hétfő, február 06, 2012
   
Méret
Bejelentkezés

Adatbiztonsági szabályzat

Az Interface Kft. adatbiztonsági szabályzata

1.       Általános követelmények

1.1.    Információbiztonsági politika

Az Interface Kft. (továbbiakban: Társaság) vezetősége elkötelezett az MSZ ISO/IEC 27001:2006 szabványnak megfelelő Információbiztonság Irányítási Rendszer (továbbiakban: IBIR) működtetése mellett. Az elkötelezettség a Társaság információbiztonsági irányítási rendszer (továbbiakban: Integrált rendszer) dokumentumok között elhelyezett politikában jelenik meg.

A Társaság vezetősége az IBIR működésének kezelése céljából jelen szabályzatot (továbbiakban: Szabályzat) vezeti be, amely jóváhagyását követően minden érdekelt fél számára hozzáférhető, megismerhető. A Szabályzatot a vezetőségi képviselő készíti el és az ügyvezető igazgató hagyja jóvá.

A Szabályzatot meghatározott időközönként, illetve lényeges változások bekövetkezésekor, át kell vizsgálni annak biztosítására, hogy továbbra is alkalmas, helytálló és hatékony maradjon. Az átvizsgálással kapcsolatos feladatokat évente legalább egy alkalommal a vezetőségi képviselő végzi el.

A Szabályzat megismerését minden érintett Felhasználói nyilatkozat kitöltésével köteles igazolni. A Felhasználói nyilatkozat jelen szabályzat mellékletében került elhelyezésre.

2.      Az információbiztonsági szervezet

2.1.    Belső szervezet

A Társaság ügyvezetője az információbiztonságért felelős vezető, aki az IBIR működtetésével kapcsolatos feladatokat a vezetőségi képviselő útján látja el. A vezetőségi képviselő az IBIR működési feladatait megosztotta az információbiztonsági megbízottal, aki egyben a Társaság IT vezetője is. Az információbiztonsággal kapcsolatos feladatok jelen szabályozáson túl az Integrált rendszer dokumentumaiban és a dolgozók munkaköri leírásában kerültek meghatározásra.

Meglévő és új információ feldolgozó eszközökkel kapcsolatos jogosultságokat – az információbiztonsági megbízott előterjesztése alapján – az ügyvezető igazgató hagyja jóvá.

A Társaság információbiztonságra vonatkozó igényeit és követelményeit (bizalmasság, titoktartás) az információbiztonsági megbízott és vezetőségi képviselő javaslata alapján az ügyvezető igazgató határozza meg, aki jóváhagyást követően intézkedik ezen igények évente legalább egy alkalommal történő felülvizsgálatára.

A Társaság részéről az információbiztonsággal, kapcsolatos szervezetekkel, biztonsági fórumokkal és speciális érdekcsoportokkal felhatalmazás alapján a vezetőségi képviselő tartja a kapcsolatot.

A Társaság az IBIR rendszer működését belső auditokkal is vizsgálja. A belső auditok előírására, végrehajtására vonatkozó szabályokat az Integrált rendszer belső auditálására vonatkozó eljárás tartalmazza.

2.2.   Külső ügyfelek

A Társaság azonosítja a szervezet információit és információ-feldolgozó eszközeit fenyegető kockázatokat, amelyek olyan működési folyamatokból származnak, amelyekben külső ügyfelek vesznek részt, hogy ezekkel szemben megfelelő intézkedéseket kell hozni és érvényesíteni a hozzáférési jog megadása előtt. Foglalkozni kell valamennyi azonosított biztonsági követelménnyel, mielőtt a szervezet hozzáférést biztosít információihoz, illetve vagyontárgyaihoz az ügyfelek számára.

A harmadik felekkel kötött megállapodásoknak (szerződéseknek), beleértve a szervezet információihoz, illetve információ feldolgozó eszközeihez váló hozzáférési, azok feldolgozását, kommunikálását, illetve kezelését, valamint termékeknek, illetve szolgáltatásoknak az információ feldolgozó eszközökhöz való hozzáadását, valamennyi vonatkozó biztonsági követelményt tartalmazniuk kell.

3.      Vagyontárgyak kezelése

3.1.    Felelősség a vagyontárgyakért

A Társaság minden információs vagyontárgyát azonosítja, nyilvántartja. A nyilvántartást az információbiztonsági megbízott leltár keretében készíti el, amelynek 3 évig történő megőrzéséről gondoskodik. A leltárban az egyes vagyontárgyak mellett azok tulajdonosát (kezelőjét, használóját) is meg kell jelölni.

Az információk, és az információfeldolgozással összefüggő vagyontárgyak használatára vonatkozó szabályokat az információbiztonsági megbízott javaslata alapján a vezetőségi képviselő határozza meg.

3.2.   Információk osztályozása

A Társaság információ rendszer fenyegetettségének (bizalmasság, sértetlenség, rendelkezésre állás elvesztése) csökkentése céljából – az ITSEC és TCSEC ajánlásokat is figyelembe vevő ITB ajánlással azonos módon – a Társaság információ struktúrájában értelmezett vagyontárgyakat:

  • alap,
  • fokozott,
  • kiemelt biztonsági osztályokba kell sorolni.

Az egyes biztonsági osztályokat a következő rendszerelem csoportok szerint kell rendszerezni:

  • infrastruktúra,
  • hardver, szoftver,
  • adathordozók (adatok),
  • dokumentumok és feljegyzések,
  • kommunikáció,
  • humán erőforrás.

A biztonsági osztályokon belül minden egyes rendszerelem csoportra vonatkozóan meg kell határozni az alapvető, fokozott illetve kiemelt intézkedések (maximális védelem) szabályait.

4.      Emberi erőforrások kezelése

4.1.    Az alkalmazást megelőzően

Az alkalmazottak, szerződő félek és harmadik felek, mint felhasználók, információbiztonsággal összefüggő feladat- és felelősségi körét a Társaság Minőségirányítási Kézikönyvével azonos módon határozzuk meg.

Az információ osztályozásának és az érzékelt kockázatoknak megfelelően, valamint a működés által megkívánt mértékben valamennyi állasra pályázó, szerződő vállalkozót, felhasználót át kell vizsgálni, át kell világítani.

Az alkalmazási szerződésük feltételei, és kikötései között rögzíteni kell az alkalmazottak és a szervezet információbiztonsággal kapcsolatos felelősségét.

