A Hit Gyülekezete Informatikai Biztonsági Szabályzata

Átírás

1 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata 2013

2 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata Tartalm Az IBSZ célja és hatálya... 3 Az adatkezelés srán használt fntsabb fgalmak...4 A Védelem tárgya és eszközei... 5 A védelem felelősei és feladataik... 6 Az Infrmatikai Biztnsági Szabályzat karbantartása...7 A védelmet igénylő adatk és infrmációk sztályzása, minősítése, hzzáférési jgsultság... 8 Környezeti infrastruktúra kzta ártalmak és Emberi tényezőre visszavezethető veszélyek...9 Az adatk tartalmát és a kezelésük flyamatát érintő veszélyek A számítógépek és szerverek védelm e...11 Az IT flyamat védelm e Szftver védelem...13 A közpnti számítógép és a hálózat munkaállmásainak működésbiztnsága Az IBSZ ellenőrzése... 14

3 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata Az IBSZ célja és hatálya A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata (a tvábbiakban: IBSZ) az infrmációs önrendelkezési jgról és az infrmációszabadságról szóló többször módsíttt évi CXII. törvény alapján készült. Az IBSZ alapvető célja, hgy az infrmatikai rendszer alkalmazása srán biztsítsa az adatvédelem alktmánys elveinek, az adatbiztnság követelményeinek érvényesülését, s megakadályzza a jgsulatlan hzzáférést, az adatk megváltztatását és jgsulatlan nyilvánsságra hzatalát. Az IBSZ célja tvábbá: a titk-, vagyn- és tűzvédelemre vnatkzó védelmi intézkedések betartása, az üzemeltetett infrmatikai rendszerek rendeltetésszerű használata, az üzembiztnságt szlgáló karbantartás és fenntartás, az adatk infrmatikai feldlgzása és azk tvábbi hasznsítása srán az illetéktelen felhasználásból származó hátránys következmények megszüntetése, illetve minimális mértékre való csökkentése, az adatállmányk tartalmi és frmai épségének megőrzése, az alkalmaztt prgramk és adatállmányk dkumentációinak nyilvántartása, a munkaállmáskn lekérdezhető adatk körének meghatárzása, az adatállmányk biztnságs mentése, az infrmatikai rendszerek zavartalan üzemeltetése, a feldlgzás flyamatát fenyegető veszélyek megelőzése, elhárítása, az adatvédelem és adatbiztnság feltételeinek megteremtése. A szabályzatban meghatárztt védelemnek működnie kell a rendszerek fennállásának egész időtartama alatt a megtervezésüktől kezdve az üzemeltetésükön keresztül a felhasználásig. A jelen IBSZ az adatvédelem általáns érvényű előírását tartalmazza, meghatárzza az adatvédelem és adatbiztnság feltételrendszerét. Az IBSZ személyi hatálya kiterjed a Hit Gyülekezete (tvábbiakban: HGY) Infrmatikai rendszereinek (tvábbiakban: ÍRSZ) valamennyi felhasználójára és üzemeltetőjére. Az IBSZ tárgyi hatálya kiterjed a védelmet élvező elektrnikus adatk teljes körére, felmerülésük és feldlgzási helyüktől, idejüktől és az adatk fizikai megjelenési frmájuktól függetlenül, kiterjed a HGY tulajdnában lévő, illetve az általa bérelt valamennyi infrmatikai berendezésre, valamint a gépek műszaki dkumentációira is, kiterjed az infrmatikai flyamatban szereplő összes dkumentációra (fejlesztési, szervezési, prgramzási, üzemeltetési stb.), kiterjed a rendszer- és felhasználói prgramkra, kiterjed az adatk felhasználására vnatkzó utasításkra, kiterjed az adathrdzók tárlására, felhasználására. A Hit Gyülekezete alapbiztnsági fkzatba tartzik. Ez a személyes adatk, üzleti titkk, pénzügyi adatk, illetve belső szabályzásában hzzáférés-krlátzás alá eső (pl. egyes feladatk végrehajtása érdekében bizalmas) és a nyílt adatk feldlgzására, tárlására alkalmas rendszer biztnsági sztálya.

