SFC2007 Jogosultságkezelési szabályzat 1
Tartalom Verziókövetés... Hiba! A könyvjelző nem létezik. A szabályzat célja... 3 A szabályzat hatálya... 3 Általános rendelkezések... 3 1. Az SFC2007 jogosultságkezeléshez kötődő feladat- és hatáskörök... 3 2. Azonosítási rendszer és jelszó követelmények... 4 3. SFC2007 hozzáfárás igénylése új felhasználói fiók létrehozása... 4 4. SFC2007 jogosultságok módosítása... 4 5. SFC2007 felhasználói fiók törlése... 5 6. Elfelejetett jelszavak, jelszó megújítása... 5 7. Távozó személyek jogainak megvonása... 5 8. Szervezeten belüli átlépők kezelése... 5 9. Felhasználói adatok módosulása... 6 10. Biztosnági incidensek... 6 11. Kérelmek archiválása, mappák elérésének korlátozása... 6 12. Felhasználók frissítő képzése és biztonsági oktatása.... 6 13. Jogok indokoltságának felülvizsgálata... 6 Mellékletek:... 7 2
A szabályzat célja A szabályzat célja a 2007-2013 programozási időszak ESZA, ERFA, KA alapok kezelésére szolgáló SFC2007 (System for Fund management in the European Community 2007-2013) szabályozott, ellenőrizhető felhasználói adminisztrációjának megteremtése érdekében a központosított jogosultságkezelés átláthatóságának, nyomon követhetıségének biztosítása. Jelen szabályzat az ESZA, ERFA, KA alapokra vonatkozik. A szabályzat célja továbbá, hogy meghatározza az SFC2007 felhasználók jogosultságigénylési, - módosítási, -megszüntetési folyamatát, a jogosultságok ellenőrzéséhez, felülvizsgálatához kapcsolódó feladatokat. A szabályzat hatálya Az 1083/2006/EK tanácsi rendelet 66. és 76. cikke (monitoringra vonatkozó rendelkezések, kifizetések általános szabályai) alapján, az e célból folytatott információcsere elektronikus úton történik. A további, az adatok elektronikus cseréjére vonatkozó részletes szabályokat az 1828/2006/EK bizottsági rendelet 39-42. cikke tartalmazza. A hivatkozott jogszabályokban foglaltak szerint az Európai Bizottság feladata az, hogy az adatcserét biztosító számítástechnikai rendszert létrehozza, az operatív programokkal kapcsolatos valamennyi adatcsere eszközeként. Ennek megfelelően került bevezetésre az SFC2007 a 2007-2013 programozási időszakra vonatkozóan. A jogosultságok kezelési módját az 1828/2006/EK bizottsági rendelet 41. cikke szabályozza, mely szerint a tagállamok centralizálják és az Európai Bizottsághoz továbbküldik az adatcserét biztosító számítástechnikai rendszerhez való hozzáférési jogosultságok iránti kérelmeket. Általános rendelkezések A felhasználónak minden esetben csak annyi hozzáféréssel szabad rendelkeznie, mely feladata ellátásához szükséges (szükséges és elégséges privilégium elve). Csak azon felhasználói jogosultságok beállítása hajtható végre, amelyek megjelölése, leírása egyértelmű. A jogosultságigény engedélyező csak a hatáskörébe tartozó adatokhoz való hozzáférésről rendelkezhet. A jelszavak esetleges tárolásánál a felhasználóknak kódolást kell alkalmazniuk, és biztosítaniuk kell annak mások általi visszafejthetetlenségét. Rendszeres időközönként felül kell vizsgálni a felhasználói hozzáférési jogosultságokat. A felülvizsgálatot a Miniszterelnökség központi koordinációs szerve kezdeményezi az érintett szervezeteknél. Ha a fent említett felülvizsgálat vagy a napi működés során bebizonyosodik, hogy az adott felhasználó jogosulatlanul (jóváhagyás nélkül vagy jelen szabályzatot be nem tartva) használja a rendszert, a központi koordinációs szerv fenntartja a jogot, hogy a hozzáférést azonnal (a felhasználó előzetes értesítése nélkül) felfüggessze. Helyettesítés esetén ideiglenes jogosultságot kell igényelni az eseti (pl. betegség, szabadság miatti helyettesítés és munkaerő átcsoportosítás) feladatok elvégzéséhez. Az ideiglenes jogosultságok visszavonását az igény engedélyezőjének az átmeneti időszak