4.2.   Az alkalmazás időtartama alatt

A Társaság vezetősége megköveteli illetve elvárja az alkalmazottaktól, a szerződőktől, hogy az információbiztonságot a szervezet áltál meghatározott politikáknak és eljárásoknak megfelelően alkalmazzák.

A Társaság valamennyi alkalmazottját és, ahol ez jelentőséggel bír, a szerződőket megfelelő, tudatosító képzésben részesíti, és a munkaköri feladataiknak megfelelően a szervezeti szabályzatok és eljárások tekintetében rendszeresén friss ismeretanyaggal látja el.

A Társaság a biztonsági előírásokat megsértő alkalmazottakkal szemben fegyelmi eljárást kezdeményez illetve folytat le.

4.3.   Az alkalmazás megszűnése illetve megváltozását követően

A Társaság vezetője a vezetőségi képviselő javaslata alapján egyértelműen meghatározza a munkavállalók alkalmazásnak megszüntetésekor, illetve annak megváltoztatásakor fennálló felelősségeket és a felelősségek átadásának módját.

A munkavállalók alkalmazásnak megszüntetésekor, illetve annak megváltoztatásakor vagy egyéb szerződéssel munkát végzőknek írásban kell átadniuk valamennyi használatban lévő információs vagyontárgyat. A keletkező feljegyzést a személyügyi anyagban, vagy szerződés mellékleteként kell elhelyezni.

A munkavállaló alkalmazásnak megszüntetésekor, illetve annak megváltoztatásakor vagy egyéb szerződéssel munkát végzők információkhoz és információ-feldolgozó eszközökhöz való hozzáférési jogosultságát meg kell szüntetni vagy azt módosulás esetén a változáshoz kell igazítani.

5.      Fizikai védelem és a környezet védelme

5.1.    Területek védelme, biztosítása

A Társaság azokat a területeket, ahol információkat vagy információ-feldolgozó eszközöket tartanak, biztonsági határzónákat (zárt helység, zárható szekrény, belépés ellenőrzése) alkalmaz e területek védelmére.

A Társaság az alábbiak szerint meghatározta a társaság építményi és létesítményein belül az ún. biztonsági területeket:

  • Zárt terület (szerver torony)
  • Kiemelt terület (áramellátó helyiségek, raktárhelyiségek)
  • Ellenőrzött terület (irodák, folyosók)

A Társaság a biztonsági területekre (pl. szerver szoba) történő belépést megfelelő ellenőrzésével védi, hogy e területekre csak a belépésre jogosultak juthassanak be. Az irodák, helyiségek és létesítmények általános fizikái védelem biztosításával kerültek kialakításra (pl. kerítéssel határolt, zárható, őrzött, stb.).

A Társaság rendelkezik a használatban lévő építmények és létesítmények tűzvédelmére vonatkozó szabályzattal. A Társaság – a jogszabályi előírásokkal egyezően – kidolgozza az áradás, földrengés, robbanás, polgári zavargás, valamint a természeti és ember által előidézett katasztrófák (szabotázs) más formái által okozott károk elleni védelemre vonatkozó szabályozást (intézkedési terv, veszélyhelyzeti terv), amelyek ismeretét, alkalmazását oktatással és gyakorlattal biztosítja.

A Társaság meghatározza az ún. biztonsági területeken történő munkavégzés szabályait, amelyeket az érintett felekkel megismertet.

5.2.   Berendezések védelme

A Társaság információs struktúrájában értelmezett berendezéseket úgy helyezi el és védi, hogy gondoskodik a környezeti fenyegetésekből, a veszélyekből, valamint a jogosulatlan hozzáférés lehetőségéből adódó kockázatok csökkentéséről, az alábbiaknak megfelelően:

  • A berendezéseket védeni kell a közüzemi létesítményekben bekövetkező meghibásodások (pl. csőtörés által) okozta áramkimaradásoktól és más kiesésektől.
  • Az adatátvitelt bonyolító, illetve az információszolgáltatásokat támogató elektromos energiaátviteli és távközlési kábelhálózatot zárt csatorna alkalmazásával védeni kell a lehallgatástól és a károsodástól.
  • A berendezéseket előírásszerűen karban kell tartani folyamatos rendelkezésre állásuk és sértetlenségük biztosítása érdekében.
  • A telephelyeken kívül használt berendezések biztonságot nyújtsanak, figyelembe véve a szervezet telephelyein kívül történő munkavégzésből eredő különböző kockázatokat.
  • Valamennyi olyan berendezést, amely információtárolásra alkalmas tárolóeszközt foglal magában, ellenőrizni kell annak biztosítása érdekében, hogy az érzékeny adatok és engedélyezett szoftverek a selejtezést megelőzően eltávolításra, illetve biztonságos felülírásra kerüljenek.
  • Információs vagyontárgyak előzetes írásbeli engedély nélkül nem vihetők ki a telephelyekről.

6.      A kommunikáció és az üzemeltetés irányítása

6.1.    Üzemeltetési eljárások és felelősségi körök

A Társaság rendelkezik az információs struktúrájában értelmezett információ feldolgozó eszközökre vonatkozó karbantartott üzemeltetési eljárásokkal (pl. kezelési kézikönyv), amelyeket minden olyan felhasználó számára hozzáférhetővé tesz, akiknek arra szükségük van. Az egyes változatok nyilvántartásának vezetéséről, a módosítások követéséről az információbiztonsági megbízott gondoskodik.

A Társaság a vezetőségi képviselő (mint biztonsági felügyelő) útján gondoskodik arról, hogy az információs struktúrában értelmezett vagyontárgyakkal kapcsolatos személyi feladatok és felelősségek az alábbiak szerint szétválasztásra kerüljenek:

  • Fejlesztés és üzemeltetés,
  • Üzemeltetés és biztonsági adminisztráció,
  • Üzemeltetés és felhasználás.

Az információ struktúrában értelmezett vagyontárgyak esetében a Társaság információbiztonsági megbízottja gondoskodik a fejlesztési és teszt környezet és az üzemeltetési környezet logikai (és lehetőség szerint fizikai) szétválasztásáról.

