 szabvány szerint az LPZ 0B - LPZ 1 zónahatáron túlfeszültség elleni védelembe be kell vonni az árnyékolást megtestesítő, a helységhez tartozó összes fémszerkezetet (az elektromos hálózatot, víz, gáz, távfűtés, csatornahálózatokat, antenna bevezetéseket, adatátviteli és távbeszélő hálózatokat stb.) k.) a szerverszobán kívül legyen kialakítva külön operátor szoba, és szervizszoba - A szerverterem védelme minimálisan elégítse ki az alábbi követelményeket: Hatályos: november 1. 9

10 a.) a nyílászárók (ajtók, ablakok) rendelkezzenek nyitottság és zártság ellenőrző eszközzel b.) a belső terek védelme mozgásérzékelővel legyen biztosított; a védelem ki és bekapcsolása a bejáraton kívül elhelyezett minimum 6 számjegyes kóddal működtetett tasztatúráról történjék c.) megfelelő kapacitású klíma és szünetmentes tápellátó rendszer álljon rendelkezésre d.) automatikus tűzjelző és halonnal oltó tűzoltórendszer folyamatosan álljon rendelkezésre e.) a szerverterembe belépni szándékozók belépés előtti automatikus azonosításának lehetősége (pl. mágneskártya, proximity kártya) álljon rendelkezésre - A szerverterembe történő be- és kilépés rendjének szabályozása a.) A szerverterembe történő belépéshez szükséges kártyák vagy kódazonosítók kiadását és visszavonását az IO vezetője engedélyezi. b.) Látogató kizárólag csak a benntartózkodáshoz engedéllyel rendelkező személy jelenlétében tartózkodhat a szerverteremben, és a belépését a szerverterem vendégkönyvében regisztrálnia kell. c.) Külső munkatárs csak a benntartózkodáshoz engedéllyel rendelkező személy jelenlétében és felügyelete mellett végezhet munkát. A külső munkatárs ilyen esetben a végzett munkát (pl. hibajavítás, takarítás) a Géptermi eseménynaplóban dokumentálni köteles. d.) Az IO vezetője nyilvántartást köteles vezetni az aktuálisan érvényes géptermi belépési jogosultságokról. - A szervertermi munkavégzés, a terem zárása/nyitása: a.) A szerverterem biztonságilag kiemelten védett terület, munkaszünet esetén a szerverterem zárását/nyitását csak a terem üzemeltetését végző felelős személyek végezhetik. b.) A géptermi munka befejezése után a szerverterem zárása saját kulccsal, majd a biztonsági rendszer élesítésével történik. A biztonsági rendszert csak a szerverteremben munkát végző és felhatalmazott operátor élesítheti. A szerverterem nyitására ugyanez vonatkozik, csak fordított sorrendben. c.) A számítógépeket és a kisegítő berendezéseket (perifériák) munkaszünet alkalmával bekapcsolt állapotban lehet hagyni. Hatályos: november 1. 10

11 d.) A szerverek zárási és indítási eljárásait munkautasítás (Üzemeltetés rendje) tartalmazza. - A szerverterem bezárása előtt: a.) ellenőrizni kell a klíma hőfokszabályzó állását (max. 24 C-ra lehet állítva), b.) az ablakokat zárt állapotban kell hagyni, c.) a szalagfüggönyöket a belátás megakadályozására el kell fordítani. d.) A szerverterem biztonsági (tartalék) kulcsát és a belépő kódot lezárt és aláírt borítékban a Biztonsági Szolgálat őrzi. e.) A szerverterem zárásakor, ill. nyitásakor észlelt bármilyen rendellenességet az IO vezetője felé azonnal jelenteni kell. f.) A szerverterem zárására/nyitására jogosultsággal rendelkező munkatársakról nyilvántartást kell vezetni. Minden ilyen jogosultság megadását az IO vezetője engedélyezi. - Szerverteremre vonatkozó egyéb előírások: a.) A szerverterem biztonsági (betörés- és tűzjelző) rendszere szünetmentes áramellátásról működjön, eseménykor az épület Biztonsági Szolgálatára, valamint a Rendőrségre, ill. a Tűzoltóságra adjon riasztást. b.) A szerverterem összes ajtaját folyamatosan munkavégzés alatt is csukva kell tartani. Ennek érdekében az ajtókat automatikus csukó szerkezettel kell ellátni. c.) A szerverterembe történő ki- és bejárás céljára egy és csakis egy ajtó álljon rendelkezésre d.) A szerverterembe üzemelő informatikai eszközök legyenek ellátva a villámlás másodlagos hatásai elleni védelemmel. 