Adminisztratív védelmi intézkedések eljárásrendje IB-05-2015 Kiadva: Baja, 2015 06. 01. Készítette: Braun Ferenc Az eljárásrendet jóváhagyom és annak alkalmazását jelen változat hatálybalépési dátumával elrendelem: Székelyhidi Andra s Ügyvezető ig. Információbiztonsági osztályozás Szigorúan bizalmas Szig. bizalmas oszta lyoza s esetén, annak időbeli hata lya: Bizalmas Belső Nyilva nos Időszaki hata ly: Év vagy Hónap Eseményhez kötött: Szerzői jogi nyilatkozat Jelen dokumentum a BAJAVÍZ Kft. tulajdona. A dokumentum amennyiben nem Nyilva nos besorola sú, nem sokszorosítható és nem ismertethető meg harmadik felekkel (az érintett hatósa gokon kívül) csak a felső vezetés engedélyével. BAJAVÍZ Kft.
0.1 TARTALOMJEGYZÉK 0.1 TARTALOMJEGYZÉK... 2 0.2 Módosíta sok nyomon követése... 3 0.3 Mellékletek... 3 1. Az eljárásrend célja... 4 2. Az eljárásrend hatálya... 4 2.1 Szervezeti-személyi hata ly... 4 2.2 Ta rgyi hata ly... 4 2.3 Területi hata ly... 4 2.4 Időbeni hata ly... 4 3. Az eljárásrendek felülvizsgálata... 5 4. Hatásköri és illetékességi szabályok... 5 5. Kapcsolódó dokumentumok... 5 5.1 Jogszaba lyok... 5 5.2 Szabva nyok, aja nla sok... 5 5.3 Belső szaba lyzatok... 6 6. Kockázatelemzési eljárásrend... 6 6.1 A Kocka zatelemzés célja... 6 6.2 A kocka zatelemzés folyamata... 6 7. Kockázatelemzési módszertan... 7 7.1 Vagyonlelta r... 7 7.2 Helyzetfelmérés... 7 7.3 Gyenge pontok meghata roza sa... 8 7.4 Fenyegetettségek elemzése... 8 7.5 Sérülékenységek elemzése... 8 7.6 Ka rérték szintek kialakíta sa, ka rok ra vetítése a vagyonelemekre... 8 7.7 A bekövetkezési valószínűségek meghata roza sa... 8 7.8 Kocka zatok meghata roza sa... 9 7.9 Elviselhető kocka zatok meghata roza sa... 9 7.10 Kocka zatok kezelése... 9 7.11 Kocka zatcsökkentő intézkedések... 10 8. Biztonsági osztályba és szintbe sorolás... 10 8.1 Elektronikus informa ciós rendszerek biztonsa gi oszta lyba sorola sa... 10 8.2 A szervezet biztonsa gi szintbe sorola sa... 11 8.3 Biztonsa gi oszta lyba sorola s felülvizsga lata... 11 8.4 Cselekvési tervek... 11 8.4.1 Cselekvési tervek végrehajtása, felkészülési idők... 12 8.5 Hatósa gi adatszolga ltata s... 12 9. Képzési eljárásrend... 12 BAJAVÍZ Kft. 2 / 17
9.1 A képzések célja... 12 9.2 A képzés témakörei... 12 9.3 A képzések szervezése, lebonyolíta sa... 13 1. számú melléklet: Oktatási tematika... 14 2. számú melléklet: Oktatási jegyzőkönyv... 17 0.2 Módosítások nyomon követése Verzió szám A módosítás leírása Dátum V1.0 Első eredeti va ltozat 2015 06. 01. 0.3 Mellékletek Verzió szám Melléklet száma Melléklet neve Dátum BAJAVÍZ Kft. 3 / 17
1. AZ ELJÁRÁSREND CÉLJA Az Adminisztratív védelmi intézkedések elja ra srendjének célja (tova bbiakban: az elja ra srend), hogy biztosítsa a Ta rsasa gna l azokat az adminisztratív intézkedéseket, melyek a technológiai vhr 1-es biztonsa gi szintjén előíra sként jelennek meg. 2. AZ ELJÁRÁSREND HATÁLYA Az elja ra srend hata lya a következőkre terjed ki: 2.1 Szervezeti-személyi hatály Az elja ra srend szervezeti hata lya a Ta rsasa g valamennyi olyan szervezeti egységére kiterjed, amely a Ta rsasa g sza mla zó rendszerét haszna lja, üzemelteti, fejleszti, tova bba ilyen tevékenységeket ira nyít és ellenőriz. Az elja ra srend személyi hata lya kiterjed a Ta rsasa ggal munkavégzésre ira nyuló ba rmely jogviszonyban a lló természetes és jogi személyre, teha t azokra, akik kapcsolatba kerülnek a Ta rsasa g sza mla zó rendszerét (haszna lja k, fejlesztik, telepítik, üzemeltetik, javítja k stb.), így: a) a munkaviszony alapja n foglalkoztatott munkata rsakra, b) a Ta rsasa ggal szerződéses kapcsolatban a lló természetes és jogi személyekre, c) ma s szervezetek képviseletében a Ta rsasa g munkahelyein tartózkodó személyekre. 