főoldal | regisztráció | céginformáció | elérhetőségek | belépés | aktív pályázatok | pályázati arhívum | szolgáltatás ismertető

Elektronikus Közbeszerzési Rendszer Kft. Informatikai Biztonsági Szabályzata

1. kiadás / 2008.01.15.


1. Általános rendelkezések

1.1 IBSZ célja

Szerződéses és leendő partnereink tájékoztatása az Elektronikus Közbeszerzési Rendszer Tanácsadó és Szolgáltató Kft. (Elektronikus Közbeszerzési Rendszer Kft.) által üzemeltetett E-KR rendszer biztonsági és üzemeltetési folyamatainak kialakítása során alkalmazott szempontokról.

A szabályzat tartalmazza azon alapelveket és feltételeket, melyeket betartása biztosítja a rendszer folyamatos és biztonságos üzemeltetését.

A dokumentum nyilvánosan hozzáférhető, az Elektronikus Közbeszerzési Rendszer Kft. weboldalán az érvényben lévő szabályzat elérhető.


1.2 Az IBSZ kapcsolata az EKR Kft. Információbiztonság Irányítási Rendszerével

Az Információbiztonság Irányítási Rendszer tartalmaz nem publikus információkat, melyek veszélyeztetik annak fenntarthatóságát. A részletes eljárásokat a dokumentum hivatkozásai tartalmazzák.


1.3 A dokumentum hatálya

A szabályzat kiterjed:

  • Az Elektronikus Közbeszerzési Rendszer Kft. valamennyi, üzemeltetési, adatkezelési feladatot ellátó munkatársára
  • Szerződéses partnereinkre
  • A társasággal kapcsolatba kerülő természetes vagy jogi személyre a megállapodás és a titoktartási nyilatkozat alapján.


2. Az E-KR rendszer bemutatása

Az Elektronikus Közbeszerzési Rendszer Kft. szolgáltatása egy, a 257/2007. (X. 4.) Korm. rendelet előírásainak eleget tevő integrált, Internet alapú alkalmazáson keresztül a közbeszerzési eljárások elektronikus támogatására, elektronikus árlejtés lebonyolítására, tanácsadásra épül.

A közbeszerzési eljárások elektronikus támogatása és/vagy az online árlejtés segítségével
  • Támogatást adunk a közbeszerzési eljárások dokumentáció kezelésére
  • Automatikus értesítési, és belső kommunikációs rendszerrel segítjük a projekt nyomonkövetését, a határidők betarthatóságát, a teljes folyamat dokumentálását
  • Rugalmasabbá válik a részvételi és ajánlati dokumentációk kezelése
  • Az áralkun valamennyi résztvevő egyidőben vesz részt
  • Beépített rutinokkal támogatja a bonyolult résszempont rendszer értékelését és a döntéshozatalt
  • Lerövidül az ártárgyalás időszükséglete
  • Az árajánlat kérés és adás egyszerűsödik
  • Biztosítható az értékelés semlegességének és sértetlenségének védelme.

A belső biztonság és a külső szabályozásnak megfelelés érdekében a kommunikációt SSL kapcsolaton keresztül kell megvalósítani.

A szolgáltatói alkalmazásba történő belépést szofveres (felhasználó név, jelszó) és hardveres azonosítással (USB token) kell védeni, a hozzá rendelt jogosultsági szintekkel.

A szerver üzemeltetését folyamatos rendszerfelügyelet mellett, adatparkba elhelyezve kell biztosítani.

Az adattárolást a duplikált szerver megoldással, szerverenként tükrözött háttértárolóval kell megoldani.



3. Fogalmak és meghatározások

Alkalmazhatósági nyilatkozat (Statement of applicability)
Vizsgálati eredmény rögzítése arról, hogy a célok és a szabályozás egybeesnek a szervezet szükségleteivel.

Intézkedés
A kockázatkezelés eszközei, beleértve a szabályzatokat, eljárásokat, irányelveket, gyakorlatot vagy szervezeti felépítését, amelyek lehetnek adminisztratív, műszaki, irányítási vagy jogi természetűek.

