SZ-02 INFORMÁCIÓS TECHNOLÓGIA SZABÁLYZAT

Átírás

1 SZ-02 INFORMÁCIÓS TECHNOLÓGIA SZABÁLYZAT Név és beosztás: Aláírás: Jóváhagyta és kiadja: Horváth Tibor elnök igazgató Aláírás: Készítette: Ellenőrizte: Olasz Attila IT vezető Ellenőrizte: -- Utoljára átvizsgálva: Esedékes átvizsgálás időpontja Átvizsgálta (aláírás) Oldalak : 1/64

2 1. A SZABÁLYZAT CÉLJA 5 2. SZEMÉLYI ÉS TÁRGYI HATÁLY 5 3. ALAPFOGALMAK 5 4. ALAPELVEK 5 5. SZABÁLYOZÁS A társaság informatikai biztonsági szabályzati rendszer elemeinek kezelése 6 Az informatikai biztonsági szabályzati rendszer elemei 6 Az informatikai biztonsági szabályzati rendszer elemeinek kezelése 6 Az informatikai biztonsági szabályzati rendszer elemeinek tárolása Biztonsági kockázatok kezelése 7 IT biztonsági kockázatok felmérésének és elemzésének módszertana 7 IT biztonsági kockázatok kezelése Üzletmenet folytonossági terv (BCP) 11 Kritikus üzleti folyamatok meghatározása 12 Elfogadott visszaállítási pont (RPO) 12 Kritikus helyreállítási idő (RTO) 12 Szervezeti eljárásrend katasztrófa esetén 12 Biztonsági osztályba sorolási rend 12 Biztonsági osztályok kezelésének rendje Informatikai katasztrófa utáni helyreállítási terv (DRP) 15 IT katasztrófa típusok 15 Előzetes megfontolások 15 K2-es katasztrófa elhárításának lépései 16 K3-as katasztrófa elhárításának lépései 16 K5-ös katasztrófa elhárításának lépései Az informatikai biztonsági incidensek kezelése, jelentési kötelezettsége 18 Az IT biztonsági incidensek jelentésének módja 18 Az IT biztonsági hiányosságok jelentési kötelezettsége 19 Incidensek kivizsgálása és nyilvántartása 19 Visszajelzés a biztonsági incidensekről 19 Eljárás a biztonsági előírások megsértőivel szemben Az informatikai biztonság ellenőrzése, dokumentálása 20 Az IT biztonság dokumentumai, a dokumentálás szabályai 20 Az IT biztonság ellenőrzésének szabályai 20 Oldalak : 2/64

3 5.7. A rendszerfejlesztés és változáskövetés szabályai 21 Az információ technológiai fejlesztésekkel, beruházásokkal kapcsolatos irányelvek 21 Az elemzés biztonsági követelményei 21 A rendszerfejlesztés biztonsági követelményei 21 A rendszer változáskezelésének biztonsági követelményei 21 Változáskövetési folyamat 22 Az operációs rendszer változásainak technikai felülvizsgálata 22 Programok beszerzése 22 Külső cég által végzett (VÁLLALKOZÓI SZERZŐDÉS KERETÉBEN) szoftverfejlesztés 22 Dokumentálás 23 Kontrollok 23 Ellenőrzés 23 Éves információ technológiai fejlesztési terv A fizikai infrastruktúra biztonsága, a fizikai hozzáférési rend 24 Védett, biztonsági területek 24 Fizikai biztonsági elkülönítés 24 Kiemelten védendő területek 24 A munkavégzés szabályai szerver szobában 24 Kontrollok 25 Ellenőrzés 25 Eszközbiztonság 25 Eszközök 25 Általános biztonsági előírások 28 Szerver szoba fizikai hozzáférési rendje 28 A Társaság irodáiba történő belépés, fizikai hozzáférési rendje 29 A Társaság belső hálózatához való hozzáférési rendje 29 Számítógépek és más kritikus, magas és közepes biztonsági osztályba tartozó fizikai elemek mozgatásának rendje 29 Mentési adathordozó fizikai hozzáférési rendje Logikai hozzáférési rend 30 Az információbiztonsággal kapcsolatos folyamatok kezelése 30 Jogosultságok kezelése 30 A rendszer hozzáférés és használat monitorozása IT üzemeltetési szabályzat 32 Pláninvest Bróker Zrt elektronikus információs rendszerének használata 33 Oldalak : 3/64

4 Adatmentés-visszatöltés rendje 33 Központi hálózatfelügyeleti megoldás üzemeltetési rendje 33 IT biztonsági házirend A HR erőforrásokra vonatkozó biztonsági szabályok 36 Általános munkaköri biztonsági előírások Oktatás Az IT rendszer dokumentálása, nyilvántartások 38 Szoftver nyilvántartás 38 Hardver nyilvántartás 38 Adathordozó nyilvántartás 39 Alapkonfiguráció meghatározása, a rendszerhez készült hardening guide KAPCSOLÓDÓ SZABÁLYZATOK MELLÉKLETEK 40 ITSZ 1. sz. melléklet: A Társaság üzleti folyamatai 41 ITSZ 2. sz. melléklet: Kockázat felvállalási nyilatkozat minta 47 ITSZ 3. sz. melléklet: Hibakezelési napló minta 48 ITSZ 4. sz. melléklet: Fejlesztési terv melléklet minta 49 ITSZ 5. sz. melléklet Szerver szoba kulcs nyilvántartás 50 ITSZ 6. sz. melléklet Szerver szoba belépési nyilvántartás 51 ITSZ 7. sz. melléklet: Adatgazda kinevezése, feladatköre 52 ITSZ 8. sz. melléklet: Rendszergazda kinevezése, feladatköre 53 ITSZ 9. sz. melléklet: A munkakörök betöltéséhez szükséges IT ismeretek 54 ITSZ 10. sz. melléklet: IT biztonsági ismeretek nem informatikusoknak 56 ITSZ 11. sz. melléklet Oktatási jegyzőkönyv minta 59 ITSZ 12. sz. melléklet IT jogosultság kérése, engedélyezése 60 ITSZ 13. sz. melléklet Látogatói belépési 62 ITSZ 14. sz. melléklet Szerver szoba kulcsának felvételére jogosultak névsora 63 Belépési jogosultsággal rendelkezők névsora 63 ITSZ 15. sz. melléklet Működéshez szükséges alapkonfiguráció 64 Oldalak : 4/64

