Skip to main content

Információ bisztonsági szabályzat

Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika

Cél:

Famex Tools Kft. (a továbbiakban: „Cég”) informatikai biztonsági politikájának célja, hogy biztosítsa az informatikai rendszerek, adatok és az ügyfelek információinak védelmét. Ez a politika az ügyfelek, a vállalat és a munkatársak érdekeinek védelmét szolgálja, és az alkalmazandó jogszabályoknak és szabályozásoknak való megfelelést támogatja.

Alapelv:

1.       Adatvédelem: A Cég kötelezettséget vállal az ügyfelek és a munkatársak személyes adatainak védelmére, és szigorúan betartja az adatvédelmi szabályozásokat.

2.       Hozzáférési ellenőrzés: Az informatikai rendszerekhez való hozzáférés csak az arra jogosult munkatársaknak biztosított hitelesítő adatokkal és megfelelő jogosultságokkal lehetséges.

3.       Veszélyek és fenyegetések felismerése: A Cég rendszeresen értékeli az informatikai környezetben fennálló veszélyeket és fenyegetéseket, és megfelelő intézkedéseket tesz azok minimalizálására vagy megszüntetésére.

4.       Folyamatos felügyelet és ellenőrzés: Az informatikai rendszereket rendszeresen monitorozzuk és ellenőrizzük annak érdekében, hogy azok megfelelő védelmi szinten legyenek.

5.       Vészhelyzeti tervek: A Cég rendelkezik vészhelyzeti tervekkel, melyek nem várt események esetén biztosítják a zavartalan és biztonságos működést.

6.       Információbiztonság irányítási rendszer: Kidolgoztuk, rendszeresen felülvizsgáljuk és szükség szerint módosítjuk, a Cég tevékenységéhez kapcsolódó információbiztonsági tevékenységeinket szabályozó dokumentumokat, melyekben meghatározásra kerültek a felelősségek, valamint végrehajtási, ellenőrzési feladatok.

Minden munkatársnak kötelessége betartani az informatikai biztonsági irányelveket.

Az Informatikai Biztonsági Politika minden munkatársra és közvetlenül szolgáltatásainkban érintett félre vonatkozik, akik kötelesek betartani és támogatni annak végrehajtását.

Az Informatikai Biztonsági Szabályzat hatálya

Személyi hatálya

Az IBSZ személyi hatálya a vállalat valamennyi fő- és részfoglalkozású vagy megbízott dolgozójára, illetve az informatikai eljárásban résztvevő más vállalatok / szervezetek dolgozóira egyaránt kiterjed.

Tárgyi hatálya

  • kiterjed a védelmet élvező adatok teljes körére, felmerülésük és feldolgozási helyüktől, idejüktől és az adatok fizikai megjelenési formájuktól függetlenül,
  • kiterjed a vállalat tulajdonában lévő, illetve az általa bérelt valamennyi informatikai berendezésre, valamint a gépek műszaki dokumentációira is,
  • kiterjed az informatikai folyamatban szereplő összes dokumentációra (fejlesztési, szervezési, programozási, üzemeltetési),
  • kiterjed a rendszer- és felhasználói programokra,
  • kiterjed az adatok felhasználására vonatkozó utasításokra,
  • kiterjed az adathordozók tárolására, felhasználására.
  • kiterjed a távoli munkavállalók által használt saját munkaeszközökre munkavégzés céljából
  • A Szabályzatban foglaltak az Famex Tools Kft minden telephelyének vonatkozásában, a helyi sajátosságok figyelembevételével, értelemszerűen alkalmazandó.

A vállalat által használt programok a GLPI eszközkezelő rendszerünkben találhatók.

Az adatkezelés során használt fontosabb fogalmak

érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;

személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;

adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajttatja;

adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése;

adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele;

nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele;

adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges;

adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából;

adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából;

adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése;

adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik;

adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján - beleértve a jogszabály rendelkezése alapján történő szerződéskötést is - adatok feldolgozását végzi;

adatállomány: az egy nyilvántartásban kezelt adatok összessége.

vagyonelem: vagyonelemnek tekinthető a rendelkezésre álló erőforrás vagy képesség. A Szolgáltató cég () vagyonelemei közé sorolható minden olyan elem, amely hozzájárul az adott szolgáltatás vagy termék rendelkezésre állásához.

A vagyonelemek a következő kategóriák szerint oszlanak el: üzleti folyamatok, információ, tőke, HW/SW-, hálózati-, humán erőforrás-, ingatlan-, kommunikációs-, közművek és egyéb szolgáltatási vagyonelemek.

fix vagyonelem: Olyan megfogható vagyonelem, amelynek hosszútávú felhasználásra alkalmas (pl. épület, iroda, földterület, hardverek, szoftver licenszek).

vagyonelem jegyzék: A fix vagyonelemek listája, amely nyilvántartja a vagyonelemek értékét és tulajdonosait.

információbiztonsági incidens: Olyan esemény, amely veszélyezteti az információk bizalmasságát, integritását vagy elérhetőségét.

érintett személy: Az incidens által érintett alkalmazott vagy felhasználó.

zavar: Olyan esemény vagy körülmény, amely potenciálisan vagy ténylegesen veszélyezteti az információk bizalmasságát, integritását vagy elérhetőségét

Kapcsolódó szabályozások

Az Informatikai Biztonsági Szabályzatot az alábbiakban felsorolt előírásokkal összhangban kell alkalmazni:

  • Szervezeti és Működési Szabályzat,
  • Leltárkészítési és leltározási szabályzat (ha van ilyen),
  • Kockázatkezelési Szabályzat,
  • Vagyonleltár és a hozzákapcsolódó felelősségkörök,
  • Vírusvédelmi Szabályzat.
  • Felhasználói hozzáférés szabályozások

Védelmet igénylő, az informatikai rendszerre ható elemek

Az informatikai rendszer egymással szervesen együttműködő és kölcsönhatásban lévő elemei határozzák meg a biztonsági szempontokat és védelmi intézkedéseket.

Az informatikai rendszerre az alábbi tényezők hatnak:

  • a környezeti infrastruktúra,
  • a hardver elemek,
  • az adathordozók,
  • a dokumentumok,
  • a szoftver elemek,
  • az adatok,
  • a rendszerelemekkel kapcsolatba kerülő személyek.

A védelem tárgya

A védelmi intézkedések kiterjednek:

  • a rendszer elemeinek elhelyezésére szolgáló helyiségekre,
  • az alkalmazott hardver eszközökre és azok működési biztonságára,
  • az informatikai eszközök üzemeltetéséhez szükséges okmányokra és dokumentációkra,
  • az adatokra és adathordozókra, a megsemmisítésükig, illetve a törlésre szánt adatok felhasználásáig,
  • az adatfeldolgozó programrendszerekre, valamint a feldolgozást támogató rendszer szoftverek tartalmi és logikai egységére, előírásszerű felhasználására, reprodukálhatóságára,
  • a személyhez fűződő és vagyoni jogokra.

A védelem eszközei

A mindenkori technikai fejlettségnek megfelelő műszaki, szervezeti, programozási, jogi intézkedések azok az eszközök, amelyek a védelem tárgyának különböző veszélyforrásokból származó kárt okozó hatásokkal, szándékokkal szembeni megóvását elősegítik, illetve biztosítják.

