Weboldalunkon cookie-kat használunk a legjobb felhasználói élményért.

Részletek Elfogadom!

IBP

Információbiztonsági politika

 

Információbiztonsági nyilatkozat

 

A Consortix Kft. (a továbbiakban Consortix) Európa egyik vezető AML tanácsadóként a nemzetközi szabványoknak és ajánlásoknak megfelelő, piacvezető termékek és technológiák felhasználásával, magasan képzett munkatársainak segítségével nyújt megoldást az üzleti intelligencia, ezen belül a pénzmosás, terrorizmus finanszírozás és egyéb visszaélések ellen a pénzügyi szolgáltatók számára Az információbiztonságra vonatkozó tervezési feladatokat komplexitásában kezeli.

 

A Consortix alapvető érdeke az informatikai rendszerek és az azokon feldolgozott adatok, információk

 

  • bizalmasságának
  • sértetlenségének és
  • rendelkezésre állásának


biztosítása, az informatikai erőforrások hatékony és gazdaságos felhasználása, az információmenedzsment és a vonatkozó törvényi elvárások maradéktalan betartása.

 

Tekintettel arra, hogy az elektronikus információ fent felsorolt kritériumainak biztosítása eltér a klasszikus vagyonvédelmi feladatoktól, a Consortix információs vagyonának és informatikai erőforrásainak védelmére kialakított és bevezetett egy – a tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos – információbiztonsági szabályozási rendszert. Az informatikairányítás nemzetközileg elismert gyakorlatával összhangban elkészített szabályozó dokumentumok rendszerére együttesen információbiztonsági irányítási rendszer, vagy röviden IBIR néven hivatkozik jelen dokumentum.

 

A Consortix a megcélzott magas színvonalú működés érdekében az iparági jógyakorlat és a vonatkozó jogszabályok, különösképp az ISO/IEC 27001:2014, az Európai Általános Adatvédelmi Rendelet (GDPR) követelményeinek figyelembe vétele mellett alakította ki és tartja karban az információbiztonsági irányítási rendszerét (IBIR).

 

Az IBIR alkalmazásával a Consortix valamennyi munkatársa képes eleget tenni az információbiztonság vonatkozásában számára megfogalmazott elvárásoknak, így a Consortix képes folyamatosan magas szinten kiszolgálni ügyfeleit, példamutató adatkezelési gyakorlatával az ügyfelek Consortix-be vetett bizalmának megfelelni.

 

Az IBIR a Consortix számára lehetővé teszi a biztonságos, ugyanakkor tudatos kockázatvállalás mellett gazdaságos információkezelést, mely záloga a Consortix sikeres működésének.
A Consortix vezetése elkötelezte magát a tekintetben, hogy biztosítja az információbiztonsági irányítási rendszer működtetéséhez szükséges humán- és technikai erőforrásokat.

 

A Consortix folyamatosan törekszik arra, hogy az információbiztonsággal kapcsolatos céljai és elvei érvényesüljenek az előállított termékekben és szolgáltatásokban. Elkötelezte magát a hibamegelőző tevékenységek ösztönzésére, tevékenységének minden egyes elemének folyamatos javítására és fejlesztésére az életciklus modell alapján.

 

Az információbiztonsági politika hatálya

 

Személyi hatálya


Az Információbiztonsági Politika személyi hatálya kiterjed

 

  • a Consortix valamennyi szervezeti egységére és munkatársára;
  • a Consortix Kft.-vel szerződéses viszonyban tevékenykedő természetes vagy jogi személyre, jogi személyiséggel nem rendelkező szervezetekre, a velük kötött szerződés alapján.

 

Tárgyi hatálya


Az Információbiztonsági Politika tárgyi hatálya kiterjed minden információra és adatra, mely a Consortix Kft.-ben keletkezik, külső forrásból oda érkezik, illetve a Consortix Kft.-ből továbbításra kerül függetlenül annak adathordozójától, megjelenési formájától. A dokumentum tárgyi hatálya kiterjed továbbá minden olyan meglévő és jövőben használt adathordozóra és informatikai eszközre azok teljes életciklusában (a beszerzéstől a megsemmisítés, selejtezés illetve az értékesítés időpontjáig), amin a Consortix adatait tárolják, feldolgozzák, vagy amik a Consortix üzleti folyamatait támogatják, illetve az azok létrehozásával, működtetésével, használatával kapcsolatos tevékenységekre.

