INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

Átírás

1 MTA Nyelvtudományi Intézet Budapest Benczúr utca 33. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Érvényes: január 1-től Jóváhagyta: Kenesei István igazgató

2 INFORMATIKAI BIZTONSÁGI SZABÁLYZAT Az MTA Nyelvtudományi Intézet Informatikai Biztonsági Szabályzatát (továbbiakban IBSZ) az információs önrendelkezési jogról és az információszabadságról szóló évi CXII. törvény, a polgárok személyi adatainak és lakcímének nyilvántartásáról szóló többször módosított évi LXVI. törvény, az elektronikus aláírásról szóló évi XXXV. törvény, az elektronikus kereskedelmi szolgáltatásokról szóló, évi CVIII. törvény, valamint az államtitok és szolgálati titok számítástechnikai védelméről szóló 3/1988. (XI.22.) KSH rendelkezés alapján a következők szerint határozom meg: 1. Az Informatikai Biztonsági Szabályzat célja Az Informatikai Biztonsági Szabályzat alapvető célja, hogy az informatikai rendszer alkalmazása során biztosítsa az MTA Nyelvtudományi Intézetében az adatvédelem alkotmányos elveinek, az adatbiztonság követelményeinek az érvényesülését, s megakadályozza a jogosulatlan hozzáférést, az adatok megváltoztatását és jogosulatlan nyilvánosságra hozatalát. Az Informatikai Biztonsági Szabályzat célja továbbá: - a titok-, vagyon- és tűzvédelemre vonatkozó védelmi intézkedések betartása, - az üzemeltetett informatikai rendszerek rendeltetésszerű használata, - az üzembiztonságot szolgáló karbantartás és fenntartás, - az adatok informatikai feldolgozása és azok további hasznosítása során az illetéktelen felhasználásból származó hátrányos következmények megszüntetése, illetve minimális mértékre való csökkentése, - az adatállományok tartalmi és formai épségének megőrzése, - az alkalmazott programok és adatállományok dokumentációinak nyilvántartása, - az adatállományok biztonságos mentése, - az informatikai rendszerek zavartalan üzemeltetése, - a feldolgozás folyamatát fenyegető veszélyek megelőzése, elhárítása, az adatvédelem és adatbiztonság feltételeinek megteremtése. A szabályzatban meghatározott védelemnek működnie kell a rendszerek fennállásának egész időtartama alatt a megtervezésüktől kezdve az üzemeltetésükön keresztül a felhasználásig. 2

3 2. Az Informatikai Biztonsági Szabályzat hatálya Személyi hatálya Az IBSZ személyi hatálya az Intézet valamennyi fő- és részfoglalkozású dolgozójára, illetve az informatikai eljárásban résztvevő más szervezetek dolgozóira egyaránt kiterjed Tárgyi hatálya - kiterjed a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól függetlenül, - kiterjed az Intézet tulajdonában lévő illetve az általa bérelt valamennyi olyan informatikai berendezésre, valamint a gépek műszaki dokumentációira is, amelyek a védelmet élvező adatok feldolgozására szolgálnak - kiterjed a rendszer- és felhasználói programokra, - kiterjed az adatok felhasználására vonatkozó utasításokra, - kiterjed az adathordozók tárolására, felhasználására. 3. Az IBSZ biztonsági fokozata Intézetünk alapbiztonságú fokozatba tartozik. Intézetünk általános és tudományos informatikai feldolgozást végez. 4. Kapcsolódó szabályozások Az Informatikai Biztonsági Szabályzatot az alábbiakban felsorolt előírásokkal összhangban kell alkalmazni: Szervezeti és Működési Szabályzat, Leltárkészítési és leltározási szabályzat, NIIF Felhasználói Szabályzata ( 5. A védelem tárgya A védelmi intézkedések kiterjednek: - az informatikai rendszer elemeinek elhelyezésére szolgáló helyiségekre, - az alkalmazott hardver eszközökre és azok működési biztonságára, - az informatikai eszközök üzemeltetéséhez szükséges okmányokra és dokumentációkra, - az adatokra és adathordozókra, a megsemmisítésükig, illetve a törlésre szánt adatok felhasználásáig, 3

