BUDAPEST FŐVÁROS XIII. KERÜLETI ÖNKORMÁNYZAT XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS a Budapest Főváros XIII. Kerületi Önkormányzat INFORMÁCIÓ BIZTONSÁGI SZABÁLYZATA Készítő Bodolai Rómeó Verzió 3.0 Következő felülvizsgálat időpontja 2015. november 18. Dokumentum státusza Végleges dokumentum 1
Tartalomjegyzék 1 Általános elvek... 10 1.1 Szabályozás célja... 10 1.2 Szervezeti hatály... 10 1.3 Tárgyi hatály... 10 1.4 Vonatkozó jogszabályok, szabványok, módszertanok... 11 1.5 Kapcsolódó belső szabályzatok, dokumentumok... 12 2 Információ biztonsági szervezet... 13 2.1 Információ biztonsági felügyelő... 13 2.2 Információ biztonsági felelős... 13 2.3 Külső szolgáltatók igénybevétele... 14 2.4 Biztonsági szint... 14 3 Informatikai vagyontárgyak kezelése... 14 3.1 Felelősség az informatikai vagyontárgyakért... 15 3.2 Az informatikai rendszerben kezelt adatvagyon... 15 3.2.1 Az információ védelmi igénye... 15 3.2.2 Az informatikai rendszerben kezelt adatok osztályozása... 15 3.2.3 Az adatok jelölése és kezelése... 15 4 Személyi biztonság... 16 4.1 Ellenőrzött munkatárs alkalmazása... 16 4.2 Feladatok és felelősségi körök meghatározása... 16 4.3 Személyi biztonság az alkalmazás megszűnése, illetve megváltozása esetén... 16 5 Fizikai és környezeti biztonság... 17 5.1 Területek védelme, biztosítása... 17 5.1.1 Fizikai biztonsági zónák kialakítása... 17 5.1.2 Belépés és mozgásellenőrzés... 17 5.1.3 Irodák, helyiségek és létesítmények védelme... 18 5.1.4 Védelem külső és környezeti fenyegetések ellen... 18 5.1.5 Munkavégzés biztonsági területeken... 19 5.1.6 Nyilvános hozzáférés, szállítási és rakodási területek... 19 5.2 Informatikai eszközök védelme... 19 5.2.1 Berendezések elhelyezése és védelme... 19 2
5.2.2 Közműszolgáltatások biztosítása... 20 5.2.3 Kábelezés biztonsága... 21 5.2.4 Berendezések karbantartása... 22 5.2.5 A kültéri berendezés biztonsága... 23 5.2.6 Berendezések biztonságos selejtezése és újrafelhasználása... 23 5.2.7 A vagyontárgy eltávolítása... 23 5.2.8 Munkaállomásokra vonatkozó korlátozások... 24 5.2.9 Hálózatbiztonság... 24 6 A kommunikáció és az üzemeltetés irányítása... 25 6.1 Üzemeltetési eljárások és felelősségek... 25 6.1.1 Dokumentált üzemeltetési eljárások... 25 6.1.2 Változáskezelés... 25 6.1.3 Feladatkörök elhatárolása... 26 6.1.4 Fejlesztési, vizsgáló és üzemeltetési berendezések különválasztása... 26 6.2 Harmadik fél szolgáltatásnyújtásának irányítása... 26 6.2.1 Szolgáltatásnyújtás... 26 6.2.2 Harmadik fél szolgáltatásainak figyelemmel kísérése és átvizsgálása... 27 6.2.3 Harmadik fél szolgáltatásaival kapcsolatos változtatások kezelése... 27 6.3 Rendszertervezés és elfogadás... 27 6.3.1 Kapacitáskezelés... 27 6.3.2 Rendszerelfogadás... 28 6.4 Védelem a rosszindulatú és mobil kódok ellen... 28 6.4.1 Rosszindulatú kód elleni intézkedések... 28 6.4.2 Mobil kód elleni intézkedések... 28 6.5 Mentés... 28 6.5.1 Információmentés... 29 6.6 Hálózatbiztonság kezelése... 29 6.6.1 Hálózatok védelme... 29 6.6.2 Hálózati szolgáltatások biztonsága... 29 6.7 Adathordozók kezelése... 29 6.7.1 Az eltávolítható adathordozók kezelése... 29 6.7.2 Adathordozók selejtezése... 30 6.7.3 Információkezelési eljárások... 30 6.7.4 A rendszerdokumentáció biztonsága... 30 6.8 Információcsere... 30 6.8.1 Információcserére vonatkozó szabályzatok és eljárások... 30 6.8.2 Megállapodások az információ- és szoftvercserére... 31 3
6.8.3 Fizikai adathordozók szállítása... 31 6.8.4 Elektronikus üzenetküldés... 31 6.8.5 Üzleti információs rendszerek... 31 6.9 Elektronikus kereskedelmi szolgáltatások... 31 6.9.1 Elektronikus kereskedelem... 31 6.9.2 On-line tranzakciók... 31 6.9.3 Nyilvánosan hozzáférhető információk... 32 6.10 Figyelemmel kísérés... 32 6.10.1 Auditnaplózás... 32 6.10.2 Rendszerhasználat figyelemmel kísérése... 32 6.10.3 Naplóinformációk védelme... 33 6.10.4 Adminisztrátori és kezelői napló... 33 6.10.5 Hibák naplózása... 33 6.10.6 Órajelek szinkronozása... 33 7 Hozzáférés-ellenőrzés... 33 7.1 Működési követelmény a hozzáférés-ellenőrzéshez... 34 7.1.1 Hozzáférés-ellenőrzési szabályzat... 34 7.2 A használó hozzáférésének kezelése... 34 7.2.1 Használók regisztrálása... 34 7.2.2 Előjogok kezelése... 35 7.2.3 Használói jelszó kezelése... 35 7.2.4 Használói hozzáférési jogosultságok átvizsgálása... 36 7.3 Használók felelősségei... 36 7.3.1 Jelszóhasználat... 36 7.3.2 Felügyelet nélküli használói berendezések... 36 7.3.3 Üres asztal és üres képernyő szabályzat... 36 7.4 A hálózati hozzáférés ellenőrzése... 36 7.4.1 A hálózati szolgáltatások alkalmazásának szabályzata... 36 7.4.2 Használó hitelesítése külső csatlakozások esetén... 36 7.4.3 Berendezések azonosítása a hálózatokban... 36 7.4.4 Távoli diagnosztikai és konfigurációs kapu védelme... 37 7.4.5 Elhatárolás a hálózatokban... 37 7.4.6 Hálózati csatlakozás ellenőrzése... 37 7.4.7 Hálózati útvonalválasztás ellenőrzése... 37 7.5 Üzemeltetési rendszer hozzáférés-ellenőrzése... 37 7.5.1 Biztonságos bejelentkezési eljárások... 37 7.5.2 Használó azonosítása és hitelesítése... 37 4
7.5.3 Jelszókezelő rendszer... 38 7.5.4 Rendszer-segédprogramok használata... 38 7.5.5 Kapcsolati idő túllépés... 38 7.5.6 Az összeköttetési idő korlátozása... 38 7.6 Az alkalmazás és információ-hozzáférés ellenőrzése... 38 7.6.1 Információ-hozzáférés korlátozása... 38 7.6.2 Érzékeny rendszerek leválasztása... 38 7.7 Mobil számítógép használata és távmunka... 38 7.7.1 Mobil számítógép használata és kommunikáció... 38 7.7.2 Távmunka... 39 8 Információs rendszerek beszerzése, fejlesztése és karbantartása... 39 8.1 Információs rendszerek biztonsági követelményei... 39 8.1.1 Biztonsági követelmények elemzése és előírása... 39 8.2 Helyes feldolgozás az alkalmazásokban... 41 8.2.1 Bemenő adatok érvényesítési ellenőrzése... 41 8.2.2 A belső feldolgozás ellenőrzése... 41 8.2.3 Üzenetek sértetlensége... 42 8.2.4 Kimenő adatok érvényesítő ellenőrzése... 42 8.3 Kriptográfiai intézkedések... 42 8.3.1 A kriptográfiai intézkedés alkalmazásának szabályzata... 42 8.3.2 Kulcsgondozás... 42 8.4 A rendszerállományok biztonsága... 43 8.4.1 Az üzemeltetési szoftverek ellenőrzése... 43 8.4.2 Rendszervizsgálati adatok védelme... 43 8.4.3 Programok forráskódjához való hozzáférés ellenőrzése... 43 8.5 Biztonság a fejlesztési és támogató folyamatokban... 43 8.5.1 Változtatásszabályozási eljárások... 43 8.5.2 Alkalmazások műszaki átvizsgálása az üzemeltetési rendszer megváltoztatása után 44 8.5.3 Szoftvercsomagok megváltoztatásának korlátozása... 44 8.5.4 Információk kiszivárgása... 44 8.5.5 Kiszervezett szoftverfejlesztés... 44 8.6 Műszaki sebezhetőség kezelése... 45 8.6.1 A műszaki sebezhetőségek ellenőrzése... 45 9 Az információbiztonsági incidensek kezelése... 45 9.1 Az információbiztonsági események és gyenge pontok jelentése... 45 9.1.1 Információbiztonsági események jelentése... 45 5
