A Semmelweis Egyetem kancellárjának K/9/2016. (II.29.) határozata. az Informatikai biztonsági szabályzat jóváhagyásáról

A Semmelweis Egyetem kancellárjának K/9/2016. (II.29.) határzata az Infrmatikai biztnsági szabályzat jóváhagyásáról Az SZMSZ 21. (14) bekezdésében és 22. (3) bekezdésében kaptt felhatalmazás alapján a Semmelweis Egyetem kancellárja az alábbi döntést hzta: 1. A Semmelweis Egyetem kancellárja jóváhagyja az Infrmatikai biztnsági szabályzatt. 2. A szabályzat bevezetésével összefüggő átmeneti rendelkezések: (1) Az Infrmatikai Biztnsági Felelőst a szabályzat hatályba lépését követő 30. munkanapig ki kell jelölni. (2) Az infrmatikai kckázatk felmérését első alkalmmal az Infrmatikai Biztnsági Felelős kijelölését követő 60 munkanapn belül kell elvégezni. A kckázatkezelési akcióterveket a kckázatfelmérést követő 30 munkanapn belül kell elkészíteni. (3) Az Infrmatikai Biztnsági Fórum alakuló ülését az infrmatikai kckázatkezelési akciótervek elkészítését követő 30 munkanapn belül meg kell tartani. (4) A szabályzat hatályba lépését követően külső partnerekkel megkötendő szerződésekben érvényesíteni kell a szabályzatban leírt követelményeket. A szabályzat hatályba lépésekr már hatálys, külső partnerekkel kötött szerződések esetén a szerződő felet a szabályzat hatályba lépését követő 30 munkanapn belül tájékztatni kell a szabályzat rá vnatkzó rendelkezéseiről. (5) Az infrmatikai igazgatónak a szabályzatban meghatárztt szervezeti környezetet és vezetői irányítási rendszert a szabályzat hatályba lépését követő 90. munkanapig kell kialakítania. (6) Az infrmatikai biztnságnak a szabályzatban leírt valamennyi műszaki feltételét legkésőbb 2018. december 31-ig kell kialakítani. (7) A felhasználók infrmatikai biztnsági tudatssági képzésének a feltételrendszerét legkésőbb a szabályzat hatályba lépését követő 2016. december 31-ig kell kialakítani. (8) A felhasználók által használt saját tulajdnú infrmatikai eszközök nyilvántartásba vételét a szabályzat hatályba lépését követő 90. napig végre kell hajtani. 3. Jelen határzat és azzal az Infrmatikai biztnsági szabályzat a Jgi és Igazgatási Főigazgatóság (JIF) alhnlapján való közzétételt követő napn lép hatályba. Budapest, 2016. február 29. dr. Szász Kárly kancellár

Infrmatikai Biztnsági Szabályzat Dkumentum adatlap Szervezet neve: I. Semmelweis Egyetem Dkumentum típusa: Szabályzat x Dkumentum címe: Iktatószám: Infrmatikai Biztnsági Szabályzat 7630-2/KMFI//2016 Elfgadó: Kancellár x Elfgadásk száma: 1 Elektrnikus váltzatk elnevezése Infrmatikai_Biztnsagi_Szabalyzat_2016 II. Előkészítő ügyintéző vezető Medvey András Brs András Társelőkészítő ügyintéző vezető Jóváhagyó rektr Dr. Szász Kárly kancellár x kancellár rektr és kancellár... aláírás III. III/1. A szabályzó dkumentum és az előterjesztés egyeztetése az SZMSZ 17. (9) és 35. (1) bekezdésben fglaltakkal mindegyikével megtörtént. előkészítő vezető: Brs András műszaki főigazgató III/2. A szabályzó dkumentumk végrehajtása költségvetési hatással nem jár A szabályzó dkumentumk végrehajtása költségvetési hatással jár X előkészítő vezető: Brs András műszaki főigazgató 1/66

Infrmatikai Biztnsági Szabályzat IV. Választtt véleményezők (szakmai egyeztetés) Kötelező véleményezők SZMSZ 17. (9) bekezdés és a 35. (1) bekezdés alapján tett észrevételt nem tett észrevételt nem küldött választ EFMI Szlgáltatási igazgatóság Biztnságtechnikai igazgatóság Ellenőrzési igazgatóság Adatvédelmi felelős Kmmunikációs és Rendezvényszervezési igazgatóság EOK gazdasági igazgatóság VSZÉK gazdasági igazgatóság Kórélettani Intézet infrmatikus Neurlógiai Klinika infrmatikus I. Nőgyógyászati Klinika infrmatikus I. Pathlógia infrmatikus kancellár rektr általáns és ktatási rektrhelyettes klinikai rektrhelyettes tudmánys rektrhelyettes Általáns Orvstudmányi Kar dékánja (ÁOK) Egészségtudmányi Kar dékánja (ETK) Egészségügyi Közszlgálati Kar dékánja (EKK) Fgrvstudmányi Kar dékánja (FOK) Gyógyszerésztudmányi Kar dékánja (GYTK) Dktri Tanács elnöke Emberierőfrrás- 2/66

Infrmatikai Biztnsági Szabályzat Egyéb véleményező kötelező gazdálkdási Főigazgató (EGF) Gazdasági Főigazgató (GF) Jgi és Igazgatási Főigazgató (JIF) Műszaki Főigazgató (MF) Minőségfejlesztési vezető 3/66

Infrmatikai Biztnsági Szabályzat Tartalmjegyzék 1. Az Infrmatikai Biztnsági Szabályzat célja... 7 2. Az IBSZ hatálya... 9 2.1 Személyi hatálya... 9 2.2 Tárgyi hatálya... 9 3. Az infrmatikai biztnsági rendszer működtetése... 10 3.1 A jgszabályknak és a belső szabályzatknak való megfelelés... 10 3.2 Infrmatikai biztnsági kckázatmenedzsment... 10 3.3 Megelőző intézkedések rendszere... 10 3.4 Az infrmatikai biztnság irányításának alapjai... 11 3.5 Helyesbítő intézkedések rendszere... 11 4. Az infrmatikai biztnság szervezete... 12 4.1 Az Infrmatikai Biztnsági Fórum... 12 4.2 Infrmatikai biztnsági szerepkörök... 12 4.2.1 Kancellár... 12 4.2.2 Infrmatikai igazgató... 13 4.2.3 Biztnságtechnikai igazgató... 14 4.2.4 Infrmatikai Biztnsági Felelős... 14 4.2.5 Kari/tömbigazgatóság szintű infrmatikai vezető... 15 4.2.6 Egyéb infrmatikai biztnsági szerepkörök... 16 4.3 Külső ügyfelek és partnerek... 17 4.3.1 Külső személyekkel összefüggő kckázatk aznsítása... 17 4.3.2 A biztnság kérdésének kezelése harmadik féllel kötött megállapdáskban... 17 4.3.3 Titktartási megállapdásk... 18 5. Részletes védelmi intézkedések meghatárzása... 19 5.1 Infrmatikai vagyntárgyak kezelése... 19 5.1.1 Infrmatikai vagynleltár... 19 5.1.2 Vagyntárgyak tulajdnjga... 19 5.2 Az emberi erőfrrásk biztnsága... 19 5.2.1 Személyekkel kapcslats biztnsági intézkedések... 19 5.3 Az infrmatikai környezet fizikai védelme... 21 5.3.1 Területek védelme, biztsítása... 21 5.3.2 Védett helyszínek... 22 5.3.3 Infrmatikai eszközök védelme... 24 5.4 Az infrmatikai üzemeltetés biztnsága... 27 5.4.1 Dkumentált üzemeltetési eljárásk... 27 4/66

