Hatály: 2021. január 01.-től

  

INFORMATIKAI – BIZTONSÁGI SZABÁLYZAT

 

 

 

ARANYLÓ NAPRAFORGÓ ALAPÍTVÁNY és fenntartott intézményei

 

ELFOGADTA A KURATÓRIUM: 2020. december 18.-án, a 24/2020 számú kuratóriumi határozattal

 

2020.

 

1.     Biztonsági osztályba történő besorolás

 

A 2013. évi L. törvény és az ide vonatkozó 77/2013. (XII. 19.) NFM rendelet előírásának megfelelően az Aranyló Napraforgó Alapítvány és intézményei a 3. biztonsági osztályba tartoznak.

 

2.     Alkalmazandó jogszabályok, szabványok

 

A,    Alkalmazandó jogszabályok:

a)     az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi

CXII. törvény (a továbbiakban: Info tv.),

b)    az állami és önkormányzati szervek elektronikus információbiztonságáról szóló

2013. évi L. törvény (a továbbiakban: Ibtv.),

c)     az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről szóló 41/2015. (VII.

15.) BM rendelet,

d)    a nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről szóló 2010. évi CLVII. törvény,

e)     a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásának biztosításáról szóló 38/2011. (III. 22.) Korm. rendelet, 

f)      az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/2015. (VII.

13.) Korm. rendelet,

g)    a minősített adat védelméről szóló 2009. évi CLV. törvény,

h)    az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: GDPR).

 

B,     Alkalmazandó szabványok:

i)      MSZ EN ISO 9000:2015 Minőségirányítási rendszerek. Alapok és szótár,

j)      MSZ EN ISO 9001:2015 Minőségirányítási rendszerek. Alapok és követelmények,

k)     ISO/IEC 27000:2014 Information technology – Security techniques – Information security managements systems. Overview and vocabulary,

l)      MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonságirányítási rendszerek. Követelmények,

m)   MSZ ISO 31000:2015 Kockázatfelmérés és -kezelés. Alap- és irányelvek,

n)    ITIL. (Information Technology Infrastructure Library) informatikai rendszerek üzemeltetésére és fejlesztésére szolgáló kormányzati ajánlás, „de facto” szabvány.

 

Az Aranyló Napraforgó Alapítvány és Intézményei tevékenységét a rájuk vonatkozó Szervezeti és Működési Szabályzat (a továbbiakban SZMSZ), valamint az ezekben található utasításokból, és a magasabb jogszabályokból levezetett eljárásrendek és belső szabályzatok szabályozzák. A belső, helyi szabályozások kiadása a Kuratórium, valamint az Aranyló Napraforgó Alapítványi Óvodánál az Intézményvezető felelőssége.

 

3.     Alapfogalmak

-          Szerver: olyan hálózatra kapcsolt központi szerepet betöltő számítógép, amelynek alapvető feladata, hogy más, a hálózatra kapcsolt számítógépek vagy terminálok számára az erőforrásait megossza.

-          Munkaállomás: egy operátor vagy felhasználó számára, adott típusú feladathoz felszerelt számítógép vagy terminál.

-          Gépterem: az a helyiség, ahol az iskola tanulói és dolgozói hozzáférhetnek a számítástechnikai eszközökhöz és szolgáltatásokhoz.

-          Adat: a tények, az elképzelések nem értelmezett, de értelmezhető közlési formája.

-          Adatállomány: valamely informatikai rendszerben lévő adatok logikai összefogása, amelyet egy névvel jelölnek. Ezen néven keresztül férhetünk hozzá a tartalmazott adatokhoz.

-          Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere.

-          Adatfeldolgozás: az adatok gyűjtése, rendszerezése, törlése, archiválása.

-          Adatvédelem: az adatok kezelésével kapcsolatos törvényi szintű jogi szabályozás formája, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségére vonatkozik.

-          Alkalmazói program, alkalmazói szoftver: olyan program, amelyet az alkalmazó saját speciális céljai érdekében vezet be és amely a hardver és az üzemi rendszer funkcióit használja.

-          Felhasználó: az a személy vagy szervezet, aki (amely) egy vagy több informatikai rendszert használ feladatai megoldásához.

-          Hardver: az informatikai rendszer eszközeit, fizikai elemeit alkotó része.

-          Hálózat: két vagy több számítógép összekapcsolása, amely informatikai rendszerek legkülönbözőbb komponensei között adatcserét tesz lehetővé.

-          Informatikai biztonság: olyan előírások, szabványok betartásának eredménye, amelyek az információk elérhetőségét, sérthetetlenségét és bizalmasságát érintik és amelyeket az informatikai rendszerek vagy komponenseik alkalmazása során biztonsági megelőző intézkedésekkel lehet elérni.

-          Rendszerprogram, rendszerszoftver: olyan alapszoftver, amelyre szükség van, hogy valamely informatikai rendszer hardvereit használhassuk és az alkalmazói programokat működtethessük. A rendszerprogramok legnagyobb részét az operációs rendszerek alkotják.

 

4.      Általános rendelkezések

 

4.1. Az Informatikai Biztonsági Szabályzat célja:

 

A jelen Informatikai Biztonsági Szabályzat (a továbbiakban IBSZ) célja, hogy az Aranyló Napraforgó Alapítvány és Intézményeinél működtetett informatikai rendszerre vonatkozóan a biztonsági intézkedéseket szabályozza, meghatározza a számítástechnikai eszközök beszerzésének és használatának, az adatkezelés folyamatának biztonsági szabályait,

továbbá az informatikai szerepköröket, és előírja az egyes szereplők informatikai biztonságot érintő feladatait.

 

4.2.   Az IBSZ által biztosítható:

-          A titok-, vagyon- és tűzvédelemre vonatkozó előírások betartása.

-          A személyiségi jogok védelme.

-          Az üzemeltetett számítástechnikai eszközök, hardverek, szoftverek stb. rendeltetésszerű használata és megfelelő üzemeltetése.

-          Az üzembiztonságot szolgáló műszaki fenntartás és karbantartási teendők elvégzése.

-          A számítógépes feldolgozások és az eredményadatok további hasznosítása során az illetéktelen hozzáférésből és felhasználásból eredő károk megelőzése, illetve minimális mértékűre való csökkentése.

-          Az adatállományok formai és tartalmi helyességének és épségének megőrzése.

-          Az alkalmazott szoftverek sértetlenségének, megbízható működésének biztosítása.

-          Az adatállományok biztonságos mentése.

-          A felhasznált és keletkezett írásos dokumentumok megfelelő kezelésének biztosítása.

-          Annak rögzítése, hogy mi az iskolavezető beosztású és az informatikai feladatokat irányító dolgozóinak a feladata, felelőssége és a jogköre az informatikai biztonság tekintetében.

-          A jogosultság és a hozzáférés rendszerének dokumentált kialakítása.

-          A célok elérése érdekében a védelemnek működnie kell az egyes rendszerelemek fennállásának teljes ciklusa alatt – a megtervezéstől az alkalmazáson (üzemeltetésen) keresztül a felszámolásukig, és az azt követően az elévülés, illetve a selejtezhetőség időtartama alatt.

 

 

 

 

 

 

5.     A szabályzat felülvizsgálatának rendje, hatálya

 

A felülvizsgálatot évente el kell végezni, a vizsgálati eredményről jelentés készül, melyet a kuratórium elnökének nyilatkozatával el kell fogadnia.

 

a.      Az IBSZ területi hatálya:

 

Az IBSZ rendelkezésének teljes körű és értelemszerű alkalmazása az iskola egész területén kötelező.

 

b.      Az IBSZ személyi hatálya:

 

Kiterjed az Alapítvány és Intézményei minden felhasználójára.

 

c.       Az IBSZ tárgyi hatálya:

 

Kiterjed az Alapítvány és Intézményei területén lévő:

-          az Alapítvány és Intézményei által használt, vagy általuk tárolt valamennyi informatikai berendezésre, beleértve a berendezések műszaki dokumentációját is

-          rendszerprogramokra és felhasználói programokra

-          adathordozókra, azok tárolására és felhasználására

-          az informatikai folyamatban szereplő valamennyi dokumentációra.

 

Az IBSZ rendelkezéseit minden újonnan üzembe helyezett informatikai rendszer esetében teljes körűen alkalmazni kell.

 

1. d.        Az IBSZ időbeli hatálya:

 

A hatályba lépést követő 5 év.

 

6.     Az informatikai és információs rendszer működtetésének rendje

 

a.                  Alapítványi eszközök

Az Alapítvány eszközt az Intézményvezetőnek, helyettesének, és az Alapítvány kuratóriumának (1db) biztosít. Az óvodatitkár a korábban már használt, de leselejtezett eszközt kapja meg.

 

b.                 Adathozzáférés szabályai

b.1           Adatok meghatározása

Az adat tények, fogalmak, eligazítások olyan formalizált reprezentációja, amely alkalmas az emberi vagy az automatikus eszközök által történő kommunikációra, értelmezésére vagy feldolgozásra. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen.

b.2           Mentés

A munkaállomásokon tárolt adatok mentéséért, archiválásáért a felhasználó felelős, a szervereken tárolt adatokért.

 

c.                  Adatbiztonság szabályai

Adathozzáférés

Az információs rendszerben tárolt adatokhoz azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval - lehet hozzáférni.

Mentendő adatok

Az ellátott gyermekre vonatkozó adatok.

Adat helyreállítás

Szükség esetén a rendszer komplett adatbázisa.

Vírusvédelem

A használt eszközöknek az internetről on-line update rendszerrel működő vírus és spam figyelő és eltávolító programokkal.

 

d.                 Alkalmazások szabályozása

Belépési azonosítók: felhasználói azonosítóval. Jelszó minimum 5 hosszú, tartalmazhat az angol abc szerinti bármilyen betűt, számot.

 

e.                 A végfelhasználó felelőssége

Az eszközök kezelése, használata során minden felhasználónak gondosan be kell tartani az alábbiakat:

-          Minden olyan előírást, mely az eszközök kezelési útmutatójában szerepel.

-          A szoftverek, dokumentumok használata, létrehozása során a szerzői jogokra vonatkozó jogszabályokat.

-          A munka és tűzvédelmi előírásokat, szabályokat.

-          Tilos az eszközöket és azok részeit áthelyezni, mozgatni, burkolatukat, csatlakozásaikat megbontani.

-          Tilos a számítógépekre szoftvert telepíteni, illetve engedély nélkül eltávolítani.

-          Tilos illegális vagy bármilyen jogszabályba ütköző tevékenységet folytatni.

-          Tilos a telepített szoftverek konfigurációját és az operációs rendszer beállításait megváltoztatni.

 

f.        Mozgatható perifériák és adathordozók kezelése

Adathordozók kezelése

Cél: vagyontárgyak illetéktelen kiadásának, módosításának, eltávolításának vagy tönkretételének, valamint a működési tevékenységek megszakadásának megelőzése.

 

Az eltávolítható adathordozók kezelése

Intézkedés: az eltávolítható adathordozók kezelésére megfelelő eljárásokat kell alkalmazni.

 

Adathordozók selejtezése

Intézkedés: a feleslegessé vált adathordozókat hivatalos eljárásokkal védett módon és biztonságban le kell selejtezni vagy meg kell semmisíteni.

 

Adathordozók biztonsági tárolása

Az üzletmenet szempontjából alapvető fontosságú informatikai rendszerek adatait tervezett módon, rendszeresen olyan biztonsági adathordozókra kell menteni, amelyekről egy esetleges üzemzavar esetén egy utolsó, működőképes állapotot vissza lehet állítani. A biztonság érdekében a mentések egyik példányát az informatikai központtól távol kell elhelyezni.

 

g.                  Intézményi szintű levelező és együttműködést támogató rendszer szabályozása

Címlista szolgáltatások

Felhasználónkénti azonosítással.

Adat tárolása

Mailbox tárolás, korlátozott tárhellyel.

Hozzáférési módok

SNTP, POP3 protokollon, intraneten.

E-mail címek

Személyes e-mail címek: az Intézményben dolgozó vezetőknek és az Alapítvány munkáját segítőknek saját E-mail címmel rendelkeznek, melynek listája e szabályozás melléklete.

Hardver követelmény

Az Alapítvány és fenntartott Intézményiben használt gépek.

Jogosultság és felelősség

E-mail címe minden munkavállalónak joga van. A levelezés tartalmának felelőssége a cím tulajdonosát terheli.

 

h.                 Internet elérés szabályozása

Csak T-mobil Stick-en keresztül, egyes telephelyeken megengedett helyi internet elérés.

 

i.                    Internet felé nyújtandó szolgáltatások szabályozása

          Jelen rendszerünk ezt a szolgáltatást nem használja.

 

j.                   Rendszer menedzselhetősége és szabályozása

Üzembiztonság szabályozása

Minden eszköz hálózatról töltött hosszú időn keresztül áramforrás nélkül működtethető.

 

k.                       Az informatikai eszközök biztonsága

Fizikai védelem és környezet védelme

A fizikai védelmi intézkedések az információ feldolgozását kiszolgáló berendezések, helyiségek és az alkalmazottak védelmét szolgálják. Ilyenek például a vagyonvédelmi, vagy akár a szünetmentes áramforrások, védett kábelrendezők, klímaberendezések.

 

Területek védelme, biztosítása

Cél: a Intézmények helyiségeinek és információinak védelme, a jogosulatlan, illetéktelen fizikai behatolás, károkozás és zavarkeltés megakadályozás.

 

Berendezések védelme

Cél: a vagyontárgyak elvesztésének, károsodásának, eltulajdonításának, illetve megrongálásának, valamint a szervezeti működés fennakadásának megelőzése.

 

A berendezéseket úgy kell elhelyezni, illetve védeni, hogy csökkenjen a környezeti fenyegetésekből és veszélyekből eredő kockázat, valamint a jogosulatlan hozzáférés lehetősége.

 

Berendezések karbantartása

A berendezéseket előírásszerűen karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.

 

Berendezések biztonságos selejtezése, illetve újrafelhasználása

Valamennyi olyan berendezést, amely tárolóeszközt foglal magában, ellenőrizni kell annak biztonsága érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek.

 

Vagyontárgyak eltávolítása

Berendezések, információk, illetve szoftverek előzetes engedély nélkül nem vihetők ki az Alapítvány, vagy a fenntartásában működtetett Intézményekből.

 

1. l.                    Hardvervédelem

-          A számítógépeket óvni kell folyadéktól, túlzott páratartalomtól és hőigénybevételtől.

-          Fali csatlakozók megbontása szigorúan tilos.

-          Csak földelt aljzatokat lehet használni számítógép üzemeltetéséhez.

-          A lengő kábeleket úgy kell elhelyezni, hogy azok balesetet ne okozhassanak.

-          A számítógép belsejébe nyúlni és ott bárminemű változtatást okozni tilos. Csak az illetékes szakember, illetve szervizek szakemberei nyúlhatnak bele.

m.               Nyomtató és fénymásolóhasználat

Az irodákban elhelyezett nyomtatók és fénymásolók használata csak a mindennapi feladatok elvégzéséhez szükséges dokumentumok és az adminisztratív munkák nyomtatására és másolására engedélyezett.

 

n.                      Pazarló erőforráshasználat

Az erőforrást itt a lehető legtágabban értelmezzük: emberi és fizikai erőforrást egyaránt értünk alatta. Erőforrásnak tekintjük a felhasználók, rendszergazda idejét, munkáját, a számítógépek memória- és lemezterületeit, a számítási kapacitásaikat, a kommunikációs csatornák sávszélességét, stb. Ezért mindenki ezeket az erőforrásokat meggondoltan használja, ügyeljen elkerülni a pazarlást.

 

7.     Szoftverhasználat rendje

a.      Felhasználók kötelességei

A felhasználók a számítógépes infrastruktúrát csak rendeltetésszerűen használhatják.

Nem engedélyezhető a szórakozás (játékprogramok futtatása, hálózati forgalmat jelentősen növelő szórakoztató kép- és hanganyagok továbbítása), továbbá olyan tevékenység folytatása vagy szolgáltatás indítása, amely nem a munkafolyamati célokat szolgál.

 

A felhasználónak az általuk karbantartott adatokat, fájlokat védeniük kell technikai és egyéb hibákból eredő károsodás ellen.

 

Az Alapítvány elvárja az összes felhasználótól, hogy munkájuk magas szinten történő végzéséhez a szükséges számítástechnikai ismeretekkel rendelkezzen.

 

A számítógép felhasználásával kapcsolatos fontos események, hibák naplózása, jelentése minden felhasználónak kötelessége. Meghibásodás esetén azonnal intézkedni kell -felettese értesítésével.

 

b.      Szankciók

Ha a felhasználó az intézmény eszközeit nem a szabályzat előírásainak megfelelően használja, úgy fegyelmi vétséget követ el. A szabályok megszegése esetén jogosultság megvonható, illetve a minimális szintre csökkenthető. A jogosultság megvonása az elkövetett szabálytalanság függvényében lehet ideiglenes vagy végleges. A korlátozó intézkedéseket a számítógéprendszer üzemeltetője Alapítvány kuratóriuma dönti el és hagyja jóvá, illetve dönt a továbbiakban szükséges intézkedésekről.

 

Amennyiben az elkövetett vétség a Büntető Törvénykönyv szerint bűncselekménynek minősül, úgy a tudomásra jutást követően azonnal köteles teljes kitiltást foganatosítani, valamint felhasználó adatait zárolni,  az intézmény vezetője, vagy az Alapítvány kuratórium elnöke. Az Intézményvezető köteles a történtekről záros határidőn belül tájékoztatni a kuratóriumot.  

A felhasználó minden olyan általa okozott kárért teljeskörű kártérítési kötelezettséggel tartozik, mely az Alapítvány és annak Intézményei eszközeinek rendeltetés vagy előírásszerinti használatának megszegése miatt történt.

c.       Netikett

A felhasználóknak az internet és az intranet használata során tanúsított magatartásukkal feleljenek meg a hivatalosnak elfogadott Netikett RFC 1855 ajánlásainak.

 

A felhasználónak mindent meg kell tennie a rendszer védelméért. Ennek érdekében elsősorban megfelelő jelszót kell választania. Nem szabad olyan jelszót választani, ami egy szótárban benne lehet. Az ilyen jelszavakat megfelelő program rövid idő alatt megtalálhatja. Nem célszerű olyan jelszót adni, ami a környezetből kideríthető (név, telefonszám, rendszám, stb.). Nem szabad bármely nyelven értelmes szót nyelvhelyesen jelszónak választani.

 

d.      Katasztrófa Terv

A katasztrófa-elhárítási terv globális helyettesítő megoldásokat ad megelőző és elhárító intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az informatikai rendszer funkcionalitása degradált vagy eredeti állapotába visszaállítható. A katasztrófa-elhárítás tervezés célja a kiesési idő, a rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A katasztrófa-elhárítási terv eljárások és/vagy tevékenységlépések sorozata annak biztosítására, hogy az Intézmény kritikus információ-feldolgozó képességeit – a szükséges aktuális adatokkal – a bekövetkezett katasztrófa után elfogadhatóan rövid időn belül helyre lehessen állítani. 

 

      A mentési terv részei

-          A mentési terv definíciója.

-          A megelőzési terv.

-          A helyreállítási terv.

A megelőzési terv azon lépések sorozata, amelyet azért hajtanak végre a katasztrófát megelőzően normál üzem során, hogy lehetővé tegyék az Alapítvány és Intézményei számára a reagálást a katasztrófára. A mentési terv biztosít elmentett eszközöket a helyreállításhoz. Így például az optikai tároló sokkal könnyebbé teheti nagy tömegű papíralapú dokumentumok helyreállítását.

A helyreállítási terv eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre annak érdekében, hogy helyreállítsák az informatikai rendszert.

 

     A helyreállítási terv négy szakasza

-          Azonnali reakció: válasz a katasztrófahelyzetre, a veszteségek számbavétele, a megfelelő szakemberek értesítése és a katasztrófaállapot megállapítása.

-          Környezeti helyreállítás: az adatfeldolgozó rendszer helyreállítása (operációs rendszerek, felhasználó programok).

-          Funkcionális helyreállítás: az informatikai rendszer alkalmazásainak és adatainak helyreállítása.

-          Az elvesztett vagy az újonnan keletkezett adatok ismételt bevitele: a rendszergazda és a felhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet.

 

Az Informatikai Biztonsági Szabályzat nem ismerete nem mentesíti a felhasználót a megsértése esetén foganatosítható szankcióktól, illetve az esetleges büntetőjogi következmények alól! A szabályzat bármely pontjának nem betartása súlyos fegyelmi vétségnek minősül!

 

JELEN INFORMATIKAI – BIZTONSÁGI SZABÁLYZATOT, A KURATÓRIUM 24/2020 sorszámú kuratóriumi határozattal, 2020. december 18.-án elfogadta, egyúttal hatályon kívül helyezi 2020. december 31.-i dátummal a 2015. július 13.-tól hatályos Informatikai-Biztonsági Szabályzatot!

        

HATÁLYOS: 2021. január 01.-től

 

Kelt: Budapest, 2020. december 18.

 

Madarász Károly (kuratóriumi elnök)

 

 

 

 

 

Oldal: Informatikai-biztonsági szabályzat 2021.
ARANYLÓ NAPRAFORGÓ ALAPÍTVÁNY INTÉZMÉNYEI SZABÁLYZATOK, DOKUMENTUMOK - © 2008 - 2024 - anaszabalyzatok.hupont.hu

A HuPont.hu ingyen adja a tárhelyet, és minden szolgáltatása a jövőben is ingyen ...

ÁSZF | Adatvédelmi Nyilatkozat