9.1.2 Biztonsági gyenge pontok jelentése... 45 9.2 Az információbiztonsági incidensek és fejlesztések kezelése... 46 9.2.1 Felelősségek és eljárások... 46 9.2.2 Tanulságok az információbiztonsági incidensekből... 46 9.2.3 Bizonyítékok gyűjtése... 47 10 A működés folytonosságának irányítása... 47 10.1 A működésfolytonosság irányításának információbiztonsági szempontjai... 47 10.1.1 Az információbiztonság befoglalása a működésfolytonosság irányításának folyamatába... 47 10.1.2 Működésfolytonosság és kockázatfelmérés... 48 10.1.3 Az információbiztonságot magukba foglaló működésfolytonossági tervek kidolgozása és megvalósítása... 48 10.1.4 A működésfolytonosság tervezési keretrendszere... 48 10.1.5 A működésfolytonossági tervek vizsgálata, fenntartása és újra felmérése... 48 11 Megfelelőség... 49 11.1 Megfelelés a jogi követelményeknek... 49 11.1.1 Az alkalmazandó jogszabályok meghatározása... 49 11.1.2 Szellemi tulajdonjogok... 49 11.1.3 Szervezeti feljegyzések védelme... 50 11.1.4 Adatvédelem és a személyes adatok bizalmassága... 50 11.1.5 Információfeldolgozó eszközökkel való visszaélések megelőzése... 50 11.1.6 A kriptográfiai ellenőrzések szabályozása... 50 11.2 A biztonsági szabályzatoknak és szabványoknak való megfelelés és műszaki megfelelés... 50 11.2.1 Megfelelés a biztonsági szabályzatoknak és szabványoknak... 51 11.2.2 A műszaki megfelelés ellenőrzése... 51 11.3 Információs rendszerek auditálási szempontjai... 51 11.3.1 Információs rendszerek auditjával kapcsolatos intézkedések... 51 11.3.2 Információs rendszerek auditálási eszközeinek védelme... 51 12 Záró rendelkezések... 51 Szoftver Etikai Kódex (1. sz. melléklet)... 52 Működésfolytonossági terv (2. sz. melléklet)... 53 12.1 Az informatikai működésfolytonossági terv fogalma... 53 12.2 Az informatikai működésfolytonossági terv célja... 53 12.3 A működésfolytonossági terv felépítése... 53 12.4 Általános rendelkezések... 53 12.4.1 A működésfolytonossági terv tárgyi hatálya... 53 12.4.2 A működésfolytonossági terv személyi hatálya... 53 6
12.5 Definíciók... 53 12.5.1 Katasztrófa fogalma... 53 12.5.2 Számítógép katasztrófa... 54 12.5.3 Kliens számítógép, eszköz, alkalmazás meghibásodás... 54 12.5.4 Hálózati eszköz meghibásodás, üzemképtelenné válás... 54 12.5.5 Kiszolgáló szerver meghibásodás, kiesés... 54 12.5.6 Kritikus alkalmazás üzemképtelenné válása... 54 12.5.7 Kritikus adatok elvesztése... 54 12.6 Működés folytonosság felkészülési folyamat... 54 12.6.1 Biztonsági besorolások... 54 12.6.2 Rendelkezésre állási követelmények... 55 12.6.3 Megelőzési lépések... 56 12.6.4 Felkészülés a katasztrófára... 57 12.7 Katasztrófaterv... 58 12.7.1 Katasztrófa észlelése, kármérséklés... 58 12.7.2 Riadóterv végrehajtása... 58 12.7.3 Katasztrófa utáni helyreállítás... 58 12.8 Helyreállítási terv... 58 12.8.1 Azonnali reakció... 58 12.8.2 Környezeti helyreállítás... 58 12.8.3 Funkcionális helyreállítás... 59 12.8.4 Helyreállítás... 59 12.9 Katasztrófa-tesztelési terv... 59 12.9.1 Tesztelési terv... 59 12.10 Karbantartási terv... 61 Felelősségek... 61 Incidensek jegyzőkönyve 2/a. sz. melléklet... 63 Tervezett tesztelések időpontjai 2/b. sz. melléklet... 64 Tesztelési jegyzőkönyv 2/c. sz. melléklet... 65 Mentési rend 2/d. sz. melléklet... 66 Külső kapcsolatok biztonsági házirendje (3. sz. melléklet)... 67 12.1 A dokumentum célja... 67 12.2 Dolgozók távoli hozzáférése (távmunka)... 67 12.3 Harmadik félnek az Önkormányzat belső hálózatához való hozzáférése... 67 12.4 Forgalmazók, gyártók hozzáférése... 67 12.5 Harmadik fél megfelelőségi nyilatkozata... 68 12.6 Azonosítók... 68 7
12.7 Alapértelmezett tiltás... 68 12.8 Azonosítás... 69 12.9 Kimenő kapcsolatok... 69 12.10 Modemek, DLS és kábel modem vonalak... 69 12.11 Titkosított vonalak... 69 12.12 Rádiós technológiák használata adatátvitelre... 70 12.13 Hozzáférés szabályozása... 70 12.14 Alapértelmezett jelszavak megváltoztatása... 70 12.15 Megosztott fájl rendszerek... 70 12.16 Kötelező vírusszűrés... 70 12.17 Vírusirtás... 71 12.18 Vírusirtás előtti kitömörítés... 71 12.19 Veszélyes külső rendszerek... 71 12.20 Szoftverletöltés... 71 12.21 Időtúllépés... 71 12.22 Sikertelen kapcsolódás... 72 12.23 Figyelmeztető üzenetek... 72 12.24 Anonim bejelentkezés... 72 12.25 Naplózás a kívülről elérhető rendszereken... 72 12.26 Kapcsolat szabályzás a kívülről elérhető rendszereken... 72 12.27 Böngészés és keresés... 72 12.28 Jogosulatlan hozzáférés szerzése... 73 12.29 Változáskezelés a hálózatban... 73 12.30 Kapcsolódás külső rendszerekhez... 73 12.31 Kommunikációs vonalak telepítése... 73 12.32 Internet előfizetés, megrendelés, külső kapcsolatok létesítése... 73 12.33 Üzleti- és ügyviteli csatornák létesítése... 73 12.34 Külső hálózatokhoz való kapcsolódás... 74 12.35 Rendszerinformációk titokban tartása... 74 Tűzfal biztonsági szabályzat (4. sz. melléklet)... 75 12.36 A dokumentum célja... 75 12.37 Tűzfal szerepét betöltő megoldások... 75 12.38 Házirend elfogadása... 75 12.39 Szükséges dokumentációk... 75 12.40 Alapértelmezett tiltás... 76 12.41 Gépek közötti kapcsolat... 76 12.42 Rendszeres időközönként végzett tesztelés... 76 8
12.43 Naplóállományok... 76 12.44 Betörés érzékelés... 76 12.45 Eshetőségi terv... 77 12.46 Külső kapcsolatok... 77 12.47 Kiterjesztett felhasználói azonosítás... 77 12.48 Virtuális Magánhálózatok... 77 12.49 Tűzfal hozzáférési mechanizmusok... 77 12.50 Tűzfal hozzáférési jogosultságok... 78 12.50.1 Alapértelmezett jelszavak megváltoztatása... 78 12.51 Biztosított alhálózatok... 78 12.52 Demilitarizált zónák... 78 12.53 Hálózatmenedzsment rendszerek... 78 12.54 A belső hálózati információk nyilvánossága... 78 12.55 Biztonsági mentések... 79 12.56 Vírus és tartalomszűrés... 79 12.57 A tűzfal dedikált üzeme... 79 12.58 Tűzfal változáskezelés... 79 12.59 Frissítések alkalmazása... 79 12.60 Sérülékenység vizsgálata... 79 12.61 Szabványos termékek... 80 12.62 Tűzfal fizikai biztonsága... 80 Naplózási rend (6. számú melléklet)... 81 Adatvagyon/kezelő rendszerek és gazdáik (7. számú melléklet)... 82 9