5 1. A SZABÁLYZAT CÉLJA A szabályzat célja, hogy összefoglalja a Pláninvest-Bróker Zrt. informatikai rendszerének fejlesztésével, üzemeltetésével és biztonságával kapcsolatos elveket, módszertanokat, eljárásokat és felelősségeket. 2. SZEMÉLYI ÉS TÁRGYI HATÁLY A szabályzat személyi hatálya kiterjed minden munkatársra, akik a Társaság informatikai rendszereit használják. A szabályzat előírásait kell alkalmazni a Társaság minden informatikai vagy informatikával kapcsolatos tevékenysége során a dokumentumban található tevékenységek szerinti részletezettségben. 3. ALAPFOGALMAK Adatgazda: az a jellemzően felső vezető beosztású személy, aki az egy vagy több szervezeti egység feladatellátása során keletkező adatok üzleti, működési és gazdasági kockázati besorolásáért felel, s egyben meghatározza és ellenőrzi, hogy az egyes adatokhoz kik, milyen feladatellátás során juthatnak, jutottak hozzá. Rendszergazda: az informatikai rendszer szabályzatokban rögzített működéséért felelős személy. 4. ALAPELVEK A Pláninvest Bróker Zrt. IT biztonsági szabályozásának kiindulási pontja a Társaság üzleti tevékenysége, és üzleti folyamatai. A Társaság üzleti folyamatainak és e folyamatok összefüggéseinek áttekintő diagramjai jelen dokumentum 1. sz. mellékletében található. A Társaság informatikai biztonsági szabályozásának kialakítása során elsődleges prioritással figyelembe vettük a vonatkozó jogszabályokat, ajánlásokat, szabványokat, és aszerint alakítottuk ki mind a szabályozást, mind pedig a szabályozás működtetésének gyakorlatát. Mindemellett, a Társaság méretéből adódóan, olyan megoldások kialakítására törekedtünk, amelyek, a törvényi környezet szabta keretek között, figyelembe veszik a Társaság méretét, és az ebből adódó erőforrás hatékonysági szempontokat. Ez azt jelenti, hogy egyes területeken, a több különböző szintű biztonsági megoldás helyett akkor is törekedtünk az egységes megoldásokra, ha ezzel, bizonyos rendszer elemek tekintetében a szükségesnél nagyobb biztonságot értünk el. Az egységes megoldás erőforrás szükségletei a Társaság méretéből adódóan ezekben az esetekben összességében előnyösebbek, ugyanakkor az előírt informatikai biztonság szintje sem sérül. A Társaság méretét az üzleti szolgáltatások és az ezt kiszolgáló informatika rendelkezésre állásának biztosítása szempontjából is figyelembe vettük. A Társaság mérete, amely informatikai erőforrásainak számosságában és méretében is tükröződik, ugyanis lehetővé tesz Oldalak : 5/64

6 olyan BCP-DRP megoldásokat, amelyek magas szintű biztonságot eredményeznek, miközben egyszerű, jól működtethető megoldásokat használnak. 5. SZABÁLYOZÁS 5.1. A társaság informatikai biztonsági szabályzati rendszer elemeinek kezelése Az informatikai biztonsági szabályzati rendszer elemei A Planinvest Bróker Zrt. informatikai biztonsági szabályzati rendszer elemei, hierarchikus bontásban az alábbiak: Biztonsági kockázatok kezelése (ITSZ részeként) o Kockázatelemzési módszertan o Alkalmazandó kontrollok o Kockázatkezelés rendje Kockázatelemzési jelentés sablon (külön dokumentumban) Üzletmenet folytonossági terv (BCP) (ITSZ részeként) o BCP eljárásrend o Biztonsági osztályba sorolás rendje o Informatikai adatvédelmi szabályzat Katasztrófa-elhárítási terv (DRP) (ITSZ részeként) Informatikai fejlesztések tervezése (ITSZ részeként) Fizikai hozzáférés rendje (ITSZ részeként) o Szerver szoba hozzáférési rendje o Mentési adathordozó hozzáférési rendje Logikai hozzáférés rendje (ITSZ részeként) Informatikai üzemeltetési szabályzat (ITSZ részeként) o Mentés-visszatöltés rendje o Központi biztonsági program üzemeltetési rendje o Hálózatfelügyelet üzemeltetési rendje o Erőforrás monitoring Oktatási szabályzat (ITSZ részeként) Pláninvest Zrt. informatikai rendszerének dokumentálása (külön dokumentumban) Az informatikai biztonsági szabályzati rendszer elemeinek kezelése A dokumentumok formai követelményeit, kiadásuk, publikálásuk és visszavonásuk rendjét az SZ-01 A Társaság dokumentumai c. szabályzat írja elő. Az IT rendszerrel kapcsolatos szabályzatokat a szervezeti, működésbeli és jogszabályi változások, a szolgáltatások, az információs rendszerek és eszközök változása illetve információvédelmi esemény, felülvizsgálati események alapján a szabályzatot készítő elkészíti, az informatikai vezető átvizsgálja és ellenőrzi és szükség szerint kezdeményezi a módosításokat, az ellenőrzött és megfelelőnek talált szabályzást a Társaság vezetője pedig jóváhagyja és kiadja. Az informatikai biztonsági szabályzati rendszer elemeinek tárolása Az informatikai biztonsági szabályzati rendszer elemeinek papír alapú tárolási helye a Társaság titkárságán van, a szabályzatok elektronikus tárolási helye pedig a Társaság szerverén, minden társasági dolgozó által olvasási jogosultsággal hozzáférhető elektronikus mappában. Oldalak : 6/64

7 5.2. Biztonsági kockázatok kezelése A Társaság, működési rendszerének változása esetén, de legalább minden második évben felméri informatikai rendszerének kockázatait, ennek eredményét elemzi. A kockázatok menedzselésének fő tevékenységi területei: a kockázatok felmérése a kockázatok elemzése a kockázatok kezelése A Társaság informatikai kockázat menedzselésének célja az, hogy a Társaság gondoskodjon informatikai rendszerének kockázatokkal arányos védelméről. A kockázatkezelés, valamint a kockázatkezeléssel kapcsolatos dokumentumok készítésének, naprakészen tartásának felelőse az informatikai vezető. IT biztonsági kockázatok felmérésének és elemzésének módszertana Az IT biztonsági kockázatok felmérését és elemzését az alábbiakban rögzített kockázatelemzési módszertan szerint kell elvégezni. 1. Azonosítani kell a Társaság üzleti folyamatait és katalogizálni kell azokat. Az üzleti folyamatokat átfogóan kell megadni. 2. Az üzleti folyamatokat osztályozni kell kritikusság szerint. Kritikus egy üzleti folyamat, ha annak hiányában sérül a Társaság jogszabályi előírások által szabott kötelezettségének a teljesítése, vagy a Társaság üzleti tevékenysége. Az óvatosság elve alapján ott, ahol csak a folyamat egy része tekinthető kritikusnak, a teljes folyamatot kritikusnak kell tekinteni. A Társaság üzleti folyamatai jelen dokumentum 1. sz. mellékletének ábráin találhatók. 3. Az üzleti folyamatokhoz hozzá kell rendelni azokat az informatikai rendszereket, alkalmazásokat, amelyek az adott üzleti folyamat végrehajtását támogatják. A kritikus üzleti folyamatokat támogató alkalmazások kritikusnak minősülnek. A kritikus üzleti folyamatokat támogató kritikus rendszerek szintén jelen dokumentum 1. sz. mellékletének ábráin találhatók. 4. A kritikus informatikai alkalmazásokhoz tartozó adatokat összességében kritikus adatoknak kell minősíteni, függetlenül attól, hogy egy kritikus alkalmazás adatai között lehetnek nem kritikusak is (óvatosság elve). 5. Az informatikai alkalmazásokhoz hozzá kell rendelni a támogató informatikai infrastruktúrát. Az óvatosság elve alapján itt, ha egy IT infrastruktúra csak részben támogat kritikus alkalmazást, akkor azt teljes egészében kritikusnak kell tekinteni. A kritikus informatikai infrastruktúra ezek alapján a Társaság teljes informatikai infrastruktúrája, melynek részletes leírása a Pláninvest Zrt. informatikai rendszerének dokumentálása c. dokumentumban található. 6. Meg kell határozni az IT infrastruktúrához tartozó környezeti infrastruktúrát. 7. Meg kell határozni az informatikai alkalmazásokat és infrastruktúrát használó, kezelő személyek körét. 8. Az így meghatározott informatikai és környezeti rendszer elemekhez egyenként meg kell határozni a lehetséges kockázati szcenáriókat. 9. A kockázati szcenáriókhoz előfordulási valószínűség osztályokat kell rendelni. Az előfordulási valószínűség osztályok meghatározása jelen kockázatelemzési módszertan részét képezi és az alábbiakban megtalálható. Oldalak : 7/64