 

Területi, fizikai hatálya


Az Információbiztonsági Politika területi hatálya kiterjed minden olyan épületre, helyiségre, ahol a tárgyi hatály alá eső eszközök megtalálhatók.

 

Időbeli hatálya


Az Információbiztonsági Politika hatályba lépésének dátuma: 2022.03.01.
Az Információbiztonsági Politika visszavonásig érvényes.

 

Az Információbiztonsági politika minősítése


Az Információbiztonsági Politika nyilvános minősítésű dokumentum, tartalmát a Politika személyi hatálya alá tartozókon kívül megismerhetik például a Consortix partnerei és ügyfelei is.

 

Az Információbiztonsági Irányítási Rendszer végrehajtása során alkalmazott konkrét védelmi eljárások és megoldások a Consortix üzleti titkát képezik.

 

A Politika egy hivatalos nyomtatott példányát, valamint a hivatalos elektronikus változatát az információbiztonsági vezető tárolja.


Vezetés elkötelezettsége


A Consortix vezetése – felismerve és felmérve azt a kockázatot, melyet az elektronikus információfeldolgozás önmagában képez – elkötelezett az információ védelmében oly módon, hogy az a versenyképességét és image-t a jövőben javítsa és számára piaci előnyt jelentsen.

 

E célok érdekében az információbiztonsági irányítási rendszer meghatározza

 

  • az információvédelemmel kapcsolatos felelősségeket,
  • az információ biztonságos kezelésének eljárásrendjét,
  • az informatikai erőforrások védelmét,
  • az információbiztonsági incidensek kezelésének szabályait,
  • a számon kérés formáját és módját.

 

Az információ a társaság számára értéket képviselő vagyon, ennek megfelelően tehát kellőképpen védendő. Ez különösen igaz a pénzügyi szolgáltatók részére szolgáltatást nyújtó vállalkozások esetében, ahol a rendszerben kezelt információ nagy része az ügyfelek pénzügyi tranzakcióinak adatai.

 

Az információ és az információs rendszer megfelelő biztonságának a szervezet egészére kiterjedő kialakítása és fenntartása érdekében átfogó információbiztonsági kereteket kell kialakítani, amelynek a biztonsággal kapcsolatos általános irányokat és célokat tartalmazó biztonságpolitikát, biztonsági szabályzatokat, biztonsági követelményeket és eljárásokat részletező dokumentált biztonsági eljárásokat, továbbá megvalósított és ellenőrzött biztonsági kontroll mechanizmusokat kell tartalmaznia. A folyamat első lépése a vezetőség (menedzsment) által a megvalósítandó biztonsági célok és irányok meghatározása és kommunikációja.

 

Jelen Információbiztonsági Politika célja az információbiztonság menedzsment általi irányításának, az általános keretek követelményeinek és az információbiztonság támogatásának biztosítása. A megfogalmazottak célja az, hogy elfogadható szintre csökkentse a Consortix információbiztonsággal kapcsolatos kockázatait.

 

Erőforrások biztosítása


A Consortix vezetése elkötelezett az információbiztonsági irányítási rendszer működtetése és folyamatos fejlesztése mellett, ezért gondoskodik róla, hogy a szükséges technológiai és személyi feltételek mindenkor maradéktalanul rendelkezésre álljanak. Biztosítja az információbiztonsági irányítási rendszer zökkenőmentes működéséhez szükséges felelősségi és hatáskörök kialakítását a szervezetben, vállalja az információbiztonsági irányítási rendszer folyamatos fejlesztéséhez szükséges stratégiai döntések meghozatalát, a szabályzatokban szükséges módosítások végrehajtását és a rendszer működésének monitorozását, vezetői szintű ellenőrzését.

