Melléklet a Nemzeti Parki szintű Informatikai Biztonsági Szabályzat című dokumentumhoz FELHASZNÁLÓI INFORMATIKAI BIZTONSÁGI ÚTMUTATÓ Ügyiratszám: 3076/2014. Kiadványozó: Dátum: 2014. 05.28.
Szervezet neve: Dokumentum címe: Ügyiratszám: 3076/2014. Szakmailag jóváhagyta: Dokumentum leíró adatok - FELHASZNÁLÓI INFORMATIKAI BIZTONSÁGI ÚTMUTATÓ Bódis Attila / Dr. Veszelszki Márta -helyettes Dátum: 2014. 05.28. Dátum: 2014. 05.28. 3-as szintű biztonsági osztály A dokumentum leírása: Azon praktikus szabályok gyűjteménye, amelyeket a felhasználóknak mindennapi munkájuk során követniük kell A dokumentum felülvizsgálatának szükségessége: A dokumentum karbantartásáért felelős: A dokumentum változásai 1. Jogszabályváltozás, szervezeti változás 2. Évente 3. Lényeges informatikai fejlesztés megvalósulása Takács Bódis Attila informatikus Dátum: A változások leírása: 2014.01.27 Bódis Attila, Dr., Veszelszki Márta Első, jóváhagyott változat 2
3
Tartalomjegyzék 1. A szabályzat célja, hatálya... 6 2. Az összes munkatársra vonatkozó szabályok és felelősségek... 7 2.1. Az email rendszer használatára vonatkozó tudnivalók és szabályok... 7 2.2. Felhasználói notebookok és okostelefonok használatára vonatkozó tudnivalók és szabályok... 8 2.3. Hálózati eszközön történő adattárolás esetére vonatkozó tudnivalók és szabályok 11 2.4. Adathordozók használata esetére vonatkozó tudnivalók és szabályok...11 2.5. Internet használat esetére vonatkozó tudnivalók és szabályok...11 2.6. Munkahely elhagyása esetére vonatkozó tudnivalók és szabályok...12 2.7. Dokumentumok nyomtatása, nyomtatott anyagok használata esetére vonatkozó tudnivalók és szabályok...12 2.8. Telephelyen kívül történő munkavégzés esetére vonatkozó tudnivalók és szabályok 13 2.9. Kommunikációs tevékenységre vonatkozó tudnivalók és szabályok...13 3. Az egyes pozíciókhoz tartozó speciális szabályok és felelősségek...14 3.1. Az informatikai biztonság megvalósításhoz kapcsolódó szerepkörökre vonatkozó tudnivalók és szabályok...14 3.2. Projektfeladatokhoz kapcsolódó tudnivalók és szabályok...14 4. Egyéb általános tudnivalók és szabályok...15 5. Melléklet...16 5.1. Hivatkozott dokumentumok...16 4
5
1. A szabályzat célja, hatálya Jelen szabályzat a (továbbiakban: Igazgatóság) működését támogató informatikai rendszerek használatára vonatkozóan írja elő az informatikai rendszerrel kapcsolatos biztonsági szabályokat, amelyeket a felhasználóknak a munkavégzésük során követniük kell, szervesen illeszkedve az Igazgatóság egyéb működési és ügyrendi előírásaihoz. A szabályzat hatálya megegyezik az Igazgatóság IBSZ-ének hatályával. 6
2. Az összes munkatársra vonatkozó szabályok és felelősségek 2.1. Az email rendszer használatára vonatkozó tudnivalók és szabályok Az elektronikus levelezés kormányzati munkával kapcsolatos célokat szolgál. Az elektronikus levelezés magán célú használata azonban engedélyezett. Az Igazgatóság fenntartja a jogot a levelezési rendszer monitorozására. A műszaki célú monitorozás során a bizalmasságot biztosítani kell. Biztonsági jellegű kivizsgálásánál a megfelelő előírásokat be kell tartani. Az Interneten megvalósuló levelezés jellemzőinek megfelelően az Interneten kiküldött és onnan érkező levelek bizalmassága nem garantált. Az Igazgatóság által rendszeresített email rendszert elsősorban az ügyviteli folyamatokkal, illetve azok támogatásával kapcsolatos ügyintézésre, szabad használni. Az Igazgatóság rendszerein keletkező vagy feldolgozott levelek az Igazgatóság tulajdonát képezik, függetlenül a levelek belső tartalmától. A postafiók rendszeresen időközönkénti archiválásáért, kiürítéséért a