2014/9. SZÁM TARTALOM Utasítások
oldal
23/2014.(II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Informatikai Biztonsági Szabályzata ...........................
2
24/2014.(II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Adatvédelmi Szabályzata ..............................................
77
25/2014.(II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Üzletitok-védelmi Szabályzata ......................................
99
26/2014.(II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. közérdekű és közérdekből nyilvános adatairól való tájékoztatás szabályzata ................................................................................
125
27/2014.(II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a személyszállító vonatok biztonsági kamerarendszerével rögzített felvételek kezelésének szabályzata ................................................................
154
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 2 eszközeivel végzett munkájában legalább a jelen utasításban foglaltakkal megegyező, és azzal jó összhangban álló védelmi elveket kell érvényesíteni.
Utasítások
23/2014. (II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Informatikai Biztonsági Szabályzata A MÁV-START Zrt. szervezeteinek és munkavállalóinak informatikai biztonsággal összefüggő feladatait a 2012. évi C. tv. a Büntető Törvénykönyvről vonatkozó rendelkezései, az MSZ ISO/IEC 27001:2006 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények. c. szabvány, MSZ ISO/IEC 27002:2007 – Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve. c. szabvány továbbá a MÁV-START Vasúti Személyszállító Zrt. biztonsági stratégiája alapján a következők szerint határozom meg. 1.0 AZ UTASÍTÁS CÉLJA Jelen szabályzat az informatikai biztonság sajátos eszközeivel támogatást kíván adni a MÁV-START Zrt. – továbbiakban Társaság – üzleti céljainak eléréséhez. El kívánja érni, hogy csak olyan informatikai rendszereket, berendezéseket és eljárásokat lehessen alkalmazni, amelyekkel az üzleti folyamatok biztonságosan végezhetők, és amelyek lehetővé teszik a Társaságnak a többi európai vasúttal való zavartalan együttműködését. 2.0. AZ INFORMATIKAI BIZTONSÁGI SZABÁLYZAT HATÁLYA 2.1. A szabályzat hatálya 2.1.1. Az Informatikai Biztonsági Szabályzat személyi hatálya kiterjed: a) a Társaság Szervezeti és Működési Szabályzatában foglalt valamennyi szervezeti egységre, továbbá valamennyi, az informatikai infrastruktúra működésében vagy használatában érintett munkavállalójára, b) a Társaság részére informatikai szolgáltatást (üzemeltetés, alkalmazásfejlesztés, eszközbeszerzés, stb.) végző külső cégektől a Társaságunkkal való együttműködésben résztvevőkre, akiknek a Társaság részére vagy
2.1.2. Az Informatikai Biztonsági Szabályzat tárgyi hatálya kiterjed: a) a Társaságnál gyűjtött, felvételezett, továbbítás alatt álló, feldolgozás alatt levő, feldolgozás során létrejött és a tárolt (a továbbiakban: kezelt) információkra, az adatkezelés teljes folyamatára (adat), b) a Társaságnak az a) pont szerinti adatok kezelését lehetővé tevő összes számítógépes információs rendszerére, alkalmazására, a lehetséges mértékig a rendszerszoftverre is azok teljes életciklusában (szoftver), valamint ezek dokumentációjára, c) a Társaság tulajdonában lévő, illetve általa használt azon informatikai berendezésekre, elektronikus eszközökre és adathordozókra, amelyek használatával az a) pont szerinti adatok kezelését végzik (hardver). 2.2. A szabályzat kidolgozásáért karbantartásáért felelős
és
A szabályzat kidolgozásáért és karbantartásáért a Társaság biztonsági vezetője felelős. 3.0. FOGALMAK MEGHATÁROZÁSA 3.1. Adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek, vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas. 3.2. Adatbázis: azonos minőségű (jellemzőjű), többnyire strukturált adatok összessége, amelyeket tárolásra, lekérdezésre, feldolgozásra, és szerkesztésre alkalmas szoftver kezel. 3.3. Adatállomány: az egy nyilvántartó rendszerben kezelt adatok összessége. 3.4. Adathordozó: a papír és azok a számítógépes alkatrészek, eszközök, amelyekre a munkához szükséges adatokat menteni, tárolni lehet, illetve a hordozható változataikkal gépgép között adatot lehet cserélni, például: - mágneses elven működő egységek (pl.: FDD, HDD, IBM Microdrive),
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - optikai adattárolás elvén működő adathordozók (pl.: CD, DVD, Blu-ray Disc (BD)), - memóriakártyák (pl.: Smart Media, Compact Flash, SDHC), - USB, soros, IRDA portra csatlakoztatható eszközök (pl.: pen drive, okostelefon, fényképezőgép, zenelejátszók, videokamerák). 3.5. Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása, megsemmisítése és tönkremenetele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere (a védelem tárgya az adat). 3.6. Adatvagyon: az adatok és informatikai rendszerek olyan értéke, ami azt fejezi ki, hogy milyen költséget jelent egy rendszer teljes helyreállítása annak összeomlása vagy megsemmisülése esetén. Az adatvagyont rendszerenként kell megállapítani és Társaságra összegezni. 3.7. Adatvédelem: a személyes adatok jogszerű kezelését, az érintett személyek védelmét biztosító alapelvek, szabályok, eljárások, adatkezelési eszközök és módszerek összessége. A Társaságnál folytatott adatkezelések szabályait az Adatvédelmi Szabályzat rögzíti. 3.8. Alkalmazás: minden olyan szoftver, amely (akár egy, akár több felhasználó által) az informatikai eszközön futtatható, és nem az operációs rendszer szerves része. Ilyen szoftver, program például a GIR, a SZVÖRNET, amely a felhasználó a munkáját segíti, vagy ahhoz szükséges információkat gyűjt, rendszerez, tárol, kezel. 3.9. Auditálás: a Társasági gyakorlat és rendszer összehasonlítása azokkal a pontosan meghatározott jogszabályokkal, hatósági előírásokkal, belső utasításokkal, módszerekkel, eljárásokkal, amelyek értelmében előírásszerűen működnie kell. 3.10. Belső adat: a Társaság tevékenységéhez kapcsolódó olyan adat, amelynek a védelméhez méltányolható érdek fűződik, és nyilvánosságra kerülése sértené a Társaság érdekeit, de az üzleti titok kategóriába nem sorolható, annál kevésbé fontos tartalommal bír. 3.11. Bizalmasság: az adat azon tulajdonsága, hogy védett illetéktelen hozzáférés, illetve felhasználás ellen. Annak biztosítása, hogy az
3 információkhoz, adatokhoz csak az arra jogosítottak, csak az előírt módokon és csak célhoz kötötten férhessenek hozzá. 3.12. Biztonsági osztály: az informatikai rendszer biztonsági követelményeire jellemző kategória, aminek alapja az adatok fontossága, értéke, titokká minősített volta, stb., a sérülésükből és kiesésükből eredő károk nagysága. A biztonsági követelmények a biztonsági osztálytól függőek, és az osztályok szerint rendre emelkedő szintű biztonságot definiálnak. Három kategóriát: alap - fokozott – kiemelt különböztetünk meg mind az információvédelem (bizalmasság és sértetlenség együtt), mind pedig a rendelkezésre állás területén. 3.13. Biztonsági esemény: a biztonságot fenyegető egy vagy több tényező tényleges fellépése, bekövetkezése illetve jelentkezése. 3.14. BYOD (Bring Your Own Device): „Hozd a saját eszközödet” irányzat, amely a saját tulajdonú (általában hordozható) eszközökön történő munkavégzést jelenti vállalati környezetben. 3.15. Elektronikus aláírás: elektronikus dokumentumok, adatok hitelesítésére szolgáló, a dokumentumból matematikai algoritmussal készített kódsorozat, amit a hitelesíteni kívánt üzenetek végéhez csatolnak, és azzal együtt továbbítanak. Lehetővé teszi, hogy az üzenet olvasója ellenőrizni tudja egyrészt az üzenetet küldő személyazonosságát, másrészt az üzenet sértetlenségét. A küldő privát kulcsával készül és annak publikus kulcsával lehet ellenőrizni eredetiségét. Egyszerű, fokozott biztonságú és minősített kategóriája létezik. 3.16. Erőforrás-kihelyezés (kiszervezés, outsourcing): egy társaság valamely informatikai területének, tevékenységének, sőt gyakran eszközeinek vagy munkatársainak a kihelyezése egy külső vagy belső szolgáltató szervezethez úgy, hogy a kihelyező előre meghatározott és folyamatosan mért minőségű szolgáltatást kap, előre meghatározott áron és feltételek mellett. Az elvárt szolgáltatási szintet és minőséget, nem megfelelő szolgáltatás esetén a szolgáltatót terhelő kártérítési kötelezettséget, egyéb feltételeket szolgáltatási szint megállapodásban (Service Level Agreement, SLA) rögzítik.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 3.17. Érzékeny adat: a személyes adat és a titokká minősített adat együttes elnevezése. 3.18. Felhasználó: az az alkalmazott, aki informatikai eszközt és programot (alkalmazást) használ munkaköri feladatai megoldásához, aminek teljesítéséhez – a szükséges szabályok elfogadását követően – az eszközök és az alkalmazás használatára használati (hozzáférési) jogosultságot kapott. 3.19. Fenyegető tényezők: olyan események vagy körülmények, amelyek következtében az informatikai rendszerelemek bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, így fellépésük kedvezőtlen következményekkel járhat, illetve veszteséget, kárt okozhat, vagy egyéb hátrányos hatást gyakorolhat. Ezek lehetnek személyektől eredő támadások, események (adatbeviteli hiba, hibás kezelés), véletlen események (pl. áramkimaradás), külső tényezők (pl. tűzeset) általi behatások és olyan körülmények, amelyek magának az informatikának a sajátosságaiból fakadnak (hardver tönkremenetele, kártékony program, vírus, programhiba, stb.). 3.20. Gyenge pont: az informatikai rendszerelem azon jellemzője, hiányossága, amelynek révén az a fenyegető tényezők hatásának van kitéve. 3.21. Hitelesség: a rendszerben kezelt adatnak az a tulajdonsága, hogy bizonyíthatóan a megjelölt forrásból származik, azaz a kapcsolatba kerülő rendszerelemek kölcsönösen és egyértelműen azonosítják egymást, és ez az állapot a kapcsolat teljes idejére fennmarad. 3.22. Hozzáférési jogosultság: az informatikai rendszerben elvégezhető tevékenységekre vonatkozó engedély a felhasználó számára. 3.23. Informatikai biztonság: az informatikai infrastruktúra olyan működési és védelmi állapota, amely a megfelelő erőkkel, eszközökkel és módszerekkel akadályozza a veszélyhelyzetek kialakulását, veszélyhelyzetben pedig garantálja a várható vagy már meglevő káros hatások csökkentését, semlegesítését, a kiesett rendszer vagy rendszerelemek pótlását. Célja, hogy a rendszer védelme – az általa kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása szempontjából – zárt, teljes körű, folyamatos és a kockázatokkal arányos legyen.
4 Az informatikai biztonság aktuális szintje a vonatkozó előírások, szabványok betartásának vagy mellőzésének az eredménye, pillanatnyi dinamikus állapot a fenyegetettség és a védelem között. Biztosítja, hogy az adat védett legyen a jogosulatlan felhasználók által történő megismerés ellen (bizalmasság), az információk jogosulatlanok általi módosítása ellen (sértetlenség), valamint biztosítja a jogosultak számára térben és időben a szükséges hozzáférést (rendelkezésre állás). 3.24. Informatikai biztonsági szabályzat, IBSZ: a kibocsátó összes szervezeti egységére és munkatársára szabályokat tartalmazó dokumentum, aminek tartalma a biztonságpolitika rögzítése, és az abban kinyilvánított célok és biztonsági alapelvek alapján történő működési rend és mód részletes meghatározása. Kiterjed különösen a fizikai és személyi környezethez, a hardver- és szoftverrendszerhez, a kommunikációhoz és a számítógépes hálózathoz, az adathordozókhoz, a bemenő és kimenő adatokhoz, továbbá a dokumentációhoz kapcsolódó biztonsági szabályokra. Alapul szolgál a Rendszerszintű Informatikai Biztonsági szabályzat (RIBSZ) számára. 3.25. Informatikai Működésfolytonossági Terv (IMFT): terv arra, hogy ha az informatikai rendszer rendelkezésre állása az elviselhető kiesési időn túl akadályozott, az esetleg sérült rendszerösszetevők és szolgáltatások helyreállíthatóak, illetve másik környezetben – akár csökkentett terjedelmű szolgáltatással – újraéleszthetőek legyenek. 3.26. Intranet: belső, csak egy adott szervezet informatikai eszközeinek felhasználói által elérhető hálózat, amiben a felhasználó az elérhető adatokat olyan kezelői felületen („böngésző”) látja, mint ha azok az Internetről érkeznének. Ehhez az adatokat – Word vagy Excel formátumból, adatbázisból, stb. – előzetesen át kell alakítani a böngészőprogram által érthető formátumúra. Az Intranet hálózatot védeni kell külső – a Társasághoz nem tartozó – felhasználók, káros programok, stb. bejutása ellen. 3.27. ITIL (IT Infrastructure Library): az 1980-as években, Angliában több, információtechnológiával (IT) foglalkozó cég által a brit
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ kormány támogatásával létrehozott dokumentumsorozat, amiben az üzleti folyamatok IT eszközökkel megvalósított támogatására a gyakorlatban alkalmazott, jól bevált, gyártótól független üzemeltetési ajánlásokat gyűjtötték össze. Jelenleg a harmadik verziónál tart, 5 fő kötetből, és az ezekhez kapcsolódó kiegészítő anyagokból áll. Az ITIL a leginkább használt megközelítés az IT szolgáltatás-menedzsmentre, és főképp Európában az üzemeltetés de facto szabványa. Kizárólag az informatika üzemeltetési és üzemeltetés-szervezési kérdéseivel foglalkozik, dokumentált, kidolgozott oktatási és vizsgarendszere van. 3.28. Jogtiszta szoftver: olyan számítógépes program – alkalmazás – amelynek használatára a használó (jellemzően vásárlással, eseti megállapodással, ritkábban ajándékozással, stb.) megszerezte a jogosultságot. Általában ahány felhasználó kívánja a szoftvert egyidejűleg használni, annyi számú használati jogosultságot (liszensz) kell megszerezni, de más konstrukciók is léteznek (függhet pl. a telepítések darabszámától, a gépek számától, a processzorszámtól, stb.) 3.29. Katasztrófa: egy meghatározott területen vagy létesítményben bekövetkező, természeti erő vagy emberi tevékenység következtében létrejött esemény (beleértve a súlyos balesetet is), ami a felhasználó életét és/vagy egészségét, az informatikai infrastruktúrát vagy a környezetet olyan súlyosan veszélyezteti vagy károsítja, hogy következményeinek mérséklése és felszámolása rendkívüli intézkedéseket igényel. A katasztrófa az informatikai biztonsági események legsúlyosabb előfordulása, ami a megengedett kiesési időnél hosszabb időszakra megakadályozza, vagy megszűnteti a rendszer teljes egészének vagy tevékenységei / szolgáltatásai jelentős részének a folyamatos működését. 3.30. Kockázat: olyan fenyegető tényező vagy esemény bekövetkeztének az esélye, amely hátrányosan érintheti a Társaság informatikai rendszerének a működését. Elemei: a bekövetkezés gyakorisága és kárnagyság. A kockázatot elemzéssel, a rendszert fenyegető tényezők azonosítása és veszélyességük értékelése útján kell megállapítani.
5 3.31. Kockázatkezelés: az a döntési és cselekvési folyamat, amelynek során az üzleti tulajdonosok felmérik és minősítik informatikai rendszerük biztonsági kockázatait, és védelmi eszközöket rendelnek azok mellé. Ésszerű egyensúlynak, arányosságnak kell fennállnia a biztonsági intézkedések költsége és azon kockázatok között, amelyeket ezekkel az intézkedésekkel csökkenteni szándékoznak. 3.32. Kritikus rendszer: olyan informatikai rendszer, amely a Társaság számára alapvető fontosságú az üzleti folyamatok viteléhez, és a működéshez a Társaságnak elemi érdeke fűződik. 3.33. Közvetlen vezető: aki a Társaság által biztosított informatikai eszközt, e-mail címet használó munkatárs munkáját irányítja. 3.34. Különleges személyes adat: (A 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (továbbiakban: Infotv.) által különleges adatként meghatározott személyes adatok köre.) a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; 3.35. LAN, WAN: számítógépes hálózat, ami topológiáját tekintve lehet helyi méretű (LAN, Local Area Network) vagy szélesebb területet érintő (WAN, Wide Area Network). 3.36. Maradványkockázat: az a – rendszerint kismértékű – kockázat, ami annak ellenére fennmarad, hogy a fenyegető tényezők ellen intézkedéseket tettünk, illetve az a kockázat, ami ellen valamilyen okból (alacsony várható kárnagyság, igen ritka jelentkezés, forráshiány, stb.) nem tervezünk ellenintézkedést. 3.37. Minősített informatikai rendszer: olyan informatikai rendszer, amely fokozott vagy kiemelt biztonsági osztályú besorolást kapott (pl. azért, mert érzékeny adatot kezel, tárol, dolgoz fel, vagy azért, mert kritikus fontosságú a Társaság üzletvitele szempontjából).
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 3.38. Modem MOdulator/DEModulator: a digitális jeleket analóg telefonhálózatokon való átvitelhez át- és visszaalakító hardver eszköz. 3.39. Mobil kommunikáció: a különböző szolgáltatók által az országos GSM hálózaton keresztül végzett mindennemű hang, adat és információ átvitel. 3.40. Operációs rendszer: a szerverek, munkaállomások, PC-k, stb. működését alapvetően meghatározó és azt biztosító szoftver (rendszer), a számítógép alkalmazói programok nélküli „tudása”. 3.41. QR-kód: kétdimenziós vonalkód (pontkód), az angol Quick Response (=gyors válasz) rövidítése. A QR-kód nyílt szabványú, a specifikációi nyilvánosak, ISO/IEC 18004 jelzettel nemzetközi szabvánnyá vált, amit 2006-ban kiegészítettek. Bármilyen irányból olvasható, nem kell törődni a kód helyes tájolásával. A QR-kódokban nyílt és rejtett szövegek, Internetes címek, azok leolvasásakor azonnal futtatható programsorok, utasítások, stb. helyezhetők el. 3.42. Rendelkezésre állás: a rendszernek az a tulajdonsága, hogy meghatározott helyen és időben (pl. az összesített havi üzemidő 98 %ában) az eredeti rendeltetésének megfelelő szolgáltatásokat nyújtani tudja. 3.43. Rendszeradminisztrátor – rendszergazda: az informatikai rendszer telepítését, konfigurálását, karbantartását munkaköri feladatként végző, az ehhez szükséges speciális ismeretek és a felhasználóénál bővebb rendszer-hozzáférési engedélyek birtokában levő személy. 3.44. Rendszerüzemeltető: az informatikai rendszer folyamatos üzemeltetését, a rendszerben kezelt adatok mentését, a meghibásodott rendszer helyreállítását munkaköri feladatként végző, az ehhez szükséges speciális ismeretek és a felhasználóénál bővebb rendszer-hozzáférési engedélyek birtokában levő személy. 3.45. Rendszerszintű Informatikai Biztonsági Szabályzat, RIBSZ: az Informatikai Biztonsági Szabályzat szerkezetét és követelményeit alapul véve az adott informatikai rendszerre nézve specifikus szabályokat tartalmazó dokumentum.
6 3.46. Sértetlenség: az adatok eredeti állapotának, tartalmának, teljességének és hitelességének biztosítása. Célja, hogy az információkat, adatokat, programokat csak az arra jogosultak (személyek, vagy más rendszerösszetevők) változtathassák meg, és azok véletlenül se módosuljanak. A sértetlenség megtartása az illetéktelen módosítás, hamisítás elleni védelmet is jelenti. 3.47. Számítási felhő (cloud computing): a felhő alapú számítástechnikai szolgáltatás olyan szolgáltatás, amelyet a szolgáltató a felhasználó számára nem egy erre a célra rendelt hardvereszközön, hanem a saját eszközein elosztva, az üzemeltetés részleteit elrejtve üzemelteti, és amelyet a felhasználók az Interneten, vagy a vállalati Intraneten keresztül érhetnek el. Az erőforrások nagysága, szerkezete, összeköttetése nem ismert - innen a felhő elnevezés. Az állományok egy vagy több központi szerveren tárolódnak, a felhasználók kliens programokkal (pl. böngésző) férnek hozzá az adataikhoz. Ugyan azokon az erőforrásokon több igénybe vevő is osztozik. A felhasználók igény szerinti hozzáférést kapnak a megosztott informatikai erőforrásokhoz (pl. hálózat, szerverek, tárolók, alkalmazások és szolgáltatások). A kialakítás szerint lehet: Privát: belső szolgáltató által egy zárt intézményi kör számára nyújtott felhő szolgáltatatás, Publikus: egy nyilvános szolgáltató által nyújtott, Hibrid: Vegyesen a belső szolgáltató által és publikus szolgáltatótól is igénybe vett kapacitásokat használ. 3.48. Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés. A személyes adatok kezelésének rendjét a Társaság vezérigazgatói utasításként hatályba lépett Adatvédelmi Szabályzata tartalmazza. 3.49. Titokká minősített adat: olyan adat, amely törvényi rendelkezés alapján nemzeti minősített adat (Szigorúan titkos, Titkos,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Bizalmas, illetőleg Korlátozott terjesztésű), illetve a Társaság Üzletititok-védelmi Szabályzata alapján az üzleti titok körbe tartozik, nem ideértve az ún. belső adatot. 3.50. Ügyfél: az utas, az utazás előkészítése, helyfoglalás, stb. érdekében a nyilvános online rendszereken (e-Ticket, ELVIRA, stb.) a Társasághoz forduló, a Társaság ügyfélszolgálatától információt kérő vagy ott bejelentést, panaszt tevő személy, továbbá a Társaság által üzleti ajánlattal megkeresett, és a kedvezményes utazásra jogosító igazolvánnyal ellátott személy. 3.51. Üzleti titok: üzleti titoknak minősül a Társaság gazdasági, üzleti tevékenységéhez kapcsolódó vagy annak során keletkező minden adat, amelynek titokban maradásához a Társaságnak méltányolható érdeke fűződik, nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a Társaság jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a Társaság a szükséges intézkedéseket megtette. Üzleti titoknak minősül továbbá minden harmadik félre vonatkozó olyan adat, amelyre nézve a Társaságot jogszabály vagy szerződés alapján titoktartási kötelezettség terheli. Az üzleti titok minősítésű adatok kezelésének rendjét a Társaság vezérigazgatói utasításként hatályba lépett Üzletititok-védelmi Szabályzata tartalmazza. 3.52. Üzleti tulajdonos: az információs rendszer üzleti tulajdonosa az a – lehetőleg – magasabb beosztású vezető, akinek jogában áll a rendszer fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerűen az a szervezeti egységi vezető, akihez az adott rendszer felhasználóinak többsége tartozik. Az informatikai biztonsági szempontok szerint értelmezett „tulajdonos” felelőssége kiterjed az adott rendszer informatikai termékeit, illetve szolgáltatásait érintő hagyományos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ő a rendszer biztonsági kockázatainak kezelője, de megbízottakat nevezhet ki, akik a nevében eljárnak. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. A MÁV
7 csoport által közösen használt rendszerek esetében (pl. GIR, IHIR) az üzleti tulajdonos felelőssége csak a Társaság által használt modulra terjed ki, feladatai e körre szűkítve értelmezettek. 3.53. Tűzfal: olyan hálózati berendezés vagy program, amely rendszerint a külső Internetkapcsolat és a céges belső számítógépes hálózat közé illesztve egyrészt védi a hálózatot és rajta működő eszközöket az illetéktelen külső behatolási kísérletektől, másrészt intézi a legális adatforgalmat. Tűzfal alkalmazható továbbá egy adott alkalmazás és a társasági intranet közötti kapcsolat biztonsága érdekében, vagy például személyes tűzfalként egy munkaállomás és teljes külvilág közötti adatkapcsolati kockázatok csökkentésére. 3.54. Változáskezelés: azon szabályok összessége, amelyek meghatározzák egy informatikai alkalmazás adatszolgáltatási folyamataiban, az azokat kiszolgáló informatikai eljárásokban és szolgáltatásokban, valamint az alkalmazás üzemeltetését lehetővé tevő informatikai infrastruktúrában bekövetkező módosítások, változások biztonságos végrehajtását és nyilvántartását, változásainak nyomon követhetőségét. 3.55. VPN: (Virtual Private Network – virtuális magánhálózat): Olyan virtuális számítógépes hálózat, amely kommunikációs csatornák és eszközök segítségével valósul meg, de az azokon zajló egyéb forgalomtól elkülönülő, mások számára nem hozzáférhető egységet képez. A VPN az adatok védelmére, a hitelesítés mellett, nyilvános hálózatokon különböző titkosítási technikákat is alkalmaz, miáltal lehetőséget biztosít a Társaság számára, hogy a belső hálózat meghatározott elemeit elérhetővé tegye az erre feljogosított (pl. zárt felhasználói csoport, illetve távmunkát végző) felhasználók számára. 4.0. UTASÍTÁS LEÍRÁSA 4.1. A MÁV-START Zrt. információbiztonsági politikája A Társaság informatikai rendszerei által kezelt adatok bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítására irányuló tudatos védelempolitikának és az ennek érvényesítésével folytatott tervszerű, egységes és megelőző (pro-aktív) szemléletű biztonsági
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ tevékenységnek az alábbi védelmi alapelveken kell nyugodnia.
8 i) A védelemben biztosítani kell a tervezés – megvalósítás – ellenőrzés – beavatkozás folyamatát (zárt szabályozási ciklus alapelve). j) Szét kell választani a tevékenységeket, a feladatokat és a felelősségi köröket a rendszerek fejlesztése, használatba vétele, működtetése és felhasználása terén. k) Az informatikai rendszerek fejlesztése és megvalósítása során kialakított védelmi képességeket a rendszer teljes életciklusában fenn kell tartani (folytonosság). l) Új rendszerek / rendszerkomponensek használatba vételével az informatikai biztonság meglévő szintje nem csökkenhet. A fejlesztés során az informatikai biztonság rendszerszintű megtervezésével a fejlesztési igény megjelenésétől kezdve foglalkozni kell. m) A rendszerekben megvalósított hozzáférésnek és a rendszer használatának a funkcionális szükségszerűségen kell alapulnia. A felhasználók különböző rendszerekhez való hozzáférési jogosultságait a lehetőség szerinti legalacsonyabb szinten kell tartani (szükséges minimális jogosultság elve). n) A Társaság számítástechnikai rendszereiben kizárólag jogtiszta szoftverek vezethetők be és üzemeltethetők. o) A munkakör ellátásához kapott, a Társaság tulajdonát képező informatikai eszköz (PC, laptop, hordozható eszközök, nyomtató, szoftver, stb.) kizárólag a munka és az azzal összefüggő elektronikus kommunikáció végzésére szolgál, magáncélú használata (pl. az ún. közösségi hálózatok – Facebook, Skype, stb. – látogatása) nem megengedett. Az eszközök szabályszerű használatát a Társaság esetenként ellenőrzi. p) A Biztonság szervezetén belül létrehozott információbiztonsági területet minden olyan fejlesztésbe kötelező bevonni, ami informatikai vagy infokommunikációs jellegű, a társaság informatikai eszközeivel, azok bővítésével, selejtezésével, a központi informatikai rendszerben történő változásokkal foglakozik. q) A Társaság informatikai rendszerében saját eszközöket használni tilos, az ún. BYODt a Társaság nem támogatja. r) A Társaság alkalmazásai, adatbázisai nem működhetnek cloud (felhő) alapú technika alkalmazásával. s) A felhasználók kötelesek alkalmazni az 1. sz. mellékletbe foglalt használati szabályokat,
a) Az Informatikai Biztonsági Szabályzatban meghatározott előírás, feladat, magatartási szabály – munkakörre, beosztásra való tekintet nélkül – kötelező érvényű. A szabályzatban foglaltak nem megfelelő végrehajtása vagy be nem tartása a Társaság részéről munkáltatói intézkedést, kártérítési eljárást, törvénybe ütköző súlyosságú esetekben pedig szabálysértési vagy büntetőeljárást vonhat maga után. b) Minden vezető felelős az informatikai biztonsági szabályzatban foglaltak végrehajtásáért az általa irányított szervezeti egységnél. Azon vezetőknek, akiknek számítógépet használó munkatársaik vannak, biztosítaniuk kell, hogy az információbiztonsági politikát és szabályokat minden munkavállaló megismerje, munkája során alkalmazza, továbbá a felügyelete alatt álló informatikai infrastrukturális elemen vagy elemmel munkát végző külső (nem a Társaság alkalmazásában álló) munkatársakkal betartassa. c) Minden informatikai eszközt használónak tudatában kell lennie, hogy személyesen felelős az információvédelmi szabályok megismeréséért, saját munkájában azok betartásáért, melyről írásban nyilatkozik. d) A Társaság minden munkavállalója köteles a biztonsági szabályokat, előírásokat, technikai megoldásokat, beállításokat belső adatként kezelni. Ezeket az információkat külső fél részére csak a Biztonság engedélyével lehet kiadni. e) A védelmet fizikai, logikai és adminisztratív vonatkozásban egyaránt érvényesíteni kell az összes rendszerelemre (teljes körűség). f) Szerves egységet alkotó, az összes valószínűsíthető fenyegetés elleni védelmi intézkedési rendszert kell megvalósítani az informatikai infrastruktúra védelmére (zártság). g) Az informatikai rendszerek és az általuk kezelt adatok védelme erősségének és költségeinek a felmért kockázatokkal arányosnak kell lennie (kockázatarányosság). h) Az informatikai rendszerek védelmét az információvédelem (bizalmasság és sértetlenség együtt) és a rendelkezésre állás szempontjai szerint megállapított biztonsági osztálya (alap, fokozott, vagy kiemelt) alapján kell megvalósítani (differenciált védelem elve). 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ amelyek megismerését a 3. sz. melléklet szerinti nyilatkozattal kell igazolniuk. Ennek kitöltéséről a 4.4.1. Informatikai biztonsági követelmények érvényesítése alpont rendelkezik. 4.2 A MÁV-START Zrt. informatikai biztonságának szervezeti struktúrája A Társaság informatikai infrastruktúrája biztonságának központi irányítását a vezérigazgató gyakorolja. A szakmai irányítás és felügyelet az SZMSZ-ben foglaltak szerint a Biztonság, azon belül az információvédelmi szakterület útján valósul meg. 4.2.1. A Társaság informatikai biztonságát irányító vezetők és biztonsági feladataik a) Vezérigazgató A felsőszintű központi irányítás keretében az alább felsoroltakat végzi. - Létrehozza a Biztonság szervezetén belül az információbiztonság munkaszervezetét, és azon belül meghatározza az alapvető létszámnormákat. - Jóváhagyja a Társaság biztonsági stratégiáját, ezáltal meghatározza az annak részét képező informatikai biztonsági működés elveit. - A Társaság gazdálkodása útján biztosítja a hatékony működés szervezeti, anyagi, műszaki, személyi, tárgyi feltételeit. - Vezérigazgatói utasításként kiadja a Társaság Informatikai Biztonsági Szabályzata (IBSZ) c. (jelen) dokumentumot. - Az információvédelmi munkaszervezet útján irányítja és ellenőrzi a Társaság informatikai biztonsági tevékenységét. - Meghatározza az informatikai biztonsági oktatás, képzés, továbbképzés elveit. b) Biztonsági vezető - Intézkedik a Társaság informatikai biztonságát meghatározó szabályozási feladatok szakszerű, a jogszabályoknak megfelelő előkészítésére. - Szabályozza az informatikai biztonsági tevékenység szakmai és a munkafolyamatokba épített ellenőrzési feladatait, tevékenységét. - Munkaszervezetének információvédelmi szakterülete útján biztonsági szempontból felügyeli a Társaság Informatika szervezetének munkáját.
9 - Értékeli a szervezeti egységek informatikai biztonsági helyzetét, segíti informatikai biztonsági tevékenységüket. - Szükség esetén informatikai biztonsági intézkedést, állásfoglalást, körlevelet, stb. ad ki, és végrehajtását az információvédelmi szakterület útján rendszeresen ellenőrzi. - Bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető károkozás megelőzésére, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekből való kizárására. - Azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén. - Hatóságoknál informatikai biztonsági kérdésekben képviseli, vagy képviselteti a Társaság érdekeit. c) Biztonság információbiztonsági koordinátora Felelős: - a Társaság szervezeti egységeinél folyó informatikai biztonsági tevékenység irányításáért, felügyeletéért, koordinálásáért, - a Társaság informatikai biztonsági stratégiájának kialakításáért, - az információbiztonsági szabályozás megfelelőségéért, az IBSZ kialakításáért, évenkénti (az informatikai infrastruktúrában bekövetkező jelentős változás esetén soron kívüli) felülvizsgálatáért és szükség szerinti aktualizálásáért, - az információbiztonsági veszély- és kármegelőzésnek, a biztonsági ellenőrzés és vizsgálat módszereinek, eljárásainak megfelelőségéért, szakszerűségéért, - az informatikai szolgáltatók és szolgáltatási szerződések biztonsági megfelelőségének ellenőrzéséért, - az adat- és információbiztonsági oktatás, képzés és tanácsadás szakmai irányításáért, a vezetők és munkatársak biztonsági tudatának fejlesztéséért, - az informatikai rendszerek és rendszeradminisztrátorok folyamatos biztonsági felügyeletéért, - a biztonsági események kivizsgálásáért, értékeléséért, - a veszélyeztetés-felmérés, kockázatelemzés, kárelhárítás és kármérséklés tervezésének irányításáért.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Feladata: - jelen szabályzatban megfogalmazott követelmények betartását ellenőrzi, a hiányosságok megszűntetésére intézkedik, - segíti az üzleti tulajdonosokat a biztonsági szaktevékenység előírásszerű ellátásában, - ellenőrzi a biztonsági folyamatok tervezését, a társasági szintű szabályozások kialakítását, azok betartását, - biztonsági szempontból felügyeli az informatikai fejlesztéseket, - koordinálja az informatikai rendszerek üzemeltetésének biztonságát, - koordinálja, ellenőrzi az outsourcing partnerek által a Társaság részére végzett informatikai biztonsági tevékenységeket, - információbiztonsági ellenőrzéseket végez a Társaság szervezeti egységeinél, - együttműködik a Társaság munkaszervezeteivel az informatikai biztonság továbbfejlesztése érdekében, - azonnali intézkedéseket rendel el az információbiztonság sérülése, vagy ennek veszélye esetén, - bűncselekmény elkövetésének megakadályozására, a Társaságot veszélyeztető károkozás megelőzésére, illetve az ilyen károk csökkentése érdekében intézkedik az érintetteknek az informatikai rendszerekből való azonnali kizárására, - kapcsolatot tart a MÁV-csoporthoz tartozó társ informatikai biztonsági szervezetekkel, - képviseli a Társaságot a felügyeleti hatóságokkal, igazgatási, rendészeti és más külső szervekkel folytatott tárgyalásokon. Hatásköre: - részvétel a társasági szintű informatikai stratégia kialakításában, - azonnali intézkedések elrendelése az információbiztonság sérülése, vagy ennek veszélye esetén, - az információvédelmi oktatás követelményeinek, tematikájának és programjának meghatározása, részvétel a képzések megtartásában, - információbiztonsági ellenőrzések kezdeményezése, - a Társaságnál kiadásra kerülő szabályzatok véleményezése az informatikai biztonság szempontjai szerint, - a Társaság szervezeti egységei részére fejlesztett és üzemeltetett informatikai
10 információbiztonságának
rendszerek ellenőrzése, - az informatikai rendszerekben előforduló biztonsági események értékelése alapján meghozandó védelmi intézkedések, szankciók, kezdeményezése, a szükséges intézkedések és tájékoztatások megtétele.
4.2.2. A Társaság informatikai biztonságát megvalósító személyek és biztonsági feladataik a) Informatikai vezető Felelős: - a Társaság informatikai stratégiájának kialakítása és végrehajtása során a jelen IBSZben foglalt előírások érvényesüléséért, - jelen IBSZ biztonsági követelményeinek megfelelő információvédelmi rendszerek, eszközök beruházásának előkészítésért, beszerzésének irányításáért, - az üzleti tulajdonosok kijelöléséért, ha az nem lehetséges, utólagos megnevezéséért, azok felelősségi körébe tartozó rendszerek, alkalmazások meghatározásáért, - az üzleti tulajdonosok személyében előállt változások követéséért, és a bekövetkezett változásokról a Biztonság részére történő legalább évente egyszeri tájékoztatásért, - annak biztosításáért, hogy új informatikai rendszerek megvalósítást célzó projektek előkészítése során a biztonsági rendszer tervezéséhez és megvalósításához szükséges anyagi, eszköz- és humán feltételek betervezésre kerüljenek, - annak biztosításáért, hogy az új informatikai rendszerek bevezetésénél, illetve a meglevők korszerűsítésénél a biztonsági rendszer tervezése és létesítése a projektmegvalósítás keretein belül, annak szerves részeként érvényre jusson, - minden minősített informatikai rendszerre a rendszerfejlesztés részeként a fejlesztést végzővel a rendszerszintű informatikai biztonsági követelmények, a RIBSZ, és az Informatikai Működés-folytonossági Terv kialakíttatásáért, - informatikai tárgyú beszerzési, szolgáltatási, stb. szerződésekben, továbbá erőforráskihelyezéssel működtetett rendszerek esetében a Társaság informatikai biztonsági érdekeinek az érvényesítéséért, - az informatikai szolgáltatók, szolgáltatási szerződések és SLA-k biztonsági megfelelőségéért,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 11 - a társasági szintű vírusvédelmi rendszer fenntartásáért, - jogtiszta szoftverekkel való működés feltételeinek kialakításáért, a licenszgazdálkodásért, - az operációs rendszerek és egyéb rendszerszoftverek biztonsági javításainak telepítéséért, - a minősített rendszerekben társasági szinten egységesített elvekre (pl. ITIL) épülő változáskezelési eljárásrend kidolgozásáért és működtetéséért, - a hordozható eszközökkel végzett és a távmunka biztonságos feltételeinek kialakításáért, - a biztonsági osztályok követelményeinek megfelelő adathálózati védelmi rendszerek és eszközök honosításáért, fejlesztések koordinálásáért, az adathálózatot megvalósító rendszerekben, környezetük minden elemén a zárt és a kockázatokkal arányos védelem biztosításáért, - a Társaság központi szerverén tárolt adatok, dokumentumok eléréséhez a megfelelő jogosultsági rendszer biztosításáért a szükséges vezetők bevonásával, - a Társaság informatikai objektumainak, telephelyeinek a fizikai biztonsági követelményeknek megfelelő kialakításáért, - a Társaság informatikai vagyonleltárának szakmai megfelelőségéért. b) Humán vezető Felelős: a Társasághoz belépő munkatársak információvédelmi képzésének megszervezéséért, a munkaerő-változások során az illetékes humán ügyintéző ellenőrizési és az információvédelmet érintő feladatainak végrehajtásáért és azok ellenőrzéséért (pl. belépőkkel és kilépőkkel az előírt nyilatkozatok aláíratása, belépéskor képzés), a kilépett és jogi létszámba került munkatársak hálózati belépési jogosultságának visszavonatásáért az erre kialakított külön szabályok szerint.
Felelős: - a rendszerek tervezése és fejlesztése során az üzemeltetés biztonsági kockázatainak felméréséért és értékeléséért, a kockázatok minimalizálásához szükséges ráfordítások, erőforrások, intézkedések menedzseléséért, a maradványkockázat mértékének meghatározásáért és elfogadásáért, - az előbbiek alapján a rendszer biztonsági osztályának meghatározásáért egyrészt az információvédelem (bizalmasság és sértetlenség együttesen), másrészt a rendelkezésre állás szerint, - a rendszer rendelkezésre állási paramétereinek meghatározásáért, a kármérséklési (pl. vagyonbiztosítási) tevékenység irányításáért, - a rendszer kifejlesztése során a szükséges biztonsági tervek (pl. biztonsági rendszerterv) és okmányok (pl. Informatikai Működésfolytonossági Terv (IMFT)) elkészítéséért, - a rendszernek a tervekben leírt biztonságú megvalósításáért, - a rendszer átvétele során a ténylegesen megvalósított biztonság színvonalának ellenőrzéséért és fenntartásáért, - a kezelt adatok biztonságának az Adatvédelmi Szabályzat és az Üzletititok-védelmi Szabályzat szerinti minősítésének megfelelő szintű biztosításáért az adatok teljes életciklusában, - az informatikai működésfolytonosság biztosítása érdekében tervezett feladatok gyakoroltatásáért.
Köteles: - meghozni a rendszer kifejlesztésével (beszerzésével), használatával és karbantartásával kapcsolatos biztonsági döntéseket, - biztosítani, hogy az informatikai rendszerben valamennyi informatikai biztonsági követelmény teljesüljön, és azokat folyamatosan ellenőrizzék, - kijelölni a rendszer biztonságos üzemeltetéséhez szükséges közreműködő személyeket, - a rendszer biztonsági osztályba sorolásából következő védelmi intézkedéseket megtenni, illetve kezdeményezni a Társaság felső c) Számítástechnikai alkalmazás üzleti vezetése és az informatikai vezető felé, tulajdonosa - a biztonsági előírások érvényesülése szemMinden számítástechnikai alkalmazás biztonpontjából évente legalább egyszer felülvizsgálságát egy-egy üzleti tulajdonoshoz kell rendelni a tulajdonolt rendszer működését biztosító ni. Az üzleti tulajdonos lehet konkrét személy, informatikai hátteret, a felhasználókat és jogode a funkció köthető konkrét beosztás sultságaikat, továbbá a rendszert használók mindenköri betöltőjéhez is. tevékenységét. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - figyelemmel kísérni a rendszer adataiban és technológiájában történő változásokat, hogy a rendszer adatvagyonát naprakészen ismerje, Jogosult: - az esetlegesen előforduló informatikai biztonsági incidensek kivizsgálásában való közreműködésre, a szükséges szankciók kezdeményezésére, - az információvédelmi szakterület szakmai segítségének közvetlen igénybe vételére.
12 - a rendszerek nem biztonságos, a Felhasználók biztonsági kötelezettségei c. okmányban (1. sz. melléklet) rögzítettől eltérő használatának észlelésekor a használat leállítása és az esemény jelentése közvetlen felettese, továbbá az adott rendszer üzleti tulajdonosa, és az információvédelmi koordinátor részére, - gondoskodik a beosztott munkatársak részére biztosított asztali és hordozható eszközök használatba adásáról, visszavételéről, az eszközök állapotának folyamatos figyelemmel kiséréséről, az eszközök biztonsági állapotában bekövetkezett változások jelentéséről a Biztonság részére. - A munkatársak munkaviszonyában beállt változások során köteles együttműködni az illetékes humán ügyintézővel. - a közvetlen irányítása alá tartozó munkavállaló munkaviszonyának bármilyen okból való megszűnésekor a munkavállaló által használt eszközön esetleg tárolt személyes adatok, továbbá postafiókjából a személyes levelek töröltetése úgy, hogy a számítógépen, a központi adattárolásra szolgáló szerver megfelelő könyvtáraiban, és a postafiókban csak azok az állományok maradhatnak, melyek a munkakört a továbbiakban ellátó másik személy munkavégzéséhez szükségesek, - a közvetlen irányítása alá tartozó munkavállaló munkaviszonyának bármilyen okból való megváltozásakor a munkavállaló által az informatikai rendszerekben (pl. DMSPoszeidon) kezelt adatokhoz, dokumentumokhoz történő további hozzáférésről gondoskodni köteles, - a közvetlen irányítása alá tartozó munkavállaló munkaviszonyának bármilyen okból való megszűnésekor a munkavállalónak az általa használt informatikai rendszereket érintő valamennyi felhasználói jogosultsága garantáltan és dokumentáltan letiltásra kerüljön, amit a munkavállaló kiléptető lapján aláírásával kell igazolnia.
d) „Felhasználó” beosztottal rendelkező közvetlen vezető Irányítási területén biztosítania kell, hogy az informatikai biztonságra vonatkozó dokumentumokban (jelen IBSZ, alkalmazásonkénti RIBSZ, IMFT, stb.) foglaltakat minden általa vezetett munkavállaló és külső munkatárs a rá vonatkozó mértékben megismerje és betartsa. Ennek során feladata: - a közvetlen irányítása alá tartozó munkavállalók részére a szervezetben betöltött munkakörüknek megfelelően az informatikai rendszerhez történő hozzáférés biztosítása, kiemelten jelen utasítás 4.7.1 pontja szerint a hozzáférés folyamatos aktualizálása (felfüggesztetése, újraindíttatása stb.), - a felhasználói rendszerekhez a szükséges minimumra korlátozott felhasználói jogosultságok biztosítása (igénylés, módosítás, felfüggesztés, visszavonás, stb. kezdeményezése), - a központi irodaépületben üzemelő vezeték nélküli hálózathoz (WiFi) a felhasználó részére hozzáférés igénylése a biztonsági vezetőtől. - a működési területén külső személyek által végzett informatikai tevékenységekhez (karbantartás, javítás, stb.) szükséges ideiglenes jogosultságok biztosítása, minősített rendszerek esetén a munkálatok felügyeletének megszervezése, - a rendszerek használata során észlelt új kockázatok, változtatási igények folyamatos figyelemmel kísérése, a tapasztalható gyenge A felhasználó beosztottal rendelkező közvetlen pontok vagy az esetleg bekövetkező biztonsági vezető informatikai biztonsági jellegű további események jelzése közvetlen felettese, az adott feladatait részletesen a 13. számú melléklet rendszer üzleti tulajdonosa, és közvetlenül az tartalmazza. információvédelmi koordinátor részére, - szükség esetén a működési területe speciális jellegzetességeit tükröző helyi végrehajtási utasítás kibocsátásának kezdeményezése vezetőjénél az IBSZ, illetve a RIBSZ-ek előírásainak teljesülése érdekében, 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ e)
Biztonság információvédelmi szakértője
Az információvédelmi szakterület szervezeti keretei között dolgozó információvédelmi szakértők közreműködnek a társasági SZMSZ által a szakterülethez delegált feladatok végrehajtásában, különösen az alább felsoroltakban: - a rendszerszintű informatikai biztonsági okmányok kidolgozása, illetve kidolgoztatásukban közreműködés, - közreműködés a társaság Informatikai Biztonsági Szabályzatának kidolgozásában és módosításában, - informatikai fejlesztésekben az információvédelmi szakterület képviselete, - az informatikai biztonsági rendszerek, valamint a rendszer-adminisztrátorok, rendszergazdák, és felhasználók – ideértve a rendszergazda jogosultságúakat is – tevékenységének ellenőrzése, biztonsági felügyelete, - rendszerüzemeltetési okmányok vizsgálata, - informatikai biztonsági események kivizsgálása, - javaslattétel a védelmi intézkedésekre, szankciókra, - a logikai, a fizikai és az adminisztratív biztonság megvalósulásának felügyelete, - informatikai biztonsági szaktanácsadás, üzleti tulajdonosok, közvetlen vezetők, felhasználók segítése, - informatikai biztonsági képzés, oktatás. f) Rendszeradminisztrátor, felhasználói rendszergazda A hatáskörébe tartozó rendszer(ek) vonatkozásában feladata: - a logikai védelmi rendszer egyes elemeinek beállítása, módosítása a védelmi rendszertervnek és a RIBSZ-nek megfelelően, - és a jóváhagyott jogosultságok beállítása, módosítása, aktualizálása a jóváhagyott változásoknak megfelelően. - Jogosultság kezelési űrlapok kezelése a rendszer teljes életciklusában. g) Felhasználó A Társaság minden munkavállalója, aki munkája során számítógéppel adatot gyűjt, feldolgoz és használ (röviden: felhasználó), köteles az ilyen műveletek során az általa kezelt rendszer informatikai biztonságára vonatkozó dokumentumokban foglalt szabályok szerint
13 eljárni. Köteles továbbá a Felhasználók biztonsági kötelezettségei c. okmányban (1. sz. melléklet) foglaltakat ismerni és napi munkájában alkalmazni. h) Humán ügyintéző A társaság illetékes humán ügyintézői kötelesek a munkatársak munkaviszonyában beállt változások során ellenőrizni, hogy a munkatárs közvetlen vezetője végrehajtotta-e a rá vonatkozó feladatokat, valamint biztosítottae a közvetlen vezető részére a szükséges információvédelmi dokumentumokat. i) Biztonság területi biztonsági szakértője A területi biztonsági szakértő köteles az ellenőrzési tevékenységei során meggyőződni a számítógépek és egyéb informatikai eszközök tárolásának, felhasználásának körülményeiről. Köteles tájékozódni, hogy minden munkatárs a megfelelő jogosultságokkal rendelkezik-e és csak a jogosultságainak megfelelően dolgozik. Bármilyen tapasztalt rendellenesség esetén köteles írásban tájékoztatni az információbiztonsági koordinátort. 4.2.3. Az informatikai biztonság szabályozása a Társaság partnereire vonatkozóan A Társasággal – az informatikai rendszerek használatával, üzemeltetésével, fejlesztésével összefüggésben – kapcsolatban álló jogi és természetes személyeket, jogi személyiséggel nem rendelkező szervezeteket (továbbiakban: partnereket) érintő tevékenységekben a Társaság informatikai biztonsági érdekeinek és szabályainak érvényre juttatása minden esetben a kérdéses rendszer üzleti tulajdonosának a feladata. A cél az, hogy a Társaság információfeldolgozó eszközeinek és adatvagyonának biztonsági szintje ne csökkenjen a létrejött partnerkapcsolatok következményeként. Az alább felsorolt partneri viszonylatokban szerződést a Társaság szerződéskötési szabályzata szerint, a Biztonság szervezeténél történő véleményeztetését követően csak olyan partnerrel szabad kötni, aki / amely tudomásul veszi és vállalja a Társaság szabályzatainak, informatikai biztonsági érdekeinek érvényesítése céljából megfogalmazásra kerülő kívánalmak teljesítését, és lehetőséget biztosít a Társaság számára azok teljesülésének felügyeletére.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ a) Ügyfelek A Társaság ügyfelei különböző módokon kapcsolódnak informatikai rendszereinkhez, pl. passzív adatkérés közérdekű on-line információs rendszerekből (ELVIRA menetrend), általános hozzáférésű on-line szolgáltatás aktív igénybevétele (pl. helyfoglalás, kedvezményes utazásra jogosító kártya vagy igazolvány igénylése). Ezekben az esetekben a partner vagy ismeretlen, vagy ha ismert, akkor sem kötelezhető speciális intézkedések szigorú betartására, illetve a Társaság biztonsági érdekeinek védelmét célzó eljárások elfogadására. Ezért magukat az ügyfélkapcsolati informatikai rendszereket kell úgy kialakítani, hogy azok használata során a nem szakszerű vagy felelőtlen, esetleg szándékosan rosszindulatú magatartási formák se okozhassanak kárt a Társaságnak, vagy az adott szolgáltatást igénybe vevő más partnereknek. Az ügyfelek személyes adatainak feldolgozása során az Infotv. által definiált adatkezelés valósul meg. Az adatkezelés törvényes feltételeket is kielégítő végzése érdekében – az informatikai biztonsági szabályok mellett – szigorúan be kell tartani a Társaság Adatvédelmi Szabályzatának előírásait is.
14 Az érintett rendszerek üzleti tulajdonosainak gondoskodniuk kell arról, hogy az együttműködési szerződés és az adott rendszerre vonatkozó RIBSZ biztonsági rendelkezései összhangban álljanak egymással. c) Informatikai szolgáltatók, beszállítók, szervizek Ezeknek a kapcsolatoknak az a közös jellemzője, hogy a Társaság (vagy valamely szervezeti egysége) ügyfélként veszi igénybe a partner cég valamely – informatikai biztonságot is érintő – szolgáltatását (Internet kapcsolat, on-line banki szolgáltatás, hardverkarbantartás, javítás, hardver / szoftver bérbeadás, rendszeradminisztráció, vírusvédelem, stb.). A Társaság biztonsági érdekeit érvényesíteni kell mind a beszállítók megválasztásánál, mind a szerződések megkötésénél a megfelelő biztonsági garanciák beépítésével. Az informatikai beszállítók kijelölése, kiválasztása és a szerződéskötés előkészítése az informatikai vezetőnek a feladata, de a biztonsági megfelelőség megítélésében köteles kikérni és figyelembe venni a biztonsági vezetőnek véleményét a Társaság szerződéskötési szabályzata és jelen szabályzat szerint. A biztonsági megfelelőség megítélésében figyelembe kell venni a beszállító informatikai biztonsági helyzetét és képességét, informatikai biztonsági megfelelőségét igazoló minősítés meglétét, a (várhatóan) vállalt biztonsági garanciákat. Egy személlyel, vagy egyszemélyes társasággal nem köthető minősített, illetve a Társaság szempontjából kritikus rendszer kezelésére, illetve üzemeltetésére szerződés. Alap fokozatú rendszerek esetében is kerülni kell az egy-, vagy néhány személyes vállalkozásokkal (pl. bt.), társaságokkal való szerződéskötést, mert az túlzott függőséget jelent a Társaságra nézve, ami magas kockázatot jelent a folyamatos üzemmenetre.
b) Más vasúttársaságok, nemzetközi vasúti szervezetek A Társaság informatikai rendszerei több szálon is kapcsolódnak vagy kapcsolódhatnak magánvasutakhoz, más nemzeti vagy nemzetközi vasúti szervezet rendszereihez, különösen tájékoztató jellegű adatok cseréje (pl. menetrend), vasútüzemi információk cseréje (forgalmi, igénybevételi adatok, stb.), anyagi-, erkölcsi felelősséget érintő információk cseréje (vasútközi elszámolási adatok, helyfoglalás). Ezekben a kapcsolatokban – megfelelő szakmai előkészítő tárgyalások után – az érintett feleknek közösen kell megegyezniük a kapcsolatot megvalósító rendszer biztonsági követelméd) Projekt partnerek nyeiben, besorolásában. Az írásba foglalt együttműködési szerződésben, illetőleg annak A Társaság informatikai rendszereinek műszaki vagy más mellékletében külön biztonkorszerűsítésére, új rendszerek létrehozására sági fejezetben kell rögzíteni az informatikai indított projektek kapcsán az együttműködésre biztonságot érintő hatásköröket, felelősségeket, pályázó jelentkezők versenyeztetésénél az a biztonság garantálásához alkalmazandó üzeinformatikai biztonsági előírások maradéktalan meltetési, felügyeleti és ellenőrzési eljárások érvényesítését is biztosítani kell. részleteit. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 15 A pályázati felhívásban – a funkcionális követelmények mellett – a pályázóktól elvárt biztonsági követelményeknek is egyértelműen meg kell jelenniük. A pályázati anyagok elbírálása során figyelembe kell venni (lehetőség szerint értékelési súlyarány hozzárendelésével) a pályázó cég informatikai biztonsági felkészültségét, gyakorlatát és képességét, informatikai biztonsági megfelelőségét igazoló minősítés (pl. ISO / IEC 27001) meglétét, a fejlesztésbe bevont munkatársainak oklevéllel bizonyított informatikai (pl. MCSE, MCDBA) és informatikai biztonsági (pl. CISA, CISM) végzettségét, a pályázatnak az informatikai biztonsággal összefüggő fejezeteit, és a vállalt biztonsági garanciákat. A partnerekkel megkötendő szerződésekben egyértelműen le kell fektetni azokat a kereteket, amelyek szabályozzák a partner számára a Társaság informatikai rendszereinek tárgyiasult elemeihez (infrastruktúra, hardver, adathordozók, dokumentumok) való közvetlen fizikai hozzáférést, a Társaság objektumaiban végzett munkát, szerzői jogi és tulajdonjogi kérdéseket, továbbá a Társaság biztonsági szabályzatainak betartására irányuló kötelezettséget, és azt a jogot, hogy a Társaság utóbbit – akár a partner telephelyén – ellenőrizhesse. A pályázó a Társaságtól a teljesítéshez kapcsolódó biztonsági szabályzatok mellett csak olyan dokumentumot, vagy annak kivonatát kaphatja meg, ami a biztonságot nem érinti hátrányosan. Informatikai rendszer kialakítását vagy módosítását érintő szerződéseknek kötelező komplex információvédelmi, vagy legalább informatikai biztonsági fejezetet is tartalmazni. Kiemelt projekt munkaszervezetében az információvédelmi szakterület részvételével külön biztonsági alprojektet / projektmodult kell működtetni, aminek feladata a Társaság biztonsági érdekeinek folyamatos érvényesítése. 4.3. Az informatikai vagyon besorolása és ellenőrzése
biztonsági
A védelmi intézkedések ezen csoportjának az a célja, hogy mindazok a vagyontárgyak, rendszerelemek, amikből a Társaság informatikai rendszerei felépülnek, egyértelműen azonosíthatók legyenek, naprakész nyilvántartás készüljön róluk, és ki legyen jelölve az értékük megóvásáért felelős személy.
4.3.1. Vagyonleltár A Társaság informatikai vagyontárgyainak pontos, naprakész leltára az informatikai biztonság menedzselhetőségének alapfeltétele. Erre a célra felhasználhatók a Társaság üzleti folyamatait is kiszolgáló vagyonleltár adatok, amennyiben képesek az informatikai rendszerhez tartozó vagyontárgyak részhalmazának egyértelmű kijelölésére, elhatárolására más típusú vagyontárgyaktól. Az egyes vagyontárgyakat egyéni azonosítóval kell ellátni, és azt fel kell tüntetni az eszközön elhelyezendő címkén. Címkézésére csak olyan technológia használható, amely a tipikus üzemeltetési körülmények (hő, nedvesség, stb.) kedvezőtlen hatásai ellenére is biztosítani tudja hosszabb távon az eszközök azonosíthatóságát. A felügyeleti, ellenőrzési eljárások hatékonyabbá tétele érdekében előnyben kell részesíteni az olyan címkézési technológiákat, melyek mind az emberi-, mind a gépi azonosítás lehetőségét támogatják (pl. vonalkód). Az egyes rendszerek adatainak értékét (adatvagyonát) az üzleti tulajdonos határozza meg, tartja nyilván és folyamatosan aktualizálja azt. Az érték meghatározásának alapelve, hogy milyen összegbe kerülne a rendszer működőképességének és az abban kezelt adatoknak a helyreállítása a rendszer teljes megsemmisülése esetén. 4.3.2. Információk, informatikai rendszerek biztonsági osztályba sorolása A Társaság minden informatikai rendszerét a bennük kezelt adatok érzékenysége, az adatokat és a rendszert fenyegető tényezők veszélyessége és azok előfordulási gyakorisága alapján az üzleti tulajdonosnak biztonsági osztályba kell sorolnia, és azt a rendszer jelentős változásakor (pl. ha személyes adatokkal kerül kiegészítésre, vagy ha a vele feldolgozott, üzleti titkot képező adatok minősítési ideje lejárt és ezért az adatot visszaminősítették) felül kell vizsgálnia. Az informatikai rendszerek besorolását két kategóriában, egyrészt az információvédelem (bizalmasság és sértetlenség együtt), másrészt pedig az adat rendelkezésre állása tekintetében kell elvégezni, és a védelmet mindkét kategóriában a besorolásnak megfelelően kell kialakítani.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Ezek nincsenek egymással semmilyen kapcsolatban, egyik lehet a legmagasabb, a másik ugyanakkor akár a legalacsonyabb fokozatban, és viszont. A rendszer mindkét biztonsági osztályát rögzíteni kell a rendszerterv biztonsági fejezetében vagy az önálló informatikai biztonsági rendszertervében, és a rendszer RIBSZ-ében. Ezt a besorolást minden esetben az adat birtokosa, illetve az adatot feldolgozó rendszer üzleti tulajdonosa hagyja jóvá az ún. kockázatelemzésből nyert információk alapján, annak lezáró aktusaként. Minden további eljárást, fejlesztést, karbantartást, dokumentumot a meghatározott biztonsági osztály követelményeinek megfelelően kell megvalósítani, elkészíteni. A biztonsági osztályba sorolásnak objektív alapokon, az adattal összefüggésben potenciálisan bekövetkező káresemény hatására keletkező kár nagyságától és várható bekövetkezési gyakoriságától függően kell megtörténnie. A káresemények kárérték szerinti besorolásához és a gyakorisági kategóriák értelmezéséhez a 2. sz. mellékletet (Kárérték és kárgyakoriság besorolási táblázata, kockázati mátrix) kell használni az ott leírtak szerint. A potenciális káresemények ilyen minősítése egyúttal az azokat tároló, feldolgozó többi informatikai rendszerelem, illetve a teljes informatikai rendszer biztonsági besorolását is eredményezi. A minősített (azaz „fokozott” és „kiemelt” osztályba sorolt) informatikai rendszerekben rendre az alacsonyabb osztályok követelményeit, továbbá az adott fokozatra specifikus szabályokat is érvényesíteni kell. MÁV-csoport szinten használt alkalmazások (pl. GIR, IHIR) saját (a Társaság használatában levő) moduljának besorolási osztályát a többi modultól függetlenül az üzleti tulajdonosnak meg kell határoznia, és az üzemeltetővel (pl. MÁV Szolgáltató Központ Zrt.) kötött szerződésben kell rögzítenie a fokozatnak megfelelő védelmi intézkedéseket. Számítógépes alkalmazással feldolgozott, üzleti titok kategóriába sorolt adatokat a Társaság üzletititok-védelmi szabályzatának titokköri jegyzékébe is fel kell vetetnie az üzleti tulajdonosnak.
