I. Általános Rész. 1. Az Informatikai Biztonsági Szabályzat célja

Átírás

1 I. Általános Rész A Kisfaludy Károly Megyei Könyvtár Informatikai Biztonsági Szabályzatát (továbbiakban IBSZ) a személyes adatok védelmérıl és a közérdekő adatok nyilvánosságáról szóló többször módosított évi LXIII. törvény, a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló többször módosított évi LXVI. törvény, valamint az államtitok és szolgálati titok számítástechnikai védelmérıl szóló 3/1988. (XI.22.) KSH rendelkezés alapján a következık szerint határozom meg: 1. Az Informatikai Biztonsági Szabályzat célja Az Informatikai Biztonsági Szabályzat alapvetı célja, hogy az informatikai rendszer alkalmazása során biztosítsa az intézménynél (könyvtárnál) az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek az érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát. Az Informatikai Biztonsági Szabályzat célja továbbá: a titok-, vagyon- és tőzvédelemre vonatkozó védelmi intézkedések betartása, az üzemeltetett informatikai rendszerek rendeltetésszerő használata, az üzembiztonságot szolgáló karbantartás és fenntartás, az adatok informatikai feldolgozása és azok további hasznosítása során az illetéktelen felhasználásból származó hátrányos következmények megszüntetése, illetve minimális mértékre való csökkentése, az adatállományok tartalmi és formai épségének megırzése, az alkalmazott programok és adatállományok dokumentációinak nyilvántartása, a munkaállomásokon lekérdezhetı adatok körének meghatározása, az adatállományok biztonságos mentése, az informatikai rendszerek zavartalan üzemeltetése, a feldolgozás folyamatát fenyegetı veszélyek megelızése, elhárítása, az adatvédelem és adatbiztonság feltételeinek megteremtése. a szabályzatban meghatározott védelemnek mőködnie kell a rendszerek fennállásának egész idıtartama alatt a megtervezésüktıl kezdve az üzemeltetésükön keresztül a felhasználásig. A jelen Informatikai Biztonsági Szabályzat az adatvédelem általános érvényő elıírását tartalmazza, meghatározza az adatvédelem és adatbiztonság feltételrendszerét. 2. Az Informatikai Biztonsági Szabályzat hatálya

2 Személyi hatálya Az IBSZ személyi hatálya az intézmény (könyvtár) valamennyi fı- és részfoglalkozású dolgozójára, illetve az informatikai eljárásban résztvevı más szervezetek, mint a HunTéka fejlesztıi karbantartóinak dolgozóira egyaránt kiterjed. Tárgyi hatálya kiterjed a védelmet élvezı adatok teljes körére, felmerülésük és feldolgozási helyüktıl, idejüktıl és az adatok fizikai megjelenési formájuktól függetlenül, kiterjed az intézmény (könyvtár) tulajdonában lévı, illetve az általa bérelt valamennyi informatikai berendezésre, valamint a gépek mőszaki dokumentációira is, kiterjed az informatikai folyamatban szereplı összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési), kiterjed a rendszer- és felhasználói programokra, kiterjed az adatok felhasználására vonatkozó utasításokra, kiterjed az adathordozók tárolására, felhasználására. 3. Az adatkezelés során használt fontosabb fogalmak Személyes adat: a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megırzi e minıségét, amíg kapcsolata az érintettel helyreállítható; Különleges adat: a) a faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyızıdésre, b) az egészségi állapotra, a kóros szenvedélyre, a büntetett elıéletre vonatkozó személyes adat; Közérdekő adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévı, valamint a tevékenységre vonatkozó, a személyes adat fogalma alá nem esı, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy győjteményes jellegétıl; Közérdekbıl nyilvános adat: a közérdekő adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetıvé tételét törvény közérdekbıl elrendeli; Adatkezelı: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket 2