Infrmatikai Biztnsági Szabályzat 5.4.2 Váltzáskezelés... 27 5.4.3 Fejlesztési, tesztelési és üzemeltetési eszközök... 27 5.4.4 Védelem rsszindulatú és mbil kódk ellen... 28 5.4.5 Jgsultság kezelés... 28 5.4.6 Hálózati szintű hzzáférés ellenőrzés... 35 5.4.7 Operációs rendszer szintű hzzáférés-ellenőrzés... 37 5.4.8 Mbil számítógép használata és távli munkavégzés... 38 5.4.9 Biztnsági mentés... 38 5.4.10 Adathrdzók kezelése... 40 5.4.11 Figyelemmel követés (naplózás és mnitring)... 40 5.5 IT szlgáltatásk biztnsága... 43 5.5.1 Elektrnikus levelezés... 43 5.5.2 Az interneten megtalálható infrmáció használata... 45 5.5.3 Webszlgáltatás... 48 5.6 Működés-flytnsság és katasztrófa-elhárítás menedzsment... 48 6. Biztnsági szint mérése, mnitrzása... 49 6.1 Biztnsági szint mérésének feltétele... 49 6.1.1 A mérés függetlenségének biztsítása:... 49 6.1.2 A mérés hitelességének biztsítása... 49 6.2 A biztnsági szint mérésének eszközei és módszerei... 49 6.2.1 A technikai szintű auditk... 49 6.2.2 Működés-flytnssági és katasztrófa-elhárítási tesztek... 49 6.2.3 Az infrmatikai rendszer mnitrzása... 50 6.3 A mérési adatk feldlgzása, visszacsatlása... 50 6.4 Ellenőrzési irányelvek... 51 6.5 Biztnsági rendszerek felülvizsgálata... 52 7. Mellékletek... 53 7.1 Kapcslódó jgszabályk listája... 53 7.1.1 Kapcslódó külső szabályzásk... 53 7.1.2 Kapcslódó belső szabályzásk... 53 7.1.3 Kapcslódó szabványk és ajánlásk... 54 7.2 Felhasználói Infrmatikai Biztnsági Nyilatkzat (dlgzói nyilatkzat)... 56 7.2.1 A nyilatkzat célja... 56 7.2.2 Felelősségi nyilatkzat... 56 7.2.3 Kötelezettségeim... 56 7.3 Külső partnerekkel kötendő titkvédelmi megállapdás... 57 5/66

Infrmatikai Biztnsági Szabályzat 7.4 Kiemelten védett területre történő belépés nyilvántartása... 57 7.5 Hálózati végpntk nyilvántartása... 57 7.6 Speciális jelszavakhz való hzzáférések jegyzőkönyve... 58 7.7 Fgalmtár... 59 1.1 Ellenőrzési nymvnalak... 64 6/66

Infrmatikai Biztnsági Szabályzat 1. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT CÉLJA A Semmelweis Egyetem (a tvábbiakban: Egyetem) érdekében kiemelten fnts a vagynának részét képező egyetemi elektrnikus adatvagyn, valamint az ezt kezelő infrmációs rendszerek és rendszerelemek biztnsága. Elvárás az Egyetem és az egyetemi plgárk részéről az elektrnikus infrmációs rendszerekben kezelt adatk és infrmációk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, flytns és a kckázatkkal aránys védelmének biztsítása, amelynek keretében cél: az Egyetem egységes infrmációbiztnsági szabályainak meghatárzása, a működési kckázat csökkentése a biztnsági intézkedések költségével egyensúlyban, a biztnságs hardver- és szftverfeltételek, valamint infrmációs rendszeralkalmazási- és eljárási követelmények egységes keretbe fglalása, a rendkívüli eseményekre, katasztrófa elhárításra, valamint a rendkívüli időszaki kötelezettségekre történő felkészülés, illetve bekövetkezésük esetén az Egyetem infrmációs rendszerei működőképességét biztsító szabályrendszer meghatárzása. Az Egyetem 2026-ig terjedő stratégiája a működtetés területén alapvető célként fgalmazta meg a belső szabályzásk segítségével a tiszta jgi és felelősségi visznyk kialakítását. A stratégia végrehajtásakr rövidtávú célként jelölték meg a medikai, gazdasági és ktatási IT rendszerek fejlesztését; középtávú célként az intézményi IT infrastruktúra felkészítését az E-health-re; hsszútávú célként az erős, egységes és vállalatszerű menedzsment működtetését, a közpnti stratégiai beszerzés és készletgazdálkdás megvalósítását, a technlógiai háttér javítását és az intézményi infrastruktúra mdernizálását. Az Egyetem birtkában lévő, hatalmas mennyiségű és felbecsülhetetlen értékű személyes adat, különleges adat és egészségügyi adat biztnságs kezelése érdekében alkalmazandók az infrmációs önrendelkezési jgról és infrmációszabadságról szóló 2011. évi CXII. törvény (Inftv.), valamint az egészségügyi és a hzzájuk kapcslódó személyes adatk kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.) előírásai. A nemzeti felsőktatásról szóló CCIV törvény (Nftv.) 18 -a határzza meg a felsőktatási intézmények által kezelhető személyes adatk körét és adatkezelés célját, 19 (3) bekezdése pedig a közhiteles felsőktatási infrmációs rendszerhez (FIR) való kapcslódás kötelezettségét. Az infrmatikai biztnság szempntjából kiemelten fnts az Inftv. azn rendelkezése, miszerint az adatkezelő, illetve tevékenységi körében az adatfeldlgzó köteles gndskdni az adatk biztnságáról, köteles tvábbá megtenni azkat a technikai és szervezési intézkedéseket és kialakítani azkat az eljárási szabálykat, amelyek az Inftv., valamint az egyéb adat- és titkvédelmi szabályk érvényre juttatásáhz szükségesek. Az adatkat megfelelő intézkedésekkel védeni kell különösen a jgsulatlan hzzáférés, megváltztatás, tvábbítás, nyilvánsságra hzatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, tvábbá az alkalmaztt technika megváltzásából fakadó hzzáférhetetlenné válás ellen. Alapelvként rögzítette az Inftv. azt, hgy az adatkezelőnek és az adatfeldlgzónak az adatk biztnságát szlgáló intézkedések meghatárzásakr és alkalmazásakr tekintettel kell lennie a technika mindenkri fejlettségére. Több lehetséges adatkezelési megldás közül azt kell választani, amely a személyes adatk magasabb szintű védelmét biztsítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek. Az Infrmatikai Biztnsági Szabályzat (a tvábbiakban: IBSZ) célja az infrmatikai biztnsági irányelvek érvényre juttatásának biztsítása, az ehhez szükséges egyes infrmatikai biztnsági szerepkörök, feladatk, flyamatk szabályainak meghatárzása, az infrmatikai biztnsággal összefüggő követelmények meghatárzása. Az IBSZ magában fglalja az Egyetemre vnatkzó infrmati- 7/66

Infrmatikai Biztnsági Szabályzat kai biztnsági feladatk és felelősségi körök meghatárzását, valamint a kezelt, feldlgztt, tárlt, tvábbíttt adatk bizalmasságát, sértetlenségét és rendelkezésre állását fenyegető veszélyek felderítésére, megelőzésére, elhárítására vnatkzó előíráskat. Figyelemmel - az Egyetem által kezelt adatk bizalmasságára, - az Egyetem kapcslódási kötelezettségére más állami nyilvántartáskhz, - az Egyetem stratégia céljai között megjelölt fejlődési iránykra, és arra, hgy - az Egyetem közreműködőként kerülhet lyan helyzetbe, hgy minősített adatt kell átvennie a minősített adat kezelőjétől az infrmatikai biztnság elvárt szintjének a meghatárzásakr az Egyetem irányadónak tekinti az állami és önkrmányzati szervek elektrnikus infrmációbiztnságáról szóló 2013. évi L. törvényben (a tvábbiakban: Infbizttv.) megfgalmaztt alapelveket és megldáskat anélkül, hgy az Infbizttv. hatálya kiterjedne rá. Az Infbizttv.-ben rögzített előírásknak történő megfelelésre az Egyetem fkzatsan, a szervezeti stratégia középtávú megvalósításáig készül fel. Az infrmatikai biztnságt érintő fejlesztések az éves infrmatikai feladatterv összeállításakr kerülnek bemutatásra és megtervezésre. 8/66

