7/2008. (IX. 25.) NFGM utasítás
a Nemzeti Fejlesztési és Gazdasági Minisztérium Információ Biztonsági Szabályzatáról1
2010.05.08.
1. Az Információ Biztonsági Szabályzat célja
Jelen Információ Biztonsági Szabályzat (a továbbiakban: IBSz) célja a Nemzeti Fejlesztési és Gazdasági Minisztérium (a továbbiakban: Minisztérium) tulajdonában lévő adatok és az adatokat tároló informatikai rendszerek védelmi tevékenységeinek szabályozása, az adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása érdekében.
Az IBSz jellemzően a Minisztérium információ biztonságáért felelős személyek, és a hatálya alá tartozó felhasználók feladatait foglalja össze.
Az IBSz általános iránymutatással, fogalmi keretrendszerrel és irányelvekkel szolgál az utasításszintű szabályzatok elkészítéséhez.
Az IBSz kiadásának általános célja a Minisztérium informatikai rendszereiben kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása és az ezt elősegítő védelmi intézkedések megteremtése és szabályozása.
Jelen Információ Biztonsági Szabályzatnak a célja továbbá, hogy átlátható és nyomon követhető formában rögzítse azon célokat és irányelveket, melyek segítségével az információ biztonság magasabb fokú kialakításának további teendői, illetve további szabályzatai, leírásai egy komplex, átfogó és széles körű információbiztonságot alkossanak.
2.2 Az Információ Biztonsági Szabályzat hatálya
2.1. A szabályzat tárgyi hatálya
Az IBSz által megfogalmazott irányelveket érvényre kell juttatni az NFGM tulajdonában lévő vagy az általa üzemeltetett vagy használt más szervezetek tulajdonát képező informatikai rendszerek tekintetében azok teljes életciklusa alatt (a fejlesztési igények megfogalmazásától a rendszerből történő kivonásig).
Az utasítás tárgyi hatálya kiterjed az NFGM tulajdonában lévő és az általa üzemeltetett vagy használt más szervezetek tulajdonát képező informatikai hardver (szerverek, munkaállomások, hálózati eszközök, telefonok, adathordozók, eToken) és szoftvereszközökre (operációs rendszer, dobozos és saját fejlesztésű alkalmazói szoftvercsomagok, felhasználói segédprogramok, szoftverek dokumentációi és licencinformációi), valamint a fenti eszközök alkalmazásával megvalósított informatikai szolgáltatásokra és ezek dokumentációjára, a szolgáltatási szint megállapodásokat (a továbbiakban: SLA) is beleértve.
A tárgyi hatály kiterjed továbbá az NFGM területén használt, minden olyan más szervezetek tulajdonát képező informatikai berendezésre, mely az NFGM felső vezetőjétől, illetve Informatikai főosztályától engedélyt kapott annak informatikai rendszeréhez való csatlakozására.
Továbbá az IBSz tárgyi hatálya kiterjed az NFGM és az információbiztonsági igazgató által felügyelt intézményekre az intézmények szervezeteire, azok területén használt, üzemeltetett az NFGM informatikai rendszerével kapcsolatba kerülő eszközre és azokon tárolt adatokra, illetve minden olyan szakmai alkalmazásra, folyamatra, amely az NFGM hatáskörébe tartozik.
2.2. A szabályzat személyi hatálya
Az utasítás személyi hatálya kiterjed az NFGM minden szervezetére, azok valamennyi alkalmazottjára, és minden olyan külső személyre, akik az NFGM tulajdonában lévő, általa üzemeltetett vagy használt informatikai rendszerekkel vagy adatokkal kapcsolatba kerülnek. Az NFGM informatikai rendszereivel kapcsolatba kerülő személyeknek kivétel nélkül szerződéses viszonyban kell állniuk az NFGM-mel. Ezen szerződésnek kötelezően kell informatikai biztonsági pontokat tartalmaznia, amely nem lehet ellentmondásban az IBSz egyetlen pontjával sem.
3.3 A szabályzathoz kapcsolódó munkautasítások jegyzéke
Dokumentum neve |
Típusa |
Felhasználói tevékenységek szabályozása |
Munkautasítás |
Jogosultságkezelési munkautasítás |
Munkautasítás |
Vírusvédelmi munkautasítás |
Munkautasítás |
Információbiztonsági fogalomtár |
Melléklet |
Alkalmazói rendszerek minősítése |
Melléklet |
Jogosultságigénylő/módosító lap |
Melléklet |
Adminisztrátori hozzáférések szabályozása munkautasítás |
Munkautasítás |
4. Információbiztonság működtetése
4.1. Az információbiztonság szervezeti struktúrája
A Minisztérium az információbiztonsággal kapcsolatos problémakör menedzselésére egy Információ Biztonsági Bizottságot (IBB) hoznak létre, amely összefogja a fizikai, logikai, személyzeti és informatikai biztonsággal kapcsolatos területeket. Ez egy speciális fórum, mely a Minisztérium adatvédelmi és biztonsági érdekeit képviseli.
A Bizottság, kötelezően negyedévente, vagy váratlanul felmerült biztonsági kérdések esetén ülésezik. Feladata az információbiztonság megteremtése és fenntartása.
Az ülések témáit a következők képezik:
– az IBSz által megfogalmazott ellenőrzési és egyéb feladatok elvégzésének értékelése,
– az IBSz-ben rögzített szabályok megszegéséből, illetve be nem tartásából adódó felelősségre vonási eljárások kezdeményezése,
– felmerült biztonsági kérdések megvitatása, szervezetre való hatásának megvizsgálása és megfelelő válaszlépésekhez szükséges döntések meghozatala,
– biztonsági feladatok tervezése, koordinálása, megfelelő biztonsági környezet tulajdonságainak meghatározása
– rendkívüli biztonsági események megvitatása.
Az IBB tagjai az informatikai főosztályvezető, az információbiztonsági igazgató, az információbiztonsági megbízott és a mindenkori üzemeltetésért felelős vezető. Ideiglenes tagjai lehetnek a humánigazgatási és jogi területekért felelős vezető beosztású személyek és azon területek vezetői, amelyek egy biztonsági incidens esetén vagy egyéb ok (fegyelmi eljárás, szakmai konzultáció) miatt döntési hatáskörrel rendelkeznek.
Az információbiztonsággal összefüggő kockázatokat, az azok csökkentésére szolgáló ellenőrzéseket az IBB értékeli. Az információbiztonsági szabályok betartatását az IBB illetve az információbiztonsági megbízott és a belső ellenőrzésért felelős szervezeti egység monitorozza. Menedzsment szinten az IT biztonsági igazgató biztosítja ezen feladatok ellátásához szükséges felsővezetői támogatást.
A biztonsági ellenőrzés annak feltárására irányul, hogy maga az IBSz, a tényleges folyamatok és a szervezet elfogadhatóan biztosítja-e az üzleti funkciók ellátásának biztonságát, a nem kívánt események megelőzését, felismerését, elhárítását, azaz a biztonsági kockázatok megfelelő kezelését.
Az ellenőrzés nyomán – ha indokolt – kezdeményezni kell a hatályos szabályok, az IBSz és a kapcsolódó utasítások módosítását. Amennyiben új rendelet lép érvénybe vagy a meglévő szabályozás változik ezeket követni szükséges a hatályos biztonsági szabályzatokban.
4.2. Az információbiztonsági dokumentum rendszer felépítése
Információbiztonsági Szabályzat: Az informatikai biztonság alapvető dokumentuma, a Minisztérium által használt IT biztonsági szabályok és előírások BS7799 szerint rendszerezett, eljárás szintű követelmények meghatározása.
Rendszer szintű biztonsági előírások, IT biztonsági munkautasítások – A Minisztérium informatikai rendszerének egyes elemeire vonatkozó, üzemeltetési és felhasználói tevékenységeket meghatározó biztonsági követelmények végrehajtási utasításai.
Biztonsági bizonylatok: – A Minisztérium működése során keletkező információbiztonsággal összefüggő engedélyezési és jóváhagyási folyamat részeit alkotó hivatalos dokumentumok.
4.3. Megfelelés a jogszabályoknak és a belső biztonsági szabályzatoknak
A Minisztérium szabályozásának és működésének meg kell felelnie a vonatkozó törvényi előírásoknak és jogszabályoknak, valamint a jelen IBSz-en túl az egyéb területeket szabályzó belső szabályzatoknak is. Ezen jogszabályok és törvényi előírások a következők:
Törvények és jogszabályok
79/1995. számú kormányrendelet a minősített adatok kezelésének rendjéről
Az informatikai rendszerekre vonatkozó szabványok, ajánlások elsősorban a Közigazgatási Informatikai Bizottság 25. számú ajánlása.
A KIB 25. számú ajánlásának megfelelő biztonsági elvárások az alábbiak:
– 25/1-2. Informatikai Biztonság Irányítási Követelmények kötetének 10.7-es pontja.
– 25/1-2. Informatikai Biztonság Irányítási Követelmények kötetének 9. fejezete.
4.4. Felülvizsgálati rendszer
A Minisztérium IT biztonsági fenyegetettségének elemzését és kockázatok meghatározását évente el kell végezni.
A Minisztérium IBSz-nek megfelelő működését igény szerint, de legalább évente teljeskörűen ellenőrizni kell. A fenyegetettségek elemzését és a kockázatok meghatározását az informatikai főosztályvezetőnek kell végrehajtania, igény esetén független külső szakértőt kell bevonni.
Abban az esetben, amikor a Minisztériumra és annak működésére vonatkozó jogszabály vagy törvény megváltozik, s ez a változás érinti az IBSz-t vagy egyéb kapcsolódó biztonsági szabályozást, az információbiztonsági rendszer vagy szervezet működését, illetve feladatait az Információbiztonsági Bizottság azonnali ülését kell elrendelni. A felmerült változási igényeket az ülésen meg kell vitatni, és át kell alakítani, naprakésszé kell tenni az IBSz-t valamint az információbiztonsági szervezetet, annak érdekében hogy rendeltetését a továbbiakban is be tudja tölteni s megfeleljen a jogszabályoknak illetve a belső biztonsági szabályzatoknak.
4.4.1. Helyesbítő-megelőző intézkedések rendszere
Az IT biztonsági rendszerrel kapcsolatos
– nem megfelelő működésekről,
– adatvédelmi vagy kezelői hiányosságokról
a Minisztérium bármely dolgozója köteles tájékoztatni az informatikai főosztályvezetőt.
A vezető az igényeket megvizsgálja, azokra intézkedési terveket dolgoz ki, amelyeket az Információbiztonsági Bizottság elé terjeszt jóváhagyásra. Jóváhagyás esetén az IT biztonsági rendszert az információbiztonsági igazgató bevonásával módosítani köteles.
4.4.2. Adatok mérése, kiértékelése, mérési pontok meghatározása
Az IT biztonság szempontjából kritikus pontokon mérési és ellenőrzési rendszert kell bevezetni. A pontok kijelölésénél figyelembe kell venni a Minisztérium adatvédelmi követelményeit és elvárásait.
A mérési eredmények tárolását ki kell alakítani és az évente elvégzendő felülvizsgálat elősegítése érdekében a vizsgálatban részt vevő személyek részére hozzáférhetővé kell tenni. A hozzáférési jogosultságokat a Minisztérium informatikai főosztályvezetője hagyja jóvá.
A Minisztérium esetében a minimálisan szükséges kontrollpontok az alábbiak:
Mérendő terület |
Mérendő mennyiség |
Beszámolóban szerepel |
IT-tevékenység |
Szerverszobába való belépések naplózása |
- |
Hozzáférések (logikai) naplózása |
- |
Internet-hozzáférések statisztikái |
x |
Illegális IT-tevékenység |
Észlelt behatolási kísérletek száma |
x |
Nem minisztériumi dolgozó által végzett tevékenység teljes körű naplózása |
- |
Vírusvédelem |
Beérkezett vírusok száma |
x |
Hatástalanított vírusok száma |
x |
Nem internetről beérkezett vírustámadások száma, ezek módja |
x |
Mentési rendszer |
A tesztvisszatöltések eredményei |
x |
Rendelkezésre állás |
Rendszerek kieséseinek száma, ezek oka, időtartama, javítási költsége |
x |
Kapacitásinformációk |
Kritikus rendszerekre vonatkozó teljesítményadatok jelentős változása |
kivonat |
Tárolási kapacitásokra vonatkozó információk |
x |
Ellenőrzések eredményei |
Feltárt hiányosságok és azok megszüntetésére vonatkozó intézkedések |
x |
Oktatás helyzete |
IT biztonsági oktatásban részt vett személyek száma, a beszámoltatás eredményei |
x |
IT-biztonsággal kapcsolatos fegyelemsértések |
IT-biztonságot megsértő személyekre vonatkozó fegyelmi statisztikák |
x |
Az IT biztonsági rendszer összesített értékelése |
Az IT-rendszer szintjére vonatkozó megállapítások, javaslatok |
x |
Javaslatok |
Javaslatok kidolgozása a hiányosságok megszüntetésére, a biztonsági szint emelésére |
x |
4.5. Informatikai terület szerepkörei
4.5.1. Információbiztonsági igazgató
A szerepkört a Minisztérium szakállamtitkári, vagy annál magasabb beosztású vezetője látja el.
– Felelős a Minisztérium és érdekeltségei komplex módon értelmezett biztonsági tevékenységének (objektumvédelem, vagyonvédelem, információbiztonság, titokvédelem, humán védelem, rendkívüli és krízishelyzetek kezelése, tűzvédelem, biztonsági oktatások) szakmai irányításáért, végrehajtásáért, ellenőrzéséért, a Minisztérium biztonságpolitikai érdekeinek és törekvéseinek érvényesítéséért.
– Felelős a Minisztérium működését, üzletmenetét közvetlenül vagy közvetve érintő adatok és információk rendelkezésre állásának, integritásának, bizalmasságának és sértetlenségének biztonságvédelmének, az adatkezelések jogszerűségének és minőségének biztosításáért.
– Feladata a Minisztérium biztonságának, mint állapotnak a fenntartását szolgáló és garantáló műszaki-technikai, fizikai, jogi és adminisztratív, tervezési, szervezési, vezetési, oktatási, végrehajtási feladatok és intézkedések irányítása, összehangolása, kidolgoz(tat)ása, ezek folyamatos korszerűsít(tet)ése, valamint az e területet érintő jogszabályok, belső utasítások és szabályzatok betartásának, illetve betartatásának ellenőrzése.
– Feladata a Minisztérium, a minisztériumi munkavállalók a Minisztérium területén vagy a Minisztériummal kapcsolatba hozható módon veszélyeztető jogsértő magatartások megelőzése, felderítése, illetve folytatásának megakadályozása, ezen események kivizsgálásának kezdeményezése. A vizsgálatot folytató belső ellenőrzés támogatása.
4.5.2. Informatikai főosztályvezető
– Hatásköre a Minisztérium minden informatikai rendszerelemére kiterjed.
– Az informatikai főosztályvezető felelős a Minisztérium informatikai rendszerének folyamatos működéséért, a szükséges fejlesztések tervezéséért és kivitelezéséért, illetve az előbbiek sikeres kivitelezése érdekében szükséges döntések meghozataláért.
– Jogosult minden olyan megbeszélésen részt venni (vagy képviselőjét delegálni), amelynek információbiztonsági, adatvédelmi vonatkozása van. Jogosult észrevételeit és javaslatait megtenni.
– Közreműködik minden olyan eset kivizsgálásában, ahol a Minisztérium biztonsághoz fűződő érdeke sérelmet szenved.
– Felelős a felhasználók illetékes vezetőinek kezdeményezései alapján a számítógépes erőforráshoz való hozzáférési jogosultságok meghatározásáért, engedélyezéséért, a területi vezető hozzájárulása után.
– Gondoskodik az üzemeltetési feladatkörök (státuszok) ellátásáról (betöltéséről) a Minisztériummal közszolgálati jogviszonyban álló személy kijelölésével, vagy szerződéses kapcsolat létesítésével.
– Kezdeményezi informatikai biztonsági ismeretek oktatását a felhasználók részére.
– Feladatai közé tartozik az információbiztonsági megbízott részére meghatározott tevékenységek elvégzése.
– A felügyelete alá tartozó teljes rendszer komplex biztonságával összefüggésben minden üzemeltető és felhasználó felé jogosult intézkedni az SZMSZ-nek megfelelően, tevékenységüket korlátozni jelen szabályzat be nem tartása, illetve az informatikai rendszer működőképességét veszélyeztető fenyegetés esetén.
– Módosíthatja a felhasználók jogosultságait (beleértve új felhasználóknak az informatikai rendszerbe való felvételét) a munkáltatói jogkört gyakorló illetékes vezetővel történt egyeztetés alapján, azt figyelembe véve.
– Az információbiztonsági megbízottal és az érintett szakmai főosztály vezetőjével együtt évente felülvizsgálja az információvédelmi osztályba sorolásokat, és javaslatot tesz a szükséges módosításokra.
– Engedélyezi szerverek, valamint a közvetlen hatáskörébe tartozó munkaállomások kiszállítását (pl. oktatás vagy bemutató céljából).
– Felelős a rendszerbe állítandó eszközök teszteléséért, használatba vételéért.
– Engedélyezi a mentések felhasználását.
– Meghatározza a rendszergazdák hatáskörét.
– Az egyes alkalmazásokhoz való hozzáférések, jogosultsági rendszerek kialakításában legalább véleményezési joggal rendelkezik.
– Gyakorolja az információbiztonsági megbízott szerepkörhöz tartozó jogokat is.
A feladatkörrel járó biztonsági feladatok leírása, amennyiben a rendszergazdai munkakört külső szerződő fél (szolgáltató) látja el.
– Megismerteti az IT-helyiségek beléptető rendszerének és riasztó rendszerének kódjait az azok megismerésére jogosultakkal.
– Szükség szerint, de legkésőbb félévente változtatja az IT-helyiségek riasztó és beléptető rendszerének kódjait, és cseréli a kódokat tartalmazó borítékokat.
– Tevékenységét SLA szabályozza.
– Összeállítja és módosítja az eszközök beállításának dokumentációját.
– Irányítja a szerverek és felhasználói gépek biztonsági beállításait.
– Kezeli a rendszerkonfigurációs és a rendszerbiztonsági adatokat.
– Telepíti a rendszerprogramokat.
– Irányítja a biztonsági másolatok és archiválások készítését, ellenőrzi a központi mentések lefutását.
– Hiba esetén irányítja az informatikai rendszer, rendszermodul helyreállítását és tesztelését.
– Felelős azért, hogy a javításra kiszállított eszközök merevlemezei adatot ne tartalmazzanak (kivéve a sérült, nem minősített HD).
– Minden olyan jogot gyakorol, amelyek az informatikai rendszer operációs rendszer szintű üzemeltetéséhez szükséges.
– Utasítást ad a felhasználói eszközök beállításainak megváltoztatására, az informatikai főosztállyal történt egyeztetés alapján.
– Engedélyezi a rendszermentések visszaállítását, egyeztetve az informatikai főosztályvezetővel, illetve a szakmai főosztály/alkalmazásgazda kezdeményezését követően.
– Jogait és kötelességeit az IBSZ hatálya alá tartozó minden olyan területen gyakorolja, amelynek felügyelete a rá kiszabott számítástechnikai rendszer üzemeltetéséhez szükséges.
4.5.4. Kiemelt (VIP) felhasználók
– A kiemelt felhasználók jogosultságai a feladatkörtől és szakmai területtől függően, meghaladják a hagyományos felhasználók jogosultságait:
– A munkáltatói jogokat gyakorló felhasználó felelős a beosztottjaiként dolgozó felhasználók számára általa kért jogosultságok megfelelősségéért, és a kért jogosultságokból fakadó károkért.
– A kiemelt felhasználók elektronikus levelezése fokozottan védettnek minősül, abba betekinteni csak az információbiztonsági igazgató jogosult, megfelelő indoklás esetén. (meghibásodás, biztonsági incidens, kiemelt esemény) Kiemelt felhasználó levelezésének hozzáférése esetén az eljárást dokumentálni szükséges, a hozzáférések idejét, azok indokát és a megtekintett levelezés időintervallumát.
– A kiemelt felhasználókra is vonatkozik a 4.5.5. pontban meghatározott szabályozás.
– Minden felhasználó felelős az általa használt eszközök rendeltetésszerű használatáért.
– Minden felhasználó, a reá vonatkozó szabályok – elsősorban a köztisztviselők jogállásáról illetve a közalkalmazottak jogállásáról szóló törvényekben foglaltak – szerint, felelős az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.
– A vonatkozó informatikai-szakmai és az IBSZ-ben megfogalmazott szabályokat megismerni és betartani, illetve ezek betartásában az informatikai rendszer használatát irányító személyekkel együttműködni.
– A számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni.
– A számára rendelkezésre bocsátott számítástechnikai eszközöket megóvni.
– Belépési jelszavát (jelszavait) az előírt időben változtatni, kezelni.
– Számítógépét a helyiség elhagyása esetén olyan állapotban hagyni, hogy azt illetéktelen ne használhassa. A munkaállomásokat lezárni szükséges, hogy csak jelszó vagy hardveres authentikációs eszköz használatával lehessen hozzáférni.
– Az észlelt rendellenességekről tájékoztatni a közvetlen felettesét és a megfelelő informatikai szakembert vagy az információbiztonsági megbízottat.
4.5.5.1. A Minisztérium informatikai rendszerét használó minden felhasználónak TILOS:
– A saját használatra kapott számítógép rendszerszintű beállításainak módosítása (ebbe nem értendők bele az irodai programok felhasználói beállításai).
– A munkaállomására telepített aktív vírusvédelem kikapcsolása.
– Belépési jelszavát (jelszavait) másik személy rendelkezésére bocsátani.
– A számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása, illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra az informatikai rendszert üzemeltetők tudta nélkül.
– A számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása.
– Bármilyen szoftver installálása, Internetről való letöltése, külső adathordozóról merevlemezre való másolása a rendszergazda engedélye nélkül.
– Bármilyen eszköz beszerelése és annak használata.
– Az általa használt eToken biztonsági eszköz számítógépben való hagyása a munkaállomásáról való távozása esetén.
