Nemzeti Fejlesztési Ügynökség. EMIR Informatikai Biztonsági Szabályzat

Átírás

1 1. számú melléklet Nemzeti Fejlesztési Ügynökség EMIR Informatikai Biztonsági Szabályzat

2 KÉSZÍTETTE: JÓVÁHAGYTA: HATÁLYBALÉPÉS IDİPONTJA: FELÜLVIZSGÁLAT TERVEZETT IDİPONTJA: KÜRT ZRT SZERZİDÉSSZÁM Verzió Módosítást végzı neve Szervezeti egység Dátum Megjegyzés 0P0 NFÜ NFÜ AZ NFÜ ÁLTAL A KÜRT SZÁMÁRA ÁTADOTT, FELÜLVIZSGÁLATRA 1P0 2P0 ADAMKÓ PÉTER, TÓTHMAJOR MÁTÉ KÜRT MUNKAANYAG ADAMKÓ PÉTER, TÓTHMAJOR MÁTÉ KÜRT ÉSZREVÉTELEK MÓDOSÍTÁSA 3P0 ADAMKÓ TÓTHMAJOR MÁTÉ PÉTER, KÜRT ÉSZREVÉTELEK MÓDOSÍTÁSA 4P0 ADAMKÓ PÉTER KÜRT ÉSZREVÉTELEK MÓDOSÍTÁSA /23

3 Adatosztályozás Módosított Adatvagyon leltár Osztályozott, adatkategóriákba rendezett adatcsoportok Jogosultságok Felülvizsgálata Valós és szükséges jogosultságok eltérés mátrixa Auditjelentés IDS rendszer bevezetése az EMIR rendszer környezetében - jelentések Információbiztonsági kockázatok felmérése és elemzése Kockázatelemzés: Informatikai rendszerelemek listája Releváns fenyegetések listája Kockázatelemzési módszertani útmutató Biztonságos Azonosítás és Hitelesítés Megvalósíthatósági tanulmány Informatikai Biztonsági és Adatvédelmi Felelőshöz tartozó szabályzati környezet kialakítása IBF/AVF kinevezésének eljárása IBF feladatok intézkedési terve AVF feladatok intézkedési terve Kockázatelemzés: Kockázatelemzés jelentés Kockázatkezelési Javaslatok A dokumentum készítésekor zajló Információbiztonsági projekt eredménytermékeit mutatja. KÜRT, IBB A dokumentum készítésekor az NFÜ számára rendelkezésre álló vagy előálló (új) szabályzók második negyedév NFÜ IBP Kockázatkezelő intézkedések - szabályzók rendszere NFÜ IBSz EMIR IBSz Adatvédelmi szabályzat Adatkezelési és biztonsági szabályzat Informatikai Biztonsági és Adatvédelmi Felelőshöz tartozó szabályzati környezet kialakítása Alkalmazásfejlesztési szabályozás (tesztelési szabályzattal) Üzemeltetési szabályzatok (EMIR, NFÜ) DRP tervek EMIR (Mentési rend, DRP terv) DRP tervek NFÜ (Mentési rend, DRP terv) Jogosultságkezelési szabályzat NFÜ Jogosultságkezelési szabályzat EMIR Informatikai Oktatás Oktatási Terv Oktatási anyag Oktatási jegyzőkönyv /23

4 Tartalomjegyzék 1. Az EMIR Informatikai Biztonsági Szabályzat célja és hatálya A szabályzat célja A szabályzat hatálya Szervezeti biztonság Szerepkörök EMIR biztonsági fórum A Projekt Operatív Bizottság (továbbiakban: POB) NFÜ feladatkörök Felhasználó szervezetek feladatkörei Felhasználók feladatai, kötelességei Fegyelmi eljárás, szankcionálások Fizikai és infrastrukturális biztonság Logikai védelem Jogosultságkezelés Zárolás, Jelszóhasználat Internetes biztonság Személyi biztonság Felhasználó szervezetek feladatai Külsı személy EMIR rendszerben történı és helyszíni munkavégzése Szoftverhasználat Védelmi intézkedések Vírusvédelem Határvédelem Mobil eszközök használata Melléklet Felhasználói nyilatkozat /23

5 1. Az EMIR Informatikai Biztonsági Szabályzat célja és hatálya 1.1. A szabályzat célja Az EMIR Informatikai Biztonsági Szabályzat (továbbiakban: IBSZ) célja a Nemzeti Fejlesztési Ügynökség (továbbiakban: NFÜ) által üzemeltetett Egységes Monitoring Információs Rendszer (továbbiakban: EMIR) szabályozott, ellenırizhetı, biztonságos üzemeltetéséhez szükséges feltételek megteremtése és fenntartása. Az ebben a szabályzatban leírtak a minimálisan betartandó követelményeket fogalmazzák meg, minden EMIR-t használó szervezetnek, saját, egyéni igényeihez igazított Informatikai Biztonsági Szabályzatot kell alkalmaznia, mely megfelel az itt leírtaknak, vagy ennél szigorúbb A szabályzat hatálya Jelen szabályzat hatálya az Európai Unió által nyújtott egyes pénzügyi támogatások felhasználásával megvalósuló, és egyes nemzetközi megállapodások alapján finanszírozott programok monitoring rendszerének kialakításáról és mőködésérıl szóló 102/2006. (IV. 28.) Kormányrendelet alapján mőködı EMIR rendszer valamennyi felhasználójára, a felhasználókat foglalkoztató szervezetekre kiterjed. A szabályzat a közzétételét követı 5. munkanapon lép hatályba. Bármely, az IBSZ hatálya alá tartozó szervezet az IBSZ illetve módosításának hatályba lépését követı 3 hónapon belül érvényesíteni köteles annak elıírásait saját IBSZ-ére vonatkozóan. Az NFÜ az IBSZ módosításáról és a hatályos szabályzat elérhetıségérıl az EMIR menedzsereket elektronikus úton is értesíti. Az IBSZ-t legalább évente szükséges felülvizsgálni (az EMIR Informatikai Biztonsági Felelıs felelıssége), illetve ha az EMIR rendszer vagy a felhasználói kör változása ezt indokolja /23

