33/2015. számú Kormánymegbízotti utasítás Melléklete. A Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Biztonsági Szabályzatáról

Átírás

1

2 Borsod-Abaúj-Zemplén Megyei Kormányhivatal Ügyiratszám: BO/07/40-6/ /2015. számú Kormánymegbízotti utasítás Melléklete A Borsod-Abaúj-Zemplén Megyei Kormányhivatal Informatikai Biztonsági Szabályzatáról 2. oldal

3 TARTALOMJEGYZÉK 1. PREAMBULUM AZ IBSZ META-ADATAI AZ IBSZ TÁRGYA AZ IBSZ CÉLJA AZ IBSZ KIADÁSA SZABÁLYOZÁSI PORTFÓLIÓ SZABÁLYOZÁSI PORTFÓLIÓ AZ IBSZ SZABÁLYOZÁSI PORTFÓLIÓBAN ELFOGLALT HELYE INFORMÁCIÓBIZTONSÁGI POLITIKA INFORMÁCIÓBIZTONSÁGI STRATÉGIA AZ IBSZ RÖVIDÍTÉS JEGYZÉKE AZ IBSZ MELLÉKLETEI A SZABÁLYZAT HATÁLYA TÁRGYI HATÁLY SZERVEZETI HATÁLY SZEMÉLYI HATÁLY TERÜLETI HATÁLY IDŐBELI HATÁLY AZ IBSZ TOVÁBBI HATÁLYA A SZABÁLYZAT KAPCSOLÓDÁSAI, VÉGREHAJTÁSA ÉS FELÜLVIZSGÁLATA AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ SZABÁLYOZÁSI FELADATOK AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, KÖZPONTI HIVATALOK SZABÁLYZATAI AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, RENDSZERENKÉNT KÜLÖN ELKÉSZÍTENDŐ SZABÁLYZATOK AZ IBSZ KAPCSOLATI RENDSZERÉHEZ TARTOZÓ, AZZAL ÖSSZEHANGOLANDÓ SZABÁLYOZÁSOK ÁLTALÁNOS HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK A SZABÁLYZAT KIDOLGOZTATÁSA, ELLENŐRZÉSE ÉS KARBANTARTATÁSA A SZABÁLYZAT HATÁLYBA LÉPTETÉSE, A VÉGREHAJTÁS ELLENŐRZÉSE A SZABÁLYZAT BETARTÁSA ÉS BETARTATÁSA A SZABÁLYZAT ELLENŐRZÉSE AZ IBSZ VÉGREHAJTÁSA A VÉGREHAJTÁS SZABÁLYAI oldal

4 A VÉGREHAJTÁS ESZKÖZEI AZ IBSZ FELÜLVIZSGÁLATA IDŐSZAKOS FELÜLVIZSGÁLATOK VÁLTOZÁS MIATTI FELÜLVIZSGÁLAT MEGFELELŐSÉGI VIZSGÁLAT A VÉDELEM SZERVEZETI SZABÁLYAI INFORMATIKAI BIZTONSÁGI FELADAT-, FELELŐSSÉGI- ÉS KOMPETENCIA KÖRÖK INFORMATIKAI BIZTONSÁGI FELÜGYELET INFORMATIKAI SZERVEZET ÉS INFORMATIKUSOK INFORMATIKAI BIZTONSÁGI FELELŐS BIZTONSÁGI SZOLGÁLAT SPECIÁLIS ÜZEMELTETÉSI SZOLGÁLAT A KIEMELT VÉDETTSÉGŰ IDŐSZAKRA KÜLSŐ SZEMÉLYEK HOZZÁFÉRÉSÉNEK INFORMATIKAI BIZTONSÁGA KÜLSŐ SZEMÉLYEK FOGALMÁNAK MEGHATÁROZÁSA BIZTONSÁGI KÖVETELMÉNYEK KÜLSŐ FELEK FELÉ TECHNIKAI SPECIFIKÁCIÓK A SZOLGÁLTATÁSOK FOLYAMATOSSÁGA FELADATMEGOSZTÁS A SZOLGÁLTATÁSOK BIZTONSÁGA FELÜGYELET A SZOLGÁLTATÁSOK ELLENŐRZÉSE, SZANKCIÓK BESZERZÉSEK, KAPCSOLÓDÓ DOKUMENTUMKEZELÉS AZ INFORMÁCIÓ VAGYON VÉDELMÉNEK SZABÁLYAI AZ INFORMÁCIÓ VAGYON ELSZÁMOLTATHATÓ KEZELÉSE TITOKVÉDELEM ADATVÉDELEM INFORMÁCIÓVÉDELEM IT BIZTONSÁG INFORMÁCIÓ BIZTONSÁG KÖVETELMÉNYEI BIZALMASSÁG SÉRTETLENSÉG RENDELKEZÉSRE ÁLLÁS AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSA ÚTMUTATÓ AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSÁHOZ oldal

5 INFORMÁCIÓ VAGYON OSZTÁLYAI INFORMÁCIÓ VAGYON NYILVÁNTARTÁSA ADATKEZELÉS KÜLÖNLEGES ADATOK KEZELÉSE SZEMÉLYES ADATOK KEZELÉSE KÖZÉRDEKŰ ADATOK KEZELÉSE KÖZÉRDEKBŐL NYILVÁNOS ADATOK KEZELÉSE NYILVÁNOS ADATOK KEZELÉSE VÉDELEM MÓDSZEREI ÁLTALÁNOS VÉDELEM PROAKTÍV VÉDELEM DEFENZÍV VÉDELEM A HR ERŐFORRÁSOKRA VONATKOZÓ BIZTONSÁGI SZABÁLYOK MUNKAKÖRI BIZTONSÁGI ELŐÍRÁSOK ÁLTALÁNOS BIZTONSÁGI KÖTELEZETTSÉGEK A JELSZÓKEZELÉS ÁLTALÁNOS SZABÁLYAI KEZELŐI TITOKTARTÁSI NYILATKOZAT FELHASZNÁLÓK OKTATÁSA, KÉPZÉSE INFORMATIKAI BIZTONSÁGI OKTATÁS ÉS KÉPZÉS INFORMATIKAI BIZTONSÁG ÉRTÉKELÉSE AZ INFORMATIKAI BIZTONSÁGI INCIDENSEK KEZELÉSE IT BIZTONSÁGI INCIDENSEK JELENTÉSI KÖTELEZETTSÉGE IT BIZTONSÁGI INCIDENSEK JELENTÉSÉNEK MÓDJA IT BIZTONSÁGI HIÁNYOSSÁGOK JELENTÉSI KÖTELEZETTSÉGE INCIDENSEK NYILVÁNTARTÁSA ÉS KIVIZSGÁLÁSA VISSZAJELZÉS A BIZTONSÁGI INCIDENSEKRŐL ELJÁRÁS A BIZTONSÁGI ELŐÍRÁSOK MEGSÉRTŐIVEL SZEMBEN A FIZIKAI ÉS KÖRNYEZETI INFRASTRUKTÚRA BIZTONSÁGA VÉDETT, BIZTONSÁGOS TERÜLETEK FIZIKAI BIZTONSÁGI ELKÜLÖNÍTÉS KIEMELTEN VÉDENDŐ TERÜLETEK MUNKAVÉGZÉS SZABÁLYAI A SZÁMÍTÓKÖZPONTOKBAN KONTROLLOK ELLENŐRZÉS oldal