4 - az adatfeldolgozó programrendszerekre, valamint a feldolgozást támogató rendszer szoftverek tartalmi és logikai egységére, előírásszerű felhasználására, reprodukálhatóságára, - a személyhez fűződő és vagyoni jogokra. 6. A védelem felelőse A védelem felelősei a hálózati és a lokális rendszergazda a 6.1 és a 6.2 pontokban meghatározott megosztás szerint A hálózati rendszergazda feladatai - ellenőrzi a védelmi előírások betartását, - felelős az informatikai rendszerek üzembiztonságáért, biztonsági másolatok készítéséért és karbantartásáért, - gondoskodik a rendszer kritikus részeinek újra indíthatóságáról, illetve az újra indításhoz szükséges paraméterek reprodukálhatóságáról, - ellenőrzi a rendszer önadminisztrációját, - javaslatot tesz a rendszer szűk keresztmetszeteinek felszámolására, - feladata a védelmi eszközök működésének, szerviz ellátás biztosításának folyamatos ellenőrzése, - a Szervezeti és Működési Szabályzat adatvédelmi szempontból való véleményezése, A lokális rendszergazda feladatai - felelős az Intézet informatikai rendszere hardver eszközeinek karbantartásáért, és időszakos hardver tesztjeiért, - rendszeresen ellenőrzi a védelmi eszközökkel való ellátottságot, - nyilvántartja a beszerzett, illetve üzemeltetett hardver és szoftver eszközöket, - ellenőrzi a vásárolt szoftverek helyes működését, vírusmentességét, a használat jogszerűségét, - a vírusvédelemmel foglalkozó szervezetekkel kapcsolatot tart, - a vírusfertőzés gyanúja esetén gondoskodik a fertőzött rendszerek izolálásáról, - folyamatosan figyelemmel kíséri és vizsgálja a rendszer működése és biztonsága szempontjából a lényeges paraméterek alakulását, - tevékenységéről rendszeresen beszámol az Intézet vezetőjének. 4

5 6. 3. A hálózati rendszergazda jogai - az előírások ellen vétőkkel szemben felelősségre vonási eljárást kezdeményezhet az Intézet vezetőjénél, - bármely érintett szervezeti egységnél jogosult ellenőrzésre a hatáskörébe tartozó ügyekben, - javaslatot tesz az új védelmi, biztonsági eszközök és technológiák beszerzésére illetve bevezetésére, - adatvédelmi szempontból az informatikai beruházásokat véleményezi. 7. Az Informatikai Biztonsági Szabályzat alkalmazásának módja Az Informatikai Biztonsági Szabályzatot az Intézet belső honlapján közzé kell tenni, megismerését az érintett dolgozók írásos nyilatkozatban rögzítik. Az Informatikai Biztonsági Szabályzatban érintett munkakörökben az egyes munkaköri leírásokat ki kell egészíteni az IBSZ előírásainak megfelelően. 8. A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság Az adatokat és információkat jelentőségük és bizalmassági fokozatuk szerint osztályozzuk: - közlésre szánt, bárki által megismerhető adatok, - minősített, titkos adatok. Az informatikai feldolgozás során keletkező adatok minősítője annak a szervezeti egységnek a vezetője, amelynek védelme az érdekkörébe tartozik. Különös védelmi utasítások és szabályozások nem mondhatnak ellent a törvények és a jogszabályok mindenkori előírásainak. A hivatali titoknak minősülő adatok feldolgozásakor meg kell határozni írásban és névre szólóan a hozzáférési jogosultságot. A kijelölt dolgozók előtt a titokvédelmi és egyéb szabályokat, a betekintési jogosultság terjedelmét, gyakorlási módját és időtartamát ismertetni kell. Alapelv, hogy mindenki csak ahhoz az adathoz juthasson el, amire a munkájához szüksége van. A védett információhoz való hozzáférést a tevékenység naplózásával dokumentálni kell. A jogosulatlan hozzáférést vagy annak a kísérletét az Intézet vezetőjének azonnal jelenteni kell. - A naplófájlok áttekintéséért, értékeléséért a hálózati rendszergazda felelős. 5