Információbiztonság
Az információ bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése, biztosítása.

Bizalmasság megőrzése
Annak biztosítása, hogy az információ kizárólag az annak elérésére felhatalmazottak számára legyen hozzáférhető.

Érdekelt fél
Személy, vagy csoport, amelynek érdeke fűződik egy szervezet teljesítményéhez vagy sikeréhez

Hardcopy
Papíron rögzített információ, adat.

Információbiztonság
Az információ biztonságának, sértetlenségének és rendelkezésre állásának megőrzése, ezen kívül más tulajdonságok, mint hitelesség, számonkérhetőség, letagadhatatlanság és megbízhatóság.

Információbiztonsági Irányítási Rendszer (ISMS)
Az átfogó irányítási rendszernek az a része, amely- egy, a működési kockázatokat figyelembe vevő megközelítésen alapulva - kialakítja, bevezeti, működteti, felügyeli, átvizsgálja fenntartja és fejleszti az információvédelmet.

Kockázat
Egy esemény bekövetkezési valószínűségének és következményének kombinációja

Kockázat felmérés
A veszélyek, azok hatásának és az információ, valamint az információ feldolgozási folyamat sebezhetőségének felmérése, továbbá ezek előfordulási valószínűségének meghatározása.

Kockázatkezelés
Az, az eljárás, amely meghatározza, ellenőrzi, minimalizálja, vagy kiküszöböli azokat a kockázatokat, amelyek az információs rendszert veszélyeztetik, elfogadható, gazdaságos költségráfordítás mellett.

Fenyegetés
Egy nem kívánt incidens lehetséges oka, amely valamely rendszerben vagy szervezetben kárt okoz.

Rendelkezésre állás biztosítása
Annak biztosítása, hogy az információ elérésére felhatalmazott felhasználók a szükség szerinti időben az információhoz és a kapcsolódó eszközökhöz hozzáférjenek.

Sértetlenség megőrzése Az információ pontosságának, teljességének és a kapcsolódó feldolgozási eljárások védelme.

Vagyontárgy
Bármi, ami a szervezet számára érték

Valószínűség
Annak mértéke, hogy egy esemény milyen eséllyel következik be.



4. Az informatikai biztonság alapelvei

4.1 Általános alapelvek

A Elektronikus Közbeszerzési Rendszer Kft. tevékenységét támogató informatikai rendszerek, és ezen rendszerek által kezelt adatok bizalmasságát, sértetlenségét, rendelkezésre állását fenyegető veszélyek feltárására, elhárítására, megelőzésére, vonatkozó alapelveket, feladatokat és intézkedéseket az Információbiztonság Irányítási Kézikönyv, az Információbiztonsági Szabályzat tartalmazza.

4.2 Fizikai biztonság

Az Elektronikus Közbeszerzési Rendszer Kft.-nél a fizikai biztonság megvalósításának alapelve, hogy megakadályozza a jogosulatlan vagy illetéktelen hozzáférést a társaság informatikai eszközeihez, információ vagyonához. A védelem kiterjed a területek, berendezések védelmére.



5. Kommunikáció, az adatfeldolgozás és adatkezelés irányítása

Biztosítani kell az információ technológiai eszközök pontos és biztonságos üzemeltetését. Meg kell határozni valamennyi információ technológiai eszköz üzemeltetési, karbantartási szabályai, valamint a kapcsolódó felelősségi köröket.