2.2 Tárgyi hatály Az elja ra srend ta rgyi hata lya kiterjed az Ta rsasa g sza mla zó rendszerére, így a sza mla zó rendszert alkotó a) környezeti infrastruktúra elemeire, b) hardver elemekre, készülékekre, berendezésekre, c) szoftver elemekre, d) dokumenta ció elemre, valamint a sza mla zó rendszerben kezelt adatokkal összefüggésben haszna lt ba rmilyen adatrögzítésre, ta rola sra, feldolgoza sra vagy tova bbíta sra képes elektronikus informa ciós rendszerre és ezek működési környezetére. A ta rgyi hata ly kiterjed tova bba az ezen rendszerek működéséhez alkalmazott szoftverekre, illetve az ezekkel rögzített, ta rolt, feldolgozott vagy tova bbított adatokra és informa ciókra. 2.3 Területi hatály Az elja ra srend rendelkezéseinek teljes körű és értelemszerű alkalmaza sa a BAJAVÍZ KFT.-nél tala lható összes telephelyre (la sd az IBSz 8. sza mú mellékletét(ib-03-2015)) nézve kötelező. 2.4 Időbeni hatály Jelen elja ra srend a sza mla zó rendszer a ltal érintett informa ciós rendszert érintően a kiada s napja n lép hata lyba, míg az egyéb rendszereket illetően folyamatosan kerül bevezetésre 2016 június 01.-éig. BAJAVÍZ Kft. 4 / 17
3. AZ ELJÁRÁSRENDEK FELÜLVIZSGÁLATA Az elja ra srend eseti módosíta sa ra kerül sor, ha a benne szereplő adatok megva ltoztak, illetve ha az elja ra srend olyan kisebb mértékű kiegészítésekre szorul, amelyek nem érintik az aktua lis biztonsa gi követelményeket. Az elja ra srend módosíta sa ra van szükség, ha a sza mla zó rendszer működésében vagy a sza mla zó rendszer működését meghata rozó jogszaba lyi környezetben jelentős va ltoza sok következnek be. Az elja ra srendet legala bb évente egy alkalommal felül kell vizsga lni. Az elja ra srend eseti módosíta sa nak, felülvizsga lata nak kezdeményezése és a felülvizsga lat, valamint a módosíta s elvégzése az információbiztonsági vezető feladata. A módosíta sok engedélyezése és az újabb va ltozat jóva hagya sa az ügyvezető hata sköre. 4. HATÁSKÖRI ÉS ILLETÉKESSÉGI SZABÁLYOK Az elja ra srend belső haszna latú dokumentum: a sza mla zó rendszer felhaszna lói, illetve egyéb érintettek (a Ta rsasa ggal szerződéses kapcsolatban a lló természetes és jogi személyek, ma s szervezetek képviseletében a BAJAVÍZ munkahelyén tartózkodó személyek) megismerhetik és birtokolhatja k, de illetékteleneknek nem adhatja k tova bb. 5. KAPCSOLÓDÓ DOKUMENTUMOK Az elja ra srendhez a következő dokumentumok kapcsolódnak: 5.1 Jogszabályok a) 2013. évi L. törvény az a llami és önkorma nyzati szervek elektronikus informa cióbiztonsa ga ról (tova bbiakban: Ibtv.); b) 2011. évi CXII. törvény az informa ciós önrendelkezési jogról és az informa ciószabadsa gról (tova bbiakban: Info tv.); c) 77/2013. (XII. 19.) NFM rendelet az a llami és önkorma nyzati szervek elektronikus informa cióbiztonsa ga ról szóló 2013. évi L. törvényben meghata rozott technológiai biztonsa gi, valamint biztonsa gos informa ciós eszközökre, termékekre vonatkozó, valamint a biztonsa gi oszta lyba és biztonsa gi szintbe sorola si követelményeiről (tova bbiakban: technológiai vhr); d) 26/2013. (X. 21.) KIM rendelet az a llami és önkorma nyzati szervek elektronikus informa cióbiztonsa ga ról szóló törvényben meghata rozott vezetői és az elektronikus informa ciós rendszer biztonsa ga ért felelős személyek képzésének és tova bbképzésének tartalma ról. 5.2 Szabványok, ajánlások a) MSZ ISO/IEC 27002:2011: Az informa cióbiztonsa g ira nyíta si gyakorlata nak kézikönyve; b) MSZ ISO/IEC 27001:2006: Az informa cióbiztonsa g ira nyíta si rendszerei. Követelmények; c) A Közigazgata si Informatikai Bizottsa g 25. sza mú aja nla sa: Magyar Informatikai Biztonsa gi Aja nla sok; d) A Közigazgata si Informatikai Bizottsa g 28. sza mú aja nla sa: Az E-Közigazgata si Keretrendszer projekt eredményeként létrehozott Követelményta r. BAJAVÍZ Kft. 5 / 17
