NYUGAT-MAGYARORSZÁGI EGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

Átírás

1 NYUGAT-MAGYARORSZÁGI EGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZAT SOPRON 2009

2

3 PREAMBULUM (1) Az informatikai rendszerek üzemeltetése során a veszélyeket teljes mértékben megszüntetni nem lehet. A veszélyeztetettség kockázati tényez, amellyel számolnunk kell, de állandóan törekedni szükséges a kockázatok kezelhet mértékre történ leszorítására. Ez azt jelenti, hogy e tényezket folyamatos kontroll alatt tartjuk, lehetség szerint minimalizáljuk. (2) A szabályozás hármas feladatot lát el: megelzés a kár elkerülése, folyamatos figyelés az idben történ észlelés érdekében és bekövetkezés esetén gyors és hatékony reakció/beavatkozás a kár minimalizálása érdekében. (3) A megelz kontrollok közé tartoznak azon technikák, melyekkel megpróbáljuk elkerülni egy adott veszélyhelyzet bekövetkezését. Ide tartoznak a szabályozások is, hiszen alapveten ezek is megelz rendelkezéseket tartalmaznak. Az észlel kontrollok lényege, hogy minél elbb felismerjék a nem kívánt esemény bekövetkezését, és így korlátozható legyen annak káros hatása. Ez azonban csak úgy lehetséges, ha a veszély felismerését elre megtervezett, hatékony cselekvés-sorozat követi. (4) Jelen Informatikai Biztonsági Szabályzat arra hivatott, hogy a Nyugat-magyarországi Egyetemen (a továbbiakban: egyetem) mköd informatikai rendszerekre specializálva - a megelz kontrollok definiálásával - csökkentse az informatikai biztonsági kockázatok bekövetkezésének valószínségét, az észlel kontrollok meghatározásával a legnagyobb biztonsággal tegye felderíthetvé a vészhelyzeteket és a reakció kontrollokon keresztül a lehet leghamarabb szüntesse meg a bekövetkezett káros esemény hatását.

4 Alapfogalmak, definíciók 1. (1) EIK, IK Az Egyetemi Informatikai Központ (a továbbiakban: EIK) az egyetem önálló központi szervezeti egysége. Az EIK feladata az egyetem egységes informatikai rendszerének, számítógép-hálózatának, informatikai erforrásainak üzemeltetése és fejlesztése, az informatikai biztonság megvalósítása. Az EIK szakmai felügyelete alatt mködnek a soproni, gyri, mosonmagyaróvári, székesfehérvári, szombathelyi Kari Informatikai Központ (továbbiakban: IK). Kari Informatikai Központ alatt a Szombathelyen mköd Savaria Egyetemi Központ esetében a Minségfejlesztési és Informatikai Központot kell érteni. Az EIK felügyeletét az általános rektorhelyettes látja el. Az EIK vezetje az igazgató. Az EIK a Szenátus által jóváhagyott ügyrendje alapján mködik. A karokon mköd IK-tok üzemeltetik, fejlesztik a kari feladatokat ellátó informatikai rendszereket a kari informatikai infrastruktúrát. A karokon - amennyiben van önálló IK - az IBSZ betartásáért az IK vezetje a felels, minden más területen az EIK igazgatója. Az EIK biztosítja az NYMENET optimális, költséghatékony mködtetését. Az EIK az IK-okkal szorosan együttmködnek az üzemeltetés, fejlesztés, az informatikai biztonság megtervezésében, kivitelezésében. Az EIK biztosítja, hogy az NYMENET az egyetem minden karán közel azonos technikai, biztonsági szinten tudja kiszolgálni a felhasználók igényeit. Az IBSZ az EIK-et és a karokon mköd IK-okat egy egységnek tekinti és az EIK megnevezést használja a továbbiakban. Az EIK vezeti alatt az EIK igazgatója, ill. az IK-ok vezeti értendk. (2) IBSZ Az Informatikai Biztonsági Szabályzat (a továbbiakban: IBSZ) azokat a betartandó szabályokat tartalmazza, amelyek alapján az egyetem informatikai infrastruktúrája biztonságosan üzemeltethet. Az IBSZ-ben foglaltak a felhasználók és rendszergazdák számára kötelez érvények, beleértve a szervezetileg az egyetemhez nem tartozó, de szolgáltatásait közvetlenül vagy közvetve igénybe vev személyeket, beleértve a számítógépes programokon keresztül való igénybevételt is. Jelen IBSZ az EIK biztonsági politikáját, fbb irányelveit, a konkrét szabályokat illetve a mellékleteket és hivatkozásokat együtt tartalmazza. A részek egymástól el nem különíthet szerves egészet alkotnak. (3) NYMENET Az NYMENET az egyetem számítógépes hálózata. Az NYMENET több városra kiterjed, egy egységet alkotó egyetemi informatikai hálózat. Az NYMENET-et az EIK üzemelteti és fejleszti. Ezen szabályzat az egyetemi SzMSz informatikai szabályzataival együtt a teljes NYMENET-re érvényes. A karokon az NYMENET-re vonatkozó elírások betartásáért, a szükséges feladatok elvégzéséért, az üzemeltetéséért, az informatikai biztonságért az IK vezetje a felels, minden más területen az EIK igazgatója. Az NYMENET részét képezik a következk: (a) Passzív adatátviteli vonalak (Ethernet, FDDI, ATM, GigabitEthernet szegmensek, optikai és hagyományos összeköttetések, amelyek egyetemi tulajdonúak, csatlakozók, stb.) (b) Hálózati aktív elemek (repeaterek, bridge-ek, switchek, routerek, transceiverek, modemek, terminál-szerverek, access pontok, stb.), továbbá minden hálózatra kötött számítógépes munkahely (PC, munkaállomás, terminál, hálózati nyomtató) és szerver függetlenül attól, hogy az mely egyetemi egység tulajdonában vagy használatában van. (c) Szoftverek (operációs rendszerek, hivatali-, ügyviteli-, szakmai alkalmazások, védelmi programok, kiszolgáló-szerver programok, hálózati felügyeleti programok). 2