– Belső bizalmas és titkos adatok Minisztériumból való kijuttatása vagy magán célú felhasználása, harmadik személy rendelkezésére bocsátása.
4.5.6. Információbiztonsági megbízott
A szerepkört jelenleg az informatikai főosztályvezető látja el.
A Minisztériumban a vezetők biztonsággal összefüggő tevékenységét az információbiztonsági megbízott támogatja. Részt vesz a biztonsággal kapcsolatos vezetői döntések előkészítésében, kivizsgálja az informatikai rendkívüli eseményeket, elvégzi a rendszeres biztonsági ellenőrzéseket, és hatáskörében intézkedik, vagy javaslatot tesz a hibák kijavítására. Munkája során szorosan együttműködik a biztonság megvalósításában részt vevő informatikai és egyéb szakemberekkel.
– Gondoskodik az ellenőrzés módszereinek és rendszerének kialakításáról és működtetéséről. Jóváhagyásra előkészíti az IBSZ javításait.
– A Minisztérium informatikai rendszerének olyan mértékű megismerése, hogy annak szereplőit hatékonyan ellenőrizni tudja.
– Összehangolja a biztonságot meghatározó, befolyásoló területek tevékenységét az informatikai biztonság érdekében.
– Az informatikai főosztályvezetővel (amennyiben ez a szerepkör nem azonos vele) együttműködve elkészíti és karbantartja a katasztrófavédelmi tervet.
– Véleményezi a jogszabálytervezeteket azok biztonsági kihatásainak vonatkozásában.
– Informatikai biztonsági szempontból ellenőrzi az informatikai rendszer szereplőinek tevékenységét.
– Az informatikai rendkívüli eseményeket, az esetleges rossz szándékú hozzáférési kísérletet, illetéktelen adatfelhasználást, visszaélést kivizsgálja. Javaslatot tesz a szervezet vezetőjének a további intézkedésekre, a felelősségre vonásra.
– Ellenőrzi új információtechnológiai (továbbiakban: IT) helyiség tervezése és kialakítása során a jelen IBSZ-ben megfogalmazott, a helyiségek fizikai paramétereire vonatkozó követelmények kielégítését, és a meglevő helyiségek paramétereinek értékét.
– Ellenőrzi az IT-helyiségekbe való beléptetési eljárást, az IT-helyiségbe belépő személyek körének jogosságát.
– Ellenőrzi a beléptető rendszer kódjának szükség szerinti cseréjét.
– Ellenőrzi az IT-helyiségekhez tartozó kulcsdoboz használatát.
– Ellenőrzi a riasztórendszer kódjainak használatát.
– Az SZMSZ rendelkezései és a munkaköri leírások alapján ellenőrzi az informatikai rendszer szereplőinek jogosultsági szintjét.
– Ellenőrzi a fejlesztő rendszerek elkülönítésének megfelelősségét az éles rendszertől.
– Felügyeli az IT-helyiségeket, eszközöket és infrastruktúrát érintő karbantartási terveket.
– Felügyeli a beruházásokat, a fejlesztéseket, és az üzemvitelt információbiztonsági szempontból, illetve javaslatot tesz rájuk.
– Az új biztonságtechnikai eszközök és szoftverek tesztelésére ajánlást ad.
– Összevetheti az eszközök törzslapjának tartalmát az eszköz tényleges állapotával.
– Szúrópróba-szerűen ellenőrzi
= az egyes felhasználói gépek hardverkonfigurációját és a telepített szoftvereket összeveti a felhasználónak engedélyezett szoftverlistával,
= azt, hogy a rendszerben aktuálisan beállított felhasználói jogosultságok megegyeznek-e a jóváhagyott (a jogosultsági naplóban is szereplő) jogosultságokkal,
= azt, hogy a javításra kiszállított eszközökön adat ne kerüljön ki,
= az adathordozók selejtezését.
– Értékeli a rendszer eseménynaplóit.
– Ellenőrzi a víruskereső programok használatát.
– Ellenőrzi a dokumentációk meglétét és megfelelősségét (teljes körű, aktuális).
– Ellenőrzi, hogy a vonatkozó információbiztonsági követelményeket a rendszerek fejlesztési és az alkalmazási dokumentációiban is megjelenítik-e.
– Amennyiben új fenyegetéseket észlel, vagy hatékonyabb biztonsági intézkedések megtételét tartja szükségesnek, kezdeményezi a védelem erősítését.
– Az adott szakterületek vezetőivel egyeztetve meghatározza az egyes feladatkörökhöz tartozóan az információbiztonsággal kapcsolatosan elsajátítandó ismeretek körét, és ellenőrzi az elsajátítás tényét.
– Javaslatot tesz információbiztonságot erősítő továbbképzésre.
– Az IBSZ-t és annak helyi kiegészítéseit évente felülvizsgálja, és a gyakorlati tapasztalatok, előfordult informatikai rendkívüli események, a jogszabályi környezet változásai, a technikai fejlődés, az alkalmazott új informatikai eszközök, új programrendszerek, fejlesztési és védelmi eljárások stb. miatt szükségessé váló módosításokra javaslatot tesz.
– Javaslattételi joga van a fokozott és kiemelt védelmi osztályba sorolt informatikai rendszerek hozzáférési jogosultságainak kiadásában.
Az Információbiztonsági Megbízott jogait és kötelességeit az IBSZ hatálya alá eső területeken gyakorolja.
5. Általános információbiztonsági követelmények
5.1. Általános biztonsági követelmények meghatározása
5.1.1. Előírások a külső személyek általi hozzáférésekkel kapcsolatban
A külső személyeknek – karbantartók, tanácsadók stb. – a Minisztérium informatikai rendszeréhez való hozzáférése veszélyeztetheti a Minisztérium adatainak bizalmasságát, sértetlenségét.
Egy külső személy hozzáférésének engedélyezésénél a következő szempontokat kell megvizsgálni:
– A külső személy vagy cég megbízhatóságát
– A külső személy vagy cég által elvégzendő munka részfeladatait
– Az elvégzett munka informatikai hátterét
– Azokat a kockázatokat melyekkel az informatika biztonsága szempontjából számolni lehet.
– Az érintett rendszereket, logikai és fizikai hozzáférés szempontból
– Az elvégzett munka minisztériumi oldali emberi erőforrás vagy informatikai igényét
– A munka befolyásolja-e a napi minisztériumi munka menetét
Ezt szem előtt tartva a külső személyek Minisztériumon belüli munkavégzésének szabályai a következők:
– Az Információbiztonsági Megbízottnak a külső személy a munkafolyamat egyeztetése során minden munkafolyamatról köteles beszámolni mely bármilyen módon érinti az informatikai rendszert.
– A Minisztérium IT-rendszereivel kapcsolatos vagy azokat érintő munkavégzés céljából érkező külső személy a Minisztérium területén a szerződés aláírása után, kizárólag az Információbiztonsági Megbízott vagy az általa kijelölt személy felügyeletével tartózkodhat.
– A külső vállalkozóval Titokvédelmi nyilatkozatot kell aláíratni a tudomására jutott adatok, információk védelme, és sértetlensége érdekében
– A Minisztérium külső szakértővel csak olyan szerződést köthet, amely a megbízott külső szakértő tekintetében biztosítja a Minisztériumra vonatkozó titokvédelmi jogszabályok érvényesülését. A szerződéskötés során figyelembe kell vennie az informatikára vonatkozó előírásokat, szabályzatokat s a jelen IBSz javaslatait, a törvényi és egyéb jogi előírásokat, valamint a szellemi és szerzői jogokra vonatkozó előírásokat. Az információbiztonsággal kapcsolatos előírásokat, elvárásokat, esetleges szankciókat a külső személyekkel kötött szerződésekben szerepeltetni kell.
– A Minisztérium informatikai rendszereihez való hozzáféréshez ideiglenes és személyre szóló hozzáférési jogosultságot kell biztosítani, amiről az Információbiztonsági Megbízott gondoskodik, amennyiben a munkavégzéshez feltétlenül szükséges.
– Az ideiglenes hozzáférési jog használatával a külső személy tevékenységét naplózni, és folyamatosan felügyelni kell. A naplózási tevékenységek beállítása a rendszergazdák feladata.
– A napló fájlt két évig meg kell őrizni, ezzel biztosítva az esemény visszakereshetőségét egy biztonsági probléma esetén, (a naplófájlt az Informatikai Főosztály illetékes rendszergazdája készíti és a mentési rendnek megfelelően, kerül tárolásra. A külső személy a naplóállományokhoz nem férhet hozzá).
– Az ideiglenes hozzáférési jogot a külső személy munkájának befejezésekor a rendszergazda visszavonja. A visszavonás ellenőrzése az Információbiztonsági Megbízott feladata.
5.1.2. Személyzeti biztonság – humán védelmi intézkedések
5.1.2.1. Munkaerő-felvétel informatikai biztonsági vonatkozásai
Minden informatikai rendszert igénybe vevő felhasználóval belépésekor a humánigazgatásért felelős szervezeti egység az Információbiztonsági Megbízott esetleges segítségével köteles az Információbiztonsági Szabályzat felhasználókra vonatkozó részeit és az informatikai rendszer kezelésével, az informatikai rendszer használatával kapcsolatos általános szabályokat megismertetni és azok elfogadásáról nyilatkozatot aláíratni.
Amennyiben egy új felhasználó olyan adatok elérésére, illetve olvasására vagy kezelésére kap jogosultságot melyek titkos/bizalmas minősítéssel rendelkeznek, a Minisztérium szigorított vagy megismételt eljárást kezdeményezhet, melyről belső szabályozás szükséges.
5.1.2.2. Informatikai munkaerő-felvétel, összeférhetetlenségek
Az informatikai munkaerő felvételénél az előző pontban meghatározottakon túl a következő előírásokat is figyelembe kell venni:
– Az informatikai és információbiztonság ellenőrzéséért felelős személy szerepkörét a függetlenség fenntartása miatt nem szabad összevonni bármely más szerepkörrel.
– Az üzemeltetői szerepkört a rendszer üzleti területi felhasználója nem láthatja el. (Rendszer- vagy adatbázis- üzemeltetési (adminisztrátori) és rendszer- vagy adatbázis-felhasználói szerepkört nem szabad összevonni.)
– Rendszer- vagy adatbázis-fejlesztői és -üzemeltetői szerepköröket csak akkor lehet összevonni, ha az üzemeltetési és fejlesztési / teszt környezetlogikailag elkülönül, és az adminisztrátori tevékenységek naplózásra kerülnek.
5.1.2.3. Munkaköri leírások informatikai vonatkozásai, informatikai munkatársak munkaköri leírása
Az informatikai munkatársak munkaköri leírásainak tartalmazniuk kell a munkakör betöltésével járó információbiztonsági felelősségek és feladatok / kötelezettségek pontos és részletes leírását.
Amennyiben egy munkakört érintő információbiztonsági felelősségek és feladatok / kötelezettségek megváltoznak, úgy azokról a változások érvénybe lépése előtt megfelelően tájékoztatni kell az érintetteket (a munkakört betöltőt, Informatikai Főosztály vezetőjét, továbbá a Humánpolitikai Főosztályt).
A felhasználók munkaköri leírásaiban vagy annak mellékleteként nyilatkozatot kell a felhasználókkal aláíratni, mely a Minisztérium adatainak bizalmas kezelésére valamint az informatikai rendszerek biztonsági intézkedéseinek betartására, valamint ennek esetleges nem betartása esetén alkalmazandó szankciókra irányul.
A felhasználói nyilatkozatok aláíratása a humánigazgatásért felelős szervezeti egység feladata.
5.1.2.4. Helyettesítés az Informatikai Főosztályon
A Minisztérium ügyviteli folyamatainak kialakítása és megvalósítása az informatikai rendszerek üzemeltetése, az információbiztonság érvényesítése és ellenőrzése területén, továbbá az ezekhez kapcsolódó feladatok ellátásához biztosított munkaerő létszáma és tudása biztosításakor, illetve a folyamatok szervezése során meg kell oldani, hogy egy személy hiányzása:
– ne hátráltassa elfogadhatatlan mértékben a Minisztérium ügyviteli folyamatait, vagy
– maximum 2 napon belül a feladatait és felelősségét átvehesse egy másik megfelelő ismeretekkel és jogosultságokkal rendelkező személy.
A feladat és felelősség átvétele során a feladatot átvevő személy betöltheti a hiányzó személy munkakörét és/vagy kizárólag a helyettesítéssel járó feladatokat láthatja el, vagy amennyiben összeférhetetlenség nem áll fenn a saját munkakörét is betöltheti, feltéve, hogy a kettős munkakör ellátás nem hátráltatja elfogadhatatlan mértékben egymást.
Amennyiben a helyettesített személy távolmaradása meghaladhatja a két hónapot, úgy a helyettesítést nem lehet kettős munkakör ellátással folytatni. Ebben az esetben olyan személyt kell alkalmazni, aki kizárólag a helyettesített személy feladatait látja el.
Amennyiben az IT-szerepkörök bármely okból rotálásra kerülnek (pl.: a hozzáértés biztosítása miatt), az egyes szerepkörökhöz tartozó jogosultságokat is rotálni kell. Ha egy szerepkörhöz csak egy jogosultság rögzített (pl. nem lehet megváltoztatni, személyhez kötni a jogosultságot), akkor a szerepkör átadás-átvételét dokumentálni kell.
A dokumentációnak tartalmaznia kell:
– Az átadás pontos időpontját
– Az átadásra kerülő rendszer, szerepkör leírását
– Rendszer állapotára vonatkozó információkat
– A szerepkörre vonatkozó jogi, illetve belső szabályokat
– A Minisztérium elvárásait
5.1.3. Az információbiztonság oktatása, képzése
Az informatikai főosztályvezető gondoskodik az IBSz és a vonatkozó belső utasítások egységes szerkezetbe foglalásáról és a Miniszter útján történő kiadásáról. Ennek felülvizsgálatát évenként egy alkalommal kezdeményezi.
Az egyéb jogviszonyban a Minisztérium területén munkát végző személyek részére is el kell készíteni, át kell adni az informatikai biztonsággal összefüggő hatályos szabályok rájuk vonatkozó részének közérthető kivonatát. A dokumentum átvételét és az abban foglaltak betartásáért vállalt kötelezettséget aláírással kell igazoltatni.
A szervezeti egység vezetője felel azért, hogy a beosztott munkavállalók megismerhessék a rájuk vonatkozó biztonsági szabályzatokat. A szükséges képzések megtartása és az új belépők tájékoztatása a humánigazgatási és az informatikai terület feladata.
A felhasználói oktatásnak ki kell terjednie a számítógép-használatra, valamint az informatikai biztonsággal kapcsolatos tudatosság rendszeres fokozására és aktuális információbiztonsági fenyegetésekkel kapcsolatos eseti figyelmeztetésekre. A képzés tematikájának kidolgozása az informatikai főosztályvezető hatáskörébe tartozik.
5.2. Az informatikai rendszerben keletkező adatok besorolási követelmények meghatározása
5.2.1. Adatok biztonsági besorolása
Az informatikai rendszerben keletkező adatokat bizalmasság, sértetlenség, és rendelkezésre állás szempontjából osztályozni kell.
A Minisztérium esetében az alábbi három szint megvalósításával kezeli.
Az osztályozási szinteket az 1. Számú melléklet foglalja össze.
5.2.1.1. Az adatok osztályozásának irányelvei
– 3. Titkos adatok (IV-F (titkos); IV-K (szigorúan titkos)
Az osztályozás alapját a bizalmasság, a sértetlenség, és a rendelkezésre állás sérüléséből, vagy elvesztéséből keletkező, a Minisztérium számára kimutatható lehetséges hátrány nagysága illetve a törvényi szabályozás képezi.
A bizalmasság, sértetlenség, és rendelkezésre állás sérüléséből, vagy elvesztéséből vagyoni, erkölcsi, és jogi hátrány származhat.
Az adatok osztályozását az adatgazdák végzik. Az adatgazda szerepét annak a szervezeti egységnek a vezetője tölti be, aki az adott folyamatért felelős. Több egymáshoz kapcsolódó vagy független folyamat esetén az érintett szervezeti egységek közös felettes vezetője dönt, a szervezeti egységek javaslata alapján.
Az adatok osztályozása után meg kell határozni azokat az információkezelő eszközöket is, amelyek szükségesek az adatok rendelkezésre állásához, sértetlenségének biztosításához (szerverek, tárolók, aktív eszközök stb.), és az osztályba sorolási szintnek megfelelően meg kell határozni az eszközök rendelkezésre állási elvárásait is. Ha az eszközök különböző besorolású adatokat kezelnek, akkor a legszigorúbb követelményt kell figyelembe venni.
5.2.1.2. Adatok nyilvántartása és kezelése
A Minisztérium adatnyilvántartásnak az alábbiakra kell kiterjedni:
– Az adat, vagy adatcsoport (rendszer) megnevezése
– Az adatosztályozási szint bizalmasság, sértetlenség és rendelkezésre állás szerint
– Az adatgazda megnevezését
– Az adatokat kezelő eszközök megnevezése
A nyilvántartás vezetéséért az Információbiztonsági Megbízott felel, a nyilvántartáshoz szükséges információk szolgáltatásáért az adatgazdák felelősek.
Az adatok kezelésének és tárolásának meg kell felelniük a KIB 25. ajánlás, 25/1-2. Informatikai Biztonság Irányítási Követelmények kötetének 10.7-es pontjában meghatározott irányelveknek.
|
Publikus adatok |
Belső adatok (IV-A) |
Titkos adatok (titkos és szigorúan titkos adatok) (IV-F; IV-K) |
Jelölés |
Nincs követelmény |
A belső adatokat tartalmazó adathordozókat „belső használatú” vagy „szolgálati használatra” jelöléssel kell ellátni. |
A titkos adatokat tartalmazó adathordozókat „titkos” jelöléssel kell ellátni. |
A szigorúan bizalmas adatokat tartalmazó adathordozókat „szigorúan titkos” jelöléssel kell ellátni. |
Tárolás |
Nincs követelmény |
Az adathordozókat zárható szekrényben vagy asztalfiókban kell tárolni. Az informatikai rendszerben biztosítani kell az adatokhoz való hozzáférés vezérlését. |
A titkos adatokat tartalmazó adathordozókat páncélszekrényben kell tárolni. Az informatikai rendszerben biztosítani kell az adatokhoz való hozzáférés hitelesítésen alapuló vezérlését (pl.: digitális kulcsok használata, PKI-megoldás). |
A szigorúan titkos adatokat adathordozókat biztonságosan zárt helyiségben és páncélszekrényben kell tárolni. Az adatokhoz való hozzáférés csak bizonyos személyek számára biztosított. |
Adatátvitel |
Nincs speciális követelmény |
Belső hálózaton való továbbításkor nincs speciális követelmény. Külső kommunikáció esetén fájltitkosítást kell alkalmazni. |
Titkosított csatornán szabad küldeni. |
Szigorúan titkos adatokat csak titkosított csatornán, hitelesített felhasználónak szabad küldeni vagy csak helyi hozzáférés lehetséges. |
Adatmegosztás |
Nincs speciális követelmény |
Adatmegosztás csak az adatgazda engedélyével lehetséges. |
Adatmegosztás csak az adatgazda engedélyével lehetséges. |
Szigorúan bizalmas adatok megosztása tilos! |
Megsemmisítés, törlés |
Nincs speciális követelmény |
Megsemmisítés az adatgazda engedélyével. |
Megsemmisítés az adatgazda engedélyével. Megsemmisítés előtt visszaállíthatatlanul törölni kell (mind titkos és mind szigorúan titkos adatokra érvényes). Titkos adatok esetén az adathordozókat demagnetizálni szükséges. |
6. Információbiztonsági eljárások
6.1. Biztonsági szintektől függő intézkedések és eljárások
6.1.1. Berendezések fizikai védelme, fizikai és környezeti biztonság
A Minisztérium épületében különböző biztonsági zónákat kell kialakítani annak érdekében, hogy az informatikai rendszer kritikussága és a benne kezelt adatok besorolása alapján az informatikai rendszer és környezete a besorolt rendszerek, adatok megfelelő fizikai és környezeti védelmét garantálni tudják. Az 5.2.1. pontban meghatározott osztályozási szintek alapján a fizikai és környezeti biztonság a következő biztonsági zónák és fizikai, illetve környezeti védelemi megoldások kialakításával valósítható meg.
Zóna követelmények |
1. szintű biztonsági zóna (pl.: Normál iroda) |
2. szintű biztonsági zóna (pl.: hálózati rendezők) |
3. szintű biztonsági zóna (pl.: Szerverszoba) |
Építészeti, kialakítási követelmények |
Falak |
– |
– |
Tömör falak kialakítása szükséges. |
Nyílászárók |
|
A hálózati rendezők ajtajai zárhatók.
|
Ablakok kialakítása nem lehetséges, tömör fémajtó és beléptető rendszerrel történő nyitásszabályozás kialakítása szükséges. |
Födém, padlószerkezet |
– |
– |
Álpadló, antisztatikus burkolat kialakítása szükséges. |
Hozzáférési, belépési követelmények |
Belépés, beléptetés eszközei |
– |
A hálózati rendezőkhöz való hozzáférés kulccsal történik. |
A helyiségekbe történő belépés mágneskártyával történik. |
A belépés engedélyeztetése, naplózása |
Normál a Minisztérium területére érvényes belépési engedélyeztetés szükséges. Általános belépési követelményekhez kapcsolódó naplózások vonatkoznak rá. |
A hálózati rendezőkhöz való hozzáférés kulcsok felvételével és dokumentálásával lehetséges. Másolásvédett kulcsok használata szükséges, a kulcsokból egy példány a raktárért felelős rendszergazdánál, egy pedig lepecsételt borítékban a biztonsági szolgálatnál. |
A szerverszobához történő hozzáférések engedélyezése az informatikai főosztályvezető és/vagy az információbiztonsági megbízott hatásköre. A beléptetőrendszer automatikus naplózásának kialakítását kell kialakítani. |
Környezeti követelmények |
Klimatizálás |
– |
Klimatizálás kialakítása szükséges. |
Redundáns klimatizálás kialakítása szükséges. |
Páratartalom szabályozása |
– |
|
A páratartalom szabályozása szükséges. |
Hőmérséklet szabályozása |
– |
– |
Légkondicionálással a hőmérséklet szabályozását meg kell oldani. |
Áramellátás szabályozása |
– |
Az áramellátás szabályozása szükséges. |
Az áramellátás szabályozása és redundáns kialakítása szükséges. |
Biztonsági követelmények |
Tűzvédelem |
Kézi tűzoltó készülékek kihelyezése szükséges a tűzvédelmi előírásoknak megfelelően. |
Tűzjelző berendezés kialakítása és kézi tűzoltó készülékek elhelyezése szükséges. |
Automata tűzoltó berendezés kialakítása és kézi tűzoltó készülékek elhelyezése szükséges. |
Árnyékolás védelem |
– |
Minimum 20 dB-es csillapítás szükséges az elektromos és mágneses sugárzás ellen. |
Minimum 40 dB-es csillapítás szükséges az elektromos és mágneses sugárzás ellen. |
Riasztás |
– |
|
Riasztó eszközökkel és csapdakialakítással kell ellátni, mely illetéktelen behatolás (betörés) és tűz esetén az informatikai főosztályon jelez. |
Biztonsági kamerák |
– |
– |
Videokamerás megfigyelő rendszer elhelyezése szükséges a helyiségben és a helyiségbe történő belépési pontokon. |
A kialakított információbiztonsági zónákban történő munkavégzésre, a zónát veszélyeztető fenyegetettségek függvényében, más-más informatikai biztonsági követelmények tartoznak. Az 1. biztonsági zónába tartozó alap védelemmel ellátott zónán kívül a biztonsági zónákban történő munkavégzésre a következő biztonsági szabályozások érvényesek.