16 A minősített rendszerekben gondoskodni kell arról, hogy a képernyőn, illetve nyomtatásban megjelenő adatok a biztonsági osztályukra utaló figyelemfelhívó jelzéssel legyenek ellátva. Az ilyen típusú adatokat kezelő, feldolgozó rendszereknél a felhasználói bejelentkezés után a képernyőn fel kell tüntetni a kezelt adatok (azaz a rendszer) minősítését, és fel kell hívni a felhasználó figyelmét azok védelmére. Kivételt képeznek azok a tartalmak, melyek az ügyfelek által hozzáférhető / kezelt rendszerekben kifejezetten az ügyfelek felé irányulnak (pl. az utasok által használt e-Ticket felületeken nem célszerű megjeleníteni a figyelemfelhívó jelzést). Adathordozók címkéin – ha titokká minősített kategóriába tartozó adatot tartalmaznak – piros színnel, nagybetűvel, jó láthatóan fel kell tüntetni a biztonsági osztályra utaló jelzést a hatályos titokvédelmi törvény, illetve a Társaság Üzletititok-védelmi Szabályzata szerint. Az adathordozó minősítését és a minősítés felülvizsgálatát azzal megegyező időpontban és ugyanolyan szempontok szerint kell elvégezni, mint azét az informatikai rendszerét, amely(eknek) az adatait tartalmazza. 4.3.3. Alkalmazások biztonsági osztályba sorolásának lépései a) Az információvédelem (bizalmasság és sértetlenség együtt) szerinti biztonsági fokozat megállapítása „Alap” biztonsági osztályba kell sorolni az olyan rendszereket, melyek adatainak kompromittálódása sértheti a társaság alapvető funkcióit, különösen az adatok idegen tulajdonába kerülése, de elvesztése, sérülése a társaság részére mérsékelt kockázattal jár. „Fokozott” biztonsági osztályba kell sorolni: - az üzleti titkot feldolgozó, kezelő rendszert, - a személyes adatot feldolgozó, kezelő rendszert (pl. ANDOC, e-Ticket, az IHIR START-os modulja), - azt a rendszert, amely a Társaság kritikusnak minősülő üzleti folyamatát támogatja (pl. GIR START-os modulja), - azt a rendszert, amelynek a kockázatelemzése során felvett kockázati mátrixában az elemek több mint 50 %-a legalább a „fokozott” kockázati osztályba tartozik, de a rendszer a „kiemelt” fokozatba nem sorolható be.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ „Kiemelt” biztonsági osztályba kell sorolni: - a különleges személyes adatokat feldolgozó rendszert, - azt a rendszert, amelynek a kockázatelemzése során felvett kockázati mátrixában az elemek több mint 25 %-a a „kiemelt” kockázati osztályba tartozik. b) A rendelkezésre állás szerinti biztonsági fokozat megállapítása 1. Meg kell határozni, hogy milyen munkarend szerint kívánják az alkalmazást használni, ezzel megkapjuk az összesített havi üzemidőt a következő táblázat alkalmazásával: a) munkanapokon, munkaidőben: 20 x8,3 = 166 óra / hó b) munkanapokon, de munkaidőn túl is: 20 x 24 = 480 óra / hó c) a hét minden napján folyamatosan: 30 x 24 = 720 óra / hó d) más (konkrétan): x = óra / hó 2. Meg kell határozni, hogy az így kiszámított havi üzemidőből mennyi az, amikor a rendszernek ténylegesen működnie kell, ezzel megkapjuk a rendelkezésre állási időt (pl. folyamatos üzemű a rendszer, és az üzleti tulajdonos döntése szerint a 720 órából 710-et működnie kell, azaz havonként legfeljebb 10 óra kiesés megengedett). 3. Ki kell számolni, hogy a rendelkezésre állási idő hány százaléka az összesített havi üzemidőnek (a példában a 710 óra a 720 órának 98,6 %-a). 4. A következő táblázat adja meg a rendelkezésre állás szerinti biztonsági osztályt. alap legalább 95,5 % fokozott legalább 99,5 % kiemelt legalább 99,95 % (Példánknál maradva: a biztonsági osztály „alap”, mert nem éri el a „fokozott”-hoz szükséges 99,5 %-ot.)
17 hiányosságok vagy működési zavarok, pl. vírusfertőzés) jelentésének eljárási szabályait. Munkaköri leírásában munkájához számítógép használatára kötelezett munkavállalónak Informatikai biztonsági nyilatkozatot (3. sz. melléklet) kell aláírnia a biztonsági követelmények megismeréséről. A nyilatkozatot a munkavégzés megkezdése előtt alá kell írnia. A munkavállaló által aláírt nyilatkozatot a HR szervezetnél a munkavállaló szolgálati táblájában kell megőrizni. A munkatársat kiléptető lap (Körözőlap) a munkavállaló kilépési folyamatának részeként azt a célt is szolgálja, hogy a távozó munkavállalónak az általa használt informatikai rendszereket érintő valamennyi jogosultsága garantáltan és dokumentáltan letiltásra kerüljön. Erre vonatkozóan a munkavállaló közvetlen vezetőjének kell intézkednie, és azt a kiléptető lapon aláírásával igazolnia. 4.4.2. A személyiségi jogok védelme az informatikai biztonság megvalósításában A Társaság a felhasználóknak indokolt esetben biztosít Internet-hozzáférést és e-mail címet. A munkavégzés céljára biztosított számítógépek és az Internet használatának, továbbá az elektronikus levelezés munkáltató általi ellenőrzési, betekintési lehetőségeinek a személyes adatok védelmét érintő általános szabályait a Társaság Adatvédelmi Szabályzata rögzíti. Az ebben meghatározottak szerint a használat szabályairól és a magáncélú használat ellenőrzésének lehetőségéről a munkavállalókat írásban kell tájékoztatni. A tájékoztatásról és a munkavállaló hozzájárulásáról a munkavállaló által aláírt nyilatkozatot a Humán szervezeténél a munkavállaló szolgálati táblájában meg kell őrizni.
4.4.3. Felelősség vizsgálata Az információvédelmi szakterület a biztonsági eseményeket a lehető legrövidebb idő alatt kivizsgálja. Amennyiben a felelősségre vonás szükségessége fennáll (pl. a munkavállaló vétkes kötelezettségszegésének gyanúja esetén), a 4.4. Személyi biztonság biztonsági vezető útján értesíti a munkáltatói 4.4.1. Informatikai biztonsági követelmények jogkör gyakorlóját. érvényesítése A biztonsággal összefüggő munkavállalói köMinden felhasználónak ismernie kell az általa telességek megszegésének gyanúja esetén a fehasznált informatikai eszközök használatának a lelősségi vizsgálat megindítása a munkáltatói biztonságát befolyásoló különböző események jogkört betöltő vezető felelőssége, és egyben (biztonsági előírások megsértése, veszélyek, kötelessége. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 18 A felelősségi, kártérítési eljárást a Munka Törvénykönyve és a Kollektív Szerződés szerint kell lebonyolítani. Számítástechnikai rendszer, illetve adatok elleni bűncselekmény (lásd: Btk.) gyanúja esetén a bűncselekmények, szabálysértések elkövetésének észlelése esetén követendő eljárás rendjét szabályozó, hatályos vezérigazgatói utasítás szerint kell eljárni. A biztonsági események vizsgálatából levont tanulságokat a biztonsági ismeretterjesztésben és az éves biztonsági továbbképzésekben fel kell dolgozni. 4.5. Fizikai és környezeti biztonság A védelmi intézkedések ezen csoportja a Társaság informatikai rendszereit alkotó tárgyiasult rendszerelemek, illetve azok elhelyezésére szolgáló körletek, telephelyek védelmére, valamint a berendezések folyamatos működéséhez szükséges környezeti feltételek biztosítására szolgál.
4.5.2 Beléptetési intézkedések A biztonsági területekre az egyes személyek belépését, kilépését – a biztonsági szintnek megfelelően differenciált módon – ellenőrizni, szabályozni kell. Alap biztonsági szintre besorolt területekre a bejutást – a minimális fizikai védelem kialakítása keretében – az ajtók zárai védik. Ha senki nem tartózkodik a területen, akkor a bejárati ajtókat kulcsra kell zárni. Az adott területen a munkavállalók közvetlen vezetőjének a személyes felelőssége, hogy minden helyiséghez csak az oda önálló belépésre is feljogosított személyek rendelkezzenek kulccsal, és hogy idegen személyek felügyelet nélkül ne tartózkodhassanak a helyiségben. Rendkívüli eseményekre tartalék kulcsokat kell az épületek felügyeleti szerveinél vagy portaszolgálatainál rendszeresíteni – megfelelően biztonságos tárolással –, és eljárásokat kell kialakítani azok felvételének / leadásának dokumentálására, naplózására.
4.5.1. Biztonságos elhelyezési körletek kialakítása Fokozott és kiemelt biztonsági szintű A fizikai biztonság megalapozását biztonsági területeken olyan elektronikus beléptető területek kijelölésével kell kezdeni. Minden rendszert kell kiépíteni, amely a vonatkozó olyan helyiséget, épületet, telephelyet, amely MABISZ ajánlásban leírt műszaki az informatikai rendszer bármely elemének követelményeknek megfelel. üzemszerű elhelyezésére vagy tárolására szolA Társaság kulcsfontosságú informatikai gál, be kell sorolni az alábbi szinteknek eszközeit tartalmazó helyiségek, épületek megfelelően: pontos funkciójára, kialakításának a) kiemelt biztonsági szint: TÜK iroda, kükörülményeire vonatkozó információkat belső lönlegesen fontos számítóközpontok és adatháadatként, a nyilvánosság elől rejtve kell lózati központok, kiemelt biztonsági osztályú kezelni (ne legyenek nyilvános helyen alkalmazást futtató szerverek helyiségei, tájékoztató táblák, nyilvános telefonkönyvből, b) fokozott biztonsági szint: számítóközcímtárból kiolvasható címek, stb.). pontok, hálózati rendezők, központi adattárat kezelő, stratégiai, vagy fokozott biztonsági A biztonsági területeket úgy kell kialakítani, osztályú alkalmazást futtató szerverek elhehogy azokon belül az információ-feldolgozó lyezésére szolgáló szerverszobák, helyiségek, tevékenység teljes lefedéséhez szükséges c) alap biztonsági szint: az előző két kateeszközök rendelkezésre álljanak (pl. ne kelljen góriába nem sorolt körletek (pl. akár irodában, egy titokká minősített adatot tartalmazó iratot akár számítóközpontban elhelyezett, alap bizfénymásolás érdekében kivinni a biztonsági tonsági osztályú alkalmazást futtató szerverek területről, mert belül nincs fénymásoló). helyiségei). Ugyanakkor meg kell tiltani a munkafolyamatok szempontjából oda nem illő Ezek a szintek a megvalósított (vagy megvalóeszközök, anyagok tárolását, raktározását (pl. a sítandó) biztonsági intézkedések tekintetében szerverszobákban). jelentenek különbségeket, illetve meghatározzák, hogy milyen biztonsági osztályú eszközök Minden fokozott és kiemelt biztonsági szintű befogadására lehet az adott szintre besorolt területre az üzleti tulajdonosnak a helyi területet felhasználni. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ sajátosságoknak megfelelő beléptetési utasítást kell kiadnia, amely szabályozza a védett területre munkaidő alatt és azon kívül történő belépés és munkavégzés rendjét mind az állandó munkavállalók, mind az ideiglenes munkavállalók, mind az eseti látogatók vonatkozásában. Ebben az utasításban kell lefektetni: a személyes azonosító eszközök (kártyák, kitűzők, PIN-kódok) használatának, kiadásának, visszavételének, a területre anyagok, eszközök be- és kiszállításának, a területen munkaidőn túli tartózkodásnak, az ideiglenes- és vendég jelleggel belépők nyilvántartásának, kísérésének szabályait. A beléptetési utasításokat kiadásuk előtt a biztonsági vezetővel véleményeztetni kell, az utasítás csak egyetértésével léphet hatályba.
19 Minden jelentősebb berendezéshez – műszaki specifikációjának előírásai alapján – a fentiek mellett meg kell határozni a megelőző karbantartások rendjét. Ez az adott eszköz üzleti tulajdonosának a feladata, az erre vonatkozó szabályokat a RIBSZ-ben is rögzíteni kell. Ugyancsak a RIBSZ-ben kell rendelkezni az eseti hibajavító karbantartások kezdeményezésének, végrehajtásának szabályairól. 4.5.4. Adathálózat fizikai védelmének szabályai Az adatkommunikációs kábelek fizikai védelme a nagy (országos méretű) földrajzi kiterjedés, a többnyire folyamatos felügyelet nélküli nyomvonal miatt külön szabályok alkalmazását követeli meg. Cél, hogy az alkalmazott technológiák védjék a kábeleket mechanikai sérülés, elektromágneses zavarok, illegális rácsatlakozás, szándékos rongálás, szabotázs ellen.
4.5.3. A berendezések elhelyezése, üzemeltetési környezete Az informatikai rendszer kulcsfontosságú elemeit (kiszolgáló számítógépek, adathálózati Speciális sajátossága a működésnek, hogy az kapcsoló-berendezések, érzékeny adatokat taradathálózat elemeit Társaságunk részére a talmazó adathordozók, fontos dokumentációk, MÁV Zrt. szervezeteinek munkatársai működstb.) a jobb védhetőség érdekében koncentráltetik, biztonságát kialakítják, rendelkezésre tan, magasabb biztonsági szintű területek forállását biztosítják. Társaságunk munkatársaimájában kialakított számítóközpontokban nak feladata, hogy az adatátviteli hálózat (szerverszobákban, rendezőszekrényekben) biztonsága érdekében bevezetett intézkedések, kell elhelyezni, működtetni. A berendezések eljárások hatékonyan működjenek. A közvettelepítési helyének, elhelyezési körletének len vezetők az irányításuk alatt álló területen megválasztásakor – az adott eszköz rendeltetéennek érdekében fordítsanak figyelmet a sétől, biztonsági besorolásától függően – biztomunkaállomások kábelezésének sértetlenségésítani kell a zavartalan működéshez szükséges re, a rendezőhelyiségek zártságára, az adatháfeltételeket: lózat rendelkezésre állására, stb. Nyilvánvaló - biztonságnövelő építészeti megoldások rendellenességekről tájékoztassák a biztonsági (álpadló, álmennyezet, elektromágneses árnyévezetőt, vagy az információbiztonsági koló, illetve tűzgátló külső falak, stb.), koordinátort. bútorzat, világítási rendszer, - a levegő szükséges hőmérsékletét, páratar4.5.6. Felhasználói munkaállomások védelme talmát, pormentességét biztosító klímaA felhasználói munkaállomásokhoz bármilyen berendezés, telekommunikációs eszközt (pl. modem, - többutas betáplálással kiépített, redundáns mobiltelefon) csatlakoztatni a Biztonság szünetmentes tápáramellátó rendszer, amely kifejezett engedélyével szabad. Az ilyen vezetett elektromágneses zavaroktól és csatlakozásnak meg kell felelnie a Társaság villámcsapás másodlagos hatásaitól is véd, informatikai biztonsági szabályainak, valamint - tűz, vízbetörés következtében lehetséges kizárólag az erre kiképzett és feljogosított károk mérséklésére szolgáló védelmi személyzet valósíthatja meg. Az engedélyt az rendszerek. érintett közvetlen vezetője írásban (e-mailen) Extrém üzemi környezetben (poros, nyirkos, kérje meg a biztonsági vezetőtől. túl hideg vagy túl meleg helyszíneken) csak olyan berendezést szabad használni, amely – Minden számítógépes munkaállomáshoz specifikációja szerint – erre kifejezetten (beleértve tartozékait), továbbá önálló alkalmas. nyilvántartási egységet képező más 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ informatikai berendezésekhez vagyonleltárban nevesített tulajdonost kell rendelni, akinek feladata, illetve felelőssége: - a berendezések állagának, épségének megóvása, - sérülés, hiány azonnali jelentése a közvetlen vezetőnek, - hordozható eszközök (pl. notebook számítógép, palm-top, projektor) esetén a Társaság objektumain kívül történő használat és a tárolás során a vagyonvédelmi előírások maradéktalan betartása, - meghibásodásra utaló jelek (szokatlan zajok, melegedés, stb.) esetén a készülék azonnali kikapcsolása, karbantartás igénylése, - tartós távollét esetére gondoskodás az eszközök más személy általi felügyeletéről, vagy biztonságos helyen történő átmenti tárolásáról. További védelmi intézkedések - A berendezések közvetlen közelében tilos minden olyan tevékenység, amely azok sérülését, beszennyezését okozhatja. - Számítógépek és tartozékaik eltulajdonítása ellen – ahol ezt a közvetlen vezető indokoltnak tartja – mechanikus lopásgátló védelmi eszközökkel, vagy az épület elektronikus riasztórendszerébe kapcsolt tárgyvédelemmel kell a veszélyeztetett berendezéseket ellátni. - Tilos a számítógépre telepíteni olyan szoftvert, amely valamilyen módon kikerüli a jóváhagyott biztonsági szoftvert vagy ellenőrzéseket. - A munkaállomásokon 10 perc inaktív működés után automatikusan bekapcsolódó képernyővédelmet kell alkalmazni, - Ha a számítógép olyan felhasználóhoz kerül, aki nem jogosult a gépen lévő adatok használatára, de egyébként az állományokat máshol használni akarják, akkor kettő példányos mentéssel (CD, DVD), és / vagy szerverre másolással ki kell menteni az adatokat, majd biztonsági törlést kell végrehajtani. Az eszközt csak ezután lehet további használatba adni. - Amennyiben a számítógépen lévő adatokra a munkavégzéshez a későbbiekben szükség van, de a további felhasználó még nem ismert, a közvetlen vezető intézkedjen az adatok CD/DVD-re történő mentéséről legalább kettő példányban, vagy az informatikai hálózat szerverére történő felhelyezéséről. Nagy mennyiségű adatok esetén technikai megoldást
20 jelent egy új, üres merevlemezre történő mentés elkészítése is. A mentés adathordozóit a közvetlen vezető megfelelő biztonsági intézkedés mellett (zárt szekrény, lemezszekrény, páncélszekrény) köteles tárolni. 4.6. Számítógépes és hálózati szolgáltatások, és az üzemeltetés biztonsági szabályai 4.6.1. Az üzemeltetési eljárások dokumentációja Az üzemeltetési eljárásokat részletesen dokumentálni kell és a dokumentációt az üzemeltetés helyén hozzáférhetővé kell tenni. A dokumentációinak a munkafolyamat minden részelemére részletes utasításokat kell tartalmaznia. Gondoskodni kell a rendszerdokumentációk biztonságos tárolásáról, és minimálisra kell csökkenteni azok számát, akik hozzáférhetnek. A biztonsági rendszerek, alrendszerek dokumentációjának tartalmaznia kell a biztonsági funkciók leírását, azok installációját, aktiválását, leállítását és használatát a fejlesztés, valamint az üzemeltetés során. Biztonsági rendszer, alrendszer dokumentációját csak az információvédelmi szakterület munkatársai, illetve az információvédelmi szakterület vezetője által engedélyezett személyek tárolhatják és kezelhetik, az érintett informatikai rendszer biztonsági fokozatának megfelelő módon. 4.6.2. Változásmenedzselés és ellenőrzés az üzemeltetés során Fokozott és kiemelt biztonsági osztályba sorolt információs rendszer, alkalmazói programok és rendszerleíró paraméterek, rendszerszoftverés hardver, továbbá hálózati eszközök és rendszerelemek változtatásait ellenőrzött és dokumentált módon kell elvégezni. A változásokat az adott rendszer változáskezelési eljárásrendje alapján ellenőrizni és dokumentálni kell. Ennek során a következő tevékenységeket kell végezni, amelyekben a döntéseket az üzleti tulajdonos hozza: - változás iránti igény azonosítása, jelentőrendszerbe rögzítése, - a változások lehetséges hatásainak felmérése, - döntés a változás megvalósításáról / a változtatási kérelem elutasításáról, - a változás megvalósításában felelős résztvevők megjelölése,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - a tervezett változások jóváhagyási eljárásainak ellenőrzése, - a változás kidolgozása, - a változás tesztelése, nem megfelelőség esetén visszalépés a változás kidolgozása pontra, - döntés a bevezetésről, - szükség esetén oktatásuk, - a rendszer és környezetének archiválása, illetve dokumentálása a bevezetés előtti állapotban, - a változás bevezetése, - a tényleges változások dokumentálása, - a megváltozott környezetről biztonsági mentés készítése. A változáskezelést az ITIL-ből származtatott fenti lista alapján, társasági szinten egységesen, az erre vonatkozó informatikai szabályok szerint kell kialakítani és működtetni. A teljes változáskezelési folyamatra biztosítani kell az információbiztonsági szakterület biztonsági felügyeletét. 4.6.3. A feladatkörök biztonsági szétválasztása Az informatikai rendszerek biztonsági beállításához fűződő tevékenységeket a véletlen vagy szándékos visszaélések elkerülése végett szét kell választani úgy, hogy azokat több személynek együttesen (operációs rendszerek, alkalmazások rendszergazdái, informatikai témafelelősei stb.) kelljen végrehajtania. Minősített rendszerek esetében ilyen beállítások csak az információvédelmi szakterület munkatársainak előzetes írásos (pl. e-mail) értesítését követően végezhetők. A feladatok szétválasztásának szabályai minősített rendszerekben: - „éles” üzemben működtetett informatikai rendszerben fejlesztések, tesztelések nem folytathatók, - „éles” adatokkal tesztelést végezni tilos, teszteléshez mindig tesztadatokat kell készíteni (generálni), - fejlesztés alatt álló rendszerben „éles” üzemi tevékenységet folytatni tilos, - a fordító, szerkesztő és egyéb segédprogramok „éles” üzemi rendszerben csak abban az esetben legyenek elérhetők, ha ezekre a programokra dokumentáltan és engedélyezetten szükség van,
21 - a fejlesztők az üzemi rendszerben rendszergazdai (administrator, root, supervisor stb.) jogosultságokat csak kivételesen és ideiglenes jelleggel kaphatnak; amennyiben erre már nincs szükség, a jelszavakat meg kell változtatni, és a rendszer biztonsági beállításait teljes körűen felül kell vizsgálni, - az információvédelmi szakterület munkatársai részére kiadott rendszeradminisztrátori jogosultságok, csak a biztonsági tevékenységgel kapcsolatos munkák során, naplózottan használhatók. A biztonsági ellenőrzést a végrehajtó szervezettől és a menedzsmenttől függetlenül, az információvédelmi szakterület hatáskörében kell működtetni. Részei: a rendszergazdák tevékenységének monitorozása, az eseménynaplók elemzése és a funkcionális felügyelet. 4.6.4. Védelem rosszindulatú programok ellen A programok és az adatfeldolgozó kapacitások ki vannak téve a rosszindulatú programok (számítógépes vírus, féreg, „trójai faló”, keylogger, logikai bomba, stb.) bejutása veszélyének. A felhasználóknak ismerniük kell a rosszindulatú és engedély nélküli programok alkalmazásával járó veszélyeket. A rosszindulatú programokkal szembeni védekezést szűréssel, megfelelő teszteljárások kidolgozásával, a programok és adatok használatba vétele előtti ellenőrzésével, továbbá az adminisztrátori jogosultsággal végzett tevékenységek korlátozásával kell megvalósítani. A rosszindulatú programok elleni védekezés részét képezi a felhasználók tájékoztatása és oktatása, a hozzáférés-védelem, továbbá a változtatások felügyelete és ellenőrzése is. A Társaság vírusvédelmi rendszerét és annak üzemeltetését az informatikai stratégia és az informatikai biztonsági stratégia előírásai szerint elkészített RIBSZ alapján kell kialakítani. Ebben tervezni kell a vírusvédelmi szoftverek kiválasztásának elveit, beszerzésének gyakoriságát, a szükséges liszensz-számot, a rendszeres frissítés módját és felelőseit, továbbá ki kell jelölni a rendszer kialakításának és fenntartásának felelőseit. Éves szolgáltatási szerződésben gondoskodni kell mind a Társaság számítógépes hálózatára kapcsolódó, mind pedig az önálló (stand alone) PC-k és a hordozható számítógépek
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ vírusvédelméről. A frissítési eljárást a szerver és hálózati munkaállomás részen is automatikussá kell tenni. A kiszolgáló rendszereken és a kliens gépeken központosított menedzsmentű, automatikus napi frissítésű vírusmintával rendelkező, különböző gyártótól származó vírusvédelmi eszközöket kell alkalmazni. A vírusok és rosszindulatú programok támadása által jelentkező kár csökkentése érdekében a PC-k operációs rendszerei vonatkozásában központosított, automatikus biztonsági javítócsomag (patch) menedzsmentet kell alkalmazni. Az összes érintett munkavállalóra kiterjedő felhasználói oktatásnak ki kell térni a vírusvédelmi rendszerre vonatkozó ismeretekre is. Hordozható számítógép esetén a felhasználó kötelessége a vírusvédelmi rendszer minél gyakoribb automatikus frissítéséről gondoskodni oly módon, hogy számítógépét VPN útján, vagy közvetlenül a belső hálózatra csatlakoztatja. 4.6.5. Az adatmentések A munkaállomásokon készített saját állományokat a szervereken központilag kialakított saját könyvtárakban kell tárolni. Ez biztosítja az állományok folyamatos rendelkezésre állását, mivel a szervereken tárolt adatok rendszeresen mentésre kerülnek. Hordozható számítógép (hordozható PC, tablet, stb.) esetében a keletkezett dokumentumokat vagy engedélyezett fájlokat a szerverre kell felmásolni az előző bekezdésben meghatározott könyvtárba. Bármely eszköz meghibásodása, elvesztése, ellopása esetén, ha az adatállományok a központi szerverről nem reprodukálhatóak, akkor minden felelősség az eszközt használó munkatársat terheli. Biztonsági másolatokat kell készíteni az informatikai alkalmazások által kezelt adatokról, amelyek felhasználásával az éles adatállomány szükség esetén reprodukálható. A visszaállításra való alkalmasságot évente legalább egy alkalommal ellenőrizni és a teszt eredményét dokumentálni kell. Emellett: - a rendszerek RIBSZ-ében a megtervezett mentési és visszaállítási eljárásokra üzemeltetési előírásokat kell készíteni, és azok betartását rendszeresen ellenőrizni kell,
22 - a biztonsági mentéseket földrajzilag külön telephelyen, és az adott biztonsági osztályra előírt követelményeknek megfelelő külön helyiségben kell tárolni (ennek részleteit RIBSZ-ben kell meghatározni), - a mentések nyilvántartását a RIBSZ előírásainak megfelelően kell vezetni, naprakészségét az üzleti tulajdonosnak rendszeresen ellenőriznie kell, - az időszakos, archiválandó (pl. éves) adatés rendszer-mentéseket a jogszabályokban meghatározott ideig, de legalább a mindenkori számviteli törvény előírásai szerinti megőrzési időig bármikor visszakereshetően, helyreállíthatóan kell tárolni és hozzáférhetővé tenni. 4.6.6. Operátori, rendszergazdai tevékenységek naplózása Az informatikai rendszer üzemeltetése során operátori (rendszergazdai) naplót kell vezetni az üzemeltetési eseményekről, amit az üzleti tulajdonosnak rendszeresen ellenőriznie kell. Az elszámoltathatóság és auditálhatóság biztosítása érdekében olyan regisztrálási és naplózási rendszert kell kialakítani, hogy annak segítségével utólag megállapíthatóak legyenek az informatikai rendszerben bekövetkezett fontosabb események, különös tekintettel azokra, amelyek a rendszer biztonságát érintik. Egyúttal lehessen ellenőrizni a hozzáférések jogosultságát, meg lehessen állapítani a felelősséget, valamint az illetéktelen hozzáférés megtörténtét vagy annak kísérletét. A minimálisan regisztrálandó események a következők: - rendszerindítások, -leállások, leállítások, - üzemzavarok, rendszerhibák és korrekciós intézkedések, - programindítások és -leállások, leállítások, - a rendszer erőforrásaihoz hozzáférési jog kezelése, - az adatállományok és kimeneti adatok kezelésének visszaigazolása, - a rendszer biztonságát érintő műveletek (felhatalmazott személyeké is). A további naplózandó eseményeket (pl. az azonosítási és hitelesítési mechanizmus használata) rendszerfüggően kell meghatározni és a RIBSZ-ben tételesen rögzíteni kell.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.6.7. Adathordozók és infokommunikációs tartalmú dokumentumok biztonságos kezelése és szállítása Az eszközök károsodásának megelőzése, és az üzleti tevékenységekben okozott fennakadás megakadályozása érdekében gondoskodni kell az adathordozók ellenőrzéséről és fizikai védelméről. Meg kell előzni a dokumentumok, a számítástechnikai adathordozók (szalagok, lemezek, kazetták, memóriakártyák, stb.), az input / output adatok és a rendszerdokumentációk károsodását, eltulajdonítását és engedély nélküli törlését. Minden adathordozót újraalkalmazás előtt, továbbá felszabadítás és selejtezés után az adatok biztonságos megsemmisítését eredményező megfelelő eljárással törölni kell. Az adathordozók eredeti felhasználási helyéről történő elvitelére, illetve a meghibásodott adathordozók cseréjére csak az adott szervezeti egység vezetője adhat engedélyt. Biztosítani kell, hogy az adathordozók kezelése – a vonatkozó iratkezelési szabályok szellemében – a tartalmazott adatok szempontjából egyenértékű papír dokumentumokkal azonos biztonságot eredményező módon történjék. Az adattípus (minősítés) felismerhető jelölését a számítástechnikai berendezéssel előállított adattároló és megjelenítő eszközökön biztosítani kell (lásd: 4.3.2. pont). Adathordozók meghibásodása esetén – ha azon más módon pótolhatatlan (vagy saját erőből csak nagyon magas költséggel pótolható) adatok voltak – külső szakértőket kell megbízni az adatok visszanyerésével. Titokká minősített adatok esetén kiegészítő intézkedéseket kell tenni az adatok visszaállítása alatti illetéktelen megismerésének, felhasználásának megakadályozására (pl. titoktartási kötelezettség előírása). Sérült adathordozók garanciális cseréje esetén – ha a meghibásodott eszköz titokká minősített adatokat is tartalmazott – az eredeti alkatrészt nem, vagy csak az adatok kiolvasását lehetetlenné tevő hatástalanítást követően, a Biztonság közreműködésével szabad a karbantartó részére átadni. Az adathordozók tárolására vonatkozó fizikai védelem követelményeivel kapcsolatban a rendszer minősítéséhez igazodva, annak RIBSZ-ében meg kell határozni:
23 - a rendszerhez használt / használható tárolók környezeti paramétereire vonatkozó előírásokat, és a paraméterek normál értékeinek biztosítására, ellenőrzésére vonatkozó intézkedéseket, - az elöregedésből fakadó adatvesztés elleni megelőző intézkedéseket (pl. rendszeres átírás), - az adathordozók másodpéldányainak biztonságos tárolására vonatkozó előírásokat, - a rendszer- és a felhasználói szoftver törzspéldányok biztonságos tárolására, valamint a használati másodpéldányok készítésére vonatkozó előírásokat. Az információ a fizikai szállítás során történő átvitel esetén ki van téve az illetéktelen hozzáférés és visszaélés veszélyének. A számítástechnikai adathordozók biztonságos szállítása ezért az alábbi szabályok alkalmazásával történhet: - szállítás során átadás-átvételi bizonylat szükséges, - fokozott vagy kiemelt biztonsági osztályba sorolt adatot tartalmazó adathordozót csak megfelelően felcímkézett, lezárt csomagolásban szabad szállítani, - épületen kívüli szállítás esetén a legrövidebb és leggyorsabb útvonalat kell kiválasztani, - fokozott vagy kiemelt biztonsági osztályba sorolt adatot tartalmazó adathordozót tömegközlekedési eszközön szállítani tilos, - épületen kívüli szállítás esetén – MABISZ ajánlást figyelembe véve – megfelelő tárolóeszköz szükséges, - mágneses adathordozó (mágneslemez, merevlemez) szállításkor és használatakor elkerülendő a nyilvánvalóan erős mágneses tér (pl. nagyfeszültségű távvezetékek, a képcsöves PC monitor és a hangfalak közelsége, stb.), - mágneses adathordozó szállításakor szükség szerint gondoskodni kell az árnyékolásról, - szállítás során a vagyonbiztonság érdekében fokozott figyelemmel kell eljárni, - az adathordozót tilos őrizetlenül hagyni (pl. a gépkocsiban), - az adathordozókat óvni kell a fizikai sérülésektől. Rendkívüli esemény (pl. az adathordozó elvesztése, a rajta levő adatok sérülése vagy megsemmisülése) esetén a szervezeti egység
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ (a szállítást elrendelő) vezetőjét – szükség esetén a rendőrséget is – értesíteni kell. A vezetőnek haladéktalanul meg kell tennie a további károk elkerülése érdekében a szükséges lépéseket, valamint ezzel egy időben tájékoztatnia kell az információvédelmi koordinátort az eseményről és a megtett intézkedésről (távbeszélő, fax, e-mail). Minősített adatot tartalmazó adathordozó tartalmát a Biztonság közreműködésével selejtezést és megsemmisítést megelőzően visszaállíthatatlanul törölni kell. Ha ez nem lehetséges, az adathordozót meg kell semmisíteni. A biztonságra már nem veszélyes, törölt adathordozó selejtezését és megsemmisítését a vonatkozó informatikai előírások szerint, a Biztonság felügyeletével, dokumentáltan kell végezni. A selejtezett eszközökről bármilyen alkatrészt, hulladékdarabot felhasználni bármilyen célra tilos. Semmilyen esetben, még átmenetileg sem másolható titokká minősített adat külső (csatlakoztatott) adattárolóra. De a nem minősített üzleti jellegű adatok másolása esetében is a külső eszközt használaton kívül biztonságosan el kell zárni, vagy más módon védeni kell illetéktelen hozzáférés ellen. Amennyiben már nincs szükség az anyagok külső eszközön való tárolására, azokat haladéktalanul és visszaállíthatatlan módon törölni kell onnan. A külső tárolón tárolt adatok biztonsági mentéséről is a felhasználónak kell gondoskodnia, ha az szükséges. A rendszerek teljes életciklusában gondoskodni kell a rendszert érintő dokumentumok megfelelő kezeléséről. A rendszer életciklusa alatt alapvetően a következő dokumentumok keletkezhetnek és változhatnak: - projektalapító dokumentum, - projektértékelő és projekttag értékelő dokumentumok, - projektzáró beszámoló, - értekezletek emlékeztetői, - logikai rendszerterv és biztonsági rendszerterv, - teszt forgatókönyv, - tesztelési jegyzőkönyv, - telepítési jegyzőkönyv, - telepítés és konfigurációs kézikönyv,
24 - konfigurációs jegyzőkönyvek (APN, tűzfal, router, felhasználói szoftver operációs rendszer stb.), - átadás-átvételi jegyzőkönyvek, teljesítésigazolások, - éles üzembe helyezés átadás jegyzőkönyv, - Rendszerszintű Informatikai Biztonsági Szabályzat, - Felhasználói / Üzemeltetői dokumentáció, kézikönyv, - oktatási dokumentáció, tematika, oktatási segédlet, - Informatikai Működésfolytonossági Terv, - Változáskezelési Eljárásrend. Amennyiben egy rendszer életciklusában egyéb dokumentumok is keletkeznek, akkor ugyanezek a szabályok érvényesek a tárolásukra és kezelésükre. Valamennyi dokumentumot az üzleti tulajdonosnak kell tárolnia a rendszer minősítésének megfelelő biztonsággal. Ha rendszer bármely szempontból is fokozott, vagy kiemelt minősítést kapott, akkor a dokumentációkat legalább lemezszekrényben kell tárolni. Az üzleti tulajdonosnak gondoskodnia kell arról, hogy a dokumentumokhoz csak a szükséges minimális körben férjenek hozzá a munkatársak. Az Üzleti tulajdonos feladata, hogy a rendszer életciklusában folyamatosan kövesse, követtesse a változásokat, és azokat a dokumentumokban is érvényesítse. A dokumentumok elektronikus elérése esetén az üzleti tulajdonos határozza meg, milyen jogosultsági feltételekkel lehet azokat elérni a központi szerveren. 4.6.8. Adatcsere, adattovábbítás A Társaság más szervezettel kizárólag a Biztonság által véleményezett és engedélyezett írásbeli szerződés alapján bonyolíthat informatikai eszközökön adatcserét. A szerződésben rendelkezni kell az érzékeny adatok kezelésére is. Az adatcsere biztonsági feltételeire vonatkozó megállapodásokban meg kell határozni: - az adatfeladás, az adatátvitel és az adatátvétel ellenőrzésének és bejelentésének eljárási szabályait, - az adatok biztonságos átvitele előkészítésének és tényleges átvitelének műszaki szabványait,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - az adatvesztéssel kapcsolatos kötelezettséget és felelősséget, - az adatátvitel során a biztonságos (szükség esetén rejtjelezett) környezet előírásait minden érintett félnél, - az érzékeny adatok védelméhez szükséges speciális eszközök igénybevételét (pl. kriptográfiai eszközök, virtuális LAN), - a hitelesség, letagadhatatlanság kritériumait (pl. elektronikus aláírás). A Társaság más külső társaságok részére folytat adatküldést. Adatküldést csak a Biztonság által arra feljogosított személyek folytathatnak. A beállításokat a Biztonság engedélye alapján az informatikai szolgáltató végzi. A kapcsolat engedélyezése előtt a kommunikációs portokat és a kommunikációra kijelölt eszközöket meg kell határozni. Az adattovábbítást minden esetben titkosított átviteli eljárással kell megvalósítani Érzékeny adatok informatikai hálózaton történő továbbítása kizárólag titkosított adattovábbítással, csak a kommunikációban résztvevő felek kölcsönös azonosítása és hitelesítése után kezdeményezhető. Érzékeny adatok továbbítása esetében a küldést megelőzően legalább 512 bites kulccsal titkosítani kell. Aszimmetrikus titkosítási megoldás választása esetén (pl. PGP) a titkosító-kulcsot a partner generálja és juttatja el a publikus részét, illetve a hitelességet ellenőrző kulcs ujjlenyomatot a Társaságunk részére. A kulcs megújításért a partner feleljen. Egy kulcs egy évnél tovább nem használható. Erről a pályázati kiírásban, a szerződés tervezetében gondoskodni kell. 4.6.9. Az elektronikus kereskedelem biztonsága A korszerű piaci igények kielégítésére szolgáló elektronikus szolgáltatások (pl. menetjegyértékesítés, IC helyfoglalás) biztonsága komplex védelmet igényel, mert az adatkezelés során adatcserére, személyes adatok kezelésére és nyilvános hálózat (Internet) igénybevételére egyaránt sor kerülhet. A hatékony védelem megvalósítása érdekében vállalkozói szerződésben garantált, integrált biztonságot kell az ilyen rendszer kifejlesztése során kialakítani, melynek legfontosabb elemei:
25 - a vállalkozó kötelezése a Társaság információvédelmi szabályzatainak betartására, - a hozzáférés szabályozása és ellenőrzése, - egységes azonosítás és hitelesítés kialakítása, - elektronikus aláírások alkalmazása, rejtjelezés, kulcsmenedzsment (PKI), - a behatolási kísérletek figyelése, - biztonsági naplózás a hozzáférések, az azonosítás és a hitelesítés ellenőrzéséhez, - az auditálhatóság biztosítása. 4.6.10. Az elektronikus levelezés biztonsága Az elektronikus levelezés biztonságát több veszély fenyegeti. Ilyen lehet pl. az üzenetek illetéktelen elérésének vagy módosításának, illetve a szolgáltatás megtagadásának a veszélye, emberi hibákból eredő veszélyeztető tényezők, pl. rossz címzés vagy irányítás, titokká minősített adatok véletlen továbbításának lehetősége, a feladó- és címzett-hitelesítési problémák, illetve a levél átvételének bizonyítása, a kívülről hozzáférhető címjegyzékek tartalmával való visszaélési lehetőségek, vagy pedig a távolról bejelentkező felhasználó biztonsági problémái. A felsorolt kockázatok csökkentése érdekében a következőben felsorolt biztonsági szabályokat kell betartani. - Az elektronikus levelező eszközök, elsősorban a szerverek fizikai és logikai védelméről folyamatosan gondoskodni kell (pl. nyomon kell követni a szoftverfrissítések, service pack-ok és security-patch állományok megjelenését). - Az elektronikus levelező rendszeren keresztül történő támadások esetén, amennyiben a rendszer védelme átmenetileg nem biztosított, – pl. olyan vírustámadás esetében, amikor a vírusvédelmi rendszerek még nem nyújtanak kellő védelmet – az Interneten keresztül bonyolított elektronikus levélforgalmat ideiglenesen le kell állítani. - Az elektronikus levelezés forgalmát az üzleti titkok és a belső adatok kiszivárgásának elkerülése érdekében tartalmilag szűrni kell. - Magáncélú levelezésre a munkahelyi e-mail cím nem használható. Ilyen üzenetek küldése / továbbítása a munkahelyi e-mail címről tilos mind a Társaságon belüli, mind azon kívüli címekre (pl. Gmail, Freemail, Citromail, Vipmail, Iwiw, Skype,).
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - Amennyiben a levelező partner magáncélú üzenetet küld a munkahelyi e-mail címre, akkor a partnert meg kell kérni, hogy a munkahelyi levelezésre biztosított címre továbbiakban ne küldjön magáncélú leveleket. - File-megosztó, video-letöltő Internetes címek látogatása, média-állományok (pl. mp3) letöltése kizárólag a munkával összefüggésben, a közvetlen vezető kezdeményezésére, a Biztonság engedélyével, az Informatika egyidejű tájékoztatása mellett engedélyezett. - Minden felhasználót oktatni kell arról, hogy az általa a munka céljára kapott eszközökkel készített, a Társaság levelező rendszerében tárolt és továbbított levelek a Társaság tulajdonát képezik, ezért a Biztonság ezekhez az állományokhoz a vizsgálathoz szükséges mértékig betekintési joga van. Az ellenőrzés során biztosítani kell az ellenőrzött jelenlétét és magánszférájának a sértetlenségét. A betekintés további szabályait a Társaság Adatvédelmi Szabályzata tartalmazza. - A Társaság levelező rendszere a Társaság üzletmenetétől idegen (pl. nem utazási lehetőségekről vagy utazási kedvezményekről szóló reklám), valamint egyéb üzleti célokra nem használható. - A Társaság elektronikus levelezési címjegyzéke külső szervezetnek a Társaság belső adatvédelmi felelőse engedélyével, törvényben meghatározott esetekben szolgáltatható ki. - A társaság munkavállalóinak alapértelmezésként rendelkezésre álló postafiókméretet, a csatolható melléklet méretét, az egyszerre megadható címezettek számát az informatikai lehetőségek függvényében kell kijelölni. - A levelekhez tilos rövid filmeket, hangfájlokat (wma, wmw, mp3, stb. kiterjesztésű állományok) csatolni. Ettől eltérő szabályokat indokolt esetben a Biztonság engedélyez. - A közvetlen vezető és az érintett munkatárs egyaránt felelős azért, hogy a munkatárs munkaviszonyában történő változás esetében postafiókjának állapota, rendelkezésre állása megfelelően legyen kezelve. - A Társaság minden informatikai eszközzel (számítógéppel) rendelkező munkatársa részére postafiókot biztosít. A postafiók méretét az informatikai vezető határozza meg. A küldendő és beérkezett mellékletek együttes méretét – a technikai lehetőségek függvényé-
26 ben – korlátozni kell. A korlát eseti túllépésére a küldőnek be kell szereznie a Biztonság engedélyét. - Hivatali célú Társaságon belüli levelezés csak a Társaság által biztosított postafiókokban lehetséges. Tilos hivatali célú leveleket külső általános célú, vagy közösségi célú postafiókokba küldeni. Hivatalos levél csak abban az esetben küldhető általános célú postafiókba, ha a Társasághoz ilyen postafiókról érkezett megkeresés (pl. önéletrajz küldése, közérdekű adat kérése), vagy a hivatalos partner szerződésben a kapcsolattartásra ilyen postafiókot adott meg. - A Társaság által biztosított postafiókot a felhasználónak kell karbantartania. Amennyiben a karbantartást nem tudja elvégezni, köteles az Informatika támogatását kérni. A postafiók helytelen kezeléséből, beteléséből eredő károkért a felhasználó a felelős. - A Társaság levelező rendszerében csoportokat lehet létrehozni, hogy ne kelljen adott esetben egyenként név szerint címezni. Egy felhasználó több csoportba is tartozhat. A csoportok létrehozását és karbantartását mindig egy illetékes vezetőnek kell kezdeményeznie, illetve végeznie. A csoportok felülvizsgálatát az Informatika végzi évente legalább egy alkalommal. Az ellenőrzés eredményéről írásban tájékoztatást ad a Biztonság információvédelmi szakterülete részére. - A Társaság a levelező rendszerében a Társaságon kívüli személyek, szervezetek részére nem biztosít levelezési lehetőséget, postafiókot és e-mail címet. - A Társaság a munkavállalói érdekképviseletek részére a velük kötött megállapodás szerint biztosít hozzáférési lehetőséget, postafiókot és e-mail címet. Fenti szabályok mellett a Felhasználók biztonsági kötelezettségei című (1. sz.) melléklet 15. pontja további részleteket tartalmaz az elektronikus levelezés biztonságát illetően.
4.6.11. VPN alkalmazása A Társaság a hordozható informatikai eszközökhöz (lap-top, palm-top stb) az informatikai szolgáltatón keresztül VPN hozzáférést biztosít. A VPN kapcsolaton keresztül a felhasználó ugyanazt a munkahelyi környezetet éri el, mint az asztali eszközéről (levelezés, központi szerver, programok stb.). 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Ilyen eszközökről VPN használata nélkül tilos a Társaság informatikai rendszerébe belépni. A VPN felhasználásra a következő szabályok vonatkoznak: - A Társaságtól kapott eszközzel (pl. lap-top) munkát végző vezetők, továbbá azon munkatársak részére, akik a vonatkozó szabályzatba foglaltak szerint távmunkát végeznek, kötelező a VPN használata. - Magántulajdonú eszközre VPN eljárást tilos telepíteni. - A telepített VPN eljárásokról az Informatika köteles nyilvántartást vezetni. - A telepített VPN kapcsolaton keresztül biztosítani kell az operációs rendszer mindennemű frissítéseinek és a vírusvédelmi rendszer folyamatos frissítéseinek felhasználó független végrehajtását. - Kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos. - Tilos üzleti titkot távolról elérni, és kezelni, a hordozható eszközre letölteni. - A távolról csatlakozó gépek esetében, a kliens gépre telepített VPN kapcsolat használatával azonos időben más WiFi és/vagy VPN és/vagy Internetes csatlakozás tilos. Az Internet elérésének is a VPN kapcsolton keresztül kell történnie. - A VPN jogosultság visszavonását a munkatárs közvetlen vezetőjének kell kezdeményeznie, vezetők esetében az informatikai vezető is jogosult erre. - Külföldről csak a Társaság által biztosított mobil Internet, GSM kapcsolat és VPN együttes használatával lehet a Társaság informatikai rendszerébe belépni.
27 Az informatikai rendszereinkben alkalmazott QR-kódok előállítása során titkosítást és tömörítést kell alkalmazni és a kódot elektronikus aláírással kell ellátni. Az utasok, ügyfelek tájékoztatására szolgáló QR-kódok előállítása során a fentiek nem alkalmazhatók, ekkor a partnert tájékoztatni kell a QR-kód leolvasás kockázataira. Az informatikai rendszereinkben használt QRkódok leolvasása alkalmával a QR kódban lévő adatok (kódok) automatikus futtatását technikai eljárásokkal kell megakadályozni. Annak érdekében, hogy a készülékre, illetve a Társaság hálózatába káros kódok ne kerülhessenek be, a kód olvasására alkalmazott eszközökről a kódolvasási folyamat során a Társaság belső hálózatán kívülre tilos bármilyen kommunikációt kezdeményezni. Ezt technikai eljárásokkal kell megakadályozni. Tilos a hivatalos levelezés aláírását saját létrehozású QR kóddal helyettesíteni, vagy kiegészíteni.
4.7. Hozzáférés-menedzsment A Társaság a munkatársak munkaköri feladatának megfelelő szervezeti, fizikai és logikai intézkedések alkalmazásával korlátozza az adatokhoz, a számítástechnikai rendszerekhez és a hálózatokhoz való hozzáférést, az alábbiak szerint. 4.7.1 A hozzáférés-menedzsment általános szabályai A hozzáférési jogosultságok megállapításának alapját az érintett munkavállaló tevékenységi és munkaköri leírásában rögzített szerepköre, külsős beszállítók és karbantartók alkalma4.6.12. QR-kód alkalmazása zottai esetében a vonatkozó szerződésben leírt A QR-kódok alkalmazása biztonsági kockázafeladat ellátásához szükséges és indokolt tokat rejt magában. A QR-kódokban elhelyeadathozzáférési igény képezi. Ennek során zett un. URL címek kártékony, rosszindulatú érvényesíteni kell azt a – biztonságpolitikában kódot tartalmazó helyekre mutathatnak. A QRlefektetett – követelményt, hogy a munkaválkódok használata során előfordulhat a laló és külsős csak a munkájához feltétlenül nyomtatott kód felülragasztása, felülírása, szükséges adatokhoz és csak a szükséges elektronikus továbbítása esetén a lecserélése, időtartamban férhessen hozzá. Fokozott módosítása. Ezek megelőzése, kiküszöbölése védelemben kell részesíteni a minősített (pl. érdekében a QR-kódok használatakor kötelező üzleti titkot képező adatokat feldolgozó, vagy a biztonsági előírások betartása. A rendszer személyes adatokat kezelő, feldolgozó) hamisítás elleni védelme a QR kód tartalmának informatikai rendszereket. elektronikus aláírásával biztosítható, míg az A Társaság informatikai rendszeréhez való adatok illetéktelen személy általi megismerése hozzáférés kizárólag AD (Active Directory) ellen azok titkosításával lehet védekezni. felhasználásával történhet. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 28 Külső fél minden esetben a Biztonság engeHa munkavállaló munkája során bármely ok délyével kerülhet felvételre az AD rendszerbe. miatt már nem használ számítógépet, akkor Az AD kezelését a mindenkori informatikai közvetlen vezetőjének azonnal intézkednie kell szolgáltató végzi, és a Biztonság felügyeli. a jogosultságai visszavonásáról, és ha volt, postafiókjának kezeléséről, megszüntetéséről. Az egyes alkalmazások biztonsági feltételeit úgy kell kialakítani, hogy a hozzáférési A felhasználó beosztottal rendelkező közvetlen jogosultságok érvényesítése, az adatkezelés vezető a közvetlen irányítása alá tartozó eseményeinek nyomon követhetősége és munkavállaló munkaviszonyának bármilyen személyi felelősséghez köthetősége garantálokból való megváltozásakor a munkavállaló ható legyen. A hozzáférési jogosultságokra által az informatikai rendszerekben (pl. DMSvonatkozó elképzelést már a rendszer tervezéPoszeidon) kezelt adatokhoz, dokusének időszakában, a biztonsági osztálynak mentumokhoz történő további hozzáférésről megfelelő követelményszinten ki kell alakítani. gondoskodni köteles. Az informatikai rendszerrel dolgozó minden Amennyiben a munkavállaló kilépésekor, vagy munkatárs a védelmi rendszertervben konkmunkakörének megváltozásakor a munkakört rétan meghatározott szerepkörbe sorolandó, és átvevő személy kiléte még nem ismert és az megkapja a szerepkörre meghatározott hozzáinformatikai eszköz más személy részére férési jogokat. A munkaköröktől történő kiadásra kerül, akkor az adatok mentéséről és eltérést a tervezés során a projekt vezetőjének, az eszközről történő letörléséről gondoskodni az üzemeltetés során pedig az üzleti tulajdokell. A mentést 2 példányban CD/DVD nosnak kell meghatározni és az inforlemezre kell elkészíteni, vagy az informatikai mációbiztonsági koordinátorral egyeztetni. hálózat szerverére kell felhelyezni. Nagy Akinek a munkaviszonya megszűnt, az a rendmennyiségű adatok esetén technikai megoldást szer szolgáltatásait nem veheti igénybe, és erőjelent egy új, üres merevlemezre történő forrásait nem használhatja. A Társaság munkamentés elkészítése is. A mentés adathordozóit vállalóinak felhasználói azonosítóját munkavia közvetlen vezető megfelelő biztonsági intézszonyuk megszűnésével, a külső munkavállakedés mellett (zárt szekrény, lemezszekrény, lók felhasználói azonosítóját megbízatásuk páncélszekrény) tárolja. lejártával, illetve munkavégzésük befejezéseA jogosultságokban bekövetkezett változákor haladéktalanul le kell tiltani. Ennek bizsokat mindig az adott rendszer Rendszerszintű tosításáért a munkavállaló közvetlen vezetője, Informatikai Biztonsági Szabályzatának illetőleg a megbízást adó és a munkavégzést megfelelően kell végrehajtani. Mérlegelni kell, irányító személy a felelős. hogy áthelyezés esetén milyen jogosultságok A munkaviszonyukat huzamosabb ideig szünemaradhatnak meg a munkavállalónál. teltető (pl. gyermek szülése), illetve 30 napon A felsővezetők esetében a hozzáférési túlmenően távollevő (pl. külföldi kiküldetés, jogosultságok módosításában, visszavonásában elhúzódó gyógykezelés) munkatársak felhasza biztonsági vezető közreműködését kell kérni. nálói azonosítóját AD szinten, valamint a posAzokban a rendszerekben, amelyek regisztráltafiókját a levelező rendszerben fel kell fügják a felhasználó utolsó bejelentkezésének geszteni. Ennek biztosításáért a munkavállaló időpontját, továbbá az Active Directory-ban ha közvetlen vezetője felelős. A letiltásra úgy kell egy felhasználó azonosító 30 napot meghalaintézkednie, hogy az már a távollét első napján dóan inaktívnak bizonyul (azaz a felhasználó a hatályos legyen. rendszer szolgáltatásait ez idő alatt egyszer A munkavállalók áthelyezése kapcsán felmesem vette igénybe, illetve nem lép be a rülő jogosultsági változásokat (megszűnő felTársaság hálózatába), azonosítóját le kell használói azonosítók letiltása, vagy a jotiltani, és erről a munkavállaló közvetlen vezegosultságok törlése, illetve új azonosítók vagy tőjét értesíteni kell, megjelölve az jogosultságok létrehozása) az áthelyezéssel egy érvénytelenítés okát. időben, haladéktalanul át kell vezetni. Ennek A felhasználó-azonosítónak minden esetben kezdeményezése az áthelyezés előtti és az egyedinek kell lennie, (azaz semmilyen áthelyezés utáni közvetlen vezető feladata. körülmények között sem adható ki különböző 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ felhasználók részére megegyező azonosító). A felhasználói azonosítók és jogosultságok rendszerében bekövetkezett mindennemű változást (az ellenőrizhetőség érdekében) minden rendszerben külön-külön naplózni kell. Az adott felhasználói rendszerhez kiadott rendszergazdai, rendszeradminisztrátori azonosítókat és jelszavakat lezárt, lepecsételt borítékban, biztonsági zárral zárható fa vagy lemezszekrényben kell tárolni. A lezárt borítékot a lezárónak alá kell írni, a lezárás dátumának feltüntetésével. A borítékokat az üzleti tulajdonosnál, vagy az általa kijelölt vezetőnél kell tárolni úgy, hogy azok rendkívüli esetben hozzáférhetőek legyenek. Felhasználók csak a biztonsági vezető külön írásos engedélyével rendelkezhetnek a munkaállomáson rendszeradminisztrátori jogosultsággal. A jogosultságot a Biztonság információbiztonság területénél nyilván kell tartani. Az informatikai rendszerekben biztosítani kell, hogy a felhasználók tényleges hozzáférési jogosultsága a szerepkörüknek megfelelő legyen. Ennek érdekében: - a jogosultságokat az üzleti tulajdonosnak rendszeres időközönként ellenőriznie kell; az általános felhasználók esetében ezt évente, a fokozott biztonsági besorolású rendszerekben félévente, míg a kiemelt besorolásúban 3 havonta kell megtenni, - a szerepkörök változásakor a hozzáférési jogosultságokat felül kell vizsgálni és az új szerepkörnek megfelelően módosítani kell. A munkaállomásokon távoli hibaelhárítást végző szolgáltató esetenként a felhasználó nevében végez műveleteket a számítógépen a jelentkező hiba megismerése, javítása céljából. Ennek során biztosítani kell, hogy a munkaállomás feletti felügyeletet kizárólag a felhasználó beleegyezésével vehesse át, továbbá a felhasználó azonosítójával végzett tevékenységét naplózni kell a felelősség elhatárolása érdekében. Amennyiben a hibaelhárítást végző hívta telefonon a felhasználót és így kezdeményezte a számítógép távoli átvételét, akkor a hibaelhárítást végző visszahívásával ellenőrizni kell, hogy valóban a megbízott Help Desk szolgálat munkatársáról van szó. A felhasználónak a képernyőn figyelnie kell a nevében, az általa kezelt adatokkal végzett műveleteket és szükség esetén közbe kell avatkoznia.
29 A Társaság részére informatikai vagy infokommunikációs fejlesztést végző külső társaság munkavállalója kifejezetten a rendszer fejlesztéséhez szükséges fejlesztői (DV) és tesztelői környezethet (TE) kaphat időszakos hozzáférést. A hozzáférés igényét minden esetben az üzleti tulajdonos kezdeményezi a Biztonság szervezeténél, amit az engedélyez vagy elutasít. Az igénylésben meg kell határozni a felhasználó nevét, a rendszer nevét és a környezeteket, a jogosultsági szintet, és az időtartamot. Az alap bejelentkezés kizárólag az AD útján történhet. Rendszerszinten az üzleti tulajdonosnak kell a jogosultság megadását és visszavonását kezdeményezni. Ha a külső felhasználó távoli hozzáférést igényel, azt VPN kapcsolattal kell megvalósítani. A VPN kapcsolat kialakításáról és visszavonásáról az üzleti tulajdonosnak kell rendelkeznie. 4.7.2. A felhasználói jelszó kezelése Az informatikai rendszerekben a felhasználók hitelesítésének alapvető módja a jelszó megadása. A felhasználói jelszavak kezelésére a következőekben, továbbá az 1. sz. melléklet 4. pontjában felsorolt szabályok a mérvadók. - Végleges használatra kapott jelszó átadása csak biztonságos csatornán történhet, a felhasználó előzetes – pl. személyes – azonosítása után. - A kezdeti jelszó kivételével jelszavakat vagy a jelszófájlokat a hálózaton nyílt, olvasható formában továbbítani tilos. - Az első bejelentkezés alkalmával a kapott ideiglenes jelszót kötelező lecserélni. - Saját jelszavát az előírt periódus szerint minden felhasználó köteles megváltoztatni, azon belül a jelszópolitikához illeszkedően tetszés szerinti időpontban cserélheti. - A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (pl. a kezdeti jelszó), akkor gondoskodni kell a jelszónak a közvetlen vezetőnél, zárt borítékban történő, biztonságos tárolásáról, átadásáról - Automatikus bejelentkezési eljárások (pl. batch fájlok, vagy funkcióbillentyűhöz rendelt makrók) nem tartalmazhatnak felhasználói jelszót.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - A hálózati informatikai rendszerbe (AD, Active Directory) történő bejelentkezéskor az alábbi jelszópolitika az érvényes: a rendszer az utolsó 3 jelszóig emlékszik a jelszavakra, azaz azokat nem lehet újra használni, 42 naponként jelszót kell változatni, 5 nap után megváltoztatható a jelszó, legalább 8 karakteres jelszót kell használni, a jelszó összetételében az alábbi 4 csoport közül legalább három csoport elemeiből, minimum egy karaktert kell, hogy tartalmazzon: o kisbetű (a-z) o nagybetű (A-Z) o szám (0-9) és o különleges karakterek (! @ # $ % ^ & * ( ) _ +| ~ - = \ ` { } [ ] : " ; ' < > ? , . /) a jelszó sem kis, sem nagy ékezetes betűt nem tartalmazhat 5 sikertelen bejelentkezési kísérlet után a felhasználói fiók zárolódik, ha sikertelen bejelentkezések miatt zárolódik a felhasználói fiók, 10 perc múltán a tiltás feloldódik, 10 perc múlva a rendszer nullázza a sikertelen bejelentkezések számlálót, A hálózati bejelentkezési jelszópolitikára meghatározott fenti paraméterek kielégítik az „alap” biztonsági osztály követelményeit. Elfelejtett jelszó esetén a következő szabályok érvényesek: 1. A felhasználó köteles közölni közvetlen vezetőjével, hogy a jelszavát elfelejtette. 2. A közvetlen vezető e-mailben értesíti az informatikai szolgáltatót, hogy pontosan melyik felhasználó, melyik gépén történt az esemény. 3. Az informatikai szolgáltató elvégzi az új jelszó generálását, és azt SMS-ben, ha az nem lehetséges, akkor telefonon szóban köteles közölni a közvetlen vezetővel. 4. A közvetlen vezető szóban elmondja a megküldött jelszót a munkatársnak, aki köteles ezzel bejelentkezni és a bejelentkezés során azt kikényszerítve megváltoztatni, figyelembe véve az általános szabályokat. 5. Amennyiben a közvetlen vezető SMS-ben kapta meg a jelszót, akkor köteles a kapott SMS-t az eszközéről törölni.
30 4.7.3. A jelszó használata az informatikai alkalmazásokban - A felhasználói jelszó szerkezeti szabályaival (bonyolultság) szemben támasztott követelményeket (lásd: 4.7.2. pont) minden esetben a rendszer informatikai biztonsági osztálya határozza meg. - A jelszó házirendet rendszerfüggően, az egyes RIBSZ-ekben kell rögzíteni. - Az informatikai rendszerekben a jelszó a képernyőn nem jeleníthető meg. A jelszó bevitelénél biztosítani szükséges, hogy a billentyűleütésekor egy eltakaró karakter (pl. *) megjelenjen. - Minősített rendszerekben a felhasználó hitelesítésére erős authentikációt kell alkalmazni (pl. ún. erős jelszó, chip-kártya). - A felhasználói jelszavakkal kapcsolatban (amennyiben az adott rendszerben erre lehetőség van) már a fejlesztéskor szabályozni kell a minimális jelszóhosszat, a jelszó-történet tárolását, a központi jelszómegadás utáni első bejelentkezéskor a jelszó kötelező cseréjét, a jelszó maximális élettartamát, a jelszó minimális élettartamát, a jelszó zárolásának szabályait, a jelszóképzési szabályokat. - A számítógépes rendszerekben a jelszavakat tilos nyílt formában tárolni. Ha a rendszer ilyen védelmet automatikusan nem nyújt, akkor a jelszófájlokat külön védelemmel kell ellátni. - Minősített rendszerekben a felhasználónak új jelszava átvételét ellenőrizhető úton (pl. email), vagy személyesen minden esetben vissza kell igazolnia. - Az információvédelem szempontjából alap biztonsági osztályba sorolt rendszerek elérésekor, amennyiben az informatikai eszközbe történő belépés címtár (AD) alapján valósul meg, akkor a felhasználó azonosítása történhet a számítógépbe beléptetett felhasználói azonosító alapján, automatikusan a címtárból, újabb felhasználói azonosítás nélkül. - A minősített informatikai rendszerekben a felhasználói azonosításra használt jelszó nem egyezhet meg a felhasználó AD belépését biztosító jelszóval!
