Informatikai szabályzat

Óbuda VII., Lakásfenntartó Szövetkezet

Informatikai Felhasználói Szabályzata

I. Bevezető

Név: Óbuda VII., Lakásfenntartó Szövetkezet

Székhely: 1034 Budapest III., Szőlő u. 35-37.

Adószám: 10095801-1-41

Tényleges adatkezelés címe: 1 Budapest,

Telefonszám:

E-mail: Abana@obuda.org

Képviseli: Bana Attila elnök

(továbbiakban: Adatkezelő) az alábbiakban határozta meg a jelen Felhasználói Szabályzatot (továbbiakban: Szabályzat).

2. A Felhasználói Szabályzat meghatározza

a. a célokat,

b. a személyi, tárgyi, területi és időbeli hatályát,

c. az egyes feladatokat.

3. Tekintettel a fentiekre, a Szabályzat összhangban van az informatikai biztonságot meghatározó más dokumentumokkal, valamint összhangban van az Óbuda VII., Lakásfenntartó Szövetkezet minőségbiztosítási rendszerével is.

II. A Szabályzat célja

1. A Szabályzat célja az Adatkezelő által kezelt adatok biztonságának megteremtése, valamint az információbiztonsági követelményeknek való megfelelés biztosítása.

2. A Szabályzat célja teljesíteni a 2011. évi CXII. törvényből (továbbiakban: Info tv.), valamint a 2016/679. sz. EU rendeletből (továbbiakban: GDPR) származó informatikai és adatbiztonsági kötelezettségeket.

A Szabályzat személyi hatálya

1. A Szabályzat személyi hatálya kiterjed az Adatkezelőre magára, és a Belső Adatvédelmi Szabályzatban meghatározott Munkatársakra, ha az Adatkezelő Munkatársat foglalkoztat.

2. Azokban az esetekben, amikor az Adatkezelő tárgyi hatály alá tartozó elektronikus információs rendszereivel, berendezéseivel, egyéb eszközeivel tényleges, vagy feltételezhető kapcsolatba kerülő személy nem az Adatkezelő Munkatársa, tagja, a tevékenységének alapját képező jogviszonyt megalapozó szerződés, megállapodás, megkötés során kell érvényesíteni a következő kötelezettségeket:

  1. vonatkozó szabályzatok, utasítások, eljárásrendek megismerésére és betartására irányuló kötelezettségvállalás

b. titoktartási nyilatkozat/megállapodás megkötése.

A Szabályzat tárgyi hatálya

A Szabályzat tárgyi hatálya kiterjed az Adatkezelő

  1. által használt valamennyi informatikai rendszerre, operációs rendszerre, alkalmazásra, alapszoftverre, felhasználói programra, amely tárolja, kezeli, felhasználja, feldolgozza, továbbítja, felügyeli, ellenőrzi az adatokat, információkat,

  2. által rögzített, tárolt, kezelt, feldolgozott, védelmet élvező elektronikus adatok teljes körére (ideértve a személyes, különleges és egyéb adatokat), felmerülésük, kezelési és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól függetlenül,

  3. adathordozóira, tárolására, felhasználására,

  4. elektronikus és informatikai (számítástechnikai) berendezésére, azok hardver elemeire,

  5. környezeti infrastruktúra elemeire,

  6. informatikai folyamataiban szereplő összes dokumentációra,

  7. informatikai eszközeinek műszaki dokumentációira,

  8. által kezelt adatok felhasználására vonatkozó utasításokra.

A Szabályzat területi hatálya

A Szabályzat területi hatálya kiterjed a tárgyi hatálya alá tartozó informatikai erőforrások üzemelési és használati helységeire, így az Adatkezelő székhelyére, valamint, ha van, telephelyeire, kirendeltségeire, továbbá az Adatkezelő által mindenkor bérelt helyiségekre, ha ott informatikai erőforrás üzemel.

A Szabályzat időbeli hatálya

A Szabályzat az alapverzió kihirdetése napján lép életbe és hatályban marad módosításig, vagy visszavonásig.

III. Alapelvek

1. Az Adatkezelő informatikai rendszereiben biztosítani kell informatikai és nem informatikai eszközök és módszerek kombinációjával az érzékeny adatok adatbiztonságát és az ilyen adatokat tároló, feldolgozó, továbbító rendszerek üzembiztonságát. Az egyes rendszerek tervezése és megvalósítása során – a rendszerben kezelt adatok biztonsági osztályba sorolásának megfelelően – kell a konkrét IT biztonsági ellenintézkedéseket meghatározni.

2. A bizalmasság biztosítása lehetővé teszi, hogy az információ a jogosulatlan informatikai egyedek (személyek, csoportok, programok, folyamatok, stb.) számára ne legyen elérhető, ne kerüljön nyilvánosságra

3. Az információ és a rendszerek rendelkezésre állása érdekében a használt rendszerekben biztosítani kell a tárhelyek sértetlenségét, azonosítani kell a rendszerkomponenseket és rendszerkapcsolatokat.

4. A szükséges és elégséges ismeret elve alapján a rendszer minden felhasználónak biztosítja azokat – de csak azokat – az információkat és funkciókat, amelyek az adott felhasználó feladatainak ellátáshoz szükségesek. A rendszerekben a felhasználó csak azonosítás és hitelesítés után férjen hozzá a rendszer-szolgáltatásokhoz.