5.3 Belső szabályzatok a) Informa cióbiztonsa gi Politika b) Informa cióbiztonsa gi Stratégia c) Adminisztratív védelmi intézkedések elja ra srendje d) Fizikai védelmi intézkedések elja ra srendje e) Logikai védelmi intézkedések elja ra srendje f) Sza mviteli Politika g) Szervezeti és Működési Szaba lyzat h) Munka ltatói szaba lyzat i) Felügyelő Bizottsa gi ügyrend j) Porta szaba lyzat 6. KOCKÁZATELEMZÉSI ELJÁRÁSREND 6.1 A Kockázatelemzés célja Az informa cióbiztonsa gi kocka zatelemzés célja, hogy felta rja a sza mla zó rendszerre ható fenyegető tényezők, veszélyforra sok (fenyegetettség elemzés), vizsga lja a sza mla zó rendszer gyenge pontjait (sérülékenység vizsga lat), elemezze a veszélyforra sok a ltal a gyenge pontokon keresztül bekövetkező sikeres ta mada sok bekövetkezési valószínűségét és az a ltaluk okozott ka r nagysa ga t (kocka zatelemzés), valamint kezelje a Ta rsasa g a ltal el nem fogadható kocka zatokat (kocka zatkezelés). 6.2 A kockázatelemzés folyamata A Ta rsasa gnak évente el kell végeznie a sza mla zó rendszer informa cióbiztonsa gi kocka zatelemzését a jelen elja ra srendben foglalt módszertannak megfelelően. A kocka zatelemzés eredményét kocka zatelemzési jelentésben kell dokumenta lni, melyet jóva hagya s célja ból be kell terjeszteni az ügyvezető igazgató részére. Jóva hagya s uta n a nem tolera lható kocka zatokra kocka zatkezelési tervet kell készíteni, melyet ügyvezetői igazgatói jóva hagya s uta n, ütemezett és dokumenta lt módon végre kell hajtani. A kocka zatkezelő intézkedések végrehajta sa uta n maradva nykocka zat elemzést szükséges végrehajtani, melynek célja, hogy kimutassa a kocka zatkezelő intézkedések eredményességét és felta rja az esetlegesen megmaradó kocka zatokat. A kocka zatelemzést ismételten el kell végezni, ha a sza mla zó rendszerben vagy annak működési környezetében (beleértve az új fenyegetések és sebezhetőségek megjelenését), tova bba olyan körülmények esetén, amelyek befolya solja k a sza mla zó rendszer biztonsa gi a llapota t. Gondoskodni kell a kocka zatelemzés és a hozza kapcsolódó kiegészítő dokumentumok megfelelő védelméről. A kocka zatelemzési dokumentumokat kiza rólag az érintettek kezelhetik, illetékteleneknek nem adhatja k tova bb. BAJAVÍZ Kft. 6 / 17
7. KOCKÁZATELEMZÉSI MÓDSZERTAN A Ta rsasa gna l alkalmazott kocka zatelemzési módszertan a következő: 7.1 Vagyonleltár A sza mla zó rendszerre ható fenyegetettségek különbözőek, attól függően, hogy az elektronikus informa ciós rendszer melyik összetevőjét fenyegetik. A fenyegetettségek megfelelő azonosíta sa érdekében a következő vagyonelem csoportokat kell létrehozni: a) Környezeti infrastruktúra b) Hardver c) Szoftver d) Adatok e) Dokumentumok f) Huma n erőforra sok 7.2 Helyzetfelmérés A sza mla zó rendszer kocka zatelemzésének elvégzéséhez fel kell mérni, meg kell ismerni az sza mla zó rendszert és annak környezetét, valamint a jelenlegi informa cióbiztonsa gi szintjét. A következő területeket kell a dokumenta ciók