6 9.2. ESZKÖZBIZTONSÁG ESZKÖZÖK ESZKÖZÖK ÉLETCIKLUSA ESZKÖZÖK ELHELYEZÉSE ÉS VÉDELME TÁPELLÁTÁS KÁBELEZÉS BIZTONSÁGA ESZKÖZÖK KARBANTARTÁSA ESZKÖZÖK HASZNÁLATA A KORMÁNYHIVATAL TERÜLETÉN KÍVÜL ESZKÖZKIVONÁSI BIZTONSÁGI INTÉZKEDÉSEK, ÚJRAFELHASZNÁLÁS KONTROLLOK ELLENŐRZÉS ÁLTALÁNOS BIZTONSÁGI ELŐÍRÁSOK A HÁLÓZAT ÉS RENDSZER ÜZEMELTETÉS BIZTONSÁGA AZ ÜZEMELTETÉS FOLYAMATAI ÉS A FELELŐSSÉGEK DOKUMENTÁLT ÜZEMELTETÉSI FOLYAMATOK AZ ÜZEMELTETÉSI FOLYAMAT VÁLTOZÁSAINAK KEZELÉSE HIBAKEZELÉSI, HIBAELHÁRÍTÁSI RENDSZER A FEJLESZTÉS ÉS AZ ÉLES KÖRNYEZET ELKÜLÖNÍTÉSE KÜLSŐ ERŐFORRÁSOK KEZELÉSE KONTROLLOK ELLENŐRZÉS VÉGPONT VÉDELEM VÉGPONTVÉDELEM KÖVETELMÉNYEI VÉGPONTVÉDELEM ALÁ ESŐ VÉGPONTI ESZKÖZÖK VÉGPONTVÉDELEM SZABÁLYOZÁSA KONTROLLOK ELLENŐRZÉS ADATMENTÉSI ÉS NAPLÓZÁSI FELADATOK ADATMENTÉS NAPLÓZÁS NAPLÓK KEZELÉSÉNEK SZABÁLYAI KONTROLLOK ELLENŐRZÉS HÁLÓZAT MENEDZSMENT oldal

7 HÁLÓZAT FELÜGYELETE DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS ADATHORDOZÓK KEZELÉSE ÉS BIZTONSÁGA ADATHORDOZÓK TÁROLÁSA MENTÉSEK TÁROLÁSA DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS ADATHORDOZÓK SELEJTEZÉSÉNEK BIZTONSÁGI SZABÁLYAI A RENDSZEREK HOZZÁFÉRÉSI JOGOSULTSÁGAINAK KEZELÉSE HOZZÁFÉRÉS KEZELÉSI SZABÁLYOK ÁLTALÁNOS SZABÁLYOK AUTENTIKÁCIÓ AUTORIZÁCIÓ SZEREPKÖRÖK JOGOSULTSÁGI MÁTRIX A FELHASZNÁLÓK HOZZÁFÉRÉSI JOGAINAK KEZELÉSE FELHASZNÁLÓ NYILVÁNTARTÁS FELHASZNÁLÓI PRIVILÉGIUMOK KEZELÉSE FELHASZNÁLÓI JOGOSULTSÁG- ÉS JELSZÓKEZELÉS FELHASZNÁLÓI ELÉRÉSI JOGOK FELÜLVIZSGÁLATA AZ ADMINISZTRÁTORI/ÜZEMELTETŐI JOGOK ÉS FELÜLVIZSGÁLATUK FELÜGYELET NÉLKÜL HAGYOTT FELHASZNÁLÓI ESZKÖZÖK FELELŐSSÉGE DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS A HÁLÓZATI HOZZÁFÉRÉS VÉDELME HÁLÓZATI SZOLGÁLTATÁSOK HASZNÁLATÁNAK POLITIKÁJA KÖTELEZŐ ELÉRÉSI ÚTVONAL TÁVOLI DIAGNOSZTIKAI PORT VÉDELME HÁLÓZATI RÉSZEK ELVÁLASZTÁSA HÁLÓZATI KAPCSOLATOK ÉS A ROUTOLÁS VEZÉRLÉSE oldal

8 HÁLÓZATI BIZTONSÁG A KIEMELT VÉDETTSÉGŰ IDŐSZAKBAN DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS AZ OPERÁCIÓS RENDSZER HOZZÁFÉRÉS VÉDELME FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS SINGLE SIGN-ON (SSO) BIZTONSÁGI POLICY JOGOSULTSÁGIGÉNYLÉS DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS AZ ALKALMAZÁSOK HOZZÁFÉRÉS VÉDELME FELHASZNÁLÓ JOGOSULTSÁGKEZELÉS SINGLE SIGN-ON (SSO) BIZTONSÁGI POLICY JOGOSULTSÁGIGÉNYLÉS DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS A TÁVMUNKA HOZZÁFÉRÉS SZABÁLYOZÁSA A TÁVMUNKA SZABÁLYAI A BELSŐ ÉS KÜLSŐ FELHASZNÁLÓK A TÁVMUNKA BIZTONSÁGI KÖVETELMÉNYEI A TÁVMUNKA BIZTONSÁGI ESZKÖZEI DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS A RENDSZER HOZZÁFÉRÉS ÉS HASZNÁLAT MONITOROZÁSA A RENDSZER HASZNÁLAT MONITOROZÁSA ESEMÉNYNAPLÓ A RENDSZER ÓRÁK SZINKRONIZÁLÁSA DOKUMENTÁLÁS KONTROLLOK oldal

9 ELLENŐRZÉS A RENDSZERFEJLESZTÉS ÉS KÖVETÉS BIZTONSÁGI SZABÁLYAI A RENDSZEREK BIZTONSÁGI KÖVETELMÉNYEI AZ ELEMZÉS ÉS A SPECIFIKÁCIÓ BIZTONSÁGI KÖVETELMÉNYEI A RENDSZERFEJLESZTÉS BIZTONSÁGI KÖVETELMÉNYEI A RENDSZER VÁLTOZÁSKEZELÉSÉNEK BIZTONSÁGI KÖVETELMÉNYEI VÁLTOZÁSKÖVETÉSI FOLYAMATOK AZ OPERÁCIÓS RENDSZER VÁLTOZÁSAINAK TECHNIKAI FELÜLVIZSGÁLATA SZOFTVER CSOMAGOK VÁLTOZTATÁSÁNAK KORLÁTOZÁSA ÁLCÁZOTT CSATORNÁK ÉS TRÓJAI PROGRAMOK KÜLSŐ CÉG ÁLTAL VÉGZETT (VÁLLALKOZÓI SZERZŐDÉS KERETÉBEN) SZOFTVERFEJLESZTÉS DOKUMENTÁLÁS KONTROLLOK ELLENŐRZÉS TITKOSÍTÁSI TEVÉKENYSÉGEK TITKOSÍTÁS SZABÁLYAI NYÍLT KULCSÚ TITKOSÍTÁS FILE RENDSZER TITKOSÍTÁSA ADATÁTVITEL TITKOSÍTÁSA ELEKTRONIKUS ALÁÍRÁS KONTROLLOK ELLENŐRZÉS BIZTONSÁGI KOCKÁZATMENEDZSMENT IT KOCKÁZATELEMZÉS IT KOCKÁZATÉRTÉKELÉS IT KOCKÁZATKEZELÉS IT KOCKÁZATMENEDZSELÉS SZABÁLYAI ELLENŐRZÉS AZ IT BIZTONSÁG DOKUMENTÁLÁSA AZ IT BIZTONSÁG DOKUMENTÁLÁS SZABÁLYAI A DOKUMENTUM PORTFÓLIÓ KONTROLLOK oldal