elmúlásával haladéktalanul kezdeményeznie kell. 1. Az SFC2007 jogosultságkezeléshez kötődő feladat- és hatáskörök Magyarosrszágon az SFC2007 feladatok koordinálásáért felelős intézményként az ERFA, ESZA és KA források tekintetében (Member State Organisation MSO) a központi koordinációs szerv került kijelölésre. Ennek megfelelően a központi koordinációs szerven belül találhatóak meg az Európai Bizottság által kért felelős tisztségviselők is az érintett alapok esetén: a tagállami összekötő (MS Liaison) és a technikai kérdésekért felelős tagállami munkatárs (MS System Owner) is. 3
A tagállami összekötő (valamint helyettesének) feladata az, hogy a rendszerrel kapcsolatos információkat, igényeket, kérdéseket közvetítse a bizottsági kollégák, illetve a tagállami felhasználók között, közreműködésével valósul meg a rendszerhez való hozzáférések igénylése is. A technikai kérdésekért felelős tagállami munkatárs a rendszer használatával és elérhetőségével kapcsolatos kérdésekkel foglalkozik. 2. Azonosítási rendszer és jelszó követelmények Belépés az SFC2007-be csak érvényes felhasználónév (login) és jelszó együttes használatával lehetséges. Az első belépést követően a jelszót meg kell változtatni. A jelszó megválasztásakor és használatakor a rendszer védettsége érdekében az általánosan elfogadott nemzetközi informatikai ajánlások szerint kell eljárni. A jelszó tartalmazzon kis- és nagybetűt, számot, és legalább 8 karakter hosszúságú legyen. A jelszó megváltoztatása 90 naponként ajánlott (a cserét a rendszer nem kényszeríti ki). 3. SFC2007 hozzáfárás igénylése új felhasználói fiók létrehozása Jogosultságigény elküldése: A felhasználó kapcsolatba lép az SFC tagállami összekötővel, eljuttatja részére az 1. melléklet szerinti, vezető által aláírt jogosultságigénylőt. Igény ellenőrzése és benyújtása: A tagállami összekötő azonosítja az igényt benyújtó felhasználót annak e-mail címe, fax- vagy telefonszáma alapján. A tagállami összekötő azonosítja az igénylő szervezetét a 2. melléklet szerinti táblázat alapján. A jogosult szervezetek listája a központi koordinációs szerv vezetői jóváhagyásával bővíthető. A nem megfelelő szervezettől érkező kérések teljesítését a tagállami összekötő visszautasítja. A jogosultságigény aláírásával az igénylő felettese igazolja, hogy a felhasználó jogosult az igényelt hozzáférési szint (írás, módosítás, küldés) használatára. A tagállami összekötő ellenőrzi az aláírás meglétét és a jogosultságigény teljességét. Amennyiben az igény nem megfelelően kitöltött, vagy hiányos, pótlást kér a felhasználótól. A fentiek ismeretében, a tagállami összekötő ellenőrzi a felhasználó jogosultságát az igényelt szerepkörre a 4. melléklet szerinti szerepkörleírás alapján. Végezetül a tagállami összekötő rögzíti a jogosultsági igényt az SFC2007 jogosultásgok adminisztrációjára szolgáló User and Security Module-ban (USM). Igény feldolgozása: Az SFC2007 Support Team ellenőrzi, hogy az igénylő személy nem rendelekezik-e már hozzáféréssel. Ezt követően az igény feldolgozásra kerül, majd az USM automatikus e-mailt küld az igénylőnek a felhasználói fiók adataival (login, a jelszó első fele). Az USM automatikus e-mailben elküldi a jelszó második felét a tagállami összekötőnek, aki továbbítja azt az igénylő személynek. 