3 meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja. Adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely mővelet vagy mőveletek összessége, így pl. győjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása. Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel rögzítése, valamint a személy azonosítására alkalmas fizikai jellemzık (pl. ujjvagy tenyérlenyomat, DNS minta, íriszkép) rögzítése is. Adattovábbítás: ha az adatot meghatározott harmadik fél számára hozzáférhetıvé teszik. Nyilvánosságra hozatal: ha az adatot bárki számára hozzáférhetıvé teszik; Adatfeldolgozás: az adatkezelési mőveletek, technikai feladatok elvégzése, függetlenül a mőveletek végrehajtásához alkalmazott módszertıl és eszköztıl, valamint az alkalmazás helyétıl. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkezı szervezet, aki vagy amely az adatkezelı megbízásából személyes adatok feldolgozását végzi. Adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége. Adatbiztonság: az adatkezelı, illetıleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetıleg sérülés vagy a megsemmisülés ellen. 4. Az IBSZ biztonsági fokozata Intézményünk alapbiztonsági fokozott biztonsági fokozatba tartozik. Intézményünk általános informatikai feldolgozást végez. 5. Kapcsolódó szabályozások Az Informatikai Biztonsági Szabályzatot az alábbiakban felsorolt elıírásokkal összhangban kell alkalmazni: Szervezeti és Mőködési Szabályzat, Bizonylati rend, Leltárkészítési és leltározási szabályzat, Felesleges vagyontárgyak hasznosításának és selejtezésének szabályzata, Belsı ellenırzési kézikönyv, Folyamatba épített elızetes és utólagos vezetıi ellenırzés rendszere. 3

4 6. Védelmet igénylı, az informatikai rendszerre ható elemek Az informatikai rendszer egymással szervesen együttmőködı és kölcsönhatásban lévı elemei határozzák meg a biztonsági szempontokat és védelmi intézkedéseket. Az informatikai rendszerre az alábbi tényezık hatnak: a környezeti infrastruktúra, a hardver elemek, az adathordozók, a dokumentumok, a szoftver elemek, az adatok, a rendszerelemekkel kapcsolatba kerülı személyek. A védelem tárgya A védelmi intézkedések kiterjednek: a rendszer elemeinek elhelyezésére szolgáló helyiségekre, az alkalmazott hardver eszközökre és azok mőködési biztonságára, az informatikai eszközök üzemeltetéséhez szükséges okmányokra és dokumentációkra, az adatokra és adathordozókra, a megsemmisítésükig, illetve a törlésre szánt adatok felhasználásáig, az adatfeldolgozó programrendszerekre, valamint a feldolgozást támogató rendszer szoftverek tartalmi és logikai egységére, elıírásszerő felhasználására, reprodukálhatóságára, a személyhez főzıdı és vagyoni jogokra. A védelem eszközei A mindenkori technikai fejlettségnek megfelelı mőszaki, szervezeti, programozási, jogi intézkedések azok az eszközök, amelyek a védelem tárgyának különbözı veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elısegítik, illetve biztosítják. 7. A védelem felelıse A védelem felelıse az igazgató, rendszergazda. A jelen szabályzatban foglaltak szakszerő végrehajtásáról az intézmény (könyvtár) adatvédelmi felelısének kell gondoskodnia. 8. A védelmet igénylı adatok és információk osztályozása, minısítése, hozzáférési jogosultság 4

5 Az adatokat és információkat jelentıségük és bizalmassági fokozatuk szerint osztályozzuk: közlésre szánt, bárki által megismerhetı adatok, minısített, titkos adatok. Az informatikai feldolgozás során keletkezı adatok minısítıje annak a szervezeti egységnek a vezetıje, amelynek védelme az érdekkörébe tartozik. Különös védelmi utasítások és szabályozások nem mondhatnak ellent a törvények és a jogszabályok mindenkori elıírásainak. A könyvtári titoknak minısülı adatok feldolgozásakor meg kell határozni írásban és névre szólóan a hozzáférési jogosultságot. A kijelölt dolgozók elıtt a titokvédelmi és egyéb szabályokat, a betekintési jogosultság terjedelmét, gyakorlási módját és idıtartamát ismertetni kell. Alapelv, hogy mindenki csak ahhoz az adathoz juthasson el, amire a munkájához szüksége van. Az információhoz való hozzáférést a tevékenység naplózásával dokumentálni kell, ezáltal bármely számítógépen végzett tevékenység adatbázisokhoz való hozzáférés, a fájlba vagy mágneslemezre történı mentés, a rendszer védett részeibe történı illetéktelen behatolási kísérlet utólag visszakereshetı. A naplófájlokat havonta át kell tekinteni, s a jogosulatlan hozzáférést vagy annak a kísérletét az intézmény vezetıjének azonnal jelenteni kell. A naplófájlok áttekintéséért, értékeléséért a rendszergazda felelıs. Minden dolgozóval, aki az adatok győjtése, felvétele, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése során információkhoz jut adatkezelési nyilatkozatot kell aláíratni. (1. sz. melléklet) Az adatkezelési nyilatkozat naprakészen tartásáért az igazgató és a rendszergazda felelıs. A titkot képezı adatok védelmét, a feldolgozás az adattovábbítás, a tárolás - során az operációs rendszerben és a felhasználói programban alkalmazott logikai matematikai, illetve a hardver berendezésekben kiépített technikai megoldásokkal is biztosítani kell (szoftver, hardver adatvédelem). 9. Az informatikai eszközbázist veszélyeztetı helyzetek Az információk elıállítására, feldolgozására, tárolására, továbbítására, megjelenítésére alkalmas informatikai eszközök fizikai károsodását okozó veszélyforrások ismerete azért fontos, hogy felkészülten megelızı intézkedésekkel a veszélyhelyzetek elháríthatók legyenek. Környezeti infrastruktúra okozta ártalmak Elemi csapás: földrengés, árvíz, 5