4 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata A Hit Gyülekezete általáns infrmatikai adatkezelést végez. Az adatkezelés srán használt fntsabb fgalmak Érintett: bármely meghatárztt, személyes adat alapján aznsíttt vagy - közvetlenül vagy közvetve - aznsítható természetes személy. Személyes adat: az érintettel kapcslatba hzható adat - különösen az érintett neve, aznsító jele, valamint egy vagy több fizikai, fizilógiai, mentális, gazdasági, kulturális vagy szciális aznsságára jellemző ismeret -, valamint az adatból levnható, az érintettre vnatkzó következtetés. Különleges adat: a faji eredetre, a nemzetiséghez tartzásra, a plitikai véleményre vagy pártállásra, a valláss vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vnatkzó személyes adat, az egészségi állaptra, a kórs szenvedélyre vnatkzó személyes adat, valamint a bűnügyi személyes adat. Bűnügyi személyes adat: a büntetőeljárás srán vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás leflytatására, illetve a bűncselekmények felderítésére jgsult szerveknél, tvábbá a büntetés-végrehajtás szervezeténél keletkezett, az érintettel kapcslatba hzható, valamint a büntetett előéletre vnatkzó személyes adat. Közérdekű adat: az állami vagy helyi önkrmányzati feladatt, valamint jgszabályban meghatárztt egyéb közfeladatt ellátó szerv vagy személy kezelésében lévő és tevékenységére vnatkzó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fgalma alá nem eső, bármilyen módn vagy frmában rögzített infrmáció vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtklt adatfajtákra és a működést szabályzó jgszabálykra, valamint a gazdálkdásra, a megkötött szerződésekre vnatkzó adat. Közérdekből nyilváns adat: a közérdekű adat fgalma alá nem tartzó minden lyan adat, amelynek nyilvánsságra hzatalát, megismerhetőségét vagy hzzáférhetővé tételét törvény közérdekből elrendeli. Hzzájárulás: az érintett akaratának önkéntes és határztt kinyilvánítása, amely megfelelő tájékztatásn alapul, és amellyel félreérthetetlen beleegyezését adja a rá vnatkzó személyes adatk - teljes körű vagy egyes műveletekre kiterjedő - kezeléséhez. Tiltakzás: az érintett nyilatkzata, amellyel személyes adatainak kezelését kifgáslja, és az adatkezelés megszüntetését, illetve a kezelt adatk törlését kéri. Adatkezelő: az a természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy máskkal együtt az adatk kezelésének célját meghatárzza, az adatkezelésre (beleértve a felhasznált eszközt) vnatkzó döntéseket meghzza és végrehajtja, vagy az adatfeldlgzóval végrehajtatja. Adatkezelés: az alkalmaztt eljárástól függetlenül az adatkn végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárlása,