8 Előfordulási valószínűség osztályozása Jelölés Név Leírás 1 Nem valószínű 2 Ritka előfordulás 3 4 Közepesen sűrű előfordulás Gyakori előfordulás Az esemény, bár elméletileg elképzelhető, csak különleges körülmények esetén fordulhat elő (pl. természeti katasztrófa) Az esemény átlagosan évente egyszer, csak különleges körülmények esetén fordul elő (pl. durva mulasztás) Akár hetente bekövetkező esemény (pl. képzetlenség, hibásan elvégzett, vagy el nem végzett munka) Szinte naponta bekövetkező esemény (pl. figyelmetlenség, elírás) 10. A kockázati szcenáriókhoz hozzá kell rendelni a kockázati szcenárió bekövetkezésekor okozott kár, káros hatás mértékét, szintén osztályba sorolva. A kár, káros hatás mérték osztályainak meghatározása jelen kockázatelemzési módszertan részét képezi és az alábbiakban megtalálható. Kár, káros hatások osztályozása Jelölés Név Magyarázat 1 Kicsi 2 Közepes 3 Nagy Az esemény által okozott kár elhárítása 1 munkanapon (8 órán) belül megoldható, az ügyfelek számára nem észlelhető, ill. az okozott kár mértéke < éves költségvetés 0,1%-a Az esemény komolyan befolyásolja a működést, az esemény által okozott kár elhárítása 1 napon (24 órán) belül megoldható, ill. az okozott kár mértéke az éves költségvetés 0,1% és 1%-a közé esik Az esemény rövid távon fennakadást okoz a szolgáltatási tevékenységben, ill. az okozott kár mértéke az éves költségvetés 1 és 10%-a közé esik 4 Nagyon nagy Az esemény alapjaiban veszélyezteti a cég működését, ill. az okozott kár mértéke > az éves költségvetés 15%-a 11. Az egyes kockázati szcenáriókhoz, az előfordulási valószínűség és az okozott kár, káros hatás alapján, meg kell határozni a kockázati szintet. A kockázat mértékének kiszámítási algoritmusa jelen kockázatelemzési módszertan részét képezi és az alábbiakban megtalálható. 12. Kockázatelemzési jelentést kell írni a feltárt kockázatokról, amelyet a külön dokumentumként meghatározott Kockázatelemzési jelentés sablon kitöltésével kell végrehajtani. 13. A kockázatelemzési jelentést a Társaság vezetőjének jóvá kell hagynia. Oldalak : 8/64

9 A kockázati szint meghatározása 4 III. IV. IV. IV. Kár, káros hatás mértéke 3 II. III. IV. IV. 2 I. II. III. IV. 1 I. I. II. III Előfordulási valószínűség A kockázati szintek Jelölés Név I. Csekély kockázat II. III. IV. Kis kockázat Közepes kockázat Nagy kockázat IT biztonsági kockázatok kezelése A kockázatkezelési folyamatok során a Társaság informatikai vezetője igénybe veszi a Társaság belső ellenőrének közreműködését. A kockázatkezelés lépései: - kockázatok feltárása, csoportosítása és hatáselemzése; - szükséges lépések, módszerek meghatározása és hatáselemzés; - megoldási tervek és alternatívák készítése; - döntés és megvalósítás; Oldalak : 9/64

10 - monitoring és utóellenőrzés Az IT biztonsági kockázatok felmérése és elemzése után a feltárt kockázatokat kezelni kell, melyet az alábbi módszertannal kell elvégezni. A kockázatkezelés felelőse az informatikai vezető, jóváhagyója a Társaság vezetője. IT biztonsági kockázatkezelési módszertan 1. A kockázatelemzés során kiszámított kockázatokhoz meg kell határozni az adott kockázat kezelésének konkrét kontrolljait. A kontrollok közé csak az adott kockázat kezelésére alkalmas és ugyanakkor a Társaság méretére és erőforrásaira szabott, reálisan megvalósítható kontrollokat kell meghatározni. Az egyes IT rendszer elem típusok esetén alkalmazandó kontrollokat az alábbi fejezet részletezi. 2. Felelőst és határidőt kell rendelni a kiválasztott biztonsági kontroll megvalósításához. 3. Az összes kockázat kezelését egy Intézkedési tervbe kell összefogni, melyet a Társaság vezetőjének jóvá kell hagynia. Az Intézkedési tervet a külön dokumentumként meghatározott Intézkedési terv sablon kitöltésével kell végrehajtani. A jóváhagyást formalizált módon, a dokumentum ellenőrzése után, a dokumentum fedőlapján található adminisztrációs részben kell megtenni névvel és aláírással együtt. 4. Amennyiben a Társaság vezetője egyes kockázatok felvállalása mellett dönt, az alábbiakban részletezett kockázatfelvállalási szabályok betartásával, úgy ezekhez el kell készíteni a Kockázatfelvállalási nyilatkozatot, melyet a Társaság vezetőjének alá kell írni. Alkalmazandó kontrollok A kockázatelemzés során megállapított kockázatok kezelése kontrollok segítségével történik. Az alábbi táblázatban felsoroljuk azokat a kontroll típusokat, amelyeket az egyes IT rendszer elemek esetében alkalmazhatóak. Az egyes esetekben ezeket a kontroll típusokat kell alkalmazni a konkrét helyzetre és úgy kell előírni azokat. Például a környezeti infrastruktúra esetén konkrét fizikai hozzáférés kontrollt jelenthet egy zárható szerver szoba belépés szabályozásának elkészítése és a szabályozás alkalmazása. Oldalak : 10/64

11 A kockázatelemzés alapján, az egyes esetekben konkrétan alkalmazott kontrollokat a mindenkor aktuális Intézkedési terv tartalmazza. IT rendszer elem típus Minden rendszer elemre Környezeti infrastruktúra Hardver infrastruktúra Szoftver infrastruktúra Alkalmazások Adatok Személyek Alkalmazandó kontroll Külső erőforrás igénybe vételekor: Jogi kontrollok kialakítása (szerződések); Eljárás kontrollok kialakítása (szabályozás); Fizikai hozzáférés kontroll kialakítása; Fizikai, technológiai és logikai hozzáférés kontroll kialakítása; Működés ellenőrzés (tesztelés); Logikai hozzáférés kontroll kialakítása; Naplózás; Működés ellenőrzés (tesztelés); Logikai hozzáférés kontroll kialakítása; Naplózás; Működés ellenőrzés (tesztelés); Fizikai, technológiai és logikai hozzáférés kontroll kialakítása; Naplózás; Működés ellenőrzés (tesztelés); Fizikai és logikai hozzáférés kontroll kialakítása; Szervezeti kontrollok kialakítása (ellenőrzés, dokumentálás); Oktatás; IT kockázat kiértékelés A kockázat elemzésről szóló jelentés alapján az informatikai vezető és helyettese a kockázatokat értékeli, és gondoskodik a megelőzésükhöz szükséges intézkedések meghozataláról. Az alkalmazott informatikai biztonsági kontrolok eredményeiről a vezető informatikus írásban tájékoztatja a Társaság elnök-igazgatóját IT biztonsági kockázatok felvállalásának szabályozása A kockázatelemzés során kiszámított kockázatok bekövetkezését vagy kontrollokkal meg kell előzni vagy fel kell vállalni a nem kezelt kockázatokat az alábbi szabályok alapján: 1. Csak a kockázatelemzési módszertan szerinti csekély és kis kockázati szinttel jellemzett kockázatok vállalhatók fel. 2. A vállalati adatvagyon kockáztatásával járó kockázatfelvállalás még csekély mértékben sem megengedett. 3. A felvállalt kockázatokat a következő aktuális kockázatelemzés során újra fel kell mérni. 4. A kockázatok felvállalását jelen dokumentum 2. sz. mellékletében található sablon kitöltésével kell végrehajtani Üzletmenet folytonossági terv (BCP) Oldalak : 11/64