5 (5) Rendszergazda Az EIK rendszergazdái felügyelik hardveres és szoftveres szempontból az egyetem informatikai hálózatát, az ehhez kapcsolt számítógépeket, szervereket, egyéb számítógépes munkahelyeket, azaz az NYMENET-et. Kivételesen indokolt esetben az EIK engedélye alapján egy Szervezeti Egység vezetje írásos felkérés alapján egy EIK-tl független személyt is megbízhat a rendszergazda feladatok ellátásával. A Szervezeti Egység vezetje ebben az esetben köteles írásban értesíteni az illetékes EIK vezett (Pl.: Központi Könyvtár). A rendszergazda köteles az IBSZ-ben megfogalmazottak betartására, ill. betartatására. (6) Alkalmazás rendszergazda Egy adott alkalmazás (pl. Gólya felvételi program, Solidworks, Statistica) informatikai felelse. Korlátlan joggal felügyeli az adott alkalmazást. Az alkalmazás rendszergazda nem kötelezen az alkalmazást futtató gép rendszergazdája. (7) Felhasználó Felhasználó az a személy, aki az NYMENET valamely szolgáltatását igénybe veszi. Bels felhasználó az egyetemmel munka-, óraadói- vagy hallgatói jogviszonyban álló személy (a továbbiakban felhasználó). Küls felhasználó az egyetemmel ilyen jogviszonyban nem álló személy. Küls felhasználók az NYMENET publikus szolgáltatásait vehetik igénybe, egyéb szolgáltatások igénybevételére csak határozott idre szóló engedéllyel jogosultak. Ez utóbbi esetben rájuk is a bels felhasználókra vonatkozó szabályok érvényesek. (8) Hálózati és lokális szolgáltatás Megkülönböztetünk hálózati szolgáltatásokat (számítógépes munkahelyrl igénybe vehet szerverszolgáltatások, amelyek hálózati forgalommal járnak, pl. telnet, mail, web, ftp, dial-up, WiFi, fájlszerviz) és lokális szolgáltatásokat (amelyek a lokális végponton vehetk igénybe, pl. operációs rendszer, felhasználói programok). Az EIK az NYMENET mködésének javítása, megbízhatóságának növelése érdekében további ajánlásokat tehet, ill. saját hatáskörében olyan szabályokat írhat el, amely a felhasználókat nem korlátozza a szolgáltatások igénybevételében, csupán annak formáit határozza meg (pl. kötelez cache, kötelez kliens használat, névkonvenciók betartása, egyes szolgáltatások kötelezen elírt dedikált szerveren keresztüli igénybevétele, tzfalelírások). (9) Biztonsági politika Az EIK naprakész biztonsági politikával rendelkezik, amelyet az Informatikai Biztonsági Szabályzat (IBSZ) tartalmaz. A biztonsági politikának nem az a célja, hogy konkrét és részletes cselekvési terveket és eljárásokat rögzítsen, ellenben tisztáznia kell azokat az elveket, általános elvárásokat és etikai normákat, amelyek a hatályban lév jogszabályokkal és az NYMENET számára egyébként irányadó szabályokkal, elvekkel összhangban a hálózat felhasználásának kereteit megalapozzák. Az aktuális problémákat, felvetéseket ez alapján lehet és kell kezelni. A Biztonsági Politika az IBSZ részeként kötelez erej az egyetemi közösségre nézve. (10) HBONE Az NYMENET része a magyar akadémiai hálózatnak (HBONE), és ezen keresztül teljes jogú tagja a világ Internet társadalmának. Az EIK üzemelteti az NYMENET oktatási és kutatási célú kijáratait a HBONE-ra, az NIIF megbízásából. Az EIK feladata, hogy érvényesítse azokat a szabályokat ("HBONE dokumentumok", "Az NIIF Felhasználói Szabályzata"), amelyek a HBONE-ra és az arra kapcsolódó intézményekre vonatkoznak. Az NIIF a saját, (HBONE POP) interfésztl kezdve üzemeltet, az NYMENET szolgáltatási köre a HBONE interfészéig tart. A HBONE kapcsolatot az NIIF üzemelteti. Az egyetem a HBONE tagjaként regionális központ, így hálózati szolgáltatásokat biztosít az egyetemen keresztül kapcsolódó HBONE intézményeknek, ezek azonban nem az NYMENET részei. A gerinchálózatot csak az EIK, vagy általa megbízott szervezet konfigurálhatja, üzemeltetheti. 3

6 Biztonsági irányelvek 2. (1) Az IBSZ célja Az IBSZ olyan normarendszer, amely az egyetemnek az informatikai rendszerével kapcsolatos biztonsági intézkedéseit, elírásait tartalmazza. A szabályzat az intézmény biztonságpolitikájában jelzett irányelveket követi. Amíg a biztonságpolitika egy magasabb szint, fleg vezeti döntéseket és alapelveket megfogalmazó dokumentum, addig az IBSZ olyan alacsonyabb szint szabálygyjtemény, amely olyan gyakorlati kérdéseket helyez eltérbe, amelyek konkrét cselekvési mintákat határoznak meg. Az IBSZ az egyetem bels használatra szóló dokumentuma. Az egyetemen kezelt adatok biztonsági osztályba sorolását az egyetem Adatvédelmi Szabályzata fogalmazza meg. Az általános cél, hogy az egyetem informatikai infrastruktúrája hosszú távon is mködképes legyen, ám lehetség szerint minél szélesebb körben kihasználásra kerüljön, figyelembe véve az egyetem oktatási, gazdasági és egyéb mködési igényeit. Olyan szabályozást kell megvalósítania, amely végrehajtásával az egyetem informatikai rendszerei, a felhasználói adatok, az egyetem és az egyetemi polgárok jó híre is megvédhet. A biztonsági szabályzatnak ezek mellett összhangban kell lennie a hatályos magyar jogszabályokkal, és az egyetem internetszolgáltatójának, a HUNGARNET egyesület szabályaival. (2) Érvényességi kör Az IBSZ érvényes az NYMENET-re, felhasználóira, rendszergazdáira. A szabályzat érvényességének széles köre miatt fontos, hogy azt az érintettek ismerjék, a benne foglalt elveket elfogadják, és azokkal azonosuljanak. Különös jelentséggel bír, hogy az érintett felhasználók, rendszergazdák megismerjék a biztonsági szabályzat rájuk vonatkozó kitételeit. Az EIK a jelen szabályzatban elírt egyetemi nyilvántartásokat vezeti, az EIK-hez nem tartozó rendszergazdák felett a szakmai felügyeletet gyakorolja. Az NYMENET rendellenes mködése, meghibásodása, egyes részeinek használhatatlansága esetén az EIK más szervezeti egységek rendszergazdáit utasíthatja - a hiba elhárításához szükséges mértékben - az eszközeiken szükséges teendk végrehajtására. (3) Nyílt rendszer Az NYMENET nyitott bármely olyan technikai megoldás befogadására, amely a meglév szolgáltatásokat nem veszélyezteti, üzembiztonsága az elvárható szintet nyújtja. Az újonnan felmerül igényekkel kapcsolatban az EIK vezetivel, rendszergazdáival konzultálni kell; a rendszergazda a szükséges technikai segítséget megadhatja, de ha nem látja biztosítottnak az NYMENET mködésének zavartalanságát, akkor az igényt el is utasíthatja. (4) Az IBSZ feladata, hogy a kockázati fokozatokkal arányos védelem kialakítását lehetvé tegye. Ezen feladatának a biztonsági rendszer tervezésével tesz eleget. Az arányos védelem a védelemre fordítható anyagi lehetségek, és a védeni kívánt érték vagy információ fontosságának függvényében alakul ki. (5) Az IBSZ az egyetem informatikai tevékenységének átfogó szabályozására készített dokumentum. Célja, hogy az informatikai rendszer használata során biztosítsa a használhatóság és a biztonság együttes követelményeinek érvényesülését, megakadályozza a rendszerekhez való jogosulatlan hozzáférést, minimálisra csökkentse a szándékos vagy vétlen károkozást. Az IBSZ további célja, hogy a hallgatók és a dolgozók ismerjék az egyetem informatikai rendszerének használatát, a hálózat és a szolgáltatások használatából adódó kockázatokat, és elhárításuk rájuk vonatkozó részét. (6) Az IBSZ célja, hogy az egyetem informatikai tevékenysége során kezelt eszközök, feldolgozott és továbbított adatok, illetve folyamatok bizalmasságát, sértetlenségét biztosítsa, valamint a rendelkezésre állást fenyeget veszélyek elhárítására védelmi intézkedéseket fogalmazzon meg. (7) Az IBSZ célja továbbá, hogy megfogalmazza és szabályozza: (a) a titok-, vagyon-, tzvédelemre vonatkozó védelmi intézkedéseket, (b) az üzemeltetett informatikai rendszerek rendeltetésszer használatát, 4