6 tőz, villámcsapás, stb. Környezeti kár: légszennyezettség, nagy teljesítményő elektromágneses térerı, elektrosztatikus feltöltıdés, a levegı nedvességtartalmának felszökése vagy leesése, piszkolódás (pl. por). Közüzemi szolgáltatásba bekövetkezı zavarok: feszültség-kimaradás, feszültségingadozás, elektromos zárlat, csıtörés. Emberi tényezıre visszavezethetı veszélyek Szándékos károkozás: behatolás az informatikai rendszerek környezetébe, illetéktelen hozzáférés (adat, eszköz), adatok- eszközök eltulajdonítása, rongálás (gép, adathordozó), megtévesztı adatok bevitele és képzése, zavarás (feldolgozások, munkafolyamatok). Nem szándékos, illetve gondatlan károkozás: figyelmetlenség (ellenırzés hiánya), szakmai hozzá nem értés, a gépi és eljárásbeli biztosítékok beépítésének elhanyagolása, a jelszó gyakori (napi, heti) megváltoztatásának az elmulasztása, a megváltozott körülmények figyelmen kívül hagyása, illegális másolattal vírusfertızött adathordozó behozatala, biztonsági követelmények és gyári elıírások be nem tartása, adathordozók megrongálása (rossz tárolás, kezelés), a karbantartási mőveletek elmulasztása. A szükséges biztonsági-, jelzı és riasztó berendezések karbantartásának elhanyagolása veszélyezteti a feldolgozás folyamatát, alkalmat ad az adathoz való véletlen vagy szándékos illetéktelen hozzáféréshez, rongáláshoz. 10. Az adatok tartalmát és a feldolgozás folyamatát érintı veszélyek Tervezés és elıkészítés során elıforduló veszélyforrások a rendszerterv nem veszi figyelembe az alkalmazott hardver eszköz lehetıségeit, hibás adatrögzítés, adatelıkészítés, az ellenırzési szempontok hiányos betartása. A rendszerek megvalósítása során elıforduló veszélyforrások 6

7 hibás adatállomány mőködése, helytelen adatkezelés, programtesztelés elhagyása. A mőködés és fejlesztés során elıforduló veszélyforrások emberi gondatlanság, szervezetlenség, képzetlenség, szándékosan elkövetett illetéktelen beavatkozás, illetéktelen hozzáférés, üzemeltetési dokumentáció hiánya. 11. Az informatikai eszközök környezete, azok védelme A szerverszoba minimális igénye a szerverszobát a legbiztonságosabb, legvédettebb területre kell telepíteni, a lehetı legkevesebb nyílászáróval kell rendelkeznie, a szerver(ek) miatt célszerő klímaberendezést mőködtetni, váratlan áramkimaradás esetén a szerver(eke)t intelligens UPS sel kell ellátni (szünetmentes tápegység), mellyel az áramkimaradás folyamatosságát biztosítani lehet. A munkaállomásokra vonatkozó elıírás Csak zárható helyiségben szabad tárolni. Ha a helyiségben nem tartózkodik senki, az ajtót bezárva kell tartani. Egyéb vagyonvédelmi elıírások a gépterem (szerverszoba) külsı és belsı helyiségeit biztonsági zárakkal kell felszerelni, csak az illetékes dolgozók tartózkodhatnak a szerverszobában, a szerverszoba kulcsának felvétele illetve leadása csak aláírás ellenében történhet, a számítógépek monitorát úgy kell elhelyezni, hogy a megjelenı adatokat illetéktelen személyek ne olvashassák el, a szerverszobába történı illetéktelen behatolás tényét az intézmény vezetıjének azonnal jelenteni kell, az informatikai eszközöket csak a kijelölt dolgozók használhatják, az informatikai eszközök rendeltetésszerő mőködéséért a felhasználó felelıs. 12. Az informatikai rendszer alkalmazásánál felhasználható védelmi eszközök és módszerek A gépterem (szerverszoba) védelme Elemi csapás (vagy más ok) esetén a gépteremben bekövetkezett részleges vagy teljes károsodáskor az alábbiakat kell sürgısen elvégezni: menteni a még használható anyagot, biztonsági mentésekrıl, háttértárakról a megsérült adatok visszaállítása, 7

