Dabas és Környéke Vízügyi Kft H-2370 Dabas, Széchenyi u. 3. Tel: 29/360-321; 29/360-323 Tel./fax: 29/360-323 E-mail: info@dakov.hu INFORMAITIKAI BIZTONSÁGI SZABÁLYZAT kiadás /változat 1.0 Ezen szabályozás mindenkor érvényes, ellenőrzött példánya elektronikus formában tárolva az DAKÖV Kft. számítógépes hálózatán található. A korábban kinyomtatott példányok érvényességét használat előtt összehasonlítással ellenőrizze!
Oldalak száma: 2/71 Hatályba helyezve: 2015. 04. 0. Oldalszám: 2 / 71
Oldalak száma: 3/71 1. BEVEZETÉS, ÁLTALÁNOS RENDELKEZÉSEK... 9 1.1. A szabályzat célja... 9 1.2. A szabályzat hatálya... 9 Időbeli hatály... 9 Személyi hatály... 10 Tárgyi hatály... 10 2. Szabályzat tartalma, rendelkezések... 10 2.1. A Szabályzat minősítése... 10 2.2. A Szabályzat felülvizsgálata... 11 3. Az Információbiztonság szervezete... 11 3.1. A vezetés elkötelezettsége az információbiztonság ügye iránt... 11 3.2. Az információbiztonság koordinálása... 12 3.3. Az információbiztonsági felelősségi körök kijelölése... 12 3.4 Titoktartási megállapodások... 13 3.5 Az információbiztonság független átvizsgálása... 13 4. KÜLSŐ ÜGYFELEK ÉS PARTNEREK... 15 4.1 A külső partnerekkel összefüggő információbiztonsági kockázatok azonosítása... 15 4.2 Az információbiztonság kezelése az ügyfelekkel való foglalkozás során... 15 4.3 A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban... 15 5 VAGYONTÁRGYAK KEZELÉSE... 16 5.1 FELELŐSSÉG A VAGYONTÁRGYAKÉRT... 16 5.1.1 Vagyonleltár... 16 5.1.2 A vagyonleltár felépítése... 16 5.1.3 Vagyontárgyak tulajdonjoga... 17 5.1.4 Vagyontárgyak elfogadható használata... 17 6. INFORMÁCIÓK OSZTÁLYOZÁSA... 17 6.1 Osztályozási elvek... 17 6.1.1 A biztonsági szintek meghatározása... 18 6.1.2 A Társaság adatvagyonának besorolása... 19 6.1.3 Védelmi intézkedések a biztonsági célkitűzések alapján... 21 Hatályba helyezve: 2015. 04. 0. Oldalszám: 3 / 71
Oldalak száma: 4/71 6.2 Az adathordozók biztonságos kezelése... 21 6.2.1 Adathordozók tárolására vonatkozó elvek... 21 7 AZ EMBERI ERŐFORRÁSOK BIZTONSÁGA... 22 7.1 AZ ALKALMAZÁST MEGELŐZŐEN... 22 7.1.1 Feladat- és felelősségi körök... 22 7.1.2 Kulcsfontosságú informatikai munkatársak... 22 7.1.3 Átvilágítás... 22 7.1.4 Alkalmazási feltételek... 22 7.2 AZ ALKALMAZÁS IDŐTARTAMA ALATT... 23 7.2.1 A vállalatvezetés felelőssége... 23 7.2.2 Az információbiztonság tudatosítása, oktatás és képzés... 23 7.2.3 Az információbiztonság megsértése, fegyelmi eljárás... 24 7.3 A MUNKAVISZONY MEGSZŰNÉSE, ILLETVE MEGVÁLTOZÁSA... 24 7.3.1 FELELŐSSÉGEK AZ ALKALMAZÁS MEGSZŰNÉSEKOR... 24 7.3.2 VAGYONTÁRGYAK VISSZASZOLGÁLTATÁSA... 25 7.3.3 HOZZÁFÉRÉSI JOGOK MEGSZÜNTETÉSE... 25 8 FIZIKAI VÉDELEM ÉS A KÖRNYEZET VÉDELME... 25 8.1 TERÜLETEK VÉDELME, BIZTOSÍTÁSA... 25 8.1.1 FIZIKAI BIZTONSÁGI HATÁRZÓNA... 25 8.1.2 A szerverszoba kialakításának követelményei... 26 8.1.3 IRODÁK, HELYISÉGEK ÉS LÉTESÍTMÉNYEK VÉDELME... 29 8.1.4 KÜLSŐ ÉS KÖRNYEZETI VESZÉLYEKKEL SZEMBENI VÉDELEM... 30 8.1.5 MUNKAVÉGZÉS BIZTONSÁGI TERÜLETEKEN... 30 8.1.6 Közforgalmi bejutási pontok, szállítási és rakodási területek... 30 8.2 BERENDEZÉSEK VÉDELME... 30 8.2.1 BERENDEZÉSEK ELHELYEZÉSE ÉS VÉDELME... 30 8.2.2 KÖZMŰSZOLGÁLTATÁSOK... 32 8.2.3 KÁBELBIZTONSÁG... 32 8.2.4 BERENDEZÉSEK KARBANTARTÁSA... 33 8.2.5 BERENDEZÉSEK BIZTONSÁGA A TELEPHELYEN KÍVÜL... 33 Hatályba helyezve: 2015. 04. 0. Oldalszám: 4 / 71
Oldalak száma: 5/71 8.2.6 BERENDEZÉSEK BIZTONSÁGOS SELEJTEZÉSE, ILLETVE ÚJRAFELHASZNÁLÁSA... 34 8.2.7 VAGYONTÁRGYAK ELTÁVOLÍTÁSA... 35 8.3 Hardver eszközök fizikai biztonsága... 35 9 A KOMMUNIKÁCIÓ ÉS AZ ÜZEMELTETÉS IRÁNYÍTÁSA... 36 9.1 ÜZEMELTETÉSI ELJÁRÁSOK ÉS FELELŐSSÉGI KÖRÖK... 36 9.1.1 Dokumentált üzemeltetési eljárások... 36 9.1.2 Változáskezelés... 36 9.1.3 Az üzemeltetési feladatok, kötelezettségek elhatárolása... 36 9.1.4 Fejlesztői- és üzemeltetői hozzáférések különválasztása... 37 9.2 HARMADIK FELEK SZOLGÁLTATÁSNYÚJTÁSÁNAK IRÁNYÍTÁSA... 37 9.2.1 Szolgáltatásnyújtás... 37 9.2.2 Külső személyek szolgáltatásainak figyelemmel kisérése és átvizsgálása... 37 9.2.3 Külső személyek szolgáltatásaival kapcsolatos változások kezelése... 38 9.3 RENDSZERTERVEZÉS ÉS ELFOGADÁS... 38 9.3.1 Kapacitásmenedzselés... 38 9.3.2 Rendszerek elfogadása, átvétele... 39 9.4 VÉDELEM A ROSSZINDULATÚ ÉS MOBIL KÓDOK ELLEN... 39 9.4.1 Rosszindulatú kód elleni intézkedések... 39 9.4.2 Mobil kód elleni intézkedések... 40 9.5 BIZTONSÁGI MENTÉS... 41 9.5.1 Információk biztonsági mentése... 41 9.6 HÁLÓZATBIZTONSÁG KEZELÉSE... 43 9.6.1 Hálózatok védelme... 43 9.6.2 Hálózati szolgáltatások biztonsága... 44 9.7 ADATHORDOZÓK KEZELÉSE... 46 9.7.1 Az eltávolítható adathordozók kezelése... 46 9.7.2 Adathordozók selejtezése... 47 9.7.3 Rendszerdokumentáció védelme... 48 9.8 INFORMÁCIÓCSERE... 48 Hatályba helyezve: 2015. 04. 0. Oldalszám: 5 / 71
Oldalak száma: 6/71 9.8.1 Megállapodások az információ- és szoftvercseréről... 48 9.8.2 Fizikai adathordozók szállítása... 49 9.8.3 Elektronikus üzenetek küldése/fogadása... 50 9.8.4 Nyilvánosan hozzáférhető információk... 51 9.9 FIGYELEMMEL KÖVETÉS (MONITORING)... 52 9.9.1 Audit naplózása... 52 9.9.2 Rendszerhasználat figyelése... 52 9.9.3 Naplóinformációk védelme... 52 9.9.4 Órajelek szinkronizálása... 52 10 HOZZÁFÉRÉS-ELLENŐRZÉS... 53 10.1 FELHASZNÁLÓI HOZZÁFÉRÉS IRÁNYÍTÁSA... 53 10.1.1 Felhasználók regisztrálása... 53 10.1.2 Felhasználói jelszavak kezelése, és ellenőrzése... 53 10.2 FELHASZNÁLÓI FELELŐSSÉGEK... 53 10.2.1 Jelszóhasználat... 53 10.2.2 Őrizetlenül hagyott felhasználói berendezések, tiszta képernyő politika... 54 10.3 HÁLÓZATI SZINTŰ HOZZÁFÉRÉS ELLENŐRZÉS... 54 10.3.1 Hálózati szolgáltatások használatára vonatkozó szabályzat... 54 10.3.2 Felhasználó hitelesítése külső csatlakozások esetén... 54 10.3.3 Hálózathoz való csatlakozás ellenőrzése... 55 10.4 OPERÁCIÓS RENDSZER SZINTŰ HOZZÁFÉRÉS-ELLENŐRZÉS... 55 10.4.1 Biztonságos bejelentkezési eljárások... 55 10.4.2 Felhasználó azonosítása és hitelesítése... 56 10.4.3 Jelszókezelő rendszer... 56 10.5 ALKALMAZÁS ÉS INFORMÁCIÓ SZINTŰ HOZZÁFÉRÉS-ELLENŐRZÉS... 57 10.5.1 A számlázási rendszer (LIBRA SUMMA) jelszókezelő rendszer... 57 10.5.2 Információ hozzáférés korlátozása... 57 10.6 MOBIL SZÁMÍTÓGÉP HASZNÁLATA ÉS TÁVMUNKA... 57 10.6.1 Mobil számítógép használata... 57 10.6.2 Távmunka... 58 Hatályba helyezve: 2015. 04. 0. Oldalszám: 6 / 71