IV. Szerepkörök, tevékenységek, felelősségek

1. Az informatikai biztonsággal kapcsolatos feladatok szerepkörökhöz rendeltek. A szerepkörök szerinti felelősök kijelölése a Szabályzatban, a munkaköri leírásokban, valamint utasításokban történik. Az informatikai infrastruktúra biztonságos működtetésében, illetve az informatikai rendszerekben kezelt adatok védelmének tárgykörében az alábbi szerepkörök kerülnek meghatározásra:

a. Az Adatkezelő vezetője

1. Az Adatkezelő Belső Adatvédelmi Szabályzatban meghatározott vezetése felelős az elektronikus informatikai rendszerben tárolt személyes, különleges adatok és más adatok védelméért és az adatok biztonságáért. Hatáskörében jogosult a számítógépes adatvédelem és az adatbiztonság megszervezésére és ellenőrzésére. Az Adatkezelő vezetője ellátja az információbiztonságáért felelős személy (továbbiakban: IBF), valamint az informatikus feladatait, vagy az e feladatokkal megbízhatja valamely munkatársát, vagy harmadik személyt.

b. Munkatársak: felhasználók

1. Munkatársak, ha Munkatársakat foglalkoztat az Adatkezelő, adatkezelési vagy adatfeldolgozási feladataik során személyes, különleges és egyéb adatokkal kerülnek kapcsolatba, ők az informatikai rendszerek felhasználói.

2. A felhasználóknak

a. ismerniük kell a Szabályzatban, valamint a Szabályzat kapcsolódásaiban (lásd 4. fejezet)

szereplő előírásokat, illetve azokat maradéktalanul be kell tartani, illetve az informatikai

rendszerek használatát irányító személyekkel együtt kell működniük,

b. ismerniük kell a kapcsolódó egyéb utasításokat, eljárásrendeket;

c. képzésen, oktatáson kell részt venniük, mielőtt a munkavégzést megkezdenék;

d. tevékenységük megkezdésekor ellenőrizniük kell, hogy az általuk használt eszközök

üzemképesek-e és azok beállítása az előírásoknak megfelelő-e;

e. a helyiségből utolsóként való távozáskor meg kell győződniük a helyiség biztonságos

lezárásáról.

3. A felhasználók

a. kötelesek figyelemmel kísérni az általuk használt berendezések és szoftverek

állapotát és az esetleges meghibásodást vagy helytelen működést azonnal jelezni kell a

közvetlen vezetőnek;

  1. munkájuk során figyelniük kell arra, hogy illetéktelen személyek lehetőleg ne tartózkodjanak az adat/információ feldolgozása során a helyiségben, vagy ha tartózkodnak, ne férhessenek hozzá az adatokhoz;

  2. tevékenységük befejezésekor a használt programokból szabályszerűen ki kell lépniük;

  3. a munkaállomást a helyiség elhagyása esetén lezárni, leállítani úgy, hogy ahhoz csak jelszó vagy hardveres azonosító eszköz használatával lehessen hozzáférni (kikapcsolás, kijelentkezés, jelszavas képernyővédelem, stb.);

  4. kötelesek a munkahelyről történő eltávozáskor az addig használt eszközt, kivéve ha ez a rendszer(ek) más által történő használatát vagy a karbantartást akadályozza, szabályszerűen leállítani,

  5. a használt számítástechnikai/elektronikus berendezés áramellátását meg kell szüntetniük kivéve ha ez a rendszer(ek) más által történő használatát vagy a

karbantartást akadályozza, szabályszerűen leállítani.

4. A felhasználó, jogosultságtól függetlenül, köteles

a. kikérni az Adatkezelő vezetőjének, vagy ha kinevezésre került információbiztonsági

felelős, akkor az ő álláspontját olyan tevékenység végzését megelőzően, amelynek

informatikai biztonsági relevanciája lehet;

b. a számára Adatkezelő által szervezett informatikai biztonsági oktatáson részt venni, az

ismeretanyag elsajátításáról számot adni;

c. a rendelkezésére bocsátott számítástechnikai eszközöket megóvni;

d. a belépési jelszavát (jelszavait) az előírt időben változtatni, biztonságosan kezelni;

e. a felügyelet nélkül maradó munkahelyen (munkaállomáson) személyes adatot

vagy nem nyilvános adatot tartalmazó dokumentumot/adathordozót elzárni;

az információbiztonságot érintő esemény gyanúja esetén az észlelt rendellenességekről

tájékoztatni az Adatkezelő vezetőjét, vagy ha kinevezésre került információbiztonsági

felelős, akkor őt,

  1. a folyó munka során nem használt nem nyilvános anyagokat, adathordozókat elzárni;

h. az általa használt eszközök biztonsági beállításait változtatás nélkül megőrizni,

i. az e-mail és internet használat során tartózkodni a biztonság szempontjából kockázatos

tevékenységtől,

j. feladatvégzése során létrehozott általános (pl. Word és Excel) dokumentumok mentését

megtenni, és beállítani a programok biztonsági mentését.