felelősség a felhasználót terheli. Az archivált levelek hozzáférés védelméért a felhasználó a felelős, az archív levelezési állományokat (.pst) köteles jelszóval ellátni. A levelek folyamatos vírusszűrése mellett automatikus tartalmi szűrés is zajlik (spam, illegális tartalmak, túlméretes anyagok). A vírusfertőzés kockázatának csökkentése érdekében tilos megnyitni ismeretlen forrásból származó elektronikus levelet. A fertőzöttnek ítélt elektronikus levelet megnyitás nélkül törölni kell. A levél fertőzöttségének elbírálásához az alábbiakat kell figyelembe venni: o A levél feladója ismert személy-e, illetve várható-e levél a feladótól? (fertőzött levél ismert személytől, vagy ismerősnek tűnő forrásból is származhat); o A levél tárgya (gyanús a levél, ha az nem munkaköri feladatokkal kapcsolatos); o A levél címzettje (fertőzött lehet a levél, ha szokatlanul sok a címzettje); o A levél nyelvezete (fertőzött lehet a levél, ha idegen nyelven, vagy nem a szokásos kommunikációs nyelven íródott); o A levél csatolmánya (gyanús lehet a levél, ha az alábbi kiterjesztésű csatolt állományt, például:.bat,.com,.exe,.dll,.sys,.bit,.pif,.hlp.txt, vagy beágyazott linket (URL) tartalmaz). 7
A felhasználók hivatalos ügyeik intézésére csak az Igazgatóság által rendszeresített levelező rendszert használhatják. Az Igazgatóság által biztosított levelezési fiók beérkező leveleit külső levelezési címre automatikusan átirányítani tilos. Az alapbiztonsági szintnél magasabb besorolású állományokat levélmellékletként kizárólag titkosítva szabad továbbítani. Minősített állományok továbbítása esetén figyelembe kell venni a Mavtv előírásait. Tilos a közízlést, illetve az Igazgatóság jó hírnevét veszélyeztető, erkölcstelen nézeteket valló tartalmú e-mail elküldése. Tilos olyan levelek továbbítása az Igazgatóság levelező rendszerében, amelyek bármilyen nyelven arra szólítanak fel, hogy a levelet minél több címre kell továbbítani (hoax, SPAM). Tilos válaszolni olyan levelekre, amelyek arra szólítanak fel, hogy az Igazgatóság biztonsági rendszeréről, vagy a felhasználó saját hozzáférési adatairól (felhasználónév, jelszó) adjon tájékoztatást. 2.2. Felhasználói notebookok és okostelefonok használatára vonatkozó tudnivalók és szabályok A felhasználók köteles a jelszavakat és egyéb azonosításra alkalmas konfigurációs adatot, eszközöket titokban tartani, illetve mindent megtenni annak érdekében, hogy azt illetéktelenek ne találhassák ki, ill. illetéktelenül ne használhassák. A felhasználók nem kísérelhetik meg a számukra nem engedélyezett erőforrások, szolgáltatások, jogosultságok, kvóták megszerzését. Mások jelszavának megszerzésére vagy egyéb illetéktelen hozzáférésre tett kísérlet fegyelmi eljárást von maga után. A felhasználók kötelesek notebookjaikat és okostelefonjaikat jelszavakkal védeni. Okostelefonokon a PIN kódon túlmenően is kell jelszót vagy jelmintát használni. A jelszavak használatakor be kell tartani az IBSZ előírásait, továbbá a jelszavakat úgy kell meghatározni, hogy érvényesek legyenek rájuk a következők: o nehezen kitalálható; o könnyen begépelhető; o könnyen megjegyezhető; o legalább 8 karakter hosszú; o nem értelmes szó, tartalmaz betűket, legalább 1 számot és legalább 1 nagybetűt. 8