8 új adatfeldolgozás, helyiségek kialakítása, archivált anyagok (ill. eszközök) használatával folytatni kell a feldolgozást. Hardver védelem A berendezések hibátlan és üzemszerő mőködését biztosítani kell. A mőködési biztonság megóvását jelenti a szükséges alkatrészek beszerzése. Az üzemeltetés, karbantartás és szervizelés rendjét külön utasításban kell szabályozni. A karbantartási munkákat tervezetten, körültekintıen és gondosan kell elvégezni. A munkák szervezésénél figyelembe kell venni: Az informatikai feldolgozás folyamatának védelme 1. A szabályzat célja II. A szabályzat célja és hatálya Az informatikai szabályzat (a továbbiakban IBSZ) a számítástechnikai eszközök és számítástechnikai programok használatának általános érvényő szabályait tartalmazza. Továbbá szabályozza az IBSZ mellékleteiként elkészítendı konkrét felhasználói szabályzatok (a továbbiakban FSZ) elkészítésének és publikálásának szabályait. A FSZ-ok tartalmazzák azokat az informatikai szabályokat, amelyek a mindennapi munkához igazodva dinamikusan változnak. Az FSZ-re vonatkozó szabályokat az ISZ 5. Pontja tartalmazza. Az FSZ-ban rögzített szabályokat az ISZ részeként kell tekinteni. A szabályzat hatálya A szabályzat személyi hatálya kiterjed: a könyvtár valamennyi fı- és másodállású, mellék- és részfoglalkozású dolgozójára, polgári szolgálatos vagy közhasznú foglalkoztatottjára (továbbiakban együtt: munkatársak), valamint más szervezeti egységek azon dolgozóira is, akik a könyvtár számítástechnikai rendszereinek mőködése során az egység számítástechnikai erıforrásait használják. tárgyi hatálya kiterjed: a könyvtár használatában levı összes számítástechnikai hardver eszközre, berendezésre, számítógépes programokra, a védelmet élvezı adatokra, függetlenül fizikai megjelenési formáiktól, feldolgozási helyüktıl, az eszközök dokumentációira, leírásaikra, a kezelési és mőködtetési elıírásokra. 8

9 2. Számítógépek, számítógépes rendszerek (hadverek) Számítógépek (hardverek) Beszerzése, telepítése, nyilvántartása Hardvernek nevezzük a számítástechnikai gépeket, berendezéseket, azok alkotóelemeit valamint a gépeket összekötı kábeleket, elektromos huzalokat. Beszerzés telepítés A számítógépek beszerzését a könyvtár reális igényei és a hozzájuk kapcsolódó feladatok pontos ismeretében lehet elvégezni. Körültekintıen kell felmérni a jelenlegi feladatokon kívül a jövıben jelentkezı feladatokat is. A számítógépek telepítését, üzembe helyezését szakembernek kell végeznie. (A szakember lehet az Intézmény alkalmazottja, a gépet forgalmazó cég szakembere, vagy egy harmadig cég szakembere is.) A gépek üzembe helyezése (installálása) után gondoskodni kell a hozzájuk tartozó telepítı lemezek és dokumentációk gondos megırzésérıl. A telepítı lemezeket és eredetiséget tanúsító igazolásokat a beszerzést lebonyolító, illetve a mőszaki karbantartást és felügyeletet ellátó szervezeti egység ırzi meg (Gazdasági Osztály a továbbiakban GO), Informatikai Részleg (a továbbiakban IR). A jogtiszta újratelepítésekrıl az IR-nek, az eredetiség és legalitás tanúsításáról a GO-nak kell gondoskodnia. Üzemeltetés biztonsági szabályai Üzembiztonság A nyilvánosan elhelyezett számítógépek rendeltetésszerő mőködtetéséért az adott helyen szolgálatban levı munkatárs a felelıs. Üzemeltetési probléma esetén kezdeményeznie kell a probléma elhárítását a kompetens személyeknél (osztályvezetı, IR munkatársai stb.). Bármely számítógépet csak a könyvtári dolgozó kapcsolhatja be és ki. A munkahelyen elhelyezett személyi számítógépek vagy a számítógép-terminálok biztonságos mőködtetéséért a dolgozók felelısek. Ennek értelmében gondoskodni kell a dolgozók folyamatos szakmai oktatásáról, továbbképzésérıl. A gépek elhelyezésekor figyelembe kell venni az elektromos berendezések elhelyezésére vonatkozó elıírásokat, a tőzvédelmi, valamint az ergonómiai szempontokat is. Tőzvédelem A számítástechnikai eszközök általános vagyon- és tőzvédelmére az Országos Építésügyi Szabályzat és a 35/1996. ( XII.29.) BM rendelete érvényes. 9