A védelem felelőse

A védelem felelőse az IT csapat. Az IT csapatba tartozik a: Rendszergazda

A jelen szabályzatban foglaltak szakszerű végrehajtásáról az IT csapatnak kell gondoskodnia.

rendszergazda feladatai

  • ellátja az adatfeldolgozás felügyeletét,
  • ellenőrzi a védelmi előírások betartását,
  • kialakítja a védelmi eszközök alkalmazására vonatkozó döntés elkészítése érdekében a szakterületek bevonásával a biztonságot növelő intézkedéseket,
  • felelős az informatikai rendszerek üzembiztonságáért, biztonsági másolatok készítéséért és karbantartásáért
  • gondoskodik a rendszer kritikus részeinek újraindíthatóságáról, illetve az újra indításhoz szükséges paraméterek reprodukálhatóságáról,
  • feladata a védelmi eszközök működésének, szerviz ellátás biztosításának folyamatos ellenőrzése,
  • az adatvédelmi tevékenységet segítő nyilvántartási rendszer kialakítása,
  • a Szervezeti és Működési Szabályzat adatvédelmi szempontból való véleményezése,
  • az adatvédelmi feladatok ismertetése, oktatása,
  • a védelmi rendszer érvényesülésének ellenőrzése,
  • felelős a vállalat informatikai rendszere hardver eszközeinek karbantartásáért, és időszakos hardver tesztjeiért,
  • ellenőrzi a vásárolt szoftverek helyes működését, vírusmentességét, a használat jogszerűségét,
  • a vírusvédelemmel foglalkozó szervezetekkel kapcsolatot tart,
  • a vírusfertőzés gyanúja esetén gondoskodik a fertőzött rendszerek izolálásáról,
  • folyamatosan figyelemmel kíséri és vizsgálja a rendszer működésére és biztonsága szempontjából a lényeges paraméterek alakulását,
  • ellenőrzi a rendszer önadminisztrációját,
  • javaslatot tesz a rendszer szűk keresztmetszeteinek felszámolására,
  • tevékenységéről rendszeresen beszámol a cégvezetésnek.

A rendszergazda ellenőri feladatai

  • évente egy alkalommal részletesen ellenőrzi az IBSZ előírásainak betartását,
  • rendszeresen ellenőrzi a védelmi eszközökkel való ellátottságot,
  • előzetes bejelentési kötelezettség nélkül ellenőrzi az informatikai munkafolyamat bármely részét.

A rendszergazda jogai

  • az előírások ellen vétőkkel szemben felelősségre vonási eljárást kezdeményezhet az cégvezetésnél,
  • bármely érintett szervezeti egységnél jogosult ellenőrzésre,
  • betekinthet valamennyi iratba, ami az informatikai feldolgozásokkal kapcsolatos,
  • javaslatot tesz az új védelmi, biztonsági eszközök és technológiák beszerzésére, illetve bevezetésére,
  • adatvédelmi szempontból az informatikai beruházásokat véleményezi.

A rendszergazda kiválasztása

Az alábbi követelményeknek kell megfelelnie:

  • erkölcsi feddhetetlenség,
  • összeférhetetlenség - az adatvédelmi felelős funkció összeférhetetlen minden olyan vezetői munkakörrel, amelyben adatvédelmi kérdésekben a napi munka szintjén dönteni, intézkedni kell.

az informatika szintjén:

  • az informatikai hardver eszközök és a védelmi technikai berendezések ismerete,
  • üzemeltetésben jártasság,
  • szervezőkészség.

A rendszergazda megbízatása

A rendszergazda-adatvédelmi felelőst a cégvezetés bízza meg. A rendszergazda-adatvédelmi felelős írásbeli meghatalmazás alapján jogosult ellátni a hatáskörébe tartozó feladatokat. Az Informatikai Biztonsági Szabályzat alkalmazásának módja

Az Informatikai Biztonsági Szabályzat alkalmazásának módja

Az Informatikai Biztonsági Szabályzat megismerését az érintett dolgozók részére a HR adminisztratív oktatás formájában biztosítja. Erről nyilvántartást vezet. Az Informatikai Biztonsági Szabályzatban érintett munkakörökben az egyes munkaköri leírásokat ki kell egészíteni az IBSZ előírásainak megfelelően.

Az Informatikai Biztonsági Szabályzat karbantartása

Az IBSZ-t a fejlődés során bekövetkező változások miatt időközönként aktualizálni kell.

Az Informatikai Biztonsági Szabályzat folyamatos karbantartása az adatvédelmi felelős feladata. A tevékenységről, annak konkrét tartalmáról évente egyszer írásbeli beszámolót kell készíteni.

 A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság

Az adatok és információk jelentőségük és bizalmassági fokozatuk az alábbiak szerint kerülnek osztályozásra:

C1-Szigorúan bizalmas: Olyan adatok és információk, amelyek illetéktelen kézbe jutás esetén cégünk működését jelentősen befolyásolhatják vagy olyan személyes adatok, amelyek a GDPR szerint bizalmasan kezelendők.

Ebbe a kategóriába tartozó adatokhoz az ügyvezetőnek, illetve az operatív vezetésnek van engedélye a hozzáféréshez. További hozzáféréseket kizárólag az ügyvezető jóváhagyásával lehet készíteni. Ezeket az eléréseket a jogosultások.xlsx dokumentációban részletesen láthatjuk.

Az alábbi adatok tartoznak ide:

  • Szerződések
  • Személyes adatok GDPR szerint
  • Alvállalkozói és megrendelői egyedi díjak
  • Bér adatok

C2-Bizalmas: Cég működésével kapcsolatos adatok és információk, amelyek az alkalmazottak számára elérhetőek, de külső félnek át nem adhatóak. Ezen információk illetéktelen kézbe jutása jogi következményt vonhatnak maguk után.

Ebbe a kategóriába tartozó adatokhoz az érintett részlegnek van engedélye a hozzáféréshez.

Az alábbi adatok tartoznak ide:

  • Belsős tréning anyagok
  • Belső szabályozó dokumentumok (ISO dokumentációk)
  • Riportok
  • IT és fejlesztői dokumentációk / jogosultságok és jelszavak
  • Ajánlatok
  • Projekt adatok

C3-Belső használatra: Ebbe a kategóriába tartozó adatokhoz minden munkavállalónak van engedélye a hozzáféréshez.

Az alábbi adatok tartoznak ide:

  • Általános tájékoztatók

C4-Nyilvános

Ebben a kategóriába tartozó adatokhoz mindenkinek van hozzáférése.

Az alábbi adatok tartoznak ide:

  • Álláshirdetések
  • Tenderek / Tájékoztató anyagok
  • Közösségi média
  • A szervezet weboldalán elérhető nyilvános információk
  • A webshopunkban található termék árai, és az itt forgalmazott termékek adatai

Az informatikai feldolgozás során keletkező adatok minősítője az ügyvezető igazgató. Különös védelmi utasítások és szabályozások nem mondhatnak ellent a törvények és a jogszabályok mindenkori előírásainak. Az üzleti titoknak minősülő adatok feldolgozásakor meg kell határozni írásban és névre szólóan a hozzáférési jogosultságot. A kijelölt dolgozók előtt a titokvédelmi és egyéb szabályokat, a betekintési jogosultság terjedelmét, gyakorlási módját és időtartamát ismertetni kell. Az alapelv az az, hogy mindenki csak olyan adathoz férjen hozzá, ami a napi munkavégzéséhez szükséges.

C1, C2 és C3 esetén, az információhoz való hozzáférést a tevékenység naplózásával dokumentálni kell, ezáltal bármely  számítógépen végzett tevékenység - adatbázisokhoz való hozzáférés, a fájlba vagy külső adathordozóra történő mentés, a  rendszer védett részeibe történő illetéktelen behatolási kísérlet - utólag visszakereshető. A hozzáférési jogosultságok részletezésére egy külön dokumentum, az „Információ elérési mátrix” szolgál, amely tartalmazza, hogy ki milyen típusú információhoz férhet hozzá. Az elérési mátrixban található adatok segítenek a biztonságos és szabályozott információkezelés fenntartásában.

Sérthetetlenség (Integritás)

Az információk sértetlensége azt jelenti, hogy azok pontosak és teljesek maradnak, és nem változnak meg jogosulatlanul.