7 (c) az üzembiztonságot szolgáló járulékos szolgáltatások körét (klíma, szünetmentes áramforrás, stb.), (d) az adatállományok biztonságos mentését, (e) a speciális feladatokat ellátó helyiségek behatolás elleni védelmét. (8) Az adatvédelem és adatbiztonság szabályozásával az egyetem Adatvédelmi Szabályzata foglalkozik. Az IBSZ hatálya 3. Jelen IBSZ hatálya kiterjed a NYMENET felhasználóira, rendszergazdáira. A felhasználók és rendszergazdák jogai és kötelességei eltérhetnek, felhasználói csoportokra sajátos szabályok vonatkozhatnak, azonban mindezeket az IBSZ-en belül, vagy az általa hivatkozott kiegészít dokumentumokban szükséges rögzíteni. A szabályzat személyi és tárgyi hatálya: (a) A szabályzat személyi hatálya az egyetem minden az NYMENET informatikai rendszert használó polgárára. Az egyetem polgára valamennyi dolgozó és hallgató. Az IBSZ vonatkozik továbbá minden olyan személyre, aki használja a egyetem informatikai infrastruktúráját, azaz az NYMENET felhasználója, rendszergazdája. (b) A tárgyi hatály érvényes a fizikai, infrastrukturális eszközökön kívül az adatok, szoftverek teljes körére. Technológiai értelemben a szabályzat kiterjed a folyamatokra, vonatkozik valamennyi telephelyre, és kiterjed a létesítményekre is, azaz az NYMENET teljes infrastruktúrájára. Az IBSZ visszavonásig vagy újabb változat megjelenéségéig hatályos. Az IBISZ felügyeletével megbízott személy évente egyszer köteles az IBSZ áttekintésére, aktualizálására, függetlenül attól, hogy az adott idszakban történt-e változás vagy sem. Az IBSZ változásainak, aktuális változatának kihirdetése az EIK feladata. Az IBSZ összhangban áll a hatályos törvényekkel és magasabb szint szabályokkal, azok hatályossági körét nem érinti. Az IBSZ-ben nem szabályozott kérdésekben a hatályos jogszabályok irányadók. A biztonsági szabályzat megsértése esetén a szabályzat nem ismerete nem mentesít semmilyen következmény alól! 5

8 Az IBSZ biztonsági fokozatai 4. Az EIK kezelésében lév adatokról adatvédelmi szempontból az Adatvédelmi szabályzat rendelkezik. Az EIK által üzemeltetett rendszerek, az ott kezelt adatok, információk nem egyforma minsítések fontosság és a biztonsági igények tekintetében. Az alábbiakban felsoroljuk a szabályzat által meghatározott és hivatkozott biztonsági szinteket és jellemziket. (1) Alapvet biztonsági igény (S1) Az alapvet biztonsági igénynek tekintett adatok és rendszerek jellemzi, hogy az adatok NYMENET hálózatok felli kezdeményezje, illetve fogadója, vagy a rendszerek felhasználója csak azonosított vagy utólag beazonosítható, az NYMENET hálózathoz hozzáférési jogosultsággal rendelkez személy lehet. Az ide sorolt adatok és rendszerek biztonsága érdekében az EIK egyetemi szint, központi megoldásokat alkalmaz: központi vírusirtó, egyetemi spamszr, központi tzfal, VLAN szint hozzáférés-vezérlés, az egyetem és a külvilág közötti teljes forgalom naplózása, stb. A forgalom titkosítását az EIK nem garantálja. (2) Fokozott biztonsági igény (S2) A fokozott biztonsági igénynek tekintett adatok és rendszerek számára az S1 szinten jellemz megoldásokon túl további szabályok és biztonsági garanciák vonatkoznak. A fokozott biztonsági igény adatok és rendszerek az egyetemi közösség számára valamilyen bejelentett szolgáltatást nyújtó rendszerelemek. Az S2 biztonsági igény jelzése a rendszerelem üzemeltetjének a felelssége. A fokozott biztonság elérése érdekében a rendszer integritását szigorúbb hozzáférési szabályokkal kell biztosítani (pl. a felhasználói kör leszkítése), a védelmet pedig a rendszerre, személyre szabottan kell megvalósítani (pl. egy adott adatfolyam titkosításával). A fokozott védelem gyakorlati megvalósításának felelssége az EIK-é. Ennek azonban csak olyan mértékben tud megfelelni, amilyen pontosságú információ és igény a rendszer üzemeltetje részérl rendelkezésére áll, így az információszolgáltatás az üzemeltet kötelessége (pl. licenc-szerverek). (3) Kiemelt biztonsági igény (S3) A kiemelt biztonsági igény adatok és rendszerek legfbb ismérve, hogy az egyetemi közösség számára olyan szolgáltatást nyújtanak, amelyeknek az akár idleges kiesése is kritikusnak tekinthet. A kiemelt biztonsági igény szintbe való besorolás a rendszer üzemeltetjének, az EIK-nek, és az igénybe vevk képviseljének együttes döntése alapján történik. A kiemelt biztonsági igény rendszerek esetében akár adatmentéssel, akár redundancia biztosításával meg kell valósítani a 99,99%-os rendelkezésre állást, és emellett az alsóbb biztonsági szintek szolgáltatásait is meg kell valósítani (pl. Neptun Tanulmányi rendszer, központi levelezés). (4) Nem kívánt adatok és rendszerek (S0) Nem kívánt adatoknak és rendszereknek tekintendk azok az - NYMENET-be hivatalosan nem tartozó - rendszerelemek, amelyeket nem lehet besorolni a fenti három kategória egyikébe sem. Úgyszintén ide tartoznak azok a rendszerelemek, amelyekrl bebizonyosodik, hogy nem oktatási célokat szolgálnak, vagy egyéb módon sértik a NYMENET felhasználói szabályzatát. Az ilyen adatok és rendszerek biztonsági fenyegetést jelentenek. A NYMENET biztonságos üzemeltetése érdekében az EIK felelssége, hogy az ilyen elemeket (tipikusan illetéktelenül csatlakoztatott eszközöket, vírusok által generált forgalmakat, jogosulatlan felhasználókat) a rendszerbl kizárja. (5) Adatvédelmi szempontok Adatvédelmi szempontokból is meg kell különböztetni általános és kritikus szinteket. Adatvédelmi szempontból kritikusnak tekintett rendszerek esetében az adatok megbízhatósága, integritása és illetéktelenek számára való hozzáférhetetlensége érdekében a rendszernek további biztonsági garanciákat kell tartalmaznia. Ilyen kritikus rendszernek tekinthet különösen: Bér- és Munkaügyi rendszer Gazdasági, ügyviteli rendszer Dokumentumkezelési rendszer 6

9 Tanulmányi rendszer Központi levelezés Központi tárhely-kiszolgálás (6) Intézményi autentikációs rendszer Az EIK törekszik arra, hogy egységes keretben kezelje a felhasználói azonosítást. A következ rendszerek esetében a központi felhasználói azonosítás egy elérend cél: Központi levelezés Központi bejelentkezés Központi háttértár Egyetemi VPN-es bejelentkezés Saját weboldal Az IBSZ szempontjából ennek jelentsége abban áll, hogy a felhasználói azonosítás követelményeinek minden rendszernek meg kell felelnie, és ez csak egységes keretben biztosítható. Ebbl következen minden meglév, illetve bevezetésre kerül rendszernek illeszkednie kell egy még kialakítandó központi felhasználókezel rendszerhez. 7