Oldalak száma: 7/71 11 INFORMÁCIÓS RENDSZEREK BESZERZÉSE, FEJLESZTÉSE ÉS FENNTARTÁSA... 58 11.1 INFORMÁCIÓS RENDSZEREK BIZTONSÁGI KÖVETELMÉNYEI... 59 11.1.1 Biztonsági követelmények elemzése és meghatározása... 59 11.1.2 Helyes információfeldolgozás az alkalmazásokban... 59 11.2 TITKOSÍTÁSI INTÉZKEDÉSEK... 59 11.2.1 Titkosítási eljárások használatára vonatkozó szabályzat... 59 11.2.2 Kulcsirányítás... 59 11.3 RENDSZERFÁJLOK BIZTONSÁGA... 59 11.3.1 Üzemelő szoftverek ellenőrzése... 59 11.3.2 Rendszervizsgálat adatainak védelme... 60 11.3.3 Programok forráskódjához való hozzáférés ellenőrzése... 60 11.4 BIZTONSÁG A FEJLESZTÉSI ÉS TÁMOGATÓ FOLYAMATOKBAN... 60 11.4.1 Változás-szabályozási eljárások... 60 11.4.2 Alkalmazások műszaki átvizsgálása az üzemelő rendszerek megváltoztatását követően60 11.5 MŰSZAKI SEBEZHETŐSÉG KEZELÉSE... 61 11.5.1 A műszaki sebezhetőségek ellenőrzése... 61 12.1 INFORMÁCIÓBIZTONSÁGI ESEMÉNYEK ÉS GYENGESÉGEK JELENTÉSE 61 13 MŰKÖDÉS FOLYTONOSSÁGÁNAK IRÁNYÍTÁSA... 62 14 KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS... 62 14.1 JOGI KÖVETELMÉNYEKNEK VALÓ MEGFELELÉS... 62 14.1.1 Az alkalmazandó jogszabályok megállapítása... 62 14.1.2 Szellemi tulajdonjogok... 63 14.2 Szervezeti feljegyzések védelme... 63 14.3 Adatvédelem és a személyes adatok titkossága... 63 14.4 Információ-feldolgozó berendezésekkel való visszaélések megelőzése... 63 14.5 Titkosítási eljárások szabályozása... 64 14.6 BIZTONSÁGI SZABÁLYZATNAK ÉS SZABVÁNYOKNAK VALÓ MEGFELELÉS, ÉS MŰSZAKI MEGFELELŐSÉG... 64 Hatályba helyezve: 2015. 04. 0. Oldalszám: 7 / 71
Oldalak száma: 8/71 15 INFORMÁCIÓS RENDSZEREK AUDITÁLÁSÁNAK SZEMPONTJAI... 64 15.1 Információs rendszerek auditjával kapcsolatos intézkedések... 64 15.2 Információs rendszerek auditeszközeinek védelme... 64 16. Fogalom meghatározások... 65 Hatályba helyezve: 2015. 04. 0. Oldalszám: 8 / 71
Oldalak száma: 9/71 1. BEVEZETÉS, ÁLTALÁNOS RENDELKEZÉSEK A DAKÖV Kft. (a továbbiakban: DAKÖV vagy Társaság) feladatai megvalósulásának elősegítése érdekében folyamatait informatikai eszközök használatával teszi hatékonyabbá, gazdaságosabbá. Az informatikai eszközök egyre szélesebb körű használata azonban új, eddig nem tapasztalt, változó és mindig megújuló kockázatot is jelent a Társaság számára, ezért jelen szabályzat célja egységes keretszabályokat, értelmezéseket, iránymutatást adni az adatgazdák, az informatikai eszközök üzemeltetői, fejlesztői, felhasználói számára, rögzítve azokat a szabályokat, amelyeket a munkakörükhöz rendelt adatok kezelése során követniük kell. 1.1. A szabályzat célja A jelen Információbiztonsági szabályzat (továbbiakban: IBSz, vagy Szabályzat) célja: egységes szemléletben meghatározni a felhasználók és az információtechnológiai rendszerek viszonyát az informatikai rendszerek által kezelt adatok, információk bizalmasságának, sértetlenségének, rendelkezésre állásának megőrzése érdekében; azon alapvető biztonsági normák és működési keretek meghatározása, amelyek érvényesítésével a Társaság az elfogadható minimumra csökkentheti az adatkezelés és adatfeldolgozás kockázatait, a hatályos jogszabályi feltételek betartása mellett; a Társaságba bekerülő, illetve ott keletkező adatok, információk informatikai rendszere(ke)n történő adatfeldolgozásával szemben támasztott biztonsági követelmények rögzítése; az adatbiztonsággal kapcsolatos szerepek, felelősségi és jogkörök rögzítése; az informatikai berendezések, hálózati eszközök (hardver) és alkalmazási rendszerek (szoftver) biztonságának elősegítése. A Szabályzat előírásai összhangban vannak a Társaság Információbiztonsági Politikája, valamint Információbiztonsági Stratégiája dokumentumok rendelkezéseivel. A Szabályzat rendelkezéseit lehetőség szerint minden üzemszerűen használt rendszer esetében teljes körűen alkalmazni kell. Egyedi eltérések kizárólag a Társaság ügyvezető igazgatójának határozata alapján engedélyezhetőek. 1.2. A szabályzat hatálya Időbeli hatály A jelen Szabályzat a Társaság ügyvezető igazgatók által történő hatályba helyezés napját követő első munkanapon lép hatályba, a dokumentumba foglalt feladatok és szabályok ezen időponttól alkalmazandók. A Szabályzat a hatályon kívül helyezésig alkalmazandó. Hatályba helyezve: 2015. 04. 0. Oldalszám: 9 / 71
Oldalak száma: 10/71 Személyi hatály A Szabályzat személyi hatálya kiterjed: A Társaság valamennyi munkavállalójára. A Társaság informatikai rendszerével, szolgáltatásaival kapcsolatban a Társasággal szerződéses jogviszonyban álló természetes és jogi személyekre, jogi személyiséggel nem rendelkező szervezetekre (a továbbiakban: külső személy), a velük kötött szerződésben, illetve a titoktartási nyilatkozatban rögzített mértékben. A Társaság IT rendszereit használó a rendszerekhez és alkalmazásokhoz bármilyen hozzáféréssel rendelkező természetes vagy jogi személyre. Tárgyi hatály Az IBSz hatálya kiterjed a Társaság minden információkezeléssel és információfeldolgozással kapcsolatos folyamatára és tevékenységére vagy támogatásukban részt vevő informatikai eszközökre, illetve azok elhelyezésére szolgáló létesítményekre. Egyaránt vonatkozik a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben előforduló adatokra, információkra, a Társaság tulajdonában lévő informatikai rendszerek teljes életciklusára (tervezés, fejlesztés, beszerzés, bevezetés, üzemeltetés, kivonás). A Szabályzat tárgyi hatálya kiterjed a Társaság: folyamataira, adathordozóira (bele értve a nem elektronikus adathordozókat is), adataira (függetlenül azok tárolásának, megjelenítésének módjától és helyétől), alkalmazásaira, alapszoftvereire, az IT rendszerre, és környezetre, környezeti infrastruktúra elemeire, objektumaira, a jogszabályoknak és külső követelményeknek való megfelelésre. 2. Szabályzat tartalma, rendelkezések 2.1. A Szabályzat minősítése A jelen Szabályzat belső nyilvános dokumentum, amelyet a Szabályzat személyi hatálya alá nem tartozó harmadik személy csak és kizárólag titoktartási nyilatkozat megtétele után ismerhet meg. Jelen Szabályzat személyi hatálya alá tartozóknak a Szabályzat előírásait kötelezően ismerniük (a munkaviszony kezdetének napján, de legkésőbb az első munkában töltött napon) és követniük kell, azonban harmadik személynek a Szabályzatból információt nem adhatnak ki. Hatályba helyezve: 2015. 04. 0. Oldalszám: 10 / 71