A Budapest Főváros XIII. Kerületi Önkormányzat (a továbbiakban: Önkormányzat, Hivatal vagy szervezet) elkötelezett a szolgáltatás alapú önkormányzat megvalósításában, amely magas szintű informatikai rendszerek kiépítését, üzemeltetését feltételezi. Ezen rendszerek olyan információkat, adatokat tárolnak, dolgoznak fel, olyan rendszerhez kapcsolódnak (Ügyfélkapu), amelyek üzleti értelemben az önkormányzat számára kritikusak. Az Önkormányzat elkészített Információ biztonsági politikáját, amely alapján a jelen szabályozás elkészítésre került. 1 Általános elvek 1.1 Szabályozás célja Jelen Információ biztonsági szabályzat (továbbiakban IBSz) célja, hogy a Budapest Főváros XIII. Kerületi Önkormányzatnál (a továbbiakban: Önkormányzat) működő- vagy az önkormányzat intézményeiben az ehhez kapcsolódó informatikai rendszerek működését, működtetését, szolgáltatásainak igénybevételét egy egységes biztonsági követelményrendszerben szabályozza. A szabályzat az elektronikus közszolgáltatás biztonságáról szóló jogszabályok előírásai alapján készült, célja a vonatkozó jogszabályok előírásainak való megfelelés, az informatikai rendszerek alkalmazása során az adatbiztonság követelményeinek biztosítása, a jogosulatlan hozzáférés, adatváltoztatás, adatvesztés és az adatok jogosulatlan nyilvánosságra hozatalának megakadályozása. Az Önkormányzat rendelkezik biztonsági irányelvekkel, jelen szabályzatunk az irányelvek gyakorlati megvalósítására tartalmaz előírásokat. 1.2 Szervezeti hatály A szabályzat elsősorban az informatikai rendszerek felügyeletét, karbantartását végző informatikusok számára fogalmaz meg előírásokat, így a Hivatal Informatikája és az Intézmény Működtető és Fenntartó Központ Informatikai Szolgáltatás Osztálya számára.. A szabályozás szervezeti hatálya ugyanakkor kiterjed a Hivatal minden munkatársára. A szabályzat egyes részei vonatkozásában kiterjed az Önkormányzat minden munkatársára (köztisztviselőire, az ügykezelőkre és az egyéb jogcímen foglalkoztatottakra, a továbbiakban együtt: munkatárs), a Képviselő-testület tagjaira és minden olyan természetes vagy jogi személyre, aki az informatikai rendszert használja, a rendszerben rendszeresen, vagy esetenként fejlesztést, karbantartást stb. végez. 1.3 Tárgyi hatály A szabályzat tárgyi hatálya kiterjed az Önkormányzat tulajdonában lévő minden informatikai eszközre vagy számítógépes infrastrukturális elemre, rendszerre, a számítástechnikai rendszerben feldolgozott valamennyi adatra, iratra, a feldolgozás eredményeként létrejött adatokra, iratokra, tehát a számítástechnikai feldolgozás teljes körére és folyamatára. A védelem tárgya a számítástechnikai alkalmazás folyamatában és annak szakaszaiban: az adatok, adathordozók és adatállományok végleges megsemmisítésükig, a közlésre szánt adatok a felhasználásukig; a személyhez fűződő és vagyoni jogok; 10
a hardver és szoftver eszközök, azok okmányai, dokumentációi, valamint feldolgozásra vonatkozó valamennyi dokumentáció; az adatok, adathordozók, adatállományok, hardver és szoftver eszközök valamint azok környezete, a feldolgozás, üzemeltetés, raktározás helye; az alkalmazott biztonsági intézkedések, azok tervei, tartalmi előírásai és eljárási szabályai. 1.4 Vonatkozó jogszabályok, szabványok, módszertanok A szabályzat elsősorban az alábbi jogszabályokban meghatározott előírásokat teljesíti. A szabályzat kidolgozásában figyelembe vettük az alább felsorolt szabványok, műszaki ajánlások, irányelvek előírásait, illetve felsorolásra kerültek, hogy figyelembe vételre kerüljenek további szabályozások, útmutatók elkészítése során. A szabályzat elkészítése során figyelembe vett, kapcsolódó jogszabályok: Magyarország Alaptörvénye (2011. április 25.), 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról, 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, 2010. évi CLVII. törvény a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről, 2009. évi CLV. törvény a minősített adat védelméről, 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól, 301/2013. (VII.29.) Korm. rendelet - a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról 26/2013. (X.21.) KIM rendelet - az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról 77/2013. (XII.19.) NFM rendelet - az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint biztonságos információs eszközökre, termékekre vonatkozó, valamint a biztonsági osztályba és biztonsági szintbe sorolási követelményeiről A Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Korm. rendelet; 83/2012. (IV. 21.) a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról, 85/2012. (IV. 21.) az elektronikus ügyintézés részletes szabályairól. A szabályzathoz kapcsolódó szabványok, műszaki ajánlások, irányelvek: MSZ ISO/IEC 27001:2006 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények (A szabvány az ISO/IEC 27001:2005 - a BS 7799-2:2002 utódja - magyar változata.) 11
BS7799-3:2006 Information security management systems Part 3: Guidelines for information security risk management ISO/IEC 17799:2005 (új száma: ISO/IEC 27002:2005) Information technology Security techniques Code of practice for information security management (Az ISO/IEC 17799:2000 helyett) MSZ ISO/IEC 17799:2006 Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve (ISO/IEC 17799:2005 magyar változata) ISO/IEC 27005:2008 Information technology -- Security techniques -- Information security risk management MSZ ISO 7498 szabványsorozat: Információ-feldolgozó rendszerek- Nyílt rendszerek összekapcsolása ( Open Systems Interconnection Basic Reference Manual, Part 2: Security Architecture, 1989.) MSZ EN60950 Informatikai berendezések biztonsági előírásai MSZ 2364 sorozat (érintésvédelem legfeljebb 1000 V névleges feszültség esetén) MSZ EN 54 Tűzjelző berendezés MSZ 1040 Tűzoltókészülékek MSZ EN 12094 Beépített tűzoltó berendezések MSZ EN 1074-6:2004 A vízellátás szerelvényei. A rendeltetésnek való alkalmasság követelményei és az alkalmasságot igazoló vizsgálatok. 6. rész: Tűzcsapok MSZ 15631 Tűzvédelmi jelzőtáblák MSZ 17066-85 Biztonsági szín és alakjelek MSZ EN 13501 sorozat Épületszerkezetek és építési termékek tűzvédelmi osztályozása. MSZ EN 61663 és MSZ EN 62305 Villámvédelem ISO/IEC TR 13335 Information technology Guidelines for the management of IT security ISO/IEC 10164 Information Technology. Open Systems Interconnection EIA/TIA-568 Kereskedelmi és Épületkábelezési Szabvány CC Common Criteria for Information Technology Security Evaluation CCIMB-99-031;-032;-033, (Version 2.1, 99/031-033) August 1999. MSZ ISO/IEC 15408 sorozat Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. (A CC Common Criteria kiadása szabványkényt) Miniszterelnöki Hivatal Informatikai Koordinációs Iroda - Informatikai Tárcaközi Bizottság ajánlásai - Informatikai biztonsági módszertani kézikönyv (8. sz. ajánlás) 1994. 1.5 Kapcsolódó belső szabályzatok, dokumentumok A szabályzathoz szorosan kapcsolódik a Budapest Főváros XIII. Kerületi Önkormányzat Információ biztonsági politikája (későbbiekben IBP) Budapest Főváros XIII. Kerületi Polgármesteri Hivatal Felhasználói információ biztonsági kézikönyve (későbbiekben FIBK) 12