4. Hardverekre és szoftverekre vonatkozó előírások 4.1. A Támogatáskezelő a központi rendszerekhez kiemelt védelmet biztosít. Minden esetben, amikor a szerverteremben, illetve vele egyenrangú védelemmel rendelkező más területen szerverek és kommunikációs eszközök telepítése történik, biztosítani kell ezen eszközök biztonságos elkülönítését és védelmét (pl. szerver szoba és operátori szoba kialakítással). A szervereket és a kommunikációs eszközöket (router, switch), azok fizikai védelme céljából, erre a célra kialakított jól szellőző, zárható szekrényben elzárva kell üzemeltetni. A szervereknél és a kommunikációs eszközöknél (router, switch) biztosítani kell a személyre szóló azonosítás alapján történő logikai hozzáférést. Hatályos: november 1. 11

12 A központi rendszer elemei telepítésének, áttelepítésének végrehajtása minden esetben az Informatikai Osztály vezetőjének a feladata és felelőssége. Szerver vagy kommunikációs eszköz nem az AIBSZ által előírt körülmények közötti elhelyezésére csak az Informatikai Osztály vezetője előzetes és egyedi engedélye mellett van lehetőség és csak átmeneti jelleggel. A központi rendszerek telepítésénél az Informatikai Osztály vezetőjenek minden esetben kiemelten kell gondoskodni a berendezések biztonságáról, az illetéktelen hozzáférés megelőzéséről, megakadályozásáról. A központi rendszerekhez sem a rendszereket szállítók sem a rendszert fejlesztők nem rendelkezhetnek közvetlen hozzáférési jogosultsággal. Minden egyes külső beavatkozás (verzió-frissítés, programhiba javítás, egyedi fejlesztés stb.) során dokumentálni kell a program-változásokat, az elvégzett ellenőrzéseket, teszteléseket. A központi rendszerekhez tartozó helyi hálózat megbízhatóságának növelésére, annak túlterhelését, hálózatrészek kiesését megelőző, a helyi adottságoknak megfelelően kiválasztott rendszertechnikai megoldásokat (redundáns átviteli utak, illetve aktív elemek, dinamikus átkonfigurálás, osztott hálózatvezérlés stb.) kell alkalmazni. A számítástechnikai eszköz telepítésének részét képezi az eszköz verifikálása (ellenőrzés). A verifikálás eredményét, azaz hogy az eszköz a meghatározott biztonsági követelményeknek eleget tesz, az Informatikai Osztály köteles írásban rögzíteni Munkaállomások, laptopok telepítése, konfigurációkezelése során az alábbiakat kell figyelembe venni: a) Minden munkaállomás telepítést, módosítást, cserét az igénylő kezdeményez az Infokommunikációs Eszközökről szóló Szabályzatban foglalt eljárásrend szerint. b) A munkaállomásokról nyilvántartását kell vezetni. A nyilvántartás tartalmazza a munkaállomás hardver konfigurációját és a munkaállomásra telepített szoftvereket. A nyilvántartások vezetése, azok aktualizálása az Informatikai Osztály feladata. c) A munkaállomásokat csak a feladat ellátásához szükséges beállításokkal és programokkal szabad telepíteni. d) A munkaállomások elhelyezésénél (fizikai telepítés) minden esetben kiemelten kell gondoskodni a berendezések biztonságáról, az illetéktelen hozzáférés megelőzéséről, megakadályozásáról. Azon irodahelyiségeket, ahol munkaállomás működik tilos felügyelet nélkül hagyni, ha a helyiségben senki sem tartózkodik, azt be kell zárni. e) A munkaállomáson egyedi hozzáférést kell biztosítani, ezáltal lehetővé téve, hogy a munkaállomást csak az arra jogosult Felhasználók használhassák A Támogatáskezelő biztosítja az informatikai rendszerének egészére kiterjedő rendszeres és folyamatos vírusvédelmet. Vírusellenőrzés történik a helyi hálózaton, a levelező szerveren, valamint az összes munkaállomáson. Az Informatikai Osztály gondoskodik arról, hogy a vírusellenőrző programnak mindig a legújabb verziója működjön. A frissítéseknek maximum 1 munkanapon belül meg kell történniük. Csak jogtiszta és megfelelő dokumentációval ellátott vírusellenőrző Hatályos: november 1. 12

13 program használata megengedett. A vírusellenőrző programot csak speciális esetekben, csak az Informatikai Osztály vezetője utasítására lehet kikapcsolni. A rendszergazda kötelessége, hogy a vírusvédelmet a lehető legrövidebb időn belül visszakapcsolja. A vírusirtó leállítását és újraindítását az Informatikai Osztálynak űrlapon dokumentálnia kell. A felhasználók a vírusvédelmet semmilyen körülmények között sem kapcsolhatják ki. A hatékony vírusvédelem érdekében a Támogatáskezelő munkatársaihoz kívülről érkező leveleken kiterjesztés és tartalom szerinti szűrést kell végezni, és a vírus gyanús leveleket azonnal karanténba kell helyezni Amennyiben a vírusellenőrzések ellenére a felhasználók vírusra utaló hibás, vagy furcsa működést tapasztalnak, a vírusfertőzés gyanújáról azonnal értesíteni kell az Informatikai Osztályt. A felhasználó köteles haladéktalanul jelenteni az Informatikai Osztálynak, ha rosszindulatú alkalmazás jelenlétének gyanúját észleli az informatikai eszközön. Rosszindulatú alkalmazás jelenlétére utaló jelek különösen: a) rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás névvel azonosított rosszindulatú alkalmazást jelez; b) fájl másolása esetén a forrásfájl és a célfájl mérete, neve eltérő; c) szokatlan és váratlan képernyő tevékenység; d) szokatlan alkalmazás-tevékenység: felhasználói beavatkozás nélkül elinduló alkalmazások, a megszokottól eltérően viselkedő alkalmazások, elérhetetlen funkciók, stb.; e) jelentősen lassult működés, amely többszöri újraindítás során sem javul. Külső adathordozó használata előtt az adathordozó adatállományát a rosszindulatú alkalmazás elleni védelemről gondoskodó alkalmazás használatával ellenőrizni kell. A vírusdetektálás (vagy vírusgyanú felmerülése) és a víruseltávolítás biztonsági eseménynek számít, ezért minden vírusdetektálást és víruseltávolítást haladéktalanul jelenteni kell az Informatikai Osztály vezetője felé. Az ilyen eseményt az Informatikai Osztálynak ki kell vizsgálnia, és dokumentálnia. Az Informatikai Osztály vezetője időszakosan ellenőrizni köteles, hogy az aktuálisan használt vírusellenőrző program megegyezik a kiadott legfrissebb változattal. A biztonsági kockázatot jelentő elektronikus küldemények kezelése során az Iratkezelési Szabályzat rendelkezéseit is figyelembe kell venni A Támogatáskezelőbe új rendszer fejlesztésével, létező rendszerek továbbfejlesztésével, az új rendszerek, verziók bevezetésével és szükséges dokumentációival kapcsolatos biztonsági elvárásokat az Informatikai Osztály által készített és évente karbantartott követelményjegyzék tartalmazza. A követelményjegyzéket a Támogatáskezelő minden rendszerfejlesztés, rendszerbevezetés tartalmú pályázatának, szerződésének mellékleteként csatolni kell, a benne foglaltakat a szállítóktól meg kell követelni. Hatályos: november 1. 13