10 Tekintettel arra, hogy a gépek felépítésében sok gyúlékony anyag is található, a számítógépek közelében speciális tőzoltó készülékeket célszerő elhelyezni. Ugyancsak biztosítani kell vészhelyzet esetére a menekülési útvonalakat. A számítástechnika alkalmazása során sok gyúlékony adathordozó (hajlékony mágneslemezek, leporellók, stb.) felhasználására is sor kerül. Az adathordozók biztonságos tárolása érdekében javasolt, hogy a számítógéppel felszerelt helyiség és az adattároló helyiség elkülöníthetı legyen. Azokat az adatállományokat, amelyek megsemmisülése jelentıs anyagi illetve erkölcsi kárt okozna, legalább két példányban kell ırizni, amelybıl az egyik példányt az adattároló helyiségtıl elkülönítetten, tőzbiztos páncélszekrényben kell ırizni. Ezen adatállományok kijelölése az intézményvezetı és a rendszergazda feladatai közé tartoznak. Ezek a alá esı dokumentumok. 24 órás üzemmódban (szerverként) mőködı számítógépek tőzvédelmi szempontból biztonságos elhelyezésérıl gondoskodni kell. A helyiség füstjelzıvel felszerelt helyiségben üzemel. 3. Számítógépes programok (szoftverek) Alapfogalmak, jogi környezet A számítástechnikai berendezéseket mőködtetı programokat szoftvereknek nevezzük. A szoftverek között megkülönböztetünk operációs rendszereket, és felhasználói programokat. Az operációs rendszert a gépek ugyanolyan tartozékának kell tekinteni, mint annak hardver elemeit, ugyanis e nélkül a számítógép nem használható. A felhasználói programok a könyvtárban: -a szoftver és hardver eszközök szervizelését, karbantartását, üzemeltetését, használati kényelmét, védelmét szolgáló segédprogramok (pl. fájlkezelık, diagnosztikai stb.), - irodai alkalmazások (szövegszerkesztık, táblázatkezelık, szöveg- és képdigitalizálók), - szakmai adatkezelı programok (HunTéka, NanLIB), - adatokat tároló (adatbázis-) programok (pl. jogtárak, telefonkönyvek, szótárak stb.), - hálózati kommunikációs programok (ftp-program, browser-porgram stb.), - egyéb felhasználói programok (képnézı, tömörítı stb.). Itt emeljük ki a szerzıi jogról szóló évi LXXVI. törvény számítógépes programok védelmére vonatkozó részét. A vonatkozó jogszabályok megfelelı betartásának ellenırzését külön jogosítványokkal ellátott nemzetközi szervezet végzi. Figyelmet kell fordítani arra, hogy a könyvtárban használt valamennyi szoftver megfeleljen a szerzıi és szomszédos jogokról szóló jogszabályoknak (Mulasztással 10