Oldalak száma: 11/71 2.2. A Szabályzat felülvizsgálata Az IBSz-t minden évben felül kell vizsgálni, annak betarthatósága és aktualizálása szempontjából és értékelni kell, hogy megőrizte-e azon biztonsági fokozatát, amelyet előirányzott. Az IBSz-t módosítani kell, ha a felülvizsgálat eredménye, annak betarthatatlanságát vagy aktualizálatlanságát állapította meg, illetve a vizsgálaton kívül olyan külső vagy belső környezeti változás történt, amely szükségessé teszi azt. Ezek a változások ugyancsak vizsgálatot vonhatnak maguk után, amennyiben nem egyértelmű a kivitelezendő változtatás IBSz-re vonatkoztatható hatása. A szabályzat eseti módosításának, felülvizsgálatának kezdeményezése és a felülvizsgálat, valamint a módosítás elvégzése az elektronikus információs rendszerek biztonságáért felelős személy (továbbiakban: információbiztonsági felelős, rövidítve IBF) feladata. A módosítások engedélyezése és az újabb változat jóváhagyása a Társaság ügyvezetőinek hatásköre. Az IBSz-ben, illetve az információbiztonság területére vonatkozó jogszabályokban és egyéb utasításokban, intézkedésekben foglaltak betartatásáért a Társaság Ügyvezető igazgatói a felelős. Az IBSz-ben bekövetkezett módosításokról a hatályba lépést követően azonnal értesíteni kell minden, a Szabályzat hatálya alá tartozó személyt. A szabályzatot a hozzá kapcsolódó eljárásrendekkel, és egyéb kapcsolódó dokumentumokkal együtt a Társaság fájl szerverén kell tárolni. 3. Az Információbiztonság szervezete 3.1. A vezetés elkötelezettsége az információbiztonság ügye iránt Az Információbiztonsági Politika (IBP) és az IBSz által meghatározott követelményrendszeren keresztül testesül meg azon vezetői akarat és elkötelezettség, amely meghatározza minden érintett személy viszonyát az informatikai rendszer által kezelt adatok bizalmasságának, hitelességének, sértetlenségének, rendelkezésre állásának és funkcionalitásának megőrzéséhez. Meghatározza mindazokat az információbiztonság területén alkalmazandó védelmi alapelveket, amelyek a teljes körűségre, a zártságra, a kockázatarányosságra, a védelem szintjének folytonos biztosítására, a szabályozás zárt folyamatára és az informatikai rendszer teljes életciklusára vonatkoznak. Alapot teremt az informatikai stratégia részét képező biztonsági stratégia kialakításához. A proaktív, azaz megelőzésre törekvő magatartást tartja szem előtt, elősegíti az információbiztonsággal összefüggő szabályoknak, intézkedéseknek a Társaság szintjén egységes értelmezését. Biztosítja, hogy a rendszerek védelme a jogszabályi előírásoknak Hatályba helyezve: 2015. 04. 0. Oldalszám: 11 / 71
Oldalak száma: 12/71 eleget tegyen, valamint a védelem hiányából eredő kockázatokkal legyen arányos. Elősegíti, hogy a Társaságot kiszolgáló kommunikációs és informatikai rendszereket az adatok titkosságára, bizalmas jellegére és biztonságára vonatkozóan (pl. adatvédelmi törvényeknek megfelelően) üzemeljenek. 3.2. Az információbiztonság koordinálása Az információbiztonsági tevékenységek koordinálására a Társaság Információbiztonsági Felelőst (IBF) nevezett ki. Hatásköre alá tartozik az információbiztonsági eljárások betartásának ellenőrzése, továbbá az eljárásokkal kapcsolatos folyamatok kontrollálása. Az IBSz kidolgozásának, rendszeres aktualizálásnak és a benne foglaltak érvényre juttatásának elsődleges felelőse az IBF. Az Ügyvezető igazgatók felé jelentési kötelezettsége van, aki köteles elbírálni a felé intézett igényeket és azt jóváhagyni illetve elutasítani. 3.3. Az információbiztonsági felelősségi körök kijelölése Felelős Ügyvezető igazgatók Üzemigazgatók Információbiztonsági Felelős (IBF) Változásmenedzser Adatgazda Tevékenység Biztosítja a munkavégzéshez szükséges személyi és tárgyi feltételeket. A Társaság teljes működéséért felelős, feladata a Társaság szabályozása, operatív tevékenységének koordinálása és ellenőrzése. Az informatikai üzemeltetési feladatok koordinálásáért, és felügyeletéért felelősek. Az információbiztonsági tevékenységek meghatározásáért, szabályozásáért, ellenőrzéséért és betartatásáért felelős. A felügyelete alá helyezett alkalmazással kapcsolatos változások nyomon követése, ütemezése továbbá közvetett felelősség a változások végrehajtásáért. A meghatározott adatokon adatkezelést végez vagy végeztet, e tevékenységért felelősséggel tartozik, továbbá a munkaköri leírásban, mint kinevezés megjelenik a felelősségek megfogalmazása. Számlázó rendszerrel kapcsolatos rendszeradminisztrációs tevékenységek ellátása, kivéve a biztonsági adminisztrálás feladatai. Hatályba helyezve: 2015. 04. 0. Oldalszám: 12 / 71
Oldalak száma: 13/71 Informatikai vezető Fejlesztő Mindenkori közvetett felelősség az informatikai rendszerek üzemeltetésével kapcsolatosan. Az informatikai infrastruktúra működésének a biztosítása, a vonatkozó szabályzatokban foglaltak szerint. A vírusvédelmi- és a határvédelmi rendszerek üzemeltetése, közvetlen felelősség ezen rendszerek működtetéséért. Koordinálja a rendszergazdák feladatait. Jelentési kötelezettsége van az IBF felé. A Társaság folyamatait támogató fejlesztések megvalósítása. Számlázó adminisztrátor rendszer Rendszeres adatleválogatások elvégzése. 3.4 Titoktartási megállapodások Minden munkatársnak és a Társasággal kapcsolatba kerülő külső személynek titoktartási (Munkavállalói) nyilatkozatot kell aláírnia, (1.sz melléklet)melyben nyilatkozik arról, hogy a munkája során tudomására jutott, a Társaság számára értéket jelentő információt sem a munkavégzése, sem annak vége után nem hozza harmadik fél tudomására. A Titoktartási (Munkavállalói) Nyilatkozatot tartalmi szempontból, a munkavállalók felvételét is intéző az adott üzemigazgatóság HR felelős munkatársnak a jogszabályi előírásoknak megfelelően naprakészen kell tartania. A Társaság munkavállalója esetén a Munkavállalói Nyilatkozat aláíratása és tárolása az Információbiztonsági Felelős feladata, külső személyek esetén pedig az adott projekt vezetőjének vagy annak a szervezeti egység vezetőjének a feladata, aki a szerződéskötést a Társaság oldaláról kezdeményezi. 3.5 Az információbiztonság független átvizsgálása A rendszeres információ biztonsági felülvizsgálatok célja a kialakított védelmi rendszer működési hatékonyságának mérése az egyenszilárdságot veszélyeztető hiányosságok és sebezhetőségek feltárása, a szükséges helyesbítő védelmi intézkedések kidolgozása, előterjesztések elkészítése az Ügyvezető igazgatók részére. Az Ügyvezető igazgatók feladata az információ biztonsági kockázatok független szakértővel történő felülvizsgálata, legalább kétévente. A felülvizsgálatoknak az alábbi területekre kell terjednie: adminisztratív biztonság, információs vagyonleltár, információbiztonsági osztályok, osztályba sorolási elvek, emberi erőforrás biztonsága, külső ügyfelek, fizikai és környezet biztonság, Hatályba helyezve: 2015. 04. 0. Oldalszám: 13 / 71