6.2.   Harmadik felek szolgáltatásnyújtásának irányítása

A Társaság az alábbiak szerint határozta meg informatikai termék (hardver, szoftver), szolgáltatás beszerzés (vásárlás, bérlet) során kötött szerződésekben az alap informatikai szakmai elvárásokon túl alkalmazott követelményeket:

  1. Általános követelmények:
    • A termék árát a szerződésben egységenként, a szoftver támogatás árát a licenszdíj arányában , a szolgáltatás árát személyi napidíjban kell feltüntetni.
    • A termék bérletet meg kell különböztetni a lízingtől.
    • Bérelt vagy lízingelt termékre vonatkozóan kötelező a Szállítónak az átadás-átvétel napjától kezdődően felelősségbiztosítást kötni.
    • Hardver és szoftver beszerzés teljesítéshez kapcsolódó számlát csak Kísérő jegyzék vagy Megfelelést igazoló tanúsítvány kiállítását követően lehet kiállítani.
  2. Műszaki követelmények tekintetében a szerződésben ki kell térni a termékhez, szolgáltatáshoz kapcsolódó minőségi (ISO 9001:2000), biztonsági és egyedi szellemi alkotásokhoz kapcsolódó jogokra, az együttműködés módjára, a termékfejlesztéssel kapcsolatos következményekre, a termék élettartamára, használatára vonatkozó információkra, az átadási dokumentációra, a termék vagy szolgáltatás azonosítására.
  3. Kiegészítő elvárások összetett informatikai termék beszerzése esetében:
  • A Szállítónak igazolni kell az egyes részegységek működőképességét összeszerelés előtt.
  • Meg kell határozni a teljes és részteljesítésre vonatkozó határidőket, következményeket.
  • Az átadásra és telepítésre vonatkozó különös szabályokat.
  • A teljes és rész termék szavatosságra.
  • A műszaki előírásoknak történő megfelelésről.
  • Az átvételre vonatkozó eljárásrendről.
  • A megrendelt szoftvertermékkel kapcsolatos szavatosság meghatározásáról.
  • A szellemi alkotáshoz fűződő jogokról, különös tekintettel a forráskódok tulajdonjogára.
  • A megrendelt szoftvertermékkel kapcsolatos dokumentációk (telepítési-, indítási-, kezelési-, felhasználói kézikönyvek) magyar nyelven történő elkészítésére és átadására.
  • A változások végrehajtása csak írásbeli jóváhagyást követően történhet.
  • A végrehajtás során is érvényesüljenek az információbiztonsággal kapcsolatos követelmények.
  • Az átvétel során külön kerüljenek ellenőrzésre a változással kapcsolatos elvárások.
  1. Support tevékenységekkel kapcsolatos szerződések esetében a szavatossági határidőkre, egyedi hardver javítások szabályaira, a szolgáltatás egyedi szintjeinek meghatározására (pl. meddig support és mettől fejlesztés).
  2. Szoftverfejlesztésre vonatkozó szerződések esetében gondoskodni kell:
  1. A szerződéses teljesítésben bekövetkező változások esetében:

6.3.   Rendszertervezés és elfogadás

A Társaság figyelemmel kíséri az információ struktúrájának működtetésével kapcsolatos erőforrások felhasználását, azt összehangolja a jelen igényekkel, valamint a jövőbeli kapacitásváltozási igényekre vonatkozóan vizsgálatokat és intézkedéseket készít.

A Társaság meghatározza információ struktúrájában bekövetkező fejlesztések és bővítések során, a bővítésekre és az új változatokra vonatkozó elfogadási, átvételi kritériumokat, illetve az esetleges a fejlesztés során az átvétel előtti funkcionális és terheléses tesztelés követelményeit.

6.4.   Védelem a rosszindulatú és mobil kódok ellen

A Társaság az információs struktúrájának védelme érdekében a rosszindulatú kódok (vírus) elleni védekezésre észlelési, megelőzési és helyreállítási intézkedéséket (adminisztratív és technikai) valósít meg, valamint a felhasználók részére megfelelő ismereteket szolgáltat. Az információbiztonsági megbízott gondoskodik az intézkedések naprakészségének (víruskönyvtárak aktualizálása, vírusmenedzsment) biztosításáról.

6.5.   Biztonsági mentés

A Társaság a nagymértékű adatvesztések megakadályozása céljából, az információbiztonsági megbízott útján rendszeres gyakorisággal adatmentéseket végez. Az adatmentés és archiválás szabályai az alábbiak:

  • Az adatmentés történhet mágneses, optikai és egyéb, az adatok tárolására alkalmas hordozókra.
  • Az adatbiztosítás időtartamát (megőrzési idő) meg kell határozni.
  • Az adathordozókat tűz és vagyonvédelmi szempontoknak megfelelő, zárt helységben kell tárolni.
  • A tárolókban az adathordozók minőségi jellemzői megtartása céljából a környezeti feltételeket (hőmérséklet, pára- és portartalom) biztosítani és ellenőrizni kell.
  • Az adathordozókat újraolvashatóság szempontjából ellenőrizni kell. Megelőző intézkedésekkel meg kell akadályozni az elöregedésből fakadó adatvesztést.
  • A biztonsági másolatokat az elsődleges tároló helyiségtől (földrajzilag) elkülönített helyen a fokozott biztonság követelményei (tűzbiztos, zárható) szerint kialakított helyiségben másodlagos adathordozón kell tárolni.
  • Az adathordozókon a tartalmazott adat típusát (minősített adat esetében a minősítési jelölését és a vonatkozó jogszabályokban előírt egyéb adatokat is) fel kell tüntetni
  • Az adathordozókhoz történő hozzáférési, kezelési jogosultságokat meg kell határozni.

6.6.   Hálózatbiztonság kezelése

A Társaság informatikai struktúrájában értelmezet belső hálózatot (beleértve a hálózaton működő rendszereket és alkalmazásokat) a kockázatok csökkentése érdekében megfelelő irányítás és ellenőrzés alatt tartja. Ennek érdekében az információbiztonsági megbízott az alábbi intézkedéseket valósítja meg:

  • Hálózat szegmentációja,
  • Tűzfalas védelem,
  • Spam- és vírusvédelmi eszközök alkalmazása,
  • Tartalomszűrés,
  • Titkosított adatvédelmi csatornák kialakítása,
  • Hálózati forgalom mérése, értékelése a szükséges sávszélesség biztosítására.

A hálózati szolgáltatások biztosítása céljából az információbiztonsági megbízott feljegyzések készítésével dokumentálja a hálózatok biztonságával kapcsolatos követelményeket és intézkedéseket.