4. SFC2007 jogosultságok módosítása Jogosultságigény elküldése: A felhasználó kapcsolatba lép a tagállami összekötővel, eljuttatja részére az 1. melléklet szerinti, vezető által aláírt jogosultságigénylőt. Igény ellenőrzése és benyújtása: A tagállami összekötő azonosítja az igényt benyújtó felhasználót annak e-mail címe, fax- vagy telefonszáma alapján. A tagállami összekötő azonosítja az igénylő szervezetét a 2. melléklet szerinti táblázat alapján. A jogosult szervezetek listája a központi koordinációs szerv vezetői jóváhagyásával bővíthető. A nem megfelelő szervezettől érkező kérések teljesítését a tagállami összekötő visszautasítja. A jogosultságigény aláírásával az igénylő felettese igazolja, hogy a felhasználó jogosult az igényelt hozzáférési szint (írás, módosítás, küldés) használatára. A tagállami összekötő ellenőrzi az aláírás meglétét és a jogosultságigény teljességét. Amennyiben az igény nem megfelelően kitöltött, vagy hiányos, pótlást kér a felhasználótól. A fentiek ismeretében a tagállami összekötő ellenőrzi a felhasználó jogosultságát az igényelt szerepkörre a 4. melléklet szerinti szerepkörleírás alapján. 4
Végezetül a tagállami összekötő rögzíti a jogosultsági igényt az SFC2007 jogosultásgok adminisztrációjára szolgáló User and Security Module-ban (USM). Igény feldolgozása: Az SFC2007 Support Team feldolgozza az igényt. Az USM automatikus e-mailt küld a felhasználónak a jogosultságok módosításáról. Az USM automatikus e-mailt küld a tagállami összekötőnek az igény feldolgzásáról. 5. SFC2007 felhasználói fiók törlése Jogosultságigény elküldése: A felhasználó, vagy szervezeti egységének jogosultságfelelőse kapcsolatba lép a tagállami összekötővel, eljuttatja részére az 1. melléklet szerinti, vezető által aláírt jogosultságigénylőt. Igény ellenőrzése és benyújtása: A tagállami összekötő azonosítja az igényt benyújtó felhasználót annak e-mail címe, fax- vagy telefonszáma alapján. A tagállami összekötő azonosítja az igénylő szervezetét a 2. melléklet szerinti táblázat alapján. A nem megfelelő szervezettől érkező kérések teljesítését a tagállami összekötő visszautasítja. A jogosultságigény aláírásával az igénylő felettese igazolja a törlési igényt. A tagállami összekötő ellenőrzi az aláírás meglétét és az igény teljességét. Amennyiben az igény nem megfelelően kitöltött, vagy hiányos, pótlást kér a felhasználótól. Végezetül a tagállami összekötő rögzíti a törtlési igényt az SFC2007 jogosultásgok adminisztrációjára szolgáló User and Security Module-ban (USM). Igény feldolgozása: Az SFC2007 Support Team feldolgozza az igényt. Az USM automatikus e-mailt küld a tagállami összekötőnek az igény feldolgzásáról. 6. Elfelejetett jelszó megújítása Jelszóigény elküldése: A felhasználó e-mailben értesíti az SFC2007 Support Teamet (SFC2007-info@ec.europa.eu) a jelszómegújítás szükségességéről. Az igénynek tartalmazni kell a felhasználó nevét és login nevét (w000..). A kérelmet másolatban el kell küldemi a tagállami összekötőnek. Jelszóigény feldolgozása, új jelszó megküldése: Az SFC2007 Support Team ellenőrzi a felhasználói fiók meglétét és a felhasználó nevének egyezőségét. Egyezőség esetén az SFC2007 Support Team e-mailben elküldi az új jelszó első felét az igénylőnek. Az SFC2007 Support Team e-mailben elküldi a jelszó második felét a tagállami összekötőnek, aki továbbítja azt az igénylő személynek. 7. Távozó személyek jogainak megvonása Jogosultságigény benyújtása: A központi koordinációs szerv rendszeres tájékoztatást kap az érintett szervezeteket elhagyó felhasználókról. A tájékoztatás a kiléptetési folyamat részét képezi. A tájékozatatás alapján a tagállami összekötő rögzíti a törlési igényt az SFC2007 jogosultásgok adminisztrációjára szolgáló User and Security Module-ban (USM). Igény feldolgozása: Az SFC2007 Support Team feldolgozza az igényt. Az USM automatikus e-mailt küld a tagállami összekötőnek az igény feldolgzásáról. 8. Szervezeten belüli átlépők kezelése A központi koordinációs szerv rendszeres tájékoztatást kap az érintett szervezeteken belül átlépő felhasználókról. Ilyen esetben a felhasználók vezetője nyilatkozik a felhasználó jogosultságainak megtartásáról, módosításáról, törléséről. Amennyiben a hozzáférési jogok módosítása, törlése szükséges, a fentiekben leírt eljárások követendők. 5