12 A Társaság, működési rendszerének változása esetén azonnal, vagy évente egy alkalommal felméri üzletmenet folytonosságát befolyásoló tényezőket, ennek eredményét elemzi. Az üzletmenet folytonossági terv évente tesztelésre kerül. Kritikus üzleti folyamatok meghatározása A kockázatelemzés megállapításaival összhangban (ld. jelen dokumentum 5.2. fejezete) a Társaság kritikus üzleti folyamatai jelen dokumentum 1. sz. mellékletének ábráin találhatók. Elfogadott visszaállítási pont (RPO) A Társaság elfogadott visszaállítási pontja az előző munkanap vége, vagyis az előző munkanap végén befejezett üzletmenet, illetve az előző munkanap végéig bezárólag létrehozott és elmentett adatbázisok összessége. Minden üzletmenet folytonosság helyreállítása tehát legfeljebb az előző munkanap végén meglévő üzletmenetre és adatbázis státuszra kell, hogy visszaálljon. Üzletment folytonosság sértés esetén ennél időben későbbi visszaállítási pont is elfogadott. Kritikus helyreállítási idő (RTO) A Társaság üzletmenet folytonosság biztosítására vonatozó szabályainak kialakítása annak figyelembe vételével történt, hogy a rendszer 24 órás leállása az üzletmenetet még nem károsítja lényeges mértékben. Ebből adódóan a kritikus helyreállítási idő 24 óra. Az üzletmenet-folytonossági eljárásoknak, valamint az informatikai katasztrófa elhárítási eljárásoknak legalább azt biztosítaniuk kell, hogy a katasztrófa bekövetkezte után legfeljebb 24 óra múlva a Társaság a kritikus üzleti folyamatait működtetni tudja. Ebből adódóan, ha a katasztrófa-elhárítási tesztek során az alábbiakban tárgyalt minden katasztrófa típus esetén bebizonyítható, hogy a rendszer visszaállítása megoldható legfeljebb 24 órán belül, akkor biztosítottuk a Társaság működésének helyreállítását a szükséges kritikus helyreállítási időn belül. Szervezeti eljárásrend katasztrófa esetén Az informatikai területet érintő rendkívüli esemény esetén a problémát észlelő munkatárs közvetlen felettesét, és az informatikai vezetőt tájékoztatja a történtekről. Az informatikai vezetőnek, először azonosítania kell a kialakult katasztrófa helyzet típusát, majd ez alapján, az előírt katasztrófa-elhárítási terv szerint (ld. jelen dokumentum 5.4. fejezete) haladéktalanul meg kell kezdenie a hiba megszüntetését. A hibát, annak észlelését követően, de legkésőbb 24 órán belül, az erre a célra vezetett naplóban, jelen dokumentum 3. sz. mellékletében meghatározott sablon szerint, rögzíteni kell, mely tartalmazza a hiba észlelésének idejét, a hiba jellegét és a hiba megszüntetésének módját és idejét. A hiba jellegétől függetlenül minden kijavított hibáról, illetve a helyreállításról jegyzőkönyv készül, amit az informatikai vezető hitelesít. Az informatikai rendszer működése szempontjából kritikus folyamatok eseményeire vonatkozó napló vezetéséért az informatikai vezető felel. A napló vezetését és annak tartalmát a belső ellenőr rendszeresen ellenőrzi. A naplóban szereplő eseményekről az elnök-igazgató rendszeres tájékoztatást kap. A tájékoztatás megtörténtét az elnök-igazgató a naplóban aláírásával igazolja. Biztonsági osztályba sorolási rend A Társaság biztonsági osztályba sorolási rendjét az IT rendszer kritikus hardver elemeinek rendelkezésre állása, valamint a Társaság adatainak bizalmassága szerint alakítottuk ki. Az Oldalak : 12/64

13 alábbiakban mindkét besorolás kritériumai, követelményei és a hozzá tartozó rendszer elemek besorolási osztályra jellemző tulajdonságai találhatók. A biztonsági osztályba sorolás követelményei Hardver elemek rendelkezésre állási osztályai Biztonsági osztály szint alacsony (I) közepes (II) magas (III) kritikus (IV) Követelmény hiánya, pontatlansága többletmunkát, erőforrás lekötést okozhat, de cégen belül kezelhető hiánya eseti követelménysértést tud okozni, vevőt is érinthet jogi következményekkel járhat a hiány, pontatlanság vagy követelménysértés hiánya az alaptevékenység ellátását akadályozza, súlyos reputáció romlást okozhat Osztály elemek jellemzői Javítás, eszköztartalékolás: szolgáltatónál Szolgálatási idők: hardver elem csere szállítása 24 órán belül Eszköz redundancia: nem szükséges Javítás, eszköztartalékolás: szolgáltatónál Szolgálatási idők: hardver elem csere szállítása 4 órán belül Eszköz redundancia: nem szükséges Javítás, eszköztartalékolás: szolgáltatónál Szolgálatási idők: hardver elem csere szállítása 4 órán belül Eszköz redundancia: nem szükséges Javítás, eszköztartalékolás: leállással, újraindítással történő helyszíni helyettesíthetőség Szolgálatási idők: hardver elem csere szállítása 4 órán belül Eszköz redundancia: nem szükséges Adatok bizalmassági osztályai Oldalak : 13/64