10 ELLENŐRZÉS AZ IT BIZTONSÁG ELLENŐRZÉS SZABÁLYAI AZ ALKALMAZANDÓ SZABÁLYOK MEGHATÁROZÁSA A BIZTONSÁGI ELLENŐRZÉS RENDSZERE JOGSZABÁLYI TÉNYÁLLÁSOK ÉS SZANKCIÓK KÁRTÉRÍTÉSI FELELŐSSÉG FEGYELMI FELELŐSSÉG ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK NYILVÁNTARTÁSI ÉS BIZTONSÁGI SZABÁLYAI AZ ELEKTRONIKUS INFORMÁCIÓS RENDSZER MEGHATÁROZÁSA KORMÁNYHIVATAL ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI BESOROLÁS ELEKTRONIKUS INFORMÁCIÓ BIZTONSÁGÉRT FELELŐS SZEMÉLY ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK BIZTONSÁGI SZABÁLYAI ELEKTRONIKUS INFORMÁCIÓS RENDSZEREK NYILVÁNTARTÁSA ZÁRÓ RENDELKEZÉSEK ÁTMENETI RENDELKEZÉSEK oldal

11 1. PREAMBULUM 1.1. AZ IBSZ META-ADATAI Szervezet: Borsod-Abaúj-Zemplén Megyei Kormányhivatal Székhely: 3525 Miskolc, Városház tér AZ IBSZ TÁRGYA Borsod-Abaúj-Zemplén Megyei Kormányhivatal (a továbbiakban: Kormányhivatal) Informatikai Biztonsági Szabályzata (a továbbiakban: IBSZ) a Kormányhivatal által használt, üzemeltetett illetve felügyelt informatikai rendszerekre vonatkozóan tartalmazza a legfontosabb informatikai biztonsági feladatokat és meghatározza azokat a tevékenységeket, intézkedéseket, amelyek a Kormányhivatal biztonságos működése érdekében szükségesek AZ IBSZ CÉLJA A Kormányhivatal informatikai rendszereinek működtetése, üzemeltetése során biztosítsa az adatvédelem elveinek és az információbiztonság követelményeinek érvényesülését: az informatikára vonatkozó jogszabályi előírások érvényesítése; folyamatos informatikai üzembiztonság betartása; az adatvagyon védelme; a hálózati infrastruktúra integritásának védelme AZ IBSZ KIADÁSA Az IBSZ-ben foglalt rendelkezéseket a Kormányhivatal Pénzügyi és Gazdálkodási Főosztály Informatikai Osztálya (továbbiakban: Informatikai Osztály) készítette, együttműködve az érintett szervezeti egységekkel. 2. SZABÁLYOZÁSI PORTFÓLIÓ 2.1. SZABÁLYOZÁSI PORTFÓLIÓ KEK KH 04/2012 szakmai ajánlása alapján készített, a szabályzat mellékleteként csatolt táblázatban látható az IBSZ elhelyezkedése a szabályozási portfólióban. Az IBSZ alapja a Kormányhivatal Informatikai Biztonsági Politikája (a továbbiakban: IBP), és az Informatikai Biztonsági Stratégiája (a továbbiakban: IBS). Az IBSZ rendelkezéseit a Kormányhivatal egyéb belső jogi normáival összhangban kell alkalmazni AZ IBSZ SZABÁLYOZÁSI PORTFÓLIÓBAN ELFOGLALT HELYE Az IBSZ az IBP alapvetései és az IBS szellemében hivatott szabályozni az informatikai rendszerek működését, figyelembe véve a törvényi előírásokat INFORMÁCIÓBIZTONSÁGI POLITIKA A Kormányhivatal célja az ügyfelek adatainak megvédése, a jogtalan adatfelhasználás és az adatvesztés megakadályozása. Az informatikai biztonság úgy kerül megszervezésre, hogy a hatékony, körültekintő ügyintézési tevékenységet támogassa. Az IBP az alapja valamennyi további, részletesebb informatikai biztonsági szabályozásnak és ezek megvalósításának. 11. oldal

12 2.4. INFORMÁCIÓBIZTONSÁGI STRATÉGIA Az IBS célja, hogy a szervezet szakmai működési igényeinek jövőbeni változásaival összhangban meghatározza az információbiztonság fejlesztésének tervét. Az IBS kapcsot jelent az informatikai stratégia és a biztonsági stratégia között, összehangolja az információtechnológiai célokat a szervezet átfogó kockázat alapú biztonsági céljaival, és meghatározza a közös működési területeket. A stratégia alapelvei: A Kormányhivatalban egységes és közös elvek mentén kerül kialakításra az információbiztonság szabályozása. A hatósági munkavégzés számára biztosításra kerül az adatok pontos, megbízható tárolása, a nyilvántartások vezetése és ezek hiteles, bizalmas és sértetlen továbbítása. A stratégia kiterjed az informatikai, az infrastrukturális, a fizikai és az emberi tényezőkre. Az egységes szabályozás megvalósítását követően folyamatosan fejlesztésre kerülnek az információbiztonsági szabályozás és a kapcsolódó eljárások AZ IBSZ RÖVIDÍTÉS JEGYZÉKE Az IBSZ IBNY11 melléklete tartalmazza AZ IBSZ MELLÉKLETEI IBNY01 melléklet: tárolási nyilatkozat (mobil informatikai eszközigénylésre és nyilvántartásra); IBNY02 melléklet: felhasználói hozzáférés, jogosultság, eszközigénylő és változásjelentő adatlap; IBNY03 melléklet: rendszeres mentési napló (tűzvédelmi mentésekhez); IBNY04 melléklet: mentési és archiválási nyilvántartás (egyedi mentések nyilvántartása); IBNY05 melléklet: mentési és archiválási adatlap (egyedi mentések adataihoz); IBNY06 melléklet: mobil adathordozó eszköz engedélyezése; IBNY07 melléklet: adathordozó nyilvántartás; IBNY08 melléklet: szoftvernyilvántartás; IBNY09 melléklet: jogosultság nyilvántartás (hálózati mappák, alkalmazások, eszközök); IBNY10 melléklet: mentési eljárásokhoz használt adathordozó típusok és kezelésük; IBNY11 melléklet: IBSZ rövidítések jegyzéke; IBNY12 melléklet: eseménynapló (szerverekhez); IBNY13 melléklet: belépési napló (informatikai központokba történő belépéshez); IBNY14 melléklet: eszköz átadás-átvételi adatlap; IBNY15 melléklet: kilépő dolgozó informatikai igazolása; IBNY16 melléklet: belépő dolgozó megismerési nyilatkozata; IBNY17 melléklet: biztonsági zónák és követelmények; IBNY18 melléklet: mentési rend (rendszeres és egyedi mentések ütemterve); IBNY19 melléklet: Kormányhivatalok és megyei intézményfenntartó központok Informatikai Szabályozási Portfóliója; IBNY20 melléklet: Elektronikus információs rendszerek nyilvántartása és a biztonsági osztály szerinti besorolása. 12. oldal

