• Tartalom

19/2010. (V. 7.) NFGM utasítás

19/2010. (V. 7.) NFGM utasítás

a Nemzeti Fejlesztési és Gazdasági Minisztérium Informatikai Szolgáltatásfolytonossági Szabályzatáról1

2010.05.09.

A Nemzeti Fejlesztési és Gazdasági Minisztérium Informatikai Szolgáltatásfolytonossági Szabályzatáról az alábbiak szerint rendelkezem:

1.

1.1. Fogalmak
a) Kockázat: Egy vagy több informatikai szolgáltatás vagy infrastruktúraelem veszélyek miatti leállása, minőségcsökkenése.
b) Proaktív intézkedés: Előkészítő, a kockázat bekövetkezését megelőző intézkedések, amelyek a szolgáltatásfolytonosság reaktív intézkedéseit segítik elő.
c) Reaktív intézkedés: A kockázat bekövetkezésekor végrehajtandó előre megtervezett válaszintézkedés.
d) Szolgáltatásfolytonossági koordinátor: A szolgáltatásfolytonossági menedzser helyettese és támogatója elsősorban operatív feladatok ellátásában.
e) Szolgáltatásfolytonossági menedzser: Az informatikai szolgáltatásfolytonosság mint folyamat irányítója, az NFGM Informatikai Főosztály (a továbbiakban: IFO) vezetője.
f) Szolgáltatásfolytonossági veszélyforrás: Nem kívánatos külső, fizikai körülmény általi fenyegetés, amely bekövetkezése esetén súlyosan veszélyezteti egy vagy több informatikai szolgáltatás vagy infrastruktúraelem működését, működőképes állapotát, illetve épségét.
g) Szolgáltatásfolytonossági veszélyhelyzet: Olyan esemény vagy események együttese, amelyek a Nemzeti Fejlesztési és Gazdasági Minisztériumot (a továbbiakban: NFGM) érintő informatikai szolgáltatásainak kiesésével vagy nagymértékű minőségcsökkenésével, több erőforrásra kiterjedő és nehezen helyreállítható károsodásával járnak.
h) Tartalék telephely: Dedikált vagy megosztott elhelyezési lehetőség, ahová szolgáltatásfolytonossági helyzetben szolgáltatásokat, eszközöket lehet telepíteni és/vagy humán erőforrást átcsoportosítani akár megelőző jelleggel, akár szolgáltatásfolytonossági terv végrehajtásának keretében.

1.2. A szabályzat célja
a) Az NFGM Informatikai Szolgáltatásfolytonossági Szabályzatának (a továbbiakban: ISZSZ) alapvető céljai a következők:
b) az NFGM vagy magasabb szintű működésfolytonossági stratégiák támogatása, a vonatkozó előírásokkal és utasításokkal összhangban;
c) az NFGM informatikai szolgáltatásainak áttekintése és besorolása szolgáltatásfolytonossági helyzetek (katasztrófaszituációk) lehetséges hatásai, illetve ezen helyzetekkel szembeni védettsége szempontjából;
d) az IFO szolgáltatásfolytonossági helyzetben történő működésének szabályozása, beleértve a szolgáltatásfolytonossági szervezet felállítását és a tartalékmegoldások elindítását;
e) a szolgáltatásfolytonossági helyzet megszűnése után a normál működésmódra való visszaállás szabályainak meghatározása.

1.3. Az utasítás hatálya
Az utasítás személyi hatálya kiterjed az NFGM valamennyi alkalmazottjára, és minden olyan külső személyre, akik az NFGM tulajdonában lévő, általa üzemeltetett vagy használt informatikai rendszerekkel kapcsolatba kerülnek. Az utasítás tárgyi hatálya kiterjed az NFGM tulajdonában lévő és az általa üzemeltetett vagy használt más szervezetek tulajdonát képező informatikai hardver (szerverek, munkaállomások, hálózati eszközök, telefonok, adathordozók, eToken) és szoftvereszközökre (operációs rendszer, dobozos és saját fejlesztésű alkalmazói szoftvercsomagok, felhasználói segédprogramok, szoftverek dokumentációi és licencinformációi), valamint a fenti eszközök alkalmazásával megvalósított informatikai szolgáltatásokra és ezek dokumentációjára, a Szolgáltatási Szint Megállapodásokat (a továbbiakban: SLA) is beleértve.