14 Biztonsági osztály szint Követelmény alacsony (I) közepes (II) magas (III) kritikus (IV) nyilvános adat/információ cégen belüli publikus adat/információ csak a cég vezetősége számára hozzáférhető üzleti titkot tartalmazó adat/információ jogszabály által védett ügyfél adatot, dolgozói adatot, bank-, értékpapír- titkot tartalmazó adat/információ Biztonsági osztályok kezelésének rendje Hardver elemek biztonsági osztályainak kezelése 1. A Társaság tevékenységét támogató hardver elemeket, valamint a Társaság tevékenysége során kezelt adatokat biztonsági osztályba kell sorolni. 2. A hardver elemek biztonsági osztályait a Társaság informatikai rendszerének dokumentációjában/nyilvántartásában kell feltüntetni, a biztonsági osztály azonosítójának feltüntetésével. A hardver elemek nyilvántartása megtalálható a Pláninvest Zrt. informatikai rendszerének dokumentálása c. dokumentumban. 3. Ha egy összefüggő IT infrastruktúra akár csak részben tartalmaz kritikus hardver elemeket, akkor azt teljes egészében kritikusnak kell tekinteni. Ez megfelel az óvatosság elvének, az egységesítés révén erőforrás felhasználás szempontjából is előnyös, ugyanakkor a biztonság szintje nem sérül. 4. A hardver elemek fizikai hozzáférésének szabályozása jelen dokumentum Fizikai hozzáférés rendje c. fejezetében található. Adatok biztonsági osztályainak kezelése 1. Adatok biztonsági osztályba sorolását a Társaság elnök-igazgatója végzi, aki egyben a Társaság adatgazdája is. Adatgazda: az a személy, akinek a vezetése alatt álló területen adat keletkezik, illetve aki a keletkezett adatot minősíti, és aki felelős az általa minősített adat kezeléséért 2. Adatok biztonsági osztályba sorolása informatikai szempontból az adatokat kezelő informatikai infrastruktúra és alkalmazások biztonsági osztályba sorolása révén valósul meg. Amíg a kockázatelemzés során az üzleti folyamatokból kiindulva kell minősíteni az alkalmazásokat, jelen esetben az adat bizalmasság alapú biztonsági osztályaiból kiindulva minősítjük az azokat kezelő alkalmazásokat. Az óvatosság elve alapján, a több szempont alapján történő és eltérő eredménnyel járó minősítések esetén mindig a szigorúbb minősítést kell választani. 3. Az adatok és ezzel együtt az informatikai alkalmazások biztonsági osztályai az Informatikai rendszer elemek nyilvántartása c. dokumentumban találhatók. 4. Mivel minden adat egy és ugyanazon informatikai infrastruktúrán (Társaság szerverei) található, ezért minden, a kritikus üzleti folyamatokhoz kapcsolódó adatot ugyanúgy, vagyis a legszigorúbb adat biztonsági osztály előírásai szerint kell kezelni. Ebből adódóan Oldalak : 14/64

15 az alábbi pontokban említett adatkezelési eljárások minden adatra vonatkozó kezelést határoznak meg, szintén a legszigorúbb adat biztonsági osztály adatkezelése szerint. 5. Az adatokkal kapcsolatos fizikai biztonság szabályozása jelen dokumentum Fizikai hozzáférés rendje c. fejezetében található. 6. Az adatok tárolásával kapcsolatos szabályozás jelen dokumentum Fizikai hozzáférés rendje, a Logikai hozzáférési rend, az Adatmentés-visszatöltés rendje és az Informatikai katasztrófa utáni helyreállítási terv c. fejezetben található. 7. Az adatokkal kapcsolatos logikai hozzáférés szabályozása a Logikai hozzáférési rend c. fejezetben található Informatikai katasztrófa utáni helyreállítási terv (DRP) A DRP-ben először meghatározzuk azokat az üzletmenet folytonosságot sértő jellemző informatikai katasztrófa típusokat, amelyek esetében az okozott katasztrófa helyzetet el kell hárítani. A katasztrófa típusokat az alábbi táblázat tartalmazza. IT katasztrófa típusok Azonosító K1 K2 K3 K4 K5 Követelmény Kliens oldali szoftver elem vagy alkalmazás használhatatlanná válik Kliens számítógép, szoftverrel együtt teljesen használhatatlanná válik Szerver oldali szoftver elem és/vagy alkalmazás és/vagy adatbázis használhatatlanná válik Szerver számítógép, szoftverekkel, alkalmazásokkal, adatbázisokkal együtt teljesen használhatatlanná válik A teljes IT rendszer (hálózat, hardver infrastruktúra és alkalmazások) használhatatlanná válik Előzetes megfontolások Mivel a K2-es katasztrófának teljesen része a K1-es, ezért ha a K2-es katasztrófa tesztje sikeresen elvégezhető a legszigorúbban előírt RTO-n (24 óra) belül, akkor ez a K1-es katasztrófa sikeres tesztjét is bizonyítja. A K3-as katasztrófa legsúlyosabb esete az, amikor az operációs rendszer válik használhatatlanná. Ha a K3-as tesztet a operációs rendszer használhatatlanná válásával Oldalak : 15/64

16 teszteljük, és ez sikeresen elvégezhető a legszigorúbban előírt RTO-n (24 óra) belül, akkor ez minden K3-as katasztrófa sikeres tesztjét is bizonyítja. Mivel a K5-ös katasztrófának teljesen része a K4-es, ezért ha a K5-ös katasztrófa tesztje sikeresen elvégezhető a legszigorúbban előírt RTO-n (24 óra) belül, akkor ez a K4-es katasztrófa sikeres tesztjét is bizonyítja. A fenti megfontolásokból adódóan a teljes IT katasztrófa-elhárítási teszt a K2-es, a K3-as és a K5-ös esetek sikeres tesztelésével teljesül. A fentiek alapján az egyes katasztrófák előfordulása esetén az alábbi teszteket kell elvégezni: K2-es katasztrófa elhárításának lépései Teszt lépés Teszt tevékenység 1 Rögzítse a teszt kezdésének idejét. Helyezze a virtuálisan eltelt időt 4 órára, amely a vonatkozó hardver beszállító vészhelyzeti teljesítésének maximális ideje. 2 (A szoftverek és alkalmazások leszállításához nem szükséges beszállító, mivel azok aktuális verziói a Társaság irodaépületétől több, mint 400 méterre, de még a városban, a katasztrófa helyszínen találhatók, ahonnan a visszaállítási helyszínre szállíthatók.) 3 Csatlakoztassa a kliens számítógépet az IT hálózathoz. 4 Telepítse fel a kliens operációs rendszert a számítógépre. 5 Telepítse fel a szükséges alkalmazásokat a kliens számítógépre. 6 Indítsa el az alkalmazásokat. 7 Ha sikeresek az eddigi lépések, rögzítse a teszt befejezésének idejét. 8 Értékelje a tesztet: Ha a teszt hiba nélkül lefut és az előírt RTO-n belül fejeződik be, sikeres, ha nem, akkor sikertelen. K3-as katasztrófa elhárításának lépései Oldalak : 16/64

17 Teszt lépés Teszt tevékenység 1 Rögzítse a teszt kezdésének idejét Szállítsa a szoftvereket, alkalmazásokat ún. szerver klón formátumban, valamint az előző napi adatmentést a katasztrófa helyszínről a visszaállítási helyszínre. (A szoftverek és alkalmazások leszállításához nem szükséges beszállító, mivel azok aktuális verziói a Társaság irodaépületétől több, mint 400 méterre, de még a városban, a katasztrófa helyszínen találhatók, ahonnan a visszaállítási helyre szállíthatók. Ugyanez érvényes az adatokra is, amelyek mentése ugyanott találtható.) Ha nem sérült a szerver adatbázis, akkor végezze el a napi adatmentést a szokásos módon. Telepítse fel a szerver teljes szoftveres klónját a szerver gépre. (Háttér: a szerver teljes szoftveres klónja, minden alkalommal mentésre kerül, amikor bármelyik szoftver és/vagy alkalmazás új verziója települ a szerverre. Ebből adódóan a katasztrófa helyszínen mindig rendelkezésre áll ) Ha nem sérült a szerver adatbázis, akkor az előzőleg végrehajtott adatmentést töltse vissza a szerverre a szokásos módon. Ha a katasztrófa során sérült a szerver adatbázis, akkor az előző napi adatmentést töltse vissza a szerverre a szokásos módon. Indítsa el az alkalmazásokat és ellenőrizze, hogy minden alkalmazás eléri-e az adatbázist? 8 Ha sikeresek az eddigi lépések, rögzítse a teszt befejezésének idejét. 9 Értékelje a tesztet: Ha a teszt hiba nélkül lefut és az előírt RTO-n belül fejeződik be, sikeres, ha nem, akkor sikertelen. K5-ös katasztrófa elhárításának lépései Oldalak : 17/64