6 Minden dolgozóval, aki az adatok gyűjtése, felvétele, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése során védett információkhoz jut, adatkezelési nyilatkozatot kell aláíratni. (1. sz. melléklet) Az adatkezelési nyilatkozat naprakészen tartásáért a szervezeti egység vezetője a felelős. 9. Az informatikai eszközök környezete, azok védelme A szerverszoba minimális igénye - a szerverszobát a biztonságos, védett területre kell telepíteni, - a szerver(ek) miatt célszerű klímaberendezést működtetni, - váratlan áramkimaradás esetén a szerver(eke)t intelligens UPS-sel kell ellátni (szünetmentes tápegység), mellyel az áramkimaradás folyamatosságát biztosítani lehet Egyéb vagyonvédelmi előírások - a szerverszoba külső és belső helyiségeit biztonsági zárakkal kell felszerelni, - a szerverszoba kulcsának felvétele illetve leadása csak aláírás ellenében történhet, - munkaidőn túl a szerverszobában csak engedéllyel lehet dolgozni, - a számítógép monitorát úgy kell elhelyezni, hogy a megjelenő adatokat illetéktelen személyek ne olvashassák el, - a szerverszobába történő illetéktelen behatolás tényét az Intézet vezetőjének azonnal jelenteni kell Vírus védelem A szerverek és munkaállomások vírusvédelmére az alábbi szabályokat kell betartani: - Az IBSZ hatálya alá tartozó informatikai berendezéseket átfogó vírusvédelemben kell részesíteni. - A vírusellenőrző programnak minden újonnan érkezett állománnyal kapcsolatos fájlművelet esetén meg kell vizsgálni az adathordozó tartalmát. Ha az adathordozón a vírusellenőrző program vírust talált, nem engedhet másolást, futtatást, amíg a vírusoktól nem mentesítik az adathordozót. - Biztosítani kell a vírusvédelmet ellátó programok, valamint a vírusok adatait tartalmazó állományok rendszeres, gyártó által kibocsátott verziók telepítésével történő mielőbbi frissítését. - Ahol a hálózati vagy lokális rendszergazda vírusvédő rendszert telepített, a felhasználóknak tilos a vírusellenőrző szoftver kiiktatása. 6

7 10. Az informatikai rendszer alkalmazásánál felhasználható védelmi eszközök és módszerek A gépterem (szerverszoba) védelme Elemi csapás (vagy más ok) esetén a gépteremben bekövetkezett részleges vagy teljes károsodáskor az alábbiakat kell sürgősen elvégezni: - menteni a még használható anyagot, - biztonsági mentésekről, háttértárakról a megsérült adatok visszaállítása, - új adatfeldolgozás, helyiségek kialakítása, - archivált anyagok (ill. eszközök) használatával folytatni kell a feldolgozást Hardver védelem A berendezések hibátlan és üzemszerű működését biztosítani kell. A működési biztonság megóvását jelenti a szükséges alkatrészek beszerzése. Az üzemeltetés, karbantartás és szervizelés rendjét külön utasításban kell szabályozni. A karbantartási munkákat tervezetten, körültekintően és gondosan kell elvégezni Az informatikai feldolgozás folyamatának védelme A bejelentkezési azonosítók használatával kell szabályozni, hogy ki milyen szinten férhet hozzá a kezelt adatokhoz. (Alapelv: a tárolt adatokhoz csak az illetékes szervezeti egységek személyei férjenek hozzá). A szerverek adminisztrátori jelszavát és az operációs rendszerek rendszergazda jelszavát lezárt borítékban, zárható szekrényben kell tárolni. A boríték felbontását dokumentálni kell Selejtezés, sokszorosítás, másolás Olyan mágneses adathordozót, vagy véglegesen elhasználódott anyagot (pl. leporelló) amelyet javíthatatlan fizikai károsodás ért selejtezni kell. Az alkalmatlan mágneslemezeket, CD-ket, DVD-ket, pendrive-kat fizikai roncsolással használhatatlanná kell tenni. Bizalmas adatokat, felhasználói és rendszerprogramokat tartalmazó adathordozókról, törlő programokkal kell az adatokat törölni, vagy fizikailag kell megsemmisíteni az adathordozót. Titkos adatokat tartalmazó adathordozókat selejtezni nem lehet, ezen adatokat tartalmazó adathordozókat a TÜK utasítása szerint kell kezelni. 10