13 3. A SZABÁLYZAT HATÁLYA 3.1. TÁRGYI HATÁLY Kiterjed a Kormányhivatal tulajdonában, kezelésében lévő valamennyi informatikai rendszerre és azok elemeire: alkalmazásokra, adatbázisokra, keletkeztetett, feldolgozott, tárolt, továbbított valamennyi adatra és információra SZERVEZETI HATÁLY Kiterjed a Kormányhivatal valamennyi szervezeti egységére SZEMÉLYI HATÁLY Kiterjed a Kormányhivatalban foglalkoztatott valamennyi közszolgálati tisztviselőre és munkavállalóra TERÜLETI HATÁLY Kiterjed a Kormányhivatal valamennyi ingatlanára és telephelyére IDŐBELI HATÁLY A hatályba lépéstől a visszavonásig AZ IBSZ TOVÁBBI HATÁLYA Idegen, vagy vegyes tulajdonú, illetve kezelésű eszközök, rendszerek használata során figyelembe kell venni a tulajdonos/társtulajdonos szervezet ide vonatkozó rendelkezéseit és előírásait, illetve a megkötött érvényes megállapodásokat. Az IBSZ azokat a szabályokat tartalmazza, amelyek betartását a Kormányhivatal kötelező jelleggel elrendeli a dokumentum elfogadásával, és amelyeket alkalmazni kell a vonatkozó informatikai rendszerek fejlesztése, telepítése és üzemeltetése során, a meghatározott biztonsági szint elérése és fenntartása érdekében. 4. A SZABÁLYZAT KAPCSOLÓDÁSAI, VÉGREHAJTÁSA ÉS FELÜLVIZSGÁLATA 4.1. AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ SZABÁLYOZÁSI FELADATOK AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, KÖZPONTI HIVATALOK SZABÁLYZATAI A szakigazgatási feladatot ellátó szervezeti egységek szakmai irányító szervei informatikai ajánlásai és szabályzatai. Magyar Informatikai Biztonsági Ajánlások (MIBA a Közigazgatási Informatikai Bizottság 25. számú ajánlása). E-közigazgatási Keretrendszer AZ IBSZ HATÓKÖRÉHEZ KAPCSOLÓDÓ, RENDSZERENKÉNT KÜLÖN ELKÉSZÍTENDŐ SZABÁLYZATOK Informatikai Katasztrófa-elhárítási Terv (IKT): Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), amelynek célja, hogy katasztrófa bekövetkezése esetén meghatározza a megelőzés, helyreállítás és kockázatcsökkentés szabályait. 13. oldal

14 Üzletmenet Folytonossági Terv (ÜFT): Az üzletfolytonosság tervezés célja, hogy az ilyen esetek ne érjék váratlanul a szervezetet, ezekben az esetekben is működőképesek maradjanak az intézményi tevékenység szempontjából kritikus folyamatok. Folyamatos kockázatértékelés. Adatvédelmi szabályzat (AvSz): Az informatikai üzemeltetéssel és biztonsággal összefüggő terv (szabályzat), melynek célja, hogy katasztrófa bekövetkezése esetén meghatározza a megelőzés, helyreállítás és kockázatcsökkentés szabályait. Üzemeltetési szabályzat (ÜSz): Célja az intézmény informatikai üzemeltetésének, HelpDesk-jének szolgáltatás biztosítása és szolgáltatás támogatásának, eszköz nyilvántartásának (CMDB) szabályozása. Üzemeltetési kézikönyv (ÜK): Amíg az üzemeltetési kézikönyv a rendszer üzemeltetésével kapcsolatos technikai információkat tartalmazza, addig az üzemeltetési szabályzatnak az üzemeltetési folyamat, és annak szabályozása a tárgya. Felhasználói kézikönyv: Az intézmény feladat- és hatáskörébe tartozó feladatok közvetlen vagy közvetett ellátását az informatikai alkalmazások közreadásával és üzemeltetésével támogatja. A felhasználók az eredményes támogatás igénybevételének szabályait a felhasználói kézikönyvből tudják meg, különösen a jogszabálykövetett alkalmazások esetében. Célja a felhasználó személyzet támogatása. Mentési és archiválási szabályzat: A mentés, archiválás lehetővé teszi a katasztrófa helyzetekből adódó adatvesztés kockázatának minimalizálást, valamint az üzletmenet folytonosság biztosítási garanciáinak a növelését. Külső partner együttműködés szabályzata: A kiszervezett tevékenységek (outsourcing), az alkalmazásszolgáltatás keretében igénybevett szolgáltatások (ASP), valamint a külső üzemeltetést, fejlesztést támogató partnerek, belső üzemeltetéssel történő összhangjának megteremtése AZ IBSZ KAPCSOLATI RENDSZERÉHEZ TARTOZÓ, AZZAL ÖSSZEHANGOLANDÓ SZABÁLYOZÁSOK Az IBSZ kapcsolati rendszeréhez tartozó, azzal összehangolandó, illetve ezen szabályzatban nem szabályozott kérdésekben érvényes szabályozások: A fővárosi és megyei kormányhivatalok szervezeti és működési szabályzatáról szóló 3/2013. (I. 18.) KIM utasítás (a továbbiakban: SZMSZ); Kormányhivatal szervezeti egységeinek ügyrendjei; Kormányhivatal vonatkozó szabályzatai; Kormányhivatal munkaköri leírásai ÁLTALÁNOS HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK A SZABÁLYZAT KIDOLGOZTATÁSA, ELLENŐRZÉSE ÉS KARBANTARTATÁSA Az IBSZ kidolgoztatása, ellenőrzése, majd karbantartatása az Informatikai Osztály vezetőjének feladata és hatásköre A SZABÁLYZAT HATÁLYBA LÉPTETÉSE, A VÉGREHAJTÁS ELLENŐRZÉSE Az IBSZ hatályba léptetése kihirdetésével történik meg, végrehajtásának ellenőrzése az Informatikai Osztály feladata. 14. oldal

15 A SZABÁLYZAT BETARTÁSA ÉS BETARTATÁSA A szabályzat alkalmazásáért és betartásáért a hivatali szervezet minden egysége, minden felhasználója felelős. IBSZ hatálya alá vont informatikai eszközök és rendszerek kezelése és a szabályok érvényesítése, betartatása az Informatikai Osztály feladata. Az IBSZ betartatásában az Informatikai Osztály minden munkatársának munkaköri kötelessége részt venni a napi munkája során A SZABÁLYZAT ELLENŐRZÉSE A szabályzat betartásának ellenőrzése, az Informatikai Osztály minden munkatársának munkaköri kötelessége a napi munkavégzése során AZ IBSZ VÉGREHAJTÁSA A VÉGREHAJTÁS SZABÁLYAI Az IBSZ betartása és betartatása a Kormányhivatal minden felhasználójának és szervezeti egység vezetőjének munkaköri kötelessége. Az IBSZ személyi hatálya alá tartozó valamennyi személynek ismernie kell azokat a követelményeket és feladatokat, amelyeket az IBSZ számára meghatároz. A Kormányhivatal valamennyi szervezeti egységének vezetője az utasítás hatályba lépését követően haladéktalanul köteles gondoskodni arról, hogy a vezetése alatt álló szervezeti egység munkatársai az utasításban foglaltakat megismerjék. A szervezeti egységek vezetőinek gondoskodniuk kell jelen utasítás függelékében lévő megismerési záradék kitöltéséről és a hatályba lépéstől számított 30 napon belül a Jogi és Koordinációs Főosztály részére történő eljuttatásáról. A külső felek a hivatali kapcsolattartón keresztül ismerhetik meg a szabályokat. Az IBSZ személyi hatálya alá tartozó valamennyi személy köteles az Informatikai Osztály vezetőjét, illetve az informatikai biztonsági megbízottat minden olyan tényről, eseményről értesíteni, amely az IBSZ rendelkezéseinek végrehajtását akadályozza, illetőleg ellentétes az IBSZ rendelkezéseivel A VÉGREHAJTÁS ESZKÖZEI Az egyes informatikai rendszerek oly módon történő kialakítása, beállítása, hogy az informatikai rendszer kikényszerítse az IBSZ rendelkezéseinek betartását; ismeretek oktatása, megismertetése és az ismeretek számonkérése; IBSZ kötelező betartatása; IBSZ betartását célzó rendszeres és időszaki ellenőrzések átfogó, vagy cél jelleggel (tételes, vagy szúrópróbaszerű ellenőrzési módszerekkel); a hálózat és a szerverek rendszeres monitorozása a naplók és nyilvántartások pontos és naprakész vezetése, azok rendszeres ellenőrzése; a szervezeti egység vezetőjének tájékoztatása a szervezeti egységet érintő ellenőrzési tapasztalatokról, fegyelmi, vagy biztonsági eseményekről, az elkészített jegyzőkönyvek, jelentések, feljegyzések másolatának megküldése révén; IBSZ rendszeres megsértőivel szemben fegyelmi eljárás alkalmazása. 15. oldal