2 Információ biztonsági szervezet Az Önkormányzat vezetése elkötelezetten támogatja az információ biztonság kialakítását, fejlesztését. Az információ biztonság hatékony megvalósításához és a megvalósulás ellenőrzéséhez kétszintű szervezeti rendszert hoz létre: Információ biztonsági felügyelő és Információ biztonsági felelős, illetve a vezetői egyeztetéseken legalább évente tárgyalásra kerül az információbiztonság helyzete. 2.1 Információ biztonsági felügyelő Szervezetileg független az információ biztonság megvalósításáért felelős információ biztonsági felelőstől. Elsősorban ellenőrző, kontroll feladata van. Feladata: Ellenőrzi az információ biztonság teljesülését. Feladata ellátásakor jelentéseket, kimutatásokat kérhet az információ biztonsági felelőstől és ellenőrizheti az abban foglaltakat. Éves ellenőrzési jelentésben számol be a vezetőségnek az információ biztonság megvalósulásáról. Véleményezi az információ biztonsági szabályzatok módosítását. A Hivatal információ biztonsági felügyelőjének kijelölését az FIBK tartalmazza. 2.2 Információ biztonsági felelős Elsősorban alkotó, végrehajtó feladata van. Ellátja az Ibtv. 13. meghatározott feladatokat és azonos a minősített adat védelméről szóló 2009. évi CLV. törvény 13. (2) bekezdésében nevesített biztonsági vezetővel. Feladata: gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról, elvégzi vagy irányítja az előző pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését, előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot, előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását, véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit, kapcsolatot tart a Nemzeti Elektronikus Információbiztonsági Hatósággal (továbbiakban: Hatóság) és a kormányzati eseménykezelő központtal. végrehajtja az információ biztonsági szabályzatokban foglalt biztonsági előírásokat, az információ biztonsági felügyelő kérésére jelentéseket, kimutatásokat készít az információ biztonság vonatkozásában, adja ki az Önkormányzaton belül a nemzeti minősített adatot felhasználók, valamint a szervvel közreműködők személyi biztonsági tanúsítványát. A Hivatal információ biztonsági felelősének kijelölését az FIBK tartalmazza. 13
2.3 Külső szolgáltatók igénybevétele Az önkormányzat egyes informatikai rendszereit, alkalmazásait külső informatikai vállalkozás felügyeli, tartja karban. A külső személyek tevékenységének biztonsági megfelelőségét kockázatelemzéssel kell felmérni. A vállalkozási szerződésben rögzíteni szükséges, hogy a szabályzat előírásai érvényesülnek, illetve lehetőséget kell teremteni azok betartásának ellenőrzésére. 2.4 Biztonsági szint Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény 9. (2) bekezdése valamint a 77/2013. (XII.19.) NFM rendelet 1. és 1. sz. mellékletben rögzített követelmények értelmében a Budapest Főváros XIII. Kerületi Polgármesteri Hivatal a 2. biztonsági szintű besorolásba esik. A biztonsági szintbe sorolást a 77/2013. (XII.19.) NFM rendelet 2. sz. mellékelte alapján végezte el a Hivatal 2014. február 4. és május 29. között. Az Ibtv. 8. (1) bekezdése értelmében a Hivatal biztonsági osztályba sorolását legalább háromévenként vagy szüksége esetén soron kívül felül kell vizsgálni. 2.5 Erőforrás biztosítása A információ biztonsági felelős köteles gondoskodni, hogy az aktuális Információbiztonsági Stratégiában és Informatikai Stratégiában megfogalmazott információbiztonsági fejlesztések és kiadások költségei az aktuális költségvetésben rögzítésre kerüljenek. Felelőssége, hogy a beszerzések dokumentáltak legyenek. A fejlesztéseket a költségvetésben önálló szakfeladaton kell tervezni. 3 Biztonságtervezési eljárásrend Az Önkormányzat, az informatikai vagyontárgyak, a védelmi igények, a folyamatok és megvalósított védelmi megoldások figyelembe vételével, kockázat elemzéssel határozza meg a további intézkedési tervet az információ biztonság növelésére. 3.1 Eljárásrend megalkotásának célja A biztonságtervezési eljárásrend az Önkormányzat információbiztonsági rendszere fejlesztésének szabályozását fogalmazza meg. 3.2 Felelősség Az eljárásrend megalkotását, módosítását, felülvizsgálatát az információ biztonsági felelős végzi. Az eljárásrend meglétét és dokumentáltságát az információ biztonsági felügyelő ellenőrzi. 3.3 3.1.3.1.1. Az érintett szervezet: 3.1.3.1.1.1. megfogalmazza, az érintett szervezetre érvényes követelmények szerint dokumentálja, és a munka- és feladatkörük miatt érintettek számára kihirdeti a biztonságtervezési eljárásrendet, mely a 14
biztonságtervezési szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő; 3.1.3.1.1.2. a biztonságtervezési eljárásrendben, vagy más belső szabályozásában meghatározott gyakorisággal felülvizsgálja és frissíti a biztonságtervezési eljárásrendet 4 Informatikai vagyontárgyak kezelése 4.1 Felelősség az informatikai vagyontárgyakért A számítógépes rendszerben használt informatikai eszközök beszerzését az Informatikai Csoport végzi. A rendszer központi kiszolgálóinak fizikai biztonságáért az Informatikai Csoport felelős. A FIBK tartalmazza a további szabályokat. 4.2 Az elektronikus információs rendszerek nyilvántartása Az Önkormányzat a 8. számú melléklet szerinti adattartalommal, részletezettséggel, minden elektronikus információs rendszeréről nyilvántartást vezet, amelyet folyamatosan aktualizál és naprakészen tart. 4.3 Az informatikai rendszerben kezelt adatvagyon Az informatikai rendszerben kezelt adatvagyont, a kezelő rendszereket, az informatikai eszközöket fel kell mérni. Az adatvagyon elemeihez gazdákat kell rendelni, akik dönteni jogosultak annak eléréséről, használatáról. Az információvagyont a védelmi igény alapján osztályozni szükséges. Az adatvagyon/kezelő rendszer felmérést és az adatvagyon gazdáit az Adatvagyon/kezelő rendszerek és gazdáik (7. számú melléklet) táblázat tartalmazza. 4.3.1 Az információ védelmi igénye Részletes leírása a FIBK-ben található 4.3.2 Az informatikai rendszerben kezelt adatok osztályozása Részletes leírása a FIBK-ben található 4.3.3 Az adatok jelölése és kezelése Részletes leírása a FIBK-ben található 15