1.4. Az utasításhoz kapcsolódó stratégiák, előírások
Az utasításhoz kapcsolódó stratégiák, előírások az alábbiak:
a) a Közigazgatási Informatikai Bizottság 25. számú ajánlása;
b) NFGM–Központi Szolgáltatási Főigazgatóság (a továbbiakban: KSZF) szolgáltatási megállapodás;
c) NFGM informatikai stratégia 2009–2011;
d) NFGM információbiztonsági stratégia 2010–2012;
e) az informatikai rendszerekre vonatkozó szabványok, ajánlások (ITIL, ISO 20000).

1.5. Szerepkörök
Az egyes szerepköröket betöltő konkrét személyeket az 1. melléklet azonosítja.
1.5.1. Szolgáltatásfolytonossági menedzser
A szolgáltatásfolytonossági menedzser:
a) szerepkörét az IFO vezetője látja el;
b) felel az IT-szolgáltatásfolytonosság-menedzsment folyamat irányításáért, fejlesztéséért;
c) gondoskodik arról, hogy a szolgáltatásfolytonosság-menedzsment folyamat átfogó kezelése és fejlesztése az ISZSZ előírásainak megfelelően történjen;
d) szolgáltatásfolytonossági ügyekben kapcsolatot tart az ügyfelekkel és szállítókkal;
e) gondoskodik az ISZSZ aktualizálásáról és betartásáról;
f) szolgáltatásfolytonossági veszélyhelyzetben irányítja a tartalékmegoldások bevezetését, a helyreállítást és a normál működésre való visszaállás teljes folyamatát.
1.5.2. Szolgáltatásfolytonossági koordinátor
Az NFGM szolgáltatásfolytonossági koordinátor szerepkörét a szolgáltatásfolytonossági menedzser által kijelölt munkatárs látja el. A szolgáltatásfolytonossági koordinátor elsősorban az IT szolgáltatásfolytonossági folyamat operatív feladatait látja el, ugyanakkor teljeskörűen helyettesítheti a szolgáltatásfolytonossági menedzsert annak megbízása szerint.
1.5.3. Szolgáltatásfolytonossági bizottság
A szolgáltatásfolytonossági bizottság (továbbiakban SZFB):
a) állandó tagjait a szolgáltatásfolytonossági menedzser jelöli ki, a tagsága állandó, de nem szükséges, hogy minden SZFB-tag részt vegyen az üléseken;
b) üléseit a szolgáltatásfolytonossági menedzser hívja össze, évente legalább egy alkalommal;
c) ülésére a külső résztvevőket a szolgáltatásfolytonossági menedzser hívja meg. Az SZFB ülésén a meghívottaknak meg kell jelenniük vagy képviseltetniük kell magukat;
d) ülése a szolgáltatásfolytonossági menedzser döntése alapján személyes találkozó helyett más módon is megvalósulhat (telefon- vagy videokonferencia, elektronikus kommunikáció, fórum stb.);
e) állásfoglalásokat hoz a szolgáltatásfolytonossági menedzser által beterjesztett napirendi pontokról, valamint új napirendi pont felvételére vagy elhalasztására is javaslatot tehet;
f) állandó tagjai indokolt esetben a szolgáltatásfolytonossági menedzserrel történő előzetes egyeztetés alapján az SZFB ülésének összehívását kezdeményezhetik;
g) működésével kapcsolatban a végső döntés és felelősség minden esetben a szolgáltatásfolytonossági menedzseré;
h) üléseiről jegyzőkönyvet kell készíteni, amelyet minden tagnak illetve a meghívottaknak is alá kell írnia;
i) a jegyzőkönyvnek az SZFB ülésén meghozott állásfoglalásokat, ajánlásokat és a felmerült ellenvéleményeket is tartalmaznia kell;
j) a szolgáltatásfolytonossági menedzser a fentieken túl további szabályokat és gyakorlatokat vezethet be az SZFB működésével kapcsolatban.