bekérésével, illetve szakmai interjúk lefolytata sa val megismerni: a) Adminisztratív védelmi intézkedések 1) A ta rsasa gra vonatkozó jogszaba lyok, szaba lyzatok 2) A sza mla zó rendszerre vonatkozó szaba lyzatok 3) Szerződések, külső felek kezelése 4) Alkalmaza sfejlesztés, va ltoza skezelés 5) Jogosultsa gigénylés 6) Biztonsa gi események kezelése 7) Üzemeltetési elja ra sok 8) Szervizelés, eszközcsere, selejtezés b) Logikai védelmi intézkedések 1) Mentési megolda sok 2) Ka rtékony kód elleni védekezés 3) Biztonsa gi frissítések telepítése 4) Ha lózat felépítése 5) Biztonsa gi rendszerek 6) Kriptogra fiai megolda sok BAJAVÍZ Kft. 7 / 17
c) Fizikai biztonsa g i. Beléptetés ii. Sza mítógépterem kialakíta sa iii. Épületben történő közlekedés iv. Iroda k kialakíta sa, tiszta asztal, üres képernyő politika. 7.3 Gyenge pontok meghatározása A helyzetfelmérés alapja n megszerzett informa ciók birtoka ban meg kell hata rozni az egyes vagyonelemek gyenge pontjait. 7.4 Fenyegetettségek elemzése Az egyes vagyonelemek gyenge pontjaira bizonyos fenyegetettségek hatnak. Az informatikai erőforra sokra ható fenyegetettségek vagy fenyegető tényezők (példa ul: üzleti hírszerzés, rosszindulatú hackerek, természeti katasztrófa k) mindig a sérülékeny pontokon keresztül fejtik ki hata sukat, így az ellenük való védekezés legfőbb eleme a sérülékenységek azonosíta sa és megszüntetése. Az egyes vagyonelemek gyenge pontjait és fenyegetettségeit KIB 25. sza mú aja nla sa: 25/1-3. kötet: Az Informa cióbiztonsa g Ira nyíta sa nak Vizsga lata (IBIV) 1.0 verzió a gyenge pontok és a fenyegetettségek segédletei alapja n érdemes azonosítani. 7.5 Sérülékenységek elemzése A sérülékenység egy bizonyos gyenge pont kihaszna la sa a ra ható fenyegetettség a ltal. Meg kell vizsga lni, hogy a beazonosított gyenge pontokon keresztül mely fenyegetettségek tudja k kifejteni a ka ros hata sukat. 7.6 Kárérték szintek kialakítása, károk rávetítése a vagyonelemekre A sza mla zó rendszer 3-as biztonsa gi oszta lyba sorolt, ezért a ka rérték szintek 1-3 ska la n kerültek kialakíta sra. A kocka zatok mega llapíta sa hoz a sza mla zó rendszer vagyonelemeire ra kell vetíteni a ka rérték szinteket. 7.7 A bekövetkezési valószínűségek meghatározása Következő lépésként meg kell becsülni a sérülékenységek bekövetkezési valószínűségét. A bekövetkezési valószínűséghez a következő értékeket kell haszna lni. "3" - gyakori, "2" - közepes, "1" ritka. BAJAVÍZ Kft. 8 / 17
7.8 Kockázatok meghatározása Az informa cióbiztonsa gi kocka zatokat a sérülékenység bekövetkezésének a valószínűsége és az okozott ka r szorzata fogja megadni. A kocka zatok minősítéséhez a következő kocka zati ma trixot kell definia lni: Bekövetkezés valószínűsége Kárérték 1 2 3 1 NA A K 2 A K M 3 K M NM A kocka zatok jelölése a következő: NA - Nagyon alacsony A Alacsony K Közepes M Magas NM Nagyon magas 7.9 Elviselhető kockázatok meghatározása A Ta rsasa g azt a döntést hozta, hogy minden közepes, illetve közepesnél nagyobb kocka zatot kezelni kíva n. Ennek megfelelően a toleranciama trix a következő: Bekövetkezés valószínűsége Kárérték 1 2 3 1 T T NT 2 T NT NT 3 NT NT NT A ta bla zatban alkalmazott jelölések értelmezése a következő: T Tolera lható NT Nem tolera lható 7.10 Kockázatok kezelése A Ta rsasa g a kocka zatokat a következőképpen kezeli: a) Megfelelő intézkedésekkel csökkenti a fenyegetés bekövetkezési gyakorisa ga t vagy hata sa t (Kocka zat csökkentés); b) Tudatosan, a következményeket felmérve elfogadja a kocka zatot (Kocka zat elfogada s); BAJAVÍZ Kft. 9 / 17