6 2. Szervezeti biztonság 2.1. Szerepkörök Belsı ellenırzés: az NFÜ belsı ellenırzéssel foglalkozó szervezeti egysége, illetve az ezen szervezeti egység által a leírt feladatok ellátásával megbízott külsı vagy belsı ellenırök. EMIR Informatikai Biztonsági Felelıs: (továbbiakban: EMIR IBF) az NFÜ elnöke, mint adatgazda által kijelölt személy. EMIR Adatvédelmi Felelıs: az NFÜ elnöke, mint adatgazda által kijelölt személy. Informatikai (IT) vezetı: az NFÜ Informatikai osztályának vezetıje. EMIR üzemeltetési vezetı: Az Informatikai vezetı által kijelölt személy. EMIR fejlesztési vezetı: Az Informatikai (IT) vezetı által kijelölt személy. EMIR felhasználók: az EMIR Jogosultságkezelési szabályzat alapján az EMIR rendszerhez hozzáféréssel rendelkezı személyek EMIR biztonsági fórum Az IT biztonsággal kapcsolatos szakmai stratégiai döntések meghozatala az IT biztonsági fórum feladata. A fórumon résztvevı személyek az alábbiak: EMIR Informatikai Biztonsági Felelıs, Informatikai (IT) vezetı, EMIR üzemeltetési vezetı, EMIR fejlesztési vezetı. Az IT biztonsági fórum évente legalább egy alkalommal ülésezik. Az ülésen született döntéseket, megállapodásokat jegyzıkönyvben kell dokumentálni. A fórumot az EMIR IBF hívja össze, minden év elsı negyedévében. Az IT biztonsági fórum fı feladatai: az IT biztonsági felelıs éves beszámolójának meghallgatása, az IT biztonságának növeléséhez szükséges döntések meghozatala, elhanyagolható kockázatok felvállalása, az IT biztonsági stratégia kialakítása/módosítása. A biztonsági fórumot jelentısebb, az EMIR-t érintı informatikai biztonsági változások és incidensek esetén is szükséges összehívni. Szükség esetén külsı szakértıt is be lehet vonni nem állandó tagként A Projekt Operatív Bizottság (továbbiakban: POB) /23

7 A POB feladata, hogy ülésein döntési javaslatot tegyen egyes fejlesztések szakmai szükségességérıl és megrendelésérıl. A POB tagjai két csoportba sorolhatók. Ezek az állandó tagok és a meghívott tagok. A POB állandó tagjai az alábbi személyek: Fejlesztési vezetı Fejlesztı képviselıje ÚMFT IH szakreferensek (1-1 fı) PM NAO Koordinációs IH Elnöki kabinet A POB állandó tagjai jogosultak meghívni ideiglenes tagokat a bizottsági ülésekre. A meghívott tagok a meghívást nem kötelesek elfogadni, ebben az esetben helyettük nem kerül más szervezet képviselıje meghívásra. A POB ülések hetente, minden hétfın kerülnek megtartásra. A POB üléseken azok a fejlesztési igények kerülnek elbírálásra, amelyek nem projektszerő fejlesztések. Ebben az esetben az Informatikai (IT) vezetı rendeli meg a fejlesztést és annak végrehajtásakor a nem projektszerő fejlesztések módszertanát kell követni. Amennyiben a fejlesztés projektszerő, az Informatikai (IT) vezetı, illetve a fejlesztési vezetı csak tájékoztatja azokról a POB tagjait, a fejlesztés végrehajtására projektet kell alapítani és a projektszerő fejlesztések módszertana szerint kell eljárni. Mind a projektszerő, mind a nem projektszerő fejlesztések módszertanát az EMIR Projektvezetési Szabályzat szabályozza NFÜ feladatkörök Belsı ellenırzés IT biztonsági feladatai különösen: A 193/2003. sz. korm. rend. alapján a belsı ellenırzés informatikai rendszerellenırzést végez kockázatelemzéssel alátámasztott ellenırzési tervnek megfelelıen, ennek keretén belül: o a költségvetési szervnél mőködı informatikai rendszerek megbízhatóságának, biztonságának, valamint a rendszerben tárolt adatok teljességének, megfelelıségének, szabályosságának és védelmének vizsgálata; Informatikai (IT) vezetıfeladatai: megtervezi, végrehajtja és dokumentálja a tervezett belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket szükség szerint az EMIR IBF, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával, megtervezi, végrehajtja és dokumentálja a meglepetésszerő belsı informatika biztonsági, adatvédelmi, és fizikai biztonsági ellenırzéseket, szükség szerint az EMIR IBF, és a létesítmény biztonsági felelıs, illetve szakértık bevonásával, gondoskodik az általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl szóló jelentések készítésérıl, /23