16 4.4. AZ IBSZ FELÜLVIZSGÁLATA IDŐSZAKOS FELÜLVIZSGÁLATOK IBSZ tartalmát az Informatikai Osztály köteles és jogosult időközönként, de legalább évente felülvizsgálni és szükség esetén módosítani VÁLTOZÁS MIATTI FELÜLVIZSGÁLAT Az IBSZ tartalmát az alábbiakban felsoroltak előfordulását követően Informatikai Osztály köteles felülvizsgálni és szükség esetén módosítani: minden olyan szervezeti változás esetén, amely a benne hivatkozott szervezeti egység bármelyikének megszűnésével, vagy jelentős átalakulásával jár; súlyos informatikai biztonsági események után, azok tanulságait figyelembe véve; minden olyan jogszabályváltozás esetén, amely a benne foglaltak érvényességét módosíthatja MEGFELELŐSÉGI VIZSGÁLAT Évente egyszer az Informatikai Osztály köteles megfelelőségi vizsgálatot végezni és ha szükséges, az IBSZ-t módosítani. A vizsgálatnak ki kell terjednie: az IBSZ betartásával kapcsolatos ellenőrzések eredményére; a HelpDesk rendszer működésére, a felmerülő problémák és hibák jellegére és következményeire; az időközben felmerülő informatikai és adatvédelmi eseményekre és az ezekkel összefüggő biztonsági következményekre A VÉDELEM SZERVEZETI SZABÁLYAI A védelem szervezeti szabályai kiterjednek a következő témakörökre: A megfelelő szervezet és felelősség megosztás működésére (mely magába foglalja a védelemért felelős munkaköröket); az informatikai biztonsági kérdésekben történő koordinációra; bármely harmadik fél hozzáférésének szabályozott felügyeletére, a vonatkozó kockázatok csökkentését célzó szerződéses megállapodásokra. 5. INFORMATIKAI BIZTONSÁGI FELADAT-, FELELŐSSÉGI- ÉS KOMPETENCIA KÖRÖK 5.1. INFORMATIKAI BIZTONSÁGI FELÜGYELET INFORMATIKAI SZERVEZET ÉS INFORMATIKUSOK Informatikai Osztály vezetője: ellátja a felettes vezető által meghatározott informatikai munkaterületeket, feladatokat és célfeladatokat; elvégzi a felettes vezető által a részére kijelölt egyéb feladatokat; ellátja a hatályos Szervezeti és Működési Szabályzatban, Ügyrendben, Munkaköri leírásokban és Kormánymegbízotti utasításokban meghatározott informatikai feladatokat. Informatikai ügyintézők: 16. oldal

17 ellátja a felettes vezető által meghatározott informatikai munkaterületeket, feladatokat és célfeladatokat; elvégzi a felettes vezető által a részére kijelölt egyéb feladatokat; ellátja a hatályos Szervezeti és Működési Szabályzatban, Ügyrendben, Munkaköri leírásokban és Kormánymegbízotti utasításokban meghatározott informatikai feladatokat. Felhasználó: a munkavégzés során a rábízott eszközöket, szoftvereket felelősséggel, és az előírások, leírások, utasítások szerint használja és megőrzi; IBSZ-t megismeri és betartja; részt vesz az informatikai oktatásokon; a számítógépes munkavégzése során tiszteletben tartja a felhasználói csoportjára vonatkozó szabályokat és korlátozásokat, valamint a számítógépére megállapított házirendet; a számítógépes rendszerekhez használt hozzáféréseit biztonságos módon megőrzi, a hozzáférésével elkövetett visszaélésekből és károkból származó következményekért felelősséggel tartozik; jelzi az észrevételeit; informatikai segítséget kérhet, ha olyan jellegű feladatot kell ellátnia, amelyhez nincs meg a megfelelő informatikai tapasztalata; a munkájához szükséges eszközöket, alkalmazásokat és szolgáltatásokat a szervezeti egysége vezetőjének engedélyével igényelheti. Szervezeti egység vezetője: a szervezeti egység közszolgálati tisztviselőjének felvétele, távozása, vagy munkakör változása esetén az IBSZ-ben meghatározott módon értesíti a változásról az Informatikai Osztályt; gondoskodik arról, hogy a vezetése alatt álló személyek megismerjék és munkavégzésük során alkalmazzák az IBSZ-t; ellenőrzi, hogy a vezetése alatt állók betartják-e az IBSZ-t; informatikai kérdésekben dönt az IBSZ-ben részére delegált területeken (igénylések, engedélyek). Pénzügyi és Gazdálkodási Főosztály Beszerzési, Beruházási és Üzemeltetési Osztálya: biztosítja az informatikai eszközök és berendezések megfelelő működéséhez szükséges fizikai környezetet és a közműszolgáltatások, valamint egyéb szolgáltatások (vízhálózat, villamoshálózat, légkondicionálás, biztonsági berendezések, őrszolgálat stb.) biztosításával a feltételeket; az Informatikai Osztály kérésére közreműködik az informatikai rendszerrel kapcsolatos átalakítási, építési, szerelési és karbantartási munkákban; egyeztet az Informatikai Osztállyal az Informatikai Osztály hatáskörébe tartozó kérésekben. Jogi és Koordinációs Főosztály Humánpolitikai Osztály: tájékozatja az Informatikai Osztályt a kilépő, vagy belépő dolgozó, illetve munkakör változás esetén a dolgozók és informatikai rendszerrel kapcsolatos jogosultságainak változásáról; 17. oldal

18 igazolást kérhet a dolgozó informatikai státuszával kapcsolatban. Jogi és Koordinációs Főosztály: igazolást kérhet a dolgozó informatikai státuszával kapcsolatban; elvégzi az ügyiratkezelő rendszer kialakításával, működtetésével kapcsolatos koordinációs tevékenységet INFORMATIKAI BIZTONSÁGI FELELŐS A Kormányhivatalnál a vezetők informatikai biztonsággal összefüggő tevékenységét az informatikai biztonsági megbízott támogatja, aki részt vesz a biztonsággal kapcsolatos vezetői döntések előkészítésében, kivizsgálja az informatikai rendkívüli eseményeket, elvégzi a rendszeres biztonsági ellenőrzéseket és hatáskörében intézkedik, vagy javaslatot tesz a hibák kijavítására. Munkája során szorosan együttműködik a biztonság megvalósításában résztvevő informatikai és egyéb szakemberekkel. Az alábbi feladat és hatáskörökkel rendelkezik: Gondoskodik az ellenőrzés módszereinek és rendszerének kialakításáról és működtetéséről. Feladata a Kormányhivatal informatikai rendszerének olyan mértékű megismerése, hogy annak elemeit hatékonyan ellenőrizni tudja. Összehangolja a biztonságot meghatározó, befolyásoló területek tevékenységét az informatikai biztonság érdekében. Informatikai biztonsági szempontból ellenőrzi az informatikai rendszer szereplőinek tevékenységét. Az informatikai rendkívüli eseményeket, az esetleges rossz szándékú hozzáférési kísérletet, illetéktelen adatfelhasználást, visszaélést kivizsgálja, javaslatot tesz a szervezet vezetőjének a további intézkedésekre, a felelősségre vonásra. Új informatikai központ tervezése és kialakítása során ellenőrzi az IBSZ-ben megfogalmazott, a helyiségek fizikai paramétereire vonatkozó követelmények kielégítését és a meglevő helyiségek paramétereinek értékét. Ellenőrzi az informatikai központba való beléptetési eljárást és a belépő személyek körének jogosultságát. Az SZMSZ rendelkezései és a munkaköri leírások alapján ellenőrzi az informatikai rendszer szereplőinek jogosultsági szintjét. Ellenőrzi a fejlesztő rendszerek elkülönítésének megfelelősségét az éles rendszertől. Felügyeli az informatikai központokat, eszközöket és infrastruktúrát érintő karbantartási terveket. Felügyeli a beruházásokat, a fejlesztéseket és az üzemvitelt informatikai biztonsági szempontból, illetve azokra javaslatot tesz. Az új biztonságtechnikai eszközök és szoftverek tesztelésére ajánlást ad. Szúrópróbaszerűen ellenőrzi: o az egyes felhasználói gépek hardverkonfigurációját, és a telepített szoftvereket összeveti a felhasználónak engedélyezett szoftverek listájával; 18. oldal