14 5. Dokumentációkhoz kapcsolódó védelmi intézkedések 5.1. Minden nyilvántartott szoftverhez nyilván kell tartani a szoftver dokumentációját, ami magába foglalja legalább az alábbiakat: a) felépítésének, funkcióinak és adatkapcsolatainak felső szintű leírását, valamint alapvető jellemzőit (mérete, nyelve, működési környezet, készítőjét), leírását; b) felhasználói és üzemeltetői kézikönyveket, különösképpen a felhasználói jogosultság rendszer leírását; c) a rendszer telepítőkészletét, telepítési segédleteit; d) a tesztelést igazoló, valamint az üzemeltetésre átvétel jegyzőkönyveit; e) az üzemi, konfigurációs beállítások leírását; f) a rendszert üzemeltetésével, támogatásával kapcsolatos partneri megállapodásokat (pl.: licencek, support szerződések, elérhetőségek). A felsorolt dokumentumok őrzése az Informatikai Osztály feladata. A rendszerleírási és rendszerprogram dokumentációinak első példányát az Informatikai Osztály informatikai könyvtárában kell tárolni elektronikus formában. A leírások és dokumentációk másodpéldányát papíron (és lehetőség szerint elektronikus formában is) tűzbiztos lemezszekrényben, kell tárolni. A dokumentációkat minden esetben úgy kell elhelyezni, hogy azok a tárolás közben ne sérüljenek vagy károsodjanak A rendszerleírások és rendszerprogram dokumentációinak frissítését minden olyan esetben, amikor a rendszeren változtatás (rendszerkonfiguráció változtatás, javítás, verzióváltás, stb.) az üzembe állítás (üzemeltetésre átadás) előtt frissíteni kell. A dokumentációk naprakészségért az Informatikai Osztály felelős. A rendszerleírásokról és rendszerprogram dokumentációkról űrlapon kell pontos nyilvántartást vezetni, a verziószámoknak és a telepítés időpontjainak a feltüntetésével. A nyilvántartásnak biztosítania kell, hogy legalább 1 évre visszamenőleg meghatározható legyen minden, az egyes rendszerekkel kapcsolatos változás ideje, oka, mibenléte. A nyilvántartás vezetése és annak folyamatos aktualizálása az Informatikai Osztály feladata A felhasználói dokumentációk folyamatos rendelkezésre állása megköveteli, hogy a dokumentumokat gyorsan és egyszerűen el lehessen érni. A felhasználói dokumentációkat javasolt elektronikusan, nyilvános mappában, vagy intraneten (Itiner) tárolni. Hatályos: november 1. 14

15 6. Elektronikus kommunikációhoz kapcsolódó védelmi intézkedések 6.1. Általános rendelkezések A Támogatáskezelő hálózatát, vagy munkaállomásait csak ellenőrzött kapcsolaton keresztül lehet más hálózatokhoz csatlakoztatni. Engedély nélkül tilos bármilyen egyéni kommunikációs eszköz (pl. mobiltelefon, fax-modem, másik hálózathoz csatlakozni képes számítógép) csatlakoztatása a Támogatáskezelői munkaállomásokhoz. A fentiek biztosítása érdekében a Támogatáskezelő munkaállomásainak technikai beállításait úgy kell elvégezni, hogy a mindennapi munkához nem szükséges kommunikációs lehetőségek (pl. IRDA, BlueTooth, beépített modem) tiltva legyenek. E mellett a telefonhálózaton legyenek tiltva azok a körzetszámok (pl. 51-es), amelyeken internetszolgáltatók