A kommunikáció, adatfeldolgozás és adatkezelés irányítása az alábbi területekre terjed ki:
  • Üzemeltetési eljárások és felelősségek
  • Dokumentált üzemeltetési eljárások
  • Változtatáskezelés
  • Feladatkörök elhatárolása
  • Rendszertervezés és elfogadás
  • Kapacitáskezelés
  • Rendszerelfogadás
  • Rosszindulatú kód elleni intézkedések
  • Mobil kód elleni intézkedések
  • Mentés
  • Információmentés
  • Hálózatbiztonság kezelése
  • Hálózati intézkedések
  • Hálózati szolgáltatások biztonsága
  • Adathordozók kezelése
  • Az eltávolítható adathordozók kezelése
  • Adathordozók selejtezése
  • Információkezelési eljárások
  • A rendszerdokumentáció biztonsága
  • Fizikai adathordozók szállítása
  • Elektronikus üzenetküldés
  • Üzleti információs rendszerek
  • Auditnaplózás
  • Rendszerhasználat figyelemmel kísérése
  • Naplóinformációk védelme
  • Adminisztrátori és kezelői napló
  • Hibák naplózása
  • Órajelek szinkronozása


6. Hozzáférés ellenőrzés

A hozzáférési jogok kiadását az IE-4-2-3 Felhasználói jogosultság kezelés ISMS eljárás szabályozza.
  • Hozzáférés-ellenőrzés
  • Működési követelmény a hozzáférés-ellenőrzéshez
  • Hozzáférés-ellenőrzési szabályzat
  • A használó hozzáférésének kezelése
  • Használók regisztrálása
  • Előjogok kezelése
  • Használói jelszó kezelése
  • Használói hozzáférési jogosultságok átvizsgálása
  • Használók felelősségei
  • Jelszóhasználat
  • Felügyelet nélküli használói berendezések
  • Tisztaasztal- és tisztaképernyő-szabályzat
  • A hálózati hozzáférés ellenőrzése
  • A hálózati szolgáltatások alkalmazásának szabályzata
  • Használó hitelesítése külső csatlakozások esetén
  • Berendezések azonosítása a hálózatokban
  • Távoli diagnosztikai és konfigurációs kapu védelme
  • Elhatárolás a hálózatokban
  • Hálózati csatlakozás ellenőrzése
  • Hálózati útvonalválasztás ellenőrzése
  • Üzemeltetési rendszer hozzáférés-ellenőrzése
  • Biztonságos bejelentkezési eljárások
  • Használó azonosítása és hitelesítése
  • Jelszókezelő rendszer
  • Rendszer-segédprogramok használata
  • Kapcsolati időtúllépés
  • Az összeköttetési idő korlátozása
  • Az alkalmazás és információ-hozzáférés ellenőrzése
  • Információ-hozzáférés korlátozása
  • Érzékeny rendszerek leválasztása
  • Mobil számítógép használata és távmunka
  • Mobil számítógép használata és kommunikáció
  • Távmunka


7. Információ rendszerek beszerzése

Az infrastrukturális fejlesztéseknél, eszköz beszerzéseknél a kockázatelemzés alapján meghatározott biztonsági követelményeket kell figyelembe venni.
  • Információs rendszerek biztonsági követelményei
  • Biztonsági követelmények elemzése és előírása
  • Helyes feldolgozás az alkalmazásokban
  • Bemenő adatok érvényesítési ellenőrzése
  • A belső feldolgozás ellenőrzése
  • Üzenetek sértetlensége
  • Kimenő adatok érvényesítő ellenőrzése
  • Kriptográfiai intézkedések
  • Kulcsgondozás
  • A rendszerállományok biztonsága
  • Az üzemeltetési szoftverek ellenőrzése
  • Rendszervizsgálati adatok védelme
  • Programok forráskódjához való hozzáférés ellenőrzése
  • Biztonság a fejlesztési és támogató folyamatokban
  • Változtatásszabályozási eljárások
  • Alkalmazások műszaki átvizsgálása az üzemeltetési rendszer megváltoztatása után
  • Szoftvercsomagok megváltoztatásának korlátozása
  • Információk kiszivárgása
  • Kiszervezett szoftverfejlesztés
  • Műszaki sebezhetőség kezelése
  • A műszaki sebezhetőségek ellenőrzése
  • Az információbiztonsági incidensek kezelése
  • Az információbiztonsági események és gyenge pontok jelentése
  • Információbiztonsági események jelentése
  • Biztonsági gyenge pontok jelentése