2. A felhasználó, jogosultságától és állományba tartozástól függetlenül, számára tilos

a. a saját használatra kapott számítógép rendszerszintű beállításainak módosítása

(ide nem értve az irodai programok felhasználói beállításait),

b. a munkaállomására telepített aktív vírusvédelem kikapcsolása,

c. belépési jelszavát (jelszavait), hardveres azonosító eszközét más személy rendelkezésére

bocsátania, hozzáférhetővé tennie,

d. a számítógép-hálózat fizikai megbontása, a számítástechnikai eszközök lecsatlakoztatása,

illetve bármilyen számítástechnikai eszköz rácsatlakoztatása a hálózatra engedély nélkül,

e. a számítástechnikai eszközökből összeállított konfigurációk megbontása, átalakítása, f. bármilyen szoftver/alkalmazás installálása, internetről való letöltése, külső

adathordozóról merevlemezre való másolása, telepítése, ha az veszélyeztetheti az

adatbiztonságot,

  1. a munkaállomásokon az Adatkezelőben nem rendszeresített vagy nem

engedélyezett szoftverek (szórakoztató szoftverek, játékok, egyéb segédprogramok)

installálása és futtatása,

  1. bármilyen, a tárgyi hatály alá tartozó elektronikai, számítástechnikai eszköz szerelése;

  2. más szerzői, iparjogvédelmi, egyéb szellemi tulajdonhoz fűződő vagy egyéb

személyhez fűződő jogát vagy jogos érdekét sértő dokumentumokat, tartalmakat (zenéket, filmeket stb.) az eszközökön tárolni, oda le-, illetve onnan a hálózatra feltölteni,

  1. láncleveleket továbbítani, kéretlen levelekre válaszolni, ismeretlen tartalmú kéretlen

levelek mellékleteit vagy linkjeit megnyitni,

  1. kereskedelmi célú hirdetéseket/reklámokat külső vagy belső címzettek felé továbbítani

(ide nem értve az Adatkezelő által kért vagy partnerei által küldött, az Adatkezelő által támogatott tevékenységekről – pl. kedvezményes beszerzés, munkavégzést segítő eszközök – szóló anyagokat),

  1. levelező listákra céges e-mail címmel feliratkozni, kivéve, ha az a munkavégzéshez

szükséges, így

  • az Adatkezelő által megrendelt, működtetett vagy előfizetett szolgáltatások,

belső információs rendszerek,

  • más levelező listára történő feliratkozás az Adatkezelő vezetőjének külön

engedélyével történhet;

m. online játékokat használni,

n. közösségi oldalakat látogatni és használni, kivéve ha ez a munkaköréhez

kapcsolódik,

o. erotikus, vagy jogszabály erejénél fogva tiltott tartalmakat és oldalakat látogatni

, szoftvereket telepíteni, használni.

3. A felhasználó felelős

a. az általa használt eszközök rendeltetésszerű használatáért,

b. a rá vonatkozó jogszabályokban és szabályzatokban meghatározott rendelkezések

betartásáért,

c. az általa elkövetett szabálytalanságért, valamint a keletkező károkért és hátrányért.

4. Amennyiben egy munkaállomáson több felhasználó is jogosult dolgozni, úgy a feladat elvégzése után, mielőtt másik felhasználó a munkaállomáshoz hozzáférne, a felhasználónak a rendrendszerből ki kell jelentkeznie!

5. Megosztott, vagy csoport felhasználói fiókokhoz tartozó hitelesítő eszközöket vagy adatokat a csoport tagjainak változása esetén vissza kell vonni, majd újra kell generálni az aktuális állapotnak megfelelően.

6. A felhasználó, illetve informatikus a számítógépre csak saját nevében és jelszavával léphet

be, és az alkalmazásokat csak saját nevében használhatja. Ettől eltérően indokolt esetben, az Adatkezelő vezetőjének egyedi írásos engedélyének birtokában lehet eljárni. Amennyiben a hozzáférést az Adatkezelő vezetője engedélyezi, úgy azt a kijelölt munkatársa

a. rendszergazdai hozzáféréssel megváltoztatja a felhasználó jelszavát;

b. majd a felhasználó hozzáférésével végrehajtja az engedélyezett feladatot;

c. a megváltoztatott jelszót az Adatkezelő vezetője kapja meg;

d. ezt a felhasználó visszatérésekor az első rendszerbe lépéskor a felhasználónak meg kell

változtatnia.

7. A jelszó érvényességi idejét, ezzel együtt a jelszócsere gyakoriságát a használt rendszer működése határozza meg.

8. A jelszó cseréjét, ha a használt rendszer nem kényszeríti ki, legalább 90 naponta kötelező elvégezni. A felhasználó jelszókezelési szabályai:

  1. A megfelelő jelszavakra (legalább) az alábbi kritériumok igazak (ezt technológiai eszközökkel bizonyos rendszerek kényszeríthetik is): legalább 8 karakter és nem csak kisbetűket tartalmaz, nem szótári szó, illetve annak egyszerű kiegészítése, pl.: anna78, nem egyszerű sorozat (pl.: 123456, abcdef, asdfgh) tartalmaz számokat, kis- és nagybetűket, valamint egyéb extra karaktereket is (mint például: #!)

b. jelszavak nem hozhatóak nyilvánosságra;

c. a jelszavak biztonságának megőrzéséért a felhasználó személyesen felel;

d. a felhasználó a jelszavát nem oszthatja meg senkivel;

e. ha a felhasználónak a legkisebb gyanúja is felmerül, a jelszóbiztonságának integritása

felől, azt köteles azonnal megváltoztatni és gyanújáról az Adatkezelő vezetőjét

értesíteni;

f. más felhasználó azonosítóját átmeneti jelleggel sem szabad használni, kivéve, ha azt az

Adatkezelő vezetője engedélyezte;

  1. a felhasználó köteles a jelszavát az előírt gyakorisággal és módon megváltoztatni.

  1. Ha a felhasználónak tudomása vagy gyanúja támad arról, hogy jelszava valakinek tudomására jutott, akkor erről a tényről az Adatkezelő vezetőjét tájékoztatnia kell és a jelszót azonnal meg kell változtatnia.