5 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata megváltztatása, felhasználása, lekérdezése, tvábbítása, nyilvánsságra hzatala, összehanglása vagy összekapcslása, zárlása, törlése és megsemmisítése, valamint az adatk tvábbi felhasználásának megakadályzása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy aznsítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnymat, DNS-minta, íriszkép) rögzítése. Adattvábbítás: az adat meghatárztt harmadik személy számára történő hzzáférhetővé tétele. Nyilvánsságra hzatal: az adat bárki számára történő hzzáférhetővé tétele. Adattörlés: az adatk felismerhetetlenné tétele ly módn, hgy a helyreállításuk többé nem lehetséges. Adatmegjelölés: az adat aznsító jelzéssel ellátása annak megkülönböztetése céljából. Adatzárlás: az adat aznsító jelzéssel ellátása tvábbi kezelésének végleges vagy meghatárztt időre történő krlátzása céljából. Adatmegsemmisítés: az adatkat tartalmazó adathrdzó teljes fizikai megsemmisítése. Adatfelelős: az a közfeladatt ellátó szerv, amely az elektrnikus útn kötelezően közzéteendő közérdekű adatt előállíttta, illetve amelynek a működése srán ez az adat keletkezett. Adatközlő: az a közfeladatt ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatt - az adatfelelős által hzzá eljuttattt adatait hnlapn közzéteszi. Adatállmány: az egy nyilvántartásban kezelt adatk összessége. Harmadik személy: lyan természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely nem azns az érintettel, az adatkezelővel vagy az adatfeldlgzóval. Adatközlő: az a közfeladatt ellátó szerv, amely - ha az adatfelelős nem maga teszi közzé az adatt - az adatfelelős által hzzá eljuttattt adatait hnlapn közzéteszi. Adatállmány: az egy nyilvántartásban kezelt adatk összessége. Harmadik személy: lyan természetes vagy jgi személy, illetve jgi személyiséggel nem rendelkező szervezet, aki vagy amely nem azns az érintettel, az adatkezelővel vagy az adatfeldlgzóval. A Védelem tárgya és eszközei Az infrmatikai rendszer egymással szervesen együttműködő és kölcsönhatásban lévő elemei határzzák meg a biztnsági szempntkat és védelmi intézkedéseket. Az infrmatikai rendszerre az alábbi tényezők hatnak: a környezeti infrastruktúra, a hardverelem ek, az adathrdzók, a dkumentumk, a szftver elemek, az adatk, a rendszerelemekkel kapcslatba kerülő személyek. A védelmi intézkedések kiterjednek:

6 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata a rendszer elemeinek elhelyezésére szlgáló helyiségekre, az alkalmaztt hardver eszközökre és azk működési biztnságára, az infrmatikai eszközök üzemeltetéséhez szükséges kmánykra és dkumentációkra, az adatkra és adathrdzókra, a megsemmisítésükig, illetve a törlésre szánt adatk felhasználásáig, az adatfeldlgzó prgramrendszerekre, valamint a feldlgzást támgató rendszerszftverek tartalmi és lgikai egységére, előírásszerű felhasználására, reprdukálhatóságára, a személyhez fűződő és vagyni jgkra. A védelem eszközei: A mindenkri technikai fejlettségnek megfelelő műszaki, szervezeti, prgramzási, jgi intézkedések azk az eszközök, amelyek a védelem tárgyának különböző veszélyfrráskból származó kárt kzó hatáskkal, szándékkkal szembeni megóvását elősegítik, illetve biztsítják. A védelem felelősei és feladataik A védelem felelőse a Hit Gyülekezete Infrmatikai Csprt (a tvábbiakban IT) vezetője, az egységvezetők és a rendszergazdák. A jelen szabályzatban fglaltak szakszerű végrehajtásáról az egységvezetőknek kell gndskdnia. Egységvezetőnek minősül ezen szabályzat keretein belül a szervezeti felsztásban az IT rendszer szlgáltatásait használó egységek vezetői IT csprtvezetőjének minősül azn személy, akit az Országs Hivatal vezetője bíz meg ezzel a feladattal. IT csprtvezető feladatai: az IBSZ kezelése, naprakészen tartása, módsításk átvezetése, javaslatt tesz a rendszer szűk keresztmetszeteinek felszámlására, felelős az infrmatikai rendszer hardver eszközeinek karbantartásáért, ellátja az adatkezelés és adatfeldlgzás felügyeletét, ellenőrzi a védelmi előírásk betartását, az adatvédelmi tevékenységet segítő nyilvántartási rendszer kialakítása, az adatvédelmi feladatk ismertetése, a felhasználók számítógépén ellenőrzi a szftverek használatának jgszerűségét, ellenőri tevékenységét adminisztrálja, ellenőri tevékenységéről rendszeresen, de legalább évente beszáml az Országs Hivatal vezetője előtt. Egységvezetők feladatai: meghatárzza a védett adatk körét, ellátja az adatkezelés és adatfeldlgzás felügyeletét, ellenőrzi a védelmi előírásk betartását, az adatvédelmi tevékenységet segítő nyilvántartási rendszer kialakítása, az adatvédelmi feladatk ismertetése, ellenőri tevékenységét adminisztrálja.