érhetők el használattal kapcsolatos előírások Az használatával kapcsolatos, jelen pont alatti előírásokat akkor kell alkalmazni, ha a Támogatáskezelő működésére irányadó egyéb szabályzat, így különösen az Iratkezelési Szabályzat másként nem rendelkezik. Az elektronikus levelezés célja a gyors ügyintézés és a papír alapú dokumentumok mennyiségének csökkentése. A Támogatáskezelő minden munkatársával szemben elvárás az elektronikus levelezéssel kapcsolatban a körültekintő és etikus viselkedés. A Támogatáskezelő munkatársaira az alábbi, az elektronikus levelező rendszerre vonatkozó jogok és kötelezettségek vonatkoznak: a) a belső elektronikus levelező rendszerben továbbított üzenet, levél, vagy csatolt fájl egyenértékű az üzenet, levél, vagy csatolt fájl személyes, papír alapon történő átadásával; b) az elektronikus levelező rendszerből kifelé továbbított üzenet nem vonatkozhat kötelezettség vállalásra; c) az elektronikus levelező rendszerből kifelé továbbított bizalmasan kezelendő üzenet csak titkosítva küldhető; d) az elektronikus levelező rendszerből kifelé továbbított levélben és üzenetben minden esetben biztosítani kell a Támogatáskezelő jó hírét; e) elektronikus levelezéskor az elektronikus levelezési címet csak az arra jogosult személy használhatja, más nevében elektronikus levél küldése nem engedélyezett; f) az elektronikus levelező rendszer használata során minimálisra kell csökkenteni annak személyes célokra történő használatát, az elektronikus levelező rendszerrel személyes üzleti tevékenység nem végezhető; g) a téves címzés miatt megkapott levelet bizalmasan kell kezelni, és azt haladéktalanul az eredeti címzettjének vagy a feladójának kell továbbítani; h) a Támogatáskezelő elektronikus levelező rendszerében továbbított üzenetben vagy levélben nem alkalmazható kézi aláírás szkennelt változata. Hatályos: november 1. 15

16 6.3. Kommunikáció biztonságának szabályozása Behatolás védelmi szabályok, tűzfal: a) A Támogatáskezelő a Központi rendszereit tűzfallal vagy azzal egyenértékű tűzfal jellegű berendezéssel (továbbiakban: Tűzfal) köteles védenie annak megakadályozására, hogy kívülről illetéktelen személy a rendszerbe behatolhasson. Az ilyen védelmi feladatot ellátó berendezést a Központi rendszerek részének kell tekinteni. b) A Támogatáskezelő hálózatáról szigorúan tilos bármilyen, a tűzfalat megkerülő kapcsolatot létesíteni nyilvános hálózatokkal (pl.: Internetet modemen keresztül használni). c) Nem nyilvános hálózatokat (pl. banki átutalásokhoz bankterminál használata, BM hálózata) csak ellenőrzött kapcsolaton keresztül szabad használni. d) Az alkalmazott Tűzfal auditáltatását, annak üzembe helyezését követően, külső szakértővel el kell végeztetni. e) Az alkalmazott Tűzfalon változtatást csak a hálózati eszközök Rendszergazdája végezhet, ha azt az IO vezető előzetesen engedélyezte. f) Az alkalmazott Tűzfal berendezésen végrehajtott változásokat a Rendszergazdának dokumentálnia kell (ki és mikor végezte a beavatkozást, mit módosított), és erről a IO vezetőt haladéktalanul értesíteni köteles. g) Az alkalmazott Tűzfal működőképes konfigurációjáról olyan biztonsági másolatot kell készíteni, amelynek segítségével a korábbi működő állapot - szükség esetén - gyorsan előállítható. A biztonsági másolatot a normál mentésekkel együtt tűzbiztos széfben kell eltárolni. h) A Központi rendszereken végzett bármilyen olyan beállítás, amihez