  • I1 - Magas integritás: Az információk pontossága kritikus. Példák: pénzügyi nyilvántartások, jogi dokumentumok.
  • I2 - Közepes integritás: Az információk pontossága fontos, de nem kritikus. Példák: belső jelentések, operatív adatok.
  • I3 - Alacsony integritás: Az információk pontossága nem létfontosságú. Példák: hétköznapi kommunikáció, nem hivatalos jegyzetek.

Rendelkezésre állás

Az információk rendelkezésre állása azt jelenti, hogy szükség esetén hozzáférhetők.

  • A1 - Kritikus rendelkezésre állás: Az információk folyamatosan hozzáférhetőek kell legyenek. Példák: valós idejű tranzakciós adatok, szolgáltatásmenedzsment rendszerek.
  • A2 - Fontos rendelkezésre állás: Az információk elérhetősége fontos, de rövid időre megszakítható. Példák: heti jelentések, projekttervek.
  • A3 - Alacsony rendelkezésre állás: Az információk elérhetősége kevésbé fontos. Példák: archív adatok, régebbi jelentések.

Érdekelt felek vonatkozó követelményei

Az információk osztályozása az érdekelt felek követelményei alapján történik, figyelembe véve a jogi és szabályozási előírásokat, valamint a vállalati irányelveket.

  • Jogszabályi követelmények: Bizonyos adatok esetében szigorú törvényi előírások vannak érvényben. Példák: személyes adatok védelme, pénzügyi jelentési követelmények.
  • Vállalati irányelvek: A szervezet belső irányelvei és politikái határozzák meg az adatkezelési gyakorlatokat. Példák: adatvédelmi szabályzat, biztonsági előírások.
  • Ügyfélelvárások: Az ügyfelek biztonsági és adatvédelmi elvárásai. Példák: adatkezelési megállapodások, ügyfélszolgálati adatok védelme.

A naplófájlokat havonta át kell tekinteni, s a jogosulatlan hozzáférést vagy annak a kísérletét a cégvezetésnek azonnal jelenteni kell. A naplófájlok áttekintéséért, értékeléséért a rendszergazda felelős. Minden dolgozóval, aki az adatok gyűjtése, felvétele, tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése során információkhoz jut adatkezelési nyilatkozatot kell aláíratni. Az adatkezelési nyilatkozat naprakészen tartásáért az adatvédelmi felelős felel.

A titkot képező adatok védelmét, a feldolgozás - az adattovábbítás, a tárolás - során az operációs rendszerben és a felhasználói programban alkalmazott logikai matematikai, illetve a hardver berendezésekben kiépített technikai megoldásokkal is biztosítani kell (szoftver, hardver adatvédelem).

Intézkedési Terv az Információátadási Szabályokhoz és Eljárásokhoz

Elektronikus Átadás

  • Titkosítás: Minden érzékeny információ titkosítva kerül átadásra. Például az internetes kommunikációhoz SSL/TLS protokollokat alkalmazunk, míg távoli kapcsolatok esetén VPN használata javasolt.
  • E-mail Biztonság: Titkosított e-mail rendszereket alkalmazunk és megfelelő hitelesítési eljárásokat biztosítunk, mint például PGP vagy S/MIME. Minden érzékeny adatot tartalmazó e-mail titkosítással védendő.

A küldő fél további 3 plusz titkosítási módszerből választhat, melyek a következőek:

          • a küldött email-t nem lehet továbbítani
          • a küldött email-t nem lehet továbbítani, másolni, nyomtatni
          • a küldött email-t lehet továbbítani, de nem lehet másolni, nyomtatni.
  • Fájlmegosztás: Ha E-mailen kívül szeretnénk dokumentumot megosztani külső féllel, csak és kizárólag az Office365 által biztosított megosztást alkalmazzuk. A használatáról a következő dokumentum segít a felhasználóknak:

IT-01SZ-01U - OneDrive megosztás

Fizikai Átadás

  • Dokumentumok: Érzékeny fizikai dokumentumok zárt, biztonságos borítékokban vagy zárt konténerekben kerülnek továbbításra. A dokumentumokhoz való hozzáférés naplózása kötelező.
  • Hordozható Eszközök: Titkosított hordozható eszközöket (pl. USB meghajtók, laptopok) biztosítunk az adatok fizikai továbbítására. Ezeket az eszközöket jelszóval és/vagy biometrikus azonosítással védjük.

Verbális Átadás

  • Biztonságos Kommunikáció: Biztonságos csatornákat biztosítunk a verbális kommunikációhoz, például titkosított telefonvonalak és biztonságos konferenciahívások használatával. Az érzékeny információk átadásakor a helyiséget biztosítani kell illetéktelen hozzáférés ellen.
  • Konferenciahívások és Meetingek: Titkosítást és jelszóval védett hozzáférést biztosítunk az online meetingekhez és konferenciahívásokhoz. Az ilyen hívások során az érzékeny információkat kizárólag a megfelelő jogosultságokkal rendelkező résztvevők számára tesszük elérhetővé.

Fizikai Biztonsági Intézkedések

Az irodaépület teljes területe munkaidőn kívül riasztórendszerrel védett és zárva tartott. Illetéktelen behatolás esetén a biztonsági szolgálat azonnal értesíti a megfelelő személyeket. A szigorúan bizalmas (C1) kategóriába sorolt adatok biztonságos tárolása érdekében és a szerver hozzáféréséhez a következő intézkedések kerültek bevezetésre:

Adatok Tárolása

  • A szigorúan bizalmas adatok (C1) fizikai formában egy elzárható irodában (HR iroda) vagy a szerveren kerülnek tárolásra.
  • A szerver egy kulccsal elzárható fali szekrényben található.
  • A szerver egy kulccsal elzárható fali szekrényben kerül elhelyezésre,

Hozzáférés-szabályozás

  • Mind a fali szekrényhez, mind a HR irodához a következő személyek rendelkeznek kulccsal: Belszolgálati vezető, Pénzügyi vezető, HR vezető
  • Az adatokhoz való hozzáférést korlátozni kell a hozzáférés-felügyeletre kialakított témaspecifikus politikával összhangban. Csak az arra feljogosított személyek férhetnek hozzá a személyes adatokhoz, kizárólag az adatkezelés céljával összefüggésben. A munkaköri leírásban minden személynek meg van határozva milyen adatokhoz férhet hozzá.

  • A szerver fali szekrényhez való hozzáférés korlátozott, és csak a következő személyek rendelkeznek kulccsal: Belszolgálati vezető, Pénzügyi vezető, HR vezető

Széf Használata

Az intézkedések célja, hogy biztosítsák az információk és egyéb kapcsolódó vagyonelemek fizikai biztonságát, megakadályozva az illetéktelen hozzáférést és védve az adatokat a különféle fenyegetésekkel szemben.

A biztonsági kódok jóváhagyása a következők szerint történik:

  • Győr hűtőház utca telephely: A telephely tulajdonosa kezeli a riasztó kódokat és a kapunyitási engedélyt. Következő személyek kérhetnek tőle új hozzáféréseket:
    • Belszolgálati vezető
    • Imre Péter ügyvezető
    • Rendszergazda
    • HR vezető

A teljes hozzáférési mátrix a következő dokumentumban található:

IT-01SZ-01E - Információ átadás kockázatai

Hitelesítési információk

Jelszókezelő

A hitelesítési adatokat a munkaköri leírásban meghatározott pozíció alapján osztjuk ki. Hitelesítés adatok egy saját hálózaton futtatott Bitwarden szerveren tároljuk, így külső félhez semmilyen formában nem kerülnek adatok, ezzel biztosítjuk a hitelesítési adatok legnagyobb biztonságát.

Az IT@famextools.hu felhasználó alatt található minden IT biztonsággal kapcsolatos jelszó, amelyhez hozzáférésé a rendszergazdának és a belszolgálati vezetőnek van hozzáférése, továbbá az elzárt széfben papíron a felhasználó név és jelszó elérhető.