8. Információbiztonsági incidensek kezelése

Az információbiztonsági incidenseket minden esetben dokumentálni kell a megelőző intézkedések meghozatala érdekében. Az információbiztonsági incidensek kezelését az IE-4-2-2 figyelemmel kísérés és incidens kezelés eljárásban szabályozzuk részletesen, mely az alábbi területekre terjed ki:
  • Az információbiztonsági incidensek és fejlesztések kezelése
  • Felelősségek és eljárások
  • Tanulságok az információbiztonsági incidensekből
  • Bizonyítékok gyűjtése


9. A működés folytonosságának irányítása

Az üzletmenet folytonosságának biztosítása érdekében a változó kockázatok szerint rendszeresen aktualizált üzletmenet folytonossági tervet kell kidolgozni és fenntartani.

Az Üzletmenet Folytonossági és Katasztrófaterv (továbbiakban BcpDrp) célja, hogy megvédje a szervezetet azoktól a váratlan hatásoktól, melyek az üzemszerű működést és/vagy az informatikai rendszert veszélyeztethetik. A Katasztrófaterv forgatókönyvet ad a felkészülésre és arra az esetre, hogy mit kell tenni, ha a nem várt esemény bekövetkezne.

9.1.1 A BCPDRP hatálya

9.1.1.a Személyi hatálya

Személyi hatálya kiterjed az Elektronikus Közbeszerzési Rendszer Kft. minden szervezeti egységére és dolgozójára, az EKR Kft.-vel szerződéses kapcsolatban álló szervezetre, személyre, ha a szerződés tárgya az informatikai rendszert érinti.

9.1.1.b Tárgyi hatálya

Tárgyi hatálya kiterjed az Elektronikus Közbeszerzési Rendszer Kft. kezelésében lévő minden informatikai eszközre és rendszerre, függetlenül attól, hogy az az Elektronikus Közbeszerzési Rendszer Kft. tulajdonát képezi vagy sem. Amennyiben katasztrófaelhárítás során vagy rendkívüli helyzetben más helyszínen történik munkavégzés, az adott helyszínen is érvényesíteni kell az itt leírtakat.

A szabályozás az alábbi területekre terjed ki:
  • A működésfolytonosság irányításának információbiztonsági szempontjai
  • Az információbiztonság befoglalása a működésfolytonosság irányításának folyamatába
  • Működésfolytonosság és kockázatfelmérés
  • Az információbiztonságot magukba foglaló működésfolytonossági tervek kidolgozása és megvalósítása
  • A működés folytonosságának tervezési keretrendszere
  • A működésfolytonossági tervek vizsgálata, fenntartása és újra felmérése


10. Követelményeknek való megfelelés

A társaság működésének alappillére a külső és belső szabályozás szerinti működés, a szabályzó rendszernek való megfelelés. Az informatikai rendszer megfelelésének szabályozása az alábbi területekre terjed ki:
  • Megfelelés a jogi követelményeknek
  • Az alkalmazandó jogszabályok meghatározása
  • Szellemi tulajdonjogok (IPR)
  • Szervezeti feljegyzések védelme
  • Adatvédelem és a személyes adatok bizalmassága
  • Információfeldolgozó eszközökkel való visszaélések megelőzése
  • A kriptográfiai ellenőrzések szabályozása
  • A biztonsági szabályzatoknak és szabványoknak való megfelelés és műszaki megfelelés
  • Megfelelés a biztonsági szabályzatoknak és szabványoknak
  • A műszaki megfelelés ellenőrzése
  • Információs rendszerek auditálási szempontjai
  • Információs rendszerek auditálási intézkedései
  • Információs rendszerek auditálási eszközeinek védelme


Kapcsolódó dokumentumok:
  • Információbiztonság Irányítási Kézikönyv
  • Információbiztonsági Szabályzat
  • IE-4-2-2 figyelemmel kísérés és incidens kezelés
  • Üzletmenet Folytonossági és Katasztrófaterv
© 2008 - 2010. Elektronikus Közbeszerzési Rendszer Kft.   |   +36-1-373-05-77   |   info@e-kr.hu