Rendszergazdai jogosultság szükséges, csak a Támogatáskezelő területén végezhető. i) Ha a Központi rendszerekhez - rendkívüli esetben - távoli helyről válik szükségessé Rendszergazdai beavatkozás, akkor ez - a megfelelő óvintézkedések (egyszeri jelszó, hívás-viszszahívás eljárás stb.) megtétele mellett végezhető el. j) Biztosítani kell, hogy a Támogatáskezelő Informatikai rendszerének bármely elemén kizárólag csak az arra felhatalmazott Rendszergazda végezhessen Rendszergazdai jogosultsághoz kötött módosításokat. Felhasználók még átmenetileg sem kaphatnak ilyen jogosultságot, kivéve, ha erre az Informatikai vezető vagy az érintett Területi vezető eseti felmentést ad. A felmentésnek tartalmaznia kell a megadásának indokát, érvényességének Hatályos: november 1. 16

17 időtartamát és a megszüntetéséért felelős személy nevét. A felmentésről - mielőtt a jogosultság érvénybe lépne - az üzemeltető cégnek az IO vezetőt értesíteni kell, valamint miután a jogosultság visszavonása végre lett hajtva. k) Megtörtént, vagy folyamatban levő biztonsági incidens észlelésekor a felhasználó haladéktalanul köteles értesíteni az Informatikai Osztályt. A felhasználó nem kísérelheti meg a támadó felderítését, nem tehet ellenlépéseket, kivéve, ha az Informatikai Osztály erre kifejezett utasítást ad. Titkosítás, elektronikus aláírás: a) A Támogatáskezelő tervezi PKI eszközök használatba vételét, ugyanakkor jelenleg nem használ semmilyen titkosítási, vagy elektronikus aláírási megoldást. Amennyiben ilyen eszközök használatát bevezeti a Támogatáskezelő, úgy itt kell leírni az erre vonatkozó rendelkezéseket. 7. Személyekhez kapcsolódó védelmi intézkedések, jogosultsági rendszer előírása 7.1. Általános előírások A Támogatáskezelő biztosítja, hogy minden munkatársa megfelelő hozzáféréssel rendelkezzen a munkaköréhez szükséges informatikai alapszolgáltatásokhoz. A Támogatáskezelő minden munkatársa számára biztosítja a munkakör ellátásához szükséges Alkalmazói szoftverek, illetve az Alkalmazói szoftverek meghatározott részeinek rendeltetésszerű használatát. A jogosultságok felhasználókhoz kötődnek. A felhasználó számára biztosított jogosultság alapján az adatokon végzett minden tevékenységgel és az adatok felhasználásával kapcsolatos minden felelősség a felhasználót terheli. Azon Alkalmazói szoftverek esetében, ahol a szolgáltató egy intézmény részére csak egy (általában az intézmény vezetőjéhez kapcsolt) hozzáférési jogosultságot biztosít, ott a jogosultság továbbadásával érintett felhasználót terhel minden felelősség az adatokon végzett minden tevékenységgel és az adatok felhasználásával kapcsolatban. A Támogatáskezelő gondoskodik arról, hogy az informatikai rendszerében tárolt adatokhoz illetéktelen ne férjen hozzá, adatolvasást, adatmegsemmisítést, adathamisítást ne tudjon végrehajtani A felhasználók kötelezettségeként előírt védelmi intézkedések A Támogatáskezelő informatikai eszközein és hálózati meghajtóin kizárólag a felhasználó munkakörével és munkájával kapcsolatos adatok tárolhatók. A felhasználó saját, munkájával összefüggésbe nem hozható adatait az Informatikai Osztály, vagy a Támogatáskezelő által ezzel megbízott külső személy előzetes felszólítás nélkül törölheti. A felhasználó felel az általa használt informatikai eszközökön tárolt adatok védelméért, így különösen köteles: a) a bizalmasan kezelendő és belső használatú információkat hordozható eszközökön titkosítva tárolni; Hatályos: november 1. 17