A notebookokon és okostelefonokon tárolt adatokról az illető eszközt használó munkatársnak rendszeres mentéseket kell készítenie. A notebookokon levő standard konfiguráció szoftverei elegendőek ahhoz, hogy a munkatársak feladataikat el legyenek képesek látni. Ha felhasználó a standard konfiguráción túlmenően bármilyen cél érdekében további szoftvereket működtet a gépén, akkor azt csak a következő feltételek mellett teheti: o Tárolásuk, használatok nem ütközik törvényekbe. o Azok az Igazgatóság informatikai rendszerére nem jelentenek fenyegetést. o Az Igazgatóság kapcsolódó munkavégzése során azokat nem használja. o A hozzájuk tartozó licence-ek kérdésében ő tartozik felelősséggel. o Ha a munkatárs a felhasználni szándékozott szoftver felhasználási körülményeiről nem rendelkezik kellő ismerettel, akkor előzetesen konzultálnia kell az IT szolgáltatóval és/vagy az IT biztonsági felelőssel. A notebookokat munkaidőn kívül elzárva kell tartani, azokat más felhasználónak kölcsönadni nem szabad. A notebookokon a víruskereső alkalmazást kikapcsolni nem szabad. Vírusfertőzés gyanúja esetén azonnal a szolgáltató segítségét kell kérni. A vírusfertőzésre utaló jelek a következők: o A processzor-terhelés indokolatlanul 100% körüli. o Az asztalon, a gyorsindítóban vagy a startmenüben ismeretlen új ikon jelenik meg. o Egy vagy több alkalmazás elindítás után rögtön leáll, vagy el sem indul. o Ha aktív internetes kapcsolatunk van, és nem kezdeményezünk semmiféle műveletet (pl.: letöltés, levélküldés) az internet felé, de mégis hosszan tartó aktív forgalmunk van, akkor ez jelezhet egy folyamatban lévő sikeres vírustámadást. o Hosszantartó, indokolatlan winchester-aktivitást, elérhetetlenség ( kerreg a merevlemez, villog a LED) akkor, amikor éppen nem dolgozunk a gépen. o Bejelentkezik a vírus (pl.: egy üzenetet ír ki a képernyőre) o Ha a gép gyakran lefagy vagy váratlanul újraindul. o Szokatlan hibaüzenetek, jelenségek, képek a képernyőn. o A futtatható fájlok mérete növekszik (fájlvírus épült hozzájuk). o Fájlok tűnnek el vagy ismeretlen fájlok jelennek meg (pl. szokatlan kiterjesztések). 9
o A tárak szabad kapacitása drámaian lecsökken (memória, diszk). o A gép lelassul, használata nehézkessé válik, stb. o Nem megmagyarázható dátumváltozások. o Indokolatlan billentyűleütési zaj. 10
2.3. Hálózati eszközön történő adattárolás esetére vonatkozó tudnivalók és szabályok A fölöslegessé vált anyagokat rendszeresen törölni kell. Az alapbiztonsági szintnél magasabb besorolású magasabb biztonsági osztályba tartozó anyagokat titkosítottan kell tárolni. 2.4. Adathordozók használata esetére vonatkozó tudnivalók és szabályok Adathordozók használata esetén (cd, pen drive, hordozható HDD) az adatok rögzítését végző felhasználónak az adathordozón fel kell tüntetni az adathordozón szereplő legmagasabb minősítésű dokumentum biztonsági osztályát. A hordozható eszközökön (Notebookok, okostelefonok és adathordozók) a dokumentumokat a nyilvános dokumentumok kivételével az erre a célra kialakított titkosítási funkcióval rendelkező partícióban kell tárolni. A meghibásodott adathordozót (pendrive, flopy, CD, DVD, stb.) a felhasználónak meg kell semmisítenie. Ha a felhasználó nem képes szakszerűen elvégezni a megsemmisítést, akkor az adathordozót át kell adni az IT biztonsági felelősnek. 2.5. Internet használat esetére vonatkozó tudnivalók és szabályok A munkatársak számára engedélyezett az Internet felhasználás. Az Internetet elsősorban munkatársakkal, vevőkkel, beszállítókkal, külső partnerekkel, és hatósággal való, illetve egyéb kapcsolattartásra, illetve önképzésre, információszerzése használhatja. Az Internet elérés elsősorban kormányzati munkával kapcsolatos célokat szolgál. Az Internet megfelelő, magán célú használata azonban engedélyezett. Az Igazgatóság fenntartja a jogot, hogy ellenőrizze az Internet használatát annak érdekében, hogy biztosítsa az Internet megfelelő használatát, és megakadályozza a nem-megfelelő használatot. Az Igazgatóság