5 Személyi biztonság 5.1 Ellenőrzött munkatárs alkalmazása Az informatikai rendszerekben kezelt adatok biztonsága a különböző rendszerelemeken megvalósított tényezőktől függ, ezért a védelmi rendszer kialakításánál mindenkor számításba kell venni az embert, amely az egész védelmi rendszerben a legnagyobb kockázati tényezőt jelenti. Informatikai biztonsági munkakört csak megfelelően ellenőrzött személy tölthet be. Új munkatárs felvételénél mérlegelni kell a munkatárs egyéni tulajdonságait (felelősségtudat, elkötelezettség, terhelhetőség). A felvételhez normál és szakmai önéletrajzot kell beszerezni. A felvétel előtt a korábbi munkahelyéről írásos véleményt kell beszerezni. A felvételi folyamat előtt a munkavállalót tájékoztatni kell a munkaköréhez kapcsolódó valamennyi biztonsági követelményről. A felvételt életmódvizsgálatnak kell megelőznie, amelyhez a jelöltnek írásban kell engedélyt adni. Az életmódvizsgálat során a jelölt büntetlen előéletét (erkölcsi bizonyítvány beszerzésével), káros szenvedélyeket, pénzügyi bizonytalanságot kell ellenőrizni. A szakmai alkalmasságot felvételi elbeszélgetéssel, alkalmassági vizsgával és tesztlap kitöltésével kell ellenőrizni. A felvételi elbeszélgetésen a biztonságért felelős személynek és a személyzeti vezetőnek részt kell venni. A munkatárs alkalmasságát évente felül kell vizsgálni. A biztonsági munkakört betöltő munkatársak esetében titokvédelmi nyilatkozatot kell aláíratni, amely a munkaviszony megszűnte után is meghatározott időig titoktartásra kötelezi. Biztonsági szempontból kritikus munkakörök listája: Informatikai biztonságért felelős, Számítógépes hálózat- és hálózatbiztonsági rendszeradminisztrátor, Windows rendszeradminisztrátor, IBM Lotus Notes rendszeradminisztrátor. 5.2 Feladatok és felelősségi körök meghatározása A kijelölt informatikai biztonsági feladatokat ellátók feladatát és felelősségét a munkaköri leírásukban rögzíteni szükséges. Az informatikai biztonsági felelősnek évente biztonsági témájú oktatáson kell részt vennie. A biztonsági feladatokat ellátó személyeknek legalább kétévente az adott rendszerrel kapcsolatos továbbképzésen kell részt venniük. Minden belépő munkatárs részére informatikai biztonsági oktatást kell tartani. Frissítő oktatást kell kétévente tartani minden munkatársnak. Az oktatásokat az informatikai biztonsági felelősnek kell megszervezni. A belépést dokumentálni, jegyzőkönyvezni kell a Jogosultságigénylő lapon (FIBIK 1. számú melléklet). 5.3 Személyi biztonság az alkalmazás megszűnése, illetve megváltozása esetén A munkatárs tartós távolléte esetén a hozzáférését a belső rendszerekhez szüneteltetni szükséges. A részletes feladatokat a Hozzáférés ellenőrzés fejezet tartalmazza. 16
A munkatárs munkaviszonyának megszűnése esetén a hozzáférését a belső rendszerekhez meg kell szüntetni. A részletes feladatokat a Hozzáférés ellenőrzés fejezet tartalmazza. A munkatárs munkaviszonyának megváltozása esetén a hozzáférését a belső rendszerekhez meg kell változtatni. A részletes feladatokat a Hozzáférés ellenőrzés fejezet tartalmazza. 6 Fizikai és környezeti biztonság 6.1 Területek védelme, biztosítása 6.1.1 Fizikai biztonsági zónák kialakítása 1. Zárt terület: A Hivatalban a 4. emelet 404. szobában a szerverszoba és az Egészségügyi Szolgálat Szegedi úti rendelőintézetének 5. emeleti szerverszobája. A szerverszobák ajtói biometrikus biztonsági zárral vannak ellátva, belépés a helyiségbe csak informatikai munkatárs jelenlétében történhet. A helyiségben csak felügyelettel dolgozhat külső vállalkozás munkatársa. Külső személy belépésének tényét, indokoltságát dokumentálni szükséges a helységekben elhelyezett jelenléti íveken. A szerverhelyiség tűzgátló ajtóval van felszerelve, a falak 1 órán keresztül tűzállóak és saját automatikus tűzoltó berendezéssel van ellátva. Az egyenletes hőmérsékletet redundáns klíma berendezés biztosítja. 2. Kiemelt terület: A Hivatal pince szinten lévő informatikai raktárhelyisége, a 4. emeleten lévő 404 és 405 szobák. A helységek ajtói biztonsági zárral vannak ellátva. A zárakhoz a tartalékkulcs a Recepción lezárt borítékban található, a kulcsok csak meghatározott személyeknek, illetve katasztrófa esetén, ha indokolt a katasztrófa elhárításban résztvevő személyek részére adható ki. A helyiségeket napközben nyitva vagy őrizetlenül hagyni nem szabad. A Hivatal két szárnya közötti alagsori közlekedőfolyosó. A közlekedő folyosón a jogosult belépést kártyás beléptető rendszer biztosítja. 3. Ellenőrzött terület: A Hivatal irodái, közlekedő folyosók, ügyfélszolgálati terület. A terület biztonsági kamerákkal megfigyelt. A biztonsági szolgálat munkatársai meghatározott időszakonként ellenőrző sétát tesznek. A munkaidő letelte után az épületet a biztonsági szolgálat munkatársai lezárják, a mozgásérzékelős riasztó rendszert beüzemelik. 4. Nyilvános terület: A Hivatal parkolója. A gépkocsival belépés sorompós rendszerrel ellenőrzött. A parkoló biztonsági kamerával megfigyelt. A gyalogos közlekedés nem ellenőrzött a területen. A Városház étterem. Az étterem bejárata biztonsági zárral van ellátva. 6.1.2 Belépés és mozgásellenőrzés A Hivatal épületében az ügyfélfogadás rendjétől függően változik a belépési rend. A Hivatal épületébe öt bejáraton keresztül lehet bejutni: Főbejárat, munkaidőben nyitva. Régi épület bejárata, csak biztonsági szolgálat engedélyével és személyes jelenlétük mellett kizárólag teherszállításra használható. Parkoló oldali bejárat, csak munkatársi belépőkártyával rendelkezők használhatják. Éttermi bejárat, kizárólag az étterem és az Anyakönyvi hivatal közelíthető meg. 17