c) Elkerüli a kocka zatot aza ltal, hogy az érintett tevékenységet felfüggeszti (Kocka zat elkerülés); d) Átha rítja a kocka zatot példa ul biztosíta ssal, vagy megfelelő besza llítói szerződésekkel. (Kocka zat a tha ríta s); 7.11 Kockázatcsökkentő intézkedések A PreDeCo elv alapja n a kocka zatcsökkentés ha rom szemszögből közelíthető meg: a) Megelőző jellegű (preventív kontrollok) A hiba k, gyengeségek, sérülékenységek, illetve ezek kihaszna la sa ra való lehetőségek kiküszöbölése. b) Korla tozó vagy javító (korrektív kontrollok) Egy veszély hata sa t csökkentő, enyhítő óvintézkedések, tova bbi tevékenységek szükségessége nélkül. c) Észlelő és reaga ló (detektív kontrollok) A sebezhetőségek ta mada sa nak észlelése, a rtalmas kihata sok enyhítésére, illetve va laszreakciók kidolgoza sa. Az el nem viselhető kocka zatok kezelésére a Ta rsasa g intézkedési tervet készít az egyes feladatok mellé rendelt felelős, hata ridő és esetleg költség feltüntetésével. 8. BIZTONSÁGI OSZTÁLYBA ÉS SZINTBE SOROLÁS Az Ibtv.) 7. -a nak (1) bekezdése, illetve a 9. -a nak (1) bekezdése alapja n a Ta rsasa g elektronikus informa ciós rendszereit, illetve a Ta rsasa got a kocka zatara nyos, költséghatékony védelem megvalósíta sa érdekében biztonsa gi oszta lyba, a Ta rsasa got pedig biztonsa gi szintbe kell sorolni. A biztonsa gi oszta lyba sorola s és a biztonsa gi szintbe sorola s útmutatója t a technológiai vhr tartalmazza. A biztonsa gi oszta lyba és szintbe sorola st a információbiztonsági vezető készíti elő és az ügyvezető igazgató hagyja jóva. A biztonsa gi oszta lyba sorola s és a biztonsa gi szintbe sorola s eredményét rögzíteni kell a Ta rsasa g Informa cióbiztonsa gi Szaba lyzata ban. 8.1 Elektronikus információs rendszerek biztonsági osztályba sorolása Az elektronikus informa ciós rendszereket 1-5-ig terjedő ska la n az elektronikus informa ciós rendszerben kezelt adatok bizalmassa ga, a sértetlensége és a rendelkezésre a lla sa, illetve az elektronikus informa ciós rendszer sértetlensége és rendelkezésre a lla sa elvesztéséből fakadó jogi, ta rsadalmi-politikai, közvetlen, illetve közvetett anyagi ka r vagy hata s szempontja ból külön-külön kell biztonsa gi oszta lyba sorolni. BAJAVÍZ Kft. 10 / 17
A Ta rsasa g a 2013 évi L. törvény és a 77/2013. (XII. 19.) NFM rendelet ira nymutata sait alapul véve a következők szerint sorolta biztonsa gi oszta lyokba informatikai rendszereit: Védelmi intézkedések LIBRA Számlázó rendszer Biztonsági osztály A többi informatikai rendszer Adminisztratív védelmi intézkedések 1 1 Fizikai védelmi intézkedések 2 1 Logikai védelmi intézkedések 3 2 A 3. biztonsa gi oszta ly esetében közepes ka resemény következhet be, mivel különleges személyes adat, vagy nagy tömegű személyes adatok sérülhetnek; az üzlet-, vagy ügymenet szempontja ból közepes értékű, vagy az érintett szervezet szempontja ból érzékeny folyamatokat kezelő elektronikus informa ciós rendszer, informa ciót képező adat, vagy egyéb, jogszaba llyal (orvosi, ügyvédi, biztosíta si, banktitok, stb.) védett adat sérülhet; a lehetséges ta rsadalmi-politikai hata s: bizalomvesztés a llhat elő az érintett szervezeten belül, vagy szervezeti szaba lyokban foglalt kötelezettségek sérülhetnek; a közvetlen és közvetett anyagi ka r az érintett szervezet költségvetéséhez, szellemi és anyagi erőforra saihoz képest közepes. 