 

A vezetőség képviselője

 

Az információbiztonsági irányítási rendszer tervezésére, felügyeletére, irányítására és ellenőrzésére a Consortix vezetősége Információbiztonsági vezetőt nevez ki, aki teljes hatáskörrel rendelkezik annak megállapítására, hogy a társaság információbiztonsági irányítási rendszere a szabályzati környezetnek megfelelően működik-e, az információbiztonsági irányítási rendszer megfelel-e az ISO 27001 szabvány aktuális változatában foglalt követelményeknek és a hatályos törvényi előírásoknak, valamint az alkalmazott kontrollok összhangban állnak-e az ISO 27002 szabvány aktuális változatával, valamint az érvényes hazai és nemzetközi ajánlásokkal.


Az információbiztonsági vezető teljes utasítási jogkörrel rendelkezik információbiztonsági kérdésekben, joga és kötelessége az információfeldolgozó rendszert érintő változásokat, fejlesztéseket, beruházásokat információbiztonsági szempontból értékelni, a Consortix vezetését javaslatok, döntés előkészítő anyagok kidolgozásával segíti az információbiztonságot érintő határozatok meghozatalában, a meghozott intézkedéseket érvényesíti, azok hatásfokát folyamatosan méri és értékeli a Consortix vezetése által kitűzött célok teljesülése érdekében.

 

Az információbiztonsági vezető közvetlenül a Consortix vezetésének tartozik beszámolási kötelezettséggel, az információbiztonságot érintő kérdésekben a Consortix vezetésének tanácskozási joggal rendelkező tagja.


Vezetőségi átvilágítás


A Consortix a bevezetett IBIR rendszer megfelelő és eredményes működésének és folyamatos fejlesztésének érdekében az Ügyvezető felügyeletével rendszeresen belső felülvizsgálatokat hajt végre. A belső auditokat a Consortix Ügyvezetője rendelheti el az alábbiak szerint:

 

  • rendszeres belső auditálás az audittervnek megfelelően;
  • új szolgáltatás bevezetése, informatikai beruházás vagy az IBIR jelentős megváltozása esetén;
  • beszállítói vagy minősítő auditok előtt előauditként.


Az IBIR külső átvilágítása a tanúsító szervezet által meghatározott időközökben a Consortix Ügyvezetőjének felügyelete mellett végrehajtásra kerül.


Információbiztonsági menedzseri fórum


Annak érdekében, hogy az információbiztonságot és az IBIR rendszert érintő kezdeményezések és megoldások összhangba kerüljenek a Consortix vezetése által megfogalmazott biztonsági iránnyal és elképzelésekkel a Consortix Információbiztonsági menedzseri fórumot működtet, mely rendszeres időközönként ülésezik. A fórum tagjait az Ügyvezető, az Információbiztonsági vezető, a Technikai vezető és az általuk meghívott személyek alkotják. A fórum a döntéseihez felhasználja mindazon jelentéseket és szervezeti egységektől érkező észrevételeket, melyek érintik a Consortix információvagyonát és az IBIR rendszerét. A fórum jellemzően a következő feladatokat látja el:

 

  • Felülvizsgálja és jóváhagyja az IBIR rendszer adminisztratív védelmét alkotó dokumentumokat;
  • Meghatározza az információbiztonságot érintő felelősségeket;
  • Meghatározza és kijelöli a fejlődési irányt;
  • Felülvizsgálja és figyelemmel kíséri a biztonsági eseményeket;
  • Erőforrásokat allokál a feladatok elvégzésére.


Az információbiztonsági menedzsment fórum az IBIR legfelsőbb döntéshozó szerve.


Az információbiztonsági irányítási rendszer felépítése


Az IBIR a Consortix adminisztratív védelmi rendszerének részét képezi és szervesen kapcsolódik az Informatikai Stratégiához.