1.6. Veszélyek és kockázatok
Az informatikai – és ezzel a szakmai – működést fenyegető külső veszélyek kezelésére jelen szabályzatban az alábbiakat kell figyelembe venni:
a) infrastrukturális kár, megsemmisülés – tűz, csőtörés, árvíz, robbanás, robbantás, földrengés, épület statikai sérülése, betörés;
b) telephely megközelíthetetlensége – infrastrukturális kárral kombinálva vagy anélkül; a minisztérium épületei tüntetés, blokád, árvíz megsemmisülés stb. miatt megközelíthetetlenek vagy nem használhatóak;
c) KSZF folytonossági veszélyhelyzet – hálózati szolgáltatás tartós kimaradása, szerverinfrastruktúra tartós elérhetetlensége, alaprendszer sérülése vagy részleges megsemmisülése, információtartalom sérülése, részleges vagy teljes megsemmisülése;
d) egyéb szállítói folytonossági helyzet – szerződésszegés vagy vis maior miatt alkalmazást támogató szállító szolgáltatásának megszűnése;
e) humán folytonossági helyzet – kritikus humán erőforrás (szakértők) tartós kiesésével járó szolgáltatásfolytonossági szituáció, amikor egy vagy több szolgáltatás SLA szerinti működtetése lehetetlenné válik. A konkrét kockázatok azonosítását és a fenti kategóriákba történő besorolását a 2. melléklet, a szolgáltatásfolytonosság szempontjából kritikus alkalmazásokat a 3. melléklet tartalmazza. A kockázatok beazonosításáról a szolgáltatásfolytonossági menedzser dönt.

1.7. Válaszintézkedések kiválasztása és megtervezése
A kockázatok bekövetkezésekor jelentkező negatív hatásokat válaszintézkedésekkel kell mérsékelni. A válaszintézkedések alkalmazásának proaktív és reaktív kidolgozását az utasítás 4. melléklete tartalmazza. A szolgáltatásfolytonossági menedzser az 1.6 pontban szereplő veszélyhelyzetek mérlegelését követően kiválasztja és elrendeli a válaszintézkedés végrehajtását az 5. melléklet alapján.

1.8. Megvalósítás
A proaktív intézkedések és a szolgáltatásfolytonossági intézkedések végrehajtása a szolgáltatásfolytonossági menedzser hatáskörébe tartozik. A válaszintézkedések megvalósítása a szolgáltatásfolytonossági menedzser döntése és ütemezése alapján történik, az általa kijelölt szereplők irányításával.

1.9. Fenntartás
A bevezetett válaszintézkedések fenntartásának feladatai a következők:
a) érintettek (ügyfél, szállítók, munkatársak) rendszeres, ismételt tájékoztatása a tudatosság fenntartása érdekében;
b) intézkedések tesztelése;
c) a szolgáltatásfolytonossági szabályzat, a kapcsolódó megállapodások és munkautasítások rendszeres felülvizsgálata és aktualizálása;
d) a változáskezelésből érkező, szolgáltatásfolytonosság szempontjából releváns változások átvezetése.

