Skip to main content

IBSZ kivonat

Cél:

Famex Tools Kft. (a továbbiakban: „Cég”) informatikai biztonsági politikájának célja, hogy biztosítsa az informatikai rendszerek, adatok és az ügyfelek információinak védelmét. Ez a politika az ügyfelek, a vállalat és a munkatársak érdekeinek védelmét szolgálja, és az alkalmazandó jogszabályoknak és szabályozásoknak való megfelelést támogatja.

A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság

Az adatok és információk jelentőségük és bizalmassági fokozatuk az alábbiak szerint kerülnek osztályozásra:

C1-Szigorúan bizalmas: Olyan adatok és információk, amelyek illetéktelen kézbe jutás esetén cégünk működését jelentősen befolyásolhatják vagy olyan személyes adatok, amelyek a GDPR szerint bizalmasan kezelendők.

Ebbe a kategóriába tartozó adatokhoz az ügyvezetőnek, illetve az operatív vezetésnek van engedélye a hozzáféréshez. További hozzáféréseket kizárólag az ügyvezető jóváhagyásával lehet készíteni. Ezeket az eléréseket a jogosultások.xlsx dokumentációban részletesen láthatjuk.

Az alábbi adatok tartoznak ide:

  • Szerződések
  • Személyes adatok GDPR szerint
  • Alvállalkozói és megrendelői egyedi díjak
  • Bér adatok

C2-Bizalmas: Cég működésével kapcsolatos adatok és információk, amelyek az alkalmazottak számára elérhetőek, de külső félnek át nem adhatóak. Ezen információk illetéktelen kézbe jutása jogi következményt vonhatnak maguk után.

Ebbe a kategóriába tartozó adatokhoz az érintett részlegnek van engedélye a hozzáféréshez.

Az alábbi adatok tartoznak ide:

  • Belsős tréning anyagok
  • Belső szabályozó dokumentumok (ISO dokumentációk)
  • Riportok
  • IT és fejlesztői dokumentációk / jogosultságok és jelszavak
  • Ajánlatok
  • Projekt adatok

C3-Belső használatra: Ebbe a kategóriába tartozó adatokhoz minden munkavállalónak van engedélye a hozzáféréshez.

Az alábbi adatok tartoznak ide:

  • Általános tájékoztatók

C4-Nyilvános

Ebben a kategóriába tartozó adatokhoz mindenkinek van hozzáférése.

Az alábbi adatok tartoznak ide:

  • Álláshirdetések
  • Tenderek / Tájékoztató anyagok
  • Közösségi média
  • A szervezet weboldalán elérhető nyilvános információk
  • A webshopunkban található termék árai, és az itt forgalmazott termékek adatai

Az informatikai feldolgozás során keletkező adatok minősítője az ügyvezető igazgató. Különös védelmi utasítások és szabályozások nem mondhatnak ellent a törvények és a jogszabályok mindenkori előírásainak. Az üzleti titoknak minősülő adatok feldolgozásakor meg kell határozni írásban és névre szólóan a hozzáférési jogosultságot. A kijelölt dolgozók előtt a titokvédelmi és egyéb szabályokat, a betekintési jogosultság terjedelmét, gyakorlási módját és időtartamát ismertetni kell. Az alapelv az az, hogy mindenki csak olyan adathoz férjen hozzá, ami a napi munkavégzéséhez szükséges.

C1, C2 és C3 esetén, az információhoz való hozzáférést a tevékenység naplózásával dokumentálni kell, ezáltal bármely  számítógépen végzett tevékenység - adatbázisokhoz való hozzáférés, a fájlba vagy külső adathordozóra történő mentés, a  rendszer védett részeibe történő illetéktelen behatolási kísérlet - utólag visszakereshető. A hozzáférési jogosultságok részletezésére egy külön dokumentum, az „Információ elérési mátrix” szolgál, amely tartalmazza, hogy ki milyen típusú információhoz férhet hozzá. Az elérési mátrixban található adatok segítenek a biztonságos és szabályozott információkezelés fenntartásában.

Sérthetetlenség (Integritás)

Az információk sértetlensége azt jelenti, hogy azok pontosak és teljesek maradnak, és nem változnak meg jogosulatlanul.

  • I1 - Magas integritás: Az információk pontossága kritikus. Példák: pénzügyi nyilvántartások, jogi dokumentumok.
  • I2 - Közepes integritás: Az információk pontossága fontos, de nem kritikus. Példák: belső jelentések, operatív adatok.
  • I3 - Alacsony integritás: Az információk pontossága nem létfontosságú. Példák: hétköznapi kommunikáció, nem hivatalos jegyzetek.

Rendelkezésre állás

Az információk rendelkezésre állása azt jelenti, hogy szükség esetén hozzáférhetők.

  • A1 - Kritikus rendelkezésre állás: Az információk folyamatosan hozzáférhetőek kell legyenek. Példák: valós idejű tranzakciós adatok, szolgáltatásmenedzsment rendszerek.
  • A2 - Fontos rendelkezésre állás: Az információk elérhetősége fontos, de rövid időre megszakítható. Példák: heti jelentések, projekttervek.
  • A3 - Alacsony rendelkezésre állás: Az információk elérhetősége kevésbé fontos. Példák: archív adatok, régebbi jelentések.
Felhasználói programok védelme

Programhoz való hozzáférés, programvédelem: A felhasználók számára korlátozva van a programok használata. csak olyan programokhoz használatához van hozzáférésük, amelyek a munkájukhoz szükséges.