Szociális osztály, csak a szociális ügyek intézése miatt kialakított bejárat. Biztonsági szolgálat folyamatos személyes jelenlétet biztosít a bejáratnál. Ügyfélfogadási időn kívül az Önkormányzat épületébe, az ellenőrzött területre csak a recepciónál történő előzetes azonosítást követően lehet bejutni. Az épületen belüli mozgás kártyás beléptetőrendszerrel korlátozott. A közlekedőfolyosók biztonsági kamerarendszerrel vannak felszerelve, a biztonsági szolgálat a monitorszobában folyamatosan ellenőrzi az épületben a mozgást. Ügyfélfogadási időben az épület ellenőrzött területére előzetes ellenőrzés nélkül lehet bejutni. A kiemelt- és a zárt terület biztonsági zárral ellátott ajtóval szeparált terület. 6.1.3 Irodák, helyiségek és létesítmények védelme Biztosítani kell, hogy illetéktelen személyek felügyelet nélkül ne juthassanak be azon irodahelyiségekbe, ahol működő munkaállomás található. Ennek érdekében az irodahelyiségek ajtóit zárni kell akkor, ha senki nem tartózkodik a helyiségben. Betörésvédelem A betöréses károkozás elkerülése érdekében gondoskodni kell: a veszélyeztetett helyiségek földszinti ablakainak, külső ajtainak megerősített mechanikai védelemmel történő ellátásáról, a veszélyeztetett helyiségek biztonsági, esetleg további zárral való felszereléséről, a használaton kívüli helyiségek lezárásáról, betörésbiztos vészkijáratokról, jegyzői döntés esetén elektronikus riasztórendszer alkalmazásáról. A betörésvédelem követelményeinek megvalósítását a Gondnokság biztosítja. 6.1.4 Védelem külső és környezeti fenyegetések ellen Számba vehető hatások és intézkedések: Tűz, füst: minden szinten van tűzoltó készülék. A szerver szobákban az elektronikus tűzjelző berendezés füstérzékelői megtalálhatók, amelyek a portán riasztanak, illetve a budapesti szerver szoba rendelkezik automatikus oltó rendszerrel. Vegyi anyagok, robbanóanyagok hatásai: az Önkormányzat területére a normál háztartási vegyi anyagokon, tisztítószereken túl vegyi anyagot, robbanóanyagot bevinni tilos. Víz: az Önkormányzat szerver szobában nincs vízvezeték, a fűtés vezetékek lezártak. Por: az Önkormányzat telephelye átlagos városi környezetben működik, ezért fokozott porterhelésre nem kell számítani. A használt berendezések nem fokozottan porérzékenyek. Mechanikai rezgés: az Önkormányzat telephelye átlagos városi környezetben működik, ezért fokozott mechanikai rezgésekre nem kell számítani. Elektromos tápellátás zavarai: az elektromos művek által biztosított rendelkezésre állás a tevékenység folytatásához elegendő, illetve a szerver szobák részére a szünetmentes tápellátás biztosított. Zavaró elektromágneses mezők: az épületet külső elektromágnesen sugárzás ellen nem védett. Az alkalmazott berendezések neves gyártóktól származnak, külső védelmük és elektromágneses sugárzásuk a gyári adatlapok szerint a vonatkozó szabványoknak eleget tesz. 18
6.1.5 Munkavégzés biztonsági területeken A szerver szobában biztonsági eseménynaplót kell vezetni a működéssel kapcsolatos eseményekről. Az oda belépő és ott tevékenységet végző személyeknek olyan bejegyzést kell tenniük a kézzel vezetett biztonsági eseménynaplóba, amelyben rögzítik belépésük okát és annak fontosabb jellemzőit. A naplóban rögzíteni kell: az egyes berendezések üzembe helyezésének, konfiguráció illetve távközlési kapcsolat módosításának adatait, új rendszerszoftverek telepítését, verzió váltás körülményeit, tervszerű vagy eseti karbantartási munkák leírását, az éles üzemmel kapcsolatos események, tevékenységek illetve az operátori jellegű feladatok (pl. manuális futtatás, rendkívüli mentés) végrehajtását, üzemzavarok, működési rendellenességek, adatátviteli vonal kiesések leírását, rendszer-indítás és leállítás körülményeit, az ellenőrzések végrehajtásának leírását. 6.1.6 Nyilvános hozzáférés, szállítási és rakodási területek A vagyontárgyak, informatikai rendszerek, illetve hozzáférési pontjaik közelében a munkatársak vagy külső felek nem végeznek rendszeresen logisztikai tevékenységeket, ezért elkülönített kiszállítási és rakodási körlet nincs fenntartva. 6.2 Informatikai eszközök védelme 6.2.1 Berendezések elhelyezése és védelme Az informatikai hardver eszközöket csak biztonsági zárral ellátott irodákban szabad elhelyezni. A közlekedő folyosókon csak vandálbiztos hardvereszközök lehetnek, ezekről csak tájékoztatási szolgáltatásokat (az önkormányzat- és egyéb közigazgatási intézmények honlapjai) szabad elérni. Tilos megbotránkoztatást keltő oldalak elérésének biztosítása. Iroda helyiségekben csak munkatársi számítógépek és perifériák lehetnek. Az irodán belül a számítógépes eszközök elhelyezésénél figyelni kell a következőkre: A monitor elhelyezése úgy történjen, hogy az ügyfél ne láthassa a megjelenített információkat, illetve az ablakon beszűrődő fény ne tükröződjön. Az eszközök közelében cserepes vagy vágott virágot elhelyezni szigorúan tilos és balesetveszélyes! Fűtőtest vagy a nap sugárzásától védeni kell. Az eszközöket csak szabványos földelt csatlakozó aljzatba vagy elosztóba lehet csatlakoztatni. Tilos a számítástechnikai berendezés közelében tárolni, vagy közelébe vinni olyan tárgyat, eszközt vagy anyagot, amely a berendezésre, vagy a feldolgozásra veszélyforrást jelenthet. A munkatárs anyagi felelősséggel tartozik a hozzá telepített eszközökért a Felelősség az informatikai vagyontárgyakért fejezet szerint. Az irodák ajtóit minden esetben kulccsal zárni szükséges, ha nem tartózkodik munkatárs a helyiségben. A kulcsot tilos a zárban hagyni! A munkaidő végén a helyiségeket be kell zárni és a kulcsokat a portaszolgálatnak le kell adni. A feldolgozás fizikai környezetének meg kell felelnie az érvényes és hatályos tűzvédelmi, munkavédelmi, munkavégzési és üzemeltetési előírásoknak. A számítástechnikai berendezést, eszközt csak a megfelelően kiképzett, a berendezést, eszközt és a feldolgozási rendszert ismerő munkatársak kezelhetik. 19