A jelszókezelő kliensünkön belül a pozícióhoz ugyanúgy vannak kialakítva, mint a szervezeti ábrában, ezzel biztosítjuk, hogy mindenki hozzáfér a munkavégzéséhez szükséges adatokhoz. Minden munkaállomáson telepítve van a kliens. A kiadott jogosultságok a közvetkező dokumentumban találhatók:

IT-01N  - Elérési jogosultság.xlsx

A jelszavak exportálása csak jelszóval lehetséges, így a felhasználok nem tudják a teljes adatbázist lementeni, ezzel is védve az adatok védelmét.

Office365 fiókok kezelése

Az Office 365 fiókok kezelését a rendszergazda végzi, ennek következtében hozzáfér az E-mail fiókok jelszavakhoz. Személyes fiókok megnyitása kizárólag a GDPR-nak megfelelően történik.

Személyi számítógépekhez tartozó jelszavak

A személyi számítógépek jelszavát a rendszergazda osztja ki igény és szükség szerint (pl.: vírus támadás a jelszó módosításra kerül).

Felhőszolgáltatások Biztonsági Politikája

Ez a dokumentum meghatározza a felhőszolgáltatások megszerzésének, használatának, kezelésének és befejezésének biztonsági követelményeit a Famex Tools Kft. (továbbiakban: Szervezet) számára. A cél, hogy biztosítsuk az információk védelmét, megfeleljünk a jogszabályi előírásoknak, és fenntartsuk a bizalom szintjét.

A Famex Tools Kft.-nél alkalmazott Infrastruktúra

Az informatikai biztonsági szabályzat létrehozása során alapvetően fontos szempont az adatbiztonság. Az üzleti életben az adatok védelme különösen fontos tényező, és az informatikai biztonság szabályzatai szigorúan betartandó előírásokat tartalmaznak, amelyek az adatok védelmét biztosítják. Ezen előírások között szerepel az adatok tárolása, kezelése, illetve a felhasználók hozzáférése.

A Famex Tools Kft. az adatok védelmének biztosítására a Microsoft által nyújtott felhő alapú környezetet, az O365 (OneDrive) szolgáltatásokat alkalmazza, melyek mindegyike biztonságos és naprakész megoldást kínál.

Az O365 egy felhőalapú megoldás, amely számos szolgáltatást nyújt, például a biztonságos e-mail kezelés, kommunikációs eszközök, videókonferencia és dokumentumkezelés. Az O365 az egyik legbiztonságosabb megoldásnak számít a piacon, mivel a Microsoft által végzett szigorú biztonsági tesztekkel és ellenőrzésekkel rendelkezik, amelyek garantálják a felhasználói adatok biztonságát. Az O365 szolgáltatásokat a Microsoft a legmodernebb biztonsági protokollokkal és technológiákkal látja el, mint például a 256 bites AES titkosítás.

Az O365 megoldás további előnye, hogy a felhőalapú rendszerben az adatok automatikusan biztonsági mentésre kerülnek, így biztosítva van az adatok mentése és helyreállítása esetén is a biztonságos tárolás. A rendszer rendelkezik továbbá naprakész vírusvédelmi megoldásokkal, amelyek figyelik a bejövő és kimenő adatforgalmat, és az esetleges fenyegetéseket elhárítják. Az O365 rendszerének felügyelete és karbantartása is a Microsoft felelőssége, így az emberi mulasztásból fakadó hibák lehetősége minimalizálhatóak a vállalati környezeten belül.

Ez a politika a Szervezet minden alkalmazottjára és a felhőszolgáltatásokat igénybe vevő részlegeire vonatkozik.

Felhőszolgáltatások Beszerzése

  • Kockázatértékelés: Minden új felhőszolgáltatás beszerzése előtt kockázatértékelést kell végezni. A kockázatértékelés során meg kell határozni az adatbiztonsági kockázatokat és az azok kezelésére irányuló intézkedéseket.
  • Szolgáltató Kiválasztása: Csak olyan felhőszolgáltatókkal szerződjünk, akik megfelelnek az ISO 27001 szabványnak vagy hasonló információbiztonsági szabványoknak.
  • Szolgáltatók: Jelenleg a Szervezet a Google Drive és az O365 (OneDrive) felhőszolgáltatásokat használja. Mindkét platform biztosítja az adatok titkosított tárolását.
  • Szerződéses Feltételek: A szerződésben egyértelműen rögzíteni kell az adatvédelmi követelményeket, az adatok kezelésének módját és a szolgáltató felelősségét.
Felhőszolgáltatások Használata
  • Hozzáférés-ellenőrzés: Biztosítani kell, hogy csak a megfelelő jogosultsággal rendelkező alkalmazottak férhessenek hozzá a felhőszolgáltatásokhoz.
  • Adatvédelem: A Google Drive és az O365 (OneDrive) platformokon tárolt adatokat titkosítani kell. Az érzékeny adatokat különösen szigorúan kell védeni.
  • Monitorozás: Rendszeresen monitorozni kell a felhőszolgáltatások használatát és azonosítani az esetleges anomáliákat.
Felhőszolgáltatások Befejezése
  • Adatok Törlése: A felhőszolgáltatás befejezésekor biztosítani kell, hogy minden adat biztonságosan törlésre kerüljön a szolgáltató rendszereiből.
  • Adatok Átadása: Szükség esetén gondoskodni kell az adatok biztonságos átadásáról és azok integritásának megőrzéséről.
  • Szerződés Megszüntetése: A szolgáltatóval kötött szerződést hivatalosan meg kell szüntetni és minden kapcsolódó dokumentációt archiválni kell.
Szerepkörök és Felelősségek
  • IT Menedzser: Felelős a felhőszolgáltatások beszerzéséért, használatáért, kezeléséért és befejezéséért, valamint a kockázatértékelésért.
  • Munkavállalók: Kötelesek betartani a felhőszolgáltatásokra vonatkozó biztonsági politikát és jelenteni az esetleges incidenseket.
  • Elérhetőség: Az elérhetőségi jogosultságokat az IT-01N -Elérési jogosultság.xlsx
Közmű szolgáltatások

Közmű szolgáltatás direkt szerződésekkel nem rendelkezünk, az ingatlan bérleti szerződés tartalmazza, ezen szolgáltatások díját. Tervezett áram kimaradás esetén annak időpontjáról az ingatlan tulajdonosa tájékoztatást ad. Az ezzel kapcsolatos teendőket (Pl.:IT-s infrastruktúrát a rendszergazda feladata felkészíteni) a vezetők egymás között egyeztetik.

Váratlan áramkimaradás esetén adat vesztés nem történik, a helyi szerverünk a szünetmentes tápnak köszönhetően biztonságosan leáll, a további adatok (pl.: vállalat irányítási rendszer adatbázisa) felhőben van tárolva.

Információbiztonsági Incidenskezelési Politika

Cél

Az információbiztonsági incidensek gyors azonosítása, kezelése és megoldása, valamint a jövőbeni incidensek megelőzése. Ez a politika megfelel a jogszabályoknak és az ISO 27001 szabványnak, és minden alkalmazottra, alvállalkozóra és partnerre vonatkozik.

Incidens bejelentése

Minden alkalmazott köteles azonnal jelenteni az incidenseket a rendszergazdának. Melyik eszköznél tapasztalt és mit tapasztalt. Első körben telefonon (+36 20 264 5926), ha 3 percen belül nem tudja elérni akkor E-mailen kell jelezni.

Azonnali intézkedés

A rendszergazda utasítást ad az incidens megszüntetése érdekében

Incidens azonosítása és értékelése

  • Az IT osztály felelős az incidensek azonosításáért és értékeléséért.
  • Az incidenseket alacsony, közepes és magas kategóriákba kell sorolni.