Infrmatikai Biztnsági Szabályzat 2. AZ IBSZ HATÁLYA 2.1 Személyi hatálya Jelen szabályzat személyi hatálya kiterjed: a) az Egyetemnél, az Egyetem által alapíttt, az Egyetem többségi tulajdnában lévő szervezeteknél fglalkztattt közalkalmazttakra, munkavállalókra, szerződéses jgvisznyban álló, jgi és természetes személyekre, jgi személységgel nem rendelkező szervezetekre, b) az Egyetemmel szerződéses kapcslat keretében infrmációcserét (küldés és/vagy fgadás, tárlás/tvábbítás) flytató szervezetekkel történő kmmunikációra, függetlenül a szervezet betöltött szerepétől, szervezeti helyétől, elhelyezésétől és az Egyetemhez fűződő kapcslatától, c) az Egyetemmel hallgatói vagy más képzési jgvisznyban álló személyekre a jelen szabályzatban meghatárztt eltérésekkel. 2.2 Tárgyi hatálya Az IBSZ tárgyi hatálya kiterjed: a) az Egyetem minden infrmációkezeléssel és feldlgzással kapcslats flyamatában résztvevő infrmatikai eszközre, mely az Egyetem területén található, illetve ezen eszközök elhelyezésére szlgáló létesítményekre. b) az Egyetem tulajdnában vagy használatában lévő infrmatikai eszközökre és az infrmatikai eszközök által kezelt, tárlt, tvábbíttt adatkra, infrmációkra. c) az Egyetem infrmatikai hálózatára csatlakzó, de nem az Egyetem tulajdnában lévő eszközökre. 9/66

Infrmatikai Biztnsági Szabályzat 3. AZ INFORMATIKAI BIZTONSÁGI RENDSZER MŰKÖDTETÉSE 3.1 A jgszabályknak és a belső szabályzatknak való megfelelés A vnatkzó jgszabályk, belső szabályzatk a 7.1 számú mellékletben találhatóak. 3.2 Infrmatikai biztnsági kckázatmenedzsment Annak érdekében, hgy az Egyetemnél az infrmatikai biztnság érvényesítése srán a kckázataránys védelem elve érvényesüljön, a Kckázatkezelési szabályzatban meghatárztt kckázatmenedzsment flyamatt az infrmatikai biztnsági kérdésekkel kapcslatsan flyamatsan alkalmazni kell. A kckázatmenedzsment célja, hgy az infrmációk bizalmasságát, sértetlenségét, valamint rendelkezésre állását veszélyeztető kckázati tényezők aznsításával, a kckázatk csökkentésével biztsítsa az infrmatikai biztnság növelését, szinten tartását. A teljes körű kckázatfelmérést jelentős váltzás esetén (technlógia, ill. szlgáltatás be- / kivezetése), de legalább kétévente kell végrehajtani az infrmatikai rendszer minden elemére (technikai eszközök, személyek, eljárásk, szabályk). A felmerült kckázatk kezelésére (csökkentésére) akcióterveket kell készíteni, melyeknek a feltárt kckázatk függvényében az alábbiakat kell tartalmazniuk: javaslatkat a technikai eszközök megváltztatására, vagy fejlesztésére (pl.: új védelmi eszközök alkalmazása, vagy a jelenlegi átknfigurálása); javaslatkat az érvényben lévő szabályzás megváltztatására; javaslatkat a személyi állmányra vnatkzóan; a kckázatk tudats felvállalását, ha a védelmi intézkedés közvetlen és közvetett anyagi vnzata nagybb vagy közel azns, mint a fenyegetettség által elszenvedhető közvetlen és közvetett anyagi kár. Az infrmatikai rendszerek bevezetésére vnatkzó részletes kckázatfelmérést kell végrehajtani a rendszertervezés és rendszerbevezetés időszakában. Az IT biztnsági kckázatk felmérését a Kancellár által kijelölt személy végzi és krdinálja. 3.3 Megelőző intézkedések rendszere A megelőző intézkedések célja a nem kívánats biztnsági események megelőzése. Az Egyetem a megelőző intézkedéseket az alábbi frmában működteti: az Egyetem infrmációtechnlógiai védelmi intézkedéseket (hálózatvédelem, vírusvédelem, jgsultság kezelés, stb.) fganatsít annak érdekében, hgy a nagy gyakrisággal bekövetkező fenyegető tényezők előfrdulási gyakriságát vagy hatását csökkentse; az Egyetem szabályztt flyamatkat vezet be, munkautasításkat ad ki annak érdekében, hgy garantálja a biztnsági kntrllk működtetését, illetve az esetleges incidensek feltárását (jgsultságkiadás, fejlesztés, stb.); az Egyetem rendszeres biztnságtudatssági ktatáskat végez a humánkckázatk csökkentésére. 10/66

Infrmatikai Biztnsági Szabályzat 3.4 Az infrmatikai biztnság irányításának alapjai Annak érdekében, hgy az infrmatikai biztnság flyamatsan, minden területen a kívánt biztnsági szinten működjön, az alábbi irányelveket kell érvényesíteni a napi munka srán: a szabályzat személyi hatálya alá tartzó személyeknek az IBSZ-ben fglalt előírásk ismeretében és azkat betartva kell munkájukat végezniük; az infrmatikai biztnsági incidenseket észlelésükkr jelentenie kell az azt észlelőnek az Infrmatikai Igazgatóság vagy az Infrmatikai biztnsági felelős felé. A bejelentés módja lehet telefn, email vagy a GLPI rendszerben történő bejegyzés. A telefns bejelentés történhet az Operatív Irányítóközpntn keresztül is. A GLPI-ben való rögzítés (a bejelentő vagy az incidens kezelője által) minden esetben kötelező; Az infrmatikai biztnsági incidenseket az incidens kezelőjének lyan részletezettséggel szükséges dkumentálnia, hgy a dkumentáció az alábbi célnak megfeleljen: minden IT incidenst az erre szlgáló nyilvántartásban rögzíteni kell, hgy elemezni lehessen a szlgáltatáskra vnatkzó incidensek számsságát, időtartamát és hatását; a bekövetkezett incidenseket figyelembe kell venni a kckázatfelmérés srán az egyes fenyegetettségek bekövetkezési valószínűségének meghatárzásánál; felhasználói incidensekből statisztikailag ki lehessen nyerni az elkövetési magatartást; A biztnsági incidensekből levnt tapasztalatkat flyamatsan értékelni kell és azkat figyelembe kell venni a védelmi rendszer tervezése, szervezése, működtetése srán. 3.5 Helyesbítő intézkedések rendszere Az Egyetem infrmatikai biztnsági rendszerében meghatárztt szabályktól való eltérést az Infrmatikai Igazgató az IT biztnsági felelős egyetértésével - írásban, indklással engedélyezhet. Vitás esetben az Infrmatikai Biztnsági Fórum előzetes állásfglalásának az ismeretében a Kancellár a döntéshzó. Az engedélyezés srán meg kell vizsgálni az eltérési igény kát, és indklt esetben az Infrmatikai Biztnsági Felelősnek gndskdnia kell arról, hgy az a szabályzás részévé váljn, annak érdekében, hgy a rendszerben minél kevesebb kivételes kezelést igénylő eset keletkezzen. Egyéb esetekben az eltérést kivételként kell kezelni és a szükséges intézkedéseket a szabályzat előírásai szerint kell meghzni. Az incidensek természetét és gyakriságát az Infrmatikai Biztnsági Felelősnek kell flyamatsan figyelemmel kísérnie, illetve szükség esetén javaslatt kell tennie a védelmi intézkedések módsítására. Védelmi intézkedés módsítását kell alkalmazni az alábbi esetekben: amennyiben a krábbi védelmi intézkedés szintje nem érte el a kívánt biztnsági szintet, meg kell fntlni egy szigrúbb intézkedés bevezetését; amennyiben egy védelmi intézkedés az indkltnál jbban krlátzza az egyetemi plgárk munkavégzését; amennyiben az infrmatikai rendszer váltzása miatt a krábbi biztnsági kntrllk érvényüket vesztik; amennyiben az adtt kntrll elavul és/vagy jbb, újabb technlógiák bevezetése válik indklttá. 11/66