7 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata Rendszergazda feladatai: a rendszergazda a saját feladatkörébe tartzó rendszert felügyeli, gndskdik a rendszer kritikus részeinek újraindíthatóságáról, illetve az újraindításhz szükséges paraméterek reprdukálhatóságáról, gndskdik a flyamats vírusvédelemről, a vírusfertőzés gyanúja esetén gndskdik a fertőzött rendszerek vírusmentesítéséről, felelős az infrmatikai rendszerek üzembiztnságáért, szerverek adatairól biztnsági máslatk készítéséért és karbantartásáért, feladata a védelmi eszközök működésének flyamats ellenőrzése, nyilvántartja a beszerzett, illetve üzemeltetett hardver és szftver eszközöket, flyamatsan figyelemmel kíséri és vizsgálja a rendszer működésére és biztnsága szempntjából a lényeges paraméterek alakulását, ellenőrzi a rendszer önadminisztrációját. Felhasználó feladatai az általa létrehztt adatk mentésének biztsítása, hzzáférési aznsítóinak és a hzzájuk tartzó jelszavainak titksságának megőrzése. Az IT csprtvezető ellenőrzési feladatai: évente egy alkalmmal részletesen ellenőrzi az IBSZ előírásainak betartását, rendszeresen ellenőrzi a védelmi eszközökkel való ellátttságt, előzetes bejelentési kötelezettség nélkül ellenőrzi az infrmatikai munkaflyamat bármely részét. Az IT csprtvezető jgai: az előírásk ellen vétőkkel szemben szabálytalanságkezelési eljárás kezdeményezésére tehet javaslatt a Országs Hivatal vezetője felé, bármely érintett szervezeti egységnél jgsult ellenőrzésre, betekinthet valamennyi iratba, amely az infrmatikai feldlgzáskkal kapcslats, javaslatt tesz az új védelmi, biztnsági eszközök és technlógiák beszerzésére illetve bevezetésére, adatvédelmi szempntból az infrmatikai beruházáskat véleményezi. Az IBSZ megismerését az érintett dlgzók részére az egységvezetők ktatás frmájában biztsítják, melyről nyilvántartást vezetnek. Az Infrmatikai Biztnsági Szabályzat karbantartása Az IBSZ-t az infrmatikában, valamint a HGY-ben a fejlődés srán bekövetkező váltzásk miatt időközönként aktualizálni kell. Az IBSZ flyamats karbantartása az IT csprtvezető feladata.

8 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata A védelmet igénylő adatk és infrmációk sztályzása, minősítése, hzzáférési jgsultság Az adatkat és infrmációkat jelentőségük és bizalmassági fkzatuk szerint sztályzzuk: közlésre szánt, bárki által megismerhető adatk, bizalmas, személyes adatk, minősített, titks adatk. Az infrmatikai kezelés srán keletkező adatk minősítője annak a szervezeti egységnek a vezetője, amelynek védelme az érdekkörébe tartzik, illetve a közpnti rendszerekhez kapcslódóan az infrmatikai egység biztnsági felelőse minősíti. A minősítést a meghatárztt definíciók alapján kell végezni. Különös védelmi utasításk és szabályzásk nem mndhatnak ellent a törvények és a jgszabályk mindenkri előírásainak. A kijelölt dlgzók előtt a titkvédelmi és egyéb szabálykat, a betekintési jgsultság terjedelmét, gyakrlási módját és időtartamát ismertetni kell, szóbeli tájékztatás útján, a munkába lépésük napján. Alapelv, hgy mindenki csak ahhz az adathz juthassn hzzá, amire a munkájáhz szüksége van. Az infrmációhz való hzzáférést lehetőség szerint a tevékenység naplózásával dkumentálni kell, ezáltal bármely számítógépen végzett tevékenység - adatbáziskhz való hzzáférés, a fájlba vagy mágneslemezre történő mentés, a rendszer védett részeibe történő illetéktelen behatlási kísérlet - utólag visszakereshető. A naplófájlkat rendszeresen át kell tekinteni, s a jgsulatlan hzzáférést vagy annak a kísérletét az egységek vezetőjének aznnal jelenteni kell. A naplófájlk áttekintéséért, értékeléséért a rendszergazdák a felelősek. Minden dlgzóval, aki az adatk gyűjtése, felvétele, tárlása, kezelése, hasznsítása (ideértve a tvábbítást és a nyilvánsságra hzatalt), valamint törlése srán infrmációkhz jut, adatkezelési nyilatkzatt kell aláíratni. Ennek aláírásáig a dlgzó kizárható az infrmatikai szlgáltatásk igénybevételéből. Az adatkezelési nyilatkzat naprakészen tartásáért az egységvezetők a felelősek. A titkt képező adatk védelmét a feldlgzás - adattvábbítás, tárlás - srán az perációs rendszerben és a felhasználói prgramban alkalmaztt lgikai matematikai, illetve a hardver berendezésekben kiépített technikai megldáskkal is biztsítani kell (szftver, hardver adatvédelem). Az infrmatikai rendszerekhez hzzáférési jgsultságt igényelni vagy jgsultság váltzást kérni az IT-nál, külön erre a célra rendszeresített igénylőlapn lehet. A hzzáférési jgsultsági igényt az igénylő személy szervezeti egységének vezetője bírálja el, az igény jgsságát az igénylőlapn aláírásával igazlja. Az igénylőlapn található infrmációk alapján a hzzáférési jgsultságk kisztását, illetve módsítását az egységvezetők által adtt útmutatás szerint a rendszergazdák végzik.