9. A felhasználói azonosítók/jelszavak elvesztését/elfelejtését illetve vélelmezett kompromittálódását azonnal jelezni kell az Adatkezelő vezetője felé. Az elfelejtett jelszavak esetén az Adatkezelő vezetője, vagy az általa e feladattal megbízott informatikus új kezdeti jelszót állít be, amelyet az első bejelentkezéskor meg kell változtatni. Azonosító kompromittálódás esetén a kompromittált azonosítóhoz tartozó jogokat azonnal le kell tiltani, ebben az esetben ki kell vizsgálni, hogy történt-e jogosulatlan hozzáférés az informatikai rendszerhez. A kompromittálódott azonosító helyett az érintett felhasználónak a munkájához szükséges másik azonosítót kell biztosítani.

VI. Adatok és IT rendszerek védelme, biztonsága

1. Jelen fejezet alkalmazása során figyelemmel kell lenni mindenkor hatályos jogszabályok, más szabályzatokban meghatározott tűz-, és személyvédelmi, valamint a személyes adatok kezelésére vonatkozó rendelkezésekre.

2. A jelen fejezet szerinti elvek és feladatok gyakorlati megvalósításának biztosítása az Adatkezelő vezetőjének feladata és felelőssége, míg a tényleges megvalósítás a munkatársak feladata és felelőssége.

3. A tárgyi hatály alá tartozó minden berendezést és adatot a lopás, a rongálás, az illetéktelen felhasználás, valamint megsemmisülés ellen értékarányos módszerekkel és eljárásokkal védeni kell.

4. A fenti előírás gyakorlati megvalósítása:

a. fizikai védelem: rácsok, zárak, riasztóberendezés működtetése;

b. logikai védelem: jelszavak, adatkódolás, tűzfal, vírusirtó használata, biztonsági mentések

.

5. Az infrastrukturális gyengeségek és hiányosságok kivédése érdekében az egyes rendszerek rendelkezésre állási biztonsági osztályba sorolása után gondoskodni kell a megfelelő infrastruktúra biztosításáról.

6. A fenti előírás gyakorlati megvalósítása:

a. rendszerek biztonsági osztályba sorolása, amennyiben ez szükségesnek mutatkozik;

b. szünetmentes áramellátás, hőmérséklet és páratartalom szabályozó rendszer,

  1. beléptető rendszer használata, amennyiben ez szükségesnek mutatkozik.

7. Főszabály szerint az Adatkezelő informatikai rendszeréhez nem az Adatkezelő infrastruktúrájához tartozó (hanem például magántulajdonú) számítástechnikai, elektronikus, kommunikációs vagy multimédiás berendezést vagy adathordozót kapcsolni tilos. Amennyiben az Adatkezelő érdekében szükséges ilyen eszköz használata, úgy az Adatkezelő vezetőjének szóbeli vagy írásbeli engedélyét követő vírusellenőrzés mellett lehet az eszközt csatlakoztatni.

8. Az Adatkezelő tulajdonában lévő, vagy általa bérelt, a területi hatályra behozni, vagy a területi hatályról kivinni szándékozott elektronikai, számítástechnikai berendezések mozgatása kizárólag az Adatkezelő érdekében lehetséges az Adatkezelő engedélyét követően.

9. A javítás céljából az Adatkezelő objektumaiból kikerülő eszközök esetében biztosítani kell, hogy az Adatkezelő által kezelt adatok ne kerüljenek ki. Olyan meghibásodott eszközök (pc, mobil eszközök, szerverek, stb.), amelyekben az adathordozók védendő adatokat tartalmazhatnak nem kivihetőek az adathordozó alkatrésszel. Ebben az esetben az adathordozót (merevlemez, statikus memória egység, stb.) a javítás idejére cserealkatrésszel kell a gépben helyettesíteni, vagy ha nem szükséges ez az alkatrész a működéshez, akkor az eredeti adathordozó és cserealkatrész nélkül kell javítási célból kivinni a területről. Az eredetileg használt adathordozót a javítás után vissza kell helyezni az eszközbe, vagy arról az adatokat az új eszközre át kell tenni.

VII. Az adatrögzítés védelme

1. Adatbevitel hibátlan műszaki állapotú berendezésen kell, hogy történjen, tesztelt adathordozóra lehet adatállományt rögzíteni.

2. Olyan szoftvereket kell alkalmazni, amelyek rendelkeznek ellenőrző funkciókkal és biztosítják a rögzített tételek visszakeresésének és javításának lehetőségét is (pl. Word, Excel).

3. Az eszközök, berendezések bejelentkezési azonosítóinak használatával kell szabályozni, hogy ki milyen szinten férhet hozzá a kezelt adatokhoz.(alapelv: a tárolt adatokhoz csak az illetékes személyek férjenek hozzá).

4. Az adatok bevitele során alapelv: azonos állomány rögzítését és ellenőrzését ugyanaz a személy nem végezheti.

VIII. Fizikai belépés ellenőrzése, belépési engedélyek

1. Az Adatkezelő telephelyén 2 biztonsági zóna van elkülönítve:

a. alap: folyosó és olyan helyiségek, amelyek nem zártak – a bejutás ellenőrzötten

lehetséges.

b. fokozott: irodahelyiségek és más zárt helyiségek – ide a bejutás kulccsal lehetséges.

2. Az elektronikus információs rendszereknek helyt adó fokozott területre állandó (rendszeres) belépésre jogosultakról az Adatkezelő nyilvántartást vezet (Belépésre jogosultak listája), és belépési jogosultságot igazoló eszközöket (kulcs) bocsát ki a részükre.