Oldalak száma: 14/71 berendezések védelme, kommunikáció és üzemeltetés irányítása, hozzáférés ellenőrzés, információs rendszerek beszerzése, fejlesztése, információbiztonsági incidensek kezelése, működés folytonossága, követelményeknek, jogszabályoknak történő megfelelés. Külön figyelmet kell szentelni az előző felülvizsgálat során, vagy az adott időszakban észlelt hiányosságok vizsgálatára, a megvalósított védelmi intézkedések működőképességére. Az Ügyvezető igazgatók a felülvizsgálatba bevonhatnak belső és külső szakembereket is, azonban minden esetben kötelessége az összeférhetetlenség kizárása. Az IBF feladata, hogy a felülvizsgálat során tapasztalt, magában nagy kockázatot rejtő hiányosság javítását célzó intézkedési javaslatot, a vizsgálatot követő két héten belül az Ügyvezető igazgatók elé terjessze. Az Ügyvezető igazgatók feladata, hogy az intézkedési tervet jóváhagyja és a végrehajtási felelősségeket meghatározza, vagy elutasítsa. Az egyéb hiányosságok feltárása esetén az IBF feladata a hiányosságok okának felderítését és a kiküszöbölést célzó intézkedési javaslat elkészítése. Az Adatgazda a felelős az általa irányított üzleti területen/szervezeti egységen belül az IBSZ-t érintő esemény kezelésére. Ha egy adott területen belülről kezdeményezett változások állnak be azon folyamatokban, melyeket az IBSZ (is) szabályoz, erről a változásról írásban (mely történhet e-mail alkalmazásával) értesíteni kell az IBF-et, és az adott üzemigazgatóság üzemigazgatóját. Így biztosítható, hogy az információbiztonságot érintő kérdésekben az IBF ellenőrizni tudja a változást, illetve kezdeményezheti az IBSZ módosítását, amennyiben szükséges. Az IBSZ legalább részleges, a megváltozott körülményeket érintő felülvizsgálatát az IBF-nek el kell végeznie az alábbi események bármelyikének bekövetkezésekor: a belső szabályozási dokumentumok információbiztonságot érintő módosítása, az információbiztonságot is érintő jogszabály-változás, amennyiben annak hatálya a Társaságra is kiterjed, az információkezelést és feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében beállt lényeges változás, a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben, illetve azok fizikai környezetében beálló lényeges változás. Hatályba helyezve: 2015. 04. 0. Oldalszám: 14 / 71
Oldalak száma: 15/71 4. KÜLSŐ ÜGYFELEK ÉS PARTNEREK 4.1 A külső partnerekkel összefüggő információbiztonsági kockázatok azonosítása A Társaság külső partnere lehet: kiszervezett (outsourcing) tevékenységet ellátó szervezet, egyéb szerződéses partner. A kiszervezett tevékenységet végzővel szemben támasztott informatikai biztonsági követelmények nem lehetnek enyhébbek, mint a Társaság hatályos szabályzataiban meghatározott, illetve a Társasággal szemben támasztott jogszabályi követelmények. A kiszervezési szerződésnek tartalmaznia kell a Társaság védelmi szabályzataiban megfogalmazott általános elemeket. A szerződés megkötését párhuzamosan kísérnie kell egy intézkedési tervnek, amelyben az adatkezelés, az adatfeldolgozás vagy az adattárolás folyamatosságának biztosításához szükséges személyi, tárgyi és biztonsági követelmények érvényesülésére tett feladatokat kell megjeleníteni a Társaság üzletmenet folytonosságának biztosítása érdekében. A Társaság külső partnerekkel kötött szerződéseit az informatikai biztonsági követelmények szempontjából minden esetben az IBF-nek felül kell vizsgálni, továbbá az észrevételeket meg kell vitatni az érintett szakterületi vezetőkkel, valamint az adott üzemigazgatóság üzemigazgatóival. 4.2 Az információbiztonság kezelése az ügyfelekkel való foglalkozás során A Társaság ügyfelei számára többféle módon biztosítja a kapcsolattartás lehetőségét (személyes út, postai levelezés, e-mail, internet, stb.). Az ügyfél (személyes) adatainak jogszabályokban meghatározott, megfelelő kezelését minden esetben biztosítani kell. Ugyanígy gondoskodni kell az interneten érkező, ügyfelek által küldött üzenetek megfelelő védelméről. Az adatokat illetéktelen személyektől elrejtve (titkosított csatornán) kell szállítani. 4.3 A biztonság kérdésének kezelése harmadik féllel kötött megállapodásokban A harmadik felekkel kötött megállapodásoknak, beleértve a Társaság információihoz, illetve információ-feldolgozó eszközeihez való hozzáférést, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információ-feldolgozó eszközökhöz való hozzáadását, valamennyi a Társaság által meghatározott biztonsági követelményt tartalmazniuk kell. Harmadik fél részére az informatikai rendszeren történő munkavégzéshez hozzáférést csak a szerződésben rögzített munkához feltétlenül szükséges, és elégséges jogosultságokkal kell biztosítani, a megállapodás hatálya alatt. Hatályba helyezve: 2015. 04. 0. Oldalszám: 15 / 71
Oldalak száma: 16/71 A Társaság szerződéseiben rögzíteni kell azokat a feltételeket, amelyek alapján a szerződő partner magára nézve kötelezőnek ismeri el a Társaságra vonatkozó jogszabályi követelményrendszert, továbbá a jelen szabályzatban előírtakat. 5 VAGYONTÁRGYAK KEZELÉSE 5.1 FELELŐSSÉG A VAGYONTÁRGYAKÉRT 5.1.1 Vagyonleltár Valamennyi vagyontárgyat (információ-feldolgozó eszközt vagy ahhoz kapcsolódó vagyontárgyat) egyértelműen azonosítani kell és valamennyi fontos vagyontárgyról leltárt kell felvenni és azt meg kell őrizni. A vagyonleltár elkészítése/elkészíttetése és karbantartása az IBF feladata és felelőssége Az adatvagyonleltár egységes rendszerbe foglalja az üzleti folyamatok által kezelt irattári tételeket, a nem iratkezelt elektronikus formában tárolt adatokat, adatköröket, a kapcsolódó egyéb információkat, valamint információk feldolgozására és tárolására szolgáló informatikai erőforrásokat: hardver konfigurációs-elem, szoftver konfigurációs-elem (operációs rendszer, alkalmazás, fejlesztőeszköz, stb.), információs konfigurációs-elem (adatbázisok, adatállományok, stb.), hálózati konfigurációs-elem, szolgáltatási konfigurációs-elem (világítás, elektromos energia, légkondicionálás, stb.), dokumentációs konfigurációs-elem (rendszerdokumentációk, felhasználói kézikönyvek, üzemeltetési utasítások, folytonossági tervek, stb.). Az adatvagyonleltár elsődleges célja, hogy az Ügyvezető igazgató és a szakterületi vezetők naprakész módon tájékozódhassanak. 5.1.2 A vagyonleltár felépítése Az adatvagyonleltár az alábbi részekből épül fel: adatok leltára adatkörönként megjelölve, informatikai alkalmazásleltár, szoftver leltár, hardver leltár, A vagyonleltárt éves rendszerességgel felül kell vizsgálni. A társaság kezelésében vagy tulajdonában található vagyontárgyakról, (hardver és szoftver ) a nyilvántartás mindig naprakész kell, hogy legyen. Hatályba helyezve: 2015. 04. 0. Oldalszám: 16 / 71
