Készítő | információbiztonsági felelős | |
Verzió | 2.1 | |
Következő felülvizsgálat időpontja | 2022. július 19. | |
Dokumentum státusza | Végleges dokumentum |
A Budapest Főváros XIII. Kerületi Önkormányzat (a továbbiakban: Önkormányzat) elkötelezett a szolgáltatás alapú önkormányzat megvalósításában, amely magas szintű informatikai rendszerek kiépítését, üzemeltetését feltételezi. Ezen rendszerek olyan információkat, adatokat tárolnak, dolgoznak fel, olyan rendszerekhez kapcsolódnak, amelyek üzleti értelemben az önkormányzat számára kritikusak.
Az archiválási stratégia és végrehajtásának folyamata az elektronikus információs rendszerek biztonságának, rendelkezésre állásának egyik fontos eleme.
Az Önkormányzat megalkotja jelen archiválási szabályzatát, amely az Önkormányzat tulajdonában és kezelésében lévő központi elektronikus információs rendszerek és az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról szóló 466/2017. (XII. 28.) Korm. rendelet (továbbiakban: TrezorR.) szerint érintett adatok archiválás eljárási rendjét, folyamatait, felelőseit és felügyeletét határozza meg, szabályozza. A szabályzat kiegészítése az Önkormányzat hatályos információbiztonsági szabályzatainak.
A Polgármesteri Hivatal rendelkezik ISO 27001 információbiztonsági irányítási rendszerrel és ehhez kapcsolódóan biztonsági irányelvekkel, jelen szabályzatunk az irányelvek figyelembevételével készült.
Az archiválás célja, hogy az érintett szolgáltatások archivált adataiból az eredeti környezet teljes vagy részleges megsemmisülése esetén helyreállítható legyen az eredeti működés a működéshez szükséges hardvereszközök üzembe helyezését és alapvető infrastruktúra helyreállítását követően.
Az adattrezor-archiválási kötelezettség célja a Polgármesteri Hivatalnak, mint adatkezelőnek az e-ügyintézési kötelezettség teljesítésével összefüggő adatai sérüléséből eredő működési zavara esetén a működési képesség helyreállítása és az adatvesztés minimalizálása.
A jelen szabályzattal összefüggésben végzett tevékenység kapcsán a szabályzat kiterjed:
a) Az Informatikai Biztonsági Szabályzatban nevesített mentésért és archiválásért felelős szolgáltatásmenedzserre, aki elsődlegesen ellátja a mentés és archiválás üzemeltetési feladatait.
b) A Polgármesteri Hivatal és az Intézményműködtető és Fenntartó Központ Informatikai Osztálya, akik a szabályzat által érintett elektronikus információs rendszerek üzemeltetéséért felelősek.
c) A Polgármesteri Hivatal és az Egészségügyi Szolgálat NKft. érintett szolgáltatásainak adatkezelőire.
d) Az érintett szolgáltatások üzemeltetési feladatait ellátó külső vállalkozásokra.
e) A hatályos információbiztonsági szabályzatban kijelölt információbiztonsági felelős, aki felel a szabályozási környezet kialakításáért, a szabályzat naprakészen tartásáért, a szabályzat végrehajtásának ellenőrzéséért.
f) A Polgármesteri Hivatal Belső Ellenőrzés munkatársaira, akik az információbiztonság éves ellenőrzésének keretében vizsgálja a szabályzatot, a jogszabályi környezetet és a végrehajtást.
g) A jegyzőre, aki jelen szabályzat előírásainak érvényesítéséért, a szervezeti és technikai feltételeinek biztosításáért, a szabályzatban foglalt feladatok személyekhez rendeléséért és a kijelölt személyek munkaköri leírásában történő rögzítéséért, a szabályzat végrehajtásához szükséges technikai eljárási szabályok kidolgozásáért, eljárási rendben történő rögzítéséért, kiadmányozásáért felel.