3. Az új belépő munkatársak kulcsokat csak szerződés, a belépéskori oktatás, a titoktartási nyilatkozat aláírása után kaphatnak, ha fokozott területre belépésre jogosultak. A belépő munkatárs új belépési jogosultságait, illetve nem új belépő munkatárs belépési jogosultságainak változtatását az Adatkezelő vezetője határozza meg.

4. A belépésre jogosultak listáját mindig naprakészen kell tartani, akinek a belépése már nem indokolt el kell távolítani a listáról, a belépési jogosultságot igazoló eszközeit (kulcs) vissza kell vonni.

IX. Képzési eljárásrend

1. A felhasználói állományt az informatika biztonság megvalósítása érdekében munkakörüknek megfelelően oktatni, képezni kell. A felhasználói személyi állományt naprakészen képezni kell új rendszerek bevezetésekor. A képzés biztosítása az Adatkezelő vezetőjének feladata, végrehajtása a kijelölt munkatárs, vagy harmadik fél feladata.

X. Eljárás a jogviszony megszűnésekor

1. A munkatárs jogviszonyának megszűnése esetén a munkavállaló felettes vezetője gondoskodik a kilépő információs rendszerrel vagy annak biztonságával kapcsolatos feladatainak ellátásáról a jogviszony megszűnését megelőzően. A jogviszony megszűnésekor a jogviszonyt megszüntető személy gondoskodik arról, hogy a kilépő esetleges elektronikus információs rendszert, illetve abban tárolt adatokat érintő, elektronikus információbiztonsági szabályokat sértő magatartását megelőzze.

2. Az Adatkezelő a kilépő számára igazolja, hogy a hozzáférési jogokat törölte, illetve a felhasználó az Adatkezelő felé elszámolt. A kilépőt továbbá tájékoztatni kell az esetleg rá vonatkozó, jogi úton is kikényszeríthető, a jogviszony megszűnése után is fennálló kötelezettségekről.

3. Az Adatkezelő meghatározott ideig megtartja magának a hozzáférés lehetőségét a kilépő személy által korábban használt, kezelt elektronikus információs rendszerekhez és Adatkezelői információkhoz.

XI. Azonosítás, hitelesítés

1. Az elektronikus információs rendszer egyedileg azonosítja és hitelesíti az Adatkezelő felhasználóit, a felhasználók által végzett tevékenységet.

2. Az Adatkezelőben alkalmazott informatikai rendszerekben felhasználói azonosítást és hitelesítést kell alkalmazni a jogosulatlan személyek tevékenységének megakadályozása és az elszámoltathatóság megvalósítása érdekében.

3. A hitelesítés a felhasználó állítólagos azonosságának a bizonyítására szolgál. Az Adatkezelő informatikai rendszereiben legalább tudás alapú (jelszavas) hitelesítést kell alkalmazni. A hitelesítési adatokhoz való hozzáférés korlátozása érdekében az ilyen adatokat védeni kell a jogosulatlan megismerés, módosítás, törlés ellen.

XII. Hozzáférés védelem, jogosultság kezelés

1. Az Adatkezelő minden informatikai rendszerében, erőforrásaival, szolgáltatásaival kapcsolatban, az adott eszköz, erőforrás, adat, dokumentumtár stb., a szükséges és elégséges ismeret elvének betartásával kell alkalmazni a hozzáférés-védelmi és a jogosultságkezelési intézkedéseket.

2. A munkaállomásokon és a szervergépeken technikailag is korlátozni kell az „alternatív” bootolási lehetőségeket (pl.: CD, DVD, USB, ethernet, stb.). Ezekre az eszközöket csak üzemeltetési / karbantartási / javításai célból lehet olyan rendszerrel működtetni, amely nem az üzemszerűen rátelepített operációs rendszer.

3. A felhasználó szerepkörének megváltozása esetén a jogosultságokat megfelelően módosítani kell.

XIII. Felhasználói fiókok kezelése

1. A felhasználók kizárólag felhasználói jogosultsággal dolgozhatnak a munkaállomásokon, rendszergazdai jogosultságokat nem kaphatnak. Kivételt képeznek e szabály alól azon szakalkalmazások munkaállomásai, ahol a szoftver működéséhez szükségesek az emelt szintű jogok, itt a zavartalan munkavégzés miatt ez engedélyezett. Az így rendelkezésre álló jogokat a felhasználó nem használhatja semmilyen üzemeltetői feladatra (pl.: programok telepítése, leállítása, stb.), csak és kizárólag a szakalkalmazás használata miatt birtokolhatja ezeket!

2. A munkaállomásokon a felhasználók egymással, vagy az Adatkezelő vezetőjével hálózati szolgáltatásként mappákat/fájlokat oszthatnak meg.

3. A felhasználók számára tilos nem engedélyezett erőforrások, szolgáltatások, jogosultságok megszerzése, vagy ennek kísérlete. Tilos más felhasználó munkájának zavarása, anyagaikhoz történő bármilyen illetéktelen hozzáférés vagy annak kísérlete.

4. A hozzáférés-védelmi és jogosultság-kezelési elemek, alrendszerek megbízható adminisztrálása érdekében a felhasználói hozzáféréseket megvalósító rendszerek működtetését (ahol a technológia lehetővé teszi) megbízható módon naplózni, és a naplótartalmat az engedélyezett jogosultság igénylések alapján ellenőrizni kell.

