Magyar Tudományos Akadémia Agrártudományi Kutatóközpont Adatvédelmi és adatbiztonsági szabályzat Martonvásár, 2012 Bedő Zoltán főigazgató 0
I. Általános rendelkezések Az MTA Agrártudományi Kutatóközpont (továbbiakban Kutatóközpont) adatvédelmi és adatbiztonsági szabályzata (továbbiakban szabályzat) a Kutatóközponthoz tartozó intézetek (lásd SZMSZ) és egyéb szervezeti egységek által használt számítógépes hálózat és infrastruktúrájának a rendszergazdákra vonatkozó adatvédelmi és adatbiztonsági szabályait írja le. 1. A szabályzat célja A szabályzat célja a Kutatóközpont adatvédelmi, adatbiztonsági szabályainak a rendszergazdákra vonatkozó előírások kialakítása. Jelen szabályzat a Kutatóközpont informatikai üzemeltetési, biztonsági szabályzatának részét képezi. 2. Rendszerfelügyelet A számítógépet hardver, szoftver a rendszergazda felügyeli és elvégzi a rendszeradminisztrációs feladatokat. A rendszergazda kontrollálja a hálózat egyes részeinek, szolgáltatásainak működését, rendeltetésszerű és szabályos használatát, valamint felel a biztonsági előírások betartásáért és betartatásáért. Nyilvántartási kötelezettségek A rendszergazdának valamennyi számítógépes felhasználói azonosítóról, informatikai erőforráshoz tartozó jogosultságról, a jogosultsági szinteket, kategóriákat tartalmazó igénylésekről, felhasználói felelősről naprakész nyilvántartást kell vezetnie. A nyilvántartást úgy kell kezelni, hogy ahhoz csak az arra jogosultak (rendszergazda, igazgató és helyettese) férhessenek hozzá. A felhasználói felelősnek az általa felügyelt informatikai erőforrásokra vonatkozó hozzáférési jogosultságokról nyilvántartást kell vezetni. A hozzáférési jogosultságokkal kapcsolatos igényléseket legalább a felhasználó jogosultságának visszavonását követő 60 napig őrizni kell. A felhasználók felhasználói azonosítói A felhasználói azonosítókat konkrét személyekhez kell rendelni. A felhasználói azonosítók kiosztását, karbantartását a rendszergazda végzi. A felhasználói azonosítókat lehetőleg a vezetéknévkeresztnévelsőbetűje névkonvenció alapján kell kialakítani. A személyekhez nem kapcsolható, azaz csoportos felhasználói azonosítót nem szabad jogosultsággal ellátni. 1
3. Szerverbiztonság Alapelvek: A hálózatba kapcsolt szerverekről nyilvántartást kell vezetni. A szerverekről minimálisan a következő információkat kell naprakészen nyilvántartani: o A szerver fizikai helye, o hardver konfigurációja, o operációs rendszere, o főbb funkciói, szolgáltatásai. A szervereket az Intézetek szerverszobáiban, zárt helyiségben kell elhelyezni. A szerverekhez való hozzáférést fizikailag korlátozni kell. A megfelelő alapbeállításokat, majd upgrade-eket, biztonsági javításokat mielőbb telepíteni kell. A szerverek konzoljairól az adminisztrációs tevékenység befejeztével ki kell lépni, nem szabad felügyelet nélkül bejelentkezve hagyni. Hacsak nem feltétlenül szükséges, nem szabad adminisztrátori jogosultságokkal használni a szervert. A szervereken le kell tiltani minden nem használt szolgáltatást. Ha adottak a technikai lehetőségek, a biztonságos kapcsolatfelvételt kell preferálni, adott esetben csak az ilyen típusú hozzáférést szabad engedélyezni. A szerverhez illetve szolgáltatásaihoz történő hozzáférési kísérleteket naplózni kell, és ezeket a naplókat rendszeresen ellenőrizni kell. A biztonsági mentéseket minden esetben a szervertől elkülönített helyiségben elzárva kell őrizni. A biztonsági eseménynaplókat 1 évig visszamenőleg kell őrizni. A jelentősebb biztonsági eseményeket az igazgatónak vagy helyettesének be kell jelenteni. Szervereken tárolt adatok A Gazdasági igazgatóságon kezelt személyes adatokat, bér- és munkaügyi, személyzeti nyilvántartás továbbá a gazdasági könyvelési adatokról két naponta (keddcsütörtök-szomban) kell, mentés szerverre, biztonsági mentést készíteni. A fájl szerveren tárolt adatokról, emailekről másik épületben elhelyezkedő szerverre kétnaponta (hétfő-szerda-péntek) kell mentést készíteni mely mentés hetente felülíródhat. A szerverek konfigurációs adatait minden változás esetén menteni kell, a mentést a szerverektől elkülönült helyiségben kell tárolni. A biztonsági eseménynaplókat 1 évre visszamenőleg meg kell őrizni. Legalább évente visszatöltés, helyreállítási kísérletet kell végezni a technika megfelelőségének ellenőrzése érdekében. Az eredményről jegyzőkönyvet kell felvenni. Az eredménytől függően a mentési rendszer korrekcióját is el kell végezni. Tűzvédelem: A szervereket tűzvédelmi és vagyonvédelmi berendezésekkel ellátott helyiségben kell elhelyezni. Vírusvédelem: A szervereken és munkaállomásokon folyamatosan gondoskodni kell a vírus-mentesítésről. Hozzáférés-védelem: A hálózati erőforrásokhoz, valamint adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal legalább felhasználói azonosítóval és 2
jelszóval lehet hozzáférni. A jelszavak cseréjéről rendszeresen gondoskodni kell. A rendszergazda legalább kéthetente köteles új jelszót megadni. Hálózati védelem: A mindenkor rendelkezésre álló számítástechnikai eszközök felhasználásával meg kell akadályozni, hogy adatokat tároló, hálózaton keresztül elérhető szerverekhez illetéktelen személy hozzáférjen. o A fájl szervert, a GAO szervert és a belső hálózatot külső behatolások ellen tűzfallal védeni kell! A megfelelő védelmet a külső telephelyeken is biztosítani kell! o A tűzfal védelmi rendszerét rendszeresen felül kell vizsgálni és ha szükséges frissíteni. Szerverszoba működése A szerverszobában lévő szervereket csak rendeltetésüknek megfelelően szabad használni. A szerverekre telepített programokat törölni vagy módosítani, illetve a számítógépekre új programokat telepíteni csak a rendszergazda jogosult. A szerverszoba berendezéseit kikapcsolni, átrendezni, átkonfigurálni, a számítógépeket kinyitni illetve a gépteremből elvinni csak a rendszergazda vagy az általa felkértek jogosultak. A szerverszobában a rendszergazda engedélye nélkül tartózkodni tilos. Tilos a dohányzás illetve nyílt láng használata. Mindenki köteles betartani a Kutatóközpont érvényes vagyonvédelmi, munkavédelmi és érintésvédelmi szabályait. A szerverszobában lévő eszközökben okozott bármilyen kárt a károkozó köteles azonnal jelenteni, majd az okozott kárt megtéríteni. A szerverszoba rendjére minden belépőnek kötelessége ügyelni. 4. Szoftverhasználat A rendszergazda szoftverhasználattal kapcsolatos kötelességei: Telepíti, konfigurálja a számítógép által futtatott szoftvereket (a számítógép beépített gyári szoftverét is beleértve) a felhasználói igények szerint. Tájékoztatja a felhasználót a telepítés során a szoftver licenszében rögzített jogokról és kötelezettségekről. Aktualizálja a nyilvántartásban 2 héten belül a szoftverállományban történő változásokat. Ellenőrzi, hogy az egyedi fejlesztésű programok gyártó által történő telepítése során csak a szerződésben szereplő legális szoftverek kerüljenek telepítésre, amikor a szoftvert a gyártó telepíti. A rendszergazda szoftverhasználattal kapcsolatos jogai: Új szoftver telepítésére csak a rendszergazda vagy az általa megbízott személy jogosult. A rendszergazda a rendszer technikai védelme érdekében jogosult technikai korlátozások bevezetésére. A rendszergazda a számítógép használójának felügyelete mellett rendszeresen és alkalomszerűen ellenőrizheti az adott szervezeti egységen belül a szoftverek 3