9 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata Környezeti infrastruktúra kzta ártalmak és emberi tényezőre visszavezethető veszélyek Az infrmációk előállítására, feldlgzására, tárlására, tvábbítására, megjelenítésére alkalmas infrmatikai eszközök fizikai kársdását kzó veszélyfrrásk ismerete azért fnts, hgy felkészülten megelőző intézkedésekkel a veszélyhelyzetek elháríthatk legyenek. Elemi csapás: földrengés, árvíz, tűz, villámcsapás, egyéb vis majr. Környezeti kár: légszennyezettség, nagy teljesítményű elektrmágneses térerő, elektrsztatikus feltöltődés, a levegő nedvességtartalmának felszökése vagy leesése, piszklódás (pl. pr). Közüzemi szlgáltatásban bekövetkező zavark: feszültség-kimaradás, feszültségingadzás, elektrms zárlat, csőtörés. Szándéks kárkzás: behatlás az Infrmatikai rendszerek környezetébe, illetéktelen hzzáférés (adat, eszköz), adatk, eszközök eltulajdnítása, rngálás (gép, adathrdzó), megtévesztő adatk bevitele és képzése, zavarás (feldlgzásk, munkaflyamatk, hálózati frgalm). Nem szándéks, illetve gndatlan kárkzás: figyelmetlenség (ellenőrzés hiánya), szakmai hzzá nem értés, a gépi és eljárásbeli biztsítékk beépítésének elhanyaglása, a megváltztt körülmények figyelmen kívül hagyása, vírusfertőzött adathrdzó behzatala, biztnsági követelmények és gyári előírásk be nem tartása, adathrdzók megrngálása (rssz tárlás, kezelés), a karbantartási műveletek elmulasztása.