1.10. A szolgáltatásfolytonossági veszélyhelyzet kezelése
A szolgáltatásfolytonossági menedzser jogosult arra, hogy megállapítsa a szolgáltatásfolytonossági intézkedések alkalmazásának szükségességét. A szolgáltatásfolytonossági menedzser az előre megtervezett intézkedések megvalósítása mellett jogosult ad hoc intézkedések megtételére is.
A szolgáltatásfolytonossági időszak kezdetét és befejezését egyaránt kommunikálni kell az érintett ügyfél és szállító oldali partnerek számára. A teljes szolgáltatásfolytonossági időszak a normál működésre történő teljes visszaállás és a normál állapot konszolidálása után ér véget. A teljes szolgáltatásfolytonossági időszak okait, a kezelés módját és tapasztalatait utólag ki kell értékelni és a jelen szabályzatot, a vonatkozó megállapodásokat, munkautasításokat és más dokumentumokat az értékeléshez adaptálva kell korrigálni. A módosítások szükségességéről a szolgáltatásfolytonossági menedzser dönt.

2.

2.1. A szolgáltatásfolytonosság és az incidenskezelés és kapcsolata
Azokról az incidensekről, melyek szolgáltatásfolytonossági veszélyhelyzetet idéznek elő, vagy annak ténye nem egyértelműen megállapítható, a szolgáltatásfolytonossági menedzsert értesíteni kell és azok utólagos kivizsgálásába is be kell vonni.

2.2. A szolgáltatásfolytonosság és a változáskezelés kapcsolata
Azokról a változáskezelésekről, melyek hatással lehetnek a szolgáltatásfolytonossági intézkedésekre és tervekre is, értesíteni kell a szolgáltatásfolytonossági menedzsert, aki köteles a szükséges korrekciókat elvégezni a szolgáltatásfolytonossági terveken és munkautasításokon. Amennyiben egy változás nehezen vagy csak hosszabb idő alatt, jelentős erőforrások bevonásával kezelhető szolgáltatásfolytonossági oldalról, akkor a szolgáltatásfolytonossági menedzser kérheti a változtatás elutasítását vagy bevezetésének elhalasztását. Vitás esetben a változáskezelés megvalósításáról az Információ Biztonsági Szabályzat (a továbbiakban: IBSz) szerinti információbiztonsági igazgató dönt.

2.3. A szolgáltatásfolytonosság és a szolgáltatási szint menedzsment kapcsolata
Az SLA-megállapodásokban rendelkezni kell arról, hogy szolgáltatásfolytonossági veszélyhelyzetben a felek milyen tevékenységeket kötelesek elvégezni, illetve a szolgáltató milyen szolgáltatási szinteket és helyreállítási opciókat vállal szolgáltatásfolytonosság helyzet kialakulása esetén.

2.4. A szolgáltatásfolytonosság és az információbiztonság kapcsolata
Az IBSz előírásait fokozottan be kell tartani válaszintézkedések kialakításakor, alkalmazásakor és a normál működésre való visszaálláskor egyaránt.
A szolgáltatásfolytonossági helyzet utólagos felülvizsgálatát az információbiztonság szempontjából is el kell végezni.
Minden olyan kérdésben, amelyről a szolgáltatásfolytonossági menedzser úgy ítéli meg, hogy az kiemelt kockázatot jelent információbiztonsági szempontból, az információbiztonsági igazgatót minden esetben tájékoztatni kell.

Záró rendelkezések

3.1. Az NFGM valamennyi, informatikai eszközöket használó személye (felhasználója) számára kötelező az ISZSZ általános rendelkezéseinek, valamint az általa ellátott feladatokra vonatkozó részeinek ismerete.
A külsős munkatársak részére a szabályzat ismertetése az őket felügyelő és/vagy velük szerződésben álló szervezeti egységek feladata.
Az utasítás rendelkezéseit minden újonnan üzembe helyezett informatikai rendszer esetében teljeskörűen alkalmazni kell.
Az ISZSZ rendelkezéseit a szállítókkal történő szerződéskötéskor is figyelembe kell venni.
Az utasítást évente felül kell vizsgálni a jogszabályi környezet és a szakmai-technikai feltételek változása szempontjából.