11 kapcsolatos jogkövetkezmény: Büntetı Törvénykönyvrıl szóló évi IV. törvény 329/A. ). Minden munkatársnak tisztában kell lennie a Könyvtárban leggyakrabban használt szoftverjogi kategóriákkal, illetve azzal, hogy az általa használt szoftvertermék ezek közül mely kategóriába tartozik: a. Shareware (teljes, funkció- és/vagy idıkorlátos változatok) - szabadon terjesztett, szerzıi jogokkal védett program, használata regisztráció- és díjfizetés-köteles, más szoftverkategóriába átsorolható. A névjegy adatai, a licencfeltételek vagy maga a program indításkor a regisztrációs kötelezettségre figyelmeztet. b. Demo - általában szabadon terjesztett, regisztrációs és díjfizetési kötelezettség nélkül felhasználható program. A program szerzıi jogokkal védett, a demonstrált programhoz képest csökkentett/korlátozott szolgáltatásokkal. c. Freeware - szabadon terjesztett, regisztrációs és díjfizetési kötelezettség nélkül felhasználható program. A programért a szerzı általában nem vállal felelısséget, jogairól - a módosításéról is - lemondott, de a program más kategóriába még átsorolható. d. Public Domain - mint a freeware, de nem sorolható át, közpréda. e. Kereskedelmi program - hagyományos értékesítési csatornákon terjesztett program (kivéve béta-verzióit!), szerzıi jogok védik. Beszerzésekor az eladónak a vevı megfizeti a díjat, a vétel számlával (és egyéb módon is: eredeti telepítı lemezek, licencjegy stb.) igazolható. f. Egyedi programfejlesztés (szerzıdés alapján) - a fejlesztı hitelt érdemlı nyilatkozata szerint (egyedi megállapodás alapján) használható program. Programok Beszerzése, telepítése, nyilvántartása Beszerzés, telepítés általános szabályai A programok beszerzése elıtt meg kell vizsgálni azokat a feladatokat, amelyeket a programmal kívánunk megoldani. A feladat jellegétıl függıen szükséges lehet az érintett alkalmazáshoz rendelt szoftvertermék szakértık által történı véleményeztetése is. Minden esetben figyelembe kell venni az alábbiakat: a szoftvert gyártó cég rendelkezik-e megfelelı referenciákkal, akik használják már a programot, vagy annak valamelyik korábbi változatát, funkcionálisan kielégíti-e a könyvtár illetve a feladat igényeit. Tartalmazzae mindazokat az eljárásokat, megoldásokat, amelyekre az adott témakörben a könyvtárnak szüksége van. Nem tartalmaz-e feleslegesen sok egyéb funkciót is, amelyek nehézkessé teszik felhasználását, költségessé a bevezetését, milyen "support" tartozik hozzá: a gyártó cég milyen segítséget tud nyújtani a program bevezetésében és az üzemeltetés során felmerülı hibák, üzemzavarok elhárításában, milyen hardvert igényel a program üzemeltetése, 11

12 milyen létszámú és milyen felkészültségő kezelıszemélyzetre van szükség, biztosított-e a szoftver nyomkövetése, ami azt jelenti, hogy ügyviteli szoftverek esetében a jogszabályváltozásokat vagy más alkalmazói igényeket nyomon követik-e, az így születı új verziókat milyen feltételek mellett bocsátják a könyvtár rendelkezésére, amennyiben a könyvtárnak egyedi programmódosítási igényei lennének, azt a gyártó vállalja-e és milyen feltételek mellett, a program nyújtotta szolgáltatások arányban vannak-e a szoftver árával (összehasonlítva más, viszonyítási alapot képezı termék paramétereivel és árával). Az új szoftverek beszerzésének elıkészítésébe be kell vonni az illetékes terület (osztály) felelısét, hiszen ı tudja megítélni, hogy a program az elvárásainak megfelel-e. Ajánlott bevonni a program kiválasztásába egy független, az adott program eladásában nem érdekelt szakembert. A beszerzésnél tisztázni kell, hogy az adott programot hányan és hány számítógépen fogják használni. A megvásárolandó licencek számát ennek megfelelıen kell kialakítani. Telepítés uninstall Az e. és f. kategóriájú szoftverek telepítését vagy újratelepítését csak az IR munkatársa vagy az általa megbízott szakember végezheti el. A fent megjelölt személyek a telepítéshez főzıdı jogukat átruházhatják, de ebben az esetben a telepítéssel és a program üzemszerő futtatásával kapcsolatos felelısség is a megbízott, telepítést végzı személyt terheli. Internet-rıl letöltött vagy bármely külsı forrásból beszerzett szoftverek telepítése kizárólag az IR munkatársainak tudtával, és a rendszergazda engedélyével történhet. Nyilvántartás, jogi felelısség A szoftverek kategóriáit az ISZ 3.1 pontja rögzíti. A gépeken legálisan telepített e. és f. kategóriájú szoftverekrıl az IR-nek olyan nyilvántartást kell vezetnie (a továbbiakban SZNY), amelybıl kiderül, hogy melyik gépen milyen. e. és f. kategóriájú szoftver van telepítve. Kivéve azokat a szoftvereket, amelyeknél a használat nem géphez kötött. Például azok a szoftverek, amelyeket: A könyvtár összes gépén jogosult használni és errıl külön szerzıdés van. Ilyen például az HunTéka integrált könyvtári rendszer. A könyvtár egy idıben egyszerre csak meghatározott számú gépen futtathat és ennek a betartatása szoftveres, vagy elektronikus úton biztosított. Ilyen például a NanLIB integrált könyvtári rendszer ellátórendszeri változata. (Hardverkulcs biztosítja az egy idıben történı futtatások számának korlátozását.) Az egyéb kategóriájú (nem e. és nem f. kategóriájú) és a fentiekben említett SZNYban nem szereplı szoftverek jogtisztaságáért jogilag az adott számítógépet használó nevesített személy(ek) a felelısek. Amennyiben nincs a gépet használók közül 12