10 Felelsségi körök 5. (1) Az egyetem általános rektorhelyettese felels az informatikai biztonsági politika, az IBSZ kidolgozásáért. Az informatikai biztonsági politikának ki kell fejeznie a vezetés elkötelezettségét az általános biztonság és az informatikai biztonság megfelel szintjének kialakítása és fenntartása mellett. (2) Az egyetem intézményi szint vezetése, illetve az egyetem további vezeti felelsek a saját területükön az IBSZ-ben foglaltak betartatásáért. Az egyetem vezetésének feladata, hogy a szabályzatban megfogalmazott EIK rendszergazdák, további biztonsági szereplk részére a munkavégzésükhöz szükséges hatáskört és erforrásokat biztosítsa. (3) Az EIK vezetje információbiztonsági kérdésekben közvetlenül az általános rektorhelyettesnek tartozik beszámolási kötelezettséggel. (4) Az IK vezetje információbiztonsági kérdésekben közvetlenül a kar dékánjának (SEK esetében az elnök-rektorhelyettesnek) tartozik beszámolási kötelezettséggel. (5) Az NYMENET felhasználói, rendszergazdái, azaz a dolgozó munkatársak, hallgatók, vendégek, küls felhasználók kötelesek betartani a jelen szabályzatban leírtakat, továbbá kötelesek jelenteni az EIK-nek, ha biztonsági problémát okozó jelenséget (biztonsági incidenst) észlelnek. (6) Az EIK feladata és felelssége az információbiztonság szintjének folyamatos ellenrzése, a biztonsági incidensek megelzése, illetve a bekövetkez incidensek hatásának mérséklése, valamint az okok feltárása, a felelsök azonosítása, továbbá a késbbi beszerzések, az informatikai fejlesztések során a biztonsági követelmények érvényre juttatása. (7) Az EIK legfontosabb információbiztonsági feladatai: (a) az informatikai rendszereket fenyeget veszélyforrások miatt fellép kockázatok meghatározása és csökkentése, (b) részvétel a védelmi rendszer tervezésében, (c) biztonsági szabályok meghatározása és betartatása, (d) a védelmi rendszer mködtetésének és az egyetem informatikai biztonsági követelményeinek összehangolása, (e) az információ-biztonság rendszeres felülvizsgálata, (f) az informatikai hálózat biztonságának folyamatos ellenrzése, (g) az informatikai rendszer változásainak nyomon követése, és ennek megfelelen módosítási javaslat kidolgozása, (h) az adatvédelmi felelssel egyeztetve és együttmködve részt vesz a biztonsággal összefügg szakmai munkában, (i) bejelentés alapján kivizsgálja a biztonsági incidenseket, és javaslatot tesz további intézkedésekre, (j) évente legalább egyszer ellenrzi az IBSZ elírásainak betartását, (k) az elírások megszegivel szemben felelsségre vonási eljárást kezdeményez. (8) Az adatvédelmi felels szorosan együttmködik az EIK vezetivel, rendszergazdáival. Segíti munkájukat és szakmai kérdésekben iránymutatást nyújt. Az adatvédelmi felels feladatait az Adatvédelmi Szabályzat határozza meg. (9) Az EIK vezetinek feladatait, felelsségét és hatáskörét a munkaköri leírás tartalmazza. Az információbiztonság tekintetében felels: (a) az informatikai rendszer üzemeltetéséhez szükséges erforrások biztosításáért, (b) az informatikai rendszer folyamatos mködéséért, (c) az informatikai rendszer biztonságának folyamatos felülvizsgálatáért. 8

11 (10) A rendszergazda felelsségét és hatáskörét az Informatikai Szabályzatban foglaltaknak megfelelen a munkaköri leírás tartalmazza. A rendszergazda az információbiztonság szempontjából felels: (a) az NYMENET biztonsági kockázatának minimalizálásáért, (b) az üzemeltetési feladatokat veszélyeztet és akadályozó tényezk felismeréséért és jelentéséért, (c) az informatikai szabályok betartásáért és betartatásáért. (11) A rendszergazda feladatai az NYMENET-re kapcsolt számítógépes munkahelyekkel kapcsolatban: (a) új eszközök megfelel beállítása, hálózati kapcsolat beállítása, (b) biztonsági javítócsomagok telepítése. (c) biztonsági beállítások helyességének és sértetlenségének folyamatos biztosítása, (d) szükséges alkalmazói-, szakmai szoftverek, vírusirtó-, védelmi programok telepítése, tzfalbeállítások, (e) alkalmazói, szakmai programok frissítésének telepítése. (12) A számítógépes munkahely felhasználójának feladata: (a) gondoskodik ezen szabályzatban leírtak alapján rendszergazdáról, (b) tájékoztatja a rendszergazdát az igényelt személyes jogosultságokról, (c) a jelszavakkal kapcsolatos elírásokat betartja, (d) felel a rá bízott eszköz hardveres szoftveres biztonságáért, (e) felel a rá bízott érzékeny adatok védelméért, (f) megismeri és betartja az IBSZ-ben a felhasználókra vonatkozó elírásokat, (g) hardveres, szoftveres fejlesztés eltt kikéri a rendszergazda véleményét. 9

12 Védett helyiségek 6. (1) Védett helyiségnek kell tekinteni azokat a helyiségeket, ahol a bizalmas adatok feldolgozására, tárolására alkalmazott informatikai erforrások találhatók. A védett területek zárt területnek minsülnek, ezért védelmükrl ennek megfelelen kell gondoskodni. (2) Védett területnek minsül az egyetemen: (a) szerverhelyiség, (b) telefonközpont, (c) központi szünetmentes áramforrás elhelyezésére szolgáló helyiség, (d) aktív hálózati elemek elhelyezésére szolgáló helyiség (rendez), rack szekrény, (e) Gazdasági Figazgatóság (GF), (f) Tanulmányi Osztály (TO), (g) EIK helyiségei. (3) Szerverhelyiség: az IBSZ nem a szervezeti struktúrát igyekszik minél tökéletesebben leképezni, ezért a telephelyeket önálló egységekként tekinti, és a helyi sajátosságokat figyelembe véve egységes rendszert definiál. Ennek megfelelen a telephelyeken szerverfarmokat kell kialakítani. A szolgáltatásokat biztosító, szerver-feladatokat ellátó eszközöket közös helyiségben, szerverhelyiségben kell elhelyezni. A központi szerverhelyiség biztonsági szempontból fokozottan védett helyiségnek minsül, melybe kizárólag ellenrzött módon, az arra kijelölt személyek juthatnak be. A központi szerverhelyiséggel szemben támasztott követelmények: (a) védett helyiségbe csak az arra feljogosított személyek léphetnek be, (b) naplózott beléptetés, amely ellenrizhetvé teszi a tevékenységet végzket, (c) légkondicionálás az üzembiztonság fenntartása érdekében, (d) szünetmentes áramforrás, áramfejleszt az üzembiztonság fokozása érdekében, (e) füst-, és tzérzékel, biztonsági kamera a vagyonvédelem és az üzembiztonság érdekében. (f) A helyiségben csak informatikával kapcsolatos tevékenység folytatható, a helyiség más célból nem hasznosítható. (g) Védett helyiségekben tilos a dohányzás és az étkezés. (4) A szerverhelyiségben végzend munka szabályai: (a) a szerverhelyiségbe csak arra feljogosított személy léphet be, (b) a szerverhelyiségben munka csak feljogosított személy által vagy annak jelenlétében végezhet. (c) csak a más módon nem végezhet munkát szabad itt végezni. Pl.: Távoli asztallal elvégezhet feladattal kapcsolatos munkavégzés nem megengedett a szerverhelyiségben. (5) Kari szerverhelyiség: szervezeti egységek szervereinek célszer külön helyiséget biztosítani. Biztonsági szempontból ezen szerverhelyiségek nem különböznek a központi feladatokat kiszolgáló eszközöket tartalmazó szerverhelyiségtl. E helyiségek esetében is lehetség szerint biztosítani kell a légkondicionálást, a behatolás elleni védelmet és a szünetmentes áramellátást. A helyiségben a biztonsági és munkavégzési elírások megegyeznek a szerverhelyiségnél elírtakkal. A szükséges védelmet az illetékes szervezeti egység vezetje határozza meg. (6) A rendez helyiségek, rack szekrények, amelyekben az aktív hálózati elemek helyezkednek el, zárt és védett területek. Ezen zárt helyiségek, rack szekrények kulcsa az EIK felügyelete alá tartozik. Ide a bejutást más szervezeti egységtl függetlenül kell biztosítani az EIK részére. A rendezhelyiségekhez az EIK rendszergazdáin kívül másnak csak indokolt esetben lehet kulcsa. Ilyen esetben a további kulccsal rendelkez személy felels a kábelrendez hozzáférhetetlenségének biztosításáról. E helyiségek esetében is lehetség szerint biztosítani kell a légkondicionálást, a behatolás elleni védelmet és a szünetmentes áramellátást. Ezen helyiségekben csak informatikával kapcsolatos tevékenység folytatható, a helyiség más célból nem hasznosítható. 10