8 Sokszorosítást, másolást csak az érvényben lévő rendeletek szerint szabad végezni. (Az üzemi másolás nem minősül másolásnak.) Biztonsági illetve archív adatállomány előállítása másolásnak számít Leltározás Az adathordozókat a Leltárkészítési és leltározási szabályzatban foglaltaknak megfelelően kell leltározni Mentések, file-ok védelme Az informatikában a legnagyobb értéket a számítógépen tárolt adatok jelentik. Ezek védelmében meghatározó jelentőségő a biztonsági másolatok készítése. A mentések folyamata: - A mentéseket naponta, központi mentő szoftverrel kell végrehajtani. - A mentésből a rendszerek, a szoftverkörnyezet beállításainak, valamit a tárolt adatoknak teljes körűen visszaállíthatónak kell lennie a mentés pillanatának állapotára. - A szerverek esetében az adatokat legalább 2 példányban kell menteni, és egymástól fizikailag elkülönült helyen kell tárolni. - A szerverek mentését legalább hetente, illetve a hálózati aktív eszközökét a beállítás változtatásakor kell elvégezni. - A mentett adatokhoz csak az arra jogosultak férhetnek hozzá. Az egyéb mentéseket meghatározott időszakonként el kell végezni. A munkaállomásokon létrehozott tartalmak mentése az azt létrehozó munkatársak (felhasználók) feladata. A személyi anyagok adatállományának mentését napi gyakorisággal a bérszámfejtő végzi el. A főkönyvi könyvelés adatainak mentését naponta gyakorisággal a könyvelő végzi el. A pénztár könyvelési adatainak mentését napi gyakorisággal a pénztáros végzi el. Az elektronikus levelezési postafiók, illetve levelezési állományok mentését vagy a felhasználó, vagy kérésre a rendszergazda végzi el Szoftver védelem Rendszerszoftver védelem A hálózati rendszergazdának biztosítani kell, hogy a rendszerszoftver naprakész állapotban legyen és a segédprogramok, programkönyvtárak mindig hozzáférhetők legyenek a felhasználók számára. 11

9 Az Internet használatával kapcsolatos szabályok A meglévő internet kapcsolat elsősorban az Intézetben folyó munkát szolgálja. Fontos szolgáltatásaink épülnek erre, ezért az internet ésszerű használatáért minden felhasználó felelős. A felhasználónak tisztában kell lennie azzal, hogy az Internet használata biztonsági kockázattal jár, ami nem csak a személyes használatában lévő munkaállomást és annak adatait veszélyeztetheti, hanem a hálózat egyéb eszközeit és a szervereken tárolt állományokat is. Az Internet használata során az Intézet fenntartja a jogot arra, hogy a felhasználók hálózati forgalmát figyelemmel kísérje, és naplózza. Tilos az alábbi forgalmak és tartalom generálása, továbbítása és tárolása, beleértve az elektronikus levelezést is: - profit szerzést célzó, direkt üzleti célú tevékenység és reklám - a hálózat, a kapcsolódó hálózatok, illetve ezek erőforrásainak rendeltetésszerű működését és biztonságát megzavaró, veszélyeztető tevékenység, ilyen információknak és programoknak a terjesztése - a hálózatot, a kapcsolódó hálózatokat, illetve erőforrásaikat indokolatlanul, túlzott mértékben, pazarló módon igénybevevő tevékenység (pl. levélbombák, hálózati játékok, fájlcserélő programok, kéretlen reklámok); - másokra nézve sértő, vallási, etnikai, politikai vagy más jellegű érzékenységét bántó, zaklató tevékenység - szerzői jogot sértő adatatok - hatályos magyar jogszabályokba ütköző tevékenység A rendellenes illetve tiltott forgalmat végző munkaállomásokat a rendszergazda figyelmeztetés nélkül kizárhatja. A felhasználói azonosítók használata - Más felhasználói nevének használata még annak engedélyével is tilos - A felhasználói név kölcsönadása (átruházása) még ideiglenesen is tilos - Másvalaki jelszavának kiderítésére irányuló bármely kísérlet tilos Felhasználói programok védelme Programhoz való hozzáférés, programvédelem A munkaállomások használatakor az illetéktelen hozzáférést meg kell akadályozni, az illetéktelen próbálkozást ki kell zárni. 12