Oldalak száma: 17/71 5.1.3 Vagyontárgyak tulajdonjoga Az adatvagyonnal összefüggő vagyontárgyak (papír alapon és elektronikusan kezelt iratok) minden esetben a Társaság tulajdonában kell, hogy legyenek (iratok, felhasználási jog, hozzáférési jog, stb.). Így, valamennyi információ és az információfeldolgozással összefüggő vagyontárgy a Társaság tulajdona a felhasználók csak használatra kapják meg azokat. Szakterületenként szükséges adatgazdákat kijelölni, aki felelős a szakterületi adatleltárak elkészítéséért és karbantartásáért. Az adatgazda kijelölését az adott üzemigazgatóság üzemigazgatója jóváhagyásával Ügyvezető igazgatók végzik. A szoftver eszközök tulajdonjogát illetően a szoftver lehet a Társaság tulajdonában és lehet bérlemény. A szoftver és hardver elemek műszaki nyilvántartása az adott üzemigazgatóság rendszergazda felelőssége. A szoftver- és hardver leltár naprakészségének ellenőriztetése az informatikai vezető feladata, az ellenőrzés végrehajtásáért az IBF felelős. Kiszervezett tevékenységek esetében a hardver és a szoftver a kiszervezett tevékenységet végző (adatfeldolgozó) tulajdonában is lehet. Használatukkal kapcsolatban a jelen IBSz által meghatározott biztonsági kritériumoknak kell megfelelniük. Egyéb szerződéses partnerek estében magának a szerződésnek kell meghatároznia, hogy a szerződés időtartama alatt melyik fél tulajdonában lévő szoftvereket és hardvereket használja a partner. 5.1.4 Vagyontárgyak elfogadható használata A Társaság tulajdonában lévő adatvagyont mind a dolgozók, mind a kiszervezett tevékenységet végzők, mind az egyéb szerződéses partnerek csak a munkájukhoz feltétlenül szükséges mértékben, s csak szabályozott és engedélyezett formában használhatják. 6. INFORMÁCIÓK OSZTÁLYOZÁSA 6.1 Osztályozási elvek A Társaság teljes feldolgozási, végrehajtási munkafolyamataira biztosítani kell a három alapfenyegetettség bekövetkezési valószínűségének csökkentését, vagyis az adatok, információk és az azokat kezelő rendszerek: bizalmasságát, sértetlenségét, rendelkezésre állását. Minden számítógépes rendszernél alapvető szempont az adatok biztonsága. A bekövetkezendő adat- és információvesztésekből adódó károk minimalizálásának leghatékonyabb eszköze a helyesen megtervezett és következetesen végrehajtott adatkezelési-, Hatályba helyezve: 2015. 04. 0. Oldalszám: 17 / 71
Oldalak száma: 18/71 mentési- és helyreállítási rendszer, valamint a hatályban lévő biztonsági szabályozások betartásának rendszeres ellenőrzése. 6.1.1 A biztonsági szintek meghatározása A Társaság egyes számítógépei, informatikai eszközei, valamint a rajtuk futtatott alkalmazásai különböző jelentőséggel bírnak a Társaság biztonságos működésének szempontjából. A tevékenységek biztonsági kockázatának figyelembe vételével a következő szinteket kell kialakítani. 1. szint: Ebbe a szintbe tartoznak az alapfunkciók működtetése és biztonsága szempontjából legfontosabb adatok, alkalmazások, rendszerszoftverek, eszközök, berendezések és a környezeti infrastruktúra ide tartozó elemei. Közös jellemzőjük, hogy még rövid időre (0-8 óra) történő működéskiesésük sem viselhető el a rendszer számára, illetve hiányuk és a rajtuk tárolt adatok bizalmasságának, sértetlenségének, hitelességének elvesztése olyan biztonsági problémákat okoz, amelynek kockázata nem vállalható. 2. szint: Az ide tartozó informatikai eszközök, alkalmazások működésének viszonylag rövid ideig (8 48 óra) tartó kiesése elviselhető terheket ró a Társaságra, mind a tevékenység ellátása, mind biztonsági szempontból. 3. szint: A harmadik szintbe tartozó informatikai eszközök, alkalmazások működésének még hosszabb ideig (1 hét) tartó megszűnése sem befolyásolja jelentős mértékben a Társaság működését. A Társaság hardver-eszközeit az alábbi jellemzők alapján kell besorolni: 1. szint: Azok a szerverek, alkalmazások és adatbázisok, amelyek a Társaság létfontosságú üzleti folyamatait és feladatait hivatottak szolgálni. A hálózati eszközpark azon aktív elemei, amelyek nélkül a hálózatnak olyan szegmensei válnának kommunikáció képtelenné, amelyek a Társaság üzleti folyamatainak működés szempontjából létfontosságúak. Azok a speciális informatikai eszközök, amelyek a Társaság, mint szervezet biztonságos működését és védelmét hivatottak szavatolni. 2. szint: Hatályba helyezve: 2015. 04. 0. Oldalszám: 18 / 71
Oldalak száma: 19/71 Azok a szerverek, amelyek működésének kiesése ideiglenesen elviselhető kockázatot jelent. A hálózati eszközpark azon aktív elemei, amelyek nem sorolhatóak az 1. szintbe. A speciális feladattal ellátott számítógépek, szerverek (pl.: audit, teszt). Azok a személyi számítógépek, amelyek kiemelt fontosságú adatokat tartalmaznak, vagy kiemelt fontosságú hálózati kapcsolattal rendelkeznek (kiszolgálók, aktív hálózati eszközök konfigurálása, banki szoftvert tartalmazó PC). 3. szint: Egyéb munkaállomások, amelyeken nem tárolnak kiemelt jelentőségű adatokat, illetve amelyek működésének kiesése a feladatellátás szempontjából nem meghatározó. Azok a hordozható számítógépek, amelyek nem tartoznak a 2. kategóriába. 6.1.2 A Társaság adatvagyonának besorolása A Társaság információrendszerében feldolgozott, továbbított, tárolt adatok kockázatarányos védelmének biztosítása érdekében az adatokat be kell sorolni információvédelmi osztályokba. Az információ-osztályozási rendszert kell használni a védettségi szintek meghatározására, valamint arra, hogy közvetítse a különleges kezelési intézkedésekre vonatkozó igényt. Az osztályzási rendszernek figyelembe kell vennie: az információ osztályba sorolt vagyontárgyak sértetlenségének, rendelkezésre állásának és bizalmasságának az üzletmenetre gyakorolt hatását; a sértetlenség, rendelkezésre állás és bizalmasság elvesztéséből eredő vagyoni és nem vagyoni kár nagyságát; tárolás esetén az adathordozó típusát; a teljeskörűség elvét, vagyis az osztályozásnak ki kell terjednie a rendszer összes eleme által kezelt információra; a besorolásnál fellépő (esetleges) logikai ütközéseket. Minden besorolási osztálynak tartalmaznia kell a kezelés információ feldolgozás - eljárását is, mely kiterjed a: másolásra, tárolásra, továbbításra, megsemmisítésre. Az információrendszerben elektronikusan tárolt adatok esetén az adatok azon halmazát, amelyekre a tárolás számítástechnikai körülményeiből adódóan jellemzően azonos védettség valósítható meg (közös adatbázis, azonos könyvtár), ugyanabba az információvédelmi Hatályba helyezve: 2015. 04. 0. Oldalszám: 19 / 71