legalitását, a rendelkezések betartását. Az ellenőrzésről jegyzőkönyvet készít, melyet a szervezeti egység vezetőjének ad át. A rendszergazda szoftverhasználattal kapcsolatos mindennemű felelőssége megszűnik, ha azt illegálisan telepítették. A rendszergazda köteles a felelősség megszűnését és a kiváltó okokat az igazgatónak írásban bejelenti. Szoftverek nyilvántartása A beszerzett szoftverek nyilvántartása a Gazdasági igazgatóságon történik számviteli előírások szerint. A szoftver részletes nyilvántartását a rendszergazda végzi. A nyilvántartásban tételesen fel kell sorolni a rendelkezésre álló szoftver licenszeket az alábbi szempontok feltüntetésével: a szoftver gyártója, a szoftver neve, a szoftver verziószáma, a szoftver leírása, a szoftver azonosító sorszáma, szériaszáma, a szükséges hardver környezet, a szükséges operációs rendszer, szoftverkörnyezet, a szoftver licensz típusa (egyedi, konkurens, OEM, frissítés,..) a licensz feltételei: hányan, hány számítógépen, mettől meddig használhatják, a szoftvert melyik számítógép(ek)re telepítették: szervezeti egység, felhasználó, gépnév. A szoftverek biztonsági mentésének rendje Cél, hogy a Kutatóközpont informatikai rendszere akkor is (újra) telepíthető legyen, ha bármely ok például katasztrófa következtében elérhetetlenné válnak a programokat tartalmazó eredeti adathordozók. Ezért létre kell hozni egy szoftverkönyvtárat a szerverszobában, ami a szoftverek biztonsági másolatát tartalmazza: Az egyes programokat tartalmazó adathordozókról történő másolatkészítés célja annak biztosítása, hogy a későbbi felhasználás számára folyamatosan rendelkezésre álljanak az adott programok éles informatikai környezetben üzembe helyezett legutolsó verzióinak telepíthető változatai. Dobozolt alkalmazói rendszer esetében biztonsági másolaton az eredeti adathordozók másolatát értjük. Nem kell másolatot készíteni, ha az adott program több licensszel és egynél több telepítésre alkalmas adathordozóval került beszerzésre, mivel ekkor az eredeti adathordozók egyike tölti be a szoftver biztonsági másolatának szerepét. Egy példányt a szoftverkönyvtárban kell elhelyezni. A Kutatóközpont részére egyedi fejlesztésű alkalmazói rendszer (a forráskód a Kutatóközpont rendelkezésére áll) esetében biztonsági másolaton az alkalmazói rendszer végrehajtható kódját tartalmazó elektronikus adathordozók másolata értendő. Az alkalmazói rendszer biztonsági másolatát az adott rendszer üzembe helyezését követően egy munkanapon belül kell elkészíteni. A biztonsági másolatokat tartalmazó adathordozókat legkésőbb az elkészülte után a következő munkanapon a szoftver licensz igazolásával együtt el kell juttatni a szerverszobába. A központilag beszerzett szoftverek adathordozóit (operációs rendszer, vírusirtó, stb.) a rendszergazda kezeli, egy-egy másolatot elhelyez a szoftverkönyvtárban. 4
Az egyénileg beszerzett szoftverek eredeti adathordozóját a felhasználó biztonságos helyen tárolja a dokumentációkkal együtt, egy másolatot lead a szoftverkönyvtárba. Ha valamely program selejtezésre kerül, akkor a számítógépes programot tartalmazó adathordozókat jegyzőkönyv felvétele mellett meg kell semmisíteni. Ha valamely program verzióváltásakor az adott számítógépes program előző változatának éles üzemeltetése megszűnik, akkor a megszűnt verziót tartalmazó adathordozókat jegyzőkönyv felvétele mellett meg kell semmisíteni. A szoftverkönyvtárban őrzött biztonsági másolatokat tartalmazó adathordozókról nyilvántartást, az eredeti adathordozó tárolási helyét, a mozgatásukról folyamatosan aktualizált naplót kell vezetni, melyben rögzíteni kell a mozgatás dátumát, az adathordozó azonosítóját, mozgatás okát valamint az azt végző személy nevét. II. Záró rendelkezések Jelen szabályzat 2012. lép hatályba. A szabályzatot a Kutatóközpont informatikai üzemeltetési, biztonsági szabályzatával egy időben felül kell vizsgálni, és a megváltozott helyzethez igazítani. 5