TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA



Hasonló dokumentumok
A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

GYŐRÚJFALU KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁMOSSZABADI KIRENDELTSÉGE INFORMATIKAI BIZTONSÁGPOLITIKÁJA

Muha Lajos. Az információbiztonsági törvény értelmezése

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

IT biztonsági törvény hatása

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Az ISO es tanúsításunk tapasztalatai

XXIII. MAGYAR MINŐSÉG HÉT

Jogalkotási előzmények

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

2013. évi L. törvény ismertetése. Péter Szabolcs

Informatikai Biztonsági szabályzata

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Bevezetés az Informatikai biztonsághoz

Kivonat Kunszentmárton Város Önkormányzata Képviselő-testületének október 29-én tartott soros ülésének jegyzőkönyvéből.

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Fókuszban az információbiztonság

Nemzetközi jogszabályi háttér I.

Dr. Muha Lajos. Az L. törvény és következményei

8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

Kockázatkezelés az egészségügyben

ADATVÉDELMI TÁJÉKOZTATÓ (Az adatkezelési szabályzat 2. sz. melléklete)

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat. Hatályos: május 25-től visszavonásig

Község Önkormányzata

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Csanytelek Község Önkormányzat évi Ellenőrzési Programja

A Pénzügyi Szervezetek Állami Felügyelete Elnökének 1/2010. számú ajánlása a javadalmazási politika alkalmazásáról. I. Az ajánlás célja és hatálya

Javadalmazási politika

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

A Számvizsgáló Bizottság megbízatása

Sajóvámos Község Önkormányzata A közérdekű adatok közzétételi kötelezettségének teljesítéséről szóló szabályzata

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

ÚJSZÁSZ VÁROS JEGYZŐJE 5052 ÚJSZÁSZ, SZABADSÁG TÉR 1. TEL/FAX: 56/

FŐVÁROSI ÁLLAT- ÉS NÖVÉNYKERT

Tájékoztató elektronikus együttműködésre kötelezett szervek részére

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Javaslat a Heves Megyei Önkormányzat és intézményei évi Ellenőrzési Tervére

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

Dabas Város Önkormányzat A közérdekű adatok közzétételi kötelezettségének teljesítéséről szóló szabályzata

ÉMI-TÜV SÜD Kft. Kockázatok és dilemmák az új ISO EN 9001:2015 szabvány szellemében

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

TÁJÉKOZTATÓ ELEKTRONIKUS EGYÜTTMŰKÖDÉSRE KÖTELEZETT SZERVEK RÉSZÉRE

Információbiztonság fejlesztése önértékeléssel

IT üzemeltetés és IT biztonság a Takarékbankban

E L Ő T E R J E S Z T É S

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

TANÚSÍTVÁNY KARBANTARTÁSI Jegyzőkönyv

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

A Magyar Nemzeti Bank elnökének 19/2009. (VIII. 6.) MNB rendelete

Tájékoztató elektronikus együttműködésre kötelezett szervek részére

Az információbiztonság egy lehetséges taxonómiája

V/6. sz. melléklet: Táv- és csoportmunka támogatás funkcionális specifikáció

7/2011. sz. Szabályzat CSÁKVÁR NAGYKÖZSÉG POLGÁRMESTERI HIVATAL KOCKÁZATKEZELÉSI SZABÁLYZAT

1. célhoz kötöttség elve 2. az adatkezelés jogalapja 3. adat megőrzésének ideje 4. egyértelmű, részletes tájékoztatás 5. hozzájárulás 6.

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.

Versenyképesség és az innovatív vagyonvédelem

XXVII. Magyar Minőség Hét Konferencia

Üzletmenet folytonosság Üzletmenet? folytonosság?

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

INFORMATIKAI SZABÁLYZAT

Tájékoztató elektronikus együttműködésre kötelezett szervek részére

Almáskert Napköziotthonos Óvoda

HEVES MEGYEI ÖNKORMÁNYZATI HIVATAL [g] 3300 Eger, Kossuth L. u. 9.

Megbízhatóság az informatikai rendszerekben

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:

E l ő t e r j e s z t é s A Képviselő-testület július 8-án tartandó ülésére.

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

Frog Media Kft. Adatkezelési tájékoztató

A Bankok Bázel II megfelelésének informatikai validációja

ELŐTERJESZTÉS ALSÓZSOLCA VÁROS ÖNKORMÁNYZATÁNAK DECEMBER 10-I ÜLÉSÉRE

grpr.info.hu

Projektmenedzsment sikertényezők Információ biztonsági projektek

Tudjuk-e védeni dokumentumainkat az e-irodában?