Oldalak száma: 20/71 osztályba kell sorolni, mégpedig oly módon, hogy a halmaz egészére ki kell terjeszteni a halmaz legérzékenyebb elemének besorolását. Az Adatgazdák az IBF kezdeményezésére és koordinálásával az adatok osztályozását évente legalább egyszer felülvizsgálják, és a besorolást megváltoztatják vagy jóváhagyják: ha az információkezelést és feldolgozást végző vagy támogató folyamatokban, illetve a kezelt adatok körében lényeges változás áll be, a Társaság tulajdonában vagy használatában lévő informatikai rendszerekben lényeges változás áll be. Az adatokat az alábbiak szerint kell besorolni a meghatározott biztonsági osztályokba: Információvédelmi biztonsági osztály Nyilvános Belső Bizalmas Szigorúan bizalmas Az adott biztonsági osztályra jellemző adattípusok A gazdálkodáshoz kapcsolódó mérlegadatok, amelyek közzétételére kötelezett a Társaság Interneten közzétett, nyilvánosan szolgáltatott információk, tesztszolgáltatások. Belső előterjesztések, jegyzőkönyvek, határozatok, utasítások, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba. Definíció, vagy szabályzat szerinti belső adatok, információk, amelyek csak belső üzleti célokra használhatóak fel. Nyilvános biztonsági osztályba kerülő adatok előkészítése során előálló munkaanyagok, amelyek nem kerülnek külön besorolás révén a bizalmas biztonsági osztályba. A Társaság normál üzleti tevékenységével kapcsolatos szerződésés ügyféladatok. Definíció, vagy szabályzat szerint üzleti titoknak nyilvánuló információ. Az informatikai infrastruktúrával kapcsolatos végleges, a pillanatnyi működést dokumentáló információk. Olyan adatok, amelyek nyilvánosságra kerülése hátrányosan befolyásolja a Társaság üzleti érdekeit. Azonosító és hitelesítő adatok, információk (azon információk köre, amelyek kapcsolattartás során a jogi és anyagi kötelezettség elismeréséhez szükséges formai kelléknek, azonosító és hitelesítő adatnak minősülnek). Olyan adatok, amelyek nyilvánosságra kerülése különösen hátrányosan befolyásolja a Társaság üzleti érdekeit. Hatályba helyezve: 2015. 04. 0. Oldalszám: 20 / 71
Oldalak száma: 21/71 Azon adatok, amelyek egyértelműen máshova nem kerültek besorolásra a Belső kategóriába tartoznak. A fenti besorolást kell alkalmazni az adatok mind elektronikus, mind nyomtatott formában történő megjelenése esetén. 6.1.3 Védelmi intézkedések a biztonsági célkitűzések alapján A Társaság területén bevezetett védelmi biztonsági intézkedések csökkentik a Társaság működése során fellépő károk bekövetkezésének valószínűségét. A védelmi intézkedések kötelező jellegűek a Társaság munkavállalóira nézve. A védelmi intézkedésektől eltérni csak egyedi esetben, az Ügyvezető igazgatók jóváhagyásával lehet. Az IBSz-ben, illetve az információbiztonság területére vonatkozó jogszabályokban és egyéb utasításokban, intézkedésekben foglaltak betartatásáért az IBF a felelős. Az ide vonatkozó erőforrások biztosítása az Ügyvezető igazgató feladata. 6.2 Az adathordozók biztonságos kezelése Az adathordozók biztonságos kezelésének kialakításával megakadályozható a Társaság magasabb szintű adatbiztonsági szintekbe besorolt adatainak illetéktelen kézbe való kerülése. A Társaság tulajdonában lévő, a magasabb szintű adatbiztonsági szintekbe besorolt adatok tárolására használt adathordozókat, amennyiben az a kockázati értékelésen egy előzetesen meghatározott értéket elér, azt egyedi azonosítóval kell ellátni, nyilvántartást kell vezetni róla. Az adathordozóra tett címkén, az adattal dolgozó alkalmazottnak fel kell tüntetnie az adott tartalomra vonatkozó bizalmassági kategóriákat. Kezelését ennek megfelelően kell megvalósítani. 6.2.1 Adathordozók tárolására vonatkozó elvek Figyelembe kell venni a gyártó által meghatározott tárolási környezetre vonatkozó paramétereket, a tároló helynek tűzbiztos, elektromágneses hatásoktól védett helynek kell lennie, az adatbiztonsági kategóriákba besorolt adatokat tartalmazó adathordozók tárolásánál figyelembe kell venni a szabályzat adatok kezelésével kapcsolatos előírásaiban megfogalmazottakat. két példányban való tárolás esetében a tároló helyet úgy kell kiválasztani, hogy szükség esetén az arra jogosult akadálytalanul és viszonylag gyorsan hozzáférhessen, de célszerűen, viszonylag távol. Ezzel megakadályozva mindkét példány egyidejű megsemmisülését természeti katasztrófa esetén. Az adatok osztályozása után meg kell határozni az osztályba sorolási szintnek megfelelően az adatok elvárt rendelkezésre állását is. Ennek alapján a rendszergazdáknak az Információbiztonsági Felelőssel közösen meg kell határozniuk azokat az információ-kezelő eszközöket is, amelyek szükségesek az adatok rendelkezésre állásához (szerverek, tárolók, Hatályba helyezve: 2015. 04. 0. Oldalszám: 21 / 71
Oldalak száma: 22/71 aktív eszközök, adathordozó médiák, stb.). Ha az eszközök különböző rendelkezésre-állású adatokat kezelnek, akkor azok közül a legszigorúbb követelményt kell figyelembe venni. 7 AZ EMBERI ERŐFORRÁSOK BIZTONSÁGA 7.1 AZ ALKALMAZÁST MEGELŐZŐEN 7.1.1 Feladat- és felelősségi körök A munkavállalók, külső személyek, mint felhasználók, illetve harmadik felek információbiztonsággal összefüggő feladat- és felelősségi körét a jelen szabályzattal, összhangban kell meghatározni és dokumentálni. 7.1.2 Kulcsfontosságú informatikai munkatársak Valamennyi kulcsfontosságú informatikai munkatársakat be kell azonosítani (például a helyettesítő / tartalék munkatársak), és az egyetlen személy által végzett kritikus fontosságú tevékenységektől való függés mértékét lehetőségekhez mérten minimalizálni kell. Ez az adott üzemigazgatóság üzemigazgatója feladata. 7.1.3 Átvilágítás Munkavállaló alkalmazását megelőzően az illetékes üzemigazgatóság részére javasolt a jelentkező referenciáit ellenőrizni, továbbá erkölcsi bizonyítványát bekérni. Szerződéses partner esetében a szerződésben rögzíteni kell a partner alkalmazottaival szemben támasztott követelményeket. 