13 (7) Telefonközpont: biztonsági szempontból fokozottan védett területnek minsül, ahová kizárólag ellenrzött módon az arra kijelölt személyek juthatnak be. A telefonközpont kulcsa az EIK felügyelete alá tartozik. E helyiségek esetében is lehetség szerint biztosítani kell a légkondicionálást, a behatolás elleni védelmet és a szünetmentes áramellátást. A helyiségben csak informatikával kapcsolatos tevékenység folytatható, a helyiség más célból nem hasznosítható. (8) Az épület karbantartója köteles gondoskodni a klímák megfelel mködésérl, a védett helyiség takarításáról, szakszer portalanításáról. A biztonsági szolgálat üzemelteti a vagyonvédelemmel kapcsolatos eszközöket, gondoskodik ezen eszközök felügyeletérl, karbantartásáról. (9) A szerverterem tápellátása egy nagy teljesítmény, táv menedzselhet szünetmentes tápról (UPS-rl) megoldott. Ezzel kapcsolatos fontos biztonsági irányelv, hogy az erre kijelölt személy köteles rendszeresen meggyzdni az UPS állapotáról, fázisainak egyenletes terhelésérl. Új eszközt csak a kijelölt személy felügyeletével szabad csatlakoztatni, még ideiglenes jelleggel is. Minden S3 rendszert az UPS-re kell csatlakoztatni. S2 esetén ez akkor kötelez, ha van rá lehetség. (10) Fontos biztonsági irányelv, hogy a szerverterem áramellátását áramkimaradás esetében egy áramfejlesztvel lehessen áthidalni. Ennek kialakítását 1-2 éven belül meg kell oldani. Kapacitását úgy kell méretezni, hogy az UPS-re kapcsolt eszközök, valamint a klímaberendezések áramkimaradás esetén üzemszeren tovább tudjanak mködni. (11) Az NYMENET minden aktív elemének áramtalanítása, illetve minden aktív és passzív elemének szerelése kizárólag az EIK vagy megbízottjainak joga. Ez alól csak a baleset, katasztrófahelyzet, vagy egyéb visz major adhat kivételt. A szakszertlen vagy illetéktelen beavatkozás által okozott kárt az azt szándékosan vagy feleltlenül okozó, illetve lehetvé tev személy köteles megtéríteni. Az okozott kár nem csak a hardverelemek sérülését jelenti, hanem a helyreállítás, kiszállás stb. költségeit, beleértve az adatok sérülésébl és a szolgáltatás kimaradásából adódó költségeket, illetve közvetlenül vagy közvetve okozott károkat. 11

14 Hálózat használata 7. (1) Az EIK jogosult kizárólag a központi hálózat bvítésére vagy átalakításra. Az egyetem telephelyein strukturált és menedzselt informatikai hálózat mködik. Ez a hálózat aktív és passzív elemekbl áll. Illetéktelen személy a kialakított rendszeren nem változtathat, végpontot át nem helyezhet, és aktív vagy szerver-feladatokat ellátó eszközt a hálózatra nem kapcsolhat rá. (2) Az EIK hatásköre VLAN-ok kialakítása. A VLAN-ok biztonsági feladatot látnak el, mert elválasztják egymástól a részhálózatokat, ezzel biztosítva, hogy sérülés, vagy támadás esetén csak az adott részterületre korlátozódjék az esetleges kár. (3) Az egyetem hálózata nem használható az alábbi tevékenységekre (a NIIF Felhasználói Szabályzata szerint): (a) a mindenkor hatályos magyar jogszabályokba ütköz cselekmények elkészítése vagy végrehajtása, így különösen mások személyiségi jogainak megsértése (pl. rágalmazás), tiltott haszonszerzésre irányuló tevékenység (pl. piramisjáték), szerzi jogok megsértése (pl. szoftver nem jogszer terjesztése), (b) profitszerzést célzó, direkt üzleti célú tevékenység és reklám, (c) a hálózat, a kapcsolódó hálózatok, illetve ezek erforrásainak rendeltetésszer mködését és biztonságát megzavaró, veszélyeztet tevékenység, ilyen információknak és programoknak a terjesztése, (d) a hálózatot, a kapcsolódó hálózatokat, illetve erforrásaikat indokolatlanul, túlzott mértékben, pazarló módon igénybe vev tevékenység (pl. nem hivatali körlevelek, hálózati játékok, kéretlen reklámok), (e) a hálózat erforrásaihoz, a hálózaton elérhet adatokhoz történ illetéktelen hozzáférés, azok illetéktelen használata, gépek/szolgáltatások akár tesztelés céljából történ túlzott mértékben való szisztematikus próbálgatása (pl. TCP port scan), (f) a hálózat erforrásainak, a hálózaton elérhet adatoknak illetéktelen módosítására, megrongálására, megsemmisítésére vagy bármely károkozásra irányuló tevékenység, (g) hálózati üzenetek, hálózati eszközök hamisítása: olyan látszat keltése, mintha egy üzenet más géprl vagy más felhasználótól származna (spoofing). (4) A felhasználó kötelessége a hálózat használata során: (a) A szabályzat megismerése és az abban foglaltak betartása, valamint együttmködni az EIK rendszergazdáival a szabályzat betartatása érdekében. (b) Az IBSZ jelszóhasználattal kapcsolatos elírások betartása. (c) A felhasználó viseli a felelsséget minden mveletért, amely az adott felhasználóhoz tartozó azonosítóval kerül végrehajtásra. (5) A felhasználó jogai a hálózat használata során: (a) A felhasználónak joga van a felhasználói fiókhoz való hozzáféréshez. Ennek lehetségét az EIK biztosítja a rendszergazdán keresztül. (b) A felhasználó (magán tulajdonban lév), vendég-oktató, -kutató, tanfolyami-, rendezvényi résztvev számítógépe a publikus szint szkített szolgáltatásait érhetik el. A szkített szint alapján elérhet az internet, lehet böngészni, levelezni. Használható az egyetem közösségi területein kialakított WiFi hálózat. (c) Az EIK - amennyiben ez megoldható - a rendszer technikai fejlesztéseirl, problémáiról, tervezett vagy rendkívüli eseményekrl tájékoztatást ad. (d) A felhasználóra vonatkozó informatikai szabályok elérhetk az egyetemi honlapon keresztül. (e) A szervezeti egységek által biztosított további hálózati szolgáltatásokat igénybe veheti. 12