6.7.   Adathordozók kezelése

A Társaság az adatsérülések, illetve az adatok illetéktelen személyekhez történő kijutásának megakadályozása céljából az alábbiak szerint meghatározza az adathordozók kezelésére vonatkozó szabályokat:

  • Meg kell határozni azon adathordozók körét, amelyek a tárolt adatok miatt selejtezés után sem kerülhetnek illetéktelen kezekbe.
  • Olyan adathordozó típusonként meghatározott selejtezési módot kell alkalmazni, amelyik biztonságos módon, a visszaállítást lehetetlenné teszi.
  • Az adathordozók selejtezéséről jegyzőkönyvet kell készíteni.
  • Az adathordozók telephelyről történő kivitele írásos engedélyhez kötött.

Az információbiztonsági megbízott az adathordozók közül a teljes élettartamra vonatkozóan nyilvántartja az USB eszközöket, memória kártyákat.

A Társaság minden biztonsági osztályra vonatkozóan meghatározza az információ kezelésére és tárolására vonatkozó szabályokat, annak érdekében, hogy az ilyen információt a jogosulatlan feltárástól, vagy a visszaéléstől meg lehessen óvni.

Az információbiztonsági megbízott gondoskodik a Társaság információbiztonsági struktúrájában értelmezett rendszerek dokumentációjának nyilvántartásáról, tárolásáról. A tárolási hely meghatározása során megfelelő biztonsági intézkedéseket kell alkalmazni a dokumentumokhoz történő hozzáférés, jogosultság biztosítására.

6.8.   Információcsere

A Társaság szerződésben határozza meg a külső szervezetekkel történő adatcsere technikai és adminisztratív követelményeit. A követelményeket az egyes információ biztonsági osztályba sorolásnak megfelelően kell kialakítani. A szabályozásban egyértelműen meg kell jelölni a folyamat egyes lépéseit és a résztvevők felelősségét.

A fizikai adathordozók szállítására vonatkozó szabályokat esetenként az információbiztonsági megbízott határozza meg. A követelményeket az egyes információ biztonsági osztályba sorolásnak megfelelően kell kialakítani.

Amennyiben szükséges az elektronikus üzenetek védelmére érdekében elektronikus aláírást, időpecsétet, titkosítást kell alkalmazni.

A Társaság által használt információs rendszerek biztonságának védelme érdekében szabályozni kell a hozzáférhetőséget azok túlterheltsége, üzemzavara, vagy az információk sérülésének megakadályozása érdekében.

6.9.   Elektronikus kereskedelmi szolgáltatások

A Társaság meghatározta a nyilvánosan hozzáférhető információk (pl. honlap, adatok) sértetlensége érdekében szükséges adminisztratív és technikai intézkedéseket. Az ilyen adatok kezelésére az információbiztonsági megbízott jogosult.

6.10.  Figyelemmel követés

A Társaság a felhasználói tevékenység figyelemmel kísérésére, az esetleges illetéktelen kísérletek felfedése és megakadályozása érdekében adminisztratív és technikai megoldásokkal rögzíti, figyeli, elemzi a naplófájlokat. A rendszerhasználat figyelése, rögzítése, elemzése az információbiztonsági megbízott feladata.

A rendszer adminisztrátori és operátori naplók rögzítése, azok sértetlenségét biztosító tárolása az információbiztonsági megbízott feladata. A naplók vezetése és tárolása során biztosítani kell a visszakereshetőséget, illetve az egyes eseményekkel kapcsolatos felelősséget (számonkérhetőséget). A nyilvántartásoknak alkalmasnak kell lenniük a hibákra vonatkozó információk gyűjtésére, elemzésére.

7.      Hozzáférés ellenőrzés

7.1.    A hozzáférés-ellenőrzéshez fűződő működési követelmény

A Társaság hozzáférés-ellenőrzési szabályzatot alakít ki, vezet be, hogy a felhasználók, csak azokhoz az erőforrásokhoz (információkhoz) férhessen hozzá, amelyek a munkájához mindenképpen szükségesek. A szabályozás elkészítése, naprakészségének biztosítása az információbiztonsági megbízott feladata.

7.2.   Felhasználói hozzáférés irányítása, felhasználói felelősség

Az információbiztonsági megbízott elkészíti a felhasználók jogosultságainak nyilvántartását, a jogosultságok kiadásának, visszavételének módszerét. A jogosultságok felett kiadott előjogok csak feltétlenül szükséges időtartamban, nyilvántartott módon kerülhetnek csak kiadásra.

A kiadott jelszavak felhasználói kezelését az információbiztonsági megbízott figyeli, figyelve arra, hogy a jelszavak titkosak, és periodikusan változtatva legyenek. A kiválasztott jelszavaknak megfelelő erősségűeknek kell lenni.

Az információbiztonsági megbízott rendszeres időközönként felülvizsgálja a hozzáférési jogokat, hogy a felhasználók csak a valóban szükséges információkhoz jutnak-e hozzá. Az ellenőrzésről feljegyzést kell készíteni.

A felhasználók által őrizetlenül hagyható berendezések esetében automatizmussal kell biztosítani a jogosulatlan hozzáférések elkerülését.

A felhasználó munkahelyére (munkaállomására) vonatkozó adatkezelési szabályokat a Tiszta asztal irányelv tartalmazza. A Tiszta asztal irányelvet jelen szabályozás mellékletében helyeztük el

7.3.   Hálózati szintű hozzáférés ellenőrzés

A Társaság meghatározza a hálózati szolgáltatásokhoz adható hozzáférési jogosultságokat. A jogosultságokat írásba kell foglalni.

A felhasználói rendszereken (hálózaton) belül az egyes berendezéseket automatizált módon azonosítani kell.

A távdiagnosztikai és konfigurációs portokhoz való fizikai és logikai hozzáférését az ellenőrizni, védeni kell a jogosulatlan hozzáférés elkerülése érdekében.

A hálózati szolgáltatások, a felhasználók, és az információk különböző csoportjait egy esetleges hiba elterjedésének megakadályozása céljából az információbiztonsági megbízott elszigeteli.

Több, elkülönített hálózat esetében korlátozni kell a felhasználók hozzáférést, annak érdekében hogy csak ahhoz a hálózati részhez férjenek hozzá, amelyik a munkavégzéshez szükséges.

A kommunikációs utat a felhasználótól a szerverig ellenőrizni kell, hogy az automatikus útvonalválasztás nem vezesse ki az adatokat a biztonságos zónából.