8.2 A szervezet biztonsági szintbe sorolása A biztonsa gi oszta lyba sorola s elvégzése uta n biztonsa gi szintbe kell sorolni a Ta rsasa g szervezetét. A Ta rsasa g minimum biztonsa gi szintjét az Ibtv. hata rozza meg, de alapszaba ly, hogy legala bb a legmagasabb biztonsa gi oszta lyba sorolt elektronikus informa ciós rendszerrel azonos szintűnek kell lennie. 8.3 Biztonsági osztályba sorolás felülvizsgálata A biztonsa gi oszta lyba és szintbe sorola s eredményét dokumenta lt módon legala bb 3 évente, de a következő esetekben soron kívül felül kell vizsga lni: a) Amennyiben va ltozik az elektronikus informa ciós rendszer biztonsa ga t érintő jogszaba ly; b) Új elektronikus informa ciós rendszer bevezetése esetén; c) A szervezet sta tusza ban va ltoza s a ll be; d) A Ta rsasa g a ltal kezelt vagy feldolgozott adatok vonatkoza sa ban va ltoza s következik be. 8.4 Cselekvési tervek A biztonsa gi oszta lyba és szintbe sorola s elvégzése uta n meg kell vizsga lnia a szervezetnek, hogy milyen hia nyossa gai vannak az adminisztratív, a fizikai és a logikai védelmi intézkedései területén, és ha hia nyossa gokat tapasztal, akkor 90 napon belül cselekvési terveket kell készítenie az elva rt biztonsa gi oszta lyok, illetve biztonsa gi szint elérésére. A vizsga lat elvégzésének megkönnyítése érdekében a Nemzeti elektronikus Informa cióbiztonsa gi Hatósa g (tova bbiakban: a Hatósa g) segédletet készített, melynek kitöltésével mega llapítható a BAJAVÍZ Kft. 11 / 17
szervezet jelenlegi biztonsa gi szintje, illetve az elektronikus informa ciós rendszereinek jelenlegi biztonsa gi oszta lya. 8.4.1 Cselekvési tervek végrehajtása, felkészülési idők Az elva rt biztonsa gi oszta lyok és az elva rt biztonsa gi szint elérésére az Ibtv. felkészülési időt ad. A felkészülési idő a vizsga lat elvégzésétől sza mítódik. A felkészülési idő a biztonsa gi oszta lyokna l oszta lyonként két év, a biztonsa gi szint esetében az 1- es biztonsa gi szint esetén 1 év, a 2-es szinttől kezdve szintenként 2 év. 8.5 Hatósági adatszolgáltatás Az Ibtv. előírja, hogy a biztonsa gi oszta lyba sorola s eredményét 2014. július 1-ig, a hia nyossa gok pótla sa ra készített cselekvési terveket pedig 2014. szeptember 28-ig meg kell küldeni a Hatósa g részére. 9. KÉPZÉSI ELJÁRÁSREND A sza mla zó rendszerrel kapcsolatba kerülő személyek képzésére vonatkozóan a következő képzési elja ra srendben foglaltak a mérvadók. 9.1 A képzések célja A képzés célja, hogy a felhaszna lói képesek legyenek biztonsa gosan haszna lni a sza mla zó rendszert, legyenek tudta ban a rendszerre ható fenyegetettségeknek, eza ltal a szervezet minimaliza lni tudja a felhaszna lókra ható veszélyforra sok bekövetkezéséből fakadó ka rok hata sait. A képzés célja tova bba, hogy a felhaszna lók megismerjék a ra juk vonatkozó szaba lyokat, legyenek tiszta ban a jogaikkal, a kötelességeikkel és a felelősségükkel. 9.2 A képzés témakörei A képzésen a következő témaköröket kell minima lisan érinteni: Informa cióbiztonsa gi alapfogalmak Vonatkozó jogszaba lyok Ta mada si forma k o o Sza mítógépes ka rokozók Ember a ltal elkövetett ta mada sok fajta i A sza mla zó rendszer felhaszna lói ha zirendjének ismertetése o o o Felhaszna lók jogai, kötelességei, felelőssége Elja ra s incidens esetén Biztonsa gos munkavégzés szaba lyai ta rsasa gi környezetben otthoni környezetben BAJAVÍZ Kft. 12 / 17