A jelen szabályzattal összefüggésben végzett tevékenység kapcsán az Önkormányzat tulajdonát képező valamennyi informatikai, kommunikációs és adatátviteli eszközre, amely annak informatikai rendszerével elektronikusan kapcsolatban van.
– az elektronikus ügyintézés és a bizalmi szolgáltatás általános szabályairól szóló 2015. évi CCXXII. törvény;
– az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény
– az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Korm. rendelet,
– az elektronikus ügyintézéssel összefüggő adatok biztonságát szolgáló Kormányzati Adattrezorról szóló 466/2017. (XII. 28.) Korm. rendelet,
– a közfeladatot ellátó szervek iratkezelésének általános követelményeiről szóló 335/2005. (XII. 29.) Korm. rendelet,
– a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozásainak biztosításáról szóló 38/2011. (III. 22.) Korm. rendelet,
– az Európai Parlament és a Tanács 910/2014/EU rendelete (2014. július 23.) a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről – a továbbiakban eIDAS Rendelet.
A szabályzathoz szorosan kapcsolódik az Önkormányzat Információ biztonsági politikája és a munkatársak számára információbiztonsági előírásokat tartalmazó Felhasználói biztonsági kézikönyv, az Információbiztonsági Szabályzatok (továbbiakban: IBSZ). A Polgármesteri Hivatal iratkezelési szabályzata, az adatvédelmi szabályzata, adatbiztonsági szabályzata.
Az elektronikus információs rendszerek archiválási paraméterei (archiválás típusa, gyakorisága, archív állomány fellelhetősége, archiválással érintett adatkörök) a Secube információbiztonsági menedzsment rendszer Inventory moduljában, az adott elektronikus információs rendszer rendszerelem leltár űrlapján van rögzítve.
Azok az elektronikus információs rendszerek, amelyek az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény 25. § (4a) bekezdése szerint az elektronikus ügyintézéssel kapcsolatos nem minősített adatokat kezelik. A Hivatal azon adatkörök archiválását valósítja meg, melyek nyilvántartására jogszabály alapján kifejezetten köteles, illetve amely adatok rendelkezésre állása a mindennapi működéshez, az elektronikus ügyintézés biztosításához feltétlenül szükséges.
Az archiválási osztálybasorolást a szabályzat felülvizsgálatakor dokumentáltan felül kell vizsgálni.
ssz. | Megnevezés | Rövidnév | Támogatott tevékenység (alapfunkció) | Adatkezelő | Archiválás osztály | |
1. | DMS ONE iratkezelő rendszer | DMS | Alapfunkciója az iratkezelés és a szociális segélyezés támogatása. A program fenntart önálló személy-, szervezet- és címnyilvántartást. A kimenő iratokhoz tartozó dokumentumokat tárolja. | jegyző | 4. | |
2. | EcoSTAT integrált gazdálkodási szakrendszer | ECO | Az önkormányzat gazdálkodási, pénzügyi feladatainak és folyamatainak támogatását megvalósító integrált szakrendszer. Kimenő iratokhoz tartozó dokumenumokat tárolja, önálló személy-, szervezet- és címnyilvántartást tartalmaz. | jegyző | 4. | |
3. | Govcenter iparkereskedelmi szakrendszer | GOV | Üzletek működésének-, telep- és szálláshely engedélyező és nyilvántartó szakrendszere. A kerületben működő, telephellyel rendelkező kereskedelmi vagy szállásadói tevékenységet végző vállalkozások nyilvántartásának szakrendszere. | jegyző | 4. |
ssz | Rövidnév | Futtatási környezet archiválása (igen/nem) | Egy teljes mentés mérete (Mbyte) | Archiválásra használt eszköz | Archiválás rendszeressége | Archiválás típusa | |
1. | DMS | igen | 25000 | HDD | heti | teljes | |
2. | ECO | igen | 50000 | HDD | heti | teljes | |
3. | GOV | nem | 250 | HDD | heti | teljes |
a) Felelős a feladatok személyekhez rendeléséért és a kijelölt személyek munkaköri leírásában történő rögzítéséért.