Az informatikai eszközök üzemeltetésének alapvető követelményei: zavarmentes, megfelelően terhelhető villamosenergia-hálózat; védőföldeléssel ellátott hálózati csatlakozók alkalmazása; sztatikus elektromosság elleni védekezés; olyan műszaki megoldás alkalmazása, amely a berendezéseket megvédi a hálózati feszültségingadozásoktól és energia kimaradás esetén is lehetővé teszi a feldolgozás biztonságos információ- és adatvesztés nélküli leállítását. Kiszolgálót csak zárt területre szabad telepíteni. A szerver gépek esetében a gyártó (forgalmazó) által kiadott, az adott számítástechnikai eszközbázisra és környezetére vonatkozó telepítési, üzemeltetés-technológiai előírásokat kell betartani. A szervergépeket csak az Informatikai Csoport tagjai és az erre feljogosított munkatársak kezelhetik. Kiszolgálók esetében követendő a redundáns tápellátás és redundáns számítógépes hálózati kapcsolat biztosítása. Minden kiszolgálót csak szünetmentes tápellátáson keresztül szabad csatlakoztatni. Tekintettel a nagy hőleadásra, a kiszolgálók részére redundáns klímaberendezésen keresztül állandó hőmérsékletet kell biztosítani. A zárt terület ajtaját mindig kulccsal be kell zárni, kivéve, ha munkatárs dolgozik a helyiségben. A kulcs nem hagyható a zárban. A szomszédos helyiségekben, illetve az eszközökhöz közel levő falakban történt csőtörés miatt érheti víz a szervereket. Vízérzékelő eszköz biztosítja vízkár esetén a riasztást. Az eszközök a negyedik emeleten helyezkednek el, emiatt reálisan árvízveszéllyel nem kell számolni. A kiszolgálók elhelyezésére szolgáló helyiségek kulcsát csak az Informatikai Csoport munkatársainak adhatja ki a portaszolgálat. A kulcsfelvételt dokumentálni szükséges. Kiemelt szolgáltatásokat telephelyi redundanciával biztosítani szükséges. Kiemelt szolgáltatás: Windows gyökér Active Directory szolgáltatás. A szolgáltatás kiszolgálói közül egyet a szegedi úti telephely 5. emeleti zárt területén kell elhelyezni. A kiszolgálók közötti biztonsági adatátvitelt és folyamatos szinkronizációt VLANnal vagy VPN-nel biztosítani kell. 6.2.2 Közműszolgáltatások biztosítása A számítástechnikai eszközöket besorolásuk szerint védeni kell a közműszolgáltatások kiesése okozta hibák ellen. A munkatársi számítógépek esetében az épület központi villámvédelme és túláramvédelme biztosít elegendő védelmet. Az okmányirodai és ügyfélszolgálati ügyintézés kiemelt fontossága miatt az ügyintézői gépek az épület szünetmentes áramforrásáról kapnak tápfeszültséget a kisebb áramkimaradáskor. Az épület szünetmentes áramforrása 10 perc áramkimaradás áthidalására biztosít megoldást. Minden kiszolgáló menedzselhető szünetmentes áramforrásról kapja a tápfeszültséget, amely véd a feszültségingadozástól és az áramkimaradástól. A kiszolgálók esetében követendő a redundáns tápellátás biztosítása, ekkor két áramkörről egymástól független betáplálást lehet biztosítani. Tartós feszültségkiesés esetén a teendők: 1. Ellenőrizni, hogy a hibát nem a biztosítószekrényben valamelyik automata kismegszakító leoldása okozta-e. 20
2. Amennyiben nem, a tartós feszültségkiesésről haladéktalanul értesíteni kell az épület gondnokságát (Pajor József, 0620-9340100). Aki a hiba jellegétől függően felderíti a hibát és elhárítja, vagy értesíti a szolgáltatót a meghibásodásról. 3. A feszültségkiesés miatt okozott szolgáltatás kimaradásról a szervezeti egységek vezetőit telefonon vagy személyesen értesíteni kell. 4. Az incidens jegyzőkönyvbe a szolgáltatás kiesést dokumentálni szükséges. 5. A tápellátás visszaállása esetén a szolgáltatások beüzemelését, elindítását haladéktalanul meg kell kezdeni a helyreállítási terv szerint. Hosszabb áramszünet esetén biztosítani szükséges a kiszolgálók automatikusan indított leállítását, amikor a szünetmentes áramforrás fennmaradó kapacitása biztonságosan elég annyi időre, ami a leállításhoz szükséges. 6.2.3 Kábelezés biztonsága Az Önkormányzat épületén belül az ún. felhordó hálózat csavartérpáras Cat5 szabványú kábelezéssel van megvalósítva. A rendezők multimódusú optikai gerinckábelezéssel vannak összekötve. A kábelezés a strukturált kábelezésre vonatkozó szabványok szerinti nyomvonallal és méretezéssel lett kiépítve, bővítésénél ezek szerint kell eljárni. A kiszolgálók részére redundáns számítógép-hálózati ellátást kell biztosítani. A kiszolgálók hálózati kapcsolóeszköze és a hálózat ún. multilayer kapcsolóeszköze redundáns kiépítésű. Bármely kapcsolóeszköz kiesése estén a spanning tree protokoll segítségével alternatív útvonalat talál az eszköz a hálózaton. G1/0/24 G1/0/23 G2/0/23 C3750-24-stack G2/0/24 Channel-group Path-cost: 1 Channel-group Path-cost: 2 Channel-group Path-cost: 1 Rapid PVST+ G1/0/1 G1/0/2 G2/0/1 C3750-48-stack G2/0/2 F2/0/48 F1/0/48 Path-cost: 50 C5 B14 HP4108gl STP 21
6.2.4 Berendezések karbantartása, rendszerkarbantartás eljárási rend Az üzemszerű működés fenntartásához elengedhetetlen, hogy a számítástechnikai eszközök időszakosan karbantartva legyenek. Számítógépek, perifériák esetében: amikor az eszköz valamilyen okból (meghibásodás, felhasználó váltás) az Informatikai Csoporthoz kerül, az eszköz alapvető karbantartását el kell végezni felület tisztítása, az eszköz belsejéből porpisztollyal a por eltávolítása, érintkezők kontakt szerrel való tisztítása. A perifériák esetében külső vállalkozás segítségével lehet elvégezni a tisztítást. A munkaállomásokat kétévente portalanítani és szoftveresen-hardveresen ellenőrizni kell ütemezetten, nyári szabadságolásokat figyelembevéve. A hardver ellenőrzés minimum feladatai: külső fizikai behatások ellenőrzése, azonosító címkék (leltári azonosító, gépazonosító) meglétének ellenőrzése memória teszt lefuttatása, háttértár ellenőrzése, checkdisk futtatása. A szoftver ellenőrzés minimum feladatai: operációs rendszer frissítéseinek ellenőrzése, alkalmazások verziófrissítése, Teamviewer ellenőrzése, Regcleaner futtatása, vírusellenőrzés. Az eszközök ellenőrzéséről jegyzőkönyvet kell felvenni, amelyen dokumentálni szükséges az eszközök állapotát és az elvégzett javításokat. A külső vállalkozó által végzett karbantartások esetében a kiszállítást szállítólevélen dokumentálni szükséges. Kiszállításra engedélyt csak a Hivatal vagy IMFK állományában dolgozó informatikus vagy a jegyző adhat. Számítógépek esetében az eszköz háttértárát el kell távolítani. Az eszköz visszaérkezését követően az eszköz működőképességét le kell ellenőrizni, csak azután adható ki munkatárshoz. Kiszolgálók esetében: évente alapvető tisztítást szükséges elvégezni - felület tisztítása, az eszköz belsejéből porpisztollyal a por eltávolítása, érintkezők kontakt szerrel való tisztítása. A mozgó alkatrészek (ventillátorok) ellenőrzése indokolt esetben cseréje. Hiba esetén az Informatikai Csoport a tartalékokból biztosít készüléket, majd a szerver szállítójával javíttatja a meghibásodott hardvert. Folyamatosan vizsgálni kell, hogy az újabb kiadású szoftverek (operációs rendszer, biztonsági szoftverek stb.) futnak-e a szerveren. Kiszolgálók üzembe helyezése: A szerverek üzembe helyezését meg kell előznie az installálás utáni tesztelésnek, melyek eredményéről jegyzőkönyvet kell készíteni. Amennyiben a szerver üzembe helyezése csere okán történik, úgy tesztelni kell, hogy a biztonsági mentésből visszaállított programok, fájlok elérhetők-e. Szerverek cseréje: Az amortizáció nyomán a régi szervereket ki kell cserélni, hogy a korszerűbb operációs rendszerek, védelmi programok, illetve egyéb szoftverek megfelelően futhassanak rajtuk. Ennek megfelelően a hardverekből kell tartalék. A régi szervereken levő tartalomról biztonsági mentést kell készíteni. A kiselejtezett szerverek adattárolóin szereplő adatok megsemmisítéséről minden esetben gondoskodni kell, függetlenül az adatok esetleges minősítésétől. 22