9.3 A képzések szervezése, lebonyolítása A képzések megszervezéséért az információbiztonsági vezető a felelős. A sza mla zó rendszert csak olyan személyek haszna lhatja k, akik megfelelő sza míta stechnikai, informatikai ismeretekkel rendelkeznek. Rendszeres belső oktata sokkal gondoskodni kell arról, hogy a felhaszna lókban tudatosodjanak az alapvető informa cióbiztonsa gi fogalmak, illetve ismerjék meg a munka juk sora n felmerülő, a sza mla zó rendszerre ható informa cióbiztonsa gi fenyegetettségeket. Gondoskodni kell arról is, hogy a napi feladatok végzése sora n a felhaszna lók kellőképpen felkészültek legyenek a Felhaszna lói Biztonsa gi Szaba lyzatban foglaltak betarta sa ra. Új dolgozó munka ba lépésekor a dolgozóval a munka ba a lla s előtt az informa cióbiztonsa gi előíra sokat meg kell ismertetni. Ennek végrehajta sa ra évente frissítő oktata st kell szervezni. A kiemelt jogosultsa gokkal rendelkező munkata rsak részére külön oktata st kell tartani. Az informa cióbiztonsa gi oktata sok és tova bbképzések tematika ja nak kidolgoza sa, a szükséges szakirodalom és ta jékoztató anyagok biztosíta sa, valamint a képzés megtarta sa az informatikus feladata. A képzésen, illetve tova bbképzésen való részvétel a sza mla zó rendszerrel kapcsolatba kerülő személyek sza ma ra kötelező és a megjelenést a résztvevők ala íra sukkal kötelesek tanúsítani. A képzésen a munkata rsak vizsga t tesznek. A vizsga véletlenszerűen va logatott tesztkérdésekből a ll. A vizsga a kérdések 75 %-a nak sikeres megva laszola sa esetén sza mít teljesítettnek. Sikertelen vizsga esetén a vizsgaszervező pótvizsga lehetőséget biztosít. 3 sikertelen vizsga esetén az ügyvezető igazgató dönt a munkata rs tova bbi alkalmaza sa nak módja ról. BAJAVÍZ Kft. 13 / 17
1. SZÁMÚ MELLÉKLET: OKTATÁSI TEMATIKA Oktatási tematika újbelépők információbiztonsági oktatása 1) Az BAJAVÍZ Kft. elektronikus informa ciós rendszerének a ltala nos ismertetése. 2) Általa nos informa cióbiztonsa gi ismeretek, alapfogalmak. 3) Jogszaba lyi követelmények a ttekintése: - 2013. évi L. törvény az a llami és önkorma nyzati szervek elektronikus informa cióbiztonsa ga ról (tova bbiakban: Ibtv.); - 2011. évi CXII. törvény az informa ciós önrendelkezési jogról és az informa ciószabadsa gról (tova bbiakban: Info tv.); - 77/2013. (XII. 19.) NFM rendelet az a llami és önkorma nyzati szervek elektronikus informa cióbiztonsa ga ról szóló 2013. évi L. törvényben meghata rozott technológiai biztonsa gi, valamint biztonsa gos informa ciós eszközökre, termékekre vonatkozó, valamint a biztonsa gi oszta lyba és biztonsa gi szintbe sorola si követelményeiről (tova bbiakban: technológiai vhr); - 26/2013. (X. 21.) KIM rendelet az a llami és önkorma nyzati szervek elektronikus informa cióbiztonsa ga ról szóló törvényben meghata rozott vezetői és az elektronikus informa ciós rendszer biztonsa ga ért felelős személyek képzésének és tova bbképzésének tartalma ról. - 73/2013. (XII. 4.) NFM rendelet az elektronikus informa cióbiztonsa gról szóló törvény hata lya ala tartozó egyes szervezetek hatósa gi nyilva ntarta sba vételének, a biztonsa gi események jelentésének és közzétételének rendjéről (adatszolga ltata si vhr). - 2011. évi CCIX. trv. 4) Informa cióbiztonsa gi politika oktata sa. 5) Belső szaba lyzatok elérhetőségének és céljainak ismertetése. 6) Alapkonfigura ciók, konfigura cióva ltoza sok felügyelete, va ltoza skezelési előíra sok. Va ltoza skezelési űrlap/kérelem formanyomtatva ny elérési útvonala nak megada sa. 7) A szoftverhaszna lat korla toza sai. 8) Üzletmenet-folytonossa g: üzletmenet-folytonossa g célja. Üzletmenet folytonossa gi terv ismertetése. 9) A folyamatos működésre felkészítés - A sza mla zó rendszerre ható főbb fenyegetések; - A fenyegetések minimaliza la sa érdekében megtett kocka zatkezelő intézkedések; - A konfigura ciókezelési elja ra sok megfelelő haszna lata; - A va ltoza skezelési elja ra sok megfelelő haszna lata; - A mentési elja ra sok; - A katasztrófa esetén szükséges lépések, riadóla nc; BAJAVÍZ Kft. 14 / 17