8 általa észlelt, vagy szakértı által jelentett biztonsági eseményekrıl, visszaélésekrıl megfelelıen tájékoztatja az érintett vezetıt, továbbá az ellenırzésbe bevont személyt, illetve a biztonsági eseményeket jelenti az elnöknek és intézkedési javaslatot tesz, A Szolgáltatás folytonossági szabályzatok szerint meghatározott vészhelyzetek felmerülése esetén dönt a vészhelyzet elrendelésérıl. EMIR IBF feladatai különösen: felelıs az informatikai kockázatkezelési feladatok rendszeres végrehajtásáért, a feltárt kockázatok csökkentésére vonatkozó akciótervek végrehajtásának ellenırzéséért, javaslatot tesz az IT Biztonsági fórumon a felvállalható rendszer biztonsági kockázatokra, felhívja a figyelmet a nem felvállalható kockázatokra, gondoskodik az adatosztályozási folyamat végrehajtásáról, illetve az adatosztályozási nyilvántartások vezetésérıl, kezeli, és rendszeresen felülvizsgálja a biztonsági alapdokumentumokat (stratégia, politika, szabályzat, katasztrófaterv). Kijelöli az alacsonyabb szintő, eljárás- vagy eszköz / technológia specifikus biztonsági dokumentumok elkészítéséért felelıs szervezeti egységeket, együttmőködik az informatikai rendszerfejlesztıkkel az informatikai rendszerek védelmére megvalósítandó rendszer biztonsági követelmények kialakításában, és ellenırzi a követelmények teljesülését, együttmőködik az informatikai üzemeltetéssel az IT biztonság fokozása, a biztonsági incidensek elhárítása érdekében, ellenırzi az informatikai rendszer-fejlesztések, beszerzések, ezekre vonatkozó szolgáltatási és más egyéb (pl. szállítási) szerzıdések rendszer és hálózat biztonsági szempontból való megfelelıségét, véleményezi a jogosultság kezelés folyamatát a Logikai hozzáférési eljárás fejezetben meghatározott jogosultsági elıírások, továbbá az IBSZ más fejezetei, illetve az EMIR Jogosultságkezelési Szabályzata alapján, véleményezi a fejlesztıi, adminisztrátori, belsı és külsı informatika biztonsági ellenıri hozzáférés kéréseket és technikai megoldásokat, felügyeli a belsı és külsı informatika biztonsági ellenırzések végrehajtását, együttmőködik az adatvédelmi felelıssel és a létesítmény biztonságáért az NFÜ SzMSz-e szerint felelıs személyekkel az informatikai biztonsághoz kapcsolódó meghatározási feladatokban, részt vesz a rendszer biztonsági oktatások és éberségi programok tematikájának meghatározásában, szakmai felügyeletében, felelıs az EMIR és infrastruktúrája jogosultsági rendszerének meghatározott idıközönkénti, de legalább éves felülvizsgálatáért, ennek során ellenırzi, hogy a jogosultságok adminisztrációja a szabályzatban foglaltak szerint történik-e, A jogosultság felülvizsgálat részeként elıírja a kötelezetteknek a felhasználók jogosultságának felülvizsgálatát. felelıs az EMIR informatikai rendszerében tárolt elektronikus adatok mentésének, archiválásának rendszeres, elıírásszerő végrehajtásának, és a visszatöltés folyamatának ellenırzéséért, /23

9 az EMIR fejlesztések során jelentkezı feladatait az EMIR Fejlesztési Szabályzat tartalmazza. EMIR adatvédelmi felelıs feladatai különösen: közremőködik, illetıleg segítséget nyújt az adatkezeléssel összefüggı döntések meghozatalában, valamint az érintettek jogainak biztosításában; ellenırzi az adatkezelésre vonatkozó jogszabályok, valamint a belsı adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását; kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelıt vagy az adatfeldolgozót; elkészíti a belsı adatvédelmi és adatbiztonsági szabályzatot; vezeti a belsı adatvédelmi nyilvántartást; gondoskodik az adatvédelmi ismeretek oktatásáról; az EMIR fejlesztések során jelentkezı feladatait az EMIR Fejlesztési Szabályzat tartalmazza. EMIR üzemeltetési vezetı feladatai különösen gondoskodik arról, hogy az IT biztonsági feladatok és követelmények beépüljenek az üzemeltetési folyamatokba, részt vesz az IT biztonsági fórum határozataiban, részt vesz az IT biztonsággal kapcsolatos incidensek kivizsgálásában, az esetleges felelısök felelısségre vonásában, a beszerzésekben érvényesíti a biztonsági szempontokat, érvényesíti az IT biztonsági követelményeket a külsı szolgáltatókkal kötött szerzıdésekben, A Szolgáltatás folytonossági és Katasztrófa elhárítási terveknek megfelelıen vészhelyzetek felmerülése esetén gondoskodik az elhárítás koordinálásáról, gondoskodik ún. vészhozzáférések elhelyezésérıl (lepecsételt boríték, páncélszekrény), intézkedik a mentési stratégia kialakításáról, ellenırzéseket végez a mentések elvégzésérıl, intézkedik az ezzel kapcsolatos incidensek kezelésérıl. Gondoskodik a mentések tárgyi- személyi feltételeirıl, rendszeresen a szolgáltatás folytonossági szabályzatokban leírtak szerint végeztet katasztrófahelyzet kezeléssel kapcsolatos teszteket. NFÜ HelpDesk fogadja az EMIR rendszerrel kapcsolatos incidens jellegő bejelentéseket, végrehajtja azoknak a biztonsági incidenseknek az elhárítását, amelyekhez kompetenciája van, kezdeményezi a kompetenciáján kívül esı incidensek elhárítását, értesíti az incidensek kezeléséért felelıs szakértıket, dokumentálja a biztonsági incidensek kezelésének teljes ciklusa alatt felmerült problémákat, tevékenységeket, megoldásokat, valamennyi biztonsági incidensrıl jelentést tesz az EMIR IBF-nek /23

10 Informatikai biztonság tudatosítása A felhasználók IT biztonsági tudatosítása érdekében az alábbi feladatokat kell végrehajtani: a személyi kockázatok csökkentése érdekében meg kell oldani az EMIR rendszer felhasználóinak, valamint üzemeltetıinek, és fejlesztıinek biztonsággal kapcsolatos tudatosítását; az IT biztonság tudatosítása az EMIR felhasználók esetében oktató anyagok terjesztésével és képzések útján történik, melyrıl az Informatikai (IT) vezetı gondoskodik. Az oktatási tematikákat és anyagokat az EMIR IBF-nek véleményeznie kell. EMIR IBF és az Informatikai (IT) vezetı jogosultságai Az EMIR IBF és az Informatikai (IT) vezetı, illetve az általuk e feladatok ellátásával megbízott személyek jogosultak bármely felhasználói adatot - beleértve a felhasználók rendszerben végzett tevékenységére, illetve a jelen szabályzat betartására vonatkozó személyes szintő adatokat - a rendszerben megismerni és ezen adatokat kezelni, elemezni, illetve ezek alapján intézkedéseket kezdeményezni Felhasználó szervezetek feladatkörei Minden felhasználó szervezet feladata: az EMIR biztonságos üzemeltetésének elısegítése, a biztonsági kockázatot jelentı események azonnali jelentése az EMIR IBF felé az NFÜ által megjelölt biztonságos csatornán, amely a biztonsági kockázatot nem teszi elérhetıvé a feladón és a címzetten kívül másoknak, az EMIR-hez kapcsolódó szabályzatok ismerete, betartatása, felhasználókkal való megismertetése (EMIR IBSZ, EMIR Jogosultságkezelési szabályzat), az EMIR fejlesztését koordináló Projekt Operatív Bizottság munkájának támogatása Felhasználók feladatai, kötelességei A személyekhez kapcsolódó biztonsági elıírások Az IT biztonság szintjének fenntartása, mint kiemelt feladat, az EMIR felhasználók teljes állományának felelıssége. A felhasználó felelısséggel tartozik: az NFÜ EMIR-re vonatkozó szabályzataiban (EMIR IBSZ, EMIR jogosultságkezelési szabályzat) megfogalmazott elıírások betartásáért; a tudomására jutó, a jogszabályokban, szabályzatokban megfogalmazott elıírások bárki által történı megszegésének jelentéséért; az IT biztonságért felelıs személyekkel való együttmőködésért; a használatában lévı informatikai eszközök rendeltetésszerő használatáért; /23