19 o hogy a rendszerben aktuálisan beállított felhasználói jogosultságok megegyeznek-e a jóváhagyott a jogosultsági nyilvántartásban is szereplő jogosultságokkal; o hogy a javításra kiszállított eszközökön adat ne kerüljön ki; o az adathordozók selejtezését. Értékeli a rendszer eseménynaplóit. Ellenőrzi a víruskereső programok használatát. Ellenőrzi a dokumentációk meglétét és megfelelősségét (teljes körű, aktuális). Ellenőrzi, hogy a vonatkozó informatikai biztonsági követelményeket a rendszerek fejlesztési és az alkalmazási dokumentációiban is megjelenítik-e. Amennyiben új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem erősítését. Az adott szakterületek vezetőivel egyeztetve meghatározza az egyes feladatkörökhöz tartozóan az informatikai biztonsággal kapcsolatosan elsajátítandó ismeretek körét, és ellenőrzi az elsajátítás tényét. Javaslatot tesz az informatikai biztonságot erősítő továbbképzésre. Az IBSZ-t évente felülvizsgálja, és javaslatot tesz a gyakorlati tapasztalatok, előfordult informatikai rendkívüli események, a jogszabályi környezet változásai, a technikai fejlődés, az alkalmazott új informatikai eszközök, új programrendszerek, fejlesztési és védelmi eljárások miatt szükségessé váló módosításokra. Javaslattételi joga van a fokozott és kiemelt védelmi osztályba sorolt informatikai rendszerek hozzáférési jogosultságainak kiadásában BIZTONSÁGI SZOLGÁLAT A biztonsági szolgálat feladatait, jogait és kötelezettségeit a Kormányhivatal objektumvédelmi szabályzatában kell meghatározni SPECIÁLIS ÜZEMELTETÉSI SZOLGÁLAT A KIEMELT VÉDETTSÉGŰ IDŐSZAKRA Kiemelt védettségű időszakra (pl. választás) a Kormánymegbízott, vagy az Informatikai Osztály vezetője jogosult elrendelni speciális üzemeltetési szolgálatot. A szolgálatban résztvevő (külső és belső) személyek, illetve cégek körét és a szolgálati feladatok ütemezését az Informatikai Osztály vezetője határozza meg. A szolgálat feladata, hogy a kiemelt időszakban a hibákra (leállás, teljesítménycsökkenés stb.) történő reagálás a lehető leggyorsabban megtörténjen. Ezen belül a hiba megállapítása és javítása, illetve szükség esetén a tartalékmegoldások üzembe állítása minél előbb megtörténjen. A speciális üzemeltetési szolgálatot úgy kell megszervezni, hogy biztonsági incidensek, vagy azok gyanúja esetén a szolgálat képes legyen a legnagyobb kockázatot jelentő biztonsági incidensek (pl. betörési kísérlet, DOS támadás) azonnali kezelésére is. A speciális üzemeltetési szolgálat résztvevőiről előre listát kell készíteni, amelyet az Informatikai Osztály vezetője hagy jóvá. Gondoskodni kell arról, hogy a kiemelt időszakban az informatikai központokba kizárólag a listán szereplő személyek léphessenek be. Ennek esetleges változtatásait szintén az Informatikai Osztály vezetőjének kell engedélyeznie. 19. oldal

20 5.2. KÜLSŐ SZEMÉLYEK HOZZÁFÉRÉSÉNEK INFORMATIKAI BIZTONSÁGA KÜLSŐ SZEMÉLYEK FOGALMÁNAK MEGHATÁROZÁSA Külső fél meghatározás alatt azon természetes, jogi személy értendő, akiknek a Kormányhivatallal, illetve a szakmai irányító szervekkel kötött szerződéses kapcsolat keretében az Informatikai Osztály által kezelt, vagy felügyelt területen a Kormányhivatal, illetőleg szakmai irányító szervek megrendelésére informatikával kapcsolatos munkát, vagy tevékenységet végez. A munka során az Informatikai Osztály gondoskodik a támogatás és felügyelet biztosításáról. A szakmai irányító szervek körét a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (a továbbiakban: KEK KH), a Miniszterelnökség szakmai informatikai szervezeti egységei, valamint a szakigazgatási feladatot ellátó szervezeti egységek központi szakmai irányító szervei alkotják. KEK KH feladatai: Szakmai irányítást gyakorol a kormányhivatalok informatikai tevékenysége felett, melynek keretében gondoskodik az informatikai üzemeltetés feltételeinek meghatározásáról, valamint egyetértési jogot gyakorol az informatikai tárgyú szerződések megkötése során. Közreműködik a közigazgatás korszerűsítésével és az e-közigazgatással összefüggő kormányzati stratégiai célok megvalósításában. Biztosítja a 276/2006. (XII. 23.) Korm. rendeletben meghatározott feladatainak ellátásához az okmányirodákba és kormányablakokba telepített technikai eszközöket. Működteti az Elektronikus Anyakönyvi Rendszert. Gondoskodik a kezelésében lévő, a nemzeti adatvagyon körébe tartozó nyilvántartások fokozott védelméről, valamint a vonatkozó adatvédelmi és adatbiztonsági rendelkezések betartásáról. Közreműködik a fővárosi és megyei kormányhivatalok integrált ügyfélszolgálatai működésének megszervezésében, részt vesz azok fejlesztésében. Az elektronikus ügyintézési felügyeletnek a közigazgatási szervek hatósági eljárásaiban használt, elektronikusan kitölthető űrlapok engedélyezésére irányuló eljárásában az űrlapok logikai és formai ellenőrzése, valamint minőségbiztosítása szakkérdésben szakhatóságként közreműködik. 20. oldal