Infrmatikai Biztnsági Szabályzat 4. AZ INFORMATIKAI BIZTONSÁG SZERVEZETE 4.1 Az Infrmatikai Biztnsági Fórum Az infrmatikai biztnsági tevékenységeket az Egyetem működtetői, ktatási, gyógyítói és kutatási területeiről delegált - és megfelelő feladat- és munkaköri funkciókkal felruháztt képviselők révén kell krdinálni. A krdinációs tevékenység elvégzése az Infrmatikai Biztnsági Fórum (IBF) keretében történik. Az IBF vezetője a Kancellár. Az IBF szervezeti felépítése: Kancellár Infrmatikai igazgató Infrmatikai biztnsági felelős Adatvédelmi felelős Biztnságtechnikai igazgató Egyetemi kutatási terület képviselője Egyetemi gyógyítási terület képviselője Egyetemi ktatási terület képviselője Az IBF működése: Az IBF értékelő, döntés-előkészítő testület, évente legalább egyszer ülésezik. Üléseit a napirend megjelölésével - a Kancellár hívja össze. Az ülés összehívására és napirendi pntra bármelyik tag javaslatt tehet. Az Infrmatikai biztnsági felelős javaslatára, az általa megjelölt napirenddel az ülést kötelező összehívni. Feladata: a stratégiai célk infrmatikai biztnságt érintő kérdéseinek, valamint az infrmatikai biztnság növelése érdekében történő fejlesztési és módsítási igényeknek a megvitatása, rendkívüli infrmatikai biztnsági események kezelése. Az IBF üléseire indklt esetben tanácskzási jggal rendelkező külső szakértőt is meghívható. A rendkívüli biztnsági esemény kezelése történhet elektrnikus útn is (email-en történő javaslattétel, véleményezés). Az IBF által megvitattt javaslatkról a Kancellár dönt. 4.2 Infrmatikai biztnsági szerepkörök Az Egyetem infrmatikai biztnsági rendszerének működtetése a Kancellár feladata, tevékenységét az Infrmatikai igazgató és az Infrmatikai biztnsági felelős útján gyakrlja. E szabályzatban meghatárztt intézkedési jgköröket a Kancellár által más személyek, szervezeti egységek részére átruháztt hatáskörként kell értelmezni. A leadtt hatáskör e személyek és szervezeti egységek egyéb felelősségét nem érinti. Felelőssége: 4.2.1 Kancellár Az Nftv. 13/A (2) bekezdésének a) pntja, és az Egyetem Szervezeti és Működési Szabályzatának 33 (2) bekezdésének a) pntja alapján a Kancellár felel az Egyetem infrmatikai tevékenységéért, 12/66

Infrmatikai Biztnsági Szabályzat amelynek keretében felelőssége az infrmatikai biztnsággal kapcslats felsővezetői döntések meghzatala, a szükséges pénzügyi keretek biztsítása. Feladatai: az Infrmatikai Biztnsági Szabályzat kiadása az Infrmatikai Üzemeltetési Szabályzat kiadása az Egyetem infrmatikai biztnsággal összefüggő beszerzéseinek gazdálkdási szempntú értékelése, megvalósíthatóságuk vizsgálata, pénzügyi erőfrrásk biztsítása; döntéshzatal az IBF hatáskörébe tartzó ügyekben. 4.2.2 Infrmatikai igazgató Felelőssége: az infrmatikai biztnsághz szükséges szervezeti és műszaki környezet létrehzása és flyamats biztsítása, vezetői irányítási rendszer alkalmazása. Az infrmatikai biztnsággal kapcslats önálló feladatai: az infrmatikai rendszer funkcinális és biztnsági követelményeknek megfelelő működtetése a rendelkezésére bcsáttt költségkeret betartásával; az infrmatikai rendszer flyamats rendelkezésre állásának biztsítása; az infrmatikai flyamatk és tevékenységek tervezése és flyamats fejlesztése; a rendkívüli helyzetek elhárítása; az infrmatikai rendszer biztnsági kmpnenseinek üzemeltetéséhez szükséges humán és technikai erőfrrásk biztsítása a rendelkezésére álló erőfrrásk hatékny felhasználásával; az infrmatikai rendszerüzemeltetés és rendszerhasználat rendszeres független felülvizsgálatának biztsítása; érvényesíti az infrmatikai biztnsági követelményeket a hatáskörébe tartzó szlgáltatáskkal kapcslatban kötött külső szlgáltatói szerződésekben; gndskdik a működésflytnsságt biztsító szabályzás, tervek rendelkezésre állásáról, flyamats megfelelőségéről, a működésflytnssági tesztek elvégzéséről és a működésflytnsság megszakadása esetén értesítendő személyek aktuális elérhetőségeit tartalmazó címlista (vészhelyzeti hzzáférések) rendelkezésre állásáról az infrmatikai szervezeti egység vezetők bevnásával gndskdik a mentési stratégia kialakításáról, a mentési rend elkészítéséről, ellenőrzi a mentési eljárásk betartását, gndskdik a mentések tárgyi é személyi feltételeiről; rendszeresen az Egyetem Infrmatikai Katasztrófa-elhárítási Tervében leírtak szerint gndskdik a katasztrófahelyzet kezeléssel kapcslats tesztek elvégzéséről; a prgramfejlesztési igények, fejlesztési prgramk kezelése, az elkészült termékek infrmatikai ellenőrzése az Egyetem belső szabályzatai és jelen IBSZ előírásai szerint; gndskdik az Egyetem infrmatikai rendszerének felhasználói szintű infrmatikai biztnsági ktatásáról. Az Infrmatikai Biztnsági Felelőssel megszttt feladatai: a fkzttan védett területekre történő belépés és az tt történő munkavégzés engedélyezése, az engedélyek rendszeres felülvizsgálata; az Egyetem infrmatikai biztnsági követelményeinek alkalmazása és betartatása; gndskdni arról, hgy az infrmatikai biztnsági feladatk és követelmények beépüljenek a hatáskörébe tartzó szlgáltatásk üzemeltetési flyamataiba, 13/66