Incidens kezelése és megoldása

  • A súlyosságtól függően megfelelő lépéseket kell tenni az incidens kezelésére.
  • IT osztály felelős a normál működés helyreállításáért.

Felülvizsgálat és javítás

  • Az incidenseket követően elemzést kell végezni a jövőbeni megelőzés érdekében.
  • A politikát és eljárásokat rendszeresen felül kell vizsgálni.
  • Az incidenseket rendszergazdának írásban kell dokumentálni, beleértve az esemény időpontját, helyszínét, leírását és a bejelentő adatait. A GLPI rendszerében incidens bejelentésként rögzíti.

Bizonyítékok kezelése

  • Logok és naplófájlok: Minden releváns naplófájl összegyűjtése.
  • Elektronikus adatok: Biztonsági másolat készítése az érintett eszközökről.
  • Rögzített felvételek: A releváns kamerafelvételek begyűjtése.
  • Adatkezelés: A bizonyítékok biztonságos tárolása.
  • Dokumentálás: A bizonyítékok kezelésének részletes dokumentálása.

Incidenskezelési folyamat

  • Felhasználói bejelentések: Az incidenseket az it@famextools.hu címre kell jelenteni.
  • IT Support kezelési folyamata: Az IT Support azonnal vizsgálja és megoldja az incidenseket.
  • Ethical Hotline: Anonim bejelentési csatorna visszaélésekhez.

Az informatikai eszközbázist veszélyeztető helyzetek

Az információk előállítására, feldolgozására, tárolására, továbbítására, megjelenítésére alkalmas informatikai eszközök fizikai károsodását okozó veszélyforrások ismerete azért fontos, hogy felkészülten megelőző intézkedésekkel a veszélyhelyzetek elháríthatók legyenek.

Környezeti infrastruktúra okozta ártalmak, zavarok

  • Elemi csapás:
    • földrengés,
    • árvíz,
    • tűz,
    • villámcsapás stb.
    • Éghajlati anomália
    • Elektromágneses sugárzás, impulzusok
  • Környezeti kár:
    • légszennyezettség,
    • nagy teljesítményű elektromágneses energiamező,
    • elektrosztatikus feltöltődés,
    • a levegő nedvességtartalmának felszökése vagy leesése,
    • egyéb szennyeződés (pl. por).
    • korrózió vagy fagyás
  • Közüzemi szolgáltatásba bekövetkező zavarok:
    • feszültség-kimaradás,
    • feszültségingadozás,
    • elektromos zárlat,
    • csőtörés.

Emberi tényezőre visszavezethető veszélyek, zavarok

  • Szándékos károkozás:
    • behatolás az informatikai rendszerek környezetébe,
    • illetéktelen hozzáférés (adat, eszköz),
    • adatok- eszközök eltulajdonítása,
    • rongálás (gép, adathordozó),
    • megtévesztő adatok bevitele és képzése,
    • zavarás (feldolgozások, munkafolyamatok).
  • Nem szándékos, illetve gondatlan károkozás:
    • figyelmetlenség (ellenőrzés hiánya),
    • szakmai hozzá nem értés,
    • a gépi és eljárásbeli biztosítékok beépítésének elhanyagolása,
    • a jelszó gyakori megváltoztatásának az elmulasztása,
    • a megváltozott körülmények figyelmen kívül hagyása,
    • illegális másolattal vírusfertőzött adathordozó behozatala,
    • biztonsági követelmények és gyári előírások be nem tartása,
    • adathordozók megrongálása (rossz tárolás, kezelés),
    • a karbantartási műveletek elmulasztása.

A szükséges biztonsági-, jelző és riasztó berendezések karbantartásának elhanyagolása veszélyezteti a feldolgozás folyamatát, alkalmat ad az adathoz való véletlen vagy szándékos illetéktelen hozzáféréshez, rongáláshoz.

Az adatok tartalmát és a feldolgozás folyamatát érintő veszélyek

Tervezés és előkészítés során előforduló veszélyforrások

  • a rendszerterv nem veszi figyelembe az alkalmazott hardver eszköz lehetőségeit,
  • hibás adatrögzítés, adat-előkészítés, az ellenőrzési szempontok hiányos betartása.

 A rendszerek megvalósítása során előforduló veszélyforrások

  • hibás adatállomány működése,
  • helytelen adatkezelés,
  • programtesztelés elmulasztása.

A működés és fejlesztés során előforduló veszélyforrások

  • emberi gondatlanság,
  • szervezetlenség,
  • képzetlenség,
  • szándékosan elkövetett illetéktelen beavatkozás,
  • illetéktelen hozzáférés,
  • üzemeltetési dokumentáció hiánya.

Külső veszélyforrások

  • Malware
  • Bennfentes fenyegetés
  • Pszichológiai manipuláció
  • Rendszerbehatolás, betörés, hackelés
  • Jogosulatlan rendszerhozzáférés
  • Elektronikus úton történő zaklatás
  • Csalás
  • Megvesztegetés információszerzés céljából
  • Spoofing (pl. IP cím meghamisítása, betörés esetén elrejtése)
  • Ipari kémkedés
  • Rendszerekbe vagy hálózatba való behatolás

Szellemi tulajdonjog védelme

A szellemi tulajdonjog alatt, a cég működési módszereit (know-how), az álltalunk elkészített terv dokumentációt értjük, ennek védelme érdekében szabályzatokat alakítottunk ki, mint például:

  • Az előírások tudomásul vételét a munkavállalók aláírásukkal igazolják.
  • Projektvezetési információ átadás dokumentum.

Amennyiben a megrendelőnk szellemi tulajdont (műszaki dokumentáció, rajz, eljárás stb.) bocsájt rendelkezésünkre annak kezelését a partnerrel kötött szerződésben rögzítjük. A kapott szellemi tulajdont információ biztonsági szempontból osztályozzuk. Az osztályba sorolásnak megfelelően kezeljük.

Információ biztonság és -átadás

A cég tevékenységeihez kapcsolódó dokumentumok (Pl.: Értékesítés itiner, Beszerzés kézikönyv, Projektmanagement itiner), folyamatábrák, utasítások, szabályzatok tartalmazzák az információk átadásának módját és szabályait akár belső munkatársak akár külső ügyfelek felé, amelyeket szükség szerint szerződésekben, megrendelésekben, jegyzőkönyvekben, stb… rögzítünk.

Az informatikai eszközök környezete, azok védelme

A munkaállomásokra vonatkozó előírás

A munkaállomásokra vonatkozó használati előírások a HR-05SZ - Működési normák dokumentum „Számítógép használat” pontjában található.

Egyéb vagyonvédelmi előírások

  • a számítógép monitorát úgy kell elhelyezni, hogy a megjelenő adatokat illetéktelen személyek ne olvashassák el,
  • az informatikai eszközöket csak a kijelölt dolgozók használhatják,
  • az informatikai eszközök rendeltetésszerű működéséért a felhasználó felelős.
  • informatikai eszközt az IT Manager jóváhagyásával lehet kiadni a megfelelő átadás-átvételi jegyzőkönyv kitöltése mellett

Vírusvédelem

A Famex Tools Kft. az aktuálisan elvárható maximális biztonsági szint elérése érdekében bevezette a ESET által biztosított szolgáltatáscsomagot, mely biztosítja az eszközök, hálózatok, kommunikációs csatornák valós idejű védelmét. A vírusvédelmi eszköz minden a szolgáltatásban a Famex Tools Kft. által biztosított résztvevő fél eszközére kiterjed (kivételt képeznek azok az esetek, melyekben a software és a hardware felügyelete a Famex Tools Kft. hatáskörén kívül van).

A munkaállomások és profilokhoz kötődő vírusvédelmi beállításokat kizárólag a rendszer gazda képes módosítani.