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Adatvédelmi Szabályzat

E L Ő T E R J E S Z T É S

IRÁNYMUTATÁS A SZOLGÁLTATÁSOK ÉS LÉTESÍTMÉNYEK MINIMUMLISTÁJÁRÓL EBA/GL/2015/ Iránymutatások

J A V A S L A T Ózd Kistérség Többcélú Társulása évi stratégiai ellenőrzési tervének elfogadására

147. sz. Ajánlás. a rákkeltő anyagok és hatóanyagok által előidézett foglalkozási ártalmak elleni védekezésről és ezek ellenőrzéséről

Bodorkós Ferenc polgármester évi belső ellenőrzési terv

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

Belső kontrollrendszer kialakítása,

Pécsi Tudományegyetem Klinikai Központ ELJÁRÁS

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Átírás:

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Tartalomjegyzék 1 BEVEZETÉS... 3 1.1 Az Informatikai Biztonsági Politika célja... 3 1.1.1 Az információ biztonság keret rendszere... 3 1.1.2 Az információ biztonság aspektusai... 3 1.2 Jóváhagyás... 4 1.3 Az Informatikai Biztonsági Politika felülvizsgálta... 4 1.4 Az Informatikai Biztonsági Politika értékelése... 4 1.5 Az Informatikai Biztonsági Stratégia hatálya... 4 1.5.1 Az IBP alanyi hatálya... 5 1.5.2 Az IBP tárgyi hatálya... 5 1.5.3 Az IBP időbeli hatálya... 5 Az IBP időbeli hatálya visszavonásig érvényes.... 5 1.6 Informatikai biztonsági felelős... 5 1.7 Vezetőségi elkötelezettség... 5 1.8 Kapcsolódó dokumentumok... 5 2 KOCKÁZAT ELEMZÉS ALAPELVEI... 6 3 OSZTÁLYBA SOROLÁS ALAPELVEI... 6 4 AZ INFORMATIKAI BIZTONSÁG ALAPELVEI... 6 4.1 A kockázatarányos védelem elve... 6 4.2 Teljes körű védelem elve... 6 4.3 Az egyenszilárdság elve... 6 4.4 Rendszerfejlesztések biztonsági elv... 6 4.5 A négy szem elv... 7 4.6 A szükséges és elégséges hozzáférés elve... 7 4.7 Fizikai biztonság... 7 4.8 Vírusvédelem... 7 4.9 Mentés, archiválás... 7 4.10 Naplózás... 7 4.11 Incidensek kezelése... 7 4.12 Működésfolytonosság fenntartása... 7 4.13 Oktatás, képzés, - a biztonságtudatosság fokozása... 8 2

1 BEVEZETÉS A szervezet tevékenysége során igénybe vett és a közben keletkező információk, továbbá a normál napi ügyvitelt, és az adatfeldolgozást támogató informatikai és kommunikációs eszközök jelentős üzleti vagyont képviselhetnek. Bizalmas mivoltuk, megbízhatóságuk, és a hozzáférhetőségük minősége alapvető jelentőséggel bír, a szervezet versenyképességének és a jövedelem termelő magatartásának megőrzésében, a releváns jogszabályoknak való megfelelősségnek, de akár jó hírének fenntartásában is. 1.1 Az Informatikai Biztonsági Politika célja A TopNet Magyarország Kft. (a továbbiakban: Cég, vállalkozás) Informatikai Biztonsági Stratégiájának (a továbbiakban: IBP) célja, hogy a vonatkozó jogszabályoknak megfelelően, figyelembe véve a Cég belső szabályozó környezetét, meghatározza azokat a követendő alapelveket, melyek az informatikai és kommunikációs rendszerek által kezelt információs vagyon bizalmassága, sértetlensége, rendelkezésre állásának biztosítása és funkcionalitása, továbbá üzembiztonsága fenntartása érdekében vonatkoznak. 1.1.1 Az információ biztonság keret rendszere Az információ biztonság keret rendszere, a vállalkozás tevékenységének elvárt szintű fenntartásának biztosításával, és annak biztonságos működését veszélyeztető események megelőzésével, továbbá negatív hatásának minimalizálásával foglalkozik. Ezért cél az, hogy egy olyan kontrolrendszer kerüljön kialakításra, bevezetésre és működtetésre, amely fenntartja a vállalkozás folyamatos, elvárt szintű üzleti tevékenységét, és minimalizálja a működés során felmerült negatív kihatású biztonsági eseményeket. 1.1.2 Az információ biztonság aspektusai A vállalkozás tevékenysége során keletkező információ is vagyonként jelenik meg, és ennek érdekében meg kell tenni azokat a szükséges intézkedéseket, melyek védenek a jogosulatlan elérés, módosítás és megsemmisülés ellen. Az információ biztonságának három főbb aspektusa van, amelyek a Bizalmasság, a kezelt információhoz csak az arra felhatalmazott személyek részére legyen elérhető, továbbá az értékes és érzékeny információk megóvásának biztosítása az illetéktelen hozzáféréstől, illetve annak nyilvánosságra hozatalától; Sértetlenség, az információ pontosságának, a valóságnak mindenben megfelelő megvédése; 3