Infrmatikai Biztnsági Szabályzat a VPN kapcslatk létesítésének engedélyezése, az Infrmatikai Biztnsági Felelős előzetes jóváhagyása alapján. 4.2.3 Biztnságtechnikai igazgató Felelőssége: a fizikai biztnsággal kapcslatban teljes utasítási és szabályzási jggal rendelkezik. Az infrmatikai biztnsággal kapcslats legfntsabb feladatai: gndskdik az infrmatikai biztnsági szervezet fizikai biztnsággal kapcslats feladatainak végrehajtásáról és felügyeletéről; személyesen, vagy illetékes munkatársán keresztül részt vesz a hatáskörébe tartzó szlgáltatáskat érintő infrmatikai biztnsággal kapcslats incidensek kivizsgálásában, az intézkedési javaslatk kidlgzásában; rendszeres ellenőrzésekben történő részvétel biztsítása személyesen, vagy illetékes munkatársán keresztül. 4.2.4 Infrmatikai Biztnsági Felelős Felelőssége: a biztnsági szabályk betartatása az üzemeltetési flyamatk srán, az infrmatikai biztnság elvárt szintjének a biztsítása, flyamats fejlesztése, intézkedési javaslatk megfgalmazása a biztnsági incidensek megelőzésére, illetve a bekövetkezett incidensek hatásának mérséklésére. Felelős a beszerzések, infrmatikai fejlesztések srán a biztnsági követelmények érvényre juttatásáért, egy bekövetkezett infrmatikai biztnsági esemény kapcsán az kk feltárásáért, a felelősök beaznsításáért. Feladatai: a munkatervében meghatárztt terv szerint az Egyetemen flyó tevékenységek infrmatikai biztnsági szempntból történő értékelése, a meglévő biztnsági szint megtartása, illetve fkzása; az Egyetem infrmatikai biztnsági dkumentációs rendszerének rendszeres karbantartása; a biztnsági szabályk betartatásának felügyelete; az IBSZ betartatásának ellenőrzése; az IBSZ-ben nem szabályztt kérdésekben a lehetséges veszélyfrrásk felderítése és javaslattétel a megelőzésre; közreműködés az IT biztnsági kckázatk felmérésében, kezelésében, a bevezetett intézkedések hatássságának visszamérésében; az infrmatikai rendszerben kialakíttt biztnsági funkciók és az Egyetem infrmatikai biztnsági követelményei összehanglásának ellenőrzése; az infrmatikai rendszer biztnságát elősegítő eszközök üzemeltetésének rendszeres ellenőrzése, független felülvizsgálatának megszervezése; infrmatikai biztnsági incidens menedzsment feladatk ellátása: a biztnsági incidensek kezelése; az incidensek kivizsgálása vagy kivizsgáltatása; és az incidensek kapcsán felmerült prblémák elhárítására tett lépések ellenőrzése; az Egyetemmel bármilyen módn adatfrgalmi, illetve infrmációadási/fgadási kapcslatban (adathálózat, adathrdzók cseréje, stb.) álló külső szervekkel történő szerződéskötés esetén az Egyetem érdekeinek lehető legteljesebb védelme érdekében az infrmatikai biztnság területét érintő részekkel kapcslatban ellenőrzési, javaslattételi jga és kötelezettsége van; 14/66

Infrmatikai Biztnsági Szabályzat a prgramfejlesztési munkák, valamint a beszerzések srán ellenőrizni, illetve ellenőriztetnie kell, hgy az infrmatikai biztnság szempntjai maradéktalanul megvalósulnak-e. Gndskdnia kell arról, hgy csak infrmatikai biztnsági szempntból megbízható szftverek készüljenek, illetve kerüljenek beszerzésre; az Egyetem infrmatikai védelmi- és biztnsági rendszere tervezésében való részvétel; az infrmatikai védelmi- és biztnsági rendszer rendszeres felülvizsgálata, a védelmi eszközökkel való ellátttság rendszeres ellenőrzése; az Egyetem adatkezelési tevékenységének és az infrmatikai kmmunikációs hálózatának infrmatikai biztnsági szempntú ellenőrzése; az infrmatikai rendszer váltzásainak flyamats nymn követése és az annak srán tapasztaltaknak megfelelően, módsítási javaslatk elkészítése az Egyetem infrmatikai biztnsági dkumentációs rendszerére vnatkzólag; az általa észlelt vagy hzzá beérkezett bejelentések alapján, az adatfeldlgzás- és kezelés biztnságát sértő események, szabálysértések kivizsgálása az esetleges rssz szándékú hzzáférési kísérletek, illetéktelen adatfelhasználás kiszűrése, a biztnsági területi felelősökkel együttműködve a rendszerek eseménynaplóinak kiértékeltetése, intézkedésekre történő javaslattétel; az infrmatikai rendszerben kialakíttt, aktuálisan beállíttt jgsultságk és a jóváhagytt jgsultságk összevetése, ellenőrzése; annak ellenőrzése, hgy megtörtént-e minden infrmatikai knfigurációs-elem (rendszerelemek) nyilvántartásba vétele és aznsítása az infrmatikai vagyntárgyak hatáss védelemének kialakításáhz; annak ellenőrzése, hgy megtörtént-e a leselejtezésre kerülő eszközök adathrdzóin, háttértárain tárlt adatk végleges, visszaállíthatatlan módn való törlése; az infrmatikai munkaflyamat bármely részének előzetes bejelentési kötelezettség nélküli ellenőrzése; az infrmáció-, infrmatikai biztnság tudatsságának növelése az ktatási anyagk véleményezése és közreműködés az ktatási anyagk elkészítésében; az infrmatikai biztnságt érintő utasítás-tervezetek készítése és véleményezése. Az Infrmatikai biztnsági felelős a Kancellár által kijelölt, az Infrmatikai igazgatótól szervezetileg független személy. 4.2.5 Kari/tömbigazgatóság szintű infrmatikai vezető Felelőssége: végrehajtási és ellenőrzési felelősség; az infrmatikai biztnság megvalósulását eredményező helyi környezet flyamatsságának biztsításában. Az infrmatikai biztnsággal kapcslats legfntsabb feladatai: A helyi infrmatikai rendszereknek a követelményeknek megfelelő működtetése. A helyi infrmatikai rendszerek flyamats rendelkezésre állásának és funkcinális működésének biztsítása. A helyi infrmatikai rendszerek biztnsági kmpnenseinek üzemeltetéséhez szükséges humán és technikai erőfrrásk biztsítása a rendelkezésére álló erőfrrásk hatékny felhasználásával. Közreműködés az IT biztnsági kckázatk felmérésében, kezelésében, a bevezetett intézkedések hatássságának visszamérésében. Érvényesíti az infrmatikai biztnsági követelményeket a hatáskörébe tartzó infrmatikai szlgáltatáskkal kapcslatban kötött külső szlgáltatói szerződésekben. 15/66