A cég által használt végpontvédelmi, antivírus és antimalware szoftver naponta automatikusan frissül, ezáltal a legújabb vírus DNS-ek, algoritmusok és az adott időpontig ismert támadások ellen is nyújt védelmet.

Elektronikus adatok védelme

 a Microsoft környezetben áramló, tárolásra és/vagy megosztásra kerülő fájlok védelmének érdekében olyan Microsoft licenceket és kiegészítő szolgáltatások használ, melyek biztonságosabbá teszik a következő szolgáltatásokat, felületeket:

a)       Microsoft Outlook: a levelekhez csatolt fájlok ellenőrzése, levelekben megosztott linkek valódiságának és veszélytelenségének ellenőrzése, „phishing” elleni védelem

b)      SharePoint, OneDrive, Teams: felhasználói tevékenység és fájlmegosztás közben védi az adott felületeket kártékony fájlok identifikációja és blokkolása által, „phishing” elleni védelmet nyújt ezen felületeken is, valós idejű észlelések által riasztja az rendszergazdát gyanús tevékenység vagy behatolási kísérlet esetén azon munkatársai számára, akik ügyfél-, pénzügyi-, informatikai rendszer-, fejlesztési-, és egyéb szenzitív adatokat kezelnek kötelezővé tette a két-faktoros autentikációt.

Mindezek az intézkedések, csoportos és egyéni felhasználói szabályok, kiegészítő védelmi szolgáltatások lehetővé teszik azt, hogy az a veszélyt jelentő vagy gyanús tevékenységekről még a bekövetkezésük előtt értesül és így proaktívan tudja kezelni és megelőzni akár a kifinomultabb támadási kísérleteket, a bizalmas adatok kiszivárgását vagy azokkal való visszaélést.

Az adatvédelmi szabályzat szerint, bármilyen nemű céges dokumentum/fájl tárolása személyi-, vagy hordozható számítógépen kizárólag akkor lehetséges, amennyiben az eszköz az eszközfelügyeleti rendszerben aktív, valamint ennek a tárolása indokolt. Alapértelmezetten minden munkatárs által létrehozott, szerkesztett vagy kezelt dokumentum/fájl tárolása a hálózati szerverünkön kell, hogy történjen.

Felhasználók információbiztonsági oktatása

A munkavállalók beléptetésekor, minden új munkavállaló részesül adatvédelmi és információbiztonsági képzésben. A tevékenység a HR-01SZ - Humán erőforrás-gazdálkodás szabályozása dokumentum szabályozza.

Az informatikai rendszer alkalmazásánál felhasználható védelmi eszközök és módszerek

Hardver védelem

A berendezések hibátlan és üzemszerű működését biztosítani kell. A működési biztonság megóvását jelenti a szükséges alkatrészek beszerzése. Az üzemeltetés, karbantartás és szervizelés rendjét külön utasításban kell szabályozni. A karbantartási munkákat tervezetten, körültekintően és gondosan kell elvégezni.

A munkák szervezésénél figyelembe kell venni:

        a gyártó előírásait, ajánlatait,

        a tapasztalatokat,

        a hardver tesztek által feltárt hibákat.

Alapgép szétbontását (kivéve a garanciális gépeket) csak az IT csapat munkatársai végezhetik el. Billentyűzet, monitor, nyomtató cseréjének idejét dokumentálni kell.

Az informatikai feldolgozás folyamatának védelme

Az adatrögzítés védelme

A Famex Tools Kft. az aktuálisan elvárható maximális biztonsági szint elérése érdekében bevezette az ESET által biztosított szolgáltatáscsomagot, mely biztosítja az eszközök, hálózatok, kommunikációs csatornák valós idejű védelmét, ezen túl az adattárolásra is biztonságos, védett megoldást nyújt. A Famex Tools Kft. a fizikai adathordozók alkalmazását kivezette, ezek alkalmazását központi szabályrendszerrel korlátozza / tiltja és adattárolásra, adattovábbításra a Microsoft által biztosított felhő alapú tárhelyet biztosítja a szolgáltatásban / támogatásban résztvevők részére. Fizikai adattároló használatát kizárólag a Rendszergazda írásos belegyezése után lehetséges. Adatrögzítésre vonatkozó irányelvek:

  • adatbevitel hibátlan műszaki állapotú berendezésen történjen,
  • tesztelt adathordozóra lehet adatállományt rögzíteni,
  • a bizonylatokat és mágneses adathordozókat csak e célra kialakított és megfelelő tároló helyeken szabad tartani,
  • Biztosítani kell továbbá a rögzített tételek visszakeresésének és javításának lehetőségét is.

Hozzáférési lehetőség:

  • bejelentkezési azonosítók használatával kell szabályozni, hogy ki milyen szinten férhet hozzá a kezelt adatokhoz. (Alapelv: a tárolt adatokhoz csak az illetékes szervezeti egységek személyei férjenek hozzá).
  • az adatok bevitele során alapelv: azonos állomány rögzítését és ellenőrzését ugyanaz a személy nem végezheti.
  • a hálózati eszközök, adminisztrációs eszközök rendszergazda jelszavát olyan helyen szükséges tárolni, melyhez kizárólag az IT Manager, az IT Manager vezetője és az Ügyvezető fér hozz. A tárolás helye lehet a felhő tárhely erre a célra kijelölt helye a megfelelő jogosultsági korlátozásokkal.
  • adatrögzítési folyamat bizonylatolása.

Biztonsági mentések, file-ok védelme

A vállalatnál részletesen kidolgozott biztonsági mentési politika van kidolgozva. A vállalatirányítási rendszer és az Office365 adatokon kívül minden adatot közvetlenül a helyi szerverünkön tárolunk. A szerverünkre a 3-2-1-es mentési startégiát alkalmazzuk. A mentések részletes leírása a IT-03SZ - Biztonsági mentés szabályzat taglalja

Szoftver védelem

Rendszerszoftver védelem

Biztosítani kell, hogy a rendszerszoftver naprakész állapotban legyen és a programok, programkönyvtárak mindig hozzáférhetők legyenek a felhasználók számára.

Felhasználói programok védelme

Programhoz való hozzáférés, programvédelem: A felhasználók számára korlátozva van a programok használata. csak olyan programokhoz használatához van hozzáférésük, amelyek a munkájukhoz szükséges.

A jelszavaknak az alábbi minimális követelménnyel kell rendelkeznie:

  • A hálózati jelszó legalább 8 karakterből álljon, kis és nagybetűk, valamint számok, egyéb írásjelek közül legalább 2 típusút tartalmazzon.
  • Az alkalmazáshoz szükséges jelszónak legalább 8 karakterből kell állni.
  • A jelszó nem lehet azonos a felhasználó névvel, annak becézett formájával, vagy könnyen visszafejthető kifejezéssel.
  • A hálózatba kötött számítógépek esetében a felhasználóknak a hálózati, illetve ennek hiánya esetén helyi bejelentkezési jelszavakat 90 naponta meg kell változtatniuk.
  • Ahol ezt az operációs rendszer támogatja, 5 sikertelen bejelentkezés után az operációs rendszernek le kell tiltani a felhasználó fiókját.
  • A jelszó megváltoztatásakor az új jelszó nem lehet azonos a korábban használt 6 jelszóval.
  • A jelszót nem szabad több személy között megosztani.
  • A felhasználók jelszavát a felhasználón kívül senki sem ismerheti.
  • A jelszót soron kívül meg kell változtatni, ha az illetéktelen személy tudomására jutott, vagy juthatott.
  • A szerverek és központi hálózati eszközök jelszavait, valamint a munkaállomások BIOS jelszavát olyan helyen szükséges tárolni, melyhez kizárólag az IT Manager, az IT Manager vezetője és az Ügyvezető fér hozz. A tárolás helye lehet a felhő tárhely erre a célra kijelölt helye a megfelelő jogosultsági korlátozásokkal.