7.4.   Operációs rendszer szintű hozzáférés-ellenőrzés

A Társaság operációs rendszereihez csak az ügyvezető által írásban meghatározott személyek férhetnek hozzá. Az engedélynek tartalmazni kell a hozzáféréssel kapcsolatos jogosultságokat és az ehhez tartozó jogok beállítását is (igénylés, engedélyezés, beállítás, visszavonás).

A Társaság informatikai eszközeihez minden felhasználónak egyedi azonosítóval kell rendelkezni, amelyet az információbiztonsági megbízott kezel. Az információbiztonsági megbízott határozza meg az azonosító teljes életciklusára vonatkozó szabályokat (igénylés, engedélyezés, beállítás, visszavonás).

A Társaság informatika eszközeit csak jelszavak segítségével lehet használni. A használatához szükséges jelszavakra vonatkozó szabályokat az információbiztonsági megbízott határozza meg, illetve a jelszóhasználatot rendszeresen ellenőrzi.

A rendszer segédprogramok használata az információbiztonsági megbízott engedélyéhez kötött, amelyet használatot rendszeresen ellenőrizni köteles.

7.5.   Alkalmazás és információ szintű hozzáférés-ellenőrzés

A Társaság által használt alkalmazásokat funkció illetve adatkörre vonatkozóan korlátozni kell, hogy a felhasználók csak a munkájuk elvégzéséhez valóban szükséges elérésekhez jussanak. A hozzáférés korlátozást, a használat ellenőrzését a napló állomány rendszeres vizsgálatával az információbiztonsági megbízott végzi.

7.6.   Mobil számítógép használata és távmunka

A Társaság tulajdonában lévő mobil számítógépek és kommunikációs eszközök (notebook, palm, pda, stb.) használata az információbiztonsági megbízott által előterjesztett szabályzat alapján ügyvezető írásos engedélyéhez kötött. A szabályozásnak ki kell térnie ezen eszközök biztonságos használatára, hozzáférés, logikai és fizikai biztonság, adatmentés meghatározására.

8.      Információs rendszerek beszerzése, fejlesztése és fenntartása

8.1.    Információs rendszerek biztonsági követelményei

A Társaság informatikai struktúrájában értelmezett beszerzések, és fejlesztések megkezdése előtt az információs rendszerre vonatkozó biztonsági kockázatokat elemezni kell, ez alapján meg kell határozni a szükséges biztonsági intézkedéseket. A kockázatelemzésre vonatkozó szabályokat a Társaság Integrált rendszer dokumentumok tartalmazzák.

8.2.   Helyes információfeldolgozás az alkalmazásokban

Az informatikai alkalmazások bemenő adatait az alkalmazás felhasználói adatbevitelt megelőzően tartalmi és formai ellenőrzéssel érvényesítik.

Az informatikai alkalmazásokba olyan ellenőrző funkciókat kell beépíteni, amelyek észlelik az információk feldolgozásából vagy szándékos cselekedetekből származó sérüléseket.

Az egyes alkalmazások közötti kommunikációt biztonsága érdekében meg kell határozni azokat az eszközöket, amelyek az üzenetek hitelességét és sértetlenségét biztosítják.

Az informatikai alkalmazások kimenő adatait közzététel előtt ellenőrizni kell. Az ellenőrzést az adatok előállítójának kell elvégezni.

8.3.   Titkosítási intézkedések

Az információk védelme (bizalmasság, sértetlenség, hitelesség) érdekében az információbiztonsági megbízott javaslata alapján a vezetőségi képviselő szabályozza és elrendeli az egyes információs vagyontárgyakra vonatkozó titkosítási követelményeket. Az információs vagyontárgyak védelmi szintjét a kockázatelemzésre kell alapozni.

Az információk védelme érdekében az információbiztonsági megbízott értékelése és javaslatára a vezetőségi képviselő választja ki az alkalmazandó kriptográfiai rendszert.

8.4.   Rendszerfájlok biztonsága

A Társaság informatikai struktúrájában értelmezett szoftverek katalógusát az információbiztonsági megbízott állítja össze, illetve Ő gondoskodik a szoftverek telepítésének és üzemeltetési szabályainak meghatározásáról. Gondoskodni kell arról, hogy az esetleges fejlesztés vagy karbantartás során a hozzáférés csak a valóban szükséges eszközökre, információkra terjedjen ki.

A rendszervizsgálatokhoz felhasznált adatokat azok teljes élettartamukra vonatkozóan védeni kell. Személyes adatok nem használhatók fel ilyen célra.

A szoftverek forráskódjának biztonságos tárolásáról, a hozzáférés szabályozásáról az információbiztonsági megbízott gondoskodik.

8.5.   Biztonság a fejlesztési és támogató folyamatokban

A fejlesztésre vonatkozó projektek során szabályozni kell a változtatások végrehajtására vonatkozó folyamatot. A fejlesztők és karbantartók csak olyan vagyontárgyakhoz férhetnek hozzá, amelyek a fejlesztéshez valóban szükségesek.

A változás bevezetésekor igazolhatóan meg kell vizsgálni, hogy az új alkalmazás nincs-e káros hatással a működésre. A tesztelés eredményes befejezését követően kerülhet csak sor a változás bevezetésére.

Az információbiztonsági megbízott köteles ellenőrizni a változtatások indokoltságát. Az eredeti verziót változtatás esetében meg kell őrizni.

Az információk kiszivárgásának elkerülése érdekében minden forráskódot vizsgálni kell használat előtt, csak tiszta forrásból szabad szoftvereket beszerezni.

Külső szoftverfejlesztés esetében a megkötendő szerződésben kell kitérni az új fejlesztés átvételével kapcsolatos vizsgálatok szükségességére.

8.6.   Műszaki sebezhetőség kezelése

Az információbiztonsági megbízott gondoskodik az alkalmazott rendszerek sebezhető pontjainak felméréséről, és ezek biztonsági kockázatainak minimális szinten történő tartásáról.

9.      Információbiztonsági incidensek kezelése

9.1.    Információbiztonsági események és gyengeségek jelentése

Az információbiztonsági incidensek osztályozása, a szükséges intézkedések meghatározása az információbiztonsági megbízott javaslata alapján vezetőségi képviselő feladata.

Minden érintett (felhasználó, szerződő fél) köteles az incidenseket, eseményeket bekövetkezésüket követően az információbiztonsági megbízottnak jelenteni. Az incidensek gyűjtése, elemezése, a szükséges helyesbítő intézkedések előkészítése az információbiztonsági megbízott feladata.