 

Az információbiztonsági irányítási rendszer az alábbi – szorosan egymásra épülő – dokumentumokból áll:

  • Információbiztonsági Politika,
  • Információbiztonsági Szabályzat,
  • Informatikai Stratégia,
  • Alkalmazhatósági nyilatkozat,
  • Adatvagyonleltár,
  • Adatérkép,
  • Vagyonleltár tájékoztató,
  • Területekre lebontott folyamatleírások,
  • Információbiztonsági kockázatmenedzsment módszertan,
  • Kockázatelemzés,
  • Informatikai Felhasználói Szabályzat,
  • Üzletment-folytonossági keretszabályzat,
  • Üzletmenet-folytonossági és Katasztrófaelhárítási Terv,
  • Fejlesztési szabályzat,
  • Rejtjelezési szabályzat,
  • Munkáltatói adatkezelési tájékoztató,
  • Honlap és önéletrajz megőrzés tájékoztató,
  • Éves képzési terv,
  • Adatfeldolgozási megállapodás,
  • CISO szolgálati melléklet,
  • Üzemeltetési szolgáltatás melléklet.

 

A Consortix Ügyvezetőjének feladata, hogy az IBIR jelen Politikában meghatározott elemeit megalkossa, kihirdesse, folyamatos karbantartásukról gondoskodjon.

 

Információbiztonsági Stratégia

 

A Consortix vezetése e korlátozott hozzáférésű dokumentumban rögzíti azokat a stratégiai lépéseket, melyek az informatikai biztonság hosszú távú fejlesztésével kapcsolatosak. A stratégia az előzetes kockázatelemzésekre épülve kerül kialakításra, és a stratégiát az Információbiztonsági menedzseri fórum határozza meg.


Információbiztonsági Szabályzat


Az Információbiztonsági Szabályzat (továbbiakban IBSZ) korlátozott hozzáférésű dokumentum, mely a Consortix információfeldolgozó rendszerének üzemeltetést ellátó személyzetnek, az információbiztonsági vezetőnek, valamint az adatgazdáknak a jogosultságait és kötelességeit határozza meg, részletesen kidolgozva azon eljárásrendeket, melyeket a kommunikáció során követniük kell. A szabályzat célja, hogy az informatikai erőforrások biztonságos működése biztosított legyen, a preventív, detektív és korrektív védelmi intézkedések üzemeltetése és működőképességének ellenőrzése jól definiált keretek között történjen, mindez technológia függetlenül.

 

A dokumentum részletesen szabályozza a kommunikációt a felhasználókkal, nem rögzítve a felhasználók kötelességeit.

 

Adatvagyonleltár


Az Információbiztonsági Szabályzat szerves részét képezi az adatvagyonleltár, mely minden egyes információvagyonhoz meghatározza

 

  • a vagyontárgy tulajdonosát,
  • a vagyontárgy tárolási szabályait,
  • a vagyontárgy értékét.

 

Az adatvagyonleltár kiterjed továbbá

 

  • a Consortix üzleti céljainak megvalósításában részt vevő informatikai eszközparkra (technológia), beleértve a hardver és szoftver komponenseket,
  • az alkalmazásokra,
  • a környezeti infrastruktúrára.

 

A naprakész adatvagyonleltárral kapcsolatos feladat és hatásköröket az IBSZ rögzíti.

 

Információbiztonsági kockázatmenedzsment módszertan


Biztonságra törekedni csak tudatosan vállalt kockázatokkal lehet. A kockázatelemzési módszertan rögzítése elengedhetetlen ahhoz, hogy a Consortix vezetése átfogó képet kapjon az információvagyon biztonsági kockázatairól, és a biztonságfejlesztéssel kapcsolatos döntéseket körültekintően hozza meg. Ennek elérése érdekében a Consortix a kvalitatív kockázatelemzés módszertanát alkalmazza az IBIR kialakítása és fejlesztése során. A Consortix kockázatelemzés módszertanának célja, hogy

 

  • szétválassza a kismértékű és elfogadható kockázatokat,
  • meghatározza az információk és informatikai rendszerek kockázati szintjeit, majd
  • a kockázati szint alapján végezze el a védelmi intézkedések kidolgozását.