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.7.4. Hordozható eszközök használata, távoli hozzáférés 4.7.4.1. Hordozható számítógép használata A hordozható informatikai eszközön (társaság által biztosított laptop) illetve otthoni saját PCről, távoli hozzáféréssel végzett távmunka esetén is meg kell teremteni ugyanazokat az informatikai biztonság feltételeket, amelyek kialakításra kerültek a Társaság munkaállomásainak védelmére. Az eszközt csak akkor lehet a felhasználó részére átadni, ha az előbbi feltételeket a Biztonság megvizsgálta és maradéktalanul megfeleltnek értékeli. A Társaság adatátviteli hálózatára kapcsolódás kizárólagosan megengedett módjai hordozható számítógép használata esetén: a) a védett munkahelyi környezetből közvetlenül, vagy ún. dokkoló állomáson keresztül csatlakozva (a hagyományos munkaállomáséval megegyező módon), b) a védett munkahelyi környezetből vezeték nélküli hálózat (WiFi) útján a 4.7.5. pont szerint, c) nem védett környezetből (pl. otthonról vezetékes hálózatról, vagy nem a Társaság által biztosított GSM kommunikációs szolgáltatással), távoli hozzáféréssel, a Társaság által biztosított védett VPN (Virtual Private Network) adatátviteli csatornán. Sem védett, sem nem védett környezetből más módon, pl. az OWA (Outlook Web Access), vagy OAW (Outlook AnyWhere) szolgáltatás használatával tilos csatlakozni a Társaság informatikai rendszeréhez! A Társaság informatikai rendszeréhez a fentiektől (a)-c) bekezdések) eltérő technológián alapuló kapcsolódás tilos! A hordozható számítógépekkel végzett tevékenység szabályai: - az informatikai szolgáltatóval vizsgáltatni kell, hogy a hálózatra csatlakozni kívánó számítógép állapota biztonsági szempontból megfelelő-e (van-e rajta aktulizált vírusirtó, megfelelő biztonsági patch-ekkel ellátott operációs rendszer fut-e rajta, stb.), - a hordozható eszközt használók hozzáférését azonosításhoz és hitelesítéshez kell kötni; hitelesítésre erős authentikációt kell alkalmazni (pl. erős jelszó, chip-kártya),
31 - a hordozható számítógépeken az IBSZ által meghatározott vírusvédelmi és biztonsági eszközöknek aktív állapotban kell lenniük; a felhasználó ideiglenesen sem iktathatja ki a védelmet, - a hordozható eszközökön belső adatot, üzleti titkot képező adatot tilos tárolni, továbbá személyes adatot pedig csak védetten, rejtjelezve szabad, - a hordozható eszközök lopás elleni védelmére fokozott figyelmet kell fordítani, felügyelet nélkül hagyni csak olyan helyen szabad, ahol az általános vagyonvédelmi szabályok teljesülnek (pl. felügyelet nélküli gépkocsiban nem, még a csomagtartóban sem). - hordozható számítógépre csak felhasználói jogosultság adható. Ennek megváltoztatására csak igénylés alapján a Biztonság adhat engedélyt. A megváltozott jogosultságot minden esetben az informatikai szolgáltató köteles beállítani. A távoli hozzáférés biztonsági szabályai: - kiemelt biztonsági osztályú rendszerhez távolról csatlakozni tilos, - fokozott biztonsági osztályú rendszerben végzendő munkához védett (rejtjelezett) csatornáról kell gondoskodni, a kommunikációt titkosítani kell olyan algoritmussal (legalább 512 bites titkosítás), ami jelentősen megnehezíti a tartalom visszafejtését, - fokozott biztonsági osztályú rendszerben végzendő távmunkát a munkavállaló közvetlen vezetőjének kezdeményezésére, az adott rendszer üzleti tulajdonosának jóváhagyásával, írásban engedélyezi a biztonsági vezető. Az engedély másolatát megküldi az informatikai vezetőnek, aki intézkedik a szükséges módosítások, beállítások, telepítések elvégzésére. Az engedélyben rögzíteni kell: azon rendszer(ek) megnevezését, amely(ek)re az engedély kiterjed, a hivatali helyiségeken kívüli munkavégzés engedélyezési időszakát, a munkavégzéshez az alkalmazott részére (otthonában) a Társaság által biztosított berendezések azonosítását, ill. a szükséges berendezések és anyagok átadási és elszámolási módját,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.7.4.2. PDA, okostelefon használata PDA, okostelefon informatikai alkalmazásban való használata esetén alapelv, hogy csak a célnak megfelelőn konfigurált eszközt lehet alkalmazni. A készülék konfigurációit (pl. funkciók tiltása) a Biztonság szervezetével előzetesen egyeztetett informatikai biztonsági szabályok szerint kell meghatározni. A Társaság informatikai rendszerének szervereivel folytatott kommunikációnak minden esetben titkosítottnak kell lennie, legalább 512 bites titkosítással. Az eszközön tárolt adatokat szintén titkosítani kell. PDA-hoz, okostelefonhoz és egyéb eszközhöz kiegészítő elemeket (pl. memóriakártya) a Biztonság szervezetének engedélye alapján és az előzetesen egyeztetett informatikai szabályok szerint lehet csatlakoztatni. A hordozható eszközökkel az alábbi szabályok betartása mellett végezhető munka. Az eszközre telepített alkalmazást csak az előzetesen meghatározott informatikai biztonsági osztály követelményei szerinti felhasználó név és jelszó azonosítással lehet használni. A hitelesítési eljárást központi szerver támogatásával kell elvégezni. Az eszközt úgy kell konfigurálni, hogy arra felhasználó csak a hivatalos alkalmazásboltokból származó szoftvert tudjon telepíteni. Minden telepítést követően vírusellenőrzést kell végezni az eszközön. Minden eszköznek rendelkeznie kell olyan folyamatosan frissülő vírusvédelmi eljárással, ami a társaság egyéb eszközeihez igazodik, a hordozható eszközön futó alkalmazásokat nem befolyásolja és viszont. Minden eszközön olyan egységes beállítást kell alkalmazni, ami lehetővé teszi az operációs rendszer folyamatos frissítését. A kizárólag szolgálati célra kiadott (pl. jegyvizsgálói okostelefon) PDA, okostelefon stb. eszközt, melyen olyan alkalmazás fut, ami központi szerver kommunikációt igényel kötelezően a mobilszolgáltató által APN-be kell szervezni, és az APN kapcsolat csak a Társaság szervere felé történő kommunikációt engedélyezze. A hordozható eszközök használatát központi, átfogó felügyeleti rendszerrel kell támogatni.
32 Az egyéni használatra kapott hordozható (PDA, okostelefon, stb.) készüléket a szükséges és elégséges jogosultság megadásával kell a felhasználó részére konfigurálni. 4.7.4.3. Jegykiadó automaták használata A jegykiadó automaták belső számítógépe egy mobil kapcsolattal ellátott eszköz, ami APN-be szervezett hívásokkal kommunikál a központi szerverrel. Amennyiben vezetékes kapcsolat nem építhető ki, akkor az APN-be szervezés kötelező. Az adattovábbításnak minden esetben titkosítottnak kell lennie, mivel a rendszer érzékeny adatokat is forgalmaz. A jegykiadó automaták belső számítógépének operációs rendszerét, vírusvédelmét folyamatosan frissíteni kell. A jegykiadó automatákat önálló felügyeleti rendszerbe kell vonni. Felügyeleti rendszeren kívüli jegykiadó automatát tilos üzemeltetni. 4.7.5. Vezeték nélküli (WLAN, WiFi) hálózat használata A vezeték nélküli hálózatok egyedi beállításait az alábbiak figyelembe vételével a hálózat RIBSZ-ében kell meghatározni. WiFi hálózat használatának az alábbi feltételei vannak: - a központi szintű beállításokat a központi irodaépületben (Budapest, Könyves Kálmán krt.) a MÁV Zrt. IT szakterülete az épület informatikai üzemeltetője útján biztosítja, - a központi irodaépületen kívüli WiFi hálózat használata tilos, - a felhasználónak rendelkeznie kell a Biztonság írásbeli engedélyével a használatra, amit közvetlen vezetője útján kell igényelnie, - a Társaság vezetékes hálózatához történő csatlakozáskor a vezeték nélküli kapcsolatot ki kell kapcsolni, - a Társaság Internet elérését vezeték nélküli hálózaton tovább megosztani tilos, - vezeték nélküli eszköz használatba vétele, telepítése a biztonsági vezető írásos engedélye nélkül tilos, - a vezeték nélküli hálózatokhoz a hozzáférést szabályozni és naplózni kell, - ilyen hálózat kialakítása előtt annak biztonságát tervezni, majd a beállításokat ellenőrizni kell,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - megfelelő titkosítást kell alkalmazni (legalább WPA2-AES 256) (WEP és WPA használata tilos!), - hitelesítést kell alkalmazni (pl. 802.1x EAPPEAP, token), - tűzfalat kell alkalmazni, - behatolás megelőző rendszert (IPS) kell alkalmazni, - hálózat hozzáférés-szabályozási rendszert kell alkalmazni, - a beléptetés előtt ellenőrizni kell az eszközök biztonsági állapotát (pl. Microsoft NAP, azaz Network Access Protection, vagy Cisco Systems NAC, azaz Network Admission Control). Kliens szintű beállítások, feltételek: - a felhasználó gépében lennie kell a WiFi kommunikációra alkalmas hardver eszköznek, - a WiFi titkosítási megoldásai közül legalább a WPA2 szintű védelmet biztosító eljárás használata engedélyezett (WEP és WPA használata tilos!), - vezeték nélküli kommunikáció beállításánál csak meghatározott (SSID-vel azonosított) hálózatba való belépés engedélyezett, az alapértelmezett hálózatnak a Társaság hálózatának kell lennie, - a vezeték nélküli kommunikációra alkalmas eszközökben a munkavégzésen kívül a kommunikációs eszközt, interfészt ki kell kapcsolni. 4.7.6 Távmunka A Társaság munkavállalói részére a távmunka a mindenkori hatályos távmunka végzési szabályzat szerint engedélyezett. Az informatikai biztonsági feltételek az otthon végzett munkával kapcsolatosan a következők: - saját eszközön tilos távmunkát végezni, csak a Társaság által biztosított számítógépen, eszközökön megengedett, - a számítógépet az informatikai szolgáltató által felkészített módon kell átadni, úgy, hogy - azon működjön az operációs rendszer és a vírusvédelmi rendszer frissítése, valamint csak - olyan szoftver lehet telepítve, ami feltétlenül szükséges a feladatok végrehajtásához, - felhasználó rendszergazdai jogosultságot nem kaphat,
33 - bejelentkezése a Társaság informatikai rendszerébe csak VPN felhasználásával történhet, - amennyiben routert is használ, azt az informatikai szolgáltatónak kell megfelelően konfigurálni és a beállításokat dokumentálni, - A Társaság Biztonság szervezete jogosult a számítógép beállításait annak kiszállítása előtt, majd annak használatát és a környezetét előre egyeztetett időpontban biztonsági szempontból ellenőrizni. 4.8. Informatikai rendszerek fejlesztésének biztonsági szabályai Új rendszer fejlesztésében - továbbá meglevőnek a módosításában értelemszerűen az alábbi szabályoknak kell teljesülni. 4.8.1. Döntés a rendszer kialakításáról A döntés pillanatától kezdve a rendszerbe be kell építeni az informatikai biztonság elemeit. Olyan rendszer nem alakítható ki, amelyik rontaná az informatikai biztonság meglevő állapotát és színvonalát. Minden felhasználói informatikai rendszernek együtt kell működnie a társaságnál használt vírusvédelmi rendszerrel, egymást kölcsönösen működésükben nem zavarhatják. Minősített kategóriájú új informatikai rendszer, vagy a meglevő ilyen rendszereket érintő bármilyen módosítás csak ellenőrzött módon vezethető be, vagyis szabályszerű jóváhagyási, probléma- és változáskezelési eljárások alkalmazásával. Az ilyen rendszerek esetében fel kell készülni a rendszer esetleges meghibásodása esetén követendő, a működési folytonosságot fenntartó eljárások alkalmazására. 4.8.2. A rendszerfejlesztés előkészítése Az előkészítés lépéseit az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet a) része: Projektindítás) összefoglaltak szerint kell elvégezni. A táblázatot a nem projektszerűen végrehajtott és kisebb fejlesztésekben értelemszerű egyszerűsítésekkel kell alkalmazni. A felsorolt feladatok végrehajtója a projektvezető, illetve, ha ilyen még nincs kijelölve, vagy a fejlesztés nem projektszerűen folyik, akkor a fejlesztést kezdeményező szervezeti egység vezetője.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 34 biztosítása,
Az előkészítésnek fontos lépése az üzleti reakció-idő, tartalék alkatrész tulajdonos kijelölése. Ez a 4.2.2. a) pont cserefeltételek, tartalék eszközök, alapján az informatikai vezető felelőssége. A - titoktartási (ha a rendszer titokká minősített rendszer biztonságát az üzleti tulajdonos a saját adatokat is kezel), és adatvédelmi (ha a igényei és lehetőségei szerint valósítja meg, rendszer személyes adatokat is kezel) mert döntési kompetenciával ő rendelkezik a követelményeket, megállapodásokat, szükséges erőforrások mozgósításához. - a szállító nyilatkozatát, hogy a védelmi rendszer tervezéséhez és megvalósításához A fejlesztésre vonatkozó pályázati kiírásban használt információkat és dokumentumokat szerepeltetni kell a biztonságra vonatkozó átadják, alapkövetelményként a Társaság - a szállító nyilatkozatát, hogy az informainformációvédelmi szabályzatainak betartására tikai rendszer fejlesztése során eleget tesznek a irányuló pályázói kötelezettséget. Társaság valamennyi biztonsági szabályAz Ajánlatkérési dokumentumban meg kell zatának. adni a kezelendő adatok érzékenységét, ha van, A pályázat kiírásába és értékelésébe, továbbá a akkor a minősítését, a rendszer szerződés szövegének kialakításába minden információvédelem és rendelkezésre állás esetben be kell vonni a Biztonság szempontjából történő besorolását, a védelmi információbiztonsági szakterületét, aminek a igényt és célokat, a jogszabályokból és egyéb hatásköre kizárólag az informatikai biztonsági társasági belső utasításokból fakadó biztonsági megfelelőség biztosítására, a Társaságnál kötelezettségeket. Szerepeltetni kell, hogy az fennálló szintjének megőrzésére terjed ki. A ajánlat biztonsági szempontból csak akkor Szerződéskötési Szabályzat értelmében a elfogadható, ha: szerződést akkor lehet megkötni, ha azon a - a kitűzött védelmi célokra megfelelő szinten „biztonsági szignó” is szerepel. reagáló fejezetet (részeket) tartalmaz, A Rendszerkoncepció, vagy a Projekt - az ajánlattevő nyilatkozik, hogy csak alapító okirat c. fejlesztési dokumentumban jogtiszta szoftvert, illetve rendszert szállít, meg kell határozni az alapvető informatikai - nyilatkozik arról, hogy elfogadja a biztonsági követelményeket. A rendszer bizTársaságnál érvényes biztonsági szabályokat a tonságával kapcsolatosan meg kell határozni a rendszer kialakításában. szereplőket, meg kell nevezni a biztonsági Előnyben kell részesíteni azt a pályázót, aki / határokat, adatátviteli hálózat biztonsági amely rendelkezik informatikai vagy feltételeit, az életciklus kezelési feltételeit. informatikai biztonsági színvonalát bizonyító minősítéssel (MSZ ISO/IEC 15408, MSZ 4.8.3. A rendszer biztonsági kockázatainak ISO/IEC 27001, stb. szerint). felmérése A fejlesztésre vonatkozó szerződésnek külön A fejlesztendő rendszer megvalósítása során az fejezetben kell foglalkoznia az informatikai informatikai biztonságot a rendszerbe integrálbiztonsággal. Ebben a fejezetben szerepeltetni va kell kialakítani, amihez ismerni kell a rendkell a szállítandó szoftver, illetve termék: szert konkrétan fenyegető veszélyeket, ismerni kell a várható biztonsági kockázatokat. Az eh- teljesítendő informatikai biztonsági követelhez szükséges lépéseket az Informatikai fejményeket, lesztés biztonsági feladatai és dokumentumai c. - biztonsági tanúsításával, minősítésével kaptáblázatban (4. sz. melléklet b) része: Kockácsolatos feltételeket, zatelemzés) összefoglaltak szerint kell elvégez- dokumentációjának biztosításával ni. A táblázatot a nem projektszerűen végrekapcsolatos követelményeket, hajtott és a kisebb fejlesztésekben értelemszerű - használati (futtatható) illetve forráskód egyszerűsítésekkel kell alkalmazni. felhasználásának és ellenőrzési jogának, a licencek felhasználásának a feltételeit, Az ott felsorolt feladatokat az üzleti tulajdonos - szavatosságával, jótállásával, auditálirányítja és a rendszerre vonatkozó biztonsági hatóságával kapcsolatos feltételeket, igényei alapján a beszállítóval végezteti a - garanciális időn túlmenő szervizelési megvalósítási szerződés keretében. feltételeit, úgymint rendelkezésre állási idő, 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A kockázatelemzés szakaszban részletesen fel kell tárni a rendszert fenyegető tényezőket. Ehhez csoportosítani kell a vizsgálandó szempontokat a: - környezeti infrastruktúra, - hardver eszközök, - adathordozók, - dokumentumok, - szoftver, - adatok, - kommunikáció, - szolgáltatások, - személyi elemcsoportok vonatkozásban. Ezekhez a csoportokhoz kell egyedenként meghatározni a fenyegető tényezőket a Kockázatelemzés lépései c. táblázat szerint (5. sz. melléklet). A későbbiekben valamennyi védelmi intézkedést ezek tükrében, a ténylegesen fennálló informatikai biztonsági kockázatok ellen fellépve kell megtenni. 4.8.4. A rendszer biztonságának tervezése A kockázatelemzést végző által tett javaslat alapján a rendszert az üzleti tulajdonosnak biztonsági osztályba kell sorolnia a 4.3.2. pont szerint. Ezt követően intézkedéseket kell tennie az azonosított kockázatok kezelésére és meg kell határoznia a maradó (nem kezelt) kockázatokat. A következő fázisban a RIBSZ-et megalapozó Informatikai Biztonsági Rendszertervet (vázlata: 6. sz. melléklet), kisebb rendszerekben a Rendszertervben informatikai biztonsági fejezetet kell kialakítani. Az ehhez szükséges lépéseket az Informatikai fejlesztés biztonsági feladatai és dokumentumai c. táblázatban (4. sz. melléklet c) része: A rendszer biztonságának tervezése) összefoglaltak szerint kell elvégezni. A fejezetben, illetve önálló dokumentumban röviden fel kell sorolni azokat a tervezési kiindulási alapokat, amelyek az adott rendszerre specifikusak, és részletes kidolgozást igényelnek, azaz meg kell adni az ezekre a témakörökre részletes feladatokat, szabályokat előíró RIBSZ vázlatát. Tartalmának szigorú összhangban kell lennie a korábbi fázisban meghatározott biztonsági osztályra vonatkozó informatikai biztonsági követelményekkel, és az üzleti tulajdonos ezen felüli biztonság és más igényeivel.
35 A rendszer védelmét fizikai, logikai és adminisztratív területen kell megvalósítani. Ezek részleteit jelen szabályzat, a minősített biztonsági osztályokra a szabályzat több helye és a 7. sz. melléklete tartalmazza. A rendszer tervezése során az informatikai biztonsági osztály meghatározása következményeként adott, hogy kell-e titkosított adatáramlást, elektronikus aláírást és az ezekhez kapcsolódó tevékenységeket ellátni. Az Informatikai Biztonsági Rendszertervben (Rendszerterv informatikai biztonsági fejezetében) tervezni kell az ide vonatkozó védelmi intézkedéseket is. A RIBSZ-ben kell részletesen kifejteni az Informatikai Biztonsági Rendszertervben (Rendszerterv informatikai biztonsági fejezetében) felsoroltakat. Meg kell adni az ott vázolt, tervezett funkciók, eljárások, védelmi intézkedések, stb. konkrét megvalósítási módszerét, felelősét, paramétereit. A 12. sz. melléklet tartalmazza a RIBSZ általános vázlatát, amit azonban szűkíteni lehet, ha a tervezési alapokmányban – az Informatikai Biztonsági Rendszertervben (Rendszerterv informatikai biztonsági fejezetében) – foglaltak szerint az adott tartalmi elemre nincs szükség. Felhasználói adatbázisok, továbbá a rendszerszoftverek és az operációs rendszer által generált adatbázisok (pl. naplófájl) védelmét úgy kell biztosítani, hogy felhasználó azokat közvetlenül ne tudja elérni, abban ne tudjon közvetlenül műveleteket végezni. A közvetlen és nem naplózott elérést és módosítást az üzemeltető és a rendszergazda részére is tiltani kell. Adatbáziskezelő rendszer naplózási tevékenységét úgy kell konfigurálni, hogy csak a szükséges naplózási funkciók legyenek aktivizálva. Szükség esetén az üzleti tulajdonos döntése, vagy informatikai szempontok alapján a napló adatállományok térbeli (méret) és időbeni határát korlátozni kell. Információvédelmi szempontból fokozott vagy kiemelt biztonsági osztályba sorolt rendszerek teljes adatbázisát, vagy egyes – a minősítés alapjául szolgáló adatokat konkrétan tartalmazó – moduljait, részeit titkosítottan kell tárolni. A tikosító kulcsnak legalább 512 bitesnek kell lennie. A kulcskezelés védelmére külön intézkedéseket kell tervezni és megvalósítani a rendszerben.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A rendszer fejlesztése során a fejlesztő társaságnak több környezetet kell kialakítania a feladata végrehajtása során. Az alábbi leírástól a Biztonság előzetes engedélyével szabad eltérni. a) Fejlesztői környezet (DV): kifejezetten a fejlesztők részére létrehozott környezet melyben a fejlesztés, és a fejlesztői belső tesztek történnek. b) Teszt környezet (TE): kifejezetten a megrendelő részére kialakított környezet, melyben megrendelő felhasználói a teszteket végzik. Ennek a környezetnek hasonlónak kell lennie, mint az éles környezet. Ebben a környezetben fejlesztői tevékenység végzése tilos! c) Minőségbiztosítási környezet (QA): kifejezetten a megrendelő részére kialakított környezet, melyben a megrendelő felhasználói teljes körű tesztet végeznek. Felépítésében minden tekintetben azonosnak kell lennie az éles környezettel. Ebben a környezetben fejlesztői tevékenység végzése tilos! d) Oktatási környezet (ED): kifejezetten csak oktatás céljára használható környezet. Felépítésében és adattartalmában minden tekintetben azonosnak kell lennie a QA környezettel. Ebben a környezetben fejlesztő tevékenység végzése tilos! e) Éles környezet: kifejezetten a rendszer üzemeltetésére szolgáló környezet. Ebben a környezetben fejlesztői tevékenység végzése tilos!
36 - Minőségbiztosítási környezetből oktatási környezetbe csak akkor megengedett szoftvert másolni, vagy telepíteni, ha a minőségbiztosítási környezetben a tesztek teljes körűen sikeresen végrehajtódtak. További általános szabályok: - A szoftver telepítését, másolását és adatbázisok telepítését másolását minden esetben kizárólagosan az informatikai szolgáltató végezheti a fejlesztőtől kapott utasításoknak megfelelően. - Ha TE és QA környezetekben hiba történt, akkor minden esetben a fejlesztői környezetben kell a változtatásokat végrehajtani és ismételten meg kell kezdeni a teszteléseket. - A Biztonság engedélyezhet a rendszer sajátosságainak figyelembevételével olyan tesztelési eljárást, ahol nem aktuális, de lényegében éles adatokkal történhet a tesztelés. - Minden környezetben történt változást dokumentálni kell megjelölve az okokat és a következményeket. A dokumentumokat az üzleti tulajdonosnak, vagy megbízottjának kell átadni, és jóváhagyatni. Minden rendszert alkalmazásbiztonság tekintetében is tesztelni kell. A tesztelést a QA környezetben kell végrehajtani. Ellenőrizni kell, hogy az alkalmazás – különösen dobozos termék esetén – nem tartalmaz-e veszélyes kódot, vagy végez-e olyan műveleteket, mellyel adatokat továbbít nem megfelelő helyekre, vagy nem megfelelő helyekről adatokat, eljárásokat hív be. Amennyiben ilyen jellegű eljárásra csak gyanú is felmerül, az eljárás további tesztelését, bárminemű fejlesztését kötelezően le kell állítani, és független szakértő bevonásával meg kell kezdeni az alkalmazás teljes felülvizsgálatát. A vizsgálat költségeit a fejlesztőnek/beszállítónak kell viselnie.
Az egyes környezetek közötti átjárás szabályai a következők. - Fejlesztői környezetből teszt környezetbe csak akkor megengedett szoftvert és adatokat másolni, ha fejlesztő kijelentette, hogy a fejlesztést befejezte, és az üzleti tulajdonos engedélyezte a másolást, telepítést. - Teszt környezetből minőségbiztosítási 4.8.5. A rendszer használatba vétele környezetbe csak akkor megengedett szoftvert A rendszerben megvalósuló valamennyi elemet és adatokat másolni, telepíteni, ha a felhasza rendszer használatba vételét megelőzően nálói alaptesztelések sikeresen befejeződtek, és biztonsági megfelelőség szempontjából ezt a tesztelők jelezték az üzleti tulajdonosnak. tesztelni kell. Az ehhez szükséges lépéseket az A másolás, illetve telepítés végrehajtását az Informatikai fejlesztés biztonsági feladatai és üzleti tulajdonos írásban engedélyezi. dokumentumai c. táblázatban (4. sz. melléklet - Minőségbiztosítási környezetből éles d) része: A rendszer használatba vétele) környezetbe csak akkor megengedett szoftvert összefoglaltak szerint kell elvégezni. másolni, vagy telepíteni, ha a minőségbiztosítási környezetben a tesztek teljes körűen sikeresen végrehajtódtak. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A biztonsági teszt-feltételeket nem teljesítő rendszert alkalmazásba venni, üzemeltetni szigorúan tilos. A tesztelési folyamatok irányítására – amennyiben az üzleti tulajdonos szerint indokolt – egy szervezetet kell létrehozni, aminek a vezetője az üzleti tulajdonos által kijelölt teszt-menedzser. Tagjai továbbá a rendszer méretétől (bonyolultságától) függő létszámban a teszt-tervező(k), tesztelő(k), értékelő(k). A tesztelésbe a felhasználó környezetéből is be kell vonni személyeket, akiket az üzleti tulajdonos jelöl ki. A tesztelés végrehajtására a teszt-menedzser (vagy az üzleti tulajdonos) által jóváhagyott teszt tervet kell készíteni. Az általános teszt terv készítője minden esetben a rendszer szállítója, míg a biztonsági tesztet a rendszer funkcióinak megfelelően a Társaság Biztonság szervezete készíti. Ennek legfőbb elemei a következők: - a teszt céljainak meghatározása, - a teszt lépéseinek meghatározása, - a rendszer tesztelendő elemeinek behatárolása, - tesztelési mód, teszt környezet, teszt adatbázis meghatározása, - fentiekhez szükséges tesztelési szervezet kialakítása, személyek meghatározása, szerepkörök, felelősségi leírása, - tesztek értékelési módszerének kialakítása, - teszteredmények megfelelőségi kritériumainak definiálása, - dokumentálási feladatok meghatározása, - ütemterv meghatározása. A tesztelés tervét a rendszertervvel párhuzamosan kell elkészíteni, mivel a biztonsági követelmények addigra már ismertek. Az informatikai tesztelésekkel párhuzamosan meg lehet kezdeni a biztonsági tesztelési eljárásokat, támogatva ezzel az üzleti tulajdonos rendszerrel szembeni biztonsági elvárásainak időbeni teljesülését. A tesztek (modul-, integrációs-, rendszer-, teljesítmény-, stb.) eredményét a 8. sz. melléklet szerinti Biztonsági tesztelési jegyzőkönyveken kell rögzíteni és a rendszerdokumentáció részeként meg kell őrizni. A rendszer csak akkor vehető használatba, ha rendelkezésre áll a(z): - üzleti tulajdonos nyilatkozata a biztonsági osztályba sorolásról (14. számú melléklet),
37 - üzleti tulajdonos nyilatkozata a maradó kockázatok felsorolásáról és elfogadásáról, (14. számú melléklet), - felhasználóknak szánt Kezelési kézikönyv az összes kezelési szintre, benne olyan funkciókkal, mint az informatikai biztonsági eseményekre való reagálás és az informatikai működésfolytonosság biztosítása, - Üzemeltetési kézikönyv, - Rendszerszintű Informatikai Biztonsági Szabályzat (kisebb rendszerek rendszertervében informatikai biztonsági fejezet), ami tartalmazza a rendszer összes konkrét védelmi intézkedését, - rendelkezésre szempontjából fokozott illetve kiemelt biztonsági osztályú rendszerek esetében az Informatikai Működésfolytonossági Terv és a Változáskezelési Eljárásrend, - biztonsági tesztfeltételeknek való megfelelés jegyzőkönyve, - minősített rendszer független auditortól származó megfelelőségi bizonyítványa a 4.10.2. b) pont szerint.
4.9. Informatikai működésfolytonosság tervezése Működési hibák, különböző fokozatú rendkívüli állapotok (közte akár természeti katasztrófa) által okozott károk enyhítésére, illetve a feldolgozó képesség bármely okból bekövetkező hosszabb kiesésének fedezésére a Társaság valamennyi, a rendelkezésre állás szempontjából fokozott és kiemelt biztonsági osztályba sorolt informatikai rendszerének – annak kiterjedésétől függetlenül – rendelkeznie kell az Informatikai Működésfolytonossági Tervvel. A tervezés olyan hibák és jelenségek kezelésére szolgál, amelyek a rendszer működése során gyakran előfordulhatnak a helytelen munkavégzésből, figyelmetlenségből, vagy a technikai körülmények előnytelen változásaiból, személyek változásából, illetve elháríthatatlan okból (pl. természeti katasztrófa). Az informatikai működésfolytonossági tervezést az üzleti tulajdonos irányítja. Első lépésben meg kell határoznia a rendszer azon kiesési idejét, amely mellett a rendszer által támogatott és kiszolgált üzleti folyamat megszakadása számára üzletileg még elviselhető, és aminek leteltével életbe kell léptetnie a biztonsági események kezelésére 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 38 kérdéses folyamat működését gátló rendkívüli körülmények fennállása idejére, helyettesítő munkaerő bevetése, munkaerő átcsoportosítása, kézi nyilvántartások vezetése, csökkentett szolgálatellátás bejelentése, a kiesett elem pótlása, stb. útján. - a tervet időszakonként felül kell vizsgálni és a szükségletnek megfelelően módosítani kell, - a tervet évente oktatni kell, elsajátításáról évente gyakorlati próbával kell meggyőződni, - ki kell dolgozni a média kezelésének, a Társaság szóvivőjével való együttműködésnek a szabályait.
szolgáló intézkedéseket. A tervezés során nem csak az informatikai, hanem az üzleti folyamatokat is figyelembe kell venni. Az informatikai működésfolytonosság tervezése során azonosítani kell azokat az eseményeket, melyek befolyásolhatják az adott rendszer rendeltetésszerű működését. Ezek lehetnek például hardver meghibásodások, adatátviteli útvonalon történő zavar, tartós szakadás, programhiba, vagy tűzeset, vízkár. A tervezés során az alábbi kulcsfontosságú elemek, szempontok érvényre jutását biztosítani kell: - fel kell készülni mindazokra a kockázatok4.9.1. A tervezés keretrendszere ra, melyek bekövetkezése reális, és befolyásolAz Informatikai Működésfolytonossági Terv hatja az üzleti folyamatokat, általános tematikáját a 9. sz. melléklet tartal- differenciáltan kell tervezni: fel kell mazza. A dokumentumnak szoros logikai kapkészülni mind az egyszerűbb, mind a csolatban kell állnia az érintett rendszer bonyolultabb incidensek kezelésére, beleértve informatikai biztonsági rendszertervével, a a katasztrófahelyzetet is, Rendszerszintű Informatikai Biztonsági - figyelembe kell venni, hogy a katasztrófaSzabályzatával, és a felhasználói kézikönyvvel. esemény a működésfolytonosságot hátrányoA megadott tematikai vázlatot az alábbi san befolyásoló, azt különböző mértékben tervezési szempontok figyelembe vételével kell érintő tényezők legdurvább előfordulási módja alkalmazni: ugyan, de csak egy a tényezők sorában, - rögzíteni kell a meglevő és a helyreállításra - ki kell alakítani a terv szinkronját az üzleti igénybe vehető erőforrások térbeli és minőségi stratégiához, biztosítani kell alkalmazkodását a helyzetét, változó jogi előírásokhoz, - fel kell mérni azokat a környezeti szerep- megfelelő stratégiát kell kidolgozni, hogy a lőket, akiket / amelyeket valamilyen formában kockázatok minimálisak legyenek, értesíteni, vagy bevonni kell egy rendkívüli - meg kell állapítani a felelősségi területeket, helyzet esetén (pl. informatikai szolgáltató, a követendő eljárási tematikát, közvetlen vezető, üzleti tulajdonos, rend- meg kell határozni a reagálási és a szergazda, tűzoltóság, rendőrség, katasztróhelyreállítási stratégiát, annak idejét, favédelem, írott és elektronikus sajtó), - minél rövidebb terjedelmű, működési zavar- a kockázatoknak megfelelően tartalék ral terhelt környezetben dolgozó (esetleg kaerőforrásokat kell feltárni, elemezni kell a tasztrófa-helyzetben pánik-közeli állapotba rendszer külső beszállítóinak ilyen esetekre került) munkatársak számára is könnyen érthetartalékolt szolgáltatásait, erőforrásait, tő, elméleti fejtegetéseket teljes mértékben - meg kell határozni a műszaki helyreállítás mellőző feladatleírást, cselekvési tervet kell lehetőségeit (az eszközök üzembe történő kialakíttatni, ami egyértelműen és kizárólag a visszaállítása, tartalék eszközök üzembe helyevégrehajtandó feladatokat tartalmazza, meghazése, hideg / melegtartalék kezelése, alternatív tározva azok sorrendjét és felelőseit, helyszín igénybe vétele) figyelembe véve a - valamennyi részelemnek – függetlenül az rendszerre vonatkozó kapacitásigényt, üzleti tulajdonos mindenre kiterjedő biztonsági - el kell végezni a tartalék helyszín felelősségétől – további felelőse kell, hogy megfelelőségi vizsgálatát, legyen, aki felel a felelősségi körébe tartozó - konkrétan tervezni kell: rendszerelemek működésének helyreállításáért, a helyreállítási fázisok részfelelőseinek annak feladatait ismeri és készség szintjén folyamatos beszámoltatási kötelezettbegyakorolta, ségét, - biztosítani kell a munka végzését – az adott a tervbe felvett feladatok időigényét, üzleti folyamat megszakítatlanságát – egy a 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ alternatív megoldásokat, szükségmegoldások lehetőségét, ki kell alakítani az érintettek listáját, rögzíteni kell elérhetőségüket (cím, telefonszám), és a listát az üzemeltető személyzet számára könnyen elérhetővé kell tenni, a szűkebb körű személyi állomány – vezetői állomány vagy speciális szakterületek (riasztásához szükséges címadatokat, a teljes munkavállalói állomány név- és címlistáját szervezeti egységenkénti és szakmánkénti csoportosításban (nagy létszámú vagy több telephelyű intézményeknél a szervezeti egységenkénti, illetve telephelyenként külön, egy időben történő riasztást célszerű tervezni), a riasztás módját (telefon, mobiltelefon, távirat stb.) többféle változat kidolgozásával, számolva az egyes kommunikációs rendszerek katasztrófa esetén bekövetkező működésképtelenségével, az alternatív kiértesítési lehetőségeket (telefon mellett mobiltelefon, gépkocsival történő kiértesítés, helyi elektronikus média), a riasztást, berendelést (kiértesítést) végrehajtó személy(ek) kijelölését, feladatainak meghatározását, a kiértesítés rendjét, beleértve a riasztási lánc megszakadása vagy megszakadása veszélye esetén szükséges teendőket is, az értesítendő vezetői állomány elérhetőségük hiányában az őket helyettesítő személyek név- és címlistáját, a riasztás végrehajtásának, illetve a berendeltek beérkezésének normaidejét, a beérkezők fogadását és feladataik kiadásának felelősét. 4.9.2. A terv felülvizsgálata és karbantartása Az adott rendszer Informatikai Működésfolytonossági Tervét annak üzleti tulajdonosa köteles évente vizsgálatnak alávetni és szükség esetén módosítani. Ezt indokolja, hogy előfordulhatnak hibás feltételezések, személyi változások, vagy technológiai, rendszertechnikai módosítások. A felülvizsgálatok során nemcsak arra kell választ adni, hogy mi a módosulás, hanem ismerni kell annak időbeliségét, hatását és következményeit is.
39 4.9.3. A rendszerek és a programok működési zavarainak értékelése A Társaság minden szerverén és munkaállomásán, (amennyiben a működtető szoftver ezt lehetővé teszi) folyamatosan naplózni és figyelni kell a rendszerek esetleges hibaüzeneteit. A hibaüzenetek fontosságát az informatikai működésfolytonosság fenntartásában a felhasználókkal is tudatosítani kell. Az eseményeket típus, terjedelem, általuk okozott károk, helyreállítási költségek, alapján az üzleti tulajdonosnak évente elemeznie, értékelnie kell. Az elemzés alapján – szükség esetén – kezdeményeznie kell az információvédelmi szakterületnél jelen szabályzat, illetve saját hatáskörében az adott rendszer Informatikai Működésfolytonossági Tervének és RIBSZ-ének a korszerűsítését. 4.10. Megfelelés a jogszabályoknak 4.10.1. A jogszabályi előírások betartása Az Informatikai Biztonsági Szabályzat alkalmazása során bevezetett védelmi intézkedések nem ütközhetnek büntetőjogi vagy polgári jogi előírásokba, nem eredményezhetik a Társaság törvényes, szabályozói vagy szerződéses kötelezettségének a megszegését. A Társaság informatikai kapcsolatainak biztosítására csak olyan technikai és adminisztratív intézkedések engedélyezhetőek, illetve valósíthatóak meg, amelyekkel a jogszabályi és egyéb előírásoknak megfelelően biztosítják az informatikai infrastruktúra védelmét. A szabályzat kialakításánál a 10. sz. mellékletben felsorolt jogforrások és előírások normái voltak irányadók. Az informatikai biztonság irányítása és megvalósítása során az abban részt vevőknek kiemelt figyelmet kell fordítani a Büntető Törvénykönyvbe felvett számítástechnikai bűncselekményi tényállásokra (11. sz. melléklet). Az informatikai rendszerekkel kezelt és feldolgozott - titokká minősített adatok titokvédelmét a Társaság titokvédelmi felügyelője a Társaság titokvédelmi szabályzatai szerint, - személyes adatok védelmét a Társaság belső adatvédelmi felelőse a Társaság Adatvédelmi Szabályzata szerint látja el.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.10.2. Az informatikai megfelelőségi felülvizsgálata
biztonság
A Társaság informatikai biztonsági szintjét folyamatosan és célirányosan ellenőrizni, felügyelni kell. Annak elbírálását, hogy az informatikai folyamatok gyakorlata megfelel-e a mindenkori tárgybani jogforrásoknak, az informatikai biztonság megvalósítását végző személyektől, szervezeti egységektől független apparátusra kell bízni. A biztonsági felügyelet több szinten valósul meg: a) az információvédelmi szakterület munkaszervezete folyamatosan, napi szaktevékenysége részeként, rutinszerűen ellenőrzi a rendszereket, felügyeli a rendszerek biztonságának megvalósításában feladattal megbízott szervezeti egységi vezetőknek és személyeknek a rendszerbe jelen szabályzattal beépített biztonsági mechanizmusaival kapcsolatos tevékenységét, b) a Társaságon kívüli, független szakértők megbízásával külső auditálást kell végeztetniük az érintett rendszerek üzleti tulajdonosainak az alábbi esetekben: - fokozott biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, - kiemelt biztonsági osztályba sorolt rendszereknél a használatba vételt megelőzően, majd 2 évenként rendszeresen. 4.10.3. Az informatikai biztonsági szabályok oktatása 4.10.3.1. Vezetők informatikai biztonsági képzése Az oktatás célja, hogy a Társaság vezetői felfrissítsék és aktualizálják azon szabályzókra vonatkozó ismereteiket, amelyeket az informatikai biztonság területén figyelembe kell venniük vezetői munkájuk során. Vezetői szinten a terület alapos megismerése azért kötelező, mert a szabályzat számukra kiemelt, a munkatársakénál nagyobb felelősséget és jóval több feladatot ír elő. Célcsoportok: • az összes alkalmazás (informatikai biztonsági szempontból értelmezett) üzleti tulajdonosa, • a titokvédelmi minősítésre feljogosított vezetők, • a munkáltatói jogkört gyakorló vezetők, • az előző három kategóriába nem tartozó vezetők.
40 A felsoroltakat évente legalább egy alkalommal, 1 óra időtartamú informatikai biztonsági oktatásban kell részesíteni. 4.10.3.2. Felhasználók informatikai biztonsági képzése A felhasználóknak a munkakörüknek megfelelően ismerniük kell a biztonsági eljárások alkalmazását és az információfeldolgozó lehetőségek korrekt használatát, hogy ezzel is a minimálisra csökkentsék a biztonsági kockázatokat. Főszabályként belépéskor biztonsági alapképzést, majd évente fél órában utánképzést kell lebonyolítani a felhasználók részére. A biztonsági képzések tananyagát a korábban már említett, Felhasználók biztonsági kötelezettségei c. segédlet képezi, amit az adott munkaterület speciális igényei szerinti előadásokkal lehet kiegészíteni. Mind az alapképzés, mind az éves utánképzés a segédlet önálló tanulmányozásával is elvégezhető. Utóbbi megtörténtét a munkáltatói jogkörgyakorló köteles a biztonsági vezetőnek írásban visszaigazolni. 5.0. HIVATKOZÁSOK, BIZONYLATOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK 5.1 Hivatkozások - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, - 2012. évi C. tv. a Büntető Törvénykönyvről, - 16/2011. (IX. 20. MÁV-START Értesítő 5.) VIG sz. utasítás a szerződéskötések rendjéről, - 19/2008. (IV.11. MÁV Ért. 6.) VIG. sz. vezérigazgatói utasítás a MÁV-START Zrt. Adatvédelmi Szabályzata, - 20/2008. (IV.11. MÁV Ért. 6.) VIG. sz. vezérigazgatói utasítás a MÁV-START Zrt. Üzletititok-védelmi Szabályzata, - 54/2008. (X.15. MÁV-START Ért. 18.) VIG. sz. vezérigazgatói utasítás a MÁVSTART Zrt. Vagyonvédelmi szabályzatáról, - 12/2011. (IX. 26. MÁV-START Ért. 6.) sz. általános gazdálkodási vezérigazgató-helyettesi utasítás a távmunka működtetéséről a MÁVSTART Zrt.-ben,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ - MÁV Gépészet Zrt. 30/2009. (12.01.) számú VIG utasítás Informatikai Biztonsági Szabályzat.
41 13. sz. Felhasználó beosztottal rendelkező közvetlen vezető informatikai biztonsági jellegű feladatai
5.2 Bizonylatok Nincsenek.
14. sz. Nyilatkozat a maradvány kockázatok elfogadásáról és a rendszer biztonsági osztályba sorolásáról
5.3 MÓDOSÍTÁSOK Nincsenek.
Ungvári Csaba s.k. vezérigazgató
5.4 Hatályon kívül helyezések Az utasítás hatályba lépésével egyidejűleg hatályát veszti a 10/2010. (IV. 2. MÁVSTART Ért. 10.) VIG. sz. vezérigazgatói utasítás a MÁV-START Zrt. Informatikai Biztonsági Szabályzata. 6.0. HATÁLYBA LÉPTETÉS Jelen szabályzat előírásait a MÁV-TRAKCIÓ Zrt-nek és a MÁV-GÉPÉSZET Zrt-nek a MÁV-START Zrt.-be történő beolvadása napjától kezdődő hatállyal kell alkalmazni. 7.0. MELLÉKLETEK 1. sz. Felhasználók biztonsági kötelezettségei 2. sz. Kárérték és kárgyakoriság besorolási táblázata, kockázati mátrix 3. sz. Informatikai biztonsági nyilatkozat 4. sz. Informatikai fejlesztés feladatai és dokumentumai
biztonsági
5. sz. Kockázatelemzés és kockázatkezelés 6. sz. Informatikai biztonsági vázlata
rendszerterv
7. sz. Minősített biztonsági követelményei
osztályok
8. sz. Biztonsági tesztelési jegyzőkönyv 9. sz. Informatikai Terv vázlata
Működésfolytonossági
10. sz. Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások 11. sz. Számítástechnikai bűncselekmények a Büntető Törvénykönyvben 12. sz. Rendszerszintű Informatikai Biztonsági Szabályzat vázlata 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 42 1. sz. melléklet Felhasználók biztonsági kötelezettségei Jelen dokumentum célja, hogy biztosítsa minden felhasználó számára azokat a legfontosabb információkat, amelyek ismeretében a Társaság informatikai infrastruktúrája eredményesen, hatékonyan, és biztonságosan használható. A Társaság Informatikai Biztonsági Szabályzata szerint a Társaságnak azon munkavállalója, aki munkája ellátásához számítógépet használ (másképpen: felhasználó) köteles az itt felsorolt szabályokat ismerni, munkájában alkalmazni és az informatikai biztonság fenntartásában közreműködni. Bevezetés A Társaság rohamosan növekvő mértékben alkalmaz számítógépes rendszereket az üzleti tevékenységével összefüggő nyilvántartási, adatfeldolgozási feladatokra, de belső és külső elektronikus kommunikációra is. A rendszerek a velük végzett napi munka során különböző biztonsági fenyegetéseknek vannak kitéve, amelyek ellen a Társaság védelmi rendszert működtet. Informatikai biztonsági szempontból elsősorban az adatok és feldolgozórendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának megőrzése a fő feladat. A bizalmasság fenntartása azt a célt szolgálja, hogy minden adat és adatszolgáltatás csak az adat megismerésére jogosultak számára legyen hozzáférhető. A sértetlenség biztosítása arra irányul, hogy az adatok a feldolgozás, tárolás során csak a szándékozott és a jogosultságnak megfelelő módon és mértékben változzanak. A rendelkezésre állás rögzítése pedig azt célozza, hogy az adatok és informatikai szolgáltatások az előre megállapított körülmények között, a szükséges mértékben, az arra jogosultak számára hozzáférhetőek legyenek. Az informatikai eszközök és rendszerek folyamatos működőképessége és ennek során a biztonsági követelmények érvényesülése fontos üzleti érdek, így minden érintett kötelessége ennek szellemében tevékenykedni. 1. Biztonsági ismeretek, felelősségtudat A Társaság munkavállalói, mint felhasználók felelősséggel tartoznak az általuk használt személyi számítógép és tartozékai, továbbá az informatikai rendszerek (számítógépes programok) biztonságának megőrzéséért. Kötelesek a használatra vonatkozó biztonsági szabályokat megismerni, azokat a tevékenységüknek megfelelő esetekben alkalmazni és ennek során a tőlük elvárható gondossággal ellenőrizni az alkalmazott biztonsági funkciók helyes működését. 2. Egyéni felelősség A felhasználók elszámoltathatók az informatikai rendszerekben végzett tevékenységükért. A felhasználók kötelesek mindent megtenni annak érdekében, hogy mások a nevükben illetéktelenül ne tevékenykedhessenek. Kötelesek betartani a jelszóválasztási és változtatási szabályokat. A jelszót azonnal meg kell változtatni, ha a felhasználó megtudja, vagy gyanakszik rá, hogy az más számára ismertté vált. b) A felhasználók nem oszthatják meg senkivel, és nem árulhatják el senkinek a hozzájuk rendelt felhasználói azonosítókat és jelszavakat, továbbá más nevében nem léphetnek be a rendszerbe. c) Végfelhasználói alkalmazások (a felhasználók által fejlesztett és / vagy használt, legtöbbször általános célú szoftver eszközökön alapuló megoldások, pl. Excel-táblák, makro-programok, SQL lekérdezések, kis adatbázisok) nem tekinthetők informatikai alkalmazásnak. a)
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ
d)
e)
f) g)
43 A vezetők az általuk irányított területen felelősek a végfelhasználói alkalmazásoknak a biztonsági előírásokkal összhangban levő használatáért. Az ezekkel előállított adatok, eredmény, stb. megbízhatóságának ellenőrzése a felhasználó felelőssége. A felhasználók kísérjék figyelemmel a PC munkaállomásukat érintő üzemeltetési, karbantartási tevékenységet, legyenek jelen ezek végzése során. Amennyiben az eszközök működésében váratlan változást tapasztalnak, tájékoztassák közvetlen vezetőjüket. A felhasználók a jelszavuk által aktivált berendezésüket rövid időre sem hagyhatják felügyelet nélkül. Ki kell lépniük a használt alkalmazásokból, illetve kötelesek aktivizálni a PC munkaállomás jelszavas védelemmel ellátott képernyővédő funkcióját, ha munkahelyüket – akár rövid időre is – elhagyják, vagy egyéb módon gondoskodjanak a számítógép mások általi használatának megakadályozásáról (pl. a helyiség bezárása). Köteles tájékoztatni közvetlen vezetőjét a munkaviszonyában bekövetkező változásokról. Felhasználó a Társaság semmilyen adatát, dokumentumát és egyéb információit idegen – a Társasággal szerződéses viszonyban nem álló - szolgáltató eszközén nem helyezheti el, idegen szolgáltató eszközén nem kezdeményezhet felhasználói regisztrációt.
3. Felhasználói jogosultság a) A felhasználók a részükre meghatározott munka elvégzéséhez szükséges mértékű hozzáférést kapnak az informatikai rendszerekhez “a szükséges minimális jogosultság” elvének alapján, az adott rendszerre vonatkozó felhasználó-adminisztrációs eljárásoknak megfelelően. A jogosultság érvényessége köthető időszakhoz is. b) A felhasználók kötelesek a vezetőjük által engedélyezett (jogosultsági) határokon belül dolgozni és nem tehetnek kísérletet azon rendszerek, alkalmazások, funkciók, adatok elérésére, amelyekre nincsenek feljogosítva. c) A felhasználók csak indokolt esetekben kaphatnak rendszergazdai (adminisztrátori) jogosultságot. 4. Jelszavak használata A Társaság informatikai rendszereit használó valamennyi felhasználónak a következő jelszóhasználati szabályokat kell betartania. a) A felhasználónak tudatában kell lennie, hogy mindazon műveleteket, melyeket az ő azonosítójával és jelszavával bárki végrehajt, az informatikai rendszer az ő „terhére” könyveli el. Ezért a jelszavait bizalmasan kell kezelnie, azokat más személyeknek nem adhatja meg, nyilvánosságra nem hozhatja, köteles azok titkosságát megőrizni. A felsoroltakért személyesen felelős. b) A jelszó jellemzői (hossz, bonyolultság, cserélés periódusa, stb.) rendszerenként változhatnak, de alapszabály, hogy a jelszó nem egyezhet meg a felhasználói azonosítóval. c) A jelszó kívülálló számára ne legyen egyszerűen kitalálható, ne tartalmazzon a felhasználóra, vagy hozzá közel álló személyekre, tárgyakra, stb. utaló információkat (pl. neveket, telefonszámokat, születési dátumokat, kocsija forgalmi rendszámát, kedvenc háziállata nevét, stb. d) A felhasználó nem adhat meg a hálózati bejelentkezésére használt jelszóval megegyező jelszót az általa használt informatikai rendszerekben. e) A jelszavakat – a biztonsági másolat kivételével – nem szabad felírni, papíron tárolni. Amennyiben ez elkerülhetetlen (pl. a biztonsági másolat, vagy a kezdeti jelszó), akkor gondoskodni kell a jelszó zárt borítékban, a közvetlen vezetőnél történő, biztonságos tárolásáról. f) Amennyiben a felhasználó azt gyanítja, hogy jelszavát valaki megismerte, azonnal le kell azt cserélnie. Ha ez a jelszópolitika miatt nehézségekbe ütközik (pl. belül van a cserére minimálisan előírt időszakon), kérje a Biztonság segítségét.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 44 g) Ha a jelszópolitikától eltérő időpontban szükséges a hálózati bejelentkezési jelszó cseréje, akkor a közvetlen vezetőnek a hálózati üzemeltetőhöz kell e-mailt küldenie és a 4.7.2. A felhasználói jelszó kezelése pont szerint kell eljárni. h) a felhasználó köteles gondoskodni arról (pl. a billentyűzet ideiglenes eltakarásával), hogy más ne láthassa meg az általa beírt jelszót. i) A részére generált első jelszót, továbbá a jelszómódosításra felhívó rendszerüzenetek után az addig érvényes jelszavát a felhasználó a legelső bejelentkezése alkalmával köteles módosítani. 5. A Társaság eszközeinek használata a)
b) c) d)
e) f)
g)
h) i)
A felhasználók nem jogosultak a Társaság infokommunikációs erőforrásai – az informatikai alkalmazások (szoftvertermékek) a számítógépes hálózat, az Internet, a munkaállomások és az egyedi PC-k, továbbá a számítástechnikai adathordozók (mágneslemez, CD ROM, stb.) – személyes célú használatára. A számítógépes erőforrásokhoz való hozzáférés és azok használata kizárólag megfelelően azonosított, hitelesített és jogosított felhasználók számára engedélyezett. A Társaságnál csak a hivatalos csatornákon keresztül beszerzett, elfogadott és installált PC hardver és szoftver, illetve adathordozó (pl. CD, pen-drive) használható. A felhasználó nem jogosult a PC hardver önálló installálására vagy módosítására (pl. modem, külső tárolóeszköz telepítése). A Társaság munkaállomásain a szoftverek telepítését és karbantartását szerződésben megbízott üzemeltető szervezet végezheti. Bemutató céljára tilos olyan PC-t használni, amely képes minősített biztonsági osztályú üzleti alkalmazás elérésére. A munkaviszony megszűnése, a munkakör megváltozása, vagy más, a közvetlen vezetője által támasztott igény esetén a felhasználónak minden, számára a továbbiakban nem szükséges eszközt és információs erőforrást vissza kell szolgáltatnia. A felhasználói munkaállomásokhoz bármilyen telekommunikációs eszközt (pl. modem, mobiltelefon) vagy az informatikai szabályzatokban engedélyezetten túlmenő hardver eszközt csatlakoztatni a közvetlen vezető által a Biztonság szervezetétől e-mail-ben igényelt, kifejezett engedéllyel szabad. A Társaság informatikai hálózatához és számítógépeihez saját tulajdonú informatikai berendezésekkel (pl. pen-drive, külső merevlemez vagy SSD, okostelefon) csatlakozni tilos. Ha a munkavállaló munkaviszonya bármilyen okból megszűnik, az esetlegesen bármely eszközön tárolt személyes adatait nyilatkozat kitöltése (AVSZ. 2. számú melléklet) mellett törölnie kell. A számítógépen csak azok az adatállományok maradhatnak, melyek a munkakört a továbbiakban betöltő másik személy munkavégzéséhez szükségesek.
6. Az adatok érzékenysége A felhasználó felelős a rendszerek használata során tudomására jutott titokká minősített adatok (üzleti titok), továbbá a belső és a személyes adatok megőrzéséért. b) Titokká minősített adatok külső tárolóra másolása csak az erre vonatkozó, kifejezetten megengedő szabályok szerint történhet. Az ilyen információt tartalmazó eszközt használaton kívül a vonatkozó biztonsági szabályok szerint kell tárolni. c) A felhasználók senki előtt nem fedhetik fel a titokká minősített információt, kivéve, ha azt a rendszer (információ) tulajdonosa engedélyezi. Ebbe beletartoznak a Társaságra, valamint ügyfeleire, informatikai rendszerére és szoftverfejlesztésére, termékeire és szoftver liszenszeire vonatkozó technikai és üzleti információk. d) Az informatikai biztonsági intézkedéseket és a Társaság erre vonatkozó belső szabályzatait bizalmasan kell kezelni. e) Titokká minősített (legalább üzleti titkot tartalmazó) információkat külső félnek elektronikus úton kizárólag a Társaság titokvédelmi szabályzataiban leírt módon szabad küldeni. a)
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ f)
g)
h)
i)
45 Minden, a felhasználónak a számítógépekhez való hozzáféréséhez szükséges azonosító, jelszó, telefonszám, valamint egyéb, a számítógépes erőforrásokhoz való "hozzáférési lehetőség" a felhasználó tulajdona és titka. Az ilyen hozzáférési lehetőség birtokosa felelősségre vonható ennek jogtalan vagy gondatlan használatáért, felfedéséért. A felhasználók a belső adatok védelmére kötelesek külön intézkedéseket alkalmazni a kapott lehetőségeken belül, vagy külön intézkedéseket kérni (pl. diszk-zárakat, az érzékeny fájlok és üzenetek titkosítását, a könyvtárak és fájlok külön jelszavas védelmét). Az általa használt elektronikus adathordozókat (pl. mágnesszalag, hajlékony- és merevlemez, újraírható CD, DVD) a szokásos eszközökkel, helyreállíthatatlan módon a felhasználónak le kell töröltetnie a Biztonság szervezet közreműködésével újrafelhasználás vagy selejtezés előtt. A titokká minősített adatokat tartalmazó szalagokat, lemezeket, stb. selejtezés előtt fizikailag meg kell semmisíteni, vagy más módon lehetetlenné kell tenni az adatok visszaállíthatóságát. A kinyomtatott érzékeny adatokat tartalmazó anyagokat, a feleslegessé vált, érzékeny információt tartalmazó papírokat, mint pl. a képernyők kinyomtatott képeit, táblázatokat, levelezések és szabályzatok másolatait stb. a vonatkozó iratkezelési, iratmegsemmisítési szabályok szerint kell kezelni.
7. Adatok biztonsági mentése a) A helytakarékos tárolás elvének megfelelően a felhasználók kötelesek a nem szükséges anyagaikat folyamatosan törölni a könyvtáraikból, továbbá a közös használatú anyagokat közös elérésű könyvtárakban kell kezelni. b) A külön engedéllyel helyben, különféle elektronikus adathordozón tárolt adatok biztonsági másolatának elkészítéséről a felhasználók kötelesek gondoskodni. c) Minden munkavállaló a Társaság központi szerverén, az úgynevezett 'start-fs\users' O: meghajtón kap tárolási területet, erre a (naponta központilag mentett) területre köteles felmásolni az általa használt számítógépen helyben tárolt adatokat, hogy azok rendelkezésre állása biztosított legyen. A másolást célszerű legalább hetente elvégezni. Ezen tevékenység elmulasztása esetén, ha bármilyen adatvesztés történik, annak felelőssége a munkavállalót terheli. d) A biztonsági mentések adathordozóit az erre feljogosított felhasználónak a vonatkozó előírásoknak megfelelő módon kell tárolni (eredeti helyszíntől földrajzilag távol, tűzvédett, kulccsal zárható stb. helyen). e) Az informatikai rendszerek rendelkezésre állásában minden felhasználó érdekelt. Az informatikai rendszer működésképtelensége esetén minden felhasználó felelősséggel tartozik a szolgáltatások helyreállításának támogatásáért, a biztonsági mentések megfelelő használatáért. 8. Vírusok elleni védelem a) Az installált vírusvédelmet tilos hatástalanítani. A vírusvédelemmel kapcsolatos eseti utasításokat pontosan és haladéktalanul végre kell hajtani. b) Vírusfertőzést vagy annak gyanúját (pl. a munkaállomás szokatlan, megbízhatatlan viselkedése, lelassulása, érthetetlen, vagy nem indokolt rendszerüzenet megjelenése) haladéktalanul jelenteni kell a közvetlen vezető útján az információvédelmi szakterületnek. 9. Szoftver tulajdonjog a) A Társaság által beszerzett szoftvereket és a hozzájuk tartozó dokumentációkat tilos másolni, kivéve, ha az biztonsági másolat készítése céljából szükséges, vagy arra a szoftver-terjesztő / fejlesztő egyértelmű írásos engedélyt ad. Ezt a másolatkészítést az informatikai szakterület végzi és dokumentálja. Egyetlen termék többszörös használata esetén a szoftver csak a liszenszmegállapodásban rögzített darabszámban és módon használható.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 46 b) A szerzői jogok megsértése törvénybe ütköző cselekmény, ami felelősségre vonáshoz vezethet és a felhasználó elleni büntetőeljárás megindítását eredményezheti. Ha kétségek merülnek fel a szoftver szerzői jogai felől, akkor az IT terület szoftver liszensz-nyilvántartásért felelős munkatársának segítségét kell kérni. A felhasználók: -
nem installálhatnak, nem karbantarthatnak, vagy nem tölthetnek le szoftvert (beleértve az ún. szabad-felhasználású, freeware, shareware, stb. programokat is) a Társaság munkaállomásaira, a Társaság munkaállomására felinstallált szoftvert nem másolhatják más helyen történő használat céljából.
A tilalom nem vonatkozik azokra a kulcsfelhasználókra, rendszeradminisztrátorokra, stb., akiknek a felhasználók informatikai támogatása munkaköri kötelességük, de a letöltéseket, másolásokat minden esetben a munka céljának kell indokolnia. 10. Berendezés-védelem A felhasználóknak szállítás közben a lehetőségei határain belül személyesen kell vigyázniuk hordozható személyi számítógépükre, meg kell óvniuk fizikai állapotát, lehetőségeiken belül gondoskodniuk kell az eltulajdonítás megakadályozásáról. b) A munkaállomás átadásakor a felhasználó az információvédelmi szakterület útján köteles gondoskodni a felelősségi körébe tartozó adatoknak a PC-ről való ún. biztonságos törléséről, vagy az új géphasználónak dokumentált módon való átadásáról. c) Selejtezésre leadott PC-ről minden adatot – beleértve az operációs rendszert is – biztonságosan törölni kell az információvédelmi szakterület bevonásával. d) A hordozható számítógépeket (note-book, net-book, palm-top, PDA, okostelefon, i-PAD stb.), valamint a kivehető adattároló eszközöket (mágneslemezeket, CD/DVD-ket, szalagokat, kazettákat, stb.) használaton kívül, illetve irodán kívül biztonsági zárral zárható íróasztalban vagy szekrényben kell tartani. Személygépjárműben szállítva úgy kell elhelyezni, hogy ne legyen látható. e) Kiemelten ügyelni kell arra, hogy ártalmas kód vagy vírus ne fertőzhesse meg a külső adattároló állományait, ezért a hordozható eszközbe helyezéskor induló kártevő-ellenőrzési eljárást tilos gátolni, vagy megszakítani. f) A berendezésektől az ételt, italt távol kell tartani. a)
11. Területvédelem A felhasználók kötelesek távol tartani a berendezéseiktől és adataiktól az oda hozzáférési jogosultsággal nem rendelkező személyeket, és közvetlen munkakörnyezetükben kötelesek kérdőre vonni az idegeneket. 12. Számítógépes munkavégzés hivatali helyiségen kívül A Társaság kijelölhet olyan felhasználókat, akik a hivatali helyiségeken kívül is dolgozhatnak. Minden erre vonatkozó megállapodást írásban, a közvetlen vezetőnek és az alkalmazás üzleti tulajdonosának jóváhagyásával kell megkötni, amelyben rögzíteni kell: a) a hivatali helyiségeken kívüli munkavégzés engedélyezési időszakát, b) a munkavégzéshez az alkalmazott részére (otthonában) a Társaság által biztosított berendezések azonosítását, ill. a szükséges berendezések és anyagok átadási és elszámolási módját, továbbá, c) hogy szükség van-e adatkapcsolatra, ill. rendelkezésre áll-e a megfelelő engedély (lásd a ”13. Munkavégzés távolról” pontot alább).