A jelszavaknak az alábbi minimális követelménnyel kell rendelkeznie:

  • A hálózati jelszó legalább 8 karakterből álljon, kis és nagybetűk, valamint számok, egyéb írásjelek közül legalább 2 típusút tartalmazzon.
  • Az alkalmazáshoz szükséges jelszónak legalább 8 karakterből kell állni.
  • A jelszó nem lehet azonos a felhasználó névvel, annak becézett formájával, vagy könnyen visszafejthető kifejezéssel.
  • A hálózatba kötött számítógépek esetében a felhasználóknak a hálózati, illetve ennek hiánya esetén helyi bejelentkezési jelszavakat 90 naponta meg kell változtatniuk.
  • Ahol ezt az operációs rendszer támogatja, 5 sikertelen bejelentkezés után az operációs rendszernek le kell tiltani a felhasználó fiókját.
  • A jelszó megváltoztatásakor az új jelszó nem lehet azonos a korábban használt 6 jelszóval.
  • A jelszót nem szabad több személy között megosztani.
  • A felhasználók jelszavát a felhasználón kívül senki sem ismerheti.
  • A jelszót soron kívül meg kell változtatni, ha az illetéktelen személy tudomására jutott, vagy juthatott.
  • A szerverek és központi hálózati eszközök jelszavait, valamint a munkaállomások BIOS jelszavát olyan helyen szükséges tárolni, melyhez kizárólag az IT Manager, az IT Manager vezetője és az Ügyvezető fér hozz. A tárolás helye lehet a felhő tárhely erre a célra kijelölt helye a megfelelő jogosultsági korlátozásokkal.

Gondoskodni kell arról, hogy a tárolt programok, file-ok ne károsodjanak, a követelményeknek megfelelően működjenek. Lokális gépekre programot csak az IT csapat képes telepíteni.

Távoli Munkavégzés

Hozzáférés

A távoli munkavállalók számára csak a munkájukhoz szükséges rendszerekhez és adatokhoz biztosítunk hozzáférést. A hozzáférési jogosultságokat egy központi rendszerben kezeljük, amely lehetővé teszi a felhasználói tevékenységek monitorozását és naplózását.
A távoli munkavégzés cég által biztosított eszközöket lehet használni, amelyen a cégnél előírt álltalános szabályok teljesülne (pl.: vírusvédelem). Az IT csapat rendszeresen ellenőrzi a hálózati tevékenységeket a rosszindulatú szoftverek elkerülése érdekében.
Minden távoli munkavégzésre használt eszközt regisztrálni kell a vállalat eszközkezelési rendszerében. Az eszközökön tárolt adatokat rendszeresen biztonsági mentés alá kell vonni az adatvesztés elkerülése érdekében.

 

Internet hozzáféréssel kapcsolatos intézkedések

Az internet hozzáféréssel rendelkező gépen minden esetben működtetni kell a vírusvédelmet. A vírusok és az illetéktelen hozzáférések elkerülése érdekében az ESET által biztosított biztonsági szoftvereket alkalmazzuk. A tűzfal működése közben keletkező állományokat az üzemeltetőnek rendszeresen ellenőrizni kell. A dolgozók részére történő internetes hozzáférhetőséget, azon való keresés kiterjesztését a cégvezetés határozza meg.  Az irodában vendég Wifi hálózat működik, mely csökkentett sávszélességgel és a belső hálózattól teljes mértékben elszeparáltan üzemel, amely jelszóval védett melynek jelszavát félévente módosítjuk.

 

Intézkedési Terv az Információátadási Szabályokhoz és Eljárásokhoz

Elektronikus Átadás

  • Titkosítás: Minden érzékeny információ titkosítva kerül átadásra. Például az internetes kommunikációhoz SSL/TLS protokollokat alkalmazunk, míg távoli kapcsolatok esetén VPN használata javasolt.
  • E-mail Biztonság: Titkosított e-mail rendszereket alkalmazunk és megfelelő hitelesítési eljárásokat biztosítunk, mint például PGP vagy S/MIME. Minden érzékeny adatot tartalmazó e-mail titkosítással védendő.

A küldő fél további 3 plusz titkosítási módszerből választhat, melyek a következőek:

          • a küldött email-t nem lehet továbbítani
          • a küldött email-t nem lehet továbbítani, másolni, nyomtatni
          • a küldött email-t lehet továbbítani, de nem lehet másolni, nyomtatni.
  • Fájlmegosztás: Ha E-mailen kívül szeretnénk dokumentumot megosztani külső féllel, csak és kizárólag az Office365 által biztosított megosztást alkalmazzuk. A használatáról a következő dokumentum segít a felhasználóknak:

IT-01SZ-01U - OneDrive megosztás

Fizikai Átadás

  • Dokumentumok: Érzékeny fizikai dokumentumok zárt, biztonságos borítékokban vagy zárt konténerekben kerülnek továbbításra. A dokumentumokhoz való hozzáférés naplózása kötelező.
  • Hordozható Eszközök: Titkosított hordozható eszközöket (pl. USB meghajtók, laptopok) biztosítunk az adatok fizikai továbbítására. Ezeket az eszközöket jelszóval és/vagy biometrikus azonosítással védjük.

Verbális Átadás

  • Biztonságos Kommunikáció: Biztonságos csatornákat biztosítunk a verbális kommunikációhoz, például titkosított telefonvonalak és biztonságos konferenciahívások használatával. Az érzékeny információk átadásakor a helyiséget biztosítani kell illetéktelen hozzáférés ellen.
  • Konferenciahívások és Meetingek: Titkosítást és jelszóval védett hozzáférést biztosítunk az online meetingekhez és konferenciahívásokhoz. Az ilyen hívások során az érzékeny információkat kizárólag a megfelelő jogosultságokkal rendelkező résztvevők számára tesszük elérhetővé.
Back to top