Hálózati aktív eszközök esetében: évente portalanítás. Hálózati hardver eszközök üzembe helyezése: Hálózati eszköz üzembe helyezése esetén az eszközt tesztelni kell, és az eredményről jegyzőkönyvet szükséges felvenni. Biztosítani kell, hogy az új eszköz esetleges működésképtelensége esetén legyen olyan meleg tartalék, amelyik ellátja az eszköz funkcióit. 6.2.5 A kültéri berendezés biztonsága Részletes leírása a FIBK-ben található 6.2.6 Berendezések biztonságos selejtezése és újrafelhasználása Az Önkormányzat elkötelezett híve a környezettudatos működésnek. Ezért minden, a környezetre terhet jelentő eszközt, hulladékot törekszik a lehetőségekhez képest legkevésbé szennyező módon újrahasznosítani vagy újrahasznosíttatni. Szerződés szerint képzett vállalkozás szállítja el, dolgozza fel, hasznosítja újra a nyomtató kazettákat, festék patronokat. A selejtezés alkalmával szakvélemény készül a selejtezendő eszközökről, azok újrahasznosításáról. Selejtezéskor figyelembe kell venni, hogy az adott eszköz műszakilag alkalmas-e más önkormányzati telephelyen való működésre vagy értéket képez-e esetleg munkatárs, közhasznú társaság, civil szervezet számára. Amennyiben a fentiek valamelyike érvényesül, úgy az eszközöket továbbhasznosítás céljából tovább kell adni. Informatikai jegyzői referens és a gondnokság előkészítése alapján a jegyző ad engedélyt a selejtezésre és az eszközök továbbhasznosítására. Selejtezéskor az adatot tartalmazó eszközökön tárolt adatokat visszafordíthatatlanul kell megsemmisíteni (alacsony szintű formázással). Az adathordozókon (mágneses lemez, optikai lemez) tárolt adatokat meg kell semmisíteni erős mágneses erőtérbe helyezéssel, fizikai rongálással. A megsemmisítésről jegyzőkönyv készül. Selejtezési eljárás menete: 1. Az informatikai jegyzői referens jelzi a gondokság felé, a selejtezési igényét. Ehhez összeállítja a selejtezendő eszközök listáját, külső vállalkozástól szakvéleményt kér az eszközök selejtezhetőségéről. A selejtezési listában javaslatot tesz az eszközök újrafelhasználásáról vagy megsemmisítéséről. 2. A gondoksági vezető véleményezi az eszközök selejtezését, előkészíti az eszközök kartonjait. Megküldi a listát a jegyző részére. 3. A jegyző engedélyt ad a selejtezésre. 4. A gondnokság megszervezi az eszközök elszállítását. 5. Az informatikai csoport munkatársai előkészítik az eszközöket a selejtezésre: a tárolt adatokat megsemmisítik, továbbadás esetén az eszközöket megtisztítják. 6. A selejtezésről jegyzőkönyv készül. Az eszközök kivezetődnek a tárgyi eszköz nyilvántartásból. A jegyzőkönyvet megkapja a jegyző. 6.2.7 A vagyontárgy eltávolítása A vagyontárgy kiszállításának részletes leírása a FIBK-ben található. 23
6.2.8 Munkaállomásokra vonatkozó korlátozások A munkaállomások jogosultságait az üzemeltetéshez szükséges mértékre kell korlátozni, hogy az azokat ért támadások minél kevesebb eséllyel következzenek be. A felhasználói hálózatra érvényes felhasználói név és jelszó nélkül senki nem kapcsolódhat. A bekapcsolt számítógépet magára hagyni nem szabad. Amennyiben a felhasználó felügyelet nélkül hagyja a számítógépét, ki kell lépni a rendszerből, vagy a képernyővédőt jelszavas védelemmel kell ellátnia. Az informatikai, számítástechnikai folyamat egészéhez, vagy egyes részeihez való hozzáférési jogosultságot névre szólóan, írásban az FIBK 2. sz. melléklet szerint kell kérni az Informatikai Csoporttól. A jelszóházirendet úgy kell beállítani, hogy a felhasználók jelszavai minimum 8 karakter hosszúak legyenek, és tartalmazzanak számot, kis- és nagybetűt. A domain rendszergazdák jelszavait 2 havonta cserélni kell. A felhasználásra, illetve betekintésre jogosult személyeket a belső információáramlás folyamatában az alkalmazási hely vezetője, több szervezet esetén a legmagasabb beosztású vezető jelöli ki (a továbbiakban: kijelölésért felelős vezető). A hozzáférési jogosultságokat a kijelölésért felelős vezető az informatikai rendszerben évente ellenőrzi, melyről jegyzőkönyvet vesz fel. A jegyzőkönyv tartalmazza az ellenőrzés során esetlegesen feltárt hiányosságokat, eltéréseket, valamint a szükséges változások informatikai rendszerben történő átvezetése iránti intézkedés felelősét és a határidőket. A monitor (képernyős információs megjelenítő) adattovábbítási eszköznek minősül, ezért a felhasználói és betekintési jogosultság szabályozása erre is kiterjed. Ha jogosulatlan hozzáférés történt vagy a jogosulatlan hozzáférés gyanúja merül fel, a jelszót azonnal meg kell változtatni és az eseményt jelenteni kell az Informatikai Csoportnak. Tiltani szükséges mindenféle program öncélú telepítését. Szoftvert csak a rendszergazda telepíthet a gépekre, az üzemeltető ezért felelős munkatársának jóváhagyása után. A rendszerek külső hozzáférését a Külső kapcsolatok biztonsági házirendje 7. sz. melléklet szabályozza. A munkatársak tevékenységét az interneten a 8. sz. Internet biztonsági házirend melléklet szabályozza. 6.2.9 Hálózatbiztonság A hálózatokon továbbított adatok biztonságának és a hálózat rendelkezésre állásának védelme. A hálózatok biztonsági érdekében a hálózat szegmentálva van. A hálózat be-kilépési pontját redundáns tűzfalrendszer ellenőrzi. Központi vírus és levélszemét-szűrés lett kialakítva. A szervezetek közötti adatkommunikációt titkosított adatcsatornán valósítjuk meg (VPN). A hálózati rendelkezésre állás érdekében a hálózati forgalmat rendszeresen mérni és értékelni kell, és biztosítani, hogy a szükséges sávszélesség kellő biztonsággal rendelkezésre álljon. Dokumentálni kell a hálózatokon alkalmazott védelmi intézkedéseket és azok üzemeltetési eljárásait. A hálózatbiztonság részletes szabályait a FIBK, a Külső kapcsolatok biztonsági házirendje (3. sz. melléklet) és a Tűzfal biztonsági szabályzat (4. sz. melléklet) ismerteti. 24