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 47 13. Munkavégzés távolról Ez azt jelenti, hogy a Társaság alkalmazottja úgy éri el a megszokott munkakörnyezetét valamely külső helyről (pl. otthonról), mint ha ezt az irodájából tenné. Emiatt további biztonsági intézkedések szükségesek: a) A felhasználónak megállapodást kell aláírnia, amelyben külön hangsúly esik a sajátos felelősségre, feltételekre és követelményekre. A távoli munkavégzéshez a közvetlen vezetőnek és az alkalmazás üzleti tulajdonosának az írásos megbízása szükséges. b) Ha távoli hozzáférés létesítésére engedélyt ad a Társaság, fenntartja a jogot magának, hogy rendszeresen megvizsgálja a (tele)kommunikációs naplókat (logs), a hívások adatait, és szúrópróba szerinti ellenőrzést végezzen annak meghatározására, hogy a gyakorlati kivitelezés megfelel-e a vonatkozó előírásoknak. c) A távoli munkavégzés esetén a titokká minősített adatokat rejtjelezni kell a továbbítás során, és – a biztonságos jelszó mellett – további hitelesítő eszközt (pl. token) kell alkalmazni. 14. Internet-használat Az Internetre csatlakozás a Társaság belső hálózatára csatlakozó munkaállomásról kizárólag a kialakított tűzfalas védelmi rendszeren keresztül engedélyezett. b) A Társaság hozzáférési pontjairól a felhasználó részére az Internetre kapcsolódás lehetőségének kialakítását és az Internetes szolgáltatások használatát valós üzleti céloknak kell indokolniuk, és azt a közvetlen vezetőnek kell jóváhagynia. c) A Társaság az Internet elérése során a felhasználói részére a munkavégzéséhez szükséges mértékű, még elégséges szintű hozzáférést biztosít. A Társaság a hozzáférést központilag korlátozza. d) Az Internetről csak olyan állományok tölthetők le, amelyek a munkavégzéshez feltétlenül szükségesek. e) A Társaság fenntartja magának a jogot a nem kívánatos, és a kártékony WEB-oldalak látogatásának megakadályozására. Minden olyan honlap (erotikus, on line játékok, közösségi portálok, on line rádiók stb.) használata tilos, ami veszélyeztetheti a Társaság informatikai rendszerét, vagy szűkítheti a sávszélességet, amivel akadályozzák más, a társaság részére kritikus (kiemelten fontos) rendszerek működését. f) A Társaság fenntartja magának a jogot az összes Internetes tevékenység (beleértve a Web oldalak látogatását is) figyelemmel kísérésére, ezen tevékenység naplózására. a)
15. Elektronikus levelezés Az elektronikus üzenetváltás (e-mail) a szervezet hivatalos kommunikációja; egy olyan szolgáltatás, amely az üzleti információcsere sebességének fokozásával a termelékenység növekedését, a hatékonyabb munkavégzést szolgálja. A felhasználó köteles betartani a vonatkozó eljárási, üzemeltetési és etikai utasításokat, irányelveket, beleértve, de nem kizárólag, az alábbiakat: a) Titokká minősített adatokat kizárólag a titokvédelmi szabályzatokban engedélyezett módon szabad tárolni, illetve továbbítani. b) Az elektronikus üzenet vagy a csatolt anyag tömörítése (pl. WinZip-pel) és jelszavas védelme nem helyettesíti a magas szintű titkosítást. c) Elektronikus levél jogi következményekkel járó kötelezettség vállalására – kifejezett felhatalmazás nélkül – nem használható. d) Az elektronikus üzenet üzleti kommunikációra szolgál, nem használható személyes üzenetek közvetítésére. Az elektronikus levelezőrendszeren továbbított üzenetek a Társaság tulajdonát képezik. A Társaság fenntartja magának a jogot azok tartalmának vizsgálatára. e) Tilos a bejövő üzenetek automatikus továbbítása Társaságon kívüli e-mail címekre. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ f)
g) h)
i) j)
k)
l)
m) n)
o)
p)
q) r) s)
48 Az elektronikus levél általában rövid üzenetek továbbítására szolgál. A sok személynek (pl. több, vagy nagy létszámú szervezeti egység, vagy projekt-team) címzett, vagy a mérete folytán várhatóan nagy szerverterhelést / vonalforgalmat eredményező elektronikus üzenetet a rendszergazda útján és ütemezésében kell – lehetőleg munkaidőn kívül – küldeni. Korlátozni kell azok számát, akik ilyen üzenet küldésére jogosultak. A felhasználó elektronikus postaládájának karbantartása (az időszerűtlen és szükségtelen üzenetek megsemmisítése) a levelesláda tulajdonosának feladata és felelőssége. A levelesláda tulajdonosa még helyettesítés okán (pl. szabadságra távozás miatt) sem adhatja át más személy(ek) részére levelezőrendszerbeli azonosítóját és jelszavát. Indokolt esetben ideiglenes olvasási jogot adhat másoknak a saját levelesládához a megfelelő eljárás szerint, de ezt az indok megszűnésekor azonnal vissza kell vonnia. A küldőnek ellenőriznie kell, hogy a cím, amelyre üzenetet küld korrekt, és az illető személy jogosult az információ kézhez vételére. A közvetlen vezetőnek – és lehetőleg közvetlenül a Biztonságnak is – jelenteni kell minden törvénysértésre utaló, különösen a gyalázkodó, rasszista, és a kéretlen elektronikus levél érkezését. A levelezés során az üzleti kommunikációhoz méltó hangnemet kell használni; a szöveg legyen világos, ne legyen túl formális vagy feleslegesen közlékeny. Kerülendő olyan üzenet küldése, amely zavarba ejtő lenne, ha valaki körbeküldené az egész szervezetnek. Ha egy személyt név szerint megemlít az üzenet, az illetőnek másolatot kell küldeni, ha az illető részéről elvárt vagy várható az üzenettel kapcsolatos bármilyen megnyilatkozás. A levélre adott válaszban lehetőség szerint kerülni kell az összes előzmény visszaküldését. Csak az a személy kapjon választ, akinek konkrétan szól az elektronikus üzenet. Ha az üzenethez tartozó korábbi levélváltások is részei a levélnek, akkor valamennyi korábbi címzettnek is továbbítani kell a válaszlevelet. A felhasználók nem adhatják ki munkatársaik e-mail címét, vagy összesített címlistákat. Tilos lánc- vagy kéretlen elektronikus leveleket másoknak továbbítani, mivel a csatolt anyagokban könnyen terjedhetnek számítógépes vírusok és rosszindulatú kódok. Aki ilyet kap, az köteles az üzenetet – lehetőleg elolvasás nélkül – törölni. A Társaság fenntartja magának a jogot az ilyen üzenetek kézbesítésének megakadályozására. Tilos olyan leveleket és azok mellékleteit megnyitni vagy elmenteni, amelyek ismeretlen helyről vagy személytől származnak. Ezeket a leveleket a felhasználó köteles olvasatlanul, azonnal törölni. Magáncélú elektronikus üzenetek továbbítása a Társaság hálózatába kapcsolt munkaállomásról tilos mind a Társaságon belüli, mind azon kívüli címekre (pl. Freemail, Citromail, Vipmail, Iwiw, Skype, Gmail). A felhasználó köteles a levelező rendszerben az olvasó ablak megjelenését tiltani az összes kategóriában (beérkező üzenetek, elküldött üzenetek, törölt üzenetek, stb.). A felhasználó a társaság által biztosított informatikai eszközről külső szolgáltató által biztosított postafiókot nem nyithat meg (pl. Freemail, Citromail, Vipmail, Iwiw, Skype, Gmail). A Társaság hivatalos elektronikus levelezésben QR kódoknak a használata - különös tekintettel a munkavállaló által elhelyezett aláírásában történő felhasználása - nem megengedett.
16. Az információbiztonsági események és gyenge pontok jelentése a)
A felhasználó köteles közvetlen vezetőjének – és lehetőleg közvetlenül a Biztonság szervezetének is – haladéktalanul jelenteni a biztonsági előírások megsértését, a biztonsággal kapcsolatban felismert gyengeségeket, adataik gyanított jogosulatlan megváltozását.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 49 b) Sürgős vagy indokolt esetben (pl. több gép egyidejű kiesése, számítástechnikai eszközök nyilvánvaló fizikai sérülése, rendszergazda szokatlan tevékenysége) közvetlenül a biztonsági vezetőhöz és az információvédelmi koordinátorhoz lehet fordulni. Elérhetőségük: Biztonság titkársága: tel.: (1) 14-60, fax: (1)18-21, információbiztonsági koordinátor: tel.: (1) 18-48, c)
A szabályzatba foglalt előírások értelmezésével, végrehajtásával kapcsolatban az információvédelmi szakértőkhöz lehet e-mailt intézni, továbbá ide kell jelenteni azokat az eseményeket (pl. a munkaállomás rendellenes viselkedése, levélszemét tömeges megjelenése), jelenségeket (pl. gyenge pontok, vélt sebezhetőségek), igényeket (pl. rendkívüli jelszócsere), stb., amelyekben a szabályzat a Biztonság szervezetét jelöli meg. Elérhetőségük:
információvédelmi szakértők:
e-mail:
[email protected]
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 50 2. sz. melléklet Kárérték és kárgyakoriság besorolási táblázata, kockázati mátrix a)
A potenciális fenyegető tényezők okozta kár osztályát a következő értékskála szerint kell meghatározni (a Btk.459. § (6) bekezdése alapján):
1 : jelentéktelen kár közvetlen anyagi kár: 0 - 50.000 Ft közvetett anyagi kár 1 embernappal helyreállítható nincs bizalomvesztés, a probléma a szervezeti egységen belül marad nem sérül titokvédelmi vagy adatvédelmi előírás testi épség jelentéktelen sérülése egy-két személynél 2 : kisebb kár - ha kár értéke 50.000 forintot meghalad, de 500.000 forintot nem halad meg - közvetett anyagi kár 1 emberhónappal helyreállítható - társadalmi-politikai hatás: kínos helyzet a Társaságon belül - belső (intézményi) szabályozóval védett adat sérül - könnyű személyi sérülés egy-két személynél 3 : nagyobb kár ha kár értéke 500.000 forintot meghalad, de 5.000.000 forintot nem halad meg közvetett anyagi kár 1 emberévvel helyreállítható társadalmi-politikai hatás: bizalomvesztés a Társaság középvezetésében, bocsánatkérést az ügyfél felé és/vagy fegyelmi intézkedést igényel személyes adat, üzleti titok sérül súlyos következmények nélkül több könnyű vagy egy-két súlyos személyi sérülés 4 : jelentős kár ha kár értéke 5.000.000 forintot meghalad, de 50.000.000 forintot nem halad meg közvetett anyagi kár 1-10 emberévvel helyre állítható társadalmi-politikai hatás: bizalomvesztés a Társaság felső vezetésében, konzekvenciák szolgálati titok sérül üzleti titok, személyes adat sérül jogi következményekkel több súlyos személyi sérülés vagy tömeges könnyű sérülés
személyi
5 : különösen nagy kár ha kár értéke 50.000.000 forintot meghalad, de 500.000.000 forintot nem halad meg közvetett anyagi kár 10-100 emberévvel helyreállítható társadalmi-politikai hatás: súlyos bizalomvesztés a Társaság felső vezetésén belül személyi konzekvenciával államtitok, szolgálati titok sérül, különleges személyes adatok súlyosan sérülnek egy-két személy halála vagy tömeges sérülések 6 : különösen jelentős kár - ha kár értéke 500.000.000 forintot meghalad - közvetett anyagi kár több mint 100 emberévvel helyreállítható - társadalmi-politikai hatás: súlyos bizalomvesztés a Társaság felső vezetésén belül több személyre kiterjedő személyi konzekvenciákkal - nagy jelentőségű (kiemelt) államtitok sérül
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 51 b) A potenciális fenyegető tényező bekövetkezésének gyakorisági osztályát a következők szerint kell meghatározni: 1: nagyon ritka: évente 1-nél is ritkábban 2: ritka: előzőnél gyakrabban, de évente legfeljebb 1 alkalommal, 3: közepes: előzőnél gyakrabban, de évente legfeljebb 12 alkalommal, 4: gyakori: előzőnél gyakrabban, de évente legfeljebb 52 alkalommal, 5: nagyon gyakori: előzőnél gyakrabban, de évente legfeljebb 365 alkalommal 6: különösen gyakori: naponta több alkalommal jelentkezik. c) A kockázati mátrix kitöltése Egy adott fenyegetettségre a fentiek szerint megállapított két osztályt (pl. 3 és 5) össze kell adni, a kapott érték az arra a fenyegetettségre jellemző kockázat (a példában K=8), ami dimenzió nélküli mérőszám. A fenyegető tényezőt ezután el kell helyezni a kockázati mátrixon.
nagyobb
jelentős
különösen nagy
különösen jelentős
6 5 4 3 2 1
kisebb
különösen gyakori nagyon gyakori gyakori közepes ritka nagyon ritka
jelentéktelen
A mátrixban három területet határolunk el, például K értéke szerint 2-től 4-ig „alap”, 5-től 9-ig „fokozott”, 10-től 12-ig pedig „kiemelt” fokozatú a kockázat. A tól-ig határokat az üzleti tulajdonos szabadon választhatja meg, szűkebbre vagy bővebbre szabva ezáltal az egyes sávokat. A határoktól függően az egyes kockázati osztályokba kevesebb vagy több elem fog tartozni. A példában K=8, ezért a vizsgált kockázat a középső (a fokozott) sávba tartozik.
1 7 6 5 4 3 2
2 8 7 6 5 4 3
3 9 8 7 6 5 4
4 10 9 8 7 6 5
5 11 10 9 8 7 6
6 12 11 10 9 8 7
Ezt követően az üzleti tulajdonos dönt a kockázatok elleni védekezésről. Például az alap fokozatúak ellen nem védekezik, és maradó kockázatnak tekinti őket, megemeli vagy éppen csökkenti a sávhatárok értékét és ezzel átsorol néhány elemet az alap fokozatból a kiemeltbe, esetleg éppen fordítva cselekszik. Úgy kell döntéseit meghoznia, hogy a rendszer biztonsága végül megfeleljen kívánalmainak, a szabályzatok előírásainak, de szinkronban legyen erre fordítható anyagi, személyi, stb. erőforrásaival is.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 52 3. sz. melléklet
Informatikai biztonsági nyilatkozat
1. Alulírott kijelentem, hogy a MÁV-START Zrt. számítógépeinek és számítógépes programjainak használatára vonatkozó informatikai biztonsági szabályokat az IBSZ 1. sz. melléklet Felhasználók biztonsági kötelezettségei c. segédlet alapján megismertem. 2. Tudomásul veszem, hogy a munkaköröm ellátásához kapott, a MÁV-START Zrt. tulajdonát képező számítógépet (PC, laptop, szoftver, stb.) kizárólag a munkámmal összefüggő feladatok ellátására használhatom, amit a Társaság esetenként ellenőriz. 3. Tudomásul veszem, hogy az általam a számítástechnikai rendszerek és adatok nem előírásszerű használatával és a rendszerek védelmét biztosító technikai intézkedések kijátszásával elkövetett cselekményekért munkajogi, a törvénybe ütköző súlyosságú esetekben pedig büntetőjogi felelősséggel tartozom.
Kelt………………..., 20. ……………………
aláírás: ……………………………….. név: ………………………………… munkakör. ………………………… készült: 2 példányban kapják: 1. sz. példány: munkavállaló 2. sz. példány: Humán
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 53 4. sz. melléklet Informatikai fejlesztés biztonsági feladatai és dokumentumai a) projektindítás
1.
2.
3.
projektlépés projekt alapító okirat hatályba lépése
biztonsági tervezés
projekt- (fejlesztésért felelős) szervezet felállítása
termék, dokumentum Projekt alapító okirat vagy Rendszerkoncepció alapvető informatikai biztonsági követelményekkel Informatikai biztonsági alteam / alprojekt létrehozása az információvédelmi szakterület munkatársaiból
üzleti tulajdonos kijelölése
4.
projekt tervezés
informatikai biztonsági feladatok nagybani tervezése, megvalósítási ütemezéssel
5.
az informatikai biztonság kialakítása ütemének tervezése
projektlépések és felelősök megnevezése, határidők hozzárendelése
Projektterv, benne a projekt informatikai biztonsági megfelelőségi rendszerének nagybani meghatározása informatikai biztonsági alprojekt terve
b) kockázatelemzés projektlépés 1.
2.
3.
biztonsági funkciók tervezése, elfogadtatása
kockázatfelmérés és kockázatkezelés
biztonsági osztály meghatározása
biztonsági tervezés a szállítandó szoftver és a biztonsági termékek biztonsági funkcióinak felmérése, összefoglalása - védendő rendszerelemek azonosítása - fenyegető tényezők azonosítása - fenyegetettség-elemzés - kockázatkezelés a rendszerben kezelendő adatok érzékenységének elemzése, titokvédelmi besorolása, kockázatelemzés alapján biztonsági osztályba sorolás (alap, fokozott, vagy kiemelt)
termék, dokumentum biztonsági követelmények összefoglalásának ellenjegyeztetése a beszállítóval
Kockázatelemzés c. dokumentum. Tartalma: a rendszer, valamint a fizikai és személyi környezet elemeinek felmérése, a releváns fenyegetések, gyenge pontok feltárása, a nem elviselhető, az elviselhető, és a maradó kockázatok meghatározása, védelmi javaslatok felsorolása, végkövetkeztetésként a rendszer biztonsági osztálya.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 54 c) a rendszer biztonságának tervezése projektlépés feladat részleteinek behatárolása
biztonsági tervezés A fizikai, logikai és adminisztratív védelmi rendszer és funkcióinak behatárolása a projektdokumentumok felülvizsgálata alapján
2.
megvalósítási követelményrendszer kidolgozása
informatikai biztonsági követelmények meghatározása az osztályba sorolás alapján
3.
biztonsági tesztelés tervezése
1.
4.
5.
6.
a szállítandó szoftver és biztonsági termékek biztonsági funkciói tesztelésének összefoglalása A szoftver (modulok) módosítása és változáskezelés tervezése verzióváltása szabályainak kialakítása a központi informatikai biztonsági részletes biztonsági szabályozás alapján a szabályok kialakítása rendszerspecifikus szabályok dokumentumba foglalása a rendszer lehető legkevesebb Informatikai üzemkieséssel járó működésének működésfolytonosság megtervezése, felelőseinek tervezése megnevezése
termék, dokumentum Felülvizsgálati jelentés
Rendszerterv informatikai biztonsági fejezete Biztonsági tesztelési terv Változáskezelési Eljárásrend Rendszerszintű Informatikai Biztonsági Szabályzat (12. sz. melléklet Informatikai Működésfolytonossági Terv
d) a rendszer használatba vétele projektlépés
1.
2.
tesztelés végrehajtása
fejlesztés lezárása, a rendszer indítása
biztonsági tervezés a megvalósított informatikai rendszer biztonságának felmérése, minősítése, az informatikai rendszerhez kapcsolódó fizikai logikai és adminisztratív védelmi rendszer értékelése a Biztonsági Rendszertervben előírt kezelési, üzemeltetési dokumentumok terítése
9. szám Budapest, 2014. február 12.
termék, dokumentum - biztonsági tesztelési jegyzőkönyvek - üzleti tulajdonos nyilatkozata a biztonsági megfelelőségről, a rendszer használatba vételéről
ÉRTESÍTŐ 55 5. sz. melléklet Kockázatelemzés és kockázatkezelés I. szakasz: A védelmi igény feltárása 1. lépés: A feldolgozandó adatok feltérképezése 1. feladat: Az informatika-alkalmazás output igényének feltérképezése. 2. feladat: Esetleges különleges szolgáltatások feltérképezése. 3. feladat: Az informatikai rendszerben feldolgozásra kerülő valamennyi adat feltérképezése. 2. lépés: Az informatika-alkalmazás és a feldolgozandó adatok értékének meghatározása 1. feladat: Védelmi igény megfogalmazása. 2. feladat: Hatrészes értékskála rögzítése. 3. feladat: Az értékek hozzárendelése az informatika-alkalmazáshoz és az adatokhoz. II. szakasz: Fenyegetettség-elemzés 3. lépés: A fenyegetett rendszerelemek feltérképezése 1. feladat: A rendszerelemek feltérképezése. 2. feladat: A rendszerelemek kölcsönös függőségeinek leírása. 4. lépés: Az alapfenyegetettség meghatározása 1. feladat: A fenyegető tényezők és a rendszerelemek összerendelése. 2. feladat: Az összerendelések dokumentálása. 5. lépés: A fenyegető tényezők meghatározása 1. feladat: Az informatikai rendszer gyenge pontjainak feltérképezése. 2. feladat: A fenyegető tényezők meghatározása. III. szakasz: Elemzés kárérték és gyakoriság szerint 6. lépés: A potenciális károk értékének meghatározása A kárértékek meghatározásánál az alábbi szempontokat kell figyelembe venni. -
Dologi károk, amelyeknek közvetlen vagy közvetett költségvonzatuk van. Ilyenek lehetnek a infrastruktúra károk, informatikai rendszer elemeinek sérülése, helyreállítási költség.
-
Károk a politika és társadalom területén. Ilyenek lehetnek az állami és szolgálati titok megsértése, személyhez fűződő jogok, személyek, csoportok hírnevének károsodása, érzékeny adatok nyilvánosságra kerülése, hamis adatok nyilvánosságra kerülése, közérdekű adatok titokban tartása, bizalomvesztés.
-
Gazdasági károk. Ilyenek lehetnek a pénzügyi károk, lopáskárok, cég arculatának romlása, rossz üzleti döntés.
-
Személyi biztonság sérülése a felhasználói és üzemeltetői személyzetben.
-
Jogszabályok, utasítások megsértése.
1. feladat: Az értékek átvitele a rendszerelemekre. 2. feladat: A károk áttekintő ábrázolása.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 56 7. lépés: A potenciális károk gyakoriságának meghatározása 1. feladat: A gyakorisági skála rögzítése. 2. feladat: A gyakorisági értékek hozzárendelése a fenyegető tényezőkhöz. IV. szakasz: Kockázatelemzés 8. lépés: A fennálló kockázatok meghatározása és leírása mátrixban 1. feladat: Valamennyi kockázat összeállítása egy áttekintésben. 2. feladat: A kockázati mátrix belső határainak (alap - fokozott - kiemelt) kijelölése V. szakasz: Kockázat-menedzselés 9. lépés: Az intézkedések kiválasztása 1. feladat: Döntés az egyes fokozatok védelmi szükségletéről. 2. feladat: Az intézkedések kiválasztása. 10. lépés: Az intézkedések értékelése 1. feladat: Az intézkedésekkel leküzdött valamennyi fenyegető tényező feltérképezése. 2. feladat: Az intézkedések kölcsönhatásának leírása. 3. feladat: Az üzemmenetre való kihatások vizsgálata. 4. feladat: Vizsgálat az előírásokkal való egyezésre vonatkozóan. 5. feladat: Az intézkedések hatékonyságának értékelése. 11. lépés: A költség/haszon arány elemzése 1. feladat: Az intézkedések költségeinek megállapítása. 2. feladat: Szükség esetén visszalépés a 9.2 pontba. 12. lépés: A maradványkockázat elemzése 1. feladat: A hatékonysági értékek bedolgozása a kockázat áttekintésbe 2. feladat: A maradványkockázat elemzése.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 57 6. sz. melléklet Informatikai biztonsági rendszerterv vázlata 1. Az Informatikai biztonsági rendszerterv /informatikai biztonsági fejezet célja szükségessége (megalapozza az Informatikai Működésfolytonossági Tervet és a Rendszerszintű Informatikai Biztonsági Szabályzatot, vázlatosan felsorolva, hogy annak a dokumentumnak konkrétan milyen elemekkel kell foglakoznia) helye a rendszerben áttekintés (ami a rendszertervben eddig tervezve volt, változások visszacsatolása) 2. Fogalomtár (csak az IBSZ fogalmain kívüli meghatározások) 3. Rendszerkörnyezet Szerep és felelősségi körök (ábrával, leírással) üzleti tulajdonos (beosztás megnevezése, feladatai, jogköre) vezetők munkakörei (megnevezésük, feladataik, jogkörük) felhasználók munkakörei (megnevezésük, feladataik, jogkörük) informatikai szolgáltatók (üzemeltető, karbantartó stb., minőségbiztosítási tanúsítvány, IBSZ megléte)
külső
fél
esetében
ISO
Rendszer architektúra bemutatása (csak önálló informatikai rendszerterv esetén) 4. Informatikai biztonsággal szemben támasztott követelmények (Csak akkor szükséges a 4. pont, ha nem készült önálló Kockázatelemzés) 4.1 Adatok minősítése bizalmasság (bemutatása input / output elemenként és származtatott adatokra, üzleti, szolgálati, államtitok vonatkozásban) sértetlenség (bemutatása input / output elemenként) rendelkezésre állás (idő és térbeliség bemutatása) 4.2. Értékelés, biztonsági osztály meghatározása (kockázatelemzés rövid összefoglalása, és az ebből meghatározott biztonsági osztály rögzítése) 5. Informatikai biztonsági rendszer kialakítása (minden elem a 4. pontban leírtaktól, vagy a Kockázatelemzéstől függ) 5.1 Adminisztratív védelem szabályzatok, dokumentumok kidolgozása, azonosítások, hitelesítési mechanizmusok, naplózás, annak elemzése (operációs rendszer, felhasználó rendszer, egyéb dobozos rendszerek naplózási eljárásai). 5.2 Fizikai védelem helyiségek (épületek, szerverszoba) védelme (víz, villám, tűz, belépés), hardver / szoftver védelme (dokumentumokkal történő igazolások- jogtisztaság), adathordozók védelme (másolatok, archiválás, adatmentés), hálózatok elemeinek védelme (jogosultság, elérhetőség), áramellátás feltételei, kábelezés biztonsága, eszközvédelem (asztali és hordozható PC, hordozható eszközök). 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 58 5.3 Logikai védelem azonosítok, jelszavak, jelszópolitika, hozzáférés-védelem, szerepköri modell , operációs rendszer sajátosságai, védelmi funkciói, dobozos termékek sajátosságai védelmi funkciói, hálózati védelmek (tűzfal, proxy, DMZ, IP cím beállítások), vírusvédelem, adatlopás (adatvesztés) elleni védelem (DLP), hordozható eszközök védelme (vírusvédelem, tűzfal), titkosítások. 5.4 Személyi feltételek oktatások, kiválasztás, biztonsági tudat fenntartása, ellenőrzések, szankciók. 5.5 Vagyonvédelem fizikai vedelem kiterjesztése, élőerős védelem. 6. Biztonsági tesztelések értékelése, áttekintése (rendszertervhez igazodva) ki, mikor, milyen feltételekkel tesztel, sikeresség feltételei, rendszer megfelelőségi feltételei, biztonsági okmányok megfelelősége, a rendszer átvételének feltételei. (A 7. és 8 pontot nem minősített rendszerek esetén kell vázlatosan kidolgozni) 7. Változáskezelés megoldása változtatási igények kezelése, nyilvántartása új elemek kidolgozása új elemek rendszerbe illesztése változások átvezetése, dokumentálása 8. Informatikai működésfolytonosság tervezésének vázlata célja, lényege helyzetfeltárás, veszélygócok elemzése üzemzavar, működési hiba esetén teendők intézkedések, feladatok katasztrófa esetén teendők intézkedések, feladatok
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 59 7. sz. melléklet Minősített biztonsági osztályok követelményei BIZTONSÁGI OSZTÁLYOK KÖVETELMÉNYEI AZ INFORMÁCIÓBIZTONSÁG SZEMPONTJÁBÓL Személyi biztonság Fokozott Kiemelt A rendszergazdai munkakörökbe, továbbá a munkavégzésre felvett Fokozottal megegyezik. munkavállalók (kulcsfelhasználók) biztonsági alkalmasságát előzetesen meg kell vizsgálni. A titokbirtokos feladatait a titokká minősített adatok kezelésében, valamint az üzemeltetési feladatokat felelősség szerint szabályozni kell. Fizikai és környezeti biztonság Fokozott Kiemelt A rendszerhez tartozó munkaállomásokat és tartozékaikat, úgy kell A berendezéseket csak olyan helyiségben szabad üzemeltetni, elhelyezni, hogy az azokkal kezelt adatok illetéktelenek számára ne ahol mind a vezetett, mind a sugárzott elektromágneses tér legyenek hozzáférhetők (billentyűzetről jelszavak leolvasása, árnyékolásával az információ kiszivárgása megakadályozható. monitoron megjelenő, nyomtatóból kijövő listákba, dokumentumokba A berendezések karbantartása során a felügyeletet az betekintés, stb.). információvédelmi szakterület bevonásával kell biztosítani. A berendezések karbantartásával kapcsolatos eseményeket, feljegyzéseket rögzíteni kell. A javítási munkát csak a Társaság ezzel megbízott munkavállalójának folyamatos személyes felügyelete mellett lehet végezni. Az informatikai rendszer elemeit a használatból történő kivonás után is megkülönböztetett figyelemmel kell kezelni. A berendezések üzemen kívül helyezésével kapcsolatos eseményeket rögzíteni kell. Az adathordozók feleslegessé válása esetén azok más célra történő felhasználása előtt – a minősítő jelzést tartalmazó címke eltávolításával egy időben – olyan törlési eljárást kell alkalmazni, amely garantálja, hogy érzékeny adat nem marad az adathordozón.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 60 Számítógépes és hálózati szolgáltatások és az üzemeltetés biztonsági szabályai Fokozott Kiemelt Adatkommunikációs folyamat csak a kommunikációban résztvevő Fokozottal megegyezik. felek kölcsönös azonosítása és hitelesítése után kezdeményezhető. Amennyiben személyes, vagy üzleti titkot képező adatokat nyomtatásban vagy képernyőn megjelenítik, akkor kötelezően fel kell tüntetni előbbiben a „Nem nyilvános” kezelési jelzést, utóbbiban a minősítési jelzést és a titokvédelmi szabályzatokban előírt alaki kellékeket. Hozzáférés menedzsment Fokozott Kiemelt A rendszert futtató PC-ken kötelező a jelszavas képernyővédőt Fokozottal megegyezik. bekapcsolni, ha azt a kezelő ideiglenesen magára hagyja.
BIZTONSÁGI OSZTÁLYOK KÖVETELMÉNYEI A RENDELKEZÉSRE ÁLLÁS SZEMPONTJÁBÓL Fizikai és környezeti biztonság Fokozott Kiemelt A rendszerekhez hardver karbantartási szerződést kell kötni, ami A berendezésekhez helyi áramfejlesztőt kell telepíteni, amely a tartalmazza a megelőző karbantartások módját, a javító karbantartás betáplálás tartós hiánya esetén biztosítja a szükséges igénye esetén a maximális reakcióidőt, javítási időtartamot, elhúzódó villanyáramot. A tartalék generátorokat – a gyártó specifikációja javítás idejére tartalék eszközök biztosítását. szerint – rendszeresen tesztelni, az üzemanyag előírt mennyiségét ellenőrizni kell.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 61 Számítógépes és hálózati szolgáltatások és az üzemeltetés biztonsági szabályai Fokozott Kiemelt Az informatikai rendszer (vagy annak bármely eleme) Adathordozók tárolása csak minimum 60 perces tűzállóságú dokumentációját a változáskezelés keretében kell aktualizálni és tároló szekrényben történhet. naprakészen tartani. Az információs rendszer, alkalmazói programok és rendszerleíró paraméterek, rendszerszoftver- és hardver, továbbá hálózati eszközök és rendszerelemek változtatásait ellenőrzött és dokumentált módon kell elvégezni. A rendszer biztonsági beállításainak megváltoztatása csak dokumentáltan és az információvédelmi szakterület tájékoztatásával történhet. Adathordozók tárolása csak megbízhatóan zárt helyiségben, minimum 30 perces tűzállóságú tároló szekrényben történhet.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 62 8. sz. melléklet Biztonsági tesztelési jegyzőkönyv 1. A teszt célja: 2. A tesztelés helye, időpontja: 3. A tesztelést végezte: A tesztelendő programok / modul(ok) azonosítása 4. Rendszer:
4. Teszt jellege: (biztonsági
5. Alrendszer:
6. Modul(ok):
7. Program / dialógus/ riport:
8. Verziószám:
9. A tesztelés hardver és szoftver környezete:
10. A teszt input adatai (helye, mennyisége, felvételi módja stb): 11. A teszt végrehajtása:
12. A tesztelés eredménye (outputok leírása, tapasztalt rendellenesség leírása, értékelés stb):
13. Szükséges intézkedések: 14. Megjegyzés:
a teszt eredményének elfogadása / jóváhagyása kivitelező részéről:
üzleti tulajdonos / megbízottja(i):
név, aláírás
név, aláírás
dátum
dátum
név, aláírás
név, aláírás
dátum
dátum
A jegyzőkönyvet átvette: üzleti tulajdonos: …………………………………….
dátum: …………………..
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 63 9. sz. melléklet: IT Működésfolytonossági Terv vázlata 1. Bevezetés 1.1. Célja 1.2. Hatálya a) személyi hatálya b) tárgyi hatály c) területi hatály 1.3. A terv karbantartásáért felelős 2. Fogalmak, rövidítések (ha szükséges) 3. Rendszer és környezet 3.1. Biztonsági osztály a) információvédelmi szempontból (elemei: bizalmasság, sértetlenség) b) a rendelkezésre állási követelmények alapján 3.2. A rendszer fizikai és működési környezetének bemutatása a) fizikai kiépítettség b) tűzvédelem c) szerverszoba belépés d) áramellátás 3.3. felhasználók 3.4. A támogatott üzleti folyamat bemutatása a) érzékenység meghatározása b) elviselhető kiesési idő meghatározása 4. Általános és megelőző intézkedések 4.1. Kommunikáció 4.2. Szolgáltatók 4.3. Munkatársak 4.4. Dokumentumok módosítása, tárolása 4.5. Fizikai infrastruktúra 4.6. Adathordozók védelme 4.7. Tesztelési eljárások 4.8. Oktatás, gyakorlás 5. Személyi feltételek 5.1. Működésfolytonossági menedzsment szervezete 5.2. Működésfolytonossági menedzsment feladatai 6. Rendkívüli események bekövetkezésekor szükséges intézkedések 6.1. Rendkívüli esemény meghatározása, kategorizálása 6.2. Rendkívüli esemény bekövetkezése 6.3. Munkatársak feladatai a) Működésfolytonossági vezető feladatai b) Üzleti tulajdonos feladatai c) Vezető feladatai d) Rendszergazda feladatai e) Technikai üzemeltető feladatai f) Hálózatfelügyelet feladatai g) Általános munkavállalói feladatok 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 64 6.4. Katasztrófahelyzet esetében a teendők a) Értesítés menete b) Fizikai védelmi kötelezettség c) Rendszer helyreállítása d) Rendszer visszaállítása e) Rendszer áttelepítése f) Eszközök ismételt üzembe helyezése g) Tartalék eszközök igénybevételének rendje, módja h) Kiesett IT munkafolyamatokat helyettesítő eljárások beindítása i) adminisztrációs és dokumentálási kötelezettség 7. Eseményelemzés, karbantartás, módosítás, javaslatok 7.1. Események elemzése 7.2. IT Működésfolytonossági Terv karbantartása
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 65 10. sz. melléklet Az IBSZ tartalmát meghatározó vagy befolyásoló jogforrások a) 2012. évi C. tv. a Büntető Törvénykönyvről rendelkezései közül különösen: 219. §: személyes adattal visszaélés, 220. §: közérdekű adattal visszaélés, 223. §: magántitok megsértése, 224. §: levéltitok megsértése, 375. §: információs rendszer felhasználásával elkövetett csalás, 384. §: bitorlás, 385. §: szerzői vagy szerzői joghoz kapcsolódó jogok megsértése, 386. §: védelmet biztosító műszaki intézkedés kijátszása, 413. §: gazdasági titok megsértése, 418. §: üzleti titok megsértése, 422. §: tiltott adatszerzés, 423. §: információs rendszer vagy adat megsértése, 424. §: információs rendszer védelmét biztosító technikai intézkedés kijátszása, 459. §: az érték, a kár, valamint a vagyoni hátrány. b) 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról c) 1999. évi LXXVI. tv. a szerzői jogról: – VI. fejezet: számítógépi programalkotás (szoftver), – VII. fejezet: adatbázis – – – – – – – – – – – – – –
MSZ ISO/IEC 27001:2006 Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények. c. szabvány MSZ ISO/IEC 27002:2007 - Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve. c. szabvány d) MSZ ISO / IEC 15408 Common Criteria (Az informatikai biztonságértékelés közös szempontjai), e) MeH Informatikai Tárcaközi Bizottság: – 8. sz. ajánlás: Informatikai biztonsági módszertani kézikönyv – 12. sz. ajánlás: Informatikai rendszerek biztonsági követelményei – 15. sz. ajánlás: Infrastruktúra menedzsment f) 103/2003. (XII.27.) GKM. r. (Országos Vasúti Szabályzat): B 3.3 fejezet Vasúti informatika, g) MeH Informatikai Tárcaközi Bizottság: – 8. sz. ajánlás: Informatikai biztonsági módszertani kézikönyv – 12. sz. ajánlás: Informatikai rendszerek biztonsági követelményei – 15. sz. ajánlás: Infrastruktúra menedzsment h) 103/2003. (XII.27.) GKM. r. (Országos Vasúti Szabályzat): B 3.3 fejezet Vasúti informatika,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 66 11. sz. melléklet Számítástechnikai bűncselekmények a Büntető Törvénykönyvben (A jogszabály 2013. november 6-án hatályos állapotának megfelelő szövegét tartalmazza.)
a)
2012. évi C. törvény a Büntető Törvénykönyvről XXI. FEJEZET
AZ EMBERI MÉLTÓSÁG ÉS EGYES ALAPVETŐ JOGOK ELLENI BŰNCSELEKMÉNYEK ... Személyes adattal visszaélés 219. § (1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy b) az adatok biztonságát szolgáló intézkedést elmulasztja, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő. (2) Az (1) bekezdés szerint büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti. (3) A büntetés két évig terjedő szabadságvesztés, ha a személyes adattal visszaélést különleges adatra követik el. (4) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el. Közérdekű adattal visszaélés 220. § (1) Aki a közérdekű adatok nyilvánosságáról szóló törvényi rendelkezések megszegésével a) közérdekű adatot az adatigénylő elől eltitkol, vagy azt követően, hogy a bíróság jogerősen a közérdekű adat közlésére kötelezte, tájékoztatási kötelezettségének nem tesz eleget, b) közérdekű adatot hozzáférhetetlenné tesz vagy meghamisít, illetve c) hamis vagy hamisított közérdekű adatot hozzáférhetővé vagy közzé tesz, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a közérdekű adattal visszaélést jogtalan haszonszerzés végett követik el. ... Magántitok megsértése 223. § (1) Aki a foglalkozásánál vagy közmegbízatásánál fogva tudomására jutott magántitkot alapos ok nélkül felfedi, vétség miatt elzárással büntetendő. (2) A büntetés egy évig terjedő szabadságvesztés, ha a bűncselekmény jelentős érdeksérelmet okoz. Levéltitok megsértése 224. § (1) Aki a) másnak közlést tartalmazó zárt küldeményét megsemmisíti, a tartalmának megismerése végett felbontja, megszerzi, vagy ilyen célból illetéktelen személynek átadja, illetve
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 67 b) elektronikus hírközlő hálózat útján másnak továbbított közleményt kifürkész, ha súlyosabb bűncselekmény nem valósul meg, vétség miatt elzárással büntetendő. (2) A büntetés egy évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekményt foglalkozás vagy közmegbízatás felhasználásával követik el. (3) A büntetés a) két évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekmény, b) bűntett miatt három évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény jelentős érdeksérelmet okoz.
XXXVI. FEJEZET A VAGYON ELLENI BŰNCSELEKMÉNYEK ... Információs rendszer felhasználásával elkövetett csalás 375. § (1) Aki jogtalan haszonszerzés végett információs rendszerbe adatot bevisz, az abban kezelt adatot megváltoztatja, törli, vagy hozzáférhetetlenné teszi, illetve egyéb művelet végzésével az információs rendszer működését befolyásolja, és ezzel kárt okoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. (2) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha a) az információs rendszer felhasználásával elkövetett csalás jelentős kárt okoz, vagy b) a nagyobb kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el. (3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a) az információs rendszer felhasználásával elkövetett csalás különösen nagy kárt okoz, vagy b) a jelentős kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el. (4) A büntetés öt évtől tíz évig terjedő szabadságvesztés, ha a) az információs rendszer felhasználásával elkövetett csalás különösen jelentős kárt okoz, vagy b) a különösen nagy kárt okozó információs rendszer felhasználásával elkövetett csalást bűnszövetségben vagy üzletszerűen követik el. (5) Az (1)-(4) bekezdés szerint büntetendő, aki hamis, hamisított vagy jogosulatlanul megszerzett elektronikus készpénz-helyettesítő fizetési eszköz felhasználásával vagy az ilyen eszközzel történő fizetés elfogadásával okoz kárt. (6) Az (5) bekezdés alkalmazásában a külföldön kibocsátott elektronikus készpénz-helyettesítő fizetési eszköz a belföldön kibocsátott készpénz-helyettesítő fizetési eszközzel azonos védelemben részesül.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 68
XXXVII. FEJEZET A SZELLEMI TULAJDONJOG ELLENI BŰNCSELEKMÉNYEK Bitorlás 384. § (1) Aki a) más szellemi alkotását sajátjaként tünteti fel, és ezzel a jogosultnak vagyoni hátrányt okoz, b) gazdálkodó szervezetnél betöltött munkakörével, tisztségével, tagságával visszaélve más szellemi alkotásának hasznosítását vagy az alkotáshoz fűződő jogok érvényesítését attól teszi függővé, hogy annak díjából, illetve az abból származó haszonból vagy nyereségből részesítsék, illetve jogosultként tüntessék fel, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. (2) E § alkalmazásában szellemi alkotás: a) a szerzői jogi védelem alá tartozó irodalmi, tudományos vagy művészeti alkotás, b) a szabadalmazható találmány, c) az oltalmazható növényfajta, d) az oltalmazható használati minta, e) az oltalmazható formatervezési minta, f) a mikroelektronikai félvezető termék oltalmazható topográfiája. Szerzői vagy szerzői joghoz kapcsolódó jogok megsértése 385. § (1) Aki másnak vagy másoknak a szerzői jogról szóló törvény alapján fennálló szerzői vagy ahhoz kapcsolódó jogát vagy jogait vagyoni hátrányt okozva megsérti, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) Az (1) bekezdés szerint büntetendő, aki a szerzői jogról szóló törvény szerint a magáncélú másolásra tekintettel a szerzőt, illetve a kapcsolódó jogi jogosultat megillető üreshordozó díj, illetve reprográfiai díj megfizetését elmulasztja. (3) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a szerzői vagy szerzői joghoz kapcsolódó jogok megsértését nagyobb vagyoni hátrányt okozva követik el. (4) Ha a szerzői vagy szerzői joghoz kapcsolódó jogok megsértését a) jelentős vagyoni hátrányt okozva követik el, a büntetés bűntett miatt egy évtől öt évig, b) különösen nagy vagyoni hátrányt okozva követik el, a büntetés két évtől nyolc évig, c) különösen jelentős vagyoni hátrányt okozva követik el, a büntetés öt évtől tíz évig terjedő szabadságvesztés. (5) Nem valósítja meg az (1) bekezdés szerinti bűncselekményt, aki másnak vagy másoknak a szerzői jogról szóló törvény alapján fennálló szerzői vagy ahhoz kapcsolódó jogát vagy jogait többszörözéssel vagy lehívásra történő hozzáférhetővé tétellel sérti meg, feltéve, hogy a cselekmény jövedelemszerzés célját közvetve sem szolgálja. Védelmet biztosító műszaki intézkedés kijátszása 386. § (1) Aki a szerzői jogról szóló törvényben meghatározott hatásos műszaki intézkedést haszonszerzés végett megkerüli, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) Az (1) bekezdés szerint büntetendő, aki a szerzői jogról szóló törvényben meghatározott hatásos műszaki intézkedés megkerülése céljából a) az ehhez szükséges eszközt, terméket, számítástechnikai programot, berendezést vagy felszerelést készít, előállít, átad, hozzáférhetővé tesz, vagy forgalomba hoz, b) az ehhez szükséges vagy ezt könnyítő gazdasági, műszaki vagy szervezési ismeretet másnak a rendelkezésére bocsátja.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 69 (3) A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a műszaki intézkedés kijátszását üzletszerűen követik el. (4) Nem büntethető a szerzői jogról szóló törvényben meghatározott hatásos műszaki intézkedés megkerüléséhez szükséges eszköz, termék, berendezés, felszerelés készítése vagy előállítása miatt az, aki mielőtt tevékenysége a hatóság tudomására jutott volna, azt a hatóság előtt felfedi, és az elkészített, illetve az előállított dolgot a hatóságnak átadja, és lehetővé teszi a készítésben vagy az előállításban részt vevő más személy kilétének megállapítását.
XLI. FEJEZET A GAZDÁLKODÁS RENDJÉT SÉRTŐ BŰNCSELEKMÉNYEK Gazdasági titok megsértése 413. § (1) Az a bank-, értékpapír-, pénztár-, biztosítási vagy foglalkoztatói nyugdíjtitok megtartására köteles személy, aki bank-, értékpapír-, pénztár-, biztosítási vagy foglalkoztatói nyugdíjtitoknak minősülő adatot jogtalan előnyszerzés végett, vagy másnak vagyoni hátrányt okozva illetéktelen személy részére hozzáférhetővé tesz, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) Nem valósítja meg a gazdasági titok megsértését, aki a) a közérdekű adatok nyilvánosságára és a közérdekből nyilvános adatra vonatkozó törvényben meghatározott kötelezettségének tesz eleget, vagy b) a pénzmosás és a terrorizmus finanszírozása megelőzésével és megakadályozásával, a bennfentes kereskedelemmel, piacbefolyásolással és a terrorizmus elleni küzdelemmel kapcsolatos, törvényben előírt bejelentési kötelezettségének tesz eleget, vagy ilyet kezdeményez, akkor sem, ha az általa jóhiszeműen tett bejelentés megalapozatlan volt.
XLII. FEJEZET A FOGYASZTÓK ÉRDEKEIT ÉS A GAZDASÁGI VERSENY TISZTASÁGÁT SÉRTŐ BŰNCSELEKMÉNYEK Üzleti titok megsértése 418. § Aki jogtalan előnyszerzés végett, vagy másnak vagyoni hátrányt okozva üzleti titkot jogosulatlanul megszerez, felhasznál, más személy részére hozzáférhetővé tesz vagy nyilvánosságra hoz, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.
XLIII. FEJEZET TILTOTT ADATSZERZÉS ÉS AZ INFORMÁCIÓS RENDSZER ELLENI BŰNCSELEKMÉNYEK Tiltott adatszerzés 422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja, b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket technikai eszköz alkalmazásával megfigyeli vagy rögzíti,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 70 c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát technikai eszközzel rögzíti, d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. (2) Az (1) bekezdés szerint büntetendő, aki fedett nyomozó vagy a bűnüldöző hatósággal, illetve titkosszolgálattal titkosan együttműködő személy kilétének vagy tevékenységének megállapítása céljából az (1) bekezdésben meghatározottakon kívül információt gyűjt. (3) Az (1) bekezdés szerint büntetendő, aki az (1)-(2) bekezdésben meghatározott módon megismert személyes adatot, magántitkot, gazdasági titkot vagy üzleti titkot továbbít vagy felhasznál. (4) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha az (1)-(3) bekezdésben meghatározott tiltott adatszerzést a) hivatalos eljárás színlelésével, b) üzletszerűen, c) bűnszövetségben vagy d) jelentős érdeksérelmet okozva követik el. Információs rendszer vagy adat megsértése 423. § (1) Aki a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad, b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz, vétség miatt két évig terjedő szabadságvesztéssel büntetendő. (2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)-c) pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint. (3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű üzem ellen követik el. (4) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az információs rendszer által való végrehajtását biztosítja. Információs rendszer védelmét biztosító technikai intézkedés kijátszása 424. § (1) Aki a 375. vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez szükséges vagy ezt könnyítő a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez, vagy forgalomba hoz, illetve b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki, szervezési ismereteit más rendelkezésére bocsátja, vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 71 (2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a készítésben részt vevő más személy kilétének megállapítását. (3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló bármely azonosító.
ZÁRÓ RÉSZ Értelmező rendelkezések 459. § ... (6) E törvény alkalmazásában az érték, a kár, valamint a vagyoni hátrány a) ötvenezer-egy és ötszázezer forint között kisebb, b) ötszázezer-egy és ötmillió forint között nagyobb, c) ötmillió-egy és ötvenmillió forint között jelentős, d) ötvenmillió-egy és ötszázmillió forint között különösen nagy, e) ötszázmillió forint felett különösen jelentős.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 72 12. sz. melléklet A Rendszerszintű Informatikai Biztonsági Szabályzat vázlata 1. Bevezetés - Rendszerszintű Informatikai Biztonsági Szabályzat célja, - A rendszer informatikai biztonsági osztályai (információvédelem, rendelkezésre állás) - A szabályzat hatálya - Személyi hatálya - Tárgyi hatálya - A szabályzat érvényessége - RIBSZ felülvizsgálati, karbantartási rend - Kapcsolódás más szabályzatokhoz - a rendszerkörnyezet, architektúra, rendszerkapcsolatok bemutatása - oktatási feladatok 2. Fogalom meghatározások 3. Szerep-, és felelősségi körök - Irányító, felügyelő szerepkörök - Informatikai szolgáltató - Hierarchia ábra - Üzleti tulajdonos - Rendszergazda - Szakterületi vezetők - Felhasználók - Biztonság szervezetének munkatársai 4. Személyi biztonság - Munkavállalókkal szemben támasztott általános feltételek - Nem a Társaság. munkavállalóival szemben támasztott feltételek - Munkavállalói változások - Oktatás - Munkavállalói kötelezettségek megszegése esetén követendő eljárás 5. Fizikai és környezeti védelem - Fizikai biztonsági tartományok - Szerverszoba - A munkavégzés szabályai a szerverszoba területén - Az eszközök elhelyezése és védelme - Épületek, helyiségek fizikai jellemzőinek meghatározását - Nyílászárokkal szembeni követelményeket - Tűzvédelem - Vízvédelem - Elektronikus zavarvédelem - Áramellátás - A villámvédelem - A kábelezés biztonságos kialakítása - Az eszközök karbantartása, karbantartási napló - A rendszer és az adatátviteli hálózat eszközeinek védelme - Vagyonvédelmi feladatok 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 73 6. Kommunikációval és üzemeltetéssel kapcsolatos biztonsági szabályok - Üzemeltetési eljárások, rendszerhatárok - Dokumentált üzemeltetési eljárások - Feladatkörök szétválasztása - Üres íróasztal szabály - „Tiszta képernyő” szabály - Vírusvédelem - Adatmentési eljárás ismertetése - Mentések ellenőrzése, szerverre visszatöltés - Mentések kezelése (tárolás, címkézés, nyilvántartás stb.) - Eseménynaplók - Üzemeltetési naplók - Üzemeltetési naplók elemzése - Adatátviteli hálózat - Hálózati elemek beállításai - Adathordozók kezelése - Elektronikus adathordozók kezelése - Licencek és PC image kezelés - Mentés kezelés - Dokumentumok kezelése, tárolása, selejtezése - Adathordozók törlése, selejtezése 7. Jogosultság-kezelés - Hozzáférési jogosultságok - Felhasználók hozzáférés-menedzsmentje - Felhasználók azonosítása - Authentikáció - A privilégiumok kezelése - Felhasználói jelszavak - A felhasználói jogosultságok áttekintése - A felhasználók feladatai - Jelszóhasználat - A jelszókiválasztás szabályai - Rendszer zárolása - A hozzáférés-kontroll technikai megvalósítása (távoli bejelentkezés, helyi bejelentkezés) - Felhasználó be/kiléptetési folyamata, változások kezelése, jogosultsági űrlap készítése 8. Változáskezelési eljárásrend - Változáskezelés - Változáskezelés folyamata - Karbantartás - Dokumentáció kezelés 9. Informatikai működésfolytonosság tervezése - célja, lényege - helyzetfeltárás, veszélygócok elemzése - üzemzavar, működési hiba esetén teendők intézkedések, feladatok - katasztrófa esetén teendők intézkedések, feladatok 10. Megfelelősség - Hatályban lévő utasítások - Biztonsági auditálások, ellenőrzések 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 74 13. sz. melléklet Felhasználó beosztottal rendelkező közvetlen vezető informatikai biztonsági jellegű feladatai 1. Munkavállaló belépése esetén -
-
Az Informatika szervezeténél megrendeli mindazon informatikai és hordozható eszközöket, melyek szükségesek a munkavégzéshez. Megállapítja, hogy a munkatársnak milyen felhasználói rendszerekhez kell hozzáférést biztosítani, és a rendszerekhez tartozó Rendszerszintű Informatikai Biztonsági Szabályzatban szereplő jogosultságkezelési űrlapon a megfelelő kitöltéssel. Ezt az űrlapot mindig az adott rendszer üzleti tulajdonosának, jóváhagyását követően pedig a felhasználói rendszergazdájának kell megküldeni. Ha belépő munkavállaló olyan eszközt kap melyen előzőleg már dolgoztak, akkor mérlegelnie kell, hogy az előző munkatárs hivatali dokumentumai szükségesek-e az új munkatársnak. Ha igen, akkor az informatikai szolgáltató által a dokumentumokat át kell másoltatni az új munkatárs profiljába, és az előző munkatárs profilját töröltetnie kell. Ugyanígy kell eljárnia a levelező rendszer használatában is, ahol az előző munkatárs leveleit, beleértve a helyi archív leveleket is át kell tölteni az új munkatárs postafiókjába és archív tárolás helyére.
2. Munkavállaló kilépése esetén -
-
-
-
-
-
Kötelezni kell a munkavállalót, hogy a számítógépén, hordozható eszközén, és központi szerveren lévő sajáthasználatú tárterületéről (O: meghajtó) biztonságosan töröljön le minden személyes adatot. A munka anyagok biztonsága érdekében a törlések felügyeletét a közvetlen vezetőnek, vagy megbízottjának kell felügyelnie. Kötelezni kell a munkavállalót, hogy a levelező rendszerben is biztonságosan töröljön minden személyes jellegű levelet az aktív és az archív postafiókjából is. A munka anyagok biztonsága érdekében a törlések felügyeletét a közvetlen vezetőnek, vagy megbízottjának kell felügyelnie. Kötelezni kell a munkavállalót, hogy az Adatvédelmi Szabályzat 2. számú mellékletét, NYILATKOZAT a magánjellegű és személyes adatok eltávolításról töltse ki, és adja át a közvetlen vezetőnek. Ezt a nyilatkozatot közvetlen vezető a humán ügyintézőnek köteles megküldeni. A közvetlen irányítása alá tartozó munkavállaló munkaviszonyának bármilyen okból való megváltozásakor a munkavállaló által az informatikai rendszerekben (pl. DMS-Poszeidon) kezelt adatokhoz, dokumentumokhoz történő további hozzáférésről gondoskodni köteles. Az informatikai szolgáltató felé intézkedni kell, hogy a munkatárs informatikai rendszeréhez (AD-ban) való hozzáférési jogát mikortól szüntesse meg. Az informatikai szolgáltató felé intézkednie kell, hogy a munkatárs postafiókjára tegyék fel a következő üzenetet: „Tisztelt Levelezőpartnerem! 201x.xx.xx-tól már nem dolgozom a MÁVSTART-nál. Munkakörömet XXX veszi át tőlem. Amennyiben levele nem személyes jellegű, akkor kérem, hogy azt ismételten küldje el részére a
[email protected] e-mail címre! XXX telefonos elérhetősége: +36 1 51x xxxx. Köszönettel: XXX”. Az üzenetet 30 napig kell fenntartani, azután a postafiókot a tartalmának megtekintés és mentés nélküli törlésével fel kell függeszteni. Közvetlen vezetőnek mérlegelnie kell, hogy az eszközt más munkavállaló tovább használja folytatva a kilépő munkáját. Ebben az esetben további törléseket ne végezzen, és új munkatárs esetében járjon el a Munkavállaló belépése pontban leírtak szerint. Amennyiben a kilépő munkatárs adatait már nem fogják tovább használni, intézkedni kell az informatikai szolgáltatónál a munkatárs profiljának a számítógépről történő letörlésérő, a munkavállaló által 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ
-
75 használt központi adattárolási hely törléséről (O: meghajtó), és az előző bekezdésben meghatározott üzenet használati idejének lejárta után a postafiókjának és archív leveleinek tartalmának megtekintés és mentés nélküli törléséről. Ha a munkavállaló kilépésekor a munkakört átvevő személy kiléte még nem ismert és az informatikai eszköz más személy részére kiadásra kerül, akkor az adatok mentéséről és az eszközről történő letörléséről gondoskodni kell. A mentést 2 példányban CD/DVD lemezre kell elkészíteni, vagy az informatikai hálózat szerverére kell felhelyezni. Nagy mennyiségű adatok esetén technikai megoldást jelent egy új, üres merevlemezre történő mentés elkészítése is. A mentés adathordozóit a közvetlen vezető megfelelő biztonsági intézkedés mellett (zárt szekrény, lemezszekrény, páncélszekrény) tárolja.
3. Munkavállaló másik munkakörbe helyezésekor -
-
Ha a munkavállaló átszervezés során egy másik szervezethez kerül át, de a munkaköre megmarad és az informatikai eszközeit viszi magával további használatra, akkor az általa eddig kezelt adatokat is viszi magával és a rendszerekhez való hozzáféréseket sem kell visszavonni. Ebben az esetben a jelenlegi és az új közvetlen vezető egyeztetésére van szükség. Ha a munkavállaló másik munkakörbe kerül át és a munkavégzéshez részére biztosított eszközöket nem használja tovább, akkor a kilépések szerint kell eljárni. Ha a munkavállaló másik munkakörbe kerülésekor a munkakört átvevő személy kiléte még nem ismert és az informatikai eszköz más személy részére kiadásra kerül, akkor az adatok mentéséről és az eszközről történő letörléséről gondoskodni kell. A mentést 2 példányban CD/DVD lemezre kell elkészíteni, vagy az informatikai hálózat szerverére kell felhelyezni. Nagy mennyiségű adatok esetén technikai megoldást jelent egy új, üres merevlemezre történő mentés elkészítése is. A mentés adathordozóit a közvetlen vezető megfelelő biztonsági intézkedés mellett (zárt szekrény, lemezszekrény, páncélszekrény) tárolja.
4. Munkavállaló tartós távolléte esetén (Gyes, Gyed, tartós, hosszas betegség, stb.) -
-
Ha közvetlen vezető úgy ítéli meg, hogy a munkatárs feladatát más fogja átvenni, akkor a 2. Pont szerint kell eljárni, azzal az eltéréssel, hogy a postafiókra a következő üzenetet kell feltenni: „Tisztelt Levelezőpartnerem! 201x.xx.xx-tól hosszabb ideig távol leszek. Munkakörömet XXX veszi át tőlem. Amennyiben levele nem személyes jellegű, akkor kérem, hogy azt ismételten küldje el részére a
[email protected] e-mail címre! XXX telefonos elérhetősége: +36 1 51x xxxx. Köszönettel: XXX”. Gondoskodnia kell, hogy a felhasználó AD-ban felfüggesztésre kerüljön. Az üzenetet 30 napig kell fenntartani, azután a postafiókot a tartalmának megtekintés és mentés nélküli törlésével fel kell függeszteni. Ha közvetlen vezető úgy ítéli meg, hogy a munkatárs feladatit nem veszi át senki, akkor gondoskodnia kell, hogy a felhasználó AD-ban felfüggesztésre kerüljön, valamint a postafiókja az előző üzenet feltétlét követő 30. napon kerüljön felfüggesztésre.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 76 14. sz. melléklet Nyilatkozat a maradványkockázatok elfogadásáról és a rendszer biztonsági osztályba sorolásáról Alulírott ……………………………………………………………………….……………., mint a(z) …………………………………….... rendszer üzleti tulajdonosa kijelentem, hogy az elkészült kockázatelemzés alapján a ………………………………………. rendszert fenyegető tényezőket megismertem, és az „Elviselhető” szintnél magasabb fenyegető tényezők ellen a szükséges intézkedéseket megtettem. Az intézkedésekben meghatározottak teljesülését a rendszer átvételét megelőzően ellenőriztem, és megfelelő megvalósításukról meggyőződtem. A maradványkockázatok okozta fenyegetettségeket tudomásul veszem, mivel azok az elfogadható szinten és kárértéken belül vannak. Mindezek alapján a rendszert a következő biztonsági osztályokba sorolom: Információvédelem szempontjából:
………………………………….
Rendelkezésre állás szempontjából:
………………………………….
……………………………, 201… ………………….. hó …… nap
…………………………………… üzleti tulajdonos
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 24/2014. (II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. Adatvédelmi Szabályzata 1.0 AZ UTASÍTÁS CÉLJA Az utasítás célja az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) előírásai végrehajtásának szabályozása a MÁV-START Zrt-nél (a továbbiakban: Társaság), különösen a helyi adatkezelések elveinek és rendjének meghatározása, a személyes adatok felhasználási, továbbítási és védelmi szabályainak rögzítése. 2.0. HATÁLY ÉS FELELŐSSÉG MEGHATÁROZÁSA 2.1. Az utasítás hatálya Az utasítás hatálya a Társaságnál folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint a Társasággal szerződéses jogviszonyban álló természetes és jogi személyre, jogi személyiséggel nem rendelkező szervezetre, a velük kötött szerződésben, illetve titoktartási nyilatkozatban rögzített mértékben. Az utasítást a számítógéppel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell. 2.2. Az utasítás kidolgozásáért és karbantartásáért felelős A szabályzat kidolgozásáért és karbantartásáért a Társaság biztonsági vezetője felelős. 3.0. FOGALMAK MEGHATÁROZÁSA 3.1. Adat: az információ hordozója, a tények, fogalmak vagy utasítások formalizált ábrázolása, amely az emberek, vagy automatikus eszközök számára közlésre, megjelenítésre vagy feldolgozásra alkalmas. 3.2. Adatállomány: az egy nyilvántartásban kezelt adatok összessége. 3.3. Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása, megsemmisítése és tönkremenetele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere (a védelem tárgya az adat).