3.2.2

3.3. Ez az utasítás a közzétételt követő napon lép hatályba.

3.4. Az utasítás 3.2 pontja a közzétételt követő második napon hatályát veszti.

1. melléklet a 19/2010. (V. 7.) NFGM utasításhoz


Az SZFB tagjai

Az SZFB-t a szolgáltatásfolytonossági menedzser hívja össze szolgáltatásfolytonossági veszélyhelyzet kialakulása vagy annak potenciális lehetősége miatt, a szolgáltatásfolytonossági intézkedések felülvizsgálata, módosítása vagy tesztelése céljából.
A bizottsági ülés formáját, helyszínét, egyéb adatait a szolgáltatásfolytonossági menedzser jelöli ki.

Szerepkör

Személy

Megjegyzés

Szolgáltatásfolytonossági menedzser

IFO együttműködési portál (a továbbiakban: E-min) publikus oldalán közzétett munkatárs

A bizottság vezetője*,
állandó résztvevő

Szolgáltatásfolytonossági koordinátor

IFO E-min publikus oldalán közzétett munkatárs

állandó résztvevő

Információbiztonsági igazgató

IFO E-min publikus oldalán közzétett munkatárs

résztvevő

Információbiztonsági megbízott

IFO E-min publikus oldalán közzétett munkatárs

állandó résztvevő

KSZF-kapcsolattartó

IFO E-min publikus oldalán közzétett munkatárs

állandó résztvevő

VIR-alkalmazásgazda

IFO E-min publikus oldalán közzétett munkatárs

 

KIR3-alkalmazásgazda

IFO E-min publikus oldalán közzétett munkatárs

 

E-MIN-alkalmazásgazda

IFO E-min publikus oldalán közzétett munkatárs

 


* A szolgáltatásfolytonossági menedzser a szolgáltatásfolytonossági veszélyhelyzetnek megfelelően hívja meg esetileg azokat az illetékes személyeket és szakembereket, akik a fenti listában nem szerepelnek, de az adott szolgáltatásfolytonossági veszélyhelyzet kezelésében érintettek.

2. melléklet a 19/2010. (V. 7.) NFGM utasításhoz


Veszélyek és kockázatok besorolása

Veszély

Szolgáltatás vagy infrastruktúraelem

Valószínűség

Hatás

Kockázatkategória

Infrastrukturális kár, megsemmisülés

NFGM-telephely, részleges vagy teljes

Közepes

Magas

2

Telephely megközelíthetetlensége

Egy vagy több NFGM-telephely

Közepes

Közepes

2

KSZF folytonossági helyzet – részleges

Egy vagy több KSZF-szolgáltatás

Közepes

Magas

2

KSZF folytonossági helyzet – teljes

Minden KSZF-szolgáltatás

Alacsony

Magas

2

Egyéb szállítói folytonossági helyzet

Kritikus alkalmazás (KIR3, E-MIN, VIR, Intranet/Internetportál)

Közepes

Magas

2

Humán folytonossági helyzet

Kritikus alkalmazás (KIR3, E-MIN, VIR, Intranet/Internetportál)

Közepes

Közepes

2

3. melléklet a 19/2010. (V. 7.) NFGM utasításhoz


Szolgáltatásfolytonosság szempontjából kritikus alkalmazások

Szolgáltatás megnevezése

Kritikus kiesés

Megjegyzés

VIR-alkalmazásszolgáltatás

24 óra

Tervezési időszakban 4 óra

KIR3-alkalmazásszolgáltatás

2 óra

 

E-MIN-szolgáltatások

1–5 óra

Funkcionális portálonként eltérő lehet

Intranet/Internetportál-szolgáltatás

2 óra

 

Outlookszolgáltatás

2 óra

 

4. melléklet a 19/2010. (V. 7.) NFGM utasításhoz


Proaktív és reaktív intézkedések, alkalmazásaik

Intézkedések
(proaktív szakasz)

Leírás

Alkalmazás
(reaktív szakasz)