5. A munkaállomás adminisztrátorát (Adatkezelő vezetője vagy informatikus) értesíteni kell, ha:

a. a felhasználói fiókokra már nincsen szükség,

b. a felhasználók kiléptek vagy áthelyezésre kerültek,

c. csoport felhasználói fiókok esetén, ha a csoport tagjai megváltoznak,

d. az elektronikus információs rendszer használata vagy az ehhez szükséges ismeretek

megváltoztak.

XIV. Külső rendszerekből történő hozzáférés szabályozása

1. Távoli hozzáférést kaphatnak az Adatkezelő azon munkatársai, akik az Adatkezelő által biztosított, távoli munkavégzésre alkalmas eszközzel rendelkeznek.

2. A távoli hozzáféréshez használt azonosítókat, jogosultságokat az Adatkezelő vezetője, vagy az általa e feladattal megbízott munkatárs dokumentáltan adja ki, az azonosítóért felelős személy pontos meghatározásával. Az azonosító átvételét az azonosítóért felelős személy aláírásával igazolja.

3. A távoli hozzáférésű munkaállomások biztonságáért minden esetben a távoli gép felhasználója és/vagy üzemeltetője a felelős, így felelős a távoli gépről az Adatkezelő infrastruktúrájában végrehajthatott cselekményekért is.

4. Az Adatkezelő informatikai infrastruktúrája távoli elérése csak titkosított kapcsolaton keresztül történhet. A rendszerhez történő csatlakozás csak a szükséges időre korlátozódhat, a munka végeztével a kapcsolatot bontani kell.

XV. Elektronikus levelezés (e-mail)

1. Az e-mail szolgáltatás az Adatkezelő által a felhasználók részére az Adatkezelői elektronikus levelezés céljaira biztosított eszköz. Az e-mail rendszer, valamint a rendszerben előállított, elküldött és megkapott levél is az Adatkezelő felügyelete alá tartozik.

2. Az Adatkezelő e-mail rendszerén mindennemű jogszabályellenes tartalom továbbítása és tárolása tilos!

3. Az Adatkezelő nevében folytatott elektronikus levelezésre kizárólag az erre a célra biztosított elektronikus levelezési cím, a rendszeresített levelező (kliens) program, illetve ezen csak az engedélyezett levelezési szolgáltatás használható. A beállítások (működési paraméterek) meghatározásáért és beállításáért az e feladattal megbízott munkatárs/informatikus a felelős.

4. Az elektronikus levelező rendszerben tárolt és továbbított dokumentumok elektronikus kezelésénél is be kell tartani az érvényben lévő ügyviteli, iratkezelési és adatkezelési szabályokat.

5. Minden elektronikus postaládával rendelkező felhasználó köteles elektronikus postaládájának tartalmát figyelemmel kísérni oly módon, hogy legalább a munkakezdéskor és a munkavégzés befejezését megelőzően meggyőződjön róla, hogy érkezett-e új üzenete, és amennyiben igen, akkor azokat érkeztesse, kezelje (tekintse meg, tegye meg a szükséges egyéb intézkedéseket).

6. Az elektronikus levelező rendszer használata során nem megengedett:

a. nagy mennyiségű és méretű, személyes jellegű üzenetek küldése;

b. kéretlen reklámok és hirdetések közzététele;

c. a felhasználóknak a Adatkezelői e-mail címüket nem hivatalos minőségben

használni (pl.: regisztráció letöltési weboldalak, online játék oldalak, stb.);

d. a levelek fejlécének megváltoztatása, hamis levelek küldése;

e. olyan üzenetek, illetve csatolt fájlok küldése, továbbítása, amelyek

törvénytelenségeket vagy arra való felhívást tartalmaznak, fenyegetőek,

összességében sértik az Adatkezelő jó hírét, általánosan elfogadott erkölcsi

szabályba vagy jogszabályba ütköznek

f. a tévesen címzett, másnak szóló levelek felhasználása;

g. a Adatkezelő által biztosított e-mail címre érkező üzenetek átirányítása külső

(nem a Adatkezelő elektronikus levelező rendszerében létrehozott) e-mail címre,

kivéve, ha ez a működéshez szükséges és az Adatkezelő vezetője előzetesen

jóváhagyta.

7. A levelezési rendszer személyes célokra nem használható, kivéve, ha az Adatkezelő ez alól engedélyt adott. Ilyen esetben a magáncélú levelezést külön kell kezelni és a biztonsági mentés arra nem terjed ki.

8. Az elektronikus levelek címzése során minden felhasználónak körültekintően kell eljárnia az alábbiak figyelembevételével:

a. Csoportos levelező, elosztási lista (pl. „mindenki”, „x osztály”, „Adatkezelői

dolgozók”) alkalmazása során meg kell győződni arról, hogy valóban

szükséges-e minden, a csoportba tartozó címzett részére elküldeni az üzenetet.

b. Titokvédelmi vagy egyéb biztonsági, bizalmassági okokból, amennyiben a

levelek címzettjei nem szerezhetnek tudomást egymásról vagy egymás e-mail

címéről, akkor a levél „Titkos másolat” („BCC”: Blind Carbon Copy) kategóriáját

kell alkalmazni a címzés során.

9. A postaládára vonatkozó korlátozások:

a. Az e-mail felhasználó postaládájának mérete korlátos, melynek méretét az

Adatkezelő vezetője határozza meg a technikai lehetőségek figyelembe

vételével.