A 2. szintű biztonsági zónába tartozó helyiségekben történő munkavégzés:
– Az informatikai rendszer egyes elemeinek karbantartását, javítását, szerelését csak olyan személyek végezhetik, akik titoktartási nyilatkozatot írtak alá, vagy a munkavégző személyt foglalkoztató vállalkozás – a megbízásából kiküldött személyre vonatkozóan is – titoktartási kötelezettséget vállalt.
A 3-as biztonsági zónába tartozó helyiségekben történő munkavégzés:
– A kiemelt biztonsági zónába tartozó helyiségbe csak a Minisztérium informatikai munkatársai léphetnek be. Az informatikai rendszer egyes elemeinek karbantartását, javítását, szerelését csak olyan személyek végezhetik, akik titoktartási nyilatkozatot írtak alá, vagy a munkavégző személyt foglalkoztató vállalkozás – a megbízásából kiküldött személyre vonatkozóan is – titoktartási kötelezettséget vállalt és a munkájukat csak és kizárólag a Minisztérium informatikai munkatársainak felügyelete mellett végezhetik.
6.1.1.1. Irodahelyiségek és informatikai eszközök biztonságának szavatolása
A Minisztérium informatikai területére vonatkozó egyéb fizikai védelmi intézkedések a következők:
– Tűzvédelem szempontjából „D” kategóriába kell sorolni, és EU-4 szabványnak megfelelő tűzoltó készülékkel kell ellátni az irodahelységeket az OTSZ előírásainak megfelelően, jelenlegi szabályozás szerint 600 m2, illetve szintenként egy egységgel. – Az IT-helyiségek olyan ajtókkal legyenek ellátva, amelyek legalább 30 perces műbizonylatolt tűzgátlással rendelkeznek.
– Az IT-helyiségeken belül automatikus és kézi tűzjelzésadók kerüljenek telepítésre. A jelzésadók jelzéseit mind a helyiségen belül, mind a rendészetnél meg kell jeleníteni. A jelzésadó eszközök, valamint a jeleket feldolgozó központ feleljen meg az MSZ 9785, valamint az EN 54 szabványsorozatok előírásainak, rendelkezzenek a hazai minősítő intézetek forgalombahozatali engedélyével. Az informatikai eszközöket működtető szervezeti egységekben a tűzvédelmet a Minisztérium Tűzvédelmi Szabályzata szabályozza.
– A számítógéptermeket, a szerverszobákat és a szünetmentes energiaellátást szolgáló berendezések helyiségeit klimatizálni kell, úgy, hogy az információtechnológiai eszközök környezeti hőmérséklete működés közben 15–22 C°, tárolási hőmérséklete 0–40 C° között maradjon, a relatív páratartalom pedig ne haladja meg a 40%-ot. Ezekben a helyiségekben vagy legyen olyan tartalék klímaberendezés, amely az addig működő berendezés meghibásodásakor automatikusan beindul, vagy pedig olyan jelzőrendszert kell telepíteni, amely a klímaberendezés meghibásodásakor a rendészetnél jelez. A klímaberendezés üzemeltetése és a tartalék klímára vagy a jelzőrendszerre vonatkozó karbantartási szerződés megléte az informatikai üzemeltetésért felelős szervezeti egység (a továbbiakban: üzemeltetés) feladatkörébe tartozik.
Felhasználói számítógépekre és a kapcsolódó perifériákra vonatkozó előírások:
– A felhasználó köteles az általa használt informatikai eszköz épségét, annak működőképes állapotát megőrizni. Bármilyen állapot-, vagy működésbeli rendellenességet tapasztal, azt az informatikai főosztálynak jeleznie kell.
– Tilos a felhasználó részéről bármilyen illetéktelen beavatkozás, ami a berendezés műszaki állapotában, működésében valamilyen változást okozhat. Ide értendő a berendezés szétszedése, átalakítása, vagy bármilyen szoftver telepítése.
Az információbiztonsági megbízott és az informatikai főosztály rendszergazdái a saját azonosítójukkal és jelszavukkal jogosultak a felhasználók munkaállomásához hozzáférni a felhasználók távolléte esetén is, ha beállítási, karbantartási, ellenőrzési, szoftvertelepítési műveleteket hajtanak végre. A hozzáféréshez a felhasználók előzetes hozzájárulása szükséges.
Hibajavítás esetén a felhasználó helpdesken keresztül jelzi a meghibásodást és az üzemeltetés ez alapján kezdi meg a hiba elhárítását.
Az informatikai környezet paramétereinek meg kell felelni a KIB 25. ajánlás, 25/1-2. Informatikai Biztonság Irányítási Követelmények kötetének 9. fejezetében foglaltaknak.
6.1.2. Logikai hozzáférés
6.1.2.1.4 A hozzáférés követelményrendszere
– A használt informatikai rendszereknél az információbiztonsági megbízott meghatározza a jogosultságkiosztás szempontjából irányadónak tekinthető szerepköröket, azokat jogosultsági mátrix formájában rögzíti.
– Az informatikai rendszerekhez hozzáféréssel rendelkező alkalmazottak (felhasználók) konkrétan meghatározott szerep(munka-)körbe sorolandók, s a vezetőjük kérésére a rendszergazdáktól megkapják a vonatkozó hozzáférési jogosultságokat és a hozzáférést biztosító hardveres authentikációs eszközöket.
– A jogosultságok kiosztását (a felhasználók felhasználó csoportokba sorolását) a felhasználó közvetlen szakmai (szervezeti) felettese határozza meg, majd átadja a rendszergazdának végrehajtásra.
– A jogosultságok kiosztásakor az információbiztonsági megbízott szükség esetén (például a munkakörre jellemző tipikus jogoktól történő eltérés esetén) konzultál az informatikai főosztályvezetővel és/vagy az Informatikai Biztonsági Bizottsággal.
– A szerepkörök (munkahelyi beosztás, feladatok) változásakor a hozzáférési jogosultságokat 5 napon belül át kell állítani. A megszűnő jogokat a korábbi, az újonnan adományozandóakat az új szakterületi közvetlen felettes határozza meg.
– A hozzáférés-védelem szempontjából kiemelten fontos biztosítani, hogy az informatikai rendszerek felhasználóinak tényleges hozzáférési jogosultságai a szerepkörüknek megfelelő legyenek. Ezzel kapcsolatosan:
– A tényleges jogosultságkiosztást meghatározott időközönként (ellenkező utasítás hiányában legalább félévente) ellenőrizni kell,
– Az ellenőrzést az információbiztonsági megbízott végzi, az ellenőrzés során össze kell vetni az elvárt (jogosultsági mátrixban szereplő) és a tényleges jogosultságkiosztást,
– Eltérés esetén az információbiztonsági megbízott a jogosultságokat visszaállítja az elvárt beállításoknak megfelelően, és vizsgálatot kezdeményez az eltérés okainak megállapítására.
– Egyes szervezeti egységekre vagy rendszerekre kiterjedő, rendkívüli (eseti jellegű) ellenőrzést az adott szervezeti egység vezetője vagy az IBB tagjai kezdeményezhetnek.
– Az adminisztrátori hozzáféréseket az Adminisztrátori Hozzáférések Szabályozása Munkautasítás tartalmazza.
6.1.2.2. Hozzáférési jogosultságok nyilvántartása
– A felhasználók azonosítása alatt az informatikai rendszerhez hozzáférő felhasználók személyazonosságának (identitásának) a rendszerben történő egyedi, egyértelmű és hiteles megjelenítését értjük.
– Az egyedi felhasználói azonosítót a hozzáférések (jogosultságok) szabályozására, az adatvédelemre, és a hitelesítés támogatására kell használni.
– A felhasználó azonosítónak meg kell felelni az egyediség kritériumának: különböző felhasználók számára egyazon azonosító nem adható ki. Kivételt képez a szervezeti egységhez kötött csoport e-mailek használata, melyek létrehozásával, megszüntetésével és karbantartásával kapcsolatban a Minisztérium disztribúciós címekre vonatkozó Belső Szabályzata az irányadó.
– A felhasználói azonosítók képzésére és új felhasználók rendszerbe történő felvitelére kizárólagosan a rendszergazda jogosult.
– Az egyes felhasználói azonosítókhoz rendelt jogosultságok minden esetben csak az adott munkakör ellátásához szükséges minimális funkcióelérést biztosíthatják.
– Az rendszergazdák feladata a hardver alapú authentikációs eszközök nyilvántartása, a felhasználókhoz való rendelésük
– A hozzáférési jogosultságok kezelése, a jogosultság igénylés folyamata, a Jogosultság kezelési, kiadásai munkautasításban van rögzítve.
– A felhasználói azonosítók nem visszavonhatatlanok. Ezzel összefüggésben
– A Minisztérium munkatársai és külső munkavállalói, munkába állásukat követően a lehető legrövidebb időn belül megkapják felhasználói azonosítójukat. Ennek megtörténtéig jelenlegi vagy korábbi felhasználói azonosító használata – akár átmeneti jelleggel is – szigorúan tilos.
– A kiosztott azonosítót haladéktalanul használatba kell venni. Ennek első lépéseként az induló (alapértelmezett) jelszót meg kell változtatni.
– A Minisztérium dolgozóinak felhasználói azonosítóját munkaviszonyuk megszűnésekor (a külső munkavállalók felhasználói azonosítóját a megbízási jogviszony megszűntével) haladéktalanul érvényteleníteni kell (a fiók először tiltásra kerül, majd 30 napos átmeneti fázis után törlésre).
– A munkaviszonyukat huzamosabb ideig szüneteltető, vagy a munkavégzésben hosszabb ideig más ok miatt részt nem vevő felhasználók azonosítóját újra munkába állásukig fel kell függeszteni (inaktiválni kell). Az inaktiválást a közvetlen felettes kéri az információbiztonsági megbízottól. Az azonosító újraaktiválási igényének felmerülésekor a hozzáférés helyreállítását szintén a közvetlen felettes kérheti.
– A felhasználók szervezeten belüli áthelyezése kapcsán felmerülő jogosultsági változásokat (megszűnő felhasználói azonosítók felfüggesztése vagy törlése, új azonosítók létrehozása) haladéktalanul át kell vezetni.
– Külső munkatársak csak meghatározott időre és korlátozott lehetőségeket biztosító (pl. csak írási joggal vagy csak bizonyos területre érvényes) felhasználói azonosítót kaphatnak. A részükre kiadott azonosítóról legyen egyértelműen megállapítható, hogy az külső munkatársi státusú felhasználóhoz tartozik. Külső munkatársak azonosítójának létrehozását, számára jogosultságok megadását azon szervezeti egység vezetőjének kell kezdeményeznie az információbiztonsági megbízottnál, akivel a szóban forgó felhasználó közvetlen (szerződéses) viszonyban áll.
– A Ktv. hatálya alá nem tartozó gyakornokok esetén a hozzáférési jogosultságok hasonlóan a külső munkatársak számára létrehozott azonosítókhoz, csak bizonyos, a munkavégzéshez feltétlenül szükséges területekhez való hozzáférést tegyenek lehetővé.
6.1.2.3. Felhasználói és rendszergazdai jogosultságok létrehozása, megszüntetése, megváltoztatása
Új munkatárs hozzáférési rendszerbe való illesztését a Jogosultságigénylő űrlap kitöltésével és elküldésével, az adott szervezeti egység vezetője írásban (feljegyzésben vagy e-mailben) igényelheti az információbiztonsági megbízottól. A jogosultságigénylés folyamata megvalósulhat elektronikus alapon is, amennyiben a rendszer azt támogatja.
A jogosultság létrehozása, nyilvántartásba vétele előtt az információbiztonsági megbízott ellenőrzi igénylésről szóló feljegyzést, és annak jogosultságát aláírásával igazolja és továbbítja az Informatikai Főosztály vezetőjéhez jóváhagyásra.
Az Informatikai Főosztály által kijelölt rendszergazdáinak a feladata a jóváhagyott, a felhasználó megfelelő, alkalmazásokra lebontott jogosultsági szintjeinek beállítása, az elektronikus levelező fiók létrehozása, a címtárbejegyzések elvégzése, valamint a felhasználói azonosító aktiválása, a felhasználók számára a hardver alapú authentikációs eszközök kiosztása.
Minden felhasználó definiálásánál törekedni kell az egy-egy értelmű megfeleltetésre, azaz kerülni kell a közösen használt felhasználói azonosítók létrehozását. Csoportos azonosítót csak és kizárólag az informatikai főosztályvezető előzetes írásbeli engedélye alapján lehet beállítani.
A rendszergazda az Informatikai Főosztály utasítása alapján a jogosultságot fizikailag beállítja és átvezeti a jogosultság-kiosztási nyilvántartásban a változást. A nyilvántartás rendszeres időközönkénti ellenőrzése az információbiztonsági megbízott feladata.
A felhasználói hozzáférés zárolása történik az alkalmazott kilépésekor. Ennek biztosítására:
– Azonnali felmondás esetén, illetve ha a kilépő alkalmazott vezetője úgy ítéli meg, a jogosultság azonnal visszavonásra kerül. A kilépő alkalmazott vezetője ebben az esetben köteles telefonon és e-mailben értesíteni az információbiztonsági megbízottat.
– Határozott idejű felmondás esetén a jogosultság visszavonása „kilépési” vagy „sétáló” lap aláírásával egy időben történik.
A kilépett munkavállaló munkáltatói jogú vezetője a munkavállaló tájékoztatása mellett köteles rendelkezni a felhasználó adatainak dokumentumainak további kezeléséről (archiválás, törlés, harmadik személy általi hozzáférhetőség). Természetesen a felhasználó adatainak kezelésénél, a 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvántartásáról szóló rendelkezés előírásait be kell tartani. [3. § (1)–(7), 5. §, 6. §, 10. §] Amennyiben a felhasználó jogviszonyában változások következnek be, de a munkáltatói jogviszony továbbra is a Minisztériumhoz köti (távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony) a felhasználói jogosultságokat meg kell szüntetni a munkaviszony megszűnésének eljárásrendje szerint, és új felhasználóként kell kezelni, az új belépőkre vonatkozó eljárásrend szerint.
A Minisztérium informatikai rendszereinek elérésére használható hozzáférés szintjei a következők lehetnek:
|
Névre
szóló |
Csoportos |
Rendszergazdai
hozzáférés |
1 |
2 |
Felhasználói
hozzáférés |
3 |
4 |
– Névre szóló rendszergazdai hozzáférés esetén, a rendszergazdai jogosítványt a rendszergazda a saját nevére szóló, kizárólagosan általa használt, megfelelő rendszergazdai jogkörrel felruházott felhasználói azonosító segítségével használhatja. A beépített (root, administrator stb.) rendszergazdai hozzáférés csak abban az esetben tekinthető ilyennek, ha azt kizárólag egy személy használja. Ha a rendszerben van lehetőség személyhez kötött rendszergazdai jogosítványok kiadására, az említett beépített jogosultságokat használni tilos!
– Csoportos rendszergazdai hozzáférés esetén, a rendszergazdai jogosítványt a rendszergazda egy csoportos, több rendszergazda által is használt, rendszergazdai jogkörrel felruházott felhasználói azonosító segítségével lehet használni. A beépített (root, administrator stb.) rendszergazdai hozzáférés abban az esetben tekinthető ilyennek, ha azt több személy ismeri, használja. Amennyire technikai és egyéb szempontok lehetővé teszik, a csoportos rendszergazdai hozzáférést kerülni kell!
– Névre szóló felhasználói hozzáférés keretében a felhasználó külön, saját névre szóló, más által nem használt, kizárólag a munkája ellátása miatt elengedhetetlen jogosítványokkal rendelkezik az informatikai és telekommunikációs rendszerekhez és azok erőforrásaihoz, az üzleti folyamatok ellátásához kapcsolódó feladatok elvégzéséhez.
– Csoportos felhasználói hozzáférés keretében több felhasználó azonos, a munkája ellátása miatt elengedhetetlen felhasználói hozzáférést használ az informatikai rendszerekhez és azok erőforrásaihoz, a minisztériumi folyamatok ellátásához kapcsolódó feladatok elvégzéséhez. Amennyire technikai és egyéb szempontok lehetővé teszik, a csoportos felhasználói hozzáférést csak a védelmet nem igénylő adatokat tartalmazó rendszerek esetén szabad alkalmazni, az egyértelműség és követhetőség miatt inkább a névre szóló felhasználói hozzáférést kell választani.
6.1.2.4. Jelszómenedzsment
A Minisztérium számítógépes hálózatába bejelentkezési névvel rendelkező felhasználó köteles a bejelentkező nevéhez tartozó jelszó megőrzésére. A saját bejelentkező névhez tartozó jelszót elárulni, mások által is elérhető módon feljegyezni nem szabad.
Bejelentkező névhez tartozó jelszót csak az Informatikai Főosztály által kijelölt rendszergazdák állíthatnak be, illetve közölhetnek abban az esetben, ha
– Új felhasználó felvétele, vagy egyéb ok (pl. elfelejtés) miatt a felhasználó előtt még ismeretlen új belépési jelszót definiált.
– Ebben az esetben a következő szabályok érvényesek:
– Elfelejtés esetén a felhasználó a rendszergazdától igényelhet új jelszót. A felhasználó azonosítása a rendszergazda feladata.
– A felhasználó az átvételt követő első bejelentkezésekor azonnal köteles a jelszó megváltoztatására.
Azon informatikai rendszerek esetén, melyek rendelkeznek a megfelelő technikai feltételekkel, a hitelesítéshez használt felhasználói hozzáféréshez rendelt jelszavaknak az alábbi kritériumoknak kell megfelelni:
– A jelszavakat a számítógépes rendszerben nyílt formában tárolni tilos, gondoskodni kell megfelelő titkosítási védelemről.
– Belépéskor a beírt jelszó ne legyen olvasható a képernyőn.
– A felhasználói azonosító és a hozzá tartozó jelszó együtt nem tárolható, továbbítható (sem papír alapú, sem elektronikus formában).
– A jelszónak tetszőlegesen megváltoztathatónak kell lennie.
– A felhasználói jelszavak minimális hossza 8 karakter.
– A felhasználói jelszavak, az e-Tokennel nem rendelkező felhasználók esetén maximum 30 napig lehetnek érvényesek.
– Egy jelszó minimum 1 napig érvényes (1 napon belül nem lehet kétszer megváltoztatni).
– Az utolsó 5 jelszót nem lehet újra használni.
– A felhasználóknak be kell jelentkezni a jelszó megváltoztatásához.
– A felhasználóknak meg kell változtatniuk a jelszavukat, amikor első alkalommal használják felhasználói azonosítójukat.
– Szabályozni, és szűrő segítségével biztosítani kell a jelszavak összetettségét: szükséges nagybetűk, kisbetűk, számok és speciális karakterek együttes használatával.
– Mind a sikeres, mind a sikertelen belépési és kilépési kísérleteket naplózni kell.
– Ha egy felhasználói azonosító 60 napig inaktív, akkor azt a szervezeti egység vezetőjének tájékoztatása mellett a rendszert üzemeltető rendszergazdának fel kell függeszteni.
– A rendszergazdai jelszavak minimális hossza 12 karakter.
– A rendszergazdának lokálisan kell bejelentkezni a jelszó megváltoztatásához.
– Hardver alapú authentikációs eszközhasználata esetén a jelszavakra vonatkozó szabályok érvényesek. A Minisztérium hálózatához való kapcsolódáshoz használt jelszó nem egyezhet meg az eszköz jelszavával.
A fenti szabályok SSO (Single Sign-on) használata esetén fokozottan érvényesek.
6.1.2.5. A munkaállomások hozzáférésére vonatkozó előírások
– A számítógépes munkaállomások képernyőit (monitor) úgy kell elhelyezni, hogy az azon megjelenő információkat illetéktelen személy ne láthassa.
– A BIOS beállításait adminisztrátori jelszóval kell védeni módosítás ellen.
– A folyó munka során nem használt nem nyilvános anyagokat, adathordozókat el kell zárni.
– Felügyelet nélkül hagyott munkahelyen személyes adatot vagy üzleti titkot tartalmazó dokumentum/adathordozó nem maradhat védelem nélkül.
– A számítógép-hálózatba bejelentkezett munkaállomásokon, nem a Minisztériumban nyilvántartott szoftverek (szórakoztató szoftverek, játékok, egyéb segéd programok) installálása és futtatása nem megengedett.