15 Jogosultságok kezelése 8. Az egyetem dolgozóinak többsége napi munkája során hálózatba kötött munkaállomáson végzi feladatait. Minden személyes használatban lév munkaállomáson szabadon választható a felhasználó azonosítása. (1) Az NYMENET használatakor, a központi szolgáltatások igénybevétele esetében a regisztráció kötelez, és a feladatok függvényében jogosultságok hierarchiája valósul meg. Minden felhasználó csak annyi jogot kap, amennyi a feladata elvégzéséhez szükséges. Különösen védett adatok esetében a személyes regisztráción felül a titkosított csatorna használatához is szükséges azonosítót alkalmazni. (2) Jogosultságok kezelése a NYMENET használata során. A felhasználói jogosultság szabályozza, hogy a felhasználó, rendszergazda milyen jogosultságokkal rendelkezhet, az egyes alkalmazások, szolgáltatások terén. Az NYMENET hálózatra érvényes jelszó nélkül senki nem kapcsolódhat. (a) Küls felhasználói jogosultsági szint adható az alábbi esetekben: - a felhasználó magán tulajdonban lév számítógépe, - vendég-oktató, -kutató, tanfolyami-, rendezvény résztvev számítógépe, - laborban lév számítógépek, - információs pultok Ebben az esetben szkített szolgáltatások érhetk el. Elérhet az internet, lehet böngészni, levelezni. Használható az egyetem közösségi területein kialakított WiFi hálózat. A szkített szolgáltatások az EIK által kiadott jelszavas védelem alapján használhatók. Ez a jelszó egy adott kört, célcsoportot érint (Pl.: konferencia résztvevit), egyedi azonosítást nem tesz lehetvé. A jelszó használata egy adott idre érvényes, ezt követen nem használható. (b) Felhasználói jogosultsági szint esetében a jelszavas (vagy más) védelemnek a NYMENET szerverekre, a hálózaton üzemel és az egyedi számítógépekre is ki kell terjednie. (3) Felhasználói jogosultsági szint használata (a) A jogosultsági szint megadására alkalmazástól függen az egyetem vezeti, ill. az egyes szervezeti egységek vezeti adják a felhasználónak, rendszergazdának. (b) A felhasználói jogosultsági szint meghatározásakor figyelembe kell venni az adatokat kezel program, a biztonsági program vagy részrendszer biztonsági osztályba sorolását, az ellátandó feladatot és a feladatot végz személy felelsségi körét. (c) Az EIK gondoskodik a hozzáférések naplózásáról, így regisztrálható a sikertelen hozzáférési kísérlet. Ha jogosulatlan hozzáférés történt, vagy a jogosulatlan hozzáférés gyanúja merül fel, a jelszót azonnal meg kell változtatni. (d) A jogosultsági szint kiosztásakor alapelvként kell kezelni, hogy minden funkcióhoz illetve feladathoz csak a feladat ellátásához szükséges és elégséges mérték jogosultságok biztosíthatók. (e) A hozzáférés-védelem kiterjed a jelszóval kapcsolatos rendelkezésekre, a felhasználók kitiltási elírásaira, illetve a hozzáférés-védelmi eszközök gyártásának, tárolásának, szétosztásának, használatának és kivonásának elírásaira. (f) Az alap jogosultsági szint mindenkit megillet, aki az intézménnyel hallgatói, vagy munkavállalói jogviszonyban áll, és aláírásával igazolta, hogy az IBSZ tartalmát megismerte, annak betartását vállalja. Az alap jogosultsági szint adható pl. továbbképz tanfolyam, rendezvény esetén az intézménnyel jogviszonyban nem állók részére is. A további jogosultsági szinteket az alapszint kiegészítéseként kell értelmezni. Az egyedi igényeket az erre rendszeresített igényllapon az EIK rendszergazdáitól kell kérni. A felhasználótól a jogosultsági szintjének megfelel jogot megtagadni csak indokolt esetben lehet. A jogosultsági szintnek megfelel szabályok betartása a hálózatba nem kötött eszközök használata esetén is kötelez. (4) Felhasználói jogosultságok: Szint: Jogosultak: Jogok: Felels 13

16 Küls Alap vendég oktató, kutató, tanfolyami-, rendezvény résztvev Egyetem hallgatói, dolgozói Adminisztrátor Adminisztrációval kapcsolatos munkakörök Oktató, kutató Tanulmányi Az egyetem oktatói, kutatói Rektori Hivatal, Dékáni Hivatalok, TO Gazdasági A Gazdasági Figazgatóság dolgozói Humánpolitikai Humánerforrásgazdálkodási Csoport dolgozói Operátor Egy adott feladatra kijelölt személy Rendszergazda EIK rendszergazdái Alkalmazás rendszergazda Egy adott alkalmazás informatikai rendszergazda Internet elérés, levelezés, WiFi használat Egyéni azonosítás alapján lehetvé válik az oktatáshoz, tanuláshoz, munkához szükséges adatok, programok, valamint az Internet elérése. Alapszint + hozzáférés az adminisztrációs, dokumentációs rendszerekhez, szervezeti egység közös lemezterületéhez. Alapszint + hozzáférés az oktatói, kutatói rendszerekhez, szervezeti egység közös lemezterületéhez, hallgatókkal kapcsolatos adminisztrációs adatokhoz. Alapszint + teljes kör hozzáférés a Neptun rendszer adminisztratív moduljaihoz. Alapszint + hozzáférés a gazdálkodással és a dolgozókkal kapcsolatos rendszerekhez. Alapszint + hozzáférés a dolgozókkal kapcsolatos rendszerekhez. Alapszint + speciális jogok egy adott alkalmazáshoz ( levelez rendszer, Web oldalak karbantartása). Korlátlan jog a rendszergazda által EIK felügyelt rendszerekhez (Pl.: Windows-, Linux szerverek, hálózat). Korlátlan jog az adott alkalmazáshoz. (Pl.: EIK Gólya felvételi rendszerhez, EGR, Neptun). Szervezeti egység Dékáni Hivatal, Gazdasági Figazgatóság Szervezeti egység vezet Gazdasági Figazgatóság, Dékáni Hivatal Oktatási Rektorhelyettes, Dékáni Hivatal Gazdasági Figazgatóság Gazdasági Figazgatóság Szervezeti egység vezet, EIK (5) A operátori jogok alapértelmezésben a rendszergazdát illeti meg. Egy-egy jól elhatárolható informatikai feladat elvégzéséhez rendelhet. Az EIK engedélyével, külön megállapodás alapján más személynek átadhatók. Az operátori jogok, illetve az ezekhez tartozó azonosítók magán célra nem használhatók fel. Ezek használata csak a szükséges rendszeradminisztráció erejéig történhet. Az ehhez szükséges kiemelt jogokat a rendszergazda biztosítja. Amennyiben az EIK úgy ítéli meg, hogy a speciális feladatokat ellátó személy a rendszer biztonságát veszélyezteti, úgy joga van a speciális jogok használatának lehetségét felfüggeszteni. (6) A felhasználói jelszavak generálásának, átadásának bizalmasan kell történnie, a kezdeti jelszót a felhasználó köteles az els használat során megváltoztatni. A jelszavak kiválasztásánál a következ alapvet szabályokat kell betartani: (a) Tilos könnyen kitalálható jelszavakat választani! (b) Tilos a LOGIN nevet jelszóként használni! (c) A jelszó hossza nem lehet rövidebb nyolc karakternél, tartalmaznia kell legalább egy számot és egy nagybett. Ajánlott a számok, kis és nagybetk keverése jelszavak használatakor. (d) Tilos a vezetéknevet és a keresztnevet jelszóként használni! (e) Tilos azonos számokból, vagy betkbl álló jelszót használni! (f) Tilos a jelszót nyilvános helyen kiírva tartani (például: monitorra ragasztva)! (g) Egyetemi jelszót a felhasználó egyetemen kívüli rendszerekben nem használhat. (h) Kötelez a jelszót legalább 3 havonta újra cserélni. 14