18 b) tartózkodni a bizalmasan kezelendő és belső használatú információk kódolatlan külső hálózaton történő küldésétől; c) tartózkodni a jelszavak titkosítás nélküli tárolásától; d) a mobil eszközök valamennyi biztonsági szolgáltatását használni; e) az asztali számítógépet és a hordozható számítógépet jelszóval védeni; f) a felügyelet nélkül hagyott asztali számítógépet és a hordozható számítógépet zárolni. A felhasználó adatkezelését, ideértve különösen az adatok másolását, áthelyezését, továbbítását, fel- és letöltését az Informatikai Osztály a Támogatáskezelő adatbiztonsága érdekében naplófájlban rögzítheti és tárolhatja A Támogatáskezelő informatikai rendszereihez az alábbi hozzáférési csoportokat határozza meg: a) Az Alapszolgáltatás hozzáférés a Támogatáskezelő által meghatározott irodarendszerekhez való hozzáférést biztosítja, ami minden felhasználói munkaállomáson rendelkezésre áll. b) Az Alkalmazói szoftver hozzáférés az Alkalmazói szoftver használatát biztosítja, ami a felhasználói terület erre jogosult munkatársának munkaállomásán rendelkezésre áll. c) Speciális IT szolgáltatás hozzáférés a speciális informatikai szolgáltatások (pl. Internet, Laptop használat) igénybe vételét biztosítja. d) A Rendszergazda hozzáférés a Rendszerszoftverekhez (operációs rendszerek) és a rétegszoftverekhez (adatbázis-kezelők) való hozzáférést biztosítja, ilyen jogosultsággal a kinevezett Rendszergazdák rendelkeznek. e) A Rendszerüzemeltető hozzáférés a Felhasználók Alkalmazói szoftverbeli hozzáférési jogosultság beállítását teszi lehetővé, ilyen jogosultsággal a kinevezett Rendszerüzemeltetők rendelkeznek Név és jelszó konvenciók A Felhasználó név megadását (Felhasználónév) minden alaprendszernél a munkatárs vezetéknevéből és a keresztnevének első karakteréből kell létrehozni, több azonos keresztnevű munkatárs esetében a szükséges megkülönböztetés érdekében a keresztnév további karaktereit kell használni. Ettől az előírástól csak indokolt esetben szabad eltérni. A jelszavakkal kapcsolatos rendelkezéseket (jelszavakkal kapcsolatos biztonsági feltételek, elfelejtett jelszó esetén követendő szabályok) az Infokommunikációs Eszközökről szóló Szabályzat tartalmazza Jogosultságok kiadása A Támogatáskezelő munkatársai számára az egyes rendszerekhez történő hozzáférési jogosultságokat az ITINER-ben kell igényelni, a jogosultságok kiadásával kapcsolatos részletes rendelkezéseket az Infokommunikációs Eszközökről szóló Szabályzat tartalmazza. Hatályos: november 1. 18

19 Jogosultságok módosítása, letiltása Egy munkatárs jogosultságainak bővítése, szűkítése az illetékes területi vezető kezdeményezésére, a főigazgató engedélyével történhet. Meg kell különböztetni, hogy a bővítés vagy szűkítés csak egy adott munkatársat, vagy minden, adott munkakörben dolgozó munkatársat érint-e, és szükség esetén a munkakörökhöz tartozó jogosultsági listát is módosítani kell. A kilépett munkatárs személyes dokumentumainak (pl. levelezés, személyes könyvtár tartalma) CD-re másolásáról a kilépés napjáig a felhasználó kérésére az Informatikai Osztály gondoskodik, és biztosítja, hogy csak a személyes dokumentumok kerülhessenek másolásra. A Felhasználók és Rendszergazdák jogosultságainak megváltoztatását előíró, az Informatikai Osztály vezetője jóváhagyását tartalmazó leveleket, dokumentumokat az Informatikai Osztály lefűzi. 