6.1.3. Adat- és rendszermentések
6.1.3.1. Az informatikai rendszerek mentési rendszerének kialakítási elvei
Az adatok és a rendszerek besorolását figyelembe véve, a mentésért felelős rendszergazda és az informatikai vezető kötelesek a mentési terv alapjait minden rendszerre nézve mentési utasításban meghatározni. Az adott rendszerre vonatkozó mentési, archiválási munkautasítást a mentésért felelős rendszergazda készíti el.
Az alapkövetelmények, melyek köré a mentési utasítások felépíthetők, a következők:
– Mentési frekvencia, – a mentések sűrűsége.
– Mentési eljárás, – központi mentés, mely a következő módszerek egyikével történhet:
– ezen mentések kombinációja,
– Adatbázis-kezelők esetében:
– mentő eszközök fajtája, típusa, mennyisége, elhelyezése.
Szükséges továbbá a vonatkozó rendszerek adattartalmának ismeretében meghatározni az archiválási rendet és módot, illetőleg az őrzési időt és ennek módját.
A mentési rendszerterv kialakításához meg kell határozni a mentés végrehajtását leíró következő paramétereket:
– A mentési eljárást a rendszeren belül
– A mentő eszközök fajtáit
– A periodikus mentési módszert, azaz a mentési médiumok forgási rendszerét
A rendszerekre vonatkozó mentési utasításban definiálni kell a mentési rendszertervben szereplő paramétereken túl, a következőket:
– Mentendő munkakönyvtárakat
– Az alkalmazandó média típusát, nevét
– A rendszeres mentést indító program vagy script helyét és nevét
6.1.3.2. Mentési előírások a mentésért felelős munkatársak számára
A szabályzathoz kapcsolódó munkautasításban található Biztonsági mentések és visszatöltések rendje rendelkezik a különböző mentések módjáról és gyakoriságáról.
– A biztonsági mentésekre (backup) vonatkozó előírások:
– Adatbázis- és fileszerver-adatok teljes körű mentését hetente, inkrementális mentést naponta kell végezni.
– Rendszer szintű mentéseket legalább havonta kell végezni, de a rendszert (operációs rendszer, adatbázis-kezelő alkalmazás stb.) érintő változtatások (újabb verzió, javító patch stb.) után közvetlenül is.
– A biztonsági mentések tárolásánál a „háromgenerációs” elvet kell alkalmazni (legalább mindig az utolsó három adatmentés elérhető).
– A teljes körű és a rendszer szintű biztonsági mentéseket az éles rendszer üzemi környezetétől logikailag és fizikailag (lehetőség szerint földrajzilag is, bérelt bankszéfben) elkülönítetten kell tárolni.
– A biztonsági mentések adathordozóit úgy kell megjelölni, hogy arról egyértelműen kiderüljön az adathordozó (a mentés) tartalma és a mentés időpontja.
– A biztonsági mentésekről és a biztonsági mentések adathordozóiról naplót kell vezetni. A naplóból egyértelműen ki kell derülni, hogy mikor, ki, milyen adatterületre vonatkozó mentést hajtott végre, s az eredmény adathordozó hol található. A napló lehet elektronikus formában is elérhető, amely a mentést végző szoftver által generált logfile.
– Biztonsági mentésnek nem tekinthető önmagában az archív állományok tárolására használt nagyméretű diszk vagy szalagos alrendszer.
Az itt lefektetett általános érvényű biztonsági mentésekre vonatkozó szabályoktól a Biztonsági mentések és visszatöltések rendjében el lehet térni, azonban kizárólag szigorúbb szabályozást lehet előírni.
Az archiválás célja az élesüzemű rendszerek által kezelt adatok csökkentése és az élesüzemű rendszerek adatainak későbbi visszakereshetősége.
– Az archív másolat lehetőség szerint újra nem írható vagy írásvédetté tett adathordozóra kerüljön.
– Az archív mentések biztonságos tárolásáról gondoskodni kell (pl. legalább egy példányban a Minisztérium üzemi működését ellátó telephelyen kívül kell tárolni).
– Az archivált adatok tárolásának meg kell felelni a jogszabályban előírt kötelezettségnek.
– Archivált adat csak abban az esetben törölhető az éles üzemi rendszerből, miután az a külső adattároló eszközre ellenőrzötten mentésre került.
– Az archivált adatok visszakeresése esetén kiemelten kell gondoskodni az eredeti hozzáférési jogosultságok érvényre juttatásáról.
– Az 5.2.1.2 pontban meghatározott feltételeknek és elvárásoknak meg kell felelni a mentési eszközök és adathordozók kezelése során.
– Az adathordozók selejtezése a gyárilag előírt maximális használat után kötelező.
6.1.4. Informatikai üzemmenet-folytonosság
Az üzemmenet-folytonosság menedzselésének célja a kritikus informatikai rendszerek igény szerinti rendelkezésre állásának és rendeltetésszerű működésének biztosítása.
Az informatikai üzemmenet folyamatos fenntartása érdekében a létrehozott terveket szükséges alkalmazni, amelyek tartalmazzák a valószínűsíthető fenyegetések bekövetkezése esetén elvégzendő tevékenységeket, továbbá biztosítani kell technikai oldalról az informatikai rendszer backup vagy tartalék megoldásait (Backup gépterem kialakítása, tartalék szerver és hálózati eszközök készletezése, backup hálózati vonalak kialakítása stb.).
6.1.4.1. Informatikai katasztrófahelyzet-kezelési tervek tartalma
A katasztrófahelyzet-kezelési tervnek a következőket kell tartalmaznia:
1. A katasztrófahelyzet-kezelési terv érvényességének behatárolása.
2. A katasztrófahelyzet-kezeléséhez kapcsolódó felelősségek és hatáskörök behatárolása.
3. A katasztrófaelhárításában részt vevő személyek feladatai jogai és kötelességei.
4. A katasztrófaelhárítás közben történő jelentési kötelezettségek.
5. A katasztrófahelyzet kezelésének menete.
6. A katasztrófa utáni helyreállítási intézkedések.
7. A naplózási/nyilvántartási kötelezettségek.
8. A katasztrófaszintek meghatározása.
9. A megelőzés szabályainak és alapelveinek meghatározása.
10. A felkészülés szabályainak és alapelveinek meghatározása.
11. A jelzési és riasztási rendszer kialakítása.
12. A katasztrófahelyzet esetén végrehajtandó tevékenységek.
13. A pótlólagos helységek kiválasztása és kijelölése.
14. A katasztrófahelyzetből és a katasztrófaelhárítási folyamatból levont tapasztalatok kezelése.
15. A katasztrófahelyzet kezelési tervben foglaltak tesztelési és felülvizsgálati gyakorisága.
A katasztrófahelyzet-kezelési tervben foglaltak felülvizsgálatát az információbiztonsági megbízottnak évente egyszer el kell végeznie és a jóváhagyott változtatásokat meg kell tennie.
6.2. Biztonsági szintektől független intézkedések és eljárások
A vírusvédelem célja a Minisztérium informatikai rendszerének rosszindulatú/kártékony programok elleni védelmének biztosítása. A védelem kialakítása során jelentkező biztonsági előírások két szinten jelentkeznek (felhasználói és rendszergazdai szinten).
A vírusvédelmi rendszer fő komponense az aktív (tárrezidens, valósidejű) védelem, mely a számítógép működése során állandóan dolgozik. Feladata a felhasználói munka során igénybe vett állományok (programok, adatok, dokumentumok) közvetlenül a használat előtti vírusellenőrzése. Az aktív védelem kikapcsolása tilos!
Amennyiben a felhasználó a víruskereső program lefuttatása során vírust észlel, fel kell jegyeznie a vírus nevét, a fertőzött file nevét, a munkaállomása számát, és ezeket az adatokat jelenteni kell a HelpDesk felé, aki gondoskodik a vírus további terjedésének megakadályozásáról, és – amennyiben a felhasználói gépen futó program automatikusan nem törölte – a vírus szakszerű kiirtásáról.
Az aktív védelem a rendszergazda által bármely okból történt kikapcsolása esetén a passzív védelem kiemelt jelentőségű, ezért a rendszergazda felelőssége a vírusvédelem megoldása (akár pl. hálózati kábel kihúzása stb.).
6.2.1.2. Elektronikus levelezés vírusvédelme
Az elektronikus levelezés a vírusok továbbításának leggyorsabb és leggyakoribb módja, ezért erre külön figyelmet kell fordítani.
Ha a levél vagy a csatolt állomány fertőzött, arról a víruskereső szoftver értesíti a felhasználót és a rendszergazdát. Ha az aktív védelem képes volt a fertőzés eltávolítására, akkor – a felhasználó rendszergazdával történő egyeztetése után – a munka megkezdhető. Ha az aktív védelem nem képes a fertőzés eltávolítására, akkor a víruskereső rendszer a fertőzött állományt karanténba helyezi.
Az e-mailben ok nélkül, váratlanul vagy a levél szövegében nem indokoltan érkezett állomány esetében a melléklet tartalmának személyes (pl. telefonos) vagy e-mailben történő ellenőrzése szükséges. Ha a küldő nem szándékosan mellékelt az e-mailhez állományt, akkor semmi esetre sem szabad megnyitni. Ilyen esetben a rendszergazda értesítése szükséges.
6.2.1.3. Passzív védelem (offline ellenőrzés)
A passzív védelem feladata a teljes állományrendszer átvizsgálása, tekintet nélkül az állományok használatba vételére. A víruskereső rendszer frissítése esetén naponta el kell végezni.
A munkaállomásokon a víruskereső programokat úgy kell beállítani, hogy hetente egyszer (az első bejelentkezéskor) megtörténjen az automatikus és kikényszerített vírusteszt futtatása. A tesztek eredményét automatikusan ellenőrizhető logfile(ok)ba kell rögzíteni. A rendszerbe kívülről bekerülő adatokat (akár floppyn, pendrive-on beérkező, akár az internetről letöltött adatról van szó) felhasználás előtt vírusellenőrzésnek kell alávetni. A víruskereső programok munkaállomásokon történő lefuttatása a felhasználó feladata és felelőssége.
A passzív védelem futása több időt is igénybe vehet, mivel sok állomány ellenőrzését végzi. A víruskeresést megszakítani tilos.
A passzív védelem különösen fontos akkor, ha az aktív védelem valamilyen okból deaktivált. Az újbóli aktiválásig a passzív védelem használata a felhasználó feladata és felelőssége, aki köteles minden, a rendszerbe bekerülő adat (pl. floppylemez, CD-ROM, Pendrive, e-mail melléklet) ellenőrzését a passzív védelmi rendszerrel azonnal, a felhasználás előtt elvégeztetni.
A víruskereső rendszerek konkrét telepítésnek megszervezése, a telepítés automatizálása a rendszergazdák feladata, ennek eredményeképpen minden külső adat fogadására alkalmas munkaállomáson rendszeresen frissített vírusfigyelő és -törlő programnak kell működnie.
Az újonnan rendszerbe állított, illetve újratelepített számítógépeken gondoskodni kell a víruskereső rendszer azonnali telepítéséről. Megfelelően friss vírusvédelmi rendszer nélkül szervert és munkaállomást üzembe állítani tilos!
Az alkalmazott víruskereső rendszernek képesnek kell lennie, hogy a hálózaton keresztül központosítva felügyelhető változatokat telepítsen. A telepítéskor gondoskodni kell róla, hogy a hálózati adminisztráció során egyértelműen megkülönböztethetők legyenek a különböző gépektől érkező adatok (üzenetek, jelentések, vírusminták stb.).
A rendszergazda feladata a központosított menedzselés vagy előkészítetlen telepítőkészlet hiányában telepítéskor a szükséges konfiguráció beállítása, illetve lehetőség szerint gondoskodni arról, hogy a felhasználók önhatalmúlag ne csökkenthessék a vírusvédelmi rendszer működésének hatékonyságát.
A központi gépeken és a tűzfalon a vírusvédelem programjait úgy kell installálni, hogy minden file-megnyitás, futtatható file indítása, és file-írási műveletet automatikusan ellenőrizzenek. Az ellenőrzés felfüggesztése tilos.
A víruskereső rendszerek frissítése két vonalon zajlik: a vírusadatbázisoknak, illetve maguknak a víruskereső motoroknak a frissítése. Általánosan a vírusadatbázisok frissítése lényegesen gyakoribb.
A víruskereső programok frissítéseit (vírusinformációs adatfájlok és motorok) célszerű az interneten keresztül elvégezni. A hálózat tehermentesítése érdekében belső, a Minisztériumra vonatkozó frissítési szerkezetet kell kialakítani:
A víruskereső programok frissítését, valamint a kliens eszközökre történő replikációt úgy kell beállítani, hogy az automatikusan, naponta legalább egyszer megtörténjen. Ennek technikai kidolgozása az informatikai főosztályvezető felelőssége rendszer szintű beállítása pedig a rendszergazda feladata.
A víruskereső rendszert fejlesztő cégektől érkező figyelmeztetésekre reagálva indokolt esetben az azonnali kiegészítő vírusadatbázis-frissítés szükséges.
A vírusvédelemmel kapcsolatos valamennyi frissítést (vírusadatbázis, biztonsági frissítések, keresőmotor stb.) az üzemeltetésért felelős rendszergazda végzi.
6.2.2. Elektronikus levelezés biztonsága
A Minisztériumnak joga van az e-mail forgalom archiválására és indokolt esetben, az információbiztonsági igazgató engedélyével betekintésre kivételes és indokolt esetben (fegyelmi eljárás, biztonsági incidens). Az eljárást dokumentálni szükséges az indokok, a hozzáférések időpontjának és a megtekintett postafiókok és érintett felhasználók feltüntetésével.
Az elektronikus levelek személyes adatokat is tartalmazhatnak, ezért az e-mail adatbázisok védelmét a személyi adatokra vonatkozó szabályok alapján kell kialakítani.
A felhasználói postafiókból e-mailek kimentése a hálózati személyes meghajtón kívül bármilyen jellegű adathordozóra szakállamtitkári, vagy annál magasabb beosztású vezető írásos engedélyével lehetséges. A felmondási idejüket töltő Minisztériumi munkatársak felhasználói postafiókjából e-mailek kimentése a hálózati személyes meghajtón kívül bármilyen jellegű adathordozóra szakállamtitkári, vagy annál magasabb beosztású vezető, valamint az Információbiztonsági Igazgató együttes írásos engedélyével lehetséges.
Az elektronikus levelezésnél tartalomszűrést kell alkalmazni, amely minimálisan a vírusszűrésre ki kell terjedjen.
– Az elektronikus levelezés kialakításának szempontjai:
= megfelelő felhasználó azonosítás,
= felhasználónkénti tár méret korlátozás,
= távoli elérés esetén titkosítás alkalmazása,
= távoli elérés esetén az egyes csatornák felhasználónkénti korlátozása.
6.2.2.1. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban
– A munkavégzéssel kapcsolatosan már nem használható leveleket rendszeresen el kell távolítani a felhasználók postafiókjából.
– A levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik. Nem szabad megnyitni például az angol nyelven írt, nyereményekre és ismeretlen, megrendelt küldeményekre utaló leveleket, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget a rendszergazdától kérhet.
– A felhasználóknak tilos láncleveleket készíteni és továbbítani. Tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó, vagy „szemét” („junk”) jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez a rendszergazda nyújthat segítséget.
– A tárterületek védelmének érdekében a Minisztérium informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl, csak egy példányban legyen tárolva a rendszerben.
– A felhasználóknak tilos a Minisztérium nevében olyan e-mailt küldeni, csatolt fájlt megjelentetni elektronikus hirdetőtáblákon vagy egyéb fórumokon, melyek:
= a Minisztérium hírnevét, vagy az ügyfelekkel való kapcsolatát ronthatják, illetve a Minisztérium ügyfeleinek érdekét sérthetik,
= törvényt, illetve a Minisztérium belső szabályzatait sértik,
= a Minisztérium bizonyos területekre vonatkozó álláspontját képviselik, fejezik ki,
= szerzői jogokat sérthetnek,
= vírusokkal fertőzhetnek meg bármely hálózatot.
6.2.3. Internet-szolgáltatás szabályozása
A Minisztérium informatikai rendszerét fenyegető veszélyek száma nő az internetre való kapcsolódással. Az így keletkező veszélyforrások kiküszöbölése a szükséges technikai feltételek megteremtésével és az előírások betartásával lehetséges. Az internet felhasználása csak a Minisztérium ügymenetének érdekének megfelelően kialakított és betartott szabályok alapján történhet.
Az internet-szolgáltatás minőségének szinten tartása és a minisztériumi érdekek biztosítása céljából, a rendszergazda az informatikai főosztályvezető engedélyével bizonyos korlátozásokkal élhet.
A korlátozások a következőkre térhetnek ki:
– Bizonyos file-típusok letöltésének korlátozása,
– Alapvető etikai normákat sértő oldalak látogatásának tiltása,
– Illetve a látogatható weboldalak körének behatárolása és a maximális file letöltési méret korlátozása.
Adott szervezeti egység vezetője – amennyiben ezt indokoltnak tartja – letilthatja a szervezeti egységhez tartozó munkatársak internet-hozzáférését. Ezt a szervezeti egység vezetője írásban kérheti az informatikai főosztályvezetőtől.
A Minisztérium munkatársai csak az Informatikai Főosztály által engedélyezett internet kijáratokon keresztül csatlakozhatnak az internethez. Bármely egyéb módon történő internetelérés létesítése az azt kialakító munkavállaló felelősségre vonását eredményezi.
Az informatikai rendszer biztonsága érdekében az internetfelhasználók által meglátogatott oldalak a rendszergazdák által folyamatosan naplózásra kerülnek. A naplók szigorúan titkosak, azokat az adatvédelmi előírásoknak megfelelően kell kezelni.
Felhasználók internethasználatára vonatkozó általános szabályok:
– Csak a munkavégzéshez, szakmai tájékozottság bővítéshez információt, segítséget nyújtó oldalak látogathatók.
– Mindig szem előtt kell tartani a Minisztérium érdekeit és a törvényi s a belső szabályok által szabott határokat.
– A Minisztérium munkatársai nem tölthetnek fel egyénileg a Minisztériummal kapcsolatos adatot az internetre,
– Az internetről csak a munkavégzéshez szükséges adatállományok, táblázatok, programok tölthetők le, a hálózatra csatlakoztatott gépre, vagy a szerverre való telepítés előtt az internetről letöltött fájlt egyéni vírusellenőrzés alá kell vetni. Amennyiben a felhasználó a vírusellenőrzést nem tudja lefolytatni, köteles értesíteni a rendszergazdát.
6.2.4. Szoftvereszközök használatának szabályozása
Az informatikai biztonság teljes körű megvalósításához hozzájárul a jogtiszta szoftverek és a szoftvereszközök jogszerű használata, valamint szoftverek biztonságos kezelése.
A Minisztérium szoftvereinek nyilvántartása érdekében szoftverleltárt kell létrehozni. A szoftverleltár kialakítását erre a célra szolgáló szoftver és rendszeres szoftver-audit segítségével kell megvalósítani.
A rendszeres szoftver-vizsgálat során ellenőrizni kell:
– A használatban lévő szoftverek rendelkeznek-e licence-szel,
– A megvásárolt licencek számának a használt szoftverek mennyiségével arányban kell lenniük
– A használt szoftverek verziószámát.
– A ténylegesen használt szoftverek megegyeznek-e a szoftverleltárban foglaltakkal.
A szoftver-vizsgálat lebonyolítása az informatikai főosztályvezető felelőssége és a rendszergazdák feladata, amit évente egyszer kell elvégezni. A szoftver-vizsgálat eredményei alapján frissíteni kell a szoftverleltárt. A szoftverleltár frissítése az üzemeltetés feladata az informatikai főosztályvezető, és az információbiztonsági igazgató kezdeményezésére.
A szoftvereszközök telepítésére és használatára vonatkozó általános szabályok:
– A Minisztérium munkaállomásaira csak eredményesen tesztelt szoftverek telepíthetők. A telepítést minden esetben a rendszergazda végzi.
– Tilos a munkaállomásokra licence-szel nem rendelkező a kereskedelmi forgalomban beszerezhető, vagy nem Minisztérium által fejlesztett szoftvert telepíteni.
– A Minisztérium által vásárolt és kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik félnek tilos, hacsak megfelelő licencszerződés ezt külön nem szabályozza.
– A felhasználók csak a rendszergazdák által telepített szoftvereket használhatják,
– A felhasználók rendelkezésére bocsátott hardver- és szoftvereszközök a Minisztérium, vagy az üzemeltetés tulajdonát képezik, amelyek ellenőrzését az információbiztonsági igazgató bejelentés nélkül bármikor kezdeményezheti.
6.2.4.1. Tűzfalakkal kapcsolatos szabályozások
A tűzfalak biztonsági beállításainak meg kell felelniük az alábbi elvárásoknak és a feladatok elvégzését biztosítani kell:
– A tűzfal rendszer naplóinak elemzése (napi szinten).
– A tűzfalak beállításainak és naplóállományainak mentése (naponta).
– A beállított szabályok működésének tesztelése.
– A tűzfalak szabályainak felülvizsgálata (éves szintű felülvizsgálat minimálisan javasolt).
– A tűzfal rendszer kialakításának felülvizsgálata (minimum évente, illetve az infrastruktúrában történt fejlesztések alkalmával javasolt elvégezni).
– Meg kell határozni a normál működéstől eltérő események, hibák kezelésének felelősségeit, eljárásait, annak érdekében, hogy a visszaállás a leggyorsabban végrehajtható legyen.
– A tűzfal rendszerrel kapcsolatosan dokumentálni kell az alábbiakat.
– A tűzfalon felismerhető biztonsági incidenseket, azok megszüntetésére tett intézkedéseket.
– Működési incidenseket, azok megszüntetésére tett intézkedéseket.
– A tűzfalak frissítéseinek (biztonsági frissítések, verziófrissítések) végrehajtását.
6.2.5. Betörésvédelem, betörésdetektálás
A Minisztérium informatikai hálózatába történő belépéseket betörésdetektáló és védelmi szoftverek alkalmazásával kell védeni az illetéktelen behatolástól. (IDS/IPS)
A betörésvédelmi és betörésdetektáló rendszerek technikai kialakítása a hálózatüzemeltetésért felelős szolgáltató feladata.