10 Minden felhasználónak jelszóval kell védenie munkaállomását. Ezeket a jelszavakat illetéktelen személyektől gondosan védeni kell. A jelszavaknak az alábbi minimális követelménnyel kell rendelkeznie: - A jelszó legalább 8 karakterből álljon, kis és nagybetűk, valamint számok, egyéb írásjelek közül legalább 2 típusút tartalmazzon. - A jelszó nem lehet azonos a felhasználó névvel, annak becézett formájával, vagy könnyen visszafejthető kifejezéssel. - A hálózatba kötött számítógépek esetében a felhasználóknak a hálózati, illetve ennek hiánya esetén helyi bejelentkezési jelszavakat lehetőleg havonta, de félévente mindenképpen meg kell változtatniuk. - A jelszót nem szabad több személy között megosztani. - A felhasználók jelszavát a felhasználón kívül senki sem ismerheti. - A jelszót soron kívül meg kell változtatni, ha az illetéktelen személy tudomására jutott, vagy juthatott. Intézetünk fontos érdeke, hogy az informatikai adatai biztonságáról és informatikai rendszerei működésének a folytonosságáról gondoskodjon. Ennek érdekében azok a megbízási szerződéssel, vagy vállalkozási szerződéssel dolgozó, nem az Intézet állományába tartozó külsős munkavállalók, akiknek a szerződésben foglalt munka elvégzéséhez szükséges hozzáférniük az Intézet bármely adatállományához, illetve Intézeti számítógépen dolgoznak, alá kell írniuk a szabályzat mellékletét képező adatkezelési és titoktartási nyilatkozatot. Hogy ki tekinthető ebből a szempontból érintettnek, azt a kötelezettségvállalónak kell elbírálnia és a megbízási vagy vállalkozási szerződéshez csatolni kell a nyilatkozatot. 11. Programok megőrzése, nyilvántartása A számvitelről szóló többször módosított évi C. törvény értelmében Intézetünk a költségvetési évről készített beszámolót, valamint az azt alátámasztó leltárt, értékelést, főkönyvi kivonatot, továbbá más, a számviteli törvény követelményeinek megfelelő nyilvántartást olvasható formában legalább 8 évig meg kell őrizni. A bizonylat elektronikus formában is megőrizhető, ha az alkalmazott módszer biztosítja az eredeti bizonylat összes adatának késedelem nélküli előállítását, folyamatos leolvashatóságát, illetve kizárja az utólagos módosítás lehetőségét. A programok nyilvántartásáért és működőképes állapotban való tartásáért a gazdasági vezető felelős. 12. Katasztrófaterv 1.) Az informatikai rendszerek rövid idejű leállása is komoly kockázatot, veszteséget jelenthet az intézmény számára. Amennyiben a szolgáltatás folyamatossága megszakad, és az elvárt helyreállítási időn belül nem is indítható újra, akkor ez jelentős anyagi és presztízs veszteséget okozhat az intézménynek. 13