Gondoskodni kell arról, hogy a tárolt programok, file-ok ne károsodjanak, a követelményeknek megfelelően működjenek. Lokális gépekre programot csak az IT csapat képes telepíteni.

Távoli Munkavégzés

Hozzáférés

A távoli munkavállalók számára csak a munkájukhoz szükséges rendszerekhez és adatokhoz biztosítunk hozzáférést. A hozzáférési jogosultságokat egy központi rendszerben kezeljük, amely lehetővé teszi a felhasználói tevékenységek monitorozását és naplózását.
A távoli munkavégzés cég által biztosított eszközöket lehet használni, amelyen a cégnél előírt álltalános szabályok teljesülne (pl.: vírusvédelem). Az IT csapat rendszeresen ellenőrzi a hálózati tevékenységeket a rosszindulatú szoftverek elkerülése érdekében.
Minden távoli munkavégzésre használt eszközt regisztrálni kell a vállalat eszközkezelési rendszerében. Az eszközökön tárolt adatokat rendszeresen biztonsági mentés alá kell vonni az adatvesztés elkerülése érdekében.

Vagyonelemek kezelése

Vagyonelem típusok táblázat:

Vagyonelem megnevezése Vagyonelem kezelésével kapcsolatos előírások
Üzleti folyamatok Üzleti folyamatokat szabályozó dokumentáció
Információ IT-01SZ - Informatikai biztonsági szabályzat
HW/SW IT-02SZ - Vagyonelemek kezelési szabályzata, GLPI
Humánerőforrás HR-01SZ - Humán erőforrás-gazdálkodás szabályozása
Ingatlan/Közmű Bérleti szerződés
Mobil/Internet szolgáltatások Szolgáltatói szerződések

Munkaállomások (user-ek)

Szoftvert az alkalmazott szabályrendszer által biztosítva kizárólag a rendszergazda telepíthet.

Külső helyről érkező adatokat az ESET által biztosított szolgáltatáscsomag ide kapcsolódó komponense automatikusan átvizsgál, szükség esetén karanténba helye, figyelmeztetés esetén a felhasználó értesít a rendszergazdát A vírusfelügyelet valós idejű, nem manualitáshoz kötött. Vírusfertőzés gyanúja esetén a rendszergazdát azonnal értesíteni kell. Új rendszereket használatba vételük előtt szükség szerint adaptálni kell, és tesztadatokkal ellenőrizni kell működésüket.
A cég informatikai eszközeiről programot, illetve adatállományokat másolni a jogos belső felhasználói igények kielégítésein kívül nem szabad.
A hálózati vezeték és egyéb csatoló elemei rendkívül érzékenyek, mindennemű sérüléstől ezen elemeket meg kell óvni. A hálózat vezetékének megbontása szigorúan tilos.
Informatikai eszközt és tartozékait helyéről elvinni a rendszergazda engedélye nélkül nem szabad.
A munkaállomások tekintetében továbbá a HR-05-SZ - Működési normák dokumentumban leírtakat is be kell tartani.
A munkaállomásokon futó operációs rendszerek frissítése rendszeresen ellenőrzött, telepítésük munkaidő vége után történik meg, miután a rendszergazda meggyőződött arról, hogy a frissítés nincs negatív befolyással az alkalmazott szoftverekre és a szolgáltatásokra.

Eszközök használatának elfogadásának kritériumai

Azoknak a vagyonelemeknek az használati feltételeit, amelyek információ biztonsági kockázattal járhatnak a rendszergazdának meg kell határoznia. Ezek közül a felhasználhatóság idejét a GLPI vagyonkezelő szoftverünkben tüntetjük fel. A további feltételek a IT-02SZ - Vagyonelemek kezelési szabályzat-ban találhatók.

Eszközök kockázatérétékelése

A kockázatértékelés célja, hogy azonosítsuk azokat a potenciális fenyegetéseket és sérülékenységeket, amelyek veszélyeztethetik informatikai rendszereink és adataink biztonságát. A IT-02SZ-03E - Vagyonelemek kockázatai dokumentum részletesen bemutatja azokat a folyamatokat, amelyek révén azonosíthatók, értékelhetők és rangsorolhatók a biztonsági kockázatok, valamint meghatározza a szükséges intézkedéseket a kockázatok minimalizálása érdekében.

Ez a szabályzat minden munkavállalóra vonatkozik, akiknek szerepe van az informatikai eszközök használatában és karbantartásában. A szabályzat betartása elengedhetetlen az adatvédelem, a rendszerek integritása és a szolgáltatások folyamatossága érdekében.

Figyelemmel kísérési tevékenységek

A vállalatnál üzemeltetett helyi tárhelyszolgáltatásra való bejelentkezési kísérletekről a rendszergazda azonnali E-mail értesítést kap. Továbbá a G-mail bejelentkezésekről is E-mail értesítést kap a rendszergazda, az Office365 bejelentkezéseket a Centrum Computer Kft. kezeli.

Internet hozzáféréssel kapcsolatos intézkedések

Az internet hozzáféréssel rendelkező gépen minden esetben működtetni kell a vírusvédelmet. A vírusok és az illetéktelen hozzáférések elkerülése érdekében az ESET által biztosított biztonsági szoftvereket alkalmazzuk. A tűzfal működése közben keletkező állományokat az üzemeltetőnek rendszeresen ellenőrizni kell. A dolgozók részére történő internetes hozzáférhetőséget, azon való keresés kiterjesztését a cégvezetés határozza meg.  Az irodában vendég Wifi hálózat működik, mely csökkentett sávszélességgel és a belső hálózattól teljes mértékben elszeparáltan üzemel, amely jelszóval védett melynek jelszavát félévente módosítjuk.

Naplózás

Az informatikai biztonság fenntartásának egyik alapvető eleme a rendszeres és részletes naplózás. A Famex Tools Kft. IT infrastruktúrájában különféle eszközök és rendszerek segítségével történik a naplózás, amely lehetővé teszi a tevékenységek nyomon követését, az incidensek azonosítását és a biztonsági ellenőrzések elvégzését.

1. Qnap Naplózási Rendszer

  • Naplózott adatok: A Qnap rendszer rögzíti, hogy ki és mikor jelentkezett be az egyes felhasználói fiókokba.
  • Cél: Az illetéktelen hozzáférések azonosítása, a felhasználói tevékenységek nyomon követése.
  • Elérhető információk: Bejelentkezések időpontjai, felhasználói fiók

2. Telefonhívások Naplózása

  • Szolgáltató által biztosított naplók: A telefonhívások naplózása a telefon szolgáltató által történik.
  • Cél: Visszaélések azonosítása.
  • Elérhető információk: Hívások időpontjai, hívószámok (utolsó két számjegy kitakarásával személyi jogok megőrzése érdekében), hívások hossza.

3. Számítógépek Naplózása

  • Felhasználói tevékenységek nyomon követése: A számítógépeken történő naplózás tartalmazza a bejelentkezési időket, a felhasználói tevékenységeket és a felhasználók által végzett műveleteket.
  • Cél: A rendszerhasználat ellenőrzése, a jogosulatlan hozzáférések megakadályozása.
  • Elérhető információk: Bejelentkezési időpontok, felhasználói aktivitás, futtatott alkalmazások.

4. Naplózási Irányelvek

  • Adatgyűjtés és tárolás: Minden naplófájlt biztonságosan tárolunk, és csak az arra jogosult személyek férhetnek hozzá.
  • Adatmegőrzés: A naplófájlokat a jogszabályi előírásoknak és belső szabályzatoknak megfelelően őrizzük meg, rendszeresen archiváljuk és biztonsági másolatokat készítünk róluk.