A technikai kialakítás során a betörésvédelmi rendszert úgy kell kialakítani, hogy a betörési kísérletek naplózása megoldott legyen. Továbbá ki kell alakítania betörésvédelmi rendszerhez kapcsolódó riasztási rendszert, mely egy esetleges sikeres betörési kísérlet esetén az üzemeltetésért felelős szolgáltató kijelölt rendszergazdájának automatikus riasztást generál.
Egy sikeres behatolási kísérlet esetén a rendszergazda köteles az információbiztonsági vezetőt és az Informatikai Főosztály vezetőjét is értesíteni.
6.2.6. Távoli hozzáférés, wireless kapcsolat szabályozása
A Minisztérium informatikai rendszerének távoli elérését csak és kizárólag az egyedi engedélyezési eljáráson átesett authentikáció, illetve a szerződésben meghatározott feltételekkel külső személyek (a rendszerjavításához, karbantartáshoz) használhatják a rendszerek besorolásának függvényében.
A távoli hozzáférés kialakítása az alábbi technikai megoldási módot használva lehetséges:
1. WebMail szolgáltatás – OWA-elérésen keresztül
Az interneten keresztül felépített VPN-kapcsolatnál az IP-alapú kommunikáció titkosított adatcsatorna kialakításán keresztül zajlik.
4. Hardver alapú authentikációs eszközök
Mindegyik kapcsolat kialakítása esetén a rendszer beállításai által gondoskodni kell az egyértelmű felhasználói azonosításról és authentikációról, a naplózásról, illetve a kapcsolatok megfelelő tűzfalas védelméről. Emellett szükséges hardver authentikációs eszköz igénylése, illetőleg használata a megfelelő biztonsági szint elérése érdekében a kapcsolódó munkautasítás szerint.
6.2.7. Mobil IT-tevékenység, hordozható informatikai eszközök
A laptopok használatával kapcsolatban a következő biztonsági paraméterek betartása kötelező:
– A Minisztérium tulajdonát képező hordozható személyi számítógépeket a Minisztérium területén kívül csak az arra felhatalmazott személyek használhatják.
– A mobil eszközök átvételéhez átadás-átvételi dokumentumokat kell készíteni.
– Valamennyi a Minisztérium tulajdonát képező hordozható személyi számítógépet rendszeres szoftver-, adat- és biztonsági ellenőrzéseknek kell alávetni.
A személyi számítógépeket és az ahhoz kapcsolódó számítástechnikai berendezéseket szállító személyek:
– Kötelesek a számítógépet a szállítás idejére lehetőleg minél kevésbé szem előtt lévő módon elhelyezni.
– Tilos a számítógépet a gépjárműben hagyni.
– Repülés, vagy vonatút alatt a személyi számítógépet kézipoggyászként kell szállítani.
– Azokban az esetekben, amikor az eszközöket nem a Minisztérium tulajdonában lévő telephelyen (szálloda, lakás) kell hagyni, fokozott figyelmet kell szentelni a jogosulatlan hozzáférés, az adatok esetleges módosítása, megrongálása, vagy ellopása elleni védelemnek.
– Tilos az engedély nélküli átruházása vagy adatainak közlése.
– Megfelelő védelem nélkül idegen hálózathoz csatlakozni.
– Tilos a gépet bármilyen indokolatlan veszélynek kitenni vagy nem rendeltetésszerűen használni.
A Minisztérium titkos adataiból csak azon adatokat szabad hordozható személyi számítógépen tárolni
– Mely adatokról központi biztonsági mentés készül.
– Biztosítani lehet a törvényileg, jogszabályilag, belső szabályzattal előírt adatbiztonságot és adatvédelmet.
– A hordozható eszközön is megoldott a titkosított tárolás lehetősége.
A mobil eszközök biztonsági beállításait, illetve háttértárolóinak tartalmát rendszergazdáknak és az információbiztonsági megbízottnak legalább negyedévenként ellenőriznie kell. Az ellenőrzés során fokozott figyelmet kell szentelni a következőknek:
– Az adott eszközön a biztonsági beállítások, vírusvédelmi és egyéb biztonsági eszközök beállításai megfelelnek-e az előírtaknak.
– Az állományok lokális tárolására vonatkozó szabályok betartásra kerülnek-e.
– Az eszközön fellelhető naplóállományokban nincs-e nyoma rendellenes műveleteknek, jogosulatlan használatnak.
6.2.8. Papír alapú dokumentumokat előállító hálózati eszközök kezelése
A dokumentumok előállítására alkalmas eszközök (nyomtató, plotter, fax) használatára az egyéb informatikai eszközökre vonatkozó szabályozások érvényesek. A felhasználók számára tiltott tevékenységek a Minisztérium adatait nyomtatott formában megjelenítő eszközök esetén is hatályosak.
A BS7799 szabvány által előírt felhasználói felelősségek iratok esetén érvényesek.
– Őrizetlenül hagyott felhasználói információk és dokumentumok
7. Informatikai rendszerek fejlesztése és karbantartása
7.1. Az informatikai rendszerek fejlesztése és karbantartása
A Minisztérium informatikai rendszereinek továbbfejlesztését, módosítását, valamint új alkalmazások fejlesztését a külső törvényi elvárásokhoz és Minisztérium elvárásaihoz igazítva kell elvégezni.
Az informatikai rendszerek fejlesztésének első lépéseként a szakmai oldal elvárásai alapján el kell készíteni a rendszerspecifikációs dokumentumot, amelynek elkészítése során a jogszabályi és az informatikai biztonsági elvárásoknak történő megfelelést is figyelembe kell venni.
Az informatikai biztonság megőrzése érdekében ki kell dolgozni a rendszerspecifikációra vonatkozó biztonsági követelményrendszert. A követelményrendszer kidolgozásának végrehajtása az információbiztonsági megbízott felelőssége és a kapcsolódó fejlesztési projektvezetőjének feladata. A követelményrendszert az alaprendszerbe való illesztéséből adódóan egyeztetni szükséges a rendszergazdákkal.
A követelményrendszer elkészítése során figyelembe kell venni:
– A fejlesztendő rendszer bemenő adatait, annak adatvédelmi és adatbiztonsági besorolási szintjeit.
– A rendszer elvárt rendelkezésre állási idejét.
– A rendszer azon elemeit, ahol hozzáférési jogosultságok kialakítása szükséges.
– A rendszer gyenge, betörésre alkalmat adó pontjait.
– Mentési rendbe való illesztését.
7.1.1. Alkalmazásfejlesztés
7.1.1.1. Szakmai követelmények összeállítása
Szakmai követelmények megfogalmazását követően az alkalmazásfejlesztést igénylő terület feladata az igényléskor benyújtott fejlesztési igény jelzése az Informatikai Főosztálynak a szakmai követelmények pontos meghatározásával. Ezt követően a részletes követelményspecifikációt az Informatikai Főosztály állítja össze a szakmai terület közreműködésével.
A szakmai követelményeket leíró dokumentum elkészítése az igénylő szervezeti egység vezetőjének (illetve az általa kinevezett munkatársnak) a felelőssége.
Szakmai követelményeket tartalmazó dokumentumnak kötelező adattartalma:
– Az igényelt fejlesztéssel szemben elvárt funkcionalitás ismertetése
– A fejlesztésre vonatkozó (környezeti) korlátok bemutatása
– A rendszerrel szemben támasztott szakmai követelmények
– Biztonsági követelmények
– Felhasználói követelmények
– Üzemeltetési követelmények
– Infrastrukturális követelmények
7.1.1.2. Informatikai követelmények összeállítása
Ezek meghatározása után – a fejlesztéssel szemben támasztott felhasználói követelmények ismeretében – a fejlesztési feladat precíz specifikálása az alábbiak alapján lehetséges:
– A fejlesztési igény alapos megismerése, elemeinek, tevékenységeinek folyamatainak feltárása.
– A rendszer elemeinek, működésének leírása, elemzése.
– Az információs rendszer részletes feltárása, megismerése.
– Az információáramlás és -feldolgozás elemzése.
– Az alkalmazni kívánt ki- és beviteli eszközök, módszerek meghatározása.
– A szükséges képernyő és nyomtatási formátumok, ki- és beviteli mezők meghatározása.
– A rendszerben tárolt adatok típusainak, formátumának, mérethatárainak meghatározása.
Ezen feladatok elvégzése a fejlesztést igénylő szervezeti egység vezetőjének felelőssége. A szakmai terület vezetőjének kezdeményezését követően az Informatikai Főosztály koordinálásával készül el.
Az informatikai fejlesztési feladatnak az előző pontban meghatározottakon túl tartalmaznia kell a következőket is:
– A fejlesztés hardver szükséglete.
– A fejlesztés szoftver követelményei.
– Dokumentációk adattartalmával és felépítésével kapcsolatos elvárások.
– Szükséges erőforrások bemutatása.
– Fejlesztési projekt ütemezése.
– A fejlesztés életciklusának meghatározása.
– Rendszertervek adattartalmával és felépítésével kapcsolatos elvárások.
A fejlesztéshez kapcsolódó informatikai igények megfogalmazása az informatikai főosztályvezető és az üzemeltetésért felelős terület közös feladata.
7.1.1.3. Dokumentációkészítés
A fejlesztett rendszerhez kapcsolódó dokumentációk elkészítése az adott szervezeti egység felelőssége, belső fejlesztés esetén az Informatikai Főosztálynak, vagy külső fejlesztés esetén a külső vállalkozónak a feladata. Az informatikai főosztályvezető csak abban az esetben veheti át üzemeltetésre a fejlesztett rendszert, ha a dokumentáció a következőket tartalmazza:
– Műszaki leírás, amely tartalmazza a teljes rendszer felépítésére, működésére vonatkozó műszaki specifikációkat.
– Az Implementációs tervet, valamint a Teszt tervet is, amely részletesen leírja az átállás lépéseit, körülményeit, biztonsági követelményeit, szükséges erőforrásokat.
– Üzemeltetési leírás, amelyek tartalmazzák a rendszer üzemeltetésére vonatkozó eljárásokat, rendszerindítás, – leállítás, biztonsági intézkedések, napi tevékenységek pontos leírását, továbbá mentés/visszaállítási leírás, katasztrófa-elhárítási tervet, amely tartalmazza az adott rendszerre vonatkozó speciális feladatokat, igényeket.
– Beállítási terv/leírás, amely a rendszer jogosultsági és egyéb beállításainak az átadás-átvételkori állapotát tartalmazza.
– Felhasználói leírás, amely tartalmazza a felhasználók számára a rendszer rendeltetésszerű használatára vonatkozó használati utasításokat.
– Oktatási anyag, amely tartalmazza a felhasználói és üzemeltetői feladatokhoz kapcsolódó oktatási anyagot, valamint a javasolt oktatási tervet.
A projektterv alapján elkészült fejlesztési feladat üzemeltetésre való átadás feltétele egy átfogó teszt végrehajtása, amit két fázisban kell megvalósítani. Rendszerteszt során a rendszer üzemszerű működését, működtethetőségét, a felhasználói teszt során, pedig a fejlesztési igényben megfogalmazott elvárások minőségi teljesülését kell vizsgálat alá venni. A tesztelési módszertannak javasolt követnie a ISO9126 és a ISO12207 alkalmazásfejlesztéssel és teszteléssel összefüggő (6.4 Verification) fejezeteit.
A jóváhagyott Műszaki leírásban szereplő teszt terv alapján a szükséges teszteket el kell végezni. A teszteknek az alábbi területeket kell érintenie:
A tervben meghatározott feladatok elvégzéséről Teszt jegyzőkönyvet kell készíteni, amelyet az informatikai főosztályvezetőnek és az információbiztonsági megbízottnak kell jóváhagynia. A tesztek végrehajtását, a kötelező dokumentumok adattartalmát a fejlesztéshez kapcsolódó Projekttervben kell definiálni.
Teszt végrehajtását a Műszaki leírásban szereplő felhasználói tesztterv alapján kiválasztott felhasználónak kell elvégezni, és az elvégzett feladatokat dokumentálniuk kell a terv mellékleteként csatolt Felhasználói teszt jegyzőkönyvben.
A teljes rendszer sikeres tesztje után a rendszert próbaüzembe kell állítani, amelynek keretén belül az igénylők megkezdik a rendszer rendeltetésszerű használatát. A próbaüzem során feltárt hibák kijavításáig és a sikeres elfogadási tesztig, de legalább 1 hónapig tart. Az elfogadási tesztről jegyzőkönyvet (Elfogadási teszt jegyzőkönyv) kell készíteni és eljuttatni az informatikai főosztályvezetőhöz jóváhagyásra.
Igazolt próbaüzem után megtörténhet az Implementációs terv alapján az éles üzemre való átállás.
A fejlesztői felügyelet időszaka alatt történő rendkívüli eseményekről jegyzőkönyveket kell készíteni (Rendszer-felügyeleti jegyzőkönyv) és eljuttatni az informatikai főosztályvezetőhöz jóváhagyásra.
4. Átadás az üzemeltetésnek
A projekt során átadott eszközökről, alkalmazásokról, dokumentációkról átadás-átvételi jegyzőkönyvet kell készíteni, és átadni az üzemeltetés képviselőjének. A feladatok elvégzését Teljesítési igazolás aláírásával kerül dokumentálásra.
7.2. Vásárolt és fejlesztett programokra vonatkozó előírások
A vásárolt és fejlesztett programok esetében figyelembe kell venni a szerzői jogra vonatkozó hatályos törvényi szabályozásokat. A tulajdonjogokat a licencszerződések szabályozzák.
Biztonsági előírások a vásárolt és fejlesztett programokkal kapcsolatban:
– A Minisztérium által vásárolt, vagy számára kifejlesztett szoftverek (és a hozzájuk tartozó dokumentumok) másolása és átadása harmadik félnek – ha a licencszerződés ezt nem teszi lehetővé – szigorúan tilos.
– Felhasználók/programozók, – az arra illetékes vezető jóváhagyása nélkül – nem készíthetnek olyan alkalmazásokat, programokat, melyek a Minisztérium létfontosságú adatbázisait igénybe veszik, ahhoz kapcsolódnak.
– A Minisztérium adatbázisából csak úgy hozhat létre önálló adatbázist ha erre az illetékesektől az engedélyt megkapta. Ezen adatbázisoknak meg kell felelniük a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény előírásainak.
8. Ellenőrzések, rendszeres felülvizsgálatok
Az informatikai biztonság szinten tartása érdekében megfelelő kontrollokat kell kialakítani. A kontrollok kialakításánál elsődlegesen azt kell figyelembe venni, hogy azok által az információbiztonság szintje mérhető legyen.
Ennek érdekében meg kell határozni az ellenőrzések területeit, és minden területhez külön-külön meg kell fogalmazni az ellenőrzési célkitűzéseket. Az ellenőrzési célkitűzések ismeretében meg kell jelölni az ellenőrzés eszközeit (dokumentumok, naplók, szoftverek, adatok, amelyek a biztonsági rendszerről hiteles képet tudnak adni), azok tartalmi követelményeit.
Az ellenőrzés eredményét minden esetben ki kell értékelni, és a megfelelő következtetéseket le kell vonni, illetve vissza kell csatolni a biztonsági folyamatra. Szükség esetén felelősségre vonási eljárást kell kezdeményezni.
Az ellenőrzéseket dokumentumok, dokumentációk, személyes beszámoltatás és helyszíni szemlék alapján lehet végrehajtani.
Az informatikai biztonsággal kapcsolatos ellenőrzések területei az alábbiak lehetnek:
– Megfelelőségi vizsgálat. Célja felderíteni, hogy a Minisztérium rendelkezik-e a törvényi előírásokban meghatározott személyi, eljárási, tárgyi feltételekkel, és azok megfelelően dokumentáltak-e.
– Az információbiztonság szintjére vonatkozó vizsgálat. Célja felderíteni, hogy az információbiztonság szintje megfelel-e a meghatározott védelmi szintnek.
– Az információbiztonsági szabályok betartásának ellenőrzése. Célja felderíteni, hogy a Minisztérium információbiztonsági szabályait az illetékes személyek ismerik-e, illetve betartják-e. Ez az ellenőrzés az informatikai biztonság egy-egy területére is leszűkíthető.
– A biztonsági dokumentumrendszer felülvizsgálata. Célja a Minisztérium belső szabályzatrendszerét képező hatályos eljárások felülvizsgálata, hogy megfelelnek-e az elvárt jogi, informatikai, szakmai elvárásoknak és az általuk szabályozott területen megfelelő szabályok betartására alkalmazhatóak.
Az ellenőrzések során elsősorban az alábbiakat kell vizsgálni:
– Az IT biztonsági rendszer működése megfelel-e a törvényi előírásoknak
– Az IT biztonsági rendszer felépítése, tartalma megfelel-e az ISO27001/BS 7799-2 szabványnak
– Az IT biztonsági szabályok érvényesítve vannak-e a folyamatokban
– Az IT biztonsági rendszer előírt dokumentumai léteznek-e, illetve naprakészek-e
– Az IT személyzet, illetve a felhasználók rendelkeznek-e a megfelelő IT biztonsági ismeretekkel.
– Az adatokra és rendszerekre vonatkozó kezelési szabályok betartását.
– A naplózási rendszer megfelelő alkalmazását. A biztonsági események kezelésének, a szükséges mértékű felelősségre vonás gyakorlatát.
– A mentési rendszer megfelelő alkalmazását.
– Az informatikai rendszert fejlesztők, üzemeltetők, és felhasználók információbiztonsággal kapcsolatos ismereteit.
– A hozzáférési jogosultságok nyilvántartásának naprakészségét, a kiadott jogosultságok szükségességét.
– A dokumentációk pontosságát – naprakészségét, változás követését, megfelelő kezelését / nyilvántartását.
– Az alkalmazott szoftverek jogtisztaságát.
– A szerződések megfelelőségét.
– A fizikai biztonsági előírások betartását.
8.1. Biztonsági rendszerek felülvizsgálata
Az IT biztonsági rendszer, illetve annak egyes elemeit rendszeresen felül kell vizsgálni. A szükséges felülvizsgálatok az alábbiak:
A felülvizsgálat tárgya |
A felülvizsgálat
ciklikusság |
Megfelelőségi vizsgálat |
2 évente |
Az információbiztonság szintjére vonatkozó vizsgálat |
1 évente |
Az információbiztonsági szabályok betartásának ellenőrzése |
2 évente |
A biztonsági dokumentumrendszer felülvizsgálata |
1 évente |
A jelen szabályzat a közzétételt követő napon lép hatályba.
Felhasználói Tevékenységek Szabályozása
1. Felhasználói tevékenységek
1.1. A munkautasítás célja
A munkautasítás célja a Nemzeti Fejlesztési és Gazdasági Minisztérium, (a továbbiakban: Minisztérium) informatikai rendszereinek felhasználóira vonatkozó általános biztonsági szabályok összefoglalása, az Információbiztonsági Szabályzattal (IBSz) összhangban.
1.2. A munkautasítás hatálya
A munkautasítás tárgyi és személyi hatálya megfelel az Információbiztonsági Szabályzat 2. pontjában leírt és meghatározott területeknek.
1.3. A felhasználók információbiztonsági felelőssége
1.3.1. A felhasználókra vonatkozó általános biztonsági elvárások
A Minisztérium minden dolgozója köteles az alábbi szabályokat megismerni és betartani, illetve ezek betartásában az informatikai rendszer használatát irányító személyekkel együttműködni.
– Minden felhasználó felelős az általa használt eszközök rendeltetésszerű használatáért.
– Minden felhasználó, a rá vonatkozó szabályok – elsősorban a köztisztviselők jogállásáról, illetve a közalkalmazottak jogállásáról szóló törvényekben foglaltak – szerint, felelős az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.
– A számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni.
– A számára rendelkezésre bocsátott számítástechnikai eszközöket megóvni.
– Belépési jelszavát (jelszavait) az előírt időben változtatni.
– Számítógépét a helyiség elhagyása esetén olyan állapotban hagyni, hogy azt illetéktelen ne használhassa. A munkaállomásokat lezárni szükséges, hogy csak jelszó vagy hardveres authentikációs eszköz használatával lehessen hozzáférni.
– Az észlelt rendellenességekről tájékoztatni a közvetlen felettesét és a megfelelő informatikai szakembert vagy az informatikai biztonsági felügyelőt.
1.3.2. A Minisztérium informatikai rendszerét használó minden felhasználónak TILOS:
– A saját használatra kapott számítógép rendszerszintű beállításainak módosítása (ebbe nem értendők bele az irodai programok felhasználói beállításai).
– A munkaállomására telepített aktív vírusvédelem kikapcsolása.
– Belépési jelszavát (jelszavait) harmadik személy rendelkezésére bocsátani.
– A számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása, illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra az informatikai rendszert üzemeltetők tudta nélkül.
– A számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása.
– Bármilyen szoftver installálása, internetről való letöltése, külső adathordozóról merevlemezre való másolása a rendszergazda engedélye nélkül.
– Bármilyen eszköz beszerelése és annak használata.
– Az általa használt eToken biztonsági eszköz számítógépben való hagyása a munkaállomásáról való távozása esetén.
– Belső bizalmas és titkos adatok Minisztériumokból való kijuttatása vagy magáncélú felhasználása.
1.3.3. Felhasználók feladatai és kötelességei az elektronikus levelezéssel kapcsolatban
– A munkavégzéssel kapcsolatosan már nem használható leveleket rendszeresen el kell távolítani a felhasználók postafiókjából.
– A levelet csak akkor szabad megnyitni, ha a levél megbízható feladótól származik. Nem szabad megnyitni például az angol nyelven írt, nyereményekre és ismeretlen, megrendelt küldeményekre utaló leveleket, ezeket haladéktalanul törölni kell. Ha a felhasználó bizonytalan a levéllel kapcsolatos teendőt illetően, segítséget a rendszergazdától kérhet.
– A felhasználóknak tilos láncleveleket készíteni és továbbítani. Tilos továbbá más felhasználóktól, illetve külső hálózatról kapott támadó, vagy „szemét” („junk”) jellegű, a hálózat túlterhelését célzó e-mailek továbbítása. Az ilyen levelek automatikus kiküszöböléséhez a rendszergazda nyújthat segítséget.