11 Intézetünk fontos érdeke, hogy az informatikai adatai biztonságáról és informatikai rendszerei működésének a folytonosságáról, illetve az informatikai katasztrófa elhárításról gondoskodjon. Szükséges, hogy Intézetünk rendelkezzen olyan eljárásokkal, amelyek csökkentik az informatikai rendszerek kiesésének a lehetőségét, illetve rendelkezzenek olyan forgatókönyvekkel, amelyek a kiesések esetére biztosítani tudják az informatikai működés újraindíthatóságát. 2.) A mentések készítéséről és tárolásáról való rendelkezés fontos lépés a biztonságos informatikai rendszer kiépítése felé. A rendszer tűz- vagy más káreset folyamán bekövetkező részleges vagy teljes adat-megsemmisülés esetén való helyreállításának módját, igénybevett idejét, felelőseit az IBSZ katasztrófaterv melléklete tartalmazza. A jól megtervezett helyreállítási folyamat egyrészt növeli a biztonságérzetet és az ügyintézők felelősségtudatát, ugyanakkor a minimális idő- és adatkiesés mellett gyors üzembe helyezést biztosít. 13. Ellenőrzés Az Intézet éves belső ellenőrzési ütemtervében rögzíti az ellenőrzés módját. Az ellenőrzésnek elő kell segíteni, hogy az informatikai rendszerben meglévő veszélyhelyzetek, ne alakuljanak ki. A kialakult veszélyhelyzet esetén cél a károk csökkentése illetve annak megakadályozása, hogy az megismétlődjön. A folyamatba épített előzetes és utólagos vezetői ellenőrzés során az IBSZ rendelkezéseinek betartását az adatkezelést végző szervezeti egység vezetői folyamatosan ellenőrzik. 14. Záró rendelkezések Az Informatikai Biztonsági Szabályzatban érintett dolgozók munkaköri leírásába be kell építeni a szabályzatban előírt feladatokat, melyet év december hó 31. napjáig el kell elvégezni. Felelős: osztályvezetők Az Informatikai Biztonsági Szabályzat év január hó 1 napjával lép hatályba. Ezzel egyidejűleg az május 1-én hatályba lépett IBSZ hatályát veszti. Dátum: Budapest, március

12 1. sz. melléklet MTA Nyelvtudományi Intézet ADATKEZELÉSI NYILATKOZAT Alulírott (név).... (lakcím) nyilatkozom, hogy a feladatellátás során tudomásomra jutott információkat megőrzöm, azt illetéktelen személyek részére nem adom át. A munkavégzés során csak a részemre hozzáférhető adatokkal dolgozom, más adatok hozzáférésére kísérletet sem teszek. Dátum: aláírás 15

13 2. sz. melléklet Katasztrófaterv Feladat címe Feladat tartalma Felelőse Megjegyzések 1.) Biztonsági mentések készítése, tárolása, felelőse. 2.) Káresetek elleni megelőző védelmi intézkedések, felelősök: Biztonsági mentést rendszeresen kell készíteni, melyet az informatikai rendszertől függetlenül kell tárolni (külön tárolt adathordozón, és/vagy hordozható számítógépen). A tűzesetek elkerülésére valamennyi számítógépet és elektronikus berendezést a munkahelyről való távozáskor ki kell kapcsolni. informatikus munkatársak informatikus, A biztonsági mentések idejére az integrált rendszerekből valamennyi felhasználónak ki kell lépni. A túlzottan felmelegedő berendezéseket rendszeresen ellenőrizni kell, és amennyiben lehetséges, korszerűbb termékre kell cserélni. 3.) Részleges adatmegsemmisülés esetén a teendők, beszerzendő eszközök, felelősök, határidők. 4.) Az informatikai rendszer teljes/végső helyreállításával kapcsolatos teendők, beszerzendő eszközök, felelősök, határidők. A megsemmisült adatokat tároló hardver részegységeket azonnal pótolni, s azok áramellátását ugyancsak biztosítani kell. A megsemmisült adatokat a legutóbbi mentésből vissza kell állítani. Amennyiben a hálózati kábelek is sérültek, az informatikai rendszert ideiglenes kábelekkel kell helyreállítani. A végleges rendszert a lehető leghamarabb kell kialakítani (felállítani). a visszaállításért az informatikus az eszközök pótlásáért a gazdasági vezető és az intézmény vezetője A rendszer felállításának biztosításáért a gazdasági vezető, az intézmény vezetője és az Informatikus egyaránt felelősek. A mentés óta eltelt időszak adatait a lehető leghamarabb pótolni kell. Csak a pótlást követően lehet a napi munkára, adatfelvitelre rátérni. 16