b) Biztosítja a szervezeti és technikai feltételeket.
c) Az elvégzett munkáról éves beszámolóban tájékoztatja a vezetőséget.
a) Felel az archiválási rend műszaki kidolgozásáért, technikai megvalósításáért.
b) Felelős a megvalósított archiválási rend rendszeres tesztelésének végrehajtásáért, dokumentálásáért, a tesztelések kiértékeléséért.
c) Felelős a szabályozási környezet kialakításáért, rendszeres felülvizsgálatáért.
e) Az Állami Futárszolgálat, a Nemzeti Infokommunikációs Szolgáltató Zrt. (továbbiakban: NISZ Zrt.) és a Belügyminisztérium Elektronikus Ügyintézés Felügyleet Főosztálya (továbbiakban: EÜF) kapcsolattartója. Felel az Állami Futárszolgálat és NISZ Zrt. felé a TrezorR. kapcsolatos feladatok, jelentési kötelezettségek ellátásáért.
f) Ellenőrzés esetén a Belső Ellenőrzés-, az ISO minőségirányítási rendszert ellenőrző vállalkozás- és az EÜF munkatársaival együttműködik.
g) Secube információbiztonsági menedzsment rendszer archiválási aspektusainak naprakészen tartása.
a) Felelős az archiválás rendszerszintű menedzsmentjéért, beleértve a szabályrendszer beállításáért, ellenőrzéséért, riportok készítéséért.
b) Feladata archiválási job-ok beállítása.
c) Hivatali szinten elvégzi és felügyeli az adattrezor archiválást és a visszaállítási teszteket, az előírások betartását.
d) Véleményezi az alkalmazott archiválási megoldásokat.
e) Figyelemmel kíséri az archiválási problémákat és kockázatokat.
f) Figyelemmel kíséri az archiválást, gondoskodik annak helyi beállításairól, a hibaelhárításról és a visszaállításról.
g) Felelős az archiválási média ellenőrzéséért és rendelkezésre állás biztosításáért.
h) Felelős az archiválás folyamatának és eredményének ellenőrzéséért.
i) Felel az adattrezor munkalap naprakész vezetéséért, tárolásáért.
a) Felel az érintett elektronikus információs rendszerek mentési és archiválási gyakorlatának kialakításáért az IBF-el együttműködve.
b) A mentésért és archiválásért felelős szolgáltatásmenedzserrel együttműködve kialakítja, műszakilag megvalósítja az érintett elektronikus információs rendszer archiválási környezetét.
c) Együttműködik a mentésért és archiválásért felelős szolgáltatásmenedzserrel a felmerült hibák kezelésében, elhárításában.
Felel a kijelölt szolgáltatások, elektronikus információs rendszerek érintett adatkörei esetében az archiválási besorolásért az IBF-el együttműködve.
A bevezetett ISO 27001 Információbiztonsági Irányítási Rendszer a Kockázatkezelési Irányelvekről az MKI/M03 dokumentumban rendelkezik. A kockázatmenedzsment a Secube információbiztonsági menedzsment rendszer Risc moduljában történik. Az egyes elektronikus információs rendszerek archiválási besorolását a hatályos kockázatvizsgálat alapján sorolja be az információbiztonsági felügyelő.
A 4. pontban részletezett szolgáltatások kijelölt adatállományait az adott elektronikus információs rendszer készíti elő mentésre és archiválásra. Automatizáltan elkészíti az adatbázismotor dump állományát. Az archív állományok minden hétvégén az információs rendszerek teljes mentésekor állnak elő.
Az archiválás az Egészségügyi Szolgálat nKft. Visegrádi úti szakrendelőjének szerverszobájában található dedikált SAN eszközére történik.
Az elektronikus információs rendszereken a mentési és archiválási rendszer távoli ügynöke fut, amely a központi rendszerben beállított ütemezéssel elvégzi a mentési és archiválás feladatokat.