Hozzáférés és ellenőrzés: A naplófájlokhoz való hozzáférés korlátozott, csak a megfelelő jogosultsággal rendelkező személyek férhetnek hozzá. Az ellenőrzéseket rendszeresen

Beszállítók

Famex Tools mint szolgáltató vállalat az ügyfelei magas szintű kiszolgálásának, illetve a saját infrastruktúrájának, továbbá munkavállalóinak a napi munkavégzésükhöz kapcsolódó feladatok ellátásához, több beszállítótól vásárol terméket, további szolgáltatást.

A szerződéses és alkalmi beszállítók listája az Actual ügyviteli rendszerünkben az adott beszállító adatainál Extra adatként van feltüntetve, mint IT biztonsági osztályozás. Amennyiben nincs feltüntetve érték, abban az esetben a beszállító besorolása Alacsonyként kezelhető.  Az adott beszállítói nyilvántartó dokumentumot naprakészen tartásáért és folyamatos frissítéséért az Rendszergazda a felelős. A beszállítók besorolásának szabályrendszere segíti a Famex Tools Kft.-t az érzékeny adatok kezelésének és biztonságának megőrzésében. Az alacsony, közepes és magas kategóriák lehetővé teszik a megfelelő prioritások meghatározását és az intézkedések személyre szabását a kockázatok csökkentése érdekében. Ez a rendszer hozzájárul a biztonságos és megbízható beszállítói hálózat kialakításához és fenntartásához.

Ezt a listát maximum évente felül kell vizsgálni, illetve minden olyan esetben amikor a listán szereplő beszállító céggel kapcsolatosan bármilyen nem megfelelősség fellépett. A felülvizsgált eredménye alapján aktualizáljuk a minősítési kategóriáját.

AZ IT csapat vezetője abban az esetben, ha új alvállalkozót vagy beszállítót kell igénybe venni, akkor az alábbiak szerint meghatározza, a szolgáltatás besorolását:

  • Kritikus: Ide tartoznak azok a beszállítók, akik kritikus fontosságú adatokat (Csak C1 és C2) vagy szolgáltatásokat nyújtanak a vállalatnak, és a működésükhöz kapcsolódó bármilyen megszakadás vagy biztonsági incidens jelentős károkat (idő, pénz) okozhat a vállalatnak. Ez lehet például olyan IT-szolgáltató, amely felelős az üzleti rendszer működéséért vagy az érzékeny ügyféladatok tárolásáért és kezeléséért.
  • Közepes: Ezek a beszállítók olyan adatokat kezelhetnek(C3), amelyek bizalmasak vagy érzékenyek lehetnek, de nem számítanak kritikus fontosságúaknak és befolyásolhatják a szolgáltatás minőségét, információ biztonságát, de azonnali helyreállító megoldással rendelkezünk. Például internetszolgáltató vagy olyan beszállító, akik személyes adatokat, technológiai megoldásokat, műszaki dokumentációt vagy pénzügyi információkat kezelnek.
  • Alacsony (Kereskedelmi beszállítok): Ide tartoznak azok a beszállítók, akik nem kezelnek érzékeny vagy kritikus adatokat, és tevékenységük nem veszélyezteti a szolgáltatás minőségét, információ biztonságát(C4). Ez lehet például olyan beszállító, aki irodaszer vagy non-sensitive termékek szállításával foglalkozik.

A minősítési kategória:

  1. Teltétel nélkül igénybevehető
  2. Tiltott - nem vehető igénybe

Az információbiztonsági követelményeket az alvállalkozói szerződések megkötésekor szerződésben rögzítjük vagy az érintett partnerrel aláírattatjuk a HR-01E - Titoktartasi_Famex forma nyomtatványt. A két példányban készült nyomtatványt a személy anyagok között őrizzük meg.

Szállítói Kapcsolatok felülvizsgálata

A cég rendszeresen (teljesítésenként) felülvizsgálja a szállítói kapcsolatait annak érdekében, hogy ellenőrizze a tevékenységek, a technológia és az információbiztonság területén történt változásokat. Ennek során a következő lépéseket végezzük el:

  • Tevékenységek Felülvizsgálata: Vizsgáljuk, hogy a szállítók tevékenységei megfelelnek-e a Társaság által támasztott minőségi és biztonsági követelményeknek.
  • Technológiai Frissítések: Értékeljük, hogy a szállítók alkalmazott technológiái naprakészek-e, és megfelelnek-e a Társaság aktuális technológiai igényeinek.
  • Információbiztonsági Ellenőrzések: Ellenőrizzük, hogy a szállítók információbiztonsági intézkedései és gyakorlatai összhangban vannak-e a Társaság által elvárt szabványokkal és jogszabályi követelményekkel.

A felülvizsgálat célja, hogy biztosítsa a Társaság és partnerei közötti üzleti kapcsolatok megbízhatóságát és folyamatos fejlesztését. Az felülvizsgálat eredményei alapján szükség esetén fejlesztési javaslatokat és intézkedési terveket dolgozunk ki.

Amennyiben egy szállítót jóváhagytunk, a vállalat irányítási rendszerben korlátozás nélkül kijelölhető, amennyiben a szolgáltatással kapcsolatban probléma merül fel, ügyvezető felülbírálást követően tiltásra kerül.

Biztonságos hitelesítés

Banki adatok kezelése során a kétlépcsős azonosítást alkalmazunk, a kétlépcsős azonosítás során a kijelölt pénzügyi alkalmazott telefonjához van kötve a bejelentkezés és az átutalás.

Óraszinkronizálás

A vállalatnál használt informatikai eszközökön az óraszinkronizálás automatikusan történik.

 Az információs rendszerek védelme az auditvizsgálatok alatt

Az IT rendszert érintő audit vizsgálatokat csak és kizárólag úgy lehet elvégezni, hogy a rendszer gazda biztosítja. Az információk átadását és bemutatását külön jogosultságot ehhez kapcsolódóan nem adunk ki.

Egyéb rendelkezések

Az adott dokumentum és ahhoz kapcsolódó további, kiegészítő szabályzatokban nem részletezett folyamatokról, rendelkezésekről és előírásokról az alábbi jogszabályok rendelkeznek:

  • Magyarország Alaptörvénye
    • 2013. évi V. törvény a Polgári Törvénykönyvről
    • 2012. évi I. törvény a munka törvénykönyvéről
  • 2006. évi V. törvény a cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról
  • 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
    • Az Európai Parlament és a tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
    • 2000. évi C. törvény a számvitelről
  • 2007. évi CXXVII. törvény az általános forgalmi adóról
  • 1997. évi LXXX. törvény a társadalombiztosítás ellátásaira és a magánnyugdíjra jogosultakról, valamint e szolgáltatások fedezetéről
  • 2011. évi CXCI. törvény a megváltozott munkaképességű személyek ellátásairól és egyes törvények módosításáról
  • 1993. évi XCIII. törvény a munkavédelemről
  • 50/1999. (XI. 3.) EüM rendelet a képernyő előtti munkavégzés minimális egészségügyi és biztonsági követelményeiről
  • 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól
  • 1995. évi CXVII. törvény a személyi jövedelemadóról
  • 2007. évi II. törvény a harmadik országbeli állampolgárok beutazásáról és tartózkodásáról
  • 1999. évi LXXVI. törvény a szerzői jogról
  • 118/2001. (VI. 30.) Korm. rendelet a munkaerő-kölcsönzési és a magán-munkaközvetítői tevékenység nyilvántartásba vételéről és folytatásának feltételeiről
  • 2003. évi C. törvény az elektronikus hírközlésről
  • 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről
  • 33/1998. (VI. 24.) NM rendelet a munkaköri, szakmai, illetve személyi higiénés alkalmasság orvosi vizsgálatáról és véleményezéséről
  • 1997. évi CLV. törvény a fogyasztóvédelemről
  • 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról

A fent felsorolt jogszabályok változását a HR a jogi osztály vezetője és a DPO követi nyomon és erről kötelessége értesíteni az érintett osztályokat és munkavállalókat.

Back to top