 

A Kockázatelemzési módszertanban rögzített kárgyakoriság- és kockázati szint skála, továbbá a Vagyonleltárban rögzített kárértékek, a sebezhetőségek becsült bekövetkezési gyakorisága és kockázati szintek közötti kapcsolatot a módszertanban rögzített kockázati mátrix definiálja.


Informatikai Felhasználói Szabályzat


Az Informatikai Felhasználói Szabályzat célja egy követelményrendszer meghatározása a Consortix munkavállalóival szemben, mellyel a Consortix érdekeinek megfelelően a helyesnek és követendőnek tartott biztonsági és etikai normákat meghatározza.

 

A dokumentum részletesen szabályozza a felhasználók kötelességeit az informatikai eszközök használata során, meghatározza azokat a peremfeltételeket, melyek között a felhasználó kapcsolatot létesít az információfeldolgozó rendszer üzemeltetőivel, az információbiztonsági vezetővel, vagy az adatgazdával. A szabályzat részletesen kifejti a felhasználó által elvégezhető, és tiltott tevékenységeket, megadja a számonkérés formáját és módját, rögzíti a biztonsági események jelentésével kapcsolatos kötelezettségeket

 

E szabályzat képezi alapját a felhasználói oktatásoknak, melyeken a felhasználóknak kötelességük részt venni, és aláírásukkal elfogadni, hogy a szabályzat tartalmát megértették, magukra nézve kötelezőnek tekintik.


Üzletmenet Folytonossági és Katasztrófaelhárítási Terv


Az Üzletmenet Folytonossági és Katasztrófaelhárítási Terv biztosítja a meghatározott kritikus üzleti folyamatok és azokat kiszolgáló informatikai szolgáltatások folyamatos és rendeltetésszerű működését katasztrófának minősülő esemény bekövetkezése esetén is. A Consortix vezetése által elfogadott és kiadott Üzletmenet Folytonossági és Katasztrófaelhárítási Terv rögzíti a felkészülési fázis, kiesés kezelési fázis és helyreállítási fázisban végrehajtandó tevékenységeket, a felelősségi- és jogkörök rögzítése mellett.


Biztonságtudatosság, etika, oktatás


A Consortix vezetése fel kívánja hívni minden – a jelen dokumentum szervezeti hatálya alá tartozó – személy figyelmét arra, hogy az IBIR sikeres működtetéséhez elengedhetetlen a biztonságtudatos, felelősségteljes magatartás. Tekintettel arra, hogy minden biztonsági rendszer olyan erős, mint a rendszer leggyengébb láncszeme, a Consortix vezetése elvárja mindenkitől, hogy napi tevékenységét a szabályzatok figyelembe vételével végezze, senki ne adjon módot arra, hogy a Consortix rajta keresztül támadhatóvá váljék, vagy esetleg önmaga támadóként lépjen fel.


A Consortix vezetése hangsúlyozza, hogy bár az informatikával kapcsolatban az etikai kérdések még nincsenek teljes körűen tisztázva, nem váltak életünk szerves részévé, elvárja mindenkitől, hogy az IBIR által rögzített szabályokon túl azok szellemiségével összhangban tevékenykedjen és vegye figyelembe azt, hogy amely cselekedet az IBIR-ben nincs tiltva, az nem jelenti azt, hogy az a cselekedet etikus.


Annak érdekében, hogy az IBIR mindenki számára érthető és betartható legyen a Consortix éves rendszerességgel információbiztonsági oktatást szervez, melyen a megjelenés – a felmentettek kivételével – minden, a szabályzat személyi hatálya alá tartozó felhasználó számára kötelező! Az oktatások célja, hogy

 

  • mindenki alapismereteket szerezzen az információbiztonsággal kapcsolatban,
  • az IBIR-ben bekövetkezett változásokról mindenki értesüljön,
  • az időközben feltárt biztonsági események kiértékelésével mindenki átérezze az információvédelem szükségességét.