– A tárterületek védelmének érdekében a Minisztérium informatikai rendszerén belül minimalizálni kell a fájlok küldését. Szükség esetén a fájl hozzáférhető módon történő elhelyezése után, a fájlra mutató linket kell elküldeni az elektronikus levélben. Általános szabály, hogy törekedni kell arra, hogy egy fájl, csak egy példányban legyen tárolva a rendszerben.
– A felhasználói postafiókból e-mailek kimentése a hálózati személyes meghajtón kívül bármilyen jellegű adathordozóra szakállamtitkári, vagy annál magasabb beosztású vezető írásos engedélyével lehetséges. A felmondási idejüket töltő Minisztériumi munkatársak felhasználói postafiókjából e-mailek kimentése a hálózati személyes meghajtón kívül bármilyen jellegű adathordozóra szakállamtitkári, vagy annál magasabb beosztású vezető írásos engedélyével, valamint az információbiztonsági igazgató együttes engedélyével lehetséges.
– A felhasználóknak tilos a Minisztérium nevében olyan e-mailt küldeni, csatolt fájlt megjelentetni elektronikus hirdetőtáblákon vagy egyéb fórumokon, melyek:
= a Minisztérium hírnevét, vagy az ügyfelekkel való kapcsolatát ronthatják, illetve a Minisztérium ügyfeleinek érdekét sérthetik,
= törvényt, illetve a Minisztérium belső szabályait sértik,
= a Minisztérium bizonyos területekre vonatkozó álláspontját képviselik, fejezik ki,
= szerzői jogokat sérthetnek,
= vírusokkal fertőzhetnek meg bármely hálózatot.
1.3.4. Felhasználók feladatai és kötelezettségei eToken biztonsági eszköz használata esetén
– Az eszköz átvételét követően a helpdesk-től kapott jelszót meg kell változtatni.
– Az eToken eszközhöz tartozó jelszót 1 évenként meg kell változtatni.
– A felhasználónévhez tartozó jelszót a felhasználói fiók megszüntetéséig ez eToken eszközzel rendelkező felhasználóknak nem kell megváltoztatni.
– Az eszköz meghibásodása, illetve az eszköz elvesztése esetén a felhasználó köteles értesíteni az Informatikai Főosztályt.
1.3.5. Munkahely és munkaadatok védelme / Üres íróasztal-politika
– Minden felhasználó köteles a munkavégzés során használt dokumentumokat, adathordozókat olyan módon használni, mely az illetéktelen hozzáférést lehetőleg megakadályozza. A munkaidő leteltével a munkaanyagokat lehetőség szerint el kell zárni.
Vírusvédelmi Munkautasítás
1. Vírusvédelmi folyamatok
1.1. A munkautasítás célja
A vírusvédelmi munkautasítás célja a Nemzeti Fejlesztési és Gazdasági Minisztérium (a továbbiakban: Minisztérium) informatikai rendszerének rosszindulatú/kártékony programok elleni védelmének biztosításához szükséges folyamatok leírása.
1.2. A munkautasítás hatálya
A munkautasítás tárgyi és személyi hatálya megfelel az Információbiztonsági Szabályzat 2. pontjában leírt és meghatározott területeknek.
A Minisztérium vírusvédelmének operatív működtetését a üzemeltető rendszergazdák végzik.
Feladataikat a szolgáltatóval kötött SLA dokumentum szabályozza, melyek az alábbiak:
– Vírusminták naprakészségének biztosítása
– Tömeges vírusfertőzés következményeinek elhárítása
1.3.1. Vírusminták naprakészségének biztosítása
Jellemző |
Érték |
Vírusminta frissítése |
Vírusminta megjelenése után 24 óra idővel frissítve minden érintett gépen |
Végrehajtása az SLA által meghatározott eseménykezelés keretei között történik meg
1.3.3. Tömeges vírusfertőzés következményeinek elhárítása
Tömeges vírusfertőzés esetén akcióterv készítése szükséges, amely meghatározza:
– Vírus továbbterjedésének megakadályozásának
– Vírusfertőzés megszűntetésének lépéseit
Jellemző |
Érték |
Tömeges vírusfertőzés feltétele |
30 egyidejű fertőzés |
Akcióterv kidolgozása |
Akcióterv/ellenintézkedés 2 óra időn belü előáll |
1.4. Vírusvédelem feladatai
Jelenleg használt vírusirtó az F-Secure Corporation termékeiből épül fel:
A vírusvédelmi rendszer fő komponense az aktív (tárrezidens, valósidejű) védelem, mely a számítógép működése során állandóan dolgozik. Feladata a felhasználói munka során igénybe vett állományok (programok, adatok, dokumentumok) közvetlenül a használat előtti vírusellenőrzése. Az aktív védelem kikapcsolása tilos!
Amennyiben a felhasználó a víruskereső program lefuttatása során vírust észlel, fel kell jegyeznie a vírus nevét, a fertőzött file nevét, a munkaállomása számát, és ezeket az adatokat jelenteni kell a helpdesk felé, aki gondoskodik a vírus további terjedésének megakadályozásáról, és – amennyiben a felhasználói gépen futó program automatikusan nem törölte – a vírus szakszerű kiirtásáról.
Az aktív védelem a rendszergazda által bármely okból történt kikapcsolása esetén a passzív védelem kiemelt jelentőségű, ezért a rendszergazda felelőssége a vírusvédelem megoldása.
1.4.2. Elektronikus levelezés vírusvédelme
Az elektronikus levelezés a vírusok továbbításának leggyorsabb és leggyakoribb módja, ezért erre külön figyelmet kell fordítani.
Ha a levél vagy a csatolt állomány fertőzött, arról a víruskereső szoftver értesíti a felhasználót és a rendszergazdát. Ha az aktív védelem képes volt a fertőzés eltávolítására, akkor – a felhasználó rendszergazdával történő egyeztetése után – a munka megkezdhető. Ha az aktív védelem nem képes a fertőzés eltávolítására, akkor a víruskereső rendszer a fertőzött állományt karanténba helyezi.
Az e-mailben ok nélkül, váratlanul vagy a levél szövegében nem indokoltan érkezett állomány esetében a melléklet tartalmának személyes (pl. telefonos) vagy e-mailben történő ellenőrzése szükséges. Ha a küldő nem szándékosan mellékelt az e-mailhez állományt, akkor semmi esetre sem szabad megnyitni. Ilyen esetben a rendszergazda értesítése szükséges.
1.4.3. Passzív védelem (offline ellenőrzés)
A passzív védelem feladata a teljes állományrendszer átvizsgálása, tekintet nélkül az állományok használatba vételére. A víruskereső rendszer frissítése esetén naponta el kell végezni.
A munkaállomásokon a víruskereső programokat úgy kell beállítani, hogy hetente egyszer (az első bejelentkezéskor) megtörténjen az automatikus és kikényszeríttet vírusteszt futtatása. A tesztek eredményét automatikusan ellenőrizhető logfile(ok)ba kell rögzíteni. A rendszerbe kívülről bekerülő adatokat (akár floppy-n, pendrive-on beérkező, akár az internetről letöltött adatról van szó) felhasználás előtt vírusellenőrzésnek kell alávetni. A víruskereső programok munkaállomásokon történő lefuttatása a felhasználó feladata és felelőssége.
A passzív védelem futása több időt is igénybe vehet, mivel sok állomány ellenőrzését végzi. A víruskeresést megszakítani tilos.
A passzív védelem különösen fontos akkor, ha az aktív védelem valamilyen okból deaktivált. Az újbóli aktiválásig a passzív védelem használata a felhasználó feladata és felelőssége, aki köteles minden, a rendszerbe bekerülő adat (pl. floppylemez, CD-ROM, Pendrive, e-mail melléklet) ellenőrzését a passzív védelmi rendszerrel azonnal, a felhasználás előtt elvégeztetni.
A víruskereső rendszerek konkrét telepítésnek megszervezése, a telepítés automatizálása a rendszergazdák feladata, ennek eredménye képen minden külső adat fogadására alkalmas munkaállomáson rendszeresen frissített vírusfigyelő és -törlő programnak kell működnie.
Az újonnan rendszerbe állított, illetve újratelepített számítógépeken gondoskodni kell a víruskereső rendszer azonnali telepítéséről. Megfelelően friss vírusvédelmi rendszer nélkül szervert és munkaállomást üzembe állítani tilos!
Az alkalmazott víruskereső rendszernek képesnek kell lennie, hogy a hálózaton keresztül központosítva felügyelhető változatokat telepítsen. A telepítéskor gondoskodni kell róla, hogy a hálózati adminisztráció során egyértelműen megkülönböztethetők legyenek a különböző gépektől érkező adatok (üzenetek, jelentések, vírusminták stb.).
A rendszergazda feladata a központosított menedzselés vagy előkészítetlen telepítőkészlet hiányában telepítéskor a szükséges konfiguráció beállítása, illetve lehetőség szerint gondoskodni arról, hogy a felhasználók önhatalmúlag ne csökkenthessék a vírusvédelmi rendszer működésének hatékonyságát.
A központi gépeken és a tűzfalon a vírusvédelem programjait úgy kell installálni, hogy minden file-megnyitás, futtatható file indítása, és file írási műveletet automatikusan ellenőrizzenek. Az ellenőrzés felfüggesztése tilos.
A víruskereső rendszerek frissítése két vonalon zajlik: a vírusadatbázisoknak, illetve maguknak a víruskereső motoroknak a frissítése. Általánosan a vírusadatbázisok frissítése lényegesen gyakoribb.
A víruskereső programok frissítéseit (vírusinformációs adatfájlok és motorok) célszerű az interneten keresztül elvégezni. A hálózat tehermentesítése érdekében belső, a Minisztériumra vonatkozó frissítési szerkezetet kell kialakítani:
A víruskereső programok frissítését, valamint a kliens eszközökre történő replikációt úgy kell beállítani, hogy az automatikusan, naponta legalább egyszer megtörténjen. Ennek technikai kidolgozása a informatikai főosztályvezető felelőssége rendszerszintű beállítása pedig a rendszergazda feladata.
A víruskereső rendszert fejlesztő cégektől érkező figyelmeztetésekre reagálva indokolt esetben az azonnali kiegészítő vírusadatbázis-frissítés szükséges.
A vírusvédelemmel kapcsolatos valamennyi frissítést (vírus adatbázis, biztonsági frissítések, keresőmotor stb.) az üzemeltetésért felelős rendszergazda végzi.
Jogosultság Kezelési Munkautasítás
1. Jogosultságkezelés folyamata
1.1. A munkautasítás célja
A dokumentum célja a Nemzeti Fejlesztési és Gazdasági Minisztérium (a továbbiakban: Minisztérium) rendszereihez történő hozzáférés-jogosultságok kiosztásának, változtatásának és elvételének folyamataira vonatkozó eljárások rögzítése.
1.2. A munkautasítás hatálya
A munkautasítás tárgyi és személyi hatálya megfelel az Információbiztonsági Szabályzat 2. pontjában leírt és meghatározott területeknek.
1.3. Jogosultságigénylés folyamata
1.3.1. Új felhasználó esetén
Új felhasználó jogosultságainak beállítását a Jogosultságigénylő űrlap (IBSz III. sz. melléklete) kitöltésével és elküldésével, az adott szervezeti egység vezetője írásban (feljegyzésben vagy e-mailben) igényelheti az információbiztonsági megbízottól. Az jogosultságigényléshez való hozzájárulás után, a kért jogosultságokat az üzemeltető rendszergazda állítja be.
Minden jogosultság esetén beállításra kerülő alapszolgáltatások:
– MS Exchange, levelező fiók
– A felhasználói névre szóló saját mappa (P:/)
– Az igénylő főosztály közös tárterülete (M:/)
Az alapszolgáltatásokon túl, a Jogosultságigénylő űrlap megfelelő részén jelezve hozzáférés igényelhető az alábbi alkalmazásokhoz:
– VIR – (csak felső szintű vezetők esetén)
– Share Point Együttműködési Portal
Az igénylésnél fel kell tűntetni a hozzáférés szintjét is (olvasás/írás).
Ha minden felhasználó hozzáféréssel rendelkezik a HelpDesk rendszerhez, annak használata a hibabejelentések esetén kötelező.
Minden felhasználó definiálásánál törekedni kell az egy-egy értelmű megfeleltetésre, azaz kerülni kell a közösen használt felhasználói azonosítók létrehozását. Csoportos azonosítót csak és kizárólag az informatikai főosztályvezető előzetes írásbeli engedélye alapján lehet beállítani.
A felhasználói hozzáférések és a megfelelő jogosultságok beállítását a mindenkori üzemeltetési SLA szabályozza.
A jogosultság és a felhasználói fiók beállításáról a rendszergazda tájékoztatja:
– az információbiztonsági megbízottat
– az igénylő terület vezetőjét
A Jogosultságigénylő űrlap az üzemeltetési osztályon kerül tárolásra. Amennyiben az igénylés az adott terület főosztályvezetőjétől érkezett elektronikus formában, azt kinyomtatva az egyéb jogosultságigénylő űrlapokkal együtt szükséges tárolni.
1.3.2. Jogosultság megváltoztatásának folyamata
A felhasználói jogosultságok megváltoztatása két esetben lehetséges:
1. A felhasználó jogviszonyában nem következik be változás.
Ebben az esetben amennyiben a felhasználó továbbra is ugyanazon osztályon dolgozik, az adott terület vezetője írásban igényli a változtatást az információbiztonsági megbízottól, aki jóváhagyása után továbbítja az igényt a rendszergazda felé.
Amennyiben a felhasználó új főosztály alkalmazásába kerül, az új terület főosztályvezetője írásban igényli a szükséges alkalmazásokhoz jogosultságok hozzáadását, a felhasználó korábbi, az alapjogosultságokat meghaladó hozzáférései megvonásra kerülnek.
A felhasználói jogosultságának változására vonatkozó igénylést az üzemeltetés felé a beosztásváltozást megelőzően kell bejelenteni!
A változtatások elvégzéséhez az új jogosultságok beállításához meghatározott időtáv az irányadó.
2. A felhasználó jogviszonyában változások következnek be.
A munkáltatói jogviszony továbbra is a Minisztériumhoz köti (távoli hozzáférést használó külsős dolgozó, tanácsadó, egyéb jogviszony) a felhasználói jogosultságokat meg kell szüntetni a munkaviszony megszűnésének eljárásrendje szerint, és új felhasználóként kell kezelni, az új belépőkre vonatkozó eljárásrend szerint.
1.3.3. Jogosultság elvételének folyamata
A felhasználói jogosultságok zárolása az alábbi esetekben történhet:
1. A felhasználó munkaviszonya megszűnik
Határozott idejű felmondás esetén a jogosultság visszavonása „kilépési” vagy „sétáló” lap aláírásával egy időben történik. Az igazolás az informatikai főosztályon történik, ahol a dokumentum aláírásával egy időben a rendszergazdák a jogosultságot felfüggesztik.
A felhasználói fiók 30 nap után került törlésre. Főosztály-vezetői kérésre ez meghosszabbítható.
2. A felhasználó jogviszonyában változás történik
3. Rendkívüli esetben, azonnali felmondás vagy elbocsátás esetén
Azonnali felmondás esetén, illetve ha a kilépő alkalmazott vezetője úgy ítéli meg, a jogosultság azonnal visszavonásra kerül. A kilépő alkalmazott vezetője ebben az esetben köteles telefonon értesíteni az információbiztonsági megbízottat vagy az informatikai főosztályvezetőt, illetve a rendszergazdát aki gondoskodik a jogosultság azonnali felfüggesztéséről.
A jogosultság elvételéről utólag az érintett főosztályvezető részletes indoklással ellátott feljegyzést küld az informatikai főosztályvezető és az Információbiztonsági Igazgató részére.
1.3.4. Hozzáférések igénylése projektmappákhoz
A projektmunkák folyamán a szükséges tárterületekhez csak az adott projekttagok férhetnek hozzá. A hozzáféréseket jogosultságok igénylése és kezelése a projektgazda felelőssége. A jogosultság igénylése, változtatása, megvonása a projektgazda feladata.
Adminisztrátori Hozzáférések Szabályozása Munkautasítás5
1. Adminisztrátori hozzáférési tevékenységek
1.1. A munkautasítás célja
A munkautasítás célja a Nemzeti Fejlesztési és Gazdasági Minisztérium (a továbbiakban: Minisztérium) munkaállomásain a lokális adminisztrátori hozzáférések szabályozása, az Információbiztonsági Szabályzattal (IBSz), Informatikai Üzemeltetési Szabályzattal (IUSz), és az Informatikai Fejlesztési Szabályzattal (fejlesztési szabályzat) összhangban.
1.2. A munkautasítás hatálya
A munkautasítás tárgyi és személyi hatálya megegyezik az Információbiztonsági Szabályzat 2. pontjában írtakkal.
1.3. Adminisztrátori felhasználók
A Minisztérium alkalmazásainak folyamatos informatikai, vagy szakmai tartalmú felhasználói támogatását biztosító munkatársak, akiknek feladataik ellátásához az alap hozzáféréseken túl magasabb szintű jogosultság szükséges.
Külsős munkatársak esetén ehhez szükséges, hogy szerződéses jogviszonyban álljanak a minisztériummal.
A Minisztérium alkalmazásaihoz kapcsolódó fejlesztési feladatokat ellátó munkatársak, akiknek munkavégzéséhez az alap hozzáféréseken túl magasabb szintű jogosultság szükséges.
Külsős munkatársak esetén ehhez szükséges, hogy szerződéses jogviszonyban álljanak a minisztériummal.
1.3.3. Ideiglenes jogkörrel felruházott felhasználók
Azok a munkatársak, akiknek bizonyos feladataik ellátáshoz egy adott alkalmazáshoz az alap hozzáféréseken túl magasabb szintű hozzáférés szükséges.
Külsős munkatársak esetén ehhez szükséges, hogy szerződéses jogviszonyban álljanak a minisztériummal.
1.4. Hozzáférés igénylése
1.4.1. Alkalmazásgazdai és fejlesztői hozzáférések igénylése
Az 1.3.1. és 1.3.2. pont alá tartozó adminisztrátori felhasználók esetén a hozzáférési igény a Minisztérium Együttműködési Portálján belül üzemelő IT Szolgáltatások igénylése nevű funkcionális portálon keresztül jelenthető be.
1.4.2. Ideiglenes hozzáférésekhez szükséges igénylés
Az 1.3.3. pont alá tartozó felhasználók esetén a hozzáférés kérése az Informatikai Főosztály vezetőjének megküldött hivatalos levélben szakállamtitkári, vagy annál magasabb beosztású vezetői jóváhagyással történhet.
1.5. Igénylések jóváhagyása
A hozzáférési kérések engedélyezéséhez minden esetben az Információ Biztonsági Megbízott, valamint az IBSz szerinti mindenkori informatikai üzemeltetésért felelős vezető együttes jóváhagyása szükséges. A beérkező hozzáférési kérelmek továbbításáról az Információ Biztonsági Megbízott és az üzemeltetési vezető részére az Informatikai Főosztály vezetője gondoskodik.
1.6. Hozzáférések technikai beállítása
Az 1.5. pontban jóváhagyott igények technikai beállításáról az informatikai üzemeltetésért felelős vezető a jóváhagyást követően 1 munkanapon belül intézkedik.
1.7. Jogosultságok visszavonása
1.7.1. Alkalmazásgazdai és fejlesztői hozzáférések megszűnése
Az alkalmazásgazdák és fejlesztők hozzáférései létrehozásukat követően 1 év múlva automatikusan visszavonásra kerülnek, meghosszabbításuk az 1.4.1. pont szerinti eljárás alapján lehetséges.
1.7.2. Ideiglenes hozzáférések megszüntetése
Az ideiglenes hozzáférés létrehozásától számítva 48 óra elteltével automatikusan megszűnik, amennyiben ezen felül is indokolt a hozzáférés, azt az igénylésben előzetesen jelezni szükséges az igénylők részéről.
1. sz. melléklet az Információbiztonsági Szabályzathoz
Az alkalmazói rendszerek minősítése
Az alkalmazói rendszerek minősítése
Valamennyi alkalmazói rendszer a megbízható működés szempontjából alap (MM-A) besorolású. A továbbiakban ezeket nem jelezzük.
Rendszer neve |
Inf. védelmi
osztály |
Felelős szervezeti egység |
Elemi költségvetés, éves és féléves beszámolók (K11) |
IV-F |
Költségvetési Főosztály |
Forrás SQL |
IV-F |
Költségvetési Főosztály |
Intézményi Munkaügyi Információs Rendszer (IMI) |
IV-F |
Költségvetési Főosztály |
KINCS |
IV-F |
Költségvetési Főosztály |
Ipari Katasztrófaelhárítási Információs Rendszer (IKIR) |
IV-F |
Befektetési és Védelemkoordinációs Főosztály |
Gazdaságmozgósítási Informatikai Rendszer (gmIR) |
IV-K |
Befektetési és Védelemkoordinációs Főosztály |
Haditechnikai termékek termelési és értékesítési adatai |
IV-K |
Befektetési és Védelemkoordinációs Főosztály |
Központosított Illetmény-számfejtési Rendszer (KIR) |
IV-F |
Költségvetési Főosztály |
Kötelezettség-nyilvántartó Rendszer |
IV-A |
Koordinációs Főosztály |
Kormányzati Iktató Rendszer (KIR3) |
IV-F |
Koordinációs Főosztály Informatikai Főosztály |
Portál Szerkesztőségi Rendszer (DOKK) |
IV-A |
Kommunikációs Főosztály Informatikai Főosztály |
EU dokumentációs rendszer |
IV-A |
EU Kapcsolatok Főosztály |
GFC Pályázatkezelő Rendszer (UNIT) |
IV-F |
Vállalkozás Finanszírozási Főosztály |
GFC Pénzügyi Rendszer |
IV-F |
Vállalkozás Finanszírozási Főosztály |
EU Notifikációs Központ Információs Rendszer |
IV-A |
Üzleti Környezet Fejlesztése Főosztály |
Ipari és Kereskedelmi Navigátor (IKN) |
IV-A |
Informatikai Főosztály |
KIKERES Metaadatbázis és Fogalomtár |
IV-A |
Informatikai Főosztály |
Tulajdonosi Információs Rendszer |
IV-A |
Társasági és Intézményfelügyeleti Főosztályra |
Vezetői Információs és Tervezési Rendszer |
IV-F |
Informatikai Főosztály |
OSAP |
IV-F |
Informatikai Főosztály |
Együttműködési Portál |
IV-F |
Informatikai Főosztály |
Wintiszt |
IV-A |
Humánigazgatási Főosztály |
Térinformatikai Rendszer (GIS) |
IV-F |
Informatikai Főosztály |
HERMES |
IV-F |
Stratégiai Főosztály |
2. sz. melléklet az Információbiztonsági Szabályzathoz
1. Alapfogalmak gyűjteménye
– Adat: Az információ megjelenési formája.