77 3.4. Adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől feltéve hogy a technikai feladatot az adatokon végzik. 3.5. Adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelővel kötött szerződése alapján – beleértve a jogszabály rendelkezése alapján történő szerződéskötést is – személyes adatok feldolgozását végzi. 3.6. Adathordozó: a papír és azok a számítógépes alkatrészek, eszközök, amelyekre a munkához szükséges adatokat menteni, tárolni lehet, illetve a hordozható változataikkal gép-gép között adatot lehet cserélni, például: - mágneses elven működő egységek (pl.: FDD, HDD, IBM Microdrive), - optikai adattárolás elvén működő adathordozók (pl.: CD, DVD, Blu-ray Disc (BD)), - memóriakártyák (pl.: Smart Media, Compact Flash, SDHC), - USB, soros, IRDA portra csatlakoztatható eszközök (pl.: pen-drive, okostelefon, fényképezőgép, zenelejátszók, videokamerák). 3.7. Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése is. 3.8. Adatkezelő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az általa megbízott adatfeldolgozóval végrehajtatja.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 3.9. Adatmegjelölés: az adat azonosító jelzéssel ellátása annak megkülönböztetése céljából. 3.10. Adatmegsemmisítés: az adatokat tartalmazó adathordozó teljes fizikai megsemmisítése. 3.11. Adattovábbítás: az adat meghatározott harmadik személy számára történő hozzáférhetővé tétele. 3.12. Adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges. 3.13. Adatvédelem: a személyes adatok kezelésével kapcsolatos jogi szabályozás, ami az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségére vonatkozik (a védelem a személyre, az ún. adatalanyra irányul). 3.14. Adatzárolás: az adat azonosító jelzéssel ellátása további kezelésének végleges vagy meghatározott időre történő korlátozása céljából. 3.15. Bűnügyi személyes adat: a büntetőeljárás során vagy azt megelőzően a bűncselekménnyel vagy a büntetőeljárással összefüggésben, a büntetőeljárás lefolytatására, illetve a bűncselekmények felderítésére jogosult szerveknél, továbbá a büntetésvégrehajtás szervezeténél keletkezett, az érintettel kapcsolatba hozható, valamint a büntetett előéletre vonatkozó személyes adat; 3.16. EGT-állam: az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez; 3.17. Érintett: bármely meghatározott, személyes adat alapján azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
78 nem azonos az érintettel, az adatkezelővel vagy az adatfeldolgozóval. 3.19. Harmadik ország: minden olyan állam, amely nem EGT-állam. 3.20. Hozzájárulás: az érintett akaratának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy egyes műveletekre kiterjedő – kezeléséhez. 3.21. Közvetlen vezető: aki a Társaság által biztosított számítógépet, e-mail címet használó munkatárs munkáját irányítja. 3.22. Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat. 3.23. Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli. 3.24. Különleges adat: a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat; 3.25. Magánterület: a közforgalom elől elzárt terület.
3.18. Harmadik személy: olyan természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 3.26. Munkáltatói jogkört gyakorló vezető: aki a munkaviszonyra vonatkozó rendelkezések keretei között a Társaság által alkalmazott munkatársat irányít. 3.27. ”Nem nyilvános!” kezelési jelölés: a személyes adatot tartalmazó dokumentum általános jelölése; az így jelölt dokumentum az érintett életében csak akkor hozható nyilvánosságra, ha azt törvény elrendeli, vagy ahhoz az érintett hozzájárult. 3.28. Nyilvános magánterület: a magánterületnek a közforgalom számára a tulajdonos, illetve használó által megnyitott és kijelölt része, illetve azon magánterület, amelyet azonos feltételekkel bárki használhat. 3.29. Nyilvánosságra hozatal: az adat bárki számára történő hozzáférhetővé tétele. 3.30. Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés. 3.31. Személyesadat-nyilvántartó rendszer: személyes adatok bármely strukturált, funkcionálisan vagy földrajzilag centralizált, decentralizált vagy szétszórt állománya, amely meghatározott ismérvek alapján hozzáférhető (pl. ANDOC, IHIR, e-Ticket alkalmazás). 3.32. Személyes használatú számítógép: az adott személy állandó jelleggel dolgozik a gépen, továbbá csak az adott személynek és rendszergazdának van a géphez hozzáférési jogosultsága. 3.33. Távközlési/informatikai eszköz üzemeltető: az a – rendszerint külső cég, vállalat, amely ezeket az eszközöket a vele kötött szerződés alapján a Társaságnál telepíti, javítja, karbantartja stb., és amelyet a szerződésben a Társaság biztonsági szabályainak a betartására köteleztek. 3.34. Tiltakozás: az érintett nyilatkozata, amellyel személyes adatainak kezelését kifogásolja, és az adatkezelés megszüntetését, illetve a kezelt adatok törlését kéri. 3.35. Ügyfél: az utas, az utazás előkészítése, helyfoglalás, stb. érdekében a nyilvános on-line rendszereken (e-Ticket, ELVIRA, stb.) a
79 Társasághoz forduló, a Társaság ügyfélszolgálatától információt kérő vagy ott bejelentést, panaszt tevő személy, továbbá a Társaság által üzleti ajánlattal megkeresett, és a kedvezményes utazásra jogosító igazolvánnyal ellátott személy. 3.36. Belső adatvédelmi felelős: az adatkezelő/adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó azon munkavállaló, aki az adatvédelmi szabályok betartásáért, a személyes adatok védelméért a szervezet nevében felelős. 3.37. Területi biztonsági szakértő: a Biztonság szervezetébe tartozó munkavállaló, aki területi szerveknél látja el a biztonsági feladatokat. 3.38. Üzleti tulajdonos: az információs rendszer üzleti tulajdonosa az a – lehetőleg – magasabb beosztású vezető, akinek jogában áll a rendszer fejlesztésével, beszerzésével, használatával és karbantartásával kapcsolatos döntéseket meghozni. Célszerűen az a szervezeti egységi vezető, akihez az adott rendszer felhasználóinak többsége tartozik. Az informatikai biztonsági szempontok szerint értelmezett „tulajdonos” felelőssége kiterjed az adott rendszer informatikai termékeit, illetve szolgáltatásait érintő hagyományos és számítógépes feldolgozás biztonsága érdekében hozott valamennyi intézkedésre. Ő a rendszer biztonsági kockázatainak kezelője, de megbízottakat nevezhet ki, akik a nevében eljárnak. Ugyanazon személy egyszerre több rendszernek is lehet az üzleti tulajdonosa. A MÁV csoport által közösen használt rendszerek esetében (pl. GIR, IHIR) az üzleti tulajdonos felelőssége csak a Társaság által használt modulra terjed ki, feladatai e körre szűkítve értelmezettek. 3.39. Felhő alapú rendszerek: a szolgáltatásokat nem egy dedikált hardvereszközön üzemeltetik, hanem a szolgáltató eszközein elosztva, a szolgáltatás üzemeltetési részleteit a felhasználótól elrejtve. Ezeket a szolgáltatásokat a felhasználók hálózaton keresztül érhetik el, publikus felhő esetében az Interneten keresztül, privát felhő esetében a helyi hálózaton vagy az Interneten.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 3.40. QR kód: kétdimenziós vonalkód (pontkód), az angol Quick Response (=gyors válasz) rövidítése. A QR-kód nyílt szabványú, a specifikációi nyilvánosak, ISO/IEC 18004 jelzettel nemzetközi szabvánnyá vált, amit 2006-ban kiegészítettek. Bármilyen irányból olvasható, nem kell törődni a kód helyes tájolásával. A QR-kódokban nyílt és rejtett szövegek, Internetes címek, azok leolvasásakor azonnal futtatható programsorok, utasítások, stb. helyezhetők el. 4.0 AZ UTASÍTÁS LEÍRÁSA 4.1. A társaság adatvédelmi alapelvei 4.1.1 Az adatkezelés szabályai Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény, vagy törvényi felhatalmazása alapján, az abban meghatározott körben, helyi önkormányzat elrendeli. Különleges adat akkor kezelhető, ha az adatkezeléshez az érintett írásban hozzájárul, vagy törvény elrendeli. A személyes adatok védelméhez fűződő jogot és az érintett személyiségi jogait – ha törvény kivételt nem tesz – az adatkezeléshez fűződő más érdekek, ideértve a közérdekű adatok nyilvánosságát is, nem sérthetik. A Társaság adatkezelési szabályait összefoglaló tájékoztatást kell elhelyezni a Társaság internetes honlapján, továbbá minden olyan elektronikus, vagy papír alapú dokumentumon (pl. kedvezményes utazási kártya igénylőlapja, Utasleadási lap), amelyen ügyfelek személyes adatait a Társaság bekéri. 4.1.2. Az adatkezelés célhoz kötöttsége Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében szabad. Az adatkezelésnek minden szakaszában meg kell felelnie ennek a követelménynek. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és a cél elérésére alkalmas. Az adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő
80 jogszabályt is. Az érintettet – egyértelműen és részletesen – tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. Az ügyfél által adott adatkezelési hozzájárulást célonként külön - külön kell nyilvántartani (pl. kedvezményes utazási kártya kiállítása mellett az ügyfél hozzájárul részére marketingüzenetek küldéséhez is), és biztosítani kell ezek egyenkénti visszavonásának lehetőségét. A személyes adatokat a Társaság az adatkezelés céljához illeszkedő időtartamig (a panasz, észrevétel elintézéséig, az ügyfél által adott adatkezelési hozzájáruló nyilatkozat visszavonásáig, az érvényesített követelés statisztikai feldolgozásáig, stb.), illetve az ezekhez a műveletekhez kapcsolódó adóügyi, vagyonvédelmi és más előírások szerinti határidőig kezeli. 4.1.3. Az adatok minősége A kezelt személyes adatoknak meg kell felelniük az alábbi követelményeknek: - felvételük és kezelésük tisztességes és törvényes, - pontosak, teljesek és időszerűek, - tárolásuk módja alkalmas arra, hogy az érintettet csak a tárolás céljához szükséges ideig lehessen azonosítani, - nyilvántartásuk képes minden betekintés, beavatkozás, módosítás dokumentálására és így utólagos visszakeresésére. 4.1.4. Adatfeldolgozás Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az Infotv., valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő – jelen esetben a Társaság – határozza meg. Az adatkezelési műveletekre vonatkozó utasítások jogszerűségéért az adatkezelő felel. Az adatfeldolgozó tevékenységi körén belül, illetőleg a Társaság által meghatározott keretek
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ között felelős a személyes adatok feldolgozásáért, megváltoztatásáért, törléséért, továbbításáért és nyilvánosságra hozataláért. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag a Társaság rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. Az adatfeldolgozásra vonatkozó megbízási szerződést – pl. személyes adatok adatbázisba rögzítése külső cég által, ügyfél-adatok nyilvántartása – írásba kell foglalni és a biztonsági vezető egyetértésével lehet megkötni. A szerződésben rögzíteni kell, hogy a Biztonság kijelölt munkavállalója ellenőrizni jogosult az adatfeldolgozás teljes folyamatát. Az adatfeldolgozásra nem adható megbízás olyan vállalkozásnak, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. 4.1.5. Adattovábbítás, adatállományok összekapcsolása Az adatok akkor továbbíthatók, valamint a különböző adatkezelések akkor kapcsolhatók össze, ha az érintett ahhoz hozzájárult, vagy törvény azt megengedi, és ha az adatkezelés feltételei minden egyes személyes adatra nézve teljesülnek. Az előző bekezdést kell alkalmazni az ugyanazon adatkezelő, valamint az állami és az önkormányzati szervek által kezelt adatok összekapcsolására is. Személyes adat az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – más ország részére csak akkor továbbítható, ha az érintett ahhoz hozzájárult, vagy törvény azt lehetővé teszi, feltéve, hogy az adatkezelés Infotv. szerinti feltételei a külföldi ország részéről minden egyes adatra nézve teljesülnek. 4.1.6. Személyes adatok nyilvánosságra hozatala Törvény közérdekből – az adatok körének kifejezett megjelölésével – elrendelheti a személyes adat nyilvánosságra hozatalát. Minden egyéb esetben a nyilvánosságra hozatalhoz az érintett hozzájárulása, különleges
81 adat esetében írásbeli hozzájárulása szükséges. Kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg. Ahol a szabályzat hozzájárulást, nyilatkozattételt, figyelemfelhívást, tájékoztatást említ, ott mindig írásos dokumentumot kell érteni az utólagos bizonyíthatóság érdekében. Az érintett hozzájárulását megadottnak kell tekinteni az érintett közszereplése során általa közölt, vagy a nyilvánosságra hozatal céljából általa átadott adatok tekintetében. 4.1.7. Az érintettek jogai Az érintett - tájékoztatást kérhet személyes adatai kezeléséről, - kérheti személyes adatainak helyesbítését, - kérheti a személyes adatainak törlését vagy zárolását a jogszabályban elrendelt adatkezelések kivételével. Ha az ügyfél a Társaság valamelyik on-line rendszerében maga regisztrált, biztosítani kell részére a leregisztrálás jogát és lehetőségét is. Adatait az adatkezelés célja által meghatározott megőrzési idő figyelembe vételével kell a rendszerből törölni, más rendszerben, más célból kezelt és feldolgozott adatait azonban ez a törlés nem érintheti. 4.1.8. Jogorvoslati lehetőség Az Infotv felhatalmazása alapján bárki a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) kezdeményezhet vizsgálatot arra való hivatkozással, hogy személyes adatok kezelésével kapcsolatosan jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A Társaság dolgozója emellett a biztonsági vezetőhöz vagy a belső adatvédelmi felelőshöz is fordulhat, ha véleménye szerint személyes adatainak kezelésével kapcsolatban jogsérelem érte, vagy annak közvetlen veszélye fennáll, kivéve, ha az adott ügyben bírósági eljárás van folyamatban. A Hatósághoz, a biztonsági vezetőhöz és a belső adatvédelmi felelőshöz tett bejelentése miatt senkit sem érhet hátrány. Az érintett a jogainak megsértése esetén, valamint az Infotv. 21. §-ában meghatározott esetekben az adatkezelő ellen bírósághoz fordulhat; ezen ügyekben a bíróság soron kívül jár el.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.1.9. Adatbiztonság Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek jelen utasítás, valamint az egyéb adatés titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelés megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek. A személyes adatokat tároló számítógépes adathordozóját teljes kapacitásában rejtjelezni szükséges pl.: TrueCrypt vagy vele azonos alkalmazással, operációs rendszer szolgáltatása által. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik. A szerver számítógépek és a munkaállomások között személyes adatok kizárólag védetten (rejtjelezve) továbbíthatók. A Társaság alkalmazottainak személyes adatait tartalmazó – az IHIR-t kiegészítő, vagy más, pl. a távbeszélőhasználat forgalmi adatait kezelő – adatbázist létrehozni a belső adatvédelmi felelős előzetes egyetértésével, a biztonsági vezető engedélyével szabad. Ugyanezen szabályok vonatkoznak az ügyféladatokat kezelő rendszerekre is. Az ilyen adatbázist az üzleti titok védelmére előírt szabályokkal azonos kategóriájú (a Társaság Informatikai Biztonsági Szabályzatában – IBSZ – definiált ún. „fokozott”) védelemben kell részesíteni. A rendszerekben a felhasználói jogosultságok korlátozásával biztosítani kell, hogy az egyes
82 ügyintézők kizárólag a munkájukhoz feltétlenül szükséges személyes adatokat ismerhessék csak meg. A rendszereket a Társaság IBSZ-ében foglalt előírások szerint kell kifejleszteni, az ott előírt biztonsági okmányok elkészültét követően szabad használatba venni és üzemeltetni. Személyes adatot tartalmazó valamennyi dokumentum ”Nem nyilvános!” kezelési jelzésű. A jelzést a dokumentum (pl. munkaszerződés, fizetési besorolás, az IHIR adatbázis felhasználásával készített Exceltáblázat, Utasleadási lap, kedvezményes utazásra jogosító kártya igénylőlapja) minden egyes lapjának fejrészében a készítőnek fel kell tüntetnie. E minősítési jelzés mellett az ilyen dokumentumot iktatási számmal is el kell látni, kivéve, ha azon más, a dokumentum egyedi azonosítására alkalmas jelzés található. Ha a személyes adat számítógépes képernyőn kerül megjelenítésre, akkor a képernyő felső részén meg kell jeleníteni a ”Nem nyilvános!” kezelési jelzést. A monitort úgy kell elhelyezni, hogy a többszemélyes irodában dolgozók illetéktelenül ne ismerhessék meg a mások képernyőn megjelenő személyes adatokat. Személyes adat másolása az elektronikus adathordozók közül kizárólag CD-re és DVDre megengedett, amin fel kell tüntetni a papír alapú adathordozóra előírt „Nem nyilvános” kezelési jelzést és az iktatószámot. Az így megjelölt dokumentumokat és adathordozókat biztonsági zárral ellátott fa iratszekrényben, vagy vas lemezszekrényben kell tárolni. A rontott és a munkapéldányokat megsemmisítésükig ugyanezen szabályok szerint kell tárolni; megsemmisítésük iratmegsemmisítővel / szétvagdosással történhet. 4.2. Az adatkezelésben közreműködők és feladataik A Társaságnál folyó adatkezelések irányításában, ellenőrzésében és végzésében közreműködik: a) a Biztonság állományában: - biztonsági vezető, - a Társaság belső adatvédelmi felelőse, - információvédelmi szakértő, - területi biztonsági szakértő.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ b) a Társaság munkaszervezeteinél: - munkáltatói jogkört gyakorló vezető, - közvetlen vezető, - a 4.3 Egyes adatkezelések c. fejezetben leírt üzleti, nyilvántartási, üzemi, technológiai, stb. folyamat végzése során személyes adatokat kezelő munkatársak, - belső ellenőrzési vezető és munkatársai, - Jog szervezet vezetője és munkatársai, a 4.2.9. pontban foglaltak szerint, - üzleti tulajdonos. 4.2.1. Biztonsági vezető a) a Társaság belső adatvédelmi felelőse útján irányítja és ellenőrzi az adatvédelemmel kapcsolatos előírások végrehajtását, b) felügyeli a Társaságnál keletkezett és más szervek által átadott személyes adatok védelmi rendszerének adminisztratív, személyi biztonsági, technikai, fizikai, kommunikációs, ellenőrzési és felügyeleti elemeken alapuló kiépítését és működését, c) az adatvédelemmel kapcsolatos feladatok végrehajtására egyedi ügyekben állásfoglalást, általános ügyekben útmutatót ad ki, d) szakmailag véleményezi az adatfeldolgozásra vonatkozó megbízási szerződést, e) évente értékeli a Társaság adatvédelmi helyzetét és arról írásban beszámol a Társaság vezérigazgatójának, f) az adatvédelmi feladatok ellátása során kapcsolatot tart a hatóságokkal. Feladatai ellátása során jogosult teljes mélységben betekinteni a Társaságnál végzett összes adatkezelés és adatfeldolgozás anyagaiba, és jogosult teljes körű tájékoztatást kapni a vizsgált adatkezelésekről. Minden olyan adatkezelést megismerhet, amely személyes adatokkal összefügghet, és minden helyiségbe beléphet, ahol adatkezelés folyik. 4.2.2. A Társaság belső adatvédelmi felelőse A biztonsági vezetőnek a felügyelete alá tartozó – jogi, közigazgatási, számítástechnikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező – belső adatvédelmi felelőst kell megbízni e szabályzatban foglalt feladat- és hatáskörrel az Infotv-ből származó feladatok végzésére, irányítására, végrehajtásának ellenőrzésére, az adatkezelés feltételrendszerének kialakítására és fenntartására.
83 A funkciót a Biztonság információbiztonsági koordinátora gyakorolja. Feladatai: a) az információvédelmi szakértők közreműködésével ellátja a Társaság szervezeti egységei adatvédelmi tevékenységének szakirányítását és szakfelügyeletét, b) dönt a hatáskörébe tartozó, az adatkezeléssel összefüggő kérdésekben és előkészíti a döntéseket a hatáskörét meghaladó kérdésekben, c) ellenőrzi az Infotv. és az adatkezelésre vonatkozó más jogszabályok, valamint a jelen utasítás rendelkezéseinek a betartását, figyelemmel kíséri az adatkezelésre vonatkozó jogszabályi változásokat, d) az Infotv. szerint bejelenti a Társaságnál végzett adatkezeléseket, e) az adatkezelő rendszerekben és számítógépes alkalmazásokban ellenőrzi az adatbiztonsági követelmények megvalósulását, f) kivizsgálja a hozzá érkezett bejelentéseket, és jogosulatlan adatkezelés észlelése esetén jelentést tesz a vezérigazgatónak a szolgálati út betartásával, g) elkészíti, évente felülvizsgálja és a szükséges gyakorisággal aktualizálja a Társaság Adatvédelmi Szabályzatát, h) állást foglal az adatkezeléssel kapcsolatos belső és külső megkeresésekben, i) szakmai segítséget nyújt az adatkezelők részére, j) rendszeresen ellenőrzi a személyes adatok kezelését, k) rendszeresen tájékoztatja a biztonsági vezetőt a folyó adatkezelésekről, a kezelőkről, a kezelt adatok köréről és a kezelés jogi megalapozottságáról, l) koordinál az egyes szervezeti egységek között az egységes adatvédelmi szemlélet megvalósítása érdekében, m) az előírásoknak nem megfelelő adatkezelés gyanúja esetén intézkedik annak kivizsgálására, kezdeményezi a szabálytalanságot eredményező tényezők megszüntetését, n) gondoskodik az adatvédelmi ismeretek oktatásáról, o) elvégzi az adatkezelések jogszabály által előírt bejelentését a NAIH részére, p) vezeti a belső adatvédelmi nyilvántartást, amelynek alapján kezdeményezi a NAIH felé az Infotv.-ben meghatározott engedélyezési eljárás lefolytatását,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 84 q) támogatja az adatkezelőt vagy adatfeldolgozót a jogszabályi előírások teljesítésében. Feladatai ellátása során jogosult teljes mélységben betekinteni a Társaságnál végzett összes adatkezelés és adatfeldolgozás anyagaiba, és jogosult teljes körű tájékoztatást kapni a vizsgált adatkezelésekről. Minden olyan adatkezelést megismerhet, amely személyes adatokkal összefügghet, és minden helyiségbe beléphet, ahol adatkezelés folyik. 4.2.3. Információvédelmi szakértő a) részt vesz az adatvédelmi normák kidolgozásában és karbantartásában, b) ellenőrzi a számítógépeken és az elektronikus adathordozókon a személyes adatok, ezek felhasználásával készült dokumentumok, előzmények, munkapéldányok kezelését, továbbítását, törlését, illetve az adathordozók előírásnak megfelelő tárolását, c) részt vesz az adatvédelem terén bekövetkezett, a hatályos szabályokat sértő események, veszélyeztetések kivizsgálásában, d) szakmai segítséget nyújt az adatkezelők részére, e) részt vesz az adatvédelmi oktatások előkészítésében és lebonyolításában. A Társaságnál végzett adatvédelmi ellenőrzés során jogosult a szükséges mélységben betekinteni az ellenőrzés tárgyát képező adatkezelés és adatfeldolgozás anyagaiba, és jogosult teljes körű tájékoztatást kapni a vizsgált adatkezelésről. 4.2.4 Területi biztonsági szakértő a) szakmai segítséget nyújt az adatkezelők részére, b) részt vesz a területén bekövetkezett, az adatvédelemmel összefüggő incidensek kivizsgálásában, c) ellenőrzi a számítógépeken, elektronikus adathordozókon a személyes adatok, illetve ezek felhasználásával készült dokumentumok kezelését, a dokumentumok megfelelő tárolását, d) közreműködik a Társaság adatvédelmi és adatbiztonsági szabályzatának elkészítésében és aktualizálásában, e) támogatást ad az adatvédelmi oktatások előkészítéséhez, illetve lebonyolításához.
4.2.5. Munkáltatói jogkört gyakorló vezető a) szervezeti egységénél gondoskodik jelen szabályzat előírásainak végrehajtásáról, b) az irányítása alatt munkaviszonyban álló dolgozók szervezeténél nyilvántartott személyes adatainak védelmére intézkedik, c) a szabályostól eltérő adatkezelési gyakorlatot megszűnteti, az ügy kivizsgálása érdekében értesíti a biztonsági vezetőt, vagy a belső adatvédelmi felelőst, d) irányítja és ellenőrzi a személyes adatok kezelésével, a személyes adatokat tartalmazó dokumentumok készítésével, továbbításával összefüggő adatvédelmi tevékenységét. 4.2.6. Közvetlen vezető a) felelős azért, hogy közvetlen beosztottja – akinek a Társaság számítógépet, e-mail címet biztosított – új munkakörbe kerülésekor, vagy a Társaság szervezetének elhagyásakor a munkakör átadás-átvétele során a számítógépén, a hálózati meghajtókon, valamint a levelező rendszerben levő postafiókjában tárolt magán jellegű és személyes adatait tartalmazó anyagait eltávolítsa, és a munkája során kezelt anyagokat, az ügyviteli és iktatási rendszerben kezelt iratokat, ügyiratokat átadja, b) a Társaság számára fontos és nélkülözhetetlen információk védelme érdekében az anyagok és információk átadásakor, a nem szükségesek törlésekor a közvetlen vezetőnek személyesen kell jelen lennie. 4.2.7. Személyes adatokat kezelő munkatárs A Társaságnak az a munkavállalója, aki a 4.3 pontban felsorolt tevékenységek végzése során a személyes adatokon bármely műveletet végez, például gyűjt, felvesz, rögzít, rendszerez, tárol, megváltoztat, felhasznál, továbbít, nyilvánosságra hoz, összekapcsol, zárol, töröl, megsemmisít, annak további felhasználását megakadályozza, személyekről fénykép-, hang- vagy képfelvételt készít, vagy a személy azonosítására alkalmas fizikai jellemzőit (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzíti, köteles gondoskodni róla, hogy a) munkája során jelen szabályzat előírásai érvényesüljenek, biztosítva, hogy a személyes adatot tartalmazó dokumentum, adathordozó a keletkezésétől, illetőleg beérkezésétől kezdve előírásszerűen legyen kezelve és az ügyintézés befejezéséig tárolva,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ b) az általa készített vagy más szervtől érkezett, és neki ügyintézésre átadott személyes adatot tartalmazó dokumentumok és elektronikus adathordozók átvétele-átadása, nyilvántartásba vétele, rajtuk a „Nem nyilvános” minősítés és az iktatószám elhelyezése szabályosan történjen, c) a munka- és a rontott példányok előírásszerűen meg legyenek megsemmisítve, d) a számítógépen keletkezett ideiglenes állományok biztonságosan, vissza nem állíthatóan kerüljenek törlésre, e) a személyes adatot tartalmazó dokumentum és elektronikus adathordozó az ügy elintézését követően a lehető legrövidebb időn belül visszakerüljön ahhoz, akitől munkavégzésre átvette, f) minden munkavállaló, akinek tudomására jut, hogy a Társaság, vagy annak adatfeldolgozója által kezelt személyes adat jogosulatlan személy tudomására jutott, vagy jogsértő módon került továbbításra, köteles erről a Társaság adatvédelmi felelősét tájékoztatni. Az adatvédelmi felelős intézkedik az eset körülményeinek feltárásáról és az adatkezelő szerv vezetőjén keresztül gondoskodik az érintett haladéktalan tájékoztatásáról. 4.2.8. Belső ellenőrzési vezető és munkatársai A belső ellenőrzési vezető és az ellenőrzési szakértők az ellenőrzés céljához illeszkedő, az ellenőrzési tervben, Vizsgálati Programban, stb. előzetesen rögzített feladatkörben külön engedély nélkül megismerhetik a személyes adatot. A külön engedély nélküli hozzáférés az ellenőrzési terven kívüli, eseti célvizsgálatokra is vonatkozik. 4.2.9 Jogi vezető Támogatja az adatkezelőt vagy adatfeldolgozót a jogszabályi előírások teljesítésében, a NAIH Társaságot érintő intézkedése esetén. 4.2.10 Üzleti tulajdonos a) az általa tulajdonolt rendszer vonatkozásában gondoskodik az adatvédelmi szabályok érvényre juttatásáról, a rendszerben található személyes adatok védelméről, b) intézkedik a nem szabályszerű adatkezelési gyakorlat megszüntetéséről, az eset kivizsgálása érdekében értesíti az adatvédelmi felelőst,
85 c) az általa tulajdonolt rendszer tekintetében irányítja és ellenőrzi a személyes adatok kezelésével, azok készítésével, továbbításával összefüggő adatvédelmi tevékenységet. 4.3. AZ EGYES ADATKEZELÉSEK A Társaságnál folytatott, az alábbi alcímek alatt felsorolt adatkezelések adatvédelmi megfelelőségét a következők szerint kell biztosítani. 4.3.1. Személyazonosító adatok nyilvántartása A munkaviszony létesítésére szolgáló eljárás során a munkavállaló személyes adatainak forrása közvetlenül a munkavállaló. A munkaviszony létesítésére szolgáló eljárás keretében, a munkavállaló közreműködése nélkül, kizárólag a nyilvánosság számára, az érintett által korlátozás nélkül (pl. internet, sajtó) hozzáférhetővé tett információ használható fel, ideértve az érintett által kifejezetten a munkavállalásának elősegítése érdekében közzétett (pl. Twitter.com szakmai célú szociális háló útján rögzített) adatot. Harmadik személytől a munkavállaló a Mt. 81.§ (1) alapján, a Társaság azonban csak a munkavállaló előzetes hozzájárulásával kérheti a munkavállalóra vonatkozó személyes adat szolgáltatását. A Munka Törvénykönyve rendelkezik a munkáltató által nyilvántartható adatok köréről, meghatározza, hogy a munkáltató a munkavállalótól csak olyan adatlap kitöltését kérheti, illetve vele szemben csak olyan alkalmassági vizsgálatot alkalmazhat, amely személyiségi jogait nem sérti, és a munkaviszony létesítése szempontjából lényeges tájékoztatást nyújthat. A törvény felhatalmazást ad a munkaidővel és a szabadságolással kapcsolatos adatok kezelésére is. Ennek alapján a munkaszerződésben fel kell tüntetni azokat a természetes személyazonosító adatokat (név, anyja neve, születési hely és idő, lakcím), amelyek a munkavállaló egyértelmű azonosításához szükségesek. Más törvények a Társaság, mint munkáltató számára kötelezően előírják bizonyos személyes adatok kezelését. Így köteles nyilvántartani a munkavállaló adóazonosító jelét, társadalombiztosítási azonosító számát, mivel bevallási, illetve a különböző fizetési kötelezettségének csak azok alapján tud eleget tenni.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Olyan adat szolgáltatását a Társaság nem teheti kötelezővé, amely kezelésére törvényi felhatalmazása nincsen, így nem kezelheti például a munkavállalók személyi azonosítóját („személyi szám”). A Társaság dolgozói személyi adatainak felvételét, az adatok számítógépes nyilvántartását a MÁV-csoport részére üzemeltetett IHIR elnevezésű rendszerben kell végezni. A rendszerben tárolt adatok meghatározása, az alkalmazás adatbázisának védelme az Infotv. rendelkezései alapján kialakított mindenkor hatályos MÁV-os és MÁV-START-os szabályzatok szerint történik. A munkaviszony létesítésének bármely okból történő meghiúsulása esetén, a felvételi eljárás során rögzített személyes adatokat nyolc munkanapon belül törölni kell, kivéve, ha azok további kezeléséhez az érintett kifejezett hozzájárulását adta, illetve amennyiben arra jogszabályi előírás teljesítése érdekében van szükség. A munkáltató részére megadott személyes adatok harmadik fél részére történő átadása kizárólag az érintett írásbeli hozzájárulásával történhet. 4.3.2. Munkabér nyilvántartása, kifizetése Valamennyi dolgozó munkabérére és egyéb járandóságára vonatkozó információ különleges személyes adat, ezért megismertetése az érintetten kívüli személlyel tilos. A járandóságokat tartalmazó dokumentumot, tájékoztatót, listát, stb. az IHIR alkalmazás zárt rendszerben, illetéktelen megismerést kizáró munkafolyamatban, a szükséges védelmet szabályzatok által biztosítva állítja elő. Ha a munkavállaló a járandóságát készpénzben veszi át (pl. kézipénztári kifizetések), akkor a kifizetés körülményeinek kell biztosítaniuk az adatok védelmét: egyszerre egy személy lehet a pénztárnál, a többi várakozó a biztonsági zónán kívül tartózkodjon, a munkavállaló pedig se a mások számára kifizetett pénzösszeget, se mások kifizetési listáját, elismervényét, stb. ne láthassa. 4.3.3 A munkavállaló tartózkodási helyének rögzítése A munkavállaló tartózkodási helyének rögzítésére alkalmas technológiát (pl. GPS műholdas, vagy a GSM cellainformációs
86 helymeghatározás) a Társaság abban az esetben alkalmazhat, amennyiben az a munkavégzési célból a munkavállalók életének, testi épségének védelméhez, vagy munkájuk irányításához, illetve a vagyonvédelem erősítéséhez szükséges, feltéve, hogy az adatkezeléshez fűződő Társasági érdek a munkavállaló személyes adata védelméhez való jog korlátozásával arányban áll. A munkavállalóról az általa vezetett gépjármű használata során történt GPS adatok felvétele a vele megkötött gépjármű használati megállapodásban rögzítettek szerint történhet. A Társaság a munkavállalóval megkötött gépjármű használati megállapodás részeként részletes tájékoztatást nyújt a munkavállaló számára a tartózkodási helyének rögzítésére alkalmas technológia alkalmazásáról és a rögzített adatok köréről, amely alapján minden használat megkezdésekor az önkéntes hozzájárulását megadja az adatainak kezeléséhez. A gépjármű magáncélú igénybevételre is feljogosított munkavállaló a magáncélú használat során keletkezett ilyen jellegű személyes adatát megfelelő törvényi jogalap, illetve a jogkorlátozással arányos adatkezelési cél hiányában a Társaság nem kezelheti, ezért biztosítani kell a magáncélú használat időtartama alatt, a helyadatgyűjtési szolgáltatás kikapcsolásának lehetőségét. Biztosítani szükséges, hogy a gépjármű flottakezelője által megbízott helyadatgyűjtési szolgáltatás üzemeltetését végző gazdasági társaság ne juthasson munkavállaló azonosítását lehetővé tevő adatokhoz. A rögzített adatok a meghatározott céltól eltérő módon nem használhatók fel. Az adatokat az adatkezelés céljának megszűnésével, de legfeljebb egy év elteltével, illetve az érintett munkaviszonyának megszűnését/megszüntetését követően törölni kell. A gépjármű használatával kapcsolatban felmerülő bármilyen jogvita esetén, annak jogerős lezárásáig, az adatok tovább kezelhetők. 4.3.4 Adattovábbítás EGT-n kívüli országba, illetve felhő alapú rendszerekbe A Társaság munkavállalójának személyes adatát EGT-n kívüli országba csak az Infotv. által meghatározott feltételekkel, az érintett tevékeny, kizárólag erre a célra irányuló
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 87 hozzájárulása esetén továbbíthat, amennyiben az adatkezelés vagy adatfeldolgozás során megfelelő szinten biztosított a továbbított személyes adatok védelme. Ebbe a körbe tartoznak a „felhő alapú rendszerek”-ben kezelt személyes adatok is, amennyiben egyértelműen nem határozható meg az adatok tárolási helye. 4.3.5. Hatósági erkölcsi bizonyítványok kezelése A hatósági erkölcsi bizonyítványhoz kötött munkakörökben dolgozó munkavállalók hatósági erkölcsi bizonyítvánnyal kötelesek igazolni, hogy nem szerepelnek Magyarország bűnügyi nyilvántartásában. A bizonyítványt a munkaszerződés megkötésével egyidejűleg a munkavállaló részére vissza kell szolgáltatni. Amennyiben a munkavállaló a munkakör betöltésére a hatósági erkölcsi bizonyítvány alapján nem alkalmas, arról a visszaadást megelőzően másolatot kell készíteni, melyet kizárólag jogvita esetén lehet felhasználni, amelynek hiányában a másolatot egy év elteltével meg kell semmisíteni.
4.3.7. A videokamerás megfigyelések A kamerarendszerek rendelkezésre állását az üzemeltetővel kötött szerződéssel, a velük végzett megfigyelések adatvédelmi megfelelőségét pedig a megfigyelést végzővel kötött, adatvédelmi szabályokat is tartalmazó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységében érdekelt. A vonatkamerás megfigyelések és az azzal végzett adatkezelés, adatfeldolgozás szabályait külön vezérigazgatói utasításban kell szabályozni. 4.3.7.1. A megfigyelés célja A vasútállomáson a közforgalom számára nyitva álló helyen, a megállóhelyen valamint a személyszállító vasúti járművek belterében elhelyezett elektronikus megfigyelőrendszer működtetésének célja a vasútállomáson és megállóhelyen található berendezések, a személyszállító vasúti járművek, továbbá az utasok életének, személyének, testi épségének és vagyontárgyaik védelme, illetve a felsorolt körbe tartozó események utólagos vizsgálatának segítése. Az üzemi és munkaterületeken, irodaházakban elhelyezett elektronikus megfigyelőrendszer működtetésének célja a vagyonvédelem: berendezések eltulajdonításának, megrongálásának megakadályozása, illetve a felsorolt körbe tartozó események utólagos vizsgálatának segítése.
4.3.6. Összeférhetetlenségi nyilatkozat kezelése A mindenkor hatályos összeférhetetlenség kezeléséről szóló belső utasítás alapján a Társasággal történő munkaszerződés megkötésekor, a foglalkoztatási viszonyaiban, vagy az összeférhetetlenségi nyilatkozat tartalmában történt változásokat megelőzően tett összeférhetetlenségi nyilatkozatot – a munkavállaló erre irányuló kérése esetén – 4.3.7.2. Tájékoztatás a megfigyelésről zártan kell kezelni. A zárt kezelés lehetőségéről A kamerákat jól látható helyre kell felszerelni. a munkavállalókat tájékoztatni kell. A vezető Figyelmeztető, ismertető táblát kell elhelyezni állású munkavállalóknak, vezető – a vakok és gyengénlátók számára is tisztségviselőknek, valamint a felügyelő érzékelhető módon – a vasútállomás és bizottsági tagoknak mind saját személyükre, megállóhely bejáratánál, továbbá a mind a közeli hozzátartozóikra vonatkozóan személyszállító vasúti járműre való felszállásra összeférhetetlenségi nyilatkozatot, illetve szolgáló peronoknál, valamint a személyszállító bejelentést kell tenniük. Ebben az esetben vasúti járművön, amely tájékoztatást tartalmaz szükséges az érintett hozzátartozó az elektronikus biztonságtechnikai rendszer tájékoztatáson alapuló jognyilatkozatának által folytatott megfigyelés, valamint a rendszer beszerzése, amelyben hozzájárulnak személyes által rögzített személyes adatokat tartalmazó adataik Társaság által történő kezeléséhez, kép- és hangfelvétel készítésének, tárolásának: emellett a hozzátartozó számára is biztosítani - céljáról, kell a 4.1.7. pontban felsorolt jogokat. A - az adatkezelés jogalapjáról, munkáltatói jogkör gyakorlója az elbírált és - a felvétel tárolásának helyéről, záradékolt nyilatkozatokat a humánpartner - a tárolás időtartamáról, útján küldi meg a Humán szervezet számára, az - a rendszert alkalmazó (üzemeltető) érintett szolgálati anyagában elhelyezés személyéről, érdekében. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ az adatok megismerésére jogosult személyek köréről, továbbá az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az érintett jogaira és érvényesítésük rendjére vonatkozó rendelkezéseiről az alábbi, jól olvashatóan kiírt szöveggel: a) ha a felvételeket elektronikusan rögzítik (jellemzően utasok, ügyfelek számára megnyitott területeken, egyes személyszállító járműveken, üzemi területeken, munkaterületeken, személypénztáraknál): 5. sz. melléklet -
b) ahol a felvételeket nem rögzítik (jellemzően a Társaság irodaházaiban): ”Kamerával megfigyelt terület. A megfigyelés célja vagyonvédelem. felvételek nem kerülnek rögzítésre.”
A
4.3.7.3. A megfigyelési adatok megismerése A megfigyelőrendszer által rögzített adatokhoz a) a biztonsági vezető által kijelölt személy, b) a bírósági vagy más hatósági eljárásban történő felhasználás érdekében a bíróság, illetve az eljárásra illetékes más hatóság férhet hozzá. Az a) esetben a megismerésről a megismerésre jogosult személy – és lehetőség szerint az érintettek – nevének, az adatok megismerése okának és idejének rögzítésével jegyzőkönyvet kell felvenni, és azt a belső adatvédelmi felelősnél kell tárolni. Az adatot olyan zárt rendszerben, illetve olyan eljárással kell kimenteni, amelyben biztosított, hogy azt a kimentésében közreműködők nem ismerhetik meg. A mentett adatot tartalmazó adathordozót a „Nem nyilvános” kezelési jelzés szerint kell megőrizni és továbbítani a belső adatvédelmi felelőshöz. A bíróság vagy más hatóság megkeresésére a kimentett képfelvételt a megkereső szerv részére – műszaki ellenőrzést követően – a biztonsági vezető küldi meg vagy adja át. 4.3.7.4. A megfigyelési adatok törlése a) Nem alkalmazható elektronikus megfigyelőrendszer olyan helyen, ahol a megfigyelés az emberi méltóságot sértheti, így különösen mosdóban, illemhelyen.
88 b) A rögzített kép, vagy kép- és hangfelvételt felhasználás hiányában a rögzítéstől számított 16. napon meg kell semmisíteni vagy törölni kell. Felhasználásnak minősül, ha a rögzített kép-, illetve hangfelvétel bírósági vagy hatósági eljárásban bizonyítékként felhasználásra vagy bíróság, hatóság részére ilyen eljárás során benyújtásra kerül. c) Akinek jogát vagy jogos érdekét a b) bekezdés szerinti kép-, illetve hangfelvétel érinti, a rögzítéstől számított 15 napon belül jogának vagy jogos érdekének igazolásával kérheti, hogy a kép- illetve hangfelvételt annak kezelője ne semmisítse meg vagy ne törölje. d) Bíróság vagy más hatóság megkeresésére a rögzített kép-, illetve hangfelvételt a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni. Ha a megkeresésre attól számított 72 órán belül, hogy a megsemmisítés vagy törlés mellőzését a c) bekezdés alapján kérték, nem kerül sor, és a b) bekezdésben meghatározott határidő letelt, a rögzített képilletve hangfelvételt meg kell semmisíteni, vagy törölni kell. Amennyiben a kép-, hang-, vagy kép és hangfelvétel megőrzésének idején belül a rögzítéssel érintett személy jogának vagy jogos érdekének igazolásával kéri az adat megsemmisítésének elhalasztását, a megjelölt adatot ki kell menteni és át kell adni a belső adatvédelmi felelősnek. Az adat kiszolgáltatására irányuló bírósági, más hatósági megkeresésig, de legkésőbb az érintett személy kérelmének beérkezésétől számított 15 napig változatlan tartalommal a kimentett adatokat meg kell őrizni. 4.3.7.5. A munkahelyi számítógép, az e-mail és az Internet használatának ellenőrzése A Társaság a munkavállalóknak indokolt esetben, munkavégzés céljára biztosít számítógépet, kommunikációs eszközöket, email címet és Internet-hozzáférést. A használat szabályairól és a magáncélú használat ellenőrzésének lehetőségéről a munkavállalókat írásban kell tájékoztatni (1. számú melléklet). A tájékoztatásról és a munkavállaló hozzájárulásáról a munkavállaló által aláírt nyilatkozatot a Humán szervezetnél a dolgozó szolgálati táblájában meg kell őrizni.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 89 c) amennyiben a címzettek között a MÁV levelezőrendszerén kívüli címzett is szerepel, vizsgálni kell a b) pontban leírt módszer alkalmazásának szükségességét, d) QR kódot tartalmazó e-mailek küldése esetén fennáll annak a veszélye, hogy a továbbítás során illetéktelenek lecserélhetik azt, és a QR kódot előállító felhasználó tudta nélkül károkozásra használják fel, amely hátrányosan befolyásolhatja a Társaság megítélését. Ezért a QR kódoknak az e-mailek MÁV munkavállalója által elhelyezett aláírásában történő felhasználása a Társaság hivatalos elektronikus levelezésben nem megengedett, e) a nagyobb mennyiségű személyes adatot tartalmazó küldemény továbbítása kizárólag technikai védelemmel (illetéktelen megnyitás ellen jelszóval védett Office dokumentumban, RMS védelemmel, jelszóval védett tömörített állományban stb.) engedélyezett. A személyes adatot tartalmazó elektronikus leveket a következő záradékkal kell ellátni: „A jelen levélben kézbesített információ kizárólag a címzettnek szól, és bizalmas üzleti, illetve személyes adatokat tartalmazhat. Amennyiben nem Ön a levél címzettje, a levélben található információ felhasználása, vagy bármilyen módon történő közzététele, másolása vagy megosztása tilos. Amennyiben jelen levelet tévedésből kapta meg, kérem lépjen kapcsolatba a levél feladójával és az üzenetet haladéktalanul törölje a számítógépéről. A levél feladójának e-mail címe kifejezetten vállalati felhasználásra szolgál, a biztonsági szervezet – vezetői ellenőrzés céljából – betekinthet tartalmába, kérem erre a címre magánjellegű küldeményt, reklámanyagot ne küldjön!”
A kizárólag munkavégzés céljából biztosított email postafiók esetén a munkáltatónak joga van a postaládában lévő e-mailek fejlécének megtekintése után – ahol szerepel a küldő és a fogadó személye, e-mail címe, a levél megnevezése, a küldés időpontja, a levél mérete – konkrét levél kiadását kérni a munkavállalótól. A munkavállaló a levél átadását csak a harmadik személy jogát sértő levéltitokra történő hivatkozással tagadhatja meg. Abban az esetben, ha az e-mail postafiókot kizárólag hivatalos használatra adták át számára és a kért levelet a munkavállaló írta, vele szemben ez esetben is munkajogi szankciókat alkalmazhat a munkáltatói jogkörgyakorló. Amennyiben egy munkavállaló tartós távolléte alatt, vagy munkaviszonyának megszűnését követően az email postafiókjának ellenőrzése szükséges, vagy indokolt, az érintett munkavállaló által a levelező rendszerben a postafiókjához hozzáféréssel rendelkező másik munkavállaló – ha ilyen személy nincs, vagy nem tartózkodik a munkahelyen, akkor a rendszer üzemeltetéséért felelős informatikus – jegyzőkönyv felvétele mellett betekinthet az email postafiókba. Amelyik levélről egyértelműen megállapítható, hogy hivatalos tárgyú, átadható a munkáltatónak. Az érintett információs önrendelkezési jogának maradéktalan érvényesülése érdekében a távollévő érintettet tájékoztatni kell arról, hogy távollétében más személy az e-mail postafiók tartalmát megismerte. A munkavállaló által használt e-mail postafiók ellenőrizhetősége érdekében az ellenőrzés pontos részleteiről, az ellenőrzést megelőzően megfelelő formában és módon tájékoztatást kell adni a munkavállaló számára. A tájékoztatásnak A munkavállaló által használt e-mail postafiók ki kell terjednie arra, hogy az adatkezelés ellenőrzését a munkáltatói jogkört gyakorló milyen célból történik, ki az adatkezelő, mennyi vezető egyidejű tájékoztatása mellett a ideig kezelik a felvett adatokat, illetőleg az Biztonság kijelölt szakértője végzi. Az adatkezeléssel kapcsolatban milyen jogai ellenőrzés során biztosítani kell az ellenőrzött vannak az érintett személyeknek. A társaság jelenlétét és magánszférájának sértetlenségét. A által biztosított elektronikus levelező rendszer megismerésről a megismerésre jogosult használata során, a személyes adatok védelme személyek és az érintettek nevének, az adatok érdekében, az alábbi szabályokat kell betartani: megismerése okának és idejének rögzítésével a) a levelező rendszer használata kizárólag jegyzőkönyvet kell felvenni, és azt a belső hivatalos célra engedélyezett, adatvédelmi felelősnél kell tárolni. b) a több mint 50 e-mail címzett esetén a küldemény valamennyi címzettjét rejtett módon (titkos másolat mezőben) kell megadni a spam küldemények csökkentése érdekében, 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A Társaság azon munkavállalója, akinek számítógépet, kommunikációs eszközt, e-mail címet és Internet-hozzáférést biztosított a Társaság, az eszköz leadásakor és átadásakor (különösen a Társaság szervezetének elhagyásakor és új munkakörbe kerülésekor) a munkakör átadás-átvétele során köteles a számítógépen, a hálózati meghajtókon és a levelező rendszerben lévő postafiókjában – a tiltás ellenére esetleg – tárolt magán jellegű, és személyes adatait tartalmazó anyagait (dokumentumok, táblázatok, bemutatók, programok, levelek, zenék, fényképek, videók, stb.) eltávolítani. A folyamat ellenőrzéséért a dolgozó közvetlen vezetője felelős. A folyamat végrehajtását dokumentálni kell (2. számú melléklet). A munkavállaló által aláírt nyilatkozatot a Humán szervezetnél a dolgozó szolgálati táblájában meg kell őrizni. A munkaviszonnyal összefüggő, infokommunikációs eszközökön elektronikus formában tárolt állományokat, dokumentumokat, elektronikus levelezést a munkakör átadásakor a munkavállaló köteles a munkáltatói jogkört gyakorló vezető ellenőrzése mellett, az informatikai üzemeltető szakértőjének közreműködésével az utódjának, ennek hiányában a munkáltatói jogkört gyakorló vezetőnek dokumentált módon átadni. 4.3.7.6. A távolról végzett munka Amennyiben a munkafeladatok ellátása távolról végzett munka útján valósul meg (pl. VPN kapcsolaton keresztül), és az nem a Társaság által biztosított eszköz igénybevételével történik, a Társaság nem tekinthet be az eszközön tárolt, nem a munkaviszonnyal összefüggő adatokba. Amennyiben a távmunkához a Társaság kizárólag munkavégzés céljára biztosítja az eszközt, a tilalom betartásának ellenőrzése céljából a Társaság – a 4.3.7.6. pontban foglaltak értelemszerű alkalmazásával – a teljes adattartalmat ellenőrizheti.
90 beszédforgalmat rögzítheti és ellenőrizheti. A használat szabályairól és a magáncélú használat ellenőrzésének lehetőségéről az érintett munkakörben dolgozó munkavállalókat írásban kell tájékoztatni (3. számú melléklet). A tájékoztatásról és a munkavállaló hozzájárulásáról a munkavállaló által aláírt nyilatkozatot a Humán szervezetnél a dolgozó szolgálati táblájában meg kell őrizni. A Társaság területén forgalomtechnológiai okokból végzett hangrögzítés során a hangrögzítő berendezéseken rögzített adatokat a munkáltatói jogokat gyakorló vezető, a Biztonság vasútbiztonsági területének munkatársa, baleset esetén a balesetvizsgáló csoport vezetője hallgathatja vissza. A keletkezett adatokat a fenti személyek írásban rögzíthetik, illetve további vizsgálat céljából azokat lemásolhatják és maguknál tarthatják, valamint a vizsgálat során bizonyítékként felhasználhatják. A megismerésről a megismerésre jogosult személyek és az érintettek nevének, az adatok megismerése okának és idejének rögzítésével jegyzőkönyvet kell felvenni, és azt a belső adatvédelmi felelősnél kell tárolni. 4.3.7.8. Távbeszélő-használat forgalmi adatainak kezelése A távbeszélőforgalmat nyilvántartó rendszer a személyes adatok körébe tartozó telefonhívási adatokat kezel és listákat állít elő, azok alapján számlázási alapadatokat szolgáltat. A listák készítője köteles azokra a „Nem nyilvános” kezelési jelzést és iktatási számot felvezetni, és a dokumentumokat a továbbiakban eszerint kezelni. A távbeszélőforgalmat nyilvántartó számítógépes rendszert a 4.1.9. Adatbiztonság c. fejezetben foglalt szabályok betartásával szabad létrehozni és üzemeltetni. A nyilvántartó rendszer kialakítása során figyelembe kell venni, hogy a dolgozó az Adatvédelmi nyilatkozat aláírásával hozzájárulását adja egyes személyes adatainak a munkáltató általi kezeléséhez, azonban a dolgozóval telefonbeszélgetést folytató külső fél nem tesz ilyen nyilatkozatot, ezért a személyes adatát képező teljes hívószámát a rendszer nem rögzítheti, csupán annak részeit.
4.3.7.7. Forgalomtechnológiai okokból végzett hangrögzítés Ide tartozik a diszpécsertelefon, a mozdonyrádió és bármely forgalomtechnológiai szolgálati célra használt, MÁV-START Zrt. tulajdonú vagy üzemeltetésű hangkommunikációs eszköz. Ezen eszközökön magáncélú beszélgetés tilos. A Társaság a teljes 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Abban az esetben, ha a munkavállaló túllépte a részére irányadó beszéd- vagy adatforgalmazási költségkeretet, és vele szemben költségtérítési eljárás indul, az eljárásban a hívott fél hívószáma nem használható fel, csak a hívásköltség lista anonimizált, vagyis hívószám feltüntetése nélküli módon.
91 tárolást, megőrzést, megsemmisítést ennek megfelelően kell végezni. Az ügyféladatokat rögzítő, kezelő és feldolgozó szervezeti egységeknek gondoskodniuk kell, arról, hogy a személyes adatokat tartalmazó dokumentumokat, nyomtatványokban, könyvekben stb. maradt lapokat, tőszelvényeket (pl. Utasleadási Lap, Utasok könyve) illetéktelen személy ne ismerhesse meg, és azok a kezelési jelzésnek megfelelően kerüljenek tárolásra. Az ügyféladatokat feldolgozó számítógépes rendszert a 4.1.9. Adatbiztonság c. fejezetben írtak betartásával szabad létrehozni és üzemeltetni. A Társaság az ügyfelek adatainak nyilvántartásáról a honlapján közzéteszi az Adatvédelmi tájékoztatót (4. számú melléklet).
4.3.7.9. Ügyféladatok kezelése Épületekbe való belépést dokumentáló nyilvántartások, Utasok könyvének vezetése, panaszos levelek, Utasleadási lapok, kedvezményes utazásra jogosító igazolványok és kártyák stb. ügyintézése során a Társaság birtokába, illetve kezelésébe nagy számban kerülnek a Társasággal munkaviszonyban nem álló személyek személyes adatai. Ezen adatokat a Társaság munkaszervezetei az Infotv. értelmében a saját dolgozók személyes adataival megegyező szintű védelem biztosítása 4.3.7.10. A Társaság telefonos ügyfélszolgálata, mellett kötelesek kezelni. MÁVDIREKT telefonbeszélgetéseinek Az adatfelvételi nyomtatványokon, elektronikus kezelése űrlapokon az érintett írásos hozzájárulását kell Az Utas kérelmezheti az adatkezelőtől kérni adatainak kezeléséhez. Ha az utassal személyes adatai (hangfelvétel) másolatának szembeni követelés behajtásával, vagy a megküldését az Infotv. 14-18. § előírásainak kedvezményes kártyák elkészítésével, stb. a figyelembevételével. Társaság várhatóan harmadik felet bíz meg, 4.3.7.11. Adatfelvétel és kezelés mozgáskorláakkor előzetesen ki kell kérni (célszerűen már tozottak utazásához az adatfelvételi lapon) az érintett beleegyezését Összhangban a Személyszállítási Üzletadatai ún. harmadik személy (az szabályzat II. fejezet 9. cím 9.5. pontjával, a adatfeldolgozó) részére történő átadásához. mozgáskorlátozott, kerekesszékkel együtt Az adatfelvételi lapon rövid adatvédelmi utazók szállításának minél zökkenőmentesebb tájékoztatást kell elhelyezni a Társaságnál folyó lebonyolítása érdekében a Társaság lehetőséget adatkezelés elveiről. Az internet útján elérhető kíván biztosítani a rendszeresen vasúton utazó (on-line) elektronikus adatfelvételi lapokon a mozgáskorlátozottak személyazonosító adatai Társaság honlapján található Adatvédelmi rögzítésére. tájékoztatóra mutató linket kell elhelyezni. Az Ügyfélszolgálati Központnál a Ha az ügyfél élőszóban keresi meg a Társaság kerekesszékkel történő utazás bejelentése egy ügyfélszolgálatát, akkor az adatvédelmi erre rendszeresített – honlapról is letölthető – tájékoztatást élőszóban vagy gépi egyedi formanyomtatványon történik. Az hangbemondással kell részére megadni. adatlap statikus (pl. név, cím, elérhetőség, Egyúttal beleegyezését kell kérni a kerekesszék adatai) és dinamikus (utazás kommunikáció rögzítéséhez. Engedélyének paraméterei) adatokat egyaránt tartalmaz. Az hiányában személyes ügyfélkapcsolathoz kell igénybejelentőnek a kezdeti adatfeltöltést irányítani. A tájékoztató szövegét előzőleg követően a további utazások alkalmával egyeztetni kell a Társaság belső adatvédelmi (adategyeztetést követően) csupán az utazás felelősével. időpontjára vonatkozó adatokat szükséges Az adatfelvételhez használt elektronikus input megadnia a bejelentésében. bizonylatokra és papír alapú lapokra, nyomtatványokra (pl. Utasleadási lap, Utasok könyve) rá kell vezetni a „Kitöltés után nem nyilvános” kezelési jelzést, és a továbbiakban a 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.3.7.12 Az értekezleteken készülő hangfelvétel Az értekezleteken készülő hangfelvétel valamennyi érintett hozzájárulásával kezelhető. Az elhangzottak rögzítése kizárólag az érintettek tájékoztatását követő kifejezett hozzájárulása után történhet. A tájékoztatás megtörténtének és a hozzájárulások megadásának dokumentálása történhet a résztvevők jelenlétében a hangrögzítő eszközre történő bemondással, vagy a jelenléti ív aláírásával, az azon szereplő írásos tájékoztató egyidejű elfogadásával. A felvétel célja elsősorban a megbeszélésről készített jegyzőkönyv, emlékeztető pontos elkészítése, a megbeszélésen elhangzottak szöveghű visszaidézése. Ennek érdekében a hangfelvételt, a felhasználásával készített írott dokumentum jóváhagyását követően, visszaállíthatatlan módon törölni szükséges. Különösen indokolt esetben – valamennyi érintett kifejezett hozzájárulása esetén – a felvétel csatolható az elkészített emlékezetőhöz. 4.3.7.13. Videokonferencia Videokonferencia szervezése esetén készülő felvétel valamennyi érintett hozzájárulásával kezelhető. Az elhangzottak rögzítése kizárólag az érintettek tájékoztatása és hozzájárulása után történhet. A tájékoztatás megtörténtének és a hozzájárulások megadásának dokumentálása történhet a résztvevők jelenlétében a felvételre történő bemondással, illetve a jelenléti ív aláírásával, az azon szereplő írásos tájékoztató egyidejű elfogadásával. A videokonferencia felvételének elsődleges célja a megbeszélés kép- és hang anyagának dokumentálása, az arról készített jegyzőkönyv, emlékeztető pontos elkészítése, a megbeszélésen elhangzottak képés szöveghű visszaidézése. Ennek érdekében a felvételt, a felhasználásával készített írott dokumentum jóváhagyását követően, visszaállíthatatlan módon törölni szükséges. Különösen indokolt esetben – valamennyi érintett kifejezett hozzájárulása esetén – a felvétel csatolható az elkészített emlékeztetőhöz. 4.4 Egyéb rendelkezések Az adatvédelmi ismereteket jelen szabályzat alapján a Társasághoz való belépéskor minden munkavállaló számára oktatni kell. Az oktatásért és a nyilatkozat levételéért a Humán felvételt végző munkatársa felelős.
92 A munkáltatói jogkört gyakorló vezetőket, továbbá az egyes adatkezelések c. fejezetben írt adatkezeléseket végzőket évente egy órás utóképzésben kell részesíteni. Az oktatás és az éves képzés végrehajtásáért a Biztonság vezetője felelős. 5.0 HIVATKOZÁSOK, BIZONYLATOK MÓDOSÍTÁSOK HATÁLYON KÍVÜL HELYEZÉSEK 5.1. Hivatkozások - 2012. évi I. törvény a Munka Törvénykönyvéről - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról - 2005. évi CXXXIII. törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól - 2012. évi XLI. törvény a személyszállítási szolgáltatásokról - 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról - 1/2007. (I.5. MÁV Ért. 1.) HVH sz. humánpol. vezig-h. ut. a személyügyi adatok kezeléséről a MÁV Zrt.-ben - a MÁV-START Zrt. mindenkor hatályos Vagyonvédelmi szabályzata - a MÁV-START Zrt. mindenkor hatályos Üzletititok-védelmi Szabályzata MÁVSTART Zrt. mindenkor hatályos Informatikai Biztonsági Szabályzata - A MÁV-START Zrt. mindenkor hatályos vezérigazgatói utasítása a személyszállító vonatok biztonsági kamerarendszerével rögzített felvételek kezeléséről - a MÁV-START Zrt. mindenkor hatályos Közzétételi Szabályzata 5.2. Hatályon kívül helyezés Az utasítás hatályba lépésével egyidejűleg hatályát veszti a 8/2010. (IV.2. MÁV-START Ért. 4.) VIG sz. vezérigazgatói utasítás a MÁVSTART Zrt. Adatvédelmi Szabályzatáról szóló 19/2008. (IV.11. MÁV-START Ért. 6) VIG sz. vezérigazgatói utasítás 1. sz. módosításáról (egységes szerkezetben).
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 93 6.0. HATÁLYBA LÉPTETÉS Jelen szabályzat előírásait a MÁV-TRAKCIÓ Zrt.-nek és a MÁV-GÉPÉSZET Zrt.-nek a MÁV-START Zrt--be történő beolvadása napjától kezdődő hatállyal kell alkalmazni. 7.0. MELLÉKLETEK 1. sz.: Adatvédelmi tájékoztató és nyilatkozat 2. sz.: Nyilatkozat magánjellegű és személyes adatok eltávolításáról 3. sz.: Adatvédelmi tájékoztató és nyilatkozat 4. sz.: Társaság adatvédelmi tájékoztatója 5. sz. Adatvédelmi tájékoztató matrica Ungvári Csaba s.k. vezérigazgató
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 94 1. számú melléklet ADATVÉDELMI TÁJÉKOZTATÓ ÉS NYILATKOZAT 1 INFORMATIKAI ÉS INFOKOMMUNIKÁCIÓS ESZKÖZÖK HASZNÁLATÁRÓL A MÁV-START Zrt. indokolt esetben a munkakörhöz kapcsolódó feladatok elvégzése céljából munkahelyi számítógépet, okostelefont, egyéb informatikai és infokommunikációs eszközt, elektronikus levelezési címet, belső hálózati tárhely hozzáférést és Internet-hozzáférést biztosít a munkavállalóknak. A fenti eszközök munkavégzés céljára szolgálnak, a velük végzett tevékenységet a MÁV-START Zrt. esetenként ellenőrzi. Nem előírásszerű használat esetén a használati jog megvonásra kerülhet, a biztonság szándékos megkerülése tényfeltáró vizsgálatot, illetve hátrányos jogkövetkezmény megállapítására vonatkozó munkáltatói intézkedést vonhat maga után. Jogainak megsértése esetén az érintett munkavállaló az adatkezelő ellen bírósághoz fordulhat, illetve kezdeményezheti a Nemzeti Adatvédelmi és Információszabadság Hatóság eljárását.