10) Mentések 11) Adathordozók haszna lata. 12) Jelszavakkal összefüggő szaba lyoza sok ismertetése 13) A felhaszna ló felelősségi köre a jelszó haszna lat sora n - Az azonosítókat a kijelölt rendszergazda hozza létre oly módon, hogy kezdeti jelszót a llít be a fiók részére. - A jelszót az első bejelentkezéskor meg kell va ltoztatni. - a felhaszna ló a jelszava t köteles titokban tartani; - a jelszószaba lyok betarta sa minden felhaszna lónak jól felfogott érdeke. A felhaszna ló felelőssége, ha jelszava nak megismerése révén valaki a nevében visszaélést követ el a sza mla zó rendszerben; - a felhaszna lói jelszót TILOS leírni; - ha ba rmilyen jel mutat arra, hogy a jelszó illetéktelen kézbe jutott, azonnal meg kell va ltoztatni és értesíteni kell az IBF-et; - nem tehető a jelszó egy automatikus bejelentkezési folyamat részévé, pl. makróra, vagy funkció billentyűre; - a jelszó minél komplexebb, anna l kisebb a valószínűsége, hogy nevünkben visszaélést követnek el. Ennek érdekében az ala bbi szempontokat kell betartani: - könnyen megjegyezhető, és nehezen kitala lható legyen; - semmi olyasmin ne alapuljon, aminek alapja n valaki kitala lhatja, ilyenek a nevek, telefonsza mok, születési da tumok, stb.; - ne legyen a gépnévre vagy a felhaszna lói névre utaló; - ne legyen sorozat. - a jelszó legala bb nyolc karakter hosszú legyen, és tartalmazzon a kisbetűkön kívül nagybetűt és sza mot vagy specia lis karaktert is; - a jelszavakat 60 naponta meg kell va ltoztatni; - a jelszavakat két napon belül nem szabad megva ltoztatni; - az előző jelszavak újra haszna lata t kerülni kell; - za rola s esetén előre bea llított időtartam eltelte uta n engedélyezze vissza a felhaszna lói fiókot. 14) Hozza férési jogok igénylése 15) Új hozza férés igénylése 16) Hozza férési jog módosíta sa 17) Hozza férési jog visszavona sa 18) Biztonsa gi riaszta sok és ta jékoztata sok 19) Képzés a biztonsa gi események kezelésére 20) A jellemző informa cióbiztonsa gi események: - a szolga ltata s, a berendezés vagy az eszközök elvesztése; - a rendszer hiba s működése vagy túlterhelések (Dos-ta mada s); - emberi hiba k; - a szaba lyzatoknak vagy ira nyelveknek való nem megfelelés; - a fizikai biztonsa gi rendelkezések megsértése; - nem ellenőrzött rendszerbeli va ltoza sok; BAJAVÍZ Kft. 15 / 17
- a szoftver vagy hardver hiba s működése; - hozza férési előíra sok megsértése; - ka rtékony kód a ltali fertőzés; - a nem teljes vagy nem pontos működési adatokból eredő hiba k; - a bizalmassa g és sértetlenség megsértése; - a sza mla zó rendszerrel való visszaélés; 21) Az észlelt biztonsa gi eseményeket jelentési kötelezettsége. A hibaüzenetet (vagy az incidensre utaló jeleket) törlési tilalma. 22) Biztonsa gi eseménykezelési terv 23) A fizikai belépési engedélyek 24) Fizikai belépési kérelem űrlap BAJAVÍZ Kft. 16 / 17
2. SZÁMÚ MELLÉKLET: OKTATÁSI JEGYZŐKÖNYV Oktatási jegyzőkönyv Oktatás témája, tematikája: Biztonság tudatosság képzés, mellékelt tematika szerint Oktatás dátuma: Oktatást tartotta: Oktatás helyszíne: Visszakérdezés eredménye Ssz. Név Aláírás ( megfelelő részt az oktató tölti ki) Megfelel Nem felelt meg 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Oktató aláírása: < A dokumentum vége> BAJAVÍZ Kft. 17 / 17