fenntartja a jogát az internet szolgáltatás akár előzetes bejelentés nélküli korlátozásához, szüneteltetéséhez. Legyen tudatában, hogy amikor az Igazgatóság birtokában lévő számítógép segítségével az Internetet használja, ne olyan magánjellegű környezetre számítson, mint amilyennel otthon rendelkezik. Az Igazgatóság birtokában lévő számítógép felhasználásával ne töltsön le, fel, illetve ne tároljon hamis, zaklató, szégyenletes, nyíltan szexuális, profán, obszcén, megfélemlítő, megalázó vagy bármely más módon törvénytelen vagy illetlen anyagot, kalóz szoftvert. Amennyiben ilyen anyagot kap vagy talál, azonnal jelentse 11
munkahelyi vezetőjének. Szándékosan ne látogasson törvénytelen vagy illetlen oldalakat. A torrent és warez oldalakról történő letöltések kifejezetten tiltottak. Az Igazgatóság nem vállal felelősséget a felhasználók által az interneten megtekintett vagy onnan letöltött anyagokért. Tilos fájlcserélő alkalmazást használni. Ha arra nincs külön felhatalmazva, az Igazgatóság nevében ne írjon, illetve ne szóljon hozzá hírcsoportokban vagy chat helyeken. Ne használja hivatalos, @bfnp.hu email fiókját az interneten nem kormányzati célú e- mailekben, hírcsoportokban és chat szobákban. Legyen tudatában, hogy Internetes email fiók (vipmail, freemail, stb.) tulajdonosaként kéretlenül is kaphat bántó tartalmú küldeményeket. A letöltéseket átmeneti mappába (letöltés után létrehozandó) kell elhelyezni, majd vírusvédelmi ellenőrzésnek kell alávetni. (Az átmeneti mappát a vírusellenőrzés után törölni kell.) A biztonság érdekében az Internet böngésző beállításaiban az Internet zóna biztonsági szintjét közepesre, illetve annál magasabb szintre szabad állítani. A rendelkezésre álló sávszélesség indokolatlan lefoglalásának elkerülése érdekében tartózkodni kell a nagyméretű állományok (pl. filmek) letöltésétől. 2.6. Munkahely elhagyása esetére vonatkozó tudnivalók és szabályok Munkaidőn kívül, ill. a munkahely elhagyásakor (ebédszünet, tárgyalás) mind a papíralapú mind az elektronikus információkat elzárva kell tartani, a munkaállomásokat ki kell kapcsolni vagy lockolni kell (üres képernyő üres íróasztal politika). 2.7. Dokumentumok nyomtatása, nyomtatott anyagok használata esetére vonatkozó tudnivalók és szabályok A fokozott biztonsági osztályba sorolt anyagok a Titkárságon lévő nyomtatón, felügyelet mellett nyomtathatók. A nem közvetlenül a címzettnek átadott (pl. fakkokban elhelyezett) papíralapú nem nyilvános dokumentumokat még az szervezeten belül is zárt borítékban kell továbbítani. Lehetőség szerint kerülni kell a papír alapú adattárolást. Kerülni kell az anyagok indokolatlan nyomtatását. 12
A már nem használt, nem iktatandó papír alapú anyagokat meg kell semmisíteni (iratmegsemmisítő). Másolás után meg kell győződni arról, hogy bizalmas irat nem maradt a készülékben vagy annak környezetében. Ha a másológépnél eredeti irat vagy másolat maradt, akkor a tulajdonost értesíteni kell. Ha tulajdonost nem lehet azonosítani, akkor az iratokat a biztonsági fokozatuknak megfelelő eljárással meg kell semmisíteni. A borítékokon nem szabad feltüntetni a továbbított anyag adatvédelmi besorolását. Ha az anyag jellege megköveteli, két borítékot kell használni, és a belsőn kell feltüntetni, az adatvédelmi besorolást. 2.8. Telephelyen kívül történő munkavégzés esetére vonatkozó tudnivalók és szabályok A telephely területén kívül a papíralapú és elektronikus adathordozókat, ill. notebookokat az illetéktelen hozzáférés ellen fokozottan védeni kell. Notebookot ügyfélnél vagy nyilvános helyen nem szabad felügyelet nélkül hagyni. Ugyancsak nem szabad őrizetlenül hagyott gépkocsi utasterében hagyni. A notebookokat utazás esetén kézipoggyászként kell szállítani. 