21 A szakigazgatási feladatot ellátó szervezeti egységek központi szakmai irányító szerveinek feladatai: Irányítják a szakigazgatási feladatot ellátó szervezeti egységek szakmai munkáját, biztosítják a tevékenységek ellátásához szükséges szakmai alkalmazások rendelkezésre állását, fejlesztését. Támogatást adnak a szakmai feladatok ellátásához szükséges egységes szakmai követelményrendszer, dokumentáció, szakanyag, jogszabályi háttér biztosításával. Javaslatot adnak a berendezések és műszerek beszerzésével és üzemeltetésével kapcsolatban. A közös munka során együttműködnek a Kormányhivatallal a megkötött megállapodásokra tekintettel, figyelembe véve egymás érdekeit. Társhatóságok feladatai: A Kormányhivatal ellenőrzését és felülvizsgálatát végzik az érintett területeken (pl.: katasztrófavédelem stb.). Az Informatikai Osztály képviselője segíti az ellenőrzési tevékenységüket, kíséri és tájékoztatja szakértőiket a felmerülő informatikai kérdésekben. Nemzeti Infokommunikációs Szolgáltató ZRT (NISZ) feladatai: A kormányzati célú hírközlési szolgáltató feladata az elektronikus kormányzati szolgáltatások centrális hálózatának, a Központi Rendszernek az üzemeltetése, valamint az elektronikus kormányzás alapinfrastruktúrájának működtetése. Biztosítja a kormányhivatali infokommunikációs hálózat csatlakoztatását a Nemzeti Távközlési Gerinchálózaton keresztül az egységes kormányzati hálózatra. Gondoskodik a felhordó hálózatok fizikai kialakításáról (migrálás, létesítés, változtatás) BIZTONSÁGI KÖVETELMÉNYEK KÜLSŐ FELEK FELÉ A társhatóságokkal a Kormányhivatal megállapodás, vagy törvényi előírások szerint működik együtt, ezért a működés biztonsági szabályait ezen keretek szabályozzák. A külső fél munkavégzése során a társhatóságok kivételével az Informatikai Osztály szerződéses kötelezettség alapján és személyes ellenőrzésen keresztül (kapcsolattartó) gondoskodik az alábbi követelmények teljesüléséről: Az informatikai rendszer integritása és az adatvédelem elvei nem sérülhetnek. A hozzáférési jogot kapott partnerek (szervezetek, személyek) ezt a jogot tovább nem adhatják. A hozzáférési azonosítókat (behívószám, login név, jelszó stb.) a külső félnek titkosan kell kezelnie, biztosítania szükséges, hogy azokhoz illetéktelenek ne férhessenek hozzá. A külső félnek garantálnia kell, hogy azokon a gépeken, amelyeken keresztül a rendszerhez hozzáférnek, nincsenek backdoor programok. Ha ezek a gépek hálózatba vannak kötve, akkor a hálózat valamennyi gépére ki kell terjeszteni ezt a garanciát. 21. oldal

22 Rögzíteni kell, hogy a hozzáférés bármely, a rendszer integritását sértő célból történő felhasználási kísérlete a hatályos jogszabályok szerint bűncselekménynek minősül. Ha külső fél távolról éri el a Kormányhivatal hálózatát, illetve valamely informatikai rendszerét, akkor a biztonságos elektronikus adatcsere kapcsolat érdekében a külső fél köteles a Kormányhivatal által előírt biztonsági megoldásokat (pl. VPN kapcsolatot) megvalósítani mindazon saját eszközein, amelyekről a távoli elérés lehetséges. Bizalmas adatforgalom a Kormányhivatal és a külső fél között csak megfelelő titkosítási eljárás alkalmazása mellett történhet TECHNIKAI SPECIFIKÁCIÓK Amennyiben a külső fél az IBSZ hatálya alá tartozó rendszerek, vagy rendszerelemek vonatkozásában szolgáltatást nyújt, akkor 1. első lépésben részletesen meg kell határozni az érintett rendszerelemeket és az érintett folyamatokat; 2. ezt követően meg kell határozni azokat a paramétereket (normál üzemmódban minimálisan rendelkezésre álló eszközök számát, egyidejűleg működőképes eszközöket és operációs rendszer szoftvereket (típusonként), alkalmazások használóinak (típusonként) minimális számát, a maximális egyedi és átlagos kiesési időket, az üzemszerű módosítások átvezetésének maximális idejét, upgrade-ek követési idejét), amelyeket a külső partnernek el kell érnie ahhoz, hogy igazolható legyen a teljesítés. Arra az esetre, ha a teljesítés nem érte el a kitűzött paramétereket, a szerződésben meg kell határozni az alkalmazható szankciókat A SZOLGÁLTATÁSOK FOLYAMATOSSÁGA Az Informatikai Osztály vezetőjének mérlegelnie kell a külső féllel kapcsolatos rendelkezésre állási kockázatokat is. Amennyiben ez a Kormányhivatal által nyújtott szolgáltatások folyamatosságához szükséges, a külső féllel olyan szerződést kell kötni, amely a megfelelő rendelkezésre állási kötelezettségeket tartalmazza FELADATMEGOSZTÁS Eszköz és alkalmazás csoportonként, ezen belül feladatokra lebontva részletesen és pontosan rögzíteni kell a szolgáltatást nyújtó külső partner és a belső munkatársak közötti feladat és felelősség megosztást, az egymás tájékoztatásának és a munkák átadásának, illetve átvételének folyamatát, az események dokumentálását A SZOLGÁLTATÁSOK BIZTONSÁGA A külső szolgáltatások igénybevételénél mérlegelni kell, hogy a külső partner által nyújtott szolgáltatásnak milyen informatikai biztonsági vonatkozásai, kockázatai vannak. Ezzel arányosan kell meghatározni a külső fél által teljesítendő biztonsági kötelezettségeket, amelyeket írásos megállapodásban a szerződés szerves részeként kell rögzíteni. A külső (harmadik) féllel, a szolgáltatást nyújtókkal kialakított kapcsolatnál a Kormányhivatalnak biztosítania kell a biztonsági megállapodások (pl. titoktartási 22. oldal

23 nyilatkozat) megfogalmazását, egyértelmű kinyilatkoztatását és elfogadását, és azt, hogy ezek a megállapodások feleljenek meg az általános igazgatási normáknak, álljanak összhangban a jogi és szabályozási követelményekkel, beleértve a kötelezettségeket is. Az így létrejött megállapodásokat (ezen belül minden titoktartási nyilatkozatot) biztonságos helyen, könnyen azonosítható, előkereshető módon kell tárolni, melyről az Informatikai Osztály vezetője köteles gondoskodni FELÜGYELET Az Informatikai Osztály vezetőjének a külső (harmadik) fél részéről nyújtott szolgáltatások figyelésére olyan folyamatot kell kialakítania, amely biztosítani tudja a szerződéses megállapodások folyamatos, pontos betartatását A SZOLGÁLTATÁSOK ELLENŐRZÉSE, SZANKCIÓK A külső felek által nyújtott szolgáltatások ellenőrzését rendszeresen kell végezni, és bármely felmerülő együttműködési probléma esetén ki kell deríteni annak okát. A hiba okának gyors és hatékony orvoslása érdekében meg kell tenni a szükséges intézkedéseket. A külső féllel kötött szerződésben meg kell határozni, hogy a szolgáltatást nyújtó külső partner nem teljesítése, hibája, vétkessége esetén a Kormányhivatal milyen kompenzációra, illetve kártérítésre tarthat igényt, és azt milyen módon érvényesítheti, külön meghatározva a biztonsági előírások megsértése esetére vonatkozó szabályokat BESZERZÉSEK, KAPCSOLÓDÓ DOKUMENTUMKEZELÉS A beszerzési folyamathoz kapcsolódó dokumentumkezelés és minőségbiztosítás biztonsági vonatkozásait az IBSZ 14. fejezete tartalmazza. 6. AZ INFORMÁCIÓ VAGYON VÉDELMÉNEK SZABÁLYAI 6.1. AZ INFORMÁCIÓ VAGYON ELSZÁMOLTATHATÓ KEZELÉSE TITOKVÉDELEM A Kormányhivatal informatikai adatfeldolgozással és kezeléssel, valamint közzététellel foglalkozó minden munkatársának informatikai munkája során kötelessége betartani a Kormányhivatalnak az adatkezelés és az adatvédelem általános szabályairól szóló szabályzatát, valamint a közérdekű adatok elektronikus közzétételére vonatkozó tevékenységről szóló szabályzatát. A Kormányhivatal informatikai rendszeréről és eszközeiről a KEK KH-val egyeztetve kizárólag az Informatikai Osztály szolgáltathat adatokat. A Kormányhivatal döntése alapján bevezetett alkalmazói rendszerek bevezetésében és felhasználásában közreműködő külső fél munkatársai és vezetői a Hivatalnál rendszeresített titoktartási nyilatkozat tételére kötelesek. A titoktartási kötelezettség kiterjed az alkalmazói rendszerekkel kapcsolatos, illetve ezek bevezetése során tudomásra jutó információkra. Az alkalmazói rendszerek bevezetése és működtetése kapcsán a rendszerekkel kapcsolatba kerülő külső szervezetek, személyek felelősségi köre a tudomásukra jutott információk vonatkozásában kiterjed: 23. oldal