10. Ha a felhasználó postaládájának telítettsége eléri:

a. a megengedett postaláda-méret 80%-át, akkor a felhasználó egy felhívást kap

postaládájának ürítésére vagy archiválására;

b. a megengedett postaláda-méret 100 %-át, akkor a felhasználó további

üzenetet nem képes fogadni és küldeni sem.

11. Amennyiben a Adatkezelői levelezésben – pontos címzés mellett – az elektronikus levelező rendszertől a kézbesítés során kézbesíthetetlenségre utaló hibajelzés érkezik, akkor a felhasználónak fel kell tárnia ennek okát annak érdekében, hogy üzenete ne veszhessen el.

12. Az egye elektronikus levelek méretét, valamint a levélhez csatolt fájlok típusát az Adatkezelő vezetője/informatikus korlátozhatja a rosszindulatú kódok terjedésének megakadályozása céljából és azért, hogy biztosítsa a levelezés megfelelő szolgáltatási szintjét. A korlátozás miatt nem továbbított levelekről, csatolt fájlokról a küldő értesítést kell, hogy kapjon.

13. Ismeretlen feladótól érkező, gyanús, csatolt fájlt tartalmazó, vagy ismeretlen linket ajánló (pl.: idegen nyelvű, láthatóan reklámcélú, olyan dokumentumra hivatkozó, amiről a címzett nem tud) elektronikus üzenetek csatolmányait illetve a kapott linkeket nem szabad megnyitni, e leveleket törölni kell.

XVI. Az informatikai rendszerek üzemeltetése

1. Tilos a felhasználóknak a hálózat kábeleinek szándékos kihúzása a fali csatlakozóból vagy a gépből. Számítástechnikai eszközt és tartozékait helyéről elvinni az Adatkezelő vezetőjének tudta és engedélye nélkül tilos!

2. A számítástechnikai/informatikai eszközöket, berendezéseket rendeltetésszerűen kell használni: példálózó felsorolással élve a számítógépen és perifériáin papírokat és egyéb tárgyakat tárolni nem lehet, a szellőző nyílásokat szabadon kell hagyni, a billentyűzetet védeni kell a szennyeződésektől, a számítógép közelében enni-inni, dohányozni nem szabad.

XVII. Szoftverhasználat korlátozásai

1. Az Adatkezelő bármely informatikai eszközeire TILOS illegális és/vagy nem jogtiszta szoftvert telepíteni!

2. Illegális szoftverek használata esetén a felhasználóval szemben felelősségének megállapítása érdekében fegyelmi, kártérítési, illetve egyéb eljárás indulhat.

3. Egy szoftver/alkalmazás telepítését megelőzően a vírusvédelmi célokra üzembe állított eszközzel meg kell vizsgálni a szoftver/alkalmazás esetleges vírusfertőzöttségét. Amennyiben technikailag/technológiailag lehetséges, úgy az új szoftvercsomagról biztonsági másolatot kell készíteni. Az installálást csak a munkapéldányról szabad végezni. Az eredeti példányt biztonságos helyen kell tárolni.

XVIII. Felhasználó által telepíthető szoftverek

1. A felhasználók az informatikai eszközöket Adatkezelői munkavégzés céljára kapják. A felhasználók jogosultsága a belső hálózaton csak az informatikai üzemeltetésért felelős Adatkezelői egység által telepített egységes irodai alkalmazások és szolgáltatások használatára, illetve a munkájukhoz szükséges alkalmazói programok futtatására terjed ki. A Adatkezelő informatikai infrastruktúráját magán célú használatra igénybe venni tilos! Ettől eltérni csak az Adatkezelő vezetőjének engedélyével, akkor is kizárólag mobil eszközök esetében szabad (okostelefon, notebook, tablet, mobiltelefon, mobil adathordozók).

XIX. Adathordozók védelmére vonatkozó eljárásrend

1. Az Adatkezelő által használt hordozható külső adattárolókat (USB pendrive-ok, memóriakártyák, hordozható hdd-k és ssd-k) egyedi azonosítóval kell ellátni, kivételt képeznek ez alól az optikai adathordozók (CD, DVD) és a floppy lemezek, amely tárolók csak számszerűen kerülnek nyilvántartásba. Az egyedi azonosítóval ellátott hordozható adathordozók pontos helyéről naprakész nyilvántartást kell vezetni.

2. A használni kívánt adattárolót a tárolásra kijelölt helyről kell kivenni és használatot követően oda kell visszahelyezni. A munkaasztalokon csak azok az adathordozók lehetnek, amelyek a munkavégzéshez szükségesek.

3. Fontos adatokat tartalmazó adathordozókról másolatot kell készíteni, melyet egymástól elkülönítetten, lehetőleg külön szobában jól zárható lemezszekrényben kell elhelyezni.

XX. Adathordozók használata, hozzáférés az adathordozókhoz

1. Az informatikai rendszerekben kezelt adatok, dokumentumok bizalmasságát, hitelességét, sértetlenségét és rendelkezésre állását biztosítani kell, ezért az Adatkezelő nyilvántartást vezet az egyes adathordozó típusokhoz való hozzáférésre feljogosított személyek köréről, valamint jogosítványuk tartalmáról. A nyilvántartást rendszeres időközönként felülvizsgálja, aktualizálja.

2. Minden felhasználónak kötelessége az adattárolók rendeltetésszerű használata. Az Adatkezelő adathordozói csak a munkavégzéshez szükséges adatok és szoftverek tárolására hivatottak.