2.9. Kommunikációs tevékenységre vonatkozó tudnivalók és szabályok A fax-on történő dokumentum továbbítást lehetőleg kerülni kell. Ha nem kerülhető el, akkor a címzettnek előre jelezni szükséges, hogy faxon anyagot fog kapni. Alapbiztonsági osztálynál magasabb besorolású anyag faxon nem küldhető! Megbeszélések után a teremben készült jegyzeteket el kell távolítani (esetleg meg kell semmisíteni), a táblát le kell törölni. Munkahelyen kívüli, különösen nyilvános helyen folytatott hivatalos telefonbeszélgetés során ügyelni kell arra, hogy illetéktelenek bizalmas információt ne hallhassanak meg. Ugyanez igaz a nyilvános helyeken, ill. illetéktelenek társaságában folyatott beszélgetésekre (étterem, taxi). Az ügyfelekkel folytatott kommunikációra használt telefont, hangpostát kóddal védeni kell. 13
3. Az egyes pozíciókhoz tartozó speciális szabályok és felelősségek 3.1. Az informatikai biztonság megvalósításhoz kapcsolódó szerepkörökre vonatkozó tudnivalók és szabályok Az informatikai biztonság megvalósításhoz kapcsolódó szerepkörökre vonatkozó szabályok az Igazgatóság IBSZ-e tartalmazza. 3.2. Projektfeladatokhoz kapcsolódó tudnivalók és szabályok A projektvezetőnek a pályázat kiírásakor, a szerződés valamint a PAD kidolgozásakor figyelembe kell vennie és szerepeltetnie kell az IBSZ releváns összetevőit. A szerződésekben az alvállalkozók hozzáféréseit pontosan meg kell határozni. A projektvezetőnek az Igazgatóság releváns informatikai biztonsági szabályait a szükséges szinten az ügyfél tudomására kell hozni. Rögzíteni kell az előírt feltételek be nem tartásából származó következményekre vonatkozó felelősségvállalást és a betartás ellenőrzésének lehetővé tételét is. A projektek indításakor a projekt során kezelt dokumentumok jellege alapján, az ügyfél kérése vagy a törvényi előírások alapján a projekt biztonsági osztályát meg kell határozni és a PAD-ban rögzíteni kell. Ugyancsak rögzíteni kell az ügyfél által átadott dokumentumokra vonatkozó minősítési igényét, ill. rendelkezését. 14
4. Egyéb általános tudnivalók és szabályok A kommunikáció során szem előtt kell tartani, hogy az Igazgatóság saját működésére, informatikai rendszerére vonatkozó nyilvános információt web lapján közzéteszi. A nem közzétett információ bizalmasnak minősül. Az alkalmazásokat, adatbázisokat kellő figyelemmel, a kezelési utasításaikban foglaltak betartásával kell használni. Meghibásodás esetén a hiba elhárítását jogosulatlanul megkezdeni tilos. A hibáról az IT üzemeltetést kell értesíteni a hibajelenség minél pontosabb leírásával. Az Igazgatóság területén idegent (ügyfél, futár, stb.) felügyelet nélkül hagyni nem szabad. Használni csak olyan notebookot, ill. asztali gépet szabad, amely az érintésvédelmi szabályoknak megfelel. Az Igazgatóság hálózatához idegen számítógépet csak az IT rendszer üzemeltetéséért felelős vezető engedélyével lehet csatlakoztatni. A munkatársaknak és külső partnereknek még a bizalmas anyagokba történő betekintést megelőzően titoktartási nyilatkozatot kell tenniük. Ez a nyilatkozat a munkavállalói stb. szerződés részeként is megvalósulhat. Illetéktelen hozzáférés észlelése, vagy annak gyanúja esetén (pl. jelszavak kompromittálódása, belépő kártya elvesztése stb.) azonnal értesíteni kell az IT biztonsági felelőst. Minden IT biztonságot érintő eseményt az Incidenskezelési szabályzatnak megfelelően be kell jelenteni. 15
5. Melléklet 5.1. Hivatkozott dokumentumok Igazgatósági Szintű Informatikai Biztonsági Szabályzat Incidenskezelési szabályzat 16