A 4.2 pontban felsorolt rendszerek esetében egy ütemezett script a megjelölt állományokat minden hét vasárnap ütemezetten tömöríti és az adattrezor.hivatal.bp13.hu dedikált kiszolgáló külső HDD meghajtójára is másolja. Az adattrezor archiváláshoz a Hivatalnak biztosítani kell a megfelelő számú adathordozó egységet.
A script a helyreállításhoz szükséges dokumentációkat és üzletmenetfolytonossági terveket is a meghajtóra másolja.
Az archiválási feladatok végrehajtását naplózza az archiválási rendszer. A naplóállományt a IBSZ-ben nevesített informatikai szolgáltatásmenedzsment rendszernek továbbítja automatizáltan a központi archiválási rendszer és a TrezorR. által előírt feladatokat végrehajtó script.
A 4.2 pontban felsorolt rendszerek esetében az adattrezor küldésre előkészített állományokat adattitkosító alkalmazás automatikusan betitkosítja az IBSZ Titkosítási eljárási rendje szerint használt és tárolt titkosító kulccsal. A titkosításnál minimum elvárás a 192 bites titkosító kulcs és az AES algoritmus használata.
Az Állami Futárszolgálat adatlapján nevesített felelős az archív állomány kiírását követően rögzíti az archiválás tényét és feljegyzi az adathordozó gyári számát és a plomba azonosítóját későbbi ellenőrzések, illetve visszakereshetőség érdekében a Futárjegyzékre. Ezt követően az archiválásért felelős személy kinyomtat egy listát, hogy mely mentési állományok és rendszerek kerültek archiválásra, ezeket az archivált állományt tartalmazó adathordozóval együtt a KAT dobozba helyezi.
Elhelyezi a KAT szállító dobozban az előkészített HDD-t és a dobozt plombával látja el. Kinyomtatja a Futárjegyzéket.
Az archivált állományokról szóló táblázatot elektronikusan továbbítja a NISZ Zrt. megjelölt címére.
A táblázat tartalmazza:
a) az archiválás időpontját,
b) Konténer vonalkódját,
c) Plomba számát,
d) Archívum típusát (Teljes/Inkrementális),
e) Mentés méretét (Mbyte-ban),
f) Futtatási környezet mentése megtörtént-e.
Gondoskodik a Futárszolgálat részére az átadásról és az elszállítás Futárjegyzéken történő dokumentálásáról.
Az archiválásról készített naplóállomány az informatikai szolgáltatásmenedzsment rendszerben jelenik meg. A mentésért és archiválásért felelős szolgáltatásmenedzser feladata ellenőrizni az archiválás lefutását és a szolgáltatásmenedzsment rendszerben jelezni az ellenőrzés tényét. Hiba esetén köteles intézkedni a hiba kivizsgálásáról és elhárításáról az IBSZ Üzemeltetés biztonsága fejezet szerint eljárva.
Az archiválás tételes dokumentálása a mentésért és archiválásért felelős szolgáltatásmenedzser feladata és felelőssége.
A Futárjegyzéket, az elektronikusan keletkezett naplóállományokat és a NISZ Zrt. részére küldött EIR táblázatokat 1 évre visszamenőleg meg kell őrizni, hogy hatósági ellenőrzéskor bemutathatóak legyenek.
a) Az archiválás és a visszatöltés tesztelése évente kötelező. A tesztelés elvégzésének, dokumentálásának felelőse a mentésért és archiválásért felelős szolgáltatásmenedzser.
b) A visszatöltési teszteket kötelezően kell végezni az alábbi esetekben:
– Az archiválási infrastruktúrát érintő jelentős változások esetén.
– Eseti jelleggel, a visszatöltési tesztek tapasztalatai alapján.
– Évente, a teljes archiválási dokumentáció felülvizsgálatakor, módosításakor.
c) Az archiválás teszteléséről jegyzőkönyvet kell készíteni a Secube információbiztonsági menedzsment rendszerben a következő tartalommal:
– Tesztelés időpontja, érintett elektronikus információs rendszer(ek) és adatállományok.
– Archív állomány típusa (központi archiváló rendszer, előző KAT, kikért KAT) és dátuma.