11 a biztonságos tárolásért és a személyén keresztül vagy más alkalmazáson keresztül történı jogtalan hozzáférés megakadályozásáért mobil-eszköz és adat esetén is, különösen a kiexportált adatok esetén; köteles a szoftver, és hardver beállításokat megtartani; jelszavának bizalmas kezeléséért (azt nem oszthatja meg mással; jelszavát semmilyen körülmények között nem jelenítheti meg a különbözı adathordozókon: jelentéseken, képernyın, papíron stb.); amennyiben jelszava kompromittálódik (más tudomására jut) azt haladéktalanul jelentenie kell közvetlen felettesének, valamint az NFÜ Helpdesknek elektronikus levélben, vagy telefonon). A jelszó megváltoztatása ez esetben kötelezı; más személy felhasználói azonosítóját és jelszavát nem használhatja, ezek megszerzésére nem törekedhet; tevékenységei során gondosan járjon el és igyekezzen megakadályozni illetéktelen személy hozzáférését az informatikai rendszerekhez, illetve az abban tárolt adatokhoz. Ebbıl következıen az export funkciókkal kinyert adatok csak olyan személyek számára adhatók át akár direkt módon, akár más alkalmazásokon keresztül, akik azok megismerésére jogosultak. Az export funkcióval kinyert adatokat bizalmasságuk szerint kell kezelni; köteles elkerülni, hogy családtagjai, ismerısei bizalmas információk birtokába jussanak otthoni munkája során; nem tárolhat, vagy továbbíthat az EMIR-ben magán célú fájlokat; nem élhet vissza a tudomására jutott elıforduló szoftver és védelmi hiányosságokkal és azokat köteles jelenteni az illetékesnek; tilos a rendszernek az elıírttól eltérı, bármilyen más módon történı használata; az itt felsoroltakon felül a felhasználó felelısséggel tartozik az NFÜ Adatkezelési és biztonsági Szabályzat és Adatvédelmi Szabályzatában foglaltak betartásáért és az attól történı eltérések jelentéséért az adatvédelmi felelıs felé. Az EMIR Jogosultságkezelési szabályzat értelmében: A felhasználók feladata, hogy az EMIR alkalmazáshoz szerzett jogosultságukat, szakszerően, indokoltan, a kapcsolódó szabályzatoknak megfelelıen használják, munkaköri vagy jogviszony változás esetén a szervezeti egységük jogosultság adminisztrátorainál haladéktalanul kezdeményezzék jogosultságuk módosítását, törlését. Ezt az ehd rendszerén keresztül tehetik meg. Minden felhasználónak haladéktalanul jelentenie kell jogosultságigény engedélyezınek, ha azt tapasztalja, hogy az ı vagy más jogosultságával visszaéltek, ha illetéktelen jogosultságokhoz jutott vagy az ıt megilletı jogosultságokkal nem rendelkezik, valamint amennyiben meglévı jogosultságai nem a leadott igények szerint változtak. Az EMIR-rel kapcsolatba kerülı minden felhasználó köteles értesíteni a közvetlen vezetıjét, és az EMIR IBF-et az általa észlelt biztonsági incidensekrıl. felismert, vagy felismerni vélt biztonsági esemény; /23

12 tapasztalt, informatikai biztonsági szempontból nem megfelelı magatartás; bármilyen bizalmas információ kiszivárgása; felismert, vagy felismerni vélt védelmi gyengeség, biztonsági rés, sérülékenység, hiányos, pontatlan szabályozás. A felhasználó ezzel kapcsolatos bejelentéseit az NFÜ által megjelölt biztonságos csatornán keresztül teheti meg. Az EMIR IBF a bejelentéseket értékeli, és az azonnali intézkedést igénylı bejelentéseket az Informatikai (IT) vezetınek továbbítja. A felhasználónak joga van: a rendelkezésükre bocsátott informatikai eszközök szabályszerő, rendeltetésszerő használatára a saját munkájuk támogatása érdekében; az EMIR használata során felmerült problémák, akadályok elhárításához támogatási kapni. A segítségnyújtáshoz az igényt az NFÜ HelpDesk-nek kell küldenie; a reá vonatkozó törvények, és szabályzatok megismeréséhez; az EMIR-ben végzett munkájához szükséges IT biztonsági eljárások, ismeretek megismeréséhez. Jelen szabályzattal kapcsolatos értelmezési probléma esetén a felhasználó közvetlen vezetıjéhez vagy az EMIR IBF-hez fordulhat; megtagadni az EMIR-rel végzett munkát, ha: - véleménye szerint az EMIR használata súlyos törvénysértéshez, vagy bőncselekményhez vezet; - a tevékenység veszélyezteti az EMIR rendelkezésre állását, hitelességét, megbízhatóságát. A felhasználók tudatosításának részeként az EMIR rendszerbe történı elsı belépéskor minden felhasználó köteles igazolni a jogosultsági szabályzat és az IBSZ megismerését, illetve elfogadni az IBSZ 1.sz. mellékletét képezı felhasználói nyilatkozatot. Bármely szabályzat követelmények vagy elıírásokban történı változása esetén a nyilatkozatot meg kell ismételni. A szabályzatok és a nyilatkozat a vonatkozó elnöki utasítás elektronikus verziójából is elérhetı, illetve letölthetı az Interaktív Mőködési Kézikönyv portálról is, mely az NFÜ honlapján keresztül érhetı el regisztrációt követıen. Az elektronikus nyilatkozattétel hiányában a belépés nem engedélyezett. Az elektronikus nyilatkozatban vállaltak teljesítését az NFÜ informatikai osztálya jogosult folyamatosan felügyelni, ebbıl a célból informatikai eszközök segítségével nyomon követi az egyes felhasználók rendszerben végzett tevékenységeit és eljár azok kapcsán, amennyiben biztonsági kockázatot, vagy a hatályos szabályzatok megsértését észleli Fegyelmi eljárás, a szankciók rendszere Az EMIR biztonsági elıírások súlyos megsértése esetén fegyelmi eljárás indítható a szabálysértı személyével szemben, különösen ha: /23

13 a szabályzat elıírásainak megsértése EMIR hozzáférési adatainak illetéktelen személynek történı tudomására hozatalával (pl.: személyes jelszó elmondása, vagy hozzáférhetı helyre történı feljegyzése) kapcsolatos; a szabályzat elıírásainak megsértése következtében az EMIR biztonsági rendszerének védelmi megoldásai illetéktelenek kezébe jutottak; a szabályzat elıírásainak megsértése következtében bekövetkezett vagyoni hátrány (vagyoni kár, többletköltség) esete áll elı; törvénysértés esetén. Az IT biztonsággal kapcsolatos fegyelmi eljárás lefolytatásához az EMIR IBF-t, illetve az Informatikai (IT) vezetıt be kell vonni. Ha a felhasználó által okozott szabálysértés anyagi kárral is jár, anyagi felelısség is megállapítható a vonatkozó jogszabályoknak és a belsı szabályzatoknak megfelelıen /23

14 3. Fizikai és infrastrukturális biztonság Az EMIR megbízható mőködése érdekében minden felhasználó szervezetnek biztosítania kell a megfelelı felhasználó oldali infrastruktúrát. Ennek keretében köteles: az intézmény ırzés-védelmét mind munkaidıben, mind azon túl biztosítani kell, az épület zárását, a belépést ezen idıszakoknak megfelelıen szabályozni és érvényesíteni, az olyan hivatali helyiségeket, ahol számítástechnikai eszközökkel történik a munkavégzés, biztonsági zárral kell ellátni és a helyiséget távollét esetén zárva tartani, az EMIR-bıl kinyert és elektronikus adathordozóra mentett dokumentációk tőz- és vagyonvédett tárolását, EMIR adatokat akár hordozható adattárolón, akár más úton csak az adott adatkörre kinevezett jogosultság engedélyezı elızetes írásbeli engedélyével szabad külsı személynek átadni, megfelelı archiválás után az adattárolók biztonságos, vissza nem állítható törlésérıl gondoskodni azok selejtezése, visszavétele, elidegenítése esetén, a személyzet és a külsı személyek belépési és azonosítási rendjét szabályozott formában megvalósítani, a szállítókkal és a szerviz cégekkel olyan garanciális, illetve garancián túli szerviz szerzıdést kötni, amely garantálja a megbízható rendelkezésre állási szint betarthatóságát, illetve ütemezett beszerzésekkel és raktáron tartott tartalék eszközökkel kell ezt biztosítani (szerviz számára adattároló egységet csak akkor szabad átadni, ha anélkül a javítás nem elvégezhetı. Ebben az esetben titoktartási nyilatkozatot kell a javítást végzıvel elfogadtatni), a hálózati elemek rongálás és tőz elleni védelmét biztosítani, az informatikai rendszer üzemeltetéséhez és karbantartásához biztosítani a megfelelı szaktudású és tapasztalatú személyzetet (Ha külsı cég látja el, akkor jelen szabályzat 5.2 Külsı személy EMIR rendszerben történı és helyszíni munkavégzése pontjának betartásával.), az informatikai infrastruktúrát úgy kell kialakítani, hogy megfeleljen az adott rendszerekre vonatkozó minimális technikai elıírásoknak, biztosítani kell a hálózat erıforrásaihoz, a hálózaton elérhetı adatokhoz történı illetéktelen hozzáférés (lehallgatás) elleni védelmet. Tőzvédelmi elıírások A tőz elleni védelmet elsıdlegesen a személyi felügyelet, valamint a jelenlévı személyzet biztosítja a helyiségen belül készenlétben tartott, a tőzvédelmi elıírásoknak megfelelı kézi tőzoltó-készülékekkel. A készülékek típusát és darabszámát, illetve elhelyezését a helyi tőzvédelmi utasításnak kell tartalmaznia. A készülékeket a helyiségeken belül a bejárat mellett, valamint a helyiség erre alkalmas, jól megközelíthetı pontjain kell elhelyezni. A helyiségben a vonatkozó /23

15 szabványok elıírásainak megfelelı tőzjelzı rendszert kell kiépíteni és üzemeltetni. Az elektromos hálózat elégítse ki az MSZ 1600 sorozatú szabványok elıírásait, az érintésvédelem feleljen meg az MSZ 172 sorozatú szabványok elıírásainak. A villámvédelem elégítse ki a kommunális és lakóépületekre vonatkozó elıírásokat. 4. Logikai védelem 4.1. Jogosultságkezelés Az EMIR jogosultságkezelési rendszerének leírása és annak szabályozása külön dokumentumban, az EMIR Jogosultságkezelési Szabályzatban van rögzítve Zárolás, Jelszóhasználat Az EMIR rendszerben történı munkavégzés során különös figyelmet kell fordítani, hogy bejelentkezett felhasználó ne hagyja magára a munkaállomást. Ha a rövidebb idıre távozik munkahelyérıl a számítógép operációs rendszerének zárolás funkciójának használata kötelezı, oly módon, hogy csak jelszó megadása után lehessen a számítógéphez hozzáférni. Hosszabb szünet esetén jelentkezzen ki az EMIR rendszerbıl. Bizonyos felhasználó aktivitás nélküli idı eltelte után (maximum 10 perc) a munkaállomás automatikusan zárolásra kerüljön. Az EMIR informatikai rendszeréhez bejelentkezési névvel rendelkezı felhasználó köteles a bejelentkezı nevéhez tartozó jelszó megırzésére. A jelszavaknak meg kell felelniük az alábbi követelményeknek rendszertıl függetlenül: ne egyezzen meg a felhasználó nevével, felhasználói azonosítójával, telefonszámával, engedélyének számával, személyi számával vagy dolgozói kódjával, valamint az aktuális hónappal, jelszó vagy password szóval, illetve a felhasználóhoz kötıdı bármely karaktersorozattal (pl. születési dátum, lakcím), személynévvel. Kerülni kell a szótárban megtalálható vagy az elterjedt európai nyelvekben használatos, jelentéssel bíró szavakat vagy kifejezéseket, Ne tartalmazzon azonos, vagy ismert logika szerint egymást követı karaktereket (pl , 12345, aaaaa, qwert, asdfg, gegegeg), ne utaljon a felhasználóra, munkakörére, munkahelyére, tartalmazzon vegyesen numerikus, alfanumerikus és különleges karaktereket. Az EMIR architektúrájából adódóan a jogosultsági rendszer két szinten és két felhasználói körben jelenik meg: Infrastruktúra szint: a terminálszerverhez történı hozzáférés. Alkalmazás szint: az EMIR alkalmazáshoz történı hozzáférés. Intézményrendszeren belüli felhasználó /23