24 kizárólagosan a Kormányhivatal által meghatározott célokra történő felhasználásra; harmadik személy részére a Kormányhivatal képviselőjének írásos engedélye nélküli továbbítás tilalmára; a hivatali tevékenységre vonatkozó információknak a Kormányhivatal írásos engedélye nélküli rögzítése tilalmára ADATVÉDELEM Minden felhasználó (adatfeldolgozó) az általa végzett elektronikus adatfeldolgozás során személyesen felelős az adatvédelmi szabályok és információbiztonsági előírások betartásáért. Külső fél munkavégzése során törekedni kell arra, hogy a feladatához szükségtelen hivatali adat, információ ne kerüljön tudomására, valamint csak a feltétlenül szükséges adat birtoklásáról és az információ megismeréséről nyilatkozzon, és ha szükséges titoktartási nyilatkozatot tegyen INFORMÁCIÓVÉDELEM A Kormányhivatal számítógépeiről, szervereiről a munkahelyi célú felhasználás kivételével nem engedélyezett programok, minősített adatot tartalmazó adatállományok, illetve a munkavégzés során szerzett egyéb adatok, információk másolása, azok más, illetéktelen személyekkel történő megismertetése. A minősített adatok kezelésére a Kormányhivatal minősített adatok védelmére irányadó rendelkezései vonatkoznak. Nyomatképző berendezések (fénymásoló, nyomtató stb.) használata során gondoskodni kell a felesleges, vagy rontott iratpéldányok megsemmisítéséről. Az eszközök (monitorok, nyomtatók, fénymásolók) elhelyezése során biztosítani kell, hogy bizalmas információ illetéktelen tudomására ne juthasson. Adathordozók és nyomtatványok tárolása során gondoskodni kell az illetéktelen személyek elleni hozzáférés megakadályozásáról IT BIZTONSÁG Az IT biztonsággal szemben választott követelmények az informatikai rendszerek által kezelt adatok hitelességének (az információ megbízhatóságának és a közlő egyértelmű azonosításának biztosítása), bizalmasságának (az információ jogosulatlan felhasználóktól való védelme), sértetlenségének (az információ pontosságának és teljességének megtartása), rendelkezésre állásának (annak biztosítása, hogy az információ hozzáférhető legyen az arra jogosult felhasználók számára, amikor azt igénylik) megőrzésére irányulnak INFORMÁCIÓ BIZTONSÁG KÖVETELMÉNYEI BIZALMASSÁG A Kormányhivatal területén végzett minden ügyfélforgalmi és ügyfél kiszolgálási tevékenység során szem előtt kell tartani az ügyfelek adatainak és információinak, az 24. oldal

25 ügyük elemeinek bizalmas jellegét, ezért az informatikai struktúrát és környezetett ennek megfelelően kell kialakítani SÉRTETLENSÉG Számítógép-, vagy programhibából eredő adatvesztés gyanúja esetén az - adatfeldolgozás szüneteltetése mellett a kijelölt informatikust haladéktalanul értesíteni kell. Az értesítés módja személyes, vagy telefonos értesítés, vagy az intranetes portál HelpDesk alkalmazásában tett bejelentés. A probléma tisztázása után az informatikus útmutatása szerint kell folytatni az adatrögzítést, illetve adatfeldolgozást. Az alkalmazások használata során az adatok felvitelét, módosítását, törlését kizárólag csak az Informatikai Osztály által elfogadott és biztosított, a feldolgozásra készült programmal szigorúan követve a felhasználói dokumentáció útmutatását lehet elvégezni. Az alkalmazásokhoz és hálózati mappákhoz (könyvtárakhoz) való hozzáférés (jogosultságok) dokumentált engedélyeztetése útján gondoskodni kell arról, hogy jogosulatlan felhasználó azokat ne módosíthassa és ne törölhesse. A mentések és archívumok tárolása, valamint őrzése során biztosítani kell az adatok sértetlenségét RENDELKEZÉSRE ÁLLÁS Az Informatikai Osztály feladata biztosítani az informatikai rendszerek folyamatos rendelkezésre állását az alábbi eszközök felhasználásával: preventív módon a rendszeres adatmentések és szoftvertelepítő készletek megfelelő biztosításával és tárolásával, valamint a szükséges karbantartási tevékenységek elvégzésével; tartalék eszközök és alkatrészek biztosításával, helyreállítási módszerleírások, vészforgatókönyvek naprakész biztosításával AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSA ÚTMUTATÓ AZ INFORMÁCIÓ VAGYON OSZTÁLYOZÁSÁHOZ A rendszerek információvagyonának biztonsági szempontú osztályozása az adatok bizalmassága, megőrzési követelményei és hitelessége szempontjából történik, alkalmazva az állami és önkormányzati szervek elektronikus információbiztonságáról szóló évi L. törvény (a továbbiakban: Ibtv.) aiban foglaltakat INFORMÁCIÓ VAGYON OSZTÁLYAI A közérdekű, illetve a közérdekből nyilvános adatokat az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény (a továbbiakban: Info tv.) határozza meg. A közérdekű adat nyilvánosságához fűződő jogok minősítéssel történő korlátozását a minősített adat védelméről szóló évi CLV. törvény szabályozza. A nemzet érdekében kiemelten fontos napjaink információs társadalmát érő fenyegetések miatt a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú 25. oldal

26 információs rendszerek és rendszerelemek biztonságával kapcsolatos rendelkezéseket az Ibtv. határozza meg. Az üzleti titok körébe tartozó adatokat a Polgári Törvénykönyvről szóló évi V. törvény határozza meg. Az adatok minősítője, amennyiben azt jogszabály nem szabályozza, annak a szervezeti egységnek a vezetője, amelynek érdekkörébe az adat tartozik. A rendszerekben nyilvánosnak csak a Kormányhivatal által egyértelműen annak minősített információ tekinthető. A nyilvános adatok kivételével valamennyi adatot legalább érzékeny adatnak kell tekinteni és bizalmasként (védendő nem titkos adat) kell kezelni INFORMÁCIÓ VAGYON NYILVÁNTARTÁSA Az adatkezelésre vonatkozó szabályokat az Info tv. tartalmazza. Az informatikai adatkezelés és adatfeldolgozási munka során a Kormányhivatalnak az adatkezelés és adatvédelem általános szabályaira vonatkozó szabályzata szerint kell eljárni ADATKEZELÉS KÜLÖNLEGES ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről szóló szabályzatában foglaltakat kell alkalmazni SZEMÉLYES ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről szóló szabályzatában foglaltakat kell alkalmazni KÖZÉRDEKŰ ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről, a közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni KÖZÉRDEKBŐL NYILVÁNOS ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről, a közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni NYILVÁNOS ADATOK KEZELÉSE A Kormányhivatalnak az adatkezelés rendjéről, a közérdekű és közérdekből nyilvános adatok megismerésének, egyedi igénylésük teljesítésének, valamint közzétételének rendjéről szóló szabályzatában foglaltakat kell alkalmazni VÉDELEM MÓDSZEREI ÁLTALÁNOS VÉDELEM A Kormányhivatal informatikai hálózatában az internet kijárat védelme érdekében biztonsági és védelmi megoldásokat kell alkalmazni. Gondoskodni kell a hálózat fizikai elemeinek védelméről: 26. oldal