9.2.   Információbiztonsági incidensek és javító fejlesztések kezelése

A Társaság informatikai struktúra működőképességének folyamatos fenntartása érdekében az Helpdesk szolgálatot (továbbiakban: Szolgálat) tart fenn. A Szolgálat az informatikai események kezelését (javítását) végzi. A Szolgálat munkaidőben látja el tevékenységét. A szolgálat szervezése, jóváhagyása a vezetőségi képviselő feladata.

A Szolgálat munkaidőben a (00) (36) (1) 453-4200 telefonszámon érhető el. A felhasználók az informatikai rendszer működésével kapcsolatosan keletkezett eseményeket ezeken, a telefonszámokon jelenthetik be. A bejelentést a Ezt a címet a spamrobotok ellen védjük. Engedélyezze a Javascript használatát, hogy megtekinthesse. e-mail címre küldött levélben is dokumentálnia kell a bejelentőnek.

A Szolgálat minden az üzemszerű működést érintő bejelentett eseményt naplóban rögzít. A bejelentés során törekedni kell az esemény minél pontosabb leírására, hogy annak sürgősségét meg lehessen határozni. A sürgősség besorolását, az események elvárható helyesbítésének határidejét a vezetőségi képviselőnek előre meg kell határozni. Amennyiben lehetséges, a bejelentést felvevőnek valamilyen gyorssegítséget, áthidaló megoldást kell a bejelentő felé nyújtani.

A Szolgálat a bejelentett eseményeket azok sürgőségének sorrendjében vizsgálja ki és végzi el a szükséges javító intézkedéseket. A javító intézkedésekkel kapcsolatos eseményeket a naplóban rögzíteni kell, az esetleges fejleményekkel együtt. Sikeres beavatkozást követően az eseményt a naplóban le kell zárni. A vezetőséi képviselőnek heti rendszerességgel kell ellenőriznie a naplóban a le nem zárt események státuszát, okait.

Az információbiztonsági megbízott az eseménynapló adatait féléves rendszerességgel összesíti, elemzi. Az elemzés a Szolgálat eredményességére, az esetleges tipikus hibák feltárására és megelőző jellegű megszüntetésére terjed ki. Az elemzés eredményét a következő időszak informatikai stratégia kialakításához kell felhasználni.

10.     Működés folytonosságának irányítása

10.1.  A működés folytonossága irányításának információbiztonsági szempontjai

A Társaság működési folyamatosság biztosítása céljából Business Continuity and Contingency Plan (továbbiakban: BCP) tervet készít. A BCP segítségével:

  • csökkenthetők az esetleges gazdasági veszteségek,
  • csökkenthető a veszélyeztető fenyegetések száma,
  • csökkenthető a-folytonosságot megszakító események száma, időtartama,
  • csökkenthető a kulcsszemélyektől való függőség,
  • nő az üzemeltető szervezet stabilitása,
  • nő a visszaállítási folyamat hatékonysága, szervezettsége,
  • nő a szervezet informatikai rendszerét és a környezetét alkotó vagyontárgyak, valamint az adatvagyon védelmi szintje.

A BCP tervezés első fázisában a kritikus alkalmazásokat fel kell leltározni. A kritikus alkalmazásokat értékelni kell a Társaság működésének folyamatosságra tett következmények nagysága szempontjából.

A BCP terv részeként megelőzési tervet kell készíteni. A terv tartalmazni kell mindazon szabályzatokat, dokumentumokat és intézkedéseket, amelyek az informatikai rendszer folytonos üzemét valamilyen módon veszélyeztető tényezőkkel (logikai - vírus, hardver - meghibásodás, havaria – elemi kár) kapcsolatosak.

A BCP terv részeként visszaállítási tervet kell készíteni. A terv alapvető célja, hogy az üzemzavari vagy katasztrófa események bekövetkezése esetén az esemény azonosítása, a szükséges emberi és eszköz erőforrások haladéktalan mozgósítása, és a visszaállítás a lehető leggyorsabban, szervezetten történjen meg a tervben meghatározott utasítások szerint. Az esemény bekövetkezése után a következő alaplépések végrehajtásáról kell gondoskodni, az esemény jellegétől és súlyosságától függően:

  • Riadóterv a katasztrófa-helyzetre (A veszteségek számbavétele, a megfelelő emberek értesítése, a katasztrófaállapot megállapítása.).
  • Futtató környezet helyreállítása (Az adatfeldolgozó alaprendszer helyreállítása: operációs rendszer, program termékek és távközlési hálózat.).
  • Funkcionális helyreállítás (Az informatikai rendszer alkalmazásainak és adatainak helyreállítása, az adatok szinkronizálása a tranzakció naplóval.).
  • Üzemeltetési szintű helyreállítás (Az elveszett vagy késleltetett tranzakciók ismételt bevitele. Az üzemeltetők, a rendszeradminisztrátorok, az alkalmazók és a felhasználók együtt munkálkodnak azon, hogy helyreállítsák a normál feldolgozási rendet, a visszaállítási terv idevonatkozó utasításai szerint.).
  • Áttelepülés katasztrófa esetén (Az informatikai rendszer installálása a hidegtartalék létesítményben, vagy a melegtartalék rendszer felkészítése az üzemszerű használatra.).
  • Normalizáció az áttelepülés után. (A tartalék informatikai rendszer üzemszerű működésének biztosítása.).

A BCP terv részeként Katasztrófa elhárítási tervet kell készíteni. A tervnek globális helyettesítő megoldásokat kell adnia megelőző és helyesbítő intézkedésekre, amelyekkel a bekövetkezett katasztrófa esemény után az informatikai rendszer funkcionalitása degradált vagy eredeti állapotba visszaállítható. A katasztrófa-elhárítás tervezés célja a kiesési idő, a rendszer normál állapotának lehető legrövidebb időn belül történő visszaállításán túl az, hogy ezt a kockázatokkal arányosan lehessen megvalósítani. A katasztrófa-elhárítási terv eljárások és tevékenységlépések sorozata. A katasztrófa-elhárítási terv részei:

  • A mentési (megelőzési) terv (A mentési terv elmentett eszközöket (adatokat, szoftvereket) biztosít a helyreállításhoz.)
  • A helyreállítási és újraindítási terv (A helyreállítási terv olyan eljárások sorozata, amelyeket a helyreállítás fázisában hajtanak végre, annak érdekében, hogy helyreállítsák az informatikai rendszert a tartalékközpontban.).
  • Tesztelési terv (A tesztelési terv azokat a tevékenységeket tartalmazza, amelyek ellenőrzik és biztosítják a katasztrófa-elhárítási terv működőképességét.).
  • A karbantartási (üzemben tartási) terv (A szervezet változása esetén a karbantartási tervet kell felhasználni a katasztrófa-elhárítási terv aktuális állapotban tartására.).
  • Az érintett személyek elérési adatai.