Infrmatikai Biztnsági Szabályzat Intézkedik a hatáskörébe tartzó mentési stratégia kialakításáról, ellenőrzéseket végez a mentések elvégzéséről, az ezzel kapcslats incidensek kezelésében, gndskdik a mentések tárgyiszemélyi feltételeiről. Részt vesz a területén az infrmatikai biztnsági események kivizsgálásában, és az abból adódó intézkedések végrehajtásában. A területéhez tartzó fkzttan védett területekre történő belépés és az tt történő munkavégzés engedélyezése, az engedélyek rendszeres felülvizsgálata a Biztnságtechnikai igazgatóval közösen. 4.2.6 Egyéb infrmatikai biztnsági szerepkörök A infrmatikai biztnsági területeken végzendő feladatk az infrmatikai igazgatóság infrastruktúraés alkalmazás-üzemeltetési munkatársai munkaköri leírásában, illetve az egyes rendszerek technlógiai leírásában találhatók. Ezek a biztnsági területek az alábbiak: vírusvédelem; határvédelem (tűzfalak, spamszűrő, aktív hálózati eszközök, VPN); mentések; jgsultság-kezelés; alkalmazás üzemeltetés. 4.2.7 Szervezeti egység vezető Felelős a Szabályzatban előírtak betartatásáért, hatás- és jgsultsági körének megfelelően az előírásait megszegőkkel szemben a felelősségre vnás kezdeményezéséért, a szervezeti egységet érintő szerződésekben a Szabályzat előírásainak a vállalkzókkal, szlgáltatókkal, szakértőkkel szembeni érvényesítéséért. Köteles a tudmására juttt, az egyetem infrmációbiztnságát veszélyeztető, működését sértő eseményekről, körülményekről azk jellegétől függően az infrmatika biztnsági felelősi feladatkat ellátó munkatársnak infrmációt nyújtani. Közreműködik a szakterület infrmációbiztnsági, IT biztnsági kckázatai feltárásában, a kckázatk felmérésében, értékelésében, és kezelésében. 4.2.8 Felhasználó Felelős az egyetemi feladatai ellátása érdekében az infrmatikai eszközök rendeltetésszerű használatáért, az Infrmatikai biztnsági szabályzatban leírtak betartásáért. Az Egyetem infrmatikai infrastruktúráját kizárólag munkájával összefüggő feladatk végzéséhez használhatja. Infrmatikai biztnsági feladatai: Köteles a Szabályzat előírásait a szakmai feladatköréhez szükséges mértékben megismerni, a Szabályzatban és a kapcslódó szabályzatkban, utasításkban fglaltakat maradéktalanul végrehajtani, a munkakörének ellátásáhz szükséges ktatásn részt venni. Köteles minden lyan tudmására juttt infrmációt, eseményt, körülményt a munkahelyi vezetőjének jelezni, amely az egyetem infrmációs rendszerei biztnságs működését veszélyezteti, a funkcinális működési rendjét sérti. Köteles aznnal jelenteni az infrmatikai eszközök és alkalmazásk működésében bekövetkezett hibákat, rendellenességeket. Felelős a rábíztt, az egyetem tulajdnát képező infrmációs eszközök megőrzéséért, rendeltetésszerű használatáért, a kezelési előírásk maradéktalan betartásáért. az eszközökön lévő infrmációk védelme; 16/66

Infrmatikai Biztnsági Szabályzat az alkalmazásk felhasználói leírásainak az ismerete és az alkalmazásk használatakr azk betartása. A felhasználó az Egyetem infrmatikai rendszerében saját tulajdnú eszközt csak előzetes bejelentés és nyilvántartásba vétel esetén használhat. Az infrmatikai igazgató az infrmatikai biztnsági felelős véleményének előzetes beszerzését követően megtilthatja a felhasználó saját tulajdnú eszközének az Egyetem hálózatára vagy az Egyetem tulajdnában lévő infrmatikai eszközre történő csatlakztatását, ha az eszköz nem kezelhető vagy nem vállalható infrmatikai biztnsági kckázatt rejt. 4.3 Külső ügyfelek és partnerek 4.3.1 Külső személyekkel összefüggő kckázatk aznsítása Az Egyetem infrmációit és infrmáció-feldlgzó eszközeit fenyegető kckázatkat aznsítani kell. Kiemelt figyelmet kell frdítani a külső ügyfelek/szerződéses munkavállalók tevékenységében rejlő kckázatk aznsítására és kezelésére. A kckázatk kezelésére az Egyetem infrmatikai rendszereit és/vagy infrmatikai szlgáltatásait használó vagy az infrmatikai biztnságra hatást gyakrlni képes külső személyekkel (pl. a szerződések aláíróival) lyan írásbeli megállapdást Titkvédelmi megállapdást/záradékt - kell kötni, amely vagy tartalmazza, vagy utal minden lyan infrmatikai biztnsági követelményre, amely biztsítja az IBSZ-nek és az Egyetemen bevezetett szabályknak való megfelelést. A szerződésben meg kell jelölni, hgy az Egyetem területén külső munkát végző tevékenységét ki felügyeli. Az Egyetem infrmatikai rendszeréhez és infrmációihz külső fél számára megfelelő hzzáférést biztsítani csak a titkvédelmi megállapdás aláírását követően lehet. A titkvédelmi megállapdást a külső felekkel kötött szerződések mellékleteként kell megőrizni, a jgsultságigényléskr pedig utalni kell arra, hgy a Titktartási megállapdás rendelkezésre áll. 4.3.2 A biztnság kérdésének kezelése harmadik féllel kötött megállapdáskban A külső személyekkel, illetve hallgatókkal kapcslatsan amennyiben értelmezhetők a következő feltételeket kell a velük kötött szerződésbe fglalni vagy részükre dkumentáltan rendelkezésre bcsátani: az IBSZ-ben meghatárztt infrmatikai biztnsági követelmények kivnatát az Egyetem kezelésében lévő adatk máslásának és nyilvánsságra hzatalának krlátzásait; hzzáférés-ellenőrzési megállapdást, amely tartalmazza: a megengedett hzzáférési módkat; a hzzáférés és jgsultságkezelés flyamatát; a külső személy képviselőinek egyértelmű megfeleltetését az igénybe vehető infrmatikai szlgáltatáskkal, azk használatra vnatkzó jgkkal és kiváltságaikkal együtt; a hzzáférési mód ellenőrzési feltételeit; a szerződésben rögzített felelősségek auditálásának jgát, vagy az auditk tvábbi külső személlyel történő elvégeztetésének jgát; a prblémamegldás flyamatát; a biztnsági eseményekről és a biztnság megsértéséről szóló jelentési kötelezettségek, értesítések és a kivizsgáláskra vnatkzó intézkedéseket; a szerződés teljesítésébe tvábbi alvállalkzók bevnásának feltételeit, titktartásukra vnatkzó megállapdáskat. Az Egyetem infrmatikai rendszerében a külső személyek által távlról elért, menedzselt vagy diagnsztizált eszközeihez való kapcslódást minden hzzáférés igénylésekr egyedileg kell engedélyezni és felügyelni. 17/66

Infrmatikai Biztnsági Szabályzat A külső személyek hzzáférését a hzzáférés indkának megszűnte után aznnal meg kell szüntetni, illetve a szerződés lejártakr autmatikusan ez a Jgsultságkezelő felelős, nem címtár alapú authentikációt használó alkalmazásk tekintetében az Alkalmazás adminisztrátr feladata. A harmadik féllel kötött megállapdásk infrmatikai biztnsági szempntú ellenőrzése a JIF bevnásával, az Infrmatikai Biztnsági Felelős, valamint az Infrmatikai Igazgató közös feladata. 4.3.3 Titktartási megállapdásk Minden alkalmazttnak és az Egyetem infrmatikai rendszereit és/vagy szlgáltatásait használó külső szervezetnek, személynek (cégnek, egyéni munkavállalónak, stb.) titktartási nyilatkzatt kell aláírnia, melyben nyilatkzik arról, hgy a munkája srán tudmására juttt, a nem publikus egyetemi infrmációkat sem a munkavégzés srán, sem annak vége után nem hzza harmadik fél tudmására. 18/66