17 (i) Kötelez alkalmazásonként eltér jelszót használni (Pl.: Kollégiumi rendszer, levelezés, Neptun), ez érvényes a felhasználókra, de a rendszergazdákra is! (7) A Neptun Egységes Tanulmányi Rendszer kitüntetett felhasználóinak (TO dolgozói, Neptun adminisztrátorok) az SDA Stúdió Kft. által fejlesztett titkosító rendszer használata kötelez. Amennyiben illetéktelen felhasználó három alkalommal hibás jelszóval próbál bejelentkezni, a rendszer automatikusan letiltja a felhasználót, a bejelentkezés meghiúsul, az esemény naplózódik. (8) A levelez szerverek felhasználói azonosítása LDAP adatbázisban tárolt adatok alapján történik. (9) Az egyetem rádiós (vezeték nélküli) hálózatában a felhasználók három nagyobb csoportba tartoznak. Az elsbe tartoznak az egyetem dolgozói. A dolgozók felhasználói azonosítójának érvényességi ideje nem jár le, csak abban az esetben, ha az egyetemmel kötött munkaviszonyuk megsznik. A második csoportba tartoznak a hallgatók, akik többek között Neptun kóddal rendelkeznek. A hallgatóknak a hozzáférésüket a vezeték nélküli hálózathoz minden tanévkezdés alkalmával meg kell újítaniuk. Harmadik, különleges alkalmi csoportot alkothatnak a vendégek, akiknek az EIK a rádiós hálózat használatához ideiglenes regisztrációt generál. 15

18 Elektronikus levelezés, internet használat 9. (1) Az elektronikus levelezéssel kapcsolatos általános alapelveket az egyetem Informatikai Szabályzat -ta tartalmazza. Az egyetem valamennyi munkatársa jogosult felhasználói jogosultságot igényelni az elektronikus levelezéshez, amely jogosultság a jogviszony megsznéséig tart. Speciális felhasználói jogosultsággal azok a munkatársak rendelkeznek, akik valamilyen központi szolgáltatást használnak munkájuk során. (2) Az egyetem köteles értesíteni az EIK-et új munkatárs belépésérl, illetve munkaviszony megsznésérl. Ezt követen az EIK rendszergazdái az új dolgozót felveszik munkakörének megfelelen a NYMENET felhasználói közé. A munkatárs a szükséges formanyomtatvány kitöltésével és aláírásával a központi levelezési rendszer tagjává válik. Ezenkívül megkapja továbbá azokat a különleges jogosultságokat, amelyek a munkavégzéséhez szükségesek. A formanyomtatványon és a mellékelt használati utasításon minden szükséges információt megkap a rendszer biztonságos használatához. Munkaviszony megsznése esetén az EIK rendszergazdái gondoskodnak 1 héten belül a volt dolgozó NYMENET-el kapcsolatos speciális jogosultságainak megszüntetésérl, törlésérl, levelezési címét 3 hónap elteltével szintén megszüntetik. (3) Az címeket az EIK adja ki, valamint gondoskodik a címek nyilvántartásáról, karbantartásáról. Lehetvé teszi a honlap szerkesztivel együttmködve ezen címek elérhetségét az egyetemi honlapon. (4) Az elektronikus levelezési szolgáltatás használata során az alábbi szabályokat kell betartani: (a) A felhasználó nem titkolja el személyazonosságát az Internet-használat közben. (b) A felhasználó tudomásul veszi, hogy a központi levelezés során a felhasználó levelezési forgalma naplózásra kerül. (c) A levelezési szolgáltatás mind a munkatársak közötti, mind az egyetemen kívüli munkaköri kapcsolattartásra felhasználható. (d) Az elektronikus levélhez fájl csatolható, amelynek mérete korlátozott. (e) A levelezési rendszeren tilos biztonsági szempontból érzékeny anyagot, egyetemi titkot, vagy üzleti titkot illetéktelen személy részére hozzáférhetvé tenni. (f) Tilos a levelezési rendszeren keresztül olyan tartalmú levelet küldeni, amely bármilyen más személy, csoport vagy társaság személyes, illetve üzleti érdekeit sértheti. (g) A felhasználó csak saját nevében küldhet levelet, kivéve, ha erre felels vezet utasítja. (h) Az egyetem címtára felhasználásával egyetemi/kari szint körlevelet csak az EIK engedélyével lehet küldeni. (i) Tilos rasszista, szemérmet és jó ízlést sért, valamint szélsséges politikai nézeteket képvisel tartalmú levelet küldeni. (j) Tilos másokra nézve sért, vallási, etnikai, politikai vagy más jelleg érzékenységet bántó, zaklató tevékenység (pl. pornográf/pedofil anyagok) közzététele. (k) A felhasználóknak tilos lánclevelet, rémhíreket küldeniük a központi levelez rendszeren keresztül. (l) A szellemi tulajdon védelme az Internetre is kiterjed. (m) A felhasználó személyiségi jogait és a levéltitkot az EIK tiszteletben tartja, ettl eltérni csak a törvény által meghatározott esetekben lehet. (5) Az Internet használattal kapcsolatos részletes szabályozást az egyetem Informatikai Szabályzata tartalmazza. Az NYMENET-et használó munkaállomások alaphelyzetben Internet eléréssel rendelkeznek. A gazdasági szoftvereket használó és különösen érzékeny adatokkal dolgozó munkaállomások biztonságos Internet elérése a tzfalszabályok segítségével megoldott. (6) Az Internetet használata során az egyetem fenntartja a jogot arra, hogy a felhasználók Internet forgalmát, tartalmát figyelemmel kísérje, és naplózza. 16

19 (7) A felhasználónak tisztában kell lennie azzal, hogy az Internet használata biztonsági kockázattal jár, ami nem csak a személyes használatában lév munkaállomást veszélyeztetheti, hanem az NYMENET kapcsolódó eszközeit is. (8) A felhasználónak tisztában kell lennie azzal is, hogy nem használhatja az Internet elérését törvények és szabályok tudatos vagy szándékos megsértésére. Az Internetrl letöltött szoftver vagy fájl jogtisztaságáért az egyetem, mint jogi személy felel, ezért fenntartja jogot, hogy a szabályok megsértivel szemben szankciókat alkalmazzon. Illegális tevékenység céljára használt Internet elérés fegyelmi eljárást eredményezhet. 17

20 Az üzemeltetés biztonsági normái 10. (1) Az EIK látja el az NYMENET infrastruktúrájának és központi szolgáltatásainak, szoftverrendszereinek üzemeltetését. (2) Az EIK üzemelteti a központi tzfalat a küls és bels támadások kockázatainak csökkentése érdekében. (3) A rendszergazdáknak dokumentálni kell az NYMENET üzemeltetését részben papíron, részben elektronikus formában. A dokumentációt váratlan esemény, változás esetén aktualizálni kell. A dokumentálásnak ki kell terjednie: (a) a konfigurációkezelésre, (b) hibabejelentések és az elvégzett munka nyilvántartására, (c) az ügyeleti rendszer biztosítására, (d) a telefonszámok, elérhetségek nyilvántartására, váratlan események kezelésére, (e) a rendszerleállások, újraindítások kezelésére, (f) hardveres és szoftveres fejlesztések dokumentálására, (g) szerverek dokumentálására, kapacitás kihasználásukra, (h) pótalkatrészek nyilvántartására, (i) garanciák nyilvántartására, (j) meghibásodással-, szervizeléssel kapcsolatos elérhetségek nyilvántartása, (k) NYMENET eszközök nyilvántartására, (l) vírus-, és egyéb támadásokkal kapcsolatos eseményekre, (m) a küls rendszergazdákkal történ kapcsolattartásra. (4) Az EIK köteles az informatikai eszközök kapacitását folyamatosan felügyelni. A jövbeli kapacitásigényeket a jelenlegi helyzetnek és az elvárásoknak megfelelen kell megtervezni. Valamennyi központi szolgáltatás igénybe vételekor a felhasználó tudomására kell hozni, hogy a közös tárolókapacitásokból mekkora rész jut rá, és tájékoztatni kell arról is, hogy kapacitáshiány esetén miképpen tud helyet felszabadítani. Indokolt kérésre az EIK többletkapacitást biztosíthat a munka folytatásához. (5) Az EIK kiemelten fontos feladata a központi szolgáltatásokat ellátó rendszerek javítása, frissítése. (6) Az EIK feladata a NYMENET felhasználók számítógépeinek szoftveres frissítése a hálózaton keresztül központi szerverek segítségével. (7) Az EIK köteles megtenni minden lehetséges intézkedést a vírusvédelem és küls támadások kivédésének érdekében. Ezen célból hatékony vírusellenrz alkalmazásokat telepítenek a munkaállomásokra, a szerverekre, a NYMENET eszközeire. (a) Az egyetem központi rendszereit is vírusszr szoftverek védik. Az EIK feladata, hogy a védelmi szoftverek a központi rendszereken automatikusan frissüljenek. A munkahelyi munkaállomáson az EIK által javasolt vírusvédelmi rendszert kötelez használni, hogy az EIK automatikus frissítési szolgáltatását igénybe lehessen venni. (b) Az EIK rendszergazdáinak tájékoztatnia kell a felhasználókat a vírusok felbukkanásáról, a velük szemben követend magatartásról, illetve az idnként terjed hamis vírusfenyegetettségrl. (c) Vírusfertzésrl, mint biztonsági incidensrl, az EIK-et értesíteni kell abban az esetben is, ha a vírus terjedését sikerült helyben megakadályozni. (8) A felhasználónak a munkaállomások használata során a következ általános szabályokat kell betartani: (a) az NYMENET felhasználó gépét az EIK rendszergazdája felügyeli szoftveresen, kapcsolja az egyetemi hálózatra, (b) személyes használatban lév számítógépen felhasználói jogokkal kell rendelkeznie, (c) felhasználói jogaihoz tartozó jelszóval védeni tudja számítógépe integritását, (d) illetéktelen személynek felhasználói jogát át nem adhatja, (e) közepes vagy magas biztonsági kockázattal járó feladat végzésekor a számítógépét senkinek át nem engedheti, információbiztonsági kockázatot nem okozhat, (f) biztonsági frissítésrl az EIK rendszergazdája gondoskodik, 18