16 Intézményrendszeren kívüli felhasználó (a * -gal jelzett rövidebb idıtartamok érvényesek Automatikusan letiltott állapotba kerül azon felhasználók profilja, akik valamely alrendszerbe 72/30* napnál régebben léptek be. Ez a szabály a terminál szervereken minden felhasználóra egységesen 72 nap Internetes biztonság Tilos kikapcsolni, inaktiválni a munkaállomásra telepített biztonsági szoftvereket, eszközöket (vírusvédelem, belsı tőzfal, automatikus biztonsági frissítések). Tilos tudatosan kihasználni az esetleges elıforduló szoftver hibákat, védelmi hiányosságokat. Tilos a hálózat biztonságos mőködését zavaró vagy veszélyeztetı információk, programok terjesztése (pl. vírusok, trójai programok, hacker eszközök, férgek). Tilos bármelyik számítógép-hálózat biztonságát rombolni, illetve gyengíteni, más felhasználó jogosultságát jogosulatlanul használni. Tilos bármely végpont mőködését megzavarni vagy azt annak igénybevételével szándékos túlterhelni (DOS támadás). Tilos a szolgáltatások blokkolását, lassítását célzó támadás, az azonosítási, illetve biztonsági intézkedések megsértésére irányuló kísérlet, valamint az egyéb azonosítóhoz, számítógéphez vagy hálózathoz történı illetéktelen hozzáférési kísérlet. Tilos a hálózati forgalom lehallgatása, megfigyelése. Az EMIR alkalmazás böngészın keresztül elérhetı webes komponensei esetén a következı pontok követendık: A webes belépés ( után a titkosított kapcsolat (https) kiépítésre kerültét ellenırizni kell. A titkosított csatorna kiépültét a böngészık alsó sorában megjelenı lakat ikon jelzi. Az EMIR-hez tartozó jelszót ne mentsük el a böngészıben, ha az lehetıséget ad rá. Az EMIR rendszerhez kapcsolódóan jelszavak kiadása tilos. Erre vonatkozó kérést tilos teljesíteni, függetlenül a kérés módjától és csatornájától. Az EMIR üzemeltetés nem küld ki ilyen kéréseket. Az ilyen jellegő kérés adathalász támadás jele lehet, melyet jelenteni kell az NFÜ Helpdesken /23

17 5. Személyi biztonság 5.1. Felhasználó szervezetek feladatai A munkaerı kiválasztásakor különös gonddal kell eljárni, az EMIR rendszer súlyának megfelelıen, csak megfelelı képesítéssel, tapasztalattal rendelkezı személyeket szabad alkalmazni. Ennek során a megfelelı átvilágításon át kell esnie a célszemélynek, mely magában foglalja a képzettséget bizonyító tanúsítványok bekérését. Munkába álláskor minden munkatárs számára biztosítani kell az informatikai biztonsággal kapcsolatos tájékoztatást, valamint az összes munkatárs számára a rendszeres továbbképzést.. Az intézmény belépési rendjét úgy kell kialakítani, hogy területén csak arra jogosultak tartózkodhassanak. A ki és belépéseket naplózni kell. Az informatikai rendszer biztonságát meghatározó munkakörökben dolgozó munkatársak helyettesítési rendjét ki kell alakítani. A felhasználók tevékenységének szelektív szétválasztását az ellenırzés céljából biztosítani kell Külsı személy EMIR rendszerben történı és helyszíni munkavégzése Külsı (EMIR hozzáféréssel munkakörébıl fakadóan nem rendelkezı, illetve az intézményrendszer tagjaival munkaviszonyban nem álló) személy EMIR rendszerben történı, valamint az EMIR rendszert elérı, illetve annak adatait kezelı vagy tartalmazó informatikai rendszerek eseti karbantartására irányuló munkavégzése csak akkor megengedett, ha: a külsı személlyel titoktartási nyilatkozatot fogadtattak el, vagy az ıt alkalmazó partnerrel kötött szerzıdés a titoktartásról rendelkezik, a külsı személy vállalja a szervezet és az EMIR informatikai szabályzatainak betartását, eseti karbantartás, javítás esetén a külsı személy munkavégzése folyamatos személyes ellenırzés alatt áll. Külsı személyek jogosultságaira és jelszókezelésére vonatkozóan a jogosultsági szabályzat tartalmazhat a fentieken túl különleges vagy módosító rendelkezéseket Szoftverhasználat A szoftverhasználat során a felhasználó szervezeteknek a hatályos jogszabályoknak meg kell felelniük, különösen a szerzıi jogok tekintetében. Az EMIR rendszerbe csak legális, jogtiszta szoftverekkel telepített számítógépekrıl szabad bejelentkezni /23