18 Teszt lépés Teszt tevékenység 1 Rögzítse a teszt kezdésének idejét. Helyezze a virtuálisan eltelt időt 4 órára, amely a vonatkozó hardver beszállító vészhelyzeti teljesítésének maximális ideje (A szoftverek és alkalmazások leszállításához nem szükséges beszállító, mivel azok aktuális verziói a Társaság irodaépületétől több, mint 400 méterre, de még a városban, a katasztrófa helyszínen találhatók, ahonnan a visszaállítási helyszínre szállíthatók. Ugyanez érvényes az adatokra is, amelyek mentése ugyanott találtható.) Csatlakoztassa a konfigurálatlan tűzfalat az internet végpontra. (Az internet végpontot a katasztrófa helyszínt biztosító céggel kötött szerződés alapján vehetjük igénybe.) Konfigrálja a tűzfalat az elmentett tűzfal konfigurációs álllomány segítségével. 5 Csatlakoztassa a szervert a tűzfalhoz. 6 Telepítse fel a szerver teljes szoftveres klónját a szerver gépre. (Háttér: a szerver teljes szoftveres klónja, minden alkalommal mentésre kerül, amikor bármelyik szoftver és/vagy alkalmazás új verziója települ a szerverre. Ebből adódóan a katasztrófa helyszínen mindig rendelkezésre áll ) 7 Töltse vissza az előző napi mentést (RPO) az adatbázisba. 8 Indítsa el az alkalmazásokat és ellenőrizze, hogy minden alkalmazás eléri-e az adatbázist? 9 Ha sikeresek az eddigi lépések, rögzítse a teszt befejezésének idejét. 10 Értékelje a tesztet: Ha a teszt hiba nélkül lefut és az előírt RTO-n belül fejeződik be, sikeres, ha nem, akkor sikertelen. A Társaság, Informatikai katasztrófa utáni helyreállítási terve (DRP) évente egy alkalommal tesztelésre kerül Az informatikai biztonsági incidensek kezelése, jelentési kötelezettsége Az informatikai rendszereket érintő (vagy vele összefüggésbe hozható) bármilyen bekövetkezett, vagy előre látható biztonsági eseményt (betörés, lopás, tűz, víz, villámcsapás, balesetveszélyes eszköz, eszköz elvesztése vagy eltűnése stb.) a Társaság informatikusai felé az eseményt észlelőnek azonnal jelezni kell. A felhasználó köteles jelezni az informatikusoknak bármely, az informatikai biztonságot érintő gyanús eseményt (pl.: előző nap lekapcsolt, de reggel bekapcsolva talált gépet), vagy ezzel kapcsolatos gyanúját. Az IT biztonsági incidensek jelentésének módja Felhasználói hiba észlelés: Oldalak : 18/64

19 haladéktalanul értesíteni kell telefonon vagy személyesen a Társaság informatikai vezetőjét; az eseményt, bekövetkezte után, lehetőleg azonnal, vagy rövid időn belül, írásban ( ,levél) is jelezni kell, Biztonsági esemény esetén: Haladéktalanul telefonon értesíteni kell a Társaság informatikai vezetőjét vagy helyettesét, aki az esemény jellegétől függően intézkedik, indokolt esetben tájékoztatja az elnök-igazgatót. Az eseményt követően az eseményről jegyzőkönyvet kell készíteni. A jegyzőkönyvben rögzíteni kell az esemény részleteit, valamint a Társaság irodájában tartózkodók nevét, a tartózkodás időtartamát és okát. Az IT biztonsági hiányosságok jelentési kötelezettsége Az informatikai rendszer bármely felhasználói pontján jelentkező, a hálózattal, eszközzel, illetve adott alkalmazással kapcsolatban felmerülő rendellenes működés, jelenség, vírusjelzés, futási hiba esetén használója köteles a tapasztalt jelenséget, és ha van, a jelenséget kísérő hibaüzenetet regisztrálni és haladéktalanul bejelenteni a kijelölt informatikus felé. Incidensek kivizsgálása és nyilvántartása Az informatikai incidenseket az informatikai vezető és helyettese a rendelkezésre álló nyilvántartásokat (adatbázis alkalmazás digitális adatait, papíralapú eseménynaplókat, belépési naplókat) negyedévente elemzi, és a tanulságokat felhasználja: beszerzések tervezésénél; selejtezések tervezésénél; biztonsági konzekvenciák levonásakor; beszámoló készítésekor; IBSZ felülvizsgálatakor. Visszajelzés a biztonsági incidensekről A kijelölt informatikus a hiba elhárítása érdekében intézkedik, vagy a probléma elhárítását elvégzi, a hiba megszüntetéséről és a további teendőkről a felhasználót folyamatosan tájékoztatja. Helyettesítő eszköz biztosításával gondoskodik a felhasználó munkavégzési lehetőségéről. Eljárás a biztonsági előírások megsértőivel szemben Az informatikai rendszer rendellenes működése vagy a biztonságot veszélyeztető esemény elhárítása érdekében az informatikai eszközök használatát, a hálózat működését, az internet és levelezés használatát a Társaság informatikusa részben vagy egészében korlátozhatja vagy leállíthatja a Társaság elnök-igazgatójával történt tájékoztatást vagy egyeztetést követően. A Társaság szankciókat alkalmazhat az internethasználat és elektronikus levelezés szabályainak megszegése esetén, ha a felhasználó az internetezés során a figyelmeztetését követően is szándékosan és rendszeresen: megszegi az internethasználat szabályait; olyan magatartás tanúsít, melyek által súlyosan vét a munkahelyi etikai szabályok ellen; tiltott tartalmú kategóriába sorolt oldalakat látogat (kivéve egyedi írásos engedéllyel); tiltott tevékenységet folytat. Az IBSZ szándékos, vagy az ismeret hiányából eredő megszegőjével szemben a Társaság informatikai vezetője az érintett felhasználó felettese felé figyelmeztető felszólítást vagy fegyelmi eljárást kezdeményezhet. Oldalak : 19/64