13 írásban rögzített a szoftverhasználatért felelıs nevesített személy, úgy az adott gép közös használatú gépnek minısül. Közös használatú gép esetén (ha az adott osztályon nincs írásban rögzített a gépért felelıs nevesített személy) az az osztályvezetı felelıs a fenti szoftverek jogtisztaságáért, akinek az osztályán az adott számítógép található. 4. Üzemeltetés biztonsági szabályai Üzemeltetési rend Új program bevezetése esetén nagy hangsúlyt kell fektetni a programot mőködtetı személyek feladatainak pontos leírására, a kezelıszemélyzet szakszerő kiképzésére. egyúttal el kell készíteni a kezelési útmutatókat és mőködtetési szabályzatokat (FSZ), melyeket a programot kezelı személyzetnek be kell tartani. A FSZ-tal kapcsolatos kérdésekrıl az IBSZ külön része rendelkezik. Vírusvédelem A vírusfertızések elkerülése érdekében az alábbi szabályok betartása kötelezı: Csak megfelelıen ellenırzött dokumentumokat, adatokat és szoftvereket szabad használni. Az FSZ erre vonatkozó rendelkezéseit minden munkatársnak kötelessége megismerni és maradéktalanul betartani. Idegen forrásból származó (bármely nem a könyvtár számítógépein elıállított) bármely úton a könyvtári informatikai rendszerében felhasználásra kerülı dokumentációkat, szoftvereket, és egyéb fájlokat csak a FSZ-ben rögzítettek alapján lehet felhasználni. Ha az idegen forrásból felhasználni kívánt fájltípusról az FSZ külön nem rendelkezik, akkor az csak a rendszergazda külön engedélyével használható fel. A munkaállomások vírusvédelmére a kritikus gépekben védelmi kártya lett beszerelve Fertızés esetén gondoskodni kell a fertızött terület vagy gép izolálásáról. Meg kell akadályozni, hogy a vírus a teljes rendszeren elterjedjen. Amennyiben felmerül akár csak a gyanú is felmerül, hogy egy adott számítógép vírussal fertızött az alábbiakat szigorúan be kell tartani: A számítógépet azonnal le kell kapcsolni. Azonnal értesíteni kell az IR valamelyik munkatársát. A számítógépet a hiba elhárításáig a LAN-ból ki kell iktatni. A hiba szakember által történı elhárításáig senki nem használhatja a gépet. A vírusvédelemre vonatkozó szabályok be nem tartása súlyos fegyelmi vétségnek minısül, mivel adott esetben egy vírus rendszerbe kerülése akár a könyvtár teljes informatikai rendszerének lebénulását, tönkremenetelét is okozhatja és ezáltal veszélyeztetheti a könyvtár mőködıképességét. Az ezt érintı fegyelmi vétség szankcionálása az intézményvezetı hatáskörébe tartozik. 13

14 Adatvédelem (illetéktelen hozzáférések megakadályozása) Alapszabály, hogy a feldolgozási rendszerben tárolt adatokhoz csak a könyvtár dolgozói, illetve az intézet munkatársai férhetnek hozzá. Ez a kör indokolt esetben bıvíthetı vagy szőkíthetı. Az adathordozók selejtezésénél, ha az azokon tárolt adatok indokolják, be kell tartani az okiratok, okmányok selejtezésére vonatkozó elıírásokat. Bizalmas adatokat, felhasználói és rendszerprogramokat tartalmazó adathordozókról a selejtezésük elıtt, megfelelı szoftver segítségével le kell törölni az adatokat, vagy az adathordozót fizikailag meg kell semmisíteni. Sokszorosítást és másolást csak az érvényben lévı rendelkezések betartásával lehet készíteni. A programokat a minısítésüknek megfelelıen kell tárolni és nyilvántartani. Ennek folyamán az illetékes hozzáférést biztosítani kell, míg az illetéktelen próbálkozásokat ki kell zárni. Biztonsági másolatok, (védelem adatvesztés ellen) Központi adatarchiválás A könyvtárban keletkezett adatok archiválását rendszeresen el kell végezni. Az archiválandó adatok körét a könyvtárvezetı és a rendszergazda az adatot elıállító/rögzítı munkatárs javaslata alapján határozzák meg. A központi archiválásról a rendszergazdának kell gondoskodnia. A központilag archivált rendszerek, könyvtárak, fájlok aktuális jegyzéke az FSZ-ben mindig megtalálható. A könyvtárban használt integrált könyvtári rendszerekrıl (HunTéka, NanLIB) minden munkanap végén automatikusan teljes biztonsági mentés készül. Egyedi adatarchiválás Minden központilag archiválásra nem kerülı fájl biztonsági mentésérıl a fájlt elıállító, vagy a fájlt használó személynek kell gondoskodnia. Ezeknek az anyagoknak az archiválásáért kizárólag az adatokat elıállító, vagy azokat felhasználó személy a felelıs. 5. A Felhasználó Szabályzat (FSZ) elkészítésének és publikálásának szabályai FSZ célja Szabályozni minden olyan informatikával kapcsolatos kérdést: amire az IBSZ nem tér ki, vagy az IBSZ-ban nincs teljes mértékben kifejtve, mert az ISZ csak az erre vonatkozó irányelveket tartalmazza, 14