7.1.4 Alkalmazási feltételek A munkáltatói jogokat gyakorló, vagy nevében eljáró kötelessége, hogy a Társaságnál felvételre kerülő személy részére a munkaszerződésben, megbízási szerződésben, kinevezési okiratban, (rendszergazda stb.), vagy a munkaköri leírásban rögzítse az informatikai biztonsági kötelezettségeket, megszegésük esetére pedig hívja fel a figyelmet a fegyelmi, kártérítési és büntetőjogi következményekre. A munkavállaló a fentiek tudomásulvételét a Munkavállalói nyilatkozat aláírásával igazolja. A Társaság minden munkatársa, szerződéses partnere csak előzetes titoktartási nyilatkozat megtételét követően férhet hozzá a munkakörének, megbízásának megfelelő jogosultságokkal a Társaság informatikai rendszereihez és adataihoz. A munkáltatói jogokat gyakorló, vagy nevében eljáró köteles az informatikai biztonsággal kapcsolatos szerepeket ellátó minden egyes munkavállaló munkaköri leírásában rögzíteni az informatikai biztonsággal kapcsolatos kötelezettségeket. Hatályba helyezve: 2015. 04. 0. Oldalszám: 22 / 71
Oldalak száma: 23/71 A próbaidős munkavállaló a próbaidő alatt csak felügyelet mellett dolgozhat. Az információbiztonság előírásait az Információbiztonsági Politika, jelen IBSz, valamint az egyéb informatikai eljárásrendek rögzítik. Törekedni kell arra, hogy bizalmi munkakört csak főállású alkalmazott lásson el. Amennyiben ez nem valósítható meg, akkor a szerződővel szemben ugyanolyan követelményeket kell támasztani, mint a főállásúban levőkre. A feltételek megléte a szerződés létrejöttének alapfeltétele. A vonatkozó szerződésben meg kell határozni, hogy a bizalomvesztésre okot adó magatartás, vagy a feltételek hiánya (szerződés alatti megszűnése) egyoldalú elállási ok. 7.2 AZ ALKALMAZÁS IDŐTARTAMA ALATT 7.2.1 A vállalatvezetés felelőssége A Társaság vezetőségének felelőssége a biztonságos munkavégzés feltételeinek biztosítása, továbbá a munkakör ellátásához szükséges eszközök megteremtése. 7.2.2 Az információbiztonság tudatosítása, oktatás és képzés A Társaság minden felhasználóját az elektronikus információs rendszer folyamatos működése érdekében informatikai biztonsági oktatásban kell részesíteni. A Társaság vezetőségének biztosítania kell az oktatások előfeltételeit, az oktatásokkal kapcsolatos anyagok előállítását, az oktatás(ok) megrendezését, továbbá a szakmai továbbképzés lehetőségét. Az informatikai biztonsággal kapcsolatos kockázatokat csökkenti, ha a Társaság munkavállalói tisztában vannak a munkafolyamataikat támogató informatikai rendszerekkel. A Társaságnál a dolgozók kötelesek az érvénybe léptetett, valamint módosított IBSz-t megismerni, az abban foglaltakat betartani és betartatni, valamint az oktatáson részt venni. Az oktatás lebonyolítható a munkavállalókra vonatkozó tudnivalókat tartalmazó tájékoztató anyag átadásával, személyes konzultáció lehetőségének biztosításával is. Oktatást kell tartani az érintett munkavállalóknak hardver- és szoftver-eszközök, valamint a használatukat szabályozó eljárások jelentős változásakor. Minden oktatás után a munkavállalóknak a jelenléti íven történő aláírásukkal kell nyilatkozniuk, hogy a rájuk vonatkozó rendelkezéseket megismerték, és tudomásul vették. Az informatikai biztonsági oktatással kapcsolatos tájékoztató anyagot az IBF felügyelete alatt készül el. Az oktatásokat a felülvizsgálatot követően kell megtartani. Az IBF feladata az oktatási anyag szakmai részének elkészítése, naprakészségének és minden felhasználó részére való hozzáférhetőségének biztosítása, valamint az oktatások megtartása, amelyben fel kell hívnia a felhasználók figyelmét az IBSz munkavégzésükre vonatkozó irányelveire és az ezzel kapcsolatos felelősségekre; Hatályba helyezve: 2015. 04. 0. Oldalszám: 23 / 71
Oldalak száma: 24/71 ismertetnie kell azokat a sebezhetőségeket, amelyek a felhasználó adat és rendszer biztonságát veszélyeztető magatartását használják ki; az IBF kötelessége az oktatási anyag és oktatási tematika szerint felhasználói biztonság tudatosság építő oktatást megtervezni és megszervezni. Minden új felhasználó számára a munkakezdés követő egy héten belül biztosítani kell az oktatási anyag megismerését. Az oktatáson való részvételt a felhasználó aláírásával jegyzőkönyvön hitelesíti. A jegyzőkönyvnek tartalmaznia kell a következő mondatot: Alulírott, felelősségem teljes tudatában kijelentem, hogy az informatikai biztonsági oktatáson részt vettem, azon elhangzottakat megértettem, tudomásul vettem. A biztonsági oktatások megtörténtét dokumentálni kell, a jelenlevők névsorával együtt. Az oktatások megtörténtét az adott üzemigazgatóság üzemigazgatója ellenőrizheti. 7.2.3 Az információbiztonság megsértése A vonatkozó jogszabályok, és az információbiztonsággal összefüggő belső szabályozási dokumentumok megsértése munkajogi, polgári jogi, illetve büntető jogi következményeket vonhat maga után. Az IBF az információbiztonságot sértő eseményekről folyamatosan nyilvántartást vezet, és jelentést készít az Ügyvezető igazgatók, számára. A jelentésnek tartalmaznia kell: a biztonságsértés időpontját, a vétkes nevét és beosztását, a tevékenység által közvetlenül okozott kárt, a tevékenységgel közvetve okozható kár becsült mértékét, a javasolt szankciót. A biztonsági esemény kivizsgálása során az eseménnyel kapcsolatban érintett munkatársaknak együtt kell működniük az IBF-el, nem akadályozhatják a vizsgálat lefolytatását. 7.3 A MUNKAVISZONY MEGSZŰNÉSE, ILLETVE MEGVÁLTOZÁSA 7.3.1 FELELŐSSÉGEK AZ ALKALMAZÁS MEGSZŰNÉSEKOR A megszűnési igény (esetenként változás) dokumentált formában (papír vagy e-mail) kell, hogy érkezzen az Ügyvezető igazgató felé. A közvetlen vezetők felelőssége a munkavállaló jogosultságait visszavonatni, illetve a megváltoztatásukról intézkedni, úgy, hogy az aktuális jogosultsági állapot mentésre vagy dokumentálásra kerüljön. Hatályba helyezve: 2015. 04. 0. Oldalszám: 24 / 71