NYILATKOZAT Alulírott ……………………………………… (anyja neve:……………..……………………, szül. hely:.…………..…………., szül. idő:….………..…………) a fenti tájékoztatást tudomásul vettem. Beleegyezem, hogy a MÁV-START Zrt. a fenti eszközök általam történő használatát ellenőrizze.
dátum: ……..………………
…………………………………. munkavállaló aláírása
A nyilatkozatot a MÁV-START Zrt. megbízásából átvettem: …………………………
…………………………
név
aláírás
Készült 2 pld-ban. 1. sz. pld.: érintett 2. sz. pld.: MÁV-START Zrt. Humán
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 95 2. számú melléklet NYILATKOZAT magánjellegű és személyes adatok eltávolításáról Alulírott ……………………………………… (anyja neve:……………..……………………, szül.
hely:.…………..……………….,
szül.
idő:….………..…………)
elismerem,
hogy
a
MÁV-START Zrt. munkavégzés céljából részemre: munkahelyi számítógépet, hordozható számítógépet, informatikai hálózati hozzáférést, kézi számítógépet (PDA, Palm PC), elektronikus levelezési címet Internet-hozzáférést Okostelefont ……………………………………… biztosított. Kijelentem, hogy a mai napon a fent felsorolt eszközökön, a hálózati meghajtókon és a levelező rendszerben lévő postafiókomban az általam használt anyagokat (dokumentumok, táblázatok, bemutatók, programok, levelek, zenék, fényképek, videók) leellenőriztem. A magánjellegű és személyes adataimat tartalmazó anyagokat eltávolítottam.
dátum: ……..………………
…………………………………. munkavállaló aláírása
A nyilatkozatot a MÁV-START Zrt. megbízásából átvettem: ………………………… név
………………………… aláírás
Készült 2 pld-ban. 1. sz. pld.: érintett 2. sz. pld.: MÁV-START Zrt. Humán
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 96 3. számú melléklet ADATVÉDELMI TÁJÉKOZTATÓ ÉS NYILATKOZAT 2 KOMMUNIKÁCIÓS ESZKÖZÖK HASZNÁLATÁRÓL A MÁV-START Zrt. indokolt esetben diszpécsertelefont, mozdonyrádiót, vagy más kommunikációs eszközt biztosít a munkavállalóknak. A fenti eszközök munkavégzés céljára szolgálnak, a velük végzett tevékenységet a MÁV-START Zrt. esetenként ellenőrzi. Nem előírásszerű használat esetén a használati jog megvonásra kerülhet.
NYILATKOZAT
Alulírott ……………………………………… (anyja neve:……………..……………………, szül. hely:.…………..…………., szül. idő:….………..…………) a fenti tájékoztatást tudomásul vettem. Beleegyezem, hogy a MÁV-START Zrt. a fenti eszközök általam történő használatát ellenőrizze.
dátum: ……..………………
……………………………. munkavállaló aláírása
A nyilatkozatot a MÁV-START Zrt. megbízásából átvettem: ………………………… név
………………………… aláírás
Készült 2 pld-ban. 1. sz. pld.: érintett 2. sz. pld.: MÁV-START Zrt. Humán
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 97 4. számú melléklet ADATVÉDELMI TÁJÉKOZTATÓ A MÁV-START Vasúti Személyszállító Zrt. (továbbiakban: MÁV-START Zrt.) az utasainak és más ügyfeleinek a személyes adatát az alábbi célok érdekében kezeli: részükre menetjegyek és helyjegyek biztosítása és azok nyilvántartása, kedvezményes utazásra jogosító kártyák és igazolványok elkészítése, nyilvántartása, használatának ellenőrzése, panaszok és észrevételek intézése, utazás alatti vagyonvédelem és testi épség biztosítása, a velük szemben fennálló követelések érvényesítése.
Az ilyen adatkezeléshez az utas a menet- és helyjegy-igényének kinyilvánítása, illetve a kártya, az igazolvány igénylése, továbbá az észrevételének vagy panaszának közlése során tett nyilatkozatával; illetve (tájékozott beleegyezést követően) az utazás megkezdésével járul hozzá. A felsoroltaktól eltérő (pl. marketing) célok esetében a MÁV-START Zrt. kizárólag akkor kezeli utasa és más ügyfele személyes adatát, ha az adatkezelés céljáról az érintettet tájékoztatta, és ahhoz az érintett kifejezetten hozzájárult. A személyes adatokat az adatkezelés céljához illeszkedő időtartamig (a panasz, észrevétel elintézéséig, a hozzájáruló nyilatkozat visszavonásáig, az érvényesített követelés statisztikai feldolgozásáig, stb.), illetve az ezekhez a műveletekhez kapcsolódó adóügyi, vagyonvédelmi és más előírások szerinti határidőig kezeli. A MÁV-START Zrt. kötelezi magát arra, hogy gondoskodik utasai és más ügyfelei általa kezelt személyes adatainak biztonságáról. Megteszi azokat a technikai és szervezési intézkedéseket és kialakítja azokat a belső eljárási szabályokat, amelyek biztosítják, hogy a kezelt (felvett, tárolt, stb.) adatok védettek legyenek. A személyes adatokat fokozott biztonságú informatikai rendszerekben, nem nyilvános módon kezeli. Megakadályozza azok véletlen megsemmisülését, jogosulatlan felhasználását és jogosulatlan megváltoztatását. Biztosítja, hogy a személyes adatokat csak az illetékes munkaköröket betöltő személyek ismerhessék meg, magas szintű hozzáférési kontrollok alkalmazása mellett. Az internet használatával továbbításra kerülő adatok tekintetében fokozott biztonságú védelmi intézkedéseket tesz. A MÁV-START Zrt. a rendelkezésére bocsátott személyes adatok feldolgozásához – az érintett hozzájárulásával – külső adatfeldolgozót vehet igénybe, amely a neki átadott adatokon csak technikai műveleteket végez (például számítógépes rendszerben való tárolás, megőrzés). A MÁV-START Zrt. a külső félnél végzett adatfeldolgozás jogszerűségéért ugyanúgy felel, mint saját adatkezeléséért, amit az adatfeldolgozóval kötött írásos szerződéssel biztosít. A MÁV-START Zrt. kötelezi magát arra is, hogy adatvédelmi kötelezettségeinek teljesítésére felhívja minden olyan harmadik fél figyelmét, amelynek az adatokat továbbítja vagy átadja. Az utas a MÁV-START Zrt. Központi Ügyfélszolgálatán (levélben: 1426 Budapest, Pf.: 56., telefonon: MÁVDIREKT 06 (40) 49 49 49, külföldről hívható +36 (1) 444 44 99, faxon: +36-1-5112093, e-mailben:
[email protected]) bármikor tájékoztatást kérhet kezelt személyes adatairól, kérheti azok helyesbítését, illetve – a jogszabályban elrendelt adatkezelések kivételével – az adatbázisból való törlését.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 98 5. számú melléklet ADATVÉDELMI TÁJÉKOZTATÓ MATRICA
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 99 3.3. Adatmegsemmisítés: az adatok, vagy az 25/2014. (II. 12. MÁV-START Ért. 9.) sz. azokat tartalmazó adathordozó teljes fizikai vezérigazgatói utasítás a MÁV-START Zrt. megsemmisítése. Üzletitok-védelmi Szabályzata 3.4. Adattörlés: az adatok felismerhetetlenné 1.0 AZ UTASÍTÁS CÉLJA tétele oly módon, hogy helyreállításuk többé nem lehetséges. Az utasítás célja a MÁV-START Zrt-nél (a továbbiakban: Társaság) az üzleti titok 3.5. Belső adat: a Társaság tevékenységéhez fogalmának, az abba tartozó adatok körének, az kapcsolódó olyan adat, amelynek a védelméhez üzleti titokká minősítés eljárási rendjének, méltányolható érdek fűződik, és nyilvánosságra továbbá az üzleti titokká minősített adatok kerülése sértené a Társaság érdekeit, de az kezelésének, felhasználásának és védelmi szaüzleti titok kategóriába nem sorolható, annál bályainak meghatározása a Polgári Törvénykevésbé fontos tartalommal bír. könyvről szóló törvény (a továbbiakban: Ptk.) 3.6. Betekintési engedély: a minősítő vagy a rendelkezéseivel összhangban. címzett által az üzleti titok megismerésére írásban adott felhatalmazás. 2.0. HATÁLY ÉS FELELŐSSÉG 3.7. Betekintő: az a természetes személy, aki MEGHATÁROZÁSA a betekintésre munkakörénél fogva jogosult, 2.1. Az utasítás hatálya illetve akinek munkaköre ellátásához az üzleti Az utasítás hatálya kiterjed a Társaság valatitok megismerése szükséges, és a minősítő mennyi szervezeti egységére és munkavállalóvagy a címzett feljogosította a szóban forgó jára, valamint a MÁV-START Zrt. Igazgaadat megismerésére vagy kezelésére. tósága és MÁV-START Zrt. Felügyelő Bizott3.8. Címzett: az a természetes személy, akisága tagjaira, a két szervezet ügyrendjében nek a minősítő rendelkezése alapján a dokuszabályozott kiegészítésekkel és eltérésekkel. mentum megküldésre került, vagy megküldhető. 2.2. Az utasítás kidolgozásáért és karbantartásáért felelős 3.9. Elektronikus dokumentum: elektronikus eszközzel készített, és azzal értelmezhető Az utasítás kidolgozásáért és karbantartásáért a adat. Biztonság vezetője felelős. 3.10. Érvényességi idő: az év, hó, nap szerint 3.0. FOGALOMMEGHATÁROZÁSOK feltüntetett időpont, amelynek eléréséig a minősítési jelöléssel ellátottadat megismerését 3.1. Adat: az információ hordozója, a tények, a jogszerű minősítés korlátozza. fogalmak vagy utasítások formalizált ábrázolása, amely az emberek, vagy automatikus 3.11. Érzékeny adat: a személyes adat, a eszközök számára közlésre, megjelenítésre belső adat és a (titokká) minősített adat vagy feldolgozásra alkalmas. együttes elnevezése. 3.2 Adathordozó: a papír és azok a számító3.12. Illetéktelen személy: aki a minősített gépes alkatrészek, amelyekre a munkához adat megismerésére nem jogosult. szükséges adatokat menteni, tárolni lehet, 3.13. Közérdekű adat: az állami vagy helyi illetve a hordozható változataikkal gép-gép önkormányzati feladatot valamint jogszabályközött adatcserét lehet megvalósítani, például: ban meghatározott egyéb közfeladatot ellátó - mágneses elven működő egységek (pl.: szerv vagy személy kezelésében lévő, valamint FDD, HDD, IBM Microdrive), a tevékenységére vonatkozó, a személyes adat - az optikai adattárolás elvén működő fogalma alá nem eső, bármilyen módon vagy adathordozók (pl.: CD, DVD, Blu-Ray formában rögzített információ vagy ismeret, Disc (BD) ) memóriakártyák (pl.: Smart függetlenül kezelésének módjától, önálló vagy Media, Compact Flash, SDHC), gyűjteményes jellegétől. - USB, soros, IRDA portra csatlakoztatható 3.14. Közérdekből nyilvános adat: minden eszközök (pl.: pen-drive, okostelefon, olyan természetes személy, jogi személy, vagy fényképezőgép, zenelejátszók, videojogi személyiséggel nem rendelkező szervezet kamerák). kezelésében lévő vagy rá vonatkozó, 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 100 szerzése vagy felhasználása a jogosult – ide nem értve a magyar államot – jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette. Nem minősül üzleti titoknak az állami és a helyi önkormányzati költségvetés, illetve az európai közösségi támogatás felhasználásával, költségvetést érintő juttatással, kedvezménnyel, az állami és önkormányzati vagyon kezelésével, birtoklásával, használatával, hasznosításával, az azzal való rendelkezéssel, annak megterhelésével, az ilyen vagyont érintő bármilyen jog megszerzésével kapcsolatos adat, valamint az az adat, amelynek megismerését vagy nyilvánosságra hozatalát külön törvény közérdekből elrendeli. A nyilvánosságra hozatal azonban nem eredményezheti az olyan adatokhoz – így különösen a technológiai eljárásokra, a műszaki megoldásokra, a gyártási folyamatokra, a munkaszervezési és logisztikai módszerekre, továbbá a know-howra vonatkozó adatokhoz – való hozzáférést, amelyek megismerése az üzleti tevékenység végzése szempontjából aránytalan sérelmet okozna, feltéve, hogy ez nem akadályozza meg a közérdekből nyilvános adat megismerésének lehetőségét. 3.26. Üzleti titok kezelése: az üzleti titkot képező adattal és ilyet tartalmazó dokumentummal vagy más adathordozóval végzett érdemi tevékenység és technikai művelet. 3.27. Szervezeti egységi üzletititok-kezelő (SZEÜTK): a szervezeti egységeknél az üzleti titkot tartalmazó papír alapú dokumentumok és más adathordozók kezelésével írásban megbízott feladatára kiképzett, felkészültségét sikeres vizsgával igazoló munkatárs. 3.28. Üzleti titok továbbítása: a minősítő rendelkezése alapján az üzleti titok megküldése más személy vagy szervezet részére, a jelen szabályzat előírása szerint.
a közérdekű adat fogalma alá tartozó adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli. 3.15. Minősített dokumentum, adathordozó: üzleti titkot, vagy belső adatot tartalmazó dokumentum, adathordozó. 3.16. Minősítés: az a döntés, amelynek meghozatala során a jelen szabályzatban felhatalmazott személy megállapítja, hogy egy adat a tartalmánál fogva a nyilvánosságát korlátozó üzleti titok vagy belső adat körbe tartozik. 3.17. Minősítő: az a természetes személy, aki a jelen szabályzat alapján minősítésre jogosult. 3.18. Nyilvánosságra hozatal: az üzleti titoknak a Társaság hatásköréből kikerülő, meghatározatlan körben, bárki részére biztosított megismerhetővé, hozzáférhetővé tétele. Az üzleti titok jogszerű nyilvánosságra hozatala a minősítés és védelmi intézkedések megszűnését jelenti. 3.19. Titkos Ügykezelési Iroda (TÜK): olyan fokozott védelemben részesített helyiség, melyben a Társaság szempontjából központi jelleggel, helyiségen belül megfelelően elzártan, kifejezetten csak üzleti titok minősítésű dokumentumokat, adathordozókat tárolnak. 3.20. Titokbirtokos: a minősítő, a címzett, valamint az a személy vagy szervezet, aki, vagy amely engedélyük alapján az üzleti titkot képező információt jogszerűen birtokolja, kezeli. 3.21. Titokköri jegyzék: azon adatkörök felsorolása, amelyeket a szervezet védeni kíván. 3.22. Titoksértés: jogtalan előnyszerzés végett, vagy másnak vagyoni hátrányt okozva üzleti titok jogosulatlan megszerzése, felhasználása, közlése vagy nyilvánosságra hozatala. 3.23. Titokvédelmi felügyelő: az a személy, aki a Társaság vezérigazgatójának felhatalmazása alapján szakmailag irányítja és ellenőrzi a titokvédelmi feladatok végrehajtását. 4.0. AZ UTASÍTÁS LEÍRÁSA 3.24. Ügykezelő: a Társaság azon beosztott munkavállalója, akik üzleti-titok készítésére és 4.1. Az üzleti titok védelmének általános betekintésre jogosult. szabályai 3.25. Üzleti titok: a gazdasági tevékenységhez Az SZMSZ előírásai szerint a Társaság minden kapcsolódó minden olyan tény, információ, munkavállalója köteles a munkája során megoldás vagy adat, amelynek nyilvánosságra tudomására jutott üzleti titkot, valamint hozatala, illetéktelenek által történő meg9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ a munkáltatóra, illetve a tevékenységére vonatkozó alapvető fontosságú információkat megőrizni. Ezen túlmenően sem közölhet illetéktelen személlyel olyan adatot, amely munkaköre betöltésével összefüggésben jutott a tudomására, és amelynek közlése a munkáltatóra vagy más személyre hátrányos következménnyel járna. A titoktartási kötelezettséget az 1. sz. melléklet szerinti Titoktartási Nyilatkozaton kell dokumentálni, amit az érintett személyi gyűjtőjében kell megőrizni. Az igazgatósági és a felügyelő bizottsági tagok szintén kötelesek 1. sz. melléklet szerinti Titoktartási Nyilatkozatot aláírni, és annak megfelelően a Társaság üzleti titkait vagy belső adatait megőrizni a gazdasági társaságokról szóló törvény rendelkezéseivel összhangban. Az üzleti titok megismerésére, a minősített dokumentumba történő betekintésre, az üzleti titokkal való rendelkezésre a szabályzat alapján jogosult személy: a) köteles az üzleti titok védelmére vonatkozó rendelkezéseket, a szabályzatban vagy más jogszabályokban meghatározott előírásokat megismerni, alkalmazni, b) köteles a tudomására jutott üzleti titkot az érvényességi időn belül az előírásoknak megfelelően megőrizni, c) a tudomására jutott üzleti titok tartalmát engedély nélkül sem szóban, sem írásban nem hozhatja illetéktelen személy tudomására, vagy nyilvánosságra. A titoktartási kötelezettség megszegéséért a munkavállaló polgári jogi, munkajogi, és büntetőjogi felelősséggel tartozik. A titoktartási kötelezettség megszegése megalapozhatja a munkavállaló munkaviszonyának rendkívüli felmondással történő megszüntetését. Aki jogtalan előnyszerzés végett, vagy másnak vagyoni hátrányt okozva üzleti titkot jogosulatlanul megszerez, felhasznál, más személy részére hozzáférhetővé tesz vagy nyilvánosságra hoz, bűntettet követ el, mellyel megvalósítja a Büntető Törvénykönyvről szóló 2012. évi C. törvény 418. §-ában foglalt üzleti titok megsértése megnevezésű bűncselekményt és vele szemben büntetőjogi felelősségre vonást kell kezdeményezni.
101 Üzleti titkot tartalmazó adatok nyilvánosságra hozatalát kizárólag a Társaság vezérigazgatója, és a külön engedéllyel nyilatkozattételre felhatalmazott vezetők végezhetik. Utóbbiak a nyilvánosságra hozatalt megelőzően kötelesek kikérni a minősítő véleményét, aki az adat egészének vagy részeinek kiadásáról írásban köteles dönteni. A nyilvánosságra hozatal nem előzheti meg az adat visszaminősítését. A nyilvánosságra hozott üzleti titkot tartalmazó dokumentumokat, adathordozókat a 4.3.1.3. A minősítés felülvizsgálata c. fejezet d) alpontjában előírtak szerint kell kezelni. Amennyiben az üzleti titoknak minősített adat kiszolgáltatását jogszabály, hatósági vagy bírósági határozat rendeli el, a határozatot el kell jutatani a minősítőhöz, aki a 4.3.1.3. pont alapján köteles gondoskodni az adat kezeléséről. Az a munkavállaló, aki papíralapú minősített dokumentum birtokába nem e szabályzat előírásai szerint jutott, köteles azt azonnal zárt borítékba helyezni, a Társaság titokvédelmi felügyelőjének, vagy ha ez körülményes lenne (pl. vidéki munkahelyen) közvetlen vezetőjének átadni, aki köteles az esetről jegyzőkönyvet felvenni és azt a szóban forgó dokumentummal együtt közvetlenül a biztonsági vezetőnek megküldeni. Az a munkavállaló, aki nem e szabályzat előírásai szerint jutott bármilyen módon elektronikus formában minősített dokumentumhoz és/vagy adathoz, köteles azt azonnal a közvetlen vezetőjének jelenteni. Kötelesek együttesen kivizsgálni – ha kell szakértők bevonásával – milyen módon jutott a munkavállaló a dokumentumhoz és/vagy adathoz. Az esetről jegyzőkönyvet kell felvenni, és azonnal értesíteni a titokvédelmi felügyelőt. A közvetlen vezetőnek le kell kapcsoltatnia számítógépet, és csak akkor lehet visszakapcsolni, ha a titokvédelmi felügyelő által kijelölt szakember a helyszínen megjelent és intézkedik a minősített dokumentum és/vagy adat további helyzetéről. A már felvett jegyzőkönyvet ki kell egészíteni a biztonság munkatársának tevékenységével. A jegyzőkönyvet kötelesek a biztonsági vezetőnek megküldeni.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Akinek tudomására jut, hogy üzleti titok illetéktelen személy részére hozzáférhetővé válhatott vagy ennek a veszélye fennáll, továbbá ha az üzleti titkot tartalmazó adathordozó ténylegesen vagy akár csak feltehetően elveszett, közvetlen vezetőjén keresztül haladéktalanul tájékoztatnia kell a minősítőt – ha ismert – és a biztonsági vezetőt. 4.2. A társaság titokvédelmében közreműködők és feladataik A Társaság titokvédelmének irányításában és végzésében közreműködik: a) a Biztonság állományában: - biztonsági vezető, - a Társaság titokvédelmi felügyelője, - központi üzletititok-kezelő, - információvédelmi szakértő, b) a Társaság munkaszervezeteinél: - minősítésre jogosult vezető, - szervezeti egység vezetője, - szervezeti egység üzletititok-kezelője, - üzleti titok kezelésére felhatalmazott ügyintéző. 4.2.1. A Társaság biztonsági vezetője a) a Társaság titokvédelmi felügyelője útján irányítja és ellenőrzi az üzleti titok védelmével kapcsolatos feladatok végrehajtását, b) felügyeli a Társaságnál keletkezett és más szervek által átadott, üzleti titoknak minősített adatok védelmi rendszerének adminisztratív, személyi biztonsági, technikai, fizikai, kommunikációs, ellenőrzési és felügyeleti elemeken alapuló kiépítését és működését, c) az üzleti titok és belső adat védelmével kapcsolatos feladatok végrehajtására egyedi ügyekben állásfoglalást, általános ügyekben útmutatót ad ki, d) állást foglal az üzleti titok és belső adat minősítésével és kezelésével kapcsolatos kérdésekben, e) évente értékeli a Társaság titokvédelmi helyzetét, és arról írásban beszámol a Társaság vezérigazgatójának. 4.2.2. A Társaság titokvédelmi felügyelője A funkciót a Biztonság információbiztonsági koordinátora gyakorolja. Feladatai: a) a központi üzletititok-kezelő és az információvédelmi szakértők közreműködésével
102 ellátja a Társaság szervezeti egységei üzletititok- és belsőadat-védelmi tevékenységének szakirányítását és szakfelügyeletét, b) gondoskodik az üzletititok-, és belsőadatvédelem Társaságon belüli szabályozásáról, a titokvédelmi rendelkezések betartásáról, ellenőrzési rendszerének kiépítéséről, c) üzletititok-sértés gyanúja esetén intézkedik annak kivizsgálására, kezdeményezi az üzleti titok védelmét veszélyeztető tényezők megszüntetését, d) a Társaság pénzügyi, gazdasági, piaci érdekei védelmében ellenőrzi az üzletititokkezelés gyakorlatát és szabályszerűségét, e) állást foglal az üzleti titok minősítésével és kezelésével kapcsolatos kérdésekben, f) a biztonsági vezetőnél kezdeményezi a szükséges intézkedések meghozatalát, g) megszervezi a titokvédelmi oktatást és vizsgáztatást, h) gondoskodik az üzleti titok kezelésének rendszeres, továbbá a belső adat kezelésének időszakos ellenőrzéséről, i) gondoskodik a Titkos Ügykezelési Iroda (TÜK) fenntartásáról, az ott tárolt dokumentumok fizikai és adminisztratív védelméről j) a Kabinet vezetőjénél kezdeményezi a Felügyelő Bizottság és az Igazgatóság tagjainak, valamint a Társaság mindenkori könyvvizsgálójának megküldésre / átadásra került és a címzettnél feleslegessé / elintézetté vált, minősített adatot tartalmazó dokumentumok visszavételét. 4.2.3. A központi üzletititok-kezelő (KÜTK) A funkciót a Biztonság információvédelmi szakértője gyakorolja, akit a biztonsági vezető javaslatára a vezérigazgató írásban bíz meg. A központi üzletititok-kezelő és a titkos ügykezelés (TÜK) vezető munkakört ugyanaz a személy tölti be. Feladatai: a) összeállítja és karbantartja a Társaság üzletititok-köri jegyzékét (3. sz. melléklet), b) közreműködik a biztonsági vezető és a titokvédelmi felügyelő által elrendelt titokvédelmi ellenőrzések végrehajtásában, és maga is kezdeményez, végez ilyeneket, c) kezeli az üzleti titkot tartalmazó dokumentumokat, adathordozókat, d) szakmailag koordinálja a szervezeti egységek üzletititok-kezelőinek a munkáját,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 103 e) elvégzi az üzleti titkot tartalmazó dokumentumok központi iktatását, kezelését, f) a minősítés megszüntetését/lejártát követő 3 évig tárolja az üzleti titkot tartalmazó dokumentumok irattári példányát, g) szakmai segítséget nyújt a minősítők, a szervezeti egységi üzletititok-kezelők és az ügyintézők részére, h) nyilvántartja a szervezeti egységek üzletititok-kezelőit, tárolja megbízóleveleiket, i) gondoskodik TÜK iroda biztonságának megőrzéséről, a belépések során jelenlétével felügyelet elvégzéséről, a dokumentumokhoz való hozzáférésről, j) minden év végén jelentés készítése a titokvédelemről a Társaság titokvédelmi felügyelője részére. 4.2.4. Az információvédelmi szakértő a) kidolgozza és karbantartja a titokvédelmi normákat, b) ellenőrzi a számítógépeken és az elektronikus adathordozókon az üzleti titok és belső adat minősítésű anyagok, ezek előzményei, munkapéldányai kezelését, továbbítását, törlését, illetve az adathordozók előírásnak megfelelő tárolását, c) részt vesz az üzletititok-védelem terén bekövetkezett titoksértés, veszélyeztetés kivizsgálásában, d) szakmai segítséget nyújt a minősítők, az ügyintézők és az üzletititok-kezelők részére, e) részt vesz a titokvédelmi oktatások előkészítésében és lebonyolításában. 4.2.5. A minősítésre jogosult vezető Adatok üzleti titokká minősítésére jogosult: a) vezérigazgató (korlátozás nélkül jogosult a minősített dokumentumok felülvizsgálatára és ennek során a 4.3.1.3. pont szerinti minősítési eljárásokra), b) vezérigazgató-helyettes, c) kabinet vezetője, d) vezérigazgatói közvetlen irányítás alatt álló szervezetek vezetői. Szervezeti egységénél a minősítő: a) gondoskodik jelen szabályzat előírásainak végrehajtásáról, az üzleti titok védelméről, a védelmet megvalósító technikai eszközök megfelelő állapotáról, b) irányítja és ellenőrzi az üzleti titkot tartalmazó dokumentumok kezelésével
megbízott üzletititok-kezelője munkáját, c) minősíti az alárendeltségébe tartozó szervezeti egységnél keletkezett információt, d) kiadja az általa minősített, és a munkavégzéssel összefüggésben szervezetéhez érkezett minősített adatra vonatkozó betekintési engedélyt, e) biztosítja a hozzá a munkavégzéssel összefüggésben, külső szervezettől érkezett, üzleti titok jelzéssel ellátott adatok megfelelő titokvédelmét. A minősítő felelős az általa irányított területen azért, hogy: a) a minősítés minden olyan adatra kiterjedjen, amit a titokköri jegyzék előír, b) a minősített dokumentumok nyilvántartását és kezelését a jelen szabályzat szerint szervezzék meg és végezzék, c) a minősített dokumentumok útja pontosan követhető és ellenőrizhető legyen, d) a minősített dokumentum biztonságos kezeléséért és őrzéséért fennálló személyi felelősség megállapítható legyen. A minősítőt munkajogi felelősség terheli a minősítés indokolatlan elmaradásával okozott kárért. 4.2.6. A szervezeti egység vezetője Ha a vezető a beosztásánál fogva titokvédelmi minősítésre jogosult, akkor titokvédelmi feladatai végzésében az előző pont rendelkezéseit kell alkalmazni. Ha minősítésre nem jogosult, akkor az alábbiak szerinti feladatokat kell végeznie, ha titokbirtokossá azért válik, mert szervezetéhez minősített okmány érkezik, vagy ott ilyen készül: a) gondoskodik jelen szabályzat előírásainak végrehajtásával az üzleti titok védelméről, biztosítva, hogy az üzleti titkot tartalmazó dokumentumok, adathordozók a keletkezésüktől, illetőleg a beérkezésüktől kezdve jelen utasítás szerint legyenek megjelölve, kezelve, b) kiadja a hozzá a munkavégzéssel összefüggésben érkezett, minősített adatra vonatkozó betekintési engedélyt – abban az esetben, ha ő az irat eredeti címzettje - az ügyintézőnek, c) minősítési javaslattal felterjeszti a minősítésre jogosult vezetőjéhez az általa irányított szervezeti egységnél készített olyan dokumentumot, amely a titokköri jegyzék alapján üzleti titoknak minősül.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.2.7. A szervezeti egység üzletititok-kezelője A minősítésre feljogosított vezető az általa vezetett szervezeti egységnél köteles írásban üzletititok-kezelőt, lehetőség szerint helyettesítő személyt is megbízni, személyivagy szervezeti változás esetén pedig intézkedni a megbízólevél visszavonásáról. A megbízólevél (4. sz. melléklet) egy-egy példányát meg kell küldeni a biztonsági vezetőnek és a Humán Szervezetnek. Feladata: a) az üzleti titkot tartalmazó dokumentumok címzettek részére való továbbításával, átadásával, átvételével kapcsolatos feladatok végrehajtása, b) a szervezeti egységnél készült vagy más szervtől érkezett, üzleti titkot tartalmazó dokumentumok átvétele, előzetes nyilvántartásba vétele, a központi üzletititokkezelő részére történő átadása központi nyilvántartásba vételhez, c) az üzleti titkot tartalmazó dokumentumok szabályszerű elkészítésének biztosítása, a továbbítás céljából történő előkészítése, záradék (6. számú melléklet, utolsó lap) valamint az Elosztójegyzék (5. sz. melléklet) szerinti sokszorosítása, csomagolása, d) a dokumentumoknak az üzleti titok kezelésére felhatalmazott ügyintéző részére történő továbbításával, átadásával, átvételével, tárolásával kapcsolatos feladatok végrehajtása, az ügyintéző elszámoltatása a dokumentumokkal. 4.2.8. Üzleti titok kezelésére felhatalmazott ügyintéző Ügyintézésre átvett minősített dokumentumot kezelő, vagy ilyet készítő munkavállaló köteles gondoskodni róla, hogy: a) jelen szabályzat előírásai érvényesüljenek, biztosítva, hogy az üzleti titkot tartalmazó dokumentum, adathordozó a keletkezésétől, illetőleg beérkezésétől kezdve előírásszerűen legyen kezelve és az ügyintézés befejezéséig tárolva, b) minősített dokumentum készítése során jelen utasítás 4.3.3.1. pontjában előírtak alkalmazása, c) a munka- és rontott példányok a jelen utasítás 4.3.3.10. pontja szerint legyenek megsemmisítve,
104 d) a számítógépen keletkezett ideiglenes állományok biztonságosan, vissza nem állíthatóan kerüljenek törlésre, e) a minősített dokumentum az ügy elintézését követően a lehető legrövidebb időn belül visszakerüljön ahhoz, akitől ügyintézésre átvette. 4.3. Az üzleti titok védelmének speciális szabályai 4.3.1. A minősítés szabályai 4.3.1.1. A minősítési eljárás rendje Egy adott dokumentum elkészítése előtt a készítő szervezeti egység vezetője: - ha minősítési jogkörrel rendelkezik, akkor saját hatáskörben minősít (dönt a dokumentum, illetve az azon található adatok védelméről) a Titokköri jegyzék figyelembe vételével, - ha nem rendelkezik minősítési jogkörrel, kikéri a felettes minősítéssel rendelkező vezető véleményét, aki a készítendő dokumentumot előzetesen a Titokköri jegyzék figyelembe vételével minősíti. A minősítőnek kétséget kizáróan meg kell állapítania, hogy a Társaság gazdasági tevékenységéhez kapcsolódó konkrét adat nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a Társaság jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, nyilvánosságra kerülése a gazdasági versenytársak, illetve az üzleti szférában harmadik fél számára jogosulatlan előnyt biztosítana. A titokvédelem azonban ne kerüljön többe az eltitkolni kívánt információ nyilvánosságra kerülésével vélhetően keletkező kárnál. A minősítést elmulasztó személyesen felelős az ezzel okozott kárért. Kétség esetén a Jog vezetőjétől, a biztonsági vezetőtől, vagy a titokvédelmi felügyelőtől kell szakmai állásfoglalást kérnie. Nem lehet üzleti titokká minősíteni jogszabályban közérdekű adatnak minősített adatokat, illetve azt az adatot, amibe jogszabály (számviteli törvény, közbeszerzési törvény, stb.) felhatalmazása alapján bárki betekinthet. Az üzleti titokká minősítés érvényességi időtartama a minősítés napjától számított legfeljebb 5 év, ami a minősítés felülvizsgálatakor a Társaság üzleti érdekeit
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ figyelembe véve, egy alkalommal, további legfeljebb 5 év időszakra meghosszabbítható. Amennyiben az adat titokban tartásáról jogszabály, hatósági határozat vagy szerződés rendelkezik, úgy az érvényességi időtartam az abban foglalt időtartam, ennek hiányában öt év. A minősítő a minősítéssel egyidejűleg a minősített dokumentum különleges kezeléséről is rendelkezhet és a minősített adat hordozóján – ha ezt az adathordozó jellege kizárja, akkor külön kísérőlapon vagy az elektronikus minősített adattól adminisztratív módon elválaszthatatlan kezelésű adatállományban – valamint annak csomagolásán a következő különleges kezelési utasításokat alkalmazhatja: a) „Saját kezű felbontásra!” b) „Más szervnek nem adható át!” c) „Nem sokszorosítható!” d) „Kivonat nem készíthető!” e) „Elolvasás után visszaküldendő!” f) „Zárt borítékban tárolandó!” g) „Sürgős!” A minősítő a minősítést követően intézkedik a szervezeti egység üzletititok-kezelője felé a minősített dokumentum nyilvántartásba vételére, és a jelen szabályzatban meghatározottak elvégzésére. A központi üzletititokkezelő részére továbbításra kerülő példányon a minősítő eredeti aláírását el kell helyezni, valamint a készítés során keletkezett munkaállományok megsemmisítésének igazolását is rögzíteni kell. 4.3.1.2. A minősítés formai követelményei a) A minősítési eljárás a dokumentum készítésével kezdődik. A titokköri jegyzékben szereplő adatfajták esetében a minősítés kötelező. b) A minősítési eljárás során a minősítést és a dokumentum alapadatait a dokumentum első, míg a minősítési záradékot a dokumentum utolsó lapján kell feltüntetni (6. sz. melléklet). Az előterjesztések rendjéről szóló utasítás szerint készített dokumentumok esetében az ott meghatározott formai követelményeket ki kell egészíteni a jelen utasításban megszabott alaki kellékekkel is. c) A minősített dokumentum 6. számú melléklet szerinti első lapján fel kell tüntetni: ca) a minősítési jelölést („ÜZLETI TITOK!”),
105 cb) a központi iktatószámot, ezen szabályzat szerint, cc) a példány sorszámát, cd) az ügyirat tárgyát, ce) a minősítő személy nevét, cf) a minősítő személy beosztását, cg) a munkahelyi telefonszámát, ch) a minősítés időpontját, ci) az érvényesség határidejét, cj) a minősítés alapját képező titokköri jegyzékbeli pontot, ck) a minősítő aláírását. d) A minősített dokumentum 6. számú melléklet szerinti utolsó lapján a záradékban kell feltüntetni: da) a készített dokumentum össz-példányszámát, db) a készített dokumentum lapszámát, dc) mellékletek esetén azok példányszámát, oldalainak számát, dd) a készítő személy nevét, szervezetét, munkahelyi telefonszámát, de) a címzett részére továbbítandó példány sorszámát és típusát (eredeti, másolat), a címzett személyek nevének, szervezetének és beosztásának megnevezését. e) A minősített dokumentum mindegyik oldalán fel kell tüntetni: ea) a dokumentum fejlécében: „ÜZLETI TITOK!”, eb) a dokumentum láblécében: „ÜZLETI TITOK!” jelölést. f) Abban az esetben, ha az előírt adatok feltüntetésére az adathordozón annak sajátos jellege miatt nincs mód, a minősítés tényét külön iratba kell foglalni. Ez az irat a továbbiakban az adathordozó elválaszthatatlan részét képezi. 4.3.1.3. A minősítés felülvizsgálata A minősítés felülvizsgálatára az adat minősítője vagy jogutódja köteles. A vizsgálatot minden év januárjában, továbbá a minősítés lejárta előtt 30 nappal el kell végezni. Soron kívül el kell végezni a felülvizsgálatot a szerv jogutód nélküli megszűnése esetén. A minősítést felülvizsgáló személy a felülvizsgálat során jogosult: a) a minősítés megszüntetésére, b) az érvényességi idő meghosszabbítására (egy alkalommal, újabb legfeljebb 5 évig), c) az érvényesség fenntartására, d) a minősítés megszüntetésére az adat nyilvánosságra hozatalával egyidejűleg.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Abban az esetben, ha a felülvizsgálat eredménye „c) az érvényesség fenntartása” pont szerinti, csak a központi üzletititokkezelőt kell írásban tájékoztatni. Amennyiben a felülvizsgálat során a minősítés megszűnik, azt a dokumentumon „A minősítés megszüntetve” feljegyzés rávezetésével kell jelölni. A minősítés időtartamának megváltoztatását „Az érvényesség időtartama megváltozott, új érvényességi idő: …….-ig” szöveg feltüntetésével kell jelezni az év, hónap, nap megjelölésével. A felülvizsgálatra vonatkozó feljegyzés mellett fel kell tüntetni a felülvizsgálat időpontját, a felülvizsgálatot végző személy nevét, beosztását, aláírását. A minősítő személynek írásban tájékoztatnia kell a dokumentum címzettjeit a felülvizsgálat eredményéről. Az értesítés alapján a címzettek kötelesek a birtokukban lévő példányokra a felülvizsgálat eredményét rávezetni. A központi üzletititok-kezelő (a TÜK vezető) részére a minősítő saját kezű eredeti aláírt példányát kell küldeni, amely az irattári példány melletti Elosztójegyzékkel együtt kerül megőrzésre. A minősítés megszüntetetését követően a dokumentumot a Társaság ügyviteli utasításának előírásai szerint kell kezelni. Az Ügyviteli utasításban meghatározott tárolási időt az irat minősítésének megszűnésétől kell számolni. 4.3.2. A betekintési jogosultság szabályozása A betekintési jogosultság szabályozásának alapját egy adott üzleti titok megismerése iránti jogos szervezeti igények feltárása jelenti. Minden olyan személy esetében, akinek a vizsgálat megállapításai szerint a munkájához szükséges az adott üzleti titokká minősített adat megismerése vagy birtoklása, meg kell vizsgálni, hogy esetében adottak-e az üzleti titok védelméhez szükséges személyi és tárgyi feltételek. Ha feltételek rendelkezésre állnak, akkor az üzleti titkot tartalmazó dokumentum az érintett részére kiadható, egyébként csak felügyelettel a TÜK irodában tekinthet be a dokumentumba. A feltételek meglétének kivizsgálását a minősítőnek kell kezdeményeznie és neki, vagy megbízottjának kell ellenőriznie.
106 A betekintési engedély a minősítő vagy a más szervtől érkező üzleti-titok esetén a címzett által kizárólag írásos formában adható, amely vonatkozhat egy konkrét adatra vagy valamely adatfajtára. Az adatfajtára vonatkozó betekintési jog abban az esetben engedélyezhető, ha az adott adatfajta feldolgozása a betekintő rendszeresen végzendő munkaköri feladatát képezi. A munkavállaló feladataitól függően ez a jog megadható és visszavonható. Visszavonás esetén a betekintőnek kötelezően vissza kell szolgáltatnia a megfelelő dokumentumot. A betekintő külön erre szóló engedély nélkül nem készíthet a dokumentumról sem papír alapú, sem elektronikus másolatot, azt illetéktelennek nem továbbíthatja és nem hozhatja tudomására. 4.3.2.1. A betekintési jog közreműködői szinthez rendelése Általános, minden titokkörre kiterjedő betekintési jogosultsággal rendelkezik: a) vezérigazgató, b) vezérigazgató-helyettes, c) az előzőek menedzserasszisztense, szakmai titkára, d) Kabinet vezetője, e) biztonsági vezető, f) titokvédelmi felügyelő, g) központi üzletititok-kezelő, h) belső ellenőrzési vezető. Korlátozott (szakirányú, de az általuk vezetett területen előforduló minden titokfajtára kiterjedő) betekintési jogosultsággal rendelkeznek a munkáltatói jogkörgyakorló vezetők és a szervezeti egységi üzletititok-kezelők. A minősítésre jogosult az általa minősített, a címzett pedig a neki megküldött adatra korlátlan betekintési jogosultsággal rendelkezik. Üzleti titkot képező adat felhasználásával folytatott, és az ilyen minősítésű adatot / dokumentumot eredményező rendezvényen részt vevők – a 4.3.4. pontban felsorolt külön szabályok betartása mellett – megismerhetik az ott tárgyalt üzleti titkot. A Belső Ellenőrzés ellenőrzési szakértői és titokvédelmi ellenőrzést végző más személyek az ellenőrzés céljához illeszkedő, az ellenőrzési tervben előzetesen rögzített adatkörben, külön eseti engedély nélkül megismerhetik az üzleti titkot.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Az ügyintézőknek szóló eseti betekintési engedély megadása a dokumentumnak a munkavállaló (ügyintéző) nevére történő kiszignálásával valósul meg. A betekintési engedéllyel rendelkezők (a továbbiakban: betekintők) az engedélyben, valamint a jelen szabályzatban meghatározottak szerint kötelesek jogosítványukat gyakorolni. 4.3.2.2. Betekintés az informatikai rendsze rekben A minősített (üzleti titkot képező adatokat tároló és feldolgozó) informatikai rendszerekben a betekintési jogosultság érvényesítése a hozzáférési jogosultság megadásával és beállításával történik. A minősítő engedélye alapján kerülhet beállításra, hogy az adott rendszerben a betekintő (felhasználó) milyen műveleteket végezhet (olvasás, írás, módosítás, törlés, programvégrehajtás). A jogosultság beállítását az érvényes informatikai és informatikai biztonsági szabályzatok előírásaival összhangban kell elvégezni. A hozzáférési jogosultságot az adatot tartalmazó alkalmazásért (számítástechnikai alrendszerért) felelős üzleti tulajdonos engedélye alapján az alkalmazás rendszergazdája állítja be. A hozzáférési jogosultság beállítását – azaz a betekintési engedély megadását – a betekintő közvetlen munkahelyi vezetőjének kell kezdeményeznie az üzleti tulajdonosnál / megbízottjánál. A betekintési jogosultság felülvizsgálatát, aktualizálását az üzleti tulajdonosnak a hatályos Informatikai Biztonsági Szabályzat előírásai szerint kell végeznie. 4.3.3. Minősített dokumentumok készítése és kezelése 4.3.3.1. Dokumentum előállítása Üzleti titok minősítésű dokumentum előállítására a minősítésre feljogosított vezetők, a megbízott üzletititok-kezelők és az adott ügyben betekintési joggal felruházott ügykezelők jogosultak. A dokumentumot az erre a célra műszakilag felkészített munkaállomáson / számítógépen – beleértve a munka céljára kiadott lap-topot – (a továbbiakban együttesen: számítógép) kizárólag védett formában szabad előállítani, tárolni. A minősített adatok védelmét biztosítja a számítógépen rejtjelezett
107 formában történő tárolás pl.: TrueCrypt, AxCrypt alkalmazásnak, vagy a számítógép operációs rendszerének a felhasználásával. Amennyiben az operációs rendszer által biztosított titkosítást választja az ügykezelő, akkor a technikai megvalósításban az Informatika, vagy az informatikai szolgáltató támogatását kell kérnie. A minősített dokumentum elektronikus formában történő ideiglenes tárolása esetén a szövegszerkesztő, táblázatkezelő által támogatott, „megnyitásra” és „módosításra” feljogosító erős jelszóval (minimum 8 karakter hosszú, nagy-, kisbetű számok kombinációjából) kell ellátni. A számítógépeket jelszavas képernyővédelemmel kell ellátni, amit az ügykezelő köteles aktiválni – függetlenül a központi házirendben erre vonatkozóan meghatározottaktól – ha bekapcsolt állapotban otthagyja a számítógépet. A Társaság központi szerverein üzleti titkot tartalmazó adatállományt csak titkosított módon szabad tárolni. A tárolási hely kötelezően a minősítő részére egyedi felhasználásra biztosított tárterület (jellemzően az O: meghajtó). A másolás végrehajtására fel kell kérni az informatikai szolgáltató támogatását. Az ügykezelő számítógépéről a dokumentumot, vagy adatokat biztonságosan le kell törölni. Ennek elmulasztása és minden ebből eredő bármely probléma az ügykezelőt terheli. Az elkészített dokumentum nyomtatását lehetőleg a számítógéphez közvetlenül csatlakoztatott nyomtatón kell végezni az engedélyezett példányszámban. . A Könyves Kálmán körúti irodaházban, ahol központi nyomtatók üzemelnek, a 9. sz. mellékletben található leírás szerint kell a nyomtatást végrehajtani. A hibás nyomtatások esetén a 4.3.3.10. pont szerint kell eljárni. Bármely hibás példány nyilvánosságra kerülése munkáltatói intézkedést vonhat maga után. Az üzleti titkot tartalmazó dokumentum készítése során keletkezett fogalmazvány, munkapéldány, ideiglenes számítógépes állomány, stb. megsemmisítéséért, illetve törléséért az ügykezelő a felelős, amit a ügykezelő közvetlen vezetője köteles ellenőrizni. Ennek tényét az irattári példányon rögzíteni kell.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Üzleti titkot tartalmazó dokumentumot, adatállományt okostelefonon, tablet számítógépen, vagy egyéb más hasonló kategóriájú hordozható, akár hivatali, akár magánjellegű eszközön tárolni, arra akár csak ideiglenes jelleggel felmásolni szigorúan tilos. 4.3.3.2. Az üzleti titok kezelése Az üzleti titokká minősített adatok kezelésének rendszerét úgy kell kialakítani és működtetni, hogy az üzleti titok keletkezése, a dokumentumok nyilvántartása, továbbítása, fellelhetőségének helye, illetve az üzleti titokkal való rendelkezés egyértelműen megállapítható legyen, és megakadályozza az illetéktelen hozzáférést. Az üzleti titkot tartalmazó dokumentumok kezelését a központi üzletititok-kezelő és a szervezeti egységek üzletititok-kezelői végzik. A minősített dokumentumok biztonságos kezelése érdekében az alábbi nyilvántartások vezetése kötelező. Központi üzletititok-kezelőnél: a) iktatókönyv, b) kézbesítőkönyv, vagy elosztójegyzék (5. sz. melléklet). Szervezeti egységek üzletititok-kezelőinél: a) a minősített dokumentumok átadására és visszavételére szolgáló külön kézbesítőkönyv. A Poszeidon ügyviteli és iktatási rendszer üzleti titok minősítésű dokumentum kezelésére nem alkalmas, ezért abban minősített dokumentumot iktatni és csatolni TILOS! Az elintézett, illetve további ügyintézést nem igénylő dokumentumokat selejtezés vagy tárolás céljából a központi üzletititok-kezelőnek kell átadni. Az eredeti és az irattári példány a minősítés lejártának dátuma előtt nem semmisíthető meg.
108 4.3.3.4. Az üzleti titkot tartalmazó papíralapú dokumentumok, adathordozók központi iktatása A központi iktatás az üzleti titkot tartalmazó dokumentumok, adathordozók nyilvántartására szolgál. Az elkészített és kiadmányozott dokumentum, adathordozó központi iktatásáról a minősítő köteles gondoskodni. Az iktatást az üzleti titkot tartalmazó dokumentum, adathordozó és az elosztójegyzék átvételét követően a központi üzletititok-kezelő végzi a 4.3.3.2. pontban meghatározott nyilvántartások felhasználásával. Az iktatási forma: központi sorszámos rendszer, az iktatószám a naptári évhez igazodik, évente 1-től kezdődően emelkedik. Az iktatószám után az „ÜT” betűjelet kell alkalmazni (pl.: 5/2010. ÜT.) 4.3.3.5. Más szervtől érkezett, üzleti titkot tartalmazó dokumentumok átvétele Más szervtől érkezett, üzleti titkot tartalmazó dokumentum átvételére jogosult: a) elsődlegesen a címzett, b) másodlagosan a címzett szervezeti egység üzletititok-kezelője, c) harmadlagosan a központi üzletititokkezelő. Az átvevő személyek kötelessége a küldeményt központi nyilvántartásra a központi üzletititokkezelő részére a legrövidebb időn belül átadni. A küldemény borítékját az irattal együtt kell kezelni. A küldeményt átvevő személy köteles ellenőrizni: a) hogy a címzés alapján jogosult-e átvenni a küldeményt, b) az átadási okmányban és a küldeményen feltüntetett nyilvántartási szám azonosságát, c) a küldemény sértetlenségét. Ha az átvevő a küldeményen olyan sérülést észlel, amely arra utal, hogy azt felbontották, vagy megkísérelték felbontani, a kézbesítő jelenlétében felbontja, a tartalmát ellenőrzi és az eseményről két példányban jegyzőkönyvet készít. A jegyzőkönyvet mindketten aláírják, majd az átvevő az egyik példányt visszaküldi a feladónak, aki intézkedik a sérülés körülményeinek tisztázására.
4.3.3.3. A minősített dokumentumok sokszorosítása A minősítő által eredetileg meghatározott példányszámon felül, a minősítő írásos engedélye nélkül nem készíthető másolat vagy kivonat. Az üzleti titkot tartalmazó dokumentum csak a szervezeti egység üzleti-titok kezelője jelenlétében sokszorosítható. Ez vonatkozik a nyomdai úton történő sokszorosításra is. A rontott példányokat a 4.3.3.10 pont szerint kell megsemmisíteni, a többi példányt az előírások szerint nyilvántartásba kell venni. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Téves címzés vagy helytelen kézbesítés esetén a küldeményt vissza kell juttatni a feladónak. Sürgős küldemény esetén telefonon, vagy más módon tisztázni kell a teendőket. Ha a küldeményt az átvevő tévedésből bontotta fel, arról két példányban jegyzőkönyvet készít, a küldeményt újból szabályszerűen lezárja és azt a jegyzőkönyv egy példányával a címzettnek továbbítja. 4.3.3.6. Az üzleti titkot tartalmazó adatok szervezeti egységek közötti továbbítása Üzleti titkot tartalmazó adatok csak a minősítő által név - szervezet - beosztás szerint meghatározott személyeknek, és csak nyomtatott formában továbbíthatók. A területi szervezeti egységek címzettjei részére az üzleti titkot tartalmazó adatokat külön kézbesítő, vagy a társasági vonalpostán „B” jelzésű küldeményként borítékban (csomagban) kell továbbítani. A borítékon (a csomagon) fel kell tüntetni a címzésre és a küldő szervezeti egységre vonatkozó adatokat, az iktatási számot, valamint a példánysorszámot. A borítékon fel kell még tüntetni az „Üzleti titok!” minősítési jelölést, és a „Baleset esetén, vagy rendkívüli helyzetben a küldő szerv bonthatja fel!” jelzést is (7. sz. melléklet). A minősített dokumentum a központi üzletititok-kezelő részére kézbesítő útján az elosztójegyzékkel együtt továbbítandó. Üzleti titkot tartalmazó dokumentumot a szervezeti egységek között elektronikus úton (pl. e-mailként a levelezőrendszerben) továbbítani tilos!
109 Az üzleti titkot tartalmazó dokumentum borítékján, csomagolásán fel kell tüntetni a címzésre és a küldő szervezeti egységre vonatkozó adatokat, az iktatási számot, a példánysorszámot, az „Üzleti titok!” minősítési jelölést, és a „Baleset esetén, vagy rendkívüli helyzetben a küldő szerv bonthatja fel!” jelzést is. A minősítő által meghatározott címzettnek továbbított minősített dokumentum kezeléséért továbbiakban az átvevő felelős. Kötelessége a dokumentumot a Ptk.-ban meghatározottak szerinti védelemben részesíteni. Üzleti titkot tartalmazó dokumentumot a Társaságon kívülre elektronikus úton (pl. emailként a levelezőrendszerben) továbbítani tilos! 4.3.3.8. Az üzleti titkot tartalmazó dokumentumok irattári példányainak őrzése Az üzleti titkot tartalmazó dokumentumok irattári példányait a minősítés érvényességi idejéig a központi üzletititok-kezelő tárolja. Az üzleti titkot tartalmazó, irattárazott dokumentumot a központi üzletititok-kezelő a minősítés megszüntetését követő 3 évig nem adhatja ki. A minősítés megszüntetését követően a központi üzletititok-kezelő a nála tárolt irattári példányt az iratot készítő szervezetnek csak a Btk. szerint üzleti titok megsértése büntethetőségi elévülési idejének (3 év) lejárta után küldi meg, azért, hogy egy esetleges vizsgálat részére a dokumentum biztosítva legyen. A központi üzletititok-kezelő a dokumentumokat évenként az iktatószámok emelkedő sorrendjében tárolja. A minősítés megszüntetése után a dokumentumot a továbbiakban nyílt dokumentumként kell kezelni. A központi üzletititok-kezelő kötelessége a nyílt dokumentumokat visszaküldeni a készítő szervezeti egység (vagy jogutódja) részére az Ügyviteli utasítás szerinti irattárazás céljából. A minősítés megszűnését követően a dokumentum Elosztójegyzéke továbbra is a központi üzletititok-kezelőnél kerül tárolásra, mint az Iktatókönyv melléklete.
4.3.3.7. A Társaságon kívüli személyhez továbbítás szabályai Az üzleti titkot tartalmazó dokumentum Társaságon kívüli személyhez a minősítő személy által kijelölt kézbesítő útján csak nyomtatott formában – a központi üzletititokkezelő bevonásával – továbbítható. A kézbesítőnek az üzleti titkot tartalmazó dokumentumot elosztójegyzékkel vagy kézbesítőkönyvvel kell átadni. A kézbesítő a címzettnek vagy a címzett üzletititok-kezelőjének adhatja át, olvasható névvel és aláírással történő átvétel mellett. A kézbesítő az átvételi igazolást a kézbesítés után haladéktalanul visszajuttatja a központi üzletititok-kezelő részére. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.3.3.9. Eljárás megbízatás megszűnése esetén Üzleti titkot tartalmazó dokumentummal rendelkező minősítőt, ügykezelőt, stb. a szervezeti egységtől történő távozása esetén a részére kiadott dokumentumokkal el kell számoltatni. A dokumentumokat jegyzőkönyvvel át kell adni az illető utódjának, annak hiányában az üzletititok-kezelőnek, ha pedig a dokumentum használatára a továbbiakban már nincs szükség, akkor a központi üzletititokkezelőnek. A szervezeti egységi üzletititok-kezelő megbízatásának megszűnése esetén az üzleti titkot tartalmazó dokumentumokat, valamint a kapcsolódó nyilvántartásokat az utódnak a központi üzletititok-kezelő jelenlétében kell átadni. A központi üzletititok-kezelői munkakör átadása során a titokvédelmi felügyelő által kijelölt bizottság az üzleti titkot tartalmazó dokumentumokat tételesen ellenőrizze az iktatókönyv alapján. Az új központi üzletititokkezelőnek történő átadás-átvétel tényét jegyzőkönyvben kell rögzíteni. A megszűnt szervezeti egység vezetője köteles a saját készítésű – a megszűnést megelőzően készített – üzleti titkot tartalmazó dokumentumait felülvizsgálni. Az üzleti titkot tartalmazó dokumentumokat a központi üzletititok-kezelő részére kell átadni. Amennyiben a munkakör átadás-átvétele során üzleti titokká minősített dokumentum hiányzik, a szervezeti egység vezetőjének – a biztonsági vezető egyidejű értesítése mellett – azonnal intézkednie kell a dokumentum keresésére és a felelősség tisztázására. 4.3.3.10. Üzleti titok minősítésű dokumentumok, adathordozók, adatállományok megsemmisítése Az üzleti titkot tartalmazó dokumentum készítése során keletkezett fogalmazvány és rontott példány lapjainak biztonságos (pl.: zúzógépen, égetéssel) megsemmisítése a készítő (ügykezelő) felelőssége. A jogutód nélkül megszűnt szervezetek utolsó felülvizsgálat szerinti megőrzési idő lejárta utáni selejtezésre leadott üzleti titok minősítésű dokumentumok, adathordozók megsemmisítését a társaság titokvédelmi felügyelője által kijelölt bizottság végzi évente egy alkalommal
110 a központi üzleti titok-kezelő általi ellenőrzést követően. A megsemmisítésre kerülő adathordozók iktatási és példányszámát a központi üzleti titok-kezelőnél vezetett megsemmisítési jegyzőkönyvben kell rögzíteni. Az üzleti-titok készítése során az ügykezelőnek a számítógépen keletkezett minden munkapéldányt, másolatot, és ideiglenes adatállományt azonnal törölnie kell. 4.3.4. Üzleti titkot tárgyaló értekezletek lebonyolításának szabályai Az értekezletet elrendelő vezetőnek, vagy – előzetes döntése alapján – a megbeszélést levezető személynek gondoskodnia kell a következő szabályok betartásáról. Az üzleti titokká minősített adatokat feldolgozó értekezletek, más rendezvények előkészítése és megtartása során biztosítani kell, hogy azokon csak a meghívott személyek – vagy azokat képviselő megbízottak – vegyenek részt. Ha az értekezlet előzetesen már minősített adatot tárgyal, de az ezt tartalmazó iratot a résztvevők előzetesen nem kapták meg, akkor a dokumentumot a minősítő vezető üzletititokkezelője adja ki, illetve szükség esetén vegye vissza az értekezlet befejezése után. Az üzleti titkot képező adat felhasználásával folytatott, vagy az ilyen minősítésű adatot / dokumentumot eredményező rendezvényen a témára, a helyre, az időpontra, valamint a részvevők nevére, beosztására és az általuk képviselt szervre vonatkozó adatokat, továbbá a titoktartási nyilatkozatot tartalmazó jelenléti ívet (8. sz. melléklet) kell készíteni. A jelenléti ívet a részvevők a rendezvény megkezdése előtt kötelesek aláírni. A jelenléti ívet egy példányban kell készíteni, amit a feldogozott, üzleti titkot tartalmazó dokumentum mellett kell tárolni. A jelenéti ívet helyettesíti az értekezletről készült jegyzőkönyv (emlékeztető) amelyet minősítést követően a központi üzletititokkezelő által tárolt irattári példány mellett is el kell helyezni. Ha egy adat titokká minősítésére az értekezleten kerül sor, a vonatkozó dokumentumot utólag kell az előírások szerint központi nyilvántartásba venni, és ellátni a megfelelő jelzésekkel.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.3.5. Számítástechnikai alkalmazásokkal kezelt üzleti titok védelme Az üzleti titok minősítésű adatok feldolgozását támogató számítástechnikai alkalmazásokban kezelt minősített adatok az adatátviteli hálózaton kizárólag védett módon (titkosított protokoll, rejtjelezés) továbbíthatók. Lehetőség szerint erre nem külön segédprogramokat, hanem az adott rendszer létező (beépített, vagy opcionálisan beszerezhető) lehetőségeit kell felhasználni. Az üzleti titok minősítésű adatot feldolgozó informatikai alkalmazásokba való bejelentkezés során erre a felhasználó figyelmét külön fel kell hívni, majd a megjelenítő képernyőn is fel kell tüntetni az adat / dokumentum minősítési jelölését. Az adatok felhasználásával készített nyomtatott jelentések, táblázatok, output listák, stb. (a továbbiakban: output dokumentum) tartalmát a lekérdezést elrendelőnek – ha az nem elérhető, akkor a dokumentum előállítójának – az előállítást követően azonnal meg kell vizsgálnia titokvédelmi szempontból. Ha az output dokumentum ennek alapján üzleti titoknak minősül, kezelésére a jelen szabályzatban rögzített, a dokumentumokra vonatkozó előírásokat kell alkalmazni (minősítés, alaki kellékek, elosztó stb. feltüntetése). A számítástechnikai eszközökön futó, minősített alkalmazások adatbázisainak védelme, a rendszer biztonságos üzemeltetésének kialakítása a Társaság mindenkor hatályos Informatikai Biztonsági Szabályzata (IBSZ) alapján az adott alkalmazás üzleti tulajdonosának a feladata, akinek kötelessége az alkalmazások kockázatainak felülvizsgálata, ennek alapján az alkalmazás biztonsági osztályba sorolása, és a védelem megvalósításához szükséges feltételek megteremtése. Ezekben az alkalmazásokban a felhasználó egyértelmű azonosítását az IBSZ-ben a „fokozott” informatikai biztonsági osztályra előírt jelszópolitikával kell biztosítani. 4.3.6. Dokumentumok és elektronikus adathordozók fizikai védelme Üzleti titkot képező dokumentumokkal végzett munka során biztosítani kell a dokumentumok
111 folyamatos felügyeletét, illetéktelen személyek hozzáférésének megakadályozását. Munkaidő végén és napközben a munka ideiglenes felfüggesztésének idejére a dokumentumot az ügykezelőnek biztonságosan el kell zárnia / záratnia. Ha ez a feltétel nem teljesíthető, akkor részére nem adható ki a dokumentum munkavégzésre. Üzleti titkot tartalmazó dokumentumot a nem minősítettektől elkülönítve, biztonsági zárral ellátott fa iratszekrényben vagy fém lemezszekrényben kell tárolni. Zárt szekrényen kívüli tárolás a titkos ügykezelés feltételeinek megfelelő helyiségben (TÜK iroda) és módon történhet (biztonsági zárral ellátott ajtó, vagy a nyílászárókon vasrács, riasztó-berendezés, tűzjelző, személyi pecsétnyomóval zárt gyurmalakat, stb.). A tároló szekrény kulcsának másodpéldányát a szervezeti egység vezetőjénél, biztonságos helyen, lezárt borítékban kell tartani. A tároló szekrény a tulajdonos távollétében csak bizottságilag nyitható fel, amelyet jegyzőkönyvben rögzíteni kell. A bizottságnak csak olyan személy lehet a tagja, aki a Társaság „üzleti titok” minősítésű dokumentumaira betekintési jogosultsággal rendelkezik. Üzleti titkot feldolgozó számítógépek monitorait úgy kell elhelyezni, hogy a minősített adat megismerésére nem jogosultak (többszemélyes iroda nem érintett dolgozói, vagy a szomszédos épületszárnyból az üvegablakon belátók) ne láthassák a képernyőn megjelenő szöveget, adatot. Ha a dokumentum készítését valamilyen okból meg kell szakítani, a készítő csak akkor hagyhatja ott a számítógépet, ha azt zárolta (a jelszóval védett képernyővédőt bekapcsolta, nem várva meg annak automatikus, de későbbi bekapcsolódását). Üzleti titkot képező adatokat tartalmazó laptopokat és elektronikus adathordozókat munkaidőn / használaton kívül fém lemezszekrényben kell tárolni. Az ilyen kliens számítógépek (munkaállomások) elhelyezésére szolgáló helyiségeket az IBSZ-ben a „fokozott” informatikai biztonsági osztályra előírt fizikai védelemmel kell ellátni. Azok a munkatársak, akik a munkájuk folyamatos elvégzése céljából hordozható számítógépet kaptak, üzleti titkot csak akkor
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ kezelhetnek, ha a számítógépen titkosítva kerül tárolásra a dokumentum vagy adat. Ha az üzleti titok a titkosítás elmaradása miatt nyilvánosságra kerül, akkor munkáltatói intézkedés alkalmazható. A megfelelő titkosítás technikai feltételeit (telepítés, oktatás, szoftver) az Informatika biztosítja. 4.3.7. Az üzleti titok védelmével kapcsolatos ellenőrzési feladatok Az üzleti titkok kezelésére vonatkozó szabályok betartásának ellenőrzésére kötelezettek, illetve jogosultak: a) a minősítő és a címzett, b) biztonsági vezető, c) titokvédelmi felügyelő, d) központi üzletititok-kezelő, e) a minősítő által írásban megbízott személy. 4.3.7.1 A Biztonság titokvédelmi ellenőrzési feladatai A Társaság valamennyi szervezetére kiterjedően éves szinten átfogó jelleggel ellenőrzi a vonatkozó törvények, a jelen szabályzat és a kapcsolódó egyéb szabályzatok előírásainak betartását, végrehajtását. Jogosult előre nem tervezett és be nem jelentett titokvédelmi ellenőrzést végezni. Ellenőrzi: a) az előírt nyilvántartásokat, b) a minősítési, visszaminősítési, selejtezési gyakorlatot, c) a minősített adatok kezelési, tárolási szabályainak betartását, az irattárba adási gyakorlatot, d) a minősített dokumentumok nyilvántartását és leltárát, e) a minősített iratok fizikai megtekintésével azok meglétét, f) az üzleti titkot kezelő számítástechnikai alkalmazások titokvédelmi intézkedéseinek hatékonyságát, g) a minősített számítástechnikai adathordozók nyilvántartását és leltárát, h) az új belépők titokvédelmi oktatását.