21 (g) vírusvédelmi szoftver telepítésérl és frissítésérl a gép rendszergazdája gondoskodik, (h) mköd számítógépet csak jelszóval védett képernyvéd használatával, vagy zárolva hagyhat magára. (i) csak jogtiszta szoftvereket használhat, amit a számítógép rendszergazdája idszakonként ellenriz, (j) hardveres fejlesztés eltt kötelez kikérni a rendszergazda véleményét, (k) munkaállomás selejtezésekor a rendszergazda törli a gépben tárolt adatokat. (9) Rendszergazda a szervereket védetlenül nem hagyhatja magára, és a feladata elvégzése után ki kell jelentkeznie a rendszerbl, vagy zárolnia kell azt. (10) Az egyetem feladata, hogy a biztonságos üzemeltetéshez szükséges létszám rendelkezésre álljon. Az EIK szervezeti felépítését oly módon kell kialakítani és folyamatosan aktualizálni, hogy a feladatok, a felelsségi körök egyértelmen személyekhez kötdjenek. A fokozott és kiemelt biztonsági igény kategóriába sorolt alkalmazások, informatikai rendszerek esetében a helyettesítést biztosítani kell. Ez azt jelenti, hogy a gazdasági-, a tanulmányi-, a hálózati menedzsment-, a szerverpark fejlesztés, felügyeletet területén legalább 2 rendszergazdát kell alkalmazni. Az EIK feladata továbbá a továbbképzés, szakirodalom, tanulmányutak biztosítása. 19

22 Személyekkel kapcsolatos biztonság 11. (1) Az IBSZ szerinti információbiztonsági irányelveknek meg kell jelenniük a munkaköri leírásokban. A munkaköri leírások biztonsággal kapcsolatos részeinek kidolgozása során mérlegelni kell az adott munkatárs érintettségét. (2) Minden NYMENET felhasználónak, azaz egyetemi polgárnak, egyetemmel kapcsolatba kerül, az informatikai rendszert használó küls személynek titoktartási nyilatkozatot kell aláírnia, melyben nyilatkozik, hogy a munkája, tevékenysége során tudomására jutott, az egyetem számára értéket jelent információt sem jogviszonya fennállása idején, sem annak megsznése után nem hozza harmadik fél tudomására. Ezen nyilatkozatok nyilvántartását a Humán erforrás-gazdálkodási Csoport, és a kari TO-ok vezetik. (3) Amennyiben az NYMENET felhasználók bármilyen biztonsági incidenssel, biztonsági hiányossággal kapcsolatos szoftver, illetve hardver-hibára utaló jelet tapasztalnak, azt haladéktalanul jelenteniük kell az EIK vezetinek. (4) A felhasználó azonosítása hitelesítése minden informatikai rendszer biztonságának alapja. Az egyetem központi informatikai szolgáltatásait különböz szint, a veszélyeztetettséggel és az általa kezelt adatok érzékenységével arányos hitelesítési rendszerrel kell ellátni. A felhasználói neveket és jelszavakat az ügyfél és a szolgáltatást nyújtó szerver között titkosítva kell továbbítani. Az egyetem dolgozói belépésükkel egy idben alkalmazói jogosultsági azonosítót szereznek a központi szolgáltatásokhoz. Ezzel a felhasználói azonosítóval a dolgozó az alapjogok birtokosa lesz, vagyis használhatja az egyetem hálózatát, eléri az Internetet, levelezni tud a központi levelez szerveren, és lehetvé válik számára az oktatáshoz, munkához szükséges adatok elérése. Az egyetem hallgatója a beiratkozáskor megkapja a Neptun kódját, amellyel tanulmányai befejezéséig rendelkezik a számára szükséges alapjogokkal. Az alapjogokhoz használt jelszó feleljen meg az IBSZ elvárásainak. (5) A Neptun adminisztrátorok tanulmányi felhasználói jogosultsággal rendelkeznek. Figyelembe véve, hogy a kezelt adatok személyiségi jogokat érintenek, valamint hogy a Neptun rendszer kiemelten védett központi szolgáltatás, indokolt a speciális felhasználók különleges jogokkal történ ellátása. A Neptun rendszerben adminisztratív tevékenységet folytató munkatársak azonosítása az SDA Stúdió Kft. által fejlesztett titkosító rendszeren keresztül valósul meg. A hitelesít rendszer segítségével egy folyamatosan változó kódkombináció biztosítja a kezel bejutását a rendszerbe titkosított, biztonságos csatornán keresztül. A bejutást a hitelesít rendszer és a Neptun rendszer is naplózza, valamennyi tevékenység tárolódik, és visszakereshet. (6) A gazdasági- és humánpolitikai vezetk és ügyintézk gazdasági-, humánpolitikai felhasználói jogosultsággal rendelkeznek. Figyelembe véve, hogy a kezelt adatok személyiségi jogokat érintenek, valamint hogy a gazdasági- és humánpolitikai rendszer kiemelten védett központi szolgáltatás, indokolt a speciális felhasználók különleges jogokkal történ ellátása. A gazdasági- és humánpolitikai rendszer külön tzfal szabályokkal védett az egyetem hálózatában. A hitelesít rendszer egyedi jogokat biztosít a különböz feladatok végrehajtóinak. (7) Az EIK rendszergazdái az alapjogokon felül, üzemeltetési feladataiknak megfelelen többletjogokkal, alkalmazás rendszergazda felhasználói jogosultsággal rendelkeznek. Az egyetem központi szolgáltatásait biztosító szerverekhez egyedi azonosítóval férhetnek hozzá, amelyeket a rendszer naplóz. A központi szolgáltatásokat végz szerverek adminisztrátori jelszavait zárt borítékban páncélkazettában kell rizni. A páncélkazettához csak az EIK igazgatónak és az általános rektorhelyettesnek lehet kulcsa, vagy kódja. Ezen kívül a rendszer-jelszavakat titkosított adatbázisokban is tároljuk, amelyhez csak az illetékes rendszergazdák férhetnek hozzá intraneten keresztül. 20