3. Meghibásodás esetén a munkatársak kötelesek jelenteni azt az Adatkezelő vezetője felé. A további felhasználásra alkalmatlan adathordozókat fizikai roncsolással használhatatlanná kell tenni. A bizalmas adatokat tartalmazó adathordozókról törlő programokkal kell az adatokat eltávolítani, majd ezt követően kell fizikailag megsemmisíteni.

XXI. A felhasználók adatainak mentése

1. A felhasználók munkaállomásokon lévő privát adatait a mentési eljárások nem kezelik, nem kezelhetik. A felhasználók a munkájukhoz tartozó fontos dokumentumokat a fájlszerverek megfelelő kijelölt területein kötelesek tárolni!

XXII. Rendszer- és információsértetlenségre vonatkozó eljárásrend

1. A biztonsági események olyan események, melyek eltérnek a megszokott ügymenettől, zavarokat okozhatnak és fenyegethetik az információk, illetve az információ feldolgozó eszközök bizalmasságát, sértetlenségét és rendelkezésre állását.

2. Az információbiztonsági incidensek az Adatkezelő vezetője által minősített olyan biztonsági események, melyek ténylegesen fenyegetik az információk, illetve az információ feldolgozó eszközök bizalmasságát, sértetlenségét és rendelkezésre állását.

3. Minősített incidens a hibás működés, mely a rendszerelemek (hardverek, szoftverek, adathordozók) rendeltetésszerű használata közben fellépő, normál működéstől eltérő működését jelenti.

4. A védelem gyenge pontjai a rendszer, a folyamatok illetve az abban részt vevő személyek olyan tulajdonságai, hiányosságai, melyek biztonsági incidensek kialakulásához vezethetnek.

5. Biztonsági eseményt, illetve a védelem gyenge pontjait az Adatkezelő minden felhasználója, a rendszereket használó szerződött partnere és a projektekbe bevont harmadik felek észlelhetik, illetve annak létét feltételezhetik. Biztonsági eseményre utaló jelek lehetnek többek között:

a. Adatok, információk, fájlok eltűnése, módosulása

b. Információ feldolgozó eszközök, adattárolók eltűnése, rongálódása

c. Információ feldolgozó eszközök megszokottól eltérő működése

d. Adatátvitel szokásostól eltérő lelassulása

e. Bizalmas információk nem ellenőrzött, külső csatornából történő visszahallása

6. Elsődleges szabály, hogy az információbiztonsági incidensek gyanújának felmerülésekor (incidens észlelésekor) azonnal értesíteni kell az Adatkezelő vezetőjét. Tilos az incidens körülményeit vizsgálni illetve megkísérelni, elhárítani azt!

XXIII. Kártékony kódok elleni védelem

1. A lehetséges informatikai biztonsági fenyegetések közül igen jelentős kockázatot jelentenek a rosszindulatú programok és kódok, a levélszemetek (spam), és a káros Internet tartalmak. A felsorolt negatív elemek ellen számos technológiai eszközzel lehet védekezni, ilyenek a biztonságos átjárók, tűzfalak, vírusvédelmi eszközök, levélszemét szűrő szoftverek.

2. Az Adatkezelő a számítógépes hálózatát, szervereit és munkaállomásait folyamatosan, illetve az adott számítástechnikai eszközt a felhasználó jelzése alapján vírusvédelmi szempontból figyeli. A vírusfertőzés ellenőrzéséről és annak eredményéről nyilvántartást vezet (a legtöbb vírusvédelmi rendszer ezt magától megteszi).

3. Valamennyi felhasználónak kötelessége minden tőle telhetőt megtenni annak érdekében, hogy olyan fájl (szoftver, dokumentum stb.), amely rosszindulatú kódot, tartalmat tartalmaz, ne kerüljön fel sem a felhasználók munkaállomásaira, eszközére, sem pedig a hálózati adattárolókra.

4. A fentiek miatt mind a munkaállomásokon, mind a szervereken védelmi szoftvereket kell alkalmazni. A határvédelem folyamatára az alábbi szabályok érvényesek:

a. A vírusvédelemnek a klienseken rezidens módon kell futniuk azaz, a rendszer

indulásakor automatikusan indul a program, illetve folyamatosan vírusellenőrzést kell

végrehajtani a klienseken, amely vizsgálatok eredményét ellenőrizni kell. A

vírusvédelemnek a rendszer alábbi komponenseire kell kiterjednie: fájlok,

rendszeradatok, webes és email hálózati forgalom.

b. A felhasználóknak a vírusvédelmi alkalmazások működését tilos leállítani!

  1. A felhasználónak tilos vírusirtót, személyes tűzfalat, vagy egyéb biztonsági szoftvert telepítenie.

d. Külső helyekről származó adattárolókat használat előtt vírusellenőrzésnek kell

alávetni és csak akkor lehet használni, ha az adathordozó a vizsgálaton megfelel.

e. Vírusfertőzés gyanúja vagy nem üzemszerű működés esetén a felhasználóknak

haladéktalanul értesítenie kell az Adatkezelő vezetőjét/informatikust.

f. Vírusfertőzés gyanúja esetén az Adatkezelő vezetője, az informatikus vagy az

Adatkezelő vezetője által megbízott munkatárs a fertőzött gépet lezárhatja, annak

használatát a hiba elhárításáig felfüggesztheti.

XXIV. Egyebek

1. Jelen szabályzat a kiadás napján lép hatályba. Módosítására jogosult az Adatkezelő vezetője.

Kelt: 2018. hó . nap

Óbuda VII., Lakásfenntartó Szövetkezet

error: Content is protected !!