112 Önellenőrzést a betekintők, ügykezelők negyedévente kötelesek végrehajtani. Az ellenőrzések eredményéről jelentést kell készíteni, és fel kell terjeszteni a felettes vezetőhöz. A jelentések összesítését meg kell küldeni a Társaság titokvédelmi felügyelője részére. Üzleti titkot tartalmazó adathordozó hiányának felfedezése esetén a szervezeti egység vezetője vizsgálat keretében intézkedjen: a) az adathordozó teljes körű keresésére, b) a hiány okainak, illetve az azt elősegítő körülményeknek a megállapítására, c) a mulasztásért felelős személy(ek) felelősségének tisztázására, d) a beszerzett adatok alapján a szükséges (munkajogi, polgári jogi, büntető) eljárás megindítására. Üzleti titkot tartalmazó adathordozó hiánya miatt elrendelt vizsgálatról haladéktalanul tájékoztatni kell a Társaság titokvédelmi felügyelőjét. 4.3.8. „MÁV-START Zrt. belső adat!”-ot tartalmazó adathordozók és dokumentumok kezelése A Társaság belső adatait tartalmazó adathordozót, dokumentumot „MÁV-START Zrt. belső adat!” minősítési jelöléssel kell ellátni. A „MÁV-START Zrt. belső adat!” minősítésre a munkáltatói jogkörrel rendelkező vezetők, és a jelen szabályzat által üzleti titokká minősítésre felhatalmazott vezetők jogosultak. Kezelése nincs szervezeti egységi üzletititokkezelőkre korlátozva, kezelőjének nem kell megbízólevéllel rendelkeznie. A minősítők a jelen szabályzatban előírt minősítési rend, valamint az alábbiak szerint kötelesek eljárni: A minősítés formai követelményei a) a minősítési eljárás a dokumentum készítésével kezdődik, b) a minősítésre az ügyiratot készítő ügyintéző a „MÁV-START Zrt. belső adat!” minősítési jelölés dokumentumon történő feltüntetésével tesz javaslatot. c) a minősítési eljárás során a minősítést és a dokumentum alapadatait a dokumentum első, míg a minősítési záradékot a dokumentum utolsó lapján kell feltüntetni,
4.3.7.2 Más közreműködők titokvédelmi ellenőrzési feladatai A szervezeti egységek vezetői az általuk vezetett szervezetnél félévente kötelesek titokvédelmi ellenőrzést folytatni és annak eredményéről a biztonság vezetőjét írásban tájékoztatni. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ d) a minősített dokumentum 6. számú melléklet szerinti első lapján fel kell tüntetni: da) a minősítési jelölést („MÁV-START Zrt. belső adat!”), db) a gépi iktatás iktatószámát az Ügyviteli utasítás szerint, dc) a példány sorszámát, de) a minősítő személy nevét, beosztását, df) a munkahelyi telefonszámát, dg) a minősítés időpontját, dh) az érvényességi időtartamot, di) a minősítő aláírását. e) A minősített dokumentum 6. számú melléklet szerinti utolsó lapján, a záradékban kell feltüntetni: ea) a készített dokumentum összpéldányszámát, eb) a készített dokumentum lapszámát, ec) a készítő személy nevét, munkahelyi telefonszámát, ed) a címzett személyek megnevezését és a címzett részére továbbítandó példány sorszámát, ee) elektronikus úton történő továbbítás esetén a címzettek e-mail címét, nevét, ef) mellékletek esetén azok példányszámát, oldalainak számát. f) A minősített dokumentum mindegyik oldalán fel kell tüntetni: fa) a dokumentum fejlécében: „MÁVSTART Zrt. belső adat!”, fb) a dokumentum láblécében: „MÁVSTART Zrt. belső adat!” jelölést. Az ilyen dokumentumot nem a központi TÜKnél, hanem a Posszeidon rendszerben kell iktatni. A belső elektronikus levelezőrendszeren a dokumentum a szervezeti egységek között továbbítható, de külső fél számára tilos elektronikusan elküldeni. A „MÁV-START Zrt. belső adat!” minősítésű adathordozók további kezelésére (pl. postázás, érvényesség felülvizsgálata, betekintés, éves leltár, stb.) a jelen szabályzatban felsorolt, az „Üzleti titok!” minősítési kategóriába sorolt dokumentumokra vonatkozó szabályokat kell alkalmazni.
113 A szervezeti egységek üzletititok-kezelőinek a szabályzat ismeretéből és gyakorlati alkalmazásából vizsgát kell tenniük, továbbá részükre évente 2 órás szintentartó képzést kell tartani. Az oktatás és a vizsgáztatás végrehajtásának megszervezése a titokvédelmi felügyelő feladata. A titokvédelmi ismereteket jelen szabályzat alapján a Társasághoz való belépéskor minden munkavállaló számára oktatni kell a titoksértés és veszélyeztetés megakadályozásához szükséges mértékben. Az oktatásért, a nyilatkozat levételéért és tárolásáért a Humán felvételt végző munkatársa felelős. 5.0. HIVATKOZÁSOK, BIZONYLATOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK 5.1 Hivatkozások 1959. évi IV. törvény a Polgári Törvénykönyvről 19/2008. (IV.11. MÁV-START Ért. 6.) VIG. sz. vezérigazgató utasítás a MÁVSTART Zrt. Adatvédelmi Szabályzat 10/2010. (IV. 2. MÁV-START Ért. 4.) VIG. sz. vezérigazgatói utasítás a MÁVSTART Zrt. Informatikai Biztonsági Szabályzata 5.2 Hatályon kívül helyezés Az utasítás hatálybalépésével érvényét veszti a 9/2010. (IV. 2. MÁV-START Ért. 4.) VIG sz. vezérigazgatói utasítás a MÁV-START Zrt. üzletititok-védelmi szabályzatáról szóló 20/2008. (IV. 11. MÁV-START Ért. 6.) VIG sz. vezérigazgatói utasítás 1. számú módosításáról (egységes szerkezetben). 6.0. HATÁLYBA LÉPTETÉS Jelen szabályzat előírásait a MÁV-TRAKCIÓ Zrt.-nek és a MÁV-GÉPÉSZET Zrt.-nek a MÁV-START Zrt.-be történő beolvadása napjától kezdődő hatállyal kell alkalmazni.
4.3.9. Oktatás, vizsgáztatás Ezen szabályzat rendelkezéseit a Társaság valamennyi vezetőjének (koordinátorokat beleértve) évente fél óra terjedelemben oktatni kell. Az oktatás megszervezéséért a biztonsági vezető felelős. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 114 7.0. MELLÉKLETEK 1. sz.: Titoktartási nyilatkozat 2. sz.: Az üzleti titok védelmét érintő törvények 3. sz.: A Társaság üzleti titokköri jegyzéke 4. sz.: Szervezeti egység üzletititok-kezelő megbízólevél 5. sz.: Elosztójegyzék 6. sz.: Minta a minősített dokumentum első és utolsó oldalához 7. sz.: Borítékminta 8. sz.: Jelenléti ív 9. sz.: Üzleti titok minősítésű dokumentum nyomtatása Ungvári Csaba s.k. vezérigazgató
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 115 1. sz. melléklet TITOKTARTÁSI NYILATKOZAT 1. Alulírott kijelentem, hogy a MÁV-START Zrt. üzletititok-védelmi szabályzatát megismertem, az abban foglaltakat magamra nézve kötelezőnek tartom. Tudomásul veszem, hogy nem tanúsíthatok olyan magatartást, amelynek következtében a Társaság gazdasági tevékenységéhez kapcsolódó tény, információ, megoldás vagy adat – amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a Társaság jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené, vagy veszélyeztetné – illetéktelenek tudomására juthat. 2. A hatáskörömbe tartozó részletes titokvédelmi eljárási szabályokról teljes körű tájékoztatásban részesültem. Tudomásul veszem, hogy a rendelkezésemre bocsátott adathordozók (papír, CD, mágneslemez, stb.) tartalmát a munkámon kívül más célra nem használhatom fel. Az üzleti titkot tartalmazó adathordozókról a nekem a feladatot kiadó vezetőm engedélye nélkül se másolatot, se kivonatot nem készíthetek, illetve ezek tartalmának rögzítésére semmiféle technikai vagy más eszközt nem alkalmazhatok. 3. Tudomásul veszem, hogy a nekem átadott, üzleti titok vagy belső adat minősítésű dokumentumok és más adathordozók a MÁV-START Zrt. tulajdonát képezik, és azokat köteles vagyok az üzletititok-kezelőnek azonnal visszaszolgáltatni, ha a munkámhoz már nem szükségesek. 4. Tisztában vagyok azzal, hogy az üzletititok-sértést a törvény bünteti. Kelt: …………………….. 20 . ……………… aláírás: …………………………………………. név:………………………………………………. munkakör :……………………………………….. készült: 2 példányban kapják: 1. sz. pld.: nyilatkozó munkatárs 2. sz. pld.: MÁV-START Humán
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 116 2. sz. melléklet Az üzleti titok védelmét érintő törvények 1952. évi III. törvény a polgári perrendtartásról 1959. évi IV. törvény a Polgári Törvénykönyvről 2012. évi C. törvény a Büntető Törvénykönyvről 2012 . évi I. törvény a Munka Törvénykönyvéről 2011 . évi CXCV. törvény az államháztartásról 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 1993. évi XCIII. törvény a munkavédelemről 1994. évi XXXIV. törvény a Rendőrségről 1996. évi LVII. törvény a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról 1998. évi XIX. törvény a büntetőeljárásról 2000. évi C. törvény a számvitelről 2011. évi CXXVIII. törvény a katasztrófavédelemről és a hozzá kapcsolódó egyes törvények módosításáról 2003. évi C. törvény az elektronikus hírközlésről 2011. évi CVIII . törvény a közbeszerzésekről 2012. évi XLI. törvény a személyszállítási szolgáltatásokról 2006. évi IV. törvény a gazdasági társaságokról 2007. évi LXXV. törvény a Magyar Könyvvizsgálói Kamaráról, a könyvvizsgálói tevékenységről, valamint a könyvvizsgálói közfelügyeletről
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 117 3. sz. melléklet A Társaság üzletititok-köri jegyzéke 1. Az „F-10” Utasítás hatálya alá tartozó vonatközlekedéssel kapcsolatos adatok. 2. A Társaság üzletpolitikai, gazdasági tevékenységébe tartozó stratégiai koncepciók adatai. 3. Pénztárak és jegykiadó automaták vagyonvédelmi rendszereivel kapcsolatos terv- és kivitelezési dokumentációk, hozzáférési eljárások. 4. Az előterjesztő általi mérlegelés alapján az Igazgatóság és a Felügyelő Bizottság, továbbá a Társaság vezetői értekezleteinek jegyzőkönyveiben, és ezen testületek részére készített előterjesztésekben rögzített adatok. 5. A szervezetfejlesztéssel, szervezet-átalakítással, létszám-racionalizálással kapcsolatos Társaság vezetői-, igazgatósági, felügyelő bizottsági, illetve tulajdonosi előterjesztések adatai. 6. A Társaság által megkötött szerződések, szakértői felkérések, megállapodások, az ezekhez kapcsolódó előkészítő anyagok adatai, ha a szerződést a szerződő felek megállapodása alapján üzleti titokként kell kezelni, kivéve a közérdekű és közérdekből nyilvános adatok. 7. A Társaság vezetői-, az Igazgatóság, a Felügyelő Bizottság, és a Tulajdonos részére készített, árképzéssel kapcsolatos számítások, tarifaképzés elvei, díjkedvezményi megállapodások, piacértékelési tanulmányok adatai. 8. A Társaság üzleti terve, valamint az egyes részstratégiákra vonatkozó Társaság vezetői-, igazgatósági, felügyelő bizottsági illetve tulajdonosi előterjesztésekben foglalt adatok. 9. Nagyobb volumenű humánpolitikai intézkedések (pl. létszámleépítés, szervezet-átalakítással együtt járó létszámmozgás tervezet stb.) előkészítő anyagaiban rögzített adatok. 10. A Felügyelő Bizottság, az Igazgatóság és a vezetői értekezlet elé terjesztendő központi ellenőrzési tervekben, az ellenőrzésekről készült jelentésekben, előterjesztésekben foglalt anyagok; 11. Nemzetközi hitelintézetekkel folytatott előkészítő tárgyalások dokumentációiban rögzített adatok. 12. A rendőrség, honvédség, NAV és más hatóság vasúti akcióival kapcsolatos előkészítő adatok. 13. A közbeszerzési és egyéb, a vállalkozók versenyeztetését célzó eljárások körében: az eljárások előkészítésével kapcsolatos - kivéve a közbeszerzés éves tervezésével összefüggő, a Kbt. szabályai szerint nyilvános - adatok, az eljárások értékelésével kapcsolatos dokumentumokban - különösen az értékelő bizottság jegyzőkönyvei, az értékelő bizottsági ülések jegyzőkönyvei, a döntés-előkészítés anyagai foglalt adatok. 14. Biztonsági elemekkel ellátott nyomtatványok és menetjegyek gyártásának engedélyezése, engedélyeztetése, illetve a kapcsolódó műszaki leírások, technikai specifikáció és szállítási szerződések adatai. 15. A „fokozott” és a „kiemelt” biztonsági besorolású informatikai rendszerekben tárolt adatok, továbbá az ilyen rendszerek biztonsági alrendszereiben alkalmazott eljárások és készített rendszerdokumentációk fontosabb adatai. 16. A Társaság birtokába került, minden harmadik félre vonatkozó olyan adat, amelyre nézve a Társaságot jogszabály vagy szerződés alapján titoktartási kötelezettség terheli. A minősítés érvényességi ideje ebben az esetben a főszabálytól eltérően a másik fél által kért időpontig tart.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 118 4. sz. melléklet SZERVEZETI EGYSÉG ÜZLETITOK-KEZELŐ MEGBÍZÓLEVÉL Alulírott ……..…………………..……….., mint a(z) …………………………………..… (szervezeti egység) vezetője, 20…. év ……………. hó ….. naptól megbízom …………………..………………..…. munkavállalót a szervezeti egység üzleti titkot tartalmazó dokumentumainak kezelésével. A megbízás visszavonásig érvényes.
Kelt: …………………….. 20 …………….. (év, hónap nap).
…………………………………………………. szervezeti egység vezetőjének aláírása
készült: 3 példányban kapják: 1. sz. pld.: megbízott személy 2. sz. pld.: MÁV-START TÜK 3. sz. pld.: Humán
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 119 5. sz. melléklet
ELOSZTÓJEGYZÉK A(z) ……………………… nyilvántartási számú, ……………………………………………….. tárgyban készült minősített dokumentumhoz. sorsz címzett neve ám 1.
szervezet/ beosztás
pld. átvevő sorszáma olvashatóneve
átvevő aláírása
2. 3. 4. 5. 6. 7. 8. 9. 10.
Kelt: …………………….. , 20… ……
….. (év, hónap nap)
Megjegyzés: Az elosztójegyzéket a központi üzletititok-kezelő iktatókönyvének tartozékaként kell tárolni.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 120 6. sz. melléklet A minősített dokumentum első oldala ÜZLETI TITOK! a címzett adatai az Iratkezelési Szabályzat szerint
ÜT iktatószám: iktatószám: példánysorszám: tárgy: minősítő neve: minősítő beosztása: munkahelyi telefonszám: minősítés időpontja: érvényesség határideje (év, hó nap): minősítve a titokköri jegyzék ...… pontja alapján minősítő aláírása:
ÜZLETI TITOK!
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 121 A minősített dokumentum utolsó oldala
ÜZLETI TITOK!
készült: terjedelme: mellékletek: készítette / tel.: címzettek (kapják):
(x) eredeti példányban/(y) másolati példányban (n) lap (x) melléklet, összesen (n) lap (név, szervezet / telefonszám) 1. sz. eredeti / másolati példány (név, szervezet, beosztás) 2. sz. eredeti / másolati példány (név, szervezet, beosztás) (x.) sz. eredeti / másolati példány MÁV-START TÜK
Kizárólag az irattári példányra! Az üzleti titkot tartalmazó dokumentum készítése során keletkezett fogalmazvány, munkapéldány, ideiglenes számítógépes állomány megsemmisítése megtörtént. Készítő:________________________ A végrehajtást ellenőriztem: Közvetlen vezető:____________________
ÜZLETI TITOK!
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 122 7. sz. melléklet BORÍTÉKMINTA
küldő szerv szervezeti egység
ÜZLETI TITOK! (Ha szükséges: különleges kezelési utasítás az Iratkezelési Szabályzat szerint)
ÜT. ikt. szám példány sorszáma, típusa
CÍMZETT
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 123 8. sz. melléklet JELENLÉTI ÍV A …………………………………………………….. témában …………….……. városban ……………… utca ………. hrsz. …………… év ……… hó………… napján tartott értekezletről. Az értekezlet anyaga, illetve részei „Üzleti titok” minősítésűek ………….. (év)………. (hó) ………(nap) -ig a titokköri jegyzék ….. pontja alapján. Az értekezleten tárgyalt, illetve a tárgyalásról felvett üzleti titok minősítésű irat száma: ………………………………………. tárgya: ………………………………………………………………………………………………………………
Büntetőjogi felelősségem tudatában kijelentem, hogy az értekezleten tudomásomra jutott üzleti titkot az érvényességi időn belül megőrzöm, illetéktelen személy tudomására, vagy nyilvánosságra nem hozom. név ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….……………. ………….…………….
beosztás ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ……………………….. ………………………..
képviselt szerv neve, címe
aláírás
…………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… …………………………………………… ……………………………………………
……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...…. ……..…………...….
Az értekezlet megkezdése előtt a résztvevők személyazonosságát ellenőriztem. A jelenléti ív egy példányban készült, melyet a …….…………….. sz., üzleti titok minősítésű anyaghoz csatoltam. Ez a nyilatkozat a feltüntetett számú dokumentumra vonatkozó betekintési engedélynek minősül. Kelt: …………….. 20 …, ……… …….. (év, hónap nap)
……………………… (értekezlet vezetője) név, aláírás
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 124 9. sz. melléklet
ÜZLETI TITOK MINŐSÍTÉSŰ DOKUMENTUM TITKOS NYOMTATÁSA
1. Word-ben: Nyomtatás / Nyomtatóbeállítások / Munka típusa fülön a Normál nyomtatást cserélni Titkos nyomtatásra. 2. Jelszót a kért paraméterekkel megadni, megerősíteni, OK. 3. A megjelenő ablakban OK, Nyomtatás-ra klikk. 4. Nyomtatón a szokásos módon (kártyás azonosítás, majd a Nyomtatás szöveg megnyomása) elindítani a munkát. 5. A kezelőpanelen (lásd: jobbra) felülről a 2. gombot a (kérdőjeles) megnyomni, majd a kijelzőpanelen a Bezárás gombot megnyomni. 6. A kijelzőpanelen megjelenő nyomtatási sort megnyomni (ebben a készítő és a dokumentum neve látható). 7. A megjelenő mezőn a Feloldás gombot megnyomni. 8. Megadni a 2. pont szerinti jelszót, majd a Bevitel gombot megnyomni a kijelzőpanelen. 9. Az alapállapot visszaállításhoz a kezelőpanelen (lásd: jobbra) a legfelső gombot megnyomni.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 26/2014. (II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a MÁV-START Zrt. közérdekű és közérdekből nyilvános adatairól való tájékoztatás szabályzata A MÁV-START Zrt. (továbbiakban: Társaság) vezérigazgatója az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) III. Közérdekű adatok megismerése c. fejezete, a közadatok újrahasznosításáról szóló 2012. évi LXIII. törvény, továbbá a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról szóló 305/2005. (XII. 25.) Korm. rendelet (a továbbiakban: Korm. r.) 3. § és a 2009. évi CXXII. törvény a köztulajdonban levő gazdasági társaságok takarékosabb működéséről alapján, figyelemmel a Társaság mindenkori Üzletititok-védelmi Szabályzatára (továbbiakban: ÜTVSZ) és az Adatvédelmi Szabályzatára (továbbiakban: AVSZ), a közérdekű és a közérdekből nyílvános adatok közzétételének és az ilyen adatokra vonatkozó egyedi adatigénylések teljesítésének rendjét, továbbá a közadatok újrahasznosításának keretszabályait a következők szerint állapítja meg. 1.0 AZ UTASÍTÁS CÉLJA Az utasítás célja a Társaság tevékenységével kapcsolatos közérdekű és közérdekből nyilvános adatok megismerhetősége érdekében a nyilvánosság elektronikus közzététellel való rendszeres tájékoztatásának és az elektronikusan közzé nem tett közérdekű és közérdekből nyilvános adat megismerésére irányuló egyedi igény eseti adatszolgáltatással való kielégítésének, valamint a közadatok újrahasznosításának szabályozása. 2.0 HATÁLY ÉS AZ UTASÍTÁS KIDOLGOZÁSÁÉRT FELELŐS SZERVEZET Az utasítás személyi hatálya a Társaság teljes szervezetére, valamennyi munkavállalójára, a munkavégzésre irányuló egyéb jogviszonyban foglalkoztatott személyekre terjed ki.
125 Az utasítás kidolgozásáért és karbantartásáért a Biztonság vezetője felelős. 3.0 FOGALMAK MEGHATÁROZÁSA 3.1. Adatfelelős: a Társaság, mint közfeladatot ellátó szerv, amely az elektronikus úton kötelezően közzéteendő adatot előállította, illetve amelynek működése során ez az adat keletkezett. 3.2. Adatigénylő: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki, vagy amely a közérdekű vagy közérdekből nyilvános adat kiadása iránt a közadatfelelőshöz a jelen utasításban meghatározott módok valamelyikén kérelmet nyújtott be. 3.3. Általános közzétételi lista: az Infotv. 1. sz. mellékletét képező lista. Közzétételi egységeinek adatait a közzétételre kötelezett szervek kötelesek közzétenni. Az ebből levezetett, a Társaságra konkretizált közzétételi lista ezen szabályzat 1. sz. mellékletét képezi. 3.4. Egyedi közzétételi lista: jogszabály, vagy a vezérigazgató által – a Nemzeti Adatvédelmi és Információszabadság Hatóság vezetője véleményének kikérésével – a Társaságra, mint közfeladatot ellátó szervre megállapított, az általános közzétételi listán felüli, további kötelezően közzéteendő adatkör. 3.5. Elérhetőségi adatok: a közzétett szervezeti egység elnevezése, vezetőjének neve, beosztása, telefonszáma, faxszáma, e-mail címe. 3.6. Közadatfelelős: a Társaságnak a jogszabályban meghatározott közérdekű és közérdekből nyilvános adatokra vonatkozó elektronikus közzétételi kötelezettségek határidőre történő végrehajtásáért, továbbá az említett adatokkal kapcsolatos egyéb jogszabályi kötelezettségek teljesítéséért felelős munkavállalója. 3.7. Közadatkereső: A közérdekű adatoknak az Interneten működtetett jegyzéke, melynek használatával bárki hozzáférhet a közzétételre kötelezett szervek nyilvánosságra hozott adataihoz, az arra utaló hivatkozásokhoz. Az adatfelelős a saját honlapján közzétett adatok elérhetőségi adatait ennek érdekében köteles a közadatkereső részére megküldeni.
Az utasítás tárgyi hatálya a Társaság tevékenységével kapcsolatos, működése során keletkező közérdekű, illetve közérdekből nyilvános adatokra terjed ki. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 3.8. Közadat újrahasznosítás: a közadatok felhasználása olyan kereskedelmi vagy nem kereskedelmi célra, ami kívül esik azon a közfeladat ellátása keretén belüli eredeti célon, amire a közadatot előállították. 3.9. Közérdekből nyilvános adat: a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát vagy hozzáférhetővé tételét törvény közérdekből elrendeli. 3.10. Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő, a személyes adat fogalma alá nem eső adat. 3.11. Közzététel: az Infotv-ben meghatározott adatok internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, díjmentesen történő hozzáférhetővé tétele. 3.12. Közzétételi egység: a közzétett adatokat összefoglaló megjelenítési egység, dokumentum, amely formátumát a 2. sz. melléklet határozza meg. A közzétételi egységet és annak tartalmát egyértelműen meghatározza annak honlaptérkép szerinti URL címe. 3.13. Közzétételi egységért felelős szervezet: azon szervezeti egység, amely jelen utasítás 1. sz. mellékletében mint adatszolgáltatásért felelős szervezeti egység szerepel, valamint a közadatok újrahasznosítása céljából közérdekű adatok szolgáltatására kötelezett szervezeti egység. 3.14. Különös közzétételi lista: jogszabály által, egyes közfeladatot ellátó szervtípusra vonatkozóan kiadott rendeletben meghatározott lista, amely az általános és az egyedi listán felül, további közzéteendő adatokat tartalmaz. 3.15. Leíró adat: a közzétett adatokat összefoglaló, a közzétételi egységet leíró – a Korm. r. melléklete IV. pontja szerinti – XML állomány, amely az egységes közadatkereső rendszer működéséhez szükséges. 3.16. Metaadat: a digitálisan elérhető dokumentumok (kép, hang, szöveg, film) leíró adatai. Ilyen metaadat lehet egy mű szerzője, címe, keletkezésének ideje, tárgya, kulcsszavai stb.
126 3.17. Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH): autonóm államigazgatási szerv, amelynek feladata a közérdekű és közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. 3.18. URL cím: nemzetközi szabvány szerint felépített hálózati cím az Interneten, amelyen egy adatállomány elérhető. 4.0 AZ UTASÍTÁS LEÍRÁSA A Társaság a törvényekből rá háruló közadatszolgáltatási kötelezettségét egyrészt a honlapján, elektronikus közzététellel, másrészt az egyedi adatigénylőktől beérkezett kérések megválaszolásával teljesíti. Közérdekű és közérdekből nyilvános adatok honlapra helyezésére és egyedi adatigénylések megválaszolására kizárólag a Társaság közadatfelelőse tudtával és közreműködésével kerülhet sor. A szervezeti egységek önállóan nem kérhetik adataik honlapra helyezését vagy azok módosítását a honlap üzemeltetőjétől vagy a szerkesztéséért felelőstől. 4.2. A közzététel és válaszadás feladat- és hatáskörei 4.1.1. Vezérigazgató a) Megállapítja és módosítja jelen utasítást, amellyel a Társaság tevékenységével kapcsolatos legfontosabb közérdekű adatokra vonatkozóan rendszeressé teszi a közvélemény elektronikus tájékoztatását, valamint biztosítja a hozzáférést a közérdekű és közérdekből nyilvános adatok megismerésére irányuló igények esetén. b) Indokolt esetben a NAIH vezetője véleményének kikérésével megállapíthatja és módosíthatja a Társaság egyedi közzétételi listáját. c) Meghatározza ezen utasítás végrehajtásával kapcsolatos egyes szervezetek feladatait. d) Jóváhagyja a biztonsági vezető által elvégzett éves ellenőrzésről készült jelentést. e) Indokolt esetben munkáltatói intézkedésről gondoskodik. f) Az újrahasznosítás céljából igényelt közadatok tekintetében a szervezeti egység vezetőjének előterjesztése alapján engedélyezi az újrahasznosítás kötelező körébe nem tartozó közadatok rendelkezésre bocsátását.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 4.1.2. Biztonsági vezető a) Vizsgálatot folytat az adatszolgáltatásra kötelezett munkavállaló vagy szervezeti egység mulasztása esetén. Indokolt esetben munkáltatói intézkedést kezdeményez a munkáltatói jogkör gyakorlójánál. b) Megküldi a NAIH vezetőjének a Társaság éves közadat-szolgáltatási tevékenységéről általa a hivatal szempontjai szerint összeállított jelentést. c) Folyamatba építve vizsgálja az Infotv. végrehajtásával összefüggő kötelezettségek teljesítését, amelynek eredményéről évente legalább egy alkalommal átfogó jelentést készít a vezérigazgató részére. A jelentés tartalmazza: - a közérdekű adatok megismerése iránt benyújtott ésteljesített kérelmek számát, - azelutasított igények számát és az elutasítások főbb indokait, - a határidők teljesítését, - a közzétételi egységekért felelős szervezetek feladatellátását, - az egyedi adatkérések teljesítésébe bevont szervek, személyek, illetve vezetők adatszolgáltatásának szakszerűségét. 4.1.3. Közadatfelelős A Biztonság mindenkori információvédelmi koordinátora. Az adatszolgáltatás jogszabályban meghatározott határidőre történő teljesítésének érdekében jogosult bármely Közadat Munkacsoport tagtól, szervezeti egység vezetőtől és munkavállalótól - az illetékes vezető tájékoztatása mellett - az adatszolgáltatás teljesítéséhez szükséges közérdekű adatot közvetlenül bekérni. Akadályoztatása esetén feladat- és hatáskörét ideiglenesen a közadatfelelős szakértő gyakorolja a biztonsági vezető szoros felügyelete mellett. Feladatai: a) összehangolja a Társaságon belüli közérdekű, illetve közérdekből nyilvános adatok közzétételével, illetve azok megismerésével kapcsolatos teendőket, koordinálja a Közadat Munkacsoport tevékenységét, b) saját hatáskörben, illetve a NAIH vezető javaslatára javaslatot tesz az egyedi közzétételi lista létrehozására, illetve a közzétételi egységek aktualizálására, kiegészítésére, c) előkészíti és folyamatosan koordinálja az adatszolgáltatásba bevont szakértők munkáját, számukra oktatást, illetve konferenciát szervez,
127 d) szükség esetén egyedi közadatszolgáltatási ügyekben szakmai állásfoglalást ad, e) közvetlenül irányítja a közadatfelelős szakértő munkáját, f) koordinálja az egyes közzétételi egységekért felelős szervek közadat-szolgáltatási tevékenységét, g) az adatszolgáltatásra kötelezett munkavállaló vagy szervezeti egység mulasztása esetén felhívja a szerv vezetőjének figyelmét a törvényi, illetve a jelen utasításban előírt kötelezettség teljesítésére, indokolt esetben vizsgálat lefolytatását kezdeményezi, h) kiadás előtt, az illetékes szervezeti egység tájékoztatását és a vélemények kikérését követően jóváhagyja a közzétételi lista alapján a honlap útján nyilvánosságra kerülő információkat, illetve – az előírt engedély beszerzését követően – a közérdekű adatok megismerése iránt benyújtott igényekre adandó válaszokat, i) koordinálja a közzétételi honlap tartalmának belső egyeztetését, j) gondoskodik a közzétételi egységek tárolásának, aktualizálásának, archiválásának feltételeiről, k) vezeti és évente, illetve szükség szerint összehívja a Közadat Munkacsoportot, előkészíti az üléseket, napirendeket, l) nyilvántartást vezet az egyedi adatigénylésekről, a beérkezett kérelmekről, a válaszadásról, az elutasításról (a válasz tartalmának eredetiben való eltárolásától eltekinthet terjedelmi korlátok esetén, illetve amennyiben a válasz tartalmilag reprodukálható - ilyenkor tartalmi összefoglalót kell rögzítenie), m) elkészíti a közzététellel kapcsolatos feladatok végrehajtásáról szóló, évente esedékes átfogó jelentést, amelyet a biztonsági vezető útján felterjeszt a vezérigazgatónak, n) évente tájékoztatja a NAIH vezetőt a közérdekű adatok megismerése iránt benyújtott kérelmek számáról, az elutasított igényről, valamint az elutasítás indokairól. 4.1.4. Közadatfelelős szakértő A Biztonság információvédelmi csoportjának kijelölt munkatársa. Feladata a közadatfelelős munkájának támogatása, különösen:
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 128 a) a közzétételi egységért felelős szervezet adatszolgáltatására alapozva, a közadatfelelős jóváhagyásával a szükséges adatokat továbbítja a MÁV Zrt. közérdekűadat-felelős részére a honlapon való megjelenítés érdekében, az e tárgyban kötött szerződésben előírt dokumentáltsággal, b) rendszeresen ellenőrzi a közzétételi egységek jogszabályi előírásoknak való megfelelését, c) ellenőrzi a részére átadott adatok formátumának megfelelőségét, szükség esetén felhívja az egyes közzétételi egységért felelős szervezetet a megfelelő formátumban történő adatszolgáltatásra, d) rendszeres időközönként figyelemmel kíséri a közzétételi listák adatainak frissítését, szükség esetén felhívja az értük felelős szervezetek figyelmét a frissítés szükségességére, a végrehajtás elmulasztásáról tájékoztatja a közadatfelelőst, e) megszervezi a közérdekű adatok megismerése iránt benyújtott igények kielégítése érdekében a szükséges közadatok begyűjtését, rendszerezését a kérés szerint, f) előkészíti a válaszokat, jóváhagyatja a közadatfelelőssel, majd az igénylő által kért módon megküldi részére, figyelembe véve a költségtérítési kötelezettséget is, g) összeállítja a Korm. r. alapján előírt, munkafolyamatba épített ellenőrzéshez szükséges alapadatokat, h) a közérdekű adatigénylésekre vonatkozóan statisztikai elemzést végez, amelynek figyelembe vételével javaslatot tesz az egyedi közzétételi lista adatkörének kiegészítésére, i) a közadatfelelős irányításával vezeti a Társasághoz érkezett egyedi közadatigénylések nyilvántartását, j) előkészíti az éves és eseti közadatszolgáltatási jelentéseket a NAIH vezető és a vezérigazgató részére. 4.1.5. A Közadat Munkacsoport Vezetője a közadatfelelős, tagjai a közadatfelelős szakértő mellett a közzétételi egységért felelős, az 1.sz. mellékletben feltüntetett szervezeti egységek vezetői által kijelölt munkavállalók, akik a kijelölő által adott megbízás alapján területükön teljesítik az adatfelelős szervezetre háruló feladatokat.
A testület feladata: a) elősegíti a Társasággal kapcsolatos közérdekű információszolgáltató munkát, b) szükség szerint, de legalább évente ülésezik, amelyen a közadatfelelős értékeli a Társaság elektronikus közzétételi kötelezettségeivel kapcsolatos feladatok végrehajtását, tájékoztatást ad az értékelt időszakban beérkezett információkérések teljesítéséről, illetve azok esetleges elutasításáról, a munkacsoport tagjai pedig beszámolnak a feladataik ellátását elősegítő, illetve gátló körülményekről. A munkacsoport tagjának feladata: a) elkészíti a közzétételi egységekbe tartozó azon adatokat (állományokat), amelyek szolgáltatására az őt delegáló szervezeti egység kötelezett, b) a közzétételi listában meghatározott határidőre végrehajtja az adatok aktualizálását, majd azokat megküldi a közadatfelelős szakértőnek, c) a munkaszervezetéhez tartozó közzétételi egységek körében az azonnali frissítésű adatköröket havonta ellenőrzi, megvizsgálja a közzétett közzétételi egységek tartalmi megfelelőségét, ennek eredményéről tájékoztatja a közadatfelelős szakértőt, d) az időszakos frissítésű adatokat a határidő eltelte előtt ellenőrzi, a módosítást továbbítja a közadatfelelős szakértőnek, vagy közli vele, hogy az adatok nem változtak, e) az újrahasznosítás céljára igényelt közérdekű adatok vonatkozásában értelemszerűen elvégzi az előző pontokban felsorolt feladatokat, f) a közadatfelelős és a közadatfelelős szakértő kérésére összeállítja az egyedi adatkérések teljesítéséhez szükséges adatokat, g) folyamatosan tájékoztatja közvetlen vezetőjét a közadatszolgáltatási feladatairól, hozzá érkezett közadat-kérésekről. 4.1.6. Kabinet vezetője a) Irányítja a Társaság SZMSZ-ében rögzített azon tevékenységet, amely szerint „Amennyiben egy adatról nem állapítható meg egyértelműen, hogy az közérdekű adatnak minősül-e, annak elbírálása a Kabinet feladata.” b) A Társaság által kezelt adatokkal kapcsolatban hozzá beérkező adatigénylés és
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 129 sajtómegkeresés esetén meghatározza, hogy az adatkérés a kommunikációs szabályzat alapján elégíthető-e ki, vagy jelen szabályzat hatálya alá tartozik. Jelen szabályzat hatálya alá tartozó olyan sajtókérdés esetében, amely közadatra irányul és kommunikációs úton is teljesíthető – amennyiben nem kerül elutasításra és 15 napon belül teljesíthető – a Kabinet kommunikációért felelős munkavállalója saját hatáskörben teljesíti a kérést. Kétség esetén az adatigénylő nyilatkozatát kéri, hogy adatkérdésének megválaszolását a közérdekű adatok nyilvánosságára vonatkozó jogszabályi előírások alapján kívánja-e teljesíttetni. c) A közadatfelelőssel kölcsönös tájékoztatási munkakapcsolatot tart fenn, melynek keretében az első bekezdés szerinti adatigénylésre adott valamennyi válaszát egyidejűleg megküldi a közadatfelelősnek is. d) A közadatfelelőstől megkapott, a közadatfelelős által egyedi közadatkérésre adott válaszok ismeretében megvizsgálja az érintett közérdekű információ közvélemény számára történő eljuttatásának, külső kommunikálásának szükségességét. e) Havonta megküldi a közadatfelelősnek a médiának tárgyidőszakban eljuttatott közleményeit és rendszeres tájékoztatást ad a közérdekű adatokat érintő, de a honlapon nem szereplő sajtóinformációkról. 4.1.7. Jog vezetője a) A közadatfelelős megkeresésére megvizsgálja az előkészített adatok közzétételének jogszerűségét. b) Ellenjegyzi a jogi vagy szakmai szempontból megalapozatlan (pl. a kért adat nem a Társaság tevékenysége során keletkezik, vagy nem áll rendelkezésre a Társaságnál), illetve más okból nem teljesíthető adatkérések megtagadását. c) A Közadat Munkacsoport ülésén külön felkérésre tájékoztatást ad a folyamatban lévő vitás közadat-szolgáltatási eljárásokról, illetve azok lezárásának eredményéről, tapasztalatairól. d) A közadatfelelős és a közadatfelelős szakértő számára a személyes adatok, illetve a közérdekű adatok megismerésével kapcsolatosan indult peres és nem peres eljárásokban folyamatosan biztosítja a betekintési, megismerési, illetve részvételi lehetőséget.
4.1.8. Működésellenőrzés vezetője a) Közreműködik a Közszolgáltatási szerződésből eredő közérdekű adatszolgáltatási tevékenységben a szervezet tevékenysége vonatkozásában, felügyeli az Ügyfélszolgálat közadat-szolgáltatási tevékenységét. b) Az Ügyfélszolgálathoz a Társaság által kezelt adatokkal kapcsolatban beérkező közadat-igénylés esetén meghatározza, hogy azt az Ügyfélszolgálat rendelkezésére álló adatok alapján meg tudják-e válaszolni. Azt az adatkérést, amely az Ügyfélszolgálat által is teljesíthető, 15 napon belül megválaszolja. Ellenkező esetben az Ügyfélszolgálat vezetője útján továbbítja azt a közadatfelelős részére, majd a tőle kapott választ haladéktalanul eljuttatja az adatigénylőhöz. c) Közadat iránti kérelmet saját hatáskörben nem utasíthat el. Ha ilyen javaslata van, késedelem nélkül ki kell kérnie a közadatfelelős véleményét a kérelem egyidejű megküldése mellett. d) A közadatfelelőssel kölcsönös tájékoztatási munkakapcsolatot tart fenn, melynek keretében az adatigénylésre a napi munka során az Ügyfélszolgálat által adott válaszok összegzett statisztikai adatait havonta megküldi a közadatfelelősnek. e) A vezérigazgatónál – a közadatfelelős egyetértésével – javasolja a kötelezően közzéteendő közérdekű adatok körén kívül eső, közérdeklődésre számot tartó olyan tartalmak honlapon való – a közérdekű adatoktól elkülönült – közzétételét, amelyek nem sértik a Társaság üzleti érdekeit, jó hírnevét. Jóváhagyás esetén a Társaság honlapján való megjelenítésükre önállóan intézkedik.
4.1.9. A közzétételi egységért felelős szervezet vezetője a) Felügyeli a Közadat Munkacsoport szervezeti egységénél működő tagjának közadat-szolgáltatási tevékenységét. b) A Közadat Munkacsoport szervezeti egységénél működő tagjának akadályoztatása esetén a közadatok kezelésével kapcsolatos feladatok ellátására intézkedik a törvényes válaszadási határidő betartása érdekében. c) A közadatfelelős segítségével kidolgozza a közadatok újrahasznosításával kapcsolatos általános szerződési feltételeket, megállapítja az igénylő által fizetendő díjazás mértékét. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ d) A munkaszervezetéhez tartozó Közadat Munkacsoport tag útján gondoskodik az előző bekezdésben szereplő információk honlapon való közzététele céljából a közadatfelelős részére való megküldéséről. e) A vezérigazgatónak – a közadatfelelős egyetértésével – javaslatot tesz olyan közadatoknak az újrahasznosítás körébe vonására, amelyek nem tartoznak az e célból kötelezően rendelkezésre bocsátandó közadatok körébe. f) Szükség esetén kezdeményezi jelen szabályzat módosítását. 4.1.10. A Társaság honlapjának szerkesztő bizottsága Tartalmilag szerkeszti a MÁV-START honlapját, melynek során a technikai üzemeltető útján létrehozza a honlap első oldalán a „Közérdekű adatok” linket, amely a Társaságnak a MÁV Zrt. honlapján elhelyezett közzétételi listájára mutat. A közzétételi lista mellett a Társaság honlapjának technikai üzemeltetője útján elhelyezi az egyedi igénylésekre szolgáló, a 3. sz. melléklet szerinti Igénylőlapot, továbbá a 4. sz. melléklet szerinti Tájékoztatót is, valamint az egységes Közadatkeresőre mutató linket. 4.2. Közzétételre kerülő közérdekű és közérdekből nyilvános adatok A közérdekű adatok megismerhetősége, a nyilvánosság rendszeres tájékoztatása, valamint a hozzáférés egyszerűsítése és az egyedi igénylések számának csökkentése érdekében a Társaság a tevékenységi körébe tartozó ügyekben az Infotv. 1. sz. melléklet alapján különösen az alábbi adatcsoportokat teszi közzé: a) hatásköre, b) illetékessége, c) szervezeti felépítése, d) szakmaitevékenysége, e) annak eredményességére is kiterjedő értékelése, f) birtokában lévő adatfajták, g) működéséről szólójogszabályok, h) gazdálkodása. Eltérő törvényi rendelkezés hiányában, közérdekből nyilvános adat a Társaság feladatés hatáskörében eljáró személy feladatkörével összefüggő személyes adata. Ezen adatok
130 esetén a közérdekű adatok megismerésére vonatkozó rendelkezéseket kell alkalmazni. Fentiek alapján előállított, a Társaságra értelmezett általános közzétételi lista ezen utasítás 1. sz. mellékletét képezi. 4.3 Együttműködés az egyes közzétételi egységekhez tartozó adatok megalkotásában A közzétételi lista adatait (kivéve azok metaadatait) jelen utasítás 1. sz. mellékletében meghatározott szervezeti egységek szolgáltatják. A feltüntetett szervezeti egységhez tartozó Közadat Munkacsoport tag a szükséges adatokat jelen utasítás hatályba lépését követő 15 napon belül állítja elő, és az elkészített adatokat a közadat-felelős szakértőnek továbbítja, ezt követően az 1. sz. melléklet szerinti periódussal frissíti. A közzétételi egységek metaadatait a közadatfelelős szakértő állítja elő, és a közadatfelelős jóváhagyásával a szükséges adatokat továbbítja a Társaság honlapja szerkesztésért felelős munkatársaknak, akik gondoskodnak az adatok honlapon való megjelenítéséről. 4.4 A közérdekű és közérdekből nyilvános adatok megismerésére, illetve újrahasznosítás céljára irányuló kérelmek teljesítésének rendje 4.4.1. Közérdekű adatok egyedi igénylésének módja Közérdekű adatot az Infotv. rendelkezése szerint bárki igényelhet szóban, írásban és elektronikus úton egyaránt. A Társasághoz szóban beérkező egyedi adatigénylést a közérdekű, illetve közérdekből nyilvános adat megismerésére irányuló (jelen utasítás 3. sz. mellékletét képező) Igénylőlap kitöltésével az igénylést fogadó munkavállalónak írásba kell foglalnia. A szóbeli igénylést lehetőség szerint írásos útra kell terelni az Igénylőlapot és 4. sz. mellékletben meghatározott elérhetőségeket (email, levelezési cím, telefax) javasolva, vagy azt a közadatfelelőshöz, illetve a közadatfelelős szakértőhöz kell irányítani. Az adatigénylőnek – eltérő törvényi rendelkezés hiányában – csak olyan személyazonosító adatai (különösen: név, lakcím, levelezési cím,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ elektronikus levélcím, faxszám) és csak annyi ideig kezelhetők, amelyek és ameddig azok az igény teljesítéséhez, illetve a szükséges költségtérítés megfizetésének igazolásához elengedhetetlenül szükségesek. A Társaság bármely szervéhez írásban benyújtott, vagy megküldött igénylést, valamint a szóbeli kérelmekről felvett Igénylőlapot a kézhezvétel napján haladéktalanul továbbítani kell a közadatfelelősnek (
[email protected]). A közadatfelelős az illetékes szervezeti egységnél működő Közadat Munkacsoport tagtól bekéri az adatszolgáltatáshoz szükséges információkat. Amennyiben az igényelt adatot nem a Társaság kezeli, vagy a kérdés nem a Társaság tevékenységére irányul, a kérelmezőt az elutasítás során erről tájékoztatja (amennyiben ismert a tényleges adatkezelő, úgy a válaszban ezt is fel lehet tüntetni). A közadatfelelős szükség esetén kikéri a Kabinet vezetőjének állásfoglalását a kiadni tervezett adat közadat minősítése tekintetében. Kivételt képeznek a fentiek alól a sajtókérdések, amelyek esetében a 4.1.6. pont, valamint az Ügyfélszolgálathoz a napi tevékenysége során érkezett kérdések, amelyek esetében a 4.1.8. pont az irányadó. A közadat iránti igényléseknek a lehető legrövidebb idő alatt, de legfeljebb 15 napon belül eleget kell tenni. Az adatközlés megtagadása esetén a döntést 8 napon belül írásban közölni kell az adatot igénylővel. Az Infotv-ben meghatározott indokkal és módon a válaszadás határideje egy alkalommal 15 nappal meghosszabbítható. Erről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. Amennyiben az igényelt adatok kiadhatóságát illetően kétség merül fel, az adatok kiadását megelőzően a közadatfelelős köteles a Jog állásfoglalását kikérni. Figyelembe kell venni, hogy az állásfoglalás időszükséglete beleszámít a válaszadás határidejébe, arra halasztó hatálya nincs. Amennyiben a kért közérdekű adat a honlap útján már közzétételre került, a válaszban az igénylő figyelmét fel kell hívni erre a körülményre, a közzététel azonban nem mentesít a válaszadási kötelezettség alól, kivéve, ha a közérdekű adat iránti igény e-mail útján érkezett. Ekkor a választ tartalmazó URL cím megadásával is teljesíthető az adatszolgáltatás.
131 Elutasított adatkérés esetében a közadatfelelős köteles az igény teljesítésének megtagadását írásban megindokolni, amelyet megküld ellenjegyzésre a Jog vezetőjének, aki köteles annak haladéktalan elbírálása iránt a szükséges intézkedéseket megtenni. A közérdekű adat iránti igény elutasítása esetén az igénylő bírósághoz fordulhat, ezért az elutasításnak konkrét, megalapozott indokon kell alapulnia. A közérdekű adat megismertetése a közadatfelelős által a kérelmezővel történhet a kérelem előterjesztéséhez igazodóan postai vagy elektronikus úton, rövid úton (pl. telefon, fax), illetve személyes konzultáció formájában a kérelmező által megadott elérhetőségek és az igényelt adatok jellegének figyelembe vételével. Amennyiben az igényelt adat a hordozójánál, a terjedelménél vagy egyéb sajátosságánál fogva csak hivatalos helyiségünkben ismerhető meg, a kérelmező jogosult a helyszínen jegyzetet készíteni, és az adatokról másolatot kérni. E pont alkalmazásában a postai úton, az elektronikus úton, vagy a faxon érkezett közérdekűadat igénylés teljesítésének, meghosszabbításának, elutasításának határidejét a kérés beérkezését követő munkanaptól kell számítani. Amennyiben a határidő utolsó napja munkaszüneti napra esik, akkor a lejártának a következő munkanapot kell tekinteni. Az előző bekezdés esetében a határidő számítás alapja a könyvelt küldeményként postai úton beérkező kérések esetén az átvétel időpontja, ennek hiányában az érkeztető bélyegzőn szereplő időpont; ha több csatornán keresztül érkezett be a kérés, abban az esetben korábbi kézhezvétel, illetve tudomásra jutás. 4.4.2. Közérdekű adatok rendelkezésre bocsátása újrahasznosítás céljára 4.4.2.1. Újrahasznosítás céljából rendelkezésre bocsátható közadatok köre: az újrahasznosítás céljából kötelezően rendelkezésre bocsátandó közadatok körét a 2012. évi LXIII. törvény a közadatok újrahasznosításáról szóló törvény felhatalmazása alapján kiadott végrehajtási rendelet határozza meg. Erre vonatkozó kérelem vagy kérelmek esetén a közfeladatot ellátó szerv vezetője dönthet úgy, hogy engedélyezi az előző bekezdés
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ szerint megállapított közadatok körébe nem tartozó közadat újrahasznosítás céljából történő rendelkezésre bocsátását is. 4.4.2.2. Nem bocsátható rendelkezésre újrahasznosítás céljából, és jogszabályban sem határozható meg kötelezően rendelkezésre bocsátandó közadatként: a) olyan adat, amely rendelkezésre bocsátása kívül esik az érintett közfeladatot ellátó szerv közfeladatain; b) olyan, közadatot tartalmazó, szerzői jogi oltalom alá eső mű vagy más, szellemi alkotáshoz fűződő jog által védett tartalom, amelyen harmadik személyeknek szerzői jogi jogosultsága vagy más szellemi alkotáshoz fűződő joga áll fenn; c) olyan közadat, amelyhez a hozzáférés az információs önrendelkezési jogról és az információszabadságról szóló törvény vagy más törvény szerint kizárt vagy korlátozott; d) a közszolgálati műsorszolgáltatók és azok alvállalkozóinak kezelésében lévő olyan közadat, amelyek közszolgálati műsorszolgáltatási kötelezettségek teljesítéséhez szükségesek; e) az oktatási és kutató intézmények, iskolák, felsőoktatási intézmények, levéltárak, könyvtárak és kutatóintézetek, valamint kutatási eredmények továbbítására létrehozott szervezetek kezelésében lévő közadat; f) a közgyűjtemények, közművelődési és előadó-művészeti intézmények kezelésében lévő közadat.
132 b) az igénylő nevét, lakcímét (székhelyét), kapcsolattartásra használt telefonszámát, valamint e-mail címét, c) az újrahasznosítás céljára igényelt közadat pontos megjelölését, d) az újrahasznosítás céljára igényelt közadat kívánt formátumát, ideértve az alkalmazni kívánt technikai eszköz és mód megjelölését is, e) rendszeres rendelkezésre bocsátás igénylése esetén az igényelt rendszerességet. f) A Társaság a kérelem teljesítése érdekében kezelheti az igénylőnek a b) pont szerint rendelkezésre bocsátott személyes adatait. A kérelem teljesítését – vagy ha ez később teljesül, a megállapított díjak kifizetését – követően a közfeladatot ellátó szerv haladéktalanul törli az igénylő személyes adatait.
4.4.2.5. Ha a kérelem nem tartalmazza az igénylő 4.4.2.4. a) pont szerinti nyilatkozatát, a kérelmet az információs önrendelkezési jogról és az információszabadságról szóló törvénynek a közérdekű adatok megismerésére vonatkozó szabályai szerint kell teljesíteni. Ha a kérelem az 4.4.2.4. a) pont szerinti nyilatkozatot tartalmazza, a közadatfelelős a kérelmet beérkezését követően azonnal, de legkésőbb 5 munkanapon belül megvizsgálja. A kérelem megvizsgálása során ellenőrzi, hogy: a) a kérelem rendelkezik-e a 4.4.2.4. b)–e) pont szerinti kötelező tartalmi elemekkel; b) a kérelemben megjelölt adatok a Társaság rendelkezésére állnak-e, és újrahasznosítás céljára rendelkezésre bocsáthatóak-e. Ha a kérelem a 4.4.2.4. b)–e) pontban 4.4.2.3. A közadat újrahasznosítás céljára meghatározott tartalmi elemek valamelyikét történő rendelkezésre bocsátását az igénylő nem tartalmazza, és a hiány a kérelem csak írásban, a 3. sz. melléklet „Igénylőlap teljesíthetőségét akadályozza, a közadatfelelős közérdekű adat megismerésére, illetve a kérelem beérkezését követően 5 munkanapon újrahasznosításra irányuló kérelem rögzítésébelül az igénylőt – legalább 5, de legfeljebb 10 hez” kitöltésével előterjesztett kérelmével kezmunkanapos határidő megjelölésével és az arra deményezheti. A Társaság bármely szervéhez való figyelemfelhívás mellett, hogy a kért benyújtott, levélben, vagy elektronikus úton adatok hiányában a kérelme nem teljesíthető – megküldött Igénylőlapot a kézhezvétel napján a hiányok megjelölése mellett a hiányzó adatok haladéktalanul továbbítani kell a pótlására hívja fel. közadatfelelősnek. Ha az igénylő a hiánypótlási felhívásnak 4.4.2.4. A kérelemnek tartalmaznia kell (3. határidőben nem tesz eleget, úgy kell tekinteni, sz. melléklet): mintha a kérelmet be sem nyújtotta volna. A felhívás teljesítésének elmulasztása nem a) az igénylő arra vonatkozó kifejezett akadálya annak, hogy az igénylő utóbb nyilatkozatát, hogy a megjelölt közadatokat ugyanazon közadatra vonatkozó újabb kérelmet újrahasznosítás céljára kéri, terjesszen elő. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Ha a kérelemben megjelölt közadatokat nem a Társaság kezeli, és a kérelem alapján az igényelt közadatok kezelésére jogosult szervezet azonosítható, a közadatfelelős az igénylő egyidejű értesítése mellett a kérelmet a kérelem beérkezését követően 5 munkanapon belül átteszi a kérelemben megjelölt adatok kezelésére jogosult szervezetnek. A közadatfelelős a hiánytalan kérelmet a kézhezvételét követően haladéktalanul megküldi a közzétételi egységért felelős Közadat Munkacsoport tagjának. A kérelemről a Közadat Munkacsoport tag előterjesztése alapján az adatot kezelő főtevékenységi kör vezetője (továbbiakban: Vezető) annak figyelembevételével dönt érdemben, hogy a kérelem Társaság általi kézhezvételét követő 20 munkanapon belül azt meg kell válaszolni. A Vezető a 20 munkanap határidőt annak letelte előtt indokolt esetben a kérelem terjedelmes vagy összetett voltára tekintettel egy alkalommal, legfeljebb további 20 munkanappal – az igénylő és a közadatfelelős egyidejű értesítése mellett – meghosszabbíthatja. 4.4.2.6. A Vezető döntésében a) dönt a kérelem teljesítéséről, és az általa alkalmazott általános szerződési feltételeknek megfelelő újrahasznosítási megállapodás megkötésére vonatkozó ajánlatot tesz, b) dönt a kérelem részben történő teljesítéséről, és az általa alkalmazott általános szerződési feltételeknek megfelelő újrahasznosítási megállapodás megkötésére vonatkozó ajánlatot tesz, c) a kérelmet elutasítja, d) a kérelem teljesítését további feltételekhez köti, és az általa alkalmazott általános szerződési feltételeknek megfelelő, vagy ha az alkalmazott további feltételek ezt szükségessé teszik, az általános szerződési feltételektől eltérő újrahasznosítási megállapodás megkötésére vonatkozó ajánlatot tesz. 4.4.2.7. A Vezető a Közadat Munkacsoport tag útján a 4.4.2.6. a), b) és d) pontja szerinti döntése esetén az újrahasznosítási megállapodás eltérő rendelkezésének hiányában az újrahasznosítási megállapodás mindkét fél által történő aláírásának napján az igénylő rendelkezésére bocsátja az igényelt adatokat a közadatfelelős egyidejű értesítése mellett.
133 4.4.2.8. A kérelmet a közfeladatot ellátó szerv kizárólag a következő esetekben utasíthatja el: a) az igényelt közadat újrahasznosítás céljából nem bocsátható rendelkezésre; b) az igényelt közadat nem áll rendelkezésére, és a kérelem más közfeladatot ellátó szervhez nem tehető át. A kérelem elutasítását a közfeladatot ellátó szerv írásban indokolni köteles. Az indokolásnak tartalmaznia kell: a) az elutasítás indokát, b) 4.4.2.2. b) pont alapján – amennyiben ismert a közfeladatot ellátó szerv előtt – azon jogosult megnevezését, akivel a kérelemben foglaltak teljesítésére felhasználási szerződés köthető, c) az elutasítással szemben igénybe vehető jogorvoslati lehetőségekre vonatkozó tájékoztatást. A közfeladatot ellátó szerv e pont szerinti döntése, a rendelkezésre bocsátás feltételei, illetve az ezért megállapított díj mértéke közérdekű adatnak minősül. 4.4.3.Közadatigénylés teljesítésének ellenértéke 4.4.3.1. Egyedi közadatigénylés teljesítésének ellenértéke Az Infotv. rendelkezéseire tekintettel az adatok közlésével összefüggésben kizárólag a másolat készítéséért – legfeljebb az azzal kapcsolatban felmerült költség mértékéig terjedően – állapítható meg költségtérítés, amelynek összegét az igénylő kérésére előre közölni kell. Amennyiben az igénylő válaszként másolatot kért, és annak előállítási költsége (a honlapra is kitett) 4. sz. mellékletben feltüntetett árjegyzék szerint számítva az 1500 Ft-ot meghaladja, a költségtérítés nem mellőzhető. Arról, hogy a másolatként igényelt dokumentum vagy dokumentumrész jelentős terjedelmű, továbbá a költségtérítés mértékéről, valamint az adatigénylés teljesítésének a másolatkészítést nem igénylő lehetőségeiről az igénylőt az igény kézhezvételét követő 8 napon belül tájékoztatni kell. Az igénylő válaszának megérkezésig eltelt idő nem számít bele a 15 napos válaszadási határidőbe. Abban az esetben, ha az igénylő a költséget nem fizeti meg, a kérés nem teljesíthető.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A fentiek figyelembe vételével a költségtérítés díjaként megállapított összeg a Társaság bankszámla számára pénztári befizetéssel, postai csekken vagy banki átutalással fizethető meg. A Gazdálkodás köteles soron kívül értesíteni a közadatfelelőst (
[email protected]) ilyen befizetés érkezésekor. 4.4.3.2. Újrahasznosítás célú közadatigénylés teljesítésének ellenértéke a) A közfeladatot ellátó szerv a kezelésében lévő közadatok újrahasznosításra történő rendelkezésre bocsátásáért díjat állapíthat meg. b) A közfeladatot ellátó szerv a díj megállapításánál a következő szempontokat köteles figyelembe venni: i. a díj mértéke nem haladhatja meg a rendelkezésre bocsátott közadatok gyűjtésének, előállításának, feldolgozásának és terjesztésének legfeljebb öt százalékos nyereséghányaddal megnövelt költségét; ii. az a) pont szerinti költségek megállapításánál a díjat megállapító közfeladatot ellátó szerv által alkalmazott számviteli politikát kell alapul venni. A közadatok újrahasznosításáról szóló törvény felhatalmazása alapján kiadott végrehajtási rendelet a díj mértékére, megállapításának szempontjaira, megfizetésének módjára, valamint a díjfizetés kedvezményeire és a díjfizetés alóli mentességekre vonatkozóan az a) és b) bekezdéssel összhangban további részletszabályokat állapíthat meg. Közadatok újrahasznosítása esetén amennyiben az adatigénylő úgy nyilatkozik, hogy a közadatot újrahasznosítás céljából igényli, kérésének intézése az adatot kezelő főtevékenységi kör vezető illetékességi körébe tartozik. A vezető gondoskodik az újrahasznosításra vonatkozó megállapodás általános szerződési feltételeinek kidolgozásáról és a fizetendő díjazás összegének a Kontrolling közreműködésével való megállapításáról.
