Informatikai Felhasználói Szabályzat

A PNGN Kft.
Informatikai Felhasználói Szabályzata

 

I. Bevezető

A PNGN Kft.

  • a. székhely: 2167 Vácduka, Ady Endre u. 52.
  • b. nyilvántartási szám: 13-09-137961
  • c. adószám: 22706034-2-13
  • d. tényleges adatkezelés címe: 2167 Vácduka, Ady Endre u. 52.
  • e. internetes elérhetőségei (és a vonatkozó tényleges adatkezelések webhelyei):
  •   -. www.pngn.hu
  •   -. https://www.facebook.com/pngnkft
  • f. telefonszám: 70/381-1178
  • g. e-mail: info@pngn.hu
  • h. önállóan képviseli: Nagy Gábor Márton (továbbiakban: PNGN Kft., Adatkezelő vagy Szervezet) figyelemmel a mindenkori Informatikai Biztonságpolitikára és Informatikai Biztonsági Stratégiára, az alábbiakban határozta meg a jelen Felhasználói Szabályzatot (továbbiakban: Szabályzat).

2. A Felhasználói Szabályzat meghatározza

  • a. a célokat,
  • b. a személyi, tárgyi, területi és időbeli hatályát,
  • c. az egyes feladatokat.

3. Tekintettel a fentiekre, a Szabályzat összhangban van az informatikai biztonságot meghatározó más dokumentumokkal, valamint összhangban van a PNGN Kft. minőségbiztosítási rendszerével is.

II. A Szabályzat célja

1. A Szabályzat célja az Adatkezelő által kezelt adatok biztonságának megteremtése, valamint az információbiztonsági követelményeknek való megfelelés biztosítása.

2. A Szabályzat célja teljesíteni a 2011. évi CXII. törvényből (továbbiakban: Info tv.), valamint a 2016/679. sz. EU rendeletből (továbbiakban: GDPR) származó informatikai és adatbiztonsági kötelezettségeket.

     a. A Szabályzat hatálya

         i. Személyi hatálya

1. A Szabályzat személyi hatálya kiterjed a Belső Adatvédelmi Szabályzatban meghatározott Munkatársakra.

2. Azokban az esetekben, amikor az Adatkezelő tárgyi hatály alá tartozó elektronikus információs rendszereivel, berendezéseivel, egyéb eszközeivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az Adatkezelő Munkatársa, önkéntese, tagja, a tevékenységének alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell érvényesíteni a következő kötelezettségeket:

  • a. vonatkozó szabályzatok, utasítások, eljárásrendek megismerésére és betartására irányuló kötelezettségvállalás
  • b. titoktartási nyilatkozat/megállapodás megkötése.

ii. Tárgyi hatály

1. A Szabályzat tárgyi hatálya kiterjed az Adatkezelő

  • a. által használt valamennyi informatikai rendszerre, operációs rendszerre, alkalmazásra, alapszoftverre, felhasználói programra, amely tárolja, kezeli, felhasználja, feldolgozza, továbbítja, felügyeli, ellenőrzi az adatokat, információkat,
  • b. által rögzített, tárolt, kezelt, feldolgozott, védelmet élvező elektronikus adatok teljes körére (ideértve a személyes, különleges és egyéb adatokat), felmerülésük, kezelési és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól függetlenül,
  • c. adathordozóira, tárolására, felhasználására,
  • d. elektronikus és informatikai (számítástechnikai) berendezésére, azok hardver elemeire,
  • e. környezeti infrastruktúra elemeire,
  • f. informatikai folyamataiban szereplő összes dokumentációra,
  • g. informatikai eszközeinek műszaki dokumentációira,
  • h. által kezelt adatok felhasználására vonatkozó utasításokra.

iii. Területi hatály

  • 1. A Szabályzat területi hatálya kiterjed a tárgyi hatálya alá tartozó informatikai erőforrások üzemelési és használati helységeire, így az Adatkezelő székhelyére, valamint, ha van, telephelyeire, kirendeltségeire, továbbá az Adatkezelő által mindenkor bérelt helyiségekre, ha ott informatikai erőforrás üzemel.

iv. Időbeli hatály

  • 1. A Szabályzat az alapverzió kihirdetése napján lép életbe és hatályban marad módosításig, vagy visszavonásig.

III. A Szabályzat kapcsolódásai

1. A Szabályzat rendelkezései összhangban vannak

  • a. a Belső Adatvédelmi Szabályzat
  • b. az Adatvédelmi tájékoztató
  • c. az Iratkezelési Szabályzat
  • d. a Panaszkezelési Szabályzat
  • e. az Adatkezelő más adatvédelemmel és információbiztonsággal kapcsolatos utasításainak és szabályzatainak rendelkezéseivel.

IV. Alapelvek

1. Az Adatkezelő informatikai rendszereiben biztosítani kell informatikai és nem informatikai eszközök és módszerek kombinációjával az érzékeny adatok adatbiztonságát és az ilyen adatokat tároló, feldolgozó, továbbító rendszerek üzembiztonságát. Az egyes rendszerek tervezése és megvalósítása során – a rendszerben kezelt adatok biztonsági osztályba sorolásának megfelelően – kell a konkrét IT biztonsági ellenintézkedéseket meghatározni.

2. A bizalmasság biztosítása lehetővé teszi, hogy az információ a jogosulatlan informatikai egyedek (személyek, csoportok, programok, folyamatok, stb.) számára ne legyen elérhető, ne kerüljön nyilvánosságra

3. Az információ és a rendszerek rendelkezésre állása érdekében a használt rendszerekben biztosítani kell a tárhelyek sértetlenségét, azonosítani kell a rendszerkomponenseket és rendszerkapcsolatokat.

4. A szükséges és elégséges ismeret elve alapján a rendszer minden felhasználónak biztosítja azokat – de csak azokat – az információkat és funkciókat, amelyek az adott felhasználó feladatainak ellátáshoz szükségesek. A rendszerekben a felhasználó csak azonosítás és hitelesítés után férjen hozzá a rendszer-szolgáltatásokhoz.

V. Szerepkörök, tevékenységek, felelősségek

1. Az informatikai biztonsággal kapcsolatos feladatok szerepkörökhöz rendeltek. A szerepkörök szerinti felelősök kijelölése a Szabályzatban, a munkaköri leírásokban, valamint utasításokban történik. Az informatikai infrastruktúra biztonságos működtetésében, illetve az informatikai rendszerekben kezelt adatok védelmének tárgykörében az alábbi szerepkörök kerülnek meghatározásra:

  • a. Az Adatkezelő vezetője

1. Az Adatkezelő Belső Adatvédelmi Szabályzatban meghatározott vezetése felelős az elektronikus informatikai rendszerben tárolt személyes, különleges adatok és más adatok védelméért és az adatok biztonságáért. Hatáskörében jogosult a számítógépes adatvédelem és az adatbiztonság megszervezésére és ellenőrzésére. A szervezet vezetője ellátja az információbiztonságáért felelős személy (továbbiakban: IBF), valamint az informatikus feladatait, vagy az e feladatokkal megbízhatja valamely munkatársát, vagy harmadik személyt.

  • b. Munkatársak: felhasználók

1. A Munkatársak adatkezelési vagy adatfeldolgozási feladataik során személyes, különleges és egyéb adatokkal kerülnek kapcsolatba, ők az informatikai rendszerek felhasználói.

2. A felhasználóknak

  • a. ismerniük kell a Szabályzatban, valamint a Szabályzat kapcsolódásaiban (lásd 4. fejezet) szereplő előírásokat, illetve azokat maradéktalanul be kell tartani, illetve az informatikai rendszerek használatát irányító személyekkel együtt kel működniük,
  • b. ismerniük kell a kapcsolódó egyéb utasításokat, eljárásrendeket;
  • c. képzésen, oktatáson kell részt venniük, mielőtt a munkavégzést megkezdenék;
  • d. tevékenységük megkezdésekor ellenőrizniük kell, hogy az általuk használt eszközök üzemképesek-e és azok beállítása az előírásoknak megfelelő-e;
  • e. a helyiségből utolsóként való távozáskor meg kell győződniük a helyiség biztonságos lezárásáról.

3. A felhasználók

  • a. kötelesek figyelemmel kísérni az általuk használt berendezések és szoftverek állapotát és az esetleges meghibásodást vagy helytelen működést azonnal jelezni kell a közvetlen vezetőnek;
  • b. munkájuk során figyelniük kell arra, hogy illetéktelen személyek lehetőleg ne tartózkodjanak az adat/információ feldolgozása során a helyiségben, vagy ha tartózkodnak, ne férhessenek hozzá az adatokhoz;
  • c. tevékenységük befejezésekor a használt programokból szabályszerűen ki kell lépniük;
  • d. a munkaállomást a helyiség elhagyása esetén lezárni, leállítani úgy, hogy ahhoz csak jelszó vagy hardveres azonosító eszköz használatával lehessen hozzáférni (kikapcsolás, kijelentkezés, jelszavas képernyővédelem, stb.);
  • e. kötelesek a munkahelyről történő eltávozáskor az addig használt eszközt, kivéve ha ez a rendszer(ek) más által történő használatát vagy a karbantartást akadályozza, szabályszerűen leállítani,
  • f. a használt számítástechnikai/elektronikus berendezés áramellátását meg kell szüntetniük, kivéve ha ez a rendszer(ek) más által történő használatát vagy a karbantartást akadályozza, szabályszerűen leállítani.

4. A felhasználó, jogosultságtól függetlenül, köteles

  • a. kikérni az Adatkezelő vezetőjének, vagy ha kinevezésre került információbiztonsági felelős, akkor az ő álláspontját olyan tevékenység végzését megelőzően, amelynek informatikai biztonsági relevanciája lehet;
  • b. a számára szervezett informatikai biztonsági oktatáson részt venni, az ismeretanyag elsajátításáról számot adni;
  • c. a rendelkezésére bocsátott számítástechnikai eszközöket megóvni;
  • d. a belépési jelszavát (jelszavait) az előírt időben változtatni, biztonságosan kezelni;
  • e. a felügyelet nélkül maradó munkahelyen (munkaállomáson) személyes adatot vagy nem nyilvános adatot tartalmazó dokumentumot/adathordozót elzárni;
  • f. az információbiztonságot érintő esemény gyanúja esetén az észlelt rendellenességekről tájékoztatni az Adatkezelő vezetőjét, vagy vagy ha kinevezésre került információbiztonsági felelős, akkor az őt,
  • g. a folyó munka során nem használt nem nyilvános anyagokat, adathordozókat elzárni;
  • h. az általa használt eszközök biztonsági beállításait változtatás nélkül megőrizni,
  • i. az e-mail és internet használat során tartózkodni a biztonság szempontjából kockázatos tevékenységtől,
  • j. feladatvégzése során létrehozott általános (pl. Word és Excel) dokumentumok mentését megtenni, és beállítani a programok biztonsági mentését.

2. A felhasználó, jogosultságától és állományba tartozástól függetlenül, számára tilos

  • a. a saját használatra kapott számítógép rendszerszintű beállításainak módosítása (ide nem értve az irodai programok felhasználói beállításait),
  • b. a munkaállomására telepített aktív vírusvédelem kikapcsolása,
  • c. belépési jelszavát (jelszavait), hardveres azonosító eszközét más személy rendelkezésére bocsátania, hozzáférhetővé tennie,
  • d. a számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása, illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra engedély nélkül,
  • e. a számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása,
  • f. bármilyen szoftver/alkalmazás installálása, internetről való letöltése, külső adathordozóról merevlemezre való másolása, telepítése, ha az veszélyeztetheti az adatbiztonságot,
  • g. a munkaállomásokon az Adatkezelőben nem rendszeresített vagy nem engedélyezett szoftverek (szórakoztató szoftverek, játékok, egyéb segédprogramok) installálása és futtatása,
  • h. bármilyen, a tárgyi hatály alá tartozó elektronikai, számítástechnikai eszköz szerelése;
  • i. más szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb személyhez fűződő jogát vagy jogos érdekét sértő dokumentumokat, tartalmakat (zenéket, filmeket stb.) az eszközökön tárolni, oda le-, illetve onnan a hálózatra feltölteni,
  • j. láncleveleket továbbítani, kéretlen levelekre válaszolni, ismeretlen tartalmú kéretlen levelek mellékleteit vagy linkjeit megnyitni,
  • k. kereskedelmi célú hirdetéseket/reklámokat külső vagy belső címzettek felé továbbítani (ide nem értve az Adatkezelő által kért vagy partnerei által küldött, az Adatkezelő által támogatott tevékenységekről – pl. kedvezményes beszerzés, munkavégzést segítő eszközök – szóló anyagokat),
  • l. levelező listákra céges e-mail címmel feliratkozni, kivéve, ha az a munkavégzéshez szükséges, így
  • i. az Adatkezelő által megrendelt, működtetett vagy előfizetett szolgáltatások, belső információs rendszerek,
  • ii. más levelező listára történő feliratkozás az Adatkezelő vezetőjének külön engedélyével történhet;
  • m. online játékokat használni,
  • n. közösségi oldalakat látogatni és használni, kivéve ha ez a munkaköréhez kapcsolódik,
  • o. erotikus, vagy jogszabály erejénél fogva tiltott tartalmakat és oldalakat látogatni, szoftvereket telepíteni, használni.

3. A felhasználó felelős

  • a. az általa használt eszközök rendeltetésszerű használatáért,
  • b. a rá vonatkozó jogszabályokban és szabályzatokban meghatározott rendelkezések betartásáért,
  • c. az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.

4. Amennyiben egy munkaállomáson több felhasználó is jogosult dolgozni, úgy a feladat elvégzése után, mielőtt másik felhasználó a munkaállomáshoz hozzáférne, a felhasználónak a rendrendszerből ki kell jelentkeznie!

5. Megosztott, vagy csoport felhasználói fiókokhoz tartozó hitelesítő eszközöket vagy adatokat a csoport tagjainak változása esetén vissza kell vonni, majd újra kell generálni az aktuális állapotnak megfelelően.

6. A felhasználó, illetve informatikus a számítógépre csak saját nevében és jelszavával léphet be, és az alkalmazásokat csak saját nevében használhatja. Ettől eltérően indokolt esetben, az Adatkezelő vezetőjének egyedi írásos engedélyének birtokában lehet eljárni. Amennyiben a hozzáférést az Adatkezelő vezetője engedélyezi, úgy azt a kijelölt munkatársa

  • a. rendszergazdai hozzáféréssel megváltoztatja a felhasználó jelszavát;
  • b. majd a felhasználó hozzáférésével végrehajtja az engedélyezett feladatot;
  • c. a megváltoztatott jelszót az Adatkezelő vezetője vezetője kapja meg;
  • d. ezt a felhasználó visszatérésekor az első rendszerbe lépéskor a felhasználónak meg kell változtatnia.

7. A jelszó érvényességi idejét, ezzel együtt a jelszócsere gyakoriságát a használt rendszer működése határozza meg.

8. A jelszó cseréjét, ha a használt rendszer nem kényszeríti ki, legalább 90 naponta kötelező elvégezni. A felhasználó jelszókezelési szabályai:

  • a. A megfelelő jelszavakra (legalább) az alábbi kritériumok igazak (ezt technológiai eszközökkel bizonyos rendszerek kényszeríthetik is): legalább 8 karakter és nem csak kisbetűket tartalmaz, nem szótári szó, illetve annak egyszerű kiegészítése, pl.: anna78, nem egyszerű sorozat (pl.: 123456, abcdef, asdfgh) tartalmaz számokat, kis- és nagybetűket, valamint egyéb extra karaktereket is (mint például: #!)
  • a. jelszavak nem hozhatóak nyilvánosságra;
  • b. a jelszavak biztonságának megőrzéséért a felhasználó személyesen felel;
  • c. a felhasználó a jelszavát nem oszthatja meg senkivel;
  • d. ha a felhasználónak a legkisebb gyanúja is felmerül, a jelszóbiztonságának integritása felől,azt köteles azonnal megváltoztatni és gyanújáról az Adatkezelő vezetőjét értesíteni;
  • e. más felhasználó azonosítóját átmeneti jelleggel sem szabad használni, kivéve ha azt az Adatkezelő vezetője engedélyezte;
  • f. a felhasználó köteles a jelszavát az előírt gyakorisággal és módon megváltoztatni.
  • g. Ha a felhasználónak tudomása vagy gyanúja támad arról, hogy jelszava valakinek tudomására jutott, akkor erről a tényről az Adatkezelő vezetőjét tájékoztatnia kell és a jelszót azonnal meg kell változtatnia.

9. A felhasználói azonosítók/jelszavak elvesztését/elfelejtését illetve vélelmezett kompromittálódását azonnal jelezni kell az Adatkezelő vezetője felé. Az elfelejtett jelszavak esetén az Adatkezelő vezetője, vagy az általa e feladattal megbízott informatikus új kezdeti jelszót állít be, amelyet az első bejelentkezéskor meg kell változtatni. Azonosító kompromittálódás esetén a kompromittált azonosítóhoz tartozó jogokat azonnal le kell tiltani, ebben az esetben ki kell vizsgálni, hogy történt-e jogosulatlan hozzáférés az informatikai rendszerhez. A kompromittálódott azonosító helyett az érintett felhasználónak a munkájához szükséges másik azonosítót kell biztosítani.

VI. Adatok és IT rendszerek védelme, biztonsága

1. Jelen fejezet alkalmazása során figyelemmel kell lenni mindenkor hatályos jogszabályok, más szabályzatokban meghatározott tűz-, és személyvédelmi, valamint a személyes adatok kezelésére vonatkozó rendelkezésekre.

2. A jelen fejezet szerinti elvek és feladatok gyakorlati megvalósításának biztosítása az Adatkezelő vezetőjének feladata és felelőssége, míg a tényleges megvalósítás a munkatársak feladata és felelőssége.

3. A tárgyi hatály alá tartozó minden berendezést és adatot a lopás, a rongálás, az illetéktelen felhasználás, valamint megsemmisülés ellen értékarányos módszerekkel és eljárásokkal védeni kell.

4. A fenti előírás gyakorlati megvalósítása:

  • a. fizikai védelem: rácsok, zárak, riasztóberendezés működtetése;
  • b. logikai védelem: jelszavak, adatkódolás, tűzfal, vírusirtó használata, biztonsági mentések.

5. Az infrastrukturális gyengeségek és hiányosságok kivédése érdekében az egyes rendszerek rendelkezésre állási biztonsági osztályba sorolása után gondoskodni kell a megfelelő infrastruktúra biztosításáról.

6. A fenti előírás gyakorlati megvalósítása:

  • a. rendszerek biztonsági osztályba sorolása, amennyiben ez szükségesnek mutatkozik;
  • b. szünetmentes áramellátás, hőmérséklet és páratartalom szabályozó rendszer, beléptető rendszer használata, amennyiben ez szükségesnek mutatkozik.

7. Főszabály szerint az Adatkezelő informatikai rendszeréhez nem az Adatkezelő infrastruktúrájához tartozó (hanem például magántulajdonú) számítástechnikai, elektronikus, kommunikációs vagy multimédiás berendezést vagy adathordozót kapcsolni tilos. Amennyiben az Adatkezelő érdekében szükséges ilyen eszköz használata, úgy az Adatkezelő vezetőjének szóbeli vagy írásbeli engedélyét követő vírusellenőrzés mellett lehet az eszközt csatlakoztatni.

8. Az Adatkezelő tulajdonában lévő, vagy általa bérelt, a területi hatályra behozni, vagy a területi hatályról kivinni szándékozott elektronikai, számítástechnikai berendezések mozgatása kizárólag az Adatkezelő érdekében lehetséges az Adatkezelő engedélyét követően.

9. A javítás céljából Az Adatkezelő objektumaiból kikerülő eszközök esetében biztosítani kell, hogy Az Adatkezelő által kezelt adatok ne kerüljenek ki. Olyan meghibásodott eszközök (pc, mobil eszközök, szerverek, stb.), amelyekben az adathordozók védendő adatokat tartalmazhatnak nem kivihetőek az adathordozó alkatrésszel. Ebben az esetben az adathordozót (merevlemez, statikus memória egység, stb.) a javítás idejére cserealkatrésszel kell a gépben helyettesíteni, vagy ha nem szükséges ez az alkatrész a működéshez, akkor az eredeti adathordozó és cserealkatrész nélkül kell javítási célból kivinni a területről. Az eredetileg használt adathordozót a javítás után vissza kell helyezni az eszközbe, vagy arról az adatokat az új eszközre át kell tenni.

VII. Az adatrögzítés védelme

1. Adatbevitel hibátlan műszaki állapotú berendezésen kell, hogy történjen, tesztelt adathordozóra lehet adatállományt rögzíteni.

2. Olyan szoftvereket kell alkalmazni, amelyek rendelkeznek ellenőrző funkciókkal és biztosítják a rögzített tételek visszakeresésének és javításának lehetőségét is (pl. Word, Excel).

3. Az eszközök, berendezések bejelentkezési azonosítóinak használatával kell szabályozni, hogy ki milyen szinten férhet hozzá a kezelt adatokhoz. (alapelv: a tárolt adatokhoz csak az illetékes személyek férjenek hozzá).

4. Az adatok bevitele során alapelv: azonos állomány rögzítését és ellenőrzését ugyanaz a személy nem végezheti.

VIII. Fizikai belépés ellenőrzése, belépési engedélyek

1. Az Adatkezelő telephelyén 2 biztonsági zóna van elkülönítve:

  • a. alap: folyosó és olyan helyiségek, amelyek nem zártak – a bejutás ellenőrzötten lehetséges.
  • b. fokozott: irodahelyiségek és más zárt helyiségek – ide a bejutás kulccsal lehetséges.

2. Az elektronikus információs rendszereknek helyt adó fokozott területre állandó (rendszeres) belépésre jogosultakról az Adatkezelő nyilvántartást vezet (Belépésre jogosultak listája), és belépési jogosultságot igazoló eszközöket (kulcs) bocsát ki a részükre.

3. Az új belépő munkatársak kulcsokat csak szerződés, a belépéskori oktatás, a titoktartási nyilatkozat aláírása után kaphatnak, ha fokozott területre belépésre jogosultak. A belépő munkatárs új belépési jogosultságait, illetve nem új belépő munkatárs belépési jogosultságainak változtatását az Adatkezelő vezetője határozza meg.

4. A belépésre jogosultak listáját mindig naprakészen kell tartani, akinek a belépése már nem indokolt el kell távolítani a listáról, a belépési jogosultságot igazoló eszközeit (kulcs) vissza kell vonni.

IX. Képzési eljárásrend

1. A felhasználói állományt az informatika biztonság megvalósítása érdekében munkakörüknek megfelelően oktatni, képezni kell. A felhasználói személyi állományt naprakészen képezni kell új rendszerek bevezetésekor. A képzés biztosítása az Adatkezelő vezetőjének feladata, végrehajtása a kijelölt munkatárs, vagy harmadik fél feladata.

X. Eljárás a jogviszony megszűnésekor

1. A munkatárs jogviszonyának megszűnése esetén a munkavállaló felettes vezetője gondoskodik a kilépő információs rendszerrel vagy annak biztonságával kapcsolatos feladatainak ellátásáról a jogviszony megszűnését megelőzően. A jogviszony megszűnésekor a jogviszonyt megszüntető személy gondoskodik arról, hogy a kilépő esetleges elektronikus információs rendszert, illetve abban tárolt adatokat érintő, elektronikus információbiztonsági szabályokat sértő magatartását megelőzze.

2. A Szervezet a kilépő számára igazolja, hogy a hozzáférési jogokat törölte, illetve a felhasználó a Szervezet felé elszámolt. A kilépőt továbbá tájékoztatni kell az esetleg rá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről.

3. A Szervezet meghatározott ideig megtartja magának a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és szervezeti információkhoz.

XI. Azonosítás, hitelesítés

10. Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti a szervezet felhasználóit, a felhasználók által végzett tevékenységet.

11. A Szervezetben alkalmazott informatikai rendszerekben felhasználói azonosítást és hitelesítést kell alkalmazni a jogosulatlan személyek tevékenységének megakadályozása és az elszámoltathatóság megvalósítása érdekében.

12. A hitelesítés a felhasználó állítólagos azonosságának a bizonyítására szolgál. A Szervezet informatikai rendszereiben legalább tudás alapú (jelszavas) hitelesítést kell alkalmazni. A hitelesítési adatokhoz való hozzáférés korlátozása érdekében az ilyen adatokat védeni kell a jogosulatlan megismerés, módosítás, törlés ellen.

XII. Hozzáférés védelem, jogosultság kezelés

1. A Szervezet minden informatikai rendszerében, erőforrásaival, szolgáltatásaival kapcsolatban, az adott eszköz, erőforrás, adat, dokumentumtár stb., a szükséges és elégséges ismeret elvének betartásával kell alkalmazni a hozzáférés-védelmi és a jogosultságkezelési intézkedéseket.

2. A munkaállomásokon és a szervergépeken technikailag is korlátozni kell az „alternatív” bootolási lehetőségeket (pl.: CD, DVD, USB, ethernet stb.). Ezekre az eszközöket csak üzemeltetési / karbantartási / javításai célból lehet olyan rendszerrel működtetni, amely nem az üzemszerűen rátelepített operációs rendszer.

3. A felhasználó szerepkörének megváltozása esetén a jogosultságokat megfelelően módosítani kell.

XIII. Felhasználói fiókok kezelése

1. A felhasználók kizárólag felhasználói jogosultsággal dolgozhatnak a munkaállomásokon, rendszergazdai jogosultságokat nem kaphatnak. Kivételt képeznek e szabály alól azon szakalkalmazások munkaállomásai, ahol a szoftver működéséhez szükségesek az emelt szintű jogok, itt a zavartalan munkavégzés miatt ez engedélyezett. Az így rendelkezésre álló jogokat a felhasználó nem használhatja semmilyen üzemeltetői feladatra (pl.: programok telepítése, leállítása, stb.), csak és kizárólag a szakalkalmazás használata miatt birtokolhatja ezeket!

2. A munkaállomásokon a felhasználók egymással, vagy az Adatkezelő vezetőjével hálózati szolgáltatásként mappákat/fájlokat oszthatnak meg.

3. A felhasználók számára tilos nem engedélyezett erőforrások, szolgáltatások, jogosultságok megszerzése, vagy ennek kísérlete. Tilos más felhasználó munkájának zavarása, anyagaikhoz történő bármilyen illetéktelen hozzáférés vagy annak kísérlete.

4. A hozzáférés-védelmi és jogosultság-kezelési elemek, alrendszerek megbízható adminisztrálása érdekében a felhasználói hozzáféréseket megvalósító rendszerek működtetését (ahol a technológia lehetővé teszi) megbízható módon naplózni, és a naplótartalmat az engedélyezett jogosultság igénylések alapján ellenőrizni kell.

5. A munkaállomás adminisztrátorát (Adatkezelő vezetője vagy informatikus) értesíteni kell, ha:

  • a. a felhasználói fiókokra már nincsen szükség,
  • b. a felhasználók kiléptek vagy áthelyezésre kerültek,
  • c. csoport felhasználói fiókok esetén, ha a csoport tagjai megváltoznak,
  • d. az elektronikus információs rendszer használata vagy az ehhez szükséges ismeretek megváltoztak.

XIV. Külső rendszerekből történő hozzáférés szabályozása

1. Távoli hozzáférést kaphatnak a Szervezet azon munkatársai, akik a Szervezet által biztosított, távoli munkavégzésre alkalmas eszközzel rendelkeznek.

2. A távoli hozzáféréshez használt azonosítókat, jogosultságokat az Adatkezelő vezetője, vagy az általa e feladattal megbízott munkatárs dokumentáltan adja ki, az azonosítóért felelős személy pontos meghatározásával. Az azonosító átvételét az azonosítóért felelős személy aláírásával igazolja.

3. A távoli hozzáférésű munkaállomások biztonságáért minden esetben a távoli gép felhasználója és/vagy üzemeltetője a felelős, így felelős a távoli gépről a Szervezet infrastruktúrájában végrehajthatott cselekményekért is.

4. A Szervezet informatikai infrastruktúrája távoli elérése csak titkosított kapcsolaton keresztül történhet. A rendszerhez történő csatlakozás csak a szükséges időre korlátozódhat, a munka végeztével a kapcsolatot bontani kell.

XV. Elektronikus levelezés (e-mail)

1. Az e-mail szolgáltatás a Szervezet által a felhasználók részére a Szervezeti elektronikus levelezés céljaira biztosított eszköz. Az e-mail rendszer, valamint a rendszerben előállított, elküldött és megkapott levél is a Szervezet felügyelete alá tartozik.

2. Az Adatkezelő e-mail rendszerén mindennemű jogszabályellenes tartalom továbbítása és tárolása tilos!

3. Az Adatkezelő nevében folytatott elektronikus levelezésre kizárólag az erre a célra biztosított elektronikus levelezési cím, a rendszeresített levelező (kliens) program, illetve ezen csak az engedélyezett levelezési szolgáltatás használható. A beállítások (működési paraméterek) meghatározásáért és beállításáért az e feladattal megbízott munkatárs/informatikus a felelős.

4. Az elektronikus levelező rendszerben tárolt és továbbított dokumentumok elektronikus kezelésénél is be kell tartani az érvényben lévő ügyviteli, iratkezelési és adatkezelési szabályokat.

5. Minden elektronikus postaládával rendelkező felhasználó köteles elektronikus postaládájának tartalmát figyelemmel kísérni oly módon, hogy legalább a munkakezdéskor és a munkavégzés befejezését megelőzően meggyőződjön róla, hogy érkezett-e új üzenete, és amennyiben igen, akkor azokat érkeztesse, kezelje (tekintse meg, tegye meg a szükséges egyéb intézkedéseket).

6. Az elektronikus levelező rendszer használata során nem megengedett:

  • a. nagy mennyiségű és méretű, személyes jellegű üzenetek küldése;
  • b. kéretlen reklámok és hirdetések közzététele;
  • c. a felhasználóknak a Szervezeti e-mail címüket nem hivatalos minőségben használni (pl.: regisztráció letöltési weboldalak, online játék oldalak, stb.);
  • d. a levelek fejlécének megváltoztatása, hamis levelek küldése;
  • e. olyan üzenetek, illetve csatolt fájlok küldése, továbbítása, amelyek törvénytelenségeket vagy arra való felhívást tartalmaznak, fenyegetőek, összességében sértik az Adatkezelő jó hírét, általánosan elfogadott erkölcsi szabályba vagy jogszabályba ütköznek
  • f. a tévesen címzett, másnak szóló levelek felhasználása;
  • g. a Szervezet által biztosított e-mail címre érkező üzenetek átirányítása külső (nem a Szervezet elektronikus levelező rendszerében létrehozott) e-mail címre, kivéve, ha ez a működéshez szükséges és az Adatkezelő vezetője előzetesen jóváhagyta.

7. A levelezési rendszer személyes célokra nem használható, kivéve, ha az Adatkezelő ez alól engedélyt adott. Ilyen esetben a magáncélú levelezést külön kell kezelni és a biztonsági mentés arra nem terjed ki.

8. Az elektronikus levelek címzése során minden felhasználónak körültekintően kell eljárnia az alábbiak figyelembevételével:

  • a. Csoportos levelező, elosztási lista (pl. „mindenki”, „x osztály”, „Szervezeti dolgozók”) alkalmazása során meg kell győződni arról, hogy valóban szükséges-e minden, a csoportba tartozó címzett részére elküldeni az üzenetet.
  • b. Titokvédelmi vagy egyéb biztonsági, bizalmassági okokból, amennyiben a levelek címzettjei nem szerezhetnek tudomást egymásról vagy egymás e-mail címéről, akkor a levél „Titkos másolat” („BCC”: Blind Carbon Copy) kategóriáját kell alkalmazni a címzés során.

9. A postaládára vonatkozó korlátozások:

  • a. Az e-mail felhasználó postaládájának mérete korlátos, melynek méretét az Adatkezelő vezetője határozza meg a technikai lehetőségek figyelembe vételével.

10. Ha a felhasználó postaládájának telítettsége eléri:

  • a. a megengedett postaláda-méret 80%-át, akkor a felhasználó egy felhívást kap postaládájának ürítésére vagy archiválására;
  • b. a megengedett postaláda-méret 100 %-át, akkor a felhasználó további üzenetet nem képes fogadni és küldeni sem.

11. Amennyiben a Szervezeti levelezésben – pontos címzés mellett – az elektronikus levelező rendszertől a kézbesítés során kézbesíthetetlenségre utaló hibajelzés érkezik, akkor a felhasználónak fel kell tárnia ennek okát annak érdekében, hogy üzenete ne veszhessen el.

12. Az egye elektronikus levelek méretét, valamint a levélhez csatolt fájlok típusát az Adatkezelő vezetője/informatikus korlátozhatja a rosszindulatú kódok terjedésének megakadályozása céljából és azért, hogy biztosítsa a levelezés megfelelő szolgáltatási szintjét. A korlátozás miatt nem továbbított levelekről, csatolt fájlokról a küldő értesítést kell, hogy kapjon.

13. Ismeretlen feladótól érkező, gyanús, csatolt fájlt tartalmazó, vagy ismeretlen linket ajánló (pl.: idegen nyelvű, láthatóan reklámcélú, olyan dokumentumra hivatkozó, amiről a címzett nem tud) elektronikus üzenetek csatolmányait illetve a kapott linkeket nem szabad megnyitni, e leveleket törölni kell.

XVI. Az informatikai rendszerek üzemeltetése

1. Tilos a felhasználóknak a hálózat kábeleinek szándékos kihúzása a fali csatlakozóból vagy a gépből. Számítástechnikai eszközt és tartozékait helyéről elvinni az Adatkezelő vezetőjének tudta és engedélye nélkül tilos!

2. A számítástechnikai/informatikai eszközöket, berendezéseket rendeltetésszerűen kell használni: példálózó felsorolással élve a számítógépen és perifériáin papírokat és egyéb tárgyakat tárolni nem lehet, a szellőző nyílásokat szabadon kell hagyni, a billentyűzetet védeni kell a szennyeződésektől, a számítógép közelében enni-inni, dohányozni nem szabad.

XVII. Szoftverhasználat korlátozásai

1. Az Adatkezelő bármely informatikai eszközeire TILOS illegális és/vagy nem jogtiszta szoftvert telepíteni!

2. Illegális szoftverek használata esetén a felhasználóval szemben felelősségének megállapítása érdekében fegyelmi, kártérítési, illetve egyéb eljárás indulhat.

3. Egy szoftver/alkalmazás telepítését megelőzően a vírusvédelmi célokra üzembe állított eszközzel meg kell vizsgálni a szoftver/alkalmazás esetleges vírusfertőzöttségét. Amennyiben technikailag/technológiailag lehetséges, úgy az új szoftvercsomagról biztonsági másolatot kell készíteni. Az installálást csak a munkapéldányról szabad végezni. Az eredeti példányt biztonságos helyen kell tárolni.

XVIII. Felhasználó által telepíthető szoftverek

1. A felhasználók az informatikai eszközöket Szervezeti munkavégzés céljára kapják. A felhasználók jogosultsága a belső hálózaton csak az informatikai üzemeltetésért felelős szervezeti egység által telepített egységes irodai alkalmazások és szolgáltatások használatára, illetve a munkájukhoz szükséges alkalmazói programok futtatására terjed ki. A Szervezet informatikai infrastruktúráját magán célú használatra igénybe venni tilos! Ettől eltérni csak az Adatkezelő vezetőjének engedélyével, akkor is kizárólag mobil eszközök esetében szabad (okostelefon, notebook, tablet, mobiltelefon, mobil adathordozók).

XIX. Adathordozók védelmére vonatkozó eljárásrend

1. Az Adatkezelő által használt hordozható külső adattárolókat (USB pendrive-ok, memóriakártyák, hordozható hdd-k és ssd-k) egyedi azonosítóval kell ellátni, kivételt képeznek ez alól az optikai adathordozók (CD, DVD) és a floppy lemezek, amely tárolók csak számszerűen kerülnek nyilvántartásba. Az egyedi azonosítóval ellátott hordozható adathordozók pontos helyéről naprakész nyilvántartást kell vezetni.

2. A használni kívánt adattárolót a tárolásra kijelölt helyről kell kivenni és használatot követően oda kell visszahelyezni. A munkaasztalokon csak azok az adathordozók lehetnek, amelyek a munkavégzéshez szükségesek.

3. Fontos adatokat tartalmazó adathordozókról másolatot kell készíteni, melyet egymástól elkülönítetten, lehetőleg külön szobában jól zárható lemezszekrényben kell elhelyezni.

XX. Adathordozók használata, hozzáférés az adathordozókhoz

1. Az informatikai rendszerekben kezelt adatok, dokumentumok bizalmasságát, hitelességét, sértetlenségét és rendelkezésre állását biztosítani kell, ezért az Adatkezelő nyilvántartást vezet az egyes adathordozó típusokhoz való hozzáférésre feljogosított személyek köréről, valamint jogosítványuk tartalmáról. A nyilvántartást rendszeres időközönként felülvizsgálja, aktualizálja.

2. Minden felhasználónak kötelessége az adattárolók rendeltetésszerű használata. Az Adatkezelő adathordozói csak a munkavégzéshez szükséges adatok és szoftverek tárolására hivatottak.

3. Meghibásodás esetén a munkatársak kötelesek jelenteni azt az Adatkezelő vezetője felé. A további felhasználásra alkalmatlan adathordozókat fizikai roncsolással használhatatlanná kell tenni. A bizalmas adatokat tartalmazó adathordozókról törlő programokkal kell az adatokat eltávolítani, majd ezt követően kell fizikailag megsemmisíteni.

XXI. A felhasználók adatainak mentése

1. A felhasználók munkaállomásokon lévő privát adatait a mentési eljárások nem kezelik, nem kezelhetik. A felhasználók a munkájukhoz tartozó fontos dokumentumokat a fájlszerverek megfelelő kijelölt területein kötelesek tárolni!

XXII. Rendszer- és információsértetlenségre vonatkozó eljárásrend

1. A biztonsági események olyan események, melyek eltérnek a megszokott ügymenettől, zavarokat okozhatnak és fenyegethetik az információk, illetve az információ feldolgozó eszközök bizalmasságát, sértetlenségét és rendelkezésre állását.

2. Az információbiztonsági incidensek az Adatkezelő vezetője által minősített olyan biztonsági események, melyek ténylegesen fenyegetik az információk, illetve az információ feldolgozó eszközök bizalmasságát, sértetlenségét és rendelkezésre állását.

3. Minősített incidens a hibás működés, mely a rendszerelemek (hardverek, szoftverek, adathordozók) rendeltetésszerű használata közben fellépő, normál működéstől eltérő működését jelenti.

4. A védelem gyenge pontjai a rendszer, a folyamatok illetve az abban részt vevő személyek olyan tulajdonságai, hiányosságai, melyek biztonsági incidensek kialakulásához vezethetnek.

5. Biztonsági eseményt, illetve a védelem gyenge pontjait a Szervezet minden felhasználója, a rendszereket használó szerződött partnere és a projektekbe bevont harmadik felek észlelhetik, illetve annak létét feltételezhetik. Biztonsági eseményre utaló jelek lehetnek többek között:

  • a. Adatok, információk, fájlok eltűnése, módosulása
  • b. Információ feldolgozó eszközök, adattárolók eltűnése, rongálódása
  • c. Információ feldolgozó eszközök megszokottól eltérő működése
  • d. Adatátvitel szokásostól eltérő lelassulása
  • e. Bizalmas információk nem ellenőrzött, külső csatornából történő visszahallása

6. Elsődleges szabály, hogy az információbiztonsági incidensek gyanújának felmerülésekor (incidens észlelésekor) azonnal értesíteni kell az Adatkezelő vezetőjét. Tilos az incidens körülményeit vizsgálni illetve megkísérelni, elhárítani azt!

XXIII. Kártékony kódok elleni védelem

1. A lehetséges informatikai biztonsági fenyegetések közül igen jelentős kockázatot jelentenek a rosszindulatú programok és kódok, a levélszemetek (spam), és a káros Internet tartalmak. A felsorolt negatív elemek ellen számos technológiai eszközzel lehet védekezni, ilyenek a biztonságos átjárók, tűzfalak, vírusvédelmi eszközök, levélszemét szűrő szoftverek.

2. Az Adatkezelő a számítógépes hálózatát, szervereit és munkaállomásait folyamatosan, illetve az adott számítástechnikai eszközt a felhasználó jelzése alapján vírusvédelmi szempontból figyeli. A vírusfertőzés ellenőrzéséről és annak eredményéről nyilvántartást vezet (a legtöbb vírusvédelmi rendszer ezt magától megteszi).

3. Valamennyi felhasználónak kötelessége minden tőle telhetőt megtenni annak érdekében, hogy olyan fájl (szoftver, dokumentum stb.), amely rosszindulatú kódot, tartalmat tartalmaz, ne kerüljön fel sem a felhasználók munkaállomásaira, eszközére, sem pedig a hálózati adattárolókra.

4. A fentiek miatt mind a munkaállomásokon, mind a szervereken védelmi szoftvereket kell alkalmazni. A határvédelem folyamatára az alábbi szabályok érvényesek:

  • a. A vírusvédelemnek a klienseken rezidens módon kell futniuk azaz, a rendszer indulásakor automatikusan indul a program, illetve folyamatosan vírusellenőrzést kell végrehajtani a klienseken, amely vizsgálatok eredményét ellenőrizni kell. A vírusvédelemnek a rendszer alábbi komponenseire kell kiterjednie: fájlok, rendszeradatok, webes és email hálózati forgalom.
  • b. A felhasználóknak a vírusvédelmi alkalmazások működését tilos leállítani!
  • c. A felhasználónak tilos vírusirtót, személyes tűzfalat, vagy egyéb biztonsági szoftvert telepítenie.
  • d. Külső helyekről származó adattárolókat használat előtt vírusellenőrzésnek kell alávetni és csak akkor lehet használni, ha az adathordozó a vizsgálaton megfelel.
  • e. Vírusfertőzés gyanúja vagy nem üzemszerű működés esetén a felhasználóknak haladéktalanul értesítenie kell az Adatkezelő vezetőjét/informatikust.
  • f. Vírusfertőzés gyanúja esetén az Adatkezelő vezetője, az informatikus vagy az Adatkezelő vezetője által megbízott munkatárs a fertőzött gépet lezárhatja, annak használatát a hiba elhárításáig felfüggesztheti.

XXIV. Egyebek

1. Jelen szabályzat a kiadás napján lép hatályba. Módosítására jogosult az Adatkezelő vezetője.

Kelt: 2018. május hó 1. nap

Nagy Gábor Márton
Ügyvezető Igazgató
PNGN Kft.