Oldalak száma: 25/71 A felhasználó (munkájához kapcsolódó) elektronikusan tárolt dokumentumait, e-mailjeit és egyéb általa létrehozott adatot menteni, archiválni kell az általa használt informatikai eszközről, szerver tárhelyről, illetve bármely egyéb adathordozóról. 7.3.2 VAGYONTÁRGYAK VISSZASZOLGÁLTATÁSA Valamennyi alkalmazottnak, szerződőnek és a felhasználó harmadik félnek vissza kell szolgáltatnia a Társaság valamennyi birtokukban lévő vagyontárgyát, amikor alkalmazásuk, szerződésük, illetve megállapodásuk lejár, illetve megszűnik. A munkavállaló részére kiadott eszközök visszaszolgáltatásáról jegyzőkönyvet kell készíteni, amelyet a munkavállalónak, a közvetlen vezetőnek, és az Ügyvezető igazgatónak aláírással hitelesíteni kell. A munkaszerződés bontásnak előfeltétele a munkavállaló részére kiadott eszközök maradéktalan visszaszolgáltatása. 7.3.3 HOZZÁFÉRÉSI JOGOK MEGSZÜNTETÉSE A felhasználói hozzáférések nyilvántartását dokumentált és ellenőrizhető formában nyilván kell tartani. A jogosultságok megszüntetése a jogosultságigénylő lapon nyomon követhető formában kell, hogy történjen. A jogosultságok visszavonását a munkavállaló utolsó munkanapjának végeztével kell megtenni. A jogosultságok visszavonatását a munkahelyi vezető felelőssége elvégezni. A hozzáférések visszavonásáért az adott üzemigazgatóság üzemigazgatója felel. 8 FIZIKAI VÉDELEM ÉS A KÖRNYEZET VÉDELME 8.1 TERÜLETEK VÉDELME, BIZTOSÍTÁSA A Társaság székhelyének, és telephelyeinek helyt adó irodákba történő bejutás és benntartózkodás rendjét a belépési szabályzat határozza meg. 8.1.1 FIZIKAI BIZTONSÁGI HATÁRZÓNA Azokon a területeken, ahol információkat vagy információ-feldolgozó eszközök koncentráltan vannak jelen, biztonsági határzónákat kell kijelölni, amelyet a belépés kontrollját megvalósító biztonsági megoldással kell védeni. A fizikai biztonsági határzóna egyrészt a Társaság által elfoglalt irodai területeinek határa, másrészt külön biztonsági határzónát képez a fokozottan védett kategóriába tartozó helyiségek határa. A kijelölt peremsáv határait lehetőség szerint fizikailag le kell zárni. Az informatikai helyiségekbe való belépésre csak abban az esetben adható felhatalmazás, ha az adott személynek arra: Hatályba helyezve: 2015. 04. 0. Oldalszám: 25 / 71
Oldalak száma: 26/71 munkaköri kötelességének, feladatának ellátásához, külső személy esetén a Társasággal szembeni szerződéses kötelezettség teljesítéséhez szüksége van (Ebben az esetben csak a helyiségbe belépésre felhatalmazott munkavállaló kíséretével léphet be ezekre a területekre). Az informatikai helyiségekbe való belépés az első bekezdésben foglaltak alkalmazása mellett állandó jelleggel csak az IT terület munkavállalói, a az adott üzemigazgatóság üzemigazgatója, az Ügyvezető igazgatók valamint az IBF számára engedélyezhető. Az engedély kiadása, nyilvántartása, felülvizsgálata az IBF feladata. A szerverszobáról, mint kiemelten védendő területről jelen szabályzat külön fejezete rendelkezik. A partnerek látogatását külön, az Üzemigazgató engedélyéhez kell kötni. Kiszervezett szolgáltatás esetén azon géptermekbe, ahol a Társaság szerverei vannak a kiszervezett szolgáltató vezetője engedélyezheti a belépést, de a kontrollnak működnie kell, amit az IBF ellenőriz. A külső felek beléptetését a Társaság irodai területére az ügyfélszolgálat végzi. Az ügyfélszolgálat csak telefonos megerősítést követően engedélyezheti a belépést. A külső felek belépése esetén biztosítani kell, hogy a látogatók csak kísérettel tartózkodhassanak a Társaság irodai területén. A munkavállalók kitűzőt viselnek melyen az egység neve a munkavállaló neve, és beosztása van feltüntetve. A látogató vendég kitűzőt kap melyet távozásakor le ad az ügyfélszolgálatra. 8.1.2 A szerverszoba kialakításának követelményei A szerverszoba elhelyezésének szempontjai A belmagasságot is figyelembe véve biztosítsa az egyes szerverek, vagy egyéb aktív eszközök számára szükséges levegő térfogatot. A helyiség aljzatának megfelelő statikai terhelhetősége az elhelyezett eszközök tömegét, és fizikai méretét figyelembe véve. A helyiség ajtajának mérete biztosítsa az elhelyezésre kerülő eszközök akadálytalan ki- és beszállítását. A helyiséghez vezető folyósok, lépcsők, liftek alkalmasak legyenek az elhelyezésre kerülő eszközök ki-, és beszállítására. A helyiség határoló falai és nyílászárói alkalmasak legyenek a fizikai betörések megakadályozására. A helyiség elhelyezését úgy kell megválasztani, hogy a felette elhelyezkedő helyiségekben ne legyen vizes blokk (mosdó, WC, konyha, stb.). Ellenkező esetben a födém vízzárásának kialakítása szükséges. Ha a szerverszoba szintjén vízkár veszélye forog fenn (árvíz, belvíz, csőtörés, stb.), akkor az alábbi védőmechanizmusok bevezetése szükséges: Hatályba helyezve: 2015. 04. 0. Oldalszám: 26 / 71
Oldalak száma: 27/71 Álpadlózat kialakítása, a berendezések mennyezetről történő elektromos betáplálása. Falak, nyílászárók vízbehatolás elleni védelme. Védőtálcák, dobogók alkalmazása a berendezések elhelyezésére. A szerverszoba behatolás védelme A szobába történő be, és a kilépést is naplózó beléptető rendszer végzi Automatikusan záródó bejárati ajtó, mely belülről kézzel nyitható (a menekülés biztosítása érdekében). Riasztó rendszer alkalmazása. kamerás megfigyelés kiépítése A szerverszoba tűzvédelme A tűz-, vagy füstriasztó rendszer alkalmazása. Kézi tűzoltó-berendezések elhelyezése a bejárat közvetlen közelében. A szerverszoba áramellátása A szerverszoba illetve a szervertermen kívüli zárt rack-szekrényben elhelyezett hálózati aktív eszközök áramellátásának biztosítását az alábbi szempontok szerint kell végrehajtani: A teljes épület villámvédelmének biztosítása. A szerverszobának a többi irodai elektromos hálózattól független betáplálásának biztosítása. A szerverszobában illetve az azon kívül zárt rack-szekrényben üzemeltetett eszközök túlfeszültség elleni biztosítása. Az elektromos kapcsoló és biztosíték szekrény biztonságos helyen való elhelyezése (lehetőleg bent a szerverszobában). Az elektromos főkapcsolók legyenek védve illetéktelen működtetés ellen. Az eszközök szünetmentes tápellátása (központi UPS vagy helyi UPS-ek). A helyiség elektromos betáplálásának terhelés elosztása fázisonként. Az UPS-ek betáplálásának elosztása fázisonként. A szerverszobában illetve az azon kívül zárt rack-szekrényben elhelyezett eszközök részére minimálisan 20 perc tartási időre méretezett UPS-t kell alkalmazni. Az UPS-ek akkumulátorait legalább évente egyszer (pl. a tervszerű megelőző karbantartás alkalmával) tesztelni kell és szükség esetén gondoskodni kell azok haladéktalan cseréjéről). Érintésvédelem kialakítása, rendszeres felülvizsgálata. A szerverszoba klimatizálása A szerverszoba üzemi hőmérsékletének szabályozásának érdekében az alábbi szempontok figyelembe vétele szükséges: Hatályba helyezve: 2015. 04. 0. Oldalszám: 27 / 71