Rendelkezésre állás, az információ szempontjából annak biztosítása, hogy a kezelt rendszerek funkciója, elérhetősége, és az adatok visszakereshetősége megvalósuljon. A gondosan megfogalmazott informatikai biztonsági alapkövetelmények, a vállalkozás számára fontos információk, rendszerek és szolgáltatások rendelkezésre állásának sérülése, az adatokkal való visszaélések, illetve a vállalkozás folyamatos üzleti tevékenységében történő fennakadás kockázatainak csökkentésére irányulnak. 1.2 Jóváhagyás Az informatikai biztonsági politikát - összhangban a vállalkozás egyéb céljaival - a vállalkozás vezetősége hagyja jóvá, és hirdetni ki az érintettek számára. 1.3 Az Informatikai Biztonsági Politika felülvizsgálta Az IBP-t igény szerint legalább két évente, vagy időközben felmerülő jelentősebb infrastrukturális, továbbá egyéb releváns változás esetén felül kell vizsgálni, és szükség esetén módosítani kell, mind a vállalkozói, mind informatikai szakmai szempontok alapján. 1.4 Az Informatikai Biztonsági Politika értékelése Rendszeresen meghatározott időközönként értékelni szükséges, hogy a politikában meghatározott elvek hogyan valósulnak meg. 1.5 Az Informatikai Biztonsági Stratégia hatálya A vállalkozás gondoskodik arról, hogy az IBP jogosulatlanok számára ne legyen megismerhető, módosítható, továbbá az IBP-ben foglaltak az érintettek részére ismerté váljon. 4

1.5.1 Az IBP alanyi hatálya Az IBP alanyi hatálya kiterjed a Cég valamennyi teljes vagy részmunkaidős, továbbá szerződéses munkavállalójára. 1.5.2 Az IBP tárgyi hatálya Az IBP tárgyi hatálya kiterjed a Cég informatikai rendszerének üzemeltetésében, fejlesztésében és karbantartásában résztvevő cégekre, illetve azon magánszemélyekre, akik közvetve, vagy közvetlenül kapcsolódnak a vállalkozáshoz, fizikai elhelyezkedéstől, illetve a tulajdonos, vagy üzemeltető személyétől függetlenül. 1.5.3 Az IBP időbeli hatálya Az IBP időbeli hatálya visszavonásig érvényes. 1.6 Informatikai biztonsági felelős Az informatikai biztonsági feladatok elvégzésére a vállalat vezetőségének ki kell jelölni egy Informatikai Biztonsági Felelőst. 1.7 Vezetőségi elkötelezettség A vállalat vezetősége számára kiemelt fontossággal bír az informatikai biztonsági keretrendszer működtetése, és elvárja minden érintett személy részéről a politika irányelveinek, és az ehhez kapcsolódó szabályok betartását! 1.8 Kapcsolódó dokumentumok Informatikai Biztonsági Stratégia Informatikai Biztonsági Szabályzat 5