Infrmatikai Biztnsági Szabályzat 5. RÉSZLETES VÉDELMI INTÉZKEDÉSEK MEGHATÁROZÁSA 5.1 Infrmatikai vagyntárgyak kezelése 5.1.1 Infrmatikai vagynleltár Valamennyi infrmatikai vagyntárgyat (infrmáció-feldlgzó eszközt vagy ahhz kapcslódó kiegészítő eszközt, perifériát, tárló eszközt) egyértelműen aznsítani kell és valamennyi vagyntárgyról eszközleltárt kell felvenni és flyamatsan karbantartani. A leltár felvételével és karbantartásával kapcslats utasításkat az Egyetem leltárkezelési szabályzata, illetve az Infrmatikai Igazgatóság Szervezeti ügyrendje tartalmazza. A nyilvántartásban kötelezően kell szerepeltetni a következő knfigurációs-elemeket: hardver elemek (kiszlgálók, kliensek, hálózati aktív és passzív eszközök, háttértárlók, nymtatók, stb.); szftver elemek (perációs rendszer, alkalmazás, fejlesztőeszköz, stb.); infrmációs elemek (adatbázisk, adatállmányk, stb.); szlgáltatási elem (világítás, energia ellátás, légkndicinálás, stb.); dkumentációs elem (rendszerdkumentációk, felhasználói kézikönyvek, üzemeltetési utasításk, flytnssági tervek, stb.). Valamennyi nyilvántartásba vett infrmáció-feldlgzó eszközhöz hzzá kell rendelni azkat a felelősöket, akik az adtt eszközök biztnságáért felelnek (un. vagyngazda) Infrmációk, adatkhz történő hzzáférések esetében a felelős az Adatgazda, hardverek, szftverek esetében az Infrmatikai Igazgató. Az Egyetem infrmatikai rendszerében csak az Infrmatikai Igazgató és az Infrmatikai Biztnsági Felelős által jóváhagytt, knfigurációs leltárba felvett: hardverelemeket lehet használni; jgtiszta szftvert lehet telepíteni és/vagy futtatni. Amennyiben a felhasználó azt tapasztalja, hgy a knfiguráció megváltztt és erről előzetesen nem kaptt értesítést köteles arról az Egyetem GLPI alkalmazásán vagy email-en keresztül tájékztatni a Infrmatikai igazgatóságt (az Igazgatóság szervezeti e-mail címén). 5.1.2 Vagyntárgyak tulajdnjga Valamennyi, az Egyetemen keletkezett, illetve az Egyetem által rendelkezésre bcsáttt infrmáció és az infrmációfeldlgzással összefüggő vagyntárgy az Egyetem tulajdna. 5.2 Az emberi erőfrrásk biztnsága 5.2.1 Személyekkel kapcslats biztnsági intézkedések Az Egyetem dlgzóival meg kell ismertetni a Felhasználói Infrmatikai Biztnsági Nyilatkzatt, amely tartalmazza: a felhasználók által alkalmazandó infrmatikai biztnsági szabályk összefglalását; az infrmatikai rendszerek használatával kapcslatsan elvárt és tilttt magatartáskat, tvábbá azk megsértésének szankcióit; az infrmatikai rendszer számára nagy kckázattal járó fenyegetések és veszélyfrrásk közérthető magyarázatát, a biztnságtudatsság fkzása érdekében. 19/66

Infrmatikai Biztnsági Szabályzat Minden egyetemi dlgzó számára a munkakörükhöz igazdó és kötelező infrmatikai biztnsági ktatást kell nyújtani. Az ktatásn való részvételt a dlgzó aláírásával igazlja vagy elektrnikus frmában megldható tesztet kell kitöltenie az ktatás anyagából. Az infrmatikai biztnságtudatssági képzést az Infrmatikai igazgatóság szervezi, tematikáját és előadóját az Infrmatikai biztnsági felelős biztsítja. 5.2.2 Az infrmatikai biztnság tudatsítása, ktatás és képzés Az Egyetem infrmatikai rendszerei felhasználóinak a munkakörükhöz igazdó infrmatikai ktatást kell biztsítani, lehetőleg az infrmatikai rendszer használata előtt, illetve az általuk használt infrmatikai infrastruktúra váltzásakr (pl. új hardver vagy szftver használatba vétele előtt), valamint az IT biztnsági kckázatk jelentős váltzásakr, új kckázati elem megjelenésekr. Az ktatás előkészítése srán az Infrmatikai Igazgatóság feladata: a szükséges tanflyamk meghatárzása; javaslat a képzésben részesítendő munkakörök/szerepkörök meghatárzására; ktatásra javasltak meghatárzása az ktatók személyére vnatkzó javaslattétel (amennyiben a képzés nem külső szervezésű). 5.2.3 Feladatk a közalkalmaztti jgviszny megszűnésekr, illetve váltzásakr A közalkalmaztti jgviszny megszüntetésekr, illetve megváltztatásakr az Infrmatikai igazgatóság adtt területért felelős munkatársai a következő feladatkat hajtják végre: jgsultságk megszüntetése vagy módsítása úgy, hgy a régi állapt mentésre vagy dkumentálásra kerül; a felhasználó (Egyetem munkájáhz kapcslódó) elektrnikusan tárlt infrmációit, e-mailjeit és egyéb általa létrehztt hivatals adatt máslni kell az általa használt infrmatikai eszközről, illetve bármely egyéb adathrdzóról és biztsítani szükséges a kilépő dlgzó által használt szerver tárhely hzzáférését a munkahelyi vezetője által megadtt felhasználó számára és biztsítani szükséges az e-mailjeinek megadtt címre történő tvábbítását. az Egyetem a hálózati meghajtókat és levelezőrendszerét a munkavégzés támgatására vezette be, az esetlegesen itt tárlt magáncélú tartalmakról, levelekről a jgviszny megszűnésekr az Egyetem megkeresésre sem készít semmilyen adathrdzón máslatt. A felhasználó feladata az ilyen tartalmak, levelek egyetemi levelezőrendszerből történő eltávlítása legkésőbb az utlsó munkában töltött napig. A jgviszny megszűnését követő 30 nap múlva a kilépő munkavállaló egyetemi elektrnikus levelező címét az infrmatika megszünteti, törlik, és ezt követően a Semmelweis Egyetem nem vállal felelősséget az egyetemi e-mail címre címzett levelekért. A munkahelyi vezető felelőssége, hgy a kilépés napja és az e-mail cím megszüntetése közötti időszakra az átirányítást kérvényezze az általa megadtt felhasználó email címére. A fenti feladatkat az érintett alkalmaztt munkahelyi vezetője kezdeményezi a kilépésre vnatkzó űrlapn. 5.2.3.1 Infrmatikai vagyntárgyak visszaszlgáltatása Valamennyi alkalmazttnak, szerződéses visznyban álló munkavállalónak és minden, az Egyetem infrmatikai rendszereit és/vagy szlgáltatásait használó külső félnek vissza kell szlgáltatnia az Egyetem valamennyi használatra átvett infrmatikai vagyntárgyát, amikr alkalmazása, szerződése, illetve megállapdása lejár vagy megszűnik. A visszaszlgáltatás azn szervezeti egység részére történik, ahl a vagyntárgy nyilvántartásba van véve. 20/66