18 6. Védelmi intézkedések 6.1. Vírusvédelem A számítógépes vírusok, férgek károkozásának megelızése érdekében a felhasználó szervezetek informatikai rendszerében vírusvédelemi rendszert kell mőködtetni. A vírusvédelmi rendszerrel szembeni követelmények: a vírusvédelmi szoftvernek menedzselhetınek, bizonyítottan jó vírusfelismerı képességőnek, illetve nemzetközileg elfogadott minısítésőnek kell lennie; a vírusvédelmi szoftvernek minden potenciális támadási ponton (gateway, szerver és kliens) aktívan üzemelnie kell; a vírusvédelmi rendszer folyamatos frissítését és terméktámogatását garantálni kell. Vírusvédelmi rendszernek a következı védelmi szinteken kell mőködnie: és internet kapcsolat védelme: a vírusvédelmi rendszer elsı szintő védelmét a tőzfalakon és a levelezı szervereken kell mőködtetni; szerverek védelme: a bizalmas adatok védelme érdekében a másodlagos vírusvédelmi vonalat a fájl- és alkalmazásszervereken kell mőködtetni; munkaállomások vírusvédelme: munkaállomások esetében minden lehetséges adatbeviteli pontot automatikusan ellenıriznie kell (floppylemez használat, CD és DVD, USB memóriák, hálózati kapcsolat, , Internet, stb.). Általános vírusellenırzési elıírások A vírusvédelmi rendszernek valósidejő és manuálisan indítható, idızíthetı üzemmódokban is mőködıképesnek kell lennie. A valósidejő ellenırzés feladata a számítógépes rendszer rendeltetésszerő mőködése közben használatba vett állományok és más objektumok valósidıben, közvetlenül a felhasználás elıtt történı ellenırzése. Az újonnan megjelent vírusellenırzı eljárások által a korábban fel nem derített állományok felismerése érdekében a teljes fájlrendszert idıszakosan át kell vizsgálni. A felhasználó szervezet üzemeltetıje által szabályozott idıközönként a víruskeresı rendszer részeinek, vagy egészének frissítését követıen a vizsgálatot el kell végezni. A valósidejő védelem kikapcsolását a felhasználói munkaállomásokon tiltani kell. A vírusvédelmi rendszert úgy kell kialakítani, hogy a detektált vírus esetén az üzemeltetıt haladéktalanul értesítse. A fertızés gyanús állományt a rendszernek automatikusan karanténba kell helyeznie. Az állomány eltávolítását az felhasználó szervezet üzemeltetıje végzi. Az újonnan rendszerbe állított, illetve újratelepített munkaállomást, mobil informatikai eszközt és szervert víruskeresı rendszer telepítése és a gép teljes ellenırzése nélkül üzembe helyezni tilos /23

19 A vírusvédelmi rendszer aktualizálását a vírusminta szignatúrák és a keresı-motorok lehetı legrövidebb idın belül történı automatikus frissítéssel kell megoldani. Vírusfertızés gyanúja esetén a felhasználó köteles a felhasználó szervezet üzemeltetıjét azonnal értesíteni Határvédelem A felhasználó szervezeteknek biztosítaniuk kell hálózatuk védelmét központi tőzfal alkalmazásával. Hálózati munkaállomások az Internethez kizárólag a hivatalos Internet kijáraton (központi tőzfalon) keresztül csatlakozhatnak. Vezetékmentes hálózaton (pl. Wi-Fi) keresztül csak különösen indokolt esetben szabad az EMIR rendszerbe csatlakozni. Ilyen esetekben gondoskodni kell a hálózat megfelelı védelmérıl, legalább WPA2 vagy erısebb titkosítással. Vezetékmentes hálózati csatlakozással rendelkezı eszközökön, ha az nincs használatban, gondoskodni kell annak letiltásáról. Az Internetrıl letöltött állományokat csak vírusellenırzést követıen szabad megnyitni, amely vírusellenırzés lehet automatikus is. A nem megbízható forrásból származó információkat csak ellenırzést követıen szabad felhasználni. Tilos tudatosan kihasználni az Internet szolgáltatást biztosító rendszerekben esetlegesen elıforduló szoftver hibákat, védelmi hiányosságokat Mobil eszközök használata Mobil számítástechnikai eszközök, többek között notebook, palmtop, laptop és mobil telefon alkalmazása esetén meg kell elızni az üzleti információk jogosulatlan elérését. Körültekintıen kell eljárni minden olyan esetben, amikor nyilvános helyeken, tárgyalóhelyiségekben vagy más védtelen külsı helyszíneken használnak mobil számítástechnikai eszközöket. A notebook kivételével tilos EMIR-bıl exportált adatokat tárolni a mobil eszközön. Notebook esetén lehetıség szerint kerülni kell az eszközökön az EMIR-bıl exportált kapcsolódó adatok lokális tárolását. Amennyiben mégis sor kerülne rá, megfelelı védelmi eszközökkel, gondoskodni kell arról, hogy csökkentsék a mobil eszközön tárolt vagy feldogozott információ illetéktelen elérésének vagy nyilvánosságra kerülésének kockázatát. A mobil számítógépek kezelésében a következı irányelvek követendıek: A mobil eszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni. Valamennyi a szervezet tulajdonát képezı hordozható személyi számítógépet rendszeres szoftver-, adat- és biztonsági ellenırzéseknek kell alávetni. A személyi számítógépeket és az ahhoz kapcsolódó számítástechnikai berendezéseket szállító személyek: /23

20 Kötelesek a számítógépet a szállítás idejére lehetıleg minél kevésbé szem elıtt lévı módon elhelyezni. Tilos a számítógépet a gépjármőben hagyni. Repülés, vagy vonatút alatt a személyi számítógépet kézipoggyászként kell szállítani. Azokban az esetekben, amikor az eszközöket nem a szervezet tulajdonában lévı telephelyen (szálloda, lakás) kell hagyni, fokozott figyelmet kell szentelni a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása, vagy ellopása elleni védelemnek. Tilos az eszköz engedély nélküli átruházása Tilos megfelelı védelem (aktív víruskeresı, és személyi tőzfal) nélkül idegen hálózathoz csatlakozni. Tilos a gépet bármilyen indokolatlan veszélynek kitenni vagy nem rendeltetésszerően használni. A mobil eszközök biztonsági beállításait illetve háttértárolóinak tartalmát rendszergazdáknak és a szervezet biztonságért felelıs dolgozójának legalább félévente ellenıriznie kell. Az ellenırzés során fokozott figyelmet kell szentelni a következıknek: Az adott eszközön a biztonsági beállítások, vírusvédelmi és egyéb biztonsági eszközök beállításai megfelelnek-e az elıírtaknak. Az állományok lokális tárolására vonatkozó szabályok betartásra kerülnek-e. Az eszközön fellelhetı naplóállományokban nincs-e nyoma rendellenes mőveleteknek, jogosulatlan használatnak /23