A veszélyhelyzetekből eredő károk megelőzésének és mérséklésének alapvető követelménye a részletes terv elkészítése, oktatása, tesztelése és a végrehajtás rendszeres gyakorlása. Az oktatásról, tesztelésről és a gyakorlatokról jegyzőkönyvet kell készíteni.

11.     Követelményeknek való megfelelés

11.1.   Megfelelés a jogi követelményeknek

A Társaság információbiztonsági rendszerének működése során fenn kell tartani a jogszabályi megfelelést. Az informatikai működésre vonatkozó szabályokat azonosítani és naprakészen nyilvántartani kell, és az annak történő megfelelést dokumentálni kell a vezetőségi képviselőnek.

A szellemi tulajdonjogokhoz köthető anyagok, valamint szellemi tulajdont képező szoftvertermékek felhasználása során a vezetőségi képviselő meghatározza a jogszabályi, szabályozási és szerződéses kötelezettségeknek való megfelelés biztosítására vonatkozó szabályokat.

Az információbiztonsági rendszer működésével kapcsolatos feljegyzéseket meg kell óvni az elveszéstől, a megsemmisüléstől és a meghamisítástól.

A vonatkozó törvényi előírásokban, jogszabályokban, és ahol alkalmazható, a szerződéses kikötésekben rögzített követelményeknek megfelelően a Társaság biztosítja az adatok védelmét és bizalmasságát.

Az információbiztonsági megbízott logikai, fizikai és adminisztratív eszközök alkalmazásával megakadályozza, hogy a felhasználók az információ feldolgozó berendezéseket jogosulatlan célokra felhasználják.

A vezetőségi képviselő gondoskodik, hogy a titkosítási eljárásokat valamennyi vonatkozó megállapodás, törvény és jogszabály betartásával kerüljön alkalmazásra.

11.2.  Biztonsági szabályzatnak és szabványoknak váló megfelelés, és műszaki megfelelőség

A Társaság ügyvezető igazgatója a vezetőségi képviselőn keresztül elrendeli, irányítja és ellenőrzi, hogy a munkahelyi felelősségi területükön belül valamennyi biztonsági eljárást előírásszerűen, a biztonsági szabályzatoknak és szabványoknak való megfelelés elérésével hajtsák végre

Az információbiztonsági megbízott rendszeres gyakorisággal köteles ellenőrizni az információbiztonsági rendszerben értelmezett eszközök műszaki megfelelőségét.

11.3.  Információs rendszerek auditálásának szempontjai

A Társaság informatikai biztonsági rendszerét rendszeres gyakorisággal auditálja. Az audit kiterjed minden vonatkozó követelményre és alkalmazási területre. Az auditot az adott területtől független, képzett auditor végzi el.

Az auditról készített feljegyzések megegyeznek a Társaság Integrált rendszerében a belső auditnál használatos formanyomtatványokkal.

12.     MELLÉKLETEK

1. számú melléklet:                 Felhasználói nyilatkozat

2. számú melléklet:                 Tiszta asztal irányelv

 

 

 

 

 

FELHASZNÁLÓI NYILATKOZAT

 

 

 

 

 

Alulírott ___________________________________ (születési hely és idő:________________________, anyja neve: ______________________________, lakcím: _______________________________________________), mint az Interface Kft. dolgozója, büntetőjogi felelősségem tudatában a jelen nyilatkozat aláírásával kijelentem, hogy:

 

  • Az Interface kft. IBIR szabályzatát elolvastam és megértettem, mint felhasználó elfogadom.
  • Az Interface Kft. számítógépes hálózatát csak az IBIR szabályzat elfogadásával és betartásával használom,
  • Minden olyan kár és esemény miatt, amelyet a szabályzat általam történő megszegése okoz, teljes anyagi és büntetőjogi felelősséggel tartozom.

 

 

Dátum: ______ év ____________________ hó ___ nap

 

 

 

 

 

______________________________

Munkavállaló aláírása

 

 

 

 

 

TISZTA ASZTAL IRÁNYELV

 

 

1.       Általános irányelvek

A dokumentum célja, hogy illetéktelen (harmadik) személy felügyelet nélküli bizalmas információkhoz - függetlenül azok fizikai megjelenési formáitól - ne férjen hozzá, továbbá, hogy az Interface Kft. és (a bérelt/a tulajdonában álló) ingatlan(ok)ban működő valamennyi irodahelyiség információvédelmi szempontjai maradéktalanul érvényesüljenek.

Ebből a szempontból illetéktelennek kell tekinteni azt az alkalmazottat, akinek az adott információ tekintetében - jogosultsági szempontból - hozzáférési lehetősége nincs, továbbá, aki az információs vagyontárgy kezelésével nincs megbízva.

A dokumentum személyi hatálya alá tartoznak az Interface kft. munkavállalói függetlenül ezek munkakörétől, beosztásától, továbbá attól, hogy a Interface Kft. (által bérelt / tulajdonában álló) ingatlan(ok) a munkavállaló állandó vagy átmeneti munkahelye, valamint a szerződéses jogviszonyban lévő szolgáltatók és azok alkalmazottai (a továbbiakban: alkalmazott).

A szabályzat területi hatálya az Interface Kft. (által bérelt / tulajdonában álló) ingatlan(ok)ban működő valamennyi irodai munkaterületére kiterjed, függetlenül attól, hogy a helyiség milyen funkciót tölt be.

A dokumentum tárgyi hatálya minden bizalmas minősítésű információra (a továbbiakban: bizalmas információ) kiterjed, függetlenül az adattárolás módjától (papír, kártya, film, optikai és mágneses adathordozók, stb.), vagy az hogyan (manuálisan vagy elektronikusan) érhető el, továbbá kiterjed az intézményi vagyontárgyakra - a továbbiakban: eszközök (adathordozók) - (laptop, mobil telefon, PDA, stb.).