134 adatokat tartalmazó iratokat és más adathordozókat, amennyiben azok döntéselőkészítést tartalmaznak (pl. vezetői előterjesztés szervezeti változtatásra, közbeszerzésre, SZMSZ módosítására) a készítőnek „A keletkezéstől számított 10 évig nem nyilvános” kezelési jelzéssel kell ellátnia és a továbbiakban ennek megfelelően (az ÜTVSZ 4.1 pontja szerint) kell kezelnie. Az e körbe tartozó adat megismerését az adatbirtokos szerv ÜTVSZ szerint titokvédelmi minősítésre jogosult vezetője az Infotv. 27. § (6) bekezdésben foglalt eseti mérlegelést követően engedélyezheti. A döntés meghozatalát követően a döntés megalapozását szolgáló adat megismerésre irányuló igény akkor utasítható el, ha az a Társaság törvényes működési rendjének, vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné. Közbeszerzési eljárásokkal és egyéb szerződéskötési adatokkal összefüggő adatigénylések esetén a fentiekben leírtakat megfelelően alkalmazni kell. 4.5.2. Üzleti titok és a közadatok összefüggése Nem minősíthetők üzleti titoknak a költségvetési juttatással, kedvezménnyel, európai uniós támogatással, állami vagyon kezelésével, birtoklásával, használatával, hasznosításával, az azzal való rendelkezéssel, annak megterhelésével, az ilyen vagyont érintő bármilyen jog megszerzésével, a közszolgáltatással összefüggő adatok, valamint az az adat, amelynek megismerését vagy nyilvánosságra hozatalát külön törvény közérdekből elrendeli. E körben az adatok nyilvánosságra hozatala nem eredményezheti az olyan adatokhoz – így különösen a technológiai eljárásokra, a műszaki megoldásokra, a gyártási folyamatokra, a munkaszervezési és logisztikai módszerekre, továbbá a know-how-ra vonatkozó adatokhoz – való hozzáférést, amelyek megismerése az üzleti tevékenyég végzése szempontjából aránytalan sérelmet okozna, feltéve, hogy ez nem akadályozza meg a közérdekből nyilvános adat megismerésének lehetőségét.
4.5. A közérdekű adatok megismerését, nyilvánosságát korlátozó rendelkezések 4.5.1. A döntés meghozatalára irányuló eljárás adatainak védelme A Társaság feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított tíz évig nem nyilvános. Az 1. sz. mellékletben felsorolt 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A közadatra irányuló kérést a fentiekre figyelemmel esetenként, körültekintően kell mérlegelni. Az adatkérés beérkezését követően nem lehet az adatkérés tárgyát üzleti titoknak minősíteni. 4.5.3. Nyilvánosságra nem hozható további adatok Az ügyvédi titokkörbe tartozó vélemények az ügyvédekről szóló 1998. évi XI. tv. 8. §-a alapján titoknak minősülnek. Amennyiben ezt bárki vitatja, a Jog köteles kikérni az ügyvédi kamara véleményét. Nem hozható nyilvánosságra olyan személyes adat, illetve jogi személyek, jogi személyiség nélküli szervezetek olyan adata, amely nem minősül közérdekű vagy közérdekből nyilvános adatnak. A közérdekű adatok nyilvánosságát korlátozhatja az Európai Unió jogszabálya az Európai Unió jelentős pénzügyi vagy gazdaságpolitikai érdekére tekintettel, beleértve a monetáris, a költségvetési és az adópolitikai érdeket is. Ez utóbbi általános érvényű korlátozást adott esetben a honlapon kifejezetten fel kell tüntetni. Folyamatban lévő büntetőeljárással kapcsolatos adatigény felmerülésekor az eljáró hatóság állásfoglalását ki kell kérni. 4.6. Egyéb feladatok Az egyedi adatigényléseket a közadatfelelős által vezetett nyilvántartásba kell rögzíteni. Elkülönítve kell kezelni a teljesített, valamint az elutasított közérdekű adatigényléseket. A nyilvántartásba fel kell venni az igény keletkezésének és teljesítésének módját, az igényelt közérdekű adat megnevezését, a teljesítés vagy elutasítás dátumát továbbá utóbbi okát. A Gazdálkodás évente vizsgálja felül az adatigénylés teljesítése során az adatszolgáltatás biztosításáért (fénymásolás, optikai adathordozó) fizetendő költségtérítés díját, és dolgozza ki a befizetés rendjét, melyet a 4. sz. mellékletben (azt pedig a honlapon a közérdekű adatok igénylése címszó alatt) kell közzé tenni.
135 5.0 HIVATKOZÁSOK, BIZONYLATOK MÓDOSÍTÁSOK HATÁLYON KÍVÜL HELYEZÉSEK 5.1. Hivatkozások - 2011. évi. CXII. tv. az információs önrendelkezési jogról és az információszabadságról - 2012. évi LXIII. törvény a közadatok újrahasznosításáról - 305/2005. (XII. 25.) Korm. rendelet a közérdekű adatok elektronikus közzétételére, az egységes közadatkereső rendszerre, valamint a központi jegyzék adattartalmára, az adatintegrációra vonatkozó részletes szabályokról - 2009. évi CXXII. törvény a köztulajdonban levő gazdasági társaságok takarékosabb működéséről - a MÁV-START Zrt. mindenkori Adatvédelmi szabályzata - a MÁV-START Zrt. mindenkori Üzletititok-védelmi szabályzata 5.2. Hatályon kívül helyezés Az utasítás hatályba lépésével egyidejűleg hatályát veszti a 7/2013. (II. 01. MÁV-START Ért. 5.) sz. vezérigazgatói utasítás a 17/2011. (IX.26. MÁV-START Ért. 6.) sz. vezérigazgatói utasítás a MÁV-START Zrt. közérdekű és közérdekből nyilvános adatairól való tájékoztatás szabályairól szóló utasítás (Közzétételi Szabályzat) 1. sz. módosításáról (egységes szerkezetben). 6.0 HATÁLYBA LÉPTETÉS Jelen szabályzat előírásait a MÁV-TRAKCIÓ Zrt.-nek és a MÁV-GÉPÉSZET Zrt.-nek a MÁV-START Zrt.-be történő beolvadása napjától kezdődő hatállyal kell alkalmazni. 7. 0 MELLÉKLETEK 1. sz.: A MÁV-START Zrt. általános közzétételi listája 2. sz.: A közzétett állományok formátuma 3. sz.: Igénylőlap közérdekű adat megismerésére irányuló kérelem rögzítéséhez 4. sz.: Tájékoztató a közérdekű adatok megismerésére irányuló igények teljesítésének rendjéről Ungvári Csaba s.k. vezérigazgató
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 136 1. számú melléklet A MÁV-START Zrt. általános közzétételi listája A lista tagolása: 1. Szervezeti, személyzeti adatok 1.1. Kapcsolat, szervezet, vezetők 1.2. Gazdálkodó szervezetek 1.3. Lapok 1.4. Felettes, felügyeleti, törvényességi ellenőrzést gyakorló szervek 2. Tevékenységre, működésre vonatkozó adatok 3. Gazdálkodási adatok 3.1. A működés törvényessége, ellenőrzések 3.2. Költségvetések, beszámolók 3.3. Működés 1. Szervezeti, személyi adatok közzétételi egység
szám
adat megnevezése
Elérhetőségi 1.1.1. Hivatalos név (teljes adatok név) 1.1.2. Székhely
felelős szervezeti egység
frissítés gyakorisága
megőrzési idő
a változásokat követően azonnal
az előző állapot törlendő
a változásokat követően azonnal
az előző állapot törlendő
Jog
1.1.3. Postacím (postafiók Kabinet szerinti címe, ha van) 1.1.4. Telefonszám (nemzetközi vagy belföldi számként, utóbbi esetben körzetszámmal, illetve szolgáltatás- vagy hálózatkijelölő számmal) 1.1.5. Faxszám (nemzetközi vagy belföldi számként, utóbbi esetben körzetszámmal, illetve szolgáltatás- vagy hálózatkijelölő számmal) 1.1.6. Központi elektronikus levélcím 1.1.7. A honlap URL-je
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 1.1.8. Ügyfélszolgálat vagy közönségkapcsolat elérhetősége (telefonszám, telefaxszám, ügyfélfogadás helye, postacíme.)
A szervezeti struktúra
A szerv vezetői
Működésellenőrzés a változásokat követően azonnal
1.1.9. Az ügyfélszolgálati vagy közönségkapcsolati vezető neve 1.1.10. Az ügyfélfogadás rendje 1.1.11. A szervezeti struktúra Humán ábrája (a szervezeti egységek és vezetőik megnevezésével), elérést biztosítva a szervezeti egységek feladatainak leírását tartalmazó dokumentumokhoz, a már közzétett adatokra hivatkozással is teljesíthető 1.1.12. A szerv vezetőjének, vezetőinek, valamint testületi szerv esetén a testületi tagok neve, beosztás megnevezése, hivatali elérhetősége (telefon, telefax, postacím, elektronikus levélcím), a már közzétett adatokra hivatkozással is teljesíthető 1.1.13. A szervezeti egységek vezetőinek neve, beosztás megnevezése, hivatali elérhetősége (telefon, telefax, postacím, elektronikus levélcím szervezeti egységenként felsorolásszerűen).
9. szám Budapest, 2014. február 12.
a változásokat követően azonnal
137 az előző állapot törlendő
az előző állapot törlendő
ÉRTESÍTŐ A szerv 1.2.1. Azon gazdálkodó Gazdálkodás tulajdonában szervezetek neve, álló vagy székhelye, elérhetősége részvételével (telefon, telefax, működő földrajzi hely, postacím, gazdálkodó elektronikus levélcím), szervezetek amelyek a közfeladatot ellátó szerv többségi befolyása alatt (többségi tulajdonában) állnak 1.2.2. A fentiek szerinti gazdálkodó szervezetek tevékenységi körének leírása 1.2.3. A fentiek szerinti gazdálkodó szervezetek képviselőjének neve 1.2.4. A fentiek szerinti gazdálkodó szervezetekben a közfeladatot ellátó szerv részesedésének mértéke Lapok 1.3.1. A közfeladatot ellátó Kabinet szerv által alapított lapok neve
1.3.2. A közfeladatot ellátó szerv által alapított lapok szerkesztőségének és kiadójának neve és elérhetősége (telefon, telefax, földrajzi hely, postacím, elektronikus levélcím) 1.3.3. A közfeladatot ellátó szerv által alapított lapok főszerkesztőjének a neve
9. szám Budapest, 2014. február 12.
a változásokat követően azonnal
138 az előző állapot 1 évig archívumban tartásával
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
ÉRTESÍTŐ 139
Felettes, 1.4.1. A közfeladatot ellátó Jog felügyeleti, szerv felettes, illetve törvényességi felügyeleti szervének, ellenőrzést ennek hiányában a gyakorló közfeladatot ellátó szerv szerv felett törvényességi ellenőrzést gyakorló szerv hivatalos neve (teljes neve), székhelye, elérhetősége (telefon, telefax, földrajzi hely, postacím, elektronikus levélcím), honlapjának címe 1.4.2. A közfeladatot ellátó szerv felettes, illetve felügyeleti szervének, ennek hiányában a közfeladatot ellátó szerv felett törvényességi ellenőrzést gyakorló szerv ügyfélszolgálatának vagy közönségkapcsolatának elérhetősége (telefonszám, telefaxszám, ügyfélfogadás helye, postacíme), ügyfélfogadásának rendje
9. szám Budapest, 2014. február 12.
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
ÉRTESÍTŐ 140 2. Tevékenységre, működésre vonatkozó adatok
közzétételi egység
szám
A szerv 2.1. alaptevékenys ége, feladatés hatásköre
2.2.
adat megnevezése
felelős szervezeti egység
A közfeladatot ellátó szerv Jog és Humán feladatát, hatáskörét és alaptevékenységét meghatározó, a szervre vonatkozó alapvető jogszabályok, állami irányítás egyéb jogi eszközei, valamint a szervezeti és működési szabályzat vagy ügyrend listája az adatvédelmi és adatbiztonsági szabályzat teljes szövegét tartalmazó önálló dokumentumok elérhetőségének biztosításával. A közfeladatot ellátó szerv Jog feladatáról, tevékenységéről szóló tájékoztató szövege magyar és angol nyelven, a tartalomjegyzékben a dokumentum címét angol nyelven is meg kell jelölni, a már közzétett adatokra hivatkozással is teljesíthető.
9. szám Budapest, 2014. február 12.
frissítés gyakorisága
megőrzési idő
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
a változásokat követően azonnal
az előző állapot törlendő
ÉRTESÍTŐ 141
Közszolgáltatások
2.3.
2.4.
2.5.
2.6.
A közfeladatot ellátó szerv által nyújtott vagy költségvetéséből finanszírozott közszolgáltatások megnevezése a közszolgáltatási szerződés alapján teljesíthető. A közfeladatot ellátó szerv által nyújtott vagy költségvetéséből finanszírozott közszolgáltatások tartalmának leírása a közszolgáltatási szerződés és a Személyszállítási Üzletszabályzat alapján és teljesíthető. A közfeladatot ellátó szerv által nyújtott vagy költségvetéséből finanszírozott közszolgáltatások igénybevételének rendjére vonatkozó tájékoztatás, a Személyszállítási Üzletszabályzat alapján teljesíthető. A közfeladatot ellátó szerv által nyújtott vagy költségvetéséből finanszírozott közszolgáltatások díjának és az abból adott kedvezmények mértéke a Személyszállítási Üzletszabályzat alapján teljesíthető.
Kabinet
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
- Kabinet - Értékesítés
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
Értékesítés
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 142
A szerv nyilvántartásai
A közfeladatot ellátó szerv- - Informatika által az alaptevékenysége - - Biztonság ellátásához használt saját fenntartású adatbázisok, illetve nyilvántartások jegyzéke 2.8. A közfeladatot ellátó szerv Biztonság által fenntartott, az adatvédelmi nyilvántartásba bejelentendő nyilvántartásoknak az Infotv. szerinti azonosító adatai 2.9. A közfeladatot ellátó szerv által – alaptevékenysége keretében – gyűjtött és feldolgozott adatok fajtái 2.10. A közfeladatot ellátó szerv által – alaptevékenysége keretében – gyűjtött és feldolgozott adatokhoz való hozzáférés módja 2.11. A közfeladatot ellátó szerv által – alaptevékenysége keretében – gyűjtött és feldolgozott adatokról való másolatkészítés költségei 2.7.
9. szám Budapest, 2014. február 12.
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
ÉRTESÍTŐ 143 Nyilvános kiadványok
2.12. A közfeladatot ellátó szerv Kabinet nyilvános kiadványainak címei 2.13. A közfeladatot ellátó szerv nyilvános kiadványai témájának leírása kiadványonkénti bontásban. 2.14. A közfeladatot ellátó szerv nyilvános kiadványaihoz való hozzáférés módja, amennyiben a honlapról a kiadvány letölthető, a kiadvány elérhetőségének biztosításával 2.15. A közfeladatot ellátó szerv nyilvános kiadványaiért fizetendő költségtérítés mértéke vagy az ingyenesség ténye Közlemények 2.16. A közfeladatot ellátó szerv Kabinet által közzétett hirdetmények, közlemények Pályázatok 2.17 A közfeladatot ellátó szerv Kabinet által kiírt pályázatok felsorolása, a pályázatok szakmai leírását, eredményeit és indokolását tartalmazó dokumentumok elérhetőségének biztosításával
9. szám Budapest, 2014. február 12.
negyedévente
az előző állapot 1 évig archívumban tartásával
folyamatosan
legalább 1 évig archívumban tartásával
folyamatosan
az előző állapot 1 évig archívumban tartásával
ÉRTESÍTŐ 144 Vizsgálatok, ellenőrzések listája
Az Állami Számvevőszé k ellenőrzései Egyéb ellenőrzések, vizsgálatok A működés eredményessé ge, teljesítmény
Közérdekű adatok igénylése
2.18. A közfeladatot ellátó szervnél végzett alaptevékenységgel kapcsolatos – nyilvános megállapításokat tartalmazó – vizsgálatok, ellenőrzések felsorolása 2.19. Az Állami Számvevőszék ellenőrzéseinek nyilvános megállapításai 2.20. A szervre vonatkozó egyéb ellenőrzések, vizsgálatok nyilvános megállapításai 2.21. A közfeladatot ellátó szerv feladatellátásának teljesítményére, kapacitásának jellemzésére, hatékonyságának és teljesítményének mérésére szolgáló mutatók és értékük, időbeli változásuk 2.22 A közérdekű adatok megismerésére irányuló igények intézésének rendje 2.23. A közérdekű adatok megismerésére irányuló igények tekintetében illetékes szervezeti egység neve 2.24 A közérdekű adatok megismerésére irányuló igények tekintetében illetékes szervezeti egység elérhetősége (postacíme, földrajzi helye, telefonszáma, telefaxszáma, elektronikus levélcíme), s ahol kijelölésre kerül, az adatvédelmi felelős, vagy az információs jogokkal foglakozó személy neve
Az a szervezet, amelynél az ellenőrzést végezték.
a jelentés megismerését követően azonnal
az előző állapot 1 évig archívumban tartásával
Biztonság
negyedévente
az előző állapot törlendő
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 145
Működési statisztika
Közzétételi listák
A közfeladatot ellátó szerv tevékenységére vonatkozó, jogszabályon alapuló statisztikai adatgyűjtés eredményei, időbeli változásuk 2.26 A közérdekű adatokkal kapcsolatos kötelező statisztikai adatszolgáltatás adott szervre vonatkozó adatai 2.27. A közfeladatot ellátó szerv kezelésében lévő közérdekű adatok felhasználására, hasznosítására vonatkozó általános szerződési feltételek 2.28 Azon közérdekű adatok hasznosítására irányuló szerződések listája, amelyekben a közfeladatot ellátó szerv az egyik szerződő fél 2.29 A közfeladatot ellátó szervre vonatkozó különös közzétételi lista, a közzétételt elrendelő jogszabály megnevezésével és elérhetővé tételével 2.30 A közfeladatot ellátó szervre vonatkozó egyedi közzétételi lista, a közzétételt elrendelő jogszabály vagy egyéb aktus megnevezésével elérhetővé tételével 2.25
Gazdálkodás
negyedévente
az előző állapot 1 évig archívumban tartásával
Biztonság
negyedévente
az előző állapot 1 évig archívumban tartásával
a változásokat követően azonnal
az előző állapot 1 évig archívumban tartásával
negyedévente
az előző állapot 1 évig archívumban tartásával
a változásokat követően azonnal
az előző állapot törlendő
- A közzétételi egységért felelős szervezet vezetője. - Jog - Biztonság - Jog - Biztonság
Biztonság
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 146
Közadatok 2.31. A közfeladatot ellátó szerv újrahasznosítá kezelésében levő, a sa közadatok újrahasznosításáról szóló törvény szerint újrahasznosítás céljára elérhető közadatok listája, valamint azok rendelkezésre álló formátuma 2.32. A 2.25. pont szerinti közadatok újrahasznosítására vonatkozó általános szerződési feltételek elektronikusan szerkeszthető változata 2.33. A 2.25. pont szerinti közadatok újrahasznosítás céljából történő rendelkezésre bocsátásért fizetendő díjak általános jegyzéke 2.34. A közadatok újrahasznosításáról szóló törvény szerinti jogorvoslati tájékoztatás 2.35. A közfeladatot ellátó szerv által megkötött, a közadatok újrahasznosításáról szóló törvény szerint kötött kizárólagos jogot biztosító megállapodások szerződő feleinek megjelölése, a kizárólagosság időtartamának, tárgyának, valamint a megállapodás egyéb lényeges elemeinek megjelölése
a közadat a változásokat újrahasznosításá követő 15 ban érintett napon belül szervezet vezetője
az előző állapot 1 évig archívumban tartásával
a közadat a változásokat az előző állapot újrahasznosításá követő 15 törlendő ban érintett napon belül szervezet vezetője
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 147 3. Gazdálkodási adatok Éves 3.1.1. A közfeladatot ellátó szerv költségvetése éves (elemi) k költségvetései, a már közzétett adatokra hivatkozással is teljesíthető Számviteli 3.1.2. A közfeladatot ellátó szerv Gazdálkodás beszámolók számviteli törvény szerinti beszámolói
a változásokat a közzétételt követően követő 10 évig azonnal
A 3.2.1. A közfeladatot ellátó Humán foglalkoztatot szervnél foglalkoztatottak tak létszáma
negyedévente külön jogszabályban meghatározott ideig, de legalább 1 évig archívumban tartásával a jogviszony a közzétételt létesítését követő 2 évig követő 15 archívumban napon belül, tartásával ezt követően a társaságiadóbevallásra nyitva álló határidő utolsó napjáig negyedévente külön jogszabályban meghatározott ideig, de legalább 1 évig archívumban tartásával
3.2.2. A vezetők és a vezető Humán tisztségviselők illetménye, munkabére, és rendszeres juttatásai, valamint költségtérítése összesített összege és átlagos mértéke
3.2.3. Az egyéb alkalmazottaknak nyújtott juttatások fajtája és mértéke összesítve
Humán
a változásokat a közzétételt követően követő 10 évig azonnal
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 148
Szerződések
3.3.1. Az államháztartás Jog pénzeszközei felhasználásával, az államháztartáshoz tartozó vagyonnal történő gazdálkodással összefüggő – a külön jogszabályban meghatározott értékű – árubeszerzésre, építési beruházásra, szolgáltatás megrendelésre, vagyonértékesítésre, vagyonhasznosításra, vagyon vagy vagyoni értékű jog átadására, valamint koncesszióba adásra vonatkozó szerződések megnevezése (típusa), tárgya, a szerződő felek megnevezése, a szerződések értéke, időtartama, a már közzétett adatokra hivatkozással is teljesíthető
9. szám Budapest, 2014. február 12.
a döntés meghozatalát követő hatvanadik napig
a közzétételt követő 5 évig archívumban tartásával
ÉRTESÍTŐ 149 Egyéb kifizetések
3.3.2. A közfeladatot ellátó szerv által nem alapfeladatai ellátására (így különösen társadalmi szervezet támogatására, foglalkoztatottai szakmai és munkavállalói érdekképviseleti szervei számára, foglalkoztatottjai, ellátottjai oktatási, kulturális, szociális és sporttevékenységet segítő szervezet támogatására, alapítványok által ellátott feladatokkal összefüggő kifizetésre) fordított, ötmillió forintot meghaladó kifizetések címzettjei, a már közzétett adatokra hivatkozással is teljesíthető. EU 3.4. Az Európai Unió fejlesztések támogatásával megvalósuló fejlesztések leírása, az azokra vonatkozó szerződések Közbeszerzési 3.5. Közbeszerzési információk információk (éves terv, összegzés az ajánlatok elbírálásáról, a megkötött szerződésekről
Gazdálkodás
negyedévente
- Jog negyedévente - Gazdálkodás - Üzemeltetés
Beszerzés
9. szám Budapest, 2014. február 12.
negyedévente
külön jogszabályban meghatározott ideig, de legalább 1 évig archívumban tartásával
legalább 1 évig archívumban tartásával
legalább 1 évig archívumban tartásával
ÉRTESÍTŐ 150 2. számú melléklet A közzétett állományok formátuma A közadat-felelős szakértő a közzétételi egységeket html 4.0 vagy pdf v1.3 formátum szerint-, a közadatkeresőben elérhetővé teszi, a kívánt metaadatokat pedig a www.einfoszab.hu oldalon elérhető alkalmazás szerint testre szabott és rögzített XML sémának megfelelő XML formátumban készíti el. Az egyéb rendelkezésre bocsátott állományoknál a széles körű elérhetőség biztosítása végett elsősorban a következő formátumokat kell használni a MIME típusok szerint értelmezve: - Application: pdf, msword, zip - Text: plain, rtf, html - Audio: x-wav, mpeg - Video: x-msvideo, quicktime, mpeg - Image: jpg, png, gif, tif, bmp Más formátumokat egyéb rendelkezésre bocsátott állományoknál akkor lehet alkalmazni, ha a fent felsorolt formátumok nem alkalmasak vagy csak jelentősen hátrányosabb feltételek (méret, sebesség) mellett alkalmasak ugyanazon információ megjelenítésére.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 151 3. számú melléklet Igénylőlap közérdekű adat megismerésére, illetve újrahasznosításra irányuló kérelem rögzítéséhez I. Az igénylő neve …………………………………… lakcíme / levelezési címe: ……………………………………………………………… telefonszáma:…………………………….. fax-száma: ……………………………….. e-mail címe: ……………………………………………………………………………
II. A kért közérdekű adatok megjelölése …………………………………………………………………………………………………………….......... ………………………………………………………………………………………………………………….. ………………………………………………………………………………………………………………….. ………………………………………………………………………………………………………………….. …………………………………………………………………………………………………………………..
III. A válaszadás módjának meghatározása (
- be tett X jellel kell az igényt jelezni!)
A közérdekű adatokat személyesen, csak az adatok megtekintésével kívánja megismerni, személyesen, az adatok megtekintésével kívánja megismerni és másolatot is kér, másolat formában igényli, és a másolat papír CD DVD legyen elektronikus postafiókba (e-mail) kéri IV. Ha az adatot újrafelhasználásra kéri, akkor kötelező kitölteni Az adatokat egyszeri alkalomra heti havi negyedéves félévi rendszerességgel kéri. Az adatkérés időpontja: ………………………………………………. Az adatkérést rögzítő neve / aláírása: …………………………………………….
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 152 4. számú melléklet Tájékoztató a közérdekű adatok megismerésére irányuló igények teljesítésének rendjéről A MÁV-START Zrt. az Alapító MÁV Zrt. www.mav.hu című honlapján teszi közzé az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv. (a továbbiakban: Infotv.) rendelkezései alapján közzéteendő közérdekű adatokat. Az Infotv. alapján a MÁV-START Zrt. kezelésében lévő közérdekű adatok megismerése iránt bárki igényt nyújthat be. Az igény benyújtható: - e-mail:
[email protected] - +36-1-511-1821 (fax) - levél: Ügyfélszolgálat, MÁV-START Zrt. Ügyfélszolgálat 1426 Budapest, Pf.: 56. 06-4049-49-49 - személyesen a Panaszirodán (Budapest VIII. Könyves Kálmán krt. 54-60.), illetve országszerte az ügyfélszolgálati pontokon. Kérelmét írásban benyújthatja alaki követelmények teljesítése nélkül, vagy a MÁV-START Zrt. által e célra rendszeresített nyomtatványán, amely a honlap „Közérdekű adatok” menüpontja alatt letölthető. Amennyiben a kért adatokat - elektronikus levélben kéri megküldeni, szíveskedjék elektronikus levélcímét megadni, - postai úton vagy faxon kéri megküldeni, szíveskedjék nevét és levelezési címét, illetve faxszámát megadni. Az igényelt adat részletes és egyértelmű megjelölése, továbbá az erre rendszeresített Igénylőlap használata elősegíti az igény pontos és gyors teljesítését. Nem tudjuk teljesíteni igényét, ha a válaszadáshoz szükséges pontos elérhetőségi adata nem áll rendelkezésünkre. Amennyiben ugyanazon kérelmező, azonos ügyben ismételten benyújtja kérelmét, érdemi intézkedés helyett tájékoztatást kap a kérés elutasításáról és a rendelkezésére álló jogorvoslati lehetőségekről. Tájékoztatjuk, hogy az igénylés során rendelkezésünkre bocsátott személyes adatait kizárólag ezen igény teljesítésével kapcsolatban használjuk fel, és csak az elengedhetetlenül szükséges ideig őrizzük meg. A MÁV-START Zrt. a közérdekű adat megismerésére irányuló igénynek az igény tudomásra jutását követő legrövidebb idő alatt, legfeljebb azonban 15 napon belül eleget tesz. Indokolt esetben ez a határidő egyszeri alkalommal 15 nappal meghosszabbítható. Amennyiben az igényelt adat a hordozójánál, a terjedelménél vagy egyéb sajátosságánál fogva csak hivatalos helyiségünkben ismerhető meg, biztosítjuk Önnek a helyben történő megismerés lehetőségét. Az adatokról jegyzetet készíthet és az adatokat tartalmazó dokumentumról vagy dokumentumrészről, annak tárolási módjától függően másolatot kérhet. 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 153 Az adatok közlésével összefüggésben, másolat készítéséért (beleértve az átadásra kerülő adathordozót) felmerült költséggel arányos térítési díjak alább megtalálhatók. Annak pontos összegét az adatszolgáltatást megelőzően akkor közöljük, ha Ön válaszként másolatot kért, és annak várható előállítási költsége az árjegyzék szerint számítva az 1500 Ft-ot meghaladja. Netto 1500 Ft. alatti előállítási költség esetében a másolat kiadása térítésmentes. másolás A/4 1 oldalas fekete A/4 2 oldalas fekete A/4 1 oldalas színes A/4 2 oldalas színes A/3 1 oldalas fekete A/3 2 oldalas fekete A/3 1 oldalas színes A/3 2 oldalas színes adathordozó CD DVD
Ft/lap (nettó) 23 27 47 76 41 45 65 94 Ft/db netto 110 164
A költség kiegyenlítése postai csekken, pénztári befizetéssel vagy banki átutalással történhet a MÁVSTART Zrt. 10402142-49575648-49521007 sz. bankszámlaszámára. Kérjük, tüntesse fel a befizetés jogcímeként a KÖZADATIGÉNYLÉS szót. Az igényelt adatot tartalmazó adathordozó ilyenkor csak a befizetés igazolását követően adható át. Az ügyintézés meggyorsítása érdekében a befizetést igazoló dokumentum másolatát célszerű megküldeni a
[email protected] címre, vagy a +36-1-511-1821 fax-számra. Amennyiben a kért adat nem közérdekű vagy nem közérdekből nyilvános adat, az igény teljesítésének megtagadásáról – függetlenül a benyújtás módjától –, annak indokával együtt 8 napon belül írásban, illetőleg amennyiben elektronikus levelezési címét közölte, elektronikus úton értesítjük. A közérdekű adatigénylés teljesítésének megtagadása esetén az elutasítás kézhezvételétől számított 30 napon belül keresetet nyújthat be az illetékes bírósághoz. Az ezúton kezdeményezett per az illetékekről szóló többször módosított 1990. évi XCIII. törvény 57.§ (1) bekezdésének o) pontja alapján illetékmentes. Amennyiben a közérdekű, vagy közérdekből nyilvános adatot újrahasznosítás céljából kéri, az Igénylőlap IV. rovatát kötelező kitölteni.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 154 és
27/2014. (II. 12. MÁV-START Ért. 9.) sz. vezérigazgatói utasítás a személyszállító vonatok biztonsági kamerarendszerével rögzített felvételek kezelésének szabályzata
2.2. Az utasítás kidolgozásáért karbantartásáért felelős A szabályzat kidolgozásáért és folyamatos karbantartásáért a Biztonság vezetője felelős.
1.0 AZ UTASÍTÁS CÉLJA Az utasítás célja a MÁV-START Zrt. (a továbbiakban: Társaság) működési területén a személyszállító vonatok biztonsági kamerarendszerével rögzített felvételek tárolására, kiolvasására, átadására vonatkozó szabályok meghatározása a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv), továbbá a Társaság – Infotv. alapján kiadott – Adatvédelmi Szabályzata (AVSZ) által meghatározott keretek között.
3.0. FOGALMAK MEGHATÁROZÁSA A szabályzat értelmezéséhez szükséges fogalmak az AVSZ-ben rögzítésre kerültek, újak definiálása nem szükséges.
2.0. HATÁLY ÉS MEGHATÁROZÁSA
FELELŐSSÉG
2.1 Az utasítás hatálya 2.1.1. Az utasítás személyi hatálya Az utasítás személyi hatálya a Társaság mindazon munkatársára kiterjed, aki a személyszállító vonatokon alkalmazott biztonsági kamerarendszerek működtetésében részt vesz: a rögzítő informatikai rendszert üzemelteti, a rendszerrel rögzített felvételekkel bármilyen műveletet végez, pl. kiolvassa, nyilvántartásba veszi, a Biztonság részére átadja. A teljesség igénye nélkül: azon személyszállításért felelős területi szervezet (továbbiakban: Területi Központ) vezetői, vezénylő tisztjei, jegyvizsgálói, pénztárosai, ügyeletes tisztjei, kiolvasással és karbantartással megbízott munkatársai, amelyeknél a kamerával ellátott vasúti járművek telepállomás szerint honosítva vannak, illetve amelyek területén ilyen vonatok közlekednek, továbbá mindazok, akik a kiolvasott adatok hatóság részére történő továbbításában az Területi Központ és a Biztonság részéről részt vesznek. 2.1.2. Az utasítás tárgyi hatálya Az utasítás tárgyi hatálya kiterjed valamennyi motorvonatra és személyszállító vasúti kocsira felszerelt kamerarendszerre és mindazon eszközre, szoftverre, adathordozóra amellyel a kamerarendszerből kiolvassák, amire rögzítik, és amivel megtekinthetővé teszik a rögzített felvételt.
4.0. AZ UTASÍTÁS LEÍRÁSA 4.1. Az adatkezelés általános szabályai A 2012. évi XLI. törvény a személyszállítási szolgáltatásokról (továbbiakban: Szsztv.) 8. § (1) értelmében a vasútállomáson a közforgalom számára nyitva álló helyen, megállóhelyen valamint a személyszállító vasúti járművek belterében, vasútállomáson és megállóhelyen található berendezések, a személyszállító járművek, továbbá az utasok életének, személyének, testi épségének és vagyontárgyaik védelme céljából az Infotv érvényesítése mellett, továbbá a Szsztv.-ben meghatározott korlátozó rendelkezések betartásával a vasút társaság jogosult elektronikus biztonsági rendszeren keresztül megfigyelést folytatni, a megfigyelés során kép- és hangfelvételt készíteni, a készített kép- és hangfelvételt, valamint az azon rögzített személyes adatot kezelni. Az utas képmása az érintett személyes adata. Ennek következtében a felvételek elkészítése, a rögzítőberendezésből való kimásolása, hatósági eljárás megkezdéséig való megőrzése, a hatóság megkeresésére történő átadása, stb. az AVSZ-ben definiált „adatkezelésnek” minősül, a felsorolt műveleteket végzők pedig „adatkezelőnek”. A személyes adatok kezelése során az Infotv. előírásainak maradéktalanul meg kell valósulniuk, de az adatkezelés törvényes feltételeket kielégítő végzése érdekében be kell tartani a Társaságnál hatályos AVSZ előírásait is. Utóbbiban rögzítésre került a képrögzítő rendszerrel történő adatkezelés célja, az utasok részére adandó tájékoztatás tartalma, a felvételek megőrzési ideje, stb., de ez írja le a felvételen látható utas (az érintett) jogát a felvétel kiolvasásának kezdeményezésére, panaszjogának és egyéb jogának az érvényesítésére is.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ Jelen szabályzat sem az érintettnek az AVSZben szabályozott jogait (panasz-, törlési-, stb.), sem a Társaság munkavállalóinak ott rögzített kötelezettségeit nem érinti. 4.2. Felvételek készítésének és kezelésének szabályai Az utas képmását tartalmazó felvételt olyan zárt informatikai rendszerben és olyan eljárással kell kimenteni és megőrizni, amelyben biztosított, hogy azt a kimentésében és megőrzésében közreműködő adatkezelők nem ismerhetik meg. A rendszer informatikai biztonsági megfelelőségét a Társaság mindenkori Informatikai Biztonsági Szabályzatának (a továbbiakban: IBSZ) előírásai szerint kell megvalósítani. A felvételek kiolvasását, adathordozóra másolását, az adathordozó nyilvántartásba vételét és az illetékes Területi Központ vezetője Biztonság részére történő átadását a Biztonság felügyelete alatt az érintett Területi Központ ezzel a feladattal megbízott munkatársai végzik. Amennyiben a kiolvasás egybeesik a jármű karbantartásával, akkor a kiolvasást a kamerarendszer karbantartásával megbízott munkatársak is végezhetik, jelen utasítás betartásával. A biztonsági kamerarendszerek felvételének megőrzésére az AVSZ előírása szerint a Társaság belső adatvédelmi felelőse jogosult. A felvételeket a törvény által felhatalmazott hivatalos szervek részére, az érintett kezdeményezésére indult eljárásban pedig a Biztonság vezetője jogosult átadni. Személyes adatokat tartalmazó dokumentumokat, elektronikus adathordozókat el kell látni a „Nem nyilvános” kezelési jelzéssel és iktatási számmal; tárolásuk, kezelésük, megőrzésük a továbbiakban a nyilvánosság korlátozása mellett történhet.
155 veszély fenyegette - hívja fel erre az utas figyelmét. Ezt az igényét az utas a Társaság Vagyonvédelmi Szabályzatának 10. számú mellékletét képező, négynyelvű Bejelentőlap kitöltésével jelentheti be (1. sz. melléklet). A Bejelentő lap 3 példányos, indigós. Az első és harmadik példányt kell a rögzítőberendezést hordozó jármű honállomása szerint (továbbiakban honos) illetékes Területi Központ vezetőjének megküldeni, a második példányt át kell adni az utasnak, illetve a bejelentőnek. Minden bejelentési helynek rendelkeznie a kérelmekhez szükséges elegendő mennyiségű Bejelentőlappal, és a zárt kezelésükhöz szükséges borítékkal. A jegyvizsgálók szolgálatuk során minimálisan három darab Bejelentőlapot kötelesek maguknál tartani. A lent részletezett egyéb helyeken az utasforgalom, valamint az utazók létszámának ismeretében az érintett Területi Központok vezetői kötelesek meghatározni a fennakadásmentes munkavégzéshez mindenkor szükséges minimális mennyiségeket. Az igény az alábbi munkakört betöltőnél, illetve helyeken, csak a megfelelően kitöltött Bejelentőlapon fogadható el:
vonaton a jegyvizsgálónál, telepállomáson a vezénylőtisztnél, vezénylőnél, utazószemélyzet-gazdálkodónál, c) vasútállomáson ott, ahol az „Észrevételek könyve” van elhelyezve, d) az utasítás hatálya alá tartozó Területi Központban, e) ügyfélszolgálati irodában. A bejelentő figyelmét a Bejelentőlap átvételekor fel kell hívni, hogy a hatósági eljárást az utasnak (képviselőjének) kell kezdeményezni a rendőrségen tett feljelentéssel. A Bejelentőlap alján minden esetben rögzíteni kell átvételének dátumát. Az utastól a kitöltött Bejelentőlapot átvevő 4.3. A biztonsági kamerarendszerrel készített szolgálati személy az aláírásakor rögzítse az felvételek megőrzésének, átadási igényének átvétel pontos időpontját. A jegyvizsgáló a bejelentése személyes adatokat is tartalmazó, kitöltött Az utas jogszerűen kérheti a biztonsági Bejelentőlap nyomtatvány első és harmadik kamerarendszerek felvételének megőrzését az példányát lehetőség szerint szolgálata közben általa indítandó hatósági eljárásban való az első olyan állomásán ahol ügyeletes tiszt felhasználás céljából, de jegyvizsgáló teljesít szolgálatot, de legkésőbb a szolgálata amennyiben az utas jelzi, hogy életét, végén a saját honos Területi Központja személyét, testi épségét vagy vagyontárgyát Végrehajtási Utasításában meghatározott 9. szám Budapest, 2014. február 12. a) b)
ÉRTESÍTŐ módon úgy köteles leadni, hogy az mások számára olvashatatlan legyen („Nem nyilvános” felirattal ellátott, lezárt borítékban). A felsorolt helyeken kiállított Bejelentőlap első és harmadik példányát zárt borítékban a honos Területi Központ vezetője részére a lehető legrövidebb időn belül, de legkésőbb egy munkanap alatt meg kell küldeni, illetve kimutathatóan át kell adni. 4.4. Kiírási megbízás küldése a kiolvasó személynek Utas kérelmére induló eljárásban A honos Területi Központ a megkapott kettő példányos Bejelentő lapot köteles az iratkezelési rendszerben főszámos iktatásként iktatni. A Bejelentőlap alapján a kiolvasásra megbízást kell adni. Ehhez a Területi Központ vezetője kitölti a 2. számú melléklet szerinti Kiolvasási Megbízást, amit soron kívül átad, vagy e-mail útján értesíti a megbízottat, hogy kiolvasási feladata van. Ezzel egyidőben a bejelentőlap és a Kiolvasási Megbízás egy-egy szkenelt másolatát tájékoztatásul köteles megküldeni a Társaság belső adatvédelmi felelősének. A Kiolvasási Megbízást az előző főszámos iktatásként keletkezett iktatószámhoz alszámos iktatásként köteles csatolni. Kiolvasási Megbízás csak a kiolvasásra dokumentáltan kioktatott munkavállaló részére adható. Az oktatott személyekről a Területi Központ köteles nyilvántartást vezetni. Bejelentőlaponként külön-külön Kiolvasási Megbízást, kell készíteni a megbízás felső részének kitöltésével. A kiírással megbízott lehetőség szerint azonnal, de légkésőbb 1 napon belül jelentkezni köteles a megbízónál, vagy a számára kijelölt telephely vezetőjénél a kiírási körülmények egyeztetése, a Kiolvasási megbízás átvétele, az érintett rögzítőberendezéshez fizikai hozzáférést biztosító kulcs, és elektronikus hozzáférést biztosító IP-cím ideiglenes átvétele céljából. A Biztonság vezetője által indított eljárásban Bíróság vagy hatóság megkeresésére, vagy belső hivatalos dokumentumok alapján a rögzített felvétel kiolvasását a Biztonság vezetője rendeli el. A beérkező bírósági vagy hatósági megkeresést, vagy belső hivatalos
156 dokumentumot a Biztonság főszámosan iktatja az iratkezelési rendszerben. A kiolvasásra a megbízást a vagyonvédelmi koordinátor adja, aki az iratkezelési rendszerben alszámos ügydarabként iktatja azt. A honos Területi Központ vezetőjének az iratkezelési rendszeren keresztül feladatként küldi meg a Kiolvasási megbízást. Ezzel egyidejűleg tájékoztató feladatatot kell küldenie a Társaság adatvédelmi felelősének. A Területi Központ vezetője a Kiolvasási Megbízást köteles kinyomtatni. Ettől a ponttól a feladata ugyanaz, mint az Utas kérelmére induló eljárásban. A Területi Központ vezetőjének ebben az esetben nem kell tájékoztató feladatként a Kiolvasási megbízást elküldeni a Társaság adatvédelmi felelősének. Az AVSZ-ben meghatározottak szerint az ebben az eljárásban kiolvasott felvételeket a Társaságnál alkalmazásban álló, a személy- és vagyonvédelmet végző munkavállalók jogosultak megismerni. 4.5. A képi adatok kiírása és a kiírás dokumentálása A rögzítőberendezésből adatot kimásolni kizárólag a fentiek szerint kiállított Kiolvasási Megbízás alapján, a rajta feltüntetett adatokra kiterjedően engedélyezett. A motorvonatokat úgy kell vezényelni, illetve a Megbízást megkapó munkatársnak úgy kell a kiolvasást elvégezni, hogy az egy napon belül megtörténjen. A kiolvasáshoz a FLIRT motorvonatokon egy mobil számítógépet kell a rögzítőberendezéshez csatlakoztatni, a TALENT motorvonatokból kivett adattárolót pedig egy speciális dokkolóba kell helyezni. Ezt követően meg kell keresni a Kiolvasási Megbízáson közölt adatok alapján a kiírni szükséges felvételt (felvételeket), és a kérdéses adatokat ki kell másolni a mobil számítógépre, de a rögzítőberendezés merevlemezéről tilos letörölni. Ezt követően a kimásolt felvételeket (méretüktől függően) CD vagy DVD lemezre kell átírni. Az utas az Infotv. 14.§ c) pontjában adott jogával élhet és kérheti személyes adatának (képi adatainak) törlését. Ehhez olyan technikai megoldást kell a rendszerbe beépíteni, amely biztosítja a fenti típusú szelektív adattörlést.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A motorvonaton elhelyezett képrögzítő informatikai rendszer személyes adatokat tárol és kezel, ezért az illetéktelenektől fokozottan védeni kell a kiolvasáshoz használt mobil számítógépet, az adattárolókat, és az azokon lévő képi adatokat. A mobil számítógép fizikai védelméről és a rögzítőberendezés kulcsainak, valamint az IP címlistának a biztonságos, egymástól elkülönített tárolásáról a kiolvasást végző telephelyek vezetőinek kell gondoskodniuk. A kulcskezelés szabályait a Területi Központ telephelyén, a helyi sajátosságokat figyelembe véve kell meghatározni. A technikai eszközök, valamint kulcsok kiadását és visszavételét dokumentáltan és visszakereshetően kell végezni. A rögzítőberendezés kulcsát és az IP címet kizárólag a kiolvasás és az adatállományok adathordozóra írásának idejére szabad átadni a kiírással megbízott munkatársnak. DVD-re, illetve CD-re elektronikusan fel kell írni:
a Kiolvasási Megbízáson megjelölt felvételt tartalmazó állomány(oka)t, a felvételek megnézésére szolgáló programot (külön mappában), a motorvonaton a kamerák elhelyezkedésének áttekintő ábráját. A DVD / CD-nek ún. egyszer írható adathordozónak kell lennie, amelyet írás után elektronikusan „le kell zárni” a további adatráírás megakadályozása érdekében. Az adathordozón lévő adatok későbbi egyértelmű azonosítása érdekében annak dobozán (tasakján) tintával, emellett a lemez címkézett oldalán alkoholos filctollal fel kell tüntetni a következőket: a „Nem nyilvános” kezelési jelzés, a „…. sz. melléklet a ………………… iktatószámú anyaghoz” felirat (iktatószám: a hozzá tartozó Kiolvasási Megbízással megegyezően), a lemezre rögzített adatállomány(ok) neve. Tilos az adathordozó külső felületén bármilyen személyes adatot feltüntetni. Az esetleg rontott adathordozót oly módon kell megsemmisíteni, hogy az adatok az eljárás után elérhetetlenek legyenek.
157 A kiolvasást végző személy a kimásolt adatokat nem ismerheti meg, csak az azokat tartalmazó elektronikus állományokkal dolgozhat. Sikeres DVD / CD-re írás után a mobil számítógépen tárolt képi adatokat oly módon kell törölni, hogy az adatok az eljárás után elérhetetlenek (felhasználói módszerekkel visszaállíthatatlanok) legyenek. A kiírás megtörténtét a Kiolvasási Megbízás-on (annak alsó részén) kell rögzíteni, amit az adathordozóval együtt el kell juttatni a Területi Központ vezetőjéhez. 4.6. A kiírt felvételek továbbküldése a Társaság belső adatvédelmi felelősének A mind a felső, mind az alsó részén kitöltött Kiolvasási Megbízást és a mentett adatot tartalmazó adathordozót a rá írt „Nem nyilvános” kezelési jelzés szerint kell megőrizni és a lehető legrövidebb időn belül továbbítani a Társaság belső adatvédelmi felelőséhez. Ha utas kérelmére történt a kiolvasás, akkor a Területi Központ vezetője az ügyiratot postázza a Biztonság részére, Ha a vagyonvédelmi koordinátor készítette a megbízást, akkor a Területi Központ vezetője az alszámos iratot postázza a Biztonság részére. A postázásról kinyomtatott postalaphoz mellékelni kell a Bejelentő lap első és harmadik példányát is. Továbbítás előtt a Kiolvasási Megbízásról másolatot kell készíteni, amit az eredeti példánnyal együtt kell megküldeni. A megbízó az alábbi tartalommal és alaki kellékekkel továbbítja a dokumentumokat, felvételeket, zárt borítékban. A borítékon:
„Nem nyilvános” kezelési jelzés, iktatószám a hozzá tartozó Kiolvasási Megbízás alapján (egy iktatószámhoz csak egy eset tartozhat), feladó szervezet, címzett: MÁV-START Zrt. Biztonság, belső adatvédelmi felelős,
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ A borítékban: Kiolvasási Megbízás eredeti és másolati példánya, Bejelentő lap első és harmadik példánya, a készített adathordozó(k). A belső adatvédelmi felelős a Kiolvasási Megbízás borítékban elhelyezett másodpéldányán, igazolja a küldemény átvételét. Az eredeti példányokat összekapcsolja az ugyanezen iktatószámú, a megbízáskor kiadott és neki megküldött Bejelentőlappal és a Kiolvasási Megbízással (amelynek csak a felső része van kitöltve, és gondoskodik az átvett iratok, és adathordozó(k) iktatásáról. Az Területi Központ vezetője kiolvasás végrehajtását követő első munkanap reggelén köteles továbbítani a Biztonság részére a kimentett adatokat tartalmazó adathordozót felsorolt dokumentumok eredeti példányaival együtt. 4.7. A kiírt felvételek átadása a megkereső hatóságnak A belső adatvédelmi felelős az utas kérelmére indult eljárásban tárolja a részére átadott felvételt, majd átadja az őt megkereső hatóságnak. Ennek szabályait az AVSZ tartalmazza. A Biztonság illetve a belső adatvédelmi felelős részére megküldött Kiolvasási Megbízásra Biztonság szervezetén belül még több aláírás is kerül. Amennyiben valamennyi aláírás meg történt a belső adatvédelmi felelős, vagy a vagyonvédelmi koordinátor köteles a Kiolvasási Megbízást a főszámos, vagy alszámos irathoz csatolni. Ezzel az ügyirat lezárható. Az átadni tervezett felvétel használhatóságáról a Társaság adatvédelmi felelőse köteles annak hatóság részére való megküldése előtt meggyőződni. Ennek során a felvételen szereplők személyi jogai nem sérülhetnek, a vizsgálat kizárólag a felvétel műszaki megfelelőségének megállapítását célozhatja. Nem használható felvétel esetén kezdeményezi annak ismételt – a rögzítőberendezésben való felülírás veszélye miatt lehetőleg soron kívüli elkészítését a Területi Központ vezetőjénél.
158 ellenőrzése,
4.8. A rögzítőrendszer karbantartása A rögzítőrendszer rendeltetésszerű működését a Járműmenedzsment felügyelete alatt az érintett Területi Központ munkatársainak rendszeresen, de legalább havi gyakorisággal ellenőrizniük kell. A berendezések karbantartását csak az arra kioktatott személyek végezhetik. A kioktatott személyekről a Területi Központ köteles nyilvántartást vezetni. A karbantartáskor a felvételek megtekintése nélkül meg kell győződni róla, hogy a berendezés működőképes, továbbá gondoskodni kell a rögzítő rendszer mindenkori pontos idő, és a téli / nyári idő állításáról is. A karbantartást követően gondoskodni kell a rögzítőrendszer esetleges verzióváltozásainak megfelelő dokumentálásáról. Meghibásodás esetén a javítást csak az illetékes szakszerviz hajthatja végre a karbantartást végző Területi Központ munkatársának személyes jelenlétében, az IBSZ-ben előírtak szerint. A karbantartáshoz szükséges mobil számítógépet, kulcsokat, IP címeket a karbantartó személy / személyek részére tartós használatra kell kiadni. A címlistát a kulcsoktól elkülönítve, illetéktelen megismeréstől védve, biztonságos módon kötelesek tárolni. A karbantartó mobil számítógép más munkavégzésre is felhasználható, amennyiben azon a 4.5. pont szerint elvégezték a kimentett adatok törlését. Az adattároló IP címét tilos a rögzítőrendszer fizikai elemeinek burkolatán feltüntetni. A kiolvasáshoz a honos Területi Központnak kell gondoskodna a kiolvasó eszközökről. 4.9. Oktatások A 2.1. pont szerint az utasítás hatálya alá tartozóknak az alábbi oktatásokon kell részt venniük. Adatvédelmi képzés: jelen szabályzat hatálya alá tartozó valamennyi munkatársnak.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ
159 rendszeresen
Eljárásrend oktatása: a) a kijelölt Területi Központ vezetőnek, b) a kijelölt vezénylő tiszteknek, vezénylőknek, utazószemélyzetgazdálkodóknak, c) a kijelölt vonatkísérőknek, d) a kijelölt pénztárosoknak, e) a kijelölt ügyeletes tiszteknek (MÁV), f) a kijelölt forgalmi szolgálattevőknek (MÁV), g) a kijelölt kiolvasóknak. Kiolvasási oktatás a kiolvasással megbízottaknak. Karbantartási oktatás: a kamerarendszer karbantartását végző munkatársaknak. A Biztonság vezetője szervezze meg, hogy a MÁV Zrt-nek az f) és g) alpontban foglalt illetékesei jelen szabályzatban foglaltakat megismerjék és munkájukban alkalmazzák. A Társaság érintett munkavállalóit jelen utasítás kiadását követően a benne foglaltakról Parancskönyv útján kell tájékoztatni, ezt követően az oktatandó anyagokat a Területi Központ köteles az éves oktatási tervébe beépíteni, majd annak megfelelően oktatni.
A Járműmenedzsmentnek ellenőriznie kell: a kiolvasó mobil számítógép átadás átvételének dokumentáltságát, a kulcsok kezelésére vonatkozó szabályok betartását, a rögzítőberendezésre előírt karbantartások szabályok szerinti elvégzését, a karbantartás során használt eszközök előírás szerinti kezelését, az elvégzett javítások megfelelő dokumentálását.
4.10. Ellenőrzések A kamerarendszerrel kapcsolatos mindennemű tevékenységet (kiolvasást, törlést, karbantartást) a mindenkor hatályos Ellenőrzési Utasítás, valamint a Társaság Szervezeti és Működési Szabályzata irányelveinek betartása mellett az érintett szervezetek kötelesek kellő gyakorisággal ellenőrizni, illetve az Ellenőrzési tervükbe beépíteni. A teljesség igénye nélkül:
A felsorolt segédanyagok biztosítása a Területi Központ feladata.
A Biztonságnak rendszeresen ellenőriznie kell: az IP címek kezelésére vonatkozó szabályok betartását, hogy a felvételek rögzítését végző számítástechnikai alkalmazásban a felhasználók tényleges hozzáférési jogosultsága csak a szerepkörüknek megfelelő legyen, a 4.5 pont szerinti törlések biztonságos elvégezését, az elvégzett szoftverváltoztatások megfelelő dokumentálását.
4.11. Egyéb rendelkezések A 4.3. pontban felsorolt munkakörök betöltőihez, illetve szolgálati helyekre folyamatosan biztosítani kell a Bejelentőlapot, az érintett Területi Központokhoz a Kiolvasási Megbízás nyomtatványt, a felsoroltak biztonságos kezeléshez szükséges „Nem nyilvános” feliratú borítékot, a kiolvasási helyekre a mobil számítógépet, a kellő számú, egyszer írható CD-t és DVD-t (a készlet fogyását a belső adatvédelmi felelős által a 4.6. pont szerint igazolt átvételek alapján kell lekönyvelni).
Mind a papír, mind az elektronikus adathordozókat (Bejelentőlapok, megbízási adatlapok, CD és DVD, stb.) jelen szabályzatban foglalt kiegészítésekkel a mindenkor hatályos Ügyviteli utasítás szerint kell iktatni, kezelni és irattárazni. Tárolásukról a „Nem nyilvános” kezelési jelzés szerint kell gondoskodni. 5.0. HIVATKOZÁSOK, MÓDOSÍTÁSOK, HATÁLYON KÍVÜL HELYEZÉSEK 5.1 Hivatkozások 2005. évi CLXXXIII. törvény a vasúti közlekedésről 2012. évi XLI. törvény a személyszállítási szolgáltatásokról 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 160
2005. évi CXXXIII. törvény a személy- és vagyonvédelmi tevékenység szabályairól A mindenkori hatályos vezérigazgatói utasítás a MÁV-START Zrt. vagyonvédelmi szabályzatáról
5.2 Módosítások Jelen utasításhoz nincs. 5.3. Hatályon kívül helyezés Jelen utasítás megjelenésével egyidejűleg hatályát veszti a 15/2009. (VI. 12. MÁVSTART Ért. 8) VIG. sz. vezérigazgatói utasítást a személyszállító vonatok biztonsági kamerarendszerével rögzített felvételek kezeléséről. 6.0. HATÁLYBA LÉPTETÉS Jelen szabályzat előírásait a MÁV-TRAKCIÓ Zrt.-nek és a MÁV-GÉPÉSZET Zrt.-nek a MÁV-START Zrt.-be történő beolvadása napjától kezdődő hatállyal kell alkalmazni. 7.0. MELLÉKLETEK 1. számú melléklet: Vagyonvédelmi szabályzat 10. számú melléklet szerinti Bejelentőlap 2. számú melléklet: Kiolvasási Megbízás nyomtatvány Ungvári Csaba s.k. vezérigazgató
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 161 1.sz. melléklet MÁV-START VASÚTI SZEMÉLYSZÁLLÍTÓ Zrt. MÁV-START Bahnpersonenverkehrs AG. MÁV-START Railway Passenger Transport Co. ЗАО МАВ-СТАРТ Железнодорожных Пассажирских Перевозок
Kiállítás után a célállomáson, illetve a határállomáson leadandó! Bitte dem Zugbegleiter abzugeben! After the issue in the destination or in the border destination will deliver! После заполнения сдать на станции назначения или на пограничной станции!
BEJELENTŐLAP
Kitöltés után NEM NYILVÁNOS!
Utas sérelmére elkövetett lopásról*, más vagyon elleni cselekményről*, egyéb eseményről* ANMELDESCHEIN über Diebstahl / über andere Handlung gegen das Vermögen/ über andere Ereignisse gegen den Reisenden REGISTRATION FORM – theft committed to the injury of passenger*, other crime against property*, other event*. ЗАЯВЛЕНИЕ – о краже*, о других имущественных преступлениях*, о прочих происшествиях*, направленных против пассажира Az esemény időpontja: év hónap nap óra Datum: …………………… Jahr ……………………. Monat …………… Tag …………… Uhr The event’s date: Year Month Day Hour Дата происшествия: Год Месяц День Время ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Az esemény helye: Vonaton* Pályaudvaron* Tatort: Im Reisezug Am Bahnhof The event’s place: In train In railway station Место происшествия: На поезде На вокзале --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Vonatszám: Kocsi pályaszám: Vonatnév: Zugnr. ………………………….. W. nummer: ………………………………………. Zugname: …………………………………………. Train number: Carriage line number: Train name: № поезда: № вагона: Hазвание поезда: ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Útvonal: tól -ig Strecke: Von -Bis Line: ………………………………………………………………… From …………………………………………………………….. -To Маршрут: Из -До ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Az esemény rövid leírása, ellopott tárgyak, kár Kurze Beschreibung des Vorfalles, diebsgut, schaden The event description in short, the stolen things, damages Краткое описание происшествия, украденные предметы, ущерб: ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Családi neve: Keresztneve: A károsult állampolgársága: Familien Name: Vorname: Geschädigte stgehörigkeit: Family name: Fore name: The injured nationality: Фамилия: Имя: Гражданство потерпевшего: ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Irányítószám, helység, ország, Lakóhelye: utca, házszám, ajtó / PLZ/ORT/STAAT Wohnort:, Strasse, Nr., Tür / Postcode, locality, country, Address: street, house number, door / Почтовый индекс, населенный пункт, страна,: Домашний адрес: улица, дом, квартира: ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Hozzájárulok* ahhoz, hogy a Társaság ezzel az üggyel kapcsolatban adataimat kezelje, azt a hatóság megkeresésére kiadja. Hiermit genehmige ich, dass meine Daten im Zusammenhang mit dieser Angelegenheit von MÁV-START AG behandelt und den Behörden ausgeben werden. I authorise MÁV-START Co. to handle my data in connection with the present case and to disclose them to authorities upon their request. Я даю согласие на использование моих личных данных ЗАО МАВ-СТАРТом связи с делом и на передачу их властным органам, по их запросу. ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Kérem a szerelvényen*, állomáson* működő biztonsági kamera felvételének megőrzését, egyben tárgyi bizonyítékként történő átadásához hatósági megkeresés esetén hozzájárulok. Tudomásul veszem, hogy a rendőrségi feljelentést nekem kell megtennem. Ich bitte Sie um Aufbewahrung der Aufnahmen der im Zug / auf dem Bahnhof funktionierenden Sicherheitskameras und genehmige auf Verlangen der Behörde deren Übergabe als Beweisstück. Ich nehme zur Kenntnis, dass die Polizeianzeige meinerseits erfolgen muss. I request to retain the records made by safety cameras on trains / at the railway stations, at the same time I authorise the company to disclose these data as an evidence to authorities upon their request. I take notice of the fact that I have to file a police report. Прошу сохранить запись камеры безопасности поезда / станции, одновременно дам своё согласие для её передачи следственным органам в качестве вещественной улики при её востребовании ими. Принял к сведению, что я сам должен сделать донесение в полицию. ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------…………………………………………………………….. ………………………………………………………………………………. A károsult utas aláírása A vezető jegyvizsgáló aláírása (szolg.hely) Unterschrift des Reisende Unterschrift des Zugbegleiters (Schaffers) The damaged passenger signature The leading’ ticket collector’s signature Подпись потерпевшего пассажира Подпись старшего кондуктора (место службы) Dátum / Datum / Date / Дата: * a kívánt szöveg aláhúzandó, Der gewünschte Text ist zu unterstreichen. Underline the appropriate words. Нужные слова подчеркнуть.
9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 162 2. számú melléklet KIOLVASÁSI MEGBÍZÁS Szervezeti egység
Iktatószám: ……………/20…/START .
…………………………………………… Megbízom ……………………………............................t (név), hogy a lentebb részletezett biztonsági kamerafelvételeket DVD vagy CD adathordozóra kimásolja, és részemre eljuttassa. 1. a kiírandó felvétel adatai érintett vonat száma cselekmény kb. helye (állomástól állomásig) érintett motorvonat típusa érintett motorvonat pályaszáma kért felvétel dátuma kért felvétel kezdő időpontja kért felvétel befejező időpontja Dátum: 20
. ……………………….
………………………. ………………………. ………………………. megbízó neve megbízó beosztása megbízó aláírása (nyomtatott betűvel) ----------------------------------------------------------------------------------------------------------------2. a kiírás adatai kiírás helye kiírásban részt vevő személyek kiírás időpontja rögzítő-egységek azonosítói adathordozó típusa kiírt felvétel kezdő időpontja kiírt felvétel befejező időpontja megjegyzés A fenti biztonsági kamerafelvételeket tartalmazó állományokat és a kiolvasóprogramot adathordozóra írtam, az adathordozót elektronikusan lezártam. A mai napon átadtam. Dátum: 20 . ………………………. ………………………. átadó neve (nyomtatott betűvel)
………………………. átadó beosztása
………………………. átadó aláírása
………………………. átvevő neve (nyomtatott betűvel)
………………………. átvevő beosztása
………………………. átvevő aláírása
Melléklet: …. db. CD / DVD* 9. szám Budapest, 2014. február 12.
ÉRTESÍTŐ 163
Szerkeszti: MÁV-START Zrt. Kabinet Felelős kiadó: Ungvári Csaba vezérigazgató
9. szám Budapest, 2014. február 12.