NFGM-kapcsolódás

Infrastruktúrák beszerzése, tartalékolás

Jellemzően távoli vagy mobil tartalék infrastruktúrával, pl. alternatív gépterem vagy mobil megoldások, továbbá rendelkezésre állást növelő megoldások (raid, cluster, tartalék hálózati kapcsolat)

– Tartalék infrastruktúra alkalmazása, átállás
– Visszaállás tartalék infrastruktúráról normál működésre
– Tartalék infrastruktúra állapotának visszaállítása

KSZF-hatáskör

Tartalék telephely kiépítése munkatársak számára

Tartalék telephely kiépítése munkatársak számára – IT-személyzet elhelyezése tartalék telephelyen, irodai infrastruktúra előzetes kiépítésével (bútor, irodai berendezések, hálózati kapcsolat, szociális helyiségek, fizikai biztonsági berendezések, beléptetés)

– Tartalék telephely használatba vétele
– Visszatérés normál telephelyre
– Tartalék telephely állapotának visszaállítása

NFGM-épületekben szabad, használaton felüli munkaállomások kiépítése

Rendelkezésre állást biztosító szerződések, SLA-k

Rendelkezésre állást biztosító szerződések melyek alapján egy szállító a vészjelzésre meghatározott (rövid) időn belül biztosítja a megállapodás tárgyát képező infrastruktúra vagy szolgáltatás használatát

– Szállító riasztása
– Tartalék infrastruktúra vagy szolgáltatás igénybevétele
– Visszaállás tartalék erőforrásról normál működésre
– Tartalék infrastruktúrák visszaadása

NFGM és szállítói között megkötött informatikai szerződések

Bunker módszer

Alternatív telephely és erőforrások kiépítése nélkül az elsődleges erőforrások megerősítése és védelme minden elérhető eszközzel (fizikai védelem, saját energiaforrás stb.)

 

KSZF-hatáskör

5. melléklet a 19/2010. (V. 7.) NFGM utasításhoz


NFGM IFO IT folytonossági tartalékintézkedések

Veszély

Szolgáltatás vagy
infrastruktúra-elem

Válaszintézkedés

Megjegyzés

Infrastrukturális kár, megsemmisülés

NFGM telephely, részleges vagy teljes

Helyreállítás, pótlás

 

Telephely megközelíthetetlensége

Egy vagy több NFGM-telephely

Alternatív telephely, otthoni munkavégzés

 

KSZF folytonossági helyzet
– részleges

Egy vagy több KSZF-szolgáltatás

Alternatív hálózati kapcsolat

 

KSZF folytonossági helyzet
– teljes

Minden KSZF-szolgáltatás

Alternatív hálózati kapcsolat

 

Egyéb szállítói folytonossági helyzet

Kritikus alkalmazás
(KIR3, E-MIN, VIR, Intranet/Internetportál)

Rendelkezésre álláshoz szükséges infrastruktúrák, szolgáltatások igénybevétele

 

Humán folytonossági helyzet

Kritikus alkalmazás
(KIR3, E-MIN, VIR, Intranet/Internetportál)

Helyettesek igénybevétele

 

6. melléklet a 19/2010. (V. 7.) NFGM utasításhoz


Az informatikai szolgáltatásfolytonosság folyamata

Az informatikai szolgáltatásfolytonosság kezelésének folyamatát a következő ábra szemlélteti.


1. ábra – Az NFGM informatikai szolgáltatásfolytonosság kezelésének modellje
1

Az utasítást a 18/2014. (VII. 4.) NGM utasítás 2. § 1. pontja hatályon kívül helyezte 2014. július 5. napjával.

2

A 3.2. pontot a 3.4. pont hatályon kívül helyezte.

  • Másolás a vágólapra
  • Nyomtatás
  • Hatályos
  • Már nem hatályos
  • Még nem hatályos
  • Módosulni fog
  • Időállapotok
  • Adott napon hatályos
  • Közlönyállapot
  • Indokolás
Jelmagyarázat Lap tetejére