20 5.6. Az informatikai biztonság ellenőrzése, dokumentálása Az IT biztonság dokumentumai, a dokumentálás szabályai Az IBSZ szabályai által előírt és napra készen vezetett naplók és nyilvántartások. Az informatikai munka során készített feljegyzések, jelentések, jegyzőkönyvek. Beszerzések során keletkezett dokumentumok. Rendelkezésre állás: a jogosultságok engedélyeztetése és nyilvántartása révén biztosítja a hozzáférést. Sértetlenség: Adatintegritás biztosítása a mentési és archiválási nyilvántartások naprakész vezetésével és a mentések megfelelő tárolásával. Rendszerintegritás fenntartása a megfelelő ellenőrzött szoftverek használatával és a szoftvernyilvántartások vezetésével. Bizalmasság: az adatok illetéktelen kiszivárgása megelőzhető a mentési adatlapok és nyilvántartások vezetésével, a mentések előírt tárolási szabályainak betartásával, az adatvédelmi szabályok betartásával. Felelősség: bármely entitás cselekvései követhetőek és egyértelműen visszavezethetőek a mentések, a számítógép naplók, valamint a szervernaplók elemzéséből. Megbízhatóság: az IBSZ intézkedései a rendszer megbízhatóságának biztosítására törekednek. A megbízhatóság az alapvető szabályok betartása mellett biztosítható. Alkalmazott kontrollok Dokumentált eszközkezelés (üzembe helyezési, eszközátadási, eszközszállítási, leltározási és selejtezési események dokumentálása). A jogosultságok és hozzáférések adatlapokkal történő dokumentálása. Ellenőrzött szoftverkezelés (jogtisztaság, tesztelt szoftverek, szoftvernyilvántartás vezetése, telepítés jogosultság szabályozása). Mentések és archívumok készítésére és tárolására vonatkozó előírások és kapcsolódó nyilvántartások vezetése. A munkahelyek, hálózatok, informatikai központ kialakítására és üzemeltetésére vonatkozó előírások betartása, kapcsolódó események naplózása. Az IT biztonság többszintű ellenőrzése,hibakezelési rendszer alkalmazása. Vezetői döntések megjelenése az egyes engedélyezési eljárások során. Ellenőrzés A Társaság belső ellenőre az informatikai vezetővel az éves ellenőrzések során de évente legalább egy alkalommal szúrópróbaszerűen ellenőrzi az IT biztonsági dokumentumokat és jelentés formájában az elnök-igazgatót tájékoztatja. Az IT biztonság ellenőrzésének szabályai Az informatikai biztonsági ellenőrzésének szabályait az informatikai vezető és helyettese, az elnök-igazgatóval egyeztetve, annak utasítása, engedélye alapján határozza meg. Az IT ellenőrzések területei: - Környezeti veszélyek pl. természeti károk, tűz stb. - Fizikai veszélyek lopás, rongálás, fizikai betörés. - Informatikai veszélyek vírusok, számítógépes betörés stb. - Humán veszélyek szabotázs, gondatlanság, tudatlanság, felelőtlenség stb. - Szervezeti veszélyek szervezeti problémák, irányítási gondok stb. Szankciók Ha a Társaság alkalmazottja az informatikai biztonsági szabályok megszegésével olyan magatartást tanúsít, amely bűncselekmény gyanúját veti fel, az informatikai vezető jelzése alapján a munkáltatói jog gyakorlója - a tudomására jutását követően haladéktalanul - feljelentést tesz ellene az illetékes nyomozóhatóságnál. Oldalak : 20/64

21 Kártérítési felelőség Ha a Társaság az informatikai biztonsági szabályokat vétkesen megszegve a Társaságnak kárt okoz, az informatikai vezetőjének vagy a Társaság főkönyvelőjének jelzése alapján az elnök-igazgató kártérítési eljárást kezdeményez vele szemben. Fegyelmi felelőség Ha a Társaság alkalmazottja az informatikai biztonsági szabályokat vétkesen megszegi, az informatikai vezetőjének jelzése alapján indokolt esetben az elnök-igazgató fegyelmi eljárást kezdeményez vele szemben A rendszerfejlesztés és változáskövetés szabályai Az információ technológiai fejlesztésekkel, beruházásokkal kapcsolatos irányelvek Információ-technológiai előre tervezett (éves terv) és rendkívüli beruházást az informatikai vezető kezdeményezhet, és azt az elnök-igazgató engedélyezi. Információ-technológiával kapcsolatos fejlesztési, beszerzési, bérlési, üzemeltetési illetve karbantartási feladatok elvégzése illetve megrendelése szintén az informatikai vezető hatáskörébe tartoznak, az ezekkel kapcsolatos szerződések megkötésére (aláírására) a Planinvest Bróker Zrt. nevében kizárólag az elnök-igazgató jogosult. Az elemzés biztonsági követelményei A meglévő szoftverek továbbfejlesztését vagy új programok bevezetését az érintett szakmai terület vezetője fejlesztési igénnyel kezdeményezheti. A követelményeket az informatikai vezető egyezteti a követelményt állító szakterülettel és az elnök igazgatóval. A szoftverek bevezetését, fejlesztését és az általa használt szoftverek továbbfejlesztését a Társaság elnök-igazgatójának engedélyével és hozzájárulásával lehet végezni. Az integrált szolgáltatást nyújtó kész szoftverek a Társaság döntése alapján történő vásárlásánál, az erre épülő informatikai rendszerek bevezetésének tervezésénél az alábbiak szerint kell eljárni: 1. Írásban meg kell határozni a tervezett rendszer által nyújtandó szolgáltatások körét. 2. Meg kell tervezni a rendszer biztonsági modelljét, amelyben az alapvető védelmi igényeket szövegesen is rögzítik. 3. A hardver és szoftver, valamint az adatfeldolgozás folyamatával kapcsolatos adatbiztonsági elvárásokat meg kell fogalmazni. 4. Meg kell tervezni az információbiztonsági rendszer működtetéséhez szükséges feltételrendszert. El kell készíteni az adatok mentésének és meghatározott idejű megőrzésének előírását. 5. A biztonsági szempontok figyelembe vételével rendszertervet kell készíteni, amit a megbízó, a fejlesztő egyeztetés után elfogad. A rendszerfejlesztés biztonsági követelményei A Társaság szervereihez és alkalmazásaihoz külső vagy belsőfejlesztőnek fejlesztési, tesztelési célból a hozzáférés tilos. A Társaság az üzemi környezetet elkülöníti a fejlesztési és tesztelési környezettől. A fejlesztési és tesztelési környezetet minden esetben az egyedileg fejlesztett szoftver szállítója biztosítja a Planinvest Bróker Zrt. részére. A fejlesztői illetve teszt környezetben az éles rendszerből vett adatokkal dolgozni tilos. A kiszervezett feladatot végző külső szervezettől is legalább olyan szintű információbiztonság megkövetelése, mint ami a Társaságra vonatkozik. A rendszer változáskezelésének biztonsági követelményei Az informatikai rendszerben változtatások az alábbi elvek érvényesítése mellett végezhető: Oldalak : 21/64