– Tesztelésben résztvevők személye.
– A tesztelés folyamata és időtartama.
– A teszt szerver megnevezése.
– Tapasztalatok, észrevételek, intézkedési javaslatok.
d) A tesztelést kijelölt teszt szerveren kell végrehajtani, az éles munkakörnyezettől hálózatilag lehatárolva.
e) A visszatöltési tesztek tapasztalatai alapján szükség esetén elvégzendő a visszatöltéshez kapcsolódó dokumentációk frissítése. A visszatöltési idő összehasonlítandó a korábbi tesztek eredményével, hogy a visszatöltési időben bekövetkező kedvezőtlen trendek időben észlelhetők legyenek.
Minden, a Secube információbiztonsági menedzsment rendszerben nevesített elektronikus információs rendszerről min. évente készül snapshot, amely az adott elektronikus információs rendszert futtatő virtuális szerver teljes mentését tartalmazza. A snapshotok 1–1 példányának tárolása az Egészségügyi Szolgálat NKft. Visegrádi úti telephelyén a szerverszobában lévő páncélszekrényben illetve a Polgármesteri Hivatal 4. emeleti Informatika helyiségben elhelyezett páncélszekrényben történik.
A teljes archivált állományokat a központi mentési és archiválási rendszerben minimum 2 hétig kell megőrizni.
A TrezroR. által érintett szolgáltatások esetében az átadott KAT dobozokban 2 hét teljes állománya érhető el.
Az adathelyreállítás lépéseit az adott elektronikus információs rendszer üzletmenetfolytonossági terve tartalmazza. Az üzletmenetfolytonossági tervekre vonatkozó részletes szabályozás az IBSZ Üzletmenet-folytonosságra vonatkozó eljárásrendje tartalmazza.
Az archiválási feladatok végrehajtásáról az Önkormányzat információbiztonsági feladatainak végrehajtásáról szóló éves beszámoló részeként a jegyző beszámol az Önkormányzat tisztségviselői előtt.
Az archiválási feladatok végrehajtását az Önkormányzat információbiztonsági feladatainak végrehajtásáról szóló éves belső ellenőri vizsgálat részeként évente ellenőrzi a Belső Ellenőrzés.
a) Az EÜF helyszíni ellenőrzésről történő értesítése esetén a jelen pontban rögzített eljárásrendet kell alkalmazni a Hivatalban.
b) Az adattrezor archiválás folyamatának vizsgálata, feladatai végrehajtásának ellenőrzése a Polgármesteri Hivatalban történik.
c) Az EÜF írásban értesíti az adattrezor archiválás feladat végrehajtásáért felelős személyt, a jegyzőt az ellenőrzés időpontjáról, várható időintervallumáról és az ellenőrzés tartalmáról, műszaki előfeltételeiről (pl. tesztrendszer biztosítása).
d) Az ellenőrzés folyamán az információbiztonságért felelős személy köteles folyamatosan az EÜF rendelkezésére állni, illetve a Hivatalon belül az ellenőrzéssel kapcsolatos feladatokat koordinálni.
e) Az ellenőrzés során sor kerülhet interjúkra, az archiválási folyamat megfigyelésére, melyet a Hivatal munkatársai támogatnak.
f) Az ellenőrzésről készült vizsgálati jelentés megállapításaira, a feltárt hiányosságokra a polgármester intézkedési tervet ad ki, amelyet az információbiztonsági felelős és az érintett felelősök végrehajtanak határidőre. A végrehajtásról jegyzőkönyv készül, amelyet a jegyző az EÜF megküld.
Jelen intézkedés 2021. július 19. napján lép hatályba.
Jelen intézkedés hatálybalépésével egyidejűleg hatályát veszti a Budapest Főváros XIII. Kerületi Polgármesteri Hivatal adattrezor archiválási szabályzatáról szóló XXIII/4–3/2018. (I. 25.) számú jegyzői utasítás.
Budapest, 2021. július 15.
Dr. Bujdosó Sándor s. k.
jegyző