8. Mentés, archiválás 8.1. A hálózati meghajtókon tárolt adatok biztonsága érdekében az adatokról az Informatikai Osztály napi rendszerességgel mentést végez, vagy tükrözött merevlemezekkel (Raid) működő szervereket üzemeltet A legfontosabb adatokról az Informatikai Osztály legalább kéthetente optikai adathordozóra is teljes archiválást végez. Az adathordozókat azonosító sorszámmal látja el és azokról archiválási nyilvántartást vezet Az archiválásokat tartalmazó adathordozókon jól láthatóan és azonosíthatóan fel kell tüntetni a mentett rendszer (adatállomány) nevét, a mentés típusát és idejét, melyeket az archiválási nyilvántartásban is fel kell tüntetni Az archiválásokat tartalmazó adathordozókat a hálózati meghajtók és szerverek adatait tartalmazó adathordozókétól elkülönített helyiségben és épületben, zárt helyiségben vagy szekrényben kell őrizni. 9. Külső elérésekhez kapcsolódó védelmi intézkedések 9.1. A Támogatáskezelő hálózatát elérhetővé kell tenni külső telephelyekről, hogy az itt alkalmazott szoftvereket a fejlesztők, adminisztrátorok elérhessék és a különböző akadályokat, problémákat, hibákat elhárítsák, megoldhassák. VPN felhasználó létrehozásának rendje a következő: A Támogatáskezelői hálózathoz való kapcsolódási szándékot jelezni kell az Informatikai Osztály vezetőjének Az adminisztrátor létrehozza a VPN felhasználót/ jelszót és megosztja az igénylővel Hatályos: november 1. 19

20 a VPN hozzáférés alaphelyzetben le van tiltva, az engedélyezést az címen lehet igényelni az elvégzendő munka leírásával a VPN elérés engedélyezése az adott munkanapra szól, a Támogatáskezelői munkaidőhöz igazítva a VPN elérés csak Támogatáskezelői munkaidőben érhető el, az ezen kívüli használatot külön igényelni kell az Informatikai Osztály vezetőjétől. III. ADATVÉDELMI RENDELKEZÉSEK 1. Szervezetre vonatkozó előírások 1.1 A Támogatáskezelő főigazgatója a) kiadja az Adatvédelmi és Informatikai Biztonsági Szabályzatot; b) kiadja a Közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjéről szóló Szabályzatot; c) felügyeli az adatvédelmi feladatok ellátását; d) felelős a közérdekű, és közérdekből nyilvános adatok szolgáltatására vonatkozó kötelezettség teljesítéséért, annak teljességéért és hitelességéért. 1.2 A jogi igazgató a) szakmailag irányítja, felügyeli és ellenőrzi a Támogatáskezelő adatvédelmi tevékenységét; b) közreműködik és segítséget nyújt az adatvédelemmel kapcsolatos döntések meghozatalában; c) ellenőrzi az adatvédelemmel kapcsolatos jogszabályok és belső szabályzatok rendelkezéseinek és az adatbiztonsági követelmények érvényesülését; d) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót. 1.3 Az önálló szervezeti egység vezetője a) felelős azért, hogy az irányítása alatt álló szervezeti egység(ek)nél az adatkezelés a jogszabályokban és az AIBSZ-ben előírt módon történjék; b) a főigazgató útján gondoskodik a szervezeti egység(ek) által kezelt, az Infotv. hatálya alá tartozó adatoknak az adatvédelmi nyilvántartásba történő bejelentéséről a jogszabályban meghatározott módon; c) felelős azért, hogy a szervezeti egység(ek) által történő adatfeldolgozás során az adatbiztonsági előírások maradéktalanul teljesüljenek. 1.4 Az adatkezelést végző személy a) kezeli és megőrzi a feladata ellátása során birtokába került adatokat; b) ügyel a nyilvántartások biztonságos kezelésére és tárolására; Hatályos: november 1. 20