22 A Társaság által üzemeltetett rendszerprogramok (alapszoftver) illetve a felhasználói programok telepítését a központi számítógépekre (szerverekre) és munkaállomásokra csak az erre feljogosított informatikusok végezhetik el. Az alapszoftverrel kapcsolatos bármely konfigurációs műveletet csak az informatikus végezhet. Az alkalmazói szoftvereken végzendő, azok bármely funkcióját megváltoztató művelethez az informatikai vezetőnek és az érintett szakmai terület vezetőjének engedélye szükséges. A verzióváltás elvégzéséhez az informatikai vezetőnek az engedélye szükséges. A felmerült változtatási igényeket kielégítő beállításokat teszt környezetben a meghatározott időszakon át,munkarendszerűen tesztelni és üzemeltetni kell. Teljes körű tesztelési eljárásokkal kell megbizonyosodni az elvárások érvényesüléséről új rendszer bevezetése előtt. Próbaüzem során meg kell vizsgálni az új rendszer üzembiztonságát és megbízhatóságát még a bevezetés előtt. A teszteléskor legalább jelen kell, hogy legyen az informatikai vezető, a belső ellenőr és a program szállítója. A tesztelésről készített jelentés felhasználásával dönt, az elnök-igazgató a beállítások, illetve alkalmazások bevezetéséről. Alapszoftvert és alkalmazói szoftvert csak érvényes, arra vonatkozó licenc alapján szabad felhasználni. Változáskövetési folyamat A Társaság rendszerében a változtatásokat csak a változás folyamatainak dokumentált követésével,lehet végrehajtani, informatikai vezető engedélyével. Az operációs rendszer változásainak technikai felülvizsgálata A Társaság rendszerében az operációs rendszer verzióváltásai, illetve szerviz csomagok telepítését, frissítéseket meg kell, hogy előzze az operációs rendszer változásának hatásfelmérése, figyelembe véve a Társaság munkafeladatait, eszközparkját és hálózati adottságait. Az operációs rendszer verzióváltásainak időben történő telepítése érdekében az automatikus frissítést be kell kapcsolni. Az informatikusok legalább heti egyszeri rendszerességgel ellenőrizzék a telepítésre váró frissítések állapotát. Programok beszerzése A rendszerben használt szoftvereket csak megbízható forrásból (ismert szállítótól) szabad beszerezni. Külső cég által végzett (VÁLLALKOZÓI SZERZŐDÉS KERETÉBEN) szoftverfejlesztés A külső céggel végeztetett szoftverfejlesztés esetén a megrendelőnek rögzíteni kell: a tulajdonosi, használati és licenc jogokat. Rögzíteni kell a követés módját, formáját és minimális időtartamát. A külső szállítók által szállított egyedileg fejlesztett szoftverek forráskódját a Társaságnál lezárt borítékban letétbe kell helyezni, annak biztonságos helyen történő őrzéséről a felhasználónak kell gondoskodni. A Társaság rendszerében végzett, külső cég általi szoftverfejlesztés esetén vizsgálni kell: az IT biztonsági veszélyeket és kockázatokat a fejlesztés során; a kiszervezett feladatot végző szervezettől is legalább olyan szintű információbiztonság megkövetelése, mint ami a Társaságra vonatkozik a fejlesztő szervezet megbízhatóságát; a fejlesztésre vonatkozó szerződésben a fejlesztőnek garanciát kell vállalnia arra, hogy a fejlesztett alkalmazás nem jelent kockázatot az IT biztonságra a fejlesztő szervezettel titoktartási szerződést kell kötni. Oldalak : 22/64

23 A szolgáltató megszűnése esetén az informatikai vezető feladata új szállítóról gondoskodni, valamint az új szoftver tesztelését és az adatok átmigrálását ellenőrizni, az ezzel kapcsolatos jegyzőkönyveket elkészíteni és megőrizni. Új szoftver használatba vétele esetén a szolgáltatási szerződésnek legalább az alábbiakról kell rendelkezni: a szerződő felek jogai és kötelességei, tudásátadás, az elkészült szoftver tulajdonjoga, karbantartása, átadás harmadik félnek, biztonság, forráskód letétbe helyezése, adatvédelem. A társaságnak rendelkeznie kell minden olyan dokumentációval, amely az üzleti tevékenységét közvetlenül vagy közvetve támogató informatikai rendszerek folyamatos és biztonságos működését - még a szállító illetve rendszerfejlesztő megszűnése után is biztosítja Dokumentálás A Társaság rendszerében végzett rendszerfejlesztés minden elemét (felmérés, javaslat, tesztelés, döntés, bevezetés, monitoring) az informatikai vezetőnek és a fejlesztőnek dokumentálni kell. A külső cég által végzett fejlesztést csak szigorú szerződési feltételek között szabad végezni. A változáskezelés során készült dokumentumokat a Társaság titkárságán kell elhelyezni, s az iratkezelés szabályainak megfelelően tárolni, megőrizni. Kontrollok A rendszerben végzett rendszerfejlesztés felett az informatikai vezető gyakorol felügyelet Ellenőrzés Társaság belső ellenőre legalább évente egyszer szúrópróba szerű ellenőrzés során megvizsgálja ellenőrzi a naplókat és jegyzőkönyveket, a kiszervezett tevékenységet végző alvállalkozókkal kötött szerződésekben vállaltak betartását. Az ellenőrzés megállapításairól jelentést tesz a Társaság elnök-igaztójának Oldalak : 23/64

24 Éves információ technológiai fejlesztési terv A Pláninvest Bróker Zrt. évente információ technológiai fejlesztési tervet bocsát ki az alábbi részletezettség szerint: 1. A következő fejlesztési év informatikai céljai - a Társaság itt meghatároz 1-3 olyan célt, amelyet a következő fejlesztési évben szeretne megvalósítani. Opcionálisan az egyes célok rövid leírással megvilágíthatók, magyarázhatók. 2. A következő fejlesztési év tervezett projektjei, beruházásai - a Társaság ebben a részben, javasoltan táblázatba foglalva, az alábbi bontásban határozza meg a következő év feladatait, beruházásait: a. A feladat megnevezése b. A feladat tervezett megvalósításának ütemezése negyedéves bontásban c. A feladatra szánt várható egyszeri költség vagy d. A feladatra szánt havi költség a tervezett megvalósítás időtartamában e. A feladat megvalósítására fordított biztonsági erőforrások költségei A fejlesztési tervet a jelen dokumentum 4. sz. mellékletében található sablon kitöltésével kell elkészíteni. A beruházások tervezésekor meg kell határozni a biztonsági követelmények teljesítésére fordított emberi, anyagi erőforrásokat és ezek várható költségeit külön sorban feltüntetve. Az éves információ technológiai fejlesztési tervet az informatikai vezető készíti el és a Társaság vezetője hagyja jóvá, felülvizsgálata évenként esedékes A fizikai infrastruktúra biztonsága, a fizikai hozzáférési rend Védett, biztonsági területek Fizikai biztonsági elkülönítés A Társaság informatikai infrastruktúra elemeinek és a helyiségeknek a kockázatokkal és a tágabb értelemben vett értékükkel arányos fizikai védelmet kell biztosítani. Az informatikai rendszer kritikussága és a benne kezelt adatok besorolásának kockázata alapján a helyiségeket biztonsági zónák szerint kell besorolni. A biztonsági követelményeknek megfelelően úgy kell a helyiségeket kialakítani, hogy a rendszerek és adatok megfelelő fizikai és környezeti védelmét garantálni tudják. A kialakított információbiztonsági zónákban történő munkavégzésre a zónát veszélyeztető fenyegetettségek függvényében más-más informatikai biztonsági követelmények vonatkoznak. Kiemelten védendő területek Informatikai központoknak minősülnek azon helyiségek, melyek működő szerverek illetve hálózati elosztó elemek (router, switch) elhelyezésére és működtetésére szolgálnak, kivételt képeznek azon egyéb helyiségek, melyekben zárt, kulccsal biztosított rackszekrény található. Az informatikai biztonsági zónákba való belépési jogosultságot személyre szólóan, az adott személy feladata alapján kell meghatározni. Állandó vagy egyedi belépési jogosultságot az informatikai központba a Társaság elnök-igazgatója adhat. A munkavégzés szabályai szerver szobában A belépési jogosultsággal nem rendelkezők az informatikai központban csak az arra jogosultak felügyelete mellett tartozódhatnak. Az informatikai központokba belépési jogosultsággal nem rendelkező személyek esetén,ha belépés munkavégzés, szemle, felmérés, ellenőrzés céljából történik, az eseményt a belépési naplóban rögzíteni kell. Oldalak : 24/64