– Adatállomány: Valamely informatikai rendszerben lévő adatok logikai összefogása, amelyet egy névvel jelölnek. Ezen a néven keresztül férhetünk hozzá a tartalmazott adatokhoz.
– Adatátvitel: Elektronikus adatok szállítása összeköttetéseken, összekötőutakon keresztül. Például számítógépek között hálózaton keresztül, e-mailben, interneten.
– Adatbiztonság: Az adat bizalmasságának, integritásának és rendelkezésre állásának biztonságos megőrzése.
– Adatbiztonsági szint: Az adat sértetlenségét és bizalmasságát jellemző minőségi (kvalitatív) osztályozás.
– Adatfeldolgozás: Az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől.
– Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából adatok feldolgozását végzi.
– Adatgazda: Azon személy, aki az adott alkalmazáshoz kapcsolódóan az adatkezelés célját, az adatok elkészítésének, módosításának, törlésének szabályait, valamint a jogosult felhasználói kört meghatározza, tevékenységükért felelősséggel tartozik, továbbá azok, akiknek a GKM-mel fennálló jogviszonya (ami lehet munkaköri leírás, megbízási szerződés stb.) az adott adatokra ezt a felelősséget meghatározta.
– Adathordozó: Az adat tárolására és terjesztésére alkalmas eszköz.
– Adatkezelés: Az alkalmazott eljárástól függetlenül az adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is.
– Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg.
– Adattovábbítás: Ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik.
– Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges.
– Adatvédelem: Az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségeire vonatkozik.
– Adatvédelemi szint: Az adat rendelkezésre állását jellemző minőségi (kvalitatív) osztályozás. Az osztályozás meghatározza, hogy a szóban forgó adat rendelkezésre állása milyen mértékben befolyásolja az általa érintett folyamat végrehajtását, illetve a Minisztérium tevékenységét tekintve mennyire fontos üzleti folyamathoz tartozik.
– Alkalmazásgazda: Az alkalmazástól elvárt funkcionális követelmények biztosításával megbízott személy vagy szervezet. Az alkalmazásgazda felelős az alkalmazás zavartalan működésének biztosításáért, a felhasználók betanításáért és oktatásáért, valamint koordinál a felhasználói és az alkalmazásfejlesztői oldal között.
– Adminisztratív védelem: Szervezési és szabályozási úton megvalósított védelem.
– Akkreditálás: Olyan eljárás, amelynek során egy erre feljogosított testület hivatalos elismerését adja annak, hogy egy szervezet vagy személy felkészült és alkalmas bizonyos tevékenységek elvégzésére.
– Aktív fenyegetés: Olyan szabad, jogosulatlan hozzáférésnek a veszélye, amely megváltoztathatja a rendszer állapotát.
– Alapfenyegetettségek: A fenyegetések általánosított csoportosítása. Ide soroljuk: a bizalmasság, a hitelesség, a sértetlenség, a rendelkezésre állás és a funkcionalitás sérülését vagy elvesztését.
– Alkalmazói program (alkalmazói szoftver): Olyan program, amelyet az alkalmazó saját speciális céljai érdekében vezet be, és amely a hardver és az üzemi rendszer funkcióit használja.
– Archiválás: Olyan speciális mentési eljárás, amely segítségével a működés során keletkezett, nem napi használatban lévő adatokat hosszútávon biztonságosan tárolni lehet, és biztosítani lehet, hogy ezen adathalmazok egy előre meghatározott időn belül hozzáférhetőek legyenek, és bármely nagyobb halmazban lévő részadatokat nehézség nélkül elő lehessen hívni.
– Azonosság alapú biztonsági politika: Az elérendő használók és/vagy erőforrások/objektumok nevében tevékenykedő használók, használó csoportok, vagy entitások azonosságára és/vagy jellemzőire alapozott biztonsági politika.
– Áldozat objektumok: A számítógépes hálózatok azon objektumai, amelyek vírustámadásnak lehetnek kitéve. Ezek az objektumok a mai vírusok képességeit figyelembe véve szinte bármely elektronikusan tárolt adatot jelölhetnek. Ide tartoznak a futtatható programok, a számítógépek indításakor automatikusan betöltött ún. boot szektorok, a Microsoft Office programcsomag által használt csaknem valamennyi fájltípus (Word, Excel, PowerPoint, Access, Project, Visio stb.), az elektronikus levelek, és általánosan minden olyan elektronikus adathalmaz, amely felhasználható lehet arra, hogy a számítógép által végrehajtható utasításokat hordozza.
– Átlagos helyreállítási idő: Egy kiesett/meghibásodott szolgáltatás üzemszerű működésbe állításához szükséges átlagos idő.
– Backup-rendszer: Az informatikai biztonság megvalósítása során az adatok rendelkezésre állását lehetővé tevő másolatokat őrző rendszer. Rendszerint minimális tartalékkal rendelkező informatikai rendszert is értenek alatta.
– BCP: Business Continuity Planning (lásd Üzletmenet folytonosság tervezés).
– Bejelentkezés: Az informatikai rendszer és egy felhasználó között ez utóbbi által olyan kapcsolat kezdeményezése, amelynek eredményeképpen számára az informatikai rendszer funkcióinak használata lehetővé válik.
– Bejelentkezésmegszakítás: A hitelesítés alapján engedélyezett felhasználói interaktív viszony bontása meghatározott inaktivitási idő után.
– Bekövetkezési valószínűség: Annak az esélye, hogy a veszélyforrás képezte fenyegetettség támadás formájában bekövetkezik.
– Belépés: Személyek belépése vagy beléptetése olyan területekre, például helyiségekbe, amelyekben az informatikai rendszert, illetve egyes elemeit tárolják vagy használják.
– Bizalmas útvonal: Egy olyan eszköz, amelynek segítségével egy felhasználó és egy biztonsági funkció megfelelő bizalmassággal tud egymással direkt kommunikálni.
– Bizalmasság: Az adat azon jellemzője, hogy csak egy előre meghatározott felhasználói kör (jogosultak) részére hozzáférhető, mindenki más számára titok. A bizalmasság elvesztését felfedésnek nevezzük, mely esetén a bizalmas adat arra jogosulatlanok számára is ismertté, hozzáférhetővé válik.
– Biztonság: Az adatkezeléssel kapcsolatban, az informatikai rendszerekben olyan előírások és szabványok betartását jelenti, amelyek a rendszer működőképességét, az adatok rendelkezésre állását, sértetlenségét, bizalmasságát és hitelességét erősítik.
– Biztonsági auditálás: Az informatikai rendszerre vonatkozó feljegyzések és tevékenységek független átvizsgálása, a rendszerellenőrzések vizsgálata, a kialakított szabályzatok és a működtetési eljárások megfelelőségének elérése, a biztonság gyenge pontjainak felfedése az ellenőrzésben, a szabályzatokban és az eljárásokban ajánlott biztonsági változtatások céljából.
– Biztonsági esemény: Az informatikai rendszer biztonságában beállt olyan kedvezőtlen változás, amelynek hatására az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása megsérült vagy megsérülhet.
– Biztonsági igény: Olyan elvárás vagy elérendő célkitűzés, amely abban az esetben áll fenn, ha egy vagy akár több kockázat elfogadhatatlanul magas és ezért valamit az informatikai rendszer védelme érdekében tenni kell.
– Biztonsági környezet: A jogszabályok, a gazdasági szervezet belső szabályai, és elvárásai, szokások, szakértelem és tudás, amelyek meghatározzák azt a környezetet, amelyben az erőforrásokat az intézmény használni akarja.
– Biztonsági követelmények: A kockázatelemzés eredményeként megállapított, elfogadhatatlanul magas kockázattal rendelkező fenyegető tényezők ellen irányuló biztonsági szükségletek együttese.
– Biztonsági mechanizmus: Olyan eljárás, módszer vagy megoldási elv – ami lehet számítástechnikai műszaki tartalmú is –, amely valamilyen biztonsági követelmény(eke)t valósít meg.
– Biztonsági osztályba sorolás: Az adatnak az adatkezelés során a kezelés módjára, körülményeire, a védelem eszközeire vonatkozó védelmi szintet meghatározó besorolása, osztályozása.
– Biztonsági rés: Az informatikai rendszer védelme érdekében a legkülönbözőbb területeken kell intézkedéseket hozni. A megelőző, elővigyázatossági intézkedések érinthetik az építészeti, a műszaki, a szervezési és a személyi kérdéseket. Az intézkedéseket egymással össze kell hangolni, és egy informatikai biztonsági szabályozási rendszerben kell összefoglalni. Tudatában kell lenni annak, hogy – mint általában – egyetlen informatikai rendszer biztonsága sem lehet száz százalékos. Tökéletes megoldás nem létezik. Az értelemszerűen fennmaradó maradványkockázatokat azonban ismerni kell, és figyelembe kell venni. A szabályozási rendszer kidolgozásakor a cél ezen maradványkockázatok elviselhető szintre szorítása. A védelmi igény mértéke függ a bevezetendő informatikai rendszer tulajdonságaitól és a bevezetés környezetétől is.
– CA: Certification Authority (lásd Hitelesítés Szolgáltató).
– Cracker: Az informatikai rendszerbe informatikai eszközöket használva, direkt rombolási céllal betörő személy.
– CRAMM: CCTA Risk Analysis and Management Method. Az Egyesült Királyság Central Computer and Telecommunication Agency szervezete által kidolgozott kockázatelemzési és kezelési módszertan.
– DRP: Disaster Recovery Planning (lásd Katasztrófahelyzet elhárítás tervezés).
– Digitális aláírás: (lásd Elektronikus aláírás.)
– Egyenszilárdság: A biztonság az intézmény tevékenységét teljesen átfogja, és annak minden pontján azonos erősségű.
– Egyszeri javítási idő: Az informatikai rendszer egyszeri javítási ideje, amely a hiba észlelésétől az informatikai rendszer normál üzembe való visszatéréséig tart.
– Elektronikus aláírás: Az informatikai rendszerben kezelt adathoz rendelt, kódolással előállított olyan jelsorozat, amely az adat hitelességének és sértetlenségének bizonyítására használható.
– Elérhetőség: Az az állapot, amikor az információ-feldolgozás során valamely informatikai alkalmazás szolgáltatásai az adott helyen és az adott időben igénybe vehetők.
– Ellenőrzési nyom: Az informatikai tevékenységek rögzítésére szolgál, amelynek alapján az illegális, illetve nem megfelelő tevékenységek feltárásra, jelentésre kerülhetnek.
– Elöregedési időszak: Egy informatikai termék életgörbéjének utolsó szakasza, amelyben a meghibásodási tényező ismét növekszik, a rendszerelemek minősége pedig az irreverzibilis változások miatt romlik.
– Érték: Az informatikai rendszerelemek értéke azon információk és feldolgozásuk értékéből származtatható, amelyek az adott rendszerelem igénybevételével megvalósuló eljárásokban vesznek részt.
– Feladatelhatárolás: Az informatikai rendszer használatához és üzemeltetéséhez kapcsolódó biztonságkritikus munkakörök szétválasztása.
– Felelősségre vonhatóság: Olyan tulajdonság, amely lehetővé teszi, hogy egy adott folyamat tevékenységei egyértelműen az adott folyamatra legyenek visszavezethetők.
– Felhasználó: Az a személy, szervezet vagy csoport, aki (amely) egy vagy több informatikai rendszert igénybe vesz feladatai megoldásához.
– Felhasználói hitelesítés: A felhasználó hitelességének ellenőrzése (a belépéskor minden felhasználó ellenőrzése), és különböző azonosító eszközök (pl. jelszó, chip-kártya, biometrikus azonosítás stb.) alkalmazása (lásd Alkalmazói program).
– Felhasználói program: A biztonság megsértésének lehetősége.
– Fenyegetés: Olyan állapot, amelyben az erőforrások felfedésre, módosításra vagy elpusztításra kerülhetnek.
– Fenyegetettség: A szervezet informatikai infrastruktúráját fenyegető azon veszélyforrások összessége, amelyek bekövetkezése esetén az informatikai rendszer nem tudja teljesíteni a vállalt rendelkezésre állást, akadályozva ezzel a normális üzletmenet folytonosságát, illetve az adatok sértetlensége és bizalmassága sérül.
– Fenyegetettségelemzés: Valamennyi jelentős informatikai fenyegető tényező meghatározása.
– Fenyegető tényező: A fenyegető tényezők közé soroljuk nemcsak a személyektől eredő támadásokat, amelyek valamely informatikai rendszer ellen irányulnak, hanem valamennyi szélesebb értelemben vett fenyegetést, mint például véletlen eseményeket, külső tényezők általi behatásokat és olyan körülményeket, amelyek általában magának az informatikának a sajátosságaiból adódnak. (Példaként említhetjük a tüzet, az áramkimaradást, az adatbeviteli hibát, a hibás kezelést, a hardver tönkremenetelét, a számítógépes vírusokat és a különböző programhibákat.)
– Féreg: Olyan programtörzs, amely az informatikai hálózaton keresztül terjed, jut el egyik informatikai rendszerből a másikba, és fejti ki kártékony hatását.
– Folyamatosság: Az üzleti tevékenységek zavarmentes rendelkezésre állása.
– Fizikai biztonság: Az erőforrások bizalmassága és sértetlensége, valamint rendelkezésre állása sérelmére bekövetkező szándékos vagy véletlen fizikai támadásokkal, veszélyforrásokkal szembeni védettség.
– Folytonos védelem: Olyan védelmi megoldás, amely az időben változó körülmények és viszonyok ellenére is megszakítás nélkül megvalósul.
– Freeware szoftver: Olyan ingyenesen használható szoftver, amelynek alkotói térítésmentesen kínálják fejlesztéseiket.
– Funkcionalitás: Az informatikai rendszerelem (beleértve az adatokat is) olyan tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a kezelési céloknak megfelel, és használható.
– Garanciális követelmény: Biztonsági funkció, amely megalapozza a bizalmat abban, hogy a biztonság kikényszerítésre kerül.
– Gyenge pont: Az informatikai rendszerelemek olyan részei vagy tulajdonságai, amelyek révén a fenyegető tényezők hatásainak ki vannak téve.
– Hacker: Az informatikai rendszerbe informatikai eszközöket használva, kifejezetten ártó szándék nélküli betörő személy.
– Hatásvizsgálat: egyes alkalmazások üzletvitelre gyakorolt hatásának felmérése. Célja, hogy a GKM tudomást szerezzen az egyes alkalmazások kritikusságáról.
– Hálózat: Számítógépek (vagy általánosabban informatikai rendszerek) összekapcsolása, és az összekapcsolt rendszerek legkülönbözőbb komponensei közötti adatcserét megvalósító logikai és fizikai eszközök összessége.
– Hálózati együttműködés: Eszközök közötti együttműködés azonos kommunikációs szabványok alapján.
– Hardver: Az informatikai rendszer kézzel fogható fizikai formában megjelenő eszközei, elemei és alkotórészei.
– Hash-függvény: Olyan transzformáció, amely egy tetszőleges hosszú szöveg egyedi, az adott szövegre jellemző fix hosszúságú digitális sűrítményét készíti el.
– Hasznos élettartam: Egy informatikai termék életgörbéjének középső, egyenletes szakasza, amelyen belül a meghibásodási tényező gyakorlatilag állandó.
– Háromgenerációs elv: Az informatikai rendszer megvalósításához, és az adatok rendelkezésre állásának biztosításához szükséges olyan megoldás, amely a legutolsó három mentésből állítja vissza az informatikai rendszer működőképességét.
– Helyreállítás: A katasztrófa következtében megsérült erőforrások eredeti állapotának biztosítása, eredeti helyen.
– Hibamentes működés valószínűsége: Annak a valószínűsége, hogy adott időszakaszban, előírt működési és környezeti feltételek mellett, nem következik be meghibásodás.
– Hitelesítő szolgáltató: (CA – Certification Authority) Olyan mindenki által megbízhatónak tartott, szakosodott szervezet, amely tanúsítványokat adhat ki kliensek és szerverek számára.
– Hitelesség: Az adat olyan tulajdonsága, amely arra vonatkozik, hogy az adat bizonyítottan vagy bizonyíthatóan az elvárt forrásból származik.
– Hozzáférés: Olyan eljárás, amely valamely informatikai rendszer használója számára elérhetővé tesz a rendszerben adatokként tárolt információkat. Ez az eljárás bekövetkezhet például névmegadáson keresztül valamely adatszerűségre nézve, és lehetővé tehet olvasást, írást vagy akár törlést is.
– Hozzáférés-ellenőrzés: Az informatikai erőforrásokhoz való jogosulatlan hozzáférések elhárítása, beleértve az erőforrások jogosulatlan használatának megakadályozását is.
– Hozzáférés-ellenőrzési lista: Az informatikai erőforrásokhoz való hozzáférésre jogosult entitások és hozzáférési jogaik jegyzéke.
– Humánbiztonság: Az erőforrások bizalmasságának és/vagy sértetlenségének és/vagy rendelkezésre állásának sérelmére – az intézménnyel munkaviszonyban álló vagy az intézménynél bármely szerződés alapján tevékenységet folytató vagy külső személyek által – elkövethető szándékos vagy véletlen humántámadások elleni védettség.
– Illegális szoftver: Az a szerzői jog védelme alatt álló szoftvertermék, amelynek a legalitás igazolásához szükséges dokumentumok (licence, számla, szállítólevél, ajándékozási szerződés stb.) nem mindegyike áll rendelkezésre, valamint a szoftver használata nem felel meg a licence szerződés előírásainak.
– Illetéktelen személy: Olyan személy, aki az adat megismerésére nem jogosult.
– Informatika: A számítógépes információ-rendszerek tudománya, amely elméletet, szemléletet és módszertant ad a számítógépes információ-rendszerek tervezéséhez, fejlesztéséhez, szervezéséhez és működtetéséhez.
– Informatikai biztonság: Olyan előírások, szabványok betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét és megbízhatóságát érintik, és amelyeket az informatikai rendszerekben vagy komponenseikben, valamint az informatikai rendszerek vagy komponenseik alkalmazása során megelőző biztonsági intézkedésekkel lehet elérni. Más szóval: Informatikai biztonság az informatikai rendszer olyan, az adott intézmény számára kielégítő mértékű állapota, amely az informatikai rendszerekben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve az informatikai rendszerelemek rendelkezésre állása és funkcionalitása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos.
– Informatikai katasztrófa: Egy olyan nem kívánt esemény, amely az adattovábbító, -tároló és -feldolgozó képesség elvesztését okozza hosszabb időre.
– Informatikai rendszer: Információs, ügyviteli, üzletviteli vagy folyamatot, szolgáltatás működését támogató elektronikus adatfeldolgozó eszközök és eljárások, valamint az ezeket kiszolgáló emberi erőforrások és a kapcsolódó folyamatok összessége.
– Informatikai rendszerelem: Az informatikai rendszer olyan jól elkülöníthető egysége, amely annak bevezetéséhez/kiépítéséhez szükséges és amelyet a fenyegető tényezők érintenek.
– Informatikai rendszerelemzés: Olyan vizsgálat, amelyet valamely informatikai rendszer beszerzése és bevezetése előtt valósítanak meg, hogy a vele szemben támasztott követelményeket rögzítsék. Alapja az informatikai rendszer bevezetésének a célja, valamint a bevezetés környezete.
– Informatikai vészhelyzet: Egy olyan nem kívánt állapot, amely az intézmény rendelkezésére álló informatikai biztonsági rendszer szabályainak előírásszerű betartásával és végrehajtásával, a meghatározott erőforrások felhasználásával meghatározott időn belül megoldható.
– Információrendszer: Információk meghatározott célú, módszeres gyűjtésére, tárolására, feldolgozására (bevitelére, módosítására, rendszerezésére, aggregálására) továbbítására, fogadására, megjelenítésére, megsemmisítésére stb. alkalmas rendszer. Ha ez a rendszer számítógéppel támogatott, akkor számítógépes információ-rendszerről (informatikai rendszerről) beszélünk.
– Információs önrendelkezési jog: Az egyén joga arra, hogy ellenőrizze vagy befolyásolja azt, hogy ki és milyen vele kapcsolatos adatot kezelhet.
– Információvédelem: Az informatikai rendszerek által kezelt adatok által hordozott információk bizalmasságának, hitelességének és sértetlenségének védelme.
– Információbiztonsági Bizottság (IBB): Az informatikai biztonság legfelsőbb döntéshozó fóruma. Hatásköre kiterjed az informatikai rendszerekben és digitális (mágneses, optikai vagy egyéb, elektronikus elvű) adathordozókon tárolt adatok védelmére vonatkozó intézkedésekre, illetve ezek felülvizsgálatára. Az informatikai főosztályvezető az IBB tevékenységéről éves beszámolót készít, amelyet tájékoztatásul a Minisztérium minden vezetője számára elérhetővé tesz.
– Információ: a küldemény tartalma, függetlenül az információ hordozójától.
– Informatikai katasztrófa: Az Informatikai katasztrófa alatt az informatikai szolgáltatások olyan kiesését értjük, amelynek következtében megszakad a Minisztérium informatikai rendszerének folyamatos és rendeltetésszerű működése, és ez jelentős hatást gyakorol a tevékenység folyamatosságára és működőképességére.