9. Felhasználói adatok módosulása Amennyiben az SFC felhasználók azonosító adataiban (név, szervezet, telefonszám, e-mail) változás következik be, ezt jelezni kell az SFC2007 Support Team részére, mivel ezen adatok szükségesek a későbbi igények feldolgozásához. 10. Biztosnági incidensek SFC felhasználókat azonnali bejelentési kötelezettség terheli a tagállami összekötő felé az alábbi incidensek előfordulásakor: Hozzáférési jelszó kompromittálódása Jogosulatlan hozzáférés gyanúja (saját hozzáférés használata más személy által) Indokolatlan adatváltozás észlelése Tagállami összekötő által észlelt incidensek: Ismeretlen szervezet vagy személy által igényelt jogosultság Megfelelő jóváhagyás nélküli jogosultság igénylés Visszavont jogosultság további használatának észlelése A tagállami összekötő informálja az Európai Bizottságot a rendszeresített elérhetőségen bármely felsorolt incidens bekövetkezik. 11. Kérelmek archiválása, mappák elérésének korlátozása A jogosultsági kérelmeket elektronikus úton kell benyújtani a tagállami összekötő felé. A benyújtott dokumentumból hitelt érdemlő módon meg kell tudni állapítani, hogy a jogosultságigény jóváhagyása megfelelő volt-e. A kérelmek feldolgozásukat követően tartalékolt elektronikuson tároló rendszeren archiválásra kerülnek. Az archivált dokumentumokhoz történő hozzáférés a tagállami intézményre előírt bizottsági ajánlásoknak megfelelő archiválási és hozzáférési rend szerint történhet. 12. Felhasználók frissítő képzése és biztonsági oktatása. Minden SFC felhasználónak részt kell vennie az Europai Bizottság Központi Oktató rendszerében elérhető on-line SFC képzés kurzuson. A naprakész információk elsajátítása érdekében a képzéseket évente meg kell ismételni. 13. Jogok indokoltságának felülvizsgálata Minden SFC jogosultsággal rendelkező szervezet jogosultság felelőse köteles azonnal bejelenteni, amennyiben egy aktív felhasználó a szervezettől távozik, vagy munkaköréhez a továbbiakban nem szükséges SFC jogosultság. A fenti kötelezettség ellenőrzésére minden szervezet esetében átlagosan 4 havonta a központi koordinációs szerv a jogosultságok felülvizsgálatát kezdeményezi. A felülvizsgálat során a nem igazoltan szükséges jogosultságok visszavonásra kerülnek. 6
Mellékletek: 1. melléklet: jogosultságigénylő formanyomtatvány Access_Request_For m_aktualis.xls 2. melléklet: a jogosult szervezetek listája IGH Miniszterelnökség NFM NGM EMMI KÜM 3. melléklet: az egyes szerepkörök által végeztt feladatok listája Member State Audit Authority (MSAA) Ellenőrző Hatóság Feladat: irányítási és ellenőrzési rendszer kezelése. Ellenőrzési Stratégiák kezelése Éves és Záró Ellenőrzési Jelentés kezelése Éves összefoglaló kezelése Member State Management Authority (MSMA) - Irányító Hatóság Feladat: operatív programok kezelése. Common Identification Codes (CCI) rendszer kezelése OP-k kezelése Nagyprojektek Irányítási és ellenőrzési rendszer dossziék kezelése Éves pénzügyi előrejelzése Monitoring Bizottságok NSRK (megtekintés) Nemzeti Stratégiai Terv (megtekintés) Kifizetések (megtekintés) Member State Authority (MSA) Tagállami Hatóság Feladat: nem programspecifikus tagállami feladatok kezelése. Common Identification Codes (CCI) rendszer kezelése NSRK kezelése Nemzeti Stratégiai Terv kezelése Irányítási és ellenőrzési Éves összefoglalók kezelése Stratégiai jelentéstétel Member State Compliance Assessment Feladat: irányítási és ellenőrzési rendszer 7
Authority (MSCO) - Megfelelőségértékelési Hatóság dokumentumainak kezelése. Irányítási és ellenőrzési rendszer dossziék kezelése Member State Certifying Authority (MSCA) Igazoló Hatóság Feladat: költségigazolás Időközi kifizetési kérelem MS Annual Summary Updater (MSAS) Éves összefoglalók kezelése 8