2 KOCKÁZAT ELEMZÉS ALAPELVEI A kockázatelemzés során ajánlott figyelembe venni a releváns nemzetközi vagy hazai szabványokat, ajánlásokat, legjobb gyakorlatokat. Informatikai biztonsági szempontból, a kockázatelemzés alapját képezi az adatok és informatikai rendszerelemek bizalmasságának, sértetlenségének és rendelkezésre állásának, és ezek sérüléséből, elvesztéséből bekövetkező káros hatás nagysága, terjedelme, továbbá a káros hatás bekövetkezésének veszélyes mértéke, becsült valószínűsége. 3 OSZTÁLYBA SOROLÁS ALAPELVEI A biztonsági osztályba sorolás - összhangban a releváns jogszabályokkal -, a kezelt adatok minősége és az informatikai rendszerelemek által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának sérülése esetén potenciálisan bekövetkező káresemény nagyságának és a rendelkezésre álló erőforrások figyelembe vétele alapján történik meg. Az osztályba sorolás közben, az elvárttól eltérő hiányosságok kiküszöbölésére Intézkedési Tervet kell készíteni. 4 AZ INFORMATIKAI BIZTONSÁG ALAPELVEI Az informatikai keretrendszer kialakításakor olyan fizikai-, logikai és adminisztratív irányelveket kell megfogalmazni, ami összhangban van szervezet működésével és a releváns jogszabályokkal. 4.1 A kockázatarányos védelem elve Az informatikai biztonsági intézkedéseket úgy kell meghatározni, hogy annak költség vonzata arányban álljon a haszon megtérüléssel. Az intézkedéseket kockázat arányosan kell mérlegelni, melyeket rendszeresen felül kell vizsgálni. A maradvány kockázatokat a vezetőségnek dokumentáltan el kell fogadnia. 4.2 Teljes körű védelem elve Az informatikai biztonsági intézkedéseket a vállalkozás minden elemére érvényre kell juttatni. 4.3 Az egyenszilárdság elve Az egyenszilárdság elve szerint, azonos erősségű biztonsági szintek kerüljenek kialakításra minden egyes biztonsági rendszer kialakításkor. 4.4 Rendszerfejlesztések biztonsági elv Az alkalmazások és szolgáltatások fejlesztési életciklusa során a biztonság tudatosság, mint 6

követelmény jelen kell, hogy legyen, a tervezésétől kezdődve egészen a bevezetésig. 4.5 A négy szem elv A vállalkozás működése során, annak kritikus folyamataiba felülvizsgálatokat kell beiktatni úgy, hogy a folyamat csak akkor tudjon tovább lépni, ha azt legalább két személy ellenőrizte. Szúró próbaszerűen a vezeti is gyakorolhat ellenőrzési tevékenységet. 4.6 A szükséges és elégséges hozzáférés elve A vállalkozás rendszereihez és helyiségeihez való hozzáférések szintjét úgy kell meghatározni, hogy az igénybe vevő csak a munkája elvégzéshez szükséges jogokat kapja meg, és ne többet. 4.7 Fizikai biztonság A fizikai biztonság kialakításakor cél az illetéktelen hozzáférés megakadályozása. Az informatikai rendszerek külső környezeti hatásoktól való védelmét úgy kell kialakítani, hogy a vállalkozás értékei, eszközei, és a szolgáltatás folytonossága ne legyen fenyegetve. 4.8 Vírusvédelem A rosszindulatú, kártékony alkalmazások ellen naprakész védelmi rendszerrel kell rendelkezni. A felhasználókat oktatásban kell részesíteni, illetve fel kell készíteni őket a megelőző és elkerülő magatartásra. 4.9 Mentés, archiválás A törvényi kötelezettségeknek megfelelő mentési, archiválási rendszert úgy kell kialakítani, hogy elvárt feltételek mellett lehetőség legyen az információk visszaállítása. Nem várt esemény bekövetkeztekor, a rendszer, illetve a kezelt adatok visszaállíthatók egy korábbi időpontra, ezzel is csökkentve a kár mértékét. 4.10 Naplózás Az informatikai rendszer használatát a telepített, illetve beépített lehetőségek (pl. naplózás bekapcsolása) segítségével nyomon kell követni, és gondoskodni kell annak ellenőrzéséről is. 4.11 Incidensek kezelése A napi normál üzletszerű működés során felmerült informatikai biztonsági fenyegetéseket haladéktalanul jeleneti kell az Informatikai Biztonsági Felelősnek. 4.12 Működésfolytonosság fenntartása Meg kell határozni azokat a fő irányelveket és módszereket, melyek segítségével biztosíthatók a kritikus folyamatok, szolgáltatások folytonossága fenntartható nem várt esemény bekövetkeztekor. 7

4.13 Oktatás, képzés, - a biztonságtudatosság fokozása A biztonságtudatosság növelése érdekében oktatásokat, képzéseket kell tartani. 8

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés