5.2. Informatikai Biztonsági Szabályzat

Az IBSz célja a technológiai megoldások részletezése nélkül, általánosan meghatározni az informatikai erőforrások biztonságos működéséhez szükséges feltételeket, a feladat- és felelősségi köröket. Az informatikai vezető és az informatikai biztonsági ellenőr készíti el, és a vállalat vezetője adja ki. A szabályozás az általános élethelyzetekre vonatkozik, speciális esetekben a szabályozás szellemének megfelelően kell eljárni.

Elkészítése során figyelembe venni a szervezet más szabályzataival, úgymint Munkavédelmi előírás, Tűz- és vagyonvédelmi szabályzat, való összefüggéseket, valamint követni kell a magasabb szintű szabályozásokat.

Személyi hatálya kiterjed a vállalat informatikai szolgáltatásaiban részt vevő munkatársaira, akik az informatikai alkalmazás folyamatában, mint szolgáltató vagy felhasználó, részt vesznek. Különösen fontosak a rendszer- valamint az adatgazdák jogait és kötelességeit meghatározó fejezetei.

Tárgyi hatálya alá tartoznak a vállalat tulajdonában lévő, illetve az általa használt számítástechnikai berendezések, beleértve a szoftvereket is, a feldolgozás alatt lévő, tárolt és a feldolgozás során létrejött adatok, adathordozók. Részét képezik a következő típusú eszközök: passzív adatátviteli vonalak (típusuk szerint Ethernet, Token Ring, FDDI, ATM szegmensek, optikai és hagyományos összeköttetések), csatlakozók. Hatálya kiterjed a hálózati aktív elemekre (repeaterek, bridge-ek, switchek, routerek, transceiverek, modemek. terminál-szerverek), továbbá minden hálózatra kötött számítógépes munkahelyre (PC, workstation, terminál, hálózati nyomtató) és szerverre függetlenül attól, hogy az mely egység használatában van. Az IBSz előírja miden érintett dolgozó felelősségét a gondjaira bízott nagy értékű eszköz vagyonvédelmével kapcsolatban.

Az informatikai rendszerbe állított ügyviteli szoftverek esetében tesztelési folyamatot kell lefolytatni. Más, nem a vállalat, által fejlesztett szoftver esetén csak jogtiszta forrásból származós szoftver telepítése végezhető el. A szoftver telepítését ezekre a gépekre csak az informatikai felelős végezhet, vagy ha ez nem lehetséges, akkor a telepítés csak az informatikai felelős tudtával és írásbeli beleegyezésével történhet. Nem jogtiszta, vagy vírusos programok feltelepítéséből származó károkért az azt okozó dolgozó felelősséggel tartozik.

Az informatikai rendszer adatbázis elemeit, vagyis a felhasználói programrendszerek által létrehozott illetve felhasznált adatokat két üzembiztonsági zavar veszélyezteti. Egyrészt a hardver meghibásodása révén sérülhet fizikailag az adathordozó, ez adatvesztést jelenthet. Másrészt a szoftver (operációs rendszer vagy felhasználói program) meghibásodása miatt logikailag sérülhet az adatbázis, ez jelenthet adatvesztést vagy adat meghibásodást.

5.2.1. Biztonsági fokozat

Az IBSz fontos feladata az informatikai berendezések és adatok biztonsági osztályba sorolása. A klasszifikáció a munkahelyekre és munkahelycsoportokra vonatkozik, a vállalat méretétől és szervezetének bonyolultságától függően az egyes egységek besorolása lényegesen eltérhet. Természetes például, hogy a központi szerverek és tárolók esetén sokkal magasabb biztonsági fokozatot kell alkalmazni, mint az adatrögzítői munkahelyeken. Az adatok minősítése, a hozzáférésre jogosultak körének és a hozzáférés módjának meghatározása az adatgazda joga és felelőssége. Az eszközök valamint a rajtuk tárolt adatok értékének függvényében az alábbi biztonsági fokozatokat szokás megkülönböztetni:

  • alapbiztonság: általános informatikai feldolgozás (nyilvános és személyes adatok),

  • fokozott biztonság: szolgálati titok, átlagos mennyiségű különleges adat informatikai feldolgozása (bizalmas adatok),

  • kiemelt biztonság: államtitok, nagy mennyiségű különleges adat informatikai feldolgozása (titkos adatok).

Szükség esetén természetesen ettől finomabb osztályozás is készíthető. Általános elv azonban, hogy minél magasabb a biztonsági szint annál részletesebben és pontosabban kell meghatározni a biztonsági előírásokat. Ki és milyen feltételekkel módosíthatja a hardverkonfigurációt és telepíthet új szoftvert. Meg kell határozni a hozzáférési jogosultságokat és eljárásokat, a naplózás módját és időbeli hatályát.

5.2.2. Védelmi intézkedések

A továbbiakban áttekintjük, hogy milyen védelmi intézkedésekről rendelkezik az IBSz. Ezek átfogják az informatikai rendszer minden elemét az infrastruktúrától kezdve, a felhasználókon keresztül a hálózati szolgáltatásokig. A védelmi intézkedések munkahelytől, pontosabban a munkahely biztonsági fokozatba sorolásától függő.

5.2.2.1. Infrastruktúra

Elsőként az informatikai infrastruktúra elhelyezésével, fizikai veszélyforrásokkal szembeni védelmével foglalkozunk. Vagyonvédelmi szempontból is fontos, hogy azok az irodák, ahol az informatikai eszközök találhatóak, csak az épület belseje felől legyenek megközelíthetőek. Az ajtókat kulccsal vagy naplózott belépést biztosító beengedő rendszerrel zárják. A földszinti ablakok ráccsal vagy biztonsági üveggel védettek.

Az épületbe, illetve onnan ki csak és kizárólag szállítólevélben szereplő informatikai eszköz vagy alkatrész szállítható. Az informatikai eszköz kiszállítása csak és kizárólag az eszköz leltározásáért felelős vagy az általa előzetesen megbízott munkatárs írásos hozzájárulásával történhet. Ez az eljárás kötelezően kiterjed a meghibásodott alkatrész csere után történő elszállítására is!

A nem a vállalat tulajdonában álló – bérelt vagy vásárolt szolgáltatást nyújtó – informatikai eszközök elhelyezésekor jelölni kell az eszközön, hogy az harmadik fél tulajdona, feltüntetve a tulajdonos nevét, elérhetőségét. Ezeket az eszközöket csak és kizárólag a harmadik fél jogosult be-, illetve kiszállítani, de a kiszállítás tényét szállítólevélen igazolnia kell, és azt át kell adnia a kijelölt munkatársnak. Rendelkezni kell arról, hogy a munkatársak bevihetik-e és ha igen akkor milyen feltétellel a munkahelyükre a tulajdonukban vagy a náluk tartós használatukban levő berendezéseket. A szabályozás a mindent megengedéstől a teljes tiltásig sokféle lehet, valamint függhet a munkahelytől és beosztástól is. A döntésnél azt kell mérlegelni, hogy a vállalat informatikai rendszere mennyire védett az adatok illetéktelen letöltésével szemben.

Szabályozni kell a hibaelhárítás felelőseit és módját. Meg kell tehát határozni, hogy meghibásodás esetén ki illetékes intézkedni. Ebben a vonatkozásban is nagyon széles a skála. Sem anyagi, sem adatvédelmi szempontból nem mindegy ugyanis, hogy egy terminál, valamelyik központi vagy egy fontos hálózati egység romlik el.

Az erkölcsileg vagy fizikailag amortizálódott berendezések selejtezésének módját is szabályozni kell. A leselejtezett berendezéseket megsemmisíthetik, eladhatják a dolgozóknak, más szervezetnek esetleg felajánlhatják iskoláknak vagy karitatív célra. Minden esetben biztosítani kell azonban a berendezéseken tárolt adatok végleges törlését. Azokat az adathordozókat, amelyeken érzékeny adatokat tároltak nem ajánlatos törlés után tovább adni, hanem ellenőrzött módon meg kell semmisíteni.

5.2.2.2. Felhasználói jogok kezelése

A felhasználói életciklus kezelése fontos része az IBSz-nek. Ajánlatos különválasztani a jogok kiosztásáért felelős és azt technikailag végrehajtó személyeket. Egyszerűbben kifejezve ne a rendszergazda döntse el egy felhasználó jogosultságait, hanem az adatgazda kezdeményezésére tegye meg azt. Célszerű minden akciót visszakereshető módon és stílszerű módon elektronikus formában naplózni.

Felhasználó felvétele

Új felhasználó hozzáférési igényét, az illetékes szervezet vezetője kezdeményezi az informatikai szolgáltatásért felelős egység felé, amely végrehajtja a szükséges lépéseket. A kezdeményezésre célszerű formanyomtatványt tervezni, amely lehet papír alapú, de jobb az elektronikus alapú. A kezdeményező kötelessége, hogy a felhasználó munkaköréhez kapcsolódó szerepeket meghatározza úgy, hogy az egyes hozzáférési rendszerek kikényszeríttet hozzáférési megoldást biztosítsanak, azaz a felhasználó csak azokhoz az adatokhoz férhessen hozzá, melyekhez az adatgazda számára hozzáférést engedélyezett. A felhasználónak ne legyen módja az adatokhoz kapcsolódó hozzáférési szabályok módosítására.

A felhasználót tájékoztatni kell az informatikai rendszer használatának szabályairól. Későbbi viták elkerülése végett célszerű a tájékoztatás megtörténtét és azt, hogy a felhasználó tudomásul veszi a rá vonatkozó szabályokat, írásban is rögzíteni. Különösen fontos ez abban az esetben, ha a felhasználónak rendszeresen módosítania kell az azonosítóját, vagy ha a munkakör biometrikus azonosító alkalmazásához kötött. Tudatosítani kell a dolgozókban, hogy a munkatársakkal közös, illetve mások által ismert jelszavak, azonosítók használata a személyes felelősség átvállalásával egyenlő.

Felhasználói jogok módosítása

A munkavállaló új beosztása kerülhet, új projekt végrehajtására kaphat megbízást vagy a vállalat új alkalmazásokat vezet be. Mindezek, de sok hasonló esemény is szükségessé teheti felhasználói jogok és szerepek módosítását. Ezt általában a felhasználási jogot biztosító eljárási szabályok megtartása mellett, az érdekelt adatgazda igényelheti az informatikai szervezettől.

Előfordul, hogy a munkavállaló hosszabb-rövidebb ideig távol van, például szabadságra megy, vagy hosszabb továbbképzésen vesz részt. Ilyenkor szükség lehet a jogai ideiglenes felfüggesztésére, illetve arra, hogy a szerepét, pontosabban az általa vitt ügyeket, helyettes vegye át. Egy kórházban például egy beteg kórlapjához csak a kezelőorvosa és annak felettesei férhetnek hozzá. Amikor a kezelőorvos hosszabb ideig távol van, más orvosnak kell átvenni a beteg kezelését. Ilyenkor hozzá kell férnie a beteg kórlapjához és azt saját nevében tovább kell vezetnie.

Gyakori probléma, hogy egy felhasználó elfelejti a jelszavát. Ilyenkor nem célszerű az új felhasználó belépésekor alkalmazott eljárás megismétlése, hanem biztosítani kell, hogy az azonosságának bizonyítása után az informatikai részlegtől új jelszót kapjon a korábbi jogosítványainak megtartása mellett.

Megtörténhet az is, hogy a felhasználó elveszíti az azonosítóját, esetleg megsemmisül vagy kompromittálódik az. Sok azonosító semmisülhetett meg például a 2010-es árvizek vagy a vörösiszap katasztrófa következtében. Ilyenkor haladéktalanul le kell tiltani az azonosító használatát és a felhasználónak újat kell kiadni.

Felhasználó törlése

Felhasználó törlését minden esetben a felhasználási jogot biztosító eljárási szabályok megtartása mellett az adott szervezet munkaügyi és személyi ügyeit intéző, nyilvántartásokat vezető szervezetének értesítése mellett az adatgazda kezdeményezheti. A felhasználó törlése lehetséges egy alkalmazásból, vagy kilépés esetén minden alkalmazásból. Az adatgazdának rendelkeznie kell a felhasználó feladatköréhez rendelt adatok kezeléséről. Az adatokat át lehet helyezni más felhasználó kezelésébe, a helyettesítésre kijelölt felhasználó jogosultságainak módosításával. Mód van az adatok archiválására vagy akár törlésére is. A követendő eljárásról minden esetben az adatgazda köteles dönteni.

Tilos a felhasználó törlése addig, míg kezelésében adatok vannak. Munkahelyről való kilépés esetén a dolgozó adatainak tárolására vonatkozó ok megszűnik, így az adatvédelmi törvény szerint a rá vonatkozó személyes adatokat, beleértve a felhasználói életciklusára vonatkozó személyes adatokat is, törölni kell. Ez természetesen nem jelenti az általa készített dokumentumok vagy a munkavégzése során keletkezett naplóbejegyzések törlését.

Hozzáférési rendszer naplózási követelménye

Jól szervezett informatikai rendszeren a felhasználói akciókat: bejelentkezéseket, kijelentkezéseket és szerepkör váltást; a felhasználói azonosító és jogosultság módosításával, cseréjével kapcsolatos tevékenységeket naplózni kell. Tilos a felhasználói jelszavak naplózása.

Fokozott védelmet igénylő rendszerek esetén naplózni kell a felhasználó nevében végrehajtott állomány hozzáféréseket, és tranzakciókat is.

5.2.2.3. Szoftver

A vállalatok által használt szoftverek beszerzéséről és telepítéséről általában az informatikáért felelős egység gondoskodik. A számítógépre történő szoftvertelepítést csak az adott alkalmazás rendszergazdája, vezetői utasításra végezheti el. Felhasználó a munkahelyi számítógépére más szoftvert sose tegyen fel. Szoftverek másolása egyik gépről a másikra, illetve bármilyen más adathordozóra tilos, ha azt nem a munkafolyamatok követelik meg. Ilyen feladatok végrehajtásánál mindig meg kell győződni a szoftverek jogvédelmének érvényre jutásáról. A vállalatnál használatos minden programról biztonsági másolatot, illetve munkamásolatot kell készíteni. A munkamásolatokat a biztonsági másolatoktól elkülönült helyen - lehetőleg egy másik tűzszakaszban - kell tárolni.

A vállalat valamennyi munkavállalója, aki munkavégzése során számítógépet használ vagy üzemeltet, felelős azért, valamint köteles meggyőződni arról, hogy a számítógépen csak jogtiszta szoftver legyen található. A vállalat tulajdonában lévő számítógépeken használt szoftverek is a vállalat tulajdonát képezik. Eltulajdonításuk, még a saját számítógépre való telepítés is, törvénybe ütközik.

Bizonyos munkahelyeken szükséges lehet internetről letöltött, szabad szoftver használata. Ebben az esetben a műveletet elvégző dolgozó felelőssége, hogy a letöltött szoftverrel együtt ne kerüljön kártékony program a vállalat informatikai rendszerébe. Ezen kívül azt is biztosítani kell, hogy az új szoftver ne akadályozza a többi működését.

5.2.2.4. Adathordozó

A vállalat tulajdonában lévő adathordozókat nem szabad személyes célokra használni, és saját adathordozót sem ajánlatos a munkahelyi számítógéppel kapcsolatba hozni, a vírusok esetleges fertőzései miatt. Adathordozókon lévő adatok csak vezetői engedéllyel másolhatók. A dolgozók felelőssége a gondjaikra bízott adathordozók fizikai védelme. Óvni kell ezeket a mágneses környezettől, a nedvességtől, karcolódástól, bárminemű folyékony anyagtól (italok, virágok öntözésére szolgáló víz, vegyszerek) és fokozottan védeni a porszennyeződésektől.

Az ügykezelés szabályai szerint minősített adatokat csak nyilvántartott adathordozóra szabad felvinni. A nyilvántartott adathordozókat külön azonosítóval kell ellátni, ezeknek az azonosítóknak a feldolgozási, felhasználási folyamat végéig egyértelműen azonosíthatóknak kell lenniük és az ügyviteli előírások szerint kell őket kezelni. Minősített adatokat tároló hordozókat tilos felügyelet nélkül nyílt helyen tárolni, vagy akár rövidebb időre ott hagyni. Az adatokról másolatok csak a munkafolyamatra vonatkozó előírásokkal összhangban készíthetők.

Sérült vagy hibás adathordozókat, amelyekre az operációs rendszer hibát jelez, újra felhasználni szigorúan tilos. Olyan adathordozókon, amelyekről csak adatokat olvasunk be, és nem akarjuk az adatokat módosítani, illetve menteni, minden esetben kapcsoljuk be az írásvédelmet.

Az adathordozókat használaton kívül minden esetben zárjuk el egy biztonságos szekrénybe, illetve adjuk vissza a raktárnak vagy archívumnak. A leselejtezett adathordozókat fizikailag meg kell semmisíteni. Ezen adathordozók mind munkahelyi, mind otthoni használata tilos. A minősített adatokat tartalmazó selejt adathordozókat és számítógépes listákat zúzással kell megsemmisíteni.

5.2.2.5. Dokumentum

A számítógépen lévő dokumentumok védelmére a hardver és szoftver eszközökre vonatkozó eljárások vonakoznak. A dokumentumok adatok is, melyekre adatként is kell vigyázni. A papíron lévő dokumentumokat a levéltárban, azaz biztonsági rendszerrel őrzött szobában tároljuk.

Az informatikai rendszer biztonságának meghatározó tényezője az események visszakövethetősége, rekonstruálhatósága a felelősségek megállapíthatósága. Ennek megfelelően fontos, hogy a szükséges dokumentálási feladatokat folyamatosan ellássuk, illetve a rendszerek saját naplóállományait megfelelően kezeljük. Minden olyan eseményt, amelyik eltér a megszokott üzemviteltől, pontosan naplózni kell. A naplónak tartalmaznia kell az esemény pontos leírását.

5.2.2.6. Adatok

Hozzáférés-védelem: A számítógépeken levő adatok védelme érdekében, a számítógépes védelmi rendszerek megfelelő alkalmazása minden felhasználó alapvető kötelessége. Az informatikai eszközök a feldolgozott, illetve tárolt adatok védelmi kategóriája által meghatározott szintű hozzáférés védelmet biztosító védelmi eszközökkel vannak ellátva. Ennek megfelelően jelszavakat, illetve jogosultságigazoló eszközöket kell kezelni. Az adatokhoz csak érvényes, személyre szóló, azonosítható jogosultsággal - legalább felhasználói névvel és jelszóval - lehet hozzáférni. Hálózati erőforrásokhoz csak érvényes felhasználói névvel és jelszóval lehet hozzáférni. A jelszavak cseréjéről rendszeresen gondoskodni kell. A jelszó és a jogosultságazonosító eszköz szigorúan személyhez kötött!

A felhasználóknak saját adataik védelméről a rendelkezésre álló eszközök megfelelő használatával kell gondoskodnia. A számítógépekbe való bejelentkezéshez használt jelszavaikat (password) úgy kell megválasztaniuk és kezelniük, hogy ahhoz más ne juthasson hozzá. Különösen ügyelniük kell az otthoni hozzáféréssel rendelkező felhasználóknak arra, hogy illetéktelenek ne jelentkezhessenek be a telephelyi hálózatba az ő felhasználónevük és jelszavuk felhasználásával.

Fokozott, illetve kiemelt védelmi kategóriába sorolt munkahelyeken speciális azonosító-, jogosultságigazoló eszközöket alkalmazzunk. Ezek használatára mindig egyedi szabályzatok vonatkoznak, melyek pontos megismerése, és precíz betartása minden felhasználó fontos kötelessége.

Ezen eszközök kezelésének általános követelményei:

  • Az azonosítóeszköz át nem ruházható, csak tulajdonosa használhatja.

  • Az azonosítókat tilos felügyelet nélkül hagyni, a számítógépes munkahely rövid idejű elhagyása esetén is!

  • Az azonosítókkal kapcsolatos PIN-kódok kezelésében is érvényesíteni kell a jelszavak használatára vonatkozó normákat.

  • Tartós távollét esetén (szabadság, kiküldetés) a helyi szabályzásnak megfelelően gondoskodni kell a védelmi eszközök őrzéséről. Ez általában az azonosító zárt borítékban, az e feladattal megbízott személy által felügyelt lemez-, illetve páncélszekrényében történő elhelyezését jelenti.

  • Az azonosító elvesztését azonnal jelezni kell az alkalmazás rendszergazdája felé.

Az adatok és programok védelméről azok rendszeres mentésével kell gondoskodni. A mentések gyakoriságát úgy kell megállapítani, hogy az adatok esetleges műszaki hiba, vagy más ok miatt való sérülése, megsemmisülése esetén azok lehetőleg minimális veszteséggel visszaállíthatók legyenek. Különös gondossággal, és megfelelően sűrűn kell menteni a több dolgozó által használt, illetve több szervezet dolgozói által is használt központi szerver gépek programjait és adatállományait.

A számítógépen, illetve hálózaton tárolt személyes adatok biztonsága érdekében, különösen az alábbi intézkedéseket kell foganatosítani:

Tükrözés: A hálózati kiszolgáló gép (a továbbiakban- szerver) a személyes adatok elvesztésének elkerülésére folyamatos tükrözéssel biztosítható egy tőle fizikailag különböző adathordozón.

Biztonsági mentés: A személyes adatokat tartalmazó adatbázisok aktív adataiból rendszeresen – például a bér- és munkaügyi nyilvántartás, valamint a személyzeti nyilvántartás anyagából havonta - kell külön adathordozóra biztonsági mentést készíteni. A biztonsági mentést tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni.

Az adatok védelmének következő módja a hibatűrő adattároló eszközök használata. Az ilyen típusú redundáns eszközöket RAID szintek szerint szokás csoportosítani (RAID, Redundant Array of Inexpensive Disks, alacsony költségű lemezek redundáns tömbje).

Az adatállományok védelme. Az adatbázisokról az üzemeltetési dokumentációkban meghatározott időközönként és módon másolatot (mentést) kell készíteni és az előírások szerinti időtartamig megőrizni. Az egyes feldolgozások adatainak mentési rendszeréről és azok megőrzésének határidejéről a rendszer használatbavétele alkalmával a rendszer kifejlesztője dönt, és ezt az üzemeltetési dokumentációnak kell tartalmaznia.

Adatvesztés vagy adatsérülést esetén a legutolsó biztonsági másolat visszatöltése után az információk újbóli beviteléről gondoskodni kell. Az ehhez szükséges emberi és gépi kapacitást biztosításáért az informatikai egység vezetője felelős.

Az input adatok helyességének biztosítása. Az információs rendszer bemenő (input) adatai helyességének biztosítása és annak ellenőrzése az adott felhasználó feladat. Ettől függetlenül a szervezés során fel kell tárni az input adatok belső logikai összefüggéseit, adatállományokkal való kapcsolatukat, amelyek segítségével a hibás adatok kiszűrhetőek, illetve bekerülési valószínűsége minimálisra csökkenthető és ezeket az adatbeviteli programokban ellenőrzési, beazonosítási funkcióként be kell építeni.

A feldolgozás helyességének védelme. Az egyes programok működésének helyességét a programozók programozói tesztanyag összeállításával és a futáseredmények helyességének vizsgálatával kötelesek ellenőrizni. A teljes rendszer működését szervezői tesztanyag összeállításával és futása utáni eredmény-helyesség vizsgálattal kell megállapítani. A programozói és szervező teszt alapján helyesnek bizonyult programrendszer működését „felhasználói” tesztelésnek kell alávetni. Ilyen lehet például a párhuzamos adatfeldolgozás, a felhasználó által összeállított minta input feldolgozás stb. Az üzemszerű feldolgozást csak a tesztanyagok futtatása által hibátlannak talált programrendszer esetén lehet megkezdeni. A rendszer hibátlan működését a felhasználó az output adatok logikai összefüggéseinek ellenőrzése után folyamatosan köteles figyelni és hiba észlelése esetén tájékoztatnia kell a fejlesztőt. A felhasználó ezen túl folyamatosan ellenőrzi a feldolgozás teljességét is. A felhasználókat a rendszer használatával, működésével kapcsolatosan oktatásban kell részesíteni. Ezért a rendszer kifejlesztője és üzembe állítója a felelős az érvényben lévő szerződés szerint.

Archiválás: A személyes adatokat tartalmazó adatbázisok passzív hányadát - a további kezelést már nem igénylő, változatlanul maradó adatokat - el kell választani az aktív résztől, majd a passzívált adatokat időtálló adathordozón kell rögzíteni. Az adatkezelések archiválását rendszeresen el kell végezni. Az archivált adatokat tartalmazó adathordozót tűzbiztos fémkazettában kell őrizni. Az adatok archiválását mindig az adott folyamatra vonatkozó előírásoknak megfelelően kell elvégezni. A személyi számítógépeken lévő adatok archiválásáért a felhasználó a felelős. A hálózaton keresztüli archiválást minden esetben egy erre a munkára kijelölt munkatársnak kell elvégeznie.

Az adatok megőrzésének idejét a minősítésük határozza meg. A minősítéshez tartozó megőrzési időket az érvényes utasítások alapján határozzuk meg. A megőrzés idejét egyértelműen fel kell tüntetni az adathordozó külső, illetve belső címkéjén is. A megőrzés idejének nyilvántartása annak a személynek a feladata, aki az archívumot kezeli.

Az adatok archiválását mindenkor vírustesztelésnek és vírusmentesítésnek kell megelőznie. Mind a vírusteszteléshez, mind pedig az adatok mentéséhez a szervezet legfrissebb, hivatalosan támogatott szoftverét kell alkalmazni.

5.2.2.7. Hálózati védelem

A szervezet belső hálózatának és központi levelező szerverének üzemeltetése valamint a világhálóra való csatlakoztatás a központi informatikai egység feladata. Ennek az egységnek kell megoldani az interneten keresztül érkező káros programok és kéretlen levelek szűrését is. A hálózati rendszeradminisztrátor az informatikai egység vezetője által megbízott személy, aki a hálózat mindenkori kiépítettségét, azaz a hálózatra kötött minden eszköz naprakész nyilvántartását vezeti. Hozzájárulása nélkül a hálózatra eszköz nem köthető, a szervereken olyan szolgáltatás nem indítható, amely bármilyen mértékű, több egységet érintő adatforgalommal jár. Jogkörét részben átadhatja valamely egység rendszeradminisztrátorának az átadott jogok és kötelezettségek pontos körülhatárolásával.

Az IBSz rögzíti a felhasználó kötelességeit, az általa elvégezhető és tiltott tevékenységeket, a számonkérés formáját, valamint a biztonsági események jelentésével kapcsolatos kötelezettségeket. Az Internet szolgáltatásait – böngészést, elektronikus levelezést – a munkavégzés céljából lehet igénybe venni. Tilos olyan adat továbbítása (küldése, letöltése), amely alkalmas kártékony kódnak a vállalat informatikai rendszerébe juttatására, valamint tilos minden olyan tevékenység, amely szerzői - és társjogok megsértését vonja maga után.

5.2.3. A belső elektronikus levelezés szabályai

Az elektronikus levelezés az egyik leghasznosabb és leggyakrabban használt informatikai szolgáltatás. Növeli a vállalat belső és külső információ forgalmának sebességét és hatékonyságát. A dolgozók közötti együttműködést egyszerűbbé teszi. A pozitív hatások mellett azonban negatívok is jelentkeznek. A kéretlen mailek veszélyeiről a 3.3.3 fejezetben írtunk. Ezekkel szemben az informatikai egység által üzemeltetett tűzfal és levelező szerver konfigurálásával kell védekezni.

Szabályozási szempontból sokkal fontosabb az a kérdés, hogy a dolgozók milyen célra használhatják a munkahelyi e-mailjüket. Ha a dolgozók korlátlanul használhatják személyes célra is, akkor lehetőségük van arra, hogy a vállalatra vonatkozó bizalmas adatokat harmadik félnek továbbítsanak. Ezt nyilvánvalóan nem szabad megengedni. A túl szigorú szabályozás pedig az e-mail előnyeinek kihasználásától fosztja meg a vállalatot.

A szabályozás során abból kell kiindulni, hogy az elektronikus levelezési cím és a hozzá tartozó elektronikus levelesláda a vállalat tulajdona, azzal korlátlanul rendelkezik. Az erre a címre érkező és innen küldött levelek nem személyes adatok, azokat iktatni kell és tartalmukat a vállalat által megbízott személyek ellenőrizhetik. Ilyen mélységű ellenőrzés általában a dolgozónak sem érdeke.

Nagyobb szervezeteknél ma már megoldott az elektronikus levelek iktatása és nyilvántartása is. Ilyen esetben a dolgozó kiválása esetén könnyű a folyamatban levő feladatok átadása. A munkavégzés során keletkezett dokumentumokat sok esetben még ma is egy-egy dolgozó személyes elektronikus postaládájában tárolják. Gondoskodni kell tehát arról, hogy a dolgozó kilépése, vagy hosszabb idejű kiesése esetén a postaládához más, kijelölt felhasználó hozzáférhessen.

Megbízással vagy projekttel kapcsolatos leveleket célszerű külön könyvtárban gyűjteni és azt a lezárás után archiválni, illetve átadni a megbízást átvevő személynek. A szerző hat évig volt az Informatikai kar dékánja. A hivatali e-mail címére érkezett és ezen funkciójával összefüggő leveleket a megbízása lejárta után archiválta és másolatban átadta az új dékánnak.

Az informatikáért felelős szervezetnek rendszeresen mentést kell készítenie a felhasználók elektronikus postaládájáról.

5.2.4. Felelősség és ellenőrzés

Nem elegendő az IBSz-ben leírni a védelmi intézkedéseket, hanem a végrehajtásukhoz felelősöket is meg kell nevezni. A felelősség lehet konkrét feladathoz kötött, amilyenekről a korábbi fejezetekben szóltunk. Lehet azonban általános utasítási jogkör is, amit előre nem látható esetekben – például katasztrófa helyzet - gyakorolhat a kijelölt személy.

A felelős joga és kötelessége, hogy az IBSz-ben foglalt hatáskörben rendszeresen ellenőrizze az előírások betartását. Figyelmeztesse a felhasználókat a védelmi intézkedések betartására, szükség esetén pedig fegyelmi felelősségre vonást is kezdeményezhet.

A felelős joga és kötelessége továbbá, hogy az általa észlelt vagy tudomására jutott veszélyhelyzetnek a méretétől, várható következményeitől függően a megfelelő ideiglenes védekező lépéseket meghozza: az adott gép(ek) külső elérhetőségének a letiltása, az adott gép(ek)nek a hálózatról való eltávolítása, vagy más, az esetnek megfelelő mértékű intézkedés. A biztonságot érintő incidensekről összefoglaló beszámolót kell készíteni és azt az illetékes vezetőkhöz el kell juttatni. Minden felhasználónak kötelessége, hogy ha betörésgyanús esetet észlel, ezt azonnal jelentse a vállalat biztonsági csoportjának, és a szükséges mértékben működjön együtt a csoporttal a károk elhárítása érdekében.

Az informatikai rendszerek folyamatosan fejlődnek, régi eszközöket vonnak ki és alkalmazások szűnnek meg, illetve új eszközöket és alkalmazásokat vezetnek be. Rendszeresen jelennek meg új veszélyforrások. Ezért az IBSz-t rendszeresen felül kell vizsgálni és az aktuális helyzetnek megfelelően módosítani kell.