Infrmatikai Biztnsági Szabályzat Az Infrmatikai Igazgatóságnak, vagy a helyi illetékes infrmatikai szervezetnek az eszköz leadásakr ellenőriznie kell, hgy a felhasználó az általa átvett és az Elszámló lapn rögzített hardver-, szftver specifikációval és üzemképes állaptban adja-e vissza a vagyntárgyat. 5.2.3.2 Hzzáférési jgk megszüntetése Valamennyi alkalmazttnak, a szerződőknek és harmadik feleknek az infrmációkhz és infrmációfeldlgzó eszközökhöz való hzzáférési jgsultságát fel kell függeszteni, meg kell szüntetni, amikr alkalmazásuk megszűnik, szerződésük, illetve megállapdásuk lejár, vagy azt módsulás esetén a váltzáshz kell igazítani. A váltztatási kérelem benyújtásának biztsítása az érintett alkalmaztt közvetlen vezetőjének a feladata, melyet a váltzást megelőzően, de lehetőleg legkésőbb a szerződéses/munkaviszny megszűnését megelőző 3. munkanapig kell írásban jeleznie az Infrmatikai Igazgatóság Felhasználói Támgatás sztálya számára. A kérelmekben előírt feladatk végrehajtása az Infrmatikai Igazgatóság feladata A fentiek alól kivételt képeznek a hallgatói jgvisznyukat befejező hallgatók tanulmányi rendszer jgsultságai, melyek a jgviszny lezárását követően is érvényben maradnak (csak lvasási jg). 5.3 Az infrmatikai környezet fizikai védelme 5.3.1 Területek védelme, biztsítása Az Egyetem Vagynvédelmi és Rendészeti Szabályzata rendelkezik az Egyetem épületeinek, értékeinek és plgárainak védelmének megszervezéséről, a figyelembe veendő szempntrendszerekről és a feladatkörökről. 5.3.1.1 Az infrmatikai helyiségek kijelölése, határzóna kialakítása Azkn a területeken, ahl infrmációkat vagy infrmáció-feldlgzó eszközöket tárlnak, biztnsági határzónákkal kell védeni az illetéktelen hzzáféréstől. A fizikai védelem kialakítása srán lyan megldáskat kell bevezetni, amelyek alkalmasak az egyértelmű és egyedi aznsításra, mnitrzásra. Infrmatikai helyiségek az egyetem mindazn helyiségei, amelyekben az infrmatikai infrastruktúra közpnti elemei elhelyezésre kerülnek: szerverek; telefnközpntk; hálózati elsztószekrények, közpnti hálózati eszközök; alkalmazói és irdai szftverek és infrmatikai rendszer- vagy eszköz dkumentációk törzspéldányai; biztnsági mentések. Az infrmatikai helyiségek tételes nyilvántartását az Infrmatikai Igazgató vezeti. 5.3.1.2 Fizikai belépés ellenőrzése Az Infrmatikai Igazgatóság alakítja ki, működteti és felügyeli az infrmatikai helyiségekbe való belépés rendjét, gndskdik az új vagy visszavnt engedélyekkel kapcslats jgsultsági infrmációk elektrnikus beléptető rendszer adatbázisában történő szükség szerinti átvezetéséről vagy átvezettetéséről. Az Infrmatikai Biztnsági Felelős az Infrmatikai igazgatóság és a Biztnságtechnikai igazgatóság munkatársával havnta, szúrópróbaszerűen ellenőrzi a beléptető rendszer adatait (ki lépett be, mikr és milyen céllal). 21/66

Infrmatikai Biztnsági Szabályzat 5.3.2 Védett helyszínek Az Egyetem helyiségei infrmatikai biztnsági szempntból négy kategóriába srlhatók: Kiemelten védett kategória Kiemelten védett kategóriába srlt helyiségnek kell tekinteni azkat a helyiségeket, ahl nem nyilváns adatk feldlgzására, tárlására alkalmaztt közpnti infrmatikai erőfrrásk találhatók. Ezen helyiségek egyben zárt területnek is minősülnek, ezért az tt meghatárztt szabálykat is be kell tartani velük kapcslatban. Kiemelten védett kategóriába a következő helyiségeket kell srlni: szerverszba (szerverek, kmmunikációs közpnt, stb.); a mentett, archivált adatkat tartalmazó helyiség. Fkzttan védett kategória Fkzttan védett kategóriába srlt helyiségnek kell tekinteni azkat a helyiségeket, ahl nem nyilváns adatk feldlgzására, tárlására alkalmaztt kiegészítő infrmatikai erőfrrásk találhatók. Fkzttan védett kategóriába a következő helyiségeket kell srlni: a gerinchálózatt kiszlgáló aktív hálózati elemek elhelyezésére szlgáló helyiségek; Infrmatikai Igazgatóság, Kari/Tömbigazgatóság Infrmatikai szervezete által használt raktár; infrmatikai dlgzók napi munkavégzésre használt irdái, helyiségei. mentések végzésére szlgáló helyiségek Általánsan védett kategória Általánsan védett kategóriába srlt helyiségnek kell tekinteni azkat a helyiségeket, ahl nem nyilváns adatk feldlgzására alkalmaztt infrmatikai erőfrrásk találhatók. Általánsan védett kategóriába a következő helyiségeket kell srlni: felhasználói irdák, tantermek, előadók. Egyéb kategória Egyéb kategóriába srlt helyiségnek kell tekinteni azkat a helyiségeket, ahl infrmatikai aktív hálózati eszközök találhatóak, de adatk tárlása, feldlgzása nem történik. Egyéb kategóriába a zárt szekrényben, nyilváns flysón elhelyezett aktív hálózati elemeket kell srlni. 5.3.2.1 Kiemelten védett helyiségek védelme Fizikai védelem, tűzvédelem A fizikai védelmi és tűzvédelmi szabálykat az Egyetem Tűzvédelmi Szabályzata, valamint Vagynvédelmi és Rendészeti Szabályzata tartalmazza. A belépés rendje A kiemelten védett területeken a munkavállalók és egyéb kból belépők beléptetési rendjére az alábbi szabályk vnatkznak: a kiemelten védett területekhez történő hzzáférés kizárólag erre felhatalmaztt személyek számára lehetséges, ezt a beléptető rendszer általi kikényszerítéssel kell megvalósítani; 22/66

Infrmatikai Biztnsági Szabályzat a kiemelten védett területekre vnatkzó belépési jgkat rendszeresen felül kell vizsgálni, a szükséges váltztatáskat el kell végezni; egyéb kból csak indklt esetben történhet kiemelten védett területre belépés, és tájékztatni kell az érintettet arról, hgy a kiemelten védett területen csak kísérővel mzghat, valamint fel kell jegyezni az érkezés és a távzás pnts idejét, a belépés célját és belépést engedélyező nevét. A fentiek megvalósításáért az Infrmatikai Igazgatóság infrastruktúrájának az üzemeltetési vezetője a felelős. A munkavégzés szabályai A kiemelten védett területen történő munkavégzésre a következő biztnsági szabályk vnatkznak: fkzttan kell érvényesíteni a munkavégzés megszervezésénél az infrmációkhz való hzzáférés minimalizálását, a szándéks kárkzás megakadályzását; ha nem tartózkdik senki a kiemelten védett területen, akkr a területet biztnságsan le kell zárni, és rendszeresen ellenőrizni kell ezt az állaptt; a kiemelten védett területen külső szervezet alkalmazttja, csak a következők betartásával végezhet munkát: kiemelten védett területre külső személy alkalmazttja csak rendkívüli esetben és csak krlátztt ideig kaphat munkavégzésre engedélyt; munkavégzésre jgsító engedélyt az Infrmatikai Igazgató, vagy a Kari/Tömbigazgatóság Infrmatikai szervezet vezetője adhat, mely engedélyeket az Infrmatikai Biztnsági Felelős ellenőriz; minden kiemelten védett területen történő, külső személy bevnásával végzett, tervezett munkavégzésről a munka megkezdése előtt 1 nappal, rendkívüli munkavégzésről (sürgős hibaelhárítás) a munka megkezdésével egy időben értesíteni kell az Infrmatikai Igazgatót és az Infrmatikai Biztnsági Felelőst; kiemelten védett területeken felügyelet nélkül nem végezhet munkát harmadik fél alkalmazttja; meg kell győződni róla, hgy a kiemelten védett területre történő belépéskr, a munkát végző személynél csak a munkavégzéshez szükséges elektrnikus eszközök találhatók. Ftó, film, hangfelvétel, vagy egyéb adatrögzítésre, adattvábbításra alkalmas eszköz használata a kiemelten védett területen, külön engedély hiányában tils. Ezt az engedélyt személyre és időtartamra krlátzva az Infrmatikai Igazgató adja ki és az Infrmatikai Biztnsági Felelős ellenőrzi. 5.3.2.2 Fkzttan védett helyszínek védelme A fkzttan védett helyszínek védelmére vnatkzó szabálykat az Egyetem Tűzvédelmi Szabályzata, valamint Vagynvédelmi és Rendészeti Szabályzata tartalmazza. 5.3.2.3 Általánsan védett helyiségek védelme Az általánsan védett helyszínek védelmére vnatkzó szabálykat az Egyetem Tűzvédelmi Szabályzata, valamint Vagynvédelmi és Rendészeti Szabályzata tartalmazza. 23/66