2.      A bizalmas információk és a szervezet tulajdonában álló eszközök (adathordozók) kezelésének szabályai

A dokumentum hatálya alá tartozó személyek az alábbi alapvető szabályokat kötelesek betartani:

  • Az alkalmazott a munka befejezését követően köteles minden, a dokumentum tárgyi hatálya alá tartozó bizalmas információt a saját vagy a szervezeti egysége részére biztosított, zárt szekrényben elhelyezni. Ezekben a szekrényekben tilos olyan tárgyat vagy anyagot (pl. üdítő, étel, stb.) tárolni, amely a bizalmas információk sérülését vagy megsemmisülését eredményezheti.
  • A munka befejeztével minden olyan kisebb terjedelmű és ezért könnyen szállítható (mobil) eszközt (adathordozót), amely bizalmas információt tartalmaz, zárt szekrényben kell elhelyezni, illetve tárolni. A tulajdonát képező mobil adathordozót (laptop, PDA) és eszközt (pl. fényképezőgép, stb.) a munka befejeztével akkor is el kell zárni, ha az adathordozón bizalmas információt nem rögzítettek.
  • A zárt szekrények kulcsainak őrzéséről – önállóan használt szekrény esetén – az munkavállaló gondoskodik. Több munkavállaló által használt szekrények kulcsai zárt szekrényben (fiókban) elhelyezhetők, tárolhatók, amelyek őrzésével a szervezeti egység vezetője felelőst (felelősöket) jelöl ki.
  • A szervezeti egység vezetője - feltéve, hogy az adott munkaterület önálló fizikai (elektronikus és/vagy kulcsos) zárása biztosított - a szakmai feladat jellegére tekintettel és annak időtartamára - a nem zárt területté minősített munkaterületen engedélyezheti, hogy a dokumentum tárgyi hatálya alá tartozó bizalmas információkat nem kell elrakni, illetve elzárni, de ezen időszak alatt a munkaterületen a takarítás, italbekészítés, stb. csak a szervezeti egységhez tartozó alkalmazott (alkalmazottak) felügyelete mellett végezhető.
  • Ha az alkalmazott munkaidőben huzamosabb időre eltávozik a munkaasztaltól (pl. dohányzás, ebéd, munkamegbeszélés stb. céljából), köteles az általa használt számítógépes munkaállomást jelszó segítségével zárolni.
  • Tilos a jelszót, PIN kódot, illetve egyéb azonosító adatot nyílt szövegként tárolni (pl. post-it-en a képernyő sarkán, a billentyűzet alján, jegyzettömbön, naptáron, stb.), illetve azt bárkinek megadni.
  • A papír alapú adathordozók megsemmisítésénél az iratkezelés és az irattárolás rendjéről szóló utasítás szerint kell eljárni. A nem papír alapú adathordozót úgy kell megsemmisíteni (pl. roncsolással), hogy a rajtuk található adatok, információk semmilyen körülmények között ne legyenek helyreállíthatók.
  • Dokumentumok fénymásolása, faxolása, szkennelése során az eredeti és másolt iratokat, továbbá a faxolás során keletkezett adási bizonylatot tilos a helyszínen őrizetlenül hagyni, azokat a tevékenység befejezését követően a gépből el kell távolítani.

3.      Vonatkozó felelősségi viszonyok

  • A szabályzat személyi hatálya alá tartozó minden munkavállaló munkakörétől függetlenül köteles a dokumentumban foglaltakat betartani. (Általános felelősség)
  • Az Interface Kft. vezető beosztású munkatársai a közvetlen irányításuk alá tartozó alkalmazottak jelen szabályzat alá tartozó kötelezettségeinek betartását - saját hatáskörben és havi rendszerességgel - kötelesek ellenőrizni, illetve ellenőriztetni, és a rendellenességek megszüntetésére intézkedni. (Vezetői felelősség)

4.      Vezetői ellenőrzés eljárási rendje

  • Az Interface Kft. vezető beosztású munkatársai az Interface Kft. által használt bármely munkaterületen jogosultak a jelen szabályzat rendelkezéseinek érvényesülését ellenőrizni, ennek során jogosult, illetve kötelezett:

a)       a bizalmas információkat tartalmazó papír alapú adathordozók (iratok) szabálytalan tárolási körülményeiről kép (fotó/videó) felvételeket készíteni, az érintett alkalmazott figyelmét a munkahelyén hátrahagyott értesítésben felhívni az ellenőrzés során tapasztalt hiányosságokról,

b)      a szabálytalanul tárolt eszközöket (adathordozókat) dokumentáltan és azonosítható módon becsomagolni, biztonságos helyre elszállítani, továbbá erről az érintett alkalmazottat a munkahelyén hátrahagyott értesítésben tájékoztatni. (Arról az eszközről vagy adathordozóról, amelyről az ellenőrzéskor nem dönthető el, hogy az Interface Kft. tulajdonát képezi-e, azt kell feltételezni, hogy az Interface Kft. tulajdona.)

c)       tájékoztatja a szakmai igazgatót azokról a munkavállalókról, akik a jelen dokumentumban előírtakat megszegik.

 

5.      A munkavállaló vétkességének vagy vétlenségének megállapítása:

  1. Ha az alkalmazott vitatja az ellenőrzés adataira alapozott vétkességét (pl. állítása szerint az ellenőrzés napján szabadságon volt, és/vagy a munkaasztalán más személy hagyott iratot, avagy azt állítja, hogy a munkanap végén szabályszerűen elzárta az iratokat, stb.), az ellenőrzés napját követő 3 munkanapon belül írásban kifogást tehet az ügyvezető igazgatónál, egyben kérheti a vétkességét bizonyító dokumentumok (fotó/videó) bemutatását.
  2. Az érintett igazolt akadályoztatása esetén (betegség, kiküldetés, egyéb hivatalos távollét, stb.) 3 munkanapon túl, de 30 napon belül jogosult írásban, haladéktalanul kifogást tenni a szakmai igazgatónál amennyiben vitatja a vétkességét.

3.  Ha kifogás kapcsán az alkalmazott vétlensége állapítható meg, erről az érintettet az információbiztonsági 
megbízott értesíti. Az alkalmazott vétlenségéről a szakmai igazgatót és az érintett vezetőt is értesíteni kell.

 

 

Oldalainkat 1 vendég böngészi

Bejelentkezés