15 vagy az ISZ azért nem tér ki rá, mert a napi munka során viszonylag gyakran változik a tartalma. FSZ készítésének szabályai Minden olyan informatikával kapcsolatos kérdést, megállapodást, felhasználói szabályt vagy irányelvet, ami az IBSZ-ban nincs teljes mértékben szabályozva és osztályon belül több dolgozót, vagy több osztály dolgozóit érinti az FSZ-ban kell rögzíteni. Az FSZ hatálya alá tartozik például: Minden az HunTékat-át és a NanLIB-et érintı kezelési adatrögzítési szabály, megállapodás. CD használati szabályzat Internet használati szabályzat Vírusvédelmi szabályzat Elektronikus irattári szabályzat Elektronikus levelezéssel kapcsolatos elıírások. (Pl. ki kaphat címet ) Számítógépek használati szabályzata (Pl. Ki melyik gépen mit használhat.) A FSZ adott részét mindig valamely olyan osztály munkatársának kötelessége elkészítenie amely osztályt érinti az adott szabály. A FSZ adott részét elkészítı dolgozó személyérıl az adatott szabályt érintı osztályvezetıknek kell rendelkeznie. Az osztályvezetık felelısek azért, hogy minden az ISZ-ben nem szabályozott az FSZ hatályába tartozó kérdésrıl FSZ, a legrövidebb idın belül dokumentáció készüljön. Amennyiben az adott szabályozás több osztályt is érint, akkor minden érintett osztályvezetınek biztosítani kell, hogy már a tervezetet is megismerjék egyeztetés céljából az adott osztály munkatársai. FSZ publikálása (nyilvános hozzáférés biztosítása) Publikálásra csak jóváhagyott szabály kerülhet. Jóváhagyottnak csak az a szabály minısül, amit a könyvtár igazgatója, igazgatóhelyettese és a rendszergazda is látott. A FSZ publikálása a könyvtár helyi hálózatán elektronikus formában történik. A tényleges publikálás a rendszergazda feladata. A jóváhagyott megfelelı elektronikus formában elkészített dokumentumot a rendszergazdához kell eljuttatni, akinek azt a lehetı legrövidebb idın belül elérhetıvé kell tennie. Az új szabály az elérhetıvé tétellel egy idıben azonnal hatályba lép. Kivéve, ha errıl nem történik más rendelkezés. A publikálásról a rendszergazdának minden osztályvezetıt azonnal elektronikus formában (pl. ) értesítenie kell, megjelölve az FSZ-ban változtatásra kerülı vagy új pontokat. (pl. Változott: FSZ as szabály, Új: FSZ szabály) Az osztályvezetıknek pedig az érintett munkatársakat kell értesíteniük a változásokról. A hatályba lépést követıen az adott szabályt minden munkatársnak kötelessége megismerni és betartani. 15

16 Záró rendelkezések Ez a belsı szabályzat jóváhagyása napján lép hatályba és mellékletét képezi a könyvtár Szervezeti és Mőködési Szabályzatának. Tartalmát minden könyvtári munkatárs köteles megismerni és betartani. Amennyiben magasabb szintő szabályozás, utasítás e szabályzat elıírásainak ellentmond, az ezt észlelı munkatárs köteles a tényre a könyvtárvezetı figyelmét felhívni. A szabályzatot rendszeresen felül kell vizsgálni, és adaptálni az információtechnológiai, biztonságtecnikai, szolgáltatáspolitikai változásoknak megfelelıen. A munkatársaktól nem a szabályzat irányelveinek mechanikus alkalmazását kell elvárni, hanem a szakértelmüknek, tájékozottságuknak és az adott döntési helyzetnek megfelelı, a szervezet érdekeit messzemenıen figyelembe vevı cselekvést. Ennek érdekében a humán erıforrás folyamatos továbbképzését, felkészítését biztosítani kell. Gyır, január 1. dr. Horváth József igazgató Papp Nándor rendszergazda 16