– Informatikai katasztrófahelyzet-kezelési terv: Eljárás vagy tevékenység lépések sorozata annak biztosítására, hogy katasztrófa után az informatikai rendszer kritikus adatfeldolgozó képességeit elfogadhatóan rövid idő alatt, a szükséges aktuális adatokkal helyre lehessen állítani.
– Informatikai katasztrófahelyzet: Az az állapot, amikor az informatikai rendszer utolsó működőképes állapotát az üzemeltetési szabályok előírásszerű betartásával és végrehajtásával, a meghatározott erőforrások felhasználásával, a megállapított helyreállítási időn belül nem lehet visszaállítani.
– Információvédelmi osztályok: Az adatérzékenység – az adatok, adatbázisok potenciális veszélyeztetettsége – alapján történő osztályozás. (Lásd még: Biztonsági osztályba sorolás)
– IV-A (Információ Védelmi Alapbiztonsági osztály): Személyes adatok, üzleti titkok, pénzügyi adatok, illetve az intézmény belső szabályozásában hozzáférés-korlátozás alá eső és nyílt adatok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya.
– IV-F (Információ Védelmi Fokozott biztonsági osztály): Szolgálati titok, különleges vagy nagy tömegű személyes adatok, banktitok, közepes értékű üzleti titkok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya.
– IV-K (Információ Védelmi Kiemelt biztonsági osztály): Államtitok, katonai szolgálati titok, NATO RESTRICTED vagy magasabb minősítésű adat, nagy tömegű, különleges személyes adatok, nagy értékű üzleti titkok feldolgozására, tárolására alkalmas rendszer biztonsági osztálya.
– Ismert hiba: Olyan probléma, amelyre vonatkozóan már végrehajtották a vizsgálatokat és a sikeres diagnosztizálást.
– Jogosultság: A lehetőség megadása az informatikai rendszerben végzendő tevékenységek végrehajtására.
– Jogosultsággal rendelkező felhasználó: Egy olyan felhasználó, aki a rendszerben jogosult valamely tevékenység, vagy tevékenységkör végrehajtására.
– Kár: Azon érték csökkenése, amelyet valamely objektum jelent egy informatikai rendszer alkalmazásában és amely akkor következik be, ha valamely fenyegető tényező kifejti hatását.
– Katasztrófa: Az informatikai rendszer folyamatos és rendeltetésszerű működésének megszakadása.
– Katasztrófahelyzet elhárítás tervezés: Az informatikai rendszer rendelkezésre állásának megszűnése, nagy mértékű csökkenése utáni visszaállításra vonatkozó tervezés. (DRP – Disaster Recovery Planning)
– Kezdeti időszak: Egy informatikai termék életgörbéjének eleje, amelyre a meghibásodási tényező fokozatos csökkenése jellemző.
– Kisegítő berendezések: Az informatikai erőforrások elhelyezésére, és kiszolgálására szolgáló eszközök, berendezések.
– Klienskategória: Az adott intézmény kliensszámítógépeinek konfigurációját leszabályozó olyan kategóriarendszer, amely elősegíti, hogy a felhasználók számítógépein az optimális működéshez szükséges szoftverek és csak azok legyenek telepítve.
– Klienskonszolidáció: A klienskategóriákra alapuló olyan folyamat, amely az adott intézmény minden kliensszámítógépét egységessé teszi, így könnyítve meg a nyilvántartást és a hatékony szoftvergazdálkodást.
– Kockázat: Az informatikai fenyegetettség mértéke, amely valamely fenyegető tényezőből ered és amelyet a kockázatelemzés során a fenyegető tényezők értékelése révén tárunk fel. A kockázat két részből, a kárnagyságból és a bekövetkezés gyakoriságából tevődik össze.
– Kockázatkezelés: Védelmi intézkedések kidolgozása, elemzése és meghozatala, amelyet követően a maradványkockázatok elviselhető szintűre változnak.
– Kockázatmenedzsment: (Lásd Kockázatkezelés.)
– Kockázatelemzés: Az információs folyamatokra és az adatra hatással lévő veszélyek felbecsülése. A kockázatfelmérés és kockázatfelbecsülés általános folyamata.
– Kockázattal arányos védelem: Az informatikai kockázatkezelés olyan hatékony alkalmazása, amikor egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékekkel.
– Környezeti biztonság: Az informatikai erőforrások rendelkezésre állásának és sértetlenségének a természeti katasztrófákkal szembeni védettsége.
– Kötelező hozzáférés-védelem: A szubjektumokhoz, és az objektumokhoz egy jelző (címke) van rendelve, azok titokvédelmi osztályozása szerint. A hozzáférés akkor engedélyezhető, ha a szubjektum titokvédelmi osztályozása uralkodik az objektum titokvédelmi osztályozása felett.
– Közérdekű adat: Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, a személyes adat fogalma alá nem eső adat.
– Központi mentés: Az a mentési eljárás, amikor egy hálózatos rendszerben a szétszórt, vagy a hálózat egy-egy csomópontjában található adatokat egy kijelölt csomóponti számítógépen tárolják, vagy erre átmozgatják, és ezen a számítógépen készül a mentés.
– Kriptoanalízis (kriptográfiai bevizsgálás): A rejtjeles üzenet illetéktelenek által, azaz a dekódolási eljárás ismerete nélkül, vagy annak részleges ismeretében az eredeti üzenet visszaállításának kísérlete.
– Kriptográfia: Mindazoknak a matematikai eljárásoknak, algoritmusoknak és biztonsági rendszabályoknak a kutatása és alkalmazása, amelyek elsődleges célja az információnak illetéktelenek előli elrejtése.
– Kriptológia: A kriptoanalízis és a kriptográfia elméletének és gyakorlatának együttese.
– Kritikus helyreállítási idő: Az az időtartam, ameddig az intézmény szolgáltatásnyújtása (bármilyen okból) anélkül szünetelhet, hogy emiatt komoly anyagi vagy erkölcsi veszteség érné.
– Különleges adat: A faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, az egészségi állapotra, a kóros szenvedélyre, a szexuális életre, valamint a büntetett előéletre vonatkozó személyes adatok.
– Legális szoftver: Az a szerzői jog védelme alatt álló szoftvertermék, amelynek legalitásának igazolásához minden szükséges dokumentum (licence, számla, szállítólevél, ajándékozási szerződés stb.) rendelkezésre áll, valamint a használata a szoftver licence szerződés előírásainak megfelelő módon történik.
– Logikai bomba: A vírus olyan része, illetve szerkezete, amelyik időhöz, esemény bekövetkezéséhez, logikai változó adott értékéhez kötött módon aktivizálódik.
– Logikai védelem: Az informatikai rendszerekben informatikai eszközökkel megvalósított védelem.
– Menedzsment szoba: Az informatikai rendszerek üzemletetése során Menedzsment szobának tekintjük azokat a helyiségeket, ahonnan az Informatikai Főosztály munkatársai a rendszerek beállításait, paraméterezését, hibaelhárítását végzik.
– Maradványkockázat: Az a tudatosan felvállalt kockázat, amely alapvetően – kis mértékben – annak ellenére is fennmarad, hogy a fenyegető tényezők ellen intézkedések eredményesen végrehajtásra kerültek.
– Megbízható működés: Az informatikai rendszerek, és az általuk kezelt adatok által hordozott információk rendelkezésre állásának és funkcionalitásának védelme.
– Megbízhatóság: A megbízhatóság műszaki értelemben egy informatikai rendszerelemnek vagy rendszernek az a jellemzője, amely megadja, hogy az üzemeltetési feltételek fenntartása esetén milyen mértékben várható el annak hibátlan, rendeltetésszerű működése. A megbízhatóság matematikai értelemben egy statisztikai fogalom, amely annak a valószínűségét adja meg, hogy egy rendszerelem, vagy rendszer jellemzői az előírt határok közé esnek.
– Meghibásodási tényező: Az informatikai rendszer (vagy rendszerelemek) megbízhatóságát jellemző olyan mutatószám, amely megadja, hogy adott időpont után, kis időegységen belül, az informatikai rendszerelemnek mekkora a meghibásodás valószínűsége, feltéve, hogy az adott időpontig az eszköz nem hibásodott meg.
– Meghibásodások közötti átlagos működési idő: Az informatikai rendszerek megbízhatóságának jellemzésére gyakran használt mennyiségi mutató, a két egymást követő meghibásodás közötti hibátlan működés átlagos ideje.
– Meg nem kerülhetőség: Annak biztosítása, hogy egy védelmi intézkedést nem lehet más úton kijátszani.
– Megoldás (desifrírozás): A rejtjeles üzenet legális címzettje által, a dekódolási eljárás ismeretében az eredeti üzenet visszaállítása.
– Megszemélyesítés: Egy entitás (személy, program, folyamat stb.) magát más entitásnak tünteti fel.
– Mentés: Az az informatikai folyamat, amelynek során az informatikai rendszerben digitálisan tárolt, vagy használatban lévő fontos adathalmazokról egy speciális eszközzel egy speciális adathordozóra (mentési médium) másolatokat készítenek.
– Mentési médium: Az az adathordozó (a legtöbbször mágneses elven működő szalagos egység), amelyen a mentések által duplikált adattartalmat tárolják.
– Mentőeszköz: Minden olyan informatikai berendezés, amely segítségével az informatikai rendszerben meglévő adatbázisokról elektronikus másolat készíthető.
– Mentő szoftver: Olyan szoftver, amely az operációs rendszer és a mentő eszköz közötti kapcsolatért felelős, továbbá ennek a feladata biztosítani, hogy az adatbázis duplikációját speciális körülmények között is el lehessen a mentési médiumra készíteni.
– Minősítés: Az a döntés, amelynek meghozatala során az arra felhatalmazott személy megállapítja, hogy egy adat a tartalmánál fogva a nyilvánosságát korlátozó titokkörbe tartozik.
– Munkahelyi számítógép: Személyi számítógép, laptop vagy munkaállomás a munkahelyre telepítve.
– Működőképesség: A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való fennmaradása. A működőképesség fogalom sok esetben azonos az üzembiztonság fogalommal. Ezen állapot fenntartásának alapfeladatait a rendszer-adminisztrátor (rendszergazda) látja el.
– Naplózás: A felhasználói jogosultságok rögzítésére, dokumentálására szolgáló, és a számonkérést biztosító funkció a hozzáférés-védelemben.
– Négy szem elv: Olyan tevékenység, amelyet csak két személy, egymást ellenőrizve végezhet.
– Nyilvános Kulcsú Infrastruktúra: A Hitelesítés Szolgáltatónak nemzetközi feltételeket, szabványokat kielégítő biztonságos rejtjelezési módszereit, a személyzetre, a fizikai és az informatikai környezetre kiterjesztő infrastruktúrája.
– Nyilvános kulcsú rendszer: Olyan kriptográfiai rendszer, amelynek a résztvevői közös algoritmust használnak a rejtjelezésre és a megoldásra. A rejtjelező algoritmusnak két – a használótól függő – kulcsa van. Ezek egyikét (nyilvános kulcs) a nevükkel együtt nyilvánosságra hozzák, a másikat pedig titokban tartják (titkos kulcs). A kulcsok egyikét a rejtjelezésre, a másikat a megoldásra használják.
– Nyilvánosságra hozatal: Az adatnak meghatározhatatlan körben, mindenki részére biztosított megismerhetővé, hozzáférhetővé tétele.
– Objektum: Az informatikai rendszer azon eleme, amely tartalmaz vagy előállít információt.
– Papíralapú információhordozó: Az információk valamennyi olyan megjelenítési változatának meghatározására szolgál, amelyek papíron állnak rendelkezésre és amelyek az informatikai rendszer használatával, illetve üzemeltetésével összefüggésben vannak.
– Passzív fenyegetés: Az információ jogosulatlan nyilvánosságra hozásának veszélye az informatikai rendszer állapotának változása nélkül.
– PKI: Public Key Infrastructure (lásd Nyilvános Kulcsú Infrastruktúra).
– Probléma: Olyan egyedi, jelentős hatású zavaró esemény, amely hatása nagymértékben rontja a felhasználók számára nyújtott informatikai szolgáltatás minőségét.
– Program: Olyan eljárási leírás, amely valamely informatikai rendszer által közvetlenül vagy átalakítást követően végrehajtható.
– Public Key Cryptosystem: (lásd Nyilvános kulcsú rendszer).
– Rejtjelezés: Nyílt üzenet kódolása kriptográfiai eljárással, eszközzel vagy módszerrel. A rejtjelezés eredménye a rejtjeles üzenet.
– Rendszer: Az egymással valamilyen meghatározható kapcsolatban álló elemek összessége.
– Rendszerelemek: Az adatokat „körülvevő”, az informatikai rendszer részét képező elemek.
– Rendszerprogram (rendszerszoftver): Olyan alapszoftver, amelyre szükség van, hogy valamely informatikai rendszer hardverei használhatók legyenek és az alkalmazói programok működjenek. (A rendszerprogramok legnagyobb részét az operációs rendszerek alkotják.)
– Rendszerszervezés: Az intézményben végbemenő folyamatok, valamint irányításuk és ellenőrzésük szervezése.
– Rendelkezésre állás: Biztosítani az arra jogosult felhasználók információhoz és értékekhez való hozzáférését szükség esetén.
– Rendszer-monitorozó eszközök: Az egész rendszerről, vagy valamilyen csoportosító szempont szerint a rendszer egyes részeiről gyűjtenek információt.
– Sebezhetőség: A veszélyforrás képezte támadás bekövetkezése esetén az erőforrások sérülésének lehetősége.
– Sebezhetőségi ablak: Az informatikai szolgáltatás megszakadását követő időtartam, amelyet normális működési rendjének és tevékenységének megszakadása nélkül képes az intézmény elviselni.
– Sértetlenség: Az adatok sértetlensége alatt azt a fogalmat értjük, hogy az adatokat csak az arra jogosultak változtathatják meg, az arra rendelkezésre álló, rendszeresített eszközökkel és módszerekkel, és azok véletlenül nem módosulnak.
– Shareware szoftver: Időszakosan ingyenesen használható szoftver. Korlátozott funkcionalitás, regisztrálási, illetve fizetési kötelezettség jellemzi.
– Szabály alapú biztonsági politika: Valamennyi használó számára kötelező, általános szabályokon alapuló informatikai biztonsági politika. Ezen szabályok rendszerint az elérendő erőforrások érzékenységének összehasonlítására, a használói vagy a használói csoportok nevében tevékenykedő entitások megfelelő jellemzőinek ismeretére épülnek.
– Számítógépes bűnözés: Haszonszerzés vagy károkozás céljából, az informatikai rendszerekben kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása ellen irányuló, informatikai eszközök útján elkövetett cselekmények.
– Számonkérhetőség: Annak biztosítása, hogy az informatikai rendszerben végrehajtott tevékenységek a későbbi ellenőrizhetőség céljára rögzítésre kerüljenek.
– Személyes adat: A meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés.
– Szerepen alapuló hozzáférés-védelem: A hozzáférés a szubjektumokhoz a feladat-szétválasztás, a szükséges tudás – szükséges tevékenység – elve alapján kialakított szerepek, és a szerepekhez hozzárendelt, az objektumokon végrehajtható tevékenységek alapján történhet. A szubjektum akkor fejthet ki aktivitást, ha tagja a szerepnek.
– Szimmetrikus rejtjelező eljárás: A rejtjelezésre és a megoldásra egyetlen kulcsot használó rejtjelező eljárás. (A megoldandó algoritmus nem feltétlenül egy fordított sorrendben végrehajtott rejtjelezés.)
– Szoftver: Valamely informatikai rendszer olyan logikai része, amely a működtetés vezérléséhez szükséges.
– Szoftverleltár: Annak dokumentált leírása, hogy az intézmény informatikai rendszerébe tartozó minden egyes számítógépen és szoftver futtatására alkalmas eszközön milyen szoftverek találhatók.
– Szoftverpark: Az adott intézmény informatikai rendszerében használt szoftverek összessége.
– Szubjektum: Egy olyan személy vagy folyamat, amely az objektumok között információfolyamot indít vagy a rendszernek az állapotát változtatja meg, azaz az objektumon műveletet végezhet.
– Szükséges tudás elve: Az érzékeny információ tulajdonosa részéről az információk elérésére, birtoklására, és azokon tevékenység végrehajtására vonatkozó jogosultságok meghatározása egy felhasználó részére, annak hivatali kötelezettségei függvényében.
– Támadás: Valamely személy (tettes) akciója azzal a szándékkal, hogy valamely informatikai rendszert veszélyeztessen és károkat okozzon.
– Támadási potenciál: A sikeres támadás esélyét fejezi ki.
– Teljes körű védelem: Teljes körűnek nevezik az informatikai rendszer védelmét, ha az informatikai rendszer összes elemére kiterjed.
– Tetszőleges hozzáférés-védelem: Tetszőleges hozzáférésűnek nevezünk egy védelmet, ha egy szubjektum a hozzáférési engedélyét más szubjektumoknak továbbadhatja.
– Tesztkörnyezet: Itt történnek az éles üzembe állítás előtti tesztelések az éles környezethez hasonló körülmények között.
– Titokvédelem: Az adatvédelem körébe tartozó adatok, és az egyéb erőforrások bizalmasságának védelmi körülményeinek megteremtése.
– Titkos személyi információk: Minden olyan, az egyes ügyfelekről az intézmény rendelkezésére álló tény, információ vagy adat, amely az ügyfél személyére, adataira, vagyoni és pénzügyi helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi és/vagy üzleti kapcsolataira, valamint az adott intézménnyel fennálló kapcsolatára vonatkozik.
– Trójai faló: Olyan rosszindulatú programtörzs, amelyeket készítője illegálisan épített be az általa tervezett programba, és a felhasználó szándéka ellenére és tudta nélkül hajt végre illegális feladatokat (pl. adattörlés, illegális lemezművelet, programmegsemmisítés stb.).
– Tűzfal: Egy olyan számítástechnikai eszköz, amely fizikailag, és logikailag elválaszt egy hálózatot egy másiktól és szabályok betartásának segítségével felügyeli, vezérli ezek közötti forgalmat.
– Üzemi készenléti tényező: Annak a valószínűsége, hogy az adott informatikai rendszerelem valamely időpontban működőképes lesz.
– Üzemi szoftver: Az informatikai rendszer működésének ellenőrzésére, felügyeletére szolgáló szoftver.
– Üzleti titok: A működéshez, az üzletmenethez és a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ vagy adat, amelynek titokban maradásához a jogosultnak méltányolható érdeke fűződik, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette.
– Üzletmenet folytonosság tervezés: Az informatikai rendszer rendelkezésre állásának olyan szinten történő fenntartása, hogy a kiesésből származó károk a szervezet számára még elviselhetőek legyenek. (BCP – Business Continuity Planning)
– Üzemmenet-folytonosság: Az alaptevékenység folyamatait támogató informatikai infrastruktúra folyamatos rendelkezésre állása.
– Vagyonbiztonság: Az intézmény olyan állapota, amelyben az értékrendszer erőforrásainak rendelkezésre állása, bizalmassága és sértetlenségének fenyegetettsége gyakorlatilag minimális.
– Veszélyforrás: Ide sorolható mindaz, aminek támadás formájában történő bekövetkezésekor a rendszer működésében nem kívánt állapot jön létre, illetve az erőforrások biztonsága sérül.
– Védelmi intézkedés: A fenyegetettség bekövetkezési valószínűsége, illetve a bekövetkezéskor jelentkező kár csökkentésére szervezési vagy technikai eszközökkel tett intézkedés.
– Védelmi mechanizmusok: Olyan informatikai védelmi intézkedések, amelyeket informatikai biztonsági szabványok határoznak meg, a hardver- és szoftvergyártó cégek pedig termékeik előállítása során építik be és szolgáltatják a felhasználók részére.
– Visszaállítás: Az informatikai szolgáltatások háttérrel történő újraindítása.
– Visszatöltés: Az a folyamat, amelynek során a mentett adatokat tartalmazó médiumról a mentő eszköz segítségével a sérült adathalmaz utolsó ép állapotának leginkább megfelelő adatstruktúrát visszaállítják.
– Vírus: Olyan rosszindulatú programtörzs, amely illegálisan készült egy felhasználói program részeként. A felhasználói program alkalmazása során átterjedhet, „megfertőzhet” más, az informatikai rendszerben lévő rendszer-, illetve felhasználói programot, sokszorozva önmagát (ami lehet mutáns is) és a logikai bomba hatás révén egy beépített feltételhez kötötten (pl. konkrét időpont, szabad lemezterületi helyek száma stb.) trójai faló hatást indít el.
– Vírusvédelmi rendszer: A vírusvédelmi rendszer és a hozzá kapcsolódó védelmi mechanizmusok feladata az informatikai rendszerhez kapcsolódó vírusok felkutatása, működésük, aktív vagy passzív károkozásuk megakadályozása, illetve – lehetőség szerint – megsemmisítésük.
3. sz. melléklet az Információbiztonsági Szabályzathoz
Jogosultságigénylő/módosító lap a GKM informatikai rendszerében nyújtott szolgáltatások használatára
Jogosultságigénylő/módosító lap
a GKM informatikai rendszerében nyújtott szolgáltatások használatára
Blokk neve1: |
|
Szervezeti egység2 neve: |
|
Iktatószám: |
|
Az igénylő (felhasználó) neve: |
|
Az igénylő telephelye (épület, szoba): |
|
Az igénylő telefonszáma: |
|
Az igénylő felhasználói neve (username): |
|
Szolgáltatás (alkalmazói rendszerek, adatállományok, hálózati tárterületek, külső adatbázis-hozzáférés, speciális jogosultsági igények) megnevezése3 és a hozzáférés szintje (olvasási, írási, felülírási): |
|
A jogosultsági igény indoklása4:
|
|
Szervezeti egység vezetője (olvasható név):
Beosztás: |
Szervezeti egység vezetője (aláírás): |
Engedélyezem:
Informatikai üzemeltetési osztály vezetőjének aláírása |
|
Megjegyzés: A 2118/2006-os Korm. határozat alapján, az informatikai üzemeltetési feladatot a Központi Szolgáltatási Főigazgatóság (KSZF) látja el, ezért az igényléseket a KSZF GKM Szolgáltatási Főosztályhoz kell benyújtani.