21 7. Melléklet Felhasználói nyilatkozat A nyilatkozat célja A nyilatkozat célja a felhasználókban tudatosítani, hogy munkájuk során a lehetı legnagyobb gondossággal járjanak el az EMIR rendszerekben tárolt információk használatakor annak érdekében, hogy az adatok bizalmassága, sértetlensége, és rendelkezésre állása a felhasználó szándékos, vagy gondatlan magatartásából ne sérüljön, illetve a felelısségük számon kérhetı legyen. Felhasználói nyilatkozat Név:...,dolgozó azonosító:.. az EMIR felhasználója kijelentem, a feladataim ellátásához szükséges információbiztonsági ismeretekkel rendelkezem, a munkámra és az EMIR használatára vonatkozó hatályos szabályzatokat megismertem és megértettem, azokat munkám során alkalmazom. A mindenkori hatályos szabályzatokban foglaltakat betartom. Tudatában vagyok, hogy az informatikai eszközök megfelelı használata közvetve vagy közvetetten védelmet nyújt az információvesztés, a jogosulatlan információ módosítás vagy az információ jogosulatlan személyhez való kerülése ellen. Tudomásul veszem, hogy az EMIR rendszerben kezelt adatok, szoftverek, fájlok, levelek az NFÜ tulajdonát képezik, így azokat az NFÜ kijelölt szakemberei ellenırizhetik. Az informatikai eszközök rendeltetésszerő alkalmazása érdekében: Ügyelek a használatomban lévı informatikai eszközök rendeltetésszerő használatára. A biztonságos tárolásról mobil-eszköz esetén is gondoskodom. Köteles vagyok a beállított szoftver, hardver állapotokat megtartani. Az informatikai eszközök és adatok biztonságos alkalmazása érdekében: A jelszava(i)mat titkosan kezelem, az(oka)t nem osztom meg mással semmilyen jellegő megkeresés, kérés esetén sem. A jelszava(i)mat semmilyen körülmények között nem jelenítem meg a különbözı adathordozókon: jelentéseken, képernyın, papíron stb. Más személy felhasználói azonosítóját és jelszavát nem használom, ezek megszerzésére nem törekszem. Ha ilyen a tudomásomra jut, azt másnak át nem adom, hanem jelzem a jelszó tulajdonosának és közvetlen vezetımnek a titkosság megszőnését, saját jelszavam mások általi megismerése esetén elvégzem, vagy kérem írásban az azonnali jelszómódosítást /23

22 Tevékenységem során gondosan járok el és igyekszem megakadályozni illetéktelen személy hozzáférését az informatikai rendszerekhez és az abban tárolt adatokhoz. Kerülöm az olyan tevékenységet, amelynek célja, vagy elırelátható következménye az EMIR hálózatának- vagy szoftverintegritásának bármely fokú és természető sérülése. Elkerülöm, hogy családtagjaim, ismerıseim bizalmas információk birtokába jussanak otthoni munkám során. Nem élek vissza a tudtomra jutott elıforduló szoftver és védelmi hiányosságokkal, ilyen információkat csak és kizárólag az EMIR IBF-nek adok tovább. Ügyelek arra, hogy illetéktelen személyek ne olvassák a monitoron megjelenı információkat. Azt a munkaállomást, melyen bejelentkeztem, csak abban az esetben hagyom felügyelet nélkül, ha a napi munkavégzés miatt ez indokolt, és a munkaállomáson telepített jelszóvédelemmel rendelkezı képernyı-pihentetés (screen saver) telepítve van és ezt aktiváltam, vagy a munkaállomásomat zároltam Az informatikai eszközök, adatok magánhasználatra történı alkalmazásának elkerülése érdekében: Nem használom öncélú gazdasági haszonszerzésre vagy játékra az NFÜ által rendelkezésemre bocsátott IT eszközöket. Magáncélra adatokat nem rögzítek és rögzített céges adatokat engedély nélkül nem viszek és nem juttatok ki a munkavégzés területérıl, telephelyeirıl. Szoftverek jogtisztaságának megırzése: Az NFÜ számos külsı cégtıl vásárolja meg a számítógépes szoftverek licenc engedélyét. Az NFÜ a szoftver felhasználói szerzıdéssel nem válik a szoftverek tulajdonosává, és azok dokumentációját és az adathordozókon tárolt program példányait a szoftver tulajdonosának külön engedélye nélkül nem áll jogomban reprodukálni, illetve harmadik személynek átadni. Amennyiben tudomásomra jut, hogy a megvásárolt szoftvert, vagy azzal kapcsolatos dokumentációt nem a fentiek szerint használják, akkor azt a hibák mielıbbi kijavítása érdekében köteles vagyok jelenteni a közvetlen vezetımnek. Tudomásul veszem, hogy a Büntetı Törvénykönyvrıl szóló évi IV. törvény 329/A -a értelmében az illegális szoftvermásolásban részt vevı személy pénzbírsággal vagy akár 5 évig terjedı szabadságvesztéssel is sújtható, valamint a megfelelı összeg erejéig kártérítésre kötelezhetı. Jelentési kötelezettségeim: Amennyiben tudomásomra jut, hogy a fenti szabályokat bárki megsérti, azt köteles vagyok jelenteni a közvetlen vezetımnek /23

23 Az EMIR használata során birtokomba kerülı üzleti titkokat és személyes adatokat (Személyes adatok védelmérıl szóló évi LXIII Törvény 5. ) megırzöm. Kijelentem, hogy az itt leírtakat megértettem és azokat magamra nézve kötelezınek elismerem. Tudomásul veszem, hogy amennyiben a Felhasználói nyilatkozat -ban leírtakat megszegem, úgy munkajogi, kártérítési és büntetıjogi felelısségem áll fenn és fegyelmi eljárás indulhat ellenem /23