10 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata A szükséges biztnsági-, jelző és riasztó berendezések karbantartásának elhanyaglása veszélyezteti a feldlgzás flyamatát, hzzáféréshez, rngáláshz. alkalmat ad az adathz való véletlen, vagy szándéks illetéktelen Kárkzás esetén belső vizsgálatt kell végezni az IT csprtvezető és az érintett egységvezető közreműködésével. Szándéks kárkzás esetén aznnal minden tvábbi hzzáférés megakadályzása szükséges. Ezt az IT csprtvezető javaslata alapján az Országs Hivatal vezetője rendeli el. A Büntető törvénykönyvről szóló évi C. törvény (a tvábbiakban: Btk.) a szerinti Védelmet biztsító műszaki intézkedés kijátszása", vagy a Btk a szerinti Tilttt adatszerzés", vagy a Btk a szerinti Infrmációs rendszer vagy adat megsértése", vagy a Btk a szerinti Infrmációs rendszer védelmét biztsító technikai intézkedés kijátszása" bűncselekmény gyanúja felmerülésének alapján az illetékes hatóság felé feljelentést kell tenni. A szándéks kárkzás tényéről és a tett intézkedésről írásban kell tájékztatni az Országs Hivatal vezetőjét. Nem szándéks kárkzás esetén meg kell határzni a kárt kzó felelősségének mértékét, és annak függvényében kell leflytatni a szükséges fegyelmi eljárást. Az adatk tartalmát és a kezelésük flyamatát érintő veszélyek Tervezés és előkészítés srán előfrduló veszélyfrrásk a rendszerterv nem veszi figyelembe az alkalmaztt hardver eszköz lehetőségeit, hibás adatrögzítés, adatelőkészítés, az ellenőrzési szempntk hiánys betartása. A rendszerek megvalósítása srán előfrduló veszélyfrrásk hibás adatállmány működése, helytelen adatkezelés, prgramtesztelés elhagyása. A működés és fejlesztés srán előfrduló veszélyfrrásk emberi gndatlanság, szervezetlenség, képzetlenség, szándéksan elkövetett illetéktelen beavatkzás, illetéktelen hzzáférés, üzemeltetési dkumentáció hiánya. Vagynvédelmi előírásk: a géptermek külső és belső helyiségeit biztnsági zárakkal kell felszerelni, a gépterembe való be- és kilépés rendjét szabályzni kell, a számítógép mnitrát lehetőleg úgy kell elhelyezni, hgy a megjelenő adatkat illetéktelen személyek ne lvashassák el, a gépterembe, szerverterembe történő illetéktelen behatlás tényét a Országs Hivatal vezetőjenak aznnal jelenteni kell,

11 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata az infrmatikai eszközöket csak az HGY alkalmazttjai, ill. a munkavégzésre irányuló jgvisznnyal rendelkező személyek használhatják, az infrmatikai eszközök rendeltetésszerű használatáért a felhasználó felelős. Külső adathrdzók: könnyen tisztítható, jól zárható szekrényben kell elhelyezni úgy, hgy tárlás közben ne sérüljenek, kársdjanak, az adathrdzókat a gyrs hzzáférés érdekében aznsítóval kell ellátni, melyről nyilvántartást kell vezetni, a használni kívánt külső adathrdzót a tárlásra kijelölt helyről kell kivenni, és da kell vissza is helyezni, a munkaasztaln csak azk az adathrdzók legyenek, amelyek az aktuális feldlgzáshz szükségesek, adathrdzót más, külső szervezetnek átadni csak az Országs Hivatal vezetője engedélyével szabad, a munkák befejeztével a használt berendezést és környezetét rendbe kell tenni. Elektrnikus adattvábbítás: Az HGY hálózatára csak felhasználói aznsító birtkában szabad csatlakzni, a levelezésben és elektrnikus adattvábbításban felhasználói aznsító használata kötelező, a felhasználói aznsítókat, digitális aláíráskat közpntilag az IT kezeli, és tartja nyilván, hivatals dkumentumt interneten közzétenni, harmadik fél felé tvábbítani csak nem szerkeszthető frmátumban szabad. Tűzvédelem: A gépterem, illetve kiszlgáló helyiség a D" tűzveszélyességi sztályba tartzik, amely mérsékelt tűzveszélyes üzemet jelent. A tűzvédelem feladatait, a sajáts előíráskat a gépteremre, szerverszbára vnatkzóan a Tűzvédelmi Szabályzata tartalmazza. A menekülési útvnalak szabadn hagyását minden körülmények között biztsítani kell. A gépteremben és szerverszbában minimum 1-1 db tűzltó készüléket kell elhelyezni. A szerverszbában elektrms vagy más munkát csak a tűzvédelmi szakreferens tudtával engedélyével szabad végezni. A nagy fntsságú, pl. törzsadat-állmánykat, adatbáziskat 2 példányban kell őrizni és a másdik példányt elkülönítve tűzbizts páncélszekrényben kell őrizni.(ezen adatállmányk kijelölése az egységvezetők feladata.) A számítógépek és szerverek védelme Elemi csapás (vagy más k) esetén a számítógépekben vagy szerverekben bekövetkezett részleges vagy teljes kársdáskr az alábbiakat kell sürgősen elvégezni: menteni a még használható eszközöket, berendezéseket és adatkat biztnsági mentésekről, háttértárakról a megsérült adatk visszaállítása, archivált anyagk (III. eszközök) használatával flytatni kell a feldlgzást. Hardver védelem:

12 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata A berendezések hibátlan és üzemszerű működését biztsítani kell. A működési biztnság megóvását jelenti a szükséges alkatrészek beszerzése. Az üzemeltetést, karbantartást és szervizelést az IT Infrmatikusai végezik. A munkák szervezésénél figyelembe kell venni: a gyártó előírásait, ajánlatait, a tapasztalatkat. Bármely számítógép, vagy számítástechnikai eszköz szétbntását (kivéve a garanciális gépeket) csak az IT infrmatikusai végezhetik el. Az IT flyamat védelme Az infrmatikai flyamat védelme: Az adatrögzítés védelme: adatbevitel hibátlan műszaki állaptú berendezésen történjen, csak tesztelt adathrdzóra lehet adatállmányt rögzíteni, a külső adathrdzókat csak az e célra kialakíttt és megfelelő tárló helyeken szabad tartani, az adatrögzítés szftveres védelme: lehetőség szerint lyan szftvereket kell vásárlni, amelyek rendelkeznek ellenőrző funkciókkal és biztsítják a rögzített tételek visszakeresésének és javításának lehetőségét is. hzzáférési lehetőség: a felhasználói aznsítók használatával kell szabályzni, hgy ki milyen szinten férhet hzzá a kezelt adatkhz. (Alapelv: a tárlt adatkhz csak az illetékes szervezeti egységek személyei férjenek hzzá). az adatk bevitele srán alapelv: azns állmány rögzítését és ellenőrzését ugyanaz a személy nem végezheti. a szerverek rendszergazda jelszavait az IT rendszergazdái kezelik, az adatrögzítés flyamatáhz kapcslódó dkumentációk: adatrögzítési utasításk, ellenőrző rögzítési utasításk, tesztelő és törlő prgramk kezelési utasításai, megőrzési utasításk, gépkezelési leírásk. A külső adathrdzók nyilvántartása: A külső adathrdzókról az egységeknek nyilvántartást kell vezetni. A külső adathrdzókat a gyrs és egyszerű elérés, a nyilvántartás és a biztnság érdekében aznsítóval (srszámmal) kell ellátni. Külső adathrdzók tárlása : A külső adathrdzók tárlására műszaki-, tűz- és vagynvédelmi előírásknak megfelelő helyiséget kell kijelölni, illetve kialakítani.

13 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata Az adathrdzók megőrzése: Az adathrdzók megőrzési idejét a köziratkról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló többször módsíttt évi LXVI. törvényben fglaltak alapján az adatkezelő határzza meg. Selejtezés, skszrsítás, máslós: Selejtezéskr biztnsági intézkedésekkel kell megakadályzni, hgy a hibás infrmatikai eszközök adathrdzói ellenőrizetlenül kerüljenek ki a szervezeten kívülre. Szintén alapvető követelmény, hgy a selejtezés az egységvezetők engedélyéhez kötött és megfelelően dkumentált legyen. A selejtezési jegyzőkönyvben a későbbi félreértések elkerülése végett, érdemes feltüntetni a selejtezendő alkatrész gyári számát, típusát, valamint a benne lévő adathrdzók törléséről szóló nyilatkzatt, a felelős munkatárs aláírásával. A kényes infrmációk kiszivárgásának megelőzése érdekében a selejtezendő adathrdzók esetében a sikeres törlés tényét ellenőrizni kell. Skszrsítást, máslást csak az érvényben lévő rendeletek szerint szabad végezni. Biztnsági, illetve archív adatállmány előállítása máslásnak számít. Mentések, file-k védelme: Az adatfeldlgzás után biztsítani kell az adatk mentését. A munkák srán létrehztt általáns (pl. Wrd és Excel) dkumentumk mentése és a mentés biztnságs tárlása az azt létrehzó munkatársak (felhasználók) feladata. A felhasználó számítógépén lévő adatkról biztnsági mentéseket a felhasználónak kell készítenie. Az archiválásban az infrmatikusk segítséget nyújtanak. A szervereken tárlt adatkról a mentést rendszeresen el kell végezni. A mentésért az egységvezetők, illetve a rendszergazdák a felelősek. Szftver védelem Rendszerszftver védelem: Az egységeknek az IT-n keresztül biztsítani kell, hgy a rendszerszftverek naprakész állaptban legyenek és a segédprgramk, prgramkönyvtárak mindig hzzáférhetők legyenek a felhasználók számára. Prgramhz való hzzáférés, prgramvédelem: A kezelés flyamán az Illetéktelen hzzáférést meg kell akadályzni, az illetéktelen próbálkzást ki kell zárni. Gndskdni kell arról, hgy a tárlt prgramk, fájlk ne kársdjanak, a követelményeknek megfelelően működjenek. Prgramk megőrzése, nyilvántartása: A prgramkról a rendszergazdáknak naprakész nyilvántartást kell vezetni A prgramk nyilvántartásáért és működőképes állaptban való tartásáért az egységvezetők a felelősek.

14 A Hit Gyülekezete Infrmatikai Biztnsági Szabályzata A közpnti számítógép és a hálózat munkaállmásainak működésbiztnsága Közpnti gépek: Szünetmentes áramfrrást kell használni, amely megvédi a berendezést a feszültségingadzásktól, áramkimaradás esetén az adatvesztéstől. A közpnti gépek háttértárairól flyamatsan biztnsági mentést kell készíteni. Az alkalmaztt hálózati perációs rendszer adatbiztnsági lehetőségeit az egyes knkrét feladatkhz igazítva kell alkalmazni. A vásárlt szftverekről biztnsági máslatt kell készíteni. Munkaállmásk: A külső helyről hztt, vagy kaptt anyagkat ellenőrizni kell vírusellenőrző prgrammal. Vírusfertőzés gyanúja esetén az rendszergazdákat aznnal értesíteni kell. Új rendszereket használatba vételük előtt szükség szerint adaptálni kell, és tesztadatkkal kell ellenőrizni működésüket. Az infrmatikai eszközökről prgramt, illetve adatállmánykat máslni a jgs belső felhasználói igények kielégítésein kívül nem szabad. A hálózati vezeték és egyéb csatló elemei rendkívül érzékenyek, mindennemű sérüléstől ezen elemeket meg kell óvni. A hálózat vezetékének megbntása szigrúan tils. Az infrmatikai eszközt és tartzékait helyéről elvinni csak az eszköz leltárfelelőse tudtával és engedélyével szabad. A hálózatra hálózati eszközt csak az IT vezetőjének engedélyével szabad csatlakztatni. Az engedély nélkül csatlakztattt eszköz hálózati hzzáférését az észlelést követően aznnal meg kell szüntetni, az eszközt csatlakztató személy ellen az eljárást le kell flytatni. Az IBSZ ellenőrzése Évente egy alkalmmal részletesen ellenőrzi szükséges az IBSZ előírásainak betartását. Az ellenőrzésnek elő kell segíteni, hgy az infrmatikai rendszereknél előfrduló veszélyhelyzetek ne alakuljanak ki. A kialakult veszélyhelyzet esetén cél a kárk csökkentése, illetve annak megakadályzása, hgy az megismétlődjön. A munkaflyamatba épített ellenőrzés srán az IBSZ rendelkezéseinek betartását az adatkezelést